JP5174798B2 - 安全制御プログラムの安全性診断装置及び安全性診断方法 - Google Patents

安全制御プログラムの安全性診断装置及び安全性診断方法 Download PDF

Info

Publication number
JP5174798B2
JP5174798B2 JP2009281900A JP2009281900A JP5174798B2 JP 5174798 B2 JP5174798 B2 JP 5174798B2 JP 2009281900 A JP2009281900 A JP 2009281900A JP 2009281900 A JP2009281900 A JP 2009281900A JP 5174798 B2 JP5174798 B2 JP 5174798B2
Authority
JP
Japan
Prior art keywords
safety
output
control program
input
output device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009281900A
Other languages
English (en)
Other versions
JP2010191943A (ja
Inventor
浩夫 神余
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2009281900A priority Critical patent/JP5174798B2/ja
Publication of JP2010191943A publication Critical patent/JP2010191943A/ja
Application granted granted Critical
Publication of JP5174798B2 publication Critical patent/JP5174798B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、機械及び装置等の安全制御に使用される安全PLC(Programmable Logic Controller)のためのラダー言語で記述された安全制御プログラムが安全規格に適合するかどうかを診断する安全性診断装置及び安全性診断方法に関する。
機械又は装置の危険区域に人が侵入した場合あるいは非常停止スイッチが押された場合に、危険区域内のロボット又は動力を非常停止して作業者の安全性を確保するための安全制御装置として、IEC61508規格に適合した安全PLC(Programmable Logic Controller)又は安全シーケンサが使用されている。この安全PLC等が実行する安全制御プログラムは、ISO13849−1などの安全規格に従って作成されなければならない。そのため、安全PLCのプログラミングツールは、プログラムが安全規格に適合しているかどうかを判定する機能を備えている。プログラムの安全性判定方法の従来技術として、特許文献1に開示されたシーケンスプログラム作成支援ソフトウェア等がある。
特許文献1に開示されたシーケンスプログラム作成支援ソフトウェアは、シーケンスプログラムを書き替え可能な安全PLCにおけるソフトウェアであって、この安全PLCは、複数の入力機器の導通状態に関する信号が入力される入力手段と、入力機器の中から選択した任意の入力機器を直列又は並列に組み合わせて構成したシーケンスプログラムを記憶する記憶手段と、シーケンスプログラムと各入力機器の導通状態に関する信号とに基づいて演算結果を求める演算手段と、演算手段の演算結果を出力部から出力して出力機器を制御する出力手段とを備える。さらに、シーケンスプログラム作成支援ソフトウェアは、各入力機器に対応させて安全が保証されていることを示す第1種類情報又は安全が保証されていないことを示す第2種類情報を含む入力機器種類情報と、対象となるシーケンスプログラムと、に基づいて、当該シーケンスプログラムに対応する出力部が、安全が保証されている構成であるか否かを判定し、判定した結果を識別可能に表示する。
この従来技術によれば、シーケンスプログラム作成支援ソフトウェアは、対象となるシーケンスプログラムの構成がその出力の安全を保証するようなものであるか否かを自動的に判定する。そして、ユーザは、識別可能に表示された判定結果(安全が保証されているか否かの判定結果)を視認することで、安全が保証された出力であるか否かを判定することができる。このため、ユーザの手作業を必要とせず、より短時間でかつより正確に安全が保証された出力であるか否かをユーザが判断できる。
特開2006−40121号公報
上記従来技術は安全出力が、常に安全が保証されている(第1種類情報)、常に安全が保証されていない(第2種類情報)、安全が保証されているとは限らない(第3種類情報)、のいずれであるかを安全出力に関わる入力機器の種類情報の合成ルールに従って求める。すなわち、安全出力について3段階の安全性を判定している。
しかし、機械安全分野で参照される安全規格ISO13849−1は安全カテゴリを定義しており、安全制御プログラムも適切な安全カテゴリに適合しなければならない。例えば、安全カテゴリ「3」は単一故障によって安全機能が喪失しないこと(二重化)、安全カテゴリ「4」は故障を安全機能実行時又は事前に検出できること(診断機能)を要求する。
また、IEC60204−1では、非常停止要因が除去された直後に予期せぬ再起動が起きないように手動による再起動を要求している。
上記のように従来技術は、独自の規準による安全性判定を行っているが、ISO13849−1の安全カテゴリ及びIEC60204−1の安全規格等への適合については判定することはできなかった。
本発明は、かかる問題点に鑑みてなされたものであって、安全制御プログラムが安全カテゴリ等の任意の安全規格に適合するかどうかを診断することが可能な安全性診断装置及び安全性診断方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る安全制御プログラムの安全性診断装置は、安全制御装置をシーケンス制御するための安全制御プログラムの安全性を診断する安全性診断装置において、前記安全制御プログラムを記憶する安全制御プログラム記憶部と、安全制御に使用される入出力デバイスを含む各デバイスについて、少なくともその安全レベル情報を設定情報として含む入出力デバイス設定パラメータを記憶する入出力デバイス設定パラメータ記憶部と、前記安全制御プログラム中で使用されている各デバイスを安全デバイス管理テーブルに登録するとともに、前記各デバイスに対して前記入出力デバイス設定パラメータを参照し前記デバイスごとにその安全レベルを前記安全デバイス管理テーブルに登録する安全デバイス解析部と、前記安全デバイス管理テーブルを記憶する安全デバイス管理テーブル記憶部と、前記安全デバイス管理テーブルを利用し、前記安全制御プログラム中で使用されている出力デバイスに対し、当該出力デバイスの出力に関連付けられたデバイス群の安全レベルの中から最低安全レベルを抽出するとともに、前記安全制御プログラムにおける前記デバイス群のシーケンスロジックを調べることにより前記デバイス群の接続関係を判定して、前記最低安全レベルと前記出力デバイスについて設定された安全レベルとの比較結果及び前記接続関係に基づいて前記出力デバイスの安全性診断を行う安全出力デバイス診断部と、を備えることを特徴とする。
上述した課題を解決し、目的を達成するために、本発明に係る安全制御プログラムの安全性診断方法は、安全制御装置をシーケンス制御するための安全制御プログラムの安全性を診断する安全性診断方法において、前記安全制御プログラム中で使用されている各デバイスを安全デバイス管理テーブルに登録するとともに、前記各デバイスについて少なくともその安全レベル情報を設定情報として含む入出力デバイス設定パラメータを参照して前記デバイスごとにその安全レベルを前記安全デバイス管理テーブルに登録し、前記安全デバイス管理テーブルを利用し、前記安全制御プログラム中で使用されている出力デバイスに対し、当該出力デバイスの出力に関連付けられたデバイス群の安全レベルの中から最低安全レベルを抽出するとともに、前記安全制御プログラムにおける前記デバイス群のシーケンスロジックを調べることにより前記デバイス群の接続関係を判定して、前記最低安全レベルと前記出力デバイスについて設定された安全レベルとの比較結果及び前記接続関係に基づいて前記出力デバイスの安全性診断を行う、ことを特徴とする。
この発明によれば、安全制御プログラムが任意の安全規格に適合するか否かを診断することができる、という効果を奏する。
図1は、実施の形態1に係る安全制御プログラムの安全性診断装置の概略構成を示すブロック図である。 図2は、実施の形態1おける安全ラダープログラムの一例を示す図である。 図3は、実施の形態1における安全デバイス管理テーブルの一例を示す図である。 図4は、実施の形態1における安全診断結果の表示例を示す図である。 図5は、実施の形態2における安全デバイス管理テーブルの一例を示す図である。 図6は、実施の形態3における安全デバイス管理テーブルの一例を示す図である。 図7は、実施の形態4における安全デバイス管理テーブルの一例を示す図である。 図8は、実施の形態4における安全診断結果の表示例を示す図である。 図9は、特許文献1に記載のシーケンスプログラム作成支援ソフトウェアによるプログラムの安全性判定結果の表示例を説明する図である。 図10は、実施の形態5における安全デバイス管理テーブルの一例を示す図である。
以下に、本発明に係る安全制御プログラムの安全性診断方法及び安全性診断装置の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態1.
本実施の形態に係る安全制御プログラムの安全性診断装置は、機械及び装置等の安全制御に使用される安全PLC(Programmable Logic Controller)又は安全シーケンサのためのシーケンスプログラムをラダー言語により作成・編集するプログラミングツールであり、以下に説明する安全性診断方法を適用することにより安全規格に適合した安全制御プログラムを作成するものである。なお、以下ではプログラミングツールにおける通常のプログラム作成・編集機能については説明を省略し、その安全性診断機能についてのみ説明する。
図1は、本実施の形態に係る安全制御プログラムの安全性診断装置の概略構成を示すブロック図である。図1に示すように、安全制御プログラムの安全性診断装置1は、安全デバイス管理テーブル11を保存する安全デバイス管理テーブル記憶部20と、安全デバイス解析部12と、安全出力デバイス診断部13と、安全性診断結果等を表示する表示部15と、安全入出力デバイス設定パラメータ16を記憶する安全入出力デバイス設定パラメータ記憶部21と、安全ラダープログラム17を記憶する安全ラダープログラム記憶部22と、を備えている。また、安全制御プログラムの安全性診断装置1は図示しない安全PLCと接続され、この安全PLCは安全シーケンスプログラム(安全制御プログラム)に基づき、安全PLCに接続された入出力機器等の安全制御を行う。
安全デバイス解析部12は安全ラダープログラム記憶部22に保存された安全ラダープログラム17を読み込み、この安全ラダープログラム17中で使用されている各デバイスを安全デバイス管理テーブル11に登録する。安全ラダープログラム17は、ユーザによりラダー言語で作成・編集されたプログラムである。
また、安全デバイス解析部12は、安全入出力デバイス設定パラメータ記憶部21に記憶された安全入出力デバイス設定パラメータ16を調べ、安全デバイス管理テーブル11に登録された各デバイスに関する安全レベル(例えば、ISO13849−1の安全カテゴリ2〜4)を調べ、得られた結果を各デバイスごとに安全デバイス管理テーブル11に登録する。例えば、安全入出力デバイスは、一重化設定ならば安全カテゴリ2、二重化設定ならば安全カテゴリ3、二重化に加えて診断設定があれば安全カテゴリ4であり、内部デバイスは安全カテゴリ4となる。すなわち、安全デバイス解析部12は安全入出力デバイス設定パラメータ16の安全入出力デバイスと内部デバイスの設定情報のみを参照して、安全デバイス管理テーブル11を生成する。
安全出力デバイス診断部13は、安全ラダープログラム17内の安全出力デバイス又は特定のデバイス(安全ラダープログラム17の命令行の右端(終端)に位置する内部デバイス)について、その出力に関連付けられかつ当該命令行で使用されているデバイスの安全レベルを安全デバイス管理テーブル11より調べ、関連するデバイス群の安全レベルのうち最低の安全レベルを当該命令行に関する安全出力デバイス又は特定のデバイスの「安全カテゴリ診断」とする。さらに、前記デバイス群のシーケンスロジックにORがある場合、当該命令行に関する安全出力デバイス又は特定のデバイスの接続関係を「OR」とし、「OR」がなければ「AND」とする。
さらに、安全出力デバイス診断部13は、安全出力デバイスについて、後述する安全カテゴリ診断及び論理結合(「AND」又は「OR」)を抽出した後、設定安全カテゴリ(カテゴリ2〜4)、安全カテゴリ診断及び論理結合(「AND」又は「OR」)を表示部15に送り、表示部15は安全出力デバイスに対しそれらを安全性診断結果として表示する。
なお、安全デバイス解析部12、安全出力デバイス診断部13はプログラミングツールのCPUの機能により実現され、安全デバイス管理テーブル記憶部20、安全入出力デバイス設定パラメータ記憶部21、安全ラダープログラム記憶部22はメモリ等の記憶装置により実現される。
次に、安全ラダープログラム17の一例について説明する。図2は、安全ラダープログラム17の一例を示す図である。図2において、X100はX101(図示せず)とペアとなる安全カテゴリ「3」の安全入力デバイス、X102はX103(図示せず)とペアとなる安全カテゴリ「3」の安全入力デバイス、Y100はY101(図示せず)とペアとなる安全カテゴリ「4」の安全出力デバイスである。また、非常停止SW(スイッチ)1はX100に接続される安全機器、安全プラグ1はX102に接続される安全機器、コンタクタ1はY100に接続される安全機器である。
ISO13849−1の定義によれば、安全カテゴリ「2」は一重化で定期診断あり、安全カテゴリ「3」は二重化で診断不要、安全カテゴリ「4」は二重化で常時診断あり、と定義されている。安全入出力デバイスが安全カテゴリ「3」又は「4」の場合、安全PLCが二重化ペアに対する入出力の二重化照合を実施するため、プログラムではペアのどちらかのみを使用すればよい。このため、図2のプログラムには、ペアの片方(X101,X103,Y101)は図示していない。
図2において、デバイスM100が右端に位置する命令行では、安全入力デバイスX100と安全入力デバイスX102とが直列に接続され、デバイスM100の出力は、安全入力デバイスX100及び安全入力デバイスX102によって制御される。デバイスM100は安全PLCの内部変数(内部デバイス)であり、安全機器が正常で安全が維持できていることを示す「運転準備状態」を示すデバイスである。安全PLC自体が安全カテゴリ「4」の場合、内部変数(内部デバイス)も安全カテゴリ「4」となる。
安全出力デバイスY100の出力は、直列に接続された内部デバイスM100とデバイスX201とによって制御されている。デバイスX201は動力の再起動スイッチ(再起動1)であり、内部デバイスM100(運転準備状態)がONの後でデバイスX201(再起動スイッチ)が立ち下がったときに、安全出力デバイスY100がONとなり制御対象の動力が再起動する。なお、デバイスX201(再起動スイッチ)は特に安全設定されていない(安全カテゴリ=1)。
次に、本実施の形態の動作について図1〜図4を参照して説明する。図3は、安全デバイス管理テーブル11の一例を示す図であり、図4は、安全診断結果の表示例を示す図である。なお、図3及び図4は、図2に示す安全ラダープログラム17に対応した図である。
まず、安全デバイス解析部12が安全ラダープログラム17と安全入出力デバイス設定パラメータ16を読み込み、安全ラダープログラム17内で用いられている各デバイスについて指定されている安全レベルとしての「安全カテゴリ」を安全デバイス管理テーブル11に登録する。図3に示すように、デバイスX100/101の安全カテゴリは「3」、デバイスX102/103の安全カテゴリは「3」、デバイスM100の安全カテゴリは「4」、デバイスY100/101の安全カテゴリは「4」である。また、デバイスX201は特に安全設定されていないので、最低の安全カテゴリに属するという意味で「安全カテゴリ」=「1」としている。
続いて、安全出力デバイス診断部13は、図2の安全ラダープログラム17の各命令行の右端(終端)に位置する内部デバイスM100及び出力デバイスY100のそれぞれについて、そのデバイス出力に関連するその命令行のデバイス群の安全カテゴリのうち最低の値を安全デバイス管理テーブル11の「安全カテゴリ診断」にセットする。
例えば、内部デバイスM100が右端に位置する命令行については、入力デバイスX100/101の安全カテゴリが「3」、入力デバイスX102/103の安全カテゴリが「3」、内部デバイスM100の安全カテゴリが「4」なので、内部デバイスM100に対する「安全カテゴリ診断」は「3」となる。また、出力デバイスY100/101が右端に位置する命令行については、内部デバイスM100の安全カテゴリが「4」、デバイスX201の安全カテゴリが「1」、出力デバイスY100/101の安全カテゴリが「4」なので、出力デバイスY100/101に対する「安全カテゴリ診断」は「1」となる。
また、図3に示すように、安全出力デバイス診断部13は、その命令行の接続関係からORが存在すれば「OR」、ORが存在しなければ「AND」を「論理結合」にセットする。例えば、内部デバイスM100が右端に位置する命令行について、入力デバイスX100と入力デバイスX102とがANDで接続され、ORが存在しないので、内部デバイスM100に対する「論理結合」は「AND」となる。同様に、出力デバイスY100が右端に位置する命令行について、内部デバイスM100とデバイスX201とがANDで接続され、ORが存在しないので、出力デバイスY100に対する「論理結合」は「AND」となる。なお、「AND」又は「OR」としてセットするフラグは文字列、シンボル、ビット等のいずれでも良い。
次に、安全出力デバイス診断部13は、内部デバイスM100の「安全カテゴリ診断」=「3」と出力デバイスY100/101の「安全カテゴリ診断」=「1」とを比較し、最低の値である「1」を安全出力デバイスY100/101に対する「診断結果」とする(図4参照)。また、安全出力デバイス診断部13は、内部デバイスM100の「論理結合」=「AND」と出力デバイスY100/101の「論理結合」=「AND」とから、安全出力デバイスY100/101に対する「安全デバイスの論理結合」が「AND接続」であると判断する(図4参照)。つまり、安全出力デバイス診断部13は、安全出力デバイスY100/101の出力に関連付けられたデバイス群の安全カテゴリのうち最低の値「1」を安全出力デバイスY100/101の「安全カテゴリ診断」とし、さらに、その出力に関連付けられたデバイス群の接続関係を判定してその結果を「安全デバイスの論理結合」として抽出する。
そして、安全出力デバイス診断部13は、表示部15により、安全出力デバイスについて安全入出力デバイス設定パラメータ16の設定安全カテゴリよりも「安全カテゴリ診断」の安全レベルが低いものについて、「安全カテゴリ不足/過剰の安全デバイス情報」の表示を行う。図4では、安全出力デバイスY100/101の「設定安全カテゴリ」は「4」、「安全カテゴリ診断」は「1」であるため、安全性が不足した状態であることがわかる。また、「安全デバイスの論理結合」は「AND接続」と表示される。なお、図4の表示に限定されず、全ての安全デバイス、全ての安全出力デバイスなどの情報を表示してもよく、これらについて論理結合及びデバイスコメント等の情報を表示してもよい。
ここで、接続関係について説明する。一般に安全回路とは、すべての安全条件が揃ったときのみに安全出力が許される回路である。例えば、どの非常停止スイッチも押されておらず、かつ、すべての扉、ゲートが閉まっている状態であれば運転準備状態とみなし、機械の起動を許可する。安全回路は、すべての安全機器が安全状態を示しているときに安全出力が可能となるように構成するので、すべての安全機器がAND接続になることが原則である。もし、安全機器のOR接続があれば、そこは一部安全条件が欠けていても安全出力(=機械の起動)が可能となってしまう。つまり、OR接続であれば、例えばそのOR接続はいずれかの扉が開いていても起動が可能ということになり、一般に安全な回路とはいえなくなるからである。従って、OR接続があれば安全カテゴリを「1」として判定することにする。従って、図4において、安全出力デバイスY100/101の「安全デバイスの論理結合」が「OR接続」であれば、「安全カテゴリ診断」を「1」と判定する。安全性の要件を満たすためには、「安全カテゴリ診断」が「設定安全カテゴリ」以上となり、かつ、「安全デバイスの論理結合」が「AND接続」となる必要がある。
以上説明したように、本実施の形態によれば、安全ラダープログラム17が安全カテゴリ等の任意の安全規格に適合するか否かを診断することができる、という効果を奏する。また、安全規格に適合した安全ラダープログラム17を作成することができる。このように、ユーザ又はプログラマは安全制御プログラムの安全性規格への適合を診断できるので、安全性の確認及び安全規格への適合認証取得が可能となる。
ところで、図9は、特許文献1に記載のシーケンスプログラム作成支援ソフトウェアによるプログラムの安全判定結果の表示例を説明する図である。この従来技術では、ユーザはシーケンスプログラム作成支援ソフトウェアを起動して、任意の入力機器を直列又は並列に組み合わせて構成したシーケンスプログラムを作成可能である。
図9の(B)は、ユーザが作成したシーケンスプログラム(シーケンス番号「001」)の例であり、出力デバイスM001は入力デバイスI001と入力デバイスI002の双方が導通状態となった場合、又は入力デバイスI003が導通状態となった場合に、ON状態に制御される。また、入力デバイスI001及び入力デバイスI002には「S」記号が付与されており、これは安全が保証されていることを示す第1種類情報に対応するデバイスであることを示している。また、入力デバイスI003には記号が何も付与されておらず、これは安全が保証されていないことを示す第2種類情報に対応するデバイスであることを示している。そして、シーケンスプログラムの出力部である出力デバイスM001には、入力デバイスI001,I002,I003の結合関係の帰結として、安全性が保障されているとは限らないことを示す第3種類情報を表す記号「U」が付与されている。図9の(A)では、対象となるシーケンスプログラムの判定結果が「U」であるため、安全性が保証されていない旨を示す判定結果をユーザに表示している。
この従来技術では、第1種類情報、第2種類情報、及び第3種類情報の3種類の種類情報を導入し、安全出力デバイスに関連する入力デバイスの種類情報の合成ルールを定義することで、安全出力デバイスの安全性を判定している。従って、安全規格ISO13849−1の安全カテゴリに適合するか否かなど、他の安全規格への適合可否については判定することができなかった。しかしながら、本実施の形態によれば、安全規格ISO13849−1の安全カテゴリへの適合の可否に加え、その他任意の安全基準に対してその適合の可否を判定することができる。
実施の形態2.
本実施の形態に係る安全制御プログラムの安全性診断装置1の構成は図1と同様であるが、本実施の形態では、安全デバイス管理テーブル11は、入出力デバイスの安全カテゴリと、そのデバイスに接続された安全機器の安全カテゴリ(「接続機器カテゴリ」)とを入出力デバイスごとに管理する。
すなわち、本実施の形態では、実施の形態1で説明した入出力デバイスの安全カテゴリ(PLCの入出力設定により指定)に加えて、入出力デバイスの安全カテゴリがそのデバイスに接続された安全機器の安全カテゴリでも指定される場合を考える。
図5は、本実施の形態における安全デバイス管理テーブル11の一例を示す図である。なお、図5は、実施の形態1と同様に図2に示す安全ラダープログラム17に対応した図である。本実施の形態では、安全デバイス解析部12は、安全入出力デバイスに接続された接続機器の設定情報を含む安全入出力デバイス設定パラメータ16を使用して、図5の安全デバイス管理テーブル11における「安全カテゴリ」及び「接続機器カテゴリ」を作成する。このとき、安全入出力デバイス設定パラメータ16は接続機器のメーカー名および型名ならびに設定情報を含んでいることが一般的である。図5に示すように、入力デバイスX100/101に対しては「接続機器カテゴリ」は「4」、入力デバイスX102/103に対しては「接続機器カテゴリ」は「3」、出力デバイスY100/101に対しては「接続機器カテゴリ」は「3」である。
安全出力デバイス診断部13は、実施の形態1とは異なり、安全機器の設定安全カテゴリ(「接続機器カテゴリ」)と安全デバイスの設定安全カテゴリ(「安全カテゴリ」)から最低の値を安全デバイス管理テーブル11の「安全カテゴリ診断」にセットする。すなわち、安全出力デバイス診断部13は、デバイスY100/101について、安全カテゴリの最低値である「1」を「安全カテゴリ診断」とする(図4参照)。安全出力デバイス診断部13による安全性診断結果の表示部15による表示内容は、図4と同様であるが、さらに、安全入出力機器の型名及び設定情報等を表示しても良い。
本実施の形態によれば、安全デバイスの安全カテゴリに加えて接続機器の安全カテゴリも含めて安全性診断を行うので、接続機器の安全性まで考慮して安全性の確認および安全規格への適合確認が可能になる。なお、その他の構成、動作、効果は、実施の形態1と同様である。
実施の形態3.
IEC60204−1では、安全状態が復旧して直ちに機械が再起動することを禁止しており、全ての安全条件が揃った運転準備状態でインタロックを設け、マニュアル操作による再起動を規定している。そこで、本実施の形態では、ユーザ又はプログラマが、安全ラダープログラム17において運転準備状態を表すデバイスのデバイスコメントに予約語として「運転準備」と記述することで、そのデバイスを運転準備状態として識別できるようにする。すなわち、ユーザ又はプログラマは安全ラダープログラム17中でデバイスをどのような目的で使いたいかをコメントに記述するのが一般的であるが、本実施の形態では、コメントに安全関連語句である予約語を記述するようにすることで、この予約語からデバイスの使用目的=安全属性を得るようにする。なお、運転準備状態とは、すべての安全入力デバイスが安全状態にある状態を意味する。また、以下では、予約語が「運転準備」である場合について説明するが、その他の予約語がデバイスコメントに記述されている場合でも同様である。
図6は、本実施の形態における安全デバイス管理テーブルの一例を示す図である。安全デバイス解析部12は、安全ラダープログラム17中のデバイスコメントから予約語を抽出する。具体的には、デバイスM100のデバイスコメントに「運転準備1」とあるので、安全デバイス管理テーブル11におけるデバイスM100の「予約語」に「運転準備」とセットする。セットするフラグは文字列、シンボル、又はビット等のいずれでも良い。続いて、安全出力デバイス診断部13は、実施の形態1と同様にしてデバイスM100及びデバイスY100/101について「安全カテゴリ診断」及び「論理結合」を抽出する。そして、安全出力デバイス診断部13は、表示部15にて、出力デバイスY100に加えて内部デバイスM100についても予約語「運転準備」とともに安全性診断結果(「安全カテゴリ」、「安全カテゴリ診断」、及び「論理結合」)を表示する。
本実施の形態によれば、デバイスコメントから予約語を抽出し、この予約語を「安全カテゴリ」、「安全カテゴリ診断」および「論理結合」とともに表示することで、この予約語で表された使用目的のデバイスについての安全性診断を行うことができる。特に、デバイスコメントに予約語「運転準備」が記述された内部デバイスM100の安全性を診断することができる。その他の構成、動作、効果は、実施の形態1と同様である。また、本実施の形態と実施の形態2を組み合わせることで、実施の形態2と同様の効果を得ることができる。
実施の形態4.
図7は、本実施の形態における安全デバイス管理テーブルの一例を示す図であり、図8は、本実施の形態における安全性診断結果の表示例を示す図である。
安全規格では、「予期せぬ再起動の禁止」のため、運転準備状態で直ちに機械を起動するのではなく、機械に対する始動命令=マニュアルスイッチにより機械を起動するように定められている。本実施の形態では、「予期せぬ再起動の禁止」がプログラムされているか否かを確認するため、「運転準備」と「安全出力」との間に再起動スイッチがAND接続されているか否かを確認する。運転準備状態のデバイスM100と出力デバイスY100との間のデバイスX201が再起動スイッチであるか否かの確認方法には、それが立上り/立下りデバイスであるか否かを確認する方法と、予約語「再起動」が使用されているか否かを確認する方法とがある。
そこで、まず、デバイスX201を立上り/立下りデバイスとしたときに、これを確認することで、デバイスX201が再起動スイッチであることが確認できる。ここで、立上りデバイスとは、割り付けられた信号がOFF→ONのときにONとなるデバイスであり、立下りデバイスとは、割り付けられた信号がOFF→ONのときにOFFとなるデバイスである。例えば、スイッチを押したときに、信号はOFF→ON→ON→OFFとなるが、その立上りデバイスはOFF→ON→OFF→OFF、その立下りデバイスはOFF→OFF→ON→OFFとなる。なお、デバイスX201の安全カテゴリを4と設定する。
安全回路では、例えばスイッチを押しても信号が変わらない接点溶着故障が生じた場合でも安全動作が保障されなければならない。デバイスX201は、それ自体故障していても非常停止には影響を与えないスイッチであるが、もし接点溶着故障しているとすると、運転準備状態から直ちに機械が起動する事故が起こり得る。従って、デバイスX201として、ON/OFF状態を表すデバイスではなく、スイッチ変化を表す立上り/立下りデバイスを使用することが必要となる。このように、再起動スイッチを立上り/立下りデバイスとすることで、スイッチ故障(常にOFF状態)でも、機械が間違って起動することがないので安全となる。
次に、予約語「再起動」が使用されているか否かを確認する方法について述べる。図2に示すように、安全ラダープログラム17においてデバイスX201のデバイスコメントに「再起動1」とあるので、安全デバイス解析部12は、図7の安全デバイス管理テーブル11におけるデバイスX201の「予約語」に「再起動」とセットする。これにより、デバイスX201が再起動スイッチであることが確認できる。なお、セットするフラグは文字列、シンボル、ビット等のいずれでも良い。
このように、安全出力デバイス診断部13は、デバイスY100/101を診断する際に、「運転準備」が書かれたデバイスM100とデバイスY100/101との間に、「再起動」が書かれた一つ以上のデバイスが接続されているかを調べることで、再起動スイッチが接続かれているか否か確認できる。
次に、再起動スイッチの接続関係について説明する。安全出力デバイス診断部13は、再起動スイッチがAND接続されているか否かを調べ、再起動スイッチがAND接続されていなければ(すなわち、OR接続があれば)安全カテゴリ診断を「1」とし、再起動スイッチがAND接続されていれば、AND接続の最低の安全カテゴリを「安全カテゴリ診断」にセットする。つまり、再起動スイッチが複数のスイッチの接続からなる場合でも、運転準備状態とAND接続で接続されている必要がある。よって、運転準備状態のデバイスM100から出力デバイスY100/101までの論理結合関係はAND接続でなければならない。論理結合関係がOR接続ということは、機械の再起動について複数のオプションがあることになるので、運転員によっては予期せぬ再起動が行なわれる懸念がある。そこで、運転準備から機械の再起動を行う安全出力にOR接続がないことを安全回路の条件とし、もしOR接続があれば安全カテゴリを最低の「1」とする。
安全出力デバイス診断部13は、表示部15により、安全デバイス情報として例えば図8の表示を行う。すなわち、図8では、「種別」が「運転準備」であるデバイスM100と、「種別」が「安全出力」である出力デバイスY100/101について「安全カテゴリ診断」と「論理結合」が表示されている。本実施の形態では、デバイスM100から出力デバイスY100/101までのデバイスX201の論理結合関係はAND接続であり、出力デバイスY100/101の「安全カテゴリ診断」は「3」となる。なお、図8は表示の一例で、実施の形態1のように、安全カテゴリと安全カテゴリ診断結果が不一致のデバイスのみ表示しても良い。
本実施の形態においては、デバイスコメントに例えば予約語「運転準備」が書かれたデバイスM100と安全出力デバイスY100/101との間に接続されたデバイスが、立上り/立下りデバイスであるか、または予約語「再起動」がデバイスコメントに書かれたデバイスであるかを調べ、さらにその接続関係を確認することで、安全出力デバイスY100/101の安全性を診断することができる。これにより、安全ラダープログラム17の予期せぬ再起動の禁止への適合と、安全システムの適合安全カテゴリを診断することができる。
実施の形態5.
ISO13849−1ではPL(Performance Level)、IEC61508ではSIL(Safety Integrity Level)という安全レベルが定義されており、それぞれ安全システムの平均危険側故障間隔(MTTFd:Mean Time To Dangerous Failure)と危険側故障率(PFH:Probability of Failure per Hour)を計算することで、安全システムがどの安全レベルを満足しているかを判定することができる。そこで、本実施の形態では、安全制御プログラムおよび安全システムが、PL,SILのどの安全レベルに相当するのかを、安全レベルの指標であるMTTFd,PFHを計算して評価する。なお、MTTFdはPFHの逆数なので、以下ではPFHに基づくSIL判定について説明する。
安全システムは、ライトカーテンや非常停止スイッチ等が動作した時に、そのセンサに結び付けられた危険源が停止するように構成する。安全システムのPFHは、安全システムにおいて安全機能が機能しない故障確率を示し、安全スイッチが押された等の安全センサからの停止要求に対して、安全センサに結び付けられたロボットやドライブ等の危険源が停止するまでの構成要素のPFHの合計となる。ここで、安全センサが、ある危険源の停止に対してAND結合になっていても、ある安全センサの停止要求が他のセンサの故障によって影響を受けることはないので、PFHの計算対象となる安全システムはひとつひとつの安全センサから、その安全センサに結び付けられたすべての危険源までを考慮すればよい。
安全システムのPFH計算を行うためには、安全センサや安全リレー・コンタクタ等の安全デバイスのPFH、および安全入力装置/出力装置(安全I/O)と安全シーケンサのPFHが必要であるので、安全デバイス管理テーブル11を図10のように拡張する。
ここで、安全デバイスのPFH値は各メーカーからの提供値を用いることができる。また、安全入出力デバイス設定パラメータ16の一つとして安全入出力デバイスのPFH値を設定する。別途、安全機器ごとのPFHを示した表を用意しておき、ユーザはその表からテーブルのPFHを設定するか、あるいはメーカーから得た値を入力する。安全I/Oと安全シーケンサのPFHの設定についても同様である。多くの場合、プログラム作成支援ツールはシーケンサメーカが提供しているので、安全I/Oおよび安全シーケンサのPFHはあらかじめプログラム作成支援ツールに包含してユーザに提供される。
次に、安全デバイス解析部12が、安全入出力デバイス設定パラメータ16に基づき、安全デバイス管理テーブル11の安全デバイス、安全I/O、安全シーケンサの各PFH値を設定する。運転準備状態等の内部状態は、安全I/Oを持たず、安全シーケンサは安全入力デバイスと重複するので、各々に対応するPFHの値は設定されない。また、安全出力デバイスは、安全I/OのPFHの値は設定されるが、安全シーケンサは安全入力と重複するのでPFHの値は設定されない。
また、実施の形態1〜4で示したように、安全デバイス解析部12と安全出力デバイス診断部13により、各安全入力デバイスと運転準備状態について、各安全入力デバイスに結合(関連付け)された運転準備状態または運転準備状態に結合(関連付け)された安全出力デバイスを探し出し、これを図10の「結合された安全出力」の列に登録する。結合された安全出力が複数個ある場合は、「結合された安全出力」の列にすべての出力を記載する。さらに、もういちど安全デバイス管理テーブル11を走査して、安全入力デバイスの「結合された安全出力」列の運転準備状態を、その運転準備状態の行の「結合された安全出力」デバイスに置き換えると、安全入力デバイスから安全出力デバイスまでの結合関係がこのテーブルに表される。
次に、安全入力デバイスごとの安全システムのPFHを計算する。安全入力デバイスの行にある、安全入力デバイス、安全I/O(入力側)、安全シーケンサのPFH合計と、結合された安全出力デバイスの行にある安全出力デバイスおよび安全I/O(出力側)のPFH合計を足した値を安全システムのPFHの列に記載する。例えば、安全入力デバイスX100/101については、安全入力デバイス、安全I/O(入力側)、安全シーケンサのPFH合計は、(1.2+0.5+0.7)×10-9=2.4×10-9であり、結合された安全出力デバイスであるY100/101の行にある安全出力デバイスおよび安全I/O(出力側)のPFH合計は、(2.5+0.5)×10-9=3.0×10-9であるので、この場合の安全システムのPFHは、5.4×10-9である。そして、この値が、その安全センサが停止要求を出した時に、結合された安全出力が停止する安全システムのPFHを示しているので、この値がSILの要求値を満足するかを判定し、SILの列に記載する。図10に示すように、この場合の安全システムのPFHは、SIL3の安全レベルの範囲にある。なお、SILに関しては、安全レベルが4つのレベルに分類されている。安全デバイス管理テーブル11の各安全入力デバイスのSIL判定結果は、表示部15によりユーザに表示される。
なお、本実施の形態では、SILについて記載したが、MTTFdはPFHの逆数なので、安全入出力デバイス設定パラメータ16で、安全デバイス、安全I/Oおよび安全シーケンサのMTTFdを用意し、安全デバイス管理テーブル11のPFH欄にMTTFdの逆数を入力することで、SILと同様に安全システムのPFHを計算することができる。また、安全システムのPFHの逆数を求め、この逆数が、PLが定義するどの安全レベルの範囲にあるのかを判定し、その判定結果を表示部15に表示することができる。なお、PLに関しては、安全レベルが3つのレベルに分類されている。
以上のように、本実施の形態では、安全制御プログラム中で使用されている各デバイスを安全デバイス管理テーブル11に登録するとともに、各デバイスに対して安全入出力デバイス設定パラメータ16を参照してPFHまたはMTTFdを安全デバイス管理テーブル11に登録し、安全入力デバイスごとに、関連付けされた安全出力デバイスまでの経路を構成する各デバイスまたは機器のPFHまたはMTTFdを計算し、その合計値が安全レベル(PL,SIL)のどのレベルに相当するかを求めることで、安全入力デバイスから、関連付けされた出力デバイスまでの経路の安全レベルを判定する。
本実施の形態によれば、従来専用ツールで行っていたPFH,MTTFdの定量的指標に基づく安全レベルのSIL,PL判定が、安全シーケンサのプログラム作成支援ツールにおいて可能となり、安全システムの構築及び検証の工程数を短縮できる。
本発明は、安全PLCなどの安全制御装置用のラダー言語プログラムを作成・編集するプログラミングツールにおいて、作成した安全制御プログラムが安全カテゴリ及び予期せぬ再起動防止などの安全規格に適合するかどうかを診断する機能として有用である。
1 安全制御プログラムの安全性診断装置
11 安全デバイス管理テーブル
12 安全デバイス解析部
13 安全出力デバイス診断部
15 表示部
16 安全入出力デバイス設定パラメータ
17 安全ラダープログラム
20 安全デバイス管理テーブル記憶部
21 安全入出力デバイス設定パラメータ記憶部
22 安全ラダープログラム記憶部

Claims (6)

  1. 安全制御装置をシーケンス制御するための安全制御プログラムの安全性を診断する安全性診断装置において、
    前記安全制御プログラムを記憶する安全制御プログラム記憶部と、
    安全制御に使用される入出力デバイスを含む各デバイスについて、少なくともその安全レベル情報を設定情報として含む入出力デバイス設定パラメータを記憶する入出力デバイス設定パラメータ記憶部と、
    前記安全制御プログラム中で使用されている各デバイスを安全デバイス管理テーブルに登録するとともに、前記各デバイスに対して前記入出力デバイス設定パラメータを参照し前記デバイスごとにその安全レベルを前記安全デバイス管理テーブルに登録する安全デバイス解析部と、
    前記安全デバイス管理テーブルを記憶する安全デバイス管理テーブル記憶部と、
    前記安全デバイス管理テーブルを利用し、前記安全制御プログラム中で使用されている出力デバイスに対し、当該出力デバイスの出力に関連付けられたデバイス群の安全レベルの中から最低安全レベルを抽出するとともに、前記安全制御プログラムにおける前記デバイス群のシーケンスロジックを調べることにより前記デバイス群の接続関係を判定して、前記最低安全レベルと前記出力デバイスについて設定された安全レベルとの比較結果及び前記接続関係に基づいて前記出力デバイスの安全性診断を行う安全出力デバイス診断部と、
    を備えることを特徴とする安全制御プログラムの安全性診断装置。
  2. 前記入出力デバイス設定パラメータは、前記入出力デバイスに接続された接続機器の安全レベル情報を設定情報として含み、
    前記安全デバイス解析部は、前記入出力デバイス設定パラメータを参照し前記入出力デバイスごとにその接続機器の安全レベルを前記安全デバイス管理テーブルに登録し、
    前記安全出力デバイス診断部は、前記安全デバイス管理テーブルを利用し、前記安全制御プログラム中で使用されている出力デバイスに対し、当該出力デバイスの出力に関連付けられたデバイス群の安全レベル及びその接続機器の安全レベルの中から最低安全レベルを抽出することを特徴とする請求項1に記載の安全制御プログラムの安全性診断装置。
  3. 前記安全デバイス解析部は、前記安全制御プログラム中で使用されるデバイスのデバイスコメントから当該デバイスの使用目的または意味を表す予約語を抽出し、前記デバイスに対して前記予約語を前記安全デバイス管理テーブルに登録し、
    前記安全出力デバイス診断部は、前記デバイスコメントに前記予約語が記述された前記デバイスの出力に関連付けられたデバイス群の安全レベルの中から最低安全レベルを抽出し前記デバイス群の接続関係を判定して、前記予約語とともに、前記最低安全レベル、前記デバイスについて設定された安全レベル及び前記接続関係を与えて、前記出力デバイスの安全性診断を行うことを特徴とする請求項1または2に記載の安全制御プログラムの安全性診断装置。
  4. 前記安全出力デバイス診断部は、前記デバイスコメントに前記予約語が記述された内部デバイスからその関連する出力デバイスまでの間に、立上り/立下りデバイスが接続されているか否かを調べて前記出力デバイスの安全性診断を行うことを特徴とする請求項3に記載の安全制御プログラムの安全性診断装置。
  5. 安全制御装置をシーケンス制御するための安全制御プログラムの安全性を診断する安全性診断装置において、
    前記安全制御プログラムを記憶する安全制御プログラム記憶部と、
    安全制御に使用される安全入力デバイス、前記安全制御装置の入力装置、前記安全制御装置、前記安全制御装置の出力装置および安全出力デバイスについて、安全レベル情報として危険側故障率または平均危険側故障間隔を設定情報として含む入出力デバイス設定パラメータを記憶する入出力デバイス設定パラメータ記憶部と、
    前記安全制御プログラム中で使用されている各デバイスを安全デバイス管理テーブルに登録するとともに、前記各デバイスに対して前記入出力デバイス設定パラメータを参照し、前記デバイスごとにその危険側故障率または平均危険側故障間隔を前記安全デバイス管理テーブルに登録する安全デバイス解析部と、
    前記安全デバイス管理テーブルを記憶する安全デバイス管理テーブル記憶部と、
    前記安全デバイス管理テーブルを利用し、前記各安全入力デバイスについて、当該安全入力デバイスに関連付けされた前記安全出力デバイスまでの経路を構成する各デバイスの危険側故障率または平均危険側故障間隔の合計を算出し、その合計値が事前に規定されたどの安全レベルの範囲に入るかを判定することで、前記各安全入力デバイスから当該安全入力デバイスに関連付けされた前記安全出力デバイスまでの経路の安全レベルを判定する安全出力デバイス診断部と、
    を備えることを特徴とする安全制御プログラムの安全性診断装置。
  6. 安全制御装置をシーケンス制御するための安全制御プログラムの安全性を診断する安全性診断方法において、
    前記安全制御プログラム中で使用されている各デバイスを安全デバイス管理テーブルに登録するとともに、前記各デバイスについて少なくともその安全レベル情報を設定情報として含む入出力デバイス設定パラメータを参照して前記デバイスごとにその安全レベルを前記安全デバイス管理テーブルに登録し、
    前記安全デバイス管理テーブルを利用し、前記安全制御プログラム中で使用されている出力デバイスに対し、当該出力デバイスの出力に関連付けられたデバイス群の安全レベルの中から最低安全レベルを抽出するとともに、前記安全制御プログラムにおける前記デバイス群のシーケンスロジックを調べることにより前記デバイス群の接続関係を判定して、前記最低安全レベルと前記出力デバイスについて設定された安全レベルとの比較結果及び前記接続関係に基づいて前記出力デバイスの安全性診断を行う、
    ことを特徴とする安全制御プログラムの安全性診断方法。
JP2009281900A 2009-01-26 2009-12-11 安全制御プログラムの安全性診断装置及び安全性診断方法 Expired - Fee Related JP5174798B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009281900A JP5174798B2 (ja) 2009-01-26 2009-12-11 安全制御プログラムの安全性診断装置及び安全性診断方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2009014762 2009-01-26
JP2009014762 2009-01-26
JP2009281900A JP5174798B2 (ja) 2009-01-26 2009-12-11 安全制御プログラムの安全性診断装置及び安全性診断方法

Publications (2)

Publication Number Publication Date
JP2010191943A JP2010191943A (ja) 2010-09-02
JP5174798B2 true JP5174798B2 (ja) 2013-04-03

Family

ID=42817879

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009281900A Expired - Fee Related JP5174798B2 (ja) 2009-01-26 2009-12-11 安全制御プログラムの安全性診断装置及び安全性診断方法

Country Status (1)

Country Link
JP (1) JP5174798B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009019089A1 (de) * 2009-04-20 2010-11-04 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum Erstellen eines Anwenderprogramms für eine Sicherheitssteuerung
JP5473995B2 (ja) * 2011-07-01 2014-04-16 日本認証株式会社 安全度水準評価支援装置
DE112014006323T5 (de) 2014-04-24 2016-11-03 Mitsubishi Electric Corporation SPS-Einheit und speicherprogrammierbare Steuerung

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004341814A (ja) * 2003-05-15 2004-12-02 Toshiba Corp SIL(Safety−IntegrityLevels)モニタ、およびSILモデルを用いた設計支援装置
JP4438552B2 (ja) * 2004-07-29 2010-03-24 株式会社ジェイテクト 安全plc、シーケンスプログラム作成支援ソフトウェア及びシーケンスプログラムの判定方法
JP4893931B2 (ja) * 2006-05-19 2012-03-07 オムロン株式会社 セーフティ・コントローラ
JP4921917B2 (ja) * 2006-10-17 2012-04-25 東芝システムテクノロジー株式会社 ソフトウェア安全性診断装置およびプログラム

Also Published As

Publication number Publication date
JP2010191943A (ja) 2010-09-02

Similar Documents

Publication Publication Date Title
JP5436660B2 (ja) 安全関連制御ユニット用アプリケーションプログラムの生成方法および装置
US8473917B2 (en) Enhanced operation diagnostics
USRE42017E1 (en) Configurable safety system for implementation on industrial system and method of implementing same
JP4893931B2 (ja) セーフティ・コントローラ
JP2004524620A (ja) フェイルセーフ制御システムのプログラミング方法及び装置
JP6911408B2 (ja) 評価システム、安全コントローラ、評価プログラム、および、評価方法
JP4128083B2 (ja) ソフトウェア共通類型故障を排除したデジタル原子炉保護システム
JP4900607B2 (ja) セーフティ・コントロール・システム
JP2007025736A (ja) 安全plc
JP2017167653A (ja) 評価システム、評価プログラムおよび評価方法
JP4849261B2 (ja) 安全アプリケーション作成支援装置
JP5174798B2 (ja) 安全制御プログラムの安全性診断装置及び安全性診断方法
CN108572611B (zh) 信息处理装置、信息处理方法及计算机可读取记录媒体
CN110678817B (zh) 用于参数化现场设备的方法和可参数化的现场设备
JP7000703B2 (ja) 情報処理装置、情報処理方法、および、情報処理プログラム
CN107193251A (zh) 评价系统和评价方法
JP2008027156A (ja) シミュレーション装置
JP7005914B2 (ja) 情報処理装置、情報処理方法、および情報処理プログラム
US8181172B2 (en) Method for operation of an automation system
JP2007304939A (ja) プログラマブルコントローラおよびモニタ
CN112395206B (zh) 组态软件纠错方法及系统
JP2008310479A (ja) 安全コントローラのプログラム開発支援装置
CN203799217U (zh) 基于安全可编程逻辑控制器的焊装线控制装置
JP7287445B2 (ja) 情報処理装置、情報処理方法、および情報処理プログラム
Sarmento et al. Extending the verification coverage for PLC control programs: a functional safety approach

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110608

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120808

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120814

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120918

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121228

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees