JP3978617B2 - 安全ユニットの入力装置 - Google Patents

安全ユニットの入力装置 Download PDF

Info

Publication number
JP3978617B2
JP3978617B2 JP2006097197A JP2006097197A JP3978617B2 JP 3978617 B2 JP3978617 B2 JP 3978617B2 JP 2006097197 A JP2006097197 A JP 2006097197A JP 2006097197 A JP2006097197 A JP 2006097197A JP 3978617 B2 JP3978617 B2 JP 3978617B2
Authority
JP
Japan
Prior art keywords
logical value
input
abnormality
safety
low
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006097197A
Other languages
English (en)
Other versions
JP2006323831A (ja
Inventor
圭一 寺西
靖男 宗田
千明 小城
直暁 池野
敏之 中村
拓 菅沼
旭 松井
勝史 芳田
祥平 藤原
威彦 日岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=36636427&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP3978617(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Omron Corp filed Critical Omron Corp
Priority to JP2006097197A priority Critical patent/JP3978617B2/ja
Priority to EP06007864A priority patent/EP1717654B1/en
Priority to ES06007864T priority patent/ES2400369T3/es
Priority to US11/405,704 priority patent/US7555353B2/en
Publication of JP2006323831A publication Critical patent/JP2006323831A/ja
Application granted granted Critical
Publication of JP3978617B2 publication Critical patent/JP3978617B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14012Safety integrity level, safety integrated systems, SIL, SIS
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14075Test of interface
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14076Test of sensor

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Description

本発明は、安全コントローラ(セーフティコントローラ)やリモート安全ターミナル等の安全ユニットの入力段として好適な安全ユニットの入力装置に関するものである。
労働安全意識の高まりと共に、種々の安全コントローラ(セーフティコントローラ)が開発されている(例えば、特許文献1参照)。安全コントローラは、一般的なプログラマブルコントローラ(PLC)類似するロジック演算機能、入出力制御機能に加えて、安全面の自己診断機能を内蔵させることにより、高度の信頼性を確保したものである。自己診断結果により異常を検出した場合には、自己の制御が危険につながらないように、強制的に安全側の制御を行うような機能(フェールセーフ機能)を備えている。より具体的には、ここで言う安全は、規格化されている安全基準を含む意味である。規格には、例えばIEC61508やEN規格などがある。IEC61508(プログラム可能な電子システムの機能安全に関する国際電気標準委員会)では、時間あたりの危険故障確率を(失敗確率:Probability of Failure per Hour)を定義し、この確率によってSILレベル(Safety Integrity Level)を4段階に分類している。また、EN規格では、機械のリスクの大きさを評価し、リスク低減策を講じるように義務づけられていて、EN954−1では5つの安全カテゴリにて規定されている。この発明の安全コントローラ等は、このような安全基準のいずれかに対応したものである。
また、図11に示されるように、安全コントローラを安全マスタ2とすると共に、リモート安全ターミナルを安全スレーブ1とし、それらをネットワーク3で結んでなるマスタ・スレーブ式の安全制御システムについても従来より知られている。安全スレーブ1は、通常のPLCにおけるスレーブと同様な機能に加えて、入出力のそれぞれについて自己診断機能を内蔵させることにより、高度の信頼性を確保したものである。そして、安全コントローラ2は、安全スレーブ1に対してネットワーク通信を行う通信マスタ機能を備えていて、安全マスタと称されることもある。安全スレーブ1は、リモート安全ターミナルと称されることもあり、安全コントローラ2の通信マスタ機能との間でネットワーク通信機能(マスタに従って制御されるスレーブ機能)を備えている。安全スレーブは接続端子を備えていて、その接続端子に、オンオフ信号を送出するスイッチ等の入力機器と、制御信号の出力先となる出力機器との少なくとも一方が接続されている(図11では、入力機器の例で、非常停止スイッチSWが接続されているが、他にライトカーテン、ドアスイッチ、2ハンドスイッチなどがある。出力機器は図示省略している。出力機器の例は、セーフティリレーやコンタクタである)。これらの入力機器または出力機器も安全規格に対応している。
安全スレーブ1は、接続された安全用途機器から入力した信号に基づいて制御データを生成し、生成した制御データを安全コントローラ2へネットワーク通信する。また安全スレーブ1は、安全コントローラ2との間でネットワーク通信することで、安全コントローラ2からの制御データを受信する。そして、安全コントローラ2は、安全スレーブ1からネットワーク通信により入力した入力機器の入力信号を入力し、予め記憶されたロジックプログラムによってその入力信号のオンオフを論理演算し、その演算結果に基づく出力信号をネットワーク通信により安全スレーブ1へ出力する。安全スレーブ1は、その出力信号を出力機器へ出力する。この一連の動作を繰り返し実行することにより、安全コントローラ2によりシステム全体が制御される。安全コントローラ2と安全スレーブ1との間の通信サイクルは、安全コントローラ2の繰り返し実行のサイクルと同期していても良いし、非同期でも良い。
なお、出力機器は、操作ロボットや加工機械、切断機械等につながれていて、出力機器のセーフティリレーやコンタクタの接点がオン中は操作ロボット等が動作し、接点がオフ中は操作ロボット等が停止するようになっている。安全コントローラは出力機器をオンオフ制御することで、制御対象の操作ロボット等を制御する。すなわち、安全コントローラ2は、図示していない制御対象を制御しているとき、非常停止スイッチSWが正常に操作されたことを安全スレーブ1から通信により入力すると、制御対象が危険な動作をしないように出力機器をオフするか、安全側の状態に強制制御し、直ちに必要な安全処置を探る。また、例えば、安全コントローラ2は、図示していない制御対象を制御しているとき、非常停止スイッチSWまたは他の入力機器(図示せず)が異常有りの診断結果を入力すると、非常停止スイッチSWの操作有無または入力機器のオンオフ状態に関わらず、制御対象が危険な動作をしないようにその動作を停止するよう出力機器をオフするか、安全側の状態に強制制御し、直ちに必要な安全処置を探る。
ところで、従来、図11に示される安全コントローラを通信マスタ局、安全スレーブを通信スレーブ局としたマスタ・スレーブ式の安全制御システムにおいては、安全スレーブ1の自己診断機能の作用により、安全規格に対応した安全用途スイッチ(SW)が接続された入力端子に関して異常ありの診断結果が得られた場合には、安全マスタ側の動作安全を確保するために、幾つかの対応策が安全スレーブに選択的に採用されている。
安全スレーブ側における第1の対応策は、その端子に対応して安全マスタ2へと送信されるべき制御データ(安全保証された入力データ)の値を強制的に安全側であるOFF(“LOW”)に設定し、OFF(“LOW”)を安全コントローラ2へ送信するものである。第2の対応策は、ネットワークを介する通信を直ちに切断することにより、誤った制御データが安全コントローラ側へと送信されないようにするものである。
特開2004−297997公報
第1の対応策によれば、安全スレーブ1の側で、安全用途スイッチ(SW)に異常ありと診断されれば、その安全用途スイッチ(SW)に対応する制御データの値は、安全用途スイッチが押されたときと同様なOFF(“LOW”)状態に強制的に設定されるから、制御データを受信する安全コントローラ2の側では、直ちに必要な安全処置を採ることができる。
しかしながら、この第1の対応策によれば、安全マスタ2の側では、制御データの値がOFF(“LOW”)状態のときには、それが安全用途スイッチ(SW)が実際に押された結果としてのOFF(“LOW”)状態なのか、それとも、診断結果が異常有りとされて強制設定された結果としてのOFF(“LOW”)状態なのか、を判別することができない。そのため、制御データを受け取る安全マスタの側では、その後のシステム復旧に手間取る等、適切な対応を十分にとることができないと言う問題点がある。なぜなら、非常停止スイッチSWが正常に押されてシステムが停止した場合でも、非常停止スイッチSWが正常に押されてシステムが停止したのか、故障が原因なのかを一義に判別できないので、非常停止スイッチSWを解除するだけで良いのか、異常有りなのかを調べる必要があるのか区別できず、いちいち調査する必要が生じ、停止する度にシステム復旧に時間がかかるからである。
第2の対応策によれば、通常、安全マスタの側では、受信データ「なし」により、制御データの値はOFF(“LOW”)状態に強制設定されるため、安全スレーブ1の側で通信を切断することによっても、安全マスタ2の側における安全用途スイッチ(SW)に対応する制御データの値は、安全用途スイッチが押されたときと同様なOFF(“LOW”)状態に強制的に設定されるから、安全コントローラ2側では、システムにおいて直ちに必要な安全処置を採ることができる。
しかしながら、この第2の対応策によれば、システムを停止してから異常履歴を読み出さなければ原因を究明できず、システム復旧作業に時間がかかると言う問題点がある。なぜなら、非常停止スイッチSWが正常に押されてシステムが停止したのか、ネットワークが異常なのかを一義に判別できないので、非常停止スイッチSWを解除するだけで良いのか、ネットワークの異常原因を取り除く必要があるのかを区別できず、いちいち調査する必要が生じ、停止する度にシステム復旧に時間がかかるからである。
この発明は、従来の安全制御システムにおける上述の問題点に着目してなされたものであり、その目的とするところは、この種の安全コントローラ、安全スレーブ等の安全ユニットにおいて、安全用途スイッチ等の生の入力信号から制御データを生成する入力処理の過程で参照され異常診断結果を、その制御データを利用するコントローラ側でも参照可能とし、それにより制御データに基づく多様な安全制御を可能とすることにある。
本発明のフェールセーフ機能を具備する安全スレーブユニットは、危険時に動作有りとなる安全仕様の入力機器を接続して、その入力機器から動作有り無し信号を入力して、それを入力信号として扱うとともに、安全仕様の安全コントローラに対してネットワークを介して接続され、安全コントローラ側の通信マスタ部に対して入力信号を通信するものであって、安全仕様の入力機器からの入力信号が与えられる1もしくは2以上の入力端子を有する入力端子部と、入力端子部の各入力端子に接続された入力機器のそれぞれから、入力機器の自己診断結果の情報を取り込んで、入力機器個別に異常の有無を診断する異常診断部と、異常診断部の異常診断結果を、ステータスデータとして扱うとともに、入力端子部に与えられる入力信号であるところの入力機器の生の動作有りか無しかの論理値を、異常診断部による異常診断結果が異常の場合は、強制的に“動作有り”とし、一方、異常診断部による異常診断結果が正常の場合は、生の動作有りか無しかの論理値のままとし、それを制御データとして扱い、その制御データとステータスデータとを対にして安全コントローラ側の通信マスタ部に対して送信する、処理手段と、を具備している。
安全仕様の入力機器が「危険時に動作有り」というのは、実施形態ではオン状態に相当し、制御データの論理値“LOW”に相当する。「動作無し」というのは、実施形態ではオフ状態に相当し、制御データの論理値“HIGH”に相当する。安全スレーブユニットと安全コントローラとの間のネットワークは、例えば、セーフティ・フィールドネットと呼ばれるものである。
本発明の制御システムは、フェールセーフ機能を具備しかつ通信マスタ部を有する安全仕様の安全コントローラと、フェールセーフ機能を具備する安全仕様の安全スレーブユニットとがネットワークを介して接続された制御システムである。そして、安全スレーブユニットは、入力端子を有し、入力端子を介して安全仕様の入力機器が接続されていて、その入力機器から動作有りか無しかの信号を入力して、それを入力信号として扱う入力端子部と、各入力端子に接続された入力機器から、それぞれ個別に入力機器の自己診断結果の情報を取り込んで、入力機器個別に異常の有無を診断する異常診断部と、異常診断部の異常診断結果をステータスデータとして扱うとともに、入力端子部にて入力した入力機器の生の動作有りか無しかの論理値を、異常診断部による異常診断結果が異常の場合は、強制的に“動作有り状態”とし、一方、異常診断部による異常診断結果が正常の場合は、生の動作有りか無しかの論理値のままとし、それを制御データとして扱い、その制御データとステータスデータとを対にして安全コントローラ側の通信マスタ部に対して送信する処理手段と、を具備している。そして、安全コントローラは、安全スレーブからの制御データとステータスデータとの対データを通信マスタ部にて受信し、受信した制御データが動作有り状態のとき、それが生の論理値が“動作有り”であることに起因するのか、異常による“強制動作有り”であることに起因するのかを、制御データとステータスデータとの論理値により判定する構成としている。
安全仕様の入力機器が「危険時に動作有り」というのは、実施形態ではオン状態に相当し、制御データの論理値“LOW”に相当する。「動作無し」というのは、実施形態ではオフ状態に相当し、制御データの論理値“HIGH”に相当する。
本発明のフェールセーフ機能を具備する安全コントローラは、危険時に動作有りとなる安全仕様の入力機器を接続してその入力機器から動作有り無し信号を入力してそれを入力信号と扱う入力ユニットを、内部バスを介して接続し、CPUユニットが入力ユニットの入力信号を入力し、その入力信号に基づいて安全ロジック制御を行うものである。そして、入力ユニットは、安全仕様の入力機器からの入力信号が与えられる1もしくは2以上の入力端子を有する入力端子部と、入力端子部の各入力端子に接続された入力機器のそれぞれから、入力機器の自己診断結果の情報を取り込んで、入力機器個別に異常の有無を診断する異常診断部と、異常診断部の異常診断結果を、ステータスデータとして扱うとともに、入力端子部に与えられる入力信号であるところの入力機器の生の動作有りか無しかの論理値を、異常診断部による異常診断結果が異常の場合は、強制的に“動作有り”とし、一方、異常診断部による異常診断結果が正常の場合は、生の動作有りか無しかの論理値のままとし、それを制御データとして扱い、その制御データとステータスデータとを対にして内部バスを介してCPUユニットへ送信する、処理手段と、を具備したものである。そして、CPUユニットは、入力ユニットからの制御データとステータスデータとの対データを入力し、入力した制御データが動作有りのとき、それが生の論理値が“動作有り”であることを起因するのか、異常による“強制動作有り”であることに起因するのかを、制御データとステータスデータとの論理値により判定する中央演算部を具備したものである。
本発明のフェールセーフ機能を具備する安全ユニットの入力装置は、それぞれ安全仕様の入力機器からの入力信号が与えられる1もしくは2以上の入力端子を有する入力端子部と、入力端子部の各入力端子に関する異常の有無を診断するために使用される異常診断部と、異常診断部を使用して入力端子部の各入力端子に関する異常の有無を診断する異常診断手段と、入力端子部の各入力端子に与えられる生の論理値を有する入力信号を、異常診断手段による異常診断結果を参照して、安全保証された論理値を有する制御データに変換して出力する入力手段とを具備している。
前記入力手段には、入力信号を制御データに変換する際に参照された異常診断結果を示すステータスデータとその変換により得られた制御データとを対にして出力する機能が含まれている。
それにより、制御データの論理値が“LOW”のとき、それが生の論理値が“LOW”であることに起因するのか、端子異常による“LOW”への強制設定に起因するのかを、その制御データと対をなすステータスデータの論理値により判定可能としている。
このような構成によれば、入力手段には、入力信号を制御データに変換する際に参照された異常診断結果を示すステータスデータとその変換により得られた制御データとを対にして出力する機能が含まれているため、生の入力信号から制御データを生成する入力処理の過程で参照され異常診断結果を、その制御データを利用する側でも参照可能とし、それにより制御データに基づく多様な安全制御が可能となる利点がある。
ここで言う「制御データを利用する側」とは、必ずしも、通信を介して接続される相手方を意味するものではない。例えば、当該安全ユニットが安全コントローラやリモート安全ターミナルである場合には、それぞれの内部で実行される装置固有の主処理(ユーザプログラム実行処理、システムサービス処理等)となるであろう。
上記の入力装置の好ましい実施の形態においては、前記ステータスデータの論理値は、異常ありのとき“LOW”かつ異常なしのとき“HIGH”とされている。
このような構成によれば、異常なしを示す論理値を高エネルギー側の論理値(“HIGH”)としているため、ステータスデータの論理値は実際に異常なしを確認した上で積極的に異常「なし」に設定しないかぎり、異常なしを示す“HIGH”にはならないから、ステータスデータは高い信頼性を持つこととなり、例えば、電源投入直後の未診断状態において、異常なしを示すステータスデータが誤って発せられることもなくなる。
好ましい実施の形態においては、前記入力手段は、異常診断結果が異常なしのとき、入力端子に与えられる生の論理値をそのまま制御データに反映させるのに対して、異常診断結果が異常ありのとき、入力端子に与えられる生の論理値に拘わらず、制御データの論理値を強制的に“LOW”に設定する、ように構成される。
このような構成によれば、入力端子部の各入力端子に与えられる生の論理値を有する入力信号を、異常診断手段による異常診断結果を参照して、安全保証された論理値を有する制御データに変換して出力することができる。
別の一面から見た本発明は、フェールセーフ機能を具備する安全スレーブユニットとして把握することもできる。この安全スレーブユニットには、それぞれ安全仕様の入力機器からの入力信号が与えられる1もしくは2以上の入力端子を有する入力端子部と、入力端子部の各入力端子に関する異常の有無を診断するために使用される異常診断部と、異常診断部を使用して入力端子部の各入力端子に関する異常の有無を診断する異常診断手段と、入力端子部の各入力端子に与えられる生の論理値を有する入力信号を、異常診断手段による異常診断結果を参照して、安全保証された論理値を有する制御データに変換すると共に、その変換により得られた制御データをその変換の際に参照された異常診断結果を示すステータスデータと対にして出力する機能を有する入力手段と、入力手段から得られる制御データとそれと対をなすステータスデータとをネットをワーク上に送信する機能を有する送信手段とを具備し、それにより、ネットワークを介する送信相手側では、受信された制御データの論理値が“LOW”のとき、それが生の論理値が“LOW”であることに起因するのか、端子異常による“LOW”への強制設定に起因するのかを、その制御データと対をなすステータスデータの論理値により判定可能とされている。
このような構成によれば、入力手段には、入力信号を制御データに変換する際に参照された異常診断結果を示すステータスデータとその変換により得られた制御データとを対にして出力する機能が含まれているため、生の入力信号から制御データを生成する入力処理の過程で参照され異常診断結果を、その制御データを利用する受信側(例えば、ネットワークを介して接続される安全マスタ等)でも参照可能とし、それにより制御データに基づく多様な安全制御が、ネットワークを介する受信側で可能となる利点がある。
好ましい実施の形態においては、前記ステータスデータの論理値は、異常ありのとき“LOW”かつ異常なしのとき“HIGH”とされている。
このような構成によれば、異常なしを示す論理値を高エネルギー側の論理値(“HIGH”)としているため、ステータスデータの論理値は実際に異常なしを確認した上で積極的に異常「なし」に設定しないかぎり、異常なしを示す“HIGH”にはならないから、ステータスデータは高い信頼性を持つこととなり、例えば、電源投入直後の未診断状態において、異常なしを示すステータスデータが誤って、送信相手方(例えば、ネットワークを介して接続される安全マスタ等)へと発せられることもなくなる。
好ましい実施の形態においては、前記入力手段は、異常診断結果が異常なしのとき、入力端子に与えられる生の論理値をそのまま制御データに反映させるのに対して、異常診断結果が異常ありのとき、入力端子に与えられる生の論理値に拘わらず、制御データの論理値を強制的に“LOW”に設定させる。
このような構成によれば、入力端子部の各入力端子に与えられる生の論理値を有する入力信号を、異常診断手段による異常診断結果を参照して、安全保証された論理値を有する制御データに変換して出力することができから、これが送信相手方へと届くことにより、通信を介して接続された相手方(安全マスタ等)において、適切な安全措置をとることができる。
別の一面から見た本発明は、フェールセーフ機能を具備する安全コントローラとして把握することもできる。この安全コントローラは、それぞれ安全仕様の入力機器からの入力信号が与えられる1もしくは2以上の入力端子を有する入力端子部と、入力端子部の各入力端子に関する異常の有無を診断するために使用される異常診断部と、異常診断部を使用して入力端子部の各入力端子に関する異常の有無を診断する異常診断手段と、入力端子部の各入力端子に与えられる生の論理値を有する入力信号を、異常診断手段による異常診断結果を参照して、安全保証された論理値を有する制御データに変換すると共に、その変換により得られた制御データをその変換の際に参照された異常診断結果を示すステータスデータと対にして出力する機能を有する入力手段と、入力手段から得られる制御データとそれと対をなすステータスデータとをネットをワーク上に送信する機能を有する送信手段とを具備し、それにより、ネットワークを介する送信相手側では、受信された制御データの論理値が“LOW”のとき、それが生の論理値が“LOW”であることに起因するのか、端子異常による“LOW”への強制設定に起因するのかを、その制御データと対をなすステータスデータの論理値により判定可能とされる。
このような構成によれば、入力手段には、入力信号を制御データに変換する際に参照された異常診断結果を示すステータスデータとその変換により得られた制御データとを対にして出力する機能が含まれているため、生の入力信号から制御データを生成する入力処理の過程で参照され異常診断結果を、その制御データを利用する受信側(例えば、ネットワークを介して接続される他の安全マスタ等)でも参照可能とし、それにより制御データに基づく多様な安全制御が、ネットワークを介する受信側で可能となる利点がある。
好ましい実施の形態においては、前記ステータスデータの論理値は、異常ありのとき“LOW”かつ異常なしのとき“HIGH”とされている。
このような構成によれば、異常なしを示す論理値を高エネルギー側の論理値(“HIGH”)としているため、ステータスデータの論理値は実際に異常なしを確認した上で積極的に異常「なし」に設定しないかぎり、異常なしを示す“HIGH”にはならないから、ステータスデータは高い信頼性を持つこととなり、例えば、電源投入直後の未診断状態において、異常なしを示すステータスデータが誤って、送信相手方(例えば、ネットワークを介して接続される他の安全マスタ等)へと発せられることもなくなる。
好ましい実施の形態においては、前記入力手段は、異常診断結果が異常なしのとき、入力端子に与えられる生の論理値をそのまま制御データに反映させるのに対して、異常診断結果が異常ありのとき、入力端子に与えられる生の論理値に拘わらず、制御データの論理値を強制的に“LOW”に設定させる。
このような構成によれば、入力端子部の各入力端子に与えられる生の論理値を有する入力信号を、異常診断手段による異常診断結果を参照して、安全保証された論理値を有する制御データに変換して出力することができから、これが送信相手方へと届くことにより、通信を介して接続された相手方(安全マスタ等)において、適切な安全措置をとることができる。
別の一面から見た本発明は、安全制御システムとして把握することもできる。すなわち、この安全制御システムは、フェールセーフ機能を具備しかつ安全マスタとして機能する安全コントローラと、フェールセーフ機能を具備しかつ安全スレーブとして機能するリモート安全ユニットとが、ネットワークを介して結ばれてなるものである。
同システムにおいて、リモート安全ユニットには、それぞれ安全仕様の入力機器からの入力信号が与えられる1もしくは2以上の入力端子を有する入力端子部と、入力端子部の各入力端子に関する異常の有無を診断するために使用される異常診断部と、異常診断部を使用して入力端子部の各入力端子に関する異常の有無を診断する異常診断手段と、入力端子部の各入力端子に与えられる生の論理値を有する入力信号を、異常診断手段による異常診断結果を参照して、安全保証された論理値を有する制御データに変換すると共に、その変換により得られた制御データをその変換の際に参照された異常診断結果を示すステータスデータと対にして出力する機能を有する入力手段と、入力手段から得られる制御データとそれと対をなすステータスデータとをネットをワーク上に送信する機能を有する送信手段とが設けられている。
一方、同システムにおいて、安全コントローラには、ネットワーク上から制御データとそれと対をなすステータスデータとを受信する受信手段と、制御データとそれと対をなすステータスデータとに基づいて入力データを再生する入力データ再生手段とが具備されている。
このような構成によれば、リモート安全ユニットの側には、入力手段から得られる制御データとそれと対をなすステータスデータとをネットをワーク上に送信する機能を有する送信手段とが設けられている一方、安全コントローラの側には、ネットワーク上から制御データとそれと対をなすステータスデータとを受信する受信手段と、制御データとそれと対をなすステータスデータとに基づいて入力データを再生する入力データ再生手段とが具備されているため、リモート安全ユニット側の診断結果を安全コントローラ側で有効に活用しつつ、より信頼性の高い安全制御が可能となる。
先に説明したように、この場合にあっても、前記ステータスデータの論理値は、異常ありのとき“LOW”かつ異常なしのとき“HIGH”とされることがこのましい。さらに、前記入力手段は、異常診断結果が異常なしのとき、入力端子に与えられる生の論理値をそのまま制御データに反映させるのに対して、異常診断結果が異常ありのとき、入力端子に与えられる生の論理値に拘わらず、制御データの論理値を強制的に“LOW”に設定する、ものであることが好ましい。
本発明によれば、この種の安全マスタ、安全スレーブ等のフェールセーフ機能を具備する安全ユニットにおいて、生の入力信号から制御データを生成する入力処理の過程で参照され異常診断結果を、その制御データを利用する側でも参照可能とし、それにより制御データに基づく多様な安全制御を可能となる利点がある。
以下に、この発明に係る安全制御システムの好適な実施の一形態を添付図面を参照しながら詳細に説明する。
本発明が適用された安全制御システムの構成図が図1に示されている。同図に示されるように、この安全制御システムは、複数台の安全スレーブ1と、1台の安全コントローラ2とを、ネットワーク3で接続して構成されている。この例における安全スレーブ1としては、入力用安全スレーブ1Aと、出力用安全スレーブ1Bと、入出力用安全スレーブ1Cとが示されている。そして、入力用安全スレーブ1Aには入力機器4が、出力用安全スレーブ1Bには出力機器5が、入出力用安全スレーブ1Cには入力機器4と出力機器5との双方が接続されている。
これらの入力機器4及び出力機器5は、いわゆる安全仕様(フェールセーフ機能を具備する)に設計されたものである。入力機器は、例えば非常停止スイッチ、ライトカーテン、ドアスイッチ、2ハンドスイッチであり、出力機器は、例えばセーフティリレーやコンタクタである。これらの機器は従来の機器と同様である。
入力用安全スレーブ1A、出力用安全スレーブ1B、及び入出力用安全スレーブ1Cは、通常のプログラマブル・コントローラ(以下、PLCと言う。なお、通常のPLCは、安全用途以外の通常用途で使われるコントローラを言い、安全コントローラを含まない。)のスレーブユニットと同等に、通信マスタ機能に対する通信動作を行う機能、接続された入力機器への入力動作を行う機能、接続された出力機器への出力動作を行う機能に加え、入出力端子のそれぞれに関する自己診断を行う機能を備えている。各入出力用安全スレーブに備えられた自己診断機能は、自己の入力端子部の異常有無の診断に関する機能、その他通信機能などの様々な機能に関する自己診断や、入出力端子と入出力機器との間の配線状態が短絡や断線したことによる自己診断も行えるようになされている。また、自己診断機能は、他の例として、各入出力安全スレーブに、入出力端子とは別のテスト出力端子を備え、対応する入出力機器に対して、テスト出力端子から適宜信号を送り、その信号が対応入力機器を経由して、正しく返送されてきたかを読み取ることによって対応入力機器の状態が正常か異常かを監視するような機能であっても良い。
安全コントローラ2には、通常のPLCのCPU内蔵本体装置に類似した機能に加え、様々な自己診断機能を備えている。この例にあっては、安全コントローラ2には、入力ユニット2Aと出力ユニット2Bとを備え、それらを連結し接続している。これらのユニットは、ローカルユニットと称されることもある。入力ユニット2Aと出力ユニット2Bとは、安全コントローラ2の内部バスに接続され、CPUユニットと互いにバス通信をする。そして、入力ユニット2Aには安全仕様に設計された入力機器4が、また出力ユニット2Bにも安全仕様に設定された出力機器5が、それぞれ接続されている。
次に、入力用安全スレーブ1Aの内部ハードウェア構成を示すブロック図が図2に示されている。同図に示されるように、入力用安全スレーブ1A内には、入力端子部101と、端子異常診断部102と、中央演算部103と、データ送信部104とが含まれている。
入力端子部101は、それぞれ安全仕様に設計された入力機器4からの入力信号が与えられる1もしくは2以上の入力端子(端子1,端子2,・・・端子m)を有している。ここで、各端子は1もしくは2以上の端子により構成される。入力機器は、安全仕様となっているもので、具体的にはいわゆる安全用途スイッチなどをいう。安全用途の非常停止スイッチは、危険な状態になったときに押されて、接点が開状態になってOFFとなり、LOW信号を出力する。逆に、安全な状態ではスイッチが押されない状態で、接点が閉状態になってON信号(HIGH信号)を出力する。このように安全用途スイッチは、危険なときにLOWを出すように設計されている。
端子異常診断部102は、入力端子部101の各入力端子(端子1,端子2,・・・端子m)に関する異常の有無を診断するために使用されるものであって、例えば特開2004−297997公報に示されるように、様々な自己診断回路を含んでいる。ここで、「各入力端子に関する異常」とは、端子に接続された入力機器の異常のみならず、端子自体の異常やその他様々な異常を含んでいる。端子異常診断部102は、入力機器側が自己診断機能をもっているなら、その自己診断結果による異常信号を各端子を介して別個に入力することで、入力機器の個々に対応した異常を診断する構成としても良い。また端子異常診断部102は、端子と入力機器との間の配線に異常がある場合(断線、短絡など)、その旨を各端子毎に別個に診断する構成としても良い。要するに、1系統の端子それぞれに別個に異常有無の状態(ステータス)を取得する構成であれば良い。なお、出力用安全スレーブ1Bである場合には、1系統の出力端子それぞれ別個に異常有無の状態(ステータス)を検出するような構成にしても良い。例えば、出力機器側が自己診断機能を持っているなら、出力機器自身の自己診断結果を取得したり、端子と出力機器との間の配線や短絡を診断する構成としても良い。また、入出力用安全スレーブ1Cであれば、1系統の入力端子または出力端子それぞれに別個に異常有無の状態(ステータス)を検出するような構成にしても良い。
中央演算部103は、マイクロプロセッサ、ROM、RAMなどを主体として構成されており、入力用安全スレーブ1Aの全体を統括制御する。データ送信部104は、後述する制御データをネットワーク3を介して安全コントローラ2へと送信するために使用される。なお、データ送信部104については、入出力用安全スレーブ1Cであるなら、データ送信と受信との両機能を備えるデータ送受信部104となる。出力用安全スレーブ1Bであるなら、データ受信機能を備えるデータ送受信部104となる。
次に、安全コントローラ2の内部ハードウェア構成を示すブロック図が図3に示されている。同図に示されるように、安全マスタ2には、入力端子部2Aと、端子異常診断部202Aと、出力端子部2Bと、端子異常診断部202Bと、中央演算部203と、データ送受信部204とが含まれている。
入力端子部2Aには、それぞれ安全仕様に設計された入力機器4からの入力信号が与えられる1もしくは2以上の入力端子(端子1,端子2,・・・端子m)が設けられている。
端子異常診断部202Aは、入力端子部2Aの各入力端子(端子1,端子2,・・・端子m)に関する異常の有無を診断するために使用されるもので、前述の安全スレーブ1と同様な各種の異常診断回路などで構成される。なお、異常診断の対象は、外部の入力機器4のみならず、入力端子部2Aそれ自体、さらにはその他必要な各種の事項が対象とされる。つまり、この端子異常診断部202Aは、各端子に対応する入力機器の自己診断結果を取り込んで、各入力機器をそれぞれ個別に異常があるか否かを診断する。また、入力端子と入力機器との間の配線に異常があるか否かを各端子それぞれ別個に診断する。要は、1系統の端子それぞれに別個に異常有無の状態(ステータス)を診断する。
出力端子部2Bには、それぞれ安全仕様に設計された出力機器5への出力信号が与えられる1もしくは2以上の出力端子(端子1,端子2,・・・端子m)が設けられている。
端子異常診断部202Bは、出力端子部2Bの各出力端子(端子1,端子2,・・・端子m)に関する異常の有無を診断するために使用される。この端子異常診断部202Bも、各端子に対する出力機器が自己診断機能を持っているなら、各機器からそれおぞれの自己診断結果を取り込んで、各出力機器をそれぞれ個別に異常があるか否かを診断する。また、出力端子と出力機器との間の配線に異常があるか否かを各端子それぞれ別個に診断する。つまり、入力系と同時に、1系統の端子それぞれに別個に異常有無の状態(ステータス)を診断する。要するに、安全スレーブ側の端子異常診断部も、安全コントローラ側の端子異常診断部も、同様の機能を持たせた構成としても良い。
中央演算部203は、マイクロプロセッサなどを主体として構成されていて、安全コントローラ2の全体を統括制御するものである。そして、ROM、RAM(図示せず)などが外付けされている。安全コントローラ2の中央演算装置は、ユーザプログラムによるロジック演算機能、安全コントローラに接続された入出力制御機能、自己診断機能、入力用安全スレーブ1A等とネットワーク通信とする機能を備えている。データ送受信部204は、入力用安全スレーブ1A、出力用安全スレーブ1B、入出力用安全スレーブ1Cとの間で特定の通信プロトコルのデータの送受を行うために使用される。
次に、マスタ局とスレーブ局との間の通信タイミングの説明図が図4に概略的に示されている。同図に示されるように、マスタ局及びスレーブ局はそれぞれ固有の制御サイクルを有すると共に、それらの間では安全コントローラ2の繰り返し実行のサイクルとは非同期に送信タイミングをもって、データの送受が行われる。安全コントローラ側では、受信したデータを通信バッファ(図示せず)に一時記憶し、自ら繰り返し実行の中でその記憶情報を演算用データメモリにデータリフレッシュをする。この例にあっては、それらのデータの中には、後述する『制御データ』及び『ステータスデータ』が含まれている。
次に、本発明装置の処理内容を示すゼネラルフローチャートが図5に示されている。同図に示されるように、本発明装置の処理の全体は、電源投入直後に実行される初期処理(ステップ501)と、初期処理に続く通常処理として実行される入力処理(ステップ502)と、入力処理に続いて実行されるメイン処理(ステップ503)とに大別される。
ここで、メイン処理(ステップ503)は、本発明装置が入力用安全スレーブ1Aとして実現されているか、入出力用安全スレーブ1Cとして実現されているか、あるいは安全コントローラ2として実現されているかによってその内容は異なる。安全スレーブ1の場合は、入力機器から信号を入力する動作が入力処理に相当する。そして、安全コントローラ2の通信マスタ機能に対して通信する動作、通信により入力した制御データを出力機器へ出力する動作、端子のそれぞれに関する自己診断を行う動作が、メイン処理に相当する。安全コントローラ2の場合だと、入力ユニットや安全スレーブからの信号をデータリフレッシュする動作が入力処理に相当し、ロジック演算処理、通信により安全スレーブへ演算結果を出力する動作、自己診断を行う動作がメイン処理に相当する。
次に、安全コントローラ側の中央演算部の初期処理の詳細を示すフローチャートが図6に示されている。安全スレーブ側の中央演算部の初期処理も同様で、図6に示されたフローチャートの動作をする。ここでの説明は、共通したものである。同図において処理が開始されると、ステップ601においては、端子それぞれに、制御データ=OFF(“LOW”)、ステータスデータ=OFF(“LOW”)の初期設定が行われる。この初期設定処理は、安全スレーブ1が備えたすべての端子101について、安全コントローラ2が備えたすべての端子2A、2Bについて、別個になされる。
続くステップ602では、異常診断部(安全スレーブの場合には端子異常診断部102、安全マスタの場合には端子異常診断部202A)を使用して入力端子部の各入力端子に関する異常の有無を、1つ1つの端子に対応して別個に診断する診断処理が実行される。先に述べたように、この異常診断処理においては、入力機器4の異常のみならず、端子部の1つ1つの端子それぞれの異常、さらには必要な様々な異常の診断が行われる。
続くステップ603においては、診断処理(ステップ602)の結果に基づき、異常の有無が判定される。ここで、「異常あり」と判定された場合には、ステップ604へと進み、「異常なし」と判定された場合には、ステップ605へと進む。
異常ありと判定された入力端子については、ステップ604においては、初期の制御データ=OFF(“LOW”)、ステータスデータ=OFF(“LOW”)の設定が行われる。ステータスデータ=OFFは、異常ありを意味している。これに対して異常なしと判定された入力端子については、ステップ605においては、初期の制御データ=OFF(“LOW”)、ステータスデータ=ON(“HIGH”)の設定が行われる。ステータスデータ=ONは、異常なしを意味している。
このように、この初期処理が実行される結果、続く定常処理の開始時点においては、異常の有無に拘わらず、初期段階では、各入力機器は操作されていない状態なのでオフ状態となっているから、制御データの論理値はOFF(“LOW”)となる。それに付随するステータスデータの論理値については、端子毎に入力機器の異常有無または配線上の異常(短絡、断線など)の有無を診断し、異常ありのときにはOFF(“LOW”)、異常なしのときにはON(“HIGH”)とされるため、このステータスデータの値を参照することによって、運転開始直後の制御データの論理値OFF(“LOW”)の意味を、後段の制御に正しく伝えることができる。つまり、安全スレーブ1の場合には、通信先の安全コントローラ2に、入力機器それぞれ個別のオンオフ動作に関する初期の制御データと、入力端子それぞれ個別の診断結果であるところのステータスデータとを、組み合わせて正しく伝えることができる。安全コントローラ2の入力ユニット2Aの場合にも、データ送り先の安全コントローラ2のCPUユニットに、入力端子それぞれ個別の制御データとステータスデータとを区別して正しく伝えることができる。
加えて、「異常なし」を、ステータスデータの論理値のうち高エネルギ側の“HIGH”に対応づけているため、診断処理(ステップ602)の結果確実に異常なしと判定されない限り、ステータスデータが異常なしを示すことはなくなり、ステータスデータは高い信頼性を示すこととなる。
次に、入力処理の詳細を示すフローチャートが図7に示されている。図7も、安全コントローラ2側の処理であり、安全スレーブ1側の処理でもある。つまり両方で共通した動作を行う。同図において処理が開始されると、ステップ701においては、接続された入力機器の実際の動作状態であるところの入力データを読み込むこと及び診断処理が実行される。この診断処理の内容は、先に図6を参照して説明した診断処理(ステップ602)と同様であり、端子それぞれ個別に、入力機器側における自己診断結果信号を入力して異常の有無をチェックするか、または配線上の異常有無などを診断する。必須なのは、スレーブに接続された入力機器自身で行われた自己診断結果信号をスレーブが入力すること、安全コントローラ2に接続された入力機器自身で行われた自己診断結果信号を安全コントローラ2が入力することである。なお、配線上の異常有無診断については、安全スレーブ1Aの場合には、端子異常診断部102、安全コントローラ2の場合には、端子異常診断部202Aにて行われる。
続くステップ702においては、診断処理の結果を踏まえて、異常の有無が判定される。安全コントローラ2の場合には、端子異常診断202Aが、入力機器側における自己診断結果信号を入力するか、配線上の異常有無などを検出した際に、異常ありと判断する。安全スレーブ1の場合には、端子異常診断部102が、入力機器側における自己診断結果信号を入力したことを検出するが、配線上の異常有無などを検出した際に、異常ありと判断する。ここで異常ありと判定されれば、ステップ704へと進むのに対し、異常なしと判定されれば、ステップ703へと進む。
ステップ704においては、制御データ=OFF(“LOW”)、ステータスデータ=OFF(“LOW”)との設定が行われる。制御データ=OFF(“LOW”)は、異常ありと診断したことによって、強制的にオフになっていることを意味し、ステータスデータ=OFF(“LOW”)は、異常ありと診断したことを意味している。これに対して、ステップ703においては、入力端子から読み込まれた実際の動作状態であるところの入力信号の論理値がON(“HIGH”)またはOFF(“LOW”)のいずれであるかの判定が行われる。初期段階では各入力機器は操作されていない状態なので、一律にオフ状態であったが、その後は各入力機器それぞれにおいて、実際の動作状態または操作状態に基づいてオンオフ状態を判定する。ここで、制御データ=OFF(“LOW”)と判定された場合にはステップ705へと移行し、ON(“HIGH”)と判定された場合にはステップ706へと移行する。
ステップ705においては、制御データ=OFF(“LOW”)、ステータスデータ=ON(“HIGH”)の設定が行われる。ステータスデータ=ON(“HIGH”)は、異常なしと判断したことを意味していて、制御データがオフというのは、入力機器の実際の動作、操作の状態がオフ状態であることを意味している。これに対して、ステップ706においては、制御データ=ON(“HIGH”)、ステータスデータ=ON(“HIGH”)の設定が行われる。ステータスデータ=ON(“HIGH”)は、異常なしと診断したことを意味していて、制御データがON(“HIGH”)は、入力機器の実際の動作、操作の状態がオン状態であることを意味している。ステップ704,705,706は、安全スレーブ1Aの場合には、中央演算部103にて実行され、安全コントローラ2の場合には中央演算部203にて行われる。
このように、以上の入力処理においては、異常診断結果が異常なしのとき、安全スレーブ1Aまたは安全コントローラ2の入力端子に与えられる生の論理値(つまり、実際の動作状態または操作状態であるところのオン状態、オフ状態)をそのまま制御データに反映させるのに対して、異常診断結果が異常ありのとき、入力端子に与えられる生の論理値に拘わらず、対応する機器の制御データの論理値を強制的に“LOW”に設定するように処理が実行される。
加えて、重要な点であるが、こうして得られた入力機器それぞれ個別の制御データには、必ずステータスデータが付加され、それらが対をなして最終的に出力される。なお、ここで言う出力とは、適当なバッファメモリ(図示せず)などに保存することを意味している。そうすることで、どの入力端子が異常ありで制御データが強制オフなのか、異常なしで制御データが実際にオフなのかを一義に区別できる。
図5のフローチャートに戻って、メイン処理(ステップ503)においては、先に説明したように、本発明装置が、入力用安全スレーブ1Aであるか、入出力用安全スレーブ1Cであるか、安全マスタ2であるかによってそれぞれ固有の処理が実行される。
例えば、本発明装置が入力用安全スレーブ1Aとして実現されていた場合、メイン処理(ステップ503)においては、入力処理(ステップ502)で得られた制御データとステータスデータとを対にして、所定の送信先(例えば、安全マスタ2など)へと送信する処理が実行される。このようにして、制御データとステータスデータとが対となって送信されれば、例えばこれを受ける安全マスタ2の側では、制御データに付されたステータスデータの内容に基づき、制御データの意味内容を正しく解釈することができる。
より具体的には、制御データの論理値がOFF(“LOW”)であっても、それが生の入力信号を反映したものなのか、あるいは入力端子に異常が発生したことによる強制設定処理によるものかを、ステータスデータの論理値に基づいて判定することができ、システムの復旧の際の対応を適切にとることが可能となる。
なお、本発明装置が入出力用安全スレーブ1Cである場合の処理は、その入力に限って言えば、先に説明した入力用安全スレーブ1Aの場合と同様であるから説明は省略する。入出力用安全スレーブ1Cや出力用安全スレーブ1Bである場合は、出力端子に関しても、出力機器の異常有無または出力端子に接続された配線上の異常(短絡、断線など)の有無を診断する構成を付加しても良い。そして、入力端子毎の制御データとステータスデータとを対にして所定の送信先に送信するのと同時に、または別途に、出力端子のステータスデータを送信するような構成としても良い。出力端子の出力データは、安全コントローラから送信されてくるものであり、安全スレーブが送信するものでないから、出力データに付随することなく、別個に送信する。
一方、本発明装置が安全コントローラ(安全マスタ)2である場合には、メイン処理(ステップ503)としては、入力ユニット2Aを介して得られた入力信号を、入力処理を介して制御データに変換した後、これを図示しない他の安全コントローラ2のCPUユニットへとステータスデータを付加して送信する処理に相当する。その後、安全コントローラ2のCPUユニットの本来の処理(例えば、ユーザプログラム実行処理)などを実行することは当業者であれば容易に理解されるであろう。
なお、本発明装置が安全コントローラ2である場合、対をなす制御データとステータスデータとは、自己のCPUユニットへ送信するのみならず、他の安全コントローラへと送信するようにしても良い。コントローラ自機内においても、それに基づき制御データの内容を確認した上で、ユーザプログラムの実行等に供することができ、ユーザプログラムの実行信頼性を向上させることができる。もちろん、他の安全コントローラへ送信した場合にも、その送信先の安全コントローラにおいても、ユーザプログラムの実行等に供することができ、ユーザプログラムの実行信頼性を向上させることができる。
次に、初期処理時の診断で異常ありとされた場合の状態遷移を示すタイムチャート(ステータス“HIGH”=“正常”の場合)が図8に示されている。なお、図において、フローチャートNo.1,フローチャートNo.2とあるのは、図6のフローチャートにおける該当No.のステップとの関連を示している。
同図に示されるように、初期処理時の診断で異常ありとされた場合には、生の入力データの論理値の如何を問わず、制御データの値は安全側である“LOW”に強制的に維持され、またステータスデータの値は異常ありを示す“HIGH”に強制的に維持される。そのため、電源ON直後においても、ステータスデータが正常を示す“HIGH”となることはない。
次に、運転開始後の診断で異常ありとされた場合の状態遷移を示すタイムチャート(ステータス“LOW”=“正常”の場合)が図9に示されている。なお、図において、フローチャートNo.1,フローチャートNo.3,フローチャートNo.6,フローチャートNo.5,フローチャートNo.4とあるのは、図7及び図8における該当するステップとの関係を示している。
同図から明らかなように、運転開始後の診断で異常なしとされる場合には、制御データの論理値は生の入力データの論理値に対応して変化する。これに対して、ステータスデータの論理値は、異常なしとされる期間に限り“LOW”の状態に維持される。そのため、時刻t5において異常ありとされた結果、制御データの論理値が強制的に“LOW”とされた後にあっては、ステータスデータの論理値も“LOW”であることから、生の入力データの実際の動作または操作による“LOW”であるのではなく、時刻t5で異常ありとされた結果の強制的に“LOW”であることを、それら2つのデータに基づき確認することができる。加えて、この例にあっては、電源投入直後に制御データが“LOW”であったとしても、ステータスデータも“LOW”であることに基づいて、その制御データについて異常診断処理がまだ終了していないことを確認することもできる。
次に、運転開始後の診断で異常ありとされた場合の状態遷移を示すタイムチャート(ステータス“HIGH”=“正常”の場合)が図10に示されている。
同図に示されるように、この例にあっては、初期処理異常なしとされた時刻t2の前後を問わず、ステータスデータは“LOW”に維持されており、そのため電源投入直後の制御データ“LOW”が、異常診断済みであるか否かを判定することができない。この点で制御データの信頼性が低いと言える。
以上説明したように、この実施形態に係る安全制御システムは、安全マスタとして機能する安全コントローラ2と、安全スレーブとして機能するリモート安全ユニット(1A,1C)とが、ネットワーク3を介して結ばれてなるものである。
リモート安全ユニット(1A,1C)には、それぞれ安全仕様の入力機器4からの入力信号が与えられる1もしくは2以上の入力端子(端子1,端子2,・・・端子m)を有する入力端子部101と、入力端子部101の各入力端子(端子1,端子2,・・・端子m)に関する異常の有無を診断するために使用される端子異常診断部102と、端子異常診断部102を使用して入力端子部の各入力端子に関する異常の有無を診断する異常診断手段(ステップ602,701)と、入力端子部の各入力端子に与えられる生の論理値を有する入力信号を、異常診断手段による異常診断結果を参照して、安全保証された論理値を有する制御データに変換すると共に、その変換により得られた制御データをその変換の際に参照された異常診断結果を示すステータスデータと対にして出力する機能を有する入力手段(ステップ701〜706)と、入力手段から得られる制御データとそれと対をなすステータスデータとをネットワーク上に送信する機能を有する送信手段(データ送信部104)とが設けられている。
一方、安全コントローラ2の側には、ネットワーク3上から制御データとそれと対をなすステータスデータとを受信する受信手段(データ送受信部204)と、制御データとそれと対をなすステータスデータとに基づいて入力データを再生して、処理する入力データ再生手段(ステップ503)が具備されている。
そのため、このような構成によれば、リモート安全ユニット(1A,1C)の側には、入力手段から得られる制御データとそれと対をなすステータスデータとをネットワーク3上に送信する機能を有する送信手段とが設けられている一方、安全コントローラ2の側には、ネットワーク3上から制御データとそれと対をなすステータスデータとを受信する受信手段と、制御データとそれと対をなすステータスデータとに基づいて入力データを再生する入力データ再生手段とが具備されているため、リモート安全ユニット1側の診断結果を安全コントローラ2側で有効に活用しつつ、より信頼性の高い安全制御が可能となる。
本発明によれば、この種の安全マスタ、安全スレーブなどの安全ユニットにおいて、生の入力信号から制御データを生成する入力処理の過程で参照された異常診断結果を、その制御データを利用する側でも参照を可能とし、それにより制御データに基づく多様な安全制御を可能とすることができる。
安全制御システムの構成図である。 入力用安全スレーブの内部ハードウェア構成を示すブロック図である。 安全コントローラ(安全マスタ)の内部ハードウェア構成を示すブロック図である。 マスタ局とスレーブ局との間の通信タイミングの説明図である。 本発明装置の処理内容を示すゼネラルフローチャートである。 初期処理の詳細を示すフローチャートである。 入力処理の詳細を示すフローチャートである。 初期処理時の診断で異常ありとされた場合の状態遷移を示すタイムチャート(ステータス“HIGH”=“正常”の場合)である。 運転開始後の診断で異常ありとされた場合の状態遷移を示すタイムチャート(ステータス“HIGH”=“正常”の場合)である。 運転開始後の診断で異常ありとされた場合の状態遷移を示すタイムチャート(ステータス“LOW”=“正常”の場合)である。 マスタ・スレーブ式安全制御システムにおける問題点を説明するための図である。
符号の説明
1 安全スレーブユニット
1A 入力用安全スレーブ
1B 出力用安全スレーブ
1C 入出力用安全スレーブ
2 安全コントローラ(安全マスタ)
3 ネットワーク
4 安全仕様の入力機器
5 安全仕様の出力機器
101 入力端子部
102 端子異常診断部
103 中央演算部
104 データ送信部
201A 入力端子部
201B 出力端子部
202A 端子異常診断部
202B 端子異常診断部
203 中央演算部
204 データ送受信部

Claims (7)

  1. 危険時に動作有りとなる安全仕様の入力機器を複数接続して、それらの入力機器から動作有り無し信号を入力して、それぞれを入力信号として扱うとともに、安全仕様の安全コントローラに対してネットワークを介して接続され、安全コントローラ側の通信マスタ部に対して前記それぞれの入力信号を通信する、フェールセーフ機能を具備する安全スレーブユニットであって、
    前記安全仕様の入力機器からの動作有り無し信号が与えられる入力端子を複数有する入力端子部と、
    前記入力端子部各入力端子と前記入力機器の間の配線における、断線、短絡による異常の有無を前記入力端子ごとに診断した際に、その診断結果が異常なしであった場合には高エネルギー側の論理値("HIGH")とし、異常ありであった場合には高エネルギー側でない側の論理値("LOW")とする異常診断部と、
    前記異常診断部の前記入力端子ごとの異常診断結果が異常なしである旨のステータスデータの論理値を高エネルギー側の論理値("HIGH")とする一方、異常ありである旨のステータスデータの論理値を高エネルギー側でない側の論理値("LOW")として扱うとともに、前記入力端子ごとに与えられる入力機器の生の動作有りか無しかの論理値を、異常診断部による対応する前記入力端子ごとの異常診断結果が異常ありの場合は、強制的に"動作有り"の論理値する一方、異常なしの場合は、生の動作有りか無しかの論理値のままとし、これら各入力機器の制御データの論理値として扱い、前記各入力機器についての制御データの論理値とステータスデータの論理値とを対にして安全コントローラ側の通信マスタ部に対して送信する、処理手段と、
    を具備したことを特徴とするフェールセーフ機能を具備する安全スレーブユニット。
  2. フェールセーフ機能を具備しかつ通信マスタ部を有する安全仕様の安全コントローラと、フェールセーフ機能を具備する安全仕様の安全スレーブユニットとがネットワークを介して接続された制御システムであって、
    安全スレーブユニットは、
    入力端子を有し、入力端子を介して前記安全仕様の入力機器を複数接続して、それらの入力機器から動作有り無し信号を入力して、それぞれを入力信号として扱う入力端子部と、
    前記入力端子部の各入力端子と前記入力機器の間の配線における、断線、短絡による異常の有無を前記入力端子ごとに診断した際に、その診断結果が異常なしであった場合には高エネルギー側の論理値("HIGH")とし、異常ありであった場合には高エネルギー側でない側の論理値("LOW")とする異常診断部と、
    前記異常診断部の前記入力端子ごとの異常診断結果が異常なしである旨のステータスデータの論理値を高エネルギー側の論理値("HIGH")とする一方、異常ありである旨のステータスデータの論理値を高エネルギー側でない側の論理値("LOW")として扱うとともに、前記入力端子ごと与えられる各入力機器の生の動作有りか無しかの論理値を、異常診断部による対応する前記入力端子ごとの異常診断結果が異常ありの場合は、強制的に"動作有り"の論理値する一方、異常なしの場合は、生の動作有りか無しかの論理値のままとし、これら各入力機器の制御データの論理値として扱い、前記各入力機器についての制御データの論理値とステータスデータの論理値とを対にして安全コントローラ側の通信マスタ部に対して送信する処理手段と、を具備し、
    安全コントローラは、
    安全スレーブからの制御データの論理値とステータスデータの論理値との対データを通信マスタ部にて受信し、対データの対象たる各入力機器について個別に、受信した制御データの論理値が動作有り状態のとき、対データのステータスデータの論理値が高エネルギー側の論理値("HIGH")であれば、それが生の論理値が"動作有り"であると判定し、受信したステータスデータの論理値が高エネルギー側でない側の論理値("LOW")であれば、異常ありによる"強制動作有り"である判定する、
    ことを特徴とする制御システム。
  3. 危険時に動作有りとなる安全仕様の入力機器を複数接続して、それらの入力機器から動作有り無し信号を入力してそれぞれを入力信号として扱う入力ユニットを、内部バスを介して接続し、CPUユニットが入力ユニットの前記それぞれの入力信号を入力し、それら入力信号に基づいて安全ロジック制御を行う、フェールセーフ機能を具備する安全コントローラであって、
    前記入力ユニットは、安全仕様の入力機器からの動作有り無し信号が与えられる入力端子を複数有する入力端子部と、
    前記入力端子部各入力端子と前記入力機器の間の配線における、断線、短絡による異常の有無を前記入力端子ごとに診断した際に、その診断結果が異常なしであった場合には高エネルギー側の論理値("HIGH")とし、異常ありであった場合には高エネルギー側でない側の論理値("LOW")とする異常診断部と、
    前記異常診断部の前記入力端子ごとの異常診断結果が異常なしである旨のステータスデータの論理値を高エネルギー側の論理値("HIGH")とする一方、異常ありである旨のステータスデータの論理値を高エネルギー側でない側の論理値("LOW")して扱うとともに、前記入力端子ごとに与えられる入力機器の生の動作有りか無しかの論理値を、異常診断部による対応する前記入力端子ごとの異常診断結果が異常ありの場合は、強制的に"動作有り" の論理値する一方、異常なしの場合は、生の動作有りか無しかの論理値のままとし、これら各入力機器の制御データの論理値として扱い、前記各入力機器についての制御データの論理値とステータスデータの論理値とを対にして内部バスを介してCPUユニットへ送信する、処理手段と、を具備し、
    CPUユニットは、
    入力ユニットからの制御データの論理値とステータスデータの論理値との対データを入力し、対データの対象たる各入力機器について個別に、入力した制御データの論理値が動作有りのとき、対データのステータスデータの論理値が高エネルギー側の論理値("HIGH")であれば、それが生の論理値が"動作有り"であると判定し、受信したステータスデータの論理値が高エネルギー側でない側の論理値("LOW")であれば、異常ありによる"強制動作有り"である判定する中央演算部を具備した、
    ことを特徴とするフェールセーフ機能を具備する安全コントローラ。
  4. それぞれ安全仕様の複数の入力機器からの動作有り無し信号が与えられる入力端子を複数有する入力端子部と、
    前記入力端子部各入力端子と前記入力機器の間の配線における、断線、短絡による異常の有無を前記入力端子ごとに診断した際に、その診断結果が異常なしであった場合には高エネルギー側の論理値("HIGH")とし、異常ありであった場合には高エネルギー側でない側の論理値("LOW")とする異常診断部と、
    前記異常診断部の前記入力端子ごとの異常診断結果が異常なしである旨のステータスデータの論理値を高エネルギー側の論理値("HIGH")とする一方、異常ありである旨のステータスデータの論理値を高エネルギー側でない側の論理値("LOW")として出力する異常診断手段と、
    前記入力端子ごとに与えられる各入力機器の生の動作有りか無しかの論理値を、異常診断部による対応する前記入力端子ごとの異常診断結果の論理値が高エネルギー側でない側の論理値("LOW")の場合は、強制的に"LOW"の論理値とする一方、高エネルギー側の論理値("HIGH")の場合は、生の動作有りの"LOW"か動作無しの"HIGH"かの論理値のままとし、これらを各入力機器の制御データの論理値に変換して出力する入力手段とを具備し、
    前記入力手段には、各入力機器の生の動作有りか無しかの論理値を制御データの論理値に変換する際に対応する前記入力端子ごとの異常診断結果を示すステータスデータの論理値とその変換により得られた制御データの論理値とを対にして出力する機能が含まれており、
    それにより、各入力機器についての制御データの論理値が"LOW"のとき、その制御データの論理値と対をなすステータスデータの論理値が高エネルギー側の論理値("HIGH")であれば、それが生の論理値が動作有りによる"LOW"であることに起因し、高エネルギー側でない側の論理値("LOW")であれば、各入力端子と前記入力機器の間の配線における、断線、短絡異常による"LOW"への強制設定に起因するということを判定可能とした、
    ことを特徴とするフェールセーフ機能を具備する安全ユニットの入力装置。
  5. それぞれ安全仕様の複数の入力機器からの動作有り無し信号が与えられる入力端子を複数有する入力端子部と、
    前記入力端子部各入力端子と前記入力機器の間の配線における、断線、短絡による異常の有無を前記入力端子ごとに診断した際に、その診断結果が異常なしであった場合には高エネルギー側の論理値("HIGH")とし、異常ありであった場合には高エネルギー側でない側の論理値("LOW")とする異常診断部と、
    前記異常診断部の前記入力端子ごとの異常診断結果が異常なしである旨のステータスデータの論理値を高エネルギー側の論理値("HIGH")とする一方、異常ありである旨のステータスデータの論理値を高エネルギー側でない側の論理値("LOW")として出力する異常診断手段と、
    前記入力端子ごとに与えられる各入力機器の生の動作有りか無しかの論理値を、異常診断部による対応する前記入力端子ごとの異常診断結果の論理値が高エネルギー側でない側の論理値("LOW")の場合は、強制的に"LOW"の論理値とする一方、高エネルギー側の論理値("HIGH")の場合は、生の動作有りの"LOW"か動作無しの"HIGH"かの論理値のままとし、これらを各入力機器の制御データの論理値に変換すると共に、その変換により得られた制御データをその変換の際に対応する前記入力端子ごとの異常診断結果を示すステータスデータの論理値対にして出力する機能を有する入力手段と、
    前記入力手段から得られる各入力機器の制御データの論理値とそれと対をなすステータスデータの論理値とをネットワーク上に送信する機能を有する送信手段とを具備し、
    それにより、ネットワークを介する送信相手側では、受信された各入力機器についての制御データの論理値が"LOW"のとき、その制御データの論理値と対をなすステータスデータの論理値が高エネルギー側の論理値("HIGH")であれば、それが生の論理値が動作有りによる"LOW"であることに起因し、高エネルギー側でない側の論理値("LOW")であれば、各入力端子と前記入力機器の間の配線における、断線、短絡異常による"LOW"への強制設定に起因するということを判定可能とした、
    ことを特徴とするフェールセーフ機能を具備する安全スレーブユニット。
  6. それぞれ安全仕様の複数の入力機器からの動作有り無し信号が与えられる入力端子を複数有する入力端子部と、
    前記入力端子部各入力端子と前記入力機器の間の配線における、断線、短絡による異常の有無を前記入力端子ごとに診断した際に、その診断結果が異常なしであった場合には高エネルギー側の論理値("HIGH")とし、異常ありであった場合には高エネルギー側でない側の論理値("LOW")とする異常診断部と、
    前記異常診断部の前記入力端子ごとの異常診断結果が異常なしである旨のステータスデータの論理値を高エネルギー側の論理値("HIGH")とする一方、異常ありである旨のステータスデータの論理値を高エネルギー側でない側の論理値("LOW")として出力する異常診断手段と、
    前記入力端子ごとに与えられる各入力機器の生の動作有りか無しかの論理値を、異常診断部による対応する前記入力端子ごとの異常診断結果の論理値が高エネルギー側でない側の論理値("LOW")の場合は、強制的に"LOW"の論理値とする一方、高エネルギー側の論理値("HIGH")の場合は、生の動作有りの"LOW"か動作無しの"HIGH"かの論理値のままとし、これらを各入力機器の制御データの論理値に変換して出力する入力手段と、
    前記入力手段から得られる各入力機器の制御データの論理値とそれと対をなすステータスデータの論理値とをネットをワーク上に送信する機能を有する送信手段とを具備し、
    それにより、受信された各入力機器についての制御データの論理値が"LOW"のとき、その制御データの論理値と対をなすステータスデータの論理値が高エネルギー側の論理値("HIGH")であれば、それが生の論理値が動作有りによる"LOW"であることに起因し、高エネルギー側でない側の論理値("LOW")であれば、各入力端子と前記入力機器の間の配線における、断線、短絡異常による"LOW"への強制設定に起因するということを判定可能とした、
    ことを特徴とするフェールセーフ機能を具備する安全コントローラ。
  7. 安全マスタとして機能しかつフェールセーフ機能を具備する安全コントローラと、安全スレーブとして機能しかつフェールセーフ機能を具備するリモート安全ユニットとが、ネットワークを介して接続されており
    リモート安全ユニットには、
    それぞれ安全仕様の複数の入力機器からの動作有り無し信号が与えられる入力端子を複数有する入力端子部と、
    前記入力端子部各入力端子と前記入力機器の間の配線における、断線、短絡による異常の有無を前記入力端子ごとに診断した際に、その診断結果が異常なしであった場合には高エネルギー側の論理値("HIGH")とし、異常ありであった場合には高エネルギー側でない側の論理値("LOW")とする異常診断部と、
    前記異常診断部の前記入力端子ごとの異常診断結果が異常なしである旨のステータスデータの論理値を高エネルギー側の論理値("HIGH")とする一方、異常ありである旨のステータスデータの論理値を高エネルギー側でない側の論理値("LOW")として出力する異常診断手段と、
    前記入力端子ごとに与えられる各入力機器の生の動作有りか無しかの論理値を、異常診断部による対応する前記入力端子ごとの異常診断結果の論理値が高エネルギー側でない側の論理値("LOW")の場合は、強制的に"LOW"の論理値とする一方、高エネルギー側の論理値("HIGH")の場合は、生の動作有りの"LOW"か動作無しの"HIGH"かの論理値のままとし、これらを各入力機器の制御データの論理値に変換すると共に、その変換により得られた制御データをその変換の際に対応する前記入力端子ごとの異常診断結果を示すステータスデータの論理値対にして出力する機能を有する入力手段と、
    前記入力手段から得られる各入力機器の制御データの論理値とそれと対をなすステータスデータの論理値とをネットをワーク上に送信する機能を有する送信手段とが設けられ、 安全コントローラには、
    ネットワーク上から各入力機器についての制御データの論理値とそれと対をなすステータスデータの論理値とを受信する受信手段と、
    制御データの論理値とそれと対をなすステータスデータの論理値とに基づいて、その制御データの論理値と対をなすステータスデータの論理値が高エネルギー側の論理値("HIGH")であれば、制御データの論理値が"LOW"のときには"生の動作有り"とし、"HIGH"のときには"生の動作無し"とし、その制御データの論理値と対をなすステータスデータの論理値が高エネルギー側でない側の論理値("LOW")であれば、強制的な"LOW"とすることで入力データを再生する入力データ再生手段とが具備されている、
    ことを特徴とする安全制御システム。
JP2006097197A 2005-04-19 2006-03-31 安全ユニットの入力装置 Active JP3978617B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2006097197A JP3978617B2 (ja) 2005-04-19 2006-03-31 安全ユニットの入力装置
EP06007864A EP1717654B1 (en) 2005-04-19 2006-04-13 Input device of a safety unit
ES06007864T ES2400369T3 (es) 2005-04-19 2006-04-13 Dispositivo de entrada de una unidad de seguridad
US11/405,704 US7555353B2 (en) 2005-04-19 2006-04-18 Input device of safety unit

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2005121673 2005-04-19
JP2006097197A JP3978617B2 (ja) 2005-04-19 2006-03-31 安全ユニットの入力装置

Publications (2)

Publication Number Publication Date
JP2006323831A JP2006323831A (ja) 2006-11-30
JP3978617B2 true JP3978617B2 (ja) 2007-09-19

Family

ID=36636427

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006097197A Active JP3978617B2 (ja) 2005-04-19 2006-03-31 安全ユニットの入力装置

Country Status (4)

Country Link
US (1) US7555353B2 (ja)
EP (1) EP1717654B1 (ja)
JP (1) JP3978617B2 (ja)
ES (1) ES2400369T3 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7651963B2 (en) * 2005-04-15 2010-01-26 Siemens Energy, Inc. Patterning on surface with high thermal conductivity materials
ES2670420T3 (es) * 2006-07-07 2018-05-30 F. Hoffmann-La Roche Ag Dispositivo de administración de fluidos y métodos de funcionamiento del mismo
JP4941748B2 (ja) * 2007-07-19 2012-05-30 横河電機株式会社 安全制御システム
JP4900607B2 (ja) * 2007-12-12 2012-03-21 オムロン株式会社 セーフティ・コントロール・システム
JP5379387B2 (ja) * 2008-02-29 2013-12-25 Idec株式会社 安全機器教育用ツール及びその組み立てキット
JP5348499B2 (ja) * 2009-03-12 2013-11-20 オムロン株式会社 I/oユニット並びに産業用コントローラ
SE538207C2 (sv) * 2009-09-23 2016-04-05 Abb Technology Ltd Säkerhetsarrangemang
JP5494255B2 (ja) * 2010-06-07 2014-05-14 富士電機株式会社 安全制御システム
DE102010037714B3 (de) * 2010-09-22 2012-01-05 Schneider Electric Automation Gmbh Not-Aus-Modul-Anordnung
EP2463734A1 (de) * 2010-12-07 2012-06-13 Siemens Aktiengesellschaft Automatisierungsgerät und Verfahren zur Bewertung einer Diagnosemeldung aus einer Peripheriebaugruppe.
JP5830952B2 (ja) * 2011-06-16 2015-12-09 富士電機株式会社 インバータ装置
JP6163735B2 (ja) * 2012-11-13 2017-07-19 オムロン株式会社 安全スレーブユニット、その制御方法、その制御プログラム、および安全制御システム
FR3001297B1 (fr) * 2013-01-23 2015-03-20 Schneider Electric Ind Sas Procede et dispositifs pour l'autodiagnostic d'equipements electriques
WO2014145437A1 (en) * 2013-03-15 2014-09-18 Symbotic Llc Automated storage and retrieval system with integral secured personnel access zones and remote rover shutdown
JP6221605B2 (ja) * 2013-10-08 2017-11-01 富士電機株式会社 安全制御装置および安全制御システム
JP6772531B2 (ja) * 2016-04-28 2020-10-21 オムロン株式会社 制御システム、制御方法、制御プログラム、および記録媒体
CN107942894B (zh) * 2016-10-13 2019-12-10 中国石油天然气集团公司 主输入输出子模块及其诊断方法、可编辑逻辑控制器
JP6460137B2 (ja) * 2017-03-06 2019-01-30 オムロン株式会社 制御装置、制御方法、およびプログラム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2681160B1 (fr) * 1991-09-05 1995-03-24 Telemecanique Dispositif d'entree ou de sortie, notamment pour automate programmable.
DE19529434B4 (de) * 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen
US6999824B2 (en) * 1997-08-21 2006-02-14 Fieldbus Foundation System and method for implementing safety instrumented systems in a fieldbus architecture
JPH1173201A (ja) 1997-08-29 1999-03-16 Yaskawa Electric Corp 通信システム
DE19920299B4 (de) * 1999-05-03 2008-01-03 Siemens Ag Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale
EP1396771B1 (en) * 2001-05-31 2016-02-17 Omron Corporation Slave units and network system as well as slave unit processing method and device information collecting method
EP2256562B1 (en) 2001-06-22 2012-01-25 Omron Corporation Safety controller
WO2003001749A1 (fr) * 2001-06-22 2003-01-03 Omron Corporation Systeme de reseau securise et esclave securise
ATE305197T1 (de) * 2002-04-16 2005-10-15 Bosch Gmbh Robert Verfahren zur datenübertragung in einem kommunikationssystem
FR2841007B1 (fr) * 2002-06-18 2004-07-23 Schneider Automation Systeme de communication de securite
EP1460497B1 (en) * 2003-02-12 2012-11-14 Omron Corporation Safety controller
JP4271592B2 (ja) 2003-02-12 2009-06-03 日本制禦機器株式会社 セーフティコントローラ
US7287184B2 (en) * 2003-09-16 2007-10-23 Rockwell Automation Technologies, Inc. High speed synchronization in dual-processor safety controller
DE10353950C5 (de) * 2003-11-18 2013-10-24 Phoenix Contact Gmbh & Co. Kg Steuerungssystem

Also Published As

Publication number Publication date
ES2400369T3 (es) 2013-04-09
JP2006323831A (ja) 2006-11-30
EP1717654A2 (en) 2006-11-02
EP1717654A3 (en) 2007-12-05
US7555353B2 (en) 2009-06-30
EP1717654B1 (en) 2013-02-13
US20060271833A1 (en) 2006-11-30

Similar Documents

Publication Publication Date Title
JP3978617B2 (ja) 安全ユニットの入力装置
JP3918950B2 (ja) セーフティデバイス
US7120820B2 (en) Redundant control system and control computer and peripheral unit for a control system of this type
US3845472A (en) Data communication system employing a series loop
US11016463B2 (en) Control and data-transfer system, gateway module, I/O module, and method for process control
US6711713B1 (en) Method and apparatus for detection, transmission and processing of safety-related signals
JP4461485B2 (ja) 分散制御装置
CN105103061B (zh) 控制和数据传输设备、处理装置和具有分散冗余的用于冗余的过程控制的方法
EP3242174B1 (en) Control system, control method, control program, and recording medium
JP3897047B2 (ja) 情報処理装置および情報処理方法
WO2003001307A1 (fr) Systeme de reseau de securite, esclave de securite, et procede de communication
CN115657450B (zh) 工业机器人的安全控制系统、电路及方法
CN111103824A (zh) 用于控制安全关键和非安全关键过程的控制系统
US8072889B2 (en) Programmable controller
US20040008467A1 (en) Safety communication system
CN202453705U (zh) 一种适用于锻压类机床的安全控制模块
CN115053462B (zh) 线缆异常判定系统、从机装置及线缆异常判定方法
JP2019192244A (ja) 安全スイッチ
CN102077148A (zh) 监控系统
US6507760B1 (en) Numerical control unit with a spatially separated input device
JP4247791B2 (ja) 複雑なまたは分散式の安全および/または非安全システムの最大反応時間の保証
JP6163735B2 (ja) 安全スレーブユニット、その制御方法、その制御プログラム、および安全制御システム
JP3868700B2 (ja) 保護継電器
WO2022190539A1 (ja) スイッチシステム及びスイッチ
JP2009130536A (ja) 回線接続装置及び通信システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060915

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20060915

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20061025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061101

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070402

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070530

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070612

R150 Certificate of patent or registration of utility model

Ref document number: 3978617

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100706

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110706

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110706

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120706

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130706

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250