JP2022117460A - モジュラー安全制御 - Google Patents

モジュラー安全制御 Download PDF

Info

Publication number
JP2022117460A
JP2022117460A JP2022008626A JP2022008626A JP2022117460A JP 2022117460 A JP2022117460 A JP 2022117460A JP 2022008626 A JP2022008626 A JP 2022008626A JP 2022008626 A JP2022008626 A JP 2022008626A JP 2022117460 A JP2022117460 A JP 2022117460A
Authority
JP
Japan
Prior art keywords
unit
module
units
channel
peripheral
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022008626A
Other languages
English (en)
Inventor
ミューラー ウド
Mueller Udo
グルーバー ヴィンフリート
gruber Winfried
ファイル リヒャルト
Veil Richard
ディゲル ヨハネス
Digel Johannes
レイド シュテファン
Raidt Stephan
リエッカー ユルゲン
Riecker Juergen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Publication of JP2022117460A publication Critical patent/JP2022117460A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14014Redundant processors and I-O
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14127Redundant communication between processor and I-O
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/15Plc structure of the system
    • G05B2219/15078Modules, construction of system

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Programmable Controllers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

【課題】共通原因故障CCFを克服して、費用効果的に実装することのできるモジュラー制御装置のヘッド・モジュールを提供する。【解決手段】処理ユニット(18、24)および故障明示ユニット(20、22、26、28)を備える冗長な複数のチャンネルユニット(12、14)を有するヘッド・モジュール(10)であって、故障明示ユニット(20、22、26、28)は、各チャンネルユニット(12、14)の状態を監視するように構成され、処理ユニット(18、24)は、故障明示ユニット(20、22、26、28)を連続的に刺激するように構成され、処理ユニット(18)は、モジュラー制御装置の周辺モジュール部分に通信リンクを提供するために、バスの信号線に接続され、故障明示ユニット(20、22、26、28)は、前記刺激および監視に基づいてコミュニケーションバスを切断する。【選択図】図1

Description

本発明は、モジュラー制御装置に関し、特にこのモジュラー制御装置のヘッド・モジュールおよび周辺モジュール部分に関する。さらにまた本発明は、対応する方法に関する。
制御装置(コントローラとも呼ばれる)は、自動化技術の分野において、一般に公知である。制御装置は、技術的なシステム、機械またはプロセスを制御する。
ハードワイヤード論理によって制御タスクを遂行するリンク・プログラムされたコントローラと、自由にプログラム可能でさまざまな制御タスクを遂行できるプログラマブルなロジックコントローラとは、区別される。
その柔軟性および適応性のために、後者は、プロセス技術および自動化技術において、複雑なまたは進行中に動的に変化する制御タスクのために確立されている。
制御装置は、それが個別部品から成り立つ場合、モジュラー型と呼ばれている。そして、それぞれの部品は異なるタスクを遂行する。
通常、モジュラー制御装置は少なくとも1つの中央コンピューティング・ユニットを備えている。それはモジュール列の第1番目のモジュールを通常形成するので、ヘッド・モジュールとも呼ばれる。
そのモジュール列のさらなるモジュールは、とりわけ、入力モジュールと出力モジュールである。それらは技術システムの周辺との接続を確立し、したがって、ひとつの用語で「周辺モジュール」とも呼ばれる。
入力モジュールは、それらの入力を対応するセンサに接続することによって、技術システムまたは機械の状態を検出する。所与の時刻で検出された状態は、入力のプロセス画像(PII)と呼ばれている。
出力モジュールは、所望の制御タスクに従い、かつ、それらの入力に応じて、技術システムまたは機械の上の制御を割り当てる。このために、出力モジュールの各出力は、対応するアクチュエータに接続している。出力モジュールによって設定される出力は、出力のプロセス画像(PIO)と呼ばれている。
制御装置の特別なものは、安全制御装置(安全制御またはフェイルセーフ(FS)制御とも呼ばれる)である。
これらは、通常の制御装置と同じ機能を実行するが、それらが追加的に安全関連のタスクも遂行することが可能であるという点で異なる。
安全コントローラによって、安全性が通常の制御装置に類似方法のプログラミングによって、相互接続され得る。
安全コントローラを使用すると、通常の制御装置と同様の方法でプログラミングによって安全を相互接続できる。 安全コントローラは、基本的な機能が標準的なタスクの通常の制御デバイスとわずかに異なるのみであるが、安全関連の機能を実行するための追加のハードウェアと追加のソフトウェアを内部に有する。その追加のハードウェアと追加のソフトウェアは、制御デバイスの重要な部品の冗長設計と、個々の部品の機能を保証できるテスト設備に大きく反映されている。
安全コントローラが考慮しなければならない特別なタイプの故障は、共通原因故障(CCF)、すなわち単一の故障原因またはイベントの結果として起こる故障である。
特にそれらが安全関連のサブシステムから冗長性を望まずに取り除く場合、安全コントローラはこれらの故障を処理することが可能でなければならない。
概して、共通原因故障CCFは、すなわち、特別機能を提供するために異なる部品を用いて多様性により対処される。
しかしながら、多様性は、共通の電源によって、例えば、過電圧により引き起こされる共通原因故障CCFの対策にはならない。
このため、各要素に2番目の独立した電源が使用されていない限り、これには他のアプローチが必要である。
安全コントローラは、それらに接続されたセンサーおよびアクチュエータとともに、操作者、環境または商品を保護するための安全機能を実装している。
安全関連システムに割り当てられた安全機能の安全充足性の要件を指定する関連規格(EN 61508)は4つのレベルを区別する。安全充足性レベル4(SIL4)は最高レベルの安全充足性を表し、安全充足性レベル1(SIL1)は最低レベルを表す。 以下で検討するモジュラー制御装置は、少なくともSIL3までのシステムの構築を可能にする安全コントローラーである。
EN 61508に準拠したSIL4までの適用、または特別な要件プロファイルを持つ適用(鉄道アプリケーションなど)は、一般に、標準のモジュラー安全コントローラで実装するのが難しいか、実装に多大な労力がかかる。例えば、適用に2つの完全に独立し、個別に構成された安全コントローラーを使用する。
したがって、高い安全充足レベル、および/または、特別な要件プロフィールを備えた適用を可能にし、効果的に共通原因故障CCFを克服して、費用効果的な方法で実装することのできるモジュラー制御装置を提供することが本発明の目的である。
本発明の1つの側面によれば、冗長なチャンネルユニットを有するモジュラー制御装置のためのヘッド・モジュールが設けられる。各チャンネルユニットは、処理ユニットおよび故障明示ユニット(failure revelation unit)を含む。故障明示ユニットはチャンネルユニットの状態を監視するように構成される。処理ユニットは故障明示ユニットを連続的に「刺激」する(stimulate)ように構成される。冗長なチャンネルユニットの少なくとも1つの処理ユニットは、モジュラー制御装置の1つまたはそれ以上の周辺モジュール部分に通信リンクを提供するためのコミュニケーションバスの信号線に接続されている。故障明示ユニットは、前記刺激および前記監視に基づいて、コミュニケーションバスを切断するように構成されたバス切断ユニットを制御するように構成される。
本発明の別の側面では、冗長なチャンネルユニットおよび出力ユニットを有するモジュラー制御装置のための周辺モジュール部分が提供される。出力ユニットは、冗長なチャンネルユニットによる制御に応答して1つまたはそれ以上の出力を設定するように構成される。各チャンネルユニットは、処理ユニットおよび故障明示ユニットを含む。故障明示ユニットは、それぞれのチャンネルユニットの状態、特に各チャンネルユニットに共通の供給電圧を監視するように構成される。処理ユニットは各故障明示ユニットをそれぞれ刺激するように調整される。そして、各チャンネルユニットの故障明示ユニットは、前記刺激および監視に応答して出力ユニットの出力の設定を制御するために集合的に(collectively)配置される。
本発明のさらに別の側面では、ヘッド・モジュールおよび前記タイプの周辺モジュール部分を含むモジュラー制御装置が設けられている。
さらに本発明のさらなる側面によれば、モジュラー・コントローラのヘッド・モジュールのための方法が提供される。ヘッド・モジュールは、冗長なチャンネルユニットを有し、各チャンネルユニットは処理ユニットおよび故障明示ユニットを含む。故障明示ユニットは、各チャンネルユニットの状態を監視する。各処理ユニットは、故障明示ユニットを連続的に刺激する。処理ユニットの少なくとも1つは、モジュラー制御装置の1つまたはそれ以上の周辺モジュール部分に通信リンクを提供するために、コミュニケーションバスの信号線に接続している。そして、故障明示ユニットは、前記刺激および監視に応答してコミュニケーションバスを切断するためにバス切断ユニットを制御する。
このように、ヘッド・モジュールを拡張することによって、または、必要に応じて周辺モジュールを拡張することによって、高い安全上の要求を満たす応用が実現可能なように、これらのモジュール間の相互作用を可能にする方法で、モジュラー安全コントローラを適応させること、が本発明の着想である。
前記拡張は、周辺モジュールのマルチチャンネル設計、およびヘッド・モジュールおよび周辺モジュールにおける故障明示ユニットの追加を含む。
請求項に記載されたように、ヘッド・モジュールと周辺モジュールとの間に前記拡張を配布することによって、そして、例えば、ヘッド・モジュールと周辺モジュールとの間の所定の通信関係、および適切に設計された電源を用いて、高い安全上の要求を満たす適用を実現できる。
ヘッド・モジュールは、周辺モジュール部分とともにマルチチャンネル設計であり得る。その結果、コミュニケーションバスを介して「黒いチャンネル原則」に従う通信が可能となる。周辺モジュール部分も、本来的に安全であることができて、実行される安全機能に関して、関連するヘッド・モジュールから独立している。
さらにまた、ヘッド・モジュールおよび周辺モジュール部分は、状態監視、特に電圧監視を実行できる。それは、故障条件(例えば過電圧)の場合に、当該故障状態がヘッド・モジュールもしくは周辺モジュールのどちらで起こっているかにかかわらず、安全な状態をもたらす。
この目的のために、ヘッド・モジュールでの状態監視は、ヘッド・モジュールで組み込まれたバス切断ユニットに作用し、それはヘッド・モジュールと周辺モジュール部分との通信を中断できる。
周辺モジュール部分の状態監視は、故障が生じた場合、安全コントローラの出力に直接作用してそれらのスイッチを切るように構成されることもできる。
独立した故障明示ユニットと協働するコミュニケーションバスの切断は、ヘッド・モジュールと周辺モジュールの間の通信を中断することを可能にする。したがって、例えば出力において同じ間違ったプロセス画像を計算し、これに基づいて有効であるが間違った信号を生成し、バス上にこれらを送信するにもかかわらず、両処理ユニットの同時故障を制御することができる。
請求項に記載されたような、モジュラー制御装置の部品間の改良された相互作用は、SIL3より高い要件プロフィールの適用のための単一のモジュラー制御装置によって安全機能の実現を有効にする。なぜなら、とりわけ他の事項の中で、共通原因故障CCFが適切に考慮されるからである。
ヘッド・モジュールのさらなる改良において、故障明示ユニットは、監視ユニットおよびチャンネルユニット当たりの故障検出ユニットを含むことができる。監視ユニットは複数のチャンネルユニットの各電源ユニットを監視するように構成され、複数の故障検出ユニットは前記刺激に応答して信号を提供するように構成される。
監視ユニットは、例えば、供給電圧の過大電圧(過電圧)および過小電圧を監視することができる。複数の故障検出ユニットは、例えば、ウォッチドッグ回路を実装することができる。監視ユニットおよび故障検出ユニットは、ともに故障明示ユニットを形成する。特に、それらは互いに独立に実行することができる。すなわち、1つのチャンネルユニットの監視ユニットおよび故障検出ユニットは、それぞれ他のチャンネルユニットの監視ユニットおよび故障検出ユニットから独立している。
ヘッド・モジュールのさらなる改良において、バス切断ユニットは、コミュニケーションバスの信号線の中に配置された各チャンネルユニットのためのスイッチング素子を有することができる。各チャンネルユニットの各故障明示ユニットは、スイッチング素子の1つに関連する。そして、各故障明示ユニットは共同して関連するスイッチング素子に作用するように構成される。
バス切断ユニットは、コミュニケーションバスを切断するために、コミュニケーションバスの信号伝送線をこのように切断することができる。この設計によって、バスを経たいかなる通信も単純かつ有効な方法で停止されることができる。
ヘッド・モジュールのさらなる改良において、各チャンネルユニットの監視ユニットは、特にそれぞれ関連するチャージポンプを介して、関連するスイッチング素子に作用するため、前記監視に基づいて動的な制御信号を生成するように構成されることができる。
この改良によれば、バス切断ユニットは、動的に制御され、「stuck-at-high」な故障を効果的に取り除くことができる。バス切断ユニットは、動的信号が存在する場合のみ、バスを介した通信を可能にする。チャージポンプがこのために用いられることが可能である。チャージポンプには、信号の交流分のみが供給されて、バス切断ユニットのスイッチング素子を作動させる。よって、この改良は、ヘッド・モジュールの本質的な安全を強化する。
ヘッド・モジュールのさらなる改良において、故障検出ユニットは、それぞれの処理ユニットによる刺激に応答して動的な制御信号の生成を中断するように構成されることができる。
この改良によれば、故障検出ユニットは、論理的「AND」処理(すなわち、それらの信号が論理的「AND」によって接続される)を介して監視ユニットに接続される。例えば、ウォッチドッグとして実装される故障検出ユニットは、動的信号を「グラウンド」の方へ引き込むことができて、関連する処理ユニットによる刺激がない場合、そのスイッチを切ることができる。複数の監視ユニットの「AND」リンクは、容易、効果的かつ安全に、このように実現されることができる。
ヘッド・モジュールのさらなる改良において、ヘッド・モジュールは、処理ユニットとバス切断ユニットとの間のチャンネルユニットごとに、故障明示ユニットの信号経路に直列に設置された少なくとも1つのキャパシタを含むことができる。
処理ユニットからバス切断ユニットへの信号経路の切断は、前記キャパシタを介して単純かつ有効な方法で行うことができる。
ヘッド・モジュールのさらなる改良において、複数のチャンネルユニットは、モジュラー制御装置の1つまたはそれ以上の周辺モジュール部分とコミュニケーションバスを介してのみ通信するように構成されることができる。
この改良によれば、ヘッド・モジュールおよび周辺モジュール部分はコミュニケーションバスを介してのみ互いに通信する。コミュニケーションバスはバス切断ユニットによって作用される。
ヘッド・モジュールは、故障が生じた場合コミュニケーションバスを切断するので、どんなメッセージも周辺モジュールに送られず、それらは安全な状態をもたらすために出力のスイッチを切る。
ヘッド・モジュールのさらなる改良において、各チャンネルユニットの処理ユニットは、コミュニケーションバスから独立しているインタフェースを介して互いに通信するように構成されることができる。それによって、処理ユニットは互いを監視することができる。
特に、インタフェースのための過電圧保護は、それぞれ提供されかつ監視された供給電圧に基づいて設計されることができる。特にその抵抗値が監視ユニットの遮断電圧に基づくように設定された抵抗器によって構成されることができる。
この改良は、ヘッド・モジュールの本質的安全をさらに強化する。インタフェースは、単純な抵抗器によって、過電圧から充分に保護される。なぜなら、監視ユニットは所定の過電圧のみ許容するからである。過電圧保護は、したがって、特定の電圧まで設計されればよく、このように抵抗器を用いて容易に実装することができる。
ヘッド・モジュールのさらなる改良において、各チャンネルユニットの処理ユニットは、関連する故障明示ユニットの機能テストを実行して、試験結果を読み込んで、特に試験結果をそれぞれの他の処理ユニットに提供するように構成されてもよい。
複数の処理ユニットは、試験結果により、監視ユニットおよび故障検出ユニットの機能性をこのように連続的に点検でき、これらのユニットの誤動作を除外することができる。このようにこの改良は、ヘッド・モジュールの本質的安全にさらに寄与する。
さらなる側面において、周辺モジュール部分は、ヘッド・モジュールと接続する本質的安全手段を有していてもよい。
このように、周辺モジュール部分の各チャンネルユニットの監視ユニットを、出力ユニットを制御するために、監視に応答して動的な制御信号を生成するように構成できる。制御は、チャージポンプを介して行うことができる。
さらに、周辺モジュール部分の各チャンネルユニットの故障検出ユニットは、第1の処理ユニットの刺激に応答して動的な制御信号の生成を中断するように構成されることができる。最後に、周辺モジュール部分の出力ユニットは、冗長なチャンネルユニットから電気的に分離されることができる。
さらなる改良において、モジュラー制御装置は、前記ヘッド・モジュールまたは前記周辺モジュール部分の各種実施の形態を含むことができる。さらに、モジュラー制御装置は、ヘッド・モジュールおよび周辺モジュール部分のための電源として共通モジュール電圧ならびに周辺モジュール部分の出力ユニットのための周辺電圧を印加するように構成された電源モジュールを含んでいてもよい。電源モジュールは、非フェールセーフ・ユニットであってもよい。
モジュラー制御装置は、コミュニケーションバスのために、および、電源のためにバス構造を提供するバックプレーン・モジュール部分を備えていてもよい。バックプレーン・モジュール部分は、周辺モジュールを形成するために、1つまたはそれ以上の周辺モジュール部分と接続されることができる。
上に述べた特徴および以下で説明される特徴は、明示された組合せのみならず、他の組合せでもまたは単独で、本発明の要旨を逸脱しない範囲で、採用されることができるものと理解される。
本発明の実施の形態は、図面に示され、以下の記述において、さらに詳細に説明される。
本発明の実施の形態に係る、ヘッド・モジュールの概要図を示す。 周辺モジュール部分の概要図を示す。 SIL3までの要件プロフィールを適用するための構成を有するモジュラー制御装置の概要図を示す。 SIL3より高い要件プロフィールを適用するための構成を有するモジュラー制御装置の概要図を示す。 バックプレーン・モジュール部分の概略図を示す。 電源モジュールの概要図を示す。
図1は、本発明の一実施の形態によるモジュラー制御装置のためのヘッド・モジュールの概要図を示す。ヘッド・モジュールの全体は、参照番号10によって示される。
本実施の形態において、ヘッド・モジュール10は、冗長なチャンネルユニットを形成する第1のチャンネルユニット12および第2のチャンネルユニット14を含む。さらに、ヘッド・モジュール10は、電源ユニット16を含む。
第1のチャンネルユニット12は、第1の処理ユニット18(μC_A)と、第1の故障検出ユニット(failure detection unit)20および、第1の故障明示ユニット(failure revelation unit)として機能する第1の監視ユニット22を含む。第2のチャンネルユニット14は、第2の処理ユニット24(μC_B)、第2の故障検出ユニット26および第2の監視ユニット28(第2の故障検出ユニット)を含む。各ユニットは、機能的に同一でありえるが、システムの多様性を増加させるために、異なる製造業者から供給されたものであってもよい。
電源ユニット16は、供給電圧を第1のチャンネルユニット12へ供給する第1の電源30および供給電圧を第2のチャンネルユニット14へ供給する第2の電源32を含むことができる。さらに、電源ユニット16は、ヘッド・モジュール10に与えられるモジュール電圧MSを、第1の電源30および第2の電源32のための中間電圧に変換する第3の電源34を含む。
モジュール電圧は、外部電源から、特にモジュラー型制御装置内で集積化された電圧供給モジュールから、端子MSを経てヘッド・モジュール10へ供給されることができる。
モジュール電圧は、モジュール内部の電子部品に供給するために、モジュラー制御装置のすべてのモジュールへ一様に供給されることができる。
1つの実施の形態において、第3の電源供給装置34は、24Vのモジュール電圧MSを、5Vの中間電圧に変換できる。第1の電源30および第2の電源32は、それぞれのチャンネルユニット12、14のためのこの中間電圧を、処理ユニット18、24のためのさまざまな供給電圧に変換することができ、例えば、3.3Vの電圧を発生させることができる。
1つの実施の形態において、電源30、32、34は、シリーズレギュレータまたはスイッチングレギュレータでもよい。
第1の電源30および第2の電源32により提供される電圧は、チャンネルユニット12、14の範囲内で各監視ユニット22、28に供給される。
監視ユニット22、28は、それぞれの処理ユニット18、24と独立して設計され、過電圧または過小電圧に対応するために構成される。
この実施の形態によれば、監視ユニット22、28は、さらにまた、3.5 Vを超える過電圧および3.1未満の過小電圧に反応できる。
さらにまた、チャンネルユニット12、14は、処理ユニット18、24とは別に作製された故障検出ユニット20、26を各々備えている。
故障検出ユニット20、26は、ウォッチドッグとして設計されることができて、死人のスイッチ(dead man's switch)として作用できる。
この目的のために、処理ユニット18、24は、例えば処理ユニット18、24によって、故障検出ユニット20、26に設けられたタイマー回路を設定するために、所定の間隔で故障検出ユニット20、26にトリガーを送って、故障検出ユニット20、26を連続的に刺激する。
故障検出ユニット20、26および監視ユニット22、28は、チャンネルユニットごとに、コミュニケーションバスを切断するように構成されたバス切断ユニット36(バス・シャットダウン装置)を共同で制御する。コミュニケーションバスは、ヘッド・モジュールと周辺モジュール部分の間にアクティブ・バス接続を確立して、モジュール間でデータ信号の交換に寄与する。
コミュニケーションバスを経た通信は、SIL4まで承認された、セキュアで強制的に動的なデータ通信においてヘッドと周辺モジュール部分との間のプロセス画像を伝送するプロトコルにより実現されることができる。
バス切断ユニット36は、例えば、バスの信号線を物理的に分離するかまたはそれらをグラウンドの方へ引き込むユニットによって、コミュニケーションバスを、シャットダウンできる。
コミュニケーションバスの信号線は、少なくとも1つの処理ユニット(図1では第1の処理ユニット18)をヘッド・モジュールのバス端子に接続する。バス切断ユニット36は、その間に設置することができて、チャンネルユニット当たりスイッチング素子38A、38Bを含むことができる。
本実施の形態において、第1の故障検出ユニット20および第1の監視ユニット22は、論理的「AND」リンク40を介して、第1のスイッチング素子38Aを制御する。
第2の故障検出ユニット26および第2の監視ユニット28は、さらなる論理的「AND」リンク40を介して、第2のスイッチング素子38Bを制御する。
過電圧または過小電圧または期限切れのウォッチドッグの場合、どんな信号も周辺モジュール部分に送られないように、コミュニケーションバスを経た通信は中断される。
出力モジュールとして設定された本来の安全周辺モジュール部分の場合、失った信号はタイムアウト例外(timeout exception)に導かれ、それは最終的に、スイッチオフされている出力モジュールの出力に至る。
ヘッド・モジュールにおいて、チャンネルユニット12、14の処理ユニット18、24は、加えて、専用インタフェース42を介して各々を互いに監視することができる。故障が生じた場合、処理ユニット18、24の範囲内で、シャットダウン・メカニズムを通して適切な応答を生起できる。
例えば、インタフェース42によって、処理ユニット18、24が、互いの供給電圧を監視して、故障が生じた場合それに応じて反応することができる。
インタフェース42は、過電圧保護デバイス44を含むことができる。
故障検出ユニット20、26および監視ユニット22、28に加えて、各チャンネルユニット12、14は、処理ユニット18、24のそれぞれの温度を監視する温度センサ46を含むことができる。これらのユニットの温度が臨界閾値を超える場合、対応する反応が誘発され、例えば、プロセス・データがZEROに設定される。
部品の対応する多様性を伴う2チャンネル設計のため、ヘッド・モジュール10は、EN 61508に従ってSIL3まで承認され得る。図4を参照しながら後に述べるように、SIL3より高い要件のプロフィールに適用するため、このヘッド・モジュールを使用することもできる。
図2は、本発明の実施の形態による、モジュラー制御装置のための周辺モジュール部分の概要図を示す。周辺モジュール部分は、参照番号50によって示される。
後に図3および図4を参照して詳細に述べるように、周辺モジュール部分は、バックプレーン・モジュール部分とともに周辺モジュールを形成する。同様に、バックプレーン・モジュール部分を有する複数の周辺モジュール部分は、モジュラー制御装置の周辺モジュールを形成する。
本実施の形態において、周辺モジュール部分50は、冗長なチャンネルユニット群を形成する第1のチャンネルユニット52および第2のチャンネルユニット54を含む。さらに、周辺モジュール部分50は、出力ユニット56を含む。
第1のチャンネルユニット52は、第1のユニット58(μC_A)および、第1の故障明示ユニット(failure revelation unit)としての、第1の故障検出ユニット60および第1の監視ユニット62を含む。第2のチャンネルユニット54は、ユニット64(μC_B)および、第2の故障明示ユニットとしての、第2の故障検出ユニット66および第2の監視ユニット68を含む。
チャンネルユニット52、54、処理ユニット58、64、故障検出ユニット60、66および監視ユニット62、68は、ヘッド・モジュール10の対応するユニットに類似していてもよい。これは、これらのユニットの詳細にも当てはまり、ヘッド・モジュール10に関して以下で説明する。
出力ユニット56は、アクチュエータ(図示せず)に接続される少なくとも1つの出力70と、出力70を設定する(すなわちオンオフを切替える)ことができるスイッチング素子72Aおよび72Bとを含む。
第1のチャンネルユニット52は第1のスイッチング素子72Aを制御し、第2のチャンネルユニット54は第2のスイッチング素子72Bを制御する。出力70は、このように冗長に制御される。
さらにまた出力70は、スイッチング素子72Aおよび72Bを介して、外部周辺(peripheral)電圧が供給される端子PSに接続される。スイッチング素子72Aおよび72Bを閉じることにより出力70をオンすると、周辺電圧が出力70に印加される。出力70に接続しているアクチュエータ(例えば接触器)は、出力70がセットされた(スイッチを入れた)ときに、周辺電圧により付勢される。
処理ユニット58、64に供給される外側からのモジュール電圧は、周辺モジュール部分50上の、他の端子MSを経て印加される。
モジュール電圧は、ヘッド・モジュール10が利用するのと同じ電圧でもよく、電源モジュールにより供給されることができる。
処理ユニット58、64は、ヘッド・モジュール10を制御することによって、出力ユニット56を制御する。
このためには、少なくとも1つの処理ユニット(ここでは第1の処理ユニット58)が、そこからの出力(PIO)のプロセス画像を受信するために、バス接続74を経て、前に述べたコミュニケーションバスに接続される。
処理ユニット58、64は、デュアルチャンネルの方法で、すなわち処理ユニット58、64の各々を同期させて、出力のプロセス画像を処理する。
さらにまた、論理的「AND」処理76を用いてここで示されるように、チャンネルユニット当たりの出力ユニット56の制御は、故障検出ユニット60、66および監視ユニット62、68に依存している。
監視ユニット62、68は処理ユニット58、64の供給電圧を監視し、その一方で故障検出ユニット60、66は、処理ユニット58、64のためのウォッチドッグを各々実行する。すべてのユニットが同意する場合のみ、スイッチング素子72A、72Bは作動し、出力70はスイッチ・オンされることが可能になる。
加えて、処理ユニット58、64の温度監視が、温度センサ78によって、ヘッド・モジュール10に関連して記載されているとおり、用意されてもよい。
出力ユニット56は、セパレータ80A、80Bを介して、チャンネルユニット52、54から電気的に分離されていてもよい。
セパレータ80A、80Bは、この目的のために、それらに電気的に接続されていないチャンネルユニット52、54によって、スイッチング素子72A、72Bを駆動するオプトカップラを含む回路であってもよい。
対応部品の多様性を伴う2チャンネル設計のため、周辺モジュール部分50は、EN 61508のSIL3にまで承認されることができる。以下に述べるように、SIL3より高い要件プロフィールの適用を有効にするために、この周辺モジュール部分をヘッド・モジュールとともに使用することができる。
図3は、SIL3までの適用のために構成された、1つの実施の形態に係るモジュラー制御装置の概要図を示す。モジュラー制御装置の全体を参照番号100で示す。
モジュラー制御装置100は、ヘッド・モジュール10と、周辺モジュールアセンブリ80とを含む。周辺モジュールアセンブリ80は、入力モジュール部分82、および出力モジュール部分としての先に述べた周辺モジュール部分50を含む。さらにまた、モジュラー制御装置100は、電源モジュール84と、周辺モジュールアセンブリ80を完成させるためのバックプレーン・モジュール部分86とを含む。
電源モジュール84は、モジュラー制御装置100に関して、前に述べたモジュール電圧MSおよび周辺電圧PSを供給するための端子88、90を提供する。
電源モジュール84は、しかしながら、電源モジュール84がフェイルセーフ・ユニットであることを必要としないという原則において、出力された電圧を監視するための手段(図示せず)を含んでいてもよい。
MS電圧およびPS電圧は、端子88、90に接続している電源(図示せず)から供給される。これらの電源はSELV/PLEV電源であってもよい。SELV/PLEV電源は、例えば、安全上の注意をSELV/PLEV電源により提供される電圧のレベルにまで引き下げる。
電源モジュール84は、モジュール電圧MSをヘッド・モジュールに提供するための端子を備えている。さらにまた、電源モジュール84は、バックプレーン・モジュール部分86にモジュール電圧MSおよび周辺電圧PSを供給するための端子を備えている。
バックプレーン・モジュール部分86から、入力モジュール部分および周辺モジュールアセンブリ80の出力モジュール部分に、電圧が供給される。
電源モジュール84へのさらなる端子は、ヘッド・モジュール10からバックプレーン・モジュール部分86までコミュニケーションバスを通すことができる。
また、電源モジュール84自体が、ヘッド・モジュール、および/または、周辺モジュールに接続するために、処理ユニットを介してコミュニケーションバスにアクセスすることも考えらる。
処理ユニットは、モジュール電圧MSおよび周辺電圧PSが受け取られる端子88、90から電気的に絶縁されていてもよい。
バックプレーン・モジュール部分86は、コミュニケーションバスおよび供給電圧を周辺モジュール部分へ伝達する。周辺モジュール部分は、典型的にはバックプレーン・モジュール部分86に接続される。
バックプレーン・モジュール部分86は、モジュール電圧MSを、接続された周辺モジュール部分の電子部品を駆動する所定の電圧に変換するための電源92を含んでいる。
バックプレーン・モジュール部分86は、周辺モジュール部分がバスにアクセスすることを許容するための制御部分94、特にASIC(Application-Specific Integrated Circuit)を含む。制御部分94は、コミュニケーションバスを介して信号を送受信し、またはそれらを伝送する。
バックプレーン・モジュール86の周辺モジュール部分に送られるデータは、制御部分94によって受信されて、インタフェース、例えばSPI(Serial Peripheral Interface)を介して、そこを通過する。
バックプレーン・モジュール部分86は、それ自身、安全機能を有しない。バックプレーン・モジュール部分86の故障は、ヘッド・モジュール10または本来の安全周辺モジュール部分(「黒いチャンネル原則」)により検出されて、制御される。これには、安全なバスプロトコルを通して実行されるバス通信を必要とする。バスプロトコルは、SIL 4まで承認されているプロトコルであってもよい。
入力モジュール部分82は、接続された各エンコーダから入力信号を受け取るために、一つまたはそれ以上の入力96を有することができる。出力モジュール部分と同様に、入力モジュール部分82は、入力96の2チャンネル処理のための2つのチャンネルユニットを有することができる。
このために、入力96で受け取られた各信号は、モジュラー制御装置のすべての入力のためのヘッド・モジュール10によって生成された入力のプロセス画像(PII)に関与するために、両方のチャンネルユニットに送られ、そこで処理される。
異なるチャンネルユニットの各処理ユニットは、基本的に相互を監視して入力信号どうしを比較する。
入力の決定された状態は、ヘッド・モジュールに発信される。この目的のために、例えば、入力モジュールは、インタフェースを介してバックプレーン・モジュール部分86の中のコミュニケーションバスにアクセスしてもよい。
ヘッド・モジュール10は、各入力の状態に関する情報を統一プロセス画像に接続して、プロセス画像を入力とするユーザプログラムを実行する。ユーザプログラムは、サイクルで次々と処理される命令のリストを含む。
ユーザプログラムの実行により、サイクルの終わりに出力モジュール部分50に発信される出力のプロセス画像(PIO)が更新される。出力モジュール部分50は、出力のプロセス画像(PIO)を受信して、それに基づいて、図2を参照して記載されている方法で、出力70を制御する。すなわち、出力モジュール部分50は、出力のプロセス画像にしたがって出力70を設定する(オンにする)。ただし、チャンネルユニット52、54の処理ユニット58、64が故障を検出しないこと、ならびに、故障検出ユニット60、66および監視ユニット62、68が出力70オンに同意することを条件とする。
ヘッド・モジュール10および複数の周辺モジュール部分がSIL3まで承認されることが可能であり、「黒いチャンネル原則」にしたがって通信がなされると、ここに記載されているアーキテクチャはSIL3までの適用のために承認されることができる。共通原因故障CCFの制御のために、例えば鉄道アプリケーションのために必要とされるような、主要な独立(primary independence)が必要とされない。その理由は、ヘッド・モジュールおよび出力モジュールにおいて図1および図2に関連して説明されている追加的な手段は、対応するフレームワーク条件(重要な回路部品のロバストな設計など)とともに、共通原因故障CCFの充分な制御を有効にするからである。
入力モジュール部分82は2つの冗長な入力I/I*を扱うことができ、出力モジュール部分50は2つの冗長な出力O/O*を扱うことができる。よって、モジュラー制御装置はSIL3までの適用を全体として有効にすることができる。関連した標準により定義される相互関係のある実体(観察ユニット)は、ハッチングによって、各場合においてここで強調されている。
さらにまた、ここに記載された部品により、部品の設計を基本的に変えることなくSIL3より高い要件プロフィールを有する適用を有効にするアーキテクチャを成し遂げることが可能である。この種のアーキテクチャの実施の形態は、図4に示される。
図4は、SIL3より高い要件プロフィールの適用のために構成されたモジュラー制御装置の実施の形態に係る概要図を示す。図3と同じ参照符号は同じ部品を示す。よって、これらの部品は以下の説明には再掲されない。
上に述べた部品によってアーキテクチャを有効にするために(EN 61508標準に基づくSIL4までの承認がないとしても)、それはSIL3より高い要件プロフィールの適用を許容し、例えば、実体の主要な独立が保証されなければならない。主要な独立は、例えば、鉄道アプリケーションで必要とされる。
主要な独立は、2つのアセンブリ102、104の間で冗長な入力I/I*および出力O/O*を分離することによって、達成することが可能である。2つのアセンブリ102、104は、それぞれ、出力モジュール部分50および入力モジュール部分82を含み、出力モジュール部分50´および入力モジュール部分82´を含む。出力モジュール部分50、50´および入力モジュール部分82、82´は、それぞれバックプレーン・モジュール部分86に接続されている。
第1のアセンブリ102の入力モジュール部分82および出力モジュール部分50は、ヘッド・モジュール10の第1のチャンネルユニット12とともに、第1の標準的な実体(normative entity)を形成する。そして、第2のアセンブリ104の入力モジュール部分82´および出力モジュール部分50´は、ヘッド・モジュール10の第2のチャンネルユニット12とともに、第2の標準的な実体を形成する。ここでは、各々対応するハッチングによって強調される。
各実体は、このように、それ自身の入力モジュール部分、ヘッド・モジュールのチャンネル、およびそれ自身の出力モジュール部分によって形成される。冗長な入力I/I*および冗長な出力O/O*は、各実体の間でそれぞれ分けられて、このように異なる入力モジュールまたは出力モジュール上に設置される。よって、入力部品と出力部品は、互いに各々から切り離されて、バックプレーンの通信装置および電源を介してのみ接続される。
ヘッド・モジュール10において、チャンネルユニット12、14の分離およびそれらの電源の分離は、追加で実施されなければならない。なぜなら、両実体ともこの1台のモジュール内に設置されているからである。
原則として、この種の分離を提供するために、さまざまな方法が考えられる。
分離の要件は、外部の状況に依存する。よって、特定の仮定がなされる場合、単純な分離装置でも充分である。
例えば、電圧監視は、電圧が所定の遮断電圧(例えば3.5V)を上回ると、コミュニケーションバスを介しての通信を停止する。したがって、処理ユニット18、24間の接続の考慮は、この遮断電圧に達する前で必要なのみである。なぜなら、遮断電圧を超える電圧で、バス上の通信は停止され、したがって、処理ユニットにおける故障は各周辺モジュール部分で効果を表さないからである。換言すれば、 処理ユニット間の通信リンクのセパレータは、電圧の監視に基づいて調整されてもよい。
この通信は、入出力インターフェースを介して定期的に起こる。電圧監視に関して、入出力インターフェースの端子間の接続において、MELF抵抗器が配置されれば充分である。信号の「stack-at-high」な故障の場合および遮断電圧に等しい過電圧の場合、接続線上の電流は接続当たり最大値に限られている。しかしながら、この電流は、処理ユニットまたはそのプロセッサ・コアを破壊しない。最大でも、入出力インターフェースの端子ピンが破壊されるのみである。1本の端子ピンが常に通信回線上の入力(Rx)として構成され、他のピンが通信回線上の出力(Tx)として構成されるので、1本の出力ピンのみが破壊されることになる。しかしながら、これは共通原因故障CCFでない。なぜなら、いずれの場合においても、他の処理ユニットの入力ピンは故障の影響を受けないからである。
故障検出ユニットのみならず電圧監視ユニットはそれ自体、過電圧関連の共通原因故障CCFのための設定でなければならない。
この目的のために、バス切断ユニットが所定の過電圧に耐えさえすれば充分である。なぜなら、電圧監視装置および故障検出ユニットはそれを動的に制御して、それは複数の直列キャパシタを介して切り離されることができるからである。
さらにまた、所定の過電圧は、特定の電圧に限られている。例えばSELV/PELV電源からシステムに電源を供給することによって、所定の過電圧を最大値(例えば60V)に制限する。
処理ユニットへの他の接続もこのような簡単な方法で切り離されることができるものと理解されるべきである。単純なMELF抵抗器が、同様にここで用いられることが可能である。
図5は、発明の実施の形態に係るバックプレーン・モジュール部分86の概要図を示す。
バックプレーン・モジュール部分86は、モジュラー制御装置の個別部品の間に、電源供給および通信リンクを提供する。この目的のために、複数のバックプレーン・モジュール部分は、通信および電源のバス構造を提供するために、行内で相互接続される。
各バックプレーン・モジュール部分86は、左の隣接モジュールへの接続のための一組の第1の端子106と、右の隣接モジュールへの接続のための一組の対応する第2の端子108とを有する。連絡線110は、第1の端子106を第2の端子108の対応物に接続する。
ここで示される実施の形態において、第1および第2の端子106、108はそれぞれ、モジュール電圧のためのMS端子、周辺電圧のためのPS端子およびコミュニケーションバスのためのバス端子を含む。
他の端子組112は、バックプレーン・モジュール部分86に関連したモジュール部分をバス構造に接続する。各端子112は、それぞれの接続線110への直接的または間接的な接続を含むことができる。
例えば、図5に示すように、周辺電圧PSは接続されたモジュール部分に直接供給されることができ、その一方で、モジュール電圧は、バックプレーン・モジュール部分86に集積された電源92によって、まず変換される。
さらにまた、前述したように、バックプレーン・モジュール部分86は、被接続モジュール部分のためのコミュニケーションバスに接続を提供できる。当該接続は、バックプレーン・モジュール部分86に集積された制御部分94を介して、実現できる。
バックプレーン・モジュール部分86の制御部分94は、行の形で(in a row form)、コミュニケーションバスのノードとして配置され、例えば、ASICとして実装されることができる。
制御部分94は、次のバックプレーン・モジュール部分にデータを送り届けることができる。あるいは、データがそのモジュールを目的とする場合、制御部分94は データを取得して、被接続モジュール部分にそれを供給できる。
制御部分94は、SPIを介して被接続モジュール部分の処理ユニットに接続されることができる。そのSPIを介して、処理ユニットは、コミュニケーションバスからデータを受け取ることができて、送信のため当該バスにデータを移送できる。
前述した、バックプレーン・モジュール部分86に関する実施の形態によって、バックプレーン・モジュール部分86は、周辺モジュール部分という形で安全に関連した実体の分離に関与できる。
分離は、各周辺モジュール部分がSPIを介して接続を持つことができる制御部分を介して、達成されることが可能である。さらにまた、各実体のための分離されたバックプレーン・モジュール部分86の使用は、各実体が電源を供給するための別々の電源92を有することを保障する。
上に述べたバックプレーン・モジュール部分86は、一例として理解されるべきであり、周辺モジュール部分およびヘッド・モジュールを相互接続するために、他の実施の形態も考えられる。
最後に、図6は、実施の形態に係る電源モジュールの概要図を示す。電源モジュールは、参照番号84によって、全体が示される。
電源モジュール84は、外部への供給電圧を受信するために、端子88、90を含む。前述したモジュール電圧MSは端子88に供給され、周辺電圧PSは端子90に供給される。
本実施の形態において、電源モジュール84は、供給された電圧を監視するための手段をさらに含む。
MSのための外部への供給電圧は、SELV/PELV電源ユニットにより用意される。公称電圧は、業界標準の 24V であってもよい。端子88、90のダイオード(例えばtransilダイオード、図示せず)は、電圧スパイクを約36Vに制限できる。供給電圧は、変圧器114を通して、電気的に絶縁された供給電圧レール115に供給され、その公称電圧も24Vであってよい。
114変圧器の一次および二次側には、例えば、38Vにセットされた各電圧監視デバイス116が設けられている。もし38Vを超える電圧が検出された場合、変圧器114の接続はスイッチング素子118によって切断される。
PSのための外部への供給電圧は、SELV/PELV電力供給から得ることもできる。この電圧は、電源モジュール84の処理ユニット120によって、スイッチング素子122を介して有効にされることができる。この目的のために、処理ユニット120は、スイッチング素子122の上流で、電圧監視デバイス124によって電圧を検出し、評価することができる。
PSレールの温度は温度センサ126で、およびスイッチング素子122の下流のPSレールの状態は、さらなる電圧監視デバイス124’で検出され、それに応じて応答する。
各端子128(それはバックプレーン・モジュール部分86の第1の端子106に対応する)は、モジュール電圧MSおよび周辺電圧PSを、接続された各モジュールに渡す。
さらにまた、電源モジュール84は、コミュニケーションバスに接続されてもよい。この目的のために、処理ユニット120が上に説明した方法でコミュニケーションバスにアクセスすることができるために、他の制御部分94が、電源モジュール84の中に設けられてもよい。
処理ユニット120および制御部分94は、供給電圧レール115から他の電源92を介して、電力を供給されてもよい。
上に述べた電源モジュール84は、一例として理解されるべきであり、モジュラー制御装置のための他の電源も考えられる。原則として、電源モジュール84は、フェイルセーフ・ユニットである必要はない。

Claims (21)

  1. それぞれ処理ユニット(18、24)および故障明示ユニット(20、22、26、28)を備える冗長な複数のチャンネルユニット(12、14)を有する、モジュラー制御装置(100)のためのヘッド・モジュール(10)であって、
    前記故障明示ユニット(20、22、26、28)は、前記各チャンネルユニット(12、14)の状態を監視するように構成され、前記処理ユニット(18、24)は、故障明示ユニット(20、22、26、28)を連続的に刺激するように構成され、
    前記冗長なチャンネルユニット(12、14)内の少なくとも1つの処理ユニット(18)は、モジュラー制御装置(100)の1つまたはそれ以上の周辺モジュール部分(50)に通信リンクを提供するために、コミュニケーションバスの信号線に接続され、
    前記故障明示ユニット(20、22、26、28)は、前記刺激および前記監視に基づいて、前記コミュニケーションバスを切断するように構成されたバス切断ユニット(36)を制御するように構成される、ヘッド・モジュール。
  2. 前記故障明示ユニット(20、22、26、28)は、チャンネルユニット(12、14)当たり、監視ユニット(22、28)および故障検出ユニット(20、26)を含み、
    前記監視ユニット(22、28) は、チャンネルユニット(12、14)の各電源ユニット(30、32)を監視するように構成され、
    前記故障検出ユニット(20、26)は、前記刺激に応答して信号を提供するように構成される、請求項1に記載のヘッド・モジュール。
  3. 前記バス切断ユニット(36)は、前記コミュニケーションバスの信号線に配置される各チャンネルユニット(12、14)のためのスイッチング素子(38)を含み、
    各チャンネルユニット(12、14)の前記故障検出ユニット(20、26)は、前記スイッチング素子の1つに関連し、
    前記故障明示ユニット(20、22、26、28)は協働して、関連する前記スイッチング素子(38)に作用するように構成される、請求項1または請求項2に記載のヘッド・モジュール。
  4. 各チャンネルユニット(12、14)の前記監視ユニット(22、28)は、関連するスイッチング素子(38)に、特にそれぞれ関連するチャージポンプを介して作用するため、前記監視に基づく動的な制御信号を生成するように構成される、請求項2または請求項3に記載のヘッド・モジュール。
  5. 前記故障検出ユニット(20、26)は、それぞれの処理ユニット(18、24)による前記刺激に応答して、動的な制御信号の生成を遮断するように構成される、請求項4に記載のヘッド・モジュール。
  6. 前記処理ユニット(18、24)と前記バス切断ユニット(36)との間の各チャンネルユニット内の前記故障明示ユニット(20、22、26、28)の信号経路に直列に配置される少なくとも1つのキャパシタを含む、請求項1~請求項5のいずれか1項に記載のヘッド・モジュール。
  7. 前記チャンネルユニット(12、14)は、前記モジュラー制御装置(100)の前記1つまたはそれ以上の周辺モジュール部分(50)と、コミュニケーションバスのみを介して通信するように構成される、請求項1~請求項6のいずれか1項に記載のヘッド・モジュール。
  8. 各チャンネルユニット(12、14)の前記処理ユニット(18、24)は、前記処理ユニット(18、24)が互いを監視するため、前記コミュニケーションバスから独立したインタフェースを介して、相互に通信するように構成される、請求項1~請求項6のいずれか1項に記載のヘッド・モジュール。
  9. 前記インタフェースのための過電圧保護は、それぞれ用意され監視されている供給電圧に基づいて設計され、特に抵抗値が、前記監視ユニット(22、28)のスイッチオフ電圧に基づくように設定された抵抗器によって形成される、請求項8に記載のヘッド・モジュール。
  10. 各チャンネルユニット(12、14)の前記処理ユニット(18、24)は、関連する前記故障明示ユニット(20、22、26、28)の機能テストを実行して試験結果を読み込むように、特に試験結果をそれぞれの他の処理ユニットに提供する構成される、請求項1~請求項9のいずれか1項に記載のヘッド・モジュール。
  11. 冗長な複数のチャンネルユニット(52、54)および少なくとも1つの出力ユニット(56)を有する、モジュラー制御装置(100)のための周辺モジュール部分(50)であって、
    前記出力ユニット(56)は、前記冗長なチャンネルユニット(52、54)による制御に応答して1つまたはそれ以上の出力(70)を設定するように構成され、
    前記チャンネルユニット(52、54)は、それぞれ処理ユニット(58、64)および故障明示ユニット(60、62、66、68)を備え、
    前記故障明示ユニット(60、62、66、68)は、各チャンネルユニットの状態、特に各チャンネルユニットに共通の供給電圧を監視するように構成され、
    前記処理ユニット(58、64)は、それぞれ前記故障明示ユニット(60、62 66、68)を刺激するように設定され、
    各チャンネルユニットの故障明示ユニット(60、62、66、68)は、前記刺激および前記監視に応答して、前記出力ユニット(56)の出力(70)の設定を制御するように集合的に配置される、周辺モジュール部分。
  12. 各チャンネルユニット(52、54)の前記故障明示ユニット(60、62、66、68)は、前記出力ユニット(56)を制御するための前記監視に応答して、特にチャージポンプを経て、動的な制御信号を生成するように構成される、請求項11に記載の周辺モジュール部分。
  13. 各チャンネルユニットの前記故障明示ユニット(60、62、66、68)は、それぞれの処理ユニットによる前記刺激に応答して動的な制御信号の生成を遮断するように構成されている、請求項12に記載の周辺モジュール部分。
  14. 前記出力ユニット(56)が、前記冗長なチャンネルユニット(52、54)から電気的に分離されている、請求項11~請求項13のいずれか1項に記載の周辺モジュール部分。
  15. 請求項1~請求項10のいずれか1項に記載のヘッド・モジュール(10)と、請求項11~請求項14のいずれか1項に記載の周辺モジュール部分(50)とを含む、モジュラー制御装置(100)。
  16. 少なくとも第1の周辺モジュール部分および第2の周辺モジュール部分をさらに備え、
    前記ヘッド・モジュール(10)の第1のチャンネルユニット(12)は、前記第1の周辺モジュール部分により第1の機能ユニットを形成し、
    前記ヘッド・モジュール(10)の第2のチャンネルユニット(14)は、前記第2の周辺モジュール部分により、前記第1の機能ユニットから独立した第2の機能ユニットを形成する、請求項15に記載のモジュラー制御装置。
  17. 前記ヘッド・モジュール(10)、前記第1の周辺モジュール部分および前記第2の周辺モジュール部分は、コミュニケーションバスを介してのみ互いに通信する、請求項16のモジュラー制御装置。
  18. 請求項15~請求項17のいずれか1項に記載のモジュラー制御装置であって、
    ヘッド・モジュール(10)のための、および、少なくとも1つの周辺モジュール部分(50)のための電源としてヘッド・モジュール(10)に共通モジュール電圧を供給し、ならびに、前記少なくとも1つの周辺モジュール部分(50)の出力ユニット(56)に周辺電圧を供給するように構成された電源モジュール(84)をさらに備え、特に前記電源モジュール(84)が非安全なユニットである。
  19. 前記電源モジュール(84)は、前記共通モジュール電圧または前記周辺電圧の少なくとも1つを供給するために、SELV/PELV電源から電力を受け取る、請求項18に記載のモジュラー制御装置。
  20. 前記電源モジュール(84)は、共通モジュール電圧を電源から電気的に切り離すセパレータ(114)を含む、請求項18または請求項19に記載のモジュラー制御装置。
  21. モジュラー制御装置のヘッド・モジュール(10)のための方法であって、
    前記ヘッド・モジュール(10)は、それぞれ処理ユニット(18、24)および故障明示ユニット(20、22、26、28)を備える冗長な複数のチャンネルユニット(12、14)を有し、
    前記故障明示ユニット(20、22、26、28)は、それぞれのチャンネルユニット(12、14)の状態を監視し、
    前記処理ユニット(18、24)は、前記故障明示ユニット(20、22、26、28)を連続的に刺激し、
    前記処理ユニット(18)の少なくとも1つは、前記モジュラー制御装置(100)の1つまたはそれ以上の周辺モジュール部分(50)に通信リンクを提供するために、コミュニケーションバスの信号線に接続され、
    前記故障明示ユニット(20、22、26、28)は、前記刺激および前記監視に応答して前記コミュニケーションバスを切断するためにバス切断ユニット(36)を制御する、方法。
JP2022008626A 2021-01-29 2022-01-24 モジュラー安全制御 Pending JP2022117460A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021102169.3 2021-01-29
DE102021102169.3A DE102021102169A1 (de) 2021-01-29 2021-01-29 Modulare Sicherheitssteuerung

Publications (1)

Publication Number Publication Date
JP2022117460A true JP2022117460A (ja) 2022-08-10

Family

ID=80001304

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022008626A Pending JP2022117460A (ja) 2021-01-29 2022-01-24 モジュラー安全制御

Country Status (5)

Country Link
US (1) US20220244694A1 (ja)
EP (1) EP4036671A1 (ja)
JP (1) JP2022117460A (ja)
CN (1) CN114815579A (ja)
DE (1) DE102021102169A1 (ja)

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10345819B4 (de) * 2003-09-30 2010-07-01 Ifm Electronic Gmbh Elektronisches, vorzugsweise berührungslos arbeitendes Schaltgerät
JP4366652B2 (ja) * 2004-04-23 2009-11-18 横河電機株式会社 伝送器及びその二重化方法
US8161362B2 (en) * 2005-06-10 2012-04-17 Hitachi, Ltd. Task management control apparatus and method, having redundant processing comparison
DE102005030276A1 (de) * 2005-06-21 2006-12-28 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung und Verfahren zum sicheren Abschalten eines Verbrauchers in einer automatisiert arbeitenden Anlage
JP4893931B2 (ja) * 2006-05-19 2012-03-07 オムロン株式会社 セーフティ・コントローラ
US8228946B2 (en) * 2009-07-29 2012-07-24 General Electric Company Method for fail-safe communication
US8769158B2 (en) * 2011-07-08 2014-07-01 Rockwell Automation Technologies, Inc. High availability device level ring backplane
DE102012101516A1 (de) 2012-02-24 2013-08-29 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung mit Netzteil
DE102012103194B4 (de) * 2012-04-13 2014-09-11 Pilz Gmbh & Co. Kg Verfahren zum Übertragen von Prozessdaten in einer automatisiert gesteuerten Anlage
DE102013111179A1 (de) 2013-10-09 2015-04-09 Pilz Gmbh. & Co. Kg Modulare Steuervorrichtung mit Lastüberwachung
US9128841B2 (en) * 2013-11-12 2015-09-08 Thales Canada Inc. Remote shutdown via fiber
US9882376B2 (en) * 2014-12-19 2018-01-30 International Business Machines Corporation Electrostatic discharge power clamp with fail-safe design

Also Published As

Publication number Publication date
EP4036671A1 (de) 2022-08-03
US20220244694A1 (en) 2022-08-04
DE102021102169A1 (de) 2022-08-04
CN114815579A (zh) 2022-07-29

Similar Documents

Publication Publication Date Title
JP5047453B2 (ja) 電気的負荷のフェールセーフ断路のための装置
US6732300B1 (en) Hybrid triple redundant computer system
US6466539B1 (en) Bus system
EP2720094B1 (de) Sicherheitssystem
CN104285352A (zh) 具有电源的安全开关设备
US10567191B2 (en) Fieldbus module and method for operating a fieldbus system
US7257123B2 (en) Gateway having bypassing apparatus
CN101639697B (zh) 用于测试和保护数字输出电路的装置
JP2007312573A (ja) ビルディングブロック型のセーフティ・コントローラにおけるioユニット
KR20210050573A (ko) 차량 제어 시스템
JP4494313B2 (ja) リレー出力装置
EP3498607B1 (en) Routable backup power control units
US20090234469A1 (en) Method and Apparatus for Driving a Load
JP4313199B2 (ja) 少なくとも2つの航空機座席用の制御及び電源システム
JP2022117460A (ja) モジュラー安全制御
US8199448B2 (en) Method and apparatus for protecting against reverse current flow
CN102591322A (zh) 检验带有部件的控制系统的功能
CN114488769B (zh) 防护模块、具有防护模块的控制装置及控制方法
US20210063988A1 (en) High Current and Power Limiting Circuit for I/O Modules with Internal Output Power Support
JP7068458B2 (ja) コンベアの制御装置
KR101310100B1 (ko) Can통신을 이용한 병렬 제어기
KR102150887B1 (ko) 로봇 제어용 시스템 및 방법
US20240103474A1 (en) Safety i/o module with multi-channel high side switch
JP7329579B2 (ja) 制御装置
EP2413210B1 (en) Module interfacing