JP6521020B2 - セーフティコントローラ - Google Patents

セーフティコントローラ Download PDF

Info

Publication number
JP6521020B2
JP6521020B2 JP2017197573A JP2017197573A JP6521020B2 JP 6521020 B2 JP6521020 B2 JP 6521020B2 JP 2017197573 A JP2017197573 A JP 2017197573A JP 2017197573 A JP2017197573 A JP 2017197573A JP 6521020 B2 JP6521020 B2 JP 6521020B2
Authority
JP
Japan
Prior art keywords
mpu
power supply
voltage
power
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017197573A
Other languages
English (en)
Other versions
JP2019071001A (ja
Inventor
圭一 寺西
圭一 寺西
大介 八木
大介 八木
彰浩 米澤
彰浩 米澤
翔太朗 古賀
翔太朗 古賀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp filed Critical Omron Corp
Priority to JP2017197573A priority Critical patent/JP6521020B2/ja
Priority to CN201880056217.0A priority patent/CN111065985B/zh
Priority to US16/641,670 priority patent/US11054879B2/en
Priority to KR1020207005023A priority patent/KR20200027025A/ko
Priority to PCT/JP2018/036818 priority patent/WO2019073856A1/ja
Priority to DE112018005478.0T priority patent/DE112018005478T5/de
Publication of JP2019071001A publication Critical patent/JP2019071001A/ja
Application granted granted Critical
Publication of JP6521020B2 publication Critical patent/JP6521020B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3206Monitoring of events, devices or parameters that trigger a change in power modality
    • G06F1/3212Monitoring battery levels, e.g. power saving mode being initiated when battery voltage goes below a certain level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/30Means for acting in the event of power-supply failure or interruption, e.g. power-supply fluctuations
    • G06F1/305Means for acting in the event of power-supply failure or interruption, e.g. power-supply fluctuations in the event of power-supply fluctuations
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/24Resetting means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/30Means for acting in the event of power-supply failure or interruption, e.g. power-supply fluctuations

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Programmable Controllers (AREA)
  • Power Sources (AREA)
  • Safety Devices In Control Systems (AREA)

Description

本発明は、セーフティコントローラに関する。
従来、プログラマブルコントローラ(Programmable Logic Controller、以下「PLC」と略記)等の産業用制御装置が実行するロジック演算処理、入出力制御処理に加えて、安全面の自己診断処理を実行することにより、高度な安全性および信頼性を確保したセーフティコントローラが知られている。例えば、特許文献1には、設備に必要な制御点数に対して無駄のないIO構成を実現するセーフティコントローラが開示されている。特許文献1のセーフティコントローラは、IO電源用の配線の増加を回避し、システム変更や追加に対しても無駄なく簡単に対応できるIOユニットを実現している。
特開2007−310693号公報(2007年11月29日公開)
上述のようなセーフティコントローラに対しては、安全応答性能(各種の入力デバイスからの入力に対して、高度な安全性および信頼性を確保した応答を実行する性能)の高速化等がますます求められている。すなわち、制御処理・応答処理の高速化・高精度化、実行処理の履歴保存、および装置の小型化等が、これまで以上に、セーフティコントローラには求められている。例えば、自動車の製造ラインまたは半導体生産ラインにおいては、敷設された設備に対する安全応答性能への要求は厳しい。
本開示の一例では、より高速な安全応答性能を備えたセーフティコントローラを実現することを目的とする。
本開示の一例では、セーフティコントローラは、シリアルバスにより互いに接続された第1MPUおよび第2MPUと、前記第1MPUおよび前記第2MPUの各々に、電力供給線を介して接続し、各々に電力を供給する第1電源および第2電源と、(1)前記第1電源から前記第1MPUへの電源供給線に電気的に接続し、(2)前記第2MPUに信号線を介して接続し、(3)前記第2電源に電源供給線を介して接続し、(4)前記第2電源からの動作電力により動作する第1ADコンバータを含む、第1電圧監視回路と、(1)前記第2電源から前記第2MPUへの電源供給線に電気的に接続し、(2)前記第1MPUに信号線を介して接続し、(3)前記第1電源に電源供給線を介して接続し、(4)前記第1電源からの動作電力により動作する第2ADコンバータを含む、第2電圧監視回路と、を備え、前記第1MPUと前記第2MPUとの間のクロックラインにはクロック遅延を実現するバッファが挿入され、前記第1MPUと前記第2MPUとは、Ether PHYを介さずにEthernetプロトコルに準拠した通信を行ない、前記第1電圧監視回路は、(1)前記第1電源から前記第1MPUへと供給される電力の電圧である第1電圧値を示すアナログ信号を受け付けた前記第1ADコンバータが出力する前記第1電圧値を示すデジタル信号を用いて、前記第1電圧値を監視し、(2)前記第1電圧値の異常を検知すると、異常の発生を通知する信号を前記第2MPUに送信し、前記第2電圧監視回路は、(1)前記第2電源から前記第2MPUへと供給される電力の電圧である第2電圧値を示すアナログ信号を受け付けた前記第2ADコンバータが出力する前記第2電圧値を示すデジタル信号を用いて、前記第2電圧値を監視し、(2)前記第2電圧値の異常を検知すると、異常の発生を通知する信号を前記第1MPUに送信することを特徴としている。
前記の構成によれば、セーフティコントローラにおいて、より高速な安全応答性能(各種の入力デバイスからの入力に対して、高度な安全性および信頼性を確保した応答を実行する性能)等を実現することができるという効果を奏する。言い換えれば、前記セーフティコントローラは、従来のセーフティコントローラに比べて、ロジック演算処理、入出力制御処理、および安全面の自己診断処理等の高速化・高精度化、実行処理の履歴保存、および装置の小型化等を実現することができる。
具体的には、高速クロック(例えば、1GHz)のMPUを採用する場合、メモリまたは電源などの周辺回路が、通常の処理速度(例えば、120MHz)のMPUを採用する場合に比べて増えることになる。しかし、基板を複数枚にすることにより、上述の周辺回路を配置することができるので、高速クロックのMPUを採用することが可能となる。
そして、上述の構成によれば、基板ごとに電源を設けることができ、その結果動作の安定性を向上させることが可能となる。また、ADコンバータによって電圧監視を行うことにより、監視電圧精度を向上させることができるとともに、異常発生時に履歴を残すことができる。
さらに、MPU間の通信を、Ethernet(登録商標)プロトコルに準拠した通信によって実現し、高速化させることが可能となる。さらに、MPU間を、MAC−to−MACで接続し、基板の小型化を実現することができる。
本開示の一例では、前記セーフティコントローラは、複数の表示器と、前記第1MPUおよび前記第2MPUの少なくとも一方からシリアル信号として送信される表示制御信号を受信するシリアル−パラレル変換IC(Integrated Circuits)を含み、前記シリアル−パラレル変換ICの出力を用いて、前記複数の表示器の各々の表示を制御する表示制御基板と、前記第1MPUの異常およびリセットの少なくとも一方を検知すると検知信号を送信する第1WDT(Watch Dog Timer)と、前記第2MPUの異常およびリセットの少なくとも一方を検知すると検知信号を送信する第2WDTと、を備え、前記シリアル−パラレル変換ICは、前記第1WDTおよび前記第2WDTの少なくともいずれか一方から前記検知信号を受信すると、状態がリセットされる。前記の構成によれば、ユーザは、シリアル−パラレル変換ICを採用した場合においても、表示器が非表示になったことに基づいて異常の発生を認知することができるという効果を奏する。
具体的には、セーフティコントローラにおいて、表示器の配置位置について自由度を向上させるため(例えば、表示器を装置正面に配置するため)、表示制御基板をMPUの基板とは別に設けることが考えられる。この場合、表示制御基板とMPUの基板とのコネクタのピンの数を抑制するために、シリアル−パラレル変換ICを表示制御基板に設けることが考えられる。しかし、シリアル−パラレル変換ICは、MPUに異常が発生したとしても、状態を維持するため、MPUの異常発生に伴って表示器の表示を変更できないという問題がある。
そこで、本開示の一例として、セーフティコントローラは、WDTを備える。WDTがMPUの異常発生を通知する検知信号(例えば、リセット信号など)をシリアル−パラレル変換ICに送信するので、シリアル−パラレル変換ICは、検知信号に基づいて、状態をリセットすることができる。したがって、各種表示器は、MPUの異常発生をトリガにして、表示態様を変更することができる。結果として、ユーザは、MPUの異常発生を、表示器の表示態様に基づいて認知することができる。なお、表示器の表示態様を変更することは、例えば、表示器の照明を消灯することなどを含む。
本開示の一例によれば、より高速な安全応答性能を備えたセーフティコントローラを実現することができる。
本開示の一例としての実施形態1および2に係るセーフティコントローラの基板構成の一具体例を模式的に示す図である。 Mac-to-Macで接続した第1MPUおよび第2MPUを模式的に示す図である。 セーフティコントローラの電力系統を模式的に示す図である。
以下、本開示の一例としての実施の形態(以下、「本実施形態」とも表記する)を、図面に基づいて説明する。
〔実施形態1〕
§1 適用例
セーフティコントローラ100は、プログラマブルコントローラ(Programmable Logic Controller、以下「PLC」と略記)等の産業用制御装置が実行するロジック演算処理、入出力制御処理に加えて、安全面の自己診断処理を実行することにより、高度な安全性および信頼性を確保したセーフティコントローラである。セーフティコントローラは「安全コントローラ」や「安全制御装置」と称されることもある。
本開示の一例では、セーフティコントローラ100は、シリアルバスにより互いに接続された第1MPU10および第2MPU20と、第1MPU10および第2MPU20の各々に、電力供給線を介して接続し、各々に電力を供給する第1電源11および第2電源21と、(1)第1電源11から第1MPU10への電源供給線に電気的に接続し、(2)第2MPU20に信号線を介して接続し、(3)第2電源21に電源供給線を介して接続し、(4)第2電源21からの動作電力により動作する第1ADコンバータを含む、第1電圧監視回路12と、(1)第2電源21から第2MPU20への電源供給線に電気的に接続し、(2)第1MPU10に信号線を介して接続し、(3)第1電源11に電源供給線を介して接続し、(4)第1電源11からの動作電力により動作する第2ADコンバータを含む、第2電圧監視回路22と、を備えている。
セーフティコントローラ100において、第1MPU10と第2MPU20との間のクロックラインにはクロック遅延を実現するバッファが挿入され、第1MPU10と第2MPU20とは、Ether PHYを介さずにEthernetプロトコルに準拠した通信を行なう。
セーフティコントローラ100において、第1電圧監視回路12は、(1)第1電源11から第1MPU10へと供給される電力の電圧である第1電圧値を示すアナログ信号を受け付けた前記第1ADコンバータが出力する前記第1電圧値を示すデジタル信号を用いて、前記第1電圧値を監視し、(2)前記第1電圧値の異常を検知すると、異常の発生を通知する信号を第2MPU20に送信する。
セーフティコントローラ100において、第2電圧監視回路22は、(1)前記第2電源から第2MPU20へと供給される電力の電圧である第2電圧値を示すアナログ信号を受け付けた前記第2ADコンバータが出力する前記第2電圧値を示すデジタル信号を用いて、前記第2電圧値を監視し、(2)前記第2電圧値の異常を検知すると、異常の発生を通知する信号を第1MPU10に送信する。
前記の構成を備えるセーフティコントローラ(100)は、従来のセーフティコントローラに比べて、より高速な安全応答性能(各種の入力デバイスからの入力に対して、高度な安全性および信頼性を確保した応答を実行する性能)等を実現することができるという効果を奏する。言い換えれば、セーフティコントローラ(100)は、従来のセーフティコントローラに比べて、ロジック演算処理、入出力制御処理、および安全面の自己診断処理等の高速化・安定化・高精度化、実行処理の履歴保存、および装置の小型化等を実現することができる。
§2 構成例
図1を用いて、本実施形態に係るセーフティコントローラの基板構成の一例について説明する。図1は、本実施形態に係るセーフティコントローラの基板構成の一具体例を模式的に示す図である。
図1に示す例では、セーフティコントローラ100は、一例として、電源101、電源遮断回路14、第1MPU(Micro Processing Unit)10、第1電源11、第1電圧監視回路12、第2MPU20、第2電源21、第2電圧監視回路22、表示制御部30、7セグ表示器31、および、LED(Light Emitting Diode)32を備える構成を有している。別の実施形態では、セーフティコントローラ100は、さらに、第1WDT(WatchDog Timer)13および第2WDT23を備えていることが好ましい。第1WDT13および第2WDT23については実施形態2で詳述する。
本実施形態では、一例として、電源101、電源遮断回路14、第1MPU10、第1電源11、第1電圧監視回路12、および、第1WDT13が、第1基板1に配置されている。第2MPU20、第2電源21、第2電圧監視回路22、および、第2WDT23が第2基板2に配置されている。表示制御部30、7セグ表示器31およびLED32が第3基板3に配置されている。
各基板は、例えば、プリント配線板(PWB;Printed Wiring Board)などで実現される。基板をまたぐ回路間の電力または信号の送受信は、図示しないコネクタを介して実施されてもよい。図1において、第1基板1の第1MPU10と、第2基板2の第2MPU20とはシリアルバスによって接続されており、両者はEthernetプロトコルに準拠して互いに通信する。第1MPU10と、第2MPU20との間の通信には、例えば、RGMII(Reduced Gigabit Media Independent Interface)、または、SGMII(Serial Gigabit Media Independent Interface)を用いてもよい。RGMII、および、SGMIIは、IEEE802.3で規定されているGMII(Gigabit Media Independent Interface)に代わるもので、ピン数の削減を実現したものである。
このように基板の枚数を増やすと、物理的な制約を受けずに、必要なメモリやその他の回路を搭載することが可能となる。これにより、セーフティコントローラ100において、処理速度が速い高性能なMPUを採用することが可能となり、処理できる情報量を格段に増大させることができる。結果として、セーフティコントローラ100における安全応答性能を格段に向上させることが可能となる。
電源101は、第1基板1〜第3基板3の各基板に配置された回路に電力を供給するものである。電源遮断回路14は、所定の条件に基づいて、各回路への電力供給を遮断するものである。
第1MPU10および第2MPU20は、セーフティコントローラ100を統括制御するものである。図示しないメモリに予め記憶されている各種プログラムを実行して、セーフティコントローラ100における所定の機能を実現する。例えば、第1MPU10(第2MPU20)は、製造ラインなどの安全に関わる処理を実行する。例えば、第1MPU10(第2MPU20)は、製造ラインに設置されたロボットなどの動作および該ロボットの周辺環境を監視し、該ロボットおよび周辺環境に異常などが発生した場合にそれを検知し、該ロボットを緊急停止させたりする。
本実施形態では、第1MPU10および第2MPU20は、互いにデータの送受信を行うための通信インターフェースを備えている。そして、各MPUは、安全に関わる機能を実現するための安全プログラムの演算を行い、演算結果を交換する。そして、相互の演算結果が一致することを確認する。演算結果の不一致は、第1MPU10および第2MPU20の少なくともいずれかにおいて異常が発生した可能性を示唆しており、この場合にも、セーフティコントローラ100は、設備の緊急停止等の措置を講ずることができる。
第1電源11は、電源101から供給される電力を第1MPU10に供給するものである。第1電源11は、一例として、電源を5つの系統に分けて、第1MPU10に電力を供給する。なお、第1電源11は、後述する第2電圧監視回路22にも電力を供給する。例えば、第1電源11は、第5系統の電力を第2電圧監視回路22に供給してもよい。第2電源21は、電源101から供給される電力を第2MPU20に供給するものである。第2電源21は、第1電源11と同様に、電源を5つの系統に分けて、第2MPU20に電力を供給してもよいし、第1系統の電力を第1電圧監視回路12に供給してもよい。
第1電圧監視回路12は、第1電源11から第1MPU10へ供給される電力の電圧を監視するものである。具体的には、第1電圧監視回路12は、第1電源11で生成された電圧の電圧値が規定範囲内であるか否かを監視する。そして、電圧値が規定範囲外である場合、すなわち、電圧値が、所定の下限値を下回っている場合または上限値を超えている場合には、電圧値に異常が発生していることを通知するための信号を第2MPU20に対して送信する。
第1電圧監視回路12と同様に、第2電圧監視回路22は、第2電源21から第2MPU20へ供給される電力の電圧を監視する。第2電圧監視回路22は、電圧値の異常を検知した場合、異常を通知するための信号を第1MPU10に対して送信する。
表示制御部30は、セーフティコントローラ100が備えている各種表示器に対する表示を制御するものである。セーフティコントローラ100は、複数の表示器を備えている。表示器の一例として、7セグ表示器31、および、n個のLED32などが想定される。表示制御部30は、一例として、7セグ表示器31およびLED32の表示を制御するための変換回路130を含んで構成されている。変換回路130については、第1WDT13および第2WDT23と併せて実施形態2で説明する。
§3 動作例
以下では、高速な安全応答性能を備えたセーフティコントローラを実現するための基板構成および各種回路の動作についてより詳細に説明する。
<高性能MPUの採用>
本実施形態では、第1MPU10および第2MPU20には、一例として、クロック速度が1GHz以上の高速なMPUを採用することが好ましい。これにより、セーフティコントローラ100において、安全応答性能の高速化を実現し、安全規格の要求に応えられるようになる。
上述したとおり、本実施形態では、第1MPU10、第2MPU20、および、表示制御部30ごとに基板を分けて配置しているので、物理的な制約を受けずに、高速なMPUが要求するメモリやその他の回路を搭載することができる。このことが、第1MPU10および第2MPU20に高速なMPUを採用することを可能にしている。
(内部電源)
上述のとおり、高速なMPUを採用すると、コア用、入出力用など、複数の電源系統が必要となる。そのため、低電圧化が起こり、電圧の監視に要求される精度は非常に厳しいものとなる。したがって、基板の外部から供給される1系統の電源から、直接2つの高速なMPUに電力を供給しようとすると、その要求に応えられる精度で電圧を監視できなければ、動作が不安定になる虞がある。特に、本実施形態のように、コネクタ経由で電力を供給する基板構成では、その要求にたいてい応えることが難しい。また、要求された電源精度を守るために、基本的に、MPUの近くに電源を配置しなければならないという物理的制約も増える。
そこで、本実施形態では、第1MPU10の系統と、第2MPU20の系統とのそれぞれに対して、異なる電源、第1電源11と第2電源21とをセーフティコントローラ100の基板に設ける。第1電源11は、基板外部から供給される電源101から、第1MPU10、および、第1基板1上の不図示のメモリ等に入力される動作電圧を生成する。第2電源21は、第1電源11と同様に、電源101から、第2MPU20、および、第2基板2上の不図示のメモリ等に入力される動作電圧を生成する。
前記の構成によれば、基板全体に電力を供給する電源101は1系統とし、各基板においては、第1基板1の系統と、第2基板2の系統との2系統それぞれに電源が設けられる。これにより、基板が複数に分かれる構成であっても、セーフティコントローラ100を安定して動作させることが可能となる。
(電圧監視)
安全規格の要件を満たすため、製品に搭載されるセーフティコントローラ100には、内部電圧を監視する機能が求められる。そして、部品ごとに予め定められている電圧仕様の規定範囲外の電圧値が検出された場合には、製品で定義された安全状態に遷移する機能が求められる。
電圧監視回路にコンパレータを採用した従来の構成では、監視電圧の電圧値が仕様範囲外になった場合、電源を遮断する方式が採用されていた。この場合、ユーザは、故障の原因を把握するのが困難であった。
そこで、本実施形態では、第1電源11および第2電源21で生成された電圧の電圧値が規定範囲内であるか否かを監視する第1電圧監視回路12および第2電圧監視回路22がそれぞれ設けられている。本実施形態では、第1電圧監視回路12および第2電圧監視回路22として、ADコンバータを採用する。
電圧監視にADコンバータを採用することにより、コンパレータと比較して高精度の電圧監視が可能となる。また、第1MPU10および第2MPU20は、第1電圧監視回路12および第2電圧監視回路22によって電圧異常が検出された場合に、異常が発生した電源とその電圧を検知することができる。また、第1MPU10および第2MPU20は、EEPROM(登録商標)(Electrically Erasable Programmable ROM)等のメモリに異常発生履歴を残すことができる。これにより、ユーザが、故障の原因を把握することが可能になる。
しかし、ADコンバータとしての第1電圧監視回路12に供給される動作電圧と、第1電圧監視回路12が監視対象とする監視電圧とが同じである場合、安全回路の用途として動作保証ができないという問題がある。
そこで、本実施形態では、上述のとおり、電源101を、第1電源11および第2電源21によって、2系統に構成する。そして、それぞれの電圧監視回路(ADコンバータ)の動作電圧と、監視電圧とを分けた基板構成とする。具体的には、第1電圧監視回路12は、自身が動作するための電力を第2電源21から受電する。図示の例では、第2電源21から供給される第1系統の電圧2−1を、第1電圧監視回路12の動作電圧とする。一方、第1電圧監視回路12は、第1電源11から第1MPU10に供給される電力の電圧値を監視する。図示の例では、電圧1−1〜1−5(第1電圧値)の5系統を監視電圧とする。反対に、第2電圧監視回路22は、自身が動作するための電力を第1電源11から受電する。例えば、電圧1−5を第2電圧監視回路22の動作電圧とする。一方、第2電圧監視回路22は、電圧2−1〜2−5(第2電圧値)の5系統を監視電圧とする。これにより、それぞれの電圧監視回路(ADコンバータ)における動作電圧と監視電圧とを異なる電力系統で分けることが可能となり、安全回路の用途において動作を保証することができる。
<MPU間通信>
本実施形態において、MPU間の通信は、Ethernet(登録商標)プロトコルに準拠して行われる。また、Ethernet(登録商標)においては、マスタとスレーブとを設定する必要がないので、送り手と受け手とが自由にデータの送受信を行えるというメリットもある。
また、本実施形態において、第1MPU10と第2MPU20との間で演算結果を交換するための通信(クロスコミュニケーション)は、Mac-to-Macにより、全2重通信方式で行われる。すなわち、各MPUのMAC(Media Access Control)間で直接データの送受信が行われる。なお、各MPU間の通信においては、SPI通信が併用されてもよい。
図2は、Mac-to-Macで接続した第1MPU10および第2MPU20を模式的に示す図である。前記第1MPUと前記第2MPUとの間のクロックライン41およびクロックライン42には、それぞれ、クロック遅延を実現するバッファ43およびバッファ44が挿入される。
Ethernet(登録商標)通信を採用することにより、100Mbps、または、1000Mbpsなどで高速にMPU間通信を実現することができる。これにより、従来のSPI通信(20MHz程度)に起因する、安全応答性能の高速化においてボトルネックとなっていた通信速度の問題が解消される。
本実施形態では、第1MPU10と第2MPU20との間に限定して、Ethernet(登録商標)プロトコルに準拠した通信を行う構成としてもよい。この場合、ビジー信号は不要となる。また、本実施形態では、第1MPU10と第2MPU20との間で採用される通信プロトコルをOSなしで実現してもよい。この場合、IPヘッダおよびTCPヘッダは不要となる。
Ethernet(登録商標)通信において、MPUの外部に、物理層の専用回路(Ether PHY)、Etherパルストランス(PT)、および、ケーブル接続コネクタを使用する事が規格化されている。すなわち、Ethernetプロトコルは、Ether PHYを設けることにより、クロック遅延を発生させ、つまり、クロック信号を送受信データに対して半クロック遅らせることを規定している。しかし、本実施形態では、第1MPU10および第2MPU20は、基板は分かれてはいるものの、互いに物理的に非常に近い距離で設けられている。そのため、上述のEther PHY、EtherPT、および、ケーブル接続コネクタを使用せずにMPU間通信を実現する。Ether PHY、EtherPT、および、ケーブル接続コネクタを介さずに通信接続されるMAC間の接続方法を「Mac-to-Mac」と称する。第1MPU10と第2MPU20とをMac-to-Macで接続することにより、基板の小型化を実現することが可能となる。
本実施形態では、Ether PHYを採用しない代わりに、クロックラインにバッファを設けることにより、クロック遅延を生成して、第1MPU10と第2MPU20とがEthernetプロトコルに準拠した通信を行なうことを実現する。これにより、無駄な配線を行うことなく、安価な回路構成にて、高速通信を可能とするEthernet(登録商標)に準拠したMPU間通信を実現することが可能となる。また、Ether PHYを採用することを前提としているMPUを、セーフティコントローラ100の第1MPU10および第2MPU20として採用することが可能となる。
〔実施形態2〕
§1 適用例
本開示の一例では、セーフティコントローラ(100)は、実施形態1に記載の構成に加えて、複数の表示器(7セグ表示器31、LED32)と、前記第1MPU(10)および前記第2MPU(20)の少なくとも一方からシリアル信号として送信される表示制御信号を受信するシリアル−パラレル変換IC(Integrated Circuits)(変換回路130)を含み、前記シリアル−パラレル変換ICの出力を用いて、前記複数の表示器の各々の表示を制御する表示制御基板(3)と、前記第1MPUの異常およびリセットの少なくとも一方を検知すると検知信号を送信する第1WDT(Watch Dog Timer)(13)と、前記第2MPUの異常およびリセットの少なくとも一方を検知すると検知信号を送信する第2WDT(23)と、を備え、前記シリアル−パラレル変換ICは、前記第1WDTおよび前記第2WDTの少なくともいずれか一方から前記検知信号を受信すると、状態がリセットされる。前記の構成を備えるセーフティコントローラ(100)は、従来のセーフティコントローラに比べて、ユーザに提供できる情報量を格段に増やすことができ、MPUの異常発生時、該異常の発生を、表示器の表示態様に基づいてユーザに認知させることができるという効果を奏する。
§2 構成例
図1を参照して、本実施形態に係るセーフティコントローラ100は、第1基板1において、さらに、第1WDT13を備え、第2基板2において、第2WDT23を備え、第3基板3において、表示制御部30、7セグ表示器31およびLED32を備えている構成である。そして、表示制御部30は、変換回路130を含む。
§3 動作例
<表示>
本実施形態では、LED32に加えて、セーフティコントローラ100の状態をユーザに分かり易く提示できるように、セーフティコントローラ100に7セグ表示器31を搭載している。LED32および7セグ表示器31の視認性を一層高めるため、LED32および7セグ表示器31は、セーフティコントローラ100の筐体の正面から表示させることが好ましい。セーフティコントローラ100の筐体の側面に各MPUの基板(第1基板1および第2基板2)を配置している場合、表示専用の基板(第3基板3)は、MPUの基板と別に設けることになる。すなわち、表示制御部30が、第1MPU10(第2MPU20)から表示に係る制御信号(以下、表示制御信号)を受け取るためには、コネクタを経由することになる。
各MPUにおいて、複数のLED32、および、7セグ表示器31の1セグメントごとに、出力ピンを設けると、コネクタの極数が非常に多くなる。しかし、構成の簡素化、小型化の観点から、コネクタの極数が増えることは好ましくない。
そこで、本実施形態では、各MPUおよび変換回路130間の表示制御信号の送受信をシリアル通信にて実現することにする。そして、変換回路130として、シリアル−パラレル変換ICを採用する。シリアル−パラレル変換ICは、シリアル信号である表示制御信号を受信し、受信したシリアル信号としての表示制御信号に基づいて、上述の複数の表示器の表示を制御する。
具体的には、シリアル−パラレル変換ICとしての変換回路130は、シリアル信号として第1MPU10または第2MPU20から受信した表示制御信号を、7セグ表示器31を制御するための、パラレル信号としての第1表示制御信号と、LED32を制御するための、パラレル信号としての第2表示制御信号と、に変換する。変換回路130は、第1表示制御信号に基づいて、7セグ表示器31の表示を制御する。変換回路130は、第2表示制御信号に基づいて、LED32の表示を制御する。
しかしながら、シリアル−パラレル変換ICとしての変換回路130は、第1MPU10(第2MPU20)に異常が発生した場合であっても、異常発生前の状態を維持している。したがって、変換回路130は、異常発生に伴って各種表示器の表示を変更することができない。したがって、ユーザは、各種表示器の表示に基づいて、MPUの異常発生を認知できないという問題がある。
そこで、本実施形態では、セーフティコントローラ100は、さらに、第1基板1において、第1WDT13を備え、第2基板2において、第2WDT23を備えている。
第1WDT13は、第1MPU10の動作を監視するものである。具体的には、第1WDT13は、設定されたタイマ周期内に、第1MPU10からクロック信号が入力されるとタイマをリセットし、第1MPU10の系統の正常動作を確認して監視を継続する。一方、第1MPU10の系統に異常が発生し、前記タイマ周期内にクロック信号が第1MPU10から入力されなくなるとする。この場合、第1WDT13は、タイムアウトによるリセット信号(検知信号)を、変換回路130に出力する。第2WDT23は、第1WDT13と同様に、第2MPU20の動作を監視し、第2MPU20に異常が発生すれば、リセット信号(検知信号)を、変換回路130に出力する。
表示制御部30の変換回路130は、少なくともいずれか一方のWDTからリセット信号を受け付けたことに基づいて、状態をリセットする。変換回路130の状態がリセットされたことに基づいて、表示器の表示がリセットされる。一例として、変換回路130は、7セグ表示器31を、予め定められている初期状態に遷移させる。例えば、変換回路130は、7セグ表示器31の全セグメントの照明を消灯させてもよいし、全セグメントを赤く点灯させてもよい。あるいは、変換回路130は、エラー(例えば、Eの文字)と分かるように所定のセグメントのみを点灯させてもよい。変換回路130は、LED32を、予め定められている初期状態に遷移させる。例えば、変換回路130は、全てのLED32を消灯させてもよいし、全てのLED32を赤く点灯させてもよい。あるいは、変換回路130は、全てまたは一部のLED32を点滅させてもよい。
これにより、各種表示器が、エラー時の表示態様(例えば、一斉消灯)に遷移するので、ユーザは、第1MPU10および第2MPU20の少なくともいずれか一方に異常が生じたことをすぐに認知することが可能となる。
〔効果〕
上述の各実施形態によれば、セーフティコントローラにおいて、安全規格の要求に応えつつ、安全応答性能の高速化を実現することができる。
例えば、安全応答性能の高速化が実現されると、監視対象の製品(ロボットなど)と、ユーザとの間で安全を保証するために確保すべき距離を短縮することができる。そのため、従来、ロボットの可動領域およびその影響を受ける領域から、ユーザを守るために設置していたフェンスの距離を短くしたり、フェンスそのものを無くしたりできるというメリットがある。
また、例えば、特許文献2の技術では、MPU間の接続において、データに対して半クロック遅らせる具体的な方法が開示されていない。したがって、MPU間をMac-to-Macで相互接続し、Ethernet(登録商標)通信にて、通信させようとしても、それだけでは該通信を実現させることはできない。これに対し、本開示の一例として、実施形態1のセーフティコントローラ100によれば、クロックの遅延を実現するためのバッファをクロックラインに挿入する。これにより、高速なMPU間の高速な相互通信を実現することが可能となる。
また、例えば、特許文献3の技術では、エレベータ制御電源監視装置は、外部電源が2系統、MPUが1つ設けられており、異常が検出された時には動力が遮断される構成である。これに対して、上述の各実施形態では、図3に示すとおり、セーフティコントローラには、内部回路のための電源(例えば、電源101)が1系統であるのに対して、MPUが2つ設けられている。一方の系統の回路の電源(例えば、第1電源11)から動力を得て、他方の系統の回路(第2MPU20)の異常を監視する電圧監視回路(第2電圧監視回路22)は、他方の系統における異常を検出した場合に、一方の系統における第1MPU10に通知する構成である。これにより、ユーザが故障の原因を把握するのが困難になるという不都合を解消することができる。
なお、以上で説明した各実施形態は、あらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。つまり、本発明の実施にあたって、各実施形態に応じた具体的構成が適宜採用されてもよい。なお、各実施形態において登場するデータを自然言語により説明しているが、より具体的には、コンピュータが認識可能な疑似言語、コマンド、パラメータ、マシン語等で指定される。
本発明は上述した各実施形態に限定されるものではなく、請求項に示した範囲で種々の変更が可能であり、異なる実施形態にそれぞれ開示された技術的手段を適宜組み合わせて得られる実施形態についても本発明の技術的範囲に含まれる。
1 第1基板、2 第2基板、3 第3基板(表示制御基板)、10 第1MPU、11 第1電源、12 第1電圧監視回路(ADコンバータ)、13 第1WDT、14 電源遮断回路、20 第2MPU、21 第2電源、22 第2電圧監視回路(ADコンバータ)、23 第2WDT、30 表示制御部、31 7セグ表示器(表示器)、32 LED(表示器)、41,42 クロックライン、43,44 バッファ、100 セーフティコントローラ、101 電源、130 変換回路(シリアル−パラレル変換IC)

Claims (2)

  1. シリアルバスにより互いに接続された第1MPUおよび第2MPUと、
    前記第1MPUおよび前記第2MPUの各々に、電力供給線を介して接続し、各々に電力を供給する第1電源および第2電源と、
    (1)前記第1電源から前記第1MPUへの電源供給線に電気的に接続し、(2)前記第2MPUに信号線を介して接続し、(3)前記第2電源に電源供給線を介して接続し、(4)前記第2電源からの動作電力により動作する第1ADコンバータを含む、第1電圧監視回路と、
    (1)前記第2電源から前記第2MPUへの電源供給線に電気的に接続し、(2)前記第1MPUに信号線を介して接続し、(3)前記第1電源に電源供給線を介して接続し、(4)前記第1電源からの動作電力により動作する第2ADコンバータを含む、第2電圧監視回路と、
    を備え、
    前記第1MPUと前記第2MPUとの間のクロックラインにはクロック遅延を実現するバッファが挿入され、前記第1MPUと前記第2MPUとは、Ether PHYを介さずにEthernetプロトコルに準拠した通信を行ない、
    前記第1電圧監視回路は、(1)前記第1電源から前記第1MPUへと供給される電力の電圧である第1電圧値を示すアナログ信号を受け付けた前記第1ADコンバータが出力する前記第1電圧値を示すデジタル信号を用いて、前記第1電圧値を監視し、(2)前記第1電圧値の異常を検知すると、異常の発生を通知する信号を前記第2MPUに送信し、
    前記第2電圧監視回路は、(1)前記第2電源から前記第2MPUへと供給される電力の電圧である第2電圧値を示すアナログ信号を受け付けた前記第2ADコンバータが出力する前記第2電圧値を示すデジタル信号を用いて、前記第2電圧値を監視し、(2)前記第2電圧値の異常を検知すると、異常の発生を通知する信号を前記第1MPUに送信する
    ことを特徴とするセーフティコントローラ。
  2. 複数の表示器と、
    前記第1MPUおよび前記第2MPUの少なくとも一方からシリアル信号として送信される表示制御信号を受信するシリアル−パラレル変換IC(Integrated Circuits)を含み、前記シリアル−パラレル変換ICの出力を用いて、前記複数の表示器の各々の表示を制御する表示制御基板と、
    前記第1MPUの異常およびリセットの少なくとも一方を検知すると検知信号を送信する第1WDT(Watch Dog Timer)と、
    前記第2MPUの異常およびリセットの少なくとも一方を検知すると検知信号を送信する第2WDTと、を備え、
    前記シリアル−パラレル変換ICは、前記第1WDTおよび前記第2WDTの少なくともいずれか一方から前記検知信号を受信すると、状態がリセットされることを特徴とする請求項1に記載のセーフティコントローラ。
JP2017197573A 2017-10-11 2017-10-11 セーフティコントローラ Active JP6521020B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2017197573A JP6521020B2 (ja) 2017-10-11 2017-10-11 セーフティコントローラ
CN201880056217.0A CN111065985B (zh) 2017-10-11 2018-10-02 安全控制器
US16/641,670 US11054879B2 (en) 2017-10-11 2018-10-02 Safety controller
KR1020207005023A KR20200027025A (ko) 2017-10-11 2018-10-02 세이프티 컨트롤러
PCT/JP2018/036818 WO2019073856A1 (ja) 2017-10-11 2018-10-02 セーフティコントローラ
DE112018005478.0T DE112018005478T5 (de) 2017-10-11 2018-10-02 Sicherheitssteuereinrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017197573A JP6521020B2 (ja) 2017-10-11 2017-10-11 セーフティコントローラ

Publications (2)

Publication Number Publication Date
JP2019071001A JP2019071001A (ja) 2019-05-09
JP6521020B2 true JP6521020B2 (ja) 2019-05-29

Family

ID=66100748

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017197573A Active JP6521020B2 (ja) 2017-10-11 2017-10-11 セーフティコントローラ

Country Status (6)

Country Link
US (1) US11054879B2 (ja)
JP (1) JP6521020B2 (ja)
KR (1) KR20200027025A (ja)
CN (1) CN111065985B (ja)
DE (1) DE112018005478T5 (ja)
WO (1) WO2019073856A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7310501B2 (ja) * 2019-09-27 2023-07-19 株式会社デンソーウェーブ プログラマブルコントローラ
WO2023157365A1 (ja) * 2022-02-17 2023-08-24 三菱電機株式会社 機能安全装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7613935B2 (en) * 2005-07-29 2009-11-03 Hewlett-Packard Development Company, L.P. Power monitoring for processor module
EP1821462A1 (en) * 2006-02-20 2007-08-22 Thomson Telecom Belgium Method and device to transmit a busy medium signal to another device
JP4893931B2 (ja) * 2006-05-19 2012-03-07 オムロン株式会社 セーフティ・コントローラ
JP2015148973A (ja) * 2014-02-07 2015-08-20 日本電気株式会社 監視デバイス、管理デバイス、電子装置、状態通知方法、対処方法、およびコンピュータ・プログラム
JP6627598B2 (ja) * 2016-03-22 2020-01-08 トヨタ自動車株式会社 車載電源装置
US10571495B2 (en) * 2017-06-23 2020-02-25 Rockwell Automation Technologies, Inc. Systems and methods for monitoring power

Also Published As

Publication number Publication date
WO2019073856A1 (ja) 2019-04-18
KR20200027025A (ko) 2020-03-11
CN111065985A (zh) 2020-04-24
US11054879B2 (en) 2021-07-06
US20200249741A1 (en) 2020-08-06
JP2019071001A (ja) 2019-05-09
DE112018005478T5 (de) 2020-10-08
CN111065985B (zh) 2023-05-02

Similar Documents

Publication Publication Date Title
US9104190B2 (en) Safety module for an automation device
US8762598B2 (en) Arrangement with a superordinated control unit and at least one intelligent field device connectable with the control unit
US7783814B2 (en) Safety module and automation system
US20160179734A1 (en) Method and system for hot-plug functions
JP5682323B2 (ja) 安全制御システム
JP2007312573A (ja) ビルディングブロック型のセーフティ・コントローラにおけるioユニット
US20170355449A1 (en) Electrical architecture for slat/flap control using smart sensors and effectors
CN110799912B (zh) 安全关键和非安全关键的过程的控制系统
JP6521020B2 (ja) セーフティコントローラ
US9094295B2 (en) Communication device, and wiring state detection method and non-transitory computer-readable medium storing program using communication device
JP2006139634A (ja) 設備管理装置、通信路診断装置及び設備管理方法
US9003095B2 (en) Automation control component
US20130138852A1 (en) Electronic device with baseboard management controller
US20120123562A1 (en) Control system for controlling a process
KR101713353B1 (ko) 이중화 제어기 시스템
EP3048760B1 (en) Modular signal interface unit
US20160299561A1 (en) Switching network interface controller add-in card configured to operate during sleep modes of a host computing device
CN202267835U (zh) 一种双模冗余热备份测控装置
JP2008228465A (ja) 電装装置
JP2012129862A (ja) 通信モジュール
US20240161713A1 (en) Systems and methods of fault detection for input/output modules of industrial systems
US20240103498A1 (en) Systems and methods of remotely controlling channel resets for input/output modules of industrial systems
WO2022153559A1 (ja) Ioユニットおよびエンドユニット
KR101578557B1 (ko) 계전기 감시 장치
JP7445388B2 (ja) デジタル入力装置及びプログラマブルロジックコントローラ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190226

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190226

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20190326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190415

R150 Certificate of patent or registration of utility model

Ref document number: 6521020

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250