一般制御を司るプログラマブル・コントローラ(以下、PLCと言う)と非常停止等のセーフティ制御を司るセーフティ・コントローラ(以下、SCと言う)とを備えて、作業者が危険に晒される事態を極力回避しつつ、生産設備等の制御を実現するセーフティ・コントロール・システムは、従来より知られている。
このようなセーフティ・コントロール・システムの一例が図10に示されている。同図に示されるように、このセーフティ・コントロール・システムは、一般制御を司るビルディング・ブロック型のPLC1と、非常停止等のセーフティ制御を司るSC(この例では、セーフティ・リレー・コントローラ)2とを含んで構成される。
この種のビルディング・ブロック型のPLCは、通常、ベースユニット(バックプレーン等とも称される)上に、電源ユニット、CPUユニット、入力(IN)ユニット、出力(OUT)ユニット、通信ユニット、各種の特殊機能ユニット等々を多数装着して構成されるのであるが、図示例では、説明の便宜のために、それらのユニットのうちで、電源ユニット11、CPUユニット12、1台の入力(IN)ユニット13、1台の出力(OUT)ユニット14のみが例示されている。
なお、当業者にはよく知られているが、ベースユニット10は横長長方形状の支持プレート上に長手方向に沿ってシステムバス(電源ラインを含む)を敷設すると共に、このシステムバス上には適当な間隔を隔ててユニット装着用のソケットが配置され、各ユニット11〜14は、それらのソケットに対してプラグイン接続される。これにより、電源ユニット11から他のユニット12〜14に対する給電がなされると共に、CPUユニット12と入力(IN)ユニット13及び出力(OUT)ユニット14とがシステムバスで結ばれる。
入力(IN)ユニット13を構成するユニットハウジングの前面には、セーフティ規格の入力機器(図示例では、セーフティ・ライトカーテン)3及びSC(図示例では、セーフティ・リレー・コントローラ)2の診断結果出力用端子部へと通ずるべき入力用端子部(入力用端子台IN)13aが設けられると共に、同ハウジングの内部には、図示を省略するが、入力用端子部13aに供給された信号をシステムバスに取り込むための入力回路が内蔵されている。図示例では、セーフティ規格の入力機器(安全入力機器)3からの信号及びSC2からの診断結果を示す信号(正常/異常信号)は、いずれも端子台7にて中継されたのち、入力用端子部13aへと供給される。
出力(OUT)ユニット14を構成するユニットハウジングの前面には、出力機器(図示例では、サーボドライバであるが、インバータや電磁コンタクタである場合もある)4へと通ずるべき出力用端子部(出力用端子台OUT)14aが設けられると共に、同ハウジングの内部には、図示を省略するが、システムバスを介して送られてきた出力データを出力用端子部14aを介して外部へと送出するための出力回路が内蔵されている。
CPUユニット12は、PLC全体を統括制御するためのものである。このCPUユニット12内には、図示を省略するが、入力格納領域と出力格納領域とを有する入出力メモリと、予め用意された命令語を使用してユーザにより任意に作成された所望の制御仕様に対応するユーザプログラムを格納するユーザメモリと、マイクロプロセッサやASIC等で構成された制御部とが内蔵されている。
この制御部は、入力回路を介して入力用端子部から入力信号を取り込んで入出力メモリの入力格納領域に入力データとして格納すると共に、入出力メモリの出力格納領域から読み出した出力データを出力回路を介して出力用端子部へと送出する入出力更新処理と、ユーザメモリから順次に命令語を読み出すと共に、これを入出力メモリの入出力データを参照して実行し、その実行結果により、入出力メモリの出力データを書き替える命令実行処理とを少なくとも含む一連の処理、を所定のサイクルタイムの下に、サイクリックに実行するように仕組まれている。
一方、SC2は、図示例では、1台のコントロールユニット21と、コントロールユニット21と協働する複数台(図示例では5台)のリレーユニット22とを有するセーフティ・リレー・コントローラとして構成されている。
このコントロールユニット21には、図示を省略するが、セーフティ規格の入力機器3へと通ずるべき入力用端子部と、出力機器4へと通ずるべき出力用端子部と、正常/異常信号を外部へと送出するための診断結果出力用端子部と、制御部とが設けられている(例えば、特許文献1参照)。
図示例では、セーフティ規格の入力機器3からの信号は端子台7にて中継されたのち、入力用端子部へと供給され、出力用端子部から出力される遮断出力信号についても、端子台7にて中継されたのち、出力機器(図示例では、サーボドライバ)4へと供給され、さらに、診断結果出力用端子部から出力される正常/異常信号についても、端子台7にて中継されたのち、PLC1の入力(IN)ユニット13の入力用端子部(IN)13aへと供給される。
制御部は、入力用端子部を介して入力機器3がオン状態かオフ状態かを判定する入力オンオフ判定処理と、入力用端子部を介して入力機器3が正常であるか異常であるかを診断する入力機器診断処理と、当該セーフティ・コントローラ自身が正常であるか異常であるかを診断する自己診断処理と、入力オンオフ判定処理による判定結果に基づいて生成される遮断信号を出力用端子部から送出する遮断信号出力処理と、入力機器診断処理により入力機器3が異常であると診断されるか、又は自己診断結果出力処理により当該セーフティ・コントローラ自身が異常であると診断されたときに、診断結果出力用端子部から異常である旨の正常/異常信号を外部へと送出する診断結果出力処理とを実行するように仕組まれている。
以上説明したセーフティ・コントロール・システムの構成を示す概念図が図11に示されている。同図に示されるように、この種のセーフティ・コントロール・システムにあっては、セーフティ規格の入力機器3が作動したことに応答する遮断出力による出力機器4の電源遮断処理(所謂緊急停止)は、所定の厳格なセーフティ規格を満足するSC2においては実行を許可されるものの、そのようなセーフティ規格の満足しないPLC1においては実行を許可されていない。
そのため、図11に示されるように、入力機器(セーフティ・ライトカーテン等)3からの信号は、2系統に分岐されたのち、PLC1とSC2とに並列に供給されてはいるものの、これを緊急停止のための遮断出力生成に利用するのはSC2の側のみであって、PLC1の側では入力機器3からの信号及びSC2からの正常/異常信号を受け取りはするものの、それらは専らプログラマブル表示器6への状態表示のためなどに供されるに過ぎない。
その結果、仮に、PLCそれ自体に正常時(否緊急時)の「速度制御された停止(以下、「制御停止」と言う)」のための減速用プログラムが組み込まれていたとしても、この減速用プログラムは入力用機器(セーフティ・ライトカーテン等)3が作動した際における緊急停止に供されることはなく、結局、入力用機器3が作動した際における緊急停止は、例えば、動力系に備えられたブレーキ機構(ブレーキ付モータ等の場合)等による速度制御不能な停止(以下、「制御不能停止」と言う)に委ねざるを得ない。
特開2004−221905号公報
ところで、一般に、この種のセーフティ・コントロール・システムに適用される制御対象生産設備等には、ロボットアームやスタッカクレーン等々のように、比較的に慣性の大なる重量物体が含まれている。そのため、そのような生産設備の設計にあたっては、そのような重量物体が最大速度で運動中乃至走行中に、入力機器(セーフティ・ライトカーテン等々)の作動により、緊急停止のための制御不能停止が発生した場合にも、そのような重量物体が周囲物体に衝突することなく安全に停止できるように、十分な距離(安全距離)乃至空間(安全空間)を周囲に確保することが必要となり、その結果、設備が大型化せざるを得ないと言う問題点があった。
従来のセーフティ・コントロール・システムにおける入力機器作動時の被制御対象走行体(スタッカクレーン、その他各種のクレーン等々)の速度変化を示すグラフが図12に示されている。図において、T0は安全処理時間、T1は安全機器の全応答時間、T2は制御対象機器の応答時間、T3は入力機器(セーフティ・ライト・カーテン)3の応答時間、T4はSC(セーフティ・リレー・コントローラ)2の応答期間、T5は出力機器(サーボドライバ又はインバータ)4の応答時間、T6はモータ5の応答時間である。
図から明らかなように、被制御対象走行体(例えば、スタッカクレーン等)が最大速度(Vmax)で走行中に、セーフティ規格の入力機器(セーフティ・ライトカーテン)3において、時刻0に、なんらかの作動要因(人の通過等)が発生すると、入力機器3の応答時間T3が経過した時点t1において、SC2が起動され、それからさらにSC2の応答時間T4(通常10ms〜50ms程度)が経過した時点、換言すれば、時刻0から安全機器の全応答時間T1が経過した時点t5において、SC2から遮断出力が発せられて、出力機器(サーボドライバ又はインバータ)4の電源が遮断され、それからさらにモータ5の応答時間T6が経過した時点、換言すれば、時刻t5から制御対象機器の応答時間T2が経過した時点(さらに換言すれば、時刻0から安全処理時間T0が経過した時点)t7以降、図中符号L1に示されるように、被制御対象走行体は制御不能停止となり、その後、時刻t8において、制御対象走行体は停止することとなる。
この制御不能停止による制動距離は、図中ハッチングで示される領域の面積で表され、これが設備設計の際に厳守すべき「安全距離」となる。図から明らかなように、この「安全距離」は、安全処理時間T0に依存する第1の区間(0〜t7)と設備自身のブレーキ仕様に依存する第2の区間(t7〜t8)とからなる。
ここで、第1の区間(0〜t7)の大部分を占めるSCの応答時間T4の値は、通常、10ms〜50ms程度と比較的に長い。これは、SC2の制御部においては、2台のマイクロプロセッサを並列に作動させつつ、複雑な二重化ソフトウェアを実行することに主として起因する。
もっとも、この問題は、一見、高速動作の可能なマイクロプロセッサの導入により解決できそうにも見えるが、そのためには、高価なマイクロプロセッサが2台必要となることに加えて、それに対応するソフトウェアについても開発し直すことが必要となり、市場の要求する価格に抑えることは極めて困難である。そのため、SC2に関する既存のハードウェア構成並びにソフトウェア構成を前提とする限り、上述の第1の区間(0〜t7)の距離短縮には限界がある。
また、第2の区間(t7〜t8)の減速率は、設備自体のブレーキ仕様に依存することに加えて、減速率は減速開始から停止に至る全区間、ほぼ一定となる。そのため、減速開始時における急減速による衝撃を考慮すると、設備のブレーキ仕様はある程度緩やかな減速率となるように設定せざるを得ない。
すなわち、制御不能停止時におけるブレーキ機構等の制動力を増加させれば、第2の区間(t7〜t8)の距離を短縮させて、その分だけ対象となる生産設備等を小型化することもできるが、そうすると、例えば昨今大画面テレビ等に供されるディスプレイ用の大型ガラス板を搬送するスタッカクレーン等の場合、そのような急激な制動により、搬送中のガラス板が振り落とされて破損し、その復旧のために多大な損害が発生する。そのため、減速開始時における急減速による衝撃を回避する設定を前提とする限り、上述のは第2の区間(t7〜t8)の距離短縮にも限界がある。
一方、図10に示される従来のセーフティ・コントロール・システムにあっては、PLC1側にあって、SC2及び入力機器3からの信号群を受け付けるための手段としては、入力用端子部13aから単に入力信号を取り込む機能しか具備しない入力(IN)ユニット13が、また出力機器4へと正常時原則/遮断出力を送出するための手段としては、出力用端子部14aから外部へと出力信号を送出する機能しか具備しない出力(OUT)ユニット14が採用されている。
また、先に説明したように、この種のシステムを実現するためには、入力機器3からの信号群をPLC1とSC2とに分配すると共に、PLC1からの信号とSC2からの信号群とを択一的に出力機器4へと与えねばならない。
そのため、図10に示される従来のセーフティ・コントロール・システムにあっては、それら4つの機器(PLC1、SC2、入力機器3、出力機器4)との間に中継用の端子台を設けて、信号群の分配や合流のための複雑な渡り配線を行わねばならず、配線作業が繁雑であることから配線間違いも生じがちとなる言った問題点がある。
この発明は、従来のセーフティ・コントロール・システムにおける上述の問題点に着目してなされたものであり、その目的とするところは、セーフティ規格の入力機器が作動した際、被制御対象設備に含まれる走行体や運動体の制動距離をできる限り短縮することにより、設備設計上において厳守されるべき安全距離を短縮して、被制御対象設備の小型化乃至省スペース化を実現することができるセーフティ・コントロール・システムを提供することにある。
この発明の他の目的とするところは、入力機器3からの信号群をPLC1とSC2とに分配すると共に、PLC1からの信号とSC2からの信号群とを択一的に出力機器4へと与えるについて、4つの機器(PLC1、SC2、入力機器3、出力機器4)との間に中継用の端子台を設けることとを不要として、信号群の分配や合流のための配線作業を簡素化することができるPLCのセーフティ・インタフェース・ユニットを提供することにある。
この発明のさらに他の目的並びに作用効果については、明細書の以下の記述を参照することにより、当業者であれば容易に理解されるであろう。
上述の発明が解決しようとする課題は、以下の構成を有するセーフティ・コントロール・システム及びセーフティ・インタフェース・ユニットにより実現することができる。
すなわち、このセーフティ・コントロール・システムは、セーフティ・コントローラと、プログラマブル・コントローラとを有する。
セーフティ・コントローラは、セーフティ規格の入力機器へと通ずるべき入力用端子部と、出力機器へと通ずるべき出力用端子部と、正常/異常信号を外部へと送出するための診断結果出力用端子部と、制御部とを有する。
制御部は、入力用端子部を介して入力機器がオン状態かオフ状態かを判定するする入力オンオフ判定処理と、入力用端子部を介して入力機器が正常であるか異常であるかを診断する入力機器診断処理と、当該セーフティ・コントローラ自身が正常であるか異常であるかを診断する自己診断処理と、入力オンオフ判定処理による判定結果に基づいて生成される遮断出力信号を出力用端子部から送出する遮断信号出力処理と、入力機器診断処理により入力機器が異常であると診断されるか、又は自己診断結果出力処理により当該セーフティ・コントローラ自身が異常であると診断されたときに、診断結果出力用端子部から異常である旨の正常/異常信号を外部へと送出する診断結果出力処理とを実行するように仕組まれている。
一方、プログラマブル・コントローラは、セーフティ規格の入力機器及びセーフティ・コントローラの診断結果出力用端子部へと通ずるべき入力用端子部と、出力機器へと通ずるべき出力用端子部と、入力用端子部から内部へと入力信号を取り込むための入力回路と、出力用端子部から外部へと出力信号を送出するための出力回路と、入力格納領域と出力格納領域とを有する入出力メモリと、予め用意された命令語を使用してユーザにより任意に作成された所望の制御仕様に対応するユーザプログラムを格納するユーザメモリと、制御部とを有する。
制御部は、入力回路を介して入力用端子部から入力信号を取り込んで入出力メモリの入力格納領域に入力データとして格納すると共に、入出力メモリの出力格納領域から読み出した出力データを出力回路を介して出力用端子部へと送出する入出力更新処理と、ユーザメモリから順次に命令語を読み出すと共に、これを入出力メモリの入出力データを参照して実行し、その実行結果により、入出力メモリの出力データを書き替える命令実行処理とを少なくとも含む一連の処理、を所定のサイクルタイムの下に、サイクリックに実行するように仕組まれている。
プログラマブル・コントローラのサイクルタイムは、セーフティ規格の入力機器が作動したのち、セーフティ・コントローラの出力用端子部から遮断出力信号が出力されるまでの所要時間よりも十分に短いものとされる。
プログラマブル・コントローラには、ユーザがユーザプログラム中で使用可能なファンクションブロックの1つとして「模擬遮断出力生成用のファンクションブロック」が用意されている。
この「模擬遮断出力生成用のファンクションブロック」は、セーフティ・コントローラの正常/異常出力を参照すると共に、その参照結果を前提とした上で、セーフティ規格の入力機器の制御出力に基づいて、セーフティ・コントローラの制御部において実行されるべき入力オンオフ判定処理に相当する処理を実行して、セーフティ・コントローラの出力用端子部から出力されるべき遮断出力を模擬的に生成するように仕組まれている。
ここで、「遮断前に必要な前処理」については、被制御対象設備がどのようなものであるかに応じて区々である。例えば、被制御対象設備がスタッカクレーン等のような慣性の大なる走行体やロボットアーム等の慣性の大なる運動体である場合には、「遮断前に必要な前処理」としては、当該走行体又は運動体の駆動源(モータや流体シリンダ等々のアクチュエータ)に対する減速処理、停止処理等々がこれに相当する。また、被制御対象設備が不用意な電源遮断が何らかの危険に繋がる虞が懸念される生産ライン等の場合には、「遮断前に必要な前処理」としては、そのような危険を回避するための様々な退避処理等がこれに相当する。
このような構成によれば、プログラマブル・コントローラのユーザプログラム中に「模擬遮断出力生成用のファンクションブロック」を組み込むことにより、セーフティ・コントローラから遮断出力が発せられるであろう状況下にあっては、そのことをプログラマブル・コントローラの側でいち早く察知して、「遮断前に必要な前処理」を実行させることができる。そのため、「遮断前に必要な前処理」として、例えば、減速処理や停止処理等を採用すれば、セーフティ規格の入力機器が作動した際、被制御対象設備に含まれる走行体や運動体の制動距離をできる限り短縮して、設備設計上において厳守されるべき安全距離を短縮し、被制御対象設備の小型化乃至省スペース化を実現することができる。また、このような構成によれば、セーフティ・コントローラの正常/異常出力を参照すると共に、その参照結果を前提とした上で、遮断出力を模擬的に生成するため、PLCから発せられる模擬遮断出力とは言え、その信頼性が過度に低下することはない。
好ましい実施の形態においては、プログラマブル・コントローラには、ユーザプログラム中で使用可能なファンクションブロックの1つとして「サーボモータ制御用のファンクションブロック」がさらに用意される。この「サーボモータ制御用のファンクションブロック」は、「模擬遮断出力生成用のファンクションブロック」の実行により生成される模擬遮断出力に基づいて、サーボモータ減速出力を生成するように仕組まれている。
このような構成によれば、プログラマブル・コントローラのユーザプログラム中に「模擬遮断出力生成用のファンクションブロック」及び「サーボモータ制御用のファンクションブロック」を組み込むことにより、セーフティ・コントローラから遮断出力が発せられるであろう状況下にあっては、そのことをプログラマブル・コントローラの側でいち早く察知して、サーボモータへの電源が遮断される前に、サーボモータを十分に減速させ、これにより、セーフティ規格の入力機器が作動した際、被制御対象設備に含まれる走行体や運動体の制動距離をできる限り短縮して、設備設計上において厳守されるべき安全距離を短縮し、被制御対象設備の小型化乃至省スペース化を実現することができる。
好ましい実施の形態においては、「模擬遮断出力生成用のファンクションブロック」は、模擬遮断出力を生成する機能に加えて、生成された模擬遮断出力に基づいて、サーボモータ減速出力を生成するように仕組まれている。
このような構成によれば、プログラマブル・コントローラのユーザプログラム中に「模擬遮断出力生成用のファンクションブロック」を組み込むだけで、セーフティ・コントローラから遮断出力が発せられるであろう状況下にあっては、そのことをプログラマブル・コントローラの側でいち早く察知して、サーボモータへの電源が遮断される前に、サーボモータを十分に減速させ、これによりセーフティ規格の入力機器が作動した際、被制御対象設備に含まれる走行体や運動体の制動距離をできる限り短縮して、設備設計上において厳守されるべき安全距離を短縮し、被制御対象設備の小型化乃至省スペース化を実現することができる。
別の一面から見た本発明は、プログラマブル・コントローラのセーフティ・インタフェース・ユニットとして把握することもできる。
このセーフティ・インタフェース・ユニットは、ビルディング・ブロック型のプログラマブル・コントローラを構成する1つのユニットであって、ベースユニット上に敷設されたシステムバスに装着可能なユニットハウジングを有する。
このユニットハウジングの前面には、第1の入力用端子部と、第1の出力用端子部と、第2の入力用端子部と、第2の出力用端子部とが設けられている。
第1の入力用端子部は、セーフティ規格の入力機器からの信号群の入力用に供されると共に、第1の出力用端子部は、セーフティ・コントローラへの信号群の出力用に供され、さらに第1の入力用端子部に入力される信号群は2系統に分岐されたのち、一方は第1の出力用端子台へと分配され、他方は入力回路を介してシステムバスへと取り込み可能とされている。
第2の入力用端子部は、セーフティ・コントローラからの信号群の入力用に供されると共に、第2の出力用端子部は、インバータやサーボドライバ等の出力機器への信号群の出力用に供され、さらに第2の入力用端子部に入力される信号群は2系統に分岐されたのち、一方は第2の出力用端子部へと分配され、他方は入力回路を介してシステムバスへと取り込み可能とされている。
このような構成によれば、上述のいずれかのセーフティ・コントロール・システムに適用された際に、入力機器からの信号群をプログラマブル・コントローラとセーフティ・コントローラへと分配するための信号線分岐、及びプログラマブル・コントローラからの信号群とセーフティ・コントローラからの信号群とを出力機器へと合流させるための信号線合流を、ユニットハウジングの内部にて行うことにより、入力機器3からの信号群をPLC1とSC2とに分配すると共に、PLC1からの信号とSC2からの信号群とを択一的に出力機器4へと与えるについて、4つの機器(PLC1、SC2、入力機器3、出力機器4)との間に中継用の端子台を設けることとを不要として、信号群の分配や合流のための配線作業を簡素化することができる。
本発明のセーフティ・コントロール・システムによれば、プログラマブル・コントローラのユーザプログラム中に「模擬遮断出力生成用のファンクションブロック」を組み込むことにより、セーフティ・コントローラから遮断出力が発せられるであろう状況下にあっては、そのことをプログラマブル・コントローラの側でいち早く察知して、「遮断前に必要な前処理」を実行させることができる。そのため、「遮断前に必要な前処理」として、例えば、減速処理や停止処理等を採用すれば、セーフティ規格の入力機器が作動した際、被制御対象設備に含まれる走行体や運動体の制動距離をできる限り短縮して、設備設計上において厳守されるべき安全距離を短縮し、被制御対象設備の小型化乃至省スペース化を実現することができる。
本発明のプログラマブル・コントローラのセーフティ・インタフェース・ユニットによれば、セーフティ・コントロール・システムに適用された際に、入力機器からの信号群をプログラマブル・コントローラとセーフティ・コントローラへと分配するための信号線分岐、及びプログラマブル・コントローラからの信号群とセーフティ・コントローラからの信号群とを出力機器へと合流させるための信号線合流を、ユニットハウジングの内部にて行うことにより、入力機器3からの信号群をPLC1とSC2とに分配すると共に、PLC1からの信号とSC2からの信号群とを択一的に出力機器4へと与えるについて、4つの機器(PLC1、SC2、入力機器3、出力機器4)との間に中継用の端子台を設けることとを不要として、信号群の分配や合流のための配線作業を簡素化することができる。
以下に、本発明に係るセーフティ・コントロール・システムの好適な実施の一形態を添付図面を参照しながら詳細に説明する。
本発明に係るセーフティ・コントロール・システムの一例を示す構成図が図1に示されている。同図に示されるように、このセーフティ・コントロール・システムは、一般制御を司るビルディング・ブロック型のPLC1と、非常停止等のセーフティ制御を司るSC(この例では、セーフティ・リレー・コントローラ)2とを含んで構成される。
この種のビルディング・ブロック型のPLCは、通常、ベースユニット(バックプレーン等とも称される)上に、電源ユニット、CPUユニット、入力(IN)ユニット、出力(OUT)ユニット、通信ユニット、各種の特殊機能ユニット等々を多数装着して構成されるのであるが、図示例では、説明の便宜のために、それらのユニットのうちで、電源ユニット11、CPUユニット12、及び本発明者等の提案する新規なセーフティ・インタ府エース(I/F)・ユニット15のみが例示されている。
なお、先に説明したように、ベースユニット10は横長長方形状の支持プレート上に長手方向に沿ってシステムバス(電源ラインを含む)を敷設すると共に、このシステムバス上に適当な間隔を隔ててユニット装着用のソケットを配置したものであり、各ユニット11、12、及び15は、それらのソケットに対してプラグイン接続される。これにより、電源ユニット11から他のユニット12、15に対する給電がなされると共に、CPUユニット12とセーフティ・インタフェース(I/F)・ユニット15とがシステムバスで結ばれる。
セーフティ・インタフェース(I/F)・ユニット15を構成するユニットハウジングの前面には、セーフティ規格の入力機器(図示例では、セーフティ・ライトカーテン)3へと通ずるべき「入力用端子部(入力用端子台)」と、出力機器(図示例では、サーボドライバ)4へと通ずるべき「出力用端子部(出力用端子台)」とが設けられている。
特に、この例にあっては、上記の「入力用端子部」は、セーフティ規格の入力機器(図示例では、セーフティ・ライトカーテン)3へと通ずるべき第1の入力用端子部15aと、SC(図示例では、セーフティ・リレー・コントローラ)2の出力用端子部へと通ずるべき第2の入力端子部15cとから構成されている。
上記の「出力用端子部」は、SC(図示例では、セーフティ・リレー・コントローラ)2の入力用端子部へと通ずるべき第1の出力用端子部15bと、出力機器(図示例では、サーボドライバ)4へと通ずるべき第2の出力用端子部15dとから構成されている。
第1の入力用端子部15aは、セーフティ規格の入力機器3からの信号群[1]の入力用に供されると共に、第1の出力用端子部15bは、SC2への入力機器3からの信号群[2]の出力用に供される。さらに、第1の入力用端子部15aに入力される入力機器3からの信号群[1]は、図2に示されるように、ユニットの内部で2系統に分岐されたのち、一方は第1の出力用端子部15bへと分配され、他方は入力回路(第3のASIC151で構成される)を介してシステムバス(図示せず)へと取り込み可能とされている。
第2の入力用端子部15cは、SC2からの信号群([3],[4])の入力用に供されると共に、第2の出力用端子部15dは、インバータやサーボドライバ等の出力機器4への信号群[5]の出力用に供される。さらに、第2の入力用端子部15cに入力されるSC2からの信号群([3],[4])はユニットの内部で2系統に分岐されたのち、一方のうちの信号群[4]は第2の出力用端子部15dへと分配され、他方の信号群([3],[4])は入力回路(第3のASIC151で構成される)を介してシステムバス(図示せず)へと取り込み可能とされる。
このような構成よりなるセーフティ・インタフェース・ユニット15を使用することにより、セーフティ・コントロール・システムに適用された際に、入力機器3からの信号群をPLC1とSC2へと分配するための信号線分岐、及びPLC1からの信号群とSC2からの信号群とを出力機器4へと合流させるための信号線合流は、ユニットハウジングの内部にて行われることとなり、入力機器3からの信号群をPLC1とSC2とに分配すると共に、PLC1からの信号とSC2からの信号群とを択一的に出力機器4へと与えるについて、4つの機器(PLC1、SC2、入力機器3、出力機器4)との間に中継用の端子台を設けることが不要となり、信号群の分配や合流のための配線作業を簡素化することが可能となる。
CPUユニット12は、PLC全体を統括制御するためのものである。このCPUユニット12内には、後に図2を参照して詳述するが、入力格納領域と出力格納領域とを有する入出力メモリ(IOM)と、予め用意された命令語を使用してユーザにより任意に作成された所望の制御仕様に対応するユーザプログラムを格納するユーザメモリ(UM)と、マイクロプロセッサ(MPU)やASIC等で構成された制御部とが内蔵されている。
この制御部は、入力回路を介して第1及び第2の入力用端子部15a,15cから入力信号を取り込んで入出力メモリ(IOM)の入力格納領域に入力データとして格納すると共に、入出力メモリ(IOM)の出力格納領域から読み出した出力データを出力回路を介して第1及び第2の出力用端子部15b,15dへと送出する入出力更新処理と、ユーザメモリ(UM)から順次に命令語を読み出すと共に、これを入出力メモリ(IOM)の入出力データを参照して実行し、その実行結果により、入出力メモリ(IOM)の出力データを書き替える命令実行処理とを少なくとも含む一連の処理、を所定のサイクルタイム(通常、10ms程度)の下に、サイクリックに実行するように仕組まれている。
一方、SC2は、図示例では、1台のコントロールユニット21と、コントロールユニット21と協働する複数台(図示例では5台)のリレーユニット22とを有するセーフティ・リレー・コントローラとして構成されている。
このコントロールユニット21には、図示を省略するが、セーフティ規格の入力機器3へと通ずるべき入力用端子部と、出力機器4へと通ずるべき遮断出力信号送出用の出力用端子部と、正常/異常信号を外部へと送出するための診断結果出力用端子部と、制御部とが設けられている。
制御部は、のちに図4を参照して詳述するように、入力用端子部を介して入力機器3がオン状態かオフ状態かを判定して遮断出力を生成する入力オンオフ判定処理と、入力用端子部を介して入力機器3が正常であるか異常であるかを診断する入力機器診断処理と、当該セーフティ・コントローラ自身が正常であるか異常であるかを診断する自己診断処理と、入力オンオフ判定処理による判定結果に基づいて生成される遮断出力信号を出力用端子部から送出する遮断信号出力処理と、入力機器診断処理により入力機器3が異常であると診断されるか、又は自己診断結果出力処理により当該セーフティ・コントローラ自身が異常であると診断されたときに、診断結果出力用端子部から異常である旨の正常/異常信号を外部へと送出する診断結果出力処理とを実行するように仕組まれている。
次に、本発明システムに含まれるPLCを構成するCPUユニット及びセーフティI/Fユニットのハードウェアブロック図が、図2に示されている。
同図に示されるように、CPUユニット12は、システムメモリ(ROM)121と、ワークメモリ(ワークRAM)122と、データ格納用不揮発性メモリ123と、マイクロプロセッサ(MPU)124と、第2のASIC(特定用途向けIC)125と、ユーザメモリ(UM)126と、第1のASIC(特定用途向けIC)127と、入出力メモリ(IOM)128とを含んで構成される。
システムメモリ(ROM)121は、当該CPUに必要な各種の機能を実現するためのシステムプログラムが格納されている。このシステムプログラムにより実現される各種の機能としては、図3を参照して後に詳述するように、電源ON時処理(ステップ101)、共通処理(ステップ102)、命令実行処理(ステップ103)、入出力更新処理(I/Oリフレッシュ処理)104、及び周辺サービス処理(ステップ105)等々が含まれている。
ワークメモリ122は、マイクロプロセッサ124にて上述のシステムプログラムを実行する際のワークエリア等として機能するものである。このワークメモリ122には、システムプログラムをマイクロプロセッサが実行する際に必要とされる各種のレジスタ、カウンタ、フラグ等々が格納されることとなる。
データ格納用不揮発性メモリ123は、電源が遮断されても記憶内容が保存されるように仕組まれたメモリ素子(例えば、フラッシュメモリ、バッテリバックアップメモリ等々)で構成されている。このメモリ123には、異常通知の設定、異常ステータス等が格納される。
マイクロプロセッサ(MPU)は、CPUユニット12の全体を統括制御するものであり、システムメモリ121に格納された各種のシステムプログラムを読み出して実行することにより、上述の電源ON時処理(ステップ101)、共通処理(ステップ102)、命令実行処理(ステップ103)、入出力更新処理(I/Oリフレッシュ処理)104、及び周辺サービス処理(ステップ105)等々を実現する。ここで、命令実行処理(ステップ103)は、第1のASIC125による外部サポートの下に行われる。
第2のASIC125は、ベースユニット10に含まれるシステムバスとのインタフェース処理を実行するように仕組まれた特定用途向けICであり、この第2のASIC125を介することで、CPUユニット12とシステムバスとの間における各種のデータのやり取りが行われる。
ユーザメモリ126は、ユーザが望む制御仕様に対応する処理を所定のプログラム言語で記述してなるユーザプログラムを格納するメモリであり、このメモリに格納されるユーザプログラムは、電源投入時に図示しない不揮発性バックアップメモリから転送記憶される。本発明と関連して後述する各種のファンクションブロック(模擬遮断出力生成FB、サーボモータ制御FB、制御停止FB等々)は、このユーザプログラムメモリに格納される。
第1のASIC127は、ユーザメモリ(UM)126に格納されたユーザプログラムを読み出して実行する命令実行処理、図示しない通信ユニットとの間におけるインタフェース処理、メモリアクセスの際のバス調停処理等々を実行するように仕組まれてた特定用途向けICである。
次に、セーフティ・インタフェース(I/F)・ユニット15は、第3のASIC151を主体として構成されている。この第3のASIC151は、外部からの各種の入力信号(セーフティ規格の入力機器3からの信号[1]、SC2からの正常/異常信号[3])をベースユニット10上のシステムバスへと取り込むための入力回路やCPUユニット12で生成されかつシステムバスへと送出された出力データ(減速出力、遮断出力)を出力信号[5]として外部へと出力するための出力回路として機能するものである。
なお、図から明らかなように、セーフティ規格の入力機器3からの信号[1]は、セーフティ・インタフェース(I/F)・ユニット15内において2系統に分岐され、その一方は先に説明したように、第3のASIC151を介してシステムバスへと取り込まれるが、他方はユニット内部を迂回したのち、出力信号[2]として外部へと出力され、SC2へと送出される。
次に、PLC1の処理全体(より正確には、RUNモードの処理全体)を示すフローチャートが、図3に示されている。同図に示されるように、CPUユニット12を構成するマイクロプロセッサ(MPU)124は、電源投入(電源ON)直後の電源ON時処理(ステップ101)の実行に続いて、共通処理(ステップ102)、命令実行処理(ステップ103)、入出力更新(I/Oリフレッシュ)処理(ステップ104)、及び周辺サービス処理(ステップ105)からなる一連の処理(102〜105)を1サイクルとして、これを繰り返し実行するように構成されている。この一連の処理(102〜105)の1サイクル実行に要する時間(サイクルタイム)は、10msec(10ミリ秒)程度とされている。従って、ユーザプログラムを構成する一連の命令は、10msec程度のサイクルで繰り返し実行されることとなる。
なお、図3に示される各処理(ステップ101〜105)の実行内容は、概略、次の通りである。
すなわち、電源ON時処理(ステップ101)においては、システムプログラムの実行開始に必要な各種のフラグやレジスタ等の初期設定が主としてワークメモリ122上において実行される。
続く、共通処理(ステップ102)上においては、CPUユニット12それ自体にハードウェア故障の有無の診断、マイクロプロセッサ(MPU)が演算動作を行うための各種設定の確認、等々の処理が主として実行される。
続く、命令実行処理(ステップ103)においては、第1のASIC127による外部サポートの下に、ユーザメモリ(UM)からユーザプログラムを構成する一連の命令を順次に読み出すと共に、これを入出力メモリ(IOM)128の入出力データを参照して実行し、その実行結果により入出力メモリ(IOM)128の主として出力データを書き替える処理が実行される。本発明に関連する各種のファンクションブロック(模擬遮断出力生成FB、サーボモータ制御FB、制御停止FB等々)は、この命令実行処理(ステップ103)において実行される。
続く、入出力更新処理(I/Oリフレッシュ処理)(ステップ104)においては、図示しない入力ユニットの入力用端子部から入力回路を介して取り込まれた入力信号に対応する入力データ、及びセーフティ・インタフェース・ユニット15の第1及び第2の入力端子部15a,15cから入力回路(第3のASIC151)を介して取り込まれた入力データ(入力機器3の制御出力[1]、SC2からの正常/異常出力[3]等々)を入出力メモリ(IOM)128の入力領域に格納する入力更新処理と、入出力メモリ(IOM)128の出力領域に格納された出力データを、図示しない出力ユニットの出力回路を介して外部へと出力信号として送出すると共に、セーフティ・インタフェース・ユニット15の第1及び第2の出力用端子部15b,15dから出力信号(減速出力信号、遮断出力信号[5])として外部へと出力する出力更新処理とが実行される。
なお、当業者にはよく知られているように、入出力更新処理には、上述した「ENDリフレッシュ方式」(ステップ104)のものと、「都度リフレッシュ方式」のものとが知られており、都度リフレッシュ方式の場合には、各命令語が実行されるたびに、その都度に、入力更新処理と出力更新処理とが実行される。
続く、周辺サービス処理(ステップ105)においては、他の機器(例えば、上位装置として機能するパソコン、他のPLC、リモート入出力ターミナル、プログラム開発支援装置、等々)が通信を介して接続されている場合には、それらの機器との間における通信処理等が実行される。
次に、SC2の処理全体を示すゼネラルフローチャートが図4に示されている。同図に示されるように、SC2を構成する図示しない2台のマイクロプロセッサ(MPU)は、互いに協働しつつ並列に動作することにより、電源投入(電源ON)直後の電源ON時処理(ステップ201)の実行に続いて、入力処理/出力判定処理(ステップ202)、診断処理(ステップ203)、出力処理(ステップ204)、及びその他の処理(ステップ205)からなる一連の処理(202〜205)を1サイクルとして、これを繰り返し実行するように構成されている。この一連の処理(202〜205)の1サイクル実行に要する時間(サイクルタイム)は、30msec〜50msec程度とされている。従って、ユーザプログラムを構成する一連の命令は、10msec〜50msec程度のサイクルで繰り返し実行されることとなる。
なお、図4に示される各処理(ステップ201〜205)の実行内容は、概略、次の通りである。
すなわち、電源ON時処理(ステップ201)においては、セーフティシステムの信頼性を向上させるための各種の診断処理、具体的には、SC2内に備えられる各種メモリの初期化や電源ON時の診断処理等が実行される。
続く、入力処理/出力判定処理(ステップ202)においては、複数のユニットで構成されるSC2が具体的にどのようなユニットで構成されているかを判定し、実行すべきセーフティ動作プログラムを決定する処理が実行される。その後、入力用端子部を介してセーフティ規格の入力機器3の制御出力(通常、互いに対をなす並列2系統の信号により構成される)を取り込むと共に、各対をなす並列2系統の信号の論理状態に基づいて、その入力機器の制御出力がオン状態又はオフ状態のいずれであるかを判定する処理が実行される。さらにその後、セーフティ入力機器の制御出力のオンオフ状態にしたがって、先に決定されたセーフティ動作プログラムが実行され、その結果として、出力用端子部から出力されるべき遮断出力信号のオンオフ状態が判定されます。ここで、セーフティ動作プログラムの例としては、例えば、オンディレー機能やオフディレー機能を実現するもの等を挙げることができる。
続く、診断処理(ステップ203)においては、入力用端子部を介して入力機器3が正常であるか異常であるかを診断する「入力機器診断処理」と、当該セーフティ・コントローラ自身が正常であるか異常であるかを診断する「自己診断処理」とが実行される。このとき、「入力機器診断処理」としては、例えば、SC2の出力用端子部からテストパルスを送出する一方、これを入力機器3の出力接点を経由してSC2の入力用端子部へとフィードバックさせることにより、入力機器3の接点の焼き付きや接触不良を検知する等の診断処理が採用される。また、「自己診断処理」としては、並列に動作する2台のマイクロプロセッサに関する各種のハードウェアチェックのほか、それら並列に動作する2台のマイクロプロセッサの処理結果をプログラム単位又はブロック単位で逐次照合すると言った動作チェック処理、さらには入力機器や出力機器が接続されるSC2の端子台を構成する入力回路や出力回路の状態を診断すると言った処理等が実行される。このとき、診断した結果はエラーコードとして所定のメモリに格納される。
続く、出力処理(ステップ204)においては、入力処理/出力判定処理(ステップ202)において生成された遮断出力信号を外部へと送出する「遮断信号出力処理」と、診断処理(ステップ203)において生成された正常/異常信号を外部へと送出する「診断結果出力処理」とが実行される。
続く、その他の処理(ステップ205)においては、当該SC2とプログラム開発支援装置等との通信を含む周辺サービス処理や当該SC2の機種に固有な様々な処理が実行される。すなわち、SC2に対する入力(入力機器3の制御出力を含む)とSC2からの出力(遮断出力を含む)との関係を規定する論理条件については、ユーザがプロクラム可能とされているのであるが、そのためのプログラミング操作は、SC2に対して図示しないプログラム開発支援装置(ツール装置)を接続すると共に、プログラム開発支援装置を構成するパソコンにインストールされたツールソフトを起動し、画面上の案内と操作部(キーボードやマウス)の操作を通じて行われるのであり、そのための処理は上述の処理(ステップ205)において行われる。
次に、本発明に関連して、メーカ側からベンダ側又はエンドユーザ側へと提供される新規なファンションブロック(FB)の幾つかの例について詳述する。すなわち、本発明システムに適用されるPLC1には、ユーザプログラム中で使用可能なファンクションブロック(FB)の1つとして「模擬遮断出力生成FB」が用意されると共に、この「模擬遮断出力生成FB」は、第2の入力用端子部15cからPLC1に取り込まれたSC2の正常/異常出力を参照すると共に、その参照結果を前提とした上で、セーフティ規格の入力機器3の制御出力に基づいて、SC2の制御部において実行されるべき入力処理/出力判定処理(ステップ202)に相当する処理を実行して、SC2の出力用端子部から出力されるべき遮断出力を模擬的に生成するように仕組まれており、それにより、ユーザプログラム中に「模擬遮断出力生成FB」を組み込むことにより、SC2から遮断出力が発せられるであろう状況下にあっては、そのことをPLC1の側でいち早く察知して、遮断前に必要な前処理(例えば、減速処理)を実行できるようにしている。
セーフティI/Fユニット15を介して取り込んだセーフティ機器3からの入力に基づいて模擬的に遮断出力を生成するFB(「模擬遮断出力生成FB」)、および、その「模擬遮断出力生成FB」により生成された模擬遮断出力を用いて必要な前処理を実現するためのユーザプログラム(この例では「サーボモータ制御FB」)を示すラダー図が図5に示されている。
図において、「模擬遮断出力生成FB」が実行されると、先ず、当該FBへの入力として設定された「セーフティ入力機器1制御出力1」〜「セーフティ入力機器N制御出力1」に対応する「セーフティ入力機器1」〜「セーフティ入力機器N」が何であるか(すなわち、機器種別)の判定が行われる。この「模擬遮断出力生成FB」に適用可能な入力機器としては、セーフティ・ライトカーテンやセーフティ・リミットスイッチ等々が挙げられる。すなわち、非常停止スイッチ等のような、オペレータ自身の操作で無条件で直ちに遮断出力を発することを要求される入力機器は排除される。
次に、各セーフティ入力機器からの入力が正しいかどうかの判定が行われる。この例では、各セーフティ入力機器からの入力は互いに対をなす2つの制御出力で構成されるものとする。例えば、「セーフティ入力機器1」からの安全入力は、「セーフティ入力機器1制御出力1」と「セーフティ入力機器1制御出力2」とで構成される。具体的には、「セーフティ入力機器1」からの入力の場合には、「セーフティ入力機器1制御出力1」の論理状態と「セーフティ入力機器1制御出力2」の論理状態とが等しい場合は、当該セーフティ入力機器からの入力は正しいものと判定される。一方、「セーフティ入力機器1制御出力1」の論理状態と「セーフティ入力機器1制御出力2」の論理状態とが異なる場合は、当該セーフティ入力機器からの安全入力は正しくないものとされ、その入力は無視される。入力を無視する方法としては、「セーフティ入力機器1制御出力1」の論理状態と「セーフティ入力機器1制御出力2」の論理状態とがともにオフであったものとして扱うことで実現することができる。
次に、入力機器の種別が許容される機器種別(例えば、セーフティ・ライトカーテン)であり、かつ正常/異常信号が「正常」であるならば、「セーフティ入力機器1制御出力1」の論理状態と「セーフティ入力機器1制御出力2」の論理状態がともにオンであることを条件として、「模擬遮断出力」がオンとされる。この模擬遮断出力は、入出力メモリ(IOM)の所定領域に格納される。
なお、「模擬遮断出力生成FB」の出力側における「FB動作中」は、入力側の「安全回路正常」がオンして「模擬遮断出力生成FB」が動作中のときにオンする出力、「正常」、「異常」はそれぞれ入力側の「SC正常」、「SC異常」に対応する出力であり、それぞれ表示動作のため等に使用される。
一方、「サーボモータ制御FB」は、「模擬遮断出力生成FB」の実行により生成される「模擬遮断出力」に基づいて、「サーボモータ減速出力」を生成するように仕組まれており、それにより、PLCのユーザプログラム中に「模擬遮断出力生成FB」及び「サーボモータ制御FB」を組み込むことにより、SCから遮断出力が発せられるであろう状況下にあっては、そのことをPLCの側でいち早く察知して、サーボモータへの電源が遮断される前に、サーボモータを十分に減速することが可能とされる。
すなわち、この例にあっては、「模擬遮断出力生成FB」の出力である「模擬遮断出力」がONであることを条件に「サーボモータ制御FB」が実行されるように構成されている。「サーボモータ制御FB」の中身を構成する具体的な制御プログラムは所定のプログラム言語を用いてユーザにて作成することができる。
この例では、入力条件に「非常停止SW」と「サーボモータ動作条件」が組み込まれている。また、出力としては、「サーボモータ減速」や「サーボモータ停止」が組み込まれている。「サーボモータ動作条件」には、現在のサーボモータの速度が最大速度であるかどうかが割り付られている。「サーボモータ制御FB」のプログラム例としては、非常停止SWが押された場合にはサーボモータを「即時停止」し、サーボモータの速度が最大速度でないならば「制御停止」すると言ったプログラムが考えられる。なお、当業者にとっては、入力の「非常停止SW」がONならば出力の「サーボモータ停止」をONにするようにFB内の制御プログラムを構成することは容易である。また、「非常停止SW」がOFF、「サーボモータ動作条件」がONの場合は、「サーボモータ減速」をONにするようにFB内の制御プログラムを構成することも用意である。
図5に示される例にあっては、SC2から遮断出力が発せられるであろう状況下にあっては、そのことをPLC1の側でいち早く察知して、遮断前に必要な前処理(例えば、減速処理)を実行させるために2つのファンクションブロック(「模擬遮断出力生成FB」及び「サーボモータ制御FB」)を使用したが、同様な目的は、それら2つのファンクションブロックの機能を併有する1つのファンクションブロックによっても実現することができる。
そのようなファンクションブロック(「制御停止FB」)を含むPLCのユーザプログラムの一例を示すラダー図が図6に示されている。
同図に示されるように、この「制御停止FB」は、入力としては、「安全回路正常」、「SC異常」、「SC正常」、「非常停止SW」、「セーフティライトカーテン」、「サーボ動作条件」が組み込まれると共に、出力としては、「ENO」、「FB動作中」、「正常」、「異常」、「制御停止動作中」、「サーボ減速」、「サーボ加速」、「サーボ停止」が組み込まれている。それらの入力及び出力の意味内容は、図5に示される例と同様であるから説明は省略する。
また、図6に示される「制御停止FB」を含むユーザプログラムの実行結果としての動作を示すタイムチャートが図7に示されている。図から明らかなように、「制御停止FB」は、模擬遮断出力を生成する機能に加えて、生成された模擬遮断出力に基づいて、サーボモータ減速出力を生成するように仕組まれており、それにより、プログラマブル・コントローラのユーザプログラム中に「制御停止FB」を組み込むことにより、SCから遮断出力が発せられるであろう状況下にあっては、そのことをPLCの側でいち早く察知して、サーボモータへの電源が遮断される前に、サーボモータを十分に減速させることができる。
以上説明した本発明に係るセーフティ・コントロール・システムの構成を示す概念図が図8に示されている。同図に示されるように、本発明に係るセーフティ・コントロール・システムにあっては、PLC1とSC2との間にセーフティ・インタフェース・ユニット15を介在して、PLC1とSC2とを実質的にユニット化すると共に、SC2からPLC1へと正常/異常信号を供給すると共に、PLC1とSC2とでセーフティ入力機器3からの信号を共用する。さらに、PLC1側には、SC2の正常/異常出力を参照すると共に、その参照結果を前提とした上で、セーフティ規格の入力機器3の制御出力に基づいて、SC2の制御部において実行されるべき入力オンオフ判定処理(入力処理/出力判定処理(ステップ202))に相当する処理を実行して、SC2の出力用端子部から出力されるべき遮断出力を模擬的に生成するファンクションブロック(「模擬遮断出力生成FB」又は「制御停止FB」)を組み込んだため、SCから遮断出力が発せられるであろう状況下にあっては、そのことをPLCの側でいち早く察知して、サーボモータへの電源が遮断される前に、サーボモータを十分に減速することが可能となるのである。
本発明に係るセーフティ・コントロール・システムにおける入力機器作動時の被制御対象走行体の速度変化を示すグラフが、図9に示されている。なお、図において、T7は安全器器の全応答時間、T8は制御対象機器の応答時間、T9はPLCの応答時間(10msec程度)、T10は出力機器(サーボドライバ)の応答時間、T11はモータの応答時間、T12は安全処理時間、その他、図12のグラフと同一部分については、同符号を付すことにより説明は省略する。
先に述べたように、図12のグラフに示される従来のシステムにあっては、遮断出力の生成はSC2のみでしか行われないから、仮に、時刻0において入力機器(例えば、セーフティ・ライトカーテン)の作動要因が発生したとしても、安全処理時間T0(=安全機器の全応答時間T1+制御対象機器の応答時間T2)が経過した時刻t7が到来するまで、走行体が減速されることはない。しかも、時刻t7が到来して減速が開始されたのちにあっても、その態様はブレーキ機構等に依存する「制御不能停止」であるから、停止に至る走行距離は比較的に大きくならざるを得ない。そのため、従来システムにあっては、比較的に大なる安全距離を確保する必要から、被制御対象設備の規模は大型化せざるを得ない。
これに対して、本願発明のシステムの場合には、遮断出力の生成はSC2のみならず、PLC1内におけるファンクションブロック(「模擬遮断出力生成FB」又は「制御停止FB」)の実行によっても行われ、しかもPLC1におけるサイクルタイムは10msec程度に過ぎず、SC2における処理時間(10〜50msec)よりも十分に短いものであるから、仮に、時刻0において入力機器(例えば、セーフティ・ライトカーテン)の作動要因が発生したとすれば、安全処理時間T12(=安全機器の全応答時間T7+制御対象機器の応答時間T8)が経過した時刻t4の到来と共に、走行体の減速を電源が遮断される前にいち早く開始させることができる。そのため、本発明システムにおいては、時刻t4が到来した時点以降については、従来同様にサーボドライバ4へと遮断出力信号を与えて、これを制御不能停止(符号L1’参照)とすることができることは勿論のこと、サーボドライバ4へと減速信号を与えて、これを制御停止(符号L2に示す)とすることもでき、図中ハッチングに示されるように、特に、制御停止における制動距離は従来のそれに比して大幅に短くなるため、安全距離の短縮により、被制御対象設備の規模を縮小することができる。
加えて、SC2から遮断出力が発せられるまでに十分なる時間が確保されるため、減速制御に際して、減速特性を適宜に工夫して、加速度の変化を滑らかとすることにより、被制御対象設備に対する衝撃を減少させて、例えば、スタッカクレーンから荷物が落下する等の虞を未然に回避することもできる。