JP2023509232A - 安全対応制御のためのシステム及び方法 - Google Patents
安全対応制御のためのシステム及び方法 Download PDFInfo
- Publication number
- JP2023509232A JP2023509232A JP2022552311A JP2022552311A JP2023509232A JP 2023509232 A JP2023509232 A JP 2023509232A JP 2022552311 A JP2022552311 A JP 2022552311A JP 2022552311 A JP2022552311 A JP 2022552311A JP 2023509232 A JP2023509232 A JP 2023509232A
- Authority
- JP
- Japan
- Prior art keywords
- remote control
- safety
- mode
- safety system
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000004891 communication Methods 0.000 claims description 61
- 230000004044 response Effects 0.000 claims description 25
- 238000003860 storage Methods 0.000 claims description 19
- 238000012790 confirmation Methods 0.000 claims description 14
- 238000012544 monitoring process Methods 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 8
- 230000006870 function Effects 0.000 description 15
- 238000012545 processing Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000012360 testing method Methods 0.000 description 7
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 4
- 229910052710 silicon Inorganic materials 0.000 description 4
- 239000010703 silicon Substances 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004377 microelectronic Methods 0.000 description 3
- 230000001537 neural effect Effects 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 229910000679 solder Inorganic materials 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 238000009781 safety test method Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B13/00—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
- G05B13/02—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
- G05B13/0265—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric the criterion being a learning criterion
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Selective Calling Equipment (AREA)
- Safety Devices In Control Systems (AREA)
- Regulation And Control Of Combustion (AREA)
- Air Bags (AREA)
- Debugging And Monitoring (AREA)
Abstract
安全対応制御のためのシステム及び方法。【選択図】図1A
Description
関連出願への相互参照
[0001] 本願は、2020年2月27日に出願された米国仮出願第62/982,615号に対する優先権を主張し、この参照によってその全体が本明細書に組み込まれる。
[0001] 本願は、2020年2月27日に出願された米国仮出願第62/982,615号に対する優先権を主張し、この参照によってその全体が本明細書に組み込まれる。
[0002] 本開示は、概して、システム制御分野に関し、より具体的には、システム制御分野における新規で有用なシステム及び方法に関する。
[0003] システム制御分野では、改良された制御システム及び制御方法を作成することが必要とされている。本開示は、そのような改良された制御システム及び方法を提供する。
[0008] 好ましい実施形態の以下の説明は、本開示をこれらの好ましい実施形態に限定することを意図するものではなく、当業者が、開示された実施形態を作成及び使用することを可能にすることを意図している。
1.概要
[0009] 本明細書に開示される実施形態は、1以上のシステムの安全対応制御のためのシステム及び方法を含む。
[0009] 本明細書に開示される実施形態は、1以上のシステムの安全対応制御のためのシステム及び方法を含む。
[0010] システム(例えば、100)は、別のシステム又はコンポーネントの安全対応制御を提供するように機能する。ある変形例では、システム100は、安全システム(エンドポイントコントローラ)(例えば、図1A及び図1Bに示される110)を含む。変形例では、システム100は、制御システム(例えば、120)、インタフェースデバイス(例えば、161、162)、遠隔制御ユニット(例えば、151)、制御下システム(例えば、140)及び管理プラットフォーム(例えば、図1Bに示される170)のうちの1以上を含む。
[0011] ある変形例では、方法は、少なくとも1つの制御下システムとの通信を確立するステップ(例えば、S210)と;制御下システム(例えば、140)を動作させるステップS220と、を含む。方法は、任意選択的に、制御下システムの動作のための動作モードを切り替えるステップ(S230)を含む。
2.利点
[0012] 本明細書に開示される実施形態は、従来のシステム及び方法に対していくつかの利点を提供することができる。
[0012] 本明細書に開示される実施形態は、従来のシステム及び方法に対していくつかの利点を提供することができる。
[0013] 第1に、本明細書に開示されるシステム及び方法によれば、自律モードでの切り替え動作は、明示的な許可及び切り替えの意図が確立された後にのみ実行されることができる。
[0014] 第2に、本明細書に開示されるシステム及び方法によれば、1以上のシステムが、単一の遠隔制御ユニット又はユーザ装置から監視モードで制御されることができる。
[0015] しかしながら、本明細書に開示された実施形態からさらなる利点が実現されることができる。
3.システム
[0016] 図1A及び図1Bは、実施形態に係るシステムの概略図である。
[0016] 図1A及び図1Bは、実施形態に係るシステムの概略図である。
[0017] システム(例えば、100)は、別のシステム又はコンポーネントの安全対応制御を提供するように機能する。ある変形例では、システム100は、安全システム(例えば、図1A及び図1Bに示される110)を含む。変形例では、システム100は、制御システム(例えば、120)、インタフェースデバイス(例えば、161、162)、遠隔制御ユニット(例えば、151)、制御下システム(例えば、140)及び管理プラットフォーム(例えば、図1Bに示される170)のうちの1以上を含む。
[0018] ある変形例では、安全システム110は、制御システム120、インタフェースデバイス(例えば、161、162)、遠隔制御ユニット(例えば、151、152)、制御下システム(例えば、140)及び管理プラットフォーム(例えば、図1Bに示される170)のうちの少なくとも1つに結合されている。一実装例では、安全システム110は、少なくとも1つのインタフェース(例えば、161、162)も含むデバイスに含まれる。
[0019] 第1変形例では、システムは、安全システム(例えば、100)によって制御される1以上のコンポーネント(例えば、モータ、アクチュエータ、推進システムなど)を含む大型システム(例えば、ロボット、車両、ドローン、産業システム、ホームシステム、衛星搭載システムなど)のコンポーネントである。第2変形例では、システムは、そのような大型システムの外部にあり、かつ、1以上のそのような大型システムを(例えば、その位置で又は遠隔で)制御する。例えば、システムは、1台のドローン又は自律走行車両、若しくは、複数台のドローン又は自律走行車両の部隊をリモートで制御するように機能することができる。
[0020] ある変形例では、システム100は、ロボット、車両(例えば、自律走行、半自律走行など)、産業システム(例えば、製造システム、農業システム、建設システム、廃棄物処理システム、電力システム、発電機、環境制御システム、軍事システム、輸送システムなど)、ホームシステム(例えば、HVAC、ホームオートメーションなど)のうちの1以上である。システム100は、地上システム又は宇宙システム(例えば、衛星、宇宙船、ミサイル、宇宙探査機、宇宙ステーションなど)であり得る。
[0021] システム(例えば、100)は、制御システム(例えば、120)及び安全システム(例えば、110)を含み得る。ある実装では、制御システム及び安全システムは、安全システムを制御システムと統合する安全対応制御システム内(例えば、チップセット内、集積回路内、マイクロ電子装置パッケージ内、シリコンダイ内など)に含まれる。しかしながら、制御システム及び安全システムは、任意の適切な方法でシステム内(別個のハードウェアデバイス、別個のチップセット、別個の集積回路、別個のマイクロ電子デバイスパッケージ、別個のシリコンダイ内など)に配列されることができる。
[0022] 制御システム120は、安全システム110に制御値を提供するように機能する。変形例では、安全システム110は、制御システムから受信された制御値に基づいて安全制御値(例えば、安全であると判定された元の制御値、安全システムによって生成された新しい制御値など)を提供するためにコマンドゲーティングプロセスを実行する。
[0023] ある変形例では、安全システムは、入力検証プロセスを実行し、かつ、検証済みの入力データを制御システムに提供するように機能する。
[0024] システムは、任意選択的に、インタフェースデバイス(例えば、図1Aに示される161、162、図1Bに示される161a、161b)のうちの1以上を含み得る。インタフェースデバイスを介して受信されたデータに基づいて安全システムが動作(例えば、コマンドゲーティングプロセス、入力検証プロセスなど)を実行することができるように、少なくとも1つのインタフェースデバイスが安全システムに結合され得る。同様に、センサを介して受信されたデータに基づいて安全システムが動作を実行することができるように、少なくとも1つのセンサが安全システムに結合され得る。
[0025] センサの例は、速度センサ、レーダ、ステアリングポジションセンサ、画像センサ(例えば、3Dカメラ、2Dカメラ、マルチスペクトルカメラなど)、LIDARなどのうちの1以上を含み得る。しかしながら、システムは、任意の適切なタイプのセンサを含み得る(又は結合され得る)。
[0026] 一例では、システムは、制御システム、安全システム及び安全システムに結合された1以上のインタフェースデバイス(例えば、無線、有線ネットワークインタフェースデバイスなど)を含む集積回路(例えば、チップセット)である。
[0027] システム100のコンポーネントは、回路基板、シリコンダイ、基板、ワイヤ、はんだ、バス、通信リンク、ハードウェアレジスタのセット、通信ポート、物理層ネットワークインタフェース、電気接続、電気回路などに、適切な方法で(例えば、バス、バックプレーン、ネットワーク、ネットワークオンチップのうちの1以上を介して)結合され得る(例えば、通信可能に結合される、電気的に接続されるなど)。
[0028] システム100のコンポーネントは、任意の適切な方法で(例えば、1以上のチップセット内、1以上のマイクロ電子装置パッケージ内、1以上のシリコンダイ内などに)配列され得る。
[0029] ある変形例では、システム100は少なくとも1つのインタフェースデバイス(例えば、161、162)を含む。ある実装では、システムは、外部システムと通信するための2以上のインタフェースデバイスを含む。例えば、第1インタフェースデバイスは主インタフェースデバイスであり得、かつ、第2インタフェースはバックアップインタフェースデバイスであり得る。ある変形例では、システム100に含まれる少なくとも1つのインタフェースデバイスはハードウェアデバイスである。インタフェースデバイスは、有線インタフェースデバイス(有線通信用)及び無線インタフェースデバイス(無線通信用)のうちの1以上を含み得る。インタフェースデバイスは、例えば、ユニバーサルシリアルバス(USB)、Bluetooth、Wi-Fi、イーサネット、近距離無線通信(NFC)、LTE、ISM(産業、科学、医療)などの1以上のプロトコルをサポートすることができる。ある実装では、少なくとも1つのインタフェースデバイスは無線装置(例えば、受信機、送信機又はトランシーバ)である。ある変形例では、無線通信インタフェースは、長距離無線通信、短距離無線通信、地上システムと衛星搭載システムとの間の無線通信などのうちの1以上のためのインタフェースを含む。無線装置の例は、WiFi、LTE、Bluetooth、NFC、ISM(産業、科学、医療)、衛星、短波、UHF、VHF、HFのタイプの無線のうちの1以上を含む。しかしながら、インタフェースデバイスは、任意の適切なタイプの無線装置を含み得る。
[0030] ある実装では、システムは、外部システムと通信するための2以上のインタフェースデバイスを含む。例えば、第1インタフェースデバイスは主インタフェースデバイスであり得、かつ、第2インタフェースはバックアップインタフェースデバイスであり得る。ある実装では、システムは、Wi-Fi無線装置、LTE無線装置、ISM無線装置及びBluetooth無線装置のうちの1以上を含む。
[0031] システムは、任意選択的に、少なくとも1つの制御下システム140を含み得る。代替的に、システムは、少なくとも1つの外部制御下システム140に(例えば、通信可能に、電気的になど)結合され得る。
[0032] 制御下システム140は、ハードウェアシステム、ソフトウェアシステム、又はハードウェアシステムとソフトウェアシステムとの組み合わせであり得る。制御下システム140の例には、モータ、アクチュエータ、ロボット、車両(例えば、自律走行、半自律走行など)、産業システム(例えば、製造システム、農業システム、建設システム、廃棄物処理システム、電力システム、発電機、環境制御システム、軍事システム、輸送システムなど)、ホームシステム(例えば、HVAC、ホームオートメーションなど)が含まれる。制御下システム140は、地上システム又は宇宙システム(例えば、衛星、宇宙船、ミサイル、宇宙探査機、宇宙ステーションなど)であり得る。
[0033] ある変形例では、システム100は、任意の適切な方法で外部制御下システム140に結合され得る。変形例では、システム100は、制御インタフェースを介して制御下システム140に結合される。制御インタフェースは、バス、ネットワーク、回路基板、ワイヤ、はんだ、通信リンク、通信ポート、物理層ネットワークインタフェース、電気的接続、電気回路などのうちの1以上を含む。制御インタフェースを安全サブシステムから切り離すことにより、システム100と外部制御下システム140との間の電気的(又は論理的)接続を更新する必要なく、安全サブシステムの設計が更新され得る。ある実装では、制御インタフェースは安全システム110に含まれる。
[0034] 制御システム120によって生成される制御値は、信号、データ、コマンド、命令、メッセージ又は制御下システム140の制御に影響を与えることができる任意の適切な値であり得る。
[0035] 制御システム120は、人工知能(AI)制御システム、機械学習ベースの制御システム、決定論的制御システム又は制御値を生成可能な任意の適切なタイプのシステムであり得る。制御システム120は、分散システム、マルチコアプロセッサ、シングルコアプロセッサ、サーバ、回路基板、チップセット、ネットワーク機器、システムオンチップ(SoC)、回路、プロセッサコア、又は任意の適切なタイプのハードウェアシステムであり得る。
[0036] ある実装では、制御システム120は、CPUコア、GPU(グラフィック処理ユニット)、NPU(ニューラル処理ユニット)、オペレーティングシステム、産業用インタフェース、無線PAN(パーソナルエリアネットワーク)インタフェース、無線LANインタフェース、有線LANインタフェース及びメモリのうちの1以上を含み得る。ある変形例では、制御システム120は、無線通信(例えば、長距離無線通信、短距離無線通信、地上システムと衛星搭載システムとの間の無線通信など)のための任意の適切なタイプの無線トランシーバを含み得る。
[0037] ある変形例では、安全システム110は、安全でない制御値が制御システム120から制御下システム140に到達するのを防止するように機能する。
[0038] ある変形例では、安全システム110は、制御下システムに(例えば、通信可能に、電気的に)結合される。ある実装では、安全システム110は、制御システム120と、制御下システム140にシステムを結合するように機能する制御インタフェースとの間に挿入される。ある実装では、制御下システム140が、安全システムから制御値(安全制御値)を受信するのみであり、かつ、(安全システムによって最初に処理されない)制御値を制御システム120から直接的に受信することができないように、制御インタフェースは制御下システム140にシステムを結合する。
[0039] ある変形例では、安全システム110は、1以上の入力源(例えば、遠隔制御ユニット151、制御システム120、ロボット、車両、産業システム、データベース、ウェブサイト、情報源、ニュースソース、交通信号制御機、別の制御下システム、又は任意の他の適切な入力源)に(例えば、通信可能に、電気的に)結合され、かつ、少なくとも1つの入力源から受信された入力値を使用して、安全状態及び任意選択的に関連の安全情報(例えば、安全な及び安全でない制御値、イネーブル信号など)を決定する。安全システム110は、インタフェースデバイス(例えば、162、161)を介して1以上の入力源に通信可能に結合され得る。入力値は、緊急停止値、速度、レーダ値、ステアリングポジション、動作モード、3Dカメラからの出力、2Dカメラからの出力、LIDARデータ、補助センサデータ(例えば、バックアップLIDARなどから)、外部システムからの安全情報、及び、任意の適切なタイプの情報のうちの1以上を表し得る。
[0040] ある変形例では、入力値は、例えば、ウォッチドッグ信号、リクエストされた速度、リクエストされたステアリング値、又は、制御システムによって提供された任意の他の適切なタイプのコマンド又は情報のうちの1以上など、制御システム120によって提供された情報を表し得る。
[0041] 安全システム110は、安全条件又は安全情報を決定するための、機械学習モデル、ニューラルネットワーク、ルールエンジン、ルールセット、テーブル、データベースなどのうちの1以上を含み得る。
[0042] ある変形例では、複数の安全システム(例えば、110)を使用することによって、冗長性及び/又は回復力が提供される。システム100は、安全でない制御値が制御システム120から制御下システム140に到達することを防止するよう集合的に機能する複数の安全システム110を含み得る。複数の安全システムは互いに分離され得る。例えば、複数の安全システムは、別個の回路、別個のプロセッサ、別個の処理コアで実行される別個のプロセス、別個のコンテナで実行される別個のプロセスなどであり得る。
[0043] 第1例では、第1安全システムの出力(制御値)が、冗長(又は追加)安全チェックを実行する第2安全システムへの入力として提供されるように、安全システムが直列に構成され得る。第2例では、各安全システムの出力(制御値)が使用されて制御下システム140に送信されるべき安全制御値を決定するように、安全システムが並列に構成され得る。例えば、投票アルゴリズムは、安全システムの出力に適用されて、送信されるべき安全制御値を決定する。しかしながら、安全制御値は、1以上の安全システム110からの出力を使用することによって別の方法で決定され得る。
[0044] 安全システム110は、人工知能(AI)安全システム、決定論的安全システム、ルールに基づく安全システム、又は、制御システム120から受信された制御値をブロック、フィルタリング、破棄又は変換することができる任意の適切なタイプのシステムであり得る。ある変形例では、安全システムは、標準化委員会(例えば、国際電気機械委員会)によって設定された基準に従って、安全性認証機関(例えば、TUV(ドイツ技術検査協会)、米国保険業者安全試験所)によってテストされて認証された決定論的安全システムである。ある変形例では、安全システム110は、分散システム、マルチコアプロセッサ、シングルコアプロセッサ、サーバ、回路基板、チップセット、ネットワーク機器、システムオンチップ(SoC)又は任意の他の適切なタイプのハードウェアシステムであり得る。ある変形例では、安全システム110は、制御システム120の機械実行可能プログラム命令も実行するマルチコアプロセッサの少なくとも1つの処理コアによって実行されるモジュール(機械実行可能プログラム命令を含む)である。
[0045] ある変形例では、安全システム110(又は安全システムの少なくとも1つのコンポーネント)は、安全性認証機関(例えば、国際電気機械委員会)によって評価される安全評価システムである。
[0046] ある変形例では、安全システム110(又は安全システムの少なくとも1つのコンポーネント)は、その機能がプログラムで修正されることができないハードコードされたシステムである。
[0047] ある変形例では、安全システム110(又は安全システムの少なくとも1つのコンポーネント)は、少なくとも1つのプロセッサ(例えば、ハードウェアプロセッサ、共有プロセッサコア上で動作する仮想プロセッサなど)を含む。安全システムプロセッサの1以上は、専用の(及び任意選択的に保護された)システムリソース(例えば、メモリ位置、記憶位置、ハードウェアレジスタ、バスなど)を使用することによって、制御システム120から分離又は保護され得る。そのようなプロセッサは、セキュアな記憶位置、セキュアなメモリ、デジタル署名されたプログラム命令、暗号化などのうちの1以上を使用することによって外部システムからの悪意のある又は無効な命令の実行(又は悪意のある又は無効なデータへのアクセス)から保護され得る。このようにして、安全システム110の動作は、制御システム120上で動作するテストされていない(又は検証されていない)コードから保護され得る。
[0048] ある変形例では、安全システム110の少なくとも1つのプロセッサ(例えば、115)は、プログラム命令をセキュアな記憶位置からセキュアなメモリ位置にロードし、かつ、セキュアなメモリ位置にロードされたプログラム命令を実行するように構築される。ある実装では、外部システムが、プログラム命令を変更又はセキュアな記憶位置に追加することができないように、セキュアな記憶位置は制御システム120などの外部システムによるアクセスから保護される。セキュアな記憶位置は、EEPROM、ROM、回路、永続記憶装置などである。
[0049] ある変形例では、安全システムプロセッサは、デジタル署名された命令を、保護されていない記憶位置からロードし、その命令が有効な署名者によって署名されていることを検証し、かつ、検証後に当該命令を実行することができる。このようにして、有効な署名で署名されていない、外部システムによって提供されたプログラム命令は安全システムによって実行されない。
[0050] ある変形例では、安全システム110は、少なくとも1つの安全アプリケーションと、安全アプリケーションを1以上の処理コアとインタフェースさせる対応のハードウェアインタフェース(安全ライブラリ)と、を含む。処理コアは、専用メモリに結合され得る。安全システム110は、分離されたハードウェアインタフェース、CPUコア及びメモリを有するいくつかの独立した安全アプリケーションを含み得る。安全アプリケーションは、それぞれのハードウェアインタフェースを介して相互に通信して、プロセス間診断を実行することができる。
[0051] 安全アプリケーション(安全コア)は、本明細書に記載の安全システム110の機能を実行することができる。ある変形例では、安全アプリケーションは、入力検証(入力源から受信された入力の場合)、及び、高密度記録用のプログラム可能なトリガを用いたデータ及びイベントのログ記録(例えば、入力値、ウォッチドッグ信号値、制御値、安全制御値のログ記録など)のうちの1以上を実装することができる。
[0052] ある変形例では、ハードウェアインタフェースが、ハードウェア固有の障害ケースの診断及びテストを実行するように機能することができる。ある実装では、ハードウェアインタフェースは、機能安全性のために特別に設計されていないプロセッサが、高度なSIL(安全度水準)を達成することができるように特別に設計されたファームウェアである。ある実装では、ハードウェアインタフェースは、ハード又はソフト障害を検出するように機能する。ある実装では、ハードウェアインタフェースは、冗長安全性アプリケーションとの通信、並びに、安全システム110の外部のシステムとの通信のためのインタフェースを含む。ある実装では、ハードウェアインタフェースは、内部バス構造テスト;プロセス間通信;I/Oレジスタテスト;メモリレジスタテスト;メモリ起動ビットテスト;メモリハードウェアエラー監視;メモリの定期的なCRCスキャン;CPUコアタイムベーステスト;CPU処理シーケンス及びタイミング監視;CPUコアテスト;CPUレジスタテストなどのうちの1以上を実行するためのモジュールを含む。ただし、ハードウェアインタフェースは任意の適切なタイプの安全性テストを実行することができる。
[0053] ある変形例では、直接的に制御下システム140に制御値を提供するために制御システム120が変更、再プログラム又は再構成されることができないように、制御システム120の出力は安全システム110の入力にハードコーディングされる。例えば、制御システム120のオペレーティングシステム、ファームウェア、デバイスドライバなどは、制御システム120によって実行されるアプリケーションコードに拘わらず、制御値を安全システム110に自動的にルーティングすることができる。ある変形例では、電気的接続又はネットワークが制御システム120からの制御値出力を制御下システム140に結合することができないように、制御システム120の出力は安全システム110の入力に配線接続される。例えば、(制御システム120の)制御システム出力は安全システム110に直接電気的に結合されることができ、その結果、安全システム110を最初に通過することなく、制御値が制御下システム140に到達することを許容する制御システム出力に電気的に接続されない。このようにして、制御システム120の動作に関係なく、制御システム120の制御値に対するコマンドゲーティングが提供されることができ、その結果、制御システム120によって生成された信号は、(こうした制御値を抑制又は変更することができる)安全システム110を通過しなければならない。
[0054] 変形例では、各遠隔制御ユニットは、プロセッサ(例えば、CPU(中央処理装置)、GPU(グラフィック処理ユニット)、NPU(ニューラル処理装置)など)、ディスプレイ装置、メモリ、記憶装置、可聴出力装置、入力装置、出力装置及び通信インタフェースのうちの1以上を含むハードウェア装置として実装される。ある変形例では、遠隔制御ユニットに含まれる1以上のコンポーネントはバスを介して通信可能に結合される。ある変形例では、遠隔制御ユニットに含まれる1以上のコンポーネントは、通信インタフェースを介して(直接的に又は別のインタフェース、例えば図1A及び図1Bに示される161を介して間接的に)外部システム(例えば、安全システム110)に通信可能に結合される。
[0055] 遠隔制御ユニットの通信インタフェースは、無線ネットワーク(例えば、プライベートネットワーク、パブリックネットワーク、インターネットなど)を介して遠隔制御ユニットと別のデバイス(例えば、安全システム110)との間でデータを通信するように機能する。
[0056] ある変形例では、遠隔制御ユニットの記憶装置は、遠隔制御ユニットのプロセッサによって実行されると、遠隔制御ユニットを制御して、本明細書に記載の方法200の少なくとも一部を実行する機械実行可能命令を含む。
[0057] 遠隔制御ユニットの入力装置は、ユーザ入力を受信するように機能する。ある変形例では、入力装置は、ボタン及びタッチスクリーン入力装置(例えば、静電容量式タッチ入力装置)のうちの少なくとも1つを含む。
[0058] 図1Cは、アプリケーションCPU181、2つの安全CPU(182、183)、ユーザボタン184、LCDコントローラ185及びLCDパネル186を含む遠隔制御ユニットの例示的なアーキテクチャを示している。
[0059] 変形例では、管理プラットフォーム170は、プロセッサ(例えば、CPU(中央処理装置)、GPU(グラフィック処理ユニット)、NPU(ニューラル処理装置)など)、ディスプレイ装置、メモリ、記憶装置、可聴出力装置、入力装置、出力装置及び通信インタフェースのうちの1以上を含むハードウェアデバイスとして実装される。ある変形例では、遠隔制御ユニットに含まれる1以上のコンポーネントはバスを介して通信可能に結合される。ある変形例では、遠隔制御ユニットに含まれる1以上のコンポーネントは、通信インタフェースを介して(直接的に又は別のインタフェースを介して間接的に)外部システム(例えば、図1Bに示されるユーザ装置171、172、図1Bに示される遠隔制御ユニット151、151a、151b)に通信可能に結合される。
[0060] 管理プラットフォーム170の通信インタフェースは、ネットワーク(例えば、プライベートネットワーク、パブリックネットワーク、インターネットなど)を介して管理プラットフォームと別の装置との間でデータを通信するように機能する。
[0061] ある変形例では、管理プラットフォームの記憶装置は、管理プラットフォームのプロセッサによって実行されると、管理プラットフォームを制御して、本明細書に記載の方法200の少なくとも一部を実行する機械実行可能命令を含む。
[0062] ある変形例では、システムの少なくとも1つのコンポーネントが方法の少なくとも一部を実行する。
4.方法
[0063] 図2は、様々な実施形態に係る方法を表す図である。ある変形例では、方法200は、少なくとも1つの制御下システムとの通信を確立するステップ(S210)と;制御下システム(例えば、140)を動作させるステップS220と、を含む。方法は、任意選択的に、制御下システムの動作のために動作モードを切り替えるステップ(S230)を含む。
[0063] 図2は、様々な実施形態に係る方法を表す図である。ある変形例では、方法200は、少なくとも1つの制御下システムとの通信を確立するステップ(S210)と;制御下システム(例えば、140)を動作させるステップS220と、を含む。方法は、任意選択的に、制御下システムの動作のために動作モードを切り替えるステップ(S230)を含む。
[0064] ある変形例では、システムの少なくとも1つのコンポーネントが当該方法の少なくとも一部を実行する。
[0065] 少なくとも1つの制御下システムとの通信を確立するステップS210は、安全システム110を介して遠隔制御ユニット(例えば、図1Aに示される151、152)と制御下システム140との間に通信チャネルを確立するステップを含む。ある変形例では、通信チャネルは無線通信チャネルである。代替的に、通信チャネルは、有線通信チャネル、若しくは、有線及び無線通信セグメントの両方を有する通信チャネルであり得る。
[0066] 例示的な構成が図1Aに示されており、遠隔制御ユニット151が、安全システム110に関連するインタフェース161を介して安全システム110との無線通信チャネルを確立している。遠隔制御ユニット151によって提供される制御コマンドが安全システム110によって受信されて制御下システム140に転送される。場合によっては、安全システム110は、制御下システム140にコマンドを転送する前にコマンドを修正する又はコマンドを完全に抑制するように機能する。
[0067] 遠隔制御ユニットは、人間のオペレータによって操作されるハンドヘルド遠隔制御ユニットと、管理プラットフォーム(例えば、図1Bに示される170)に結合される(又は含まれる)遠隔制御ユニットと、を含み得る。単一の遠隔制御ユニットを介して複数のシステムが制御可能であるように、遠隔制御ユニットは複数の制御下システムとの通信チャネルを確立することができる。
[0068] 少なくとも1つの制御下システムとの通信を確立するステップS210は、少なくとも1つの制御下システムを選択することを含み得る。
[0069] 第1変形例では、通信を確立する遠隔制御ユニットは、制御可能な各システムを自動的に選択し、かつ、そのような各制御下システムとの通信を確立しようと試みる。例えば、遠隔制御ユニットは、範囲内にある認識された安全システムインタフェース(例えば、161)をスキャンし、かつ、認識された各インタフェースとの接続を試みることができる。認識されたインタフェースとの接続は、一連のルール又は権限に従って実行されることができる。一例として、認識されたインタフェースに別のリ遠隔制御ユニットが既に接続されている場合、接続が失敗し得る。しかしながら、遠隔制御ユニットと安全システムインタフェースとの間の接続は任意の適切な方法で確立されることができる。
[0070] 第2変形例では、遠隔制御ユニットは、制御されるべき制御下システム140を識別する情報を受信し、遠隔制御ユニットは、識別された制御下システムとの通信を確立しようと試みる。第1例では、遠隔制御ユニットは、遠隔制御ユニットのユーザ入力装置を介して制御下システム140を識別する情報を受信する。第2例では、遠隔制御ユニットは、管理プラットフォーム170から制御下システム140を識別する情報を受信する。図1Bに示される一例では、ユーザ装置(例えば、171、172)は、管理プラットフォーム170との通信を確立し、かつ、選択されたシステム140に接続するようにプラットフォーム170にリクエストし;これに応答して、管理プラットフォーム170は、選択されたシステム140との通信を確立するように遠隔制御ユニット(例えば、151、151a、151b)にリクエストする。
[0071] 変形例では、遠隔制御ユニットと安全システム110との間の通信チャネルは、安全システム110に格納された構成情報に従って確立される。安全システム110は、ユーザ入力装置、バス及びネットワーク インタフェースのうちの1以上を介して構成情報を受信することができる。変形例では、遠隔制御ユニットと安全システム110との間の通信チャネルを確立するために使用される構成情報は、遠隔制御ユニットのエンドユーザであってもなくてもよい管理者によって提供される。構成情報は、安全システムの動作前又は動作後に(例えば、再構成プロセスとして)提供され得る。第1例では、管理者は遠隔制御ユニットを使用して安全システム110に構成情報を提供する。第2例では、管理者はユーザ装置(例えば、171、172)を使用して管理プラットフォームに構成情報を提供し、かつ、管理プラットフォーム170は、安全システム110に(直接的に又は遠隔制御ユニットを介して間接的に)構成情報を提供する。
[0072] 変形例では、安全システムのための構成情報は、遠隔制御ユニットと安全システムとの間の接続を定義する。ある実装では、安全システムのための構成情報は:安全システムへの接続を許可されている遠隔制御ユニットのリスト;安全システムへの接続を許可されているユーザのリスト;安全システムへの接続が許可されていない遠隔制御ユニットのリスト;安全システムへの接続を許可されていないユーザのリスト;一般に受信されることができるコマンドのタイプ;特定の遠隔制御ユニットから受信されることができるコマンドのタイプ;特定のユーザから受信されることができるコマンドのタイプ;一般に受信されることができるコマンドのリスト;特定の遠隔制御ユニットから受信されることができるコマンドのリスト;特定のユーザから受信されることができるコマンドのリストのうちの1以上を特定する。一例では、コマンドのタイプは、制御コマンドのみ;安全コマンドのみ;及び、制御コマンド及び安全コマンドを含む。
[0073] 制御下システム140を動作させるステップ(S220)は、安全システム(エンドポイントコントローラ)(例えば、110)を使用して制御下システム140を制御することを含み得る。制御下システムの初期動作は、監視モード又は自律モードのいずれかで実行されることができる。
[0074] 第1変形例では、制御下システムの初期動作は監視モードで実行される。S210での遠隔制御ユニットとの通信の確立に応答して、安全システム(例えば、図1Aに示される110、図1Bに示される110、110a、110b)は、制御下システム140の制御のために監視モードを初期化する。ある実装では、監視モードを初期化するステップは、遠隔制御ユニットによるアクティブなハートビートモニタリングを確立するステップを含む。ある実装では、監視モードでは、安全システムが遠隔制御ユニットで信号の損失を検出した場合、安全システムは安全条件を設定する。監視モードでは、安全システムは、安全システムとの通信を確立した少なくとも1つの遠隔制御ユニットから受信された入力に基づいて、制御下システムを制御する。監視モード中、1以上の遠隔制御ユニットが安全システムに接続されることができ、かつ、安全システムは、接続された遠隔制御ユニットのうちの1以上から受信された入力に基づいて制御下システムを制御することができる。安全システムは、安全システムが複数の遠隔制御ユニットから受信された入力を処理して優先順位を付ける方法を決定するルールを用いて構成されることができる。遠隔制御ユニットから受信された入力には、制御下システムの制御のための制御コマンド;安全条件をトリガするための安全コマンド(例えば、緊急停止(ESTOP)コマンドなど)のうちの1以上が含まれ得る。
[0075] 第2変形例では、制御下システムの初期動作が自律モードで実行される。安全システム(例えば、図1Aに示される110、図1Bに示される110、110a、110b)は、制御システム(例えば、図1Aに示される120、図1Bに示される120、120a、120b)との通信を確立することによって自律モードを初期化する。ある実装では、自律モードを初期化することには、制御システムからの少なくとも1つの安全規格信号の存在を検出することも含まれる。
[0076] ある実装では、自律モードでは、安全システムが遠隔制御ユニットで信号の損失を検出した場合、安全システムは安全条件を設定しない。自律モードでは、安全システムは、安全システムとの通信を確立した少なくとも制御システムから受信された入力に基づいて制御下システムを制御する。自律モード中に1以上の制御システムが安全システムに接続されることができ、かつ、安全システムは、接続された制御システムの1以上から受信された入力に基づいて制御下システムを制御することができる。安全システムは、複数の制御システムから受信された入力を安全システムが処理して優先順位を付ける方法を決定するルールを用いて構成されることができる。制御システムから受信された入力は、制御下システムの制御のための制御コマンド;安全条件をトリガするための安全コマンド(例えば、緊急停止(ESTOP)コマンドなど)のうちの1以上を含み得る。
[0077] ある実装では、安全システムが自律モードにある間に遠隔制御ユニットに接続されている場合、遠隔制御ユニットから受信された安全コマンドを安全システムが検出すると、安全システムは安全条件を設定する。
[0078] 制御下システムの動作のための動作モードを切り替えるステップ(S230)は、監視モードと自律モードとの間を切り替えるステップを含み得る。
[0079] 監視モードから自律モードに切り替えるステップは、安全システム(例えば、110、110a、110b)が、すべての自律モード基準が満たされているかどうかを判定すること、及び、安全システムが、自律モード基準のすべてが満たされていることに応答して自律モードに切り替わることを含み得る。一例では、安全システムは、1)アクティブな安全規格入力が少なくとも1つの制御システムから受信される;2)安全システムに接続されている少なくとも1つのリクエスト側の遠隔制御ユニットから切替コマンドが受信された;かつ、3)安全システムに接続されたすべての他の遠隔制御ユニット(切り替えをリクエストしている遠隔制御ユニット以外)が自律モードへの切り替えを確認する、判定に応答して自律モードに切り替わる。
[0080] ある実装では、安全システムに接続された遠隔制御ユニットが自律モードへの切り替えを確認したことを判定するステップは、遠隔制御ユニットが既定の確認コードを安全システムに提供したかどうかを判定するステップを含む。ある実装では、安全システムで各々接続された遠隔制御ユニットから正しい確認コードが既定の時間枠(例えば、タイムアウトイベント)内に受信されない場合、自律モードへのリクエストされたモード切り替えは中断される。追加的又は代替的に、安全システムで少なくとも1つの接続された遠隔制御ユニットから誤ったコードが既定の時間枠内に受信された場合(例えば、誤った確認)、その後、自律モードへのリクエストされたモード切り替えは中断される。
[0081] ある変形例では、遠隔制御ユニットは、遠隔制御ユニットに含まれる1以上の専用安全入力装置(例えば、ボタン、タッチパッドなど)からの入力の受信に応答して、確認コード(又は、自律モードに切り替わるためのコマンド)を提供する。
[0082] 代替的に、遠隔制御ユニットは、遠隔制御ユニットに含まれる1以上の共有入力装置(例えば、ボタン、タッチパッドなど)を使用して、確認コード(又は、自律モードに切り替わるためのコマンド)を提供することができる。共有入力装置は、モードの切り替わり、及び、制御下システム(例えば、図1Bに示される140、140a、140b)の制御に使用され得る。
[0083] 一例では、自律モードに切り替わるためのコマンドを遠隔制御ユニットが発行すると、遠隔制御ユニットの1以上の安全プロセッサ(例えば、図1Cに示される182及び183)が、第1ユーザクション(例えば、ボタン押下のランダムシーケンスなど)を決定してタイマを設定し、かつ、アプリケーションCPU(例えば、図1Cに示される181)に第1ユーザクションを識別する情報を提供する。その後、アプリケーションCPU181は、ディスプレイ装置(例えば、図1Cに示される186)を制御して、第1ユーザクションを識別する情報を表示する。ユーザ入力装置(例えば、図1Cに示される184)によって提供される情報に基づいて(タイマの終了前に)1以上の安全プロセッサが第1ユーザクションを検出することに応答して、1以上の安全プロセッサは、自律モードに切り替わるためのコマンドを安全システムに発行する。同様のプロセスが安全プロセッサによって実行され、ユーザが遠隔制御ユニットを制御して安全システムに確認コードを提供する意図があることを確認することができる。
[0084] 自律モードから監視モードに切り替わるステップは、安全システム(例えば、110、110a、110b)が、1以上のトリガに応答して監視モードに自動的に切り替わるステップを含み得る。一例では、安全システムに結合された少なくとも1つの遠隔制御システム(図1Bに示される120、120a、120b)からの安全規格入力がもはやアクティブではないことを安全システムが検出する;安全システムに接続された少なくとも1つの遠隔制御ユニットから監視モードに切り替わるためのコマンドを安全システムが受信する;安全システムに結合された制御システムで安全システムが故障を検出する;制御下システム(例えば、図1Bに示される140、140a、140b)で安全システムが障害を検出する;安全システムに接続された少なくとも1つの遠隔制御ユニットから安全コマンド(例えば、ESTOPコマンド)が受信される;及び、新しい遠隔制御ユニットが安全システムとの通信を確立する、イベントのいずれかに応答して安全システムは監視モードに自動的に切り替わる。ある実装では、自律モードに切り替わるためのコマンドを提供した遠隔制御ユニットからモード切り替えコマンドを安全システムが受信した場合、安全システムは自動的に監視モードに切り替わる一方で、他の遠隔制御ユニットからのモード切り替えコマンドはモード切り替えをトリガしない。言い換えると、ある実装では、自律モードへの切り替えをリクエストする遠隔制御ユニットのみが、元の監視モードに切り替わるコマンドを送信することができる。しかしながら、安全システムは、任意の適切なトリガ又はイベントに応答して、監視モードに自動的に切り替わることができる。
[0085] 図3は、監視モードと自律モードとを切り替えるための例示的な状態移行図を示している。
[0086] 図4は、監視モードから自律モードへの移行の例を示している。図4に示されるように、安全システム110は、S210で3つの遠隔制御ユニット(151、151a、151b)との通信を確立している。安全システム110はまた、制御システム120から安全規格入力を受信している(S410)。S420で、安全システム110は、リクエスト元の遠隔制御ユニット(151)から(自律モードに切り替わるための)モード切り替えコマンドを受信する。S430で、安全システム110は、残りの遠隔制御ユニット(151a、151b)からのモード切り替え確認をリクエストする。S440で、安全システム110は、残りの遠隔制御ユニット(151a、151b)からモード切り替え確認を受信する。本明細書に記載されるように、各遠隔制御ユニット151a、151bは、それぞれの遠隔制御ユニットを動作させるユーザに、遠隔制御ユニットのボタンを特定の順序で押すことによってモード切り替えを明示的に確認するように求めることができ;ユーザが特定の順序でボタンを押したことを遠隔制御ユニットが確認した後、遠隔制御ユニットは、モード切り替え確認を安全システム110に送信する。S450で、安全システム110は、安全規格入力がまだ制御システム120から受信されていること、かつ、制御システム120からモード切替確認が依然として受信されていること、及び、遠隔制御ユニット151a、151bからモード切替確認を受信したことを確認し、その後、動作を自律モードに切り替える。
[0087] システム及び/又は方法の実施形態は、様々なシステムコンポーネント及び様々な方法プロセスのすべての組み合わせ及び順列を含み得、本明細書に記載の方法及び/又はプロセスの1以上の事例は、非同期的に(例えば、順次)、同時に(例えば、並行して)、又は、本明細書に記載のシステム、要素及び/又はエンティティのうちの1以上の事例による及び/又はを使用する任意の他の適切な順序で実行され得る。
[0088] 当業者は、前述の詳細な説明から、並びに、図面及び特許請求の範囲から認識するように、以下の特許請求の範囲で定義される本発明の範囲から逸脱することなく、本発明の好ましい実施形態に対して修正及び変更がなされ得る。
Claims (20)
- 安全システムであって、
無線インタフェースデバイスと、
少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサによって実行されると、
前記無線インタフェースデバイスを介して複数の遠隔制御ユニットとの無線通信チャネルを確立し、
前記無線通信チャネルを確立することに応答して、前記複数の遠隔制御ユニットのうちの少なくとも1つから受信された入力に基づいて、監視モードで制御下システムを動作させ、
前記複数の遠隔制御ユニットのうちの第1遠隔制御ユニットから受信されたモード切り替えコマンドに応答して、他の前記遠隔制御ユニットにモード切り替え確認のリクエストを提供し、
自律制御システムからの安全規格入力の受信の確認と、他の前記遠隔制御ユニットの各々からのモード切り替え確認の受信の確認と、に応答して、前記自律制御システムから受信された入力に基づいて匿名モードで前記制御下システムを動作させるように、
前記安全システムを制御する機械実行可能命令を含む記憶装置と、を備える安全システム。 - 前記記憶装置が構成情報をさらに含み、前記安全システムが前記構成情報に従って前記無線通信チャネルを確立する、請求項1に記載のシステム。
- 前記記憶装置が、前記少なくとも1つのプロセッサによって実行されると、管理プラットフォームから前記構成情報を受信するように前記安全システムを制御する機械実行可能命令をさらに含む、請求項2に記載のシステム。
- 前記記憶装置が、前記少なくとも1つのプロセッサによって実行されると、
前記自律制御システムからの前記安全規格入力がアクティブでなくなったことを検出することに応答して、前記監視モードに自動的に切り替わるように前記安全システムを制御する機械実行可能命令をさらに含む、請求項1に記載のシステム。 - 前記記憶装置が、前記少なくとも1つのプロセッサによって実行されると、
前記複数の遠隔制御ユニットのうちの少なくとも1つからモード切り替えコマンドを受信することに応答して、前記監視モードに自動的に切り替わるように前記安全システムを制御する機械実行可能命令をさらに含む、請求項1に記載のシステム。 - 前記記憶装置が、前記少なくとも1つのプロセッサによって実行されると、
前記複数の遠隔制御ユニットのうちの少なくとも1つから緊急停止(ESTOP)コマンドを受信することに応答して、前記監視モードに自動的に切り替わるように前記安全システムを制御する機械実行可能命令をさらに含む、請求項1に記載のシステム。 - 前記記憶装置が、前記少なくとも1つのプロセッサによって実行されると、
前記第1遠隔制御ユニットからモード切り替えコマンドを受信することに応答して、自動的に前記監視モードに切り替わるように前記安全システムを制御する機械実行可能命令をさらに含み、
前記安全システムは、他の前記遠隔制御ユニットからのモード切り替えコマンドを無視する、請求項1に記載のシステム。 - 前記記憶装置が、前記少なくとも1つのプロセッサによって実行されると、
前記自律制御システムで障害を検出することに応答して、前記監視モードに自動的に切り替わるように前記安全システムを制御する機械実行可能命令をさらに含む、請求項1に記載のシステム。 - 前記記憶装置が、前記少なくとも1つのプロセッサによって実行されると、
前記制御下システムで障害を検出することに応答して、前記監視モードに自動的に切り替わるように前記安全システムを制御する機械実行可能命令をさらに含む、請求項1に記載のシステム。 - 前記記憶装置が、前記少なくとも1つのプロセッサによって実行されると、
新しい遠隔制御ユニットとの無線通信チャネルを確立することに応答して、前記監視モードに自動的に切り替わるように前記安全システムを制御する機械実行可能命令をさらに含む、請求項1に記載のシステム。 - 前記複数の遠隔制御ユニットをさらに備え、各遠隔制御ユニットは、
ユーザ入力装置と、
ディスプレイ装置と、
少なくとも1つの安全CPUと、
少なくとも1つのアプリケーションCPUと、を備え、
少なくとも1つの安全CPUは、前記ユーザ入力装置によって提供される情報に基づいて既定のユーザクションを検出することに応答して、モード切り替え確認を条件付きで提供するように構築される、請求項1に記載のシステム。 - 前記アプリケーションCPUは、前記ディスプレイ装置を制御して前記既定のユーザクションを表示するように構築される、請求項11に記載のシステム。
- 安全システムを用いて、
前記安全システムの無線インタフェースデバイスを介して複数の遠隔制御ユニットとの無線通信チャネルを確立するステップと、
前記無線通信チャネルを確立することに応答して、前記複数の遠隔制御ユニットのうちの少なくとも1つから受信された入力に基づいて、監視モードで制御下システムを動作させるステップと、
前記複数の遠隔制御ユニットのうちの第1遠隔制御ユニットから受信されたモード切り替えコマンドに応答して、他の前記遠隔制御ユニットにモード切り替え確認のリクエストを提供するステップと、
自律制御システムからの安全規格入力の受信の確認と、他の前記遠隔制御ユニットの各々からのモード切り替え確認の受信の確認と、に応答して、前記自律制御システムから受信された入力に基づいて匿名モードで前記制御下システムを動作させるステップと、を含む方法。 - 前記安全システムは、構成情報に従って前記無線通信チャネルを確立する、請求項13に記載の方法。
- 前記安全システムを用いて、
管理プラットフォームから前記構成情報を受信するステップをさらに含む、請求項14に記載の方法。 - 前記安全システムを用いて、
トリガイベントを検出することに応答して、前記監視モードに自動的に切り替わるステップをさらに含む、請求項1に記載の方法。 - 管理プラットフォームを用いて、
制御下システムに結合された安全システムとの通信チャネルを確立するための通信リクエストをユーザ装置から受信するステップと、
前記通信リクエストを検証するステップと、
前記通信リクエストを検証することに応答して、遠隔制御ユニットを介して前記ユーザ装置と前記安全システムとの間に通信チャネルを確立するステップと、
前記通信チャネルを確立することに応答して、前記ユーザ装置から受信された入力に基づいて、前記安全システムを介して前記制御下システムを動作させるように前記遠隔制御ユニットを制御するステップと、
前記ユーザ装置から受信された自律モード切り替えリクエストに応答して、前記自律モード切り替えリクエストを検証し、かつ、前記ユーザ装置から受信された前記自律モード切り替えリクエストの検証に応答して前記安全システムに自律モード切り替えコマンドを提供するように前記遠隔制御ユニットを制御するステップと、を含む方法。 - 前記通信リクエストを検証するステップは、管理者のユーザ装置から受信された構成情報に基づいて前記通信リクエストを検証するステップを含む、請求項17に記載の方法。
- 前記管理プラットフォームを用いて、
前記ユーザ装置から受信された監視モード切り替えリクエストに応答して、前記監視モード切り替えリクエストを検証し、かつ、前記ユーザ装置から受信された前記監視モード切り替えリクエストの検証に応答して前記安全システムに監視モード切り替えコマンドを提供するように前記遠隔制御ユニットを制御するステップをさらに含む、請求項17に記載の方法。 - 前記自律モード切り替えコマンドの受信及び自律制御システムからの安全規格入力の受信の確認に応答して、前記安全システムは、前記自律遠隔制御システムから受信された入力に基づいて匿名モードで前記制御下システムを動作させる、請求項17に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202062982615P | 2020-02-27 | 2020-02-27 | |
| US62/982,615 | 2020-02-27 | ||
| PCT/US2021/019268 WO2021173570A1 (en) | 2020-02-27 | 2021-02-23 | Systems and methods for safety-enabled control |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023509232A true JP2023509232A (ja) | 2023-03-07 |
| JP7320143B2 JP7320143B2 (ja) | 2023-08-02 |
Family
ID=77462922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022552311A Active JP7320143B2 (ja) | 2020-02-27 | 2021-02-23 | 安全対応制御のためのシステム及び方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11181870B2 (ja) |
| EP (1) | EP4111265A1 (ja) |
| JP (1) | JP7320143B2 (ja) |
| AU (1) | AU2021225875B2 (ja) |
| WO (1) | WO2021173570A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114115003B (zh) * | 2021-11-12 | 2023-08-22 | 浙江银盾云科技有限公司 | 远程启停控制平台 |
| CN114296860B (zh) * | 2021-12-31 | 2024-04-16 | 飞天诚信科技股份有限公司 | 防止安全处理器的处理被打断的方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004133900A (ja) * | 2002-08-02 | 2004-04-30 | Fisher Rosemount Syst Inc | プロセス制御システムおいてソフトウェアオブジェクトを承認するための統合型電子署名 |
| JP2008535415A (ja) * | 2005-04-08 | 2008-08-28 | ケバ アクチェンゲゼルシャフト | 制御可能な技術装置に対するオペレータの命令承認を安全、系統的かつ排他的に割当てる方法及び装置 |
| US20150198936A1 (en) * | 2014-01-13 | 2015-07-16 | Caterpillar Inc. | Controlling a machine in remote or autonomous mode |
| US20190078429A1 (en) * | 2017-09-11 | 2019-03-14 | Schlumberger Technology Corporation | Wireless Emergency Stop |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5773259A (en) | 1980-09-24 | 1982-05-07 | Aisin Seiki Co Ltd | Safety circuit of automatic speed changer control system |
| US6109568A (en) | 1998-10-23 | 2000-08-29 | Innovative Transportation Systems International, Inc. | Control system and method for moving multiple automated vehicles along a monorail |
| US7272456B2 (en) * | 2003-01-24 | 2007-09-18 | Rockwell Automation Technologies, Inc. | Position based machine control in an industrial automation environment |
| US7343232B2 (en) | 2003-06-20 | 2008-03-11 | Geneva Aerospace | Vehicle control system including related methods and components |
| JP5347403B2 (ja) | 2008-09-22 | 2013-11-20 | ソニー株式会社 | 情報処理装置および方法、プログラム、並びに、情報処理システム |
| US9605409B2 (en) * | 2009-03-31 | 2017-03-28 | Caterpillar Inc. | System and method for operating a machine |
| US20120143482A1 (en) | 2010-12-02 | 2012-06-07 | Honeywell International Inc. | Electronically file and fly unmanned aerial vehicle |
| WO2012146945A2 (en) | 2011-04-28 | 2012-11-01 | Sevcon Limited | Electric motor and motor controller |
| JP5759331B2 (ja) | 2011-09-30 | 2015-08-05 | 日本信号株式会社 | 列車制御システム |
| US8781650B2 (en) | 2012-04-12 | 2014-07-15 | The Boeing Company | Aircraft navigation system |
| US10025306B2 (en) | 2012-10-02 | 2018-07-17 | Nathan Bivans | System and method for remote control of unmanned vehicles |
| JP6259413B2 (ja) * | 2015-03-23 | 2018-01-10 | ファナック株式会社 | ロボットまたは工作機械の制御装置、無線教示操作盤および自動機械システム |
| US10782665B2 (en) | 2017-06-30 | 2020-09-22 | Cattron North America, Inc. | Wireless emergency stop systems, and corresponding methods of operating a wireless emergency stop system for a machine safety interface |
| US11104330B2 (en) * | 2017-11-15 | 2021-08-31 | Autonomous Stuff, LLC | Systems and method for controlling a vehicle |
-
2021
- 2021-02-23 AU AU2021225875A patent/AU2021225875B2/en active Active
- 2021-02-23 US US17/183,116 patent/US11181870B2/en active Active
- 2021-02-23 EP EP21759933.1A patent/EP4111265A1/en active Pending
- 2021-02-23 WO PCT/US2021/019268 patent/WO2021173570A1/en unknown
- 2021-02-23 JP JP2022552311A patent/JP7320143B2/ja active Active
- 2021-10-21 US US17/507,670 patent/US11934185B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004133900A (ja) * | 2002-08-02 | 2004-04-30 | Fisher Rosemount Syst Inc | プロセス制御システムおいてソフトウェアオブジェクトを承認するための統合型電子署名 |
| JP2008535415A (ja) * | 2005-04-08 | 2008-08-28 | ケバ アクチェンゲゼルシャフト | 制御可能な技術装置に対するオペレータの命令承認を安全、系統的かつ排他的に割当てる方法及び装置 |
| US20150198936A1 (en) * | 2014-01-13 | 2015-07-16 | Caterpillar Inc. | Controlling a machine in remote or autonomous mode |
| US20190078429A1 (en) * | 2017-09-11 | 2019-03-14 | Schlumberger Technology Corporation | Wireless Emergency Stop |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2021225875A1 (en) | 2022-10-13 |
| US20210271209A1 (en) | 2021-09-02 |
| EP4111265A1 (en) | 2023-01-04 |
| WO2021173570A8 (en) | 2021-11-04 |
| US11181870B2 (en) | 2021-11-23 |
| JP7320143B2 (ja) | 2023-08-02 |
| AU2021225875B2 (en) | 2022-11-24 |
| US11934185B2 (en) | 2024-03-19 |
| WO2021173570A1 (en) | 2021-09-02 |
| US20220100152A1 (en) | 2022-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7320143B2 (ja) | 安全対応制御のためのシステム及び方法 | |
| JP7074498B2 (ja) | 機器のマシンツーマシン認証のためのシステム及びコンピュータ実装された方法 | |
| JP2018092577A (ja) | 並行処理装置及び並行処理プログラム | |
| JPWO2009060953A1 (ja) | 安全制御装置 | |
| US11960901B2 (en) | Autonomous driving controller parallel processor boot order | |
| Irfan et al. | Smart virtual circuit based secure vehicle operating system | |
| US11423178B2 (en) | Isolation of subsystems on a system on a chip | |
| US10466698B1 (en) | Systems and methods to enable an autonomous mode of an autonomous vehicle | |
| KR101744998B1 (ko) | 리프로그래밍 제어모듈 및 이를 이용한 리프로그래밍 시스템 및 방법 | |
| US20240184251A1 (en) | Systems and methods for safety-enabled control | |
| JP6155029B2 (ja) | 航空機の通信システム、航空機の通信方法及び通信機器 | |
| US20110225596A1 (en) | Methods and systems for authorizing an effector command in an integrated modular environment | |
| US11947331B2 (en) | Systems and methods for safety-enabled control | |
| WO2021035612A1 (zh) | 一种无人机的管理方法、设备、无人机、系统及存储介质 | |
| JP2022549260A (ja) | ロボットの遠隔制御方法 | |
| US11281191B2 (en) | Global e-stop in an industrial safety system with local and global safety input devices | |
| US20220035319A1 (en) | Method of fast switching between devices | |
| KR102252315B1 (ko) | 차량용 전자 제어 장치 및 그 모니터링 방법 | |
| US20240106677A1 (en) | Control device and control method | |
| US20220113961A1 (en) | Generation of code for a system | |
| Coveri et al. | Airborne Domain | |
| Roques et al. | Fault-tolerant computer for the automated transfer vehicle | |
| CN114328355A (zh) | 机器人嵌入式系统数据分发的方法及系统 | |
| CN112947551A (zh) | 无人机控制系统及方法 | |
| Popențiu-Vlădicescu et al. | Reliability of Modern Engineering Systems-Towards a Safer World |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221005 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221005 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20221005 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230328 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230517 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230627 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230721 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7320143 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |