WO2015162760A1

WO2015162760A1 - Ｐｌｃユニット及びプログラマブルロジックコントローラ

Info

Publication number: WO2015162760A1
Application number: PCT/JP2014/061582
Authority: WO
Inventors: 緑杉山; 正弘内越; 孝一新開
Original assignee: 三菱電機株式会社
Priority date: 2014-04-24
Filing date: 2014-04-24
Publication date: 2015-10-29
Also published as: US20160313719A1; TWI579667B; JPWO2015162760A1; TW201543187A; US10073431B2; KR20160081981A; DE112014006323T5; KR101883086B1; CN106233211A; TW201643573A; TWI602040B; CN106233211B

Abstract

　ベースに装着された他のユニットとシステムバスを通じてデータを直接送受信するシステムバスＩ／Ｆ機能部（２６）と、単独で用いるか他のＣＰＵユニットと二重化させて用いるかの設定を保持するＳＩＬ設定保持部（２１）と、システムバスＩ／Ｆ機能部２６を通じて二重化の相手である他のＣＰＵユニットから取得した演算結果とプログラム実行部（２３）が生成した演算結果とを照合する演算結果照合部（２４）とを有し、他のＣＰＵユニットと二重化させて用いる設定がなされている場合には、システムバスＩ／Ｆ機能部（２６）を通じて他のＣＰＵユニットから取得した演算結果とプログラム実行部（２３）が生成した演算結果との照合結果が一致である場合に出力値を出力ユニットへ送信し、照合結果が不一致である場合にはエラー処理を行う。

Description

ＰＬＣユニット及びプログラマブルロジックコントローラ

　本発明は、機能安全規格に対応したＰＬＣユニット及びプログラマブルロジックコントローラに関する。

　従来、ＩＥＣ６１５０８の機能安全規格における安全インテグリティレベル（以下、ＳＩＬ，Safety　Integrity　Levelと表記する。）２に対応するユニットは、故障に対するシステムの耐性（以下、ＨＦＴ，Hardware　Fault　Toleranceと表記する。）が０の場合、ＩＥＣ６１５０８の安全規格で定める安全側故障割合（以下、ＳＦＦ，Safe　Failure　Fractionと表記する。）が９０％以上である必要がある。また、ＳＩＬ２に対応するユニットは、ＨＦＴが１の場合、ＳＦＦが６０％以上である必要がある。なお、ＨＦＴが０とは、システム機能が一つ故障することによりシステム機能が喪失してしまうことである。また、ＨＦＴが１とは、システム機能が二つ故障することによりシステム機能が喪失してしまうことを意味する。

　また、ＳＩＬ２よりも高い安全性が要求されるＳＩＬ３に対応するユニットは、ＨＦＴが０の場合ＳＦＦは９９％以上である必要がある。また、ＳＩＬ３に対応するユニットは、ＨＦＴが１の場合にはＳＦＦが９０％以上である必要があり、ＨＦＴが２の場合、ＳＦＦが６０％以上である必要がある。なお、ＨＦＴが２とは、システム機能が三つ故障することによりシステム機能が喪失してしまうことを意味する。

　一般に、ＳＦＦを高くするためには、グレードの高い部品を用いたり、多くの部品を用いる必要があり、ユニットの製造コストの増大に繋がる。このため、ＳＩＬ３に対応するユニットは、内部を二重化してユニット単体でＨＦＴを１とすることにより、ＳＦＦを低く抑えつつＳＩＬの要件を満たすようにする手法がとられることがある。なお、二重化とは、同じ処理を並列して実行させることを意味する。

　システム構築のコストを低減するため、ＳＩＬ２に対応する２台のユニットを二重化して用いる手法が知られている。すなわち、ＳＦＦ９０％以上９９％未満のユニットは、単独では、ＳＩＬ３に対応しないが、二つを二重化して用いることでＳＩＬ３に対応可能となる。換言すると、ＳＦＦ９０％以上９９％未満のユニットは、ＨＦＴ０ではＳＩＬ３に対応できないが、ＨＦＴ１をとすることで、ＳＩＬ３に対応可能となる。

　また、特許文献１には、単独でＳＩＬ２に対応する入出力デバイスを二重化することによってＳＩＬ３に対応させることが開示されている。

特開２０１０－１９１９４３号公報

　二つのユニットを二重化して用いる場合、各ユニットの入力信号や出力信号が一致するか否かを照合して確認する必要がある。しかし、ＣＰＵユニット、入力ユニット及び出力ユニットを組み合わせて構成するプログラマブルロジックコントローラでは、入力ユニットや出力ユニットは、ＣＰＵユニット以外のユニットと情報をやりとりするマスタ機能を備えていない、したがって、二つのユニットを二重化してプログラマブルロジックコントローラを構成する場合には、各ユニットの入力信号や出力信号を照合する動作を全てＣＰＵユニットで行わなければならなくなり、応答性能が劣ってしまう。応答性能が低くなると、安全距離が長くなり、安全性を保てなくなるため、ＳＩＬ２に対応するユニットを二重化してＳＩＬ３に対応するプログラマブルロジックコントローラを構築すると、適用できる用途が限られてしまう。なお、以下の説明において、ＣＰＵユニット、入力ユニット、出力ユニットなどを総称してＰＬＣユニットと言う。

　特許文献１は、入出力デバイスを二重化することによってシステムの安全レベルを高めるものであるが、特許文献１の入出力デバイスと同様の考えで、ＳＩＬ２に対応するユニットを単に二重化してプログラマブルロジックコントローラを構築するだけでは、上記のように用途が限られてしまうという問題が発生してしまう。

　一方、ＳＩＬ３に対応したユニットを使ってＳＩＬ２に対応したプログラマブルロジックコントローラを構築すると、各ユニットの信頼性や冗長性が過剰となり、システム構築に要するコストが高くなってしまう。

　このため、現状では、ＳＩＬ２に対応するプログラマブルロジックコントローラ用のユニットと、ＳＩＬ３に対するプログラマブルロジックコントローラ用のユニットとを別々に用意することが必要となっているが、コスト削減などのためにこれらを共通化することに対する要求が高くなっている。

　本発明は、上記に鑑みてなされたものであって、ＣＰＵユニットの負荷を増大させたり、各ユニットの信頼性や冗長性を過剰とすることなくＳＩＬ２及びＳＩＬ３に対応することが可能であるＰＬＣユニット及びプログラマブルロジックコントローラを得ることを目的とする。

　上述した課題を解決し、目的を達成するために、本発明は、システムバスを備えたベースに装着されて、他のＰＬＣユニットとともにプログラマブルロジックコントローラを構成するＰＬＣユニットであって、ベースに装着された他のＰＬＣユニットとシステムバスを通じてデータを直接送受信するシステムバスインタフェース機能部と、単独で用いるか他のＰＬＣユニットと二重化させて用いるかの設定を保持する二重化設定保持部と、システムバスインタフェース機能部を通じて二重化の相手である他のＰＬＣユニットから取得した処理済み情報と内部での処理で取得した処理済み情報とを照合する情報照合部とを有し、他のＰＬＣユニットと二重化させて用いる設定がなされている場合には、情報照合部での照合結果が一致である場合に処理済み情報を、処理済み情報を処理する二重化の相手とは異なる他のＰＬＣユニット又は安全出力機器へ送信し、照合結果が不一致である場合には安全な状態へ移行して出力を停止させることを特徴とする。

　本発明にかかるＰＬＣユニット及びプログラマブルロジックコントローラは、ＣＰＵユニットの負荷を増大させたり、各ユニットの信頼性や冗長性を過剰とすることなくＳＩＬ２及びＳＩＬ３に対応することが可能であるという効果を奏する。

図１は、本発明にかかるＰＬＣユニットを用いたプログラマブルロジックコントローラの実施の形態の構成を示す図である。図２は、ベースの構成を示す図である。図３は、ＣＰＵユニットの構成を示す図である。図４は、入力ユニットの構成を示す図である。図５は、出力ユニットの構成を示す図である。図６は、エンジニアリングツールにおけるシステム構成表示画面の一例を示す図である。図７は、ＳＩＬ設定画面の一例を示す図である。図８は、実施の形態にかかるＰＬＣユニットを用いたプログラマブルロジックコントローラの別の構成を示す図である。図９は、入力ユニットの動作の流れを示す図である。図１０は、ＣＰＵユニットの動作の流れを示す図である。図１１は、出力ユニットの動作の流れを示す図である。図１２は、マスタ機能を備えない入力ユニット及び出力ユニットを二重化してＳＩＬ３に対応させたプログラマブルロジックコントローラの構成を示す図である。図１３は、単独でＳＩＬ３に対応するユニットを用いてＳＩＬ３に対応させたプログラマブルロジックコントローラの構成を示す図である。図１４は、増設ベースを用いたプログラマブルロジックコントローラの構成の一例を示す図である。

　以下に、本発明にかかるＰＬＣユニット及びプログラマブルロジックコントローラの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。

実施の形態．
　図１は、本発明にかかるＰＬＣユニットを用いたプログラマブルロジックコントローラの実施の形態の構成を示す図である。プログラマブルロジックコントローラ１０は、ベース１、ＣＰＵユニット２、入力ユニット３及び出力ユニット４を有する。

　ＣＰＵユニット２は、入力ユニット３から入力される入力値に基づいてシーケンスプログラムを実行して出力値を生成し、生成した出力値を出力ユニット４へ出力する。入力ユニット３は、安全入力機器５からの入力信号を受信し、入力信号が示す値である入力値をＣＰＵユニット２に出力する。出力ユニット４は、ＣＰＵユニット２から出力値を受け取り、安全出力機器６に出力信号として出力する。なお、安全入力機器５は、入力ユニット３と接続可能な外部機器であって、入力ユニット３に対して入力信号を送信する機器である。一例を挙げると、安全入力機器５は、非常停止ボタンやライトカーテンなどである。安全出力機器６は、出力ユニット４と接続可能な外部機器であって、出力ユニット４から出力信号を受信する機器である。一例を挙げると、安全出力機器６は、安全リレー、コネクタ、安全機能搭載ドライブ機器などである。

　ＣＰＵユニット２、入力ユニット３及び出力ユニット４の各々は、ＳＦＦが９０％以上である。したがって、プログラマブルロジックコントローラ１０は、ＳＩＬ２に対応している。

　図２は、ベースの構成を示す図である。ベース１は、論理回路１１と、複数のスロット１２と、複数のスロット１２を接続するシステムバス１３とを有する。

　図３は、ＣＰＵユニットの構成を示す図である。ＣＰＵユニット２は、ＳＩＬ設定保持部２１、入力値受信部２２、プログラム実行部２３、演算結果照合部２４、出力値送信部２５及びシステムバスインタフェース機能部（以下、システムバスＩ／Ｆ機能部と表記する。）２６を有する。システムバスＩ／Ｆ機能部２６は、バスマスタ２６１を備える。

　ＳＩＬ設定保持部２１は、ＳＩＬ２及びＳＩＬ３のどちらに対応させるかの設定、すなわち、単独で用いるか他のＣＰＵユニットと二重化して用いるかの設定を保持する二重化設定保持部である。入力値受信部２２は、入力ユニット３から送信された入力値を受信する。プログラム実行部２３は、入力値受信部２２が受信した入力値に基づいてシーケンスプログラムを実行し、出力値を生成する。演算結果照合部２４は、多重化されている他のＣＰＵユニット２との間で演算結果を照合する。出力値送信部２５は、演算結果を出力値として出力ユニット４に送信する。システムバスＩ／Ｆ機能部２６は、システムバス１３を通じて情報を送受信するためのインタフェースである。バスマスタ２６１は、システムバス１３に接続されている任意の他のユニットと情報をやりとりする機能を有する。

　図４は、入力ユニットの構成を示す図である。入力ユニット３は、ＳＩＬ設定保持部３１、入力信号受信部３２、入力値照合部３３、入力値送信部３４及びシステムバスＩ／Ｆ機能部３５を有する。システムバスＩ／Ｆ機能部３５は、バスマスタ３５１を備える。

　ＳＩＬ設定保持部３１は、ＳＩＬ２及びＳＩＬ３のどちらに対応させるかの設定、すなわち、単独で用いるか他の入力ユニットと二重化して用いるかの設定を保持する二重化設定保持部である。入力信号受信部３２は、安全入力機器５から入力信号を受信する。入力値照合部３３は、多重化されている他の入力ユニット３との間で入力値を照合する。入力値送信部３４は、入力信号を入力値としてＣＰＵユニット２に送信する。システムバスＩ／Ｆ機能部３５は、システムバス１３を通じて情報を送受信するためのインタフェースである。バスマスタ３５１は、システムバス１３に接続されている任意の他のユニットと情報をやりとりする機能を有する。

　図５は、出力ユニットの構成を示す図である。出力ユニット４は、ＳＩＬ設定保持部４１、出力値受信部４２、出力値照合部４３、出力信号送信部４４及びシステムバスＩ／Ｆ機能部４５を有する。システムバスＩ／Ｆ機能部４５は、バスマスタ４５１を備える。

　ＳＩＬ設定保持部４１は、ＳＩＬ２及びＳＩＬ３のどちらに対応させるかの設定、すなわち、単独で用いるか他の出力ユニットと二重化して用いるかの設定を保持する二重化設定保持部である。出力値受信部４２は、ＣＰＵユニット２から出力値を受信する。出力値照合部４３は、多重化されている他の出力ユニット４との間で出力値を照合する。出力信号送信部４４は、出力値を出力信号として安全出力機器６に送信する。システムバスＩ／Ｆ機能部４５は、システムバス１３を通じて情報を送受信するためのインタフェースである。バスマスタ４５１は、システムバス１３に接続されている任意の他のユニットと情報をやりとりする機能を有する。

　通信方法について説明する。ＣＰＵユニット２と被制御ユニットである入力ユニット３及び出力ユニット４とがベース１上に装着されている。ＣＰＵユニット２、入力ユニット３及び出力ユニット４のバスマスタ２６１，３５１，４５１は、ベース１上の全てのユニットに対してアクセス要求のコマンドを送信できるマスタ機能を備えている。

　通信時の動作の一例として、入力ユニット３がシステムバス１３を通じて出力ユニット４宛にアクセス要求のコマンドを送信すると、論理回路１１がアクセス要求のコマンドを読み、アクセス先である出力ユニット４にセレクト信号を送信する。セレクト信号を受信した出力ユニット４は、入力ユニット３に対してシステムバス１３を通じて応答を返す。

　プログラマブルロジックコントローラ１０を構成するＣＰＵユニット２、入力ユニット３及び出力ユニット４は、設定がＳＩＬ２であることを示す情報、換言すると単独で用いることを示す情報をＳＩＬ設定保持部２１，３１，４１に保持している。なお、ＳＩＬ２に対応させる設定とＳＩＬ３に対応させる設定とを切り替える方法、換言すると単独で用いる設定と二重化して用いる設定とを切り替える方法としては、プログラマブルロジックコントローラ１０にエンジニアリングツールを接続して変更する方法や、各ユニットに設定切り替え用のスイッチや外部ピンを設けるなどの方法を適用可能である。

　図６は、エンジニアリングツールにおけるシステム構成表示画面の一例を示す図である。複数のＰＬＣユニットを組み合わせてプログラマブルロジックコントローラ１０を構築するにあたっては、エンジニアリングツールのシステム構成画面上７１で、ベース１が備える複数のスロット１２の各々にどのようなＰＬＣユニットを接続するかを示すシステム構成情報をユーザの入力操作によって作成する。

　システム構成表示画面７１上で、ＰＬＣユニットを指定する操作を行うことにより、指定したＰＬＣユニットに対するＳＩＬ設定画面を呼び出すことができる。図７は、ＳＩＬ設定画面の一例を示す図であり、破線で囲まれたスロット番号０番のスロット１２に接続されたＰＬＣユニットが選択された状態を示している。ＳＩＬ２に対応するラジオボタン８２及びＳＩＬ３に対応するラジオボタン８３が設けられた選択ダイアログ８１がＳＩＬ設定画面としてシステム構成画面７１に重ねて表示されている。選択ダイアログ８１上でＳＩＬ２に対応するラジオボタン８２又はＳＩＬ３に対応するラジオボタン８３を選択状態にし、ＯＫボタン８４を押下することで、選択ダイアログ８１上で選択された内容がエンジニアリングツール上に保持される。なお、キャンセルボタン８５が押下された場合には、選択ダイアログ８１上で選択された内容は、エンジニアリングツールに保持されず破棄される。エンジニアリングツールに保持された各ＰＬＣユニットのＳＩＬ設定は、エンジニアリングツール上でプログラマブルロジックコントローラ１０への書き込み操作が行われた際にエンジニアリングツールからプログラマブルロジックコントローラ１０に転送される。これにより、各ＰＬＣユニットにはエンジニアリングツール上で設定されたＳＩＬ設定が反映される。

　なお、プログラマブルロジックコントローラ１０の不図示のデバイスメモリに、自機のシステム構成情報、すなわち、ベース１の複数のスロット１２の各々にどのようなＰＬＣユニットが接続されることによってプログラマブルロジックコントローラ１０が構成されているかを示す情報を格納しておき、エンジニアリングツール上でプログラマブルロジックコントローラ１０のシステム構成を表示するための操作が行われた際に、エンジニアリングツールが、プログラマブルロジックコントローラ１０の不図示のデバイスメモリからシステム構成情報を読み出して、システム構成画面上にプログラマブルロジックコントローラ１０のシステム構成を表示するようにしても良い。

　図８は、実施の形態にかかるＰＬＣユニットを用いたプログラマブルロジックコントローラの別の構成を示す図である。プログラマブルロジックコントローラは、ベース１、ＣＰＵユニット２（２_１，２_２）、入力ユニット３（３_１，３_２）及び出力ユニット４（４_１，４_２）を有する。なお、二つのＣＰＵユニット２は、同じ構成であるが、ＣＰＵユニット２_１、ＣＰＵユニット２_２のように符号に添え字を付して表記することにより、両者を区別して説明できるようにしている。これらは本実施の形態を説明する上の便宜的なものであり、各々の構成は図３に示したＣＰＵユニット２と同じである。入力ユニット３_１，３_２、出力ユニット４_１，４_２についても同様である。すなわち、入力ユニット３_１，３_２の各々の構成は図４に示した入力ユニット３と同じであり、出力ユニット４_１，４_２の各々の構成は図５に示した出力ユニット４と同じである。

　ＣＰＵユニット２_１，２_２、入力ユニット３_１，３_２及び出力ユニット４_１，４_２は、それぞれ二重化されている。また、ＣＰＵユニット２_１，２_２、入力ユニット３_１，３_２及び出力ユニット４_１，４_２の各々は、ＳＦＦが９０％以上である。ＣＰＵユニット２_１，２_２、入力ユニット３_１，３_２及び出力ユニット４_１，４_２の各々は二重化されており、ＨＦＴが１であることから、プログラマブルロジックコントローラ１０は、ＳＩＬ３に対応している。

　プログラマブルロジックコントローラ１０を構成するＣＰＵユニット２_１，２_２、入力ユニット３_１，３_２及び出力ユニット４_１，４_２は、設定がＳＩＬ３であることを示す情報、換言すると二重化して用いることを示す情報をＳＩＬ設定保持部２１，３１，４１に保持している。

　図９は、入力ユニットの動作の流れを示す図である。入力信号受信部３２は、安全入力機器５から入力信号を受信する（ステップＳ１００）。入力値送信部３４は、ＳＩＬ設定保持部３１に保持されている情報がＳＩＬ２を示すかＳＩＬ３を示すかを確認する（ステップＳ１０１）。ＳＩＬ設定保持部３１に保持されている情報がＳＩＬ２を示す場合は（ステップＳ１０１／ＳＩＬ２）、入力値送信部３４は、システムバスＩ／Ｆ機能部３５を通じて１台のＣＰＵユニット２に入力値を送信する（ステップＳ１０２）。

　ＳＩＬ設定保持部３１に保持されている情報がＳＩＬ３を示す場合は（ステップＳ１０１／ＳＩＬ３）、入力値照合部３３は、システムバスＩ／Ｆ機能部３５を通じ、二重化の相手である他方の入力ユニット３から入力値を取得するとともに、入力信号受信部３２から受信した入力値を他方の入力ユニット３へ送信することによって、入力値を交換する（ステップＳ１０３）。システムバスＩ／Ｆ機能部３５は、マスタ機能を有するバスマスタ３５１を備えているため、ＣＰＵユニット２を経由せずに、他の入力ユニット３に直接アクセス要求を送って入力値を取得できる。なお、図８中では、入力値照合部３３が、システムバスＩ／Ｆ機能部３５を通じ、他の入力ユニット３から入力値を取得することを矢印Ａで示している。

　入力値照合部３３は、入力信号受信部３２から受け取った入力値と、他の入力ユニット３から取得した入力値とを照合する（ステップＳ１０４）。すなわち、入力ユニット３においては、処理済み情報は入力値であり、入力値照合部３３が情報照合部としての働きを担う。照合の結果両者が一致すれば（ステップＳ１０４／ＯＫ）、入力値送信部３４は、システムバスＩ／Ｆ機能部３５を通じて、２台のＣＰＵユニット２に入力値を出力する（ステップＳ１０５）。一方、照合の結果両者が一致しない場合は（ステップＳ１０４／ＮＧ）、安全な状態へ移行して出力をＯＦＦさせるエラー処理を行う（ステップＳ１０６）。この場合には、入力ユニット３は、ＣＰＵユニット２に対して照合不一致を通知し、入力ユニット３からの通知を受けたＣＰＵユニット２が出力ユニット４に対して停止信号を送信し、出力ユニット４の出力を停止させることで安全な状態へ移行して出力をＯＦＦすることができる。

　なお、ＳＩＬ設定保持部３１に保持されている情報がＳＩＬ３を示す場合、入力ユニット３は、他の入力ユニット３と二重化されているため、二つの入力ユニット３が互いに入力値を他方の入力ユニット３から取得して照合を行い、両方の入力ユニット３の照合結果が一致する場合に、入力値送信部３４がＣＰＵユニット２に入力値を送信する。なお、他の入力ユニット３からの入力値の取得及び照合は、二つの入力ユニット３の両方で行うが、ＣＰＵユニット２への入力値の送信は、どちらか一方のみが行ってもよい。

　図１０は、ＣＰＵユニットの動作の流れを示す図である。入力値受信部２２は、入力ユニット３から入力値を受信する（ステップＳ２００）。その後、プログラム実行部２３は、シーケンスプログラムを実行して出力値を生成する（ステップＳ２０１）。出力値送信部２５は、ＳＩＬ設定保持部２１に保持されている情報がＳＩＬ２を示すかＳＩＬ３を示すかを確認する（ステップＳ２０２）。ＳＩＬ設定保持部２１に保持されている情報がＳＩＬ２を示す場合は（ステップＳ２０２／ＳＩＬ２）、出力値送信部２５は、システムバスＩ／Ｆ機能部２６を通じて１台の出力ユニット４に出力値を送信する（ステップＳ２０３）。

　ＳＩＬ設定保持部２１に保持されている情報がＳＩＬ３を示す場合は（ステップＳ２０２／ＳＩＬ３）、演算結果照合部２４は、システムバスＩ／Ｆ機能部２６を通じ、二重化の相手である他方のＣＰＵユニット２から演算結果を取得するとともに、プログラム実行部２３から受信した演算結果を、他方のＣＰＵユニット２へ送信することによって、演算結果を交換する（ステップＳ２０４）。システムバスＩ／Ｆ機能部２６は、マスタ機能を有するバスマスタ２６１を備えているため、他のＣＰＵユニット２に直接アクセス要求を送って演算結果を取得できる。なお、図８中では、演算結果照合部２４が、システムバスＩ／Ｆ機能部２６を通じ、他のＣＰＵユニット２から入力値を取得することを矢印Ｂで示している。

　演算結果照合部２４は、プログラム実行部２３から受け取った演算結果と、他のＣＰＵユニット２から取得した演算結果とを照合する（ステップＳ２０５）。すなわち、ＣＰＵユニット２においては、処理済み情報は演算結果であり、演算結果照合部２４が情報照合部としての働きを担う。照合の結果両者が一致すれば（ステップＳ２０５／ＯＫ）、出力値送信部２５は、システムバスＩ／Ｆ機能部２６を通じて、２台の出力ユニット４に演算結果を出力値として送信する（ステップＳ２０６）。一方、照合の結果両者が一致しない場合は（ステップＳ２０５／ＮＧ）、安全な状態へ移行して出力をＯＦＦさせるエラー処理を行う（ステップＳ２０７）。この場合には、ＣＰＵユニット２が出力ユニット４に対して停止信号を送信し、出力ユニット４の出力を停止させることで安全な状態へ移行して出力をＯＦＦすることができる。

　なお、ＳＩＬ設定保持部２１に保持されている情報がＳＩＬ３を示す場合、ＣＰＵユニット２は、他のＣＰＵユニット２と二重化されているため、二つの入力ユニット３が互いに演算結果を他方のＣＰＵユニット２から取得して照合を行い、両方のＣＰＵユニット２の照合結果が一致する場合に、出力値送信部２５が出力ユニット４に出力値を送信する。他のＣＰＵユニット２からの演算結果の取得及び照合は、二つのＣＰＵユニット２の両方で行うが、出力ユニット４への出力値の送信は、どちらか一方のみが行ってもよい。

　また、二重化されている二つの入力ユニット３の両方から入力値受信部２２に入力値が送られてくる場合、どちらの入力値を用いてプログラムを実行してもよい。例えば、二つの入力ユニット３のうち、ＣＰＵユニット２に近いスロット１２に装着されている入力ユニット３から受信した入力値を用いてプログラム実行部２３がプログラムを実行するように予め設定しておいても良い。

　図１１は、出力ユニットの動作の流れを示す図である。出力値受信部４２は、ＣＰＵユニット２から出力値を受信する（ステップＳ３００）。出力信号送信部４４は、ＳＩＬ設定保持部４１に保持されている情報がＳＩＬ２を示すかＳＩＬ３を示すかを確認する（ステップＳ３０１）。ＳＩＬ設定保持部４１に保持されている情報がＳＩＬ２を示す場合は（ステップＳ３０１／ＳＩＬ２）、出力信号送信部４４は、システムバスＩ／Ｆ機能部４５を通じて安全出力機器６に出力信号を出力信号として送信する（ステップＳ３０２）。

　ＳＩＬ設定保持部４１に保持されている情報がＳＩＬ３を示す場合は（ステップＳ３０１／ＳＩＬ３）、出力値照合部４３は、システムバスＩ／Ｆ機能部４５を通じ、二重化の相手である他方の出力ユニット４から出力値を取得するとともに、出力値受信部４２から受信した出力値を他方の出力ユニット４へ送信することによって、出力値を交換する（ステップＳ３０３）。システムバスＩ／Ｆ機能部４５は、マスタ機能を有するバスマスタ４５１を備えているため、ＣＰＵユニット２を経由せずに、他の出力ユニット４に直接アクセス要求を送って出力値を取得できる。なお、図８中では、出力値照合部４３が、システムバスＩ／Ｆ機能部４５を通じ、他の出力ユニット４から出力値を取得することを矢印Ｃで示している。

　出力値照合部４３は、出力値受信部４２から受け取った出力値と、他の出力ユニット４から取得した出力値とを照合する（ステップＳ３０４）。すなわち、出力ユニット４においては、処理済み情報は出力値であり、出力値照合部４３が情報照合部としての働きを担う。照合の結果両者が一致すれば（ステップＳ３０４／ＯＫ）、出力信号送信部４４は、システムバスＩ／Ｆ機能部４５を通じて、安全出力機器６に出力信号を送信する（ステップＳ３０２）。一方、照合の結果両者が一致しない場合は（ステップＳ３０４／ＮＧ）、安全な状態へ移行して出力をＯＦＦさせるエラー処理を行う（ステップＳ３０５）。この場合には、出力ユニット４は、安全出力機器６への出力信号の送信を停止する。

　なお、ＳＩＬ設定保持部４１に保持されている情報がＳＩＬ３を示す場合、出力ユニット４は、他の出力ユニット４と二重化されているため、二つの出力ユニット４が互いに出力値を他方の出力ユニット４から取得して照合を行い、両方の出力ユニット４の照合結果がともに一致である場合に、出力信号送信部４４が安全出力機器６に出力信号を送信する。なお、他の出力ユニット４からの出力値の取得及び照合は、二つの出力ユニット４の両方で行うが、安全出力機器６への出力値の送信は、どちらか一方のみが行ってもよい。

　また、二重化されている二つのＣＰＵユニット２の両方から出力値受信部４２に出力値が送られてくる場合、どちらの出力値を用いて照合を行ってもよい。例えば、二つのＣＰＵユニット２のうち、出力ユニット４に近いスロットに装着されているＣＰＵユニット２から受信した出力値を用いて出力値照合部４３が照合を行うように予め設定しておいても良い。

　なお、ＣＰＵユニット２、入力ユニット３及び出力ユニット４の中にＳＩＬ２に設定されているものとＳＩＬ３に設定されているものとが混在している場合には、それぞれのユニットが設定通りに動作することにより、システム全体としてのプログラマブルロジックコントローラ１０は、安全規格上ＳＩＬ２に対応する。

　マスタ機能を備える入力ユニット及び出力ユニットを二重化してＳＩＬ３に対応させたプログラマブルロジックコントローラ１０との比較のために、マスタ機能を備えない入力ユニット及び出力ユニットを二重化してＳＩＬ３に対応させたプログラマブルロジックコントローラについて説明する。図１２は、マスタ機能を備えない入力ユニット及び出力ユニットを二重化してＳＩＬ３に対応させたプログラマブルロジックコントローラの構成を示す図である。プログラマブルロジックコントローラ１１０は、プログラムを実行するＣＰＵユニット１０２が１台、安全入力機器１０５から入力信号を受け取る入力ユニット１０３が２台、安全出力機器１０６へ出力信号を出力する出力ユニット１０４が２台同一ベース１０１上に装着されている。ＳＦＦは、二重化されていないＣＰＵユニット１０２は９０％以上、二重化されている入力ユニット１０３及び出力ユニット１０４は６０％以上である。

　このようなプログラマブルロジックコントローラ１１０では、各入力ユニット１０３が安全入力機器１０５から入力信号を受け取り、その信号をＣＰＵユニット１０２に送る。ＣＰＵユニット１０２は、各入力ユニット１０３から受け取った入力値を照合し、一致したらプログラムを実行して、出力値を各出力ユニット１０４に出力する。各出力ユニット１０４は、ＣＰＵユニット１０２から受け取った出力値をＣＰＵユニット１０２へ送り、照合を依頼する。出力ユニット１０４は、照合結果として「一致」をＣＰＵユニット１０２から通知されたならば、安全出力機器１０６に出力値を出力する。

　信号が一致しない場合は、いずれの場合であっても安全な状態に移行して出力をＯＦＦさせる。

　通信方法について説明する。ＣＰＵユニット１０２と被制御ユニットである入力ユニット１０３及び出力ユニット１０４とがベース１０１上に装着されている。ＣＰＵユニット１０２のみがベース１０１上の全てのユニットに対してアクセス要求のコマンドを送信できるマスタ機能を備えている。一方、被制御ユニットである入力ユニット１０３及び出力ユニット１０４は、ＣＰＵユニット１０２のスレーブであるため、ＣＰＵユニット１０２や他の被制御ユニットにアクセス要求のコマンドを送信できない。

　通信時の動作の一例として、ＣＰＵユニット１０２が被制御ユニット宛にアクセス要求のコマンドをバスを通じて送信すると、論理回路がアクセス要求のコマンドを読み、アクセス先である被制御ユニットにセレクト信号を送信する。なお、アクセス先の被制御ユニットとは、具体的には入力ユニット１０３又は出力ユニット１０４である。セレクト信号を受信した被制御ユニットは、ＣＰＵユニット１０２に対してバスを通じて応答を返す。

　マスタ機能を備えない入力ユニット１０３及び出力ユニット１０４とマスタ機能を有するＣＰＵユニット１０２との各々を二重化してＳＩＬ３に対応させたプログラマブルロジックコントローラ１１０は、被制御ユニットにアクセス要求のコマンドを送る場合、マスタ機能を有するＣＰＵユニット１０２からしか被制御ユニットにアクセス要求のコマンドを送ることができない。従って、マスタ機能を備えない入力ユニット及び出力ユニットを二重化してＳＩＬ３に対応させたプログラマブルロジックコントローラは、被制御ユニット間でデータを交換するためには、ＣＰＵユニット１０２を介する必要があるため、入力信号や出力値の照合はＣＰＵユニット１０２で行っている。

　このように、ＣＰＵユニット１０２のみがマスタ機能を有するプログラマブルロジックコントローラ１１０では、入力値や出力値を照合する際に毎回ＣＰＵユニット１０２で照合するため、応答性能が劣ってしまう。応答性能が低くなると、安全距離が長くなり、安全性を保てなくなるため、プログラマブルロジックコントローラ１１０をＳＩＬ２よりも高い安全度が要求されるＳＩＬ３に対応させても、適用できる用途が限られてしまう。

　一方、ＳＩＬ３に対応するユニットは、ＨＦＴが０の場合、ＳＦＦは９９％以上である必要がある。換言すると、二重化しないで単独でＳＩＬ３に対応させる場合、ユニットのＳＦＦは９９％以上である必要がある。また、ＳＩＬ３に対応するユニットは、ＨＦＴが１の場合にはＳＦＦが９０％以上である必要があり、ＨＦＴが２の場合、ＳＦＦが６０％以上である必要がある。

　図１３は、単独でＳＩＬ３に対応するユニットを用いてＳＩＬ３に対応させたプログラマブルロジックコントローラの構成を示す図である。プログラマブルロジックコントローラ２１０は、ＳＩＬ３に対応するシステム構成の一例として、プログラムを実行するＣＰＵユニット２０２、安全入力機器２０５から入力信号を受け取る入力ユニット２０３、安全出力機器２０６に出力信号を出力する出力ユニット２０４が同一ベース２０１上に各１台接続されている。ここで、入力ユニット２０３及び出力ユニット２０４は、内部が二重化されているものとする。ＳＦＦは、二重化されていないＣＰＵユニット２０２は９９％以上、内部が二重化されている入力ユニット２０３及び出力ユニット２０４は９０％以上である。

　プログラマブルロジックコントローラ２１０では、入力ユニット２０３は、二重化されている受信部２０３１ａ，２０３１ｂの各々で安全入力機器２０５から入力信号を受け取る。入力ユニット２０３は、各受信部２０３１ａ，２０３１ｂで受け取った入力信号を内部バスを通じて照合し、一致したらＣＰＵユニット２０２に入力値を出力する。ＣＰＵユニット２０２はプログラムを実行し、出力値を出力ユニット２０４に出力する。出力ユニット２０４は二重化されている送信部２０４１ａ，２０４１ｂの各々で出力値を受け取り、各送信部２０４１ａ，２０４１ｂで受け取った出力値を内部バスを通じて照合し、一致したら、安全出力機器２０６に出力信号を送信する。

　プログラマブルロジックコントローラ２１０は、各ユニットがＳＩＬ３に対応したユニットであるため、これらのユニットを使ってＳＩＬ２に対応したシステムを構築すると、各ユニットの信頼性や冗長性が過剰となり、システム構築に要するコストが高くなってしまう。

　以上説明したように、本実施の形態に係るプログラマブルロジックコントローラは、ＣＰＵユニット、入力ユニット及び出力ユニットの各々がマスタ機能を備えているため、ＣＰＵユニットを介さずにデータ交換が可能である。従って、二重化にともなって入力信号や出力値を照合する場合でも、ＣＰＵユニットの負荷が増大することがなく、応答性能が劣化を防止できる。このため、ＳＩＬ２対応のシステム用のユニットとＳＩＬ３対応のシステム用のユニットとを共通化できる。

　なお、上記の実施の形態では、基本のベースにＣＰＵユニット、入力ユニット及び出力ユニットを装着した構成を例としたが、増設ベースを含むいずれかのベース上にＣＰＵユニット、入力ユニット及び出力ユニットを各１台以上装着してプログラマブルロジックコントローラを構成することができる。図１４は、増設ベースを用いたプログラマブルロジックコントローラの構成の一例を示す図である。ベース３０１_０には、ＣＰＵユニット３０２_０，３０２_０、入力ユニット３０３_０，３０３_０、出力ユニット３０４_０，３０４_０が実装されている。ベース３０１_０には、ｍ個の増設ベース３０１_１～３０１_ｍ（ｍは任意の自然数）が接続されている。増設ベース３０１_１～３０１_ｍには、ＣＰＵユニット３０２_１，３０２_１～３０２_ｍ，３０２_ｍ、入力ユニット３０３_１，３０３_１～３０３_ｍ，３０３_ｍ、出力ユニット３０４_１，３０４_１～３０４_ｍ，３０４_ｍがそれぞれ実装されている。本実施の形態にかかるＣＰＵユニット、入力ユニット及び出力ユニットは、増設ベースを用いてプログラマブルロジックコントローラを構成することも可能である。

　また、上記の説明では、ユニットを単独で用いることによりＳＩＬ２の安全基準の規格に対応させ、二重化して用いることによりＳＩＬ３の安全基準の規格に対応させる場合を例としたが、ユニットを単独で用いる場合と二重化して用いる場合とで二種類の安全基準の規格に対応させることができれば、ＳＩＬ２及びＳＩＬ３に限定されることはない。例えば、ＩＳＯ１３８４９－１は、入出力が１チャンネルずつのユニットを単独で用いる場合には安全カテゴリ２に該当し、入出力が１チャンネルずつの２台のユニットを二重化して用いる場合には安全カテゴリ３又は４に該当する規格であるが、本発明はＩＳＯ１３８４９－１の規格に対応させる場合にも適用可能である。

　以上のように、本発明にかかるＣＰＵユニット、入力ユニット、出力ユニット及びプログラマブルロジックコントローラは、ＣＰＵユニットの負荷を増大させたり、各ユニットの信頼性や冗長性を過剰とすることなくＳＩＬ２及びＳＩＬ３に対応することが可能である点で有用である。

　１，１０１，２０１，３０１_０　ベース、２，１０２，２０２，３０２_０，３０２_１，３０２_ｍ　ＣＰＵユニット、３，１０３，２０３，３０３_０，３０３_１，３０３_ｍ　入力ユニット、４，１０４，２０４，３０４_０，３０４_１，３０４_ｍ　出力ユニット、５，１０５，２０５　安全入力機器、６，１０６，２０６　安全出力機器、１０，１１０　プログラマブルロジックコントローラ、１１　論理回路、１２　スロット、１３　システムバス、２１，３１，４１　ＳＩＬ設定保持部、２２　入力値受信部、２３　プログラム実行部、２４　演算結果照合部、２５　出力値送信部、２６，３５，４５　システムバスＩ／Ｆ機能部、３２　入力信号受信部、３３　入力値照合部、３４　入力値送信部、４２　出力値受信部、４３　出力値照合部、４４　出力信号送信部、７１　システム構成画面、８１　選択ダイアログ、８２，８３　ラジオボタン、８４　ＯＫボタン、８５　キャンセルボタン、２６１，３５１，４５１　バスマスタ、３０１_１，３０１_ｍ　増設ベース、２０３１ａ，２０３１ｂ　受信部、２０４１ａ，２０４１ｂ　送信部。

Claims

　システムバスを備えたベースに装着されて、他のＰＬＣユニットとともにプログラマブルロジックコントローラを構成するＰＬＣユニットであって、
　前記ベースに装着された他のＰＬＣユニットと前記システムバスを通じてデータを直接送受信するシステムバスインタフェース機能部と、
　単独で用いるか他のＰＬＣユニットと二重化させて用いるかの設定を保持する二重化設定保持部と、
　前記システムバスインタフェース機能部を通じて二重化の相手である他のＰＬＣユニットから取得した処理済み情報と内部での処理で取得した処理済み情報とを照合する情報照合部とを有し、
　前記他のＰＬＣユニットと二重化させて用いる設定がなされている場合には、前記情報照合部での照合結果が一致である場合に前記処理済み情報を、該処理済み情報を処理する二重化の相手とは異なる他のＰＬＣユニット又は安全出力機器へ送信し、前記照合結果が不一致である場合にはエラー処理を行うことを特徴とするＰＬＣユニット。
　単独で用いることにより機能安全規格の安全インテグリティレベル２に対応し、二重化して用いることにより機能安全規格の安全インテグリティレベル３に対応することを特徴とする請求項１に記載のＰＬＣユニット。
　入力ユニットから受信した入力値に基づいてプログラムを実行して演算結果を生成し、該演算結果を出力値として出力ユニットへ送信するＣＰＵユニットであり、
　前記処理済み情報は、前記入力値であることを特徴とする請求項１又は２に記載のＰＬＣユニット。
　安全入力機器から入力信号を受信して入力値を抽出し、該入力値をＣＰＵユニットへ送信する入力ユニットであり、
　前記処理済み情報は、前記演算結果であることを特徴とする請求項１又は２に記載のＰＬＣユニット。
　ＣＰＵユニットから受信した出力値を基に生成した出力信号を安全出力機器へ送信する出力ユニットであり、
　前記処理済み情報は、前記出力値であることを特徴とする請求項１又は２に記載のＰＬＣユニット。
　二つの請求項３に記載のＰＬＣユニットと、二つの請求項４に記載のＰＬＣユニットと、二つの請求項５に記載のＰＬＣユニットとを、システムバスを有するベースに実装したことを特徴とするプログラマブルロジックコントローラ。