JPWO2011135656A1 - 安全装置および故障検出方法 - Google Patents

安全装置および故障検出方法 Download PDF

Info

Publication number
JPWO2011135656A1
JPWO2011135656A1 JP2012512562A JP2012512562A JPWO2011135656A1 JP WO2011135656 A1 JPWO2011135656 A1 JP WO2011135656A1 JP 2012512562 A JP2012512562 A JP 2012512562A JP 2012512562 A JP2012512562 A JP 2012512562A JP WO2011135656 A1 JPWO2011135656 A1 JP WO2011135656A1
Authority
JP
Japan
Prior art keywords
state
sensors
circuit
sensor failure
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012512562A
Other languages
English (en)
Other versions
JP5318284B2 (ja
Inventor
晴幸 倉地
晴幸 倉地
建明 神谷
建明 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2011135656A1 publication Critical patent/JPWO2011135656A1/ja
Application granted granted Critical
Publication of JP5318284B2 publication Critical patent/JP5318284B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Alarm Systems (AREA)

Abstract

複数のセンサからの入力信号が不一致状態であるとき、不一致状態記録を保持し、複数のセンサからの入力信号が全てオフ状態であるとき、不一致状態記録を解放するラッチ回路(124)と、ラッチ回路(124)が不一致状態記録を保持している場合、複数のセンサのうちの少なくとも1つが故障していると判定し、ラッチ回路(124)が不一致状態記録を保持していない場合、複数のセンサの夫々は故障していないと判定するセンサ故障判定を、複数のセンサからの入力信号が全てオン状態となったタイミングで実行するアンド回路(123)と、を備える。

Description

本発明は、機器の安全状態を検知する多重化されたセンサからの入力信号に基づいて前記機器の動作を許可/不許可する安全装置および安全装置におけるセンサの故障検出方法に関する。
一般に、安全に関わるシステムにおいては、安全状態でオン出力するセンサを二重化し、2つのセンサがオン出力したときに動作を許可する安全装置が使用される(例えば特許文献1参照)。また、ISO13849−1のカテゴリ4の要求事項には、(1)単一故障により安全機能が喪失しない設計とすること、(2)次の安全機能が動作する時、又はそれ以前に単一故障が検出できる設計とすること、が含まれている。
前述の安全装置をISO13849−1のカテゴリ4に適合させるためには、2重化されたセンサのうちのどちらか一方でも故障したとき該故障を次の故障が発生するまでに検出する手段を実装することが求められる。従来、安全装置における故障検出手段には、2つのセンサからの入力信号が不一致状態となっている状態が予め設定された時間以上続いたとき、どちらか一方のセンサが故障していると判定するものがある。
特開2005−326988号公報
しかしながら、センサの種類やセンサが配置される位置によってセンサがオン出力するタイミングが異なる。したがって、上記従来の故障検出手段を採用する場合、故障判定のための設定時間を安全状態の確認の対象毎に変える必要があったり、設定時間を決めることができない場合があった。
本発明は、上記に鑑みてなされたものであって、簡単にセンサの故障を検出することができる安全装置および故障検出方法を得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、機器の安全状態を夫々検出する複数のセンサからの入力信号が全てオン状態であるか、全てオフ状態であるか、または前記センサ間で不一致状態であるかを判定する入力信号判定部と、前記入力信号判定部が前記複数のセンサからの入力信号が不一致状態であると判定したとき、不一致状態記録を保持し、前記入力信号判定部が前記複数のセンサからの入力信号が全てオフ状態であると判定したとき、前記不一致状態記録を解放する第1ラッチ記憶部と、前記第1ラッチ記憶部が前記不一致状態記録を保持している場合、前記複数のセンサのうちの少なくとも1つが故障していると判定し、前記第1ラッチ記憶部が前記不一致状態記録を保持していない場合、前記複数のセンサの夫々は故障していないと判定するセンサ故障判定を、前記入力信号判定部が前記複数のセンサからの入力信号が全てオン状態であると判定した第1のタイミングで実行するセンサ故障判定部と、前記複数のセンサからの入力信号および前記センサ故障判定部によるセンサ故障判定の判定結果に基づいて前記機器の動作を許可/不許可する動作許可/不許可部と、を備えることを特徴とする。
本発明にかかる安全装置は、簡単にセンサの故障を検出することができるという効果を奏する。
図1は、実施の形態1の安全装置が用いられるシステムを示す図である。 図2は、実施の形態1の安全装置の構成の一例を説明する図である。 図3は、センサ故障を検出しない場合の安全装置の動作パターンを説明するタイミングチャートである。 図4は、センサ故障を検出する場合の安全装置の動作パターンを説明するタイミングチャートである。 図5は、センサ入力の入力ポートを3つ備える場合の安全装置の構成の一例を説明する図である。 図6は、実施の形態2の安全装置の構成の一例を説明する図である。 図7は、センサ故障を検出する場合の動作パターンを説明するタイミングチャートである。 図8は、3つのセンサからの入力ポートを備える場合の安全装置の構成の一例を説明する図である。 図9は、実施の形態3の安全装置の構成の一例を説明する図である。 図10は、実施の形態4の安全装置の構成の一例を説明する図である。 図11は、実施の形態5の安全装置の構成の一例を説明する図である。 図12は、実施の形態6の安全装置の構成の一例を説明する図である。 図13は、実施の形態7の安全装置の構成の一例を説明する図である。 図14は、センサ故障検出部の機能構成を説明する図である。 図15は、センサ故障検出部によって実現される故障検出方法を説明するフローチャートである。 図16は、実施の形態8の安全装置の構成の一例を説明する図である。 図17は、センサ故障検出部の機能構成を説明する図である。 図18は、センサ故障検出部の動作を説明するステートチャート図である。 図19は、センサ故障検出部によって実現される故障検出方法を説明するフローチャートである。
以下に、本発明にかかる安全装置および故障検出方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態1.
図1は、本発明にかかる実施の形態1の安全装置が用いられるシステムを示す図である。図示するように、安全装置1は、産業用機器などの被制御装置3と、該被制御装置3に対して該被制御装置3を制御するための制御信号を送信する制御装置2と、に接続されている。
被制御装置3は、安全状態を確認するための複数(ここでは2つ)のセンサ(第1センサ31、第2センサ32)を備えている。センサ31、32の具体例としては、例えば機械駆動部への人体の進入などを検知するライトカーテンがあげられる。この場合、ライトカーテンは、ライトの遮光を検知したとき、オフ出力し、遮光を検知していないとき(すなわち人体の進入を検知していないとき)、オン出力する。また、センサ31、32の別の例として、機械駆動部に人体がアクセスするためのドアに設けられるドアスイッチがあげられる。この場合、ドアスイッチは、ドアが開状態であるとき、オフ出力し、ドアが閉状態であるとき(すなわち人体の進入を検知していないとき)、オン出力する。すなわち、センサ31、32は、安全状態であること検知したときオン出力し、安全状態が確認できないとき、オフ出力するようになっている。センサ31、32からの出力信号は、夫々安全装置1へ入力される。
安全装置1は、センサ31、32からの入力信号に基づいて被制御装置3の動作を許可するか許可しないかを判定する動作許可/不許可部11と、センサ31、32のうちの1つが故障したとき、該故障を検出するセンサ故障検出部12とを備えている。動作許可/不許可部11による判定結果は動作許可/不許可信号線を介して制御装置2へ送信される。また、センサ故障検出部12によるセンサ故障の検出結果は、センサ故障検出信号線を介して制御装置2へ送信される。
制御装置2は、動作許可/不許可信号によって動作を許可されたとき、被制御装置3を動作させることができ、許可されなかったとき、被制御装置3の動作を停止させる。また、制御装置2は、センサ故障検出信号によってセンサ故障が通知されたとき、被制御装置3の動作を停止させる。制御装置2は、センサ故障が通知されたとき、ユーザに対するセンサ故障の通知を行うようにしてもよい。
図2は、安全装置1の構成の一例を説明する図である。図2において、X0、X1は夫々センサ31、32からのセンサ信号の入力ポート、Y0、Y1は、夫々、動作許可/不許可信号、センサ故障検出信号の出力ポートである。なお、センサ31、32からの入力信号は、High(1)の状態がオン、Low(0)の状態がオフであることを示すとする。また、動作許可/不許可信号に関し、High(1)の状態が動作許可状態、Low(0)の状態が動作不許可状態であることとする。また、センサ故障検出信号に関し、High(1)の状態がセンサ故障検出状態、Low(0)の状態がセンサ故障非検出状態であることとする。
動作許可/不許可部11は、アンド回路110、アンド回路111、およびインバータ112を備えている。X0、X1に入力された入力信号(センサ入力)は、アンド回路110の入力端に夫々入力される。アンド回路110による演算結果はアンド回路111の1つの入力端に入力される。センサ故障検出部12による検出結果は、インバータ112を介してアンド回路111のもう1つの入力端に入力される。アンド回路111の演算結果は、ポートY0を介して制御装置2へ出力される。すなわち、動作許可/不許可部11は、センサ31、32が双方ともオン出力しており、かつセンサ故障検出部12がセンサ故障を検出していないとき、被制御装置3の動作を許可し、センサ31、32のうちの少なくとも一方がオフ出力しているか、センサ故障検出部12がセンサ故障を検出しているとき、被制御装置3の動作を許可しない。
センサ故障検出部12は、アンド回路120、ノア回路121、XOR回路122、アンド回路123(センサ故障判定部)、ラッチ回路124を備えている。アンド回路120、ノア回路121、およびXOR回路122は、夫々の入力端に、X0からのセンサ入力およびX1からのセンサ入力が夫々入力されており、センサ31、32からの入力信号が全てオン状態であるか、全てオフ状態であるか、またはセンサ間で不一致状態であるかを判定する入力信号判定部として機能する。
ラッチ回路124は、センサ31、32からの入力信号が不一致状態であると判定されたとき、不一致状態と判定された記録を保持し、入力信号が全てオフ状態であると判定されたとき、該記録を解放する第1ラッチ記憶部として機能する。具体的には、ラッチ回路124は、XOR回路122の演算結果がセットされ、ノア回路121の演算結果によって前記XOR回路122の保持内容がリセットされるようになっている。
アンド回路120の演算結果およびラッチ回路124の保持内容はアンド回路123の入力端に夫々入力される。アンド回路123の演算結果は、センサ故障検出部12による検出結果として動作許可/不許可部11に伝達されるとともに、ポートY1を介して制御装置2へ出力される。すなわち、アンド回路123は、入力信号が全てオン状態であると判定された時、ラッチ回路124が不一致状態と判定された記録を保持している場合、センサ故障検出信号をセンサ故障検出状態とし、ラッチ回路124が該記録を保持していない場合、センサ故障検出信号をセンサ故障非検出状態とする。
次に、図3および図4を参照して安全装置1の動作を説明する。図3は、安全装置1がセンサ故障を検出しない場合の安全装置1の動作パターンを説明するタイミングチャートである。(a)、(b)は夫々X0、X1へのセンサ入力、(c)はXOR回路122の出力、(d)はノア回路121の出力、(e)はラッチ回路124の出力、(f)はアンド回路120の出力、(g)はY1からの出力(センサ故障検出信号)、(h)はY0からの出力(動作許可/不許可信号)の遷移を夫々示している。
図3に示すように、図中のタイミング1でX1がオンとなっている状態でX0がオンからオフに遷移すると、XOR回路122はX0とX1との間の不一致を検出してXOR回路122の出力端がLowからHighに遷移し、ラッチ回路124はHighが保持される。また、アンド回路120の出力は、HighからLowに遷移し、動作許可/不許可信号はアンド回路120からの入力の遷移に基づいて動作許可状態から動作不許可状態に遷移する。
タイミング2においてX1がオンからオフに遷移すると、X0とX1との不一致は解消されてXOR回路122の出力はHighからLowに遷移する。ノア回路121の出力端はLowからHighに遷移し、ラッチ回路124は該遷移によりリセットされて保持内容がHighからLowに遷移する。
タイミング3においてX0、X1が双方ともオフからオンに遷移すると、ノア回路121がHighからLowに遷移するとともにアンド回路120がLowからHighに遷移する。タイミング1〜3におけるいずれの変化においても、アンド回路123に入力される2つの信号が両方ともHighになるタイミングがないので、センサ故障検出信号はタイミング1〜3における変化を通して常にLow、すなわちセンサ故障非検出状態となっている。タイミング3においては、センサ故障検出信号がLowで、かつX0、X1の双方がオンになっているので、動作許可/不許可信号は、動作不許可状態から動作許可状態に遷移する。
図4は、安全装置1がセンサ故障を検出する場合の安全装置1の動作パターンを説明するタイミングチャートである。(a)、(b)は夫々X0、X1へのセンサ入力、(c)はXOR回路122の出力、(d)はノア回路121の出力、(e)はラッチ回路124の出力、(f)はアンド回路120の出力、(g)はY1からの出力(センサ故障検出信号)、(h)はY0からの出力(動作許可/不許可信号)のタイミングを夫々示している。
図4に示すように、図中のタイミング1でX1がオンとなっている状態でX0がオンからオフに遷移すると、図3のタイミング1のときと同様に、XOR回路122の出力はLowからHighに遷移し、ラッチ回路124はHighがセットされる。アンド回路120の出力は、HighからLowに遷移し、動作許可/不許可信号は動作許可状態から動作不許可状態に遷移する。
続いてタイミング2でX0がオフからオンに遷移すると、XOR回路120の出力はHighからLowに遷移し、アンド回路120の出力はLowからHighに遷移する。ラッチ回路124は、保持内容がリセットされていないので、タイミング1における遷移以後、Highを出力し続ける。したがって、アンド回路123に入力される信号は2つともHighとなるため、センサ故障検出信号がLowからHigh(センサ故障検出状態)に遷移する。なお、センサ故障検出信号がHighとなっているので、タイミング2では、X0、X1が共にオンとなるにも関わらず動作許可/不許可信号はHigh(動作許可状態)には遷移しない。
なお、上記説明においては、安全装置1には被制御装置3が備える2つのセンサ31、32からの入力を受け付け、受け付けた入力に基づいて動作許可/不許可の判定およびセンサ故障の検出を行うとして説明したが、被制御装置3は3つ以上のセンサを備え、これらのセンサ入力に基づいて動作許可/不許可の判定およびセンサ故障の検出を実行するようにしてもよい。図5は、センサ入力の入力ポートを3つ備える場合の安全装置1の構成の一例を説明する図である。X0、X1、X2には、夫々のセンサからのセンサ入力が入力される。安全装置1は、XOR回路122の代わりに、センサ入力間の不一致を検出する不一致検出回路125を備えている。アンド回路120、ノア回路121、不一致検出回路125、アンド回路110には、3つのセンサからの入力信号が夫々入力される。不一致検出回路125は、3つの入力信号の間の不一致を検出し、検出結果をラッチ回路124にセットする。
このように、本発明の第1の実施の形態では、複数のセンサからの入力信号が不一致状態であるとき、不一致状態記録を保持し、複数のセンサからの入力信号が全てオフ状態であるとき、不一致状態記録を解放するラッチ回路124と、ラッチ回路124が不一致状態記録を保持している場合、複数のセンサのうちの少なくとも1つが故障していると判定し、ラッチ回路124が不一致状態記録を保持していない場合、複数のセンサの夫々は故障していないと判定するセンサ故障判定を、複数のセンサからの入力信号が全てオン状態となったタイミングで実行するアンド回路123と、を備えるように構成したので、不一致状態となっている時間に基づいて故障検出を行う従来の故障検出手段のように故障検出のための設定時間を設定する必要なくセンサの故障を検出することができる。すなわち、実施の形態1によれば、簡単にセンサの故障を検出することができる。
実施の形態2.
実施の形態1の構成では、全信号がオフとなっている状態から不一致状態を経て全信号がオンとなったとき、不一致検出回路(あるいはXOR回路)が不一致状態を検出した状態で全信号がオンとなってしまうので、センサ故障検出状態を出力してしまう。実施の形態2では、いったん全信号がオフになれば、不一致状態を経て全信号がオンとなってもセンサ故障検出状態を出力しないようにした。
図6は、本発明にかかる安全装置の実施の形態2の構成の一例を説明する図である。なお、ここでは、実施の形態1と同じ構成要素には実施の形態1と同一の符号を付し、詳細な説明を省略する。
図6に示すように、安全装置4は、動作許可/不許可部11と、センサ故障検出部13とを備えている。動作許可/不許可部11は、アンド回路110、アンド回路111、およびインバータ112を備えている。インバータ112にはセンサ故障検出部13による検出結果が入力される。
センサ故障検出部13は、アンド回路120、ノア回路121、XOR回路122、アンド回路123、ラッチ回路124、およびラッチ回路130を備えている。ラッチ回路130は、センサからの入力信号が全てオフ状態であったとき、オフ状態記録を保持し、入力信号が全てオン状態であったとき、オフ状態記録を解放する第2ラッチ記憶部として機能する。具体的には、ラッチ回路130は、ノア回路121の演算結果がセットされ、セットされた演算結果はアンド回路120の演算結果によってリセットされる。また、ラッチ回路130の保持内容は、ラッチ回路124の保持内容のリセット入力として用いられる。
図7は、安全装置4がセンサ故障を検出する場合の安全装置4の動作パターンを説明するタイミングチャートである。(a)、(b)は夫々X0、X1へのセンサ入力、(c)はXOR回路122の出力、(d)はノア回路121の出力、(e)はラッチ回路130の出力、(f)はラッチ回路124の出力、(g)はアンド回路120の出力、(h)はY1からの出力(センサ故障検出信号)、(i)はY0からの出力(動作許可/不許可信号)のタイミングを夫々示している。
図7に示すように、図中のタイミング1でX1がオンのままX0がオンからオフに遷移すると、XOR回路122の出力はLowからHighに遷移し、ラッチ回路124はHighがセットされ、アンド回路120の出力は、HighからLowに遷移し、動作許可/不許可信号は動作許可状態から動作不許可状態に遷移する。
続いてタイミング2でX1がオンからオフに遷移すると、XOR回路120の出力はHighからLowに遷移し、ノア回路121の出力はLowからHighに遷移する。ラッチ回路130は、ノア回路121の遷移によりHighがセットされ、ラッチ回路124をリセットして保持内容をHighからLowに遷移させる。なお、ラッチ回路130は、Highを保持している限り、ラッチ回路124へリセット入力を入力し続けている状態となる。
続いてタイミング3でX0がオフとなっている状態でX1がオフからオンに遷移すると、XOR回路122の出力はLowからHighに遷移し、ノア回路121の出力はHighからLowに遷移する。ラッチ回路130は、タイミング3でノア回路121の出力がHighからLowに遷移してもHighを保持したままとなっているため、ラッチ回路124は、常にリセット入力されていることと等しいため、XOR回路122の演算結果であるHighをセットされない状態となっている。
そして、タイミング4でX0がオフからオンに遷移すると、XOR回路122の出力はHighからLowに遷移し、アンド回路120の出力はLowからHighに遷移する。アンド回路120の出力がHighとなるため、ラッチ回路130の保持内容はリセットされてHighからLowに遷移する。タイミング1〜4におけるいずれの変化においても、アンド回路123に入力される2つの信号が両方ともHighになるタイミングがないので、センサ故障検出信号はタイミング1〜3における変化を通して常にLowとなっている。タイミング4においては、センサ故障検出信号がLowで、かつX0、X1の双方がオンになっているので、動作許可/不許可信号は、動作不許可状態から動作許可状態に遷移する。
因みに、実施の形態1によれば、図7におけるタイミング3において、センサ31、32が不一致状態となるので、XOR回路122の出力がHighに遷移し、ラッチ回路124にHighがセットされる。そして、タイミング4において、アンド回路120がLowからHighに遷移すると、アンド回路123は、入力される2つの信号が両方ともHighになってしまい、センサ故障検出状態を出力してしまうことになってしまう。
なお、実施の形態2においても、被制御装置3は3つ以上のセンサを備え、安全装置4はこれらのセンサの出力に基づいて動作許可/不許可の判定およびセンサ故障の検出を実行するようにしてもよい。図8は、3つのセンサからの入力ポートを備える場合の安全装置1の構成の一例を説明する図である。図示するように、安全装置4は、XOR回路122の代わりに不一致検出回路131が備えられており、不一致検出回路131は、X0〜X2間の信号の不一致を検出する。
以上説明したように、実施の形態2によれば、複数のセンサからの入力信号が全てオフ状態であったとき、オフ状態記録を保持し、入力信号が全てオン状態であったとき、オフ状態記録を解放するラッチ回路130をさらに備え、ラッチ回路130は、オフ状態記録を保持しているとき、ラッチ回路124に対して不一致状態記録を解放させるリセット入力を入力するように構成したので、簡単にセンサの故障を検出することができる。また、全信号がオフとなっている状態から不一致状態を経て全信号がオンとなったとき、センサ故障と判定しないようにすることができる。
実施の形態3.
図9は、実施の形態3の安全装置の構成の一例を説明する図である。図示するように、安全装置5は、動作許可/不許可部11と、センサ故障検出部14と、を備えている。動作許可/不許可部11は、アンド回路110、アンド回路111、およびインバータ112を備えている。インバータ112にはセンサ故障検出部14による検出結果が入力される。
センサ故障検出部14は、アンド回路120、ノア回路121、XOR回路122、アンド回路123、不揮発性のラッチ回路140、および不揮発性のラッチ回路141を備えている。ラッチ回路140には、XOR回路122の演算結果がセットされ、ノア回路121の演算結果によってリセットされる。アンド回路123は、入力端にアンド回路120の演算結果とラッチ回路140の保持内容とが夫々入力され、演算結果をラッチ回路141にセットする。ラッチ回路141は、保持内容をセンサ故障検出信号として出力する。また、安全装置5は、ラッチ回路141の保持内容をリセットする信号が入力されるポートX2を備えている。ラッチ回路141は、いったんセンサ故障検出状態を保持すると、外部(例えば制御装置2)からリセット入力がされるまで保持内容を保持し続ける。
なお、実施の形態3においても、実施の形態1と同様に、安全装置5は3つ以上のセンサの出力に基づいて動作許可/不許可の判定およびセンサ故障の検出を実行するようにしてもよい。
このように、実施の形態3によれば、不一致状態の検出結果を不揮発性のラッチ回路140にセットするようにし、センサ故障検出信号を不揮発性のラッチ回路141にセットするようにしたので、例えば図4におけるタイミング1とタイミング2との間で電源がオフされたとしても、ラッチ回路140はHighを保持し続けることができる。また、タイミング2以降に電源がオフされたとしても、ラッチ回路141は動作不許可状態を保持し続けることができる。すなわち、実施の形態3によれば、実施の形態1と同様の効果に加えて、電源がオフされても、電源が再投入されたとき、電源オフ前と同じ状態で動作開始することができるので、電源オフによるセンサ故障の見逃しを防止することができるという効果が得られる。
実施の形態4.
図10は、実施の形態4の安全装置の構成の一例を説明する図である。図示するように、安全装置6は、動作許可/不許可部11と、センサ故障検出部15と、を備えている。動作許可/不許可部11は、アンド回路110、アンド回路111、およびインバータ112を備えている。インバータ112にはセンサ故障検出部15による検出結果が入力される。
センサ故障検出部15は、アンド回路120、ノア回路121、XOR回路122、アンド回路123、不揮発性のラッチ回路150、不揮発性のラッチ回路151、および不揮発性のラッチ回路152を備えている。ラッチ回路150は、ノア回路121の演算結果がセットされ、アンド回路120の演算結果によってリセットされる。また、ラッチ回路150の保持内容は、ラッチ回路151の保持内容のリセット入力として用いられる。
アンド回路123は、入力端にアンド回路120の演算結果とラッチ回路151の保持内容とが夫々入力され、演算結果をラッチ回路152にセットする。ラッチ回路152は、保持内容をセンサ故障検出信号として出力する。また、安全装置6は、ラッチ回路152の保持内容をリセットする信号が入力されるポートX2を備えている。ラッチ回路152は、いったんセンサ故障検出状態を保持すると、外部からリセット入力がされるまで保持内容を保持し続ける。
なお、実施の形態4においても、実施の形態2と同様に、安全装置6は3つ以上のセンサの出力に基づいて動作許可/不許可の判定およびセンサ故障の検出を実行するようにしてもよい。
このように、実施の形態4によれば、ラッチ回路150、151、152は保持内容が不揮発化されているので、実施の形態2と同様の効果に加えて、電源オフによるセンサ故障の見逃しを防止することができるという効果が得られる。
実施の形態5.
実施の形態1〜4の安全装置は、全信号がオン状態となったタイミングでセンサ故障検出を行うようにしている。実施の形態5は、全信号がオン状態となったタイミングに加えて、任意のタイミングでセンサ故障の検出を行うことができるようにしたことが特徴となっている。
図11は、実施の形態5の安全装置の構成の一例を説明する図である。図示するように、安全装置7は、動作許可/不許可部11と、センサ故障検出部16と、を備えている。動作許可/不許可部11は、アンド回路110、アンド回路111、およびインバータ112を備えている。インバータ112にはセンサ故障検出部16による検出結果が入力される。
センサ故障検出部16は、アンド回路120、ノア回路121、XOR回路122、アンド回路123、ラッチ回路124、ラッチ回路130、外部トリガ検出部160、アンド回路161、およびオア回路162を備えている。
外部トリガ検出部160は、外部からのトリガ入力を監視する。トリガ入力とは、例えば該トリガを発生させるためのスイッチからの入力であってよい。また、外部トリガ検出部160は、制御装置2や被制御装置3の電源を監視し、監視対象の電源のオフを外部トリガとするようにしてもよい。アンド回路161は、入力端に、ラッチ回路124の保持内容と外部トリガ検出部160の検出内容とが入力される。オア回路162は、入力端にアンド回路123の演算結果およびアンド回路161の演算結果が入力され、演算結果をセンサ故障検出信号として出力する。
このように構成されることにより、外部トリガ検出部160がトリガオンを検出している状態においてラッチ回路124がHighとなると、アンド回路161に入力される信号が2つともHighとなる。そのとき、オア回路162の出力はアンド回路123の演算結果に関わらずLowからHighに遷移する。すなわち、実施の形態5によれば、全信号がオン状態となったタイミングに加えて、任意のタイミングでセンサ故障の検出を行うことができるようになる。
なお、安全装置7は、実施の形態2の構成に外部トリガ検出部160、アンド回路161、オア回路162を追加した構成となっているが、実施の形態1の構成に前記3つの構成要素を追加して構成するようにしても構わない。
実施の形態6.
実施の形態1〜4の安全装置は、全信号がオンとなったタイミングでセンサ故障を検出する。実施の形態6では、全信号がオフとなっている状態から不一致状態に遷移し、該不一致状態が所定の時間以上続いたとき、センサ故障と判定するようにした。
図12は、実施の形態6の安全装置の構成の一例を説明する図である。図示するように、安全装置8は、動作許可/不許可部11と、センサ故障検出部17と、を備えている。動作許可/不許可部11は、アンド回路110、アンド回路111、およびインバータ112を備えている。インバータ112にはセンサ故障検出部17による検出結果が入力される。
センサ故障検出部17は、アンド回路120、ノア回路121、XOR回路122、アンド回路123、ラッチ回路124、ラッチ回路130、オア回路170、タイマ171、アンド回路172、およびオア回路173を備えている。
アンド回路120およびノア回路121の演算結果は夫々オア回路170の入力端に入力される。タイマ171は、スタートしてから、センサ故障と判定するための設定時間までカウントする。タイマ171は、XOR回路122の演算結果に基づいてカウントスタートし、オア回路170の演算結果に基づいてカウントリセットする。アンド回路172は、入力端に、ラッチ回路124の保持内容とタイマ171のカウント結果とが入力される。オア回路173は、入力端にアンド回路123の演算結果およびアンド回路172の演算結果が入力され、演算結果をセンサ故障検出信号として出力する。
このように構成されることにより、全信号がオフとなってから不一致状態に遷移し、不一致状態がタイマ171に設定された設定時間を経過すると、該時間経過をトリガとしてセンサ故障検出状態を出力する。
なお、実施の形態6においても、実施の形態2と同様に、安全装置8は3つ以上のセンサの出力に基づいて動作許可/不許可の判定およびセンサ故障の検出を実行するようにしてもよい。
このように、実施の形態6によれば、センサからの入力信号が不一致状態であると判定した時、カウントをスタートし、センサからの入力信号が全てオン状態である時および全てオフ状態である時、カウントをリセットする、所定の設定時間をカウントするタイマ171をさらに備え、センサからの入力信号が全てオン状態となったタイミングまたはタイマ171が前記設定時間までカウントしたタイミングのうちの少なくとも一方のタイミングでラッチ回路124がHighとなっている場合、センサ故障検出信号をセンサ故障検出状態とするように構成したので、実施の形態2の効果に加えて、図7におけるタイミング1とタイミング2との間のように双方がオフ状態となるべき状態が長時間継続する場合において一方のセンサがオン状態のまま故障していたとしても、タイマ171の設定時間を適切に設定することによって、双方がオン状態となる前に該故障を検出することができるようになるという効果が得られる。
なお、アンド回路172とオア回路173との間およびアンド回路123とオア回路173との間の夫々に、外部から操作可能なマスク回路を挿入して、アンド回路172、アンド回路123の演算結果をマスクできるように構成すると、夫々のマスク回路を操作することによって、双方がオン状態となったタイミングで故障検出を行うのか、タイマ171の設定時間が経過したタイミングで故障検出を行うのか、またはその両方のタイミングで故障検出を行うのかを切り替えることができるようになる。
また、安全装置8は、実施の形態2の構成にオア回路170、タイマ171、アンド回路172、およびオア回路173を追加した構成となっているが、実施の形態1の構成に前記4つの構成要素を追加して構成するようにしても構わない。
実施の形態7.
実施の形態1において説明したセンサ故障検出部の機能は、ソフトウェアにより実行されるようにしてもよい。実施の形態7では、実施の形態1のセンサ故障検出部の動作がソフトウェアにより実行される場合について説明する。
図13は、実施の形態7の安全装置の構成の一例を説明する図である。図示するように、安全装置9は、動作許可/不許可部11と、センサ故障検出部18と、を備えている。動作許可/不許可部11は、アンド回路110、アンド回路111、およびインバータ112を備えている。インバータ112にはセンサ故障検出部18による検出結果が入力される。
センサ故障検出部18には、センサ31、32からのセンサ入力が入力され、該センサ入力に基づいてセンサ31、32のうちの1つのセンサの故障を検出し、検出結果をセンサ故障検出信号として出力する。センサ故障検出部18は、CPU180、ROM181、RAM182、およびIOポート183を備えた、通常のコンピュータと同じ構成を有している。CPU180、ROM181、RAM182、およびIOポート183は夫々バスを介して接続されている。
IOポート183は、2つのセンサ入力の入力を受け付け、センサ故障検出信号を出力するための接続インタフェースである。ROM181には、センサ故障を検出するためのプログラムであるセンサ故障検出プログラム184が格納されている。センサ故障検出プログラム184は、安全装置9の起動時に、RAM182に送られてRAM182のプログラム展開領域に展開される。CPU180は、RAM182に展開されたセンサ故障検出プログラム184を実行することによって、センサ故障検出部19の機能を実現する。
図14は、センサ故障検出部18の機能構成を説明する図である。図示するように、センサ故障検出部18は、不一致状態記録変数が格納されている不一致状態記録変数記憶部185と、2つのセンサからの入力信号が不一致状態であるか、双方がオン状態であるか、または双方がオフ状態であるかを判定する入力信号判定部186と、入力信号判定部186による判定結果に基づいて不一致状態記録変数を操作する変数操作部187と、入力信号判定部186が双方のセンサ入力がオン状態であると判定したとき、不一致状態記録変数に基づいてセンサ31、32が故障しているか否かを判定する故障検出判定部188と、を備えている。不一致状態記録変数記憶部185は、例えばRAM182やCPU180が備えるレジスタなどに確保される。
なお、不一致状態記録変数は、実施の形態1の安全装置1におけるラッチ回路124の保持内容に対応する。
図15は、センサ故障検出部18によって実現される故障検出方法を説明するフローチャートである。図示するように、まず、動作が開始されると、故障検出判定部188は、センサ故障検出信号をセンサ故障非検出状態(Y1=0)とする(ステップS1)。変数操作部187は、不一致状態記録変数(w_diff)=0とする(ステップS2)。入力信号判定部186は、X0、X1に入力されたセンサ入力を取得(サンプリング)する(ステップS3)。
入力信号判定部186は、取得したX0へ入力された信号とX1へ入力された信号との排他的論理和が1(すなわち双方のセンサ入力が不一致状態)であるか否かを判定する(ステップS4)。双方の信号の排他的論理和が1であった場合(ステップS4、Yes)、変数操作部187は、w_diff=1とし(ステップS5)、ステップS3へ移行する。
双方の信号の排他的論理和が1ではなかった場合(ステップS4、No)、入力信号判定部186は、双方の信号の論理和の反転が1(すなわち双方オフ状態)であるか否かをさらに判定する(ステップS6)。双方の信号の論理和の反転が1であった場合(ステップS6、Yes)、変数操作部187は、w_diff=0として(ステップS7)、ステップS3へ移行する。
双方の信号の論理和の反転が1ではなかった場合(ステップS6、No)、双方のセンサ入力は双方オン状態であることになる。故障検出判定部188は、w_diff=0であるか否かを判定し(ステップS8)、w_diff=0ではなかった場合(ステップS8、No)、Y1=1(センサ故障検出状態)とする(ステップS9)。w_diff=0であった場合(ステップS8、Yes)、ステップS3へ移行する。
なお、上記説明においては、動作許可/不許可部11もコンピュータ構成とし、プログラムを実行することによって動作許可/不許可部11の動作を実現するようにしてもよい。また、動作許可/不許可部11の動作を実現するプログラムとセンサ故障検出プログラム184とを同一のコンピュータ上で実行するようにしてもよい。
また、実施の形態7においても、実施の形態1と同様に、安全装置9は3つ以上のセンサの出力に基づいて動作許可/不許可の判定およびセンサ故障の検出を実行するようにしてもよい。
このように、複数のセンサからの入力信号を取り込み(ステップS3)、入力信号が全てオン状態であるか、全てオフ状態であるか、または不一致状態であるかを判定し(ステップS4、ステップS6)、判定結果が不一致状態であった場合、w_diff=1とし(ステップS5)、判定結果が全てオフ状態であった場合、w_diff=0とし(ステップS7)、判定結果が全てオン状態であった場合、w_diff=0であるとき、複数のセンサのうちの少なくとも1つが故障していると判定する(ステップS9)ように構成したので、実施の形態1と同様に、簡単にセンサの故障を検出することができる。
実施の形態8.
実施の形態8では、実施の形態2において説明したセンサ故障検出部の機能をソフトウェアにより実行する場合について説明する。
図16は、実施の形態8の安全装置の構成の一例を説明する図である。図示するように、安全装置10は、動作許可/不許可部11と、センサ故障検出部19と、を備えている。動作許可/不許可部11は、アンド回路110、アンド回路111、およびインバータ112を備えている。インバータ112にはセンサ故障検出部19による検出結果が入力される。
センサ故障検出部19には、センサ31、32からのセンサ入力が入力され、該センサ入力に基づいてセンサ31、32のうちの1つのセンサの故障を検出し、検出結果をセンサ故障検出信号として出力する。センサ故障検出部19は、CPU190、ROM191、RAM192、およびIOポート193を備えた、通常のコンピュータと同じ構成を有している。CPU190、ROM191、RAM192、およびIOポート193は夫々バスを介して接続されている。
IOポート193は、2つのセンサ入力の入力を受け付け、センサ故障検出信号を出力するための接続インタフェースである。ROM191には、センサ故障を検出するためのプログラムであるセンサ故障検出プログラム194が格納されている。センサ故障検出プログラム194は、安全装置10の起動時に、RAM192に送られてRAM192のプログラム展開領域に展開される。CPU190は、RAM192に展開されたセンサ故障検出プログラム194を実行することによって、センサ故障検出部19の機能を実現する。
図17は、センサ故障検出部19の機能構成を説明する図である。図示するように、センサ故障検出部19は、不一致状態記録変数が格納されている不一致状態記録変数記憶部195と、双方オフ状態記録変数が格納されている双方オフ状態記録変数記憶部196と、2つのセンサからの入力信号が不一致状態であるか、双方がオン状態であるか、または双方がオフ状態であるかを判定する入力信号判定部197と、入力信号判定部197による判定結果に基づいて不一致状態記録変数および双方オフ状態記録変数を操作する変数操作部198と、入力信号判定部197が双方のセンサ入力がオン状態であると判定したとき、不一致状態記録変数に基づいてセンサ31、32が故障しているか否かを判定する故障検出判定部199と、を備えている。不一致状態記録変数記憶部195および双方オフ状態記録変数記憶部196は、例えばRAM192やCPU190が備えるレジスタなどに確保される。
図18は、センサ故障検出部19の動作を説明するステートチャート図である。図示するように、夫々不一致状態記録変数(w_diff)および双方オフ状態記録変数(w_off)の値の組み合わせによって3つのステート〔双方オン状態(w_diff=0、w_off=0)、双方オフ状態または不一致状態1(w_diff=0、w_off=1)、不一致状態2(w_diff=1、w_off=0)〕が夫々識別可能となっている。なお、不一致状態1は、双方オフ状態から遷移した不一致状態を指し、不一致状態2は、双方オン状態から遷移した不一致状態を指す。変数操作部198は、入力信号判定部197の判定結果に基づいて2つの変数を操作する。言い換えると、変数操作部198は図18に示す上記3つのステート間の遷移を制御する。故障検出判定部199は、ステートが不一致状態2となっている場合に入力信号判定部197が双方オン状態であると判定したとき、センサ故障検出信号をセンサ故障検出状態とする。
なお、不一致状態記録変数は、実施の形態2の安全装置4におけるラッチ回路124の保持内容、双方オフ状態記録変数は実施の形態2の安全装置4におけるラッチ回路130の保持内容に対応する。
図19は、センサ故障検出部19によって実現される故障検出方法を説明するフローチャートである。図示するように、まず、動作が開始されると、故障検出判定部199は、センサ故障検出信号をセンサ故障非検出状態(Y1=0)とする(ステップS11)。変数操作部198は、w_diff=0、w_off=0とする(ステップS12)。そして、入力信号判定部197は、X0、X1に入力されたセンサ入力を取得(サンプリング)する(ステップS13)。
入力信号判定部197は、取得したX0へ入力された信号とX1へ入力された信号との排他的論理和が1(すなわち双方のセンサ入力が不一致状態)であるか否かを判定する(ステップS14)。双方の信号の排他的論理和が1であった場合(ステップS14、Yes)、変数操作部198は、w_off=0であるか否かを判定し(ステップS15)、w_off=0であった場合(ステップS15、Yes)、w_diff=1とし(ステップS16)、ステップS13へ移行する。w_off=0ではなかった場合(ステップS15、No)、ステップS16はスキップされる。
双方の信号の排他的論理和が1ではなかった場合(ステップS14、No)、入力信号判定部197は、双方の信号の論理和の反転が1(すなわち双方オフ状態)であるか否かをさらに判定する(ステップS17)。双方の信号の論理和の反転が1であった場合(ステップS17、Yes)、変数操作部198は、w_diff=0、w_off=1として(ステップS18)、ステップS13へ移行する。
双方の信号の論理和の反転が1ではなかった場合(ステップS17、No)、双方のセンサ入力は双方オン状態であることになる。故障検出判定部199は、w_diff=0であるか否かを判定し(ステップS19)、w_diff=0ではなかった場合(ステップS19、No)、Y1=1(センサ故障検出状態)とする(ステップS21)。w_diff=0であった場合(ステップS19、Yes)、変数操作部198は、w_off=0として(ステップS20)、ステップS13へ移行する。
なお、上記説明においては、動作許可/不許可部11もコンピュータ構成とし、プログラムを実行することによって動作許可/不許可部11の動作を実現するようにしてもよい。また、動作許可/不許可部11の動作を実現するプログラムとセンサ故障検出プログラム194とを同一のコンピュータ上で実行するようにしてもよい。
また、実施の形態8においても、実施の形態2と同様に、安全装置10は3つ以上のセンサの出力に基づいて動作許可/不許可の判定およびセンサ故障の検出を実行するようにしてもよい。
このように、実施の形態8によれば、複数のセンサからの入力信号を取り込み(ステップS12)、入力信号が全てオン状態であるか、全てオフ状態であるか、または不一致状態であるかを判定し(ステップS14およびステップS17)、判定結果が全てオフ状態であった場合、w_diff=0、w_off=1とし(ステップS18)、判定結果が不一致状態であった場合、w_off=0であるとき、w_diff=1とし(ステップS16)、判定結果が全てオン状態であった場合、w_diff=0であるとき、w_off=0とし(ステップS20)、w_diff=1であるとき、複数のセンサのうちのすくなくとも1つが故障していると判定する(ステップS21)ように構成したので、実施の形態2と同様に、簡単にセンサの故障を検出することができる。また、全信号がオフとなっている状態から不一致状態を経て全信号がオンとなったとき、センサ故障と判定しないようにすることができる。
以上のように、本発明にかかる安全装置および故障検出方法は、機器の安全状態を検知する多重化されたセンサからの入力信号に基づいて前記機器の動作を許可/不許可する安全装置およびこの安全装置におけるセンサの故障検出方法に適用して好適である。
1、4〜10 安全装置
2 制御装置
3 被制御装置
11 動作許可/不許可部
12〜19 センサ故障検出部
31 第1センサ
32 第2センサ
110、111、120、123、161、172 アンド回路
112 インバータ
121 ノア回路
122 XOR回路
124、130、140、141、150、151、152 ラッチ回路
125、131 不一致検出回路
160 外部トリガ検出部
162、170、173 オア回路
171 タイマ
180、190 CPU
181、191 ROM
182、192 RAM
183、193 IOポート
184、194 センサ故障検出プログラム
185、195 不一致状態記録変数記憶部
186、197 入力信号判定部
187、198 変数操作部
188、199 故障検出判定部
196 双方オフ状態記録変数記憶部
続いてタイミング2でX0がオフからオンに遷移すると、XOR回路122の出力はHighからLowに遷移し、アンド回路120の出力はLowからHighに遷移する。ラッチ回路124は、保持内容がリセットされていないので、タイミング1における遷移以後、Highを出力し続ける。したがって、アンド回路123に入力される信号は2つともHighとなるため、センサ故障検出信号がLowからHigh(センサ故障検出状態)に遷移する。なお、センサ故障検出信号がHighとなっているので、タイミング2では、X0、X1が共にオンとなるにも関わらず動作許可/不許可信号はHigh(動作許可状態)には遷移しない。
このように、本発明の実施の形態1では、複数のセンサからの入力信号が不一致状態であるとき、不一致状態記録を保持し、複数のセンサからの入力信号が全てオフ状態であるとき、不一致状態記録を解放するラッチ回路124と、ラッチ回路124が不一致状態記録を保持している場合、複数のセンサのうちの少なくとも1つが故障していると判定し、ラッチ回路124が不一致状態記録を保持していない場合、複数のセンサの夫々は故障していないと判定するセンサ故障判定を、複数のセンサからの入力信号が全てオン状態となったタイミングで実行するアンド回路123と、を備えるように構成したので、不一致状態となっている時間に基づいて故障検出を行う従来の故障検出手段のように故障検出のための設定時間を設定する必要なくセンサの故障を検出することができる。すなわち、実施の形態1によれば、簡単にセンサの故障を検出することができる。
続いてタイミング2でX1がオンからオフに遷移すると、XOR回路122の出力はHighからLowに遷移し、ノア回路121の出力はLowからHighに遷移する。ラッチ回路130は、ノア回路121の遷移によりHighがセットされ、ラッチ回路124をリセットして保持内容をHighからLowに遷移させる。なお、ラッチ回路130は、Highを保持している限り、ラッチ回路124へリセット入力を入力し続けている状態となる。
そして、タイミング4でX0がオフからオンに遷移すると、XOR回路122の出力はHighからLowに遷移し、アンド回路120の出力はLowからHighに遷移する。アンド回路120の出力がHighとなるため、ラッチ回路130の保持内容はリセットされてHighからLowに遷移する。タイミング1〜4におけるいずれの変化においても、アンド回路123に入力される2つの信号が両方ともHighになるタイミングがないので、センサ故障検出信号はタイミング1〜における変化を通して常にLowとなっている。タイミング4においては、センサ故障検出信号がLowで、かつX0、X1の双方がオンになっているので、動作許可/不許可信号は、動作不許可状態から動作許可状態に遷移する。
なお、実施の形態2においても、被制御装置3は3つ以上のセンサを備え、安全装置4はこれらのセンサの出力に基づいて動作許可/不許可の判定およびセンサ故障の検出を実行するようにしてもよい。図8は、3つのセンサからの入力ポートを備える場合の安全装置の構成の一例を説明する図である。図示するように、安全装置4は、XOR回路122の代わりに不一致検出回路131が備えられており、不一致検出回路131は、X0〜X2間の信号の不一致を検出する。

Claims (10)

  1. 機器の安全状態を夫々検出する複数のセンサからの入力信号が全てオン状態であるか、全てオフ状態であるか、または前記センサ間で不一致状態であるかを判定する入力信号判定部と、
    前記入力信号判定部が前記複数のセンサからの入力信号が不一致状態であると判定したとき、不一致状態記録を保持し、前記入力信号判定部が前記複数のセンサからの入力信号が全てオフ状態であると判定したとき、前記不一致状態記録を解放する第1ラッチ記憶部と、
    前記第1ラッチ記憶部が前記不一致状態記録を保持している場合、前記複数のセンサのうちの少なくとも1つが故障していると判定し、前記第1ラッチ記憶部が前記不一致状態記録を保持していない場合、前記複数のセンサの夫々は故障していないと判定するセンサ故障判定を、前記入力信号判定部が前記複数のセンサからの入力信号が全てオン状態であると判定した第1のタイミングで実行するセンサ故障判定部と、
    前記複数のセンサからの入力信号および前記センサ故障判定部によるセンサ故障判定の判定結果に基づいて前記機器の動作を許可/不許可する動作許可/不許可部と、
    を備えることを特徴とする安全装置。
  2. 前記入力信号判定部が前記複数のセンサからの入力信号が全てオフ状態であると判定したとき、オフ状態記録を保持し、前記入力信号判定部が前記複数のセンサからの入力信号が全てオン状態であると判定したとき、前記オフ状態記録を解放する第2ラッチ記憶部をさらに備え、
    前記第2ラッチ記憶部は、前記オフ状態記録を保持しているとき、前記第1ラッチ記憶部に対して前記不一致状態記録を解放させるリセット入力を入力する、
    ことを特徴とする請求項1に記載の安全装置。
  3. 前記第1ラッチ記憶部は不揮発性であって、
    前記センサ故障判定部は、前記センサ故障判定の判定結果を保持する不揮発性の第3ラッチ記憶部をさらに備える、
    ことを特徴とする請求項1に記載の安全装置。
  4. 前記第1ラッチ記憶部および前記第2ラッチ記憶部は不揮発性であって、
    前記センサ故障判定部は、前記センサ故障判定の判定結果を保持する不揮発性の第3ラッチ記憶部をさらに備える、
    ことを特徴とする請求項2に記載の安全装置。
  5. 前記第3ラッチ記憶部は、外部からのリセット入力が入力されたとき前記センサ故障判定の判定結果を解放する、
    ことを特徴とする請求項3または請求項4に記載の安全装置。
  6. 外部からのトリガを検出する外部トリガ検出部をさらに備え、
    前記センサ故障判定部は、前記第1のタイミングに加えて前記外部トリガ検出部がトリガを検出した第2のタイミングで、前記センサ故障判定を実行する、
    ことを特徴とする請求項1または請求項2に記載の安全装置。
  7. 前記外部からのトリガは、電源オフ信号である、ことを特徴とする請求項6に記載の安全装置。
  8. 前記入力信号判定部が前記複数のセンサからの入力信号が不一致状態であると判定した時、カウントをスタートし、前記入力信号判定部が前記複数のセンサからの入力信号が全てオン状態であると判定した時および全てオフ状態であると判定した時、カウントをリセットする、所定の設定時間をカウントするタイマをさらに備え、
    前記センサ故障判定部は、前記第1のタイミングに加えて、前記タイマが前記設定時間までカウントした第3のタイミングで、前記センサ故障判定を実行する、
    ことを特徴とする請求項1または請求項2に記載の安全装置。
  9. 機器の安全状態を夫々検出する複数のセンサからの入力信号に基づいて前記機器の動作を許可/不許可する安全装置による、前記複数のセンサの故障を検出する故障検出方法であって、
    前記複数のセンサからの入力信号を取り込む第1ステップと、
    前記取り込まれた入力信号が全てオン状態であるか、全てオフ状態であるか、または前記センサ間で不一致状態であるかを判定する第2ステップと、
    前記第2ステップの判定結果が不一致状態であった場合、第1状態および第2状態のうちの何れか1つの状態を記憶する第1記憶部に第1状態を記憶させる第3ステップと、
    前記第2ステップの判定結果が全てオフ状態であった場合、前記第1記憶部に第2状態を記憶させる第4ステップと、
    前記第2ステップの判定結果が全てオン状態であった場合、前記第1記憶部が第1状態を記憶しているとき、前記複数のセンサのうちの少なくとも1つが故障していると判定し、前記第1記憶部が前記第2状態を記憶しているとき、前記複数のセンサの夫々は故障していないと判定する第5ステップと、
    を備えることを特徴とする故障検出方法。
  10. 機器の安全状態を夫々検出する複数のセンサからの入力信号に基づいて前記機器の動作を許可/不許可する安全装置による、前記複数のセンサの故障を検出する故障検出方法であって、
    前記複数のセンサからの入力信号を取り込む第1ステップと、
    前記取り込まれた入力信号が全てオン状態であるか、全てオフ状態であるか、または前記センサ間で不一致状態であるかを判定する第2ステップと、
    前記第2ステップの判定結果が全てオフ状態であった場合、第1状態および第2状態のうちの何れか1つの状態を記憶する第1記憶部に第1状態を記憶させ、第3状態および第4状態のうちの何れか1つの状態を記憶する第2記憶部に第3状態を記憶させる第3ステップと、
    前記第2ステップの判定結果が不一致状態であった場合、前記第2記憶部が第4状態を記憶しているとき、前記第1記憶部に第2状態を記憶させる第4ステップと、
    前記第2ステップの判定結果が全てオン状態であった場合、前記第1記憶部が第1状態を記憶しているとき、前記第2記憶部に第4状態を記憶させ、前記第1記憶部が第2状態を記憶しているとき、前記複数のセンサのうちの少なくとも1つが故障していると判定する第5ステップと、
    を備えることを特徴とする故障検出方法。
JP2012512562A 2010-04-26 2010-04-26 安全装置および故障検出方法 Active JP5318284B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2010/057385 WO2011135656A1 (ja) 2010-04-26 2010-04-26 安全装置および故障検出方法

Publications (2)

Publication Number Publication Date
JPWO2011135656A1 true JPWO2011135656A1 (ja) 2013-07-18
JP5318284B2 JP5318284B2 (ja) 2013-10-16

Family

ID=44861003

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012512562A Active JP5318284B2 (ja) 2010-04-26 2010-04-26 安全装置および故障検出方法

Country Status (7)

Country Link
US (1) US8803654B2 (ja)
JP (1) JP5318284B2 (ja)
KR (1) KR101418200B1 (ja)
CN (1) CN102870051B (ja)
DE (1) DE112010005515T8 (ja)
TW (1) TWI439833B (ja)
WO (1) WO2011135656A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6129438B1 (ja) * 2015-12-07 2017-05-17 三菱電機株式会社 信号処理装置
JP6738439B2 (ja) * 2017-01-12 2020-08-12 富士フイルム株式会社 状態判定装置
KR20200044206A (ko) 2018-10-10 2020-04-29 삼성전자주식회사 전자 장치 및 이의 제어 방법
JP2020160866A (ja) * 2019-03-27 2020-10-01 Idec株式会社 安全機器
US11137727B2 (en) 2019-04-04 2021-10-05 Swivel-Link, LLC Validation device for testing a machinery safety system
JP7382791B2 (ja) * 2019-10-30 2023-11-17 株式会社日立製作所 異常判定装置、車両支援システム
CN113075447B (zh) * 2021-02-04 2024-06-18 浙江华云信息科技有限公司 一种400v低压配网智能检测装置及方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2915528B2 (ja) * 1990-09-13 1999-07-05 宇宙開発事業団 センサ・データの故障検出・信号選択装置
JPH06149611A (ja) * 1992-10-30 1994-05-31 Oki Electric Ind Co Ltd 故障検出方法及びその回路
US5416725A (en) * 1993-08-18 1995-05-16 P.C. Sentry, Inc. Computer-based notification system having redundant sensor alarm determination and associated computer-implemented method for issuing notification of events
US7610119B2 (en) 2003-07-08 2009-10-27 Omron Corporation Safety controller and system using same
JP4196757B2 (ja) 2003-07-08 2008-12-17 オムロン株式会社 セーフティコントローラ
JP2005326988A (ja) 2004-05-13 2005-11-24 Yaskawa Electric Corp 自動機械用動作許可装置
JP4349231B2 (ja) * 2004-07-30 2009-10-21 株式会社ジェイテクト プログラマブルコントローラ
JP2006348778A (ja) * 2005-06-14 2006-12-28 Denso Corp 圧力センサの異常診断装置
US7380448B2 (en) 2005-06-09 2008-06-03 Denso Corporation Malfunction detection apparatus for pressure sensor
JP2006350707A (ja) 2005-06-16 2006-12-28 Hitachi Ltd 検出手段の故障診断装置
JP4942756B2 (ja) * 2006-09-28 2012-05-30 三菱電機株式会社 故障検出装置、故障検出方法、および故障検出プログラム
DE102008002266B4 (de) 2007-06-12 2019-03-28 Omron Corp. Programmentwicklung-Unterstützungsvorrichtung einer Sicherheitssteuerung
JP4433210B2 (ja) 2007-06-13 2010-03-17 オムロン株式会社 安全コントローラのプログラム開発支援装置
JP4816961B2 (ja) 2007-06-13 2011-11-16 オムロン株式会社 安全リモートi/oターミナル
JP2009217389A (ja) * 2008-03-07 2009-09-24 Toshiba Corp 水力発電所向け制御装置

Also Published As

Publication number Publication date
WO2011135656A1 (ja) 2011-11-03
TW201140268A (en) 2011-11-16
DE112010005515T5 (de) 2013-02-21
DE112010005515T8 (de) 2013-06-13
US20130021135A1 (en) 2013-01-24
CN102870051B (zh) 2015-11-25
US8803654B2 (en) 2014-08-12
CN102870051A (zh) 2013-01-09
KR20130009841A (ko) 2013-01-23
TWI439833B (zh) 2014-06-01
JP5318284B2 (ja) 2013-10-16
KR101418200B1 (ko) 2014-07-09

Similar Documents

Publication Publication Date Title
JP5318284B2 (ja) 安全装置および故障検出方法
EP3754940A1 (en) Fraud detection method and fraud detection electronic control unit
KR101283431B1 (ko) 마이크로 컴퓨터
US8996927B2 (en) Electronic control device with watchdog timer and processing unit to diagnose malfunction of watchdog timer
US10387646B2 (en) Input/output parameter selection
US20160282830A1 (en) Programmable controller
US11169491B2 (en) Safety switch
RU2647684C2 (ru) Устройство и способ обнаружения несанкционированных манипуляций системным состоянием блока управления и регулирования ядерной установки
WO2014203028A1 (en) Diagnostic apparatus, control unit, integrated circuit, vehicle and method of recording diagnostic data
US20140289553A1 (en) Integrated circuit
JP2006344087A (ja) 制御装置のタスク管理装置、及び、制御装置のタスク管理方法
JP4953788B2 (ja) 電子装置
JP2016011028A (ja) 車両用電子制御装置
JP6091403B2 (ja) デジタル出力装置
JP2008176393A (ja) 電子制御装置
JP2008299717A (ja) 集積回路システム
JP2007299247A (ja) システム制御装置、およびシステム制御回路を備えたサーバ装置
JP3724034B2 (ja) 生産設備用制御回路
JP5392058B2 (ja) 処理装置及び制御方法
JP4093218B2 (ja) 空気調和機
JP2012083272A (ja) 半導体集積回路装置およびテストモード設定方法
RU2481619C1 (ru) Устройство резервирования
JPS60230241A (ja) Cpuの周辺lsiの誤動作防止方法
JP5604262B2 (ja) 保護継電装置
JP2011248396A (ja) 電気回路システム、マイクロコンピュータ、及び電気回路システムの動作方法

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130611

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130709

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5318284

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250