JP5981988B2 - 安全制御装置の動作方法および安全制御装置 - Google Patents
安全制御装置の動作方法および安全制御装置 Download PDFInfo
- Publication number
- JP5981988B2 JP5981988B2 JP2014511800A JP2014511800A JP5981988B2 JP 5981988 B2 JP5981988 B2 JP 5981988B2 JP 2014511800 A JP2014511800 A JP 2014511800A JP 2014511800 A JP2014511800 A JP 2014511800A JP 5981988 B2 JP5981988 B2 JP 5981988B2
- Authority
- JP
- Japan
- Prior art keywords
- interval
- result
- calculation
- output
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 48
- 238000004364 calculation method Methods 0.000 claims description 110
- 238000004422 calculation algorithm Methods 0.000 claims description 59
- 238000007667 floating Methods 0.000 claims description 58
- 238000006243 chemical reaction Methods 0.000 claims description 31
- 230000008569 process Effects 0.000 claims description 10
- 241000287463 Phalacrocorax Species 0.000 claims 3
- 241000287462 Phalacrocorax carbo Species 0.000 claims 1
- 230000008901 benefit Effects 0.000 description 14
- 238000012545 processing Methods 0.000 description 10
- 238000012935 Averaging Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000000926 separation method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- PXFBZOLANLWPMH-UHFFFAOYSA-N 16-Epiaffinine Natural products C1C(C2=CC=CC=C2N2)=C2C(=O)CC2C(=CC)CN(C)C1C2CO PXFBZOLANLWPMH-UHFFFAOYSA-N 0.000 description 1
- 101001001429 Homo sapiens Inositol monophosphatase 1 Proteins 0.000 description 1
- 102100035679 Inositol monophosphatase 1 Human genes 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000011999 immunoperoxidase monolayer assay Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- GHZKGHQGPXBWSN-UHFFFAOYSA-N methyl(propan-2-yloxy)phosphinic acid Chemical compound CC(C)OP(C)(O)=O GHZKGHQGPXBWSN-UHFFFAOYSA-N 0.000 description 1
- 238000003801 milling Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/14—Plc safety
- G05B2219/14012—Safety integrity level, safety integrated systems, SIL, SIS
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24003—Emergency stop
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24008—Safety integrity level, safety integrated systems SIL SIS
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24182—Redundancy
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24188—Redundant processors run different programs
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24189—Redundant processors monitor same point, common parameters
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24191—Redundant processors are different in structure
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Automotive Seat Belt Assembly (AREA)
Description
本発明は、安全制御装置の動作方法に関するものである。
安全制御装置は、通常、産業のセーフティクリティカル分野を監視し、セーフティクリティカル問題が存在する場合の対策を実行するために採用される。
安全制御装置は通例、一方でインジケータ装置と、他方でアクチュエータと信号を交換するように接続されている。安全制御装置のためによく採用されるインジケータ装置は、緊急停止ボタン、安全ドアスイッチ、両手スイッチ、ライトバリアおよび監視マシンまたはマシン設備から安全関連信号を提供する多様なセンサを含む。安全制御装置はさらにインジケータ装置からの安全関連信号を監視し、それを評価する。その後、評価に応じて、アクチュエータを制御するための制御信号を生成する。通例、これらはさらに設備の安全状態をもたらすように制御される。これは、例えば、監視設備のフェールセーフなスイッチオフから達成できる。代わりにまたは追加で、設備の安全性を確保するための警告信号を出力することができる。
安全制御装置の特に安全な動作を確保するために、通例、冗長コンポーネントを用いて作られる。例えば、安全制御装置は、同じタスクを並列して行う2以上の計算ユニットを備えている。安全動作能力を向上させるために、コンポーネントおよびそのコンポーネントが処理するソフトウェアコンポーネントはともに多様な設計を有してもよく、その結果内部の系統的誤差を補償することができる。このために、例えば、計算ユニットは異なる製造者製にし、異なるアーキテクチャを備えるように構成することができる。
重要な点は、同一の入力データに基づいて異なる方法で判定した異なる計算ユニットからの2以上の結果を比較できるようにすることである。これらの結果が一致しなければ、安全制御装置に安全関連の障害が存在するおそれがある。このような誤差に対する反応には、適した反応ステップの実行が含まれるかもしれない。例えば、警告信号を出力することができ、および/または設備のスイッチを切ることができる。制御タスクの二次安全制御装置への移転も考えられる。
安全制御装置が2つより多くの冗長コンポーネントを備える場合、結果を比較するときに多数決を採用することができる。このように、内部障害が1つのコンポーネントにしか存在しない場合、制御タスクを継続することが可能である。2つのコンポーネントしか利用できない場合、原則として自動的な対策が採用される。その結果、通常、マシン操作員の側に設備の手動的な介入が必要である。
冗長的に構成されている安全制御装置の実装の前提条件は、コンポーネントからの計算結果が比較可能なことである。これを確保するために、安全制御装置では通例整数の計算が行われる。整数はデジタルデータ処理で正確に表現することができ、整数を使用するときのメモリ要求はごくわずかである。これは、加算、減算、乗算および整数の除算などの基本的な計算の種類にも当てはまり、これらの結果は再び整数でなければならない。さらに、整数演算は、結合法則、分配法則および可換法則などの代数学の基本的規則に従う。このため、排他的に整数の演算を行うアルゴリズムは演算子の順列に影響を受けにくく、そのため強固である。
安全制御装置は整数の演算に限られるということは不利である。その結果、入力信号が整数でしか表現できず、そのためほとんどの場合切り上げまたは切り捨てしなければならないため、結果の精度が落ちる。
計算の精度を向上させるために、浮動小数点数の採用がコンピュータ技術の分野から周知である。浮動小数点数は実数の近似表現である。浮動小数点数はコンピュータ代数学で周知の固定小数点数とは異なる。浮動小数点では、有限桁数の仮数部が保存され、分離点は指定位置に位置すると仮定される。仮数部に、基数と指数部からなる別の式を乗じる。通例、基数の値は規約によって合意されている。指数部は暗黙的に分離点の実際の位置を提供する。
浮動小数点数は、非常に大きな数および非常に小さな数の両方を低いメモリ要求で容易に表現できるように使用される。これは、分離点が「分離」しているために、値をスケーリングすることができ、新たな計算を自動的に行うことができるため達成される。浮動小数点数を使用することで、整数で可能なよりも大幅に正確に複雑な計算を行うことが可能となる。計算ユニットのメモリはこのように最適に活用されるため、できる限り達成可能な精度が確保される。
特殊浮動小数点演算は、浮動小数点数を用いた計算の数値計算から周知である。この浮動小数点演算では、分離点周辺の被演算子の配列のため、および浮動小数点のデータタイプの長さが限られているために、代数学の規則の違反となる可能性があるため、代数学の基本的な規則は一部適用できない。明確にするために、以下の(単純化した)実施例を挙げる。
表現0.125+4.5−4.0は小数を含む数字からなり、二進法では浮動小数点数を使って計算することになる。この表現とこの表現で示される小数は、二進法では0.001+100.1−100.0という有限表現を有する。
二進数を表現するのに4ビットが利用できる場合、すべての小数を完全に表現することができる。括弧を使って、以下の計算が求められる。
(0.001+100.1)−100.0=100.1−100.0=0.1
しかし、括弧を他の位置に置くと、以下の計算が求められ、結果が異なる。
0.001+(100.1−100.0)=0.001+0.1=0.101
例証されるように、二進法では括弧の選択によって異なる結果が導かれるが、小数を使用した式に括弧を相応して適用しても結果に対する影響はない。
(0.001+100.1)−100.0=100.1−100.0=0.1
しかし、括弧を他の位置に置くと、以下の計算が求められ、結果が異なる。
0.001+(100.1−100.0)=0.001+0.1=0.101
例証されるように、二進法では括弧の選択によって異なる結果が導かれるが、小数を使用した式に括弧を相応して適用しても結果に対する影響はない。
これに加えて、多くの十進値は二進値としての有限表現を有していない。そのため、通常、有限サイズのデータタイプでの記憶には、表現可能な値への丸め処理が必要である。加えて、乗算および除算などの演算は正確に表現するために必要な数字の数を増やす可能性がある。丸め処理が起こる頻度、プロセスで生じる丸め誤差は、浮動小数点演算を適用するアルゴリズムの実装に大きく依存する。このことから、冗長実装に多様なハードウェアおよびソフトウェアのコンポーネントを使用する場合、計算結果の比較可能性を確保できないことになる。そのため、浮動小数点数を使用した自動化システムでは、潜在的に無限の誤差があるデータに基づいて制御が進む可能性がある。このような安全な自動化システムは可能ではない。
Comba, Joao L.D.およびStolfi, Jorge,「アフィン演算およびそのコンピュータ・グラフィックへの適用」(Affine Arithmetic and Its Applications to Computer Graphics), SIBGRAPI’93報告書,第6回ブラジルコンピュータ・グラフィクスおよび画像処理に関するシンポジウム,1993年
De Figueiredo, Luiz HenriqueおよびStolfi, Jorge,「自己検証型数値解析法および応用」(Self-Validated Numerical Methods and Applications), Brazilian Mathematics Colloquium Monograph, IMPA, リオデジャネイロ,ブラジル,1997年
Hansen, Eldon R.,「一般化区間演算」(A Generalized Interval Arithmetic)区間演算に関する国際シンポジウム報告書,ロンドン,1975年
Neumaier, Arnold,「テイラー形式−使用と限界」(Taylor Forms - Use and Limits), Reliable Computing, 第9巻,2002年
Sengupta, AtanuおよびPal, Tapan Kumar,「理論と方法論:区間数の比較」(Theory and Methodology: On comparing interval numbers), European Journal of Operational Research,第127巻,2000年
Young, Rosalind Cecily,「多値量の代数学」(The Algebra of Many-Valued Quantities), Mathematische Annalen, 第4巻,1号,1931年
多様なハードウェアもしくはソフトウェアを避けることにより、または多様なハードウェアおよびソフトウェアを、まったく等価の計算結果が得ることができるように互いに整合させることにより、比較可能性を達成することを企図することができるであろう。しかし、多様なハードウェアおよびソフトウェアからのまったく等価の計算結果は、まったく同じシーケンスで、まったく同じ精度で、特にその時間および丸め処理の方向に関して同じ丸め処理手順を使用して演算を行う場合にのみ期待できる。しかし、利用できるコンパイラおよび計算ユニットはこれらの側面において互いに大幅に異なるため、演算の精度もシーケンスも確実に判定することはできない。そのため、この種の安全制御装置は同一のハードウェアおよびソフトウェアのコンポーネントを冗長的に取り付けなければならないであろう。しかし、これはそもそも多様なハードウェアおよびソフトウェアから非常に高い安全性が達成される安全な自動化の基本的な考えと矛盾するであろう。
浮動小数点数を固定小数点数に置換して、固定小数点演算を適用させることも考えられるかもしれない。固定小数点演算もまた、整数の演算を使用して実施することができる。しかし、同じ精度の場合、これは非常に高いメモリ要求になり、不経済で実用的ではない。
さらに、説明されるアプローチでは計算結果の精度が隠されたままであり、そのため、ここでもコントローラは潜在的にあらゆる程度の誤差をもつデータに基づいて演算を進めることになるだろう。そのため、安全な自動化において浮動小数点演算を使用する主な欠点が克服されない。
そのため、安全制御装置の精度を向上させると同時に安全性を保持する安全制御装置の動作方法を提供することが、本発明の目的である。
本発明の目的は、本発明のある側面に従って、多数の計算ユニットを提供するステップと、入力信号を取得するステップと、前記入力信号に従って浮動小数点値を判定するステップと、前記浮動小数点値に従って入力区間を判定するステップと、前記計算ユニットのそれぞれが1つの結果区間を判定するとともに、前記計算ユニットのそれぞれが区間演算を含む少なくとも1つの第1計算アルゴリズムを前記入力区間に適用するように設計されている、多数の結果区間を判定するステップと、出力基準が満たされた場合に、前記結果区間に従って出力値を判定するステップと、前記出力値に従って出力信号を判定するステップと、前記出力信号を出力するステップと、を含む、安全制御装置の動作方法によって達成される。
本発明の目的は、本発明の別の側面に従って、多数の計算ユニットを備えており、入力信号を取得し、前記入力信号に従い浮動小数点値を判定し、前記浮動小数点値に従い入力区間を判定し、前記計算ユニットのそれぞれが1つの計算結果を判定するとともに、前記計算ユニットのそれぞれが区間演算を含む少なくとも1つの第1計算アルゴリズムを前記入力区間に適用するように設計されている、多数の結果区間を判定し、出力基準が満たされる場合に前記結果区間に従い出力値を判定し、前記出力値に従い出力信号を判定し、前記出力信号を出力するように設計されている安全制御装置により達成される。
本発明はこのように、計算ユニットのそれぞれにおいて区間演算を使用する第1計算アルゴリズムが適用されるという考えに基づいている。その効果は、浮動小数点値を確実に処理して、その後比較できる許容範囲が可能になることである。その結果、丸め誤差の大きさが小さく維持されるため、計算アルゴリズムを実行するときの安全制御装置の精度が向上する。入力信号が整数の代わりに浮動小数点値で表現することができるため、入力信号を取得するときの精度もまた整数演算よりも向上する。
計算ユニットはマイクロコントローラとして実装されるのが好ましい。好適な実施形態において、安全制御装置に多様な種類の複数の異なる計算ユニットが採用される。例えば、これらは異なる方法で構成することができる。その結果、入力信号の冗長処理および出力信号の冗長判定を用いて非常に高いレベルの安全性が達成される。
区間演算の使用は、特に区間を結果として判定するため、多様なハードウェアおよびソフトウェアの使用を許容する。これで、計算ユニットの結果が互いに異なる場合であっても、異なる計算ユニットの結果区間を互いに比較することができる。
区間演算とは、個々の数値ではなく、値の範囲での計算を可能にする方法である。浮動小数点数を何度も丸め処理しなければならないという冒頭に述べた問題は、入力区間が区間の上限および下限を有する浮動小数点値に基づいて形成されるため克服される。浮動小数点値の正確な値は、両区間限界の間にある。区間演算は修正型の計算を提供し、その支援で入力区間を用いた計算を確実かつ精密に行うことができる。プロセスにおいて行われる丸め処理は、丸め処理に従い区間が自動的に拡大または縮小することを考慮するため、結果区間は精密な結果値を含有する。したがって区間演算とは区間を被演算子として使用する方法をいう。
例えば上記の文献から適した方法が周知であり、その完全な内容はここで参照により組み込まれる。
入力信号はインジケータ装置から取得するのが好ましい。浮動小数点値は入力信号に基づいて判定される。これは、例えば、入力信号がアナログ信号の場合、A/D変換器で行うことができる。浮動小数点値により、次に浮動小数点値を含有する入力区間が判定する。区間の幅、したがって区間の上限値および下限値を異なる方法で判定することができる。浮動小数点値はここでは高精度を可能にするためにできるだけ密に含むべきである。1つの可能性として、例えばメモリから読み取られる固定区間幅を指定することが挙げられる。好適な実施形態において、区間幅は入力信号の許容値に従い判定することができる。この許容値は、例えばセンサの測定誤差および/またはA/D変換器の精度から取得される。
好適な実施形態において、複数の入力信号が安全制御装置から取得されて、適切なさらなる処理が施される。さらに、区間を正確に表現できない場合、または大量のメモリを使用しなければ実施することができない場合には、計算ユニットに必要な他の被演算子も区間として表現されることが好ましい。この種の被演算子は、例えば、第1計算アルゴリズムに必要な可変値および定数とすることができる。
計算ユニットにおいて、少なくとも第1計算アルゴリズムを入力区間に適用する。第1計算アルゴリズムは、例えば、ソフトウェアとしてまたはハードウェアの形のいずれかで実装することができる。計算アルゴリズムは、例えば逐次的に行われる多数の計算演算を含むことが望ましい。計算アルゴリズムは高次アルゴリズムの一部、例えば単一のプログラムルーティンまたはプログラムモジュールとすることもできる。第1計算アルゴリズムは結果区間が判定されるように区間演算を適用する。結果区間の幅はここでは特に、区間演算の自己検証特性に基づいて実施される誤差推定に依存する。特定の結果区間の区間幅はこのように、精密な値が入るべき可能な限り最小の区間を与えるために最適化される。
複数の計算ユニットの場合、各計算ユニットは、多様性の原則を満たすために、第1計算アルゴリズムのそれ自体の実装を備えるのが好ましい。異なる計算ユニットの第1計算アルゴリズムはこのように、比較可能性を達成するために互いに等価である。しかし、好ましくは、これらは同一ではなく、そこから異なる計算ユニットからの結果区間が異なる値をもつことができることになる。正確な一致が要求されず、むしろ、例えば交差区間の存在が与えられるなど、部分一致で十分であるため、今後これらを互いに比較することができる。
計算ユニットによるさらにその後の第1計算アルゴリズムの実行のために、相応する結果区間を、例えば、さらに処理することができ、または例えば異なる結果区間に基づいて取得した交差区間をさらに処理することが可能である。計算ユニット内での交差区間のその後の処理により、これらは互いに自動的に同期する。このことは、結果区間の区間幅が縮小し、それにより計算精度が向上するため、利点を有する。
さらに安全制御装置は、適切な出力基準が満たされると出力信号を出力する。特定の出力基準は安全制御装置の特定のタスクに依存する。出力基準は、例えば、結果区間のうちの1つが所定値を有する場合に満たすことができる。代わりにまたは追加で、指定される第1計算アルゴリズムの処理が完了した場合に、出力基準が満たされることが考えられる。交差区間が存在しない場合に、出力基準が満たされることも考えられる。この場合、例えば、個々の結果区間を平均化することにより置換値が判定されるように構成されていることが好ましい。これは加重平均を求めることにより行ってもよい。出力基準が満たされると、出力値は少なくとも1つの入力区間に従って判定され、すなわち、計算の正確さを保持するために、特定の値が判定され、好ましくは浮動小数点数として表現されることを意味する。
さらに出力値に従い出力信号が判定される。これは安全制御装置と適した周辺装置との間のインターフェース内で行われるのが好ましい。これは、例えば、D/A変換器で実施することができる。このことは、出力信号を出力したときに、高精度の出力値が相応する高精度を可能にするという利点を有する。
好適な実施形態において、さらなるプロセスステップが冗長的に実施される。さらに、計算ユニットにおいて別のまたはすべてのプロセスステップが行われることも考えられる。
まとめ合わせると、このように安全制御装置内で入力信号を非常に精密にさらに処理し、出力信号を非常に高精度で判定する手段が提供される。安全な自動化という基本概念がこれで守られるため、高精度で非常に安全な自動化が可能になる。
このように目的は完全に達成される。
本発明の好適な改良形態において、計算ユニットのうちの少なくとも1つの計算精度が判定される。
この改良形態では、計算ユニットのうちの1つが問題の結果区間を判定する計算精度が判定される。計算誤差は特に計算精度の尺度として使用することができる。
計算の精度は、例えば、丸め処理ステップを監視し、その結果区間に対する影響を判定することによって判定できる。多くの数値計算手順などの近似計算方法の精度をここで考慮することも考えられる。
区間演算の使用は結果区間の精度を容易に判定し、それによって出力値の精度を計算精度として容易に判定することも可能にする。これは区間の幅を判定することによって行うことが好ましい。このように、問題の結果区間の精度を評価することができる。
ここでの利点は、既知の計算精度を採用して、安全制御装置の安全な動作が起こっていることを確実にできることである。例えば、結果区間および/または出力信号は計算精度に従って調整することができる。これにより、計算精度に従って誤った出力信号を回避することができるので、単一の計算ユニットのみを備える安全切換装置を浮動小数点値を用いて動作させることも可能になる。
本発明の別の改良形態において、入力区間の区間幅は計算精度に従って判定される。
本発明のこの改良形態では、入力区間を生成する区間幅は自動的に判定され、それから区間の形成時に考慮される。区間幅は計算精度に従って調整される。例えば、すでに実行した計算アルゴリズムを分析することができ、最適な区間幅が判定される。ここでの利点は、区間幅が存在する入力信号に合わせて動的に調整されるため、計算精度が継続的に最適化されることである。
本発明の別の改良形態において、計算精度が閾値未満になる場合、少なくとも1つの反応ステップを行う。
この実施形態では、安全動作に必要な計算精度が得られない場合、少なくとも1つの対策を行う。このように対策は反応ステップの形で行われる。反応ステップは方法のさらなるステップである。これは全体的な所定の対策として、または現行の結果区間に応じた対策として行うことができる。反応ステップは、計算精度が所定の閾値未満になる場合に行われる。計算誤差は計算精度の尺度であるため、これは所定の誤差閾値を超える計算誤差と等価である。ここでの利点は、安全制御装置の安全動作が点検され、積極的に確保されることである。
反応ステップとして、例えば、出力基準を満たすように構成することができる。さらに、所定の値に従い、または別の計算ユニットの結果区間に従い、出力値が判定されるように構成することができる。
別の改良形態において、結果区間のうちの少なくとも1つの結果区間幅を判定し、少なくとも1つの反応ステップは、結果区間幅が最大幅を超える場合に行われる。
この改良形態では、安全制御装置は追加的に、結果区間幅、より精密には結果区間のうちの少なくとも1つの区間幅が監視されるフェールセーフにする。最大幅は、例えば、所定の値として利用することができる。代わりにまたは追加で、結果区間を最大幅を有する基準区間と比較することが考えられる。このように、基準区間が入力区間に基づいてまたは前の結果区間に基づいて判定されるように構成されているのが好ましい。特に、最大幅は入力区間の区間幅に従って判定されるように構成されている。さらに、最大幅は、代わりにまたは追加で、期待値、経験に基づく値、測定精度および/または計算精度に従い判定することができる。
結果区間の区間幅が最大幅を超える場合、少なくとも1つの反応ステップを行う。ここでは、計算アルゴリズムの固有シーケンスによりあらゆるサイズの区間幅をもつ結果区間を導くおそれがあるセーフティクリティカル障害が非常に効果的に排除されることが有利である。安全制御装置の安全性はこのように一般にさらに向上する。
本発明の別の改良形態において、計算ユニットの結果区間はときどき区間重複が点検され、結果区間のうちの少なくとも1つが別の結果区間の範囲外にある場合、少なくとも1つの反応ステップを行う。
この改良形態では、結果区間は互いに繰り返し比較される。例えば交差区間として計算できる区間重複が判定される。このように交差区間は2つの異なる計算ユニットからの少なくとも2つの結果区間の値の共通範囲を含有する。あるいは、区間限界の比較を行うことが考えられる。有利なことに、結果区間の比較可能性を活用し、それによって安全切換装置の安全動作を点検する単純な手段が提供される。
好適な改良形態では、区間重複は定期的な間隔で判定されるので、安全制御装置の安全で正確な動作が特によく確保される。これは、例えば、所定の時間間隔で、または第1計算アルゴリズムの特定の計算ステップの完了後に行うことができる。
反応ステップとして、例えば、出力基準が満たされるように構成することができる。さらに、出力値を所定の値または別の計算ユニットの結果区間に従って判定するように構成することができる。
本発明の別の改良形態において、結果値は浮動小数点値に従い少なくとも1つの計算ユニットを用いて判定し、それぞれの場合において、第1計算アルゴリズムのうちの1つと等価な少なくとも1つの別の第2計算アルゴリズムを浮動小数点値に適用する。
この改良形態では、第2計算アルゴリズムが実行される。これは第1計算アルゴリズムと並列して行う。好ましくは、これは計算ユニットのうちの1つで第1計算アルゴリズムに加えて行われる。第1および第2の計算アルゴリズムは互いに等価であり、第1計算アルゴリズムは区間演算を適用して区間を扱い、第2計算アルゴリズムは代替演算を使用して具体的な値を用いて計算するのが好ましい。この代替演算は、例えば浮動小数点演算または固定小数点演算とすることができる。ここでの「等価」の意味は、第2計算アルゴリズムが第1計算アルゴリズムと同じステップまたは等価のステップを行うことである。
このように、比較可能な結果区間は計算ユニットで第1計算アルゴリズムによって判定することができる。第2計算アルゴリズムは、第1計算アルゴリズムの結果を結果値に基づいて点検することを可能にする。ここでは、結果区間を点検でき、結果値に基づいてさらに制約できるので、過度に大きく、それにより精密でない結果区間が避けられることが有利である。ここでの別の利点は、精密な結果値が存在すると同時に、結果区間により結果の比較可能性が可能となり、それによって安全切換装置の動作がさらに精密に安全になることである。
さらに、結果値に従い、別の第1計算アルゴリズムに使用する区間を判定することができる。このために、結果値から一定量の分だけ異なる適切な値を結果区間に基づいて判定するのが好ましい。さらに区間上限および区間下限を画定するために、この量をその後の区間の形成時に使用することができ、より精密な結果値から始めて、区間上限についてはその量を結果値に加算し、区間下限についてはその量を減じる。ここでの利点は安全制御装置のより単純で、しかも安全な動作である。
本発明の別の改良形態において、結果値を結果区間のうちの少なくとも1つと比較し、さらに結果値が結果区間の範囲外にある場合、最低でも1つの反応ステップを行う。
この改良形態では、結果区間は追加的に結果値により検証される。第2計算アルゴリズムからの結果値は、この目的のためには、別の計算ユニットの結果区間と比較するのが好ましい。すなわち、結果区間と結果値とを「クロスチェック」として比較する。ここで結果値は、動作が安全であるために比較される該当の結果区間内になければならない。そうではない場合、反応ステップを行う。
本発明の別の改良形態において、反応ステップは計算ユニットのうちの少なくとも1つのプロセスを停止する。
この改良形態では、プロセスは反応ステップとして停止される。これは、別の計算ユニットが冗長動作を可能にし続けている場合、1つだけの計算ユニットで起こすことができる。また、安全制御装置全体の動作を停止することもできる。
好適な改良形態では、出力基準がさらに満たされるようにも構成される。別の好適な改良形態では、安全制御装置が制御するマシンの安全な状態を確保する所定の出力信号を出力する。
ここでの利点は、生じうる誤った出力信号に基づくマシンの制御が効果的に防止されることである。
本発明の別の改良形態において、反応ステップは計算ユニットのうちの少なくとも2つを同期させる。
この改良形態では、計算ユニットの共通値との同期が反応ステップとして行われ、前記共通値は動作継続の根拠として提供される。例えば、ここでは入力区間、結果区間または繰り返される計算アルゴリズムのために供給される値を同期させることができる。有利な態様では、これは安全制御装置自体の処理の点検、そのためさらに高い安全性の確保を提供する。
完全性のために、反応ステップの異なるトリガが別の形で構成された反応ステップを生じさせることもできることを指摘する。複数の異なる反応ステップを同時にトリガすることも可能である。
本発明のある改良形態において、入力信号はデータバスから取得する。
この改良形態では、安全制御装置はデータバスから、つまりデジタル形式で入力信号を受信する。このように、安全制御装置を、例えば、入力モジュールと接続することが可能になる。入力モジュールはさらに関連インジケータ装置からのデータを受信して、これをデジタル形式に変換する。特に、入力信号自体をすでに浮動小数点数の形で安全制御装置に伝達する可能性が生まれる。この場合、入力信号は直接浮動小数点値に対応させることができる。
ここでの利点は、安全制御装置を備える構成のモジュラー構造が可能になることであり、安全制御装置は異なる入力モジュールと合わせて機能させることができる。このように、モジュラー構造が出現し、単一の安全制御装置は入力モジュールを調整する異なるインジケータ装置と単純な方法で接続することができる。
別の改良形態において、出力信号はデータバスに出力される。
この改良形態では、安全制御装置はデータバスに、すなわちデジタル形式で出力信号を送信する。このように、安全制御装置を例えば出力モジュールに接続することが可能である。出力モジュールはさらにマシンの安全関連の操作変数を制御する対応するアクチュエータに信号を送信する。特に、出力信号自体を浮動小数点数の形でアクチュエータに伝達する可能性が生まれる。この場合、出力値は直接出力信号に対応させることができる。
ここでの利点は、安全制御装置を備える構成のモジュラー構造が可能となり、安全制御装置は異なる出力モジュールと合わせて機能させることができることである。このようにモジュラー構造が出現し、単一の安全制御装置を出力モジュールを調整する異なるアクチュエータと単純な方法で接続することができる。
データバスとして、例えばCANバスまたはSafetyBUSを採用することができる。
CANバスは、業界で広く利用されており、このように安全制御装置の経済的な実装および比較可能性が達成されるという利点を有する。SafetyBUSは、特別に安全関連目的に合わせられるので、SafetyBUSの使用により特に高い動作の安全性が達成されるアーキテクチャという利点を有する。
別の改良形態において、マシンの安全関連状態パラメータのアクチュエータは出力信号によって制御する。
この改良形態では、高精度の出力信号を採用して、マシンを非常に精密に安全に制御する。状態パラメータとして、例えば温度、圧力、回転速度または空間内の位置(例えば、フライス盤の工具位置)を制御するマシンに応じて考慮してもよい。ここでの利点は、セーフティクリティカルシステムだけを監視するのではなく、非常に精密に制御することもできることである。
別の改良形態において、マシンの安全関連状態パラメータを取得するセンサのセンサ信号を入力信号として取得する。
この改良形態では、入力信号はマシンの状態パラメータに対応する。高精度のために、状態パラメータは安全制御装置内で直接別に処理することができる。特に好適な実施形態では、マシンの調節はマシンの状態パラメータのためにアクチュエータによって取得した状態パラメータに基づいて起こる。
状態パラメータに適切なセンサは、温度センサ、圧力センサ、回転速度センサおよび/または位置測定センサなどのセンサとして考えることが好ましい。
別の改良形態において、緊急停止ボタンからの切換信号を受信することができる。
この改良形態では、緊急停止ボタンは安全制御装置に接続されている。緊急停止ボタンからの切換信号は安全制御装置で受信する。これは出力基準を満たすように使用することができる。すなわち、緊急停止ボタンが押されて、切換信号がトリガされる場合、出力信号が出力される。代わりにまたは追加で、緊急停止ボタンの切換信号が取得されると、出力値が所定値に従い判定される結果、制御されるマシンの既知で所定の状態がセットアップされるようにすることが考えられる。
上記述べた特徴およびさらに以下説明する特徴は、記載される組み合わせのそれぞれで使用可能なだけでなく、本発明の範囲を逸脱することなく、他の組み合わせまたは単独でも使用可能であることは言うまでもない。
本発明の実施形態を図面に図示し、以下の説明において詳細に説明する。
図1において、新規な安全制御装置の実施形態を備える設備を、全体として参照番号10で表す。
設備10はここでは例えばロボット12を内蔵し、作業動作時、その動きはロボット12の作業エリア内にいる人にとって危険を及ぼす。このため、ロボット12の作業エリアは、安全ドア16を備える安全柵14で保護されている。安全ドア16は、例えば整備作業またはセットアップ作業のために、作業エリアへの立ち入りを可能にする。通常の作業動作では、ロボット12は安全ドア16が閉じている場合にのみ動作するべきである。安全ドア16が開くとすぐに、ロボット12はスイッチが切られ、またはなにか他の方法で安全状態がもたらされなければならない。
安全ドア16の状態を検出するために、ドア部品20およびフレーム部品22を有している安全ドアスイッチ18が安全ドア16に装着されている。フレーム部品22はケーブル24に安全ドア信号を生成し、これはケーブル24を介して入力信号として安全制御装置26に渡される。
安全制御装置26は多数のデバイス接続部を備える入力ユニット28を有しており、ケーブル24はデバイス接続部のうちの1つを介して入力ユニット28に接続されている。入力信号を生成するために、入力ユニット28はパルス信号をフレーム部品22に伝送する信号線30に接続されるようにも構成されている。
ケーブル24の入力信号は入力ユニット28で浮動小数点値に変換される。浮動小数点値は浮動小数点数のデータタイプで表現されるデジタル値である。浮動小数点値は信号線32および34を介して計算ユニット36および38に渡される。
計算ユニット36および38はそれぞれマイクロコントローラとして実装されている。ここでのマイクロコントローラは異なる構成をしているので、多様なハードウェア構造が生まれる。浮動小数点値に従う入力区間が各計算ユニット36および38のそれぞれで形成される。この後、計算ユニット36および38のそれぞれで独立して第1計算アルゴリズムが実行される。計算ユニット36および38内に採用されている第1計算アルゴリズムは多様な実装の形もとっているので、このように非常に高い安全性が確保される。
中間結果または最終結果を表した結果区間(result interval)は、矢印40および42を介して比較ユニット44および46に渡される。比較ユニット44および46は、矢印48および50を介して、他の計算ユニット36または38からの相応する結果区間も受信する。結果区間は比較器ユニット44および46内で互いにも比較される。結果区間が重複する場合、出力基準が満たされているかどうかの点検を行う。ここでは結果区間が開いた安全ドア16に対応する共通値を含有する場合に、出力基準が満たされる。
図1に示すケースでは、次に出力信号はドア16が開くと伝送される。この場合、比較ユニット44,46はそれぞれ出力値を判定する。出力値はここではトランジスタ52または54への電流の十分な供給に対応する。このようにこれらは、出力値に基づいて、出力線56および58に冗長的に出力することのできる出力信号を生成する。二重矢印60で模式的に図示するように、計算ユニット36および38は互いに同期させることができるようにも構成されている。同期は定期的に、および/または相応するトリガに対する反応ステップとして行うことができる。出力信号はケーブル56および58を介して接触器62および64に渡され、これが出力信号に反応してロボット12への電力66の供給を遮断する。
安全制御装置26は追加的に入力ユニット28からケーブル70および72によって緊急停止ボタン68に接続されている。緊急停止ボタン68が作動する場合、切換信号がケーブル72を介して安全制御装置26に渡される。この切換信号を受信すると、計算ユニット36および38はそのように認識し、出力基準が即座に満たされる。実施形態では、それから出力値は、接触器62および64が電力供給66を遮断するように、トランジスタ52および54に十分な電流を供給するための所定値に自動的に設定される。
図2は、安全制御装置を備える別の設備を図示しており、全体を参照番号74で特定される。設備74は電気モータ76を備えており、その回転速度は回転速度センサ78から取得される。回転速度に関する情報はケーブル80を介して、回転速度を調節する安全制御装置82に渡される。
安全制御装置82は、図1の入力ユニット28に対応する入力ユニット28を備えている。図1と同様に、ケーブル70および72を備える緊急停止ボタン68も設けられている。入力ユニット28からの浮動小数点値はケーブル32および34を介して計算ユニット36および38に渡される。計算ユニット36および38により決定された結果区間(result interval)は、ケーブル84および86を介して単一の比較ユニット88に渡される。比較ユニット88は結果区間どうし区間重複が存在するかどうかを点検する。
そうである場合、出力値が判定される。これは、例えば、平均化により、または結果区間のうちの1つもしくは複数の加重平均により行うことができる。このように形成される出力値はD/A変換器の形態の出力ユニット90を介して、および出力ケーブル92を介して、電力用電子ユニット94に渡される。電力用電子ユニット94は出力信号を受信して、出力信号に従い制御信号を生成し、それがケーブル96から電力モータ76に渡される。
区間重複が存在しない場合、2つの結果区間に従い、置換値が平均化により判定されて、これが出力ユニット90に渡される。同時に計算ユニット36および38は矢印60により互いに同期する。
代わりにまたは追加で、区間重複が存在しない場合に出力基準を満たすように構成される。この場合、出力値は、例えば回転速度を0、または低くて安全な回転速度にすることができる所定値に設定することが好ましい。このように電気モータ76は、結果区間が少なくとも部分的に一致しない場合に、スイッチを切るか、または安定状態にする。
緊急停止ボタン68が押されると、設備74の安全状態への相応する移行が起こる。
図3は別の設備を図示しており、全体を参照番号98で示されている。安全制御装置99が外部入力モジュール100および外部出力モジュール102と合わせて動作する点が、図2の設備74とは異なる。
この実施形態では、入力モジュール100はケーブル80で信号を受信し、それをデジタル信号に変換して、SafetyBUS104で入力信号として安全制御装置99に渡す。相応するように、出力信号はSafety BUS104でデジタル値として出力モジュール102に渡されて、これがケーブル92で制御信号を電力用電子ユニット94に渡す。
入力モジュール100はデジタル値をケーブル80からの信号に従い浮動小数点数の形で判定する。デジタル値はSafety BUS104で渡される。このようにケーブル80からの信号は特に精密に評価することができ、さらに安全制御装置99によって処理することができる。また、デジタル値はSafety BUS104で出力信号として浮動小数点数の形で出力モジュール102に渡されるので、きわめて精密な信号を出力することができる。これにより設備98を制御および/または調節をする安全制御装置99を備えるシステムのモジュラー構造が得られる。このように安全制御装置99は異なる設備で採用することができ、そこで適切なモジュールをインジケータ装置およびアクチュエータの要件に応じて選択できる。
図4は全体として参照番号105で特定されるフローチャートを図示する。フローチャート105は本発明による方法の実施例を説明する。
ステップ106で、安全制御装置から入力信号が受信される。これは、例えば、デジタルまたはアナログ入力信号とすることができる。
ステップ108で、浮動小数点値が判定され、浮動小数点数として表現される。浮動小数点値の具体的な数値はここでは入力信号から得られ、これは、アナログ入力信号の場合、例えばA/D変換器によって判定することができる。
ステップ110で、浮動小数点値に基づいて少なくとも1つの入力区間が判定される。このために、区間上限および区間下限が画定され、浮動小数点はこれらの2つの区間限界の間にある。浮動小数点値からの区間限界の距離は多様な方法で画定することができる。ここでは、メモリから読み取られる所定の値を使用して行われる。さらに、ステップ110で、後の計算のために追加演算子を準備する必要のある別の区間が画定される。
また、入力区間の判定を冗長的に行って、2つの入力区間を1つの浮動小数点値に基づいて異なる計算ユニットで並列して判定することも考えられる。
ステップ112および114で、さらに入力区間が処理されるが、これは並列して行われる。計算ユニットはここではそれぞれが1つの結果区間を判定し、ここではより明確に区別するために、結果区間Iおよび結果区間IIという。結果区間IおよびII入力区間に基づいて、また追加パラメータに従って第1計算アルゴリズムで判定される。
結果区間IおよびIIは別のステップ116に移る。ステップ116では、区間重複が、例えば交差区間の形で判定される。これは単純集合演算から行うことができる。
区間重複は別のステップ118に移る。これは区間重複が存在するかどうかを点検する。区間重複が存在する場合、次のステップ120で、この区間重複が出力基準を満たすかどうかの点検が行われる。区間重複が出力基準を満たす場合、あるいは結果区間が出力基準を満たす場合、ステップ122で区間重複または結果区間に従い出力値が判定される。この出力値はここでは区間重複を平均して計算する。その結果、浮動小数点数は、今度は出力値として得られる。
浮動小数点数に従い、別のステップ124で出力信号が生成される。これは、例えば、D/A変換器を使用して行うことができる。
最後に、ステップ126で、安全制御装置と信号を交換することのできる周辺機器に出力信号が出力される。
ステップ120から続けると、出力基準が区間重複によって満たされない場合、制御は矢印128から別の第1計算アルゴリズムにループバックする。これにより、第1計算アルゴリズムに進んだ後、ステップ112および114で結果区間が比較可能な結果を供給し続けているかどうかの判定を定期的に行うと同時に、第1計算アルゴリズムのシーケンスからなる、より複雑なプログラムの処理が遮断されていないかどうかの判定を定期的に行う。
ステップ118から続けると、区間重複が存在しない場合、制御は次にステップ130に移る。ステップ130で、置換値が反応ステップとして判定され、これは、例えば、結果区間IおよびIIの平均化により行うことができる。この値が次に計算ユニットに戻って、別の反応ステップとして、同期60が起こる。代わりにまたは追加で、置換値はここでは破線で示す矢印132を経由してステップ120に出力することが考えられる。ステップ120で、置換値が含まれていること、したがって区間重複が存在しないことがこのとき認識される。この情報の違いに基づいて、別の反応ステップを実行することができる。ある反応ステップは、選択基準を満たすことである。ステップ122で置換値はまた出力値の判定にも使用される。代替例として、安全制御装置または手順が停止されることが考えられる。
ステップ134で、緊急停止ボタン68の緊急停止信号が検出されるようにも構成されている。これはステップ120に移り、そこで出力基準を満たすことができる。緊急停止信号により出力基準を満たすことは、今度は、異なる結果をもつことができる。一方で、現在の出力値の出力を強制することができる。あるいは、ステップ122で、例えば、破線矢印136によって図示するように、緊急停止信号に基づいて出力値自体が形成されることが考えられる。別の代替例として、緊急停止信号によって出力基準が満たされるとき、出力値が所定値に従って判定されることが考えられる。
これを考え合わせると、方法の冗長処理、多様なハードウェアおよびソフトウェアを使用する可能性、および方法を証明する可能性などの側面が同時に考慮される浮動小数点数を用いた計算を可能にする方法がもたらされる。
ここに図示されていない別の実施形態では、図示するステップの全部を単一または多重の冗長性で設計してもよいので、このように安全性が一層向上する。
図5は図4の方法の詳細を示しており、ステップ112および114で追加の計算精度IおよびIIが判定される。ステップ112の計算精度Iはステップ138でステップ112と並列して判定される。同様に、計算精度IIは、ステップ140でステップ114と並列して判定される。
計算精度は、例えば、第1計算アルゴリズム内の丸め処理プロセスおよび数値推定手順が記録されて、それらの誤差が合算されて判定することができる。
計算精度IおよびIIはステップ142、およびそれに応じて144に移行する。ステップ120および144では、計算精度IおよびIIは関連閾値と比較される。計算精度IおよびIIが閾値より上にある場合、アクションは起こらない。しかし、関連閾値未満になる場合、ステップ146で別の置換値の判定が行われ、ステップ112および114からの結果区間もこのためにステップ146に移行する。ステップ146からの置換値はさらに、計算ユニットでの同期60を行うために使用される。
代替構成では、ステップ120または144から値が閾値のうちの1つ未満になる場合に、ステップ120で出力基準が満たされる。これは破線で描く矢印147および148によって図示されている。
閾値未満になって出力基準が満たされると、今度は出力値を最後の区間重複に従い判定する、または出力値をこの数の所定値に基づいて判定することが可能である。
図6も図4のフローチャートの詳細を図示している。図4に図示するステップに加えて、結果値IおよびIIは結果区間に関しても第1計算アルゴリズムの処理と並列して判定される。これはステップ150および152で行われる。浮動小数点値はステップ108からステップ150および152に移行する。ステップ150および152において、各ケースで調整される第2計算アルゴリズムを浮動小数点数に適用するので、結果値IおよびIIを判定することができる。ステップ150および152からの第2計算アルゴリズムは各ケースにおいてステップ112および114の第1計算アルゴリズムと等価である。計算を区間について行わない点が、ステップ112および114の第1計算アルゴリズムとは異なる。
結果値IおよびIIはステップ154および156に移行する。ステップ154で、ステップ150からの結果値Iをステップ152からの結果区間IIと比較する。結果値Iが結果区間IIの範囲内にある場合、さらなる措置は取らない。結果値Iが結果区間IIの範囲内にない場合、ステップ146で別の置換値が判定されて、ステップ146がステップ112および114からの現在の結果区間IおよびIIを含有する。その後反応ステップとして同期60が行われる。あるいは、図5に図示するように、出力基準は相応して矢印158によって満たすことができる。その結果、ここでも出力基準を要件に応じて異なる方法で判定することが可能である。
ステップ156はステップ154と相応して動作し、ここではステップ152からの結果値IIがステップ150からの結果区間Iの範囲内にあるかどうかに関する点検が行われる。
完全性のために、方法は図4、図5または図6の個々の実施形態に限定されるのではなく、むしろ異なる変型の組み合わせが可能であることをここで指摘する。
図7は本発明による安全制御装置内の信号曲線160を示す。入力信号162は矢印164を介して計算ユニット36および38に渡される。両計算ユニット36および38は、異なる構成であるが同等な態様で動作する。
入力信号162は数値尺度168上に表現される浮動小数点値166に変換される。矢印170は次のステップを示している。ここで、浮動小数点値166に従い区間上限174および区間下限176を備える入力区間が判定される。これと並列して、メモリ178から矢印180を介してパラメータ値182が読み取られる。パラメータ値182も数値尺度184上で表現される。矢印186では、区間上限190および区間下限192を備える区間188が形成される。
第1計算アルゴリズム194は幅広の矢印として図示されている。入力区間172および区間188がこの計算アルゴリズムに渡される。第1計算アルゴリズムはさらに結果区間196を判定する。
相応するように、結果区間196とは異なる結果区間198が計算ユニット38で判定される。
結果区間196および198は矢印200および202を介してまとめられる。その後区間重複204が判定される。すでに説明し、ここでは矢印206で図示されるように、出力信号208が形成されるように最終的にさらなるステップを行うことができる。
図8は単一の計算ユニット210の別の信号曲線を示す。これは図7の計算ユニット36の信号曲線を含み、ここでは同じ参照番号が振られている。さらに、ここでは幅広の矢印として図示される第2計算アルゴリズム212が実行される。第2計算アルゴリズム212は直接浮動小数点値166およびパラメータ値182に従って結果値214を判定する。結果区間196を検証するために、結果区間196および結果値214は矢印216および218を介して互いに比較される。これを行うとき、結果区間196が出力される。
ここに図示していない別の実施例において、結果区間198を検証するために、計算ユニット36からの結果値214は計算ユニット38の結果区間198と比較される。
Claims (16)
- アクチュエータ(62,64,94)に接続された安全制御装置(26,82,99)の動作方法であって、
(a)複数の計算ユニット(36,38)を提供するステップと、
(b)入力信号(162)を取得するステップと、
(c)前記入力信号(162)に基づいて浮動小数点値(166)を判定するステップと、
(d)前記浮動小数点値(166)を含有する入力区間(172)を判定するステップと、
(e)前記複数の計算ユニット(36,38)のうち少なくとも1つの計算ユニット(36,38)が、区間演算を行う第1計算アルゴリズム(194)を前記入力区間(172)に適用して、結果区間(196,198)を判定するステップと、
(f)前記結果区間(196,198)に基づいて、安全制御装置(26,82,99)が動作するための出力基準が満たされているかどうかを判定するステップと、
(g)前記出力基準が満たされる場合、前記アクチュエータ(62,64,94)を動作させるための出力値を判定するステップと、
(h)前記出力値に従い出力信号(208)を判定するステップと、
(i)前記出力信号(208)を出力するステップと、
を含む方法。 - 前記第1計算アルゴリズム(194)の計算精度を判定する、請求項1に記載の方法。
- 前記計算精度に従い前記入力区間(172)の区間幅を判定する、請求項2に記載の方法。
- 計算誤差が所定の誤差閾値を超える場合、少なくとも1つの反応ステップ(60)を行う、請求項2または請求項3に記載の方法。
- 前記結果区間(196,198)のうちの少なくとも1つの結果区間幅を判定し、前記結果区間幅が最大幅を超える場合、少なくとも1つの反応ステップ(60)を行う、請求項1に記載の方法。
- 前記結果区間(196,198)を適宜、区間重複(204)について点検し、前記結果区間(196,198)のうちの少なくとも1つが別の結果区間(196,198)の範囲外にある場合、少なくとも1つの反応ステップ(60)を行う、請求項1に記載の方法。
- 前記第1計算アルゴリズム(194)と等価である少なくとも1つの別の第2計算アルゴリズム(212)を前記浮動小数点値(166)に使用することによって、結果値(214)を判定する、請求項1に記載の方法。
- 前記結果値(214)を前記結果区間(196,198)と比較し、前記結果値(214)が前記結果区間(196,198)の範囲外にある場合、少なくとも1つの反応ステップ(60)を行う、請求項7に記載の方法。
- 前記反応ステップが行われたとき、前記少なくとも1つの計算ユニット(36,38)のプロセスを停止する、請求項4、請求項5、請求項6および請求項8のいずれか1項に記載の方法。
- 前記反応ステップ(60)が行われたとき、前記計算ユニット(36,38)のうちの少なくとも2つにおいて、入力区間、結果区間または繰り返される計算アルゴリズムのために供給される値を同期させる、請求項4、請求項5、請求項6、請求項8および請求項9のいずれか1項に記載の方法。
- 前記入力信号(162)はデータバス(104)から取得する、請求項1から請求項10のいずれか1項に記載の方法。
- 前記出力信号(208)は前記データバス(104)に出力される、請求項1から請求項11のいずれか1項に記載の方法。
- マシン(12,76)の安全関連状態パラメータのアクチュエータ(62,64,94)は前記出力信号(208)によって制御される、請求項1から請求項12のいずれか1項に記載の方法。
- マシン(12,76)の安全関連状態パラメータを取得するセンサ(22,78)のセンサ信号を入力信号(162)として取得する、請求項1から請求項12のいずれか1項に記載の方法。
- 緊急停止ボタン(68)からの切換信号を受信することができる、請求項1から請求項14のいずれか1項に記載の方法。
- アクチュエータ(62,64,94)に接続され、複数の計算ユニット(36,38)を備える安全制御装置(26,82,99)であって、
前記安全制御装置は、入力信号(162)を取得し、前記入力信号(162)に基づいて浮動小数点値(166)を判定し、前記浮動小数点値(166)を含有する入力区間(172)を判定し、前記複数の計算ユニット(36,38)の少なくとも一つ1つの計算ユニットが区間演算を行う第1計算アルゴリズム(194)を前記入力区間(172)に適用して結果区間(196,198)を判定し、前記結果区間(196,198)に基づいて、安全制御装置(26,82,99)が動作するための出力基準が満たされているかどうかを判定し、前記出力基準が満たされる場合に前記アクチュエータ(62,64,94)を動作させるための出力値を判定し、前記出力値に従い出力信号(208)を判定し、前記出力信号(208)を出力するように構成されている安全制御装置(26,82,99)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102011102274A DE102011102274B4 (de) | 2011-05-23 | 2011-05-23 | Verfahren zum Betreiben eines Sicherheitssteuergeräts |
| DE102011102274.4 | 2011-05-23 | ||
| PCT/EP2012/057827 WO2012159850A2 (de) | 2011-05-23 | 2012-04-27 | Verfahren zum betreiben eines sicherheitssteuergeräts |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014515509A JP2014515509A (ja) | 2014-06-30 |
| JP5981988B2 true JP5981988B2 (ja) | 2016-08-31 |
Family
ID=46044675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014511800A Active JP5981988B2 (ja) | 2011-05-23 | 2012-04-27 | 安全制御装置の動作方法および安全制御装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9405278B2 (ja) |
| EP (1) | EP2715462B1 (ja) |
| JP (1) | JP5981988B2 (ja) |
| CN (1) | CN103703423B (ja) |
| DE (1) | DE102011102274B4 (ja) |
| HK (1) | HK1195138A1 (ja) |
| WO (1) | WO2012159850A2 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102013112816A1 (de) * | 2013-11-20 | 2015-05-21 | Wieland Electric Gmbh | Sicherheitssteuerung |
| RS60594B1 (sr) * | 2014-11-18 | 2020-08-31 | Komax Holding Ag | Uređaj za obradu kablova |
| DE102015120347A1 (de) * | 2015-11-24 | 2017-05-24 | Pilz Gmbh & Co. Kg | Sicherheitssteuerungseinrichtung und Verfahren zur Änderung eines Funktionsumfangs einer Sicherheitssteuerungseinrichtung |
| DE102016005026B3 (de) | 2016-04-24 | 2017-05-18 | Sami Haddadin | System und Verfahren zum Steuern eines Roboters |
| WO2019014475A2 (en) | 2017-07-13 | 2019-01-17 | Eaton Intelligent Power Limited | ELECTROMECHANICAL CONTROL DEVICE |
| DE102017218134B3 (de) | 2017-10-11 | 2019-02-14 | Volkswagen Aktiengesellschaft | Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge |
| CH714256A1 (de) * | 2017-10-18 | 2019-04-30 | Elesta Gmbh Ostfildern De Zweigniederlassung Bad Ragaz | Verfahren zur seriellen Übermittlung von Daten eines Sensors an ein Sicherheitskontrollgerät. |
| CN208673079U (zh) * | 2018-06-14 | 2019-03-29 | 西门子股份公司 | 工业机器人的安全控制系统以及工业机器人 |
| EP3620248B1 (de) * | 2018-09-10 | 2022-06-22 | SMW-Autoblok Spannsysteme GmbH | Kopplungs-einrichtung |
| EP4155838A1 (en) * | 2021-09-28 | 2023-03-29 | Siemens Aktiengesellschaft | Device control system and safety monitoring method for controlling a device |
| WO2023052307A1 (en) * | 2021-09-28 | 2023-04-06 | Siemens Aktiengesellschaft | Device control system and safety monitoring method for controlling a device |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10124443A (ja) * | 1996-10-17 | 1998-05-15 | Yokogawa Electric Corp | プラント制御システム |
| EP0977098B1 (fr) * | 1998-07-29 | 2003-04-23 | Cegelec Acec S.A. | Système redondant de contrôle de procédé |
| DE19911698A1 (de) | 1999-03-16 | 2000-09-21 | Sick Ag | Sicherheitsschaltanordnung |
| US7069288B2 (en) * | 2001-05-25 | 2006-06-27 | Sun Microsystems, Inc. | Floating point system with improved support of interval arithmetic |
| JP2004005395A (ja) | 2002-04-16 | 2004-01-08 | Sony Computer Entertainment Inc | 演算処理装置、半導体デバイス |
| DE10219501B4 (de) | 2002-04-30 | 2010-04-01 | Siemens Ag | System und Verfahren zur Verbesserung von Fehlerbeherrschungsmassnahmen, insbesondere in Automatisierungssystemen |
| DE10304706A1 (de) * | 2002-07-24 | 2004-02-05 | Kuka Roboter Gmbh | Verfahren und Vorrichtung zum Steuern einer Anlage |
| CN100486881C (zh) * | 2003-11-19 | 2009-05-13 | 三菱电机株式会社 | 电梯控制装置 |
| EP1591849A1 (de) * | 2004-04-27 | 2005-11-02 | Siemens Aktiengesellschaft | Redundantes Automatisierungssystem umfassend ein Master- und ein Stand-by-Automatisierungsgerät |
| GB0602641D0 (en) | 2006-02-09 | 2006-03-22 | Eads Defence And Security Syst | High speed data processing system |
| WO2009155993A1 (en) * | 2008-06-27 | 2009-12-30 | Abb Research Ltd. | A safety system for a machine |
| US8539451B2 (en) * | 2009-05-12 | 2013-09-17 | Nec Laboratories America, Inc. | Systems and methods for model checking the precision of programs employing floating-point operations |
| US8793533B2 (en) | 2010-08-03 | 2014-07-29 | Siemens Aktiengesellschaft | Method and device for performing failsafe hardware-independent floating-point arithmetic |
-
2011
- 2011-05-23 DE DE102011102274A patent/DE102011102274B4/de not_active Expired - Fee Related
-
2012
- 2012-04-27 CN CN201280036502.9A patent/CN103703423B/zh active Active
- 2012-04-27 EP EP12719341.5A patent/EP2715462B1/de active Active
- 2012-04-27 JP JP2014511800A patent/JP5981988B2/ja active Active
- 2012-04-27 WO PCT/EP2012/057827 patent/WO2012159850A2/de active Application Filing
-
2013
- 2013-11-20 US US14/085,022 patent/US9405278B2/en active Active
-
2014
- 2014-08-18 HK HK14108422.5A patent/HK1195138A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| DE102011102274A1 (de) | 2012-11-29 |
| WO2012159850A3 (de) | 2013-01-24 |
| EP2715462B1 (de) | 2015-08-05 |
| CN103703423B (zh) | 2016-08-24 |
| EP2715462A2 (de) | 2014-04-09 |
| JP2014515509A (ja) | 2014-06-30 |
| US20140200687A1 (en) | 2014-07-17 |
| DE102011102274B4 (de) | 2012-12-06 |
| HK1195138A1 (en) | 2014-10-31 |
| WO2012159850A2 (de) | 2012-11-29 |
| CN103703423A (zh) | 2014-04-02 |
| US9405278B2 (en) | 2016-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5981988B2 (ja) | 安全制御装置の動作方法および安全制御装置 | |
| EP3454289B1 (en) | Plant abnormality detection method and system | |
| JP6444851B2 (ja) | ノイズの発生原因を検出する学習機能を有する制御装置 | |
| US9753437B2 (en) | Safety device and computation method for safety device | |
| KR20190025474A (ko) | 플랜트 데이터 예측 장치 및 방법 | |
| EP2720101B1 (en) | Error diagnostics and prognostics in motor drives | |
| McLaughlin et al. | Controller-aware false data injection against programmable logic controllers | |
| US9141103B2 (en) | Method and controller for controlling a safety-oriented industrial automation component | |
| US9343894B2 (en) | Method and device for monitoring a device equipped with a microprocessor | |
| CN102713857A (zh) | 用于进行故障安全型硬件无关浮点运算的方法和装置 | |
| GB2607652A (en) | Improved faulty variable identification technique for data-driven fault detection within a process plant | |
| US10903778B2 (en) | Apparatus and methods for monitoring subsea electrical systems using adaptive models | |
| JP2011107760A (ja) | プラント異常検出装置 | |
| KR20160086082A (ko) | 원자력 발전소 보호계통과 원자력 발전소 보호계통의 운전방법 | |
| CA2874995A1 (en) | Method for verifying the processing of software | |
| WO2023007825A1 (ja) | 異常検知装置、異常検知方法、及び異常検知プログラム | |
| JP2015219033A (ja) | 制御棒操作監視システムおよび制御棒個別制御部ならびに制御棒操作監視システムの試験方法 | |
| WO2016103229A1 (en) | A method for verifying a safety logic in an industrial process | |
| KR102199695B1 (ko) | 가중 거리 자기 연상 양방향 커널 회귀를 이용한 온라인 신호 데이터 검증 장치 및 방법 | |
| JP6714981B2 (ja) | 多重化制御装置 | |
| RU2718168C2 (ru) | Автоматизированная система безопасности промышленной установки | |
| Gabriel | Generic construction of availability calculation models for safety loops in process industry | |
| RU2618582C1 (ru) | Автоматизированная система контроля | |
| KR101790702B1 (ko) | 무결성 검증 시스템 | |
| Pakonen et al. | Model checking of I&C software in the Loviisa NPP automation renewal project |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151111 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151119 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20160219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160225 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160630 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160729 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5981988 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |