JPWO2009060953A1 - 安全制御装置 - Google Patents

安全制御装置 Download PDF

Info

Publication number
JPWO2009060953A1
JPWO2009060953A1 JP2009540101A JP2009540101A JPWO2009060953A1 JP WO2009060953 A1 JPWO2009060953 A1 JP WO2009060953A1 JP 2009540101 A JP2009540101 A JP 2009540101A JP 2009540101 A JP2009540101 A JP 2009540101A JP WO2009060953 A1 JPWO2009060953 A1 JP WO2009060953A1
Authority
JP
Japan
Prior art keywords
output
command
unit
output signal
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009540101A
Other languages
English (en)
Other versions
JP4832572B2 (ja
Inventor
晴幸 倉地
晴幸 倉地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2009540101A priority Critical patent/JP4832572B2/ja
Publication of JPWO2009060953A1 publication Critical patent/JPWO2009060953A1/ja
Application granted granted Critical
Publication of JP4832572B2 publication Critical patent/JP4832572B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)
  • Hardware Redundancy (AREA)

Abstract

高速のCPUを用いることなく、応答時間を短縮することができる安全制御装置を得ることために、指令判別部21a、21bは、入力された出力指令がON指令であるのかOF指令であるのかを判別し、照合部22a、22bは、自身の指令判別部21a、21bの判別結果を相手側に送信して指令判別部21a、21bの判別結果を照合する。出力部24a、24bは、指令判別部21a、21bの判別結果がOFF指令である場合、または照合部22a、22bの照合結果が不一致である場合には、スイッチSW1aをOFFにする出力信号を出力する。

Description

本発明は、外部から入力される出力指令に基づいて対象となる機器に安全動作をさせるのか動作許可するのかを制御する処理部を一つまたは複数備える安全制御装置に関するものであり、特に、安全動作させる指示を出力する応答時間を短縮する安全制御装置に関するものである。
FA(Factory Automation)のロボットなどの機器の制御システムでは、その安全性が重要となり、異常を検出した場合には機器を停止させる必要がある。システムが正常に動作している場合に機器を停止させるには、機器に対して動作停止の指令を出力して機器を停止させることが可能である。しかし、システムに異常が発生した場合は、動作停止の指令を機器に対して出力しても正常にその命令が実行されるかどうかわからない。そのため、機器と電源とを接続するスイッチを制御する安全制御装置によって、スイッチをOFFにして機器への動力の供給を停止し、強制的に機器の動作を停止させることがある。
安全制御装置は、一般的に、外部から入力される指令の判別を2重化して処理し、2つの判別結果が一致している場合には入力された指令に基づいた制御を行ない、2つの判別結果が不一致の場合には安全な制御(この場合は、機器を停止させる)を行うことで安全性を高めるようにしている。
また、安全制御装置の性能は、安全状態が確認できなくなった時点から、対象となる機器が停止するまでの応答時間によって決まる。よって、指令を受けてから機器を停止させる出力信号を出力するまでの処理時間を短縮することが、安全制御装置の性能を向上することとなる。
2重化制御の処理を高速化する従来技術として、たとえば、特許文献1がある。特許文献1には、演算制御部と入出力制御部とを異なるCPU素子で機能分担したマルチプロセッサ方式の制御装置を2台並列に設けてなる2重化制御装置において、2重化された各々の入出力制御部の入出力データ照合比較処理をデータ転送と同時に実行することにより、両系の不一致検出を短時間で行う技術が開示されている。
特開昭59−43450号公報
上記特許文献1に記載の従来技術では、一方のCPUの演算制御部が自身と他方のCPUの入出力制御部に演算結果を送信し、他方のCPUの演算制御部が自身と一方のCPUの入出力制御部に演算結果を送信するようにしているため、演算制御部が、自身が属するCPUの入出力制御部に演算結果を送信し、入出力制御部同士がその演算結果を送信しあう場合と比較して、通信時間を短縮することができる。
ここで、上記特許文献1に記載の従来技術を安全制御装置に適用すると、演算制御部が指令を判別する指令判別部に相当し、入出力制御部が判別結果を照合する照合部に相当する。この場合、安全制御装置の応答時間は、指令判別部による指令の判別処理に要する判別処理時間と、指令判別部が各照合部に判別結果を送信する通信処理に要する通信処理時間と、照合部が判別結果を照合する照合処理に要する照合処理時間との和となる。
しかしながら、上記特許文献1に記載の従来技術を安全制御装置に適用した場合、判別処理、通信処理、および照合処理を必ず行なう必要があり、これ以上の応答時間の短縮は困難であるという問題があった。この問題を改善するためには、より処理能力の高いCPUを用いることが考えられるが、その場合、コストが高くなるという問題が生じてしまう。また、通信処理は、CPU間の通信であるため、CPU内部で実行する判別処理および照合処理と比較してその処理付加は大きい。そのため、通信処理時間が応答時間を決定する要因となっている。
本発明は、上記に鑑みてなされたものであって、高速のCPUを用いることなく、応答時間を短縮することができる安全制御装置を得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、外部から入力される出力指令に基づいて対象となる機器に安全動作をさせるのか動作許可するのかを制御する処理部を複数備える安全制御装置であって、前記各処理部は、前記出力指令が安全動作指令であるのか、動作許可指令であるのかを判別する指令判別手段と、自身の指令判別手段の判別結果を他の処理部に送信するとともに、他の処理部の判別結果を受信し、受信した他の処理部の判別結果と自身の指令判別手段の判別結果とが全て一致しているか否かを照合する照合手段と、前記指令判別手段の判別結果が安全動作指令の場合、または前記照合手段の照合結果が不一致である場合には、前記機器を安全動作させる出力信号を出力し、前記指令判別手段の判別結果が動作許可指令であってかつ前記照合手段の照合結果が一致である場合には、前記機器を動作許可させる出力信号を出力する出力手段と、を備えることを特徴とする。
この発明によれば、外部から入力される出力指令が安全動作指令であるのか、動作許可指令であるのかを複数の指令判別部が判別し、それぞれの判別結果のうち1つでも安全動作指令であると判別した場合には、他の指令判別部の判別結果が動作許可指令であっても判別結果が不一致となって機器を安全動作をさせる出力信号を出力することに着目し、判別結果が安全動作指令である場合には他の指令判別部の判別結果と照合することなく、機器を安全動作させる出力信号を出力するようにしているため、高性能のCPUを用いて判別結果の通信や照合処理を高速化することなく、応答時間を短縮した高性能の安全制御装置を得ることができるという効果を奏する。
図1は、実施の形態1の安全制御装置が適用されるネットワークシステムの構成の一例を示す図である。 図2は、実施の形態1の安全制御装置の構成を示すブロック図である。 図3は、判別結果と出力信号との関係を示す図である。 図4は、図2に示したA系処理部の動作を説明するためのフローチャートである。 図5は、実施の形態1の安全制御装置の動作を説明するためのシーケンス図である。 図6は、実施の形態1の安全制御装置の動作を説明するためのシーケンス図である。 図7は、実施の形態1の安全制御装置の動作を説明するためのシーケンス図である。 図8は、実施の形態2の安全制御装置の構成を示すブロック図である。 図9は、実施の形態2の安全制御装置の動作を説明するためのシーケンス図である。 図10は、実施の形態2の安全制御装置の動作を説明するためのシーケンス図である。 図11は、実施の形態3の安全制御装置の構成を示すブロック図である。 図12は、実施の形態3の安全制御装置の動作を説明するためのシーケンス図である。 図13は、実施の形態3の安全制御装置の動作を説明するためのシーケンス図である。 図14は、実施の形態4の安全制御装置の構成を示すブロック図である。 図15は、実施の形態4の安全制御装置の動作を説明するためのシーケンス図である。 図16は、実施の形態4の安全制御装置の動作を説明するためのシーケンス図である。
符号の説明
1a、1b 指令受信部
2a、3a、4a、5a A系処理部
2b、3b、4b、5b B系処理部
21a、21b 指令判別部
22a、22b 照合部
23a、23b シリアルドライバ
24a、24b 出力部
25a、33a、54a、25b、33b、54b 異常処理部
31a、51a、31b、51b タイマ
32a、41a、52a、32b、41b、52b ダークテスト実行部
53a、53b 故障診断実行部
70 電源
80 制御リモートI/O局
81a、81b 機器
82 安全リモートI/O局
90 リモートマスタ局
91 ネットワーク
SW1a、SW1b、SW2a、SW2b スイッチ
以下に、この発明における安全制御装置の実施の形態を図面に基づいて詳細に説明する。なお、これらの実施の形態によりこの発明が限定されるものではない。
実施の形態1.
図1〜図7を参照してこの発明の実施の形態1を説明する。図1は、この発明における実施の形態1の安全制御装置が適用されるネットワークシステムの構成の一例を示す図である。図1において、ネットワークシステムは、制御・監視対象となる機器81a、81b(たとえば、ロボットなど)が接続される制御リモートI/O局80と、機器81a、81bと電源70とを接続/遮断するスイッチSW1a、SW1b、SW2a、SW2bを制御する安全リモートI/O局82と、リモートマスタ局90とが、ネットワーク91によって接続され、リモートマスタ局90が安全リモートI/O局82を介してスイッチSW1a、SW1b、SW2a、SW2bを制御して機器81a、81bと電源70とを接続/遮断することで機器81a、81bへの動力供給を制御し、制御リモートI/O局80を介して機器81a、81bを制御監視する。
図1においては、電源70と機器81aとの間にスイッチSW1a、SW1bが直列に配置され、スイッチSW1a、SW1bがともにONになると機器81aと電源70とが接続されて機器81aに動力が供給され、スイッチSW1a、SW1bの一方がOFFになると機器81aと電源70とが遮断されて機器81aへの動力の供給が停止する。また、電源70と機器81bとの間にスイッチSW2a、SW2bが直列に配置され、スイッチSW2a、SW2bがともにONになると機器81bと電源70とが接続されて機器81bに動力が供給され、スイッチSW2a、SW2bの一方がOFFになると機器81bと電源70とが遮断されて機器81bへの動力の供給が停止する。
リモートマスタ局90は、機器81a、81bを動作させる(機器81a、81bに動力を供給する)場合には、スイッチSW1a、SW2aをONにし、スイッチSW1b、SW2bをONにする出力指令を安全リモートI/O局82に送信する。また、リモートマスタ局90は、機器81a、81bを停止させる(機器81a、81bへの動力供給を停止する)場合には、スイッチSW1a、SW2aをOFFにし、スイッチSW1b、SW2bをOFFにする出力指令を安全リモートI/O局82に送信する。
安全リモートI/O局82は、リモートマスタ局90からの出力指令に基づいてスイッチSW1a、SW1b、SW2a、SW2bをON/OFFする出力信号を出力する。このように、機器81a、81bへの動力の供給は、2つのスイッチSW1a、SW2aとスイッチSW1b、SW2bとによって2重化されている。
安全リモートI/O局82には、機器81aに対応するスイッチSW1a、SW1bを制御する安全制御装置と、機器81bに対応するスイッチSW2a、SW2bを制御する安全制御装置とを備えている。以下、機器81aに対応するスイッチSW1a、SW1bを制御する安全制御装置を例に挙げて説明する。
図2は、この発明における実施の形態1の安全制御装置の構成を示すブロック図である。図2において、安全制御装置は、指令受信部1a、1bと、指令判別部21a、照合部22a、シリアルドライバ23a、出力部24a、および異常処理部25aを有するA系処理部2aと、指令判別部21b、照合部22b、シリアルドライバ23b、出力部24b、および異常処理部25bを有するB系処理部2bとを備えている。
指令受信部1aは、ネットワーク91を介してリモートマスタ局90からの出力指令を受信するインタフェース機能を有し、受信した出力指令をA系処理部2aの指令判別部21aと、指令受信部1bとに出力する。指令受信部1bは、指令受信部1aからの出力指令を受信してB系処理部2bの指令判別部21bに出力する。
A系処理部2aはスイッチSW1aを制御する処理部であり、B系処理部2bはスイッチSW1bを制御する処理部である。A系処理部2aとB系処理部2bとは同一機能を有しており、それぞれ異なるハードウェア、またはMPU(Micro Processing Unit)によって各機能が実現される。
指令判別部21a、21bは、入力された出力指令から自身の系列(A系またはB系)に対する指令を抽出し、抽出した指令がON指令であるのかOFF指令であるのかを判別する。指令判別部21a、21bは、判別結果を照合部22a、22bに出力する。また、指令判別部21a、21bは、判別結果がOFF指令の場合のみ出力信号をOFFにする旨を通知する出力指示(OFF出力指示)を出力部24a、24bに通知する。
シリアルドライバ23a、23bは、相手側処理部(A系処理部2aの場合はB系処理部2bであり、B系処理部2bの場合はA系処理部2a)とのシリアル通信インタフェース機能を有している。照合部22a、22bは、シリアルドライバ23a、23bを介して指令判別部21a、21bから通知された判別結果(自身の判別結果)を相手側処理部に送信する。また、照合部22a、22bは、シリアルドライバ23a、23bを介して受信した相手側処理部の判別結果と自身の判別結果とを照合する。照合部22a、22bは、照合結果が一致した場合には自身の判別結果を出力信号とする旨を通知する出力指示(判別結果がON指令の場合にはON出力指示であり、判別結果がOFF指令の場合にはOFF出力指示)を出力部24a、24bに出力し、照合結果が不一致の場合にはその旨を異常処理部25a、25bに通知する。
出力部24a、24bは、指令判別部21a、21bおよび照合部22a、22bからの出力指示に基づいて対応するスイッチSW1a、SW1bをON/OFFする出力信号をスイッチSW1a、SW1bに出力する。具体的には、出力部24a、24bは、ON出力指示を受けた場合にスイッチSW1a、SW1bをONにするON出力信号をスイッチSW1a、SW1bに出力し、OFF出力指示を受けた場合にスイッチSW1a、SW1bをOFFにするOFF出力信号をスイッチSW1a、SW1bに出力する。
異常処理部25a、25bは、照合部22a、22bから照合結果が不一致である旨が通知されると、照合結果の不一致に対応する異常処理を実行する。照合結果の不一致に対応する異常処理とは、たとえば、照合結果が不一致となったことをリモートマスタ局90に通知したり、安全リモートI/O局82の表示手段に判別結果が不一致となったことを表示するなどの処理である。
図3は、A系処理部2aおよびB系処理部2bに対する指令の判別結果と出力信号との関係を示す図である。図3に示すように、A系処理部2aの指令判別部21aの判別結果が「ON」であってB系処理部2bの指令判別部21bの判別結果が「ON」の場合には、A系処理部2aおよびB系処理部2bが出力する出力信号はともに「ON」となり、スイッチSW1a、SW1bがともに「ON」になって機器81aに電源が供給され、機器81aは動作する。
A系処理部2aの指令判別部21aの判別結果が「ON」であってB系処理部2bの指令判別部21bの判別結果が「OFF」の場合、A系処理部2aの指令判別部21aの判別結果が「OFF」であってB系処理部2bの指令判別部21bの判別結果が「ON」の場合、判別結果が不一致であるので、A系処理部2aおよびB系処理部2bが出力する出力信号はともに「OFF」となり、スイッチSW1a、SW1bがともに「OFF」になって機器81aには電源が供給されず、機器81aは停止する。
A系処理部2aの指令判別部21aの判別結果が「OFF」であってB系処理部2bの指令判別部21bの判別結果が「OFF」の場合には、A系処理部2aおよびB系処理部2bが出力する出力信号はともに「OFF」となり、スイッチSW1a、SW1bがともに「OFF」になって機器81aに電源が供給されず、機器81aは停止する。
上述したように、安全制御装置を備える安全リモートI/O局82が制御するスイッチSW1a、SW1bは電源70と機器81aとの間に直列に配置されており、リモートマスタ局90は、機器81aを動作させる場合にはスイッチSW1aをONにしスイッチSW1bをONにする出力指令を安全リモートI/O局82内の安全制御装置に送信し、機器81aを停止させる場合には、スイッチSW1aをOFFにし、スイッチSW1bをOFFにする出力指令を安全リモートI/O局82内の安全制御装置に送信する。したがって、A系処理部2aの指令判定部21aの判定結果とB系処理部2bの指令判定部21bの判定結果とは一致する。
しかし、通信エラーやリモートマスタ局90からの指令ミスなどによりA系処理部2aの指令判別部21aの判別結果とB系処理部2bの指令判別部21bの判別結果とが不一致になることがある。この場合、何らかの異常が発生しているので機器81aに動力を供給して動作させることは危険である。よって、安全制御装置は、安全サイドの処理としてスイッチSW1a、SW1bをOFFにするOFF出力信号を出力して機器81aへの動力供給を停止して機器81aを停止させるようにしている。
つぎに、この発明における実施の形態1の安全制御装置の動作について説明する。まず、図4のフローチャートを参照してA系処理部2aの動作について説明する。ネットワーク91を介してリモートマスタ局90からの出力指令を受信すると、指令受信部1aは、受信した出力指令をA系処理部2aの指令判別部21aと、指令受信部1bとに出力する。
指令受信部1aから出力指令を受けると(ステップS100、Yes)、指令判別部21aは、出力指令から自身の系列(この場合はA系列、すなわちスイッチSW1a)に対する指令を抽出し、抽出した指令がON指令であるのかOFF指令であるのかを判別する指令判別処理を実行する(ステップS101)。指令判定部21aは、指令判別処理によって得られた判別結果を照合部22aに出力する。
判別結果がOFF指令の場合(ステップS101、Yes)、指令判別部21aは、OFF出力指示を出力部24aに通知する。出力部24aは、OFF出力信号をスイッチSW1aに出力する(ステップS102)。
一方、指令判別部21aから判別結果を受けると、照合部22aは、シリアルドライバ23aを介して、判別結果を別系であるB系列処理部2bに送信する(ステップS103)。その後、照合部22aは、B系列処理部2bからの判別結果の受信待ちとなる。
シリアルドライバ23aを介して、B系列処理部2bからの判別結果を受信すると(ステップS104、Yes)、照合部22aは、指令判別部21aから通知された判別結果とB系列処理部2bから受信した判別結果とが一致しているか否かを判定する照合処理を実行する(ステップS105)。
照合処理によって指令判別部21aから通知された判別結果とB系列処理部2bから受信した判別結果とが一致している照合結果が得られた場合(ステップS105、Yes)、照合部22aは、指令判別部21aから通知された判別結果がON指令であるか否かを判定する(ステップS106)。
指令判別部21aから通知された判別結果がON指令であると判定した場合(ステップS106、Yes)、照合部22aは、ON出力指示を出力部24aに通知する。出力部24aは、ON出力信号をスイッチSW1aに出力して処理を終了する(ステップS107)。指令判別部21aから通知された判別結果がOFF指令であると判定した場合(ステップS106、No)、照合部22aは、出力部24aに通知することなく処理を終了する。
一方、照合処理によって指令判別部21aから通知された判別結果とB系列処理部2bから受信した判別結果とが不一致であるという照合結果が得られた場合(ステップS105、No)、照合部22aは、OFF出力指示を出力部24aに通知する。出力部24aは、OFF出力信号をスイッチSW1aに出力する(ステップS108)。照合部22aは、照合結果が不一致である旨を異常処理部25aに出力する。異常処理部25aは、予め定められた異常処理を実行して処理を終了する(ステップS109)。
B系処理部2bの動作は、A系処理部2aの動作とほぼ同じであり、相違点は、自身がB系処理部2bであり、相手側処理部がA系処理部2aであり、制御対象のスイッチがSW1bであることだけであるので、ここでは説明を省略する。
つぎに、図5のシーケンス図を参照して、A系処理部2aの指令判別部21aおよびB系処理部2bの指令判別部21bの判別結果がともにOFF指令の場合の安全制御装置の動作について説明する。ネットワーク91を介してリモートマスタ局90からの出力指令を受信すると、指令受信部1aは、受信した出力指令をA系処理部2aの指令判別部21aと、指令受信部1bとに出力する。指令受信部1bは、指令受信部1aから受信した出力指令をB系処理部2bの指令判別部21bに出力する。
指令受信部1a、1bからの出力指令を受信し(ステップS200a、S200b)、指令判別部21a、21bは、先の図4のフローチャートを参照して説明したステップS101の指令判別処理を実行する(ステップS201a、S201b)。
ここで、指令判別部21a、21bの判別結果がともにOFF指令であったとする。指令判別部21a、21bは、出力部24a、24bにOFF出力指示を通知し、出力部24a、24bは、OFF出力信号をスイッチSW1a、SW1bに出力する(ステップS202a、S202b)。これにより、スイッチSW1a、SW1bがOFFになり、機器81aへの動力の供給が停止されて機器81aが停止する。
また、指令判別部21a、21bは、判別結果がOFF指令であることを照合部22a、22bに通知する。照合部22a、22bは、相手側である照合部22b、22aに判別結果がOFF指令であることを送信するとともに、相手側からの判別結果がOFF指令であることを受信する(ステップS203a、S203b)。
照合部22a、22bは、先の図4のフローチャートを参照して説明したステップS105の照合処理を実行する(ステップS204a、S204b)。ここでは、照合部22a、22bは、自身の判別結果がOFF指令であり、相手側から受信した判別結果もOFF指令であるので、照合結果は一致(OK)となり、処理を終了する。
このように、A系処理部2aおよびB系処理部2bの判別結果がともにOFF指令である場合、指令の受信を開始した時刻t0からスイッチSW1a、SW1bをOFFにする時刻t1までに要する時間は、判別結果の送受信に要する時間T3および照合処理に要する時間T4とは関係なく、指令を受信してその指令を判別する指令判別処理に要する時間T1と、「OFF」の出力信号を出力するのに要する時間T2との和となる。
つぎに、図6のシーケンス図を参照して、A系処理部2aの指令判別部21aの判別結果とB系処理部2bの指令判別部21bの判別結果とがともにON指令である場合の安全制御装置の動作について説明する。ネットワーク91を介してリモートマスタ局90からの出力指令を受信すると、指令受信部1aは、受信した出力指令を指令判別部21aと、指令受信部1bとに出力する。指令受信部1bは、指令受信部1aから受信した出力指令を指令判別部21bに出力する。
指令受信部1a、1bからの出力指令を受信し(ステップS300a、S300b)、指令判別部21a、21bは、先の図4のフローチャートを参照して説明したステップS101の指令判別処理を実行する(ステップS301a、S301b)。
ここで、A系処理部2aの指令判別部21aの判別結果とB系処理部2bの指令判別部21bの判別結果がともにON指令であったとする。指令判別部21a、21bは、判別結果がON指令であることを照合部22a、22bに通知する。照合部22a、22bは、相手側である照合部22b、22aに判別結果がON指令であることを送信するとともに、相手側からの判別結果がON指令であることを受信する(ステップS302a、S302b)。
照合部22a、22bは、先の図4のフローチャートを参照して説明したステップS105の照合処理を実行する(ステップS303a、S303b)。ここでは、照合部22a、22bは、ともに自身の判別結果がON指令であり、相手側から受信した判別結果もON指令あるので、照合結果は一致(OK)となる。照合部22a、22bは、自身の判別結果がON指令であるので、出力部24a、24bにON出力指示を通知し、出力部24a、24bは、ON出力信号をスイッチSW1a、SW1bに出力する(ステップS304a、S304b)。これにより、スイッチSW1a、SW1bがONになり、機器81aに動力が供給されて機器81aが動作を開始する。
このように、A系処理部2aおよびB系処理部2bの判別結果がともにON指令の場合、指令の受信を開始した時刻t0からスイッチSW1a、SW1bをONにする時刻t1aまでに要する時間は、指令を受信してその指令を判別する指令判別処理に要する時間T1と、判別結果の送受信に要する時間T3と、照合処理に要する時間T4と、「ON」の出力信号を出力するのに要する時間T2との和となる。
つぎに、図7のシーケンス図を参照して、A系処理部2aの指令判別部21aの判別結果が「OFF」であって、B系処理部2bの指令判別部21bの判別結果が「ON」である場合を例に挙げて、A系処理部2aの指令判別部21aの判別結果とB系処理部2bの指令判別部21bの判別結果とが異なる場合の安全制御装置の動作について説明する。
ネットワーク91を介してリモートマスタ局90からの出力指令を受信すると、指令受信部1aは、受信した出力指令をA系処理部2aの指令判別部21aと、指令受信部1bとに出力する。指令受信部1bは、指令受信部1aから受信した出力指令をB系処理部2bの指令判別部21bに出力する。
指令受信部1a、1bからの出力指令を受信し(ステップS400a、S400b)、指令判別部21a、21bは、先の図4のフローチャートを参照して説明したステップS101の指令判別処理を実行する(ステップS401a、S401b)。
ここで、指令判別部21aの判別結果がOFF指令であって、指令判別部21bの判別結果がON指令であったとする。指令判別部21aは、出力部24aにOFF出力指示を通知し、出力部24aは、OFF出力信号をスイッチSW1aに出力する(ステップS402a)。また、指令判別部21aは、判別結果がOFF指令であることを照合部22aに通知する。照合部22aは、相手側である照合部22bに判別結果がOFF指令であることを送信する(ステップS403a)。
一方、指令判別部21bは、判別結果がON指令であるので、出力部24bに出力指示を通知することなく、判別結果がON指令であることを照合部22bに通知する。照合部22bは、相手側である照合部22aに判別結果がON指令であることを送信する(ステップS402b)。
照合部22a、22bは、相手側の判別結果を受信して、先の図4のフローチャートを参照して説明したステップS105の照合処理を実行する(ステップS404a、S403b)。ここでは、A系処理部2aの判別結果がOFF指令であり、B系処理部2bの判別結果がON指令であるので、照合結果は不一致(NG)となる。照合部22aは、自身の判別結果がOFF指令であるので、出力部24aに出力指示を通知することなく、異常処理部25aに照合結果が不一致である旨を通知する。異常処理部25aは、照合結果の不一致に対応する異常処理を実行する。
照合部22bは、照合結果が不一致であって、かつ自身の判別結果がON指令であるので、OFF出力指示を出力部24bに通知し、出力部24bは、OFF出力信号をスイッチSW1bに出力する(ステップS404b)。また、照合部22bは、異常処理部25bに照合結果が不一致である旨を通知し、異常処理部25bは、照合結果の不一致に対応する異常処理を実行する。
このように、照合結果が不一致の場合、自身の判別結果がON指令の系(この場合はB系処理部2b)は、照合処理を行った後にOFF出力信号を出力してスイッチSW1bをOFFにするが、自身の判別結果がOFF指令の系(この場合はA系処理部2a)は、照合処理を行なうことなくOFF出力信号を出力してスイッチSW1aをOFFにする。スイッチSW1a、SW1bは、電源70と機器81aとの間に直列に配置されているので、スイッチSW1aがOFFになった時点で機器81aへの動力の供給は停止し、機器81aが停止する。よって、照合結果が不一致の場合、指令の受信を開始した時刻t0からスイッチSW1aをOFFにする時刻t1までに要する時間は、判別結果の送受信に要する時間T3および照合処理に要する時間T4とは関係なく、指令を受信してその指令を判別する指令判別処理に要する時間T1と、「OFF」の出力信号を出力するのに要する時間T2との和となる。
以上説明したように、この実施の形態1においては、外部から入力される出力指令が動作許可指令(ON指令)であるのか、安全動作指令(OFF指令)であるのかを指令判別部21a、21bが判別し、判別結果の一方がOFF指令であると判別した場合には、他方の判別結果がON指令であっても判別結果が不一致となって機器81aを安全動作(停止)させるOFF出力信号を出力することに着目し、判別結果がOFF指令である場合には他方の指令判別部21a、21bの判別結果と照合することなく、機器81aを停止させるOFF出力信号を出力するようにしているため、高性能のCPUを用いて判別結果の通信や照合処理を高速化することなく、応答時間を短縮することができる。
実施の形態2.
つぎに、実施の形態2の安全制御装置について、図8〜図10を参照しながら説明する。
一般的に、安全制御装置には、両系がともに安全動作させる旨の出力指令や、何らかの異常により両系が一致しない出力指令を受信したとき、機器に対して確実に安全動作指令を出力することが求められる。そのため、安全制御装置は、安全動作させる信号を確実に出力できるか否かを診断するダークテストを所定のタイミングで実行する。
また、リモートマスタ局と安全リモートI/O局との間の交信間隔が一定であるネットワークシステムがある。以下に説明する実施の形態2の安全制御装置は、このようなリモートマスタ局より一定の時間間隔で出力指令を受信するネットワークシステムに適用され、該出力指令の受信の間隔とダークテストの実行間隔とを適切に設定することによって、機器を停止させる出力信号を出力するタイミングを実施の形態1に比べてさらに前倒しする。
具体的には、実施の形態2の安全制御装置は、出力指令を受信してからの経過時間に基づき、次の出力指令を受信する少し前のタイミングでOFF出力信号を出力する処理を実行し、その後両系の処理部がON指令を受信したとき、該ON指令に基づくON出力信号を出力する処理を実行する。実施の形態2の安全制御装置は、この一連の処理に基づいて出力するOFF出力信号/ON出力信号を監視し、自安全制御装置が確実にON出力信号/OFF出力信号を出力できるか否かを診断するダークテストとする。
ここで、実施の形態2の安全制御装置は、両系の処理部の判別結果が不一致の出力指令を受信した場合、該出力指令を受信した時点でOFF出力信号を出力する処理をすでに実行した状態となっているので、スイッチSW1a、1bは、該処理により出力されたOFF出力信号を、前記受信した不一致の出力指令に基づいてあらためて出力するOFF出力信号よりも早く受信することとなる。つまり、結果として、実施の形態2の安全制御装置は、出力指令の受信に先立ってダークテストのテスト信号として出力するOFF出力信号により、実施の形態1に比べて早く安全動作させることができる。
図8は、実施の形態2の安全制御装置の構成を示すブロック図である。なお、実施の形態1と同一の機能を有する構成要素に対しては実施の形態1の構成要素と同一の符号を付し、詳細な説明は省略する。
図示するように、実施の形態2の安全制御装置は、指令受信部1a、1bと、指令判別部21a、照合部22a、シリアルドライバ23a、出力部24a、タイマ31a、ダークテスト実行部32a、および異常処理部33aを有するA系処理部3aと、指令判別部21b、照合部22b、シリアルドライバ23b、出力部24b、タイマ31b、ダークテスト実行部32b、および異常処理部33bを有するB系処理部3bとを備えている。
タイマ31a、31bは、A系処理部3a、B系処理部3bが出力指令を受信した時点から予め定められている時間が経過したとき、ダークテスト実行部32a、32bにダークテストを実行する旨のダークテスト実行指令を通知する。前記する予め定められている時間は、出力指令の受信間隔よりも若干短い時間が設定される。これにより、タイマ31a、31bは、出力指令を受信する前にダークテスト実行部32a、32bへダークテスト実行指令を通知する。
ダークテスト実行部32a、32bは、タイマ31a、31bからダークテスト実行指令が通知されたとき、出力部24a、24bに対してOFF出力指令を通知する。また、ダークテスト実行部32a、32bは、出力部24a、24bを監視し、自身がOFF出力指示を通知したにもかかわらずOFF出力信号が発行されない場合や、照合部22a、22bがON出力指示を出力部24a、24bに通知したにもかかわらずON出力信号が発行されない場合、OFF出力信号またはON出力信号が正常に発行されない状態である旨を異常処理部33a、33bに通知する。
異常処理部33a、33bは、ダークテスト実行部32a、32bからOFF出力信号またはON出力信号が正常に発行されない状態である旨が通知されると、該通知に対応する異常処理を実行する。たとえば、照合結果の不一致に対応する異常処理と同様に、異常処理部33a、33bは、OFF出力信号またはON出力信号が正常に発行されない状態であることをリモートマスタ局90に通知したり、安全リモートI/O局82の表示手段に表示する。
つぎに、この発明における実施の形態2の安全制御装置の動作について説明する。図9のシーケンス図を参照して、A系処理部3aの指令判別部21aの判別結果とB系処理部3bの指令判別部21bの判別結果とがともにON指令である場合の安全制御装置の動作について説明する。ここで、出力指令を受信する間隔時間をΔTとし、ΔTよりも十分に短い時間をΔtとすると、前回出力指令を受信してからΔT−Δtが経過したとき、タイマ31a、31bはダークテスト実行部32a、32bにダークテスト実行指令を通知するとして説明する。
まず、タイマ31a、31bは、前回A系処理部3a、B系処理部3bが出力指令を受信したときにカウントを開始し、カウントを開始した時点からΔT−Δtだけ経過したとき、A系処理部3a、B系処理部3bはダークテスト開始処理(ステップS500a、ステップS500b)を実行する。すなわち、タイマ31a、31bは、ダークテスト実行部32a、32bにダークテスト実行指令を通知し、該指令が通知されたダークテスト実行部32a、32bは、出力部24a、24bの監視を開始するとともに、出力部24a、24bに対してOFF出力指示を通知する。ここで、前回の出力指令を受信したときからΔT−Δtだけ経過した時刻をt−1とする。
そして、出力部24a、24bは、OFF出力信号をスイッチSW1a、SW1bに出力する(ステップS501a、S501b)。ここで、ダークテスト実行部32a、32bは、出力部24a、24bからOFF出力信号が正しく出力されたか否かを判定し、OFF出力信号が正しく出力されなかったと判定した場合、異常処理部33a、33bに通知して異常処理させる。
前回の出力指令を受信したときからΔTだけ経過したとき、すなわち時刻t−1からΔtだけ経過したとき、指令判別部21a、21bは指令受信部1a、1bから出力指令を受信する(ステップS502a、S502b)。その後、実施の形態1のステップS301a〜ステップS303a、ステップS301b〜ステップS303bと同等の動作を、ステップS503a〜ステップS505a、ステップS503b〜ステップS505bにて夫々実行する。
その後、照合部22a、22bは、出力部24a、24bにON出力指示を通知し、出力部24a、24bは、ON出力信号をスイッチSW1a、SW1bに出力する(ステップS506a、S506b)。ここで、ダークテスト実行部32a、32bは、ON出力信号が正しく出力されたか否かを判定し、ON出力信号が正しく出力されなかったと判定した場合、異常処理部33a、33bに通知して異常処理させる。ON出力信号が正しく出力された場合、ダークテスト実行部32a、32bは、出力部24a、24bの監視を終了するダークテスト終了処理を実行する(ステップS507a、ステップS507b)。
このように、安全制御装置は、A系処理部3a、B系処理部3bが出力指令を受信する前にOFF出力信号を出力することによって、Δtからダークテスト開始処理に要する時間T5とOFF出力信号を出力するのに要する時間T2とを引いた時間だけ、出力指令を受信する時刻t0よりも先んじてスイッチSW1a、SW1bをOFFする。そして、安全制御装置は、出力指令を受信後、第1の実施の形態と同様のタイミングでON出力信号を出力し、スイッチSW1a、SW1bをONにする。さらに、安全制御装置は、このOFF出力信号およびON出力信号をダークテスト用のテスト信号とし、何れか一つのテスト信号が正しく出力されなかった場合、異常処理を実行する。
つぎに、A系処理部3aの指令判別部21aの判別結果とB系処理部3bの指令判別部21bの判別結果とが異なる場合の安全制御装置の動作を説明する。図10は、A系処理部3aの指令判別部21aの判別結果が「OFF」であり、B系処理部3bの指令判別部21bの判別結果が「ON」である場合の安全制御装置の動作を説明するシーケンス図である。
図10において、まず、タイマ31a、31bは、前回A系処理部3a、B系処理部3bが出力指令を受信したときにカウントを開始し、カウントを開始した時点からΔT−Δtだけ経過したとき、A系処理部3a、B系処理部3bはダークテスト開始処理(ステップS600a、ステップS600b)を実行する。
そして、出力部24a、24bは、OFF出力信号をスイッチSW1a、SW1bに出力する(ステップS601a、S601b)。ここで、ダークテスト実行部32a、32bは、出力部24a、24bからOFF出力信号が正しく出力されたか否かを判定し、OFF出力信号が正しく出力されなかったと判定した場合、異常処理部33a、33bに通知して異常処理させる。
前回出力指令を受信したときからΔTだけ経過したとき、指令判別部21a、21bは指令受信部1a、1bからの出力指令を受信する(ステップS602a、S602b)。その後、実施の形態1のステップS401a〜ステップS404a、ステップS401b〜ステップS404bと同等の動作を、ステップS603a〜ステップS606a、ステップS603b〜ステップS606bにて夫々実行する。
OFF出力信号の出力に着目すると、A系処理部3a、B系処理部3bは、ステップS601a、ステップS601bにおいて、ダークテストのテスト信号としてOFF出力信号を出力する。その後、A系処理部3aは、ステップS604aにて、OFF指令と判断した指令判別部21aの判別結果に基づき、OFF出力信号をスイッチSW1aに出力する。さらにその後、B系処理部3bは、ステップS606bにおいて、OFF出力信号をスイッチSW1bに出力する。
すなわち、安全制御装置は、両系の判別結果が不一致の出力指令を受信した場合、ステップS601a、ステップS601bにおいてOFF出力信号を出力して以来、ON出力信号を出力しない。この結果、安全制御装置は、両系の判別結果が不一致の出力指令を受信する前に出力するダークテストのテスト信号によりOFF出力信号により安全な制御を実行したことになる。つまり、機器81aまたは機器81bの電力供給を遮断する時刻(t1b)は、実施の形態1において説明した時刻t1に比べ、Δtおよび指令を受信してその指令を判別する指令判別処理に要する時間T1の和からダークテスト開始処理に要する時間T5を引いた時間だけ早い時刻となる。
つぎに、A系処理部3aの指令判別部21aおよびB系処理部3bの指令判別部21bの判別結果がともにOFF指令の場合の安全制御装置の動作について説明する。この場合においても、安全制御装置は、まず出力指令を受信する直前のダークテストのテスト信号によりOFF出力信号を出力し、その後、受信した出力信号の判別結果に基づいてOFF出力信号を出力する。すなわち、安全制御装置は、すでに説明した両系の判別結果が不一致の出力指令を受信した場合と同様に、実施の形態1に比べ、Δtおよび指令を受信してその指令を判別する指令判別処理に要する時間T1の和からダークテスト開始処理に要する時間T5を引いた時間だけ前倒しして安全な制御を実行する。
以上説明したように、実施の形態2によれば、出力指令が所定の時間間隔で外部から入力される安全制御装置に適用され、タイマ31a、31bの計測時間と出力指令が入力される時間間隔とに基づいて、出力指令が入力される前に機器81a、81bへの動力の供給を停止する出力信号を出力するようにしているため、実施の形態1に比べ安全動作させる出力をさらに前倒しして実行することができる。さらに、出力指令や入力される前に出力する機器81a、81bへの動力の供給を停止する出力信号と、出力指令が入力された後、該入力された出力指令の判別結果がともにON指令であると判別した場合に出力するON出力信号と、をテスト信号としたダークテストを実行するようにしているため、別途ダークテストを実行する手間を省略することができる。
実施の形態3.
つぎに、実施の形態3の安全制御装置について、図11〜図14を参照しながら説明する。
例えば安全リモートI/O局とリモートマスタ局との間の通信の質が十分ではなく、出力指令の通信のリトライが繰り返されるような場合、安全リモートI/O局が受信する出力指令の時間間隔は一定とはならない。このように出力指令の受信の時間間隔が一定ではない場合、実施の形態2のように出力指令を受信してからの経過時間に基づいて出力指令を受信する前にOFF出力信号を出力してダークテストを開始することはできない。そこで、実施の形態3の安全制御装置は、出力指令の受信を完了した直後にOFF出力信号を出力してダークテストを開始する。
図11は、実施の形態3の安全制御装置の構成を示すブロック図である。実施の形態2と同一の機能を有する構成要素に対しては実施の形態2の構成要素と同一の符号を付し、詳細な説明は省略する。
図示するように、実施の形態3の安全制御装置は、指令受信部1a、1bと、指令判別部21a、照合部22a、シリアルドライバ23a、出力部24a、ダークテスト実行部41a、および異常処理部33aを有するA系処理部4aと、指令判別部21b、照合部22b、シリアルドライバ23b、出力部24b、ダークテスト実行部41b、および異常処理部33bを有するB系処理部4bとを備えている。
ダークテスト実行部41a、41bは、指令受信部1a、1bを監視し、A系処理部3a、B系処理部3bが出力指令を完了した時点で、出力部24a、24bに対してOFF出力指令を通知する。また、ダークテスト実行部41a、41bは、出力部24a、24bを監視し、自身がOFF出力指示を通知したにもかかわらずOFF出力信号が発行されない場合や、照合部22a、22bがON出力指示を出力部24a、24bに通知したにもかかわらずON出力信号が発行されない場合、OFF出力信号またはON出力信号が正常に発行されない状態である旨を異常処理部33a、33bに通知する。
つぎに、この発明における実施の形態3の安全制御装置の動作について説明する。図12のシーケンス図を参照して、A系処理部4aの指令判別部21aの判別結果とB系処理部4bの指令判別部21bの判別結果とがともにON指令である場合の安全制御装置の動作について説明する。
図12において、指令判別部21a、21bが指令受信部1a、1bから出力指令を受信し、受信完了すると、ダークテスト開始処理が実行される(ステップS700a、S700b)。すなわち、ダークテスト実行部41a、41bは、出力部24a、24bの監視を開始するとともに、出力部24a、24bに対してOFF出力指示を通知する。
そして、出力部24a、24bは、OFF出力信号をスイッチSW1a、SW1bに出力する(ステップS701a、S701b)。ここで、ダークテスト実行部41a、41bは、出力部24a、24bからOFF出力信号が正しく出力されたか否かを判定し、OFF出力信号が正しく出力されなかったと判定した場合、異常処理部33a、33bに通知して異常処理させる。
そして、実施の形態2のステップS503a〜ステップS505a、ステップS503b〜ステップS505bと同等の動作を、ステップS702a〜ステップS704a、ステップS702b〜ステップS704bにて夫々実行する。
その後、照合部22a、22bは、出力部24a、24bにON出力指示を通知し、出力部24a、24bは、ON出力信号をスイッチSW1a、SW1bに出力する(ステップS705a、S705b)。ここで、ダークテスト実行部41a、41bは、ON出力信号が正しく出力されたか否かを判定し、ON出力信号が正しく出力されなかったと判定した場合、異常処理部33a、33bに通知して異常処理させる。ON出力信号が正しく出力された場合、ダークテスト実行部41a、41bは、出力部24a、24bの監視を終了するダークテスト終了処理を実行する(ステップS706a、ステップS706b)。
このように、安全制御装置は、A系処理部4a、B系処理部4bが出力指令を受信完了した直後にOFF出力信号を出力することによって、t0から出力指令の受信およびダークテスト開始処理が完了するまでに要する時間T6とOFF出力信号を出力するのに要する時間T2との和の時間だけ経過した時刻にスイッチSW1a、SW1bをOFFする。そして、安全制御装置は、出力指令を受信後、第1の実施の形態と同様のタイミングでON出力信号を出力し、スイッチSW1a、SW1bをONにする。さらに、安全制御装置は、このOFF出力信号およびON出力信号をダークテスト用のテスト信号とし、何れか一つのテスト信号が正しく出力されなかった場合、異常処理を実行する。
つぎに、図13のシーケンス図を参照して、A系処理部4aの指令判別部21aの判別結果とB系処理部4bの指令判別部21bの判別結果とが異なる場合の安全制御装置の動作を説明する。図13は、A系処理部4aの指令判別部21aの判別結果が「OFF」であり、B系処理部4bの指令判別部21bの判別結果が「ON」である場合の安全制御装置の動作を説明するシーケンス図である。
図13において、指令判別部21a、21bが指令受信部1a、1bから出力指令を受信し、受信完了すると、ダークテスト開始処理が実行される(ステップS800a、S800b)。すなわち、ダークテスト実行部41a、41bは、出力部24a、24bの監視を開始するとともに、出力部24a、24bに対してOFF出力指示を通知する。
そして、出力部24a、24bは、OFF出力信号をスイッチSW1a、SW1bに出力する(ステップS801a、S801b)。ここで、ダークテスト実行部41a、41bは、出力部24a、24bからOFF出力信号が正しく出力されたか否かを判定し、OFF出力信号が正しく出力されなかったと判定した場合、異常処理部33a、33bに通知して異常処理させる。
そして、実施の形態2のステップS603a〜ステップS606a、ステップS603b〜ステップS606bと同等の動作を、ステップS802a〜ステップS805a、ステップS802b〜ステップS805bにて夫々実行する。
OFF出力信号の出力に着目すると、A系処理部4a、B系処理部4bは、ステップS801a、ステップS801bにおいて、ダークテストのテスト信号としてOFF出力信号を出力する。その後、A系処理部4aは、ステップS803aにて、OFF指令と判断した指令判別部21aの判別結果に基づき、OFF出力信号をスイッチSW1aに出力する。さらにその後、B系処理部4bは、ステップS805bにおいて、OFF出力信号をスイッチSW1bに出力する。
すなわち、安全制御装置は、ステップS801a、ステップS801bにおいてOFF出力信号を出力して以来、ON出力信号を出力していない。この結果、安全制御装置は、両系の判別結果が不一致の出力指令を受信した直後のダークテストのテスト信号によりOFF出力信号により安全な制御を実行したことになる。なお、スイッチSW1a、1bがOFF出力信号を受信する時刻(t1c)は、t0から、指令を受信してダークテスト開始処理を実行するのに要する時間T6とOFF出力信号を出力するのに要する時間T2との和の時間だけ経過した時刻となる。ここで、指令を受信してダークテスト開始処理を実行するのに要する時間T6は、実施の形態1において説明した指令を受信してその指令を判別する指令判別処理に要する時間T1に比べ、大きな差はないと思われる。したがって、t1cとt1とはほぼ同時刻であり、実施の形態3の安全制御装置は、実施の形態1と同程度に応答時間を短縮することができるといえる。
つぎに、A系処理部4aの指令判別部21aおよびB系処理部4bの指令判別部21bの判別結果がともにOFF指令の場合の安全制御装置の動作について説明する。この場合においても、安全制御装置は、まず出力指令を受信する直前のダークテストのテスト信号によりOFF出力信号を出力し、その後、受信した出力信号の判別結果に基づいてOFF出力信号を出力する。すなわち、安全制御装置は、すでに説明した両系の判別結果が不一致の出力指令を受信した場合と同様に、指令受信開始から、指令を受信してダークテスト開始処理を実行するのに要する時間T6とOFF出力信号を出力するのに要する時間T2との和の時間だけ経過した時刻に、安全な制御を実行する。
以上説明したように、実施の形態3によれば、出力指令が入力された直後に機器81a、81bへの動力の供給を停止する出力信号を出力するようにしているため、実施の形態1と同様に、高性能のCPUを用いて判別結果の通信や照合処理を高速化することなく、応答時間を短縮することができる。さらに、出力指令が入力された直後に出力する機器81a、81bへの動力の供給を停止する出力信号と、入力された出力指令の判別結果がともにON指令であると判別した場合に出力するON出力信号と、をテスト信号としたダークテストを実行するようにしているため、別途ダークテストを実行する手間を省略することができる。
実施の形態4.
ところで、一般的に、安全制御装置は、ダークテストのほか、自安全制御装置が破損(故障)していないかを診断する故障診断を実行する。具体的には、安全制御装置は、故障診断を開始する前にOFF出力信号を出力して機器への電力供給を遮断し、故障診断を実行し、自身に故障が発見されなかった場合、ON出力信号を出力して機器への電力供給を再開する。実施の形態4の安全制御装置は、故障診断の前に出力するOFF出力信号および故障診断の後に出力するON出力信号をダークテストのテスト信号とする。以下に、図14〜図16を参照して、実施の形態4の安全制御装置について説明する。
図14は、実施の形態4の安全制御装置の構成を示すブロック図である。図示するように、実施の形態4の安全制御装置は、指令受信部1a、1bと、指令判別部21a、照合部22a、シリアルドライバ23a、出力部24a、タイマ51a、ダークテスト実行部52a、故障診断実行部53a、および異常処理部54aを有するA系処理部5aと、指令判別部21b、照合部22b、シリアルドライバ23b、出力部24b、タイマ51b、ダークテスト実行部52b、故障診断実行部53b、および異常処理部54bを有するB系処理部5bとを備えている。
タイマ51a、51bは、予め定められている時間が経過する毎に、ダークテスト実行部52a、52bへダークテスト実行指令を通知するとともに故障診断実行部53a、53bへ故障診断を実行する旨である故障診断実行指令を通知する。
ダークテスト実行部52a、52bは、タイマ51a、51bからダークテスト実行指令が通知されたとき、出力部24a、24bに対してOFF出力指令を通知する。また、ダークテスト実行部52a、52bは、出力部24a、24bを監視し、自身がOFF出力指示を通知したにもかかわらずOFF出力信号が発行されない場合や、後述する故障診断実行指令がON出力指示を実行したにもかかわらずON出力信号が発行されない場合、OFF出力信号またはON出力信号が正常に発行されない状態である旨を異常処理部54a、54bに通知する。
故障診断実行部53a、53bは、タイマ51a、51bから故障診断実行指令が通知されたとき、安全リモート局82の電源(図示せず)やA系処理部5a、B系処理部5bを実現するハードウェア(MPUにより実現されている場合はMPU)の故障診断を開始する。そして、故障診断実行部53a、53bは、故障診断の結果、故障が発見されなかった場合、出力部24a、24bにON出力指示を通知する。故障診断実行部53a、53bは、故障を発見した場合、異常処理部54a、54bへ故障がある旨を通知する。
異常処理部54a、54bは、ダークテスト実行部32a、32bからOFF出力信号またはON出力信号が正常に発行されない状態である旨が通知されると、該通知に対応する異常処理を実行する。また、異常処理部54a、54bは、故障診断実行部53a、53bから故障がある旨が通知された場合、該通知に対応する異常処理を実行する。
つぎに、この発明における実施の形態4の安全制御装置の動作について説明する。図15のシーケンス図を参照して、A系処理部5aおよびB系処理部5bが故障診断を実行し、故障が発見されなかった場合の安全制御装置の動作について説明する。
まず、ダークテスト・故障診断開始処理が実行される(ステップS900a、ステップS900b)。すなわち、タイマ51a、51bはダークテスト実行指令および故障診断実行指令を通知する。そして、ダークテスト実行指令が通知されたダークテスト実行部52a、52bは、出力部24a、24bにOFF出力指示を通知するとともに、出力部24a、24bの監視を開始する。
そして、出力部24a、24bは、OFF出力信号をスイッチSW1a、SW1bに出力する(ステップS901a、S901b)。ここで、ダークテスト実行部52a、52bは、出力部24a、24bからOFF出力信号が正しく出力されたか否かを判定し、OFF出力信号が正しく出力されなかったと判定した場合、異常処理部54a、54bに通知して異常処理させる。
そして、故障診断実行部53a、53bは、故障診断を実行し、故障は発見されなかった(OK)という診断結果を得る(ステップS902a、ステップS902b)。
その後、故障診断実行部53a、53bは、出力部24a、24bにON出力指示を通知し、出力部24a、24bは、ON出力信号をスイッチSW1a、SW1bに出力する(ステップS903a、S903b)。ここで、ダークテスト実行部52a、52bは、ON出力信号が正しく出力されたか否かを判定し、ON出力信号が正しく出力されなかったと判定した場合、異常処理部54a、54bに通知して異常処理させる。ON出力信号が正しく出力された場合、ダークテスト実行部52a、52bは、出力部24a、24bの監視を終了するダークテスト終了処理を実行する(ステップS904a、ステップS904b)。
つぎに、A系処理部5aおよびB系処理部5bが故障診断を実行し、どちらか一つの処理部にて故障が発見された場合の安全制御装置の動作について説明する。図16は、A系処理部5aにて故障が発見され、B系処理部5bにおいては故障が発見されなかった場合の安全制御装置の動作を説明するシーケンス図である。
まず、ダークテスト・故障診断開始処理が実行される(ステップS1000a、ステップS1000b)。そして、出力部24a、24bは、OFF出力信号をスイッチSW1a、SW1bに出力する(ステップS1001a、ステップS1001b)。ここで、ダークテスト実行部52a、52bは、出力部24a、24bからOFF出力信号が正しく出力されたか否かを判定し、OFF出力信号が正しく出力されなかったと判定した場合、異常処理部54a、54bに通知して異常処理させる。
そして、故障診断実行部53a、53bは、故障診断を実行し、故障診断部53aは、故障を発見した(NG)という診断結果を得(ステップS1002a)、故障診断部53bは故障は発見されなかった(OK)という診断結果を得る(ステップS1002b)。
その後、故障診断実行部53aは、異常処理54aに通知を行って異常処理を実行させる(ステップS1003a)。故障診断実行部54bは、出力部24bにON出力指示を通知し、出力部24bは、ON出力信号をスイッチSW1bに出力する(ステップS1003b)。ここで、ダークテスト実行部52bは、ON出力信号が正しく出力されたか否かを判定し、ON出力信号が正しく出力されなかったと判定した場合、異常処理部54bに通知して異常処理させる。ON出力信号が正しく出力された場合、ダークテスト実行部52bは、出力部24bの監視を終了するダークテスト終了処理を実行する(ステップS1004b)。
つぎに、A系処理部5aおよびB系処理部5bが故障診断を実行し、両系の処理部にて故障が発見された場合の安全制御装置の動作について説明する。この場合においても、両系の処理部は、まず、ダークテスト・故障診断開始処理を実行し、OFF出力信号を出力する。その後、すでに説明したA系処理部5aにて故障が発見され、B系処理部5bにおいては故障が発見されなかった場合におけるA系処理部5aと同様に、両系の処理部はON出力信号を出力することなく異常処理を実行する。
以上説明したように、実施の形態4によれば、安全制御装置は、故障診断の前に出力するOFF出力信号および故障診断の後に出力するON出力信号をダークテストのテスト信号とし、故障診断により故障が発見されなかった場合、結果として故障診断とダークテストとを同時に実行することができ、故障が発見された場合、異常処理を実行することができる。
ところで、実施の形態2〜4の説明において、安全性を高めるために、処理部を複数用意し、出力指令の判別結果を処理部間で互いに照合する、として説明したが、処理部の数は一つであってもよい。処理部の数が一つである場合、出力手段は、照合部による照合結果の代わりに、指令判別部による判別結果に基づいて、ON出力信号やOFF出力信号を出力する。
以上のように、本発明にかかる安全制御装置は、外部から入力される出力指令に基づいて対象となる機器に安全動作をさせるのか動作許可するのかを制御する処理部を一つまたは複数備える安全制御装置に有用であり、特に、出力指令を受けてから機器を安全動作させる出力信号を出力するまでの応答時間を短縮する必要のあるシステムに適している。

Claims (8)

  1. 外部から入力される出力指令に基づいて対象となる機器に安全動作をさせるのか動作許可するのかを制御する処理部を複数備える安全制御装置であって、
    前記各処理部は、
    前記出力指令が安全動作指令であるのか、動作許可指令であるのかを判別する指令判別手段と、
    自身の指令判別手段の判別結果を他の処理部に送信するとともに、他の処理部の判別結果を受信し、受信した他の処理部の判別結果と自身の指令判別手段の判別結果とが全て一致しているか否かを照合する照合手段と、
    前記指令判別手段の判別結果が安全動作指令の場合、または前記照合手段の照合結果が不一致である場合には、前記機器を安全動作させる出力信号を出力し、前記指令判別手段の判別結果が動作許可指令であってかつ前記照合手段の照合結果が一致である場合には、前記機器を動作許可させる出力信号を出力する出力手段と、
    を備えることを特徴とする安全制御装置。
  2. 前記安全動作を前記機器が停止した状態とし、前記動作許可を前記機器が起動した状態とし、
    前記出力手段は、
    前記指令判別手段の判別結果が安全動作指令の場合、または前記照合手段の照合結果が不一致である場合には、前記機器への動力の供給を停止する出力信号を出力し、前記指令判別手段の判別結果が動作許可指令であってかつ前記照合手段の照合結果が一致である場合には、前記機器に動力を供給する出力信号を出力すること、
    を特徴とする請求項1に記載の安全制御装置。
  3. 外部から入力される出力指令に基づいて対象となる機器に安全動作させるのか動作許可するのかを判別し、この判別結果に応じて前記機器を動作制御する安全制御装置であって、
    前記判別の処理に先立って、前記機器への動力を停止する出力信号を出力し、該出力信号を出力した後、前記機器に安全動作させるのか動作許可するのかを判別する処理部を備えることを特徴とする安全制御装置。
  4. 前記出力指令は、所定の時間間隔で外部から前記処理部へ入力され、
    前記処理部は、出力指令が入力されてからの時間を計測するタイマ手段を備え、前記タイマ手段による計測時間と前記所定の時間間隔とに基づいて、前記出力指令が入力される前に前記機器への動力の供給を停止する出力信号を出力する、
    ことを特徴とする請求項3に記載の安全制御装置。
  5. 前記処理部は、前記出力指令が入力された直後に前記機器への動力の供給を停止する出力信号を出力する、ことを特徴とする請求項3に記載の安全制御装置。
  6. 前記処理部は、
    前記機器への動力の供給を停止する出力信号と、該出力信号が出力された後に前記出力指令に基づいて出力される前記機器に動力を供給する出力信号と、を監視することによって、自身の安全制御装置が出力信号を正常に出力できるか否かを診断するダークテスト実行手段をさらに備える、
    ことを特徴とする請求項4または5に記載の安全制御装置。
  7. 前記処理部を複数備え、
    前記各処理部は、
    外部から入力された出力指令が動作許可指令であるのか否かを判別する指令判別手段と、
    自身の指令判別手段の判別結果を他の処理部に送信するとともに、他の処理部の判別結果を受信し、受信した他の処理部の判別結果と自身の指令判別手段の判別結果とが一致しているか否かを照合する照合手段と、
    前記指令判別手段の判別結果が動作許可指令であってかつ前記照合手段の照合結果が一致である場合には、前記機器に動力を供給する出力信号を出力し、前記指令判別手段の判別結果が動作許可指令ではない場合、または前記照合手段の照合結果が不一致である場合には、前記機器に動力を供給する出力信号を出力しない出力手段と、
    をさらに備えることを特徴とする請求項4または5に記載の安全制御装置。
  8. 前記処理部は、
    前記機器への動力の供給を停止する出力信号を出力するダークテスト実行手段と、前記機器への動力の供給を停止する出力信号の出力後、自装置に対して故障診断を実行し、故障が発見されなかった場合、前記機器に動力を供給する出力信号を出力し、故障が発見された場合、異常処理を実行する故障診断実行手段と、
    をさらに備え、
    前記ダークテスト実行手段は、自身が前記出力手段に出力させる前記機器への動力の供給を停止する出力信号と、前記故障診断実行手段が前記出力手段に出力させる前記機器に動力を供給する出力信号と、を監視することによって、自身の安全制御装置が出力信号を正常に出力できるか否かを診断する、
    ことを特徴とする請求項3に記載の安全制御装置。
JP2009540101A 2007-11-07 2008-11-07 安全制御装置 Active JP4832572B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009540101A JP4832572B2 (ja) 2007-11-07 2008-11-07 安全制御装置

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2007289448 2007-11-07
JP2007289448 2007-11-07
JP2009540101A JP4832572B2 (ja) 2007-11-07 2008-11-07 安全制御装置
PCT/JP2008/070340 WO2009060953A1 (ja) 2007-11-07 2008-11-07 安全制御装置

Publications (2)

Publication Number Publication Date
JPWO2009060953A1 true JPWO2009060953A1 (ja) 2011-03-24
JP4832572B2 JP4832572B2 (ja) 2011-12-07

Family

ID=40625839

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009540101A Active JP4832572B2 (ja) 2007-11-07 2008-11-07 安全制御装置

Country Status (6)

Country Link
US (1) US8755917B2 (ja)
JP (1) JP4832572B2 (ja)
KR (1) KR101179738B1 (ja)
CN (1) CN101849226B (ja)
DE (1) DE112008002764T5 (ja)
WO (1) WO2009060953A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5829392B2 (ja) * 2010-09-30 2015-12-09 三菱重工業株式会社 制御装置および原子力発電プラント制御システム
JP2012079184A (ja) * 2010-10-04 2012-04-19 Mitsubishi Heavy Ind Ltd 制御装置および原子力発電プラント制御システム
JP5718615B2 (ja) 2010-11-08 2015-05-13 矢崎総業株式会社 コンビスイッチ
CN103959718B (zh) * 2011-12-02 2017-04-26 株式会社自动网络技术研究所 发送消息生成装置以及车载通信系统
US20150105872A1 (en) * 2012-05-25 2015-04-16 Hitachi, Ltd. Reliability calculation device and method
JP2015189055A (ja) * 2014-03-27 2015-11-02 住友重機械工業株式会社 射出成形機、および射出成形機の操作画面
KR102346258B1 (ko) * 2014-11-19 2022-01-03 삼성전자 주식회사 온도 제어 방법 및 장치
JP6451323B2 (ja) * 2015-01-06 2019-01-16 株式会社デンソーウェーブ ロボットの配線方法
WO2017081506A1 (en) * 2015-11-09 2017-05-18 Otis Elevator Company Self-diagnostic electrical circuit
JP6129438B1 (ja) * 2015-12-07 2017-05-17 三菱電機株式会社 信号処理装置
JP6512205B2 (ja) * 2016-11-14 2019-05-15 トヨタ自動車株式会社 通信システム
CN108958248A (zh) * 2018-07-05 2018-12-07 北京智行者科技有限公司 备份系统
US11500715B1 (en) 2021-05-27 2022-11-15 Fort Robotics, Inc. Determining functional safety state using software-based ternary state translation of analog input
US20220382238A1 (en) * 2021-05-27 2022-12-01 Fort Robotics, Inc. Hardware implementation for detecting functional safety states using ternary state translation

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6051136B2 (ja) * 1979-11-07 1985-11-12 三菱電機株式会社 デ−タ誤り検出方式
JPS5943450A (ja) * 1982-09-02 1984-03-10 Toshiba Corp 二重化制御装置の入出力照合方法
JPS6051136A (ja) * 1983-08-30 1985-03-22 Mitsui Petrochem Ind Ltd ポリフルオロアルコ−ルの製法
JPH03286340A (ja) 1990-04-03 1991-12-17 Japan Electron Control Syst Co Ltd Cpuの異常診断装置
JP2806159B2 (ja) 1992-08-04 1998-09-30 日立電線株式会社 光ファイバ気体圧送ヘッド
JPH06149604A (ja) * 1992-11-11 1994-05-31 Nissan Motor Co Ltd 多重化システム
DE69720922T2 (de) * 1996-11-29 2003-11-13 Matsushita Electric Ind Co Ltd Prozessor mit verbessertem Rundungsprozess
SE511114C2 (sv) 1997-12-10 1999-08-09 Ericsson Telefon Ab L M Metod vid processor, samt processor anpassad att verka enligt metoden
JPH11183546A (ja) * 1997-12-17 1999-07-09 Toshiba Corp 制御装置の回路異常検出装置
JP2000172517A (ja) * 1998-12-03 2000-06-23 Hitachi Ltd フェイルセーフ送信回路
JP3841585B2 (ja) * 1999-04-21 2006-11-01 松下電器産業株式会社 電子部品実装機、及び該電子部品実装機にて実行される電力供給制御方法
JP2001222309A (ja) 2000-02-10 2001-08-17 Yaskawa Electric Corp ロボット制御装置
JP4374471B2 (ja) * 2003-08-04 2009-12-02 学校法人同志社 照明制御システムおよび制御システム
US7440932B2 (en) 2003-10-02 2008-10-21 International Business Machines Corporation Method and system for automating issue resolution in manufacturing execution and material control systems
JP4625620B2 (ja) 2003-10-10 2011-02-02 株式会社日立製作所 フェイルセイフ制御装置
JP4300129B2 (ja) 2004-02-10 2009-07-22 ファナック株式会社 プログラマブル・シーケンス制御装置
US20080215913A1 (en) 2005-01-25 2008-09-04 Yokogawa Electric Corporation Information Processing System and Information Processing Method
JP3897047B2 (ja) * 2005-01-31 2007-03-22 横河電機株式会社 情報処理装置および情報処理方法
US20090106461A1 (en) 2005-01-31 2009-04-23 Yokogawa Electric Corporation Information Processing Apparatus and Information Processing Method
JP4556721B2 (ja) * 2005-03-16 2010-10-06 トヨタ自動車株式会社 車両用警報装置
JP5050825B2 (ja) * 2007-12-11 2012-10-17 三菱電機株式会社 システム制御装置
CA2753306A1 (en) * 2009-02-23 2010-08-26 Provo Craft And Novelty, Inc. Controller device
US8954177B2 (en) * 2011-06-01 2015-02-10 Apple Inc. Controlling operation of a media device based upon whether a presentation device is currently being worn by a user

Also Published As

Publication number Publication date
DE112008002764T5 (de) 2010-07-29
JP4832572B2 (ja) 2011-12-07
US8755917B2 (en) 2014-06-17
KR101179738B1 (ko) 2012-09-04
KR20100054869A (ko) 2010-05-25
CN101849226B (zh) 2016-06-15
US20100234968A1 (en) 2010-09-16
CN101849226A (zh) 2010-09-29
WO2009060953A1 (ja) 2009-05-14

Similar Documents

Publication Publication Date Title
JP4832572B2 (ja) 安全制御装置
EP1710642B1 (en) Distributed control apparatus
US9690678B2 (en) Fault tolerant systems and method of using the same
JP7320143B2 (ja) 安全対応制御のためのシステム及び方法
JP2019192244A (ja) 安全スイッチ
WO2011074147A1 (ja) 二重系制御装置
JP6569247B2 (ja) 障害検証装置及び障害検証方法、検証対象装置、無線通信システム、コンピュータ・プログラム
KR20150057165A (ko) 이동 수단 모니터링 장치 및 방법
CN114466729A (zh) 用于远程控制机器人的方法
CN111433146B (zh) 电梯的远程监视系统
JP7403433B2 (ja) プラント制御システムの通信装置及び通信方法
JP5908346B2 (ja) 通信装置および通信方法
JP2010118766A (ja) 通信システムおよびその故障診断方法
JP2006344023A (ja) 制御装置
JP2006157387A (ja) シリアル通信を用いた分散型マイコン制御装置及びエレベータ制御装置
JP2008059531A (ja) コンピュータシステムの障害通報方法
KR101697089B1 (ko) 교통단말기의 전원제어기능이 구비된 lte무선라우터장치
US7843152B2 (en) Motor control apparatus
JP6234388B2 (ja) 2重系制御装置
JP2004086706A (ja) 分散制御システム
JP2002077176A (ja) Atm通信装置およびデータ伝送ルートのループ設定方法
JP2018041125A (ja) フィールドネットワークシステム
JP2000242302A (ja) 二重化制御システムの運用方法
JP2005267051A (ja) 通信システム異常検出方法および計算機システム
JP2002041104A (ja) プラント監視制御装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110801

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110823

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110920

R150 Certificate of patent or registration of utility model

Ref document number: 4832572

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140930

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250