JP2012150618A - Safety control system - Google Patents
Safety control system Download PDFInfo
- Publication number
- JP2012150618A JP2012150618A JP2011008289A JP2011008289A JP2012150618A JP 2012150618 A JP2012150618 A JP 2012150618A JP 2011008289 A JP2011008289 A JP 2011008289A JP 2011008289 A JP2011008289 A JP 2011008289A JP 2012150618 A JP2012150618 A JP 2012150618A
- Authority
- JP
- Japan
- Prior art keywords
- abnormality
- safety
- noise
- signal
- control system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、電力変換器などの被制御装置の安全監視機能を有し、ネットワーク経由で与えられる制御信号に基づいて被制御装置を制御する安全制御システムに関する。 The present invention relates to a safety control system that has a safety monitoring function of a controlled device such as a power converter and controls the controlled device based on a control signal given via a network.
従来から、工場や各種産業機器に使用される電力変換器は、さまざまな関連装置とネットワークや電源線等を介して間接的又は直接的に接続され使用されている。また、電力変換器の負荷にはモータ(電動機)などの機器(被制御装置)が利用されており、人間が立ち入ったり巻き込まれたりすることのないよう、機能安全性が要求されている。 2. Description of the Related Art Conventionally, power converters used in factories and various industrial devices are used by being indirectly or directly connected to various related devices via networks, power supply lines, and the like. Moreover, equipment (controlled device) such as a motor (electric motor) is used for the load of the power converter, and functional safety is required so that humans do not enter or get involved.
このため、IEC61508シリーズに代表される機能安全規格により、診断・監視機能に加えて、外部のセンサー等からの信号に基づいて、安全停止、安全減速など被制御装置を安全な状態へ移行する機能を定義している。 For this reason, in accordance with the functional safety standards represented by the IEC61508 series, in addition to diagnostic and monitoring functions, functions to shift the controlled device to a safe state such as safe stop and safe deceleration based on signals from external sensors, etc. Is defined.
また、この機能安全には、外部からのノイズが加わった時に起因するリスクを考慮に入れたEMC機能安全の考え方も近年規格として提案されつつある。 In addition, for this functional safety, the concept of EMC functional safety taking into account the risk caused when external noise is added has recently been proposed as a standard.
そこで、このような安全機能として、外部コントローラから安全制御システムの電力変換器へ制御信号や安全信号を与えるとともに、その安全信号を制御信号と混合させて産業用ネットワークに乗せるための「安全バス」を用いたシステムが提案されている(例えば、特許文献1参照)。 Therefore, as such a safety function, a “safety bus” is used to give control signals and safety signals from an external controller to the power converter of the safety control system, and to mix the safety signals with the control signals and put them on the industrial network. Has been proposed (for example, see Patent Document 1).
また、信頼性を向上させるために、二重化情報システムを採用し、故障などの際にトリガとして割込信号を出力して、他方のシステムを稼働させるものも知られている(例えば、特許文献2参照)。 In order to improve reliability, there is also known a system that employs a duplex information system, outputs an interrupt signal as a trigger in the event of a failure, and operates the other system (for example, Patent Document 2). reference).
ところで、機能安全として電磁ノイズに対する対策を行う場合には、非常に多くの側面から検討を行う必要がある。特に、電力変換器においては、制御装置の何らかの信号に強力な電磁ノイズが畳重した場合に発生する問題として、被制御装置の暴走や誤動作が推定されるため、設計段階や製造段階で入念な電磁ノイズ対策が求められる。また、機能安全対応の電力変換器を実現する際に、制御装置には複数の演算装置が含まれていることが多いため、強力な電磁ノイズを畳重した制御信号等が流れ込んだ場合の機能安全対策は不可欠である。さらに、被制御装置を搭載した機器や装置全体の構成或いは目的によっては、画一的な安全対策を講じることができない場合がある。 By the way, when taking countermeasures against electromagnetic noise as functional safety, it is necessary to examine from many aspects. In particular, in power converters, runaway or malfunction of the controlled device is estimated as a problem that occurs when strong electromagnetic noise is superimposed on some signal of the control device. Measures against electromagnetic noise are required. In addition, when implementing a functional safety-compliant power converter, the control device often includes a plurality of arithmetic devices, so the function when a control signal or the like overlaid with strong electromagnetic noise flows Safety measures are essential. Furthermore, there are cases where uniform safety measures cannot be taken depending on the configuration or purpose of the device on which the controlled device is mounted or the entire device.
例えば、被制御装置として電動機を搭載した機器や装置であっても、ノイズを検出した場合に即時停止しても良いもの(エスカレータ・大型工作機械・ベルトコンベア等)と、所定時間後或いは減速後に停止したほうが良いもの(エレベータ・電気自動車等)が存在する。 For example, even if it is a device or device equipped with an electric motor as a controlled device, it may stop immediately when noise is detected (escalator, large machine tool, belt conveyor, etc.), after a predetermined time or after deceleration There are things (elevators, electric cars, etc.) that should be stopped.
しかしながら、上述した各引用文献では、このようなノイズに起因して発生する誤動作等に対する具体的な対策はなされていないのが実情であった。 However, in each of the cited references described above, the actual situation is that no specific countermeasure is taken against malfunctions and the like caused by such noise.
そこで、本発明は、複数の演算装置を用いた制御装置にあって、ノイズや故障等の不具合要因を稼動中に常時検出すると共に、ノイズに対して柔軟性を持たせ、稼動率の低下を抑えつつ安全性を確保することができる安全制御システムを提供することを目的とする。 Therefore, the present invention is a control device using a plurality of arithmetic devices, and always detects a failure factor such as noise or failure during operation, and also gives flexibility to noise, thereby reducing the operating rate. It aims at providing the safety control system which can ensure safety | security, suppressing.
本発明の安全制御システムは、電力変換器へ制御信号を出力する制御装置と、前記電力変換器への停止指令の出力その他のフェールセーフ処理を実行する演算手段を有する安全装置と、を備え、前記演算手段は、外部からの割込信号を入力し、該割込信号の波形にノイズや装置故障と想定される異常信号が含まれる場合において、前記電力変換器の動作周波数またはキャリア周波数に基づいて定められた閾値に基づいてノイズか装置故障かの異常種別を判定し、異常信号検出時には外部へ前記異常種別と共に異常通知を出力する入力手段と、前記異常通知を受けて、前記異常種別に対応するフェールセーフ処理を実行する監視手段とを備えたことを特徴とする。 A safety control system according to the present invention includes a control device that outputs a control signal to a power converter, and a safety device that includes an operation unit that outputs a stop command to the power converter and other fail-safe processing. The arithmetic means inputs an external interrupt signal, and when the waveform of the interrupt signal includes an abnormal signal assumed to be noise or a device failure, based on the operating frequency or carrier frequency of the power converter An abnormality type of noise or device failure is determined based on a predetermined threshold, and an input means for outputting an abnormality notification together with the abnormality type to the outside upon detection of an abnormality signal; upon receiving the abnormality notification, And a monitoring means for executing a corresponding fail-safe process.
本発明の安全制御システムによれば、ノイズや装置故障等の不具合要因検出機能を演算手段に持たせ、故障要因検出時に異常の状態を監視手段へ伝えて安全機能を実現することにより、演算手段に流れこむ可能性のある電磁ノイズや、短絡や断線等の装置故障によって発生する不正で不具合リスクを発生させる可能性を持つ信号を検知することができ、ノイズや装置故障等の不具合要因を稼動中に常時検出すると共に、ノイズに対して柔軟性を持たせ、稼動率の低下を抑えつつ安全性を確保することができる安全制御システムを実現する。 According to the safety control system of the present invention, the calculation means is provided with a malfunction factor detection function such as noise and device failure, and the abnormality function is transmitted to the monitoring means when the failure factor is detected, thereby realizing the safety function. It can detect electromagnetic noise that can flow into the device, and signals that can cause risk of failure due to device failure such as short circuit or wire breakage, and can operate failure factors such as noise and device failure. A safety control system capable of ensuring safety while always detecting the inside and giving flexibility to noise while suppressing a decrease in operating rate.
また、本発明に係る安全制御システムの前記演算手段は、複数の前記入力手段と、入力手段ごとの異常種別の組合せに基づいて実行すべきフェールセーフ処理を定めた異常判定マトリクステーブルと、を備え、前記監視手段は、複数の前記入力手段のいずれかから異常通知を受けたときに、前記異常判定マトリクスに基づいて選択されたフェールセーフ処理を実行することを特徴とする。 Further, the calculation means of the safety control system according to the present invention includes a plurality of the input means, and an abnormality determination matrix table that defines fail-safe processing to be executed based on a combination of abnormality types for each input means. The monitoring unit executes fail-safe processing selected based on the abnormality determination matrix when receiving an abnormality notification from any of the plurality of input units.
本発明では、異常判定マトリクステーブルにより、複数の入力信号の組合せ不具合要因を特定するので精度の良い異常判定が可能になる。 In the present invention, the abnormality determination matrix table identifies the combination failure factors of a plurality of input signals, so that it is possible to determine the abnormality with high accuracy.
さらに、本発明に係る安全制御システムの前記安全装置は、複数の前記演算手段を有し、各演算手段は、前記入力手段ごとの異常検出回数を逐一格納するカウンタ変数を有し、前記複数の演算手段は、相互通信手段によって接続されて前記監視手段に格納されたカウンタ変数の値を交換し、予め定められた閾値と交換されたカウンタ変数の値とを用いてフェールセーフ処理を実行することを特徴とする。 Furthermore, the safety device of the safety control system according to the present invention includes a plurality of the calculation units, and each calculation unit includes a counter variable that stores the number of times of abnormality detection for each input unit one by one, The arithmetic means exchanges the value of the counter variable connected by the mutual communication means and stored in the monitoring means, and executes fail-safe processing using the predetermined threshold and the value of the counter variable exchanged. It is characterized by.
本発明によれば、複数の演算装置の異常検出状態を相互に確認・利用することができ、異常検出の信頼性を一層向上させることができる。 According to the present invention, the abnormality detection states of a plurality of arithmetic devices can be mutually confirmed and used, and the reliability of abnormality detection can be further improved.
本発明の安全制御システムは、ノイズや装置故障等の不具合要因を稼動中に常時検出すると共に、ノイズに対して柔軟性を持たせ、稼動率の低下を抑えつつ安全性を確保することができる。 The safety control system of the present invention can always detect a failure factor such as noise or a device failure during operation, and has flexibility against noise, thereby ensuring safety while suppressing a decrease in operating rate. .
[第1の実施の形態]
次に、本発明の実施の形態に係る安全制御システムについて、図面を参照しながら説明する。尚、以下に示す実施形態は本発明の安全制御システムにおける好適な具体例であり、技術的に好ましい種々の限定を付している場合もあるが、本発明の技術範囲は、特に本発明を限定する記載がない限り、これらの態様に限定されるものではない。また、以下に示す実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、かつ、他の既存の構成要素との組合せを含む様々なバリエーションが可能である。したがって、以下に示す実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。
[First Embodiment]
Next, a safety control system according to an embodiment of the present invention will be described with reference to the drawings. The following embodiment is a preferred specific example in the safety control system of the present invention, and may have various technically preferred limitations. However, the technical scope of the present invention is not limited to the present invention. As long as there is no description which limits, it is not limited to these aspects. In addition, the constituent elements in the embodiments shown below can be appropriately replaced with existing constituent elements and the like, and various variations including combinations with other existing constituent elements are possible. Therefore, the description of the embodiment described below does not limit the contents of the invention described in the claims.
(全体構成)
図1は、本発明の実施の形態による安全制御システムおよび周辺装置の構成図である。この図において、安全制御システム1は、ネットワーク3を介して外部コントローラ2と接続している。外部コントローラ2は、安全制御システム1へ制御機能や安全機能に関する指令信号の送信ならびに安全制御システム1からの監視データの受信によるモニタリングを行う。一方、安全制御システム1は、外部コントローラ2から送られてくる指令信号に基づいて制御対象である電動機4を監視制御する。
(overall structure)
FIG. 1 is a configuration diagram of a safety control system and peripheral devices according to an embodiment of the present invention. In this figure, the
安全制御システム1は、ネットワーク3を介して外部コントローラ2と通信を行う通信装置10、外部コントローラ2から送られてくる指令信号に基づいて制御指令(制御信号)を出力する制御装置20、制御装置20から出力される制御信号によって電動機4を駆動する電力変換器60、電力変換器60や制御装置20などの異常の有無を監視し、電力変換器60へ停止指令などの安全指令を出力するCPU二重化された安全装置30を有している。通信装置10、制御装置20、および、安全装置30との間は、それぞれケーブルやコネクタなどの分離・接続可能な接続手段で接続されている。なお安全制御システム1の各装置は、それぞれユニット構成で実現しても良いし、基板構成で実現しても良い。
The
安全制御システム1を構成する各装置の機能概要を説明すると、まず、制御装置20は、通信装置10から渡された外部コントローラ2の通信データを制御データと安全データとに分離する。そして制御データを受信した場合は、その制御データに基づいて電力変換器60の電圧・電流・周波数などを決定し、制御信号を生成して電力変換器60へ出力する。そして、電力変換器60は、制御装置20からの制御指令や安全装置30からの停止指令によって、電動機4を運転させるための電力の供給や停止を行う。通信装置10から渡された通信データが安全データの場合は、制御装置20は、この安全データを安全装置30へ渡す。安全データの渡し方は、二重化された演算装置のうち、制御装置20と通信を行う一方の演算装置31に渡し、その演算装置31が他方の演算装置41へ安全データを転送する。なお、安全データの渡し方はこれに限らず、たとえば、データを分岐する分岐手段を設け、制御装置20から送信された安全データをその分岐手段を介して夫々同じデータを両方の演算装置31,41へ送信するようにしても良い。
The functional outline of each device constituting the
安全装置30の両演算装置31,41は、外部コントローラ2からの安全機能設定信号による非常停止制御、安全状態の外部コントローラ2への通知処理などを行う。
Both the
両演算装置31,41間は、ケーブル接続されるが、外部割込信号によって、互いに処理のタイミングを通知して同期をとっている。なお、演算装置内部のCPUのプログラム処理によって発生する割込信号(内部割込信号)に対して、CPU間の割込信号は、CPUの外部に出力されるため、以下の説明において外部割込信号という。電力変換器60の動作ノイズによって、ケーブルにノイズが乗ることがあり、これにより誤動作を起こす可能性がある。
The
本実施の形態では、このノイズに対してできるだけ電動機4の稼働率を低下させないように、下記の構成をとっている。
In the present embodiment, the following configuration is adopted so as not to reduce the operating rate of the
図2に、安全装置30の概略構成図を示す。安全装置30の演算装置31,41はそれぞれ内部にプログラムによる演算処理を実行するCPU32,42を有している。CPU32,42間は、互いに外部割込信号を発生する回路(タイミング同期信号発生回路)33,43と、外部割込信号を受信する回路(タイミング同期信号受信回路)44,34が設けられている。なお、外部割込信号によってCPUの処理の同期をとるため、タイミング同期信号発生回路33,43とタイミング同期信号受信回路44,34とを合わせてタイミング同期手段40という。
FIG. 2 shows a schematic configuration diagram of the
また、タイミング同期信号発生回路33は、CPU32のアドレスをデコードするデコード回路33A、デコード回路33Aの出力と書き込み信号との論理積を演算するAND回路33B、およびラッチ回路33Cから構成されている。ラッチ回路33Cは、DFF(D型フリップフロップ)で実現されD入力には、データのあるビット(たとえばLSB)が接続され、クロック入力(CK)には、AND回路33Bの出力が接続される。また、ラッチ回路33Cの出力は外部割込信号として、タイミング同期信号受信回路44へ伝送される。
The timing synchronization
タイミング同期信号受信回路44は、タイミング同期信号の立ち上がりエッジを検出して、CPU42へ割り込み信号を発生する立ち上がりエッジ検出回路44A、タイミング同期信号の立ち下がりエッジを検出して、CPU42へ割り込み信号を発生する立ち下がりエッジ検出回路44Bを備えている。また、タイミング同期信号は、CPU42の端子#1(第1番目の外部入力端子)に入力されている。なお、外部信号は任意の端子に入力可能である。
The timing synchronization
タイミング同期信号発生回路43、タイミング同期信号受信回路34も上記と同様の回路構成を有し、CPU42からCPU32へタイミング同期信号を送っている。
The timing synchronization
このように、タイミング同期手段40は、プロセッサ間を外部割込信号線で結んでいる。なお、図1では、外部割込信号は双方向であるが、たとえばCPU42をCPU32に同期させる場合は、CPU32からCPU42の一方向のみでも機能する。この信号は、ある電圧閾値、たとえば2.0Vなどを境界値として用いて2.0V以上なら「1」、2.0V未満なら「0」のように表わされる。アクティブロー(アクティブLow:負論理)で定義するとき、「1」は非アクティブ、「0」はアクティブとなる。以下、負論理であるとして説明する。
Thus, the timing synchronization means 40 connects the processors with the external interrupt signal line. In FIG. 1, the external interrupt signal is bidirectional. However, for example, when the
このとき、通常はこの信号がアクティブとなる時点(立ち下がり時)に、CPUは外部割込として予め定めた処理(割り込み処理)を実行する。設定によっては、非アクティブ状態になるとき(立ち上がり時)、または、その両方(両エッジ時)などの場合もある。 At this time, normally, when this signal becomes active (at the time of falling), the CPU executes a predetermined process (interrupt process) as an external interrupt. Depending on the setting, there may be a case of inactive state (at the time of rising), or both (at the time of both edges).
信号線に問題が生じたとき、たとえばノイズや断線、短絡、または他方の演算装置の故障などのときは、割り込み処理が予期しないタイミングで動作する場合があり、安全機能の動作に遅延が生じたりするなどの問題を引き起こす危険性がある。 When a problem occurs in the signal line, such as noise, disconnection, short circuit, or failure of the other arithmetic unit, interrupt processing may operate at an unexpected timing, resulting in a delay in the operation of the safety function. There is a risk of causing problems.
本実施の形態では、アクティブ状態となった時点を基準にして、非アクティブ状態になるまでの時間(アクティブ時間)と、アクティブ状態になった時点を基準にして、次にアクティブ状態になる時点までの間隔(アクティブ化間隔)を用いて、外部割込みの発生タイミングを制御する。 In the present embodiment, the time until the inactive state (active time) based on the time when the active state is reached and the time when the next active state is reached based on the time when the active state is reached The generation timing of the external interrupt is controlled using the interval (activation interval).
図3にタイミング同期信号波形と負論理における各信号名、時間名との関係を示す。アクティブ時間とアクティブ化間隔はそれぞれ下限値と上限値の2つの閾値を有する。割り込み信号などは一般に負論理(アクティブLow)を用いる。よって、信号が「0」(GNDレベル)のときに正(ON)とみなす。 FIG. 3 shows the relationship between the timing synchronization signal waveform and each signal name and time name in negative logic. The active time and the activation interval each have two threshold values, a lower limit value and an upper limit value. In general, negative logic (active low) is used for an interrupt signal or the like. Therefore, when the signal is “0” (GND level), it is considered positive (ON).
(入力信号異常判定処理)
図4に、このような閾値による従来の異常判定例を示す。図4(A)では、ON時間が規定の時間を超過している場合(規定ON時間超過)を示している。これは、配線の断線・短絡あるいは素子不良等(以下、これらを纏めて「装置故障」という)の不具合を引き起こしていることが想定され、被制御装置(電動機4)が危険な状態であるのでシステム停止などの安全制御を行う必要があった。図4(B)では、ON時間が規定の時間より短い場合は、装置故障や、ノイズ等の一時的あるいは周期的な異常信号の影響が想定されるため、同様にシステム停止などの安全制御を行う必要があった。図4(C)では、ON/OFFとなる間隔が規定より短い場合についても、ノイズの影響の他、装置故障も想定されるため、同様にシステム停止などの安全制御を行う必要があった。
このように従来は、ノイズと装置故障を分けて判定できなかったので、異常信号のパターンを検出すると一律停止方向に制御せざるを得なかった。
(Input signal abnormality judgment processing)
FIG. 4 shows a conventional abnormality determination example using such a threshold value. FIG. 4A shows a case where the ON time exceeds the specified time (exceeding the specified ON time). This is because it is assumed that a failure such as wire breakage / short circuit or element failure (hereinafter collectively referred to as “device failure”) is caused, and the controlled device (electric motor 4) is in a dangerous state. It was necessary to perform safety control such as system shutdown. In FIG. 4 (B), when the ON time is shorter than the specified time, it is assumed that there is a device failure or a temporary or periodic abnormal signal such as noise. There was a need to do. In FIG. 4C, even when the ON / OFF interval is shorter than the specified value, it is necessary to perform safety control such as system shutdown in the same manner because an apparatus failure is assumed in addition to the influence of noise.
As described above, conventionally, noise and device failure cannot be determined separately, and therefore, when an abnormal signal pattern is detected, control must be performed in a uniform stop direction.
本実施の形態は、不具合要因をさらに精度良く判定し、異常信号として、一過性のノイズの可能性が高い場合は、システム停止方向にするのではなく、例えば安全の確保できる速度に制限するなど、実効性の高いフェールセーフ処理を可能にするものである。 In this embodiment, the cause of the failure is determined with higher accuracy, and if the possibility of transient noise is high as an abnormal signal, the system is not limited to the system stop direction, but is limited to a speed that can ensure safety, for example. This enables highly effective fail-safe processing.
(CPU32,42の機能構成)
以下、演算装置31のCPU32の機能を代表して説明するが、CPU42も同様の機能を有する。
図5は、CPU32の機能ブロック図である。ここで、CPU32は、タイミング同期信号受信回路34からの割込信号やタイミング同期信号を入力して信号の異常を検出する入力手段35、信号の異常を検出するための閾値ないし基準値を格納する閾値格納手段79、制御装置20あるいは他のCPUからの指令に基づいて閾値格納手段79に保存されている閾値を更新する閾値更新手段80、入力手段35からの指令に基づいて計数を行う監視タイマA75および監視タイマB76、入力手段35からの異常通知をもとに監視結果ファイル77を更新し、監視手段37へ異常の発生を通知する異常通知手段38、タイミング同期信号が正常な場合に起動されるタスク73を備えている。
(Functional configuration of
Hereinafter, although the function of the
FIG. 5 is a functional block diagram of the
なお、後述するように、入力手段35は不具合要因判定のために、複数のタイミング同期信号その他の外部信号を入力する場合もある。この場合、複数の外部信号の不具合要因(正常、信号異常、装置故障)の組合せとフェールセーフ処理内容との関係を保存するマトリクステーブル74を備える。
As will be described later, the
(閾値の初期設定)
動作前(運転前)における電力変換器60の設定は、ネットワーク3を用いて外部コントローラ2で設定(ユーザ設定)することが可能である。また、電力変換器60の動作パラメータや指令周波数(動作周波数の指令値)またはキャリア周波数を変更する場合には、その変更前の指令周波数に関する格納データを取得すると共にアクティブ時間を変更・格納する。また、通信サイクルを変更する場合には、その変更前の格納時間に関する格納データを取得すると共にアクティブ化間隔を変更・格納する。なお、この格納先は、例えば、演算装置31,41のメモリ領域等に格納する。
(Initial setting of threshold)
The setting of the
(入力手段35の動作)
図6に入力手段35の動作フロー図を示す。本実施の形態では、信号の変化に応じて、演算装置(演算装置31,41)の内部で監視タイマA76,監視タイマB77により時間及び間隔を測定し、その値と電力変換器60への制御指令値(電動機4の回転速度)に基づいて定まる閾値とを比較することによって、正常な信号と、装置故障やノイズによる信号とを分離している。閾値格納手段79には、制御装置20を起動した時に用いられる初期値が予め保存されており、閾値更新手段80が稼働中の電力変換器60の動作周波数の変化に応じて随時ON/OFF時間(図4(C))やON時間(図4(B))の閾値を更新する。
(Operation of input means 35)
FIG. 6 shows an operation flowchart of the input means 35. In the present embodiment, the time and interval are measured by the monitoring timer A76 and the monitoring timer B77 inside the arithmetic device (
閾値の変更の仕方としては、動作周波数またはキャリア周波数(以下、単に「動作周波数」という。)の一周期分をこの閾値とする他、高調波が発生する場合は、その次数に応じて監視時間を短くすることが考えられる。なお、予め工場試験などで動作周波数に対するノイズの乗り方を測定しておき、動作周波数とノイズ間隔との関係式あるいは動作周波数区分ごとのノイズ間隔の基準値を閾値格納手段79に保存しておいても良い。 As a method of changing the threshold value, one cycle of the operating frequency or carrier frequency (hereinafter simply referred to as “operating frequency”) is used as the threshold value, and when harmonics are generated, the monitoring time depends on the order. It is conceivable to shorten the length. It should be noted that the way in which noise is applied to the operating frequency is measured in advance in a factory test or the like, and the relational expression between the operating frequency and the noise interval or the reference value of the noise interval for each operating frequency section is stored in the threshold storage means 79. May be.
電力変換器60は、強力なノイズ源であり、設置状況や環境変化、部品の劣化等で制御装置20に影響を与える可能性が考えられ、その影響を考慮するためには動作周波数に応じて閾値を変更すること(これを閾値の「動的」変更という。)は極めて高い効果がある。
The
本実施の形態による入力手段35は、立下りエッジ(信号はOFF⇒ON)による割込信号によって起動すると、まず監視タイマB76が動作中の場合は(S1で「YES」)、監視タイマB76の値を取得し(S2)、閾値格納手段79に保存されているON/OFF間隔の閾値(図4(C)参照)と比較して当該閾値以上であるか否かを判定する(S3)。この判定の結果、ON/OFF間隔が閾値以上でない場合には異常通知手段38を経由して監視手段37へ異常(種別はノイズ)を通知する(S4)。 When the input means 35 according to the present embodiment is activated by an interrupt signal due to a falling edge (signal is OFF => ON), when the monitoring timer B76 is first operating ("YES" in S1), the monitoring means B76 A value is acquired (S2), and compared with the threshold value of the ON / OFF interval (see FIG. 4C) stored in the threshold value storage means 79, it is determined whether or not the threshold value is exceeded (S3). If the result of this determination is that the ON / OFF interval is not greater than or equal to the threshold value, an abnormality (type is noise) is notified to the monitoring means 37 via the abnormality notification means 38 (S4).
ステップS3の判定の結果、ON/OFF間隔が閾値以上である場合には、入力手段35は、監視タイマA75の動作を開始すると共に監視タイマB76を再起動する(S5,S6)。また、監視タイマB76の値が閾値格納手段79に保存されている規定ON時間(図4(A)参照)を経過した場合には(S7で「YES」)、監視タイマB76の動作を停止した後に(S8)、異常通知手段38を経由して監視手段37へ異常(種別は装置故障)を通知する(S9)。 If the result of determination in step S3 is that the ON / OFF interval is greater than or equal to the threshold, the input means 35 starts the operation of the monitoring timer A75 and restarts the monitoring timer B76 (S5, S6). If the specified ON time (see FIG. 4A) stored in the threshold value storage means 79 has elapsed (see “YES” in S7), the operation of the monitoring timer B76 is stopped. Later (S8), the abnormality is notified to the monitoring means 37 via the abnormality notifying means 38 (type is apparatus failure) (S9).
また、図7に示すように、入力手段35の別の割込ルーチンは、立上りエッジ(信号はON⇒OFF)による割込信号によって起動すると、監視タイマA75の動作を停止すると共に(S21)、そのタイマカウント値を取得した後に(S22)、そのタイマカウント値からON時間が予め定めた規定範囲内であるか否かを判定し(S23)、規定範囲内であれば割り込み信号処理(たとえばタスク73の割込み起動)を行う(S24)。 Further, as shown in FIG. 7, when another interrupt routine of the input means 35 is started by an interrupt signal due to a rising edge (signal is ON → OFF), the operation of the monitoring timer A75 is stopped (S21), After acquiring the timer count value (S22), it is determined from the timer count value whether the ON time is within a predetermined range (S23). 73 is started (S24).
一方、ステップS12の判定の結果、規定範囲内でない場合には、入力手段71は、さらに閾値格納手段79に保存されているON時間の閾値(図4(B)参照)と比較して、監視タイマA75のタイマカウント値が当該閾値以下の場合は(S25で「YES」)、異常通知手段38を経由して監視手段37へ異常(種別はノイズ)を通知する一方(S26)、監視タイマA75のタイマカウント値が当該閾値よりも大きい場合は(S25で「NO」)、異常通知手段38を経由して監視手段37へ異常(種別は装置故障)を通知する(S27)。
On the other hand, if the result of determination in step S12 is not within the specified range, the input means 71 further monitors the ON time threshold value stored in the threshold value storage means 79 (see FIG. 4B). When the timer count value of the timer A75 is equal to or smaller than the threshold value (“YES” in S25), the
(異常通知手段38の動作)
異常通知手段38は、入力手段35から異常通知を受けると、異常の種別ごとに、入力端子が複数有る場合はさらに入力端子ごとに、発生回数を記録していき、予め定められた値(1以上)を超えると監視手段37へ異常を通知する。
なお、発生回数などのカウントをしない場合は、異常通知手段38を設けずに、入力手段35からの異常通知を直接、監視手段37へ伝えるようにしても良い。
(Operation of abnormality notification means 38)
When the
When the occurrence count is not counted, the abnormality notification from the
(監視手段37の動作)
監視手段37は、異常通知手段38から種別ごとの異常通知を受けると、その種別に対応付けられているフェールセーフ処理を実行する。
(Operation of the monitoring means 37)
When the
本実施の形態によれば、ノイズや装置故障等の不具合要因を稼動中に常時検出すると共に、閾値更新手段80によって動作周波数またはキャリア周波数に基づいて動的に閾値を変更するので、ノイズに対して柔軟性を持たせ、稼動率の低下を抑え安全性を確保することができる。したがって、ノイズを検出した場合に即時停止しても良いもの(例えば、エスカレータ・大型工作機械・ベルトコンベア等)の場合には、ノイズの種類と危険度に応じて電動機4を即時停止し、所定時間後或いは減速後に停止したほうが良いもの(例えば、エレベータ・電気自動車等)の場合には、電動機4を最寄階にエレベータ箱が到着した時点、交差点等から退避した時点、といったように、装置等に応じた制御へ容易に対応することが可能となる。さらに、一過性のノイズの場合は速度制限を行うことで対応するようにしても良い。また、モニタや音声出力といった報知手段や他の切替え装置(安全装置)との連携し、『最寄階で停止します』『安全な場所で車を停止させてください』『ガソリンモードに切り替えました』といった報知やシステムの切り替えを行うことも可能となる。
According to the present embodiment, trouble factors such as noise and device failure are constantly detected during operation, and the threshold value is updated dynamically by the threshold update means 80 based on the operating frequency or carrier frequency. It is possible to secure the safety by suppressing the decline in the operation rate. Therefore, when noise is detected, the
[第2の実施の形態]
次に、本発明の第2の実施の形態を説明する。本実施の形態は、第1の実施の形態の機能に加え、さらに異常判定マトリクステーブル78を用いて複数の入力信号によって装置異常の判定を行うものである。
以下、図8乃至図14に基づいて、本実施形態に係る安全制御システム1の具体的な例を説明する。尚、以下の説明では、上記第1の実施の形態の構成と同一又は類似の機能を有するものには、同一の名称および符合を付す。
[Second Embodiment]
Next, a second embodiment of the present invention will be described. In the present embodiment, in addition to the functions of the first embodiment, the abnormality determination matrix table 78 is used to determine whether the apparatus is abnormal based on a plurality of input signals.
Hereinafter, based on FIG. 8 thru | or FIG. 14, the specific example of the
図8に示すように、本実施の形態の安全制御システム1では、図示を略する電力変換器の筐体内に、安全機能を有する演算装置31,41と、電力変換器60と、電力変換器60に電源供給を行う電源61と、電動機4と、を有している。なお、本実施の形態では、演算装置31,41は安全装置30内に設けることとして説明するが、二重化された演算装置の一方は、制御装置20内に設けるようにしても良い。
As shown in FIG. 8, in the
安全装置30は、図8の演算装置31,41を備えており、演算装置31,41のCPU32,42は、それぞれ2基の入力手段35,36及び入力手段45,46と、1つの監視手段37,47と、を備えている。入力手段35,36と監視手段37及び入力手段45,46と監視手段47とは、異常通知手段38,48によって接続されている。異常通知手段38,48は、それぞれ入力手段35,36及び入力手段45,46で発生した異常通知と異常の種別とを監視手段37,47へ転送する機能を有する。
The
第1の実施の形態と同様に、入力手段35,36及び入力手段45,46は、演算装置31,41に備わっている入力ポート(図示せず)の1つから入力される割込信号等(例えば、タイミング同期信号)の波形を動作周波数に基づいて動的に変化する閾値を用いて判定することでノイズと装置故障とを区別して異常を検出する機能を有している。
As in the first embodiment, the input means 35 and 36 and the input means 45 and 46 are interrupt signals input from one of input ports (not shown) provided in the
監視手段37,47は、数ms〜数10ms程度の時間を一定周期として接続されている入力手段35,36及び入力手段45,46の状態を監視しており、複数の異常を検出した際には、状況に応じて電力変換器60に安全指令を送りフェールセーフ処理を行う。
The
(動作概要)
次に、図9を用いて本実施の形態による安全制御システム1の動作概要を説明する。
安全制御システム1は、電源投入等によって起動した際、初期化ルーチンを実行し、各入力手段35,36,45,46や、異常通知手段38,48、監視手段37,47が使用する変数やファイルの初期設定を行う(S11)。ここでは、図10に示すように、各入力手段が使用する複数の端子異常種別の変数の初期化処理や、各異常通知手段が使用する異常検出回数を格納するカウンタ変数のリセット、各入力手段の異常検出処理で用いる条件判定のための閾値の指定、および異常判定マトリクステーブル78の初期化などがある。
(Overview of operation)
Next, an outline of the operation of the
When the
次に、安全制御システム1は、監視手段37,47の稼動を開始して、監視機能・安全機能を有効にする(S12)。
Next, the
安全制御システム1は、入力手段35,36及び入力手段45,46を起動して、入力信号を一定周期間隔で監視し(S13)、異常の有無を判定する(S14)。
入力手段35,36及び入力手段45,46は、異常を検出した場合には、それぞれ異常通知手段38,48を起動して、後述する異常種別判定処理(図11)を実行する(S15)。異常通知手段38,48は、この異常検出が有効な場合には、次のステップS16へ移行し、異常検出が無効の場合は、検出異常無効処理(S17)として、異常検出された端子の異常種別を初期化して(S17−1)、異常が無いもの(無効)としたうえで他の端子と同様に当該端子の異常監視を再開させる(S17−2)。
The
When detecting an abnormality, the input means 35 and 36 and the input means 45 and 46 activate the abnormality notification means 38 and 48, respectively, and execute an abnormality type determination process (FIG. 11) described later (S15). If the abnormality detection is valid, the abnormality notification means 38, 48 proceeds to the next step S16. If the abnormality detection is invalid, the abnormality notification means 38, 48 detects abnormality of the detected terminal as an abnormality detection process (S17). The type is initialized (S17-1), and there is no abnormality (invalid), and then the abnormality monitoring of the terminal is resumed in the same manner as other terminals (S17-2).
異常通知手段38,48は、ステップS15の異常種別判定処理の結果、異常検出が有効であると判定した場合には(S15で「YES」)、監視手段37,47に異常通知をすると共に異常種別を渡す。
監視手段37,47は、異常種別を渡されると、後述する異常種別に対応するフェールセーフ処理を実行して(S16)、外部に異常の発生を通知する(S18)。
If the abnormality notification means 38, 48 determines that the abnormality detection is effective as a result of the abnormality type determination processing in step S15 (“YES” in S15), the abnormality notification means 38, 48 notifies the monitoring means 37, 47 of abnormality and Pass the type.
When the abnormality type is passed, the
以下、ステップS15とステップS16の処理内容の詳細を説明する。
(ステップS15の異常種別判定処理の詳細)
まず、ステップS15で示した異常通知手段38,48による異常種別判定処理の詳細を図11に基づいて説明する。
Hereinafter, details of the processing contents of steps S15 and S16 will be described.
(Details of the abnormality type determination process in step S15)
First, details of the abnormality type determination processing by the abnormality notification means 38 and 48 shown in step S15 will be described with reference to FIG.
異常通知手段38,48は、異常種別の変数やフェールセーフ遷移フラグ変数を初期化して(S15−1)、各入力手段35,36及び入力手段45,46の各入力信号を端子として扱い、端子#1〜端子#n(nは整数)までの異常の状態を検出する。 The abnormality notification means 38 and 48 initialize the abnormality type variable and the fail-safe transition flag variable (S15-1), treat the input signals of the input means 35 and 36 and the input means 45 and 46 as terminals, Abnormal states from # 1 to terminal #n (n is an integer) are detected.
具体的には、異常通知手段38,48は、まず、端子#1が異常状態であると判定した場合には(S15−2)、異常端子検出処理#1としてステップS15−3に移行し、端子#1の異常種別をセットし(S15−3A)、端子#1の異常カウンタ加算(すなわち、異常発生回数カウンタ変数のインクリメント)を行って(S15−3B)、次のステップS15−4へと移行する。
Specifically, when it is determined that the
異常通知手段38,48は、以下同様にして、端子#2〜端子#nに対して、異常の有無の判定と異常があった場合は異常検出処理を実行する(S15−4〜S15−7)。
In the same manner, the abnormality notification means 38 and 48 determine whether there is an abnormality in
次に、異常通知手段38,48は、複数端子間異常検出処理(S15−8)を実行する。複数端子間異常検出処理として、異常通知手段38,48は、まず異常判定マトリクステーブル78にアクセスすると共に(S15−8A)、各端子の異常カウンタ値を読み込んで(S15−8B−1)、当該カウンタ値が予め定めた閾値を超えている場合は(S15−8B−2)、異常判定マトリクステーブル78の該当する端子の組合せに対応する安全機能(フェールセーフ処理)のIDを判定結果として抽出する(S15−8B−3)。ここで、ステップS15−8B−1〜ステップS15−8B−3までの処理を異常端子カウンタ閾値判定処理(S15−8B)という。 Next, the abnormality notifying means 38 and 48 execute an inter-terminal abnormality detection process (S15-8). As an abnormality detection process between a plurality of terminals, the abnormality notification means 38 and 48 first access the abnormality determination matrix table 78 (S15-8A), and read the abnormality counter value of each terminal (S15-8B-1). If the counter value exceeds a predetermined threshold value (S15-8B-2), the ID of the safety function (fail-safe process) corresponding to the corresponding terminal combination in the abnormality determination matrix table 78 is extracted as the determination result. (S15-8B-3). Here, the process from step S15-8B-1 to step S15-8B-3 is referred to as an abnormal terminal counter threshold value determination process (S15-8B).
なお、安全機能IDとして、優先度・重要度が高いほど大きい数字を割り当てるようにし、異常判定マトリクステーブル78から抽出される安全機能が複数存在する場合は、数字の最大値を抽出するようにする。たとえば、図14において、端子#1と端子#2が信号異常、端子#3が装置故障の場合、速度制限と減速停止の両方が抽出されることになるが、安全機能として、速度制限は「1」、減速停止は「2」を割り付けておけば、数字の大きい方である減速停止(安全機能ID=2)が最終的に選択されることになる。なお、本実施の形態では、異常判定マトリクスの実装方法としては、テーブル方式を用いて説明しているが、分岐命令方式を採用しても良い。
As the safety function ID, a higher number is assigned as the priority / importance is higher, and when there are a plurality of safety functions extracted from the abnormality determination matrix table 78, the maximum number is extracted. . For example, in FIG. 14, when
次に、異常通知手段38,48は、フェールセーフ遷移フラグ変数に判定結果を書き込んで(S15−8C)、当該遷移フラグ変数が「1」以上、すなわち「異常」ならばステップS16へ移行し、当該遷移フラグ変数が「0」、すなわち「無効」ならば、ステップS17へ移行する。以上が異常種別判定処理の内容である。 Next, the abnormality notifying means 38, 48 writes the determination result in the fail safe transition flag variable (S15-8C), and if the transition flag variable is “1” or more, that is, “abnormal”, the process proceeds to step S16. If the transition flag variable is “0”, that is, “invalid”, the process proceeds to step S17. The above is the content of the abnormality type determination process.
このように、監視手段37,47は、異常判定マトリクスを用いることで、入力手段35,36及び入力手段45,46によって入力信号あるいは機能の意味づけが異なる場合においても、柔軟に対応可能となる。 As described above, the monitoring means 37 and 47 can flexibly cope with the case where the meaning of the input signal or the function differs depending on the input means 35 and 36 and the input means 45 and 46 by using the abnormality determination matrix. .
なお、入力手段35,36及び入力手段45,46に接続される信号は、主として処理タイミングの同期、データ送受信タイミングの同期である。したがって、図14に示すように、制御装置(制御基板)20に実装された回路(例えば、演算装置31,41)の周囲や回路外に開放する配線39A,39Bをプルアップまたはプルダウン等で信号を安定させた状態で、あるいは開放状態で配索し、この配線39A,39Bによる受信信号の変位を監視することで外部からのノイズや異常をアンテナ検出するような場合にも、異常判定マトリクスを適用することが可能である。
The signals connected to the input means 35, 36 and the input means 45, 46 are mainly processing timing synchronization and data transmission / reception timing synchronization. Therefore, as shown in FIG. 14, the
この場合、特に、アンテナ検出用の信号の端子が異常になった場合は、優先的にノイズ(信号異常)として判定することにより精度の高い不具合内容の区別が可能となり、これにより稼働率を上げることができる。 In this case, in particular, when the terminal of the antenna detection signal becomes abnormal, it is possible to distinguish the failure contents with high accuracy by preferentially determining as noise (signal abnormality), thereby increasing the operating rate. be able to.
(ステップS16のフェールセーフ処理の詳細)
次に、ステップS16で示したフェールセーフ処理の詳細を図12に基づいて説明する。監視手段37,47は、フェールセーフ処理対象に対して予め設定された安全機能(フェールセーフ処理)を選択し(ステップS16−1)、電動機4の種類や適用される機器・装置に応じて、フリーランの停止(ステップS16−2)、減速停止(ステップS16−3)、速度制限(ステップS16−3)といった異常処理(モード)を選択する。
(Details of fail-safe processing in step S16)
Next, details of the fail-safe process shown in step S16 will be described with reference to FIG. The
なお、図13に示した選択肢を含め、電動機4の種類や適用される機器・装置に応じて、上述した異常処理以外の処理を含ませることも可能である。
In addition, including the options shown in FIG. 13, it is possible to include processes other than the abnormal processes described above according to the type of the
これにより、ノイズの種類に対して複数の端子#1〜#nの出力結果に基づいて、図13に示すように多数決的に監視手段37,47によって異常を判定し、ノイズの種類に関わらずノイズの存在のみによって一律に電動機4を停止させてしまい、電動機4の稼働率を低下させるという事態を改善することができる。
Thereby, based on the output results of the plurality of
[第3の実施の形態]
次に、図15及び図16を用いて、第2の実施の形態との違いを中心に第3の実施の形態による安全制御システム1について説明する。上記第2の実施の形態では演算装置31,41の監視手段37,47が独立して動作していたのに対し、本実施の形態では監視手段37,47の異常判定結果を互いに連動させる。
[Third Embodiment]
Next, the
即ち、図15に示すように、演算装置31,41(監視手段37,47)の間にUARTやSPI等のシリアル通信線又はパラレル通信線等の配線21を介して相互通信可能としている。この相互通信手段としての配線21を用いて、一方の監視手段37,47で管理される各入力手段35,36及び入力手段45,46で検出された異常検出回数のカウンタ変数を数100ms〜1000ms程度の一定間隔周期で他方の監視手段37,47に通信する。
That is, as shown in FIG. 15, mutual communication is possible between the
また、その通信結果で得られた一方の監視手段37,47の異常検出回数は、他方の監視手段37,47で管理している異常検出回数とは別のメモリエリア(演算装置31,41のカウンタ値)に格納される。
Further, the number of times of abnormality detection of one monitoring means 37, 47 obtained from the communication result is different from the number of times of abnormality detection managed by the other monitoring means 37, 47 (of the
監視手段37,47は、第2の実施の形態で示した異常種別判定の複数端子間異常検出処理にある異常端子カウンタ閾値判定とは異なる異常端子カウンタ閾値判定を行う。
The
具体的には、本実施の形態による異常端子カウンタ閾値判定処理は、図16に示すように、各演算装置31,41の異常検出回数を格納したカウンタ値を読み込んだうえで(ステップS15−8B−4)、他方の演算装置31,41のカウンタ値を読み込み(ステップS15−8B−5)、一方の演算装置31,41の異常検出回数を格納したカウンタ値を合計・平均・前回との差分を演算した(ステップS15−8B−6)後に、その中で予め選択した演算方法と閾値とを用いて、どれを閾値との比較に用いるのかを初期設定を参照して決定・選択する(ステップS15−8B−7)。たとえば、同一ルートで配線したタイミング同期信号を2つの演算装置の同じ端子に入力し、当該端子の異常カウンタが共に予め定めた閾値以上となり、かつ、両異常カウンタの値の差が一定値以下の場合は、ノイズの可能性が大きいと判定することができる。
Specifically, in the abnormal terminal counter threshold value determination process according to the present embodiment, as shown in FIG. 16, after reading the counter value storing the number of times of abnormality detection of each
そして、その演算方法と閾値とで比較を行い、閾値を超える場合には電力変換器60の運転前に予め初期設定で選択された安全機能(減速停止、フリーラン停止、速度制限など)を速やかに実行する(ステップS15−8B−8)。
Then, a comparison is made between the calculation method and the threshold value, and if the threshold value is exceeded, the safety functions (deceleration stop, free-run stop, speed limit, etc.) selected in advance by default before the operation of the
このように、本実施の形態による安全監視システムによれば、複数の演算装置31,41を用いると共に、監視手段37,47によるノイズに関する異常判定に対して柔軟性を持たせ、電動機4の稼動率の低下を抑えつつ安全性を確保することが可能となる。また、閾値を動的とすることにより、電動機4の種類や装置全体の機種・種別・環境等を考慮した異常判定への対応においても柔軟性を具備させることができ、例えば、危険度の低い信号(一過性ノイズ等)に対しては電動機4(又は電力変換器60)の稼動を継続又はスピードを緩め、危険度の高い信号(故障・短絡・断線)に対してはその稼動を停止させるといったように、汎用性を向上させることができる。
Thus, according to the safety monitoring system according to the present embodiment, the plurality of
1…安全制御システム
4…電動機
20…制御装置
31…演算装置(演算手段)
35…入力手段
36…入力手段
37…監視手段
38…異常通知手段
41…演算装置
45…入力手段
46…入力手段
47…監視手段
48…異常通知手段
60…電力変換器(動力変換回路)
73…タスク
75…監視タイマA
76…監視タイマB
77…監視結果ファイル(フェールセール遷移フラグ変数)
78…異常判定マトリクステーブル
79…閾値格納手段
80…閾値更新手段
DESCRIPTION OF
35 ... Input means 36 ... Input means 37 ... Monitoring means 38 ... Abnormality notification means 41 ...
73 ...
76 ... Monitoring timer B
77 ... Monitoring result file (fail sale transition flag variable)
78 ... Abnormality determination matrix table 79 ... Threshold storage means 80 ... Threshold update means
Claims (3)
前記演算手段は、
外部からの割込信号を入力し、該割込信号の波形にノイズや装置故障と想定される異常信号が含まれる場合において、前記電力変換器の動作周波数またはキャリア周波数に基づいて定められた閾値に基づいてノイズか装置故障かの異常種別を判定し、異常信号検出時には外部へ前記異常種別と共に異常通知を出力する入力手段と、
前記異常通知を受けて、前記異常種別に対応するフェールセーフ処理を実行する監視手段とを備えたことを特徴とする安全制御システム。 A control device that outputs a control signal to a power converter, and a safety device that includes a calculation means for executing a fail-safe process such as outputting a stop command to the power converter,
The computing means is
A threshold value determined based on the operating frequency or carrier frequency of the power converter when an external interrupt signal is input and the waveform of the interrupt signal includes an abnormal signal that is assumed to be noise or equipment failure Based on the input means for determining the abnormality type of noise or device failure, and outputting an abnormality notification together with the abnormality type to the outside when detecting an abnormality signal;
A safety control system comprising: a monitoring unit that receives the abnormality notification and executes fail-safe processing corresponding to the abnormality type.
前記監視手段は、複数の前記入力手段のいずれかから異常通知を受けたときに、前記異常判定マトリクスに基づいて選択されたフェールセーフ処理を実行することを特徴とする請求項1に記載の安全制御システム。 The arithmetic means comprises a plurality of the input means, and an abnormality determination matrix table that defines fail-safe processing to be executed based on a combination of abnormality types for each input means,
2. The safety according to claim 1, wherein the monitoring unit executes a fail-safe process selected based on the abnormality determination matrix when receiving an abnormality notification from any of the plurality of input units. Control system.
前記複数の演算手段は、相互通信手段によって接続されて前記監視手段に格納されたカウンタ変数の値を交換し、予め定められた閾値と交換されたカウンタ変数の値とを用いてフェールセーフ処理を実行することを特徴とする請求項1に記載の安全制御システム。 The safety device has a plurality of the calculation means, and each calculation means has a counter variable for storing the number of times of abnormality detection for each input means,
The plurality of computing means are connected by the mutual communication means to exchange the value of the counter variable stored in the monitoring means, and perform fail-safe processing using a predetermined threshold value and the exchanged counter variable value. The safety control system according to claim 1, wherein the safety control system is executed.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011008289A JP5682323B2 (en) | 2011-01-18 | 2011-01-18 | Safety control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011008289A JP5682323B2 (en) | 2011-01-18 | 2011-01-18 | Safety control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012150618A true JP2012150618A (en) | 2012-08-09 |
JP5682323B2 JP5682323B2 (en) | 2015-03-11 |
Family
ID=46792810
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011008289A Expired - Fee Related JP5682323B2 (en) | 2011-01-18 | 2011-01-18 | Safety control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5682323B2 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013005577A (en) * | 2011-06-16 | 2013-01-07 | Fuji Electric Co Ltd | Inverter device |
JP2017063565A (en) * | 2015-09-25 | 2017-03-30 | 株式会社デンソーウェーブ | Robot system |
JP2018005384A (en) * | 2016-06-29 | 2018-01-11 | 三菱重工業株式会社 | Processing synchronization control system and processing synchronization control method |
JP2019191928A (en) * | 2018-04-25 | 2019-10-31 | 株式会社日立産機システム | Power conversion system and power conversion method |
CN113557481A (en) * | 2019-03-11 | 2021-10-26 | 三菱电机株式会社 | Safety control device and safety control system |
CN113796094A (en) * | 2019-06-24 | 2021-12-14 | 欧姆龙株式会社 | Master module and control program for device control apparatus |
CN114488897A (en) * | 2022-01-27 | 2022-05-13 | 中车青岛四方车辆研究所有限公司 | Functional security chip and working method thereof |
WO2022269719A1 (en) * | 2021-06-21 | 2022-12-29 | ファナック株式会社 | Control device |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0512036A (en) * | 1991-07-03 | 1993-01-22 | Nec Corp | Interrupt control circuit |
JP2010244266A (en) * | 2009-04-03 | 2010-10-28 | Fuji Electric Systems Co Ltd | Electric motor driving system |
-
2011
- 2011-01-18 JP JP2011008289A patent/JP5682323B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0512036A (en) * | 1991-07-03 | 1993-01-22 | Nec Corp | Interrupt control circuit |
JP2010244266A (en) * | 2009-04-03 | 2010-10-28 | Fuji Electric Systems Co Ltd | Electric motor driving system |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013005577A (en) * | 2011-06-16 | 2013-01-07 | Fuji Electric Co Ltd | Inverter device |
JP2017063565A (en) * | 2015-09-25 | 2017-03-30 | 株式会社デンソーウェーブ | Robot system |
US10250169B2 (en) | 2015-09-25 | 2019-04-02 | Denso Wave Incorporated | Robot system |
JP2018005384A (en) * | 2016-06-29 | 2018-01-11 | 三菱重工業株式会社 | Processing synchronization control system and processing synchronization control method |
JP2019191928A (en) * | 2018-04-25 | 2019-10-31 | 株式会社日立産機システム | Power conversion system and power conversion method |
JP7112240B2 (en) | 2018-04-25 | 2022-08-03 | 株式会社日立産機システム | Power conversion system and power conversion method |
CN113557481A (en) * | 2019-03-11 | 2021-10-26 | 三菱电机株式会社 | Safety control device and safety control system |
CN113557481B (en) * | 2019-03-11 | 2022-09-23 | 三菱电机株式会社 | Safety control device and safety control system |
CN113796094A (en) * | 2019-06-24 | 2021-12-14 | 欧姆龙株式会社 | Master module and control program for device control apparatus |
CN113796094B (en) * | 2019-06-24 | 2023-12-05 | 欧姆龙株式会社 | Main module and storage medium |
WO2022269719A1 (en) * | 2021-06-21 | 2022-12-29 | ファナック株式会社 | Control device |
CN114488897A (en) * | 2022-01-27 | 2022-05-13 | 中车青岛四方车辆研究所有限公司 | Functional security chip and working method thereof |
Also Published As
Publication number | Publication date |
---|---|
JP5682323B2 (en) | 2015-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5682323B2 (en) | Safety control system | |
US8476860B2 (en) | Electric power converter | |
JP5550718B2 (en) | Elevator safety control device | |
JP2011008642A (en) | Safety device and power converter | |
WO2011114493A1 (en) | Microcomputer cross-monitoring system and microcomputer cross-monitoring method | |
US20130211552A1 (en) | Method for electing an active master device from two redundant master devices | |
CN105759781A (en) | Wiring Method For Robot | |
EP3166218B1 (en) | Power converter | |
JP2014118290A (en) | Electronic safety elevator | |
JP2009522116A (en) | Device for controlling at least one machine | |
JP6007677B2 (en) | Safety control system and processor of safety control system | |
US10120742B2 (en) | Power supply controller system and semiconductor device | |
JP6521020B2 (en) | Safety controller | |
JP2018163498A (en) | Monitoring circuit | |
JP7225689B2 (en) | motor controller | |
US9524259B2 (en) | Method for operating an automation device to reduce dead time on account of a physical interruption in a ring or a failed unit | |
JP6230729B2 (en) | Elevator safety control device and elevator safety control method | |
JP2014178730A (en) | Abnormality monitoring device and abnormality monitoring method for control device | |
JP2008054028A (en) | Control information transmission system | |
JP2015175239A (en) | Monitoring device, monitoring method, and program | |
EP4328676A1 (en) | Digital output apparatus and method for generating digital output | |
JP2006276957A (en) | Safety system | |
US20180011470A1 (en) | Failsafe Automation System | |
JP4788469B2 (en) | Redundant CPU system | |
CN116069442A (en) | Information processing device, vehicle, and information processing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131216 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140723 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140819 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140918 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141216 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141229 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5682323 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |