WO2015132938A1

WO2015132938A1 - 安全制御システム及び安全制御機器

Info

Publication number: WO2015132938A1
Application number: PCT/JP2014/055837
Authority: WO
Inventors: 怜也市岡; 輝顕伊東; 新山本
Original assignee: 三菱電機株式会社
Priority date: 2014-03-06
Filing date: 2014-03-06
Publication date: 2015-09-11
Also published as: JPWO2015132938A1; DE112014006106B4; JP5619330B1; DE112014006106T5

Abstract

　安全制御システムは、ネットワークを介して互いに直接データ送信が可能なように接続された複数のユニットを備える。各ユニットは、デバイスの動作状態を検出してその状態データを出力する状態検出器と、ネットワークに接続された安全制御機器とを備える。安全制御機器は、状態データと判断基準とに基づいて、デバイスの動作状態が異常か否かの判断を行う。その判断の結果が異常を示す場合、安全制御機器は、デバイスの動作を停止させ、且つ、当該判断結果を示す監視結果データを、指定された他のユニットにネットワークを介して直接送信する。安全制御機器は、ネットワークを介して受け取った監視結果データが異常を示す場合にも、デバイスの動作を停止させる。

Description

安全制御システム及び安全制御機器

　本発明は、機械装置の動作の安全性を向上させる安全制御システム及び安全制御機器に関する。

　工場等において使用されるサーボシステムが知られている。一般的なサーボシステムは、サーボモータ、エンコーダ、サーボモータの駆動制御を行うサーボアンプ、及び上位コントローラとしてのＰＬＣ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｃｏｎｔｒｏｌｌｅｒ）を備えている。ＰＬＣは、サーボアンプに対して位置指令を出力する。エンコーダは、サーボモータの位置や回転速度を検出し、検出情報をサーボアンプにフィードバックする。サーボアンプは、位置指令と検出情報とに基づいて、サーボモータの駆動制御を行う。

　特許文献１は、安全制御機器を備えるサーボシステムを開示している。この安全制御機器は、エンコーダからの出力に基づいて、サーボモータの異常の有無を監視する。異常が有る場合、安全制御機器は、サーボモータへの駆動電力の供給を遮断する。

特開２０１０－１５２５９５号公報

　サーボシステムでは、複数のサーボモータが同時に動作するため、それら複数のサーボモータの動作を同時に監視することが望ましい。特許文献１に記載の技術によれば、単一の安全制御機器が、複数のサーボモータの動作を同時に監視する。しかしながら、サーボモータ数が膨大で、また、サーボモータ間の距離が長い大規模サーボシステムの場合、安全制御機器とサーボモータとを接続する配線の数が膨大になり、また、配線長も長くなる。その結果、サーボシステムを構築するための原価コストや設置コストが増大する。

　本発明の１つの目的は、機械装置の動作の安全性を向上させる安全制御システムを低コストで構築することができる技術を提供することにある。

　本発明の１つの観点において、安全制御システムが提供される。その安全制御システムは、ネットワークと、ネットワークを介して互いに直接データ送信が可能なように接続された複数のユニットと、を備える。複数のユニットの各々は、駆動制御装置によって駆動されるデバイスと、デバイスの動作状態を検出し、検出した動作状態を示す状態データを出力する状態検出器と、ネットワークに接続された安全制御機器と、を備える。安全制御機器は、判断部、安全処理部、及び送信部を備える。判断部は、状態データと判断基準とに基づいて、デバイスの動作状態が異常か否かの判断を行う。安全処理部は、上記判断の結果が異常を示す場合、デバイスの動作を停止させる。送信部は、上記判断の結果を示す監視結果データを、複数のユニットのうち指定されたものに対して、ネットワークを介して直接送信する。安全処理部は、ネットワークを介して受け取った監視結果データが異常を示す場合にも、デバイスの動作を停止させる。

　本発明の他の観点において、安全制御システムにおける安全制御機器が提供される。安全制御システムは、ネットワークと、ネットワークを介して互いに直接データ送信が可能なように接続された複数のユニットと、を備える。複数のユニットの各々は、駆動制御装置によって駆動されるデバイスと、デバイスの動作状態を検出し、検出した動作状態を示す状態データを出力する状態検出器と、ネットワークに接続された安全制御機器と、を備える。安全制御機器は、判断部、安全処理部、及び送信部を備える。判断部は、状態データと判断基準とに基づいて、デバイスの動作状態が異常か否かの判断を行う。安全処理部は、上記判断の結果が異常を示す場合、デバイスの動作を停止させる。送信部は、上記判断の結果を示す監視結果データを、複数のユニットのうち指定されたものに対して、ネットワークを介して直接送信する。安全処理部は、ネットワークを介して受け取った監視結果データが異常を示す場合にも、デバイスの動作を停止させる。

　本発明によれば、機械装置の動作の安全性を向上させる安全制御システムを低コストで構築することが可能となる。

図１は、本発明の実施の形態１に係る安全制御システムの構成を概略的に示すブロック図である。図２は、本発明の実施の形態１に係る安全制御システムの１つのユニットの構成例を示すブロック図である。図３は、本発明の実施の形態１に係る安全制御システムの動作を示すフローチャートである。図４は、本発明の実施の形態１における監視結果データの一例を示す概念図である。図５は、本発明の実施の形態１における監視結果データの送信例を示す概念図である。図６は、本発明の実施の形態１における監視結果データを受け取った安全制御機器の動作を示すフローチャートである。図７は、本発明の実施の形態２における監視結果データの送信例を示す概念図である。図８は、本発明の実施の形態３に係る安全制御システムを説明するためのブロック図である。図９は、本発明の実施の形態３に係る安全制御システムの動作の一例を示す概念図である。図１０は、本発明の実施の形態３に係る安全制御システムの動作の他の例を示す概念図である。図１１は、本発明の実施の形態５に係る安全制御システムの１つのユニットの構成例を示すブロック図である。

　添付図面を参照して、本発明の実施の形態を説明する。

実施の形態１．
　＜構成＞
　図１は、本発明の実施の形態１に係る安全制御システム１の構成を概略的に示すブロック図である。安全制御システム１は、工場等において機械装置の動作の安全性を向上させるために用いられる。図１に示されるように、この安全制御システム１は、複数のユニット２（２－１～２－ｎ：ここでｎは２以上の整数）、及び制御ネットワーク３を備えている。

　複数のユニット２は、共通の制御ネットワーク３に接続されている。また、制御ネットワーク３には、それら複数のユニット２の管理及び制御を行う上位コントローラ５も接続されている。上位コントローラ５（マスター）としては、ＰＬＣが例示される。ここで、制御ネットワーク３の方式としては、マスタースレーブ間だけでなくスレーブ間でも直接通信可能な方式が採用されている。すなわち、本実施の形態では、複数のユニット２は、制御ネットワーク３を介して互いに直接データ送信が可能なように接続されている。

　複数のユニット２の各々は、監視対象１０と安全制御機器１００とを備えている。例えば、ユニット２－１は、監視対象１０－１と安全制御機器１００－１とを備えており、別のユニット２－ｎは、別の監視対象１０－ｎと別の安全制御機器１００－ｎとを備えている。

　監視対象１０は、モータ等のデバイスを含んでおり、そのデバイスの動作状態の監視及び安全制御が行われる。安全制御機器１００は、監視対象１０及び制御ネットワーク３に接続されている。安全制御機器１００は、同じユニット２内のデバイスの動作状態の監視及び安全制御を行う。また、安全制御機器１００は、必要に応じて、他のユニット２の安全制御機器１００に対して必要な情報を制御ネットワーク３を介して直接送信する。

　図２は、１つのユニット２の構成例を示すブロック図である。本例において、監視対象１０はサーボシステムであり、サーボモータ２０（デバイス）、サーボアンプ３０（駆動制御装置）、及びエンコーダ４０（状態検出器）を備えている。

　サーボアンプ３０は、サーボモータ２０に駆動電流を供給することにより、サーボモータ２０の駆動制御を行う。エンコーダ４０は、サーボモータ２０に取り付けられており、サーボモータ２０の動作状態（例：位置や回転速度）を検出する。エンコーダ４０は、検出した動作状態を示す状態データＳＴＡＴを出力する。その状態データＳＴＡＴは、サーボアンプ３０にフィードバックされる。また、サーボアンプ３０は、図示されないモータコントローラあるいはＰＬＣから位置指令を受け取る。そして、サーボアンプ３０は、位置指令と状態データＳＴＡＴとに基づいて、サーボモータ２０の駆動制御を行う。例えば、サーボアンプ３０は、状態データＳＴＡＴで示される検出位置が位置指令に一致するように、サーボモータ２０への駆動電流を制御する。

　安全制御機器１００は、例えばサーボアンプ３０に隣接して取り付けられている。この安全制御機器１００は、処理部１１０、記憶部１２０、監視インタフェース１３０、及びネットワークインタフェース１４０を備えている。

　処理部１１０は、各種データ処理を実行するデータ処理装置である。記憶部１２０は、各種情報を格納するためのメモリである。監視インタフェース１３０は、監視対象１０とのインタフェースである。処理部１１０は、この監視インタフェース１３０を通して、監視対象１０と通信を行うことができる。ネットワークインタフェース１４０は、制御ネットワーク３とのインタフェースである。処理部１１０は、このネットワークインタフェース１４０及び制御ネットワーク３を通して、他のユニット２や上位コントローラ５（図１参照）と通信を行うことができる。

　処理部１１０は、機能ブロックとして、情報設定部１１１、判断部１１２、安全処理部１１３、送信部１１４、及び受信部１１５を備えている。これら機能ブロックは、処理部１１０が安全制御プログラムを実行することにより実現される。尚、安全制御プログラムは、コンピュータ読み取り可能な記録媒体に記録されていてもよい。

　情報設定部１１１は、安全制御機器１００による安全制御処理に関する各種情報を設定する。具体的には、情報設定部１１１は、記憶部１２０に各種情報を格納する。また、情報設定部１１１は、必要に応じて、記憶部１２０に格納されている情報の内容を変更する。記憶部１２０に格納される情報としては、判断基準情報ＲＥＦや送信先情報ＤＳＴが挙げられる。これら情報の内容については後述される。

　判断部１１２は、監視対象１０のサーボモータ２０の動作状態が異常（危険）か否かの判断を行う。その判断の基準を与えるのが判断基準情報ＲＥＦである。例えば、サーボモータ２０の回転速度Ｘが制限値Ｘｔ以上になると異常であるとする。この場合、判断基準情報ＲＥＦは、その制限値Ｘｔを判断基準として示す。回転速度Ｘは、上記状態データＳＴＡＴで与えられる。すなわち、判断部１１２は、エンコーダ４０から出力される状態データＳＴＡＴを受け取り、また、記憶部１２０から判断基準情報ＲＥＦを読み出す。そして、判断部１１２は、状態データＳＴＡＴと判断基準情報ＲＥＦとに基づいて、サーボモータ２０の動作状態が異常か否かの判断を行う。

　安全処理部１１３は、判断部１１２による判断結果が異常を示す場合、サーボモータ２０の動作を停止させる。そのために、安全処理部１１３は、停止指令ＳＴＰを監視対象１０に出力する。その停止指令ＳＴＰに応答して、監視対象１０は、サーボモータ２０の動作を停止させる。

　送信部１１４は、判断部１１２による判断結果を示す監視結果データＲＳＴを、制御ネットワーク３を介して他のユニット２に送信する。その監視結果データＲＳＴの送信先を指定するのが送信先情報ＤＳＴである。つまり、送信先情報ＤＳＴは、複数のユニット２－１～２－ｎ（図１参照）のうち監視結果データＲＳＴを送信すべき送信先を指定する。送信部１１４は、記憶部１２０から送信先情報ＤＳＴを読み出し、その送信先情報ＤＳＴで指定される送信先に監視結果データＲＳＴを送信する。このとき、監視結果データＲＳＴは、制御ネットワーク３を介して、当該送信先に直接（上位コントローラ５を介さずに）送信される。

　典型的には、判断部１１２による判断結果が異常を示す場合に、送信部１１４は、監視結果データＲＳＴを送信先に送信する。但し、送信部１１４は、定期的に、監視結果データＲＳＴを送信先に送信してもよい。

　受信部１１５は、他のユニット２から送信された監視結果データＲＳＴを制御ネットワーク３から受け取る。受信部１１５は、受け取った監視結果データＲＳＴを安全処理部１１３に渡す。

　制御ネットワーク３を通して受け取った監視結果データＲＳＴが異常を示す場合、安全処理部１１３は、停止指令ＳＴＰを監視対象１０に出力し、サーボモータ２０の動作を停止させる。すなわち、本実施の形態に係る安全制御機器１００は、自身のユニット２で異常が検出された場合だけでなく、他のユニット２で異常が検出された場合にも、サーボモータ２０の動作を停止させる。

　＜処理フロー＞
　図３は、本実施の形態に係る安全制御システム１の動作を示すフローチャートである。

　ステップＳ１０：
　まず、判断基準情報ＲＥＦ及び送信先情報ＤＳＴの設定が行われる。例えば、ユーザは、複数のユニット２それぞれ用の判断基準情報ＲＥＦ及び送信先情報ＤＳＴを、上位コントローラ５に入力する。上位コントローラ５は、入力された情報を、制御ネットワーク３を介してそれぞれのユニット２に分配する。各ユニット２の安全制御機器１００は、判断基準情報ＲＥＦ及び送信先情報ＤＳＴを受け取る。情報設定部１１１は、受け取った判断基準情報ＲＥＦ及び送信先情報ＤＳＴを記憶部１２０に格納する。あるいは、ユーザは、基準情報ＲＥＦ及び送信先情報ＤＳＴを、各ユニット２の安全制御機器１００に直接入力してもよい。

　ステップＳ２０：
　エンコーダ４０は、サーボモータ２０の動作状態（例：位置や回転速度）を検出し、検出した動作状態を示す状態データＳＴＡＴを出力する。サーボアンプ３０は、状態データＳＴＡＴを受け取り、その状態データＳＴＡＴを安全制御機器１００に送信する。あるいは、状態データＳＴＡＴは、エンコーダ４０から安全制御機器１００に直接送られてもよい。

　ステップＳ３０：
　判断部１１２は、状態データＳＴＡＴを受け取り、また、記憶部１２０から判断基準情報ＲＥＦを読み出す。そして、判断部１１２は、状態データＳＴＡＴと判断基準情報ＲＥＦとに基づいて、サーボモータ２０の動作状態が異常（危険）か否かの判断を行う。例えば、判断基準情報ＲＥＦが、判断基準として、サーボモータ２０の回転速度Ｘの制限値Ｘｔを与えているとする。判断部１１２は、状態データＳＴＡＴで示される回転速度Ｘと判断基準情報ＲＥＦで示される制限値Ｘｔとを比較する。回転速度Ｘが制限値Ｘｔ以上になると、判断部１１２は、サーボモータ２０の動作状態が異常（危険）であると判断する（ステップＳ３０；Ｙｅｓ）。この場合、処理フローはステップＳ４０に進む。

　ステップＳ４０：
　安全処理部１１３は、サーボモータ２０の動作を停止させる。具体的には、安全処理部１１３は、停止指令ＳＴＰを監視対象１０に出力する。その停止指令ＳＴＰに応答して、監視対象１０は、サーボモータ２０の動作を停止させる。例えば、サーボアンプ３０が停止指令ＳＴＰを受け取り、その停止指令ＳＴＰに応答して、サーボアンプ３０がサーボモータ２０の動作を停止させる。あるいは、サーボモータ２０とサーボアンプ３０とをつなぐ配線上に遮断器が設けられ、停止指令ＳＴＰに応答して、サーボアンプ３０からサーボモータ２０への駆動電流の供給が遮断されてもよい。

　ステップＳ５０：
　送信部１１４は、記憶部１２０から送信先情報ＤＳＴを読み出す。そして、送信部１１４は、判断部１１２による判断結果を示す監視結果データＲＳＴを、制御ネットワーク３を介して、送信先情報ＤＳＴで指定される送信先に送信する。このとき、監視結果データＲＳＴは、制御ネットワーク３を介して、当該送信先に直接（上位コントローラ５を介さずに）送信される。

　図４は、監視結果データＲＳＴの一例を示す概念図である。図４に示される例では、監視結果データＲＳＴは、宛先情報、送信元情報、及び結果情報を含んでいる。宛先情報は、例えば、宛先（送信先）アドレスである。送信元情報は、例えば、送信元アドレスである。結果情報は、判断部１１２による判断結果を示す。尚、監視結果データＲＳＴは、状態データＳＴＡＴや判断基準を含んでいてもよい。

　図５は、監視結果データＲＳＴの送信例を示している。ユニット２－１の安全制御機器１００－１において、送信先情報ＤＳＴは、ユニット２－２の安全制御機器１００－２を指定している。安全制御機器１００－１は、同一ユニット２－１のサーボモータ２０の動作状態が異常であることを検知すると、当該サーボモータ２０の動作を停止させ、且つ、監視結果データＲＳＴを制御ネットワーク３を通して安全制御機器１００－２に直接送信する。

　図６は、監視結果データＲＳＴを受け取った安全制御機器１００（図５の例では１００－２）の動作を示すフローチャートである。

　ステップＳ６０：
　受信部１１５は、制御ネットワーク３からの監視結果データＲＳＴの受信をモニタする。制御ネットワーク３から監視結果データＲＳＴを受信すると（ステップＳ６０；Ｙｅｓ）、受信部１１５は、受信した監視結果データＲＳＴを安全処理部１１３に渡す。この場合、処理フローはステップＳ７０に進む。

　ステップＳ７０：
　受信した監視結果データＲＳＴが異常（危険）を示す場合、安全処理部１１３は、上記ステップＳ４０と同様の安全処理を行う。すなわち、安全処理部１１３は、停止指令ＳＴＰを監視対象１０に出力し、サーボモータ２０の動作を停止させる。

　尚、安全処理部１１３は、受信した監視結果データＲＳＴの内容に基づいて、安全処理を実施するか否かを自身で判断してもよい。

　＜効果＞
　以上に説明されたように、本実施の形態によれば、複数の安全制御機器１００が制御ネットワーク３を介して互いに接続され、それら複数の安全制御機器１００の間で監視結果データＲＳＴがやりとりされる。より詳細には、安全制御機器１００は、自ユニット２のサーボモータ２０の異常を検出すると、当該サーボモータ２０の動作を停止させると共に、監視結果データＲＳＴを他のユニット２の安全制御機器１００に送信する。監視結果データＲＳＴを受け取った安全制御機器１００は、自ユニット２のサーボモータ２０の動作を停止させる。

　このように、１つのサーボモータ２０で異常が発生した場合に、複数のサーボモータ２０をまとめて自動的に停止させることができる。その結果、サーボシステムの安全性が向上する。また、安全処理の効率が向上する。

　また、本実施の形態によれば、レスポンスタイム（異常検出から複数のサーボモータ２０の停止までの時間）が短い。何故なら、異常を検出した安全制御機器１００から他の安全制御機器１００に対して、監視結果データＲＳＴが、上位コントローラ５を介することなく、直接送信されるからである。

　比較例として、マスタースレーブ構成を考える。ここで、マスターは上位コントローラ５であり、スレーブは安全制御機器１００である。スレーブが異常を感知した場合、当該スレーブはまずマスターに異常を通知する。次に、マスターは、停止すべきサーボモータに関わるスレーブに異常状態を通知する。そして、この異常通知を受け取ったスレーブはサーボモータを停止させる。このように、データ伝達経路が長く、また、処理手順が多いため、レスポンスタイムが長くなる。これに対し、本実施の形態では、異常を感知したスレーブから停止すべきサーボモータに関わるスレーブに対して、異常状態が直接通知される。従って、レスポンスタイムが短くなる。

　レスポンスタイムが短縮されることも、サーボシステムの安全性の向上に寄与する。また、レスポンスタイムが短縮されるため、サーボモータ２０と安全柵との間の距離を短くすることも可能である。このことは、サーボシステムの設置面積の縮小につながり、好適である。

　更に、本実施の形態によれば、１つの監視対象１０と１つの安全制御機器１００のペアが１つのユニット２を構成し、複数の安全制御機器１００間は制御ネットワーク３で接続されている。その結果、全てのサーボモータ２０を１台の安全制御機器１００で監視する場合と比較して、安全制御機器１００とサーボモータ２０とを接続する配線の数及び長さが削減される。このことは、安全制御システム１を構築するための原価コストや設置コストが削減されることを意味する。すなわち、本実施の形態によれば、安全制御システム１を低コストで構築することが可能となる。

　また、本実施の形態では、監視結果データＲＳＴの送信先、すなわち、停止させるサーボモータ２０は、送信先情報ＤＳＴを用いてユーザが自由に指定可能である。つまり、設置環境に応じたフレキシブルな運用が可能となる。

実施の形態２．
　上述の通り、監視結果データＲＳＴの送信先、すなわち、停止させるサーボモータ２０は、送信先情報ＤＳＴを用いてユーザが自由に指定可能である。サーボシステムによっては、あるサーボモータ２０に異常が発生した場合に停止すべき他のサーボモータ２０と停止すべきでない他のサーボモータ２０がある。もし、停止すべきでない他のサーボモータ２０をも停止させた場合、サーボシステムが無駄に停止してしまう部分が発生する。このことは、生産性の低下を招く。また、サーボシステムの再起動に時間を要するため、ダウンタイムが増加してしまう。そこで、実施の形態２では、送信先情報ＤＳＴを利用して、必要なサーボモータ２０だけを停止させる構成を考える。

　図７は、実施の形態２における監視結果データＲＳＴの送信例を示している。図７に示されるように、複数のユニット２はグループ化されている。例えば、第１グループ４－１は、ユニット２－１，２－２を含んでおり、第２グループ４－２は、ユニット２－３，２－４，２－５を含んでいる。各グループは、異常検出時に連帯して停止させられるサーボモータ２０を含むユニット２だけで構成されている。つまり、各グループは、監視結果データＲＳＴがやりとりされるユニット２だけで構成されている。図７に示されるように、監視結果データＲＳＴは、同一グループの中だけでやりとりされることになる。

　このような構成を実現するためには、送信先情報ＤＳＴを適切に設定すればよい。具体的には、あるユニット２の送信先情報ＤＳＴは、当該ユニット２と同じグループ４に属する他のユニット２を送信先として指定するように設定される。例えば、第１グループ４－１に属するユニット２－１の送信先情報ＤＳＴは、同じ第１グループ４－１に属するユニット２－２を送信先として指定する。逆に、ユニット２－２の送信先情報ＤＳＴは、ユニット２－１を送信先として指定する。第２グループ４－２に関しても、同様である。このように送信先情報ＤＳＴを設定することにより、図７に示されるような構成が可能となる。

　以上に説明されたように、本実施の形態によれば、あるサーボモータ２０に異常が発生した場合に、必要なサーボモータ２０だけが自動的に停止させられる。停止すべきでないサーボモータ２０まで無駄に停止することがないため、生産性の低下が防止される。また、ダウンタイムも抑制される。

実施の形態３．
　安全制御機器１００の情報設定部１１１は、記憶部１２０に格納されている判断基準情報ＲＥＦ及び送信先情報ＤＳＴの少なくとも一方を、可変に設定してもよい。つまり、情報設定部１１１は、判断基準情報ＲＥＦ及び送信先情報ＤＳＴの少なくとも一方を、状況に応じて適宜変更してもよい。以下、一例として、サーボモータ２０が設置されている空間の状況変化に応じて、判断基準情報ＲＥＦを動的に変更する実施の形態を説明する。

　図８に示されるように、サーボモータ２０を含む監視対象１０及び安全制御機器１００が設置されている部屋（空間）６０を考える。センサ５０は、その部屋６０の中の人や物の状況を検出する。例えば、センサ５０は、セーフティライトカーテンやセーフティドアスイッチ等のセーフティセンサであり、安全エリアを越えて人間が部屋６０に侵入したことを検出する。このセンサ５０は、検出状況を示すセンサデータＳＥＮを、安全制御機器１００に送る。尚、センサ５０は安全制御機器１００に、直接接続されていてもよいし、制御ネットワーク３を介して接続されていてもよい。

　安全制御機器１００の情報設定部１１１は、センサ５０から送られるセンサデータＳＥＮを受け取る。そして、情報設定部１１１は、センサデータＳＥＮで示される検出状況に応じて、判断基準情報ＲＥＦを可変に設定する。

　例えば、センサ５０が、人間が部屋６０に侵入したことを検出した場合を考える。これは、危険源であるサーボモータ２０への人間の接近を意味する。そこで、情報設定部１１１は、判断部がサーボモータ２０の動作状態を危険であると判断する確率が高くなるように、判断基準情報ＲＥＦが指定する判断基準をより厳しくする。

　例えば、判断基準が、サーボモータ２０の回転速度の制限値である場合を考える。侵入検出前、情報設定部１１１は、制限値を、第１制限値ＲＥＦ１（第１判断基準）に設定する。一方、侵入が検出されると、情報設定部１１１は、制限値を、第１制限値ＲＥＦ１よりも低い第２制限値ＲＥＦ２（第２判断基準ＲＥＦ２）に減少させる。

　図９に示される動作例を考える。サーボモータ２０の回転速度Ｒ１は、人に危害を与えるレベルの高い回転速度である。この回転速度Ｒ１は、第１制限値ＲＥＦ１よりは低く、第２制限値ＲＥＦ２よりは高い（ＲＥＦ１＞Ｒ１＞ＲＥＦ２）。侵入検出前、サーボモータ２０の回転速度はこの高いレベルＲ１に維持され、生産効率は高い。侵入が検出されると、制限値が第２制限値ＲＥＦ２に減少し、高い回転速度Ｒ１は人間にとって危険であると判断され、サーボモータ２０は停止させられる。このように、人間が周囲にいるか否かに応じて制限値を変更することにより、安全性を確保しつつ、高い生産効率を実現することが可能となる。

　一方、サーボモータ２０の回転速度Ｒ２は、人に危害を与えない低い回転速度であり、第２制限値ＲＥＦ２よりも低い（ＲＥＦ１＞ＲＥＦ２＞Ｒ２）。この場合は、侵入が検出されてもサーボモータ２０は停止しない。但し、生産効率は総じて低い。特に、人間が周囲にいないにもかかわらず回転速度を低いレベルＲ２に維持しておくのは、生産効率の観点から言えば無駄である。

　次に、図１０に示される動作例を参照して、人間の侵入に応じて制限値を切り換えることの別の意義を説明する。図１０に示される回転速度Ｒ３は、回転速度Ｒ２と同様に、人に危害を与えない低い回転速度であり、第２制限値ＲＥＦ２よりも低い（ＲＥＦ１＞ＲＥＦ２＞Ｒ３）。よって、侵入が検出された後でも、サーボモータ２０は停止しない。

　比較例として、侵入が検出された場合に、判断基準との比較を行うことなく、無条件でサーボモータ２０を停止させることを考える。この比較例の場合、回転速度Ｒ３が人に危害を与えないレベルであるにもかかわらず、サーボモータ２０が無条件で停止してしまう。これは、非効率的である。一方、本実施の形態では、人間の侵入が検出された場合に、無条件で動作停止させる代わりに、判断基準を厳しくする。その結果、必ずしも動作停止するわけではなく、安全であれば動作を継続させることができる。

　以上に説明されたように、本実施の形態によれば、状況に応じて判断基準が可変に設定される。これにより、安全性を確保しつつ、効率的な運用を実現することが可能となる。

実施の形態４．
　サーボアンプ３０、安全制御機器１００、制御ネットワーク３等の構成要素について、ＩＥＣ６１５０８やＩＳＯ１３８４９－１などの安全に関わる国際規格の認証を受けた製品を利用してもよい。これら認証を受けた製品を利用することで、国際規格準拠の安全性を取得できるサーボシステムが構築できる。

実施の形態５．
　既出の実施の形態では、監視対象１０としてサーボシステムが例示された。しかしながら、本発明は、サーボシステム以外にも適用可能である。例えば、本発明は、数値制御装置、ロボット、インバータ、放電装置、レーザ装置などにも適用可能である。

　図１１は、一般化した監視対象１０の構成を概略的に示している。監視対象１０は、デバイス２０’、駆動制御装置３０’、及び状態検出器４０’を備えている。デバイス２０’は、動作する部位であり、駆動制御装置３０’によって駆動される。状態検出器４０’は、デバイス２０’の動作状態を検出し、検出した動作状態を示す状態データＳＴＡＴを出力する。その状態データＳＴＡＴは、駆動制御装置３０’にフィードバックされる。駆動制御装置３０’は、フィードバックされた状態データＳＴＡＴに基づいて、デバイス２０’の駆動制御を行う。

　安全制御機器１００は、状態検出器４０’から出力される状態データＳＴＡＴに基づいて、デバイス２０’の動作状態が異常か否かの判断を行う。当該判断の結果が異常を示す場合、安全制御機器１００は、停止指令ＳＴＰを監視対象１０に出力し、デバイス２０’の動作を停止させる。更に、安全制御機器１００は、監視結果データＲＳＴを制御ネットワーク３を介して他のユニットに直接送信する。他のユニットから受け取った監視結果データＲＳＴが異常を示す場合、安全制御機器１００は、自ユニットのデバイス２０’の動作を停止させる。その結果、既出の実施の形態の場合と同じ効果が得られる。

　以上、本発明の実施の形態が添付の図面を参照することにより説明された。但し、本発明は、上述の実施の形態に限定されず、要旨を逸脱しない範囲で当業者により適宜変更され得る。

　１　安全制御システム、２　ユニット、３　制御ネットワーク、４　グループ、５　上位コントローラ、１０　監視対象、２０　サーボモータ、２０’　デバイス、３０　サーボアンプ、３０’　駆動制御装置、４０　エンコーダ、４０’　状態検出器、５０　センサ、６０　部屋（空間）、１００　安全制御機器、１１０　処理部、１１１　情報設定部、１１２　判断部、１１３　安全処理部、１１４　送信部、１１５　受信部、１２０　記憶部、１３０　監視インタフェース、１４０　ネットワークインタフェース、ＤＳＴ　送信先情報、ＲＥＦ　判断基準情報、ＲＳＴ　監視結果データ、ＳＥＮ　センサデータ、ＳＴＡＴ　状態データ、ＳＴＰ　停止指令。

Claims

　ネットワークと、
　前記ネットワークを介して互いに直接データ送信が可能なように接続された複数のユニットと
　を備え、
　前記複数のユニットの各々は、
　　駆動制御装置によって駆動されるデバイスと、
　　前記デバイスの動作状態を検出し、前記検出した動作状態を示す状態データを出力する状態検出器と、
　　前記ネットワークに接続された安全制御機器と
　を備え、
　前記安全制御機器は、
　　前記状態データと判断基準とに基づいて、前記デバイスの前記動作状態が異常か否かの判断を行う判断部と、
　　前記判断の結果が異常を示す場合、前記デバイスの動作を停止させる安全処理部と、
　　前記判断の結果を示す監視結果データを、前記複数のユニットのうち指定されたものに対して、前記ネットワークを介して直接送信する送信部と
　を備え、
　前記安全処理部は、前記ネットワークを介して受け取った前記監視結果データが異常を示す場合にも、前記デバイスの動作を停止させることを特徴とする安全制御システム。
　前記安全制御機器は、更に、記憶部を備え、
　前記記憶部には、
　　前記判断基準を示す判断基準情報と、
　　前記複数のユニットのうち前記監視結果データの送信先を指定する送信先情報と
　が格納され、
　前記判断部は、前記判断基準情報で示される前記判断基準に基づいて前記判断を行い、
　前記送信部は、前記送信先情報で指定される前記送信先に前記監視結果データを送信することを特徴とする請求項１に記載の安全制御システム。
　前記複数のユニットはグループ化され、
　前記複数のユニットのうち第１ユニットの前記送信先情報は、前記第１ユニットと同じグループに属する他のユニットを前記送信先として指定することを特徴とする請求項２に記載の安全制御システム。
　前記安全制御機器は、前記判断基準情報及び前記送信先情報の少なくとも一方を可変に設定する情報設定部を更に備えることを特徴とする請求項２又は３に記載の安全制御システム。
　前記デバイスが設置されている空間の状況を検出するセンサを更に備え、
　前記情報設定部は、前記センサによって検出された前記状況に応じて、前記判断基準情報を可変に設定することを特徴とする請求項４に記載の安全制御システム。
　前記空間に人間が侵入していない場合、前記情報設定部は、前記判断基準を第１判断基準に設定し、
　前記空間に人間が侵入した場合、前記情報設定部は、前記判断基準を第２判断基準に設定し、
　前記第２判断基準の場合、前記第１判断基準の場合よりも、前記判断部が前記デバイスの前記動作状態を異常であると判断する確率が高くなることを特徴とする請求項５に記載の安全制御システム。
　前記デバイスは、サーボモータであり、
　前記駆動制御装置は、サーボアンプである
　ことを特徴とする請求項１から６のいずれか一項に記載の安全制御システム。
　前記複数のユニットのうち１つのユニットにおける前記サーボモータで異常が発生した場合、前記複数のユニットのうち２以上のユニットにおける前記サーボモータがまとめて停止することを特徴とする請求項７に記載の安全制御システム。
　安全制御システムにおける安全制御機器であって、
　前記安全制御システムは、
　　ネットワークと、
　　前記ネットワークを介して互いに直接データ送信が可能なように接続された複数のユニットと
　を備え、
　前記複数のユニットの各々は、
　　駆動制御装置によって駆動されるデバイスと、
　　前記デバイスの動作状態を検出し、前記検出した動作状態を示す状態データを出力する状態検出器と、
　　前記ネットワークに接続された前記安全制御機器と
　を備え、
　前記安全制御機器は、
　　前記状態データと判断基準とに基づいて、前記デバイスの前記動作状態が異常か否かの判断を行う判断部と、
　　前記判断の結果が異常を示す場合、前記デバイスの動作を停止させる安全処理部と、
　　前記判断の結果を示す監視結果データを、前記複数のユニットのうち指定されたものに対して、前記ネットワークを介して直接送信する送信部と
　を備え、
　前記安全処理部は、前記ネットワークを介して受け取った前記監視結果データが異常を示す場合にも、前記デバイスの動作を停止させることを特徴とする安全制御機器。