WO2006011583A1

WO2006011583A1 - プログラマブルコントローラ

Info

Publication number: WO2006011583A1
Application number: PCT/JP2005/013904
Authority: WO
Inventors: Satoshi Kato; Tsutomu Araki
Original assignee: Jtekt Corporation
Priority date: 2004-07-30
Filing date: 2005-07-22
Publication date: 2006-02-02
Also published as: CN100470419C; JP2006040195A; US20080082212A1; US8072889B2; EP1785791A4; EP1785791B1; EP1785791A1; CN101002149A; JP4349231B2

Abstract

マイコン100Aが自己診断Aの処理を実行している間、B系のマイコン100Bの第2診断パルス出力手段110Bは一切使用されない。また、B系のマイコン100Bは、この時、少なくとも自己診断Aの処理に係わる処理を一切実行しない。この様に診断パルスの出力のタイミングをA系とB系とでずらすことにより、各診断処理(自己診断A/B)の独立性が確保される。このため、自己診断AによりA系とB系の独立性をA系側から簡潔に検証することができる。また、第1診断パルス出力手段110Aによって第1診断パルス群がパラレルに同時に出力される。このため、各外部入力機器に対する巡回制御が必要ないので、A系とB系との独立性を短時間に検証することができる。

Description

プログラマフゾレコントローラ

技術分野

本発明は、ロボットゃ工作機械やそれらの周辺機器の動作に対するシ一ケンス制御に関わり、特に、明プログラマブルコントローラ（ P L C) に入力された入力信号に対する処理の確実性や安全性を高度に確保するために大いに有用なものである。

書背景技術

上記の様なシーケンス制御をプログラマブルコントローラで実行するシステムがある。近年では、システムの異常や緊急状態を正確に検出したり、システムを自動的に緊急安全停止させたりするためのシステムの安全管理に特化した独立構成の P L C (いわゆる安全 P L C ) が普及しつつある。下記の特許文献 1、 2には、この様ないわゆる安全 P L Cに関連した技術が例示されている。

他の技術として、第 1 4図に、従来のプログラマブルコントローラに利用されている公知の入力回路 2 0 1の回路図（平常時）を例示する。この入力回路 2 0 1 は、実際に使用される入力回路を部分的に簡潔に示したものである。本回路では、非常停止スィツチであるスィツチ SW 1、 S W 0は二重化されており常閉接点であり、フォトカプラ 1 0、 2 0、 3— 0、 4 _0Jま常.に電流が流れている—動作状-態で用いられてい ¾_。スイツチ S W 1、 S W 0が開状態となると、フォト力ブラ 1 0、 2 0を流れる電流、及ぴ、フォト力ブラ 3 0、 4 0を流れる電流が、それぞれ何れも遮断される。このように、スィッチ S W 1からの入力信号を入力して処理する回路系統（図示する入力回路 2 0 1 の上半分の系を以下、 A系と言うことがある。）と、スィッチ S W Oからの入力信号を入力して処理する回路系統（図示する入力回路 2 0 1の下半分の系を以下、 B系と言うことがある。）とが二重に構成されている。

そして、この二重構成により、 A系から検出されたスィッチ S W 1 の開閉状態を示す入力信号と、 B系から検出されたスィッチ S W Oの開閉状態を示す入力信号とが、一致した場合には、正常な入力信号として取扱い、その後の論理処理が実行されて出力機器が制御される。たとえば、非常停止スイッチが押下されて、接点が開状態になれば、そのスィッチから出力される 2つの入力信号は共に開状態を示す信号となり一致するので、真正な入力信号として、全ての出力機器の動作を停止する非常停止処理が実行される。

これに対して、 2つの系のスィツチ S W 1 とスィツチ S W Oからの入力信号が一致しない場合には、異常が発生したとして、—非常停止、すなわち、全ての出力機器の動作を瞬時に緊急停止させるようにしている。一方、入力回路やその制御装置は、常に、自己診断されている。その方法を以下に示す。

第 1 4図において、符号 a， b , c , dはそれぞれインバータ（論理反転器）を示している。図示する安全管理を司る図略の A系制御用のマイコンから、インバータ bに対して診断パルス O A (図中の信号 L ) が出力されると、インバータ bの反転作用により、フォトカプラ 4 0の診断パルス入力端子 4 0 a の電位は上がる。これにより、フォトカプラ 4 ひ-が内蔵する L E Dの発光は、パ kス―丄信の期間だけ一時的に中断されるので、フォトカブラ 3 0を通っていた平常電流 i _n は一旦遮断される。したがって、インバータ cを介してもう片方の図略の B系制御用のマイコンに入力される診断結果（診断パルス O Aに対する応答信号 I B ) は、一時的に 1カゝら 0に変位する。

この関係を第 1 5 — A図に示す。即ち、本第 1 5 — A図は、端子 P， Q間が短絡しておらず、かつ、スィッチ SW 1， S W 0が何れも閉じている時に、上記の診断パルス O A (図中の信号 L ) が出力された際の、診断パルス OAと応答信号 I B との関係を示している。逆に B系制御用のマイコンから診断パルス O Bを同様に発信した際にも、同様の対称的な関係が成り立つ。この診断パルス O B と前述の第 1 4図の応答信号 I Aとの関係を第 1 5 — B図に示す。これらの関係は、回路の対称性からも容易に理解することができる。

例えばこの様な、診断パルスの発信側とその診断パルスに対する応答信号の受信側とが相異なるコンピュータで構成された例えば上記の様な診断を、以下、クロス診断と言う。ただし、この様なクロス診断において、受信側で受信された上記の応答信号を即座に診断パルス発信側から参照可能とする様な通信手段や診断結果共有手段をマイコン間に設けても良い。

この様なクロス診断を行うことにより、各端子（0， P， Q, R) 間の導通状態や回路の動作状態を常時相補的に協調しながら監視することができ、入力回路の二重化とその定常的な監視が行われる。また、診断パルスを異系統間で互いにクロスさせることにより、相手方系統の制御用マイコンの正常動作を常時監視する効果も同時に得られる。

従来装置においては、以上の様にして、スィッチ開閉信号の伝達線路やスィッチ自身等を第 1 4図の様に二重化することによって入力回路 2

-0 1〜が二重化され、—これによってシ„ステ n安全性が確保され τ 、特許文献 1 は、特開 2 0 0 4— 4 6 3 4 8号公報であり、特許文献 2 は、特開 2 0 0 2— 3 5 8 1 0 6号公報である。

しかしながら、第 1 6図に示す様に入力回路 2 0 1の二重化された同一入力機器に対する入力端子 P， Q間が短絡すると、 A系と B系のフ才ト力ブラが直列接続されることになり、図中の短絡電流 i _s が生じるこのため、各フォトカプラ 1 0 ， 2 0 , 3 0 ， 4 0には、スイツチ S W

1 , S W 0の開閉状態に係わらずヽ雷 ¾流が常時流れ続けることになるしたがって、非常停止スィッチ s W 1 , S W 0が開状態にされても、上記のスィッチ開閉信号（ I A , I B ) は何れも閉状態を示したまま変化しない。即ち、双方共に、常時 1 のままに据え置かれてしまう。したがつて、この様な短絡による異常は、上述した二重化された応答信号 I A

I B間の不一致を監視する周知の不一致検出手段を用いても、検出されることはない。

なお、異なる入力機器に対する端子間で短絡が生じた場合には、二重化されたスィッチが開状態となると、短絡していない端子の系の入力信号は、開状態となり、他方の系は閉状態を持続するが、二重化信号が不 —致と判断されて、直ちに、非常停止処理が動作することになり、問題は生じない。

一方、上記の短絡が発生した後に、非常停止スィクチ S W 1 ， S W 0 が開状態となり、その後に、上目ししたクロス診断が実行される場合について説明する。実際にはヽ第 1 4図の様な入力回路 2 0 1が管理対象とすべき装置や周辺機器の数だけ必要となるので、第 1 4図の様な入力回路 2 0 1は多数並列に配置される。この時、上記の A系制御用のマインと B系制御用のマイコンを中心として構成される従来の安全 P L Cでは、この様にして多数並列に配置された入力回路の各部の各入力端子の状態.をそれぞれ周期的に診断パル各 _端-子毎 Jこ—出力して、. Λ力 ί言 ϋ 読むという処理を巡回して実行することで、システムの安全性を常時監視する。

この場合には、回路が短絡しているので、短絡している他の系の回路の電流も診断パルスにより遮断されることになり、この現象を入力信号のレベル変化で検出することができる。したがって、不一致検出手段が有効に作用しない場合であっても、この様な巡回診断を常時実施していれば、この巡回診断に基づいて前述の短絡故障を検出することは可能ではある。

しかしながら、この巡回診断は各端子に対してシーケンシャルに実行されるので、この巡回診断を実行する際の診断周期は、その診断対象の数に比例する。このため、後から第 6図などを用いて例示的に説明する様に、非常に長くなりがちであり、よって、上記の様な短絡などの異常を検出するまでに必要とされる所要時間は、十分に短くでさるとは必ずしも言えないのが現状である。

また、巡回診断の診断周期は入力回路の入力端子数に比例するため、この様な問題は、システム規模が大きくなるに従って、今後ますます表面化又は顕在化していくものと思われる。

本発明は、上記の課題を解決するために成されたものであり、その目的は、故障発見をより確実に行い、非常停止をより確実かつ迅速に行えるようにすることである。発明の開示

上記の課題を解決するためには、以下の手段が有効である。

即ち、本発明の第 1の手段は、複数の外部入力機器とそれらの外部入力機器から入力される入力信号群を処理する処理装置が複数の系統に多重化さ _れ—、全ての系統の入力信号群が一致.丄 ^時に真正な入力信号 ^レ、不一致の場合には異常停止処理を行うようにしたプログラマプルコントローラにおいて、一の系統の処理装置に、他の系統の処理装置に対して一の系統に固有のタイミングで診断パルス群をパラレル出力する診断パルス出力手段と、他の系統の処理装置の診断パルス出力手段から出力される診断パルス群を入力してそれらのパルス期間だけ入力信号群の伝搬を遮断するチェック手段と、自己の系統の診断パルス出力手段からの診断パルスの出力に対応する入力信号群（応答パターン）の信号（応答信号）が変化した場合には、異常停止処理を行う異常判定手段とを備えることである。

本発明における多重化の数は任意である。一の系統から他の系統に対して、診断パルスをパラレルで出力して、その他の系統の入力信号群の伝搬をパルス期間だけ遮断して、診断パルスを出力した自己の系統の入力信号群の状態を判定するのが、本件発明の特徴である。故障がなければ、系統は独立しているので、診断パルスを入力していない自己の系統の入力信号群は、診断パルスの影響を受けない。しかし、端子間にある種の短絡が発生していると、回路が形成され、他の系統に入力された診断パルスの影響を受けて、自己の系統の入力信号群の信号が変化する。このことにより、瞬時に、故障を発見して、非常停止処理を実行することができる。

なお、入力機器は特に限定されないが、一般的には、スィッチゃリレ一などの接点を想定している。また、通常は、これらの接点は、常閉接点として用いられることが多い。この時、入力回路は常に電流が供給された状態で用いられ、スィッチが開状態となると回路の電流が遮断され、この変化が意味ある入力信号とされる。

本発明の第 1の手段によれば、各系統間で相互に相異なる固有のタイ一ミングで診断パルス群がパラレル出力されるで、この時、こ多重化された各系統毎に保証されるべき個々の系統の独立性が短絡などによつて破られていれば、本来何ら変化すべきでない自系統の入力信号群の中の少なくとも 1信号が変化し、かつ、その変化が自系統において検出される。このため、本発明の第 1の手段によれば、少なくとも自系統の独立性が破れていることを検出することができ、よって、多重化された各系統毎に保証されるべき個々の系統の独立性が短絡などによって破られた際には、上記の異常停止処理が実施されて、その結果、短絡などによる事故を未然に防止することができる。

また、本発明の第 2の手段は、それぞれが二重に構成された外部入力機器群から出力される第 1入力信号群を入力する第 1入力端子群と、その第 1入力端子に入力される第 1入力信号群を処理する第 1信号処理装置と、外部入力機器群から出力される第 2入力信号群を入力する第 2入力端子群と、その第 2入力端子群に入力される第 2入力信号群を処理する第 2信号処理装置とで、二重に構成され、入力信号群の一要素である第 1入力信号と、その信号と一対を成す第 2入力信号とがー致した時に真正な入力信号とし、不一の場合には異常停止処理を行うようにしたプログラマブルコントローラにおいて、第 1信号処理装置に、第 2信号処理装置に対して第 1診断パルス群をパラレル出力する第 1診断パルス出力手段と、第 2信号処理装置から出力される第 2診断パルス群をパラレル入力してそれらのパルス期間だけ第 1入力信号群の伝搬を遮断する第 1チェック手段と、第 1診断パルス出力手段からの第 1診断パルス群の出力に対応して第 1入力信号群が変化した場合には、異常と判定して異常停止処理をする第 1異常判定手段とを備え、かつ、第 2信号処理装置には、第 1診断パルス群の出力とは異なるタイミングで、第 1チェック手段に第 2診断パルス群をパラレル出力する第 2診断パルス出力手段と、 -第- 1診断パルス出力手段から出力される _第 1診断パルス群をパラ. レル—入力してそれらのパルス期間だけ第 2入力信号群の伝搬を遮断する第 2チェック手段と、第 2診断パルス出力手段からの第 2診断パルス群の出力に対応して第 2入力信号群が変化した場合には、異常と判定して異常停止処理をする第 2異常判定手段とを備えることである。

この発明は、多重化数を 2 として構成したものである。各系統は対称的な回路構成をしており、請求項 1の発明と同様に、診断パルスは他の系統に対して出力するのであるが、診断パルスをパラレルで出力した系統における入力信号群の状態を検出することで、異常判定が実施される。上記のような短絡故障が発生している状態で、入力機器であるスィッチが開状態となると、診断パルスを入力して、回路電流がパルス期間だけ遮断されると、他の回路の電流も遮断されることになる。診断パルスを入力していない他の回路からの入力信号群の状態を判定することで、異常状態を検出することができる。この検出は、診断パルスを入力端子群に対してパラレルで出力していることから、この出力タイミングから入力信号群の処理時間の遅延の後に、異常診断を完了することが可能となる。よって、非常停止スィッチが閉状態から開状態に変化してから遅延なく、非常停止を実施することが可能となる。ただし、厳密には、この時の遅延時間は、診断パルスの出力のサイクルタイムだけの時間、即ち、例えば、 1 8 m s e c程度となる。

以下、上記の本発明の第 2の手段における第 1信号処理装置が安全管理を司る系統を A系と言い、また、もう一方の第 2信号処理装置が安全管理を司る系統を B系と言うことがある。

本発明の第 2の手段によれば、 A系と B系との間で相互に相異なる固有のタイミングで第 1及び第 2の各診断パルス群がパラレル出力されるので、この時、並列に二重化された各系統（即ち、 A系と B系）毎に保 IE れるべき個々-の統の独立性が短絡 ¾_どよって破られていれま _Λ . 入力条件によっては、本来何ら変化すべきでない自系統の入力信号群の中の少なくとも 1信号が変化することがあり、この時、その変化は自系統において検出される。このため、本発明の第 2の手段によれば、第 1 又は第 2の各異常判定手段に基づいて、自系統の独立性が破れていることを検出することができ、この場合、二重化された各系統毎に保証されるべき個々の系統の独立性が短絡などによって破られた際には、上記の異常停止処理が実施されて、その結果、短絡などによる事故を未然に防止することができる。

系統の独立性が破れている場合としては、例えば前述の第 1 6図に例示した短絡の例を上げることができる。この場合、端子 P Q間に短絡があり、その短絡電流 i _s は、 A系の回路（フォトカプラ 1 0 , 2 0 ) と B系の回路（フォトカプラ 3 0， 4 0 ) とを直列に通るので、この点で、系 Aと系 B との間の独立性は破られている。

そして、この時、スィッチ S W 1 , S W 0が共に開いている条件下では、その異常または緊急な状態は、第 1 — A図又は第 1 一 B図に示す診断パルス発信時の応答パターンによつて検出することができる。即ち、第 1 一 A図又は第 1 一 B図に例示される短絡故障の検出作用は、上記の本発明の作用を利用した事例であると言うことができる。

また、本発明の第 3の手段は、上記の第 1の手段において、上記の異常判定手段によって、所定回数連続して入力信号群の同一入力端子からの信号が変化した場合に異常と判定して異常停止をすることである。所定回数連続して判定するのは、雑音対策であり、所定回数連続して同一信号レベルが得られれば真正な値とし、得られなければ雑音と判断して真正な値としないものである。したがって、この回数は多いと耐雑音性が向上するが、非常停止に至るまでの時間は長くなる。この観点から -.、所定回数は適切に設定される。例え.ば、 JL 0回程度である。

また、本発明の第 4の手段は、上記の第 2の手段において、上記の第 1異常判定手段を、所定回数連続して第 1入力信号群の同一入力端子からの信号が変化した場合に異常と判定して異常停止をする手段とし、上記の第 2異常判定手段を、所定回数連続して第 2入力信号群の同一入力端子からの信号が変化した場合に異常と判定して異常停止をする手段とすることである。

なお、上記の所定回数については、上記の本発明の第 3の手段と同じことが言える。

本発明の第 3或いは第 4の手段によれば、上記の入力信号群の中の同一入力端子からの信号が所定回数連続して変化した場合に、それが異常であると判定されるので、現場に入力信号に影響を与え得るノイズが多い場合にも、それらのノィズに影響されない安定した安全管理を実現することができる。この様な制御の安定化に関する対策は、ノイズを発生する動力機器を多用する現場において特に有効となる。

また、本発明の第 5の手段は、上記の第 1または第 3の手段において、 —の系統の信号処理装置に、他の系統の処理装置に対して入力端子毎にシリアルにシリアル診断パルスを出力するシリアル診断パルス出力手段と、他の系統の処理装置のシリアルパルス出力手段から入力端子毎にシリアルに出力されるシリアル診断パルスを入力して、そのパルス期間に対応して入力信号が変化しない場合に異常と判定して異常停止処理をするパルスチェック手段を備えることである。

また、本発明の第 6の手段は、上記の第 2または第 4の何れか 1つの手段において、上記の第 1信号処理装置に、シリアルに第 1シリアル診断パルスを入力端子毎の第 2チェック手段に出力する第 1 シリアル診断パルス出力手段と、第 2信号処理装置から入力端子毎の第 1チェック手段に I y_アルに出力さ-れた第 2シリア診断パスを入力してそ」、。ルス期間に対応して第 1入力信号が変化しない場合に異常と判定して異常停止処理をする第 1 パルスチェック手段とを設け、かつ、上記の第 2信号処理装置には、シリアルに第 2シリアル診断パルスを入力端子毎の第 1チェック手段に出力する第 2 シリアル診断パルス出力手段と、第 1 シリアル診断パルス出力手段から入力端子毎の第 2チェック手段にシリアルに出力された第 1 シリアル診断パルスを入力してそのパルス期間に対応して第 2入力信号が変化しない場合に異常と判定して異常停止処理をする第 2パルスチェック手段とを設けることである。

上記の本発明の第 1乃至第 4の何れか 1つの手段によれば、個々の系統間の独立性を検証することができる。しかし、これらの検証（診断）は、個々の系統内で起る個々の回路間での不正な干渉や短絡などの故障までをも検証（診断）できるものではない。

しかしながら、本発明の第 5又は第 6の手段によれば、各入力端子毎にシリアルに上記のシリアル診断パルスが出力されるので、これにより、個々の系統内で起る個々の回路間での不正な干渉や短絡などの故障までをも検証（診断）することができる。

また、本発明の第 7 の手段は、上記の第 1、第 3、または第 5の何れか 1つの手段において、入力信号を入力するフォト力ブラと、そのフォトカブラの発光ダイォードに直列に接続されたフォトトランジスタと診断パルスを入力しフォトトランジスタに光信号を発する発光ダイォードとから成るフォト力ブラとから上記のチェック手段を構成することである。

なお、信号を処理するフォト力ブラ等の回路は、常に電流が供給された状態で用いられ、スィツチが開状態となると、回路の電流が遮断され、この変化が意味ある入力信号とされる。

ま f 、 -本発明の.第 8の毛段は、 _― 記の第- 2、第一 4、または第 6 何一れか 1つの手段において、上記の第 1入力信号を入力するフォトカブラと、そのフォトカブラの発光ダイオードに直列に接続されたフォトトランジスタと第 2診断.パルスを入力しフォトトランジスタに光信号を発する発光ダイオードとから成るフォト力ブラとから上記の第 1チェック手段を構成し、かつ、上記の第 2入力信号を入力するフォト力ブラと、そのフォト力ブラの発光ダイォードに直列に接続されたフォトトランジスタと第 1診断パルスを入力しフォトトランジスタに光信号を発する発光ダイオードとから成るフォトカプラとから上記の第 2チェック手段を構成することである。

本発明の第 7又は第 8の手段によれば、診断を実施する際の回路のスィツチング動作や回路遮断検出動作が、フォトカブラによって実行される。これらの信号は所定の波長の光によって伝播されるので、以下の利点を得ることができる。

( 1 ) 現場環境におけるノイズが直接的に拾われ難い形態で、上記の回路のスィツチング動作や回路遮断検出動作を安定的に実現することがでさる。

( 2 ) 診断を実行する側の回路群と、診断される側の回路群との間のィンターフェイスを光インターフェイスのみに限定することができる。これにより、双方の回路群の独立性が高まるので、例えば電源回路などの回路設計を個別に独立させて実施することが容易となる。図面の簡単な説明第 1 一 A図は、診断パルスと応答信号との関係を例示するグラフ（短絡時）であり、第 1 — B図は、診断パルスと応答信号との関係を例する.グラフ— (-短絡時）であり、第 2図は、実施 1のプログラマプノとコトローラの入力回路 2 0 0の回路図であり、第 3 — A図は、各処理装置 ( 1 0 0 A , 1 0 0 B ) の動作に係わるタイムチャートであり、第 3 — B図は、応答パターン（各応答信号の入力パターン）を例示するグラフであり、第 4図は、マイコン 1 0 O Aが実行するクロス診断（A系）のフローチャートであり、第 5図は、マイコン 1 0 O Bが実行するクロス診断（B系）のフローチャートであり、第 6図は、測定回数 Nや端子数 Mに依存する診断周期ての算定表であり、第 7図は、マイコン 1 0 0 A が行う自己診断 Aの実行手順を例示するフローチャートであり、第 8図は、マイコン.1 0 0 Bが行う自己診断 Bの実行手順を例示するフローチヤートであり、第 9図は、入力信号のサンプリング（A系）の実行手順を例示するフローチャートであり、第 1 0図は、入力信号のサンプリング（B系）の実行手順を例示するフローチャートであり、第 1 1図は、多数決処理（B系）の実行手順を例示するフローチャートであり、第 1 2図は、不一致検出の実行手順を例示するフローチャートであり、第 1 3図は、多数決語 M Aの作成手順を例示するフローチャートであり、第 1 4図は、従来の入力回路 2 0 1 の回路図（平常時）であり、第 1 5 — A図は、診断パルスと応答信号との関係を例示するグラフ（平常時）であり、第 1 5 — B図は、診断パルスと応答信号との関係を例示するグラフ（平常時）であり、第 1 6図は、従来の入力回路 2 0 1の回路図（短絡時）である。発明を実施するための最良の形態

以下、本発明を具体的な実施例に基づいて説明する。

ただし、本発明の実施形態は、以下に示す個々の実施例に限定されるものではない。

【実施例 1_】

第 2図は、本実施例 1 のプログラマプルコントローラの入力回路 2 0 0の回路図である。入力端子 O , Pはこの 2端子で第 1入力端子を構成している。また、同様に入力端子 Q， Rは、第 2入力端子を構成している。スィッチ S W 1， S W 0は、手動の緊急停止ボタンを二重化構成にしたものであり、その緊急停止ポタンが押されると、スィッチ SW 1， S W 0は双方ともに同時に開く。即ち、緊急停止ボタンが押されると、入力端子 O， Q間、及び入力端子 P， R間は何れも電気的な接続が絶たれる。この緊急停止ボタンは、外部入力機器を代表するものであって、実際には、その他にも図略の多数の外部入力機器が、この緊急停止ボタンに対して並列に、この緊急停止ボタンと同様に配置、接続されている。外部入力機器は、任意で良く、例えばスィッチ、リミットスィッチ、リレー、センサーなどの各種の接点を接続することができる。

ただし、装置の誤動作などによって現場環境下における安全性などが損なわれる恐れの少ない装置や、その恐れがない外部入力機器については、必ずしも入力回路を二重化する必要はない。

以下、各外部入力機器に対応する各入力回路がそれぞれ何れも二重化されている場合について説明する。

第 2図の入力端子 Oは + 2 4 Vの直流電源端子になっている。また、入力端子 Rはグランドレベル（±0 V) に維持されている。そして、第 2図のスィツチ S W 1は平常時には常に閉じているので、平常時には入力端子 0， P間には常時安定した 2 4 Vの直流電圧が印加されている。同様に、スィッチ S W 0 も平常時には常に閉じているので、平常時には入力端子 Q， R間にも常時安定した 2 4 Vの直流電圧が印加されている。

一方、各フォト力ブラにおける光インターフェイスを境として、その境の右側（マイコン 1 0 O A、マイコン 1 0 O B側）は、何れの回路も -5-V電源系-に構成-されている。即ち、本 2図中の電圧 V B， V A_U れも + 5 Vに設定されている。

第 2図のフォトカプラ 1 0が備える L E Dからフォトカプラ 2 0が備える光トランジスタに向って流れる電流は、平常時には常に流れている。これは、フォト力ブラ 2 0が備える L E Dに、平常時には常に電流を流しているためである。同様に、第 2図のフォトカプラ 3 0が備える L E Dからフォトカプラ 4 0が備える光トランジスタに向って流れる電流は、平常時には常に流れている。これは、フォト力ブラ 4 0が備える L E D に、平常時には常に電流を流しているためである。

上記の図略の多数の外部入力機器は、上記の緊急停止ボタンと同様に上記の緊急停止ボタンと並列に接続されるので、上記の第 1入力端子は群を成す。以下、その群を第 1入力端子群と言う。また、上記の第 2入力端子を含む第 2入力端子群についても同様に定義する。各外部入力機器から出力され、上記の第 1入力端子群に入力される入力信号を以下第 1入力信号群と言う。また、各外部入力機器から出力され、上記の第 2 入力端子群に入力される入力信号を以下第 2入力信号群と言う。

第 2図の入力回路 2 0 0は、第 1入力端子（0， P ) と第 1信号処理装置 1 0 0 O Aとを有し、これらによって、上半分の系統を構成している。以下、この系統を A系と言う。また、第 2入力端子（Q , R) と第 2信号処理装置 1 0 0 0 B とを有し、これらによって、下半分の系統を構成している。以下、この系統を B系と言う。

A系の安全管理を司る A系制御用のマイコン 1 0 O Aの入力部には論理反転器（インバータ a ) が配設されている。したがって、フォトカプラ 1 0から出力され，インバータ a を介してマイコン 1 0 O Aに入力される信号は、インバータ a の前後で HZ L (即ち、 1 Z 0 ) が反転する。その他のインバータ b , c，（めについても、同様の反転作用を奏する。マイ—ユン—: L O O A—の出力部には、第 1診断パノヒス出力手^ L 1 0_A ^ 配置されている。この第 1診断パルス出力手段 1 1 O Aは、フォトカプラ 4 0に対するのと同様に、並列接続されている他の外部入力機器の図略のフォトカブラに対しても、同時に診断パルスをパラレル出力することができる。勿論、従来装置と同様に、個々の外部入力機器に対して順次シリアルに個別に診断パルスを出力することもできる。

一方、マイコン 1 0 0 Bは、 B系の安全管理を司る B系制御用のマイコンであり、フォトカプラ 5 0を中心として構成された直流電源診断用の診断回路が付加されている点以外は、上記のマイコン 1 0 0 Aと同様に、上記のマイコン 1 0 0 Aと対称的に構成、配置されている。

例えば、マイコン 1 0 0 Bの出力部には、第 2診断パルス出力手段 1 1 0 Bが配設されており、この第 2診断パルス出力手段 1 1 0 Bは、フォトカブラ 2 0に対するのと同様に、並列接続されている他の外部入力機器に接続された図略のフォトカブラに対しても、同時に診断パルスをパラレル出力することができる。勿論、従来装置と同様に、それらの個々の外部入力機器に対応するフォト力ブラ（チェック手段）に対して順次個別に診断パルスをシリアル出力することもできる。

フォトカプラ 1 0 とフォトカプラ 2 0は、本発明の第 1チェック手段に相当する部分を構成している。この様なフォト力ブラの対は、各外部入力機器に対応する A系の個々の入力回路中にそれぞれ配置されるので、これにより、上記の第 1入力信号群の伝播を一時的に遮断することができる。また、同様にフォト力ブラ 3 0 とフォトカプラ 4 0は、本発明の第 2チェック手段に相当する部分を構成している。即ち、これにより、上記の第 2入力信号群の伝播を一時的に遮断することができる。

即ち、この遮断を制御するのが上記の診断パルスであり、上記の様にパラレルに（同時に）発信すれば、第 1診断パルス出力手段 1 1 0 Aにより第丄入力信号を一、—また、一第—²診断パルス出力手段 1 1 0 Bに

第 2入力信号を、何れの場合もそれぞれ同時に遮断することができる。第 3 — A図に、上記の各マイコン（ 1 0 0 A, 1 0 0 B ) の動作に係わるタイムチャートを例示する。このマイコン 1 0 O A, 1 0 O Bの基本とする制御周期 ΔΤは、 1 8 m s e c に設定されている。図示する時間は、この制御周期の開始時刻を基準とした制御周期内の時刻 t を表している。例えば、図示するクロス診断は、制御周期内の時刻 tが 1 3. 5 m s e cカゝら 1 5. 5 m s e cの間の一部の時間帯で実行される。このクロス診断では、両方のマイコン 1 0 O A, 1 0 O Bが用いられる。

また、制御周期内の時刻が 1 5. 5 m s e c力ら 1 6 . 5 m s e cの間の一部の時間帯で実行される自己診断 Aでは、マイコン 1 0 0 Aだけが用いられる。また、制御周期内の時刻 tが 1 6 . 5 m s e c力ら 1 7. 5 m s e cの間の一部の時間帯で実行される自己診断 Bでは、マイコン 1 0 0 Bだけが用いられる。

〔クロス診断〕

第 3 — B図に、診断パルスに対応する応答パターン（各応答信号 I A (m), I B (m) の入力パターン）を例示する。ただし、ここで、自然数 mは各外部入力機器に連番で付けた通し番号であり、以下、本実施例 1では、 mの最大値は 2 4であるものと仮定する。

自己診断 Bでは、 B系のマイコン 1 0 0 Bが有する第 2診断パルス出力手段 1 1 0 Bから、上記の第 1チェック手段に対してパラレルに出力される診断パルス O B (m) ( 1 ≤ m≤ 2 4 ) に基づいて、 A系のマイコン 1 0 0 Aに入力される応答信号 I A (m) ( 1 ≤ m≤ 2 4 ) は変化するはずであるが、この時、入力回路 2 0 ◦における A系と B系との独立性が確保、維持されていれば、先に第 1 4図、第 1 5 — B図を用いて既に考察した様に、 B系のマイコン 1 0 0 Bに入力される応答信号 I B (m) .(ュ ≤ m≤ 2 4 ) は何ら変化しないはずである〜。

したがって、第 3— B図に例示される例外信号が検出された場合には、先に第 1 — B図を使って言及した様な、異常な事態が発生しているものと考えられる。以下、この様な異常を検出するために、マイコン 1 0 O A , 1 0 O B にて実行すべき制御手順について、詳細に例示する。

第 4図に、マイコン 1 0 O Aが実行するクロス診断（A系）のフローチャートを例示する。このクロス診断は、本発明の第 6の手段を具現するもので、これにより、第 3 — A図のクロス診断が実現される。即ち、本図中の診断パルス O A ( m ) は、上記の通り、 m番目の外部入力機器の A系の入力回路を診断するための診断パルスであり、上記の第 2チェック手段に対して出力される。この出力は、本第 4図のクロス診断（A 系）では、各外部入力機器に対してシリアルに実施される。プログラム 7 0 0は、次の第 5図のクロス診断（B系）を実行するプログラム 8 0 0 と相似で、対称的かつ相補的に構成されており、このプログラム 7 0 0 とプログラム 8 0 0によって、第 3 — A図のクロス診断が実現される。このプログラム 7 0 0では、まず最初に、ステップ 7 1 0で、制御変数の初期化を行う。制御変数 mは、診断すべき外部入力機器の通し番号を常時指している。また、制御変数 nは、同一の外部入力機器の入力回路（A系）に対して繰り返される同一の診断操作の回数を指している。この様な繰り返しを行う理由は、前述の本発明の第 4の手段を実現するためである。

次のステップ 7 2 0では、タイマー割り込み待ちをする。このタイミングは、第 3 — A図に示した様に、 t = 1 3 . 5 [ m s e c ] のタイミングで良い。即ち、このタイミングでステップ 7 3 0のサブルーチンコールが実行されて、これにより、第 9図の入力信号のサンプリング処理が—開始.ざれ—る-。こ.の入力信号のサ.ンプリング処理は、入力 ϋ ¾ ? ..ρ οに入力される信号（第 1入力信号群及び第 2入力信号群）を所定の統計操作により確定するためのものである。この統計操作については、後からその処理手順を具体的に詳しく説明するが、この統計操作はノイズ等の主に外乱に対する対策のために行うものである。しかし、その効果は必ずしも外乱対策だけには限定されない。

マイコン 1 0 0 B側に保持される応答信号 I B ( i ) は、マイコン 1 0 0 A側から両マイコン間のバスまたは共有メモリなどを介して随時参照することが可能である。そこで、ステップ 7 4 0では、マイコン 1 0 O Aに入力された応答信号 I A ( i ) ( l ≤ i ≤ 2 4 )をそれぞれ全件（ 2 4 ビット）所定の退避領域に保存し、更に、マイコン 1 0 0 Bに入力された応答信号 I B ( i ) ( 1 ≤ i ≤ 2 4 ) についても、それぞれ全件（ 2 4 ビット）所定の退避領域に保存する。

このタイミングでは、先に診断パルス O A ( i ), 診断パルス O B ( i ) ( 1 ≤ i ≤ 2 4 ) が発行されていないので、後のステップ 7 8 0では、応答信号 I A ( i ) ( l ^ i 2 4 ) が全ビット 1であることが確認できれば、これらの入力ビット（第 1入力信号群）については正常であると判定することができる。また、第 2入力信号群（応答信号 I B ( i )) についても同様である。

ステップ 7 5 0では、 m番目の外部入力機器の B系のチェック手段に対して、診断パルス OA (m) を出力する。本プログラム 7 0 0 と相似かつ対称的に構成された第 5図のプログラム 8 0 0においては、本ステップ 7 5 0に対応するステツプ 8 5 0において、 πι番目の外部入力機器の A系のチェック手段に対して診断パルス O B (m) が、略同時に出力されるので、この診断パルスの交差関係に基づいて前述のクロス診断が実現される。ただし、厳密には後述の通り相互に排他的なタイミングで、 -备診-断-パル O A (m) , O B (m) .が出力れる。

ステップ 7 6 0では、上記のステップ 7 4 0 と同様の処理を実行する。ただし、勿論、入力データの退避領域は、別に設ける。これらの退避領域にそれぞれ蓄積された 1 0 0回分の診断データに基づいて、ステップ 7 8 0の異常判定を実施することができる。

なお、ステップ 7 4 0からステップ 7 6 0までの 3つのステップで構成される一連の処理 αは、後述の第 5図のステップ 8 4 0からステップ

8 6 0までの 3つのステツプで構成される一連の処理 β とは、タイミングをずらして相互に排他的に実行する。この排他制御を実行するための同期は、マイコン 1 0 O Aとマイコン 1 0 0 Β との間で、順次相互に割り込みを入れあって実現しても良い。

また、ステップ 7 7 0〜ステップ 7 7 4は、上記の入力データの保存処理を 1 0 0回繰り返し行うための制御を実現するためのステップである。即ち、この繰り返し制御は、本発明の第 4の手段を具現するものでめ。

ステップ 7 8 0では、 m番目の外部入力機器の A系の入力回路に異常がないかを判定する。ここで、上記の診断データに基づいて、異常が検出された場合には、ステップ 7 8 5にて緊急安全停止指令発行のサブル一チンをコールして本プログラム 7 0 0の全処理を終了し、呼出元に制御を戻す。

ステップ 7 9 0〜ステップ 7 9 4は、合計 2 4台接続されている外部入力機器に対する巡回処理を実現するための繰り返し制御を実行するものである。

第 5図のプログラム 8 0 0においても、上記のプログラム 7 0 0 と同様に、 B系に関する同等の処理を並列に実行する。そして、この様にして、診断パルスを異系統間で相互にクロスさせること（即ち、前述の処理 α , β を相互に ·排他制御しながら. _交互に実行すること）より .、—相 . 方系統の制御用マイコンの正常動作を常時監視する効果も同時に得ることができる。

第 3 — Α図からも判る様に、第 4図、第 5図のステップ 7 2 0ゃステップ 8 2 0の割り込み待ちが解除される基本的な制御周期は、 ΔΤ = 1 8 m s e cである。したがって、第 4図、第 5図にそれぞれ図示する各巡回点（ a ) をその巡回制御が通過する周期も、同様に 1 8 m s e c となる。また、 1台の外部入力機器に関するクロス診断は、上記の通り連続 1 0 0回実行されるので、第 4図、第 5図にそれぞれ図示する各巡回点（ b ) をその巡回制御が通過する周期は、 1 0 0AT = 1 8 0 0 m s e c となる。また、本実施例では外部入力機器が合計 2 4台接続されるので、第 4図、第 5図にそれぞれ図示する各巡回点（ c ) をその巡回制御が通過する周期は、 2 4 X 1 0 0-ΔΤ = 4 3. 2秒となる。

これらの関係をまとめたものが第 6図である。即ち、第 6図は、測定回数 Nや端子数 M (外部入力機器の総計台数）に依存する、上記のクロス診断に必要となる診断周期てを算定したものである。プログラム 7 0 0 とプログラム 8 0 0によって実行される上記のクロス診断は、個々の入力端子の状態に関する綿密性には優れているものの、診断周期 τ が長くなつてしまう傾向にある。このため、短絡故障や緊急事態の発生などに関する検出が必ずしも十分に短い時間内に実施できるとは限らない。

しかしながら、本実施例 1では、第 3— Α図に示した様に、各系統（系 Aと系 B ) ごとの並列多重化構成における独立性を検証する自己診断 A 及び自己診断 Bを何れも短時間で実施するので、例えば前述の第 1 一 A 図，第 1一 B図に例示される様な短絡故障や緊急事態を従来よりも短い診断周期で確実に検出することができる。

〔自己診断〕

第 7図に、マイ-—:?—ン 1 0 0 Aが行う自己診断 Aの実行手順—を例示する _p このフローチヤ一トに例示される自己診断 Aの処理手順は、第 4図のクロス診断（A系）の処理手順に幾らか似ているが、しかし、以下の 2点 ( 1 )、（ 2 ) において、第 4図のクロス診断（A系）の処理手順とは本質的に全く異なっている。

( 1 )第 7図の自己診断 Aの処理をマイコン 1 0 O Aが実行している間、 B系のマイコン 1 0 O Bの第 2診断パルス出力手段 1 1 O Bは一切使用されない。また、 B系のマイコン 1 0 0 Bは、この時、少なくとも第 7 図の自己診断 Aの処理に係わる処理を一切実行せず、基本的には割り込み待ち状態とすべきである。ただし、入力信号や応答信号などに対する統計処理などを裏で並行に実行していても良い。 '

したがって、この様に診断パルスの出力のタイミングをプログラム 3 0 0 (第 7図）とプログラム 4 0 0 (第 8図）とでずらすことにより、診断処理の独立性が確保される。即ち、第 7図の自己診断 Aでは、診断パルスを異系統間で相互にクロスさせるクロス診断は実施しない。

このため、 A系と B系との独立性を A系側から簡潔に検証することができる。

( 2 ) 第 1診断パルス出力手段 1 1 O Aによって、第 1診断パルス群がパラレルに同時に出力される。このため、各外部入力機器に対する巡回制御が必要ない。

このため、 A系と B系との独立性を A系側から短時間に検証することができる。

具体的には、第 7図のプログラム 3 0 0 (自己診断 A) では、以下の処理を実行する。

即ち、プログラム 3 0 0ではまず最初に、ステップ 3 1 0で、制御変数の初期化を行う。この制御変数 nは、診断パルスの出力回数を指して一い-る。一この様—な繰 ί 返-しを.行う理由は、前述の本発明の第 4の手段を実現するためである。

次のステップ 3 2 0では、タイマ^"割り込み待ちをする。このタイミングは、第 3 — Α図に示した様に、 t = 1 5. 5 [m s e c ] のタイミングで良い。即ち、このタイミングでステップ 3 3 0のサブルーチンコールが実行されて、これにより、後から詳しく説明する第 9図の入力信号のサンプリング処理が開始される。この入力信号のサンプリング処理は、入力回路 2 0 0に入力される信号（第 1入力信号群及ぴ第 2入力信号群）を、不一致検出処理を中心とする所定の統計操作により確定するためのものである。

ステップ 3 3 5は、前述のステップ 7 4 0 と同様の処理を実行する。勿論、入力データの退避領域は別に設ける。なお、ここのステップ 3 3 5や後のステップ 3 5 0では、 A系の応答信号 I Aを全件（全 2 4 ビット）を保存しているが、前述の第 4図のステップ 7 4 0や或いは第 4図のステップ 7 6 0などと同様に、更に、 B系の応答信号 I Bをも同時に全件保存する様にしても良い。

そして、これらの退避領域にそれぞれ蓄積された 1 0回分の診断データに基づいて、ステップ 3 8 0の異常判定を実施する。

ステップ 3 4 0では、フォトカプラ 3 0， 4 0などから構成される B 系のチェック手段（第 2チェック手段）に対して、第 1診断パルス出力手段 1 1 0 Aから、診断パルス O A ( i ) ( 1 ≤ i ≤ 2 4 ) を全件同時にパラレルにインバータ bを介して出力する。第 2チェック手段には、フオトカプラ 3 0， 4 0の組が 2 4組並列にそれぞれ具備されている。この診断パルスのパラレル出力により、例えば第 2図の B系のフォトカプラ 4 0が有する L E Dへの通電が一時的に中断されるので、フォトカプラ 3 0が有する L E Dへの通電も一時的に遮断される。即ち、この様な遮断が上記-の 2 4組全てで発する.。 ― _ ステップ 3 5 0では、前述のステップ 7 4 0 と同様の処理を実行する。ただし、勿論、入力データの退避領域は、別に設ける。これらの退避領域にそれぞれ蓄積された 1 0回分の診断データと、上記のステップ 3 3 5で退避領域にそれぞれ蓄積された 1 0回分の診断データとに基づいて、ステップ 3 8 0の異常判定を実施することができる。即ち、ステップ 3 6 0〜ステップ 3 6 4は、上記の入力データの保存処理を 1 0回繰り返し行うための制御を実現するためのステツプである。この繰り返しは、本発明の第 4の手段を具現するものである。

その後、ステップ 3 8 0では、各応答信号 I A ( i ) ( 1 ≤ i ≤ 2 4 ) をそれぞれ調べ、 1 0回連続して全て 0 となっていた入力信号 I A ( i ) が 1つでもあれば、即ち、不当にも A系側のチェック手段（第 1チエツク手段）によって遮断されてしまう電流が 1力所でも検出されれば異常と判定する。

そして、異常が検出された場合には、ステップ 3 9 0にて緊急安全停止指令発行のサブルーチンをコールして本プログラム 3 0 0の全処理を終了し、呼出元に制御を戻す。

第 8図のプログラム 4 0 0についても、第 3— A図及び第 8図に示す様に、第 7図のプログラム 3 0 0 とは実行時刻を 1 m s e c遅らせて、上記のプログラム 3 0 0 と同様の処理を実行する。この様に、プロダラム 4 0 0 とプログラム 3 0 0 との実行時刻を十分にずらすことにより、自己診断 Aと自己診断 Bの処理の独立性を確保することができる。即ち、これらの自己診断 A Z Bでは、診断パルスが相互にクロスすることはない。

第 7図、第 8図にそれぞれ図示する各巡回点（ d ) をその繰り返し制御が通過する周期は、 1 0 A T = 1 8 0 m s e c となる。即ち、自己診断 A実行時のステップ 3 6 4、または自己診断 B実行時のステップ 4 6 4が実行される周期（自己診断 A、自己診断 Bの各診断周期 τ ) は、第 6図からも判る様に、 0 . 1 8秒となる。この時間の長さは、例えば緊急時に作業員がシステム停止用の緊急停止ボタンを押下する際の想定される遅延時間以内にあり、十分に許容範囲内にある長さであると言うことができる。

この様な制御方式により、例えば第 1 一 A図，第 1 一 B図に例示される様な緊急事態があってもその状態を迅速に検出して、安全を確保することができる。

以下、第 9図〜第 1 3図を用いて、上記の入力信号のサンプリングの処理や、 2重化された入力信号間の不一致検出処理を高速に実行する実行手順を例示する。

〔入力信号群のサンプリングと判定〕

第 9図は、入力信号のサンプリング（A系）の実行手順を例示するフローチャートである。このプログラム 5 0 O Aの最初のステップ 5 2 0 Aでは、第 1入力信号群 I A'を入力する。この第 1入力信号群 I A'は、応答信号 I Aと同じインバータ a (第 2図の入力部）からマイコン 1 0 O Aに対して出力されるが、この第 1入力信号群 I A'は、診断パルス O Bに対する応答信号ではなく、各外部入力機器の A系に関する入力回路 2 0 0に入力された入力信号であり、よって、各ビットは各外部入力機器（計 2 4台）にそれぞれ対応している。入力されたこの第 1入力信号群 I A'は、 3 2 ビットを 1語とする 1語領域上に右詰めにして保持される。上位の 8 ビットは常時 0設定されるか、または無視される。

次に、ステップ 5 4 O Aでは、同様の 1語領域 M A ( i ) 上の所定の 2 4 ビットデータが、上記の第 1入力信号群 I A'と各ビット毎に対応ビット間で論理積（AND) 演算される。ここで、整数 i は、配列 MAの引数であり、図示する-通り基本的な制御周期 ΔΤ内における各時刻 t毎に、別々に割り振られている。そして、この論理演算の結果は 1語領域 MA ( i ) 上に保持される。 1語領域 MA ( i ) の初期値は、左側の 8 ビットが 0で、右側の 2 4 ビットは全て 1 とする。ステップ 5 6 O Aでは、ステップ 5 4 O Aの実行回数を制御変数 hでカウントする。

この様な手順に従えば、第 1入力信号群 I A'がその 5回のサンプリング中に 1度でも 0 となった入力信号については、論理積演算（AND命令）の作用により、 1語領域 MA ( i ) 上の対応ビットの値はその後継続的に 0に保存される。即ち、その 5回のサンプリング中に 1度でも 0 ( ： O F F状態）になった入力信号は、その後 1語領域 MA ( i ) 上では継続的に 0に保存される。この様にして、 1語領域 MA ( i ) 上に、上記の 5回分の診断結果を各ビット単位に要約して蓄積しておくことができる。

第 1 0図は、入力信号のサンプリング（ B系）の実行手順を例示するフローチャートである。このプログラム 5 0 O Bは、上記のプログラム 5 0 0 Aと相似であるが、第 3— A図、第 7図、第 8図、第 9図から判る様に、呼び出されるタイミングによって、引数 i ， kの規定が若干異なっている。例えば、第 2入力信号群 I B 'の値は、第 3 — A図の Input sampling の欄及び第 1 0図に示される様に、 t = l 3. 5 m s , 1 6. 5 m s , 1 7. 5 m s の 3回に分けて、同一の制御周期内でサンプリングされる。これが 5周期繰り返されることにより、合計 1 5回のサンプリングデータが、各時刻 t毎に 3つの記憶領域 MB ( 1 )， MB ( 2 )， MB ( 3 ) に分けられて、上記の様な論理演算を経て要約して蓄積される。

第 1 1図は、多数決処理（B系）の実行手順を例示するフローチヤ一トであ.る。 .このプログラム 9 0 0 Bでは、上記の様にして合計 1 5回のサンプリングデータが、それぞれ 5回（ 5制御周期）分の診断データずつ、各時刻 t毎に 3つの記憶領域 M B ( 1 ), MB ( 2 ), MB ( 3 ) に分けられ、ステップ 5 4 0 Bの論理積演算を経て各記憶領域 MB ( k ) 7

に記憶された後に、ステップ 9 4 O Bによって、 3語 MB ( 1 )，MB ( 2 ), MB ( 3 ) の間で、各外部入力機器にそれぞれ対応する 2 4 ビットの各ビッド毎に、それぞれの対応ビット間における多数決が取られる。

次に、ステップ 9 5 0 Bでは、その多数決の結果を各ビット対応に保持する多数決語 MBを、マイコン 1 0 0 Bからマイコン 1 0 O Aに送信する。ステップ 9 6 0 B以降では、上記の 3語 MB ( 1 )， MB ( 2 )， MB ( 3 ) の初期値 Xを再設定する。この初期値 Xは、前述の通り左側の 8 ビットカ 0で、右側の 2 4 ビットは全て 1 とする。

第 1 2図は、不一致検出の実行手順を例示するフローチャートである。このプログラム 9 0 O Aは、ステップ 9 1 O A力らステップ 9 7 O Aまでは、上記のプログラム 9 O O B と略同様に、上記のプログラム 9 0 0 Bと対称的に構成されている。ただし、このプログラム 9 0 0 Aでは、ステップ 9 5 0 B (第 1 1図）で多数決語 M Bを送信していた代わりに、ステップ 9 7 O A (第 1 2図）で多数決語 MBをマイコン 1 0 O Bから受信する。この送受信は、 1次記憶装置を共有することによって実現しても良いし、バスなどを用いて実現しても良い。

このプログラム 9 0 O Aのステップ 9 7 5 Aでは、ステップ 9 4 O A で作成された多数決語 M Aとステップ 9 4 0 Bで作成された多数決語 M B とが一致するか否かを判定する。その結果、双方が一致すればステツプ 9 8 0 Aに、不一致であればステップ 9 9 0 Aに制御を移す。ステツプ 9 8 O Aでは、マイコン 1 0 O Aに接続されている図略の従来のシーケンサ（シーケンス制御装置または順序回路）に対して、多数決語 MB また-は多数決.語- MAの何れか一方を送信（出力）する。 _ ― ― ― 一方、多数決語 MB と多数決語 MAとが不一致であった場合には、ステツプ 9 9 0 Aにて緊急安全停止指令を発行して、所定の緊急安全停止動作を実行する。通常、この緊急安全停止指令は、マイコン 1 0 O Aまたはマイコン 1 0 O Bが有する安全 P L C出力ポートに接続された各停止手段に所定の停止信号として出力される。これらの停止手段としては、例えば、周知の非常停止ブレーキ、給電遮断器、或いはモータなどを接続することができる。

第 1 3図は、上記の多数決語 M Aの作成手順を例示するフローチヤ一トである。このプログラム 6 0 O Aは、 A系の多数決語 M Aを作成するために構成されているが、 B系でも同様の論理演算を実施すれば良い。このプログラム 6 0 O Aは、上記のステップ 9 4 O Aで呼び出されて実行されるべきサブルーチンである。勿論展開マクロ形式にしても良い。

このプログラム 6 O O Aでは、ステップ 6 1 0にて、プログラム 5 0 O Aで求めた前述の語 M A ( 1 ) と語 MA ( 2 ) との論理積を求めて、変数 Y 1に格納する。この論理積演算は、勿論各ビット対応に実施される。

同様にして、ステップ 6 2 0、ステップ 6 3 0でも、変数 Y 2、変数 Υ 3に、語 ΜΑ ( 2 ) と語 ΜΑ ( 3 ) との論理積、及び、語 ΜΑ ( 3 ) と語 MA ( 1 ) との論理積をそれぞれ格納する。

ステップ 6 4 0では、ここで求めた変数 Υ 1、Υ 2の論理和を求めて、その演算結果を新たに変数 Υ 2に格納し直す。この論理和演算は、勿論各ビット対応に実施される。

次のステップ 6 5 0では、更に、ここで求めた変数 Υ 2、 Υ 3の論理和を求めて、その演算結果を多数決語 ΜΑに格納する。

以上の処理によれば、上記の 5つのステップ 6 1 0〜 6 5 0 (よって 5つの.論理演算命令丄によって高速に所望の _多数結語を求めることができる。

以上の第 9図〜第 1 3図の処理方式に従えば、第 3 — Α図の上段で実行する処理、即ち、入力信号のサンプリング処理とそのサンプリングデータに基づいて実施すべき不一致検出処理とを、簡単で高速な論理演算によってそれぞれ何れも極めて高速に実行することができる。

〔その他の変形例〕

本発明の実施形態は、上記の形態に限定されるものではなく、その他にも以下に例示される様な変形を行っても良い。この様な変形や応用によっても、本発明の作用に基づいて本発明の効果を得ることができる。

(変形例 1 )

例えば、上記の実施例 1の自己診断 A (第 7図）においては、ステツプ 3 5 0にて応答信号 I Aの全ビットを毎回所定の退避領域にそれぞれ保存しているが、その後のステップ 3 8 0における判定方法によっては、必ずしもその必要はない。

ステップ 5 4 0 A (第 9図）やステップ 5 4 0 B (第 1 0図）は、 5 回の内 1回でも値が 0の信号（入力が遮断されたことを示す O F F信号）が入力されれば該ビットは 0 と判定すると言う判定基準を利用して構成されたものであり、例えばこの様に巧く判定基準を利用すれば、判定処理の大部分を動的に実行することができ、この様な動的な手法によって、参照データ（入力信号）の退避領域を最小限に抑えることができる場合がある。

(変形例 2 )

また、上記の実施例 1では、入力回路の二重化を A系と B系の 2系統に分けて実施したが、入力回路の多重化は、 3多重で実現しても 4多重で実現しても良い。例えば、 A系、 B系、 C系の 3系統によって、入力回路を 3重化した _場—合、. _不一致 _検出.手段 __ ぉ_いて不一致検 m処理;^式に多数決の理論を導入したり、或いは、 1つの系統だけに異常が発生した時に、 3重化のシステムを 2重化のシステムに動的に縮退させたりすることが可能となる。これにより、システム停止の機会を大幅に削減することも可能となる。

本発明の作用は、本発明の手段を正しく構成することにより、これらの多重度に関わり無く導くことができるものである。即ち、本発明の本質的な作用原理は、システムの多重化を実施する際の多重度とは直接関係するものではない。

(変形例 3 )

また、上記の実施例 1では、自己診断 Aと自己診断 B とをタイミングを替えて、両方ともに実行しているが、自己診断 Aまたは自己診断 Bの何れか一方だけを実施する方式を採用した場合でも、上記の実施例 1 における上記の自己診断 Aまたは Bの作用による、短絡故障検出効果を得ることができる。

これは、第 1 一 A図，第 1 一 B図から判る様に、通常の短絡故障は、入力回路の対称性によって自己診断 Aと自己診断 Bの何れでも検出可能であるので、何れか一方を省略することによって、特段の支障が生じるわけではないからである。

ただし、自己診断 Aと自己診断 Bは殆ど同じプログラム 7 0 0 8 0 0で制御可能であることや、時間をずらして実行するための期間を 1制御周期内に確保することが可能または容易であることや、当該処理の二重化による処理の確実性や信頼性を確保したい事情や、或いは一時記憶装置の容量に余裕があることなどが理由で、当該処理（上記の自己診断）を二重化した方が良い場合も勿論少なくない。

他方、例えば自己診断 Bを省略した場合、制御期間の最適化設計を行ぇぱ、上記の基-本的な制御周期 Δ Ί\を更に.短くできる場合もある。— の場合には、診断周期 τ などを短くできることや、或いはプログラム 4 0 0の製造や取り扱いが不要となるなどの点でメリットを得ることができる。 (変形例 4 )

また、上記の実施例 1では、各外部入力機器に関する個々の入力回路は、何れも 2重化されていることを前提としたが、必ずしも全ての外部入力機器からの各入力信号をそれぞれ何れも二重化する必要はない。即ち、例えば緊急事態の発生に関連する恐れのない装置（外部入力機器）については、シングルモードで入力回路に入力信号を送信させても十分である。そして、例えばこの様に多重化されていない入力信号に対しては、例えば上記の実施例 1 などの様な不一致検出処理を実施する必要がないことは言うまでもない。産業上の利用可能性

本発明は、プログラマブルコントローラ（P L C ) に入力される入力信号に対する信頼性や、それらの入力信号に関する処理の確実性や、それらに基づいて確保されるべきシステムの安全性などを高度に確保するために大いに有用であり、よって、ロボットや工作機械やそれらの周辺機器の動作に対するシーケンス制御などに、効果的に利用することがでさる。

また、本発明は、上記の外部入力機器として各種のセンサ（検出装置）や情報処理機器などを想定すれば、自動車のォートクルーズシステムにおいても利用することができ、これにより安全なォートクルーズシステムを構成できる場合がある。

Claims

1 . 複数の外部入力機器とそれらの外部入力機器から入力される入力信号群を処理する処理装置が複数の系統に多重化され、全ての系統の入力信号群が一致した時に真正な入力信号が入力されたと判定し、不一致の場合には異常停止処理を行請うようにしたプロダラマプルコントローラにおいて、

一の系統の処理装置は、

の

他の系統の処理装置に対して、一の系統に固有のタイミングで診断パルス群をパラレル出力する診断パルス出力手段と、

他の系統の処理装置の診断パルス出力手段囲から出力される診断パルス群を入力して、それらのパルス期間だけ入力信号群の伝搬を遮断するチエック手段と、

自己の系統の前記診断パルス出力手段からの診断パルスの出力に対応して前記入力信号群の信号が変化した場合には、異常停止処理を行う異常判定手段と

を有することを特徴とするプログラマブルコントローラ。

2 . それぞれが二重に構成された外部入力機器群から出力される第 1入力信号群を入力する第 1入力端子群と、その第 1入力端子に入力される第 1入力信号群を処理する第 1信号処理装置と、前記外部入力機器群から出力される第 2入力信号群を入力する第 2入力端子群と、その第 2入力端子群に入力される前記第 2入力信号群を処理する第 2信号処理装置と-で、二重に構成され、 _λ力信号群.の要素.である第 1入力信号と、. の信号と一対を成す第 2入力信号とが一致した時に真正な入力信号が入力されたと判定し、不一の場合には異常停止処理を行うようにしたプログラマブノレコントローラにおいて、前記第 1信号処理装置は、

前記第 2信号処理装置に対して第 1診断パルス群をパラレル出力する第 1診断パルス出力手段と、

前記第 2信号処理装置から出力される第 2診断パルス群をパラレル入力してそれらのパルス期間だけ前記第 1入力信号群の伝搬を遮断する第 1チェック手段と、

前記第 1診断パルス出力手段からの第 1診断パルス群の出力に対応して前記第 1入力信号群が変化した場合には、異常と判定して異常停止処理をする第 1異常判定手段とを有し、

前記第 2信号処理装置は、

前記第 1診断パルス群の出力とは異なるタイミングで、. 前記第 1チェック手段に、第 2診断パルス群をパラレル出力する第 2診断パルス出力手段と、

前記第 1診断パルス出力手段から出力される第 1診断パルス群をパラレル入力して、それらのパルス期間だけ前記第 2入力信号群の伝搬を遮断する第 2チェック手段と、

前記第 2診断パルス出力手段からの第 2診断パルス群の出力に対応して前記第 2入力信号群が変化した場合には、異常と判定して異常停止処理をする第 2異常判定手段とを有する

ことを特徴とするプログラマプルコントローラ。

3 . 前記異常判定手段は、

所定回数連続して前記入力信号群の同一入力端子からの信号が変化し

-た—場合に異常と判定して異常停止をす _る— .

ことを特徴とする請求の範囲第 1項に記載のプログラマブルコントロー

4 . 前記第 1異常判定手段は、所定回数連続して前記第 1入力信号群の同一入力端子からの信号が変化した場合に異常と判定して異常停止をする手段であり、

前記第 2異常判定手段は、

所定回数連続して前記第 2入力信号群の同一入力端子からの信号が変化した場合に異常と判定して異常停止をする手段である

ことを特徴とする請求の範囲第 2項に記載のプログラマプルコントロー

5 . 前記一の系統の信号処理装置は、

他の系統の処理装置に対して、入力端子毎にシリアルにシリアル診断パルスを出力するシリアル診断パルス出力手段と、

他の系統の処理装置のシリアルパルス出力手段から入力端子毎にシリアルに出力されるシリアル診断パルスを入力して、そのパルス期間に対応して入力信号が変化しない場合に異常と判定して、異常停止処理をするパルスチェック手段と

を有する

ことを特徴とする請求の範囲第 1項又は第 3項に記載のプログラマプル iン卜 π—ラ。

6 . 前記第 1信号処理装置は、

入力端子毎の前記第 2チェック手段に第 1シリアル診断パルスをシリアルに出力する第 1 シリアル診断パルス出力手段と、

前記第 2信号処理装置から入力端子毎の前記第 1チェック手段にシリアルに出力された第 2 シリアル診断パルスを入力して、そのパルス期間に対.応して第： L人力信号—力変化し _な場合異常.と判定して、異.常停止処理をする第 1 パルスチェック手段と

を有し、

前記第 2信号処理装置は、入力端子毎の前記第 1チェック手段に第 2シリアル診断パルスをシリアルに出力する第 2 シリアル診断パルス出力手段と、

前記第 1シリアル診断パルス出力手段から入力端子毎の前記第 2チェック手段にシリアルに出力された第 1 シリアル診断パルスを入力して、そのパルス期間に対応して第 2入力信号が変化しない場合に異常と判定して、異常停止処理をする第 2パルスチェック手段と

を有する

ことを特徴とする請求の範囲第 2項又は第 4項に記載のプログラマブルコン卜ローラ。

7 . 前記チェック手段は、

前記入力信号を入力するフォトカブラと、そのフォト力ブラの発光ダィオードに直列に接続されたフォトトランジスタと診断パルスを入力しフォトトランジスタに光信号を発する発光ダイオードとから成るフォト力ブラとから成る

ことを特徴とする請求の範囲第 1項、第 3項または第 5項の何れか 1項に記載のプログラマプルコント口ーラ。

8 . 前記第 1チェック手段は、

前記第 1入力信号を入力するフォト力ブラと、そのフォト力ブラの発光ダイオードに直列に接続されたフォトトランジスタと第 2診断パルスを入力しフォトトランジスタに光信号を発する発光ダイオードとから成るフォトカプラとから成り、

前記第 2チェック手段は、

-前記第 2〜入力信号-を入力するフォト J¾—プラ丄、 —そ —フォト力ブラの楽光ダイォードに直列に接続されたフォトトランジスタと第 1診断パルスを入力しフォトトランジスタに光信号を発する発光ダイオードとから成るフォトカプラとから成ることを特徴とする請求の範囲第 ²項、第 4項、または第 6項の何れか 1 項に記載のプログラマブルコントローラ。