JP2018151866A - 評価システム、安全コントローラ、評価プログラム、および、評価方法 - Google Patents

評価システム、安全コントローラ、評価プログラム、および、評価方法 Download PDF

Info

Publication number
JP2018151866A
JP2018151866A JP2017047658A JP2017047658A JP2018151866A JP 2018151866 A JP2018151866 A JP 2018151866A JP 2017047658 A JP2017047658 A JP 2017047658A JP 2017047658 A JP2017047658 A JP 2017047658A JP 2018151866 A JP2018151866 A JP 2018151866A
Authority
JP
Japan
Prior art keywords
value
output
input
safety
evaluated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017047658A
Other languages
English (en)
Other versions
JP6911408B2 (ja
Inventor
亮輔 藤村
Ryosuke Fujimura
亮輔 藤村
伸行 田熊
Nobuyuki Taguma
伸行 田熊
拓 菅沼
Hiroshi Suganuma
拓 菅沼
旭 松井
Akira Matsui
旭 松井
正也 井上
Masaya Inoue
正也 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Omron Tateisi Electronics Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp, Omron Tateisi Electronics Co filed Critical Omron Corp
Priority to JP2017047658A priority Critical patent/JP6911408B2/ja
Priority to CN201810028604.5A priority patent/CN108572610B/zh
Priority to US15/869,037 priority patent/US10545471B2/en
Priority to EP18151757.4A priority patent/EP3376317A1/en
Publication of JP2018151866A publication Critical patent/JP2018151866A/ja
Application granted granted Critical
Publication of JP6911408B2 publication Critical patent/JP6911408B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B25HAND TOOLS; PORTABLE POWER-DRIVEN TOOLS; MANIPULATORS
    • B25JMANIPULATORS; CHAMBERS PROVIDED WITH MANIPULATION DEVICES
    • B25J9/00Programme-controlled manipulators
    • B25J9/16Programme controls
    • B25J9/1674Programme controls characterised by safety, monitoring, diagnostic
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/11Plc I-O input output
    • G05B2219/1192Output of interfaces parallel, for safe load switch on, OR condition
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24024Safety, surveillance
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24038Several test signals stored in memory and used as input signals

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Robotics (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)
  • Alarm Systems (AREA)

Abstract

【課題】設計された安全プログラムの機能安全を評価できる技術が要望されている。【解決手段】評価システムは、安全プログラムに従う演算を実行する処理実行手段と、評価対象の入力信号と、当該入力信号の値の変化に対応して出力機器に出力されるべき出力信号の値である出力期待値とを含む、評価条件を受付ける設定手段と、評価対象の入力信号の値が初期値である第1の入力値から第2の入力値に変化したことを評価対象の入力機器から受付けたことに基づいて、処理実行手段により決定される出力信号の第1の出力値が出力期待値と一致しているか否かを判断する第1の判断手段と、評価対象の入力信号の値が第2の入力値から第1の入力値に戻ったことを評価対象の入力機器から受付けたことに基づいて、処理実行手段により決定される出力信号の第2の出力値が第1の出力値と一致しているか否かを判断する第2の判断手段と、判断結果を出力する出力手段とを含む。【選択図】図1

Description

本開示は、安全プログラムの機能安全を評価する評価システム、安全コントローラ、評価プログラム、および評価方法に関する。
多くの製造現場で使用される機械を安全に使用するためには、国際規格に従う安全機器(安全コンポーネント)を使用しなければならばない。この安全機器は、ロボットなどの自動的に動く装置によって人の安全が脅かされることの防止を目的としている。このような安全機器は、安全プログラムを実行する安全コントローラをはじめとして、人の存在や侵入を検知する検知機器、非常時の操作を受付ける入力機器、実際に機器を停止させる出力機器などを含む。
このような製造現場での安全を確保する技術の一つとして、たとえば、特開2014−137621号公報(特許文献1)は、安全コントローラのユーザプログラムの設計を容易にすることが可能な安全コントローラのユーザプログラムの設計を支援する方法を開示する。
特開2014−137621号公報(特許文献1)は、安全コントローラと安全I/Oターミナルとがバス型ネットワークを介して接続され、安全コントローラでは、安全I/Oターミナルに接続される安全入力機器からの入力信号に基づいて、安全I/Oターミナルに接続される安全出力機器に対して安全動作を行うための指令を出力する構成を開示する。
特開2014−137621号公報
ところで、安全コントローラで実行される安全プログラムについては、予め設計されたとおりに動作することを確認する必要がある。上述の特許文献1は、安全コントローラのユーザプログラムの設計を容易にすることが可能な安全コントローラのユーザプログラムの設計を支援する方法を開示するが、設計後の安全コントローラのユーザプログラムを検査する手法については教示されていない。
したがって、設計された安全プログラムの機能安全を評価するための技術が要望されている。
ある局面に従うと、予め定められた条件が成立すると出力機器を安全が保たれるように動作させるための安全プログラムの機能安全を評価する評価システムは、1つ以上の入力機器のいずれかからの入力信号に基づいて、上記安全プログラムに従う演算を実行することで、対応する1つ以上の出力機器に出力するための出力信号の値を決定する処理実行手段と、評価対象の入力信号と、当該入力信号の値の変化に対応して出力機器に出力されるべき出力信号の値である出力期待値とを含む、評価条件を受付ける設定手段と、上記評価対象の入力信号の値が初期値である第1の入力値から第2の入力値に変化したことを評価対象の入力機器から受付けたことに基づいて、上記処理実行手段により決定される出力信号の第1の出力値が上記出力期待値と一致しているか否かを判断する第1の判断手段と、上記評価対象の入力信号の値が上記第2の入力値から上記第1の入力値に戻ったことを評価対象の入力機器から受付けたことに基づいて、上記処理実行手段により決定される出力信号の第2の出力値が上記第1の出力値と一致しているか否かを判断する第2の判断手段と、上記評価対象の入力信号に関連付けて、上記第1の判断手段および上記第2の判断手段での判断結果を出力する出力手段とを備える。
好ましくは、上記評価システムは、上記評価対象の入力機器に対する操作内容を情報処理装置に提示させるための提示手段をさらに備える。
好ましくは、上記提示手段は、上記評価対象の入力信号の値を上記第1の入力値から上記第2の入力値に変化させるべきときに、当該入力信号の値を上記第1の入力値から上記第2の入力値に変化させるための操作内容を上記情報処理装置に提示させ、上記評価対象の入力機器の値を上記第2の入力値から上記第1の入力値に変化させるべきときに、当該入力信号の値を上記第2の入力値から上記第1の入力値に変化させるための操作内容を上記情報処理装置に提示させる。
好ましくは、上記操作内容は、上記評価対象の入力機器の識別情報と、上記評価対象の入力機器に対する操作手順とを含む。
好ましくは、上記評価条件は、上記評価対象の入力信号と、上記出力期待値とからなる組を複数含む。上記提示手段は、予め設定されている評価順序に従って、操作すべき評価対象の入力機器の操作内容を上記情報処理装置に順次提示させる。
好ましくは、上記評価条件は、上記入力信号の値が上記第2の入力値から上記第1の入力値に戻ったときに、対応する出力信号の出力値を連動して元の値に戻すことを示す第1の種別と、予め定められたリセット条件が成立するまでは出力信号の出力値を元の値に戻さないことを示す第2の種別とのうち、いずれかの設定を含む。上記第2の判断手段は、上記第1の種別が設定されている場合には、上記第2の出力値が上記第1の出力値とは異なっているときに正常と判断し、上記第2の種別が設定されている場合には、上記第2の出力値が上記第1の出力値と一致しているときに正常と判断する。
他の局面に従うと、予め定められた条件が成立すると出力機器を安全が保たれるように動作させるための安全プログラムの機能安全を評価する安全コントローラは、1つ以上の入力機器のいずれかからの入力信号に基づいて、上記安全プログラムに従う演算を実行することで、対応する1つ以上の出力機器に出力するための出力信号の値を決定する処理実行手段と、評価対象の入力信号と、当該入力信号の値の変化に対応して出力機器に出力されるべき出力信号の値である出力期待値とを含む、評価条件を受付ける設定手段と、上記評価対象の入力信号の値が初期値である第1の入力値から第2の入力値に変化したことを評価対象の入力機器から受付けたことに基づいて、上記処理実行手段により決定される出力信号の第1の出力値が上記出力期待値と一致しているか否かを判断する第1の判断手段と、上記評価対象の入力信号の値が上記第2の入力値から上記第1の入力値に戻ったことを評価対象の入力機器から受付けたことに基づいて、上記処理実行手段により決定される出力信号の第2の出力値が上記第1の出力値と一致しているか否かを判断する第2の判断手段と、上記評価対象の入力信号に関連付けて、上記第1の判断手段および上記第2の判断手段での判断結果を出力する出力手段とを備える。
他の局面に従うと、予め定められた条件が成立すると出力機器を安全が保たれるように動作させるための安全プログラムの機能安全を評価する評価プログラムは、コンピュータに、1つ以上の入力機器のいずれかからの入力信号に基づいて、上記安全プログラムに従う演算を実行することで、対応する1つ以上の出力機器に出力するための出力信号の値を決定するステップと、評価対象の入力信号と、当該入力信号の値の変化に対応して出力機器に出力されるべき出力信号の値である出力期待値とを含む、評価条件を受付けるステップと、上記評価対象の入力信号の値が初期値である第1の入力値から第2の入力値に変化したことを評価対象の入力機器から受付けたことに基づいて、上記安全プログラムに従う演算により決定される出力信号の第1の出力値が上記出力期待値と一致しているか否かを判断するステップと、上記評価対象の入力信号の値が上記第2の入力値から上記第1の入力値に戻ったことを評価対象の入力機器から受付けたことに基づいて、上記安全プログラムに従う演算により決定される出力信号の第2の出力値が上記第1の出力値と一致しているか否かを判断するステップと、上記評価対象の入力信号に関連付けて、上記判断するステップでの判断結果を出力するステップとを実行させる。
他の局面に従うと、予め定められた条件が成立すると出力機器を安全が保たれるように動作させるための安全プログラムの機能安全を評価する評価方法は、1つ以上の入力機器のいずれかからの入力信号に基づいて、上記安全プログラムに従う演算を実行することで、対応する1つ以上の出力機器に出力するための出力信号の値を決定するステップと、評価対象の入力信号と、当該入力信号の値の変化に対応して出力機器に出力されるべき出力信号の値である出力期待値とを含む、評価条件を受付けるステップと、上記評価対象の入力信号の値が初期値である第1の入力値から第2の入力値に変化したことを評価対象の入力機器から受付けたことに基づいて、上記安全プログラムに従う演算により決定される出力信号の第1の出力値が上記出力期待値と一致しているか否かを判断するステップと、上記評価対象の入力信号の値が上記第2の入力値から上記第1の入力値に戻ったことを評価対象の入力機器から受付けたことに基づいて、上記安全プログラムに従う演算により決定される出力信号の第2の出力値が上記第1の出力値と一致しているか否かを判断するステップと、上記評価対象の入力信号に関連付けて、上記判断するステップでの判断結果を出力するステップとを備える。
ある局面において、設計された安全プログラムの機能安全を評価することができる。
実施の形態に従う評価システムの概要を機能的な面から説明する模式図である。 実施の形態に従う評価システムのシステム構成の一例を示す図である。 実施の形態に従う安全コントローラの装置構成の一例を示す模式図である。 実施の形態に従う情報処理装置のハードウェア構成の一例を示す模式図である。 実施の形態に従う評価システムのソフトウェア構成の一例を示す模式図である。 実施の形態に従う評価システムにおける機能構成の実装例を示す図である。 実施の形態に従う評価システムが対象とする安全プログラムの一例を示す模式図である。 実施の形態に従う安全プログラムに含まれる非常停止ファンクションブロックに設定されるリセット種別を説明するための図である。 実施の形態に従う評価システムが対象とする安全プログラムの別の一例を示す模式図である。 実施の形態に従う機能安全評価の手順の一例を説明するタイムチャートである。 実施の形態に従う評価システムにおいて評価条件を設定するためのユーザインターフェイス画面の一例を示す模式図である。 実施の形態に従う評価システムにおいて出力期待値のエクスポートおよびインポート処理を説明するための図である。 実施の形態に従う評価システムにおいて他のアプリケーションとの連携によって出力期待値を設定する処理を説明するための図である。 実施の形態に従う情報処理装置の画面列を示す図である。 実施の形態に従う情報処理装置の画面列を示す図である。 実施の形態に従う情報処理装置の画面列を示す図である。 実施の形態に従う情報処理装置の画面列を示す図である。 実施の形態に従う情報処理装置の画面列を示す図である。 実施の形態に従う評価システムにおいて実行される機能安全評価の評価結果の一例を示す模式図である。 実施の形態に従う評価システムにおいて実行される機能安全評価の評価結果の変形例を示す模式図である。 評価結果の印刷例を示す図である。 実施の形態に従う評価システムにおいて実行される機能安全評価の処理手順を示すフローチャートである。 実施の形態に従う評価システムにおいて実行される機能安全評価の処理手順を示すフローチャートである。 実施の形態に従う評価システムにおいて実行される機能安全評価の処理手順を示すフローチャートである。
以下、図面を参照しつつ、本発明に従う各実施の形態について説明する。以下の説明では、同一の部品および構成要素には同一の符号を付してある。それらの名称および機能も同じである。したがって、これらについての詳細な説明は繰り返さない。
<A.評価システムの概要>
まず、本実施の形態に従う評価システムの概要について説明する。評価システムは、任意の安全プログラムの機能安全を評価する機能を有する。
本明細書において、「安全プログラム」は、予め定められた条件(安全条件)が成立すると出力機器を安全が保たれるように動作させるためのプログラムであり、安全コントローラの処理を定義する命令群を意味する。より具体的には、安全プログラムは、1または複数の入力信号に対して、1または複数の出力信号の値を決定するための命令の組み合わせを含む。
安全プログラムは、安全コントローラの処理を定義するものであれば、どのような実体であってもよい。すなわち、安全プログラムは、1または複数のソースコードとして存在してもよいし、1または複数のオブジェクトコードとして存在してもよいし、安全コントローラのプロセッサで実行可能な形式(実行形式)であってもよい。
また、安全プログラムは、ファンクションブロックダイアグラム(FBD:Function Block Diagram)を用いて記述されていてもよい。あるいは、ラダーダイアグラム(LD:Ladder Diagram)、命令リスト(IL:Instruction List)、構造化テキスト(ST:Structured Text)、および、シーケンシャルファンクションチャート(SFC:Sequential Function Chart)のいずれか、あるいは、これらの組み合わせで記述されてもよい。さらにあるいは、JavaScript(登録商標)やC言語のような汎用的なプログラミング言語で記述されていてもよい。
なお、PLCプログラミングの国際基準IEC 61131−3(JIS B 3503)の普及活動と、ベンダに依存しない標準ファンクションブロックダイアグラムの仕様策定および認定を行う第三者機関であるPLCopen(登録商標)が、technical committee 5において公開している規約に準拠して安全プログラムを作成することが好ましい。
本実施の形態に従う安全コントローラにおける安全プログラムの機能安全の評価とは、対象の安全プログラムによる挙動がしかるべき安全規格に適合しているか否かを検証するものである。具体的には、安全プログラムに入力される変数の値の各組み合わせを入力し、当該入力に対する出力結果が、本来あるべき結果と一致するか否かを逐次判断する。安全コントローラは、このよう入力値の各組み合わせについての検証動作を自動的に実行することができる。
以下の説明では、変数プログラムとして記述された安全プログラムについて例示する。そのため、実際に安全コントローラと安全コンポーネントなどとの間で遣り取りされる信号(典型的には、入力信号および出力信号)を安全プログラム内では、それぞれ「変数」として取り扱うことになる。これらの現実の信号と安全プログラム内の対応する変数とは本質的に同じものであるため、以下の説明では、これらを「信号」と総称することもある。すなわち、本明細書において、「信号」は、現実に遣り取りされる電気信号に加えて、安全コントローラ上でその電気信号に割り当てられた値を参照する変数を含み得る。
図1は、本実施の形態に従う評価システム1の概要を機能的な面から説明する模式図である。図1を参照して、評価システム1は、その主たる機能として、プログラム実行機能2と、比較機能4とを含む。
プログラム実行機能2は、安全プログラム10に従って所定周期毎またはイベント発生毎に演算処理を実行し、その実行結果を出力する。プログラム実行機能2は、安全プログラム10の実行時には、入力機器である安全機器400に対する評価者40の操作に基づいて、1または複数の入力値を安全機器400から取得する。典型的には、複数種類の安全機器400が評価システム1に接続されている。安全機器400は、たとえば、人の存在や侵入を検知する検知機器、非常時の操作を受付ける入力機器、実際に機器を停止させる出力機器などを含む。入力値と当該入力値に対応する出力期待値との組み合わせを含む、評価条件20が予め用意されており、評価条件20に基づいて、操作すべき安全機器400が評価者40に提示される。あるいは、安全機器400は、ランダムな順番で評価者40によって操作される。プログラム実行機能2は、評価者40による安全機器400の操作によって取得した入力値に基づいて論理演算などを実行する。
比較機能4は、評価条件20に基づく入力値をプログラム実行機能2に入力したときに出力される出力値と、評価条件20において当該入力値に対応する出力期待値とを比較する。両者が一致する場合には、1次的な安全動作が健全であると判断する。
評価条件20には、入力値および当該入力値に対応する出力期待値が格納されるとともに、復帰動作の条件についても格納されている。本実施の形態に従う機能安全評価においては、設定されている復帰動作の条件に従って、先に入力された入力値が変化または維持される。そして、この入力値の変化または維持に伴う出力値の変化または維持が、予め設定されている復帰動作の条件に適合するか否かも判断される。
このように、本実施の形態においては、安全動作のトリガとなる入力値が安全機器400から与えられることでしかるべき安全動作が実行されるか否かの評価(1次的な安全動作の評価)に加えて、安全動作のトリガとなる入力値が元の値に復帰したときに、停止状態などが維持されるか、あるいは、停止状態などが通常の動作状態に復帰するかについても評価(2次的な安全動作の評価)がなされる。なお、2次的な安全動作の評価では、予め設定された復帰動作の条件に従う挙動であるか否かが判断される。
以上のような評価結果は、機能安全評価結果30として、画面上または紙面上に出力されてもよい。
<B.評価システム1のシステム構成>
次に、本実施の形態に従う評価システム1のシステム構成について説明する。図2は、評価システム1のシステム構成の一例を示す図である。
図2を参照して、評価システム1は、主として、安全コントローラ100と、情報処理装置200と、設備や機械などを制御する制御装置300とを含む。
制御装置300は、典型的には、PLC(プログラマブルコントローラ)などで構成され、制御対象から取得された入力データに関して、予め定められたユーザプログラムを実行し、それによって算出される出力データに応じて制御対象に指令を与える。図2に示す制御対象として、モータ510およびモータ510を駆動するドライバ512を例示する。制御装置300は、ユーザプログラムに従って、ある駆動開始条件が成立するとモータ510を回転駆動させるために、ドライバ512に駆動指令を出力する。また、ある駆動停止条件が成立するとモータ510の回転駆動を停止させるために、ドライバ512への駆動指令の出力を停止する。
このような制御装置300での制御対象の制御に加えて、典型的には、制御対象に関連する作業者などの安全を確保するなどのために、安全コントローラ100がさらに配置される。安全コントローラ100は、入力機器である安全機器400(セーフティセンサ、セーフティドアスイッチ、セーフティリミットスイッチ、非常停止スイッチ、セーフティスイッチなど)からの入力信号などの関連付けられる、予め定められた条件(安全条件)が成立すると、安全動作を遂行する。
図2に示す例では、ドライバ512への電力供給ライン上に出力機器の一例であるセーフティリレー514が配置されている。ここでいう出力機器とは、安全機器400に対する操作を受けて駆動される機器のこという。セーフティリレー514は、たとえば、電路の遮断するためのコンタクタを駆動する。また、モータ510により駆動される装置の周辺に危険エリアが設定されており、その危険エリアの周辺に安全機器400が配置されている。安全機器400は、たとえば、人の存在や侵入を検知する検知機器、非常時の操作を受付ける入力機器などを含む。セーフティリレー514は、安全機器400からの入力信号を受けることで駆動する。
一例として、非常停止スイッチとしての安全機器400が作業者による非常停止操作を受けると、安全コントローラ100は、非常停止スイッチからの停止信号に応答して、セーフティリレー514に制御信号を出力する。セーフティリレー514は、安全コントローラ100からの制御信号に応答して動作し、モータ510を駆動するドライバ512への電力供給を遮断する。その結果、モータ510が強制的に停止される。このようなモータ510の強制的な停止によって、作業者の安全を確保することができる。
他の例として、セーフティセンサとしての安全機器400は、作業者が危険エリアへ進入したことを検知する。作業者が危険エリアへ進入すると、セーフティセンサによりその作業者の進入が検知される。安全コントローラ100は、セーフティセンサからの検知信号に応答して、セーフティリレー514に制御信号を出力する。セーフティリレー514は、安全コントローラ100からの制御信号に応答して動作し、モータ510を駆動するドライバ512への電力供給を遮断する。その結果、モータ510が強制的に停止される。このようなモータ510の強制的な停止によって、危険エリアへ進入した作業者の安全を確保することができる。
図2に示す構成例においては、安全コントローラ100および制御装置300は、制御系ネットワークNW1を介して接続されており、互いが内部的に保持するデータを遣り取りすることができる。また、安全コントローラ100および制御装置300は、情報系ネットワークNW2を介して、情報処理装置200と接続されている。
情報処理装置200は、安全コントローラ100または制御装置300で実行されるプログラムの開発、プログラムの実行状態の確認、プログラムの変更などの機能を提供するためのサポートツールである。情報処理装置200は、たとえば、PC(Personal Computer)、タブレット端末、スマートフォン、または、その他の通信端末である。
<C.装置構成>
次に、本実施の形態に従う評価システム1を構成する各装置の装置構成について説明する。
(c1:安全コントローラ100)
図3は、本実施の形態に従う安全コントローラ100の装置構成の一例を示す模式図である。図3を参照して、安全コントローラ100は、プロセッサ102と、主メモリ104と、フラッシュメモリ106とを含む演算処理部108、および、各種インターフェイスからなる。
演算処理部108において、プロセッサ102は、フラッシュメモリ106に格納されているシステムプログラムおよび安全プログラムなどを主メモリ104に展開して実行することで、制御対象に応じた機能安全を実現する。
安全コントローラ100は、インターフェイスとして、制御系ネットワークインターフェイス110と、情報系ネットワークインターフェイス112と、フィールドバスインターフェイス114と、メモリカードインターフェイス116と、ローカル通信インターフェイス120と、内部バスインターフェイス122とを含む。
制御系ネットワークインターフェイス110は、制御系ネットワークNW1(図2参照)を介して他の装置との通信を仲介する。制御系ネットワークNW1としては、たとえば、EtherCAT(登録商標)などの定時性が保証されるネットワークプロトコルが好ましい。
情報系ネットワークインターフェイス112は、情報系ネットワークNW2(図2参照)を介して他の装置との通信を仲介する。情報系ネットワークNW2としては、たとえば、EtherNet/IP(登録商標)などの定時性が保証されるネットワークプロトコルが好ましい。
フィールドバスインターフェイス114は、図示しないフィールドバスを介して接続される入出力ユニットとの通信を仲介する。フィールドバスとしては、EtherCAT(登録商標)、EtherNet/IP(登録商標)、DeviceNet(登録商標)、CompoNet(登録商標)などの定時性が保証されるネットワークプロトコルが好ましい。
メモリカードインターフェイス116は、メモリカード118を装着可能に構成されており、メモリカード118からのデータ読出しおよびメモリカード118へのデータ書込みを行う。
ローカル通信インターフェイス120は、情報処理装置200または他の装置と直接接続するインターフェイスであり、たとえば、USB(Universal Serial Bus)などが用いられる。
内部バスインターフェイス122は、内部バスを介して安全コントローラ100に直接装着される入出力ユニットとの間の通信を仲介する。
(c2:情報処理装置200)
次に、情報処理装置200のハードウェア構成について例示する。図4は、本実施の形態に従う情報処理装置200のハードウェア構成の一例を示す模式図である。
情報処理装置200は、ノートPC、タブレット端末、スマートフォンなどの携帯端末であってもよいし、デスクトップ型のPCなどの非携帯端末であってもよい。
情報処理装置200は、主たるコンポーネントとして、オペレーティングシステム(OS:Operating System)および後述するような各種プログラムを実行するプロセッサ202と、プロセッサ202でのプログラム実行に必要なデータを格納するための作業領域を提供するメモリ204と、キーボードやマウスなどのユーザ操作を受付ける入力部206と、ディスプレイ、各種インジケータ、プリンタなどの処理結果を出力する出力部208と、外部ネットワークと通信するためのネットワークインターフェイス(I/F:Inter Face)210と、光学ドライブ212と、安全コントローラなどと通信するためのローカル通信インターフェイス(I/F)216と、補助記憶装置220とを含む。これらのコンポーネントは、内部バス218などを介してデータ通信可能に接続される。
情報処理装置200は、光学ドライブ212を有しており、コンピュータ読取可能なプログラムを非一過的に格納する光学記録媒体(たとえば、DVD(Digital Versatile Disc)など)のコンピュータ読取可能な記録媒体214から、各種プログラムを読取って補助記憶装置220などにインストールする。本実施の形態に従う機能安全の評価に係る処理は、安全コントローラに対する設定、プログラミング、デバッグなどの機能を提供する開発環境プログラムの一部として提供されてもよい。
情報処理装置200で実行される各種プログラムは、コンピュータ読取可能な記録媒体214を介してインストールされてもよいが、ネットワーク上のサーバ装置などからダウンロードする形でインストールするようにしてもよい。また、本実施の形態に従う機能安全の評価に係るプログラムは、OSが提供するモジュールの一部を利用する形で実現される場合もある。このような場合には、本実施の形態に従う機能安全の評価の実現に必要なすべてのソフトウェアモジュールが配布されるのではなく、その一部のみが配布されることになる。このような場合であっても、本発明の技術的範囲に包含されることは自明である。また、本実施の形態に従う機能安全の評価に係る処理が、他のプログラムまたはソフトウェアの一部として実装されてもよい。
補助記憶装置220は、たとえば、HDD(Hard Disk Drive)やSSD(Flash Solid State Drive)などで構成され、プロセッサ202で実行されるプログラムを格納する。具体的には、補助記憶装置220は、後述するような処理を提供するプログラムとして、安全プログラム(ソースプログラム)からプロセッサ202で実行可能なコード(実行モジュール)を生成するための実行モジュール生成プログラム222と、安全コントローラを模擬して安全プログラム(実行モジュール)を実行するためのエミュレータプログラム224と、後述するような機能安全を評価するための機能安全評価プログラム226とを含む。これらのプログラムが提供する機能および処理については、後述する。
また、補助記憶装置220は、機能安全の評価対象となる安全プログラム10および各種設定230を保持する。
図4には、汎用コンピュータがプログラムを実行することで、本実施の形態に従う安全プログラムの機能安全の評価を実現するが、このような構成に代えて、その全部または一部をハードワイヤード回路で実装してもよい。たとえば、プロセッサ202が上述の各種プログラムを実行することで提供される機能をASIC(Application Specific Integrated Circuit)やFPGA(Field-Programmable Gate Array)を用いて実装してもよい。
(c3:制御装置300)
本実施の形態に従う制御装置300は、図3に示す安全コントローラ100と同様の装置構成を有しているので、詳細な説明は繰り返さない。なお、安全コントローラ100は、プロセッサなどの二重化やセーフティ用のモジュールが採用されているが、一般的には、制御装置300にはそのような構成は採用されていない。また、制御装置300では、上述の安全プログラムではなく、ユーザプログラムが実行される。
<D.評価システムのソフトウェア構成>
次に、評価システム1のソフトウェア構成について例示する。図5は、本実施の形態に従う評価システム1のソフトウェア構成の一例を示す模式図である。図5を参照して、評価システム1は、そのソフトウェアコンポーネントとして、実行モジュール生成部152と、実行部154と、提示部156と、比較部158と、結果出力部160とを含む。
実行モジュール生成部152は、プロセッサ102が実行モジュール生成プログラム222(図4参照)を実行することで実現され、安全プログラム10から実行モジュールを生成する。実行モジュール生成部152は、典型的には、コンパイラ、アセンブラ、リンカなどの機能を含む。
実行部154は、実行モジュール生成部152により生成された実行プログラムを実行する。
提示部156は、予め用意された評価条件に従って、評価対象の安全機器400に対する指示内容を情報処理装置200に提示させる。好ましくは、情報処理装置200には、ノートPC、タブレット端末、スマートフォンなどの携帯端末が採用され、評価者40は、情報処理装置200を携帯しながら提示部156から受けた指示内容を確認することができる。評価者40は、情報処理装置200に表示された指示内容に従って安全機器400を操作する。当該指示内容としては、たとえば、非常停止スイッチに対するオン/オフ操作や、セーフティセンサの検知エリアに対する侵入指示などである。安全機器400は、評価者40の操作に応じた入力値を実行部154へ与える。比較部158は、機能安全を評価するための入力値を実行部154へ与えることで算出される出力値と、当該入力値に対応する出力期待値とを比較し、その比較結果を出力する。この比較処理については、後述するように複数種類存在する。結果出力部160は、比較部158からの比較結果を機能安全の評価出力として出力する。
このように、評価システム1は、1または複数の入力信号に基づいて、安全プログラム10に従う演算を実行することで、対応する1または複数の出力信号の値を決定する処理実行機能を有しており、この処理実行機能は、安全プログラム10を現実または仮想的に実行できる環境により実現できる。
<E.機能構成の実装例>
図6は、機能構成の実装例を示す図である。図6(A)には、安全コントローラ100および情報処理装置200で評価システムを実現する例が示され、図6(B)には、安全コントローラ100のみで評価システムを実現する例が示されている。
図6(A)に示すように、安全コントローラ100および情報処理装置200で評価システムを実現する場合には、安全コントローラ100と情報処理装置200とをデータ遣り取り可能に接続する。その上で、情報処理装置200上に比較部158および結果出力部160を実装するとともに、安全コントローラ上で対象の安全プログラム10を実行させることになる。
これに対応して、安全コントローラ100のみで評価システムを実現する場合には、安全コントローラ100上に、比較部158、結果出力部160とを実装することになる。このように、本実施の形態に従う各種機能は、様々な態様で実行され得る。
<F.安全プログラム>
次に、本実施の形態に従う評価システム1が対象とする安全プログラムの一例について説明する。本実施の形態においては、一例として、国際基準IEC 61131−3(JIS B 3503)に従うファンクションブロックダイアグラム(FBD:Function Block Diagram)を用いて記述する例を示す。
図7は、本実施の形態に従う評価システム1が対象とする安全プログラム10の一例を示す模式図である。図7に示す安全プログラム10は、典型的には、何らかのロボットが配置され、その周囲にある危険エリアを安全柵で囲むとともに、安全柵の一部に人が出入りできるようになっている設備などを想定したものである。人が危険エリアに出入りする部分には、ライトカーテンが設けられるとともに、危険エリアの周囲には、万が一の事態が発生したときに、ロボットを緊急停止できる非常停止ボタンが設けられているとする。
図7に示す安全プログラム10では、2つの非常停止ファンクションブロック(以下、「非常停止FB」とも記す。)12,14と、出力チェックファンクションブロック(以下、「出力チェックFB」とも記す。)18と、両者を接続するアンドブロック16とを含む。非常停止FB12は、非常停止ボタンからの入力信号を処理する論理であり、非常停止FB14は、ライトカーテンからの入力信号するための論理である。
本実施の形態に従う評価システム1が対象とする安全プログラム10では、変数プログラミングによりプログラムが記述されている。すなわち、非常停止ボタンやライトカーテンから出力される信号の各々は、予め定められた設定に従って、ユニークな内部変数に割り当てられている。安全プログラム10においては、各ファンクションブロックに対して、適切な内部変数を入力または出力に論理的に関連付けることで、目的の動作が実現される。
非常停止FB12,14の各々は、その入力として、ファンクションブロックの処理の有効/無効を設定する「Activate」と、非常停止に係る安全コンポーネントから出力される信号が入力される「S_EStopIn」と、リセット後のプログラム実行を開始するか否かを設定する信号が入力される「S_StartReset」と、安全動作後のリセット種別を設定する信号が入力される「S_AutoReset」と、安全動作後の動作をリセットする信号が入力される「Reset」との、合計5つを有している。
また、非常停止FB12,14の各々は、その出力として、ファンクションブロックが運転状態であるか否か示す信号を出力する「Ready」と、安全動作を指示する信号を出力する「S_EStopOut」と、何らかのエラーの発生を示す信号を出力する「Error」と、発生したエラーの内容に対応するコードを出力する「DiagCode」との、合計4つを有している。
本実施の形態において、安全プログラム10では、正常時における入力値および出力値を「TRUE」(「1」または「真」)とする。すなわち、何らかの条件にて安全動作を行う場合には、当該安全動作のトリガとなる入力値が「FALSE(「0」または「偽」)」に変化することで、出力値も「FALSE」となり、「FALSE」の出力値によって、対象の装置が安全動作を行う。
入力信号および出力信号の初期値として設定される「TRUE」は、安全プログラム10を実行する安全コントローラに供給される電源が喪失したときと同様のメモリの状態において示される値(すなわち、「FALSE」)とは異なる値が用いられる。すなわち、安全コントローラの不揮発性メモリに電荷などが保持されていない状態において示される値とは異なる値を用いることで、ハードウェアの故障などにおいて、安全動作が行われる、いわゆるフェールセーフを実現できる。
なお、正常時および非常時における入力値および出力値に対する値の割り付けは設計事項であり、どのようなものであってもよい。但し、上述したようなフェールセーフの観点などからは、正常時の入力値および出力値を「TRUE」とすることが好ましい。
図7に示す安全プログラム10において、非常停止FB12の入力「S_EStopIn」には、非常停止ボタンから出力される信号を示す変数「Var_EmergencyStop1」が割り当てられ、入力「Reset」には、安全コントローラに対するシステムリセットを示す変数「SystemReset」が割り当てられている。
非常停止FB14の入力「S_EStopIn」には、ライトカーテンから出力される信号を示す変数「Var_LightCurtain1」が割り当てられ、入力「Reset」には、安全コントローラに対するシステムリセットを示す変数「SystemReset」が割り当てられている。
非常停止FB12,14の「Activate」にはいずれも「TRUE」、すなわち処理の有効が設定されており、「S_StartReset」にはいずれも「TRUE」、すなわちリセット後のプログラム実行が設定されており、「S_AutoReset」にはいずれも「FALSE」、すなわちリセット種別として「マニュアルリセット」が設定されている。
非常停止FB12,14の各々は、基本的には、「S_EStopIn」に入力される変数が「FALSE」になると、「S_EStopOut」の出力値が「FALSE」に変化する。このような安全動作の後、設定されたリセット種別に従って、「S_EStopIn」に入力される変数、および/または、「Reset」に入力される変数の値に応じて、「S_EStopOut」の出力値をリセットまたは維持する。
非常停止FB12および非常停止FB14のそれぞれのからの「S_EStopOut」は、アンドブロック16に入力され、両者の論理積が出力チェックFB18へ入力される。
出力チェックFB18は、安全動作を司る安全コンポーネントが指令どおりに機能しているかをチェックする論理である。出力チェックFB18は、その入力として、ファンクションブロックの処理の有効/無効を設定する「Activate」と、安全コンポーネントの動作指令を示す信号が入力される「S_OutControl」と、安全コンポーネントの状態値を示す信号が入力される「S_EDM1」および「S_EDM2」と、健全性の監視周期を示す値が入力される「MonitoringTime」と、リセット後のプログラム実行を開始するか否かを設定する信号が入力される「S_StartReset」と、安全動作後の状態値をリセットする信号が入力される「Reset」との、合計7つを有している。
また、出力チェックFB18は、その出力として、ファンクションブロックが運転状態であるか否か示す信号を出力する「Ready」と、安全コンポーネントに対する安全動作を指示する最終的な信号を出力する「S_EDM_Out」と、何らかのエラーの発生を示す信号を出力する「Error」と、発生したエラーの内容に対応するコードを出力する「DiagCode」との、合計4つを有している。
出力チェックFB18は、「S_OutControl」への入力値に応じて、「S_EDM_Out」から対象の安全コンポーネントへ与える指令値を変化させるとともに、安全コンポーネントの状態値が指令値と一致しているか否かを判断する。これによって、たとえば、安全リレーの断線などによる不動、および、溶着などによる常時動作などの不具合を検出することができる。
図7に示す安全プログラム10は、簡単な論理の一例を示すが、より多くの入力信号が与えられえるとともに、より多くの安全コンポーネントに対して指令値を与えるようにしてもよい。
<G.リセット種別>
次に、図7に示す安全プログラム10に含まれる非常停止FBに設定されるリセット種別について説明する。上述したように、非常停止FBに、一例として、「オートリセット」および「マニュアルリセット」を選択的に設定できるようになっている。
「オートリセット」は、たとえば、ライトカーテンなどの安全コンポーネントからの入力信号が「FALSE」になっている間だけ安全動作を行うような場合などに好適である。たとえば、人が危険エリアに侵入している間だけ装置を停止させ、それ以外の状態では装置を動作させるような状況に用いることができる。このような「オートリセット」を設定することで、作業者に対する安全を確保しつつ、タクトタイムへの影響を低減できる。
「マニュアルリセット」は、一般的なリセット種別であり、非常停止ボタンなどの安全コンポーネントが操作されて、安全動作が行われた後、リセットには所定の復帰操作を必要とするような場合に好適である。たとえば、非常停止ボタンが操作されて、装置が作業途中で停止した場合などには、当該装置を初期位置に戻した上で、リセットすることが好ましい。
このように、リセット種別としては、入力信号の値が「FALSE」(第2の入力値)から「TRUE」(第1の入力値)に戻ったときに、対応する出力信号の出力値を連動して元の値に戻すことを示す「オートリセット」(第1の種別)と、予め定められたリセット条件が成立するまでは出力信号の出力値を元の値に戻さないことを示す「マニュアルリセット」(第2の種別)とを含む。
図8は、本実施の形態に従う安全プログラム10に含まれる非常停止FBに設定されるリセット種別を説明するための図である。
図8(A)は、リセット種別として「オートリセット」が設定されている場合を示し、図8(B)は、リセット種別として「マニュアルリセット」が設定されている場合を示す。
図8(A)に示す「オートリセット」では、非常停止FBの入力「S_EStopIn」が「TRUE」から「FALSE」に変化すると、非常停止FBの出力「S_EStopOut」が「TRUE」から「FALSE」に変化する。この「S_EStopOut」の変化によって、安全動作が行われる。その後、非常停止FBの入力「S_EStopIn」が「FALSE」から「TRUE」に復帰すると、リセット動作も併せて実行される。すなわち、非常停止FBの入力「S_EStopIn」に連動して、非常停止FBの出力「S_EStopOut」も変化することになる。
本実施の形態に従う評価システム1では、「オートリセット」が設定されている出力変数については、対応する入力変数の値の変化に連動して、その値が変化することを確認する。
図8(B)に示す「マニュアルリセット」では、非常停止FBの入力「S_EStopIn」が「TRUE」から「FALSE」に変化して、非常停止FBの出力「S_EStopOut」が「TRUE」から「FALSE」に変化した後、非常停止FBの入力「S_EStopIn」が「FALSE」から「TRUE」に復帰したとしても、非常停止FBの出力「S_EStopOut」が「FALSE」に維持される。この状態において、非常停止FBの入力「Reset」が「FALSE」から「TRUE」に変化することで、はじめて非常停止FBの出力「S_EStopOut」は「FALSE」から「TRUE」に変化する。
本実施の形態に従う評価システム1では、「マニュアルリセット」が設定されている出力変数については、安全動作の実行後、対応する入力変数の値が変化したとしても、その変化後の値が維持されること、および、リセットに係る変数が入力されたときには、その値が初期値にリセットされること、を確認する。
<H.機能安全評価の全体手順>
次に、本実施の形態に従う評価システム1が提供する機能安全評価の全体手順について説明する。
図9は、本実施の形態に従う評価システム1が対象とする安全プログラム10の別の一例を示す模式図である。図10は、本実施の形態に従う機能安全評価の手順の一例を説明するタイムチャートである。図10には、図9に示す安全プログラム10を対象に機能安全評価を適用した場合の手順を時系列に示す。図9に示す安全プログラム10において、非常停止FB12の「S_EStopIn」に入力される変数を「入力変数1」とし、非常停止FB14の「S_EStopIn」に入力される変数を「入力変数2」とし、非常停止FB12,14の「Reset」に共通して入力される変数を「リセット変数」とし、て、非常停止FB12の「S_EStopOut」から出力される変数を「出力変数1」とする。なお、非常停止FB14の「S_EStopOut」から出力される変数については、図10には示していない。
図10(A)は、出力変数に対して「オートリセット」が設定されている例を示し、図10(B)は、出力変数に対して「マニュアルリセット」が設定されている例を示す。
本実施の形態に従う機能安全評価は、典型的には、3つのフェーズ(初期化フェーズ、遮断フェーズ、復帰フェーズ)を含む。初期化フェーズでは、すべての入力変数を予め設定された初期値に設定したときに、出力変数がしかるべき初期状態になっていることを確認する。遮断フェーズでは、評価者による安全機器400の操作によって入力変数が安全動作を示す値に変化したときに、対応する出力変数がしかるべき値に変化していること、および/または、対応する出力変数が変化していないこと、を確認する。復帰フェーズでは、評価者による安全機器400の操作によって入力変数および/またはリセット変数がリセット動作を示す値に変化したときに、設定されたリセット種別でリセットされることを確認する。
図10に示す機能安全評価の手順において、出力変数1は、期待値として「TRUE」が設定されている変数であり、入力変数1に対して連動することが予定されている。これに対して、出力変数2は、期待値として「FALSE」が設定されている変数であり、入力変数1に対して連動しないことが予定されている。以下に説明する判断処理は、図1に示す比較機能4および図5に示す比較部158によって実行される。
まず、図10(A)を参照して、リセット種別として「オートリセット」が設定されている場合の機能安全評価の手順について説明する。
初期化フェーズにおいて、評価対象の入力信号の値を初期値(第1の入力値)に設定するとともに、安全プログラム10に従う演算処理によって決定される評価対象の出力信号の値(第4の出力値)が初期値と一致しているか否かが判断される。
具体的には、登録されているすべての入力変数を「TRUE」にセットする(符号M2)。併せて、リセット変数を一旦「TRUE」にセットした後(符号M4)、「FALSE」にセットする(符号M6)。この変化に対応して、登録されているすべての出力変数が「TRUE」であることを確認する(符号M8)。いずれかの出力変数が「FALSE」であれば、何らかの異常があると判断される(符号M10)。
続く遮断フェーズにおいて、評価者による安全機器400の操作に基づいて評価対象の入力信号の値を初期値である「TRUE」(第1の入力値)から「FALSE」(第2の入力値)に変化させるとともに、安全プログラム10に従う演算処理によって決定される評価対象の出力信号の値(第1の出力値)が対応する出力期待値と一致しているか否かが判断される。
具体的には、入力変数1は、評価者による安全機器400の操作に基づいて「TRUE」から「FALSE」に変化する(符号M12)。この変化に対応して、期待値設定がチェックされている(入力変数1に対する連動することが予定されている)出力変数1が「FALSE」であることを確認する(符号M14)。出力変数1が「TRUE」であれば、入力変数1に連動しておらず、何らかの異常があると判断される(符号M16)。一方、期待値設定がチェックされていない(入力変数1に対する連動しないことが予定されている)出力変数2が「TRUE」であることを確認する(符号M18)。出力変数2が「FALSE」であれば、入力変数1と連動しており、何らかの異常があると判断される(符号M20)。
最終の復帰フェーズにおいて、評価者による安全機器400の操作に基づいて評価対象の入力信号の値を「FALSE」(第2の入力値)から「TRUE」(第1の入力値)に戻すとともに、安全プログラム10に従う演算処理によって決定される評価対象の出力信号の値(第2の出力値)が遮断フェーズでの値(第1の出力値)と一致しているか否かが判断される。
具体的には、入力変数1は、評価者による安全機器400の操作に基づいて「FALSE」から「TRUE」に変化する(符号M22)。このとき、リセット変数は「FALSE」のまま維持される。この変化に対応して、登録されているすべての出力変数が「TRUE」であることを確認する(符号M24,M28)。いずれかの出力変数が「FALSE」であれば、何らかの異常があると判断される(符号M26,M30)。
このように、「オートリセット」(第1の種別)が設定されている場合には、入力信号の値を「FALSE」から「TRUE」に戻したときの評価対象の出力信号の出力値が「FALSE」(第1の出力値)とは異なっているときに正常と判断する。
次に、図10(B)を参照して、リセット種別として「マニュアルリセット」が設定されている場合の機能安全評価の手順について説明する。「マニュアルリセット」が設定されている場合の機能安全評価の手順のうち、初期化フェーズおよび遮断フェーズについては、図10(A)に示す「オートリセット」の初期化フェーズおよび遮断フェーズとそれぞれ同一であるので、その説明は繰り返さない。
復帰フェーズにおいて、入力変数1は、評価者による安全機器400の操作に基づいて、「FALSE」から「TRUE」に変化する(符号M32)。このとき、リセット変数は「FALSE」のまま維持される。この変化に対応して、この変化に対応して、期待値設定がチェックされている(入力変数1に対する連動することが予定されている)出力変数1が「FALSE」であることを確認する(符号M36)。出力変数1が「TRUE」に変化すれば、リセット変数の変化を待たずに入力変数1に連動したことになり、何らかの異常があると判断される(符号M38)。
続いて、リセット変数を一旦「TRUE」にセットした後(符号M40)、「FALSE」にセットする(符号M42)。この変化に対応して、登録されているすべての出力変数が「TRUE」であることを確認する(符号M44)。いずれかの出力変数が「FALSE」であれば、何らかの異常があると判断される(符号M46)。
このように、「マニュアルリセット」(第2の種別)が設定されている場合には、入力信号の値を「FALSE」から「TRUE」に戻したときの評価対象の出力信号の出力値が「FALSE」(第1の出力値)と一致しているときに正常と判断する。その上で、リセット信号を有効化するとともに、安全プログラム10に従う演算処理によって決定される評価対象の出力信号の値(第3の出力値)が遮断フェーズでの値(第1の出力値)と一致しているか否かが判断される。
<I.評価条件の設定>
本実施の形態に従う評価システム1は、図10に示すような機能安全評価を評価者による安全機器400の操作に従って実行する。以下、機能安全評価の実行に必要な評価条件20の設定方法などについて説明する。
図11は、本実施の形態に従う評価システム1において評価条件20を設定するためのユーザインターフェイス画面の一例を示す模式図である。評価システム1は、図11に示すような設定画面600を表示するとともに、設定画面600に対するユーザからの設定を受付ける。
より具体的には、設定画面600は、機能安全評価の実行を指示するRUNボタン602と、機能安全評価の実行結果を表示する表示ボタン604と、評価対象の変数を登録するための変数登録ボタン606と、リセット変数に用いられる変数を設定するリセット変数設定エリア608と、入力変数に係る設定値を表示する入力設定表示エリア610と、出力変数に係る設定値を表示する出力設定表示エリア620と、入力変数に対する出力変数の期待値(以下、「出力期待値」とも称す。)を設定する期待値設定エリア630とを含む。
リセット変数設定エリア608には、評価対象の安全プログラムに含まれるファンクションブロックにリセット信号として共通して入力される変数が設定される。すなわち、評価条件20は、オートリセットの予め定められたリセット条件としてのリセット信号の設定を含む。なお、図11に示す設定画面600では、単一のリセット信号が共通に入力されるようになっているが、ファンクションブロック毎に別々のリセット信号を用いるようにしてもよい。
入力設定表示エリア610では、対象の安全プログラムに含まれる入力変数に係る情報の登録および表示が可能になっている。出力設定表示エリア620では、対象の安全プログラムに含まれる出力変数に係る情報の登録および表示が可能になっている。入力設定表示エリア610および出力設定表示エリア620での変数登録については、変数登録ボタン606が選択されることで有効化される。
入力設定表示エリア610は、予め設定されている入力変数の変数名を表示する変数名表示欄612と、対応する入力変数についてのコメントを表示するコメント表示欄614と、対応する入力変数についてのリセット種別を表示するリセット種別表示欄616と、対応する入力変数についての入力タイプを表示する入力タイプ表示欄618とを含む。
出力設定表示エリア620は、予め設定されている出力変数の変数名を表示する変数名表示欄622と、対応する出力変数についてのコメントを表示するコメント表示欄624とを含む。
期待値設定エリア630は、本実施の形態に従う機能安全評価に必要な評価条件を受付ける。すなわち、期待値設定エリア630の各行が機能安全評価の各条件となる。具体的には、期待値設定エリア630は、対象となる入力変数を表示する入力変数表示エリア634と、対応する入力変数についてのコメントを表示するコメント表示欄636と、対応する入力変数についてのリセット種別を表示するリセット種別表示欄638と、対応する入力変数についての各出力変数の出力期待値を設定する期待値設定欄640とを含む。
期待値設定欄640は、1つの入力変数に対して、対象となる出力変数の数だけ出力値(出力期待値)が設定されるようになっている。図11に示す設定画面600の例では、出力設定表示エリア620に表示されている4つの出力変数に対応して、4つの欄が設けられており、各欄に出力期待値を設定できるようになっている。ユーザは、事前の安全設計に基づいて、期待値設定欄640にしかるべき値を設定することになる。なお、図11の期待値設定欄640において、「0」は、対応の入力変数が「FALSE」になった場合に、対応の出力変数も「FALSE」へ変化することを意味し、「1」は、対応の入力変数が「FALSE」になった場合であっても、対応の出力変数が「TRUE」を維持することを意味する。
たとえば、ある非常停止ボタンAが危険エリアAに配置されている装置Aの安全動作をトリガするものであり場合には、当該非常停止ボタンAからの入力信号に対応する入力変数に関連付けて、危険エリアAにある装置Aの非常停止を司る安全リレーへの指令を示す出力変数については、安全動作を示す「FALSE」、つまり「0」が出力期待値として設定される。一方で、非常停止ボタンAは危険エリアBに向けられるものではなく、危険エリアBには別の非常停止ボタンBが設けられる場合には、非常停止ボタンAに対する操作によって、危険エリアBの装置Bが停止することは予定されていない。そのため、当該非常停止ボタンAからの入力信号に対応する入力変数に関連付けて、危険エリアBにある装置Bの非常停止を司る安全リレーへの指令を示す出力変数については、安全動作しないことを示す「TRUE」、つまり「1」が出力期待値として設定される。このように、期待値設定欄640において、入力変数の各々とそれぞれの出力変数との間の関係が設定される。
期待値設定エリア630は、各入力変数を機能安全評価の対象とするか否かを設定するためのチェックボックス632を含む。本実施の形態に従う機能安全評価においては、対応するチェックボックス632がチェックされた入力変数の値(入力値)を変化させるとともに、各出力変数の値が期待値設定欄640に設定された期待値と一致しているか否かが判断される。
図11に示すように、期待値設定欄640は、評価対象の入力信号と、評価対象の出力信号と、評価対象の入力信号の値の変化に対応して出力されるべき評価対象の出力信号の値である出力期待値とを含む、評価条件20を受付ける。通常、評価条件20としては、入力信号と、出力信号と、出力期待値との組が複数含まれ得る。
図11を参照して説明したように、本実施の形態に従う評価システム1は、評価対象の入力信号と、評価対象の出力信号と、評価対象の入力信号の値の変化に対応して出力されるべき評価対象の出力信号の値である出力期待値とを含む、評価条件を受付ける。
次に、評価条件の一部である、図11に示す設定画面600に含まれる期待値設定欄640への出力期待値の設定を容易化する機能の一例について説明する。
本実施の形態に従う評価システム1は、出力期待値の設定および再利用を容易化できるように、一般的なフォーマット(典型的には、CSV(Comma-Separated Values)形式やテキスト形式)に従って記述された出力期待値のデータの外部読み込みが可能である。また、予め設定した出力期待値を当該一般的なフォーマットのデータとして出力することも可能である。
図12は、本実施の形態に従う評価システムにおいて出力期待値のエクスポートおよびインポート処理を説明するための図である。たとえば、ユーザが設定画面600のエクスポートボタン642(図11)を選択すると、設定画面600の期待値設定欄640に設定されている出力期待値の一覧がCSV形式のデータ(外部出力データ646)として外部出力/保存される。
また、ユーザが設定画面600のインポートボタン644(図11)を選択すると、予め用意されていたCSV形式のデータ(外部出力データ646)が読み込まれ、設定画面600の期待値設定欄640に各値が設定される。
このように、出力期待値が一般的なフォーマットのデータとして外部出力および外部読み込みできる機能が実装されることで、他のアプリケーションなどとの連携も強化され、機能安全の評価をより迅速かつ容易に行うことができる。
図12に示すファイルを用いた他のアプリケーションとの連携に加えて、他のアプリケーションで設定した出力期待値を直接用いるようにしてもよい。
図13は、本実施の形態に従う評価システムにおいて他のアプリケーションとの連携によって出力期待値を設定する処理を説明するための図である。図13を参照して、たとえば、表計算アプリケーション700上で期待値設定欄640に設定する出力期待値を示す表を作成し、この作成した対象となる範囲702を選択およびコピーし、設定画面600の期待値設定欄640上でペースト(いわゆる、コピー&ペースト操作)を行うことで、ユーザが所望する出力期待値を設定できる。
なお、図13には、典型例として、表計算アプリケーションとの連携について例示したが、これに限られることなく、コピー&ペースト操作が可能なアプリケーションであれば、どのようなアプリケーションとも連携できる。
このように、他のアプリケーションとの連携により、出力期待値をより容易に設定できる。
<J.機能安全評価の処理手順>
上述のように、情報処理装置200は、安全プログラム10の機能安全の評価時において安全機器400に対して行うべき操作内容を順次提示する。評価者が提示された操作内容に従って安全機器400を順次操作することで、情報処理装置200は、安全プログラム10の機能安全の評価を順次実行する。
以下では、図14〜図18を参照して、安全プログラム10の機能安全の評価過程における情報処理装置200の画面遷移の一例について説明する。図14〜図18は、情報処理装置200の画面遷移を時系列に示す図である。
図14を参照して、評価実行画面650は、対象となった入力変数の変数名を表示する変数名表示欄654と、対応する入力変数についてのコメントを表示するコメント表示欄656と、対応する入力変数についてのリセット種別を表示するリセット種別表示欄658と、対応する入力変数についての出力期待値の組み合わせを表示する期待値設定欄660と、評価結果を示す結果表示欄672と、評価結果に対応するコメントを表示する結果コメント表示欄674と、評価実行日時を示す日時表示欄676とを含む。
典型的には、安全コントローラ100は、変数名表示欄654に表示されている入力変数の表示順に従って評価処理を実行する。図14の例では、安全コントローラ100は、入力変数「ZoneA_EmergencyStop」が割り当てられている「No1」の評価項目を最初の評価対象として選択する。好ましくは、評価対象として選択されている評価項目は他の評価項目とは異なる態様で表示される。図14の例では、評価対象として選択されている評価項目がハッチングで示されているが、色を変えるなどの他の態様で示されてもよい。
次に、図15に示されるように、情報処理装置200は、入力変数「ZoneA_EmergencyStop」が割り当てられている安全機器400に対する操作内容680を表示する。操作内容680は、たとえば、操作対象の安全機器400の識別情報と、操作対象の安全機器400に対する操作手順と、当該安全機器400に対するリセット種別とを含む。操作対象の安全機器400の識別情報は、入力変数名で示されてもよいし、安全機器400の名称で示されてもよい。図15の例では、非常停止ボタンが操作対象として示されており、非常停止ボタンを「遮断」することで、入力変数「ZoneA_EmergencyStop」を「FALSE」にする操作手順が示されている。このように、安全コントローラ100は、評価対象の入力信号の値を「TRUE」(第1の入力値)から「FALSE」(第2の入力値)に変化させるべきときに、当該入力信号の値を「TRUE」から「FALSE」に変化させるための操作内容680を情報処理装置200に表示させる。
操作内容680のOKボタンが押下されると、安全コントローラ100は、入力変数「ZoneA_EmergencyStop」を安全プログラムに入力する。非常停止ボタンが押下されている場合には、入力変数「ZoneA_EmergencyStop」が「FALSE」に設定される。安全コントローラ100は、演算結果として安全プログラムから出力される出力信号を取得する。安全コントローラ100は、当該出力信号の値と、当該出力信号の出力期待値とを比較する。その後、安全コントローラ100は、評価処理を次のステップに進める。
次に、図16に示されるように、情報処理装置200は、入力変数「ZoneA_EmergencyStop」が割り当てられている安全機器400に対する操作内容681を表示する。図16の例では、非常停止ボタンを「復帰」することで、入力変数「ZoneA_EmergencyStop」を「TRUE」にするように指示されている。このように、安全コントローラ100は、評価対象の入力信号の値を「FALSE」(第2の入力値)から「TRUE」(第1の入力値)に変化させるべきときに、当該入力信号の値を「FALSE」から「TRUE」に変化させるための操作内容680を情報処理装置200に表示させる。
操作内容681のOKボタンが押下されると、安全コントローラ100は、入力変数「ZoneA_EmergencyStop」を安全プログラムに入力する。非常停止ボタンの押下状態が解除されている場合には、入力変数「ZoneA_EmergencyStop」が「TURE」に設定される。安全コントローラ100は、演算結果として安全プログラムから各出力機器に出力される出力信号を取得する。上述のように、リセット種別が「Manual」に設定されている場合には、安全コントローラ100は、出力変数の値が変化しないことを確認する。その後、安全コントローラ100は、評価処理を次のステップに進める。
次に、図17に示されるように、安全コントローラ100は、評価処理が完了した「No1」の評価項目についての評価結果を結果表示欄672に表示するとともに、当該評価項目についての評価日時を日時表示欄676に表示する。図17の例では、結果表示欄672には合格したことを示す「Passed」が表示され、日時表示欄676には「2017/01/21/10:04:24」が表示されている。その後、安全コントローラ100は、入力変数「ZoneA_Reset」が割り当てられている「No2」の評価項目を次の評価対象として選択する。このとき、情報処理装置200は、「No2」の評価項目の表示態様を他の評価項目とは異なる態様で表示する。これにより、評価者は、現在の評価対象の評価項目を容易に把握することできる。
次に、図18に示されるように、情報処理装置200は、入力変数「ZoneA_Reset」が割り当てられている安全機器400に対する操作内容682を表示する。図18の例では、リセットボタンが操作対象として示されており、リセットボタンを操作することで、入力変数「ZoneA_Reset」を「FALSE」→「TRUE」→「FALSE」に変化するように指示されている。
操作内容682のOKボタンが押下されると、安全コントローラ100は、入力変数「ZoneA_Reset」を安全プログラムに入力する。リセットボタンが押下された場合には、入力変数「ZoneA_Reset」が「FALSE」→「TRUE」→「FALSE」の順に変化する。安全コントローラ100は、演算結果として安全プログラムから各出力機器に出力される出力信号を取得する。安全コントローラ100は、各出力機器に出力される出力信号の値と、期待値設定欄660の「No2」に示される各出力期待値とを比較する。その後、安全コントローラ100は、評価処理を次のステップに進める。
残りの「No3」〜「No7」に示される評価項目についても評価処理が順次実行される。このように、安全コントローラ100は、評価実行画面650に予め設定された順序に従って、操作すべき安全機器400の操作内容を情報処理装置200に順次表示させるとともに、評価者による安全機器400の操作に応じて順次評価処理を実行する。
なお、上述では、評価処理が評価実行画面650に設定された順序で順次実行される例について説明を行ったが、評価処理は、ランダムな順番で実行されてもよい。この場合、評価者は、自身で決定した順序で安全機器400を操作する。安全コントローラ100は、安全機器400が操作される度に安全プログラムから出力信号を取得し、当該出力信号の値と、操作された安全機器400に関連付けられている出力期待値とを比較する。
また、上述では、操作内容680〜682のOKボタンが押下されることで、評価処理が次のステップに進められる例について説明を行ったが、安全コントローラ100は、操作対象の安全機器400からの入力信号を監視し、当該入力信号が変化したことに基づいて評価処理を自動で次のステップに進めてもよい。
<K.機能安全評価の評価結果>
次に、図14〜図18に示す機能安全評価の評価結果について説明する。
本実施の形態に従う評価システム1は、評価対象の入力信号に関連付けて、機能安全評価の評価結果を出力する機能を有している。
図19は、本実施の形態に従う評価システム1において実行される機能安全評価の評価結果の一例を示す模式図である。図19を参照して、評価結果画面651は、対象となった入力変数の変数名を表示する変数名表示欄654と、対応する入力変数についてのコメントを表示するコメント表示欄656と、対応する入力変数についてのリセット種別を表示するリセット種別表示欄658と、対応する入力変数についての出力期待値の組み合わせを表示する期待値設定欄660と、評価結果を示す結果表示欄672と、評価結果に対応するコメントを表示する結果コメント表示欄674と、評価実行日時を示す日時表示欄676とを含む。
結果表示欄672には、上述の評価によって、合格したものについては「Passed」が表示され、何らかのエラーが生じたものについては「Failed」が表示される。さらに、何らかのエラーが生じた場合には、期待値設定欄660において、そのエラーが生じた出力変数の表示態様が異なったものとされる。結果コメント表示欄674には、そのエラーに対応するエラーメッセージが表示される。すなわち、いずれのフェーズにおいて異常であると判断されたのかを特定する情報が判断結果に含められる。また、異常であると判断されたフェーズに応じたコメントが判断結果に含められる。
図19に示すように、一般的には、評価条件20は、評価対象の入力信号と、評価対象の出力信号と、出力期待値とからなる組を複数含む。そして、上述したような評価処理は各組について実行される。いずれの組の入力信号について異常であると判断されたのかを特定する情報が判断結果に含められる。
また、図19に示すように、一般的には、評価条件20は、評価対象の入力信号と、複数の評価対象の出力信号と、それぞれ対応する複数の出力期待値とからなる組を含む。そして、上述したような、評価処理は複数の出力期待値の各々について実行される。いずれの出力信号について異常であると判断されたのかを特定する情報が判断結果に含められる。
このような出力期待値を基準として、いずれかの出力変数にエラーが生じると、当該エラーの内容が出力期待値と対応付けて表示されることで、安全プログラムの機能安全評価をより効率的に行うことができる。
図20は、図19に示される評価結果画面651の変形例を示す図である。図20に示されるように、評価結果画面651は、評価者の記入欄673をさらに含んでもよい。記入欄673には、評価者が目視で出力機器の動作態様を確認した結果が入力される。図20の例では、記入欄673は、チェックボックスとして示されている。安全機器400に対する操作に対して出力機器が正常に動作している場合には、評価者は、チェックボックスにチェックを入れる。そうでない場合には、評価者は、チェックボックスにチェックを入れない。
なお、記入欄673は、チェックボックスとは異なる態様で示されてもよい。一例として、記入欄673は、テキスト入力領域として示されてもよいし、「Passed」および「Failed」のいずれかを選択可能なラジオボタンとして示されてもよい。
<L.機能安全評価の印刷結果>
図20に示される評価結果画面651におけるエクスポートボタン690が押下された場合には、評価結果がファイル出力される。図20に示される評価結果画面651における印刷ボタン691が押下された場合には、評価結果が印刷される。図21は、評価結果の印刷例を示す図である。
図21に示されるように、印刷結果651Aは、図20の評価結果画面651に示される内容を含む。より具体的には、印刷結果651Aは、対象となった入力変数の変数名を表示する変数名欄654Aと、対応する入力変数についてのコメントを表示するコメント欄656Aと、対応する入力変数についてのリセット種別を表示するリセット種別欄658Aと、対応する入力変数についての出力期待値の組み合わせを表示する期待値設定欄660Aと、評価結果を示す結果欄672Aと、評価者の記入欄673Aと、評価結果に対応するコメントを表示する結果コメント欄674Aと、評価実行日時を示す日時欄676Aとを含む。また、印刷結果651Aは、評価実施日覧695と、評価者の名前記入欄696と、評価者のサイン記入欄697とを含む。
印刷結果651Aの変数名欄654Aは、評価結果画面651の変数名表示欄654に対応する。印刷結果651Aのコメント欄656Aは、評価結果画面651のコメント表示欄656に対応する。印刷結果651Aのリセット種別欄658Aは、評価結果画面651のリセット種別表示欄658に対応する。印刷結果651Aの期待値設定欄660Aは、評価結果画面651の期待値設定欄660に対応する。印刷結果651Aの結果欄672Aは、評価結果画面651の結果表示欄672に対応する。印刷結果651Aの記入欄673Aは、評価結果画面651の記入欄673に対応する。印刷結果651Aの結果コメント欄674Aは、評価結果画面651の結果コメント表示欄674に対応する。印刷結果651Aの日時欄676Aは、評価結果画面651の日時表示欄676に対応する。
<M.機能安全評価の処理手順>
次に、本実施の形態に従う機能安全評価の処理手順について説明する。図11に示すような設定画面600において、評価対象の入力変数と対応する出力期待値との組が設定されると、以下のような手順に従って、対象の安全プログラムの機能安全が評価される。
図22〜図24は、本実施の形態に従う評価システム1において実行される機能安全評価の処理手順を示すフローチャートである。図22〜図24に示す各ステップは、典型的にはプロセッサ102(図3参照)が機能安全評価プログラムを実行することで実現される。なお、図11に示す評価条件が予め設定されているとする。
図22〜図24を参照して、安全コントローラの動作モードが運転モードであるか否かを判断する(ステップS10)。プロセッサ102は、安全コントローラの動作モードが運転モードである場合には(ステップS10においてYES)、制御をステップS12に切り替える。そうでない場合には(ステップS10においてNO)、プロセッサ102は、ステップS10の処理を再び実行する。
プロセッサ102は、リセット変数を「TRUE」に一旦セットした後、「FALSE」に戻し、評価対象である1または複数の出力信号の値を取得する(ステップS12)。その後、評価対象である1または複数の出力変数の値がいずれも「TRUE」であるか否かが判断される(ステップS14)。
評価対象であるいずれかの出力変数の値が「FALSE」である場合(ステップS14においてNOの場合)には、「FALSE」である出力変数を特定するとともに、初期化フェーズでのエラーメッセージを出力する(ステップS16)。この場合、以降の機能安全評価の処理は中止される。初期化フェーズでのエラーメッセージとしては、たとえば、「出力変数(XXX)がリセット時にFALSEとなっています」といったものが用いられる。
評価対象であるいずれの出力変数の値も「TRUE」である場合(ステップS14においてYESの場合)には、以下の遮断フェーズおよび復帰フェーズの処理が実行される。期待値設定エリア630(評価条件20)に設定される入力変数毎に、遮断フェーズおよび復帰フェーズの処理が繰り返される。
具体的には、まず、期待値設定エリア630に設定されている入力変数のうち、対応するチェックボックス632がチェックされている入力変数の1つを選択する(ステップS20)。そして、プロセッサ102は、選択されている入力変数が割り当てられている安全機器400を操作して入力変数の値を「TRUE」から「FALSE」にするように情報処理装置200に通知する。
その後、プロセッサ102は、選択されている入力変数が「TRUE」から「FALSE」に変化したか否かを判断する(ステップS22)。選択されている入力変数が「TRUE」から「FALSE」に変化した場合(ステップS22においてYES)、プロセッサ102は、制御をステップS24に切り替える。そうでない場合には(ステップS22においてNO)、プロセッサ102は、ステップS22の処理を再び実行する。
その後、プロセッサ102は、評価対象である1または複数の出力変数の値を取得する(ステップS24)。つまり、選択されている入力変数が遮断される。続いて、選択されている入力変数に対応する、評価対象のそれぞれの出力変数についての出力期待値と、取得したそれぞれの出力変数の値とが一致するか否かを判断する(ステップS26)。すなわち、出力期待値として「FALSE」が設定されている出力変数については、取得された値が「FALSE」であるか否かが判断され、出力期待値として「TRUE」が設定されている出力変数については、取得された値が「TRUE」であるか否かが判断される。
いずれかの出力変数について取得した値と出力期待値とが一致しない場合(ステップS26においてNOの場合)には、当該出力期待値と一致しない出力変数を特定するとともに、遮断フェーズでのエラーメッセージを出力する(ステップS28)。この場合には、後続の復帰フェーズはスキップされ、ステップS60の処理が実行される。遮断フェーズでのエラーメッセージとしては、たとえば、「出力変数(XXX)が出力期待値と一致しません」といったものが用いられる。
一方、評価対象のそれぞれの出力変数についての出力期待値と、取得したそれぞれの出力変数の値とがすべて一致する場合(ステップS26においてYESの場合)には、続いて、復帰フェーズの処理が実行される。すなわち、評価対象の入力信号の値を「FALSE」(第2の入力値)から「TRUE」(第1の入力値)に戻すとともに、安全プログラムに従う演算により決定される評価対象の出力信号の第2の出力値が第1の出力値と一致しているか否かを判断する処理が実行される。
具体的には、選択されている入力変数に設定されているリセット種別が「オートリセット」および「マニュアルリセット」のいずれであるかが判断される(ステップS30)。
リセット種別として「オートリセット」が設定されている場合(ステップS30において「オートリセット」の場合)には、プロセッサ102は、選択されている入力変数が割り当てられている安全機器400を操作して入力変数の値を「FALSE」から「TRUE」にするように情報処理装置200に通知する(ステップS31)。
その後、プロセッサ102は、選択されている入力変数が「FALSE」から「TRUE」に変化したか否かを判断する(ステップS32)。選択されている入力変数が「FALSE」から「TRUE」に変化した場合(ステップS32においてYES)、プロセッサ102は、制御をステップS34に切り替える。そうでない場合には(ステップS32においてNO)、プロセッサ102は、ステップS32の処理を再び実行する。
その後、プロセッサ102は、評価対象である1または複数の出力変数の値を取得する(ステップS34)。続いて、選択されている入力変数に対応する、評価対象であるいずれの出力変数もその値が「TRUE」であるか否かを判断する(ステップS36)。すなわち、選択されている入力変数の復帰に伴って、対応するすべての出力変数も復帰しているか否かが判断される。
評価対象であるいずれかの出力変数の値が「FALSE」のままである場合(ステップS36においてNOの場合)には、「FALSE」のままである出力変数を特定するとともに、復帰フェーズでのエラーメッセージを出力し(ステップS38)、ステップS60の処理が実行される。復帰フェーズでのエラーメッセージとしては、たとえば、「出力変数(XXX)が自動復帰しませんでした」といったものが用いられる。
一方、評価対象であるいずれの出力変数もその値が「TRUE」である場合(ステップS36においてYESの場合)には、選択されている入力変数については、機能安全評価のすべてに合格であることを出力し(ステップS40)、ステップS60の処理が実行される。
リセット種別として「マニュアルリセット」が設定されている場合(ステップS30において「マニュアルリセット」の場合)には、プロセッサ102は、選択されている入力変数が割り当てられている安全機器400を操作して入力変数の値を「FALSE」から「TRUE」にするように情報処理装置200に通知する(ステップS41)。
その後、プロセッサ102は、選択されている入力変数が「FALSE」から「TRUE」に変化したか否かを判断する(ステップS42)。選択されている入力変数が「FALSE」から「TRUE」に変化した場合(ステップS42においてYES)、プロセッサ102は、制御をステップS44に切り替える。そうでない場合には(ステップS42においてNO)、プロセッサ102は、ステップS42の処理を再び実行する。
その後、プロセッサ102は、評価対象である1または複数の出力変数の値を取得する(ステップS44)。つまり、選択されている入力変数を復帰させる。続いて、選択されている入力変数に対応する評価対象の出力変数のうち、出力期待値がいずれも「FALSE」に設定されている出力変数の値が「FALSE」のままであるか否かを判断する(ステップS46)。すなわち、「マニュアルリセット」の対象となっている出力変数の値が、選択されている入力変数の復帰に伴って復帰していないことが判断される。
出力期待値がいずれも「FALSE」に設定されているいずれかの出力変数の値が「TRUE」である場合(ステップS46においてNOの場合)には、「TRUE」である出力変数を特定するとともに、復帰フェーズでのエラーメッセージを出力し(ステップS48)、ステップS60の処理が実行される。復帰フェーズでのエラーメッセージとしては、たとえば、「出力変数(XXX)が自動復帰しました」といったものが用いられる。
出力期待値がいずれも「FALSE」に設定されているすべての出力変数の値が「FALSE」である場合(ステップS46においてYESの場合)には、リセット信号を有効化するとともに、安全プログラムに従う演算により決定される評価対象の出力信号の第3の出力値が第1の出力値と一致しているか否かを判断する処理が実行される。すなわち、リセット変数を一旦「TRUE」にセットした後、「FALSE」に戻し(ステップS50)、評価対象である1または複数の出力変数の値を取得する(ステップS52)。つまり、リセット変数を活性化する。続いて、評価対象である1または複数の出力変数の値がいずれも「TRUE」であるか否かが判断される(ステップS54)。
評価対象であるいずれかの出力変数の値が「FALSE」である場合(ステップS54においてNOの場合)には、「FALSE」である出力変数を特定するとともに、復帰フェーズでのエラーメッセージを出力する(ステップS56)。復帰フェーズでのエラーメッセージとしては、たとえば、「出力変数(XXX)がリセット時にFALSEとなっています」といったものが用いられる。
評価対象であるいずれの出力変数の値も「TRUE」である場合(ステップS54においてYESの場合)には、選択されている入力変数については、機能安全評価のすべてに合格であることを出力し(ステップS58)、ステップS60の処理が実行される。
ステップS60において、期待値設定エリア630に設定されている入力変数のうち、対応するチェックボックス632がチェックされている入力変数のすべてについて評価が実行されたか否かが判断される(ステップS60)。チェックされているいずれかの入力変数についての評価が未だ実行されていない場合(ステップS60においてNOの場合)には、評価が未だ実行されていないいずれかの入力変数を選択し(ステップS62)、ステップS21以下の処理が再度実行される。
チェックされているすべての入力変数についての評価が実行されている場合(ステップS60においてYESの場合)には、機能安全評価の処理は終了する。
<N.利点>
本実施の形態によれば、安全プログラムに含まれる入力信号と、当該入力信号に対応付けられた1または複数の出力信号との組み合わせを規定するとともに、各組み合わせにおける各出力信号値の期待値(出力期待値)が設定される。また、各入力信号に対応付けられたリセット種別も設定される。その上で、評価者の安全機器400に対する操作に応答して入力信号の値(入力値)を3つのフェーズ(初期化フェーズ、遮断フェーズ、復帰フェーズ)に変化させるとともに、各フェーズにおいて算出される出力値が、予め設定された出力期待値およびリセット種別に応じた値であるか否かが判断されることで、安全プログラムの総合的な機能安全が実機で評価される。そのため、安全プログラムの機能安全をより正確に評価できる。
また、本実施の形態によれば、いずれかのフェーズにおいて異常が発生すると、当該異常が発生したフェーズ、および、当該異常が発生した出力信号が特定されるとともに、機能安全の評価結果として出力される。そのため、安全プログラムの機能安全に何らかの不具体があっても、容易にその原因および解決方法を特定することができる。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
1 評価システム、2 プログラム実行機能、4 比較機能、10 安全プログラム、16 アンドブロック、20 評価条件、30 機能安全評価結果、40 評価者、100 安全コントローラ、102,202 プロセッサ、104 主メモリ、106 フラッシュメモリ、108 演算処理部、110 制御系ネットワークインターフェイス、112 情報系ネットワークインターフェイス、114 フィールドバスインターフェイス、116 メモリカードインターフェイス、118 メモリカード、120 ローカル通信インターフェイス、122 内部バスインターフェイス、152 実行モジュール生成部、154 実行部、156 提示部、158 比較部、160 結果出力部、200 情報処理装置、204 メモリ、206 入力部、208 出力部、212 光学ドライブ、214 記録媒体、218 内部バス、220 補助記憶装置、222 実行モジュール生成プログラム、224 エミュレータプログラム、226 機能安全評価プログラム、230 各種設定、300 制御装置、400 安全機器、510 モータ、512 ドライバ、514 セーフティリレー、600 設定画面、602 ボタン、604 表示ボタン、606 変数登録ボタン、608 リセット変数設定エリア、610 入力設定表示エリア、612,622,654 変数名表示欄、614,624,636,656 コメント表示欄、616,638,658 リセット種別表示欄、618 入力タイプ表示欄、620 出力設定表示エリア、630 期待値設定エリア、632 チェックボックス、634 入力変数表示エリア、640,660,660A 期待値設定欄、642,690 エクスポートボタン、644 インポートボタン、646 外部出力データ、650 評価実行画面、651 評価結果画面、651A 印刷結果、654A 変数名欄、656A コメント欄、658A リセット種別欄、672 結果表示欄、672A 結果欄、673,673A 記入欄、674 結果コメント表示欄、674A 結果コメント欄、676 日時表示欄、676A 日時欄、680〜682 操作内容、691 印刷ボタン、695 評価実施日覧、696 名前記入欄、697 サイン記入欄、700 表計算アプリケーション、702 範囲。
図7に示す安全プログラム10では、2つの非常停止ファンクションブロック(以下、「非常停止FB」とも記す。)12,14と、出力チェックファンクションブロック(以下、「出力チェックFB」とも記す。)18と、両者を接続するアンドブロック16とを含む。非常停止FB12は、非常停止ボタンからの入力信号を処理する論理であり、非常停止FB14は、ライトカーテンからの入力信号を処理するための論理である。
出力チェックFB18は、安全動作を司る安全コンポーネントが指令どおりに機能しているかをチェックする論理である。出力チェックFB18は、その入力として、ファンクションブロックの処理の有効/無効を設定する「Activate」と、安全コンポーネントの動作指令を示す信号が入力される「S_OutControl」と、安全コンポーネントの状態値を示す信号が入力される「S_EDM1」および「S_EDM2」と、健全性の監視周期を示す値が入力される「MonitoringTime」と、リセット後のプログラム実行を開始するか否かを設定する信号が入力される「S_StartReset」と、安全動作後の動作をリセットする信号が入力される「Reset」との、合計7つを有している。
復帰フェーズにおいて、入力変数1は、評価者による安全機器400の操作に基づいて、「FALSE」から「TRUE」に変化する(符号M32)。このとき、リセット変数は「FALSE」のまま維持される。この変化に対応して、期待値設定がチェックされている(入力変数1に対する連動することが予定されている)出力変数1が「FALSE」であることを確認する(符号M36)。出力変数1が「TRUE」に変化すれば、リセット変数の変化を待たずに入力変数1に連動したことになり、何らかの異常があると判断される(符号M38)。
次に、図16に示されるように、情報処理装置200は、入力変数「ZoneA_EmergencyStop」が割り当てられている安全機器400に対する操作内容681を表示する。図16
の例では、非常停止ボタンを「復帰」することで、入力変数「ZoneA_EmergencyStop」を
「TRUE」にするように指示されている。このように、安全コントローラ100は、評価対象の入力信号の値を「FALSE」(第2の入力値)から「TRUE」(第1の入力値)に変化させるべきときに、当該入力信号の値を「FALSE」から「TRUE」に変化させるための操作内容68を情報処理装置200に表示させる。
操作内容681のOKボタンが押下されると、安全コントローラ100は、入力変数「ZoneA_EmergencyStop」を安全プログラムに入力する。非常停止ボタンの押下状態が解除されている場合には、入力変数「ZoneA_EmergencyStop」が「TRUE」に設定される。安全コントローラ100は、演算結果として安全プログラムから各出力機器に出力される出力信号を取得する。上述のように、リセット種別が「Manual」に設定されている場合には、安全コントローラ100は、出力変数の値が変化しないことを確認する。その後、安全コントローラ100は、評価処理を次のステップに進める。
図21に示されるように、印刷結果651Aは、図20の評価結果画面651に示される内容を含む。より具体的には、印刷結果651Aは、対象となった入力変数の変数名を表示する変数名欄654Aと、対応する入力変数についてのコメントを表示するコメント欄656Aと、対応する入力変数についてのリセット種別を表示するリセット種別欄658Aと、対応する入力変数についての出力期待値の組み合わせを表示する期待値設定欄660Aと、評価結果を示す結果欄672Aと、評価者の記入欄673Aと、評価結果に対応するコメントを表示する結果コメント欄674Aと、評価実行日時を示す日時欄676Aとを含む。また、印刷結果651Aは、評価実施日695と、評価者の名前記入欄696と、評価者のサイン記入欄697とを含む。
また、本実施の形態によれば、いずれかのフェーズにおいて異常が発生すると、当該異常が発生したフェーズ、および、当該異常が発生した出力信号が特定されるとともに、機能安全の評価結果として出力される。そのため、安全プログラムの機能安全に何らかの不具があっても、容易にその原因および解決方法を特定することができる。
1 評価システム、2 プログラム実行機能、4 比較機能、10 安全プログラム、16 アンドブロック、20 評価条件、30 機能安全評価結果、40 評価者、100 安全コントローラ、102,202 プロセッサ、104 主メモリ、106 フラッシュメモリ、108 演算処理部、110 制御系ネットワークインターフェイス、112 情報系ネットワークインターフェイス、114 フィールドバスインターフェイス、116 メモリカードインターフェイス、118 メモリカード、120 ローカル通信インターフェイス、122 内部バスインターフェイス、152 実行モジュール生成部、154 実行部、156 提示部、158 比較部、160 結果出力部、200 情報処理装置、204 メモリ、206 入力部、208 出力部、212 光学ドライブ、214 記録媒体、218 内部バス、220 補助記憶装置、222 実行モジュール生成プログラム、224 エミュレータプログラム、226 機能安全評価プログラム、230 各種設定、300 制御装置、400 安全機器、510 モータ、512 ドライバ、514 セーフティリレー、600 設定画面、602 ボタン、604 表示ボタン、606 変数登録ボタン、608 リセット変数設定エリア、610 入力設定表示エリア、612,622,654 変数名表示欄、614,624,636,656 コメント表示欄、616,638,658 リセット種別表示欄、618 入力タイプ表示欄、620 出力設定表示エリア、630 期待値設定エリア、632 チェックボックス、634 入力変数表示エリア、640,660,660A 期待値設定欄、642,690 エクスポートボタン、644 インポートボタン、646 外部出力データ、650 評価実行画面、651 評価結果画面、651A 印刷結果、654A 変数名欄、656A コメント欄、658A リセット種別欄、672 結果表示欄、672A 結果欄、673,673A 記入欄、674 結果コメント表示欄、674A 結果コメント欄、676 日時表示欄、676A 日時欄、680〜682 操作内容、691 印刷ボタン、695 評価実施日、696 名前記入欄、697 サイン記入欄、700 表計算アプリケーション、702 範囲。

Claims (9)

  1. 予め定められた条件が成立すると出力機器を安全が保たれるように動作させるための安全プログラムの機能安全を評価する評価システムであって、
    1つ以上の入力機器のいずれかからの入力信号に基づいて、前記安全プログラムに従う演算を実行することで、対応する1つ以上の出力機器に出力するための出力信号の値を決定する処理実行手段と、
    評価対象の入力信号と、当該入力信号の値の変化に対応して出力機器に出力されるべき出力信号の値である出力期待値とを含む、評価条件を受付ける設定手段と、
    前記評価対象の入力信号の値が初期値である第1の入力値から第2の入力値に変化したことを評価対象の入力機器から受付けたことに基づいて、前記処理実行手段により決定される出力信号の第1の出力値が前記出力期待値と一致しているか否かを判断する第1の判断手段と、
    前記評価対象の入力信号の値が前記第2の入力値から前記第1の入力値に戻ったことを評価対象の入力機器から受付けたことに基づいて、前記処理実行手段により決定される出力信号の第2の出力値が前記第1の出力値と一致しているか否かを判断する第2の判断手段と、
    前記評価対象の入力信号に関連付けて、前記第1の判断手段および前記第2の判断手段での判断結果を出力する出力手段とを備える、評価システム。
  2. 前記評価システムは、前記評価対象の入力機器に対する操作内容を情報処理装置に提示させるための提示手段をさらに備える、請求項1に記載の評価システム。
  3. 前記提示手段は、
    前記評価対象の入力信号の値を前記第1の入力値から前記第2の入力値に変化させるべきときに、当該入力信号の値を前記第1の入力値から前記第2の入力値に変化させるための操作内容を前記情報処理装置に提示させ、
    前記評価対象の入力機器の値を前記第2の入力値から前記第1の入力値に変化させるべきときに、当該入力信号の値を前記第2の入力値から前記第1の入力値に変化させるための操作内容を前記情報処理装置に提示させる、請求項2に記載の評価システム。
  4. 前記操作内容は、
    前記評価対象の入力機器の識別情報と、
    前記評価対象の入力機器に対する操作手順とを含む、請求項2または3に記載の評価システム。
  5. 前記評価条件は、前記評価対象の入力信号と、前記出力期待値とからなる組を複数含み、
    前記提示手段は、予め設定されている評価順序に従って、操作すべき評価対象の入力機器の操作内容を前記情報処理装置に順次提示させる、請求項2〜4のいずれか1項に記載の評価システム。
  6. 前記評価条件は、前記入力信号の値が前記第2の入力値から前記第1の入力値に戻ったときに、対応する出力信号の出力値を連動して元の値に戻すことを示す第1の種別と、予め定められたリセット条件が成立するまでは出力信号の出力値を元の値に戻さないことを示す第2の種別とのうち、いずれかの設定を含み、
    前記第2の判断手段は、
    前記第1の種別が設定されている場合には、前記第2の出力値が前記第1の出力値とは異なっているときに正常と判断し、
    前記第2の種別が設定されている場合には、前記第2の出力値が前記第1の出力値と一致しているときに正常と判断する、請求項1〜5のいずれか1項に記載の評価システム。
  7. 予め定められた条件が成立すると出力機器を安全が保たれるように動作させるための安全プログラムの機能安全を評価する安全コントローラであって、
    1つ以上の入力機器のいずれかからの入力信号に基づいて、前記安全プログラムに従う演算を実行することで、対応する1つ以上の出力機器に出力するための出力信号の値を決定する処理実行手段と、
    評価対象の入力信号と、当該入力信号の値の変化に対応して出力機器に出力されるべき出力信号の値である出力期待値とを含む、評価条件を受付ける設定手段と、
    前記評価対象の入力信号の値が初期値である第1の入力値から第2の入力値に変化したことを評価対象の入力機器から受付けたことに基づいて、前記処理実行手段により決定される出力信号の第1の出力値が前記出力期待値と一致しているか否かを判断する第1の判断手段と、
    前記評価対象の入力信号の値が前記第2の入力値から前記第1の入力値に戻ったことを評価対象の入力機器から受付けたことに基づいて、前記処理実行手段により決定される出力信号の第2の出力値が前記第1の出力値と一致しているか否かを判断する第2の判断手段と、
    前記評価対象の入力信号に関連付けて、前記第1の判断手段および前記第2の判断手段での判断結果を出力する出力手段とを備える、安全コントローラ。
  8. 予め定められた条件が成立すると出力機器を安全が保たれるように動作させるための安全プログラムの機能安全を評価する評価プログラムであって、
    前記評価プログラムは、コンピュータに、
    1つ以上の入力機器のいずれかからの入力信号に基づいて、前記安全プログラムに従う演算を実行することで、対応する1つ以上の出力機器に出力するための出力信号の値を決定するステップと、
    評価対象の入力信号と、当該入力信号の値の変化に対応して出力機器に出力されるべき出力信号の値である出力期待値とを含む、評価条件を受付けるステップと、
    前記評価対象の入力信号の値が初期値である第1の入力値から第2の入力値に変化したことを評価対象の入力機器から受付けたことに基づいて、前記安全プログラムに従う演算により決定される出力信号の第1の出力値が前記出力期待値と一致しているか否かを判断するステップと、
    前記評価対象の入力信号の値が前記第2の入力値から前記第1の入力値に戻ったことを評価対象の入力機器から受付けたことに基づいて、前記安全プログラムに従う演算により決定される出力信号の第2の出力値が前記第1の出力値と一致しているか否かを判断するステップと、
    前記評価対象の入力信号に関連付けて、前記判断するステップでの判断結果を出力するステップとを実行させる、評価プログラム。
  9. 予め定められた条件が成立すると出力機器を安全が保たれるように動作させるための安全プログラムの機能安全を評価する評価方法であって、
    1つ以上の入力機器のいずれかからの入力信号に基づいて、前記安全プログラムに従う演算を実行することで、対応する1つ以上の出力機器に出力するための出力信号の値を決定するステップと、
    評価対象の入力信号と、当該入力信号の値の変化に対応して出力機器に出力されるべき出力信号の値である出力期待値とを含む、評価条件を受付けるステップと、
    前記評価対象の入力信号の値が初期値である第1の入力値から第2の入力値に変化したことを評価対象の入力機器から受付けたことに基づいて、前記安全プログラムに従う演算により決定される出力信号の第1の出力値が前記出力期待値と一致しているか否かを判断するステップと、
    前記評価対象の入力信号の値が前記第2の入力値から前記第1の入力値に戻ったことを評価対象の入力機器から受付けたことに基づいて、前記安全プログラムに従う演算により決定される出力信号の第2の出力値が前記第1の出力値と一致しているか否かを判断するステップと、
    前記評価対象の入力信号に関連付けて、前記判断するステップでの判断結果を出力するステップとを備える、評価方法。
JP2017047658A 2017-03-13 2017-03-13 評価システム、安全コントローラ、評価プログラム、および、評価方法 Active JP6911408B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017047658A JP6911408B2 (ja) 2017-03-13 2017-03-13 評価システム、安全コントローラ、評価プログラム、および、評価方法
CN201810028604.5A CN108572610B (zh) 2017-03-13 2018-01-11 评价系统、安全控制器、可读取记录媒体及评价方法
US15/869,037 US10545471B2 (en) 2017-03-13 2018-01-12 Evaluation system, safety controller, computer readable storage medium, and evaluation method
EP18151757.4A EP3376317A1 (en) 2017-03-13 2018-01-16 Evaluation system, safety controller, evaluation program, and evaluation method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017047658A JP6911408B2 (ja) 2017-03-13 2017-03-13 評価システム、安全コントローラ、評価プログラム、および、評価方法

Publications (2)

Publication Number Publication Date
JP2018151866A true JP2018151866A (ja) 2018-09-27
JP6911408B2 JP6911408B2 (ja) 2021-07-28

Family

ID=61002844

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017047658A Active JP6911408B2 (ja) 2017-03-13 2017-03-13 評価システム、安全コントローラ、評価プログラム、および、評価方法

Country Status (4)

Country Link
US (1) US10545471B2 (ja)
EP (1) EP3376317A1 (ja)
JP (1) JP6911408B2 (ja)
CN (1) CN108572610B (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021065032A1 (ja) 2019-10-03 2021-04-08 オムロン株式会社 制御システム、サポート装置およびサポートプログラム
EP4094900A1 (en) 2021-05-27 2022-11-30 OMRON Corporation Robot control system, information processor, information processing method, and program

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018154639A1 (ja) * 2017-02-22 2018-08-30 株式会社日立製作所 制御システムおよび制御方法
JP6911408B2 (ja) * 2017-03-13 2021-07-28 オムロン株式会社 評価システム、安全コントローラ、評価プログラム、および、評価方法
EP3757693B9 (en) * 2019-06-28 2021-09-08 OMRON Corporation System and method for operating an automated machine, automated machine, and computer-program product
CN112508313B (zh) * 2019-08-28 2022-09-09 北京科东电力控制系统有限责任公司 面向故障后可恢复设备操作顺序评价方法、装置及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000242328A (ja) * 1999-02-23 2000-09-08 Toshiba Corp サーベイランス試験装置およびプログラムを記憶した記憶媒体
JP2004046509A (ja) * 2002-07-11 2004-02-12 Mitsubishi Electric Corp プログラマブルコントローラのエミュレーション装置
JP2005115698A (ja) * 2003-10-08 2005-04-28 Omron Corp 設定構造およびそれを用いたセーフティコントローラ
JP2015210753A (ja) * 2014-04-30 2015-11-24 パナソニック デバイスSunx株式会社 プログラマブルコントローラ及びプログラム開発支援装置
JP2016049933A (ja) * 2014-09-02 2016-04-11 アイシン・エィ・ダブリュ株式会社 走行支援システム、走行支援方法及びコンピュータプログラム
WO2016103229A1 (en) * 2014-12-24 2016-06-30 Abb Technology Ltd. A method for verifying a safety logic in an industrial process

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4304215A1 (de) * 1993-02-12 1994-08-25 Bosch Gmbh Robert Elektronische Steuervorrichtung für einen elektromotorischen Antrieb, insbesondere Garagentorantrieb
US5860099A (en) * 1993-05-12 1999-01-12 Usar Systems, Inc. Stored program system with protected memory and secure signature extraction
JP3835528B2 (ja) * 2001-07-19 2006-10-18 株式会社安川電機 速度制御装置
CN1517949A (zh) * 2003-01-17 2004-08-04 清华大学 用于体质综合评价的人工神经网络模型参数的确定方法
DE102004020830B4 (de) * 2004-02-19 2010-06-10 Lenze Automation Gmbh Sicherheits-Schaltungsverbund mit Ringkonzept für Steuergeräte der Leistungselektronik
DE102005050979B4 (de) * 2004-11-05 2008-10-30 Leuze Lumiflex Gmbh + Co. Kg Verfahren zur Funktionsüberprüfung einer Sicherheitsausgangsschaltung eines optischen Sensors
JP4665507B2 (ja) * 2004-12-16 2011-04-06 横河電機株式会社 ペンレコーダ
JP4442430B2 (ja) * 2005-01-11 2010-03-31 富士電機システムズ株式会社 プログラマブル・コントローラ・システム、そのコントローラ、プログラム
DE102006012042A1 (de) * 2006-03-16 2007-09-20 Kuka Roboter Gmbh Steuervorrichtung zur fehlersicheren Steuerung einer Maschine
ATE504014T1 (de) * 2006-10-19 2011-04-15 Datagrid Inc L1/l2-gps-empfänger mit programmierbarer logik
EP2260385A4 (en) * 2008-02-27 2017-08-30 Wurldtech Security Technologies Testing framework for control devices
CN101782976B (zh) * 2010-01-15 2013-04-10 南京邮电大学 一种云计算环境下机器学习自动选择方法
CN103116074B (zh) * 2011-11-16 2016-09-07 通用电气公司 交流电网相位变化检测和补偿系统和方法
JP6111675B2 (ja) 2013-01-15 2017-04-12 オムロン株式会社 安全コントローラのユーザプログラムの設計を支援する方法、装置およびプログラム
EP2757687A1 (en) * 2013-01-21 2014-07-23 Dialog Semiconductor GmbH Low latency synchronizer circuit
JP6140004B2 (ja) * 2013-06-25 2017-05-31 富士通テン株式会社 電圧出力回路、及び、車両制御システム
JP2016192010A (ja) * 2015-03-31 2016-11-10 株式会社日立製作所 電子制御装置
DE102015009671A1 (de) * 2015-07-25 2017-01-26 Borgwarner Inc. Hydraulische Steuervorrichtung zur Ansteuerung einer Doppelkupplung und Mehrfachkupplungseinrichtung mit einer solchen Steuervorrichtung
CN105138461B (zh) * 2015-09-23 2018-01-26 网易(杭州)网络有限公司 一种应用程序的接口测试方法及装置
JP6747104B2 (ja) * 2016-06-30 2020-08-26 オムロン株式会社 セーフティシステム、プログラム、および方法
JP6911408B2 (ja) * 2017-03-13 2021-07-28 オムロン株式会社 評価システム、安全コントローラ、評価プログラム、および、評価方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000242328A (ja) * 1999-02-23 2000-09-08 Toshiba Corp サーベイランス試験装置およびプログラムを記憶した記憶媒体
JP2004046509A (ja) * 2002-07-11 2004-02-12 Mitsubishi Electric Corp プログラマブルコントローラのエミュレーション装置
JP2005115698A (ja) * 2003-10-08 2005-04-28 Omron Corp 設定構造およびそれを用いたセーフティコントローラ
JP2015210753A (ja) * 2014-04-30 2015-11-24 パナソニック デバイスSunx株式会社 プログラマブルコントローラ及びプログラム開発支援装置
JP2016049933A (ja) * 2014-09-02 2016-04-11 アイシン・エィ・ダブリュ株式会社 走行支援システム、走行支援方法及びコンピュータプログラム
WO2016103229A1 (en) * 2014-12-24 2016-06-30 Abb Technology Ltd. A method for verifying a safety logic in an industrial process

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021065032A1 (ja) 2019-10-03 2021-04-08 オムロン株式会社 制御システム、サポート装置およびサポートプログラム
EP4094900A1 (en) 2021-05-27 2022-11-30 OMRON Corporation Robot control system, information processor, information processing method, and program

Also Published As

Publication number Publication date
CN108572610B (zh) 2021-05-18
JP6911408B2 (ja) 2021-07-28
CN108572610A (zh) 2018-09-25
US10545471B2 (en) 2020-01-28
US20180259925A1 (en) 2018-09-13
EP3376317A1 (en) 2018-09-19

Similar Documents

Publication Publication Date Title
JP6911408B2 (ja) 評価システム、安全コントローラ、評価プログラム、および、評価方法
JP2017167653A (ja) 評価システム、評価プログラムおよび評価方法
US10025287B2 (en) Method for assignment of verification numbers
JP5436660B2 (ja) 安全関連制御ユニット用アプリケーションプログラムの生成方法および装置
JP4442524B2 (ja) 安全plc
US7818465B2 (en) I/O module expansion unit and distributed automation system
EP3376318B1 (en) Information processing apparatus, information processing method, and information processing program
JP6481267B2 (ja) プログラマブル表示器
JP2007310693A (ja) セーフティ・コントローラ
JP6540561B2 (ja) 評価システム、評価プログラムおよび評価方法
JP7000703B2 (ja) 情報処理装置、情報処理方法、および、情報処理プログラム
JP4849261B2 (ja) 安全アプリケーション作成支援装置
JP2018151867A (ja) 情報処理装置、情報処理方法、および情報処理プログラム
JP5174798B2 (ja) 安全制御プログラムの安全性診断装置及び安全性診断方法
US20130238104A1 (en) System design device
JP7505435B2 (ja) アラーム管理装置、アラーム管理方法およびアラーム管理プログラム
JP2007304939A (ja) プログラマブルコントローラおよびモニタ
JP7287445B2 (ja) 情報処理装置、情報処理方法、および情報処理プログラム
CN111552263A (zh) 用于检查工业设施的方法、计算机可读存储介质和系统
JP7318798B2 (ja) セキュリティアセスメント装置、セキュリティアセスメント方法、プログラム
JP7224261B2 (ja) プラント監視制御システム
JP5840913B2 (ja) インバータ装置
Konuk Redundant and safe work implementation for S7-1200 PLC family
ENGİN FUNCTIONAL SAFETY IN PROGRAMMABLE LOGIC CONTROLLERS
Dummermuth Advanced diagnostic methods in process control

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180404

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200109

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210608

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210621

R150 Certificate of patent or registration of utility model

Ref document number: 6911408

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250