JP7014102B2 - 産業機器用の機能安全モジュール - Google Patents

産業機器用の機能安全モジュール Download PDF

Info

Publication number
JP7014102B2
JP7014102B2 JP2018160260A JP2018160260A JP7014102B2 JP 7014102 B2 JP7014102 B2 JP 7014102B2 JP 2018160260 A JP2018160260 A JP 2018160260A JP 2018160260 A JP2018160260 A JP 2018160260A JP 7014102 B2 JP7014102 B2 JP 7014102B2
Authority
JP
Japan
Prior art keywords
operation command
digital signals
output
control unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018160260A
Other languages
English (en)
Other versions
JP2020035129A (ja
Inventor
昌康 吉木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Wave Inc
Original Assignee
Denso Wave Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Wave Inc filed Critical Denso Wave Inc
Priority to JP2018160260A priority Critical patent/JP7014102B2/ja
Priority to US16/541,263 priority patent/US11131981B2/en
Publication of JP2020035129A publication Critical patent/JP2020035129A/ja
Application granted granted Critical
Publication of JP7014102B2 publication Critical patent/JP7014102B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of program data in numerical form
    • G05B19/406Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of program data in numerical form characterised by monitoring or safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/04Program control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Program control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/50Machine tool, machine tool null till machine tool work handling
    • G05B2219/50193Safety in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Manufacturing & Machinery (AREA)
  • Safety Devices In Control Systems (AREA)

Description

本発明は、産業機器間に接続され、産業機器の状態に応じて安全を管理する機能安全モジュールに関する。
従来、ロボット等の設備に動作及び停止を指令するPLC(Programmable Logic Controller)とスイッチとの間に接続され、スイッチの状態に応じて安全を管理する機能安全モジュールがある(特許文献1参照)。特許文献1に記載の機能安全モジュールは、スイッチが押された時に、PLCとスイッチとの通信を遮断し、PLCによりロボットを停止させている。
特開2018-032086号公報
ところで、機能安全モジュールを確実に動作させるために、機能安全モジュールの制御部を二重系にする場合がある。この場合、第1制御部から第2制御部に動作シーケンス(動作指令の順序)を送信し、第2制御部は受信した動作シーケンスが動作シーケンスの期待値と一致するか否か判定する。動作シーケンスが期待値と一致しない場合は、第2制御部から第1制御部へ動作シーケンスの再送信を要求し、第2制御部は動作シーケンスを再受信する。そして、第2制御部は、再受信した動作シーケンスと期待値とが、一致する場合に第1制御部が正常であると判定し、一致しない場合に第1制御部が異常であると判定する。
上記判定方法によれば、1回目に送信した動作シーケンスにノイズが混入した場合であっても、動作シーケンスを再送信して再判定することにより、第1制御部が異常であると誤判定することを抑制することができる。しかし、動作シーケンスの再送信及び再判定が必要になるため、判定終了までの時間が長くなるおそれがある。
本発明は、上記課題を解決するためになされたものであり、その主たる目的は、産業機器用の機能安全モジュールにおいて、二重系の制御部の一方が異常であると誤判定することを抑制しつつ、制御部が正常であるか否かの判定を迅速に行うことにある。
上記課題を解決するための第1の手段は、
産業機器間に接続され、産業機器の状態に応じて安全を管理する機能安全モジュールであって、
複数の動作指令を含む共通の所定動作指令を実行する第1制御部と第2制御部とを備え、
前記第1制御部は、
前記第1制御部が実行した各動作指令に対応した各電圧値を示す各デジタル信号を順次出力する電圧値出力部と、
前記電圧値出力部により順次出力された前記各デジタル信号を、所定期間継続する各アナログ電圧に順次変換して送信する第1変換部と、を備え、
前記第2制御部は、
前記第1変換部により順次送信された前記各アナログ電圧を受信して順次、前記各アナログ電圧に対応した各電圧値を示す各デジタル信号に前記所定期間内に複数回変換して出力する第2変換部と、
前記第2変換部により順次出力された複数の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号との比較に基づいて、前記第1制御部が正常であるか否か判定する判定部と、を備える。
上記構成によれば、機能安全モジュールは、産業機器間に接続され、産業機器の状態に応じて安全を管理する。第1制御部と第2制御部とによって、複数の動作指令を含む共通の所定動作指令が実行される。このため、第2制御部は、第1制御部が実行する所定動作指令(期待値)を予め把握している。
ここで、第1制御部では、電圧値出力部は、第1制御部が実行した各動作指令に対応した各電圧値を示す各デジタル信号を順次出力する。そして、第1変換部は、順次出力された各デジタル信号を、所定期間継続する各アナログ電圧に順次変換して送信する。このため、第1制御部が実行した一連の動作指令(動作シーケンス)は、所定期間継続する各アナログ電圧が順次送信されることで表される。
第2制御部では、第2変換部は、順次送信された各アナログ電圧を受信して順次、各アナログ電圧に対応した各電圧値を示す各デジタル信号に上記所定期間内に複数回変換して出力する。このため、各動作指令に対応する各アナログ電圧を、所定期間内に複数回出力することができる。さらに、各アナログ電圧の大きさが各動作指令を表すため、各動作指令を表すデジタル信号を送信する期間と比較して、継続して各アナログ電圧を送信する所定期間を短くすることができる。
そして、判定部は、第2変換部により順次出力された複数の各デジタル信号と、第2制御部の所定動作指令の各動作指令に対応した各デジタル信号との比較に基づいて、第1制御部が正常であるか否か判定する。第2制御部と第1制御部は二重系であるが故に同じ処理を同じタイミングで行うので、第1制御部から上述のような「第1制御部が実行した各動作指令に対応した各電圧値を示す各デジタル信号」のように動作指令毎に異なる複雑な信号に基づく判定信号が送られてきても、第2制御部はその判定用の比較データを第1制御部に追従して生成することができる。このため、第2制御部は判定用の比較データを第1制御部から受信する必要がなく、判定までの時間を短縮することができる。またこの「第1制御部が実行した各動作指令に対応した各電圧値を示す各デジタル信号」を元にした信号であれば、一続きの信号内でも最初から最後まで一様であることはなく複雑に変化する。このため、一続きの信号内でも判定タイミングが変われば異なる信号状態となることから、1回の信号送信で第1制御部が実行した各動作指令が正常であるか否かを、実質的に複数回判定することができるようになり、判定の精度を向上させることができる。したがって、産業機器用の機能安全モジュールにおいて、第1制御部が異常であると誤判定することを抑制しつつ、第1制御部が正常であるか否かの判定を迅速に行うことができる。
第2の手段では、前記第2変換部は、前記受信した前記各アナログ電圧を、前記各アナログ電圧に対応した各電圧値を示す各デジタル信号に前記所定期間内に3回以上変換して出力し、前記判定部は、前記第2変換部により出力された3つ以上の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号との比較結果により信号の連続性を確認し、前記第1制御部が正常であるか否か判定する。
上記構成によれば、第2変換部は、受信した各アナログ電圧を、各アナログ電圧に対応した各電圧値を示す各デジタル信号に所定期間内に3回以上変換して出力する。このため、第1制御部が実行した各動作指令が正常であるか否か実質的に判定する回数を、3回以上にすることができる。さらに、3つ以上の各デジタル信号と、所定動作指令の各動作指令に対応した各デジタル信号との比較結果により信号の連続性を確認し、第1制御部が正常であるか否か判定することができる。
具体的には、第3の手段では、前記判定部は、前記第2変換部により出力された3つ以上の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号とが、同一とみなす結果の連続性が確認できた場合に、前記第1制御部が正常であると判定する。
具体的には、第4の手段では、前記判定部は、前記第2変換部により出力された3つ以上の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号とが、同一とみなさない結果の数が同一とみなす結果の数よりも多い場合に、前記第1制御部が異常であると判定する。なお、第1制御部が実行した動作指令が正常である場合に、第2変換部により出力された3つ以上の各デジタル信号と、所定動作指令の各動作指令に対応した各デジタル信号とが、同一とみなさない結果の数が同一とみなす結果の数よりも多くなる可能性がある。その場合、第1制御部が正常である場合に異常であると誤判定されるが、第1制御部が異常である場合に正常であると誤判定される場合と比べて、安全性が問題となる可能性は低い。
第5の手段では、前記判定部は、前記第2変換部により出力された3つ以上の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号とが、同一とみなす結果の数が同一とみなさない結果の数よりも多く、且つ同一とみなさない結果が少なくとも1つ生じている場合に、ノイズが発生したと判定する。このため、第1制御部が正常であるか否の判定に限らず、ノイズが発生したことを判定することができる。
第6の手段では、前記判定部は、前記第2変換部により出力された前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号との相違度合が所定度合よりも小さいことを条件として、前記第2変換部により出力された前記各デジタル信号と前記所定動作指令の前記各動作指令に対応した前記各デジタル信号とが同一であるとみなす。
上記構成によれば、第1制御部が実行した各動作指令が異常である場合は、第2変換部により出力された各デジタル信号と、所定動作指令の各動作指令に対応した各デジタル信号との相違度合が所定度合よりも大きくなる。このため、第2変換部により出力された各デジタル信号と所定動作指令の各動作指令に対応した各デジタル信号とが同一であるとみなされない。一方、第1制御部が実行した各動作指令が正常である場合は、第2変換部により出力された各デジタル信号と、所定動作指令の各動作指令に対応した各デジタル信号との相違度合が所定度合よりも小さくなる。このため、第2変換部により出力された各デジタル信号と所定動作指令の各動作指令に対応した各デジタル信号とが同一であるとみなされる。なお、2つのデジタル信号の相違度合が所定度合よりも小さいことは、2つのデジタル信号の差の絶対値が正の閾値よりも小さいことや、2つのデジタル信号の比の値が1を含む所定範囲内であることにより判定することができる。
また、第1制御部が実行した各動作指令が異常であり、且つ第1変換部により送信された各アナログ電圧にノイズが混入した場合に、正常な各動作指令に対応する各アナログ電圧に、受信した各アナログ電圧が偶然近くなることは希である。このため、第1制御部が実行した各動作指令が異常である場合に、第1制御部が実行した各動作指令が正常であると誤判定することを抑制することができる。
第7の手段では、前記判定部は、前記第2変換部により順次出力された複数の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号との比較に基づいて、前記第1変換部及び前記第2変換部の少なくとも一方が異常であると判定する。例えば、第2変換部により出力された各デジタル信号がいずれも、所定動作指令の各動作指令に対応した各デジタル信号として取り得ない値である場合に、第1変換部及び第2変換部の少なくとも一方が異常であると判定することができる。
ロボットシステムの模式図。 マイコンA及びマイコンBを示す模式図。 正常時のアナログ電圧を示すタイムチャート。 正常時(ノイズ混入)のアナログ電圧を示すタイムチャート。 シーケンス異常時のアナログ電圧を示すタイムチャート。 シーケンス異常時(ノイズ混入)のアナログ電圧を示すタイムチャート。 正常時(ノイズ混入)のアナログ電圧を示すタイムチャート。
以下、ロボットシステムの機能安全モジュールの一実施形態について、図面を参照して説明する。ロボットシステムは、機械組立工場などの組立システムで用いられる。
図1に示すように、ロボットシステムは、ロボット130、コントローラ120、安全PLC100、機能安全モジュール20、及び非常停止スイッチ110を備えている。
安全PLC100(産業機器)は、コントローラ120とケーブルで接続されている。コントローラ120は、ロボット130とケーブルで接続されている。安全PLC100は、コントローラ120に対してロボット130の動作指令及び停止指令を出力する。コントローラ120は、安全PLC100から入力された動作指令に基づいて、ロボット130の動作を制御する。なおロボット130としては、例えば、6軸の垂直多関節型ロボットや、水平多関節型ロボットを用いることができる。なお、安全PLC100には、図示しない上位のコントローラも接続されている。
機能安全モジュール20には、安全PLC100と非常停止スイッチ110(産業機器)とがLAN等の通信線によって接続されている。本実施形態では、機能安全モジュール20として、安全PLC100と非常停止スイッチ110との間の通信を行うリモートI/Oを用いている。すなわち、機能安全モジュール20は、安全PLC100と非常停止スイッチ110との間に接続され、非常停止スイッチ110の状態に応じて安全を管理する。
作業者によって非常停止スイッチ110が押されている場合、非常停止スイッチ110からロボット130を非常停止させる非常停止信号が出力される。一方、作業者によって非常停止スイッチ110が押されていない場合、非常停止スイッチ110から非常停止信号が出力されない。
機能安全モジュール20は、マイコンA30、マイコンB40、入力回路A36、及び入力回路B46を備えている。
入力回路A36,入力回路B46は、それぞれ非常停止スイッチ110から非常停止信号を入力する。入力回路A36,入力回路B46は、入力した非常停止信号をそれぞれマイコンA30,マイコンB40へ出力する。マイコンA30(第1制御部),マイコンB40(第2制御部)は、入力回路A36,入力回路B46から入力した非常停止信号をそれぞれ安全PLC100へ出力する。マイコンA30,マイコンB40は、それぞれ入力回路A36,入力回路B46から非常停止信号入力して出力する処理において、複数の動作指令を含む共通の所定動作指令を実行する。
安全PLC100は、マイコンA30,マイコンB40のいずれからも非常停止信号を入力していない場合に、コントローラ120へ動作指令を出力する。安全PLC100は、マイコンA30,マイコンB40の少なくとも一方から非常停止信号を入力している場合に、コントローラ120へ停止指令を出力する。
図2は、マイコンA30及びマイコンB40を示す模式図である。マイコンA30は、CPU31、電圧値出力部32、DAC(Digital to Analog Converter)33を備えている。CPU31は、上記所定動作指令を実行する。所定動作指令(動作シーケンス)は、例えば動作指令a,b,cの順で規定された一連の動作指令である。CPU31は、実行した動作指令を順に記録して動作シーケンス(シーケンスレポート)とする。
電圧値出力部32は、記録された動作シーケンスに基づいて、CPU31が実行した各動作指令a,b,cに対応した各電圧値1V,2V,3Vを示す各デジタル信号を順次出力する。動作指令aは1Vの電圧値に対応し、動作指令bは2Vの電圧値に対応し、動作指令cは3Vの電圧値に対応し、動作指令dは4Vの電圧値に対応している。すなわち、互いに異なる各動作指令は、互いに異なる各電圧値に対応している。そして、電圧値出力部32は、各電圧値1V,2V,3Vを示す各デジタル信号ds(1V),ds(2V),ds(3V)を順次出力する。なお、ここでは、CPU31が所定動作指令を正常に実行した場合を例に説明している。
DAC33(第1変換部)は、電圧値出力部32により順次出力された各デジタル信号ds(1V),ds(2V),ds(3V)を、所定期間T継続する各アナログ電圧1V,2V,3Vに順次変換して送信する。例えば図3に示すように、DAC33は、時刻t1~t2までの所定期間Tにわたって1Vのアナログ電圧を送信し、時刻t2~t3までの所定期間Tにわたって2Vのアナログ電圧を送信し、時刻t3~t4までの所定期間Tにわたって3Vのアナログ電圧を送信する。
マイコンB40は、CPU41、判定部42、ADC(Analog to Digital Converter)43を備えている。CPU41は、上記所定動作指令を実行する。CPU41は、所定動作指令の各動作指令a,b,cに対応した各デジタル信号ds(1V),ds(2V),ds(3V)を、マイコンA30が実行する所定動作指令の各動作指令a,b,cに対応した期待値として有している。
ADC43(第2変換部)は、DAC33により順次送信された各アナログ電圧1V,2V,3Vを受信して順次、各アナログ電圧1V,2V,3Vに対応した各電圧値を示す各デジタル信号ds(1V),ds(2V),ds(3V)に所定期間T内に複数回変換して出力する。例えば図3に示すように、DAC33は、時刻t1~t2までの所定期間T内に1Vのアナログ電圧をデジタル信号ds(1V)に3回変換して出力し、時刻t2~t3までの所定期間T内に2Vのアナログ電圧をデジタル信号ds(2V)に3回変換して出力し、時刻t3~t4までの所定期間T内に3Vのアナログ電圧をデジタル信号ds(3V)に3回変換して出力する。
所定期間Tは、1つの電圧値を示すデジタル信号dsをシリアル通信でマイコンA30からマイコンB40へ送信するのに要する期間(例えば80μs)よりも短く、且つADC43によりアナログ電圧をデジタル信号dsに複数回(例えば3回)変換して出力可能な期間(例えば3μs)以上の期間である。なお、所定期間Tとして、3μsよりも長く且つ80μsよりも短い期間を採用することができる(3μs<T<80μs)。
図2に示すように、判定部42は、ADC43により順次出力された複数の各デジタル信号と、所定動作指令(動作シーケンス期待値)の各動作指令に対応した各デジタル信号dsとの比較に基づいて、マイコンA30が正常であるか否か判定する。具体的には、判定部42は、1つ目,2つ目,3つ目の所定期間Tにおいてそれぞれ出力されたデジタル信号dsと、所定動作指令の1つ目,2つ目,3つ目の動作指令にそれぞれ対応するデジタル信号dsとを比較する。判定部42は、ADC43により出力された各デジタル信号dsと、所定動作指令の各動作指令に対応した各デジタル信号dsとの相違度合が所定度合よりも小さいことを条件として、ADC43により出力された各デジタル信号dsと所定動作指令の各動作指令に対応した各デジタル信号dsとが同一であるとみなす。
例えば図3に示すように、1つ目の動作指令に対応するアナログ電圧(時刻t1~t2)をADC43により変換して出力したデジタル信号dsが、動作指令aに対応する下限値th11よりも大きく且つ上限値th12よりも小さい場合に、ADC43により出力された1つ目のデジタル信号dsと動作指令aに対応するデジタル信号ds(1V)とが同一であるとみなす。すなわち、マイコンA30により実行された1つ目の動作指令が、動作指令aであったと判定する。例えば、下限値th11は0.9Vであり、上限値th12は1.1Vである。一方、ADC43により出力されたデジタル信号dsが下限値th11以下である場合、及びADC43により出力されたデジタル信号dsが上限値th12以上である場合は、ADC43により出力されたデジタル信号dsと動作指令aに対応するデジタル信号ds(1V)とが同一でないとみなす。すなわち、マイコンA30により実行された1つ目の動作指令が、動作指令aでなかったと判定する。そして、判定部42は、2つ目及び3つ目の動作指令に対応するアナログ電圧(時刻t2~t3、時刻t3~t4)についても、同様に判定を行う。
さらに、判定部42は、ADC43により出力された3つのデジタル信号dsと、対応するデジタル信号dsとの比較結果により信号の連続性を確認し、マイコンA30が正常であるか否か判定する。詳しくは、判定部42は、ADC43により出力された3つのデジタル信号dsと、対応するデジタル信号dsとが、同一とみなす結果の連続性が確認できた場合に、マイコンA30が実行した動作指令、ひいてはマイコンA30が正常であると判定する。
図4は、正常時にノイズが混入した場合のアナログ電圧を示すタイムチャートである。時刻t1~t2において、判定部42は、ADC43により出力された3つのデジタル信号dsのうち、時刻t11に出力された1つのデジタル信号dsはデジタル信号ds(1V)と同一でないとみなし、残りの2つデジタル信号dsは動作指令aに対応するデジタル信号ds(1V)と同一であるとみなす。その結果、マイコンA30により実行された1つ目の動作指令が正常であると判定する。また、判定部42は、マイコンA30により実行された2つ目及び3つ目の動作指令(時刻t2~t3、時刻t3~t4)が正常であると判定する。したがって、判定部42は、総合結果としてマイコンA30が正常であると判定する。
図5は、シーケンス異常時のアナログ電圧を示すタイムチャートである。時刻t1~t2において、判定部42は、ADC43により出力された3つのデジタル信号dsは、いずれもデジタル信号ds(1V)と同一でないとみなす。その結果、マイコンA30により実行された1つ目の動作指令が異常であると判定する。また、判定部42は、マイコンA30により実行された2つ目及び3つ目の動作指令(時刻t2~t3、時刻t3~t4)が正常であると判定する。したがって、判定部42は、総合結果としてマイコンA30が異常であると判定する。
図6は、シーケンス異常時にノイズが混入した場合のアナログ電圧を示すタイムチャートである。時刻t1~t2において、判定部42は、ADC43により出力された3つのデジタル信号dsのうち、時刻t11に出力された1つのデジタル信号dsはデジタル信号ds(1V)と同一であるとみなし、残りの2つのデジタル信号dsは動作指令aに対応するデジタル信号ds(1V)と同一でないとみなす。その結果、マイコンA30により実行された1つ目の動作指令が異常であると判定する。また、判定部42は、マイコンA30により実行された2つ目及び3つ目の動作指令(時刻t2~t3、時刻t3~t4)が正常であると判定する。したがって、判定部42は、総合結果としてマイコンA30が異常であると判定する。ただし、ノイズが混入した場合に、時刻t11に出力されたデジタル信号dsが、偶然デジタル信号ds(1V)の下限値th11と上限値th12との間になることは希である。
図7は、正常時にノイズが混入した場合のアナログ電圧を示すタイムチャートである。時刻t1~t2において、判定部42は、ADC43により出力された3つのデジタル信号dsのうち、時刻t11に出力された1つのデジタル信号dsはデジタル信号ds(1V)と同一であるとみなし、残りの2つのデジタル信号dsは動作指令aに対応するデジタル信号ds(1V)と同一でないとみなす。その結果、1つ目の動作指令は正常であるにもかかわらず、判定部42は、マイコンA30により実行された1つ目の動作指令が異常であると判定する。また、判定部42は、マイコンA30により実行された2つ目及び3つ目の動作指令(時刻t2~t3、時刻t3~t4)が正常であると判定する。したがって、判定部42は、総合結果としてマイコンA30が異常であると判定する。すなわち、判定部42は、マイコンA30が正常である場合に異常であると誤判定する。しかし、マイコンA30が異常である場合に正常であると誤判定される場合と比べて、安全性が問題となる可能性は低い。
以上詳述した本実施形態は、以下の利点を有する。
・マイコンB40では、ADC43は、順次送信された各アナログ電圧を受信して順次、各アナログ電圧に対応した各電圧値を示す各デジタル信号dsに上記所定期間T内に複数回変換して出力する。このため、各動作指令に対応する各アナログ電圧を、所定期間T内に複数回出力することができる。さらに、各アナログ電圧の大きさが各動作指令を表すため、各動作指令を表すデジタル信号dsを送信する期間と比較して、継続して各アナログ電圧を送信する所定期間Tを短くすることができる。
・判定部42は、ADC43により順次出力された複数の各デジタル信号dsと、所定動作指令の各動作指令に対応した各デジタル信号dsとの比較に基づいて、マイコンA30が正常であるか否か判定する。このため、マイコンA30が実行した各動作指令が正常であるか否かを、実質的に複数回判定することができる。したがって、産業機器用の機能安全モジュールにおいて、マイコンA30が異常であると誤判定することを抑制しつつ、マイコンA30が正常であるか否かの判定を迅速に行うことができる。特に、単体のデジタル信号dsに対し監視を行うだけでなく、マイコンB40が本来受信するべきシーケンスパターン(動作シーケンス)全体を監視することにより、シーケンスパターンの順序を正確に守れているか否かを確認することができる。これにより、一見正常に動作しているかのように見える場合であっても、本来実行すべきプログラム(動作指令)の異常なスキップを検知可能である。
・ADC43は、受信した各アナログ電圧を、各アナログ電圧に対応した各電圧値を示す各デジタル信号dsに所定期間T内に3回変換して出力する。このため、マイコンA30が実行した各動作指令が正常であるか否か実質的に判定する回数を、3回にすることができる。さらに、3つ各デジタル信号dsと、所定動作指令の各動作指令に対応した各デジタル信号dsとの比較結果により信号の連続性を確認し、マイコンA30が正常であるか否か判定することができる。
・マイコンA30が実行した各動作指令が異常である場合は、ADC43により出力された各デジタル信号dsと、所定動作指令の各動作指令に対応した各デジタル信号dsとの相違度合が所定度合よりも大きくなる。このため、ADC43により出力された各デジタル信号dsと所定動作指令の各動作指令に対応した各デジタル信号dsとが同一であるとみなされない。一方、マイコンA30が実行した各動作指令が正常である場合は、ADC43により出力された各デジタル信号dsと、所定動作指令の各動作指令に対応した各デジタル信号dsとの相違度合が所定度合よりも小さくなる。このため、ADC43により出力された各デジタル信号dsと所定動作指令の各動作指令に対応した各デジタル信号dsとが同一であるとみなされる。
・マイコンA30が実行した各動作指令が異常であり、且つDAC33により送信された各アナログ電圧にノイズが混入した場合に、正常な各動作指令に対応する各アナログ電圧に、受信した各アナログ電圧が偶然近くなることは希である。このため、マイコンA30が実行した各動作指令が異常である場合に、マイコンA30が実行した各動作指令が正常であると誤判定することを抑制することができる。
・電圧値出力部32により出力された各デジタル信号の継続期間が所定期間Tからずれた場合も、ADC43により出力された各デジタル信号dsと所定動作指令の各動作指令に対応した各デジタル信号dsとが同一であるとみなされなくなるため、判定部42はマイコンA30が異常であると判定することができる。
なお、上記実施形態を、以下のように変更して実施することもできる。上記実施形態と同一の部分については、同一の符号を付すことにより説明を省略する。
・判定部42は、ADC43により順次出力された複数の各デジタル信号と、所定動作指令の各動作指令に対応した各デジタル信号との比較に基づいて、DAC33及びADC43の少なくとも一方が異常であると判定してもよい。具体的には、ADC43により出力されたデジタル信号がいずれも、所定動作指令の各動作指令に対応した各デジタル信号として取り得ない値である場合、例えば1.5Vと2.5Vと3.5Vである場合や、一律に0Vである場合に、DAC33及びADC43の少なくとも一方が異常であると判定することができる。
・DAC33は、CPU31が所定動作指令を実行した後に、最後に実行された動作指令に対応するアナログ電圧から、最初に実行された動作指令に対応するアナログ電圧まで順に送信してもよい。そして、CPU41は、所定動作指令の各動作指令a,b,cに対応した各デジタル信号ds(1V),ds(2V),ds(3V)を、マイコンA30が実行する所定動作指令の各動作指令a,b,cに逆順で対応する期待値として有していてもよい。
・判定部42は、ADC43により出力された4つ以上のデジタル信号dsと、所定動作指令の各動作指令に対応するデジタル信号dsとの比較結果により信号の連続性を確認し、マイコンA30が正常であるか否か判定してもよい。また、判定部42は、ADC43により出力された3つ(4つ)以上のデジタル信号dsと、所定動作指令の各動作指令に対応するデジタル信号dsとの比較結果の多数決により、マイコンA30が正常であるか否か判定してもよい。
・判定部42は、2つのデジタル信号の相違度合が所定度合よりも小さいことを、2つのデジタル信号の比の値が1を含む所定範囲内であることにより判定してもよい。例えば、DC43により出力された各デジタル信号dsと所定動作指令の各動作指令に対応する各デジタル信号dsとの比の値が、0.9よりも大きく且つ1.1よりも小さい場合に、これらのデジタル信号dsの相違度合が所定度合よりも小さいと判定する。
・判定部42は、ADC43により出力された3つ以上の各デジタル信号と、所定動作指令の各動作指令に対応した各デジタル信号とが、同一とみなす結果の数が同一とみなさない結果の数よりも多く、且つ同一とみなさない結果が少なくとも1つ生じている場合に、ノイズが発生したと判定してもよい。例えば、図4の時刻t1~t2のアナログ電圧に対して、判定部42は、ノイズが発生したと判定してもよい。こうした構成によれば、判定部42は、マイコンA30が正常であるか否の判定に限らず、ノイズが発生したことを判定することができる。
・判定部42は、所定期間Tにおいて、ADC43により出力された各デジタル信号と、所定動作指令の各動作指令に対応する各デジタル信号とを、同一とみなす期間の長さと同一とみなさない期間の長さとの比較に基づいて、マイコンA30が正常であるか否か判定することもできる。
・電圧値出力部32の機能をCPU31が有していてもよい。判定部42の機能をCPU41が有していてもよい。
・マイコンA30がADC43を備え、マイコンB40がDAC33を備えていてもよい。そして、マイコンA30は、上記実施形態と同様に、マイコンB40が正常であるか否か判定してもよい。
・機能安全モジュール20は、安全PLC100と非常停止スイッチ110との間に接続され、非常停止スイッチ110の状態に応じて安全を管理する機能安全モジュールに限らない。すなわち、機能安全モジュール20は、コントローラ120(産業機器)と非常停止スイッチ110との間に接続され、非常停止スイッチ110の状態に応じて安全を管理する機能安全モジュールであってもよい。また、機能安全モジュール20は、安全PLC100と人感センサ(産業機器)との間に接続され、人感センサの状態に応じて安全を管理する機能安全モジュールであってもよい。
20…機能安全モジュール、30…マイコンA、32…電圧値出力部、33…DAC、40…マイコンB、42…判定部、43…ADC、100…安全PLC、110…非常停止スイッチ、120…コントローラ、130…ロボット。

Claims (7)

  1. 産業機器間に接続され、産業機器の状態に応じて安全を管理する機能安全モジュールであって、
    複数の動作指令を含む共通の所定動作指令を実行する第1制御部と第2制御部とを備え、
    前記第1制御部は、
    前記第1制御部が実行した各動作指令に対応した各電圧値を示す各デジタル信号を順次出力する電圧値出力部と、
    前記電圧値出力部により順次出力された前記各デジタル信号を、所定期間継続する各アナログ電圧に順次変換して送信する第1変換部と、を備え、
    前記第2制御部は、
    前記第1変換部により順次送信された前記各アナログ電圧を受信して順次、前記各アナログ電圧に対応した各電圧値を示す各デジタル信号に前記所定期間内に複数回変換して出力する第2変換部と、
    前記第2変換部により順次出力された複数の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号との比較に基づいて、前記第1制御部が正常であるか否か判定する判定部と、を備える、
    産業機器用の機能安全モジュール。
  2. 前記第2変換部は、前記受信した前記各アナログ電圧を、前記各アナログ電圧に対応した各電圧値を示す各デジタル信号に前記所定期間内に3回以上変換して出力し、
    前記判定部は、前記第2変換部により出力された3つ以上の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号との比較結果により信号の連続性を確認し、前記第1制御部が正常であるか否か判定する、請求項1に記載の産業機器用の機能安全モジュール。
  3. 前記判定部は、前記第2変換部により出力された3つ以上の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号とが、同一とみなす結果の連続性が確認できた場合に、前記第1制御部が正常であると判定する、請求項2に記載の産業機器用の機能安全モジュール。
  4. 前記判定部は、前記第2変換部により出力された3つ以上の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号とが、同一とみなさない結果の数が同一とみなす結果の数よりも多い場合に、前記第1制御部が異常であると判定する、請求項2又は3に記載の産業機器用の機能安全モジュール。
  5. 前記判定部は、前記第2変換部により出力された3つ以上の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号とが、同一とみなす結果の数が同一とみなさない結果の数よりも多く、且つ同一とみなさない結果が少なくとも1つ生じている場合に、ノイズが発生したと判定する、請求項2~4のいずれか1項に記載の産業機器用の機能安全モジュール。
  6. 前記判定部は、前記第2変換部により出力された前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号との相違度合が所定度合よりも小さいことを条件として、前記第2変換部により出力された前記各デジタル信号と前記所定動作指令の前記各動作指令に対応した前記各デジタル信号とが同一であるとみなす、請求項1~5のいずれか1項に記載の産業機器用の機能安全モジュール。
  7. 前記判定部は、前記第2変換部により順次出力された複数の前記各デジタル信号と、前記所定動作指令の前記各動作指令に対応した前記各デジタル信号との比較に基づいて、前記第1変換部及び前記第2変換部の少なくとも一方が異常であると判定する、請求項1~6のいずれか1項に記載の産業機器用の機能安全モジュール。
JP2018160260A 2018-08-29 2018-08-29 産業機器用の機能安全モジュール Active JP7014102B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018160260A JP7014102B2 (ja) 2018-08-29 2018-08-29 産業機器用の機能安全モジュール
US16/541,263 US11131981B2 (en) 2018-08-29 2019-08-15 Functional safety module for industrial devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018160260A JP7014102B2 (ja) 2018-08-29 2018-08-29 産業機器用の機能安全モジュール

Publications (2)

Publication Number Publication Date
JP2020035129A JP2020035129A (ja) 2020-03-05
JP7014102B2 true JP7014102B2 (ja) 2022-02-01

Family

ID=69639584

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018160260A Active JP7014102B2 (ja) 2018-08-29 2018-08-29 産業機器用の機能安全モジュール

Country Status (2)

Country Link
US (1) US11131981B2 (ja)
JP (1) JP7014102B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023077457A1 (zh) * 2021-11-05 2023-05-11 美的集团股份有限公司 一种工业机器人的安全控制系统及安全控制器
CN118318210A (zh) * 2022-01-26 2024-07-09 株式会社日立产机系统 控制装置和加工设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007026010A (ja) 2005-07-15 2007-02-01 Yaskawa Electric Corp 安全関連信号処理システムの無線通信方法
US20140190773A1 (en) 2011-08-11 2014-07-10 Inventio Ag Test method for an elevator system and a monitoring device for carrying out the test method
JP2014144495A (ja) 2013-01-28 2014-08-14 Yaskawa Electric Corp ロボットシステム
JP2016081340A (ja) 2014-10-17 2016-05-16 株式会社東芝 多重化制御装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5519220U (ja) * 1978-07-21 1980-02-06
JPH01122240A (ja) * 1987-11-05 1989-05-15 Toshiba Corp データ通信方式
JPH09319703A (ja) * 1996-05-31 1997-12-12 Hitachi Ltd 情報処理装置のシステムバス信号送受方法および情報処理システム
DK1764694T3 (da) * 2005-09-16 2008-11-24 Siemens Transportation Systems Fremgangsmåde og system til redundant styring af sikrede computere
WO2008038710A1 (en) * 2006-09-28 2008-04-03 Mitsubishi Electric Corporation Fault detector, fault detection method, and fault detection program
JP6759852B2 (ja) 2016-08-22 2020-09-23 株式会社デンソーウェーブ I/oモジュール
EP3351905B1 (en) * 2017-01-19 2020-03-11 Melexis Technologies NV Sensor with self diagnostic function
JP7471240B2 (ja) * 2018-06-14 2024-04-19 テクトロニクス・インコーポレイテッド 試験測定装置及び試験測定装置の送信部

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007026010A (ja) 2005-07-15 2007-02-01 Yaskawa Electric Corp 安全関連信号処理システムの無線通信方法
US20140190773A1 (en) 2011-08-11 2014-07-10 Inventio Ag Test method for an elevator system and a monitoring device for carrying out the test method
JP2014144495A (ja) 2013-01-28 2014-08-14 Yaskawa Electric Corp ロボットシステム
JP2016081340A (ja) 2014-10-17 2016-05-16 株式会社東芝 多重化制御装置

Also Published As

Publication number Publication date
US11131981B2 (en) 2021-09-28
US20200073359A1 (en) 2020-03-05
JP2020035129A (ja) 2020-03-05

Similar Documents

Publication Publication Date Title
US10173321B2 (en) Robot system provided with a plurality of controllers which operate a plurality of industrial robots
US9170569B2 (en) Method for electing an active master device from two redundant master devices
JP7014102B2 (ja) 産業機器用の機能安全モジュール
US11662714B2 (en) Control system for controlling safety-critical and non-safety-critical processes
CN104471495B (zh) 控制装置以及控制方法
US20150149662A1 (en) I/o module and process control system
KR102044328B1 (ko) 풀코드 스위치 모니터링 방법, 풀코드 스위치모니터링 장치, 및 이를 포함하는 벨트콘베어 시스템
JP3978617B2 (ja) 安全ユニットの入力装置
US8923992B2 (en) Safety extension base and control method thereof
US20210083682A1 (en) Analog input device
JP5803170B2 (ja) ロボットのコントローラ
DE102011117896B4 (de) Sicherheitsgerichteter Slave für ein Actuator-Sensor-Interface (AS-i) System
JP2008152543A (ja) 外部信号入出力ユニットの診断方法及びシステム
JP4881702B2 (ja) モータ制御装置
KR101523168B1 (ko) 아날로그 입력모듈의 오프셋 및 게인 설정 시스템 및 방법
US11150624B2 (en) System and method for fail-safe provision of an analog output value
JP5921895B2 (ja) 車両誘導システム、車両誘導方法および点灯装置
CN114175485B (zh) 电子设备
JP6714981B2 (ja) 多重化制御装置
DE102017010691B4 (de) Sichere Übertragung von Daten in einer Automatisierungsanlage
KR101313202B1 (ko) 로봇 제어 시스템 및 이의 고장 방지 방법
SU1546308A1 (ru) Устройство дл управлени сочлененными локомотивами
JP2591862B2 (ja) 電源制御信号変換装置
SU1402455A1 (ru) Устройство дл управлени сочлененными локомотивами
JPH0468797A (ja) 制御システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220103

R150 Certificate of patent or registration of utility model

Ref document number: 7014102

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250