WO2019082579A1 - 制御システム、制御システムの通信制御方法、および中継装置 - Google Patents

制御システム、制御システムの通信制御方法、および中継装置

Info

Publication number
WO2019082579A1
WO2019082579A1 PCT/JP2018/035603 JP2018035603W WO2019082579A1 WO 2019082579 A1 WO2019082579 A1 WO 2019082579A1 JP 2018035603 W JP2018035603 W JP 2018035603W WO 2019082579 A1 WO2019082579 A1 WO 2019082579A1
Authority
WO
WIPO (PCT)
Prior art keywords
communication frame
unit
control
functional units
safety
Prior art date
Application number
PCT/JP2018/035603
Other languages
English (en)
French (fr)
Inventor
成憲 澤田
Original Assignee
オムロン株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オムロン株式会社 filed Critical オムロン株式会社
Priority to US16/643,581 priority Critical patent/US11340574B2/en
Priority to EP18870952.1A priority patent/EP3702851B1/en
Publication of WO2019082579A1 publication Critical patent/WO2019082579A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/054Input/output
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0286Modifications to the monitored process, e.g. stopping operation or adapting control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0847Transmission error
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/4026Bus for use in automation systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Definitions

  • the present invention relates to a control system including a relay device, a communication control method of the control system, and a relay device directed to the control system.
  • the safety components are intended to prevent the safety of people from being threatened by automatically moving devices such as robots.
  • the safety components include a safety controller that executes a safety program, a detection device that detects the presence or approach of a person, an input device that accepts an emergency operation, and an output device that actually shuts down a facility or machine.
  • Patent Document 1 Japanese Patent Laid-Open Publication No. 2009-146039
  • PLC programmable controller
  • SC safety controller
  • a configuration is also known in which a safety controller is disposed in network connection with a programmable controller, instead of integrating the programmable controller and the safety controller as described above.
  • a safety controller is arranged in a network connection, in addition to the structure in which the safety controller alone is connected in the network, a structure using a relay device called a coupler unit also exists.
  • a configuration is assumed in which a safety controller and a safety input / output unit are connected to a network-connected relay device together with an input / output unit responsible for standard control.
  • Standard control and safety control are executed independently of each other, even when adopting a configuration in which an input / output unit that controls standard control and a safety controller that controls safety control and a safety input / output unit are connected to a common relay device It is.
  • An object of the present invention is to provide a control system and the like that can meet the above-mentioned requirements.
  • a control system includes a control device that functions as a communication master, a relay device that is network connected with the control device, and one or more field devices that are network connected with the control device.
  • One or more functional units are connected to the relay device.
  • the controller comprises transmission management means for managing periodic transmission of the first communication frame in the network.
  • the relay apparatus monitors the periodic reception of the first communication frame, and detects a transmission abnormality. When the transmission abnormality is detected by the first abnormality detection unit, the relay apparatus The first state in which the signal output is invalidated for all the functional units connected to the relay device based on the configuration of the functional units connected to the relay device, and some functional units connected to the relay device And state transition means for transitioning to any of the second states for continuing the update of the signal output.
  • periodic reception of the first communication frame is monitored to connect to the relay device based on the configuration of functional units connected to the relay device when any transmission abnormality occurs. Either one of the first state in which the signal output is invalidated for all the functional units that are active, and the second state in which the updating of the signal output is continued for some of the functional units connected to the relay device It can transition selectively. In this way, when functional units that execute different controls are connected to a common relay device, it is possible to reduce the possibility that the control associated with only one control may stop the other control.
  • the one or more functional units include at least one of the safety controller and the safety input / output unit, and in the second state, the safety controller and the safety input / output unit continue to update the signal output. You may
  • the function according to the present disclosure is more effective particularly in a system such as a safety controller and a safety input / output unit in which stopping of safety control is directly linked to stopping of a target facility or machine.
  • At least one of the safety controller and the safety input / output unit exchanges data with the field device using a second communication frame different from the periodically transmitted first communication frame.
  • the safety controller and the safety input / output unit can adopt a communication frame conforming to a special protocol different from the first communication frame associated with the standard control. This can meet the communication requirements and the like required for safety control.
  • the relay device transmits the second communication frame to the control device in response to a request from at least one of the safety controller and the safety input / output unit, and the control device receives the second communication frame from the relay device. It may further comprise frame transfer means for transmitting the communication frame to the field device.
  • the relay device in the case of transmitting the second communication frame from the relay device to a specific field device, the relay device does not need to know in advance the address of the field device of the transmission destination, etc. Since transmission to the control device is sufficient, transmission processing can be simplified.
  • the relay device individually sets a plurality of functional units connected to the relay device as a functional unit using the first communication frame and a functional unit using the second communication frame.
  • An individual setting means may be further included.
  • control functions can be assigned to a plurality of functional units connected to the relay device.
  • the relay apparatus further includes a second abnormality detection unit that detects a transmission abnormality of the second communication frame, and the state transition unit detects that the transmission abnormality is detected by the second abnormality detection unit. , And may transition to the first state.
  • the signal output of all functional units connected to the relay device when the transmission abnormality of the second communication frame is significant compared to the transmission abnormality of the first communication frame. Can be used to keep equipment and machines safer.
  • the relay device further includes a notification unit that notifies the control device of information indicating a state of a transition destination when the transmission abnormality is detected by the first abnormality detection unit.
  • control device which is the communication master can easily know the state transition of the relay device functioning as the communication slave, whereby the transmission of the communication frame from the control device can be managed as needed.
  • the relay apparatus may further include output determination means for determining the content of the signal output after the invalidation according to a predetermined setting for the functional unit in which the signal output is inactivated.
  • the signal output of each functional unit whose signal output is invalidated due to a transmission abnormality can be made according to the type and application of each functional unit.
  • a communication control method of a control system includes a control device functioning as a communication master, a relay device connected to the control device via a network, and one or more field devices connected via a network to the control device.
  • One or more functional units are connected to the relay device.
  • the control device manages periodic transmission of the first communication frame in the network, and the relay device monitors periodic reception of the first communication frame to detect transmission abnormality.
  • Signal output for all the functional units connected to the relay apparatus based on the configuration of the functional units connected to the relay apparatus when the transmission abnormality for the first communication frame is detected. Transitioning to either the first state to be invalidated or the second state to continue updating the signal output of some of the functional units connected to the relay device.
  • periodic reception of the first communication frame is monitored to connect to the relay device based on the configuration of functional units connected to the relay device when any transmission abnormality occurs. Either one of the first state in which the signal output is invalidated for all the functional units that are active, and the second state in which the updating of the signal output is continued for some of the functional units connected to the relay device It can transition selectively. In this way, when functional units that execute different controls are connected to a common relay device, it is possible to reduce the possibility that the control associated with only one control may stop the other control.
  • a relay apparatus configuring a control system.
  • the control system includes a control device that functions as a communication master to which the relay device is networked and one or more field devices that are networked with the control device.
  • One or more functional units are connected to the relay device.
  • the controller comprises transmission management means for managing periodic transmission of the first communication frame in the network.
  • the relay apparatus monitors the periodic reception of the first communication frame, and detects a transmission abnormality.
  • the relay apparatus When the transmission abnormality is detected by the first abnormality detection unit, the relay apparatus The first state in which the signal output is invalidated for all the functional units connected to the relay device based on the configuration of the functional units connected to the relay device, and some functional units connected to the relay device And state transition means for transitioning to any of the second states for continuing the update of the signal output.
  • periodic reception of the first communication frame is monitored to connect to the relay device based on the configuration of functional units connected to the relay device when any transmission abnormality occurs. Either one of the first state in which the signal output is invalidated for all the functional units that are active, and the second state in which the updating of the signal output is continued for some of the functional units connected to the relay device It can transition selectively. In this way, when functional units that execute different controls are connected to a common relay device, it is possible to reduce the possibility that the control associated with only one control may stop the other control.
  • the functional units whose signal output is to be invalidated can be limited to the necessary range, so that independent control is performed respectively. It is possible to reduce the possibility that the other control will stop due to an abnormality caused by the control of.
  • FIG. 1 is a schematic view showing an example of the overall configuration of a control system 1 according to the present embodiment.
  • control system 1 includes, as main components, a master device 2 functioning as a communication master, and a communication slave network-connected to master device 2 via field network 4.
  • remote IO devices 6_1 and 6_2 hereinafter collectively referred to as “remote IO device 6”
  • servo drivers 10_1, 10_2, 10_3 an example of a field device.
  • the term “servo driver 10” is also referred to generically) and the safety input / output unit 300.
  • field network is a generic term of communication media for realizing data transmission for industrial devices, and is also referred to as “field bus”.
  • field network 4 typically, a protocol is employed in which data arrival time between nodes in the network is guaranteed.
  • EtherCAT registered trademark
  • EtherNet / IP registered trademark
  • DeviceNet registered trademark
  • CompoNet registered trademark
  • communication master or “master” is a term that collectively refers to an entity or function that manages data transmission in a target network.
  • communication slave or “slave” is used as a term paired with the communication master or master.
  • a communication slave or slave is a term that collectively refers to an entity or function that performs data transmission under the management of a communication master or master disposed in a target network.
  • Master device 2 includes a CPU unit 100 and one or more input / output units 150 connected to CPU unit 100.
  • the CPU unit 100 executes control of a control target such as an installation or a machine by executing a user program as described later.
  • the CPU unit 100 may be further connected to the upper network 8.
  • Another master device may be connected to the upper network 8, or any information processing device such as a gateway or a database server may be connected.
  • Remote IO device 6_1 includes coupler unit 200, input / output unit 250 connected to coupler unit 200, safety controller 260, and safety input / output unit 270.
  • Remote IO device 6_2 includes coupler unit 200 and input / output unit 250 connected to coupler unit 200.
  • the coupler unit 200 is a relay device connected to the CPU unit 100 via a network. Specifically, the coupler unit 200 outputs data transmitted from the CPU unit 100 to the network to the functional units connected to the coupler unit 200 and also outputs data from any functional unit connected to the coupler unit 200. Send data over the network. That is, coupler unit 200 relays data between field network 4 and the internal bus provided by coupler unit 200.
  • “functional unit” is a term that collectively refers to devices connected to a control device (CPU unit 100) or a relay device (coupler unit 200) to exchange various signals with a control target. It is.
  • the functional units at least include the input / output units 150 and 250 shown in FIG. 1, the safety controller 260, and the safety input / output unit 270.
  • the functional units may further include, for example, a safety input / output unit 300 connected to the field network 4.
  • the input / output units 150 and 250 receive, for example, a digital input (DI) function that receives a digital signal from a control target, a DO (digital output) function that outputs a digital signal to the control target, and receive an analog signal from the control target It has one or more functions among an AI (Analog Input) function and an AO (Analog Output) function for outputting an analog signal to a control target.
  • the functional unit may include a controller implementing special functions such as proportional integral derivative (PID) control and motion control.
  • a safety controller 260 which is an example of a functional unit, performs safety control independently of the CPU unit 100.
  • the CPU unit 100 controls the standard control for controlling the control target
  • the safety controller 260 controls the safety control for preventing the danger caused by the control target.
  • the safety controller 260 exchanges data with a field device or the like using the field network 4 via the coupler unit 200 of the connection destination.
  • a safety input / output unit 270 which is an example of a functional unit, performs safety control together with the safety controller 260.
  • the safety input / output unit 270 can detect, for example, a feedback signal indicating whether the safety device is actually driven in response to the command value, as compared to a standard input / output unit.
  • the safety input / output unit 300 has an interface for direct connection to the field network 4.
  • the other points are the same as the safety input / output unit 270.
  • standard control is a term that generally refers to a process of sequentially generating commands for controlling a control target in accordance with a predetermined requirement specification.
  • safety control is a term that collectively refers to a process of generating a command for preventing the safety of a person from being threatened by a controlled object due to any failure.
  • the control target is stopped not only when the behavior of the control target itself is different from the original but also when it is determined that the control system 1 can not properly execute the control.
  • field device is a term that collectively refers to devices that can be connected via the field network 4.
  • the field device may include various devices such as a robot controller, a temperature controller, and a flow controller in addition to the servo driver 10 shown in FIG.
  • the servo drivers 10_1, 10_2 and 10_3 are drive sources for driving the servomotors 12_1, 12_2 and 2_3 (hereinafter, also collectively referred to as “servomotor 12”).
  • Each of servo drivers 10 corresponds to corresponding servomotor 12 according to a command (transmitted via field network 4) or the like from a functional unit connected to CPU unit 100 and / or a functional unit connected to coupler unit 200.
  • the servo driver 10 may cause the corresponding servomotor 12 to stop in an emergency according to a command from the safety controller 260 (or the safety input / output unit 270) or the safety input / output unit 300.
  • FIG. 2 is a schematic diagram for explaining the form of data transmission in the control system 1 according to the present embodiment.
  • FIG. 2 (A) shows a communication frame periodically transmitted for standard control
  • FIG. 2 (B) is a communication frame for safety control (hereinafter, also referred to as “safety communication frame” for convenience of explanation).
  • the CPU unit 100 of the master device 2 executes the user program to execute the standard control
  • the safety controller 260 of the remote IO device 6_1 executes the safety program. Execute safety control.
  • a communication frame for standard control is periodically transmitted on the field network 4. More specifically, the CPU unit 100, which is a communication master, generates a communication frame at predetermined intervals, and transmits the communication frame to the communication slave via the field network 4. The communication frame is sequentially transferred between communication slaves via the field network 4 and finally returned to the CPU unit 100.
  • each communication slave receives a communication frame from the communication slave at the previous stage, it reads the data (output data / command) addressed to the own device from the received communication frame, and the data collected in advance by the own device (input data Writes (measurement value) to the communication frame and sends it to the communication slave at the next stage.
  • the communication frame for standard control is transferred on the field network 4 in synchronization with a predetermined timing.
  • the safety communication frame for safety control is transmitted in accordance with a protocol that can transmit data to one or more destinations with certainty.
  • FSoE Flexible Safety over EtherCAT
  • FIG. 2 shows an example in which the safety communication frame is routed by the communication master.
  • the coupler unit 200 In response to a request from the safety controller 260, the coupler unit 200 generates a safety communication frame and transmits it to the CPU unit 100 via the field network 4.
  • the CPU unit 100 transmits the received safety communication frame to the coupler unit 200 again via the field network 4 as it is.
  • the safety communication frame is transferred to the safety input / output unit 270 which is the original destination.
  • the safety communication frame is transmitted from the source to the destination.
  • the communication frame for safety control (safety communication frame) is asynchronously transferred on the field network 4.
  • the coupler unit 200 in response to the request from the safety input / output unit 270, the coupler unit 200 generates a safety communication frame, and transmits it to the CPU unit 100 via the field network 4.
  • the communication frame is transmitted to the safety controller 260 in the same manner as described above.
  • the safety communication frame transmitted from the safety input / output unit 300 is also transferred in the same procedure.
  • the safety controller 260, the safety input / output unit 270, and the safety input / output unit 300 use the second communication frame different from the periodically transmitted first communication frame to communicate with the field device. Exchange data between them.
  • FIG. 3 is a schematic diagram for explaining the processing at the time of transmission abnormality detection in the control system 1 according to the present embodiment.
  • FIG. 3A shows processing according to the related art of the present invention
  • FIG. 3B shows processing according to the present embodiment.
  • coupler unit 200 monitors periodic reception of a communication frame. For example, the coupler unit 200 detects that a transmission abnormality has occurred when, for example, the reception failure of the communication frame continues for a predetermined period or the period when the communication frame can not be received exceeds a predetermined period. That is, the coupler unit 200 monitors periodic reception of a communication frame to detect transmission abnormality.
  • the coupler unit 200 When such a transmission abnormality is detected, the coupler unit 200 generates an output block signal to invalidate the signal output for all functional units connected to the coupler unit 200. At this time, since the coupler unit 200 uniformly generates the output block signal regardless of the type of functional unit connected to the coupler unit 200, the update of the signal output of the safety controller 260 is also stopped. As a result, an emergency stop is also instructed to the field device that is subject to safety control by the safety controller 260. In the example shown in FIG. 3A, since data transmission from the safety controller 260 to the safety input / output unit 270 is stopped, the servo drivers 10_1, 10_2, 10_3 are stopped by the command from the safety input / output unit 270. .
  • the coupler unit 200 controls the state of communication in order to stop the processing on the output side, reception processing of the communication frame for safety control (safety communication frame) is also stopped.
  • a field device such as the safety input / output unit 300 exchanging safety communication frames between them also transitions to a safety state similar to an emergency stop or emergency stop.
  • the periodically transmitted communication frame used in the standard control and the safety communication frame used in the safety control have no relation in the transmission timing, the data content, and the like.
  • a transmission abnormality as described above that is, a state in which a communication frame can not be received
  • the operation of the safety controller 260 is preferably continued. Therefore, in the control system 1 according to the present embodiment, even when an abnormality occurs in the communication frame transmitted periodically, if a predetermined condition is satisfied, the safety controller 260 or the like is For some functional units, it is possible to continue the operation.
  • the coupler unit 200 uses the relay apparatus (the coupler unit 200) based on the configuration of the functional units connected to the coupler unit 200.
  • both control is performed by an event such as transmission error of a communication frame. Operation loss such as unnecessary line stop etc. by continuing control as long as the soundness can be maintained for the remaining part while appropriately stopping only the part that can be targeted, without stopping all of them. Can be prevented.
  • FIG. 4 is a block diagram showing an example of the hardware configuration of the CPU unit 100 constituting the control system 1 according to the present embodiment.
  • the CPU unit 100 includes a processor 102, a chipset 104, a memory 106, a storage 108, a network controller 110, a USB (Universal Serial Bus) controller 112, and a memory card interface 114. It includes an internal bus controller 118, a field network controller 120, a counter 126, and an RTC (Real Time Clock) 128.
  • a processor 102 includes a processor 102, a chipset 104, a memory 106, a storage 108, a network controller 110, a USB (Universal Serial Bus) controller 112, and a memory card interface 114.
  • It includes an internal bus controller 118, a field network controller 120, a counter 126, and an RTC (Real Time Clock) 128.
  • RTC Real Time Clock
  • the processor 102 corresponds to an arithmetic processing unit that executes control calculation and the like, and includes a CPU, an MPU, a GPU, and the like. Specifically, the processor 102 reads a program (a system program and a user program as an example) stored in the storage 108, and develops and executes the program in the memory 106, thereby performing control according to the control target, and Implement various processes as described later.
  • the storage 108 is configured by, for example, a non-volatile storage device such as a hard disk drive (HDD) or a solid state drive (SSD).
  • the memory 106 is configured of a volatile storage device such as a dynamic random access memory (DRAM) or a static random access memory (SRAM).
  • DRAM dynamic random access memory
  • SRAM static random access memory
  • the chipset 104 realizes processing of the CPU unit 100 as a whole by controlling the processor 102 and each device.
  • the storage 108 in addition to a system program for realizing basic functions, a user program created according to a control target such as equipment or machine is stored.
  • the network controller 110 exchanges data with an arbitrary information processing apparatus such as a gateway or a database server via the upper network 8.
  • the USB controller 112 exchanges data with the support device via the USB connection.
  • the memory card interface 114 is configured so that the memory card 116 can be inserted and removed, so that data can be written to the memory card 116 and various data (such as user programs and trace data) can be read from the memory card 116. ing.
  • the counter 126 is used as a time reference for managing the execution timing of various programs executed by the CPU unit 100.
  • the counter 126 may be implemented using a high precision event timer (HPET) or the like disposed on a system bus that drives the processor 102, or may be an application specific integrated circuit (ASIC) or an application specific integrated circuit It may be implemented using a dedicated circuit such as an FPGA (Field-Programmable Gate Array).
  • HPET high precision event timer
  • ASIC application specific integrated circuit
  • FPGA Field-Programmable Gate Array
  • the RTC 128 is a kind of counter having a clocking function, and provides the current time to the processor 102 or the like.
  • the internal bus controller 118 corresponds to a communication interface for electrically connecting one or more functional units with the CPU unit 100 via the internal bus 14.
  • the internal bus controller 118 functions as a communication master for performing fixed cycle communication via the internal bus 14.
  • the field network controller 120 corresponds to a communication interface for electrically connecting one or more functional units and the CPU unit 100 via the field network 4.
  • the field network controller 120 functions as a communication master for performing periodic communication via the field network 4.
  • FIG. 4 shows a configuration example in which the processor 102 executes a program to provide necessary functions.
  • some or all of the provided functions may be implemented using dedicated hardware circuits (eg, an ASIC). Or it may implement using FPGA etc.).
  • main parts of the CPU unit 100 may be realized using hardware conforming to a general-purpose architecture (for example, an industrial personal computer based on a general-purpose personal computer).
  • a general-purpose architecture for example, an industrial personal computer based on a general-purpose personal computer.
  • a plurality of operating systems (OSs) of different applications may be executed in parallel, and applications required on the respective OSs may be executed.
  • OSs operating systems
  • the CPU unit 100 integrates functions such as a display device and a support device may be adopted.
  • FIG. 5 is a block diagram showing an example of the hardware configuration of the coupler unit 200 that constitutes the control system 1 according to the present embodiment.
  • coupler unit 200 includes a field network controller 202, a main controller 210, and an internal bus controller 204.
  • the field network controller 202 corresponds to a communication interface for electrically connecting the coupler unit 200 and the CPU unit 100 via the field network 4.
  • the field network controller 202 functions as a communication slave for participating in the periodic communication via the field network 4.
  • the main controller 210 includes a processor 212, a memory 214, and firmware 216.
  • the processor 212 corresponds to an arithmetic processing unit that executes control calculation and the like, and is configured of a CPU, an MPU, a GPU, and the like. Specifically, the processor 212 reads the firmware 216 stored in the storage, expands it in the memory 214, and executes it, thereby transferring data between the field network controller 202 and the internal bus controller 204, and the process described later. Realize state management etc.
  • the internal bus controller 204 corresponds to a communication interface for electrically connecting one or more functional units with the coupler unit 200 via the internal bus 24.
  • the internal bus controller 204 functions as a communication master for performing fixed cycle communication via the internal bus 24.
  • FIG. 6 is a block diagram showing an example of a hardware configuration of the safety controller 260 that constitutes the control system 1 according to the present embodiment.
  • safety controller 260 includes an internal bus controller 262 and a main controller 264.
  • the internal bus controller 262 corresponds to a communication interface for electrically connecting the coupler unit 200 and the safety controller 260 via the internal bus 24.
  • the internal bus controller 262 functions as a communication slave for participating in data communication via the internal bus 24.
  • the main controller 264 includes a processor 266, a memory 267, and a storage 268.
  • the processor 266 corresponds to an arithmetic processing unit that executes control calculation and the like, and includes a CPU, an MPU, a GPU, and the like. Specifically, the processor 266 reads the safety program 269 stored in the storage 268, develops it in the memory 267, and executes it to realize safety control and the like.
  • the hardware configuration of the safety input / output unit 300 is a combination of the hardware configuration of the coupler unit 200 shown in FIG. 5 and the hardware configuration of the safety controller 260 shown in FIG. Does not repeat.
  • FIG. 7 is a schematic diagram for describing area individual control of the coupler unit 200 according to the present embodiment.
  • six functional units (functional units 00 to 05) are connected to the coupler unit 200.
  • the first three functional units and the second three functional units can be set to operate independently.
  • the units that operate independently are also referred to as “Sync Units”.
  • the functional units 00 to 02 are set as “Sync Unit 0”, and the functional units 03 to 05 are set as “Sync Unit 1”.
  • functional units belonging to "Sync Unit 0” execute standard control using communication frames transmitted periodically, and functional units belonging to "Sync Unit 1" use safety communication frames transmitted asynchronously. And execute safety control.
  • the coupler unit 200 includes a plurality of functional units connected to the coupler unit 200 as functional units using communication frames (first communication frames) periodically transmitted for standard control, and safety It has an individual setting function for individually setting each as a functional unit using a communication frame (second communication frame).
  • first communication frames first communication frames
  • second communication frame second communication frame
  • FIG. 8 is a schematic view for explaining a transmission form of a communication frame in control system 1 according to the present embodiment.
  • the communication frame for standard control is transmitted from CPU unit 100, which is a communication master, at a predetermined frame transmission cycle T.
  • Communication frames are sequentially transferred between communication slaves connected to the field network 4.
  • the communication frame is looped back at the end communication slave, and the field network 4 is sequentially transferred in the reverse direction again and returns to the CPU unit 100 which is the communication master.
  • Each time a communication frame is transferred each communication slave reads necessary data from the communication frame and writes data to the communication frame.
  • FIG. 8 shows an example of the non-ring field network 4, when the ring field network 4 is adopted, the communication frame transmitted from the CPU unit 100 makes one round of the field network 4. Thus, the CPU unit 100 is returned.
  • the safety communication frame generated by the coupler unit 200_1 is once transmitted to the CPU unit 100 which is the communication master.
  • the CPU unit 100 duplicates the received safety communication frame, and transmits it as it is to the safety input / output unit 270 connected to the coupler unit 200_1 which is the original destination. With such a route, the safety communication frame is transmitted from the source to the destination.
  • the coupler unit 200 transmits the safety communication frame (second communication frame) to the CPU unit 100 in response to the request from the safety controller 260.
  • the CPU unit 100 has a frame transfer function of transmitting the safety communication frame received from the coupler unit 200 to the field device as the transmission destination.
  • the field network 4 of the control system 1 can transmit the synchronous frame and the asynchronous frame in a mixed manner.
  • FIG. 9 is a diagram showing an example of state transition of the coupler unit 200 according to the present embodiment.
  • FIG. 9 shows an example of state transition based on EtherCAT State Machine (ESM).
  • ESM EtherCAT State Machine
  • coupler unit 200 has, as state values, an INIT state (ST1), an Operational state (ST2), a Safe-Operational state (ST3), and a Partial-Safe-Operational state (ST4). And Pre-Operational state (ST5).
  • INIT state ST1
  • Operational state ST2
  • Safe-Operational state ST3
  • Partial-Safe-Operational state ST4
  • Pre-Operational state ST5
  • the INIT state (ST1) is an initial state and means that no communication can be performed.
  • the Operational state (ST2) is a normal operation state and means a state in which transmission of input data (measurement value) and output data (command) is possible. At this time, message transmission is also possible.
  • the Safe-Operational state (ST3) is a state in which transition occurs when some abnormality occurs, and transmission of input data (measurement value) and message transmission are possible. In this state, collection of input data (input refresh) in the functional unit is enabled, but output of output data (output refresh) is in the “Safe” state and stopped.
  • the Parial-Safe-Operational state (ST4) is a possible state when area individual control is effective, and corresponds to a state in which the Operational state and the Safe-Operational state are mixed. That is, among a plurality of functional units connected to the same coupler unit 200, one or a plurality of functional units set as a certain Sync Unit is in the Operational state and is set as another Sync Unit 1 or Multiple functional units are in Safe-Operational state.
  • the Pre-Operational state (ST5) is a state in which only message transmission is possible.
  • the coupler unit 200 which is a communication slave according to the present embodiment, transitions between the five states as described above according to the situation.
  • the coupler unit 200 which is a communication slave, can be connected in a mixed manner to a functional unit responsible for standard control and a functional unit responsible for safety control.
  • the following problems may occur in such a configuration.
  • FIG. 10 is a schematic view for explaining the problem to be solved by the control system 1 according to the present embodiment. Similar to FIG. 7 described above, FIG. 10 is set as “Sync Unit 0” in which functional units 00 to 02 are in charge of standard control, and “Sync Unit 1” in which functional units 03 to 05 are in charge of safety control. An example set is shown. At this time, Sync Unit 0 is set to use a communication frame transmitted periodically (synchronous control mode), and Sync Unit 1 is set to use a safety communication frame transmitted asynchronously.
  • the synchronous control mode is a mode that calculates a command in synchronization with a periodically transmitted communication frame, and is directed to, for example, an application that has to update a command such as motion control at high speed intervals. .
  • the coupler unit 200 serving as a communication slave performs synchronization control It determines that the requirements for the mode are not met, and detects that a transmission error (synchronization error) has occurred. Then, the coupler unit 200 transitions to the Safe-Operational state (ST3 shown in FIG. 9). As a result, even if there is no problem in the data transmission of the safety communication frame used by the Sync Unit 1, the safety control by the Sync Unit 1 is stopped.
  • the coupler unit 200 even if the transmission abnormality occurs, if the transmission of the safety communication frame is normal, the functional unit (Sync Unit) using the safety communication frame is used. Causes the operation to continue.
  • transition can be made to either the state of stopping the operation or the state of continuing the operation as it is. It has become.
  • FIG. 11 is a schematic diagram for explaining another problem to be solved by the control system 1 according to the present embodiment.
  • the functional units 00 to 02 are set as “Sync Unit 0” that controls standard control
  • the functional units 03 to 05 are controlled as safety control “Sync Unit 1”.
  • An example set is shown.
  • a coupler unit as a communication slave when the CPU unit 100 as a communication master stops transmission of a periodically transmitted communication frame for standard control due to maintenance or some error, a coupler unit as a communication slave When the period when the communication frame can not be received exceeds a predetermined period, the coupler unit 200 serving as the communication slave detects that some transmission abnormality (WDT (WatchDog Timer) abnormality) has occurred, and the Safe-Operational state A transition is made to (ST3 shown in FIG. 9). As a result, even if there is no problem in the data transmission of the safety communication frame used by the Sync Unit 1, the safety control by the Sync Unit 1 is stopped.
  • WDT WatchDog Timer
  • the coupler unit 200 even if the transmission abnormality occurs, if the transmission of the safety communication frame is normal, the functional unit (Sync Unit) using the safety communication frame is used. Causes the operation to continue.
  • transition can be made to either the state of stopping the operation or the state of continuing the operation as it is. It has become.
  • FIG. 12 is a flowchart showing the processing procedure in the coupler unit 200 of the control system 1 according to the present embodiment. Each step shown in FIG. 12 may be realized by the processor 212 of the coupler unit 200 executing the firmware 216.
  • coupler unit 200 monitors periodic reception of a communication frame to determine whether or not a transmission abnormality has occurred (step S100).
  • a method of monitoring periodic reception of a communication frame at least one of a synchronization error shown in FIG. 10 and a WDT error shown in FIG. 11 may be used.
  • reception failure of a communication frame continues for a predetermined period, that is, reception of a communication frame is performed. It detects a state that does not extend over a predetermined cycle.
  • the WDT abnormality shown in FIG. 11 is to detect a state in which the period in which the communication frame can not be received exceeds a predetermined period, that is, the reception of the communication frame is not in the predetermined period.
  • step S100 If a transmission abnormality has not occurred (NO in step S100), the process of step S100 is repeated.
  • coupler unit 200 outputs signals for all functional units connected to coupler unit 200 based on the configuration of the functional units connected to coupler unit 200. Shown in FIG. 9 (the safe-operational state shown in FIG. 9) and a second state in which the updating of the signal output is continued for some functional units connected to the coupler unit 200. Transition to either Partial-Safe-Operational state).
  • the coupler unit 200 determines whether area individual control is set (step S102). If the area individual control is not set (NO in step S102), the coupler unit 200 executes the process of step S120 and subsequent steps.
  • step S102 the coupler unit 200 determines whether the area individual control is set (YES in step S102). If the area individual control is set (YES in step S102), the coupler unit 200 determines whether the safety control using the safety communication frame exists (step S104). If the safety control using the safety communication frame does not exist (NO in step S104), the coupler unit 200 executes the process of step S120 and subsequent steps.
  • step S104 determines whether the safety control using the safety communication frame exists (YES in step S104). If the safety control using the safety communication frame exists (YES in step S104), the coupler unit 200 determines whether the detected transmission abnormality is a communication other than the safety communication frame (step S106). ). If the detected transmission abnormality is a communication related to the safety communication frame (NO in step S106), the coupler unit 200 executes the process of step S120 and subsequent steps.
  • the coupler unit 200 notifies the CPU unit 100, which is the communication master, of the transition to the Parial-Safe-Operational state (step S110), transition from the Operational state to the Parial-Safe-Operational state (step S112). Then, the coupler unit 200 controls the signal output of the area in which the transmission abnormality is detected (that is, one or more functional units included in the target Sync Unit) according to the setting (step S114). Then, the process when the communication abnormality is detected ends.
  • the safety controller 260 will continue to transmit the safety communication frame and update the signal output. Also, the safety input / output unit 270 will continue to update the signal output. That is, safety control is continued.
  • step S120 the coupler unit 200 notifies the CPU unit 100 as the communication master of transition to the Safe-Operational state (Step S120), and transitions from the Operational state to the Safe-Operational state (Step S122).
  • the coupler unit 200 invalidates the signal outputs of all the functional units connected to the coupler unit 200 (step S124).
  • step S126 the coupler unit 200 controls the signal output of each functional unit according to the setting (step S126). Then, the process when the communication abnormality is detected ends.
  • the contents be transmitted in such a manner as to identify each state.
  • FIG. 13 is a schematic view showing a part of a notification frame from the coupler unit 200 to the CPU unit 100 of the control system 1 according to the present embodiment.
  • the notification frame indicating the state of the communication slave includes at least a bit of "slave error” and a bit of "area individual error”.
  • "Slave error” corresponds to the Safe-Operational state. When set to TRUE, it means transition to the Safe-Operational state, and "area-specific error” corresponds to the Partial-Safe-Operational state If set to TRUE, it means transition to Partial-Safe-Operational state.
  • the notification frame as shown in FIG. 13 can utilize the AL status frame used in EtherCAT.
  • the AL status frame includes reserved unused bits, and by assigning "area specific error" to these unused bits, compatibility with existing systems can be maintained.
  • a preset default value for example, "ON” in the case of digital output
  • “off” normally off
  • the value output immediately before the occurrence of the transmission abnormality may be maintained as it is.
  • the output data received immediately before the occurrence of the transmission abnormality may be reflected.
  • the information (profile information) of the functional units connected to the coupler unit 200 may be referenced to output a value according to the type or application of each functional unit.
  • FIG. 14 is a schematic view showing a functional configuration of the coupler unit 200 of the control system 1 according to the present embodiment.
  • Each module illustrated in FIG. 14 may be realized by the processor 212 of the coupler unit 200 executing the firmware 216.
  • communication frame transfer module 2002 includes a communication frame manager 2016, an abnormality detection module 2018, a selection module 2020, an individual setting module 2022, a state transition module 2030, a notification module 2032 and an output control module 2042.
  • the communication frame transfer module 2002 manages the reception and transmission of communication frames and safety communication frames transmitted on the field network 4.
  • the communication frame transfer module 2002 outputs the communication frame and the safety communication frame received from the previous stage to the buffer, writes the necessary data in the received communication frame and the safety communication frame, and transmits the data to the subsequent stage.
  • the communication frame buffer 2004 buffers the communication frame received by the communication frame transfer module 2002, and buffers data (input data / measurement value) collected by a functional unit in charge of standard control.
  • the communication frame manager 2006 provides the communication frame buffered in the communication frame buffer 2004 to the functional unit using the communication frame, and receives in response to a request from the functional unit using the communication frame. Data to be written for the communication frame to be transmitted.
  • the abnormality detection module 2008 monitors periodic reception of a communication frame to detect a transmission abnormality. More specifically, the abnormality detection module 2008 detects a synchronization abnormality or a WDT abnormality by monitoring a time or a period from when the previous communication frame is received to when a subsequent communication frame is received.
  • the safety communication frame buffer 2014 buffers the safety communication frame received by the communication frame transfer module 2002, and also manages data (input data / measurement value) collected by the functional unit in charge of safety control and safety control. Buffer requests from functional units.
  • the safety communication frame manager 2016 provides the safety communication frame buffered in the safety communication frame buffer 2014 to the functional units using the safety communication frame and also requests the functional units using the safety communication frame. In response, data is generated to construct a safety communication frame.
  • the abnormality detection module 2018 monitors the reception state of the safety communication frame to detect transmission abnormality of the safety communication frame.
  • the selection module 2020 selects functional units to be logically coupled with the communication frame manager 2006 and the safety communication frame manager 2016.
  • the individual setting module 2022 controls selection of functional units by the selection module 2020 with reference to the individual setting information 2024 prepared in advance. In this manner, the individual setting module 2022 cooperates with the selection module 2020 to set a plurality of functional units connected to the coupler unit 200 as a functional unit using a communication frame and a functional unit using a safety communication frame. Set each one individually.
  • the state transition module 2030 changes the state of the coupler unit 200 based on the event of transmission abnormality detection from the abnormality detection module 2008 and the abnormality detection module 2018, and the information on area individual control for the functional module from the individual setting module 2022. Let More specifically, the state transition module 2030 is connected to the coupler unit 200 based on the configuration of functional units connected to the coupler unit 200 when a transmission abnormality is detected by the abnormality detection module 2008. The first state in which the signal output is invalidated for all functional units (Safe-Operational state shown in FIG. 9), and the second state in which the signal output is continuously updated for some functional units connected to the coupler unit 200 Transition to any of the following states (partial-safe-operational state shown in FIG. 9).
  • the state transition module 2030 deactivates the signal output for all functional units connected to the coupler unit 200 when the abnormality detection module 2018 detects a transmission abnormality (a safe state shown in FIG. 9 (Safe shown in FIG. 9). -Transition to the Operational state). That is, when the transmission abnormality of the safety communication frame is detected, it is regarded as a serious abnormality from the transmission abnormality of the communication frame for standard control, and the state is transitioned to the Safe-Operational state.
  • a transmission abnormality a safe state shown in FIG. 9 (Safe shown in FIG. 9).
  • the notification module 2032 notifies the communication master of the state transition by the state transition module 2030. More specifically, when a transmission abnormality is detected by the abnormality detection module 2008, the notification module 2032 notifies the CPU unit 100 of information indicating the state of the transition destination. As the notification content, a notification frame as shown in FIG. 13 described above is used.
  • the output control module 2042 controls the value of the signal output of the functional unit connected to the coupler unit 200 in response to the state transition by the state transition module 2030. More specifically, the output control module 2042 determines the content of the signal output after the invalidation according to a predetermined output setting 2044 for the functional unit in which the signal output is inactivated.
  • the state transition according to the present embodiment is realized by the functional configuration as described above.
  • the threshold time for detecting the transmission abnormality (WDT abnormality) as described above may be set individually for each Sync Unit. Each threshold time may be set using message transmission from the CPU unit 100 which is a communication master to the coupler unit 200.
  • the behavior when the transmission abnormality is detected and the signal output of the functional unit is invalidated may be set in advance.
  • This setting may be in units of Sync Units or in units of functional units.
  • a control device functioning as a communication master; A relay device (200) connected to the control device via a network; And one or more field devices (10) network-connected to the control device; One or more functional units (250, 260) are connected to the relay device,
  • the control device comprises transmission management means (120) for managing periodic transmission of the first communication frame in the network,
  • the relay device is First abnormality detection means (2008) for monitoring periodic reception of the first communication frame and detecting transmission abnormality; When transmission abnormality is detected by the first abnormality detection unit, signal output is invalidated for all the functional units connected to the relay device based on the configuration of the functional units connected to the relay device.
  • State transition means for transitioning to one of the first state (ST3) to be integrated and the second state (ST4) for continuing updating of the signal output of some of the functional units connected to the relay device (ST4) 2030) and a control system.
  • the one or more functional units include at least one of a safety controller (260) and a safety input / output unit (270), The control system according to Configuration 1, wherein, in the second state, the safety controller and the safety input / output unit continue updating the signal output.
  • the safety controller and the safety input / output unit exchange data with the field device using a second communication frame different from the periodically transmitted first communication frame. Control system.
  • the relay device transmits the second communication frame to the control device in response to a request from at least one of the safety controller and the safety input / output unit.
  • the control system according to Configuration 3 further comprising a frame transfer unit (120) for transmitting the second communication frame received from the relay device to the field device.
  • the relay device individually sets a plurality of functional units connected to the relay device as a functional unit using the first communication frame and a functional unit using the second communication frame.
  • the control system according to Configuration 3 or 4 further comprising setting means (2022).
  • the relay apparatus further includes a second abnormality detection unit (2016) that detects a transmission abnormality of the second communication frame, 5.
  • the control system according to any one of configurations 3 to 5, wherein the state transition means changes to the first state when an abnormality in transmission is detected by the second abnormality detection means.
  • the relay device further includes notification means (2032) for notifying the control device of information indicating a state of a transition destination when a transmission abnormality is detected by the first abnormality detection means.
  • the control system according to any one of items 1 to 6.
  • the relay apparatus further includes an output determination unit (2042) configured to determine the content of the signal output after the invalidation according to a predetermined setting for the functional unit in which the signal output is inactivated.
  • the control system according to item 1.
  • a communication control method of a control system (1) wherein the control system comprises: a control device (100) functioning as a communication master; a relay device (200) network-connected to the control device; the control device and the network And one or more field devices (10) connected; One or more functional units (250, 260, 270) are connected to the relay device, The controller managing periodic transmission of a first communication frame in the network; The relay apparatus monitoring periodic reception of the first communication frame to detect transmission abnormality (S100); When transmission abnormality in the first communication frame is detected, the signal output is invalidated for all the functional units connected to the relay apparatus based on the configuration of the functional units connected to the relay apparatus.
  • One or more functional units (250, 260, 270) are connected to the relay device,
  • the control device comprises transmission management means (120) for managing periodic transmission of the first communication frame in the network,
  • the relay device is First abnormality detection means (2008) for monitoring periodic reception of the first communication frame and detecting transmission abnormality; When transmission abnormality is detected by the first abnormality detection unit, signal output is invalidated for all the functional units connected to the relay device based on the configuration of the functional units connected to the relay device.
  • the control system sets area individual control for a coupler unit to which a plurality of functional units are connected, and controls one of the units when the communication frame used by each control is different. Even if the transmission error of the communication frame to be used occurs, if the transmission of the communication frame to be used in the other control is normal, the control is continued without stopping the other control. In this manner, in a control system in which different control is realized by using a common coupler unit, detection of a transmission abnormality and necessary processing accompanying it can be rationally performed.
  • the communication slave side detects the abnormality. Even in such a case, in safety control, since an asynchronous communication frame can be used, transition to a dedicated state in which only safety control is maintained.
  • control system 1 connects a plurality of functional units to a common coupler unit, and performs control different from one another using these functional units.
  • Each can be made independent so as not to affect the other control as much as possible.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Environmental & Geological Engineering (AREA)
  • Programmable Controllers (AREA)
  • Small-Scale Networks (AREA)

Abstract

中継装置は、第1の通信フレームの周期的な受信を監視して、伝送異常を検知する第1の異常検知手段と、第1の異常検知手段により伝送異常が検知されたときに、中継装置に接続されている機能ユニットの構成に基づいて、中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのいずれかに遷移する状態遷移手段とを含む。

Description

制御システム、制御システムの通信制御方法、および中継装置
 本発明は、中継装置を含む制御システム、その制御システムの通信制御方法、ならびに、その制御システムに向けられた中継装置に関する。
 多くの製造現場で使用される設備や機械を安全に使用するためには、国際規格に従うセーフティコンポーネントを使用しなければならばない。セーフティコンポーネントは、ロボットなどの自動的に動く装置によって人の安全が脅かされることの防止を目的としている。セーフティコンポーネントは、セーフティプログラムを実行するセーフティコントローラをはじめとして、人の存在や進入を検知する検知機器、非常時の操作を受付ける入力機器、実際に設備や機械を停止させる出力機器などを含む。
 一方で、製造現場では設備の小型化および省スペース化が要求されることもある。このような要求に対して、例えば、特開2009-146039号公報(特許文献1)は、一般制御を司るプログラマブル・コントローラ(PLC)と非常停止等のセーフティ制御を司るセーフティ・コントローラ(SC)とを備えて、作業者が危険に晒される事態を極力回避しつつ、生産設備等の制御を実現するセーフティ・コントロール・システムを開示する。
特開2009-146039号公報
 上述したようなプログラマブルコントローラおよびセーフティコントローラを一体化する構成に代えて、セーフティコントローラをプログラマブルコントローラとネットワーク接続して配置した構成も知られている。このようなセーフティコントローラをネットワーク接続して配置する場合には、セーフティコントローラ単体をネットワーク接続する構成に加えて、カプラユニットと称される中継装置を利用する構成も存在する。中継装置を利用する場合には、ネットワーク接続された中継装置に、標準制御を司る入出力ユニットとともにセーフティコントローラおよびセーフティ入出力ユニットを接続するような構成が想定される。
 標準制御を司る入出力ユニットおよびセーフティ制御を司るセーフティコントローラおよびセーフティ入出力ユニットを共通の中継装置に接続した構成を採用した場合であっても、標準制御およびセーフティ制御はそれぞれ独立に実行されるものである。本発明は、上述したような要求を満たすことができる制御システムなどを提供することを一つの目的としている。
 本開示の一例に従う制御システムは、通信マスタとして機能する制御装置と、制御装置とネットワーク接続される中継装置と、制御装置とネットワーク接続される1または複数のフィールド装置とを含む。中継装置には、1または複数の機能ユニットが接続されている。制御装置は、ネットワークにおける第1の通信フレームの周期的な伝送を管理する伝送管理手段を含む。中継装置は、第1の通信フレームの周期的な受信を監視して、伝送異常を検知する第1の異常検知手段と、第1の異常検知手段により伝送異常が検知されたときに、中継装置に接続されている機能ユニットの構成に基づいて、中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのいずれかに遷移する状態遷移手段とを含む。
 この開示によれば、第1の通信フレームの周期的な受信を監視して、何らかの伝送異常が発生しときに、中継装置に接続されている機能ユニットの構成に基づいて、中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのうち、いずれかに選択的に遷移できる。これによって、共通の中継装置に、それぞれ異なる制御を実行する機能ユニットが接続されているような場合において、一方の制御のみに関連する異常によって他方の制御がともに停止するといった可能性を低減できる。
 上述の開示において、1または複数の機能ユニットは、セーフティコントローラおよびセーフティ入出力ユニットの少なくとも一方を含み、第2の状態において、セーフティコントローラおよびセーフティ入出力ユニットについては、信号出力の更新を継続するようにしてもよい。
 この開示によれば、特に、セーフティコントローラやセーフティ入出力ユニットなどのように、セーフティ制御の停止が対象の設備や機械の停止に直結するようなシステムにおいて、本開示による機能がより有効である。
 上述の開示において、セーフティコントローラおよびセーフティ入出力ユニットの少なくとも一方は、周期的に伝送される第1の通信フレームとは異なる第2の通信フレームを用いて、フィールド装置との間でデータを遣り取りしてもよい。
 この開示によれば、セーフティコントローラおよびセーフティ入出力ユニットは、標準制御に関連する第1の通信フレームとは異なる、特殊なプロトコルに従う通信フレームを採用できる。これによって、セーフティ制御に要求される通信要件などを満たすことができる。
 上述の開示において、中継装置は、セーフティコントローラおよびセーフティ入出力ユニットの少なくとも一方からの要求に応答して第2の通信フレームを制御装置へ送信し、制御装置は、中継装置から受信した第2の通信フレームをフィールド装置へ送信するフレーム転送手段をさらに備えてもよい。
 この開示によれば、中継装置から特定のフィールド装置へ第2の通信フレームを送信する場合において、中継装置は、その送信先のフィールド装置のアドレスなどを事前に知っておく必要はなく、単に、制御装置へ送信すればよいので、送信処理を簡素化できる。
 上述の開示において、中継装置は、中継装置に接続される複数の機能ユニットを、第1の通信フレームを利用する機能ユニット、および、第2の通信フレームを利用する機能ユニットとしてそれぞれ個別に設定する個別設定手段をさらに含んでいてもよい。
 この開示によれば、中継装置に接続される複数の機能ユニットに対して、それぞれ異なる制御機能を割り当てることができる。
 上述の開示において、中継装置は、第2の通信フレームの伝送異常を検知する第2の異常検知手段をさらに含み、状態遷移手段は、第2の異常検知手段により伝送の異常が検知されると、第1の状態に遷移するようにしてもよい。
 この開示によれば、第2の通信フレームの伝送異常が第1の通信フレームの伝送異常に比較して、重大であるような場合に、中継装置に接続されているすべての機能ユニットの信号出力を無効化することで、設備や機械をより安全な状態に維持できる。
 上述の開示において、中継装置は、第1の異常検知手段により伝送異常が検知されたときに、制御装置に対して、遷移先の状態を示す情報を通知する通知手段をさらに含む。
 この開示によれば、通信スレーブとして機能する中継装置の状態遷移を通信マスタである制御装置は容易に知ることができ、それによって、制御装置から通信フレームの送信を必要に応じて管理できる。
 上述の開示において、中継装置は、信号出力を無効化された機能ユニットについて、予め定められた設定に従って、無効化後の信号出力の内容を決定する出力決定手段をさらに含んでいてもよい。
 この開示によれば、伝送異常によって信号出力が無効化された各機能ユニットの信号出力を各機能ユニットの種類や用途に応じたものにできる。
 本開示の一例に従えば、制御システムの通信制御方法が提供される。制御システムは、通信マスタとして機能する制御装置と、制御装置とネットワーク接続される中継装置と、制御装置とネットワーク接続される1または複数のフィールド装置とを含んでいる。中継装置には、1または複数の機能ユニットが接続されている。通信制御方法は、制御装置が、ネットワークにおける第1の通信フレームの周期的な伝送を管理するステップと、中継装置が、第1の通信フレームの周期的な受信を監視して、伝送異常を検知するステップと、第1の通信フレームについての伝送異常が検知されたときに、中継装置に接続されている機能ユニットの構成に基づいて、中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのいずれかに遷移するステップとを含む。
 この開示によれば、第1の通信フレームの周期的な受信を監視して、何らかの伝送異常が発生しときに、中継装置に接続されている機能ユニットの構成に基づいて、中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのうち、いずれかに選択的に遷移できる。これによって、共通の中継装置に、それぞれ異なる制御を実行する機能ユニットが接続されているような場合において、一方の制御のみに関連する異常によって他方の制御がともに停止するといった可能性を低減できる。
 本開示の一例に従えば、制御システムを構成する中継装置が提供される。制御システムは、中継装置がネットワーク接続される、通信マスタとして機能する制御装置と、制御装置とネットワーク接続される1または複数のフィールド装置とを含む。中継装置には、1または複数の機能ユニットが接続されている。制御装置は、ネットワークにおける第1の通信フレームの周期的な伝送を管理する伝送管理手段を含む。中継装置は、第1の通信フレームの周期的な受信を監視して、伝送異常を検知する第1の異常検知手段と、第1の異常検知手段により伝送異常が検知されたときに、中継装置に接続されている機能ユニットの構成に基づいて、中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのいずれかに遷移する状態遷移手段とを含む。
 この開示によれば、第1の通信フレームの周期的な受信を監視して、何らかの伝送異常が発生しときに、中継装置に接続されている機能ユニットの構成に基づいて、中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのうち、いずれかに選択的に遷移できる。これによって、共通の中継装置に、それぞれ異なる制御を実行する機能ユニットが接続されているような場合において、一方の制御のみに関連する異常によって他方の制御がともに停止するといった可能性を低減できる。
 本発明によれば、伝送異常が検知された場合において、信号出力を無効化される機能ユニットを必要な範囲に限定することができるので、互いに独立した制御がそれぞれ実行されている状態において、一方の制御で生じた異常により他方の制御が停止する可能性を低減できる。
本実施の形態に係る制御システムの全体構成例を示す模式図である。 本実施の形態に係る制御システムにおけるデータ伝送の形態を説明する模式図である。 本実施の形態に係る制御システムにおける伝送異常検知時の処理を説明するための模式図である。 本実施の形態に係る制御システムを構成するCPUユニットのハードウェア構成例を示すブロック図である。 本実施の形態に係る制御システムを構成するカプラユニットのハードウェア構成例を示すブロック図である。 本実施の形態に係る制御システムを構成するセーフティコントローラのハードウェア構成例を示すブロック図である。 本実施の形態に係るカプラユニットが有するエリア個別制御を説明するための模式図である。 本実施の形態に係る制御システムにおける通信フレームの伝送形態を説明するための模式図である。 本実施の形態に係るカプラユニットの状態遷移の一例を示す図である。 本実施の形態に係る制御システムが解決しようとする課題を説明するための模式図である。 本実施の形態に係る制御システムが解決しようとする別の課題を説明するための模式図である。 本実施の形態に係る制御システムのカプラユニットにおける処理手順を示すフローチャートである。 本実施の形態に係る制御システムのカプラユニットからCPUユニットへの通知フレームの一部を示す模式図である。 本実施の形態に係る制御システムのカプラユニットの機能構成を示す模式図である。
 本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰返さない。
 <A.適用例>
 まず、図1~図3を参照して、本発明が適用される場面の一例について説明する。
 図1は、本実施の形態に係る制御システム1の全体構成例を示す模式図である。図1を参照して、制御システム1は、主たるコンポーネントとして、通信マスタとして機能するマスタ装置2と、マスタ装置2とフィールドネットワーク4を介してネットワーク接続される通信スレーブとを含む。このような通信スレーブの一例として、図1には、リモートIO装置6_1および6_2(以下、「リモートIO装置6」とも総称する。)と、フィールド装置の一例であるサーボドライバ10_1,10_2,10_3(以下、「サーボドライバ10」とも総称する。)と、セーフティ入出力ユニット300とを示す。
 本明細書において、「フィールドネットワーク」は、産業装置用のデータ伝送を実現するための通信媒体を総称するものであり、「フィールドバス」とも称される。フィールドネットワーク4としては、典型的には、ネットワーク内のノード間のデータ到着時間が保証されるプロトコルが採用される。このようなノード間のデータ到着時間が保証されるプロトコルとしては、例えば、EtherCAT(登録商標)などを採用できる。あるいは、EtherNet/IP(登録商標)、DeviceNet(登録商標)、CompoNet(登録商標)などを採用してもよい。以下の説明においては、一例として、フィールドネットワーク4としてEtherCATを採用した場合について説明する。
 本明細書において、「通信マスタ」または「マスタ」は、対象となるネットワークにおけるデータ伝送を管理する主体または機能を総称する用語である。通信マスタまたはマスタと対になる用語として、「通信スレーブ」または「スレーブ」との用語を用いる。本明細書において、通信スレーブまたはスレーブは、対象となるネットワークに配置される、通信マスタまたはマスタの管理下において、データ伝送を行う主体または機能を総称する用語である。
 マスタ装置2は、CPUユニット100と、CPUユニット100に接続される1または複数の入出力ユニット150とを含む。CPUユニット100は、後述するような、ユーザプログラムを実行することで、設備や機械などの制御対象に対する制御を実行する。
 CPUユニット100は、さらに上位ネットワーク8に接続されていてもよい。上位ネットワーク8には、他のマスタ装置が接続されていてもよいし、ゲートウェイやデータベースサーバといった任意の情報処理装置が接続されていてもよい。
 リモートIO装置6_1は、カプラユニット200と、カプラユニット200に接続される入出力ユニット250と、セーフティコントローラ260と、セーフティ入出力ユニット270とを含む。リモートIO装置6_2は、カプラユニット200と、カプラユニット200に接続される入出力ユニット250とを含む。
 カプラユニット200は、CPUユニット100とネットワーク接続される中継装置である。具体的には、カプラユニット200は、CPUユニット100からネットワーク伝送されるデータをカプラユニット200に接続されている機能ユニットへ出力するとともに、カプラユニット200に接続されているいずれかの機能ユニットからのデータをネットワーク上に送信する。すなわち、カプラユニット200は、フィールドネットワーク4とカプラユニット200により提供される内部バスとの間でデータを中継する。
 本明細書において、「機能ユニット」は、制御装置(CPUユニット100)または中継装置(カプラユニット200)に接続されて、制御対象との間で各種の信号を遣り取りするための装置を総称する用語である。機能ユニットは、少なくとも、図1に示す入出力ユニット150,250と、セーフティコントローラ260と、セーフティ入出力ユニット270とを含む。機能ユニットは、さらに、フィールドネットワーク4に接続されるセーフティ入出力ユニット300なども含み得る。
 入出力ユニット150,250は、例えば、制御対象からのデジタル信号を受取るDI(Digital Input)機能、制御対象に対してデジタル信号を出力するDO(Digital Output)機能、制御対象からのアナログ信号を受取るAI(Analog Input)機能、制御対象に対してアナログ信号を出力するAO(Analog Output)機能のうち1または複数の機能を有している。さらに、機能ユニットとしては、PID(Proportional Integral Derivative)制御やモーション制御といった特殊機能を実装したコントローラを含み得る。
 機能ユニットの一例であるセーフティコントローラ260は、CPUユニット100とは独立して、セーフティ制御を司る。図1に示す構成例においては、典型的には、CPUユニット100が制御対象を制御するための標準制御を司り、セーフティコントローラ260が制御対象により生じる危険を防止するためのセーフティ制御を司る。セーフティコントローラ260は、接続先のカプラユニット200を介して、フィールドネットワーク4を利用して、フィールド装置などとの間でデータを遣り取りする。
 機能ユニットの一例であるセーフティ入出力ユニット270は、セーフティコントローラ260とともに、セーフティ制御を司る。セーフティ入出力ユニット270は、標準的な入出力ユニットに比較して、例えば、指令値に応答して実際にセーフティデバイスが駆動されているかを示すフィードバック信号などを検知できるようになっている。
 セーフティ入出力ユニット300は、フィールドネットワーク4に直接接続するためのインターフェイスを有している。それ以外の点において、セーフティ入出力ユニット270と同様である。
 本明細書において、「標準制御」は、典型的には、予め定められた要求仕様に沿って、制御対象を制御するための指令を順次生成する処理を総称する用語である。一方、本明細書において、「セーフティ制御」は、何らかの不具合によって、制御対象によって人の安全が脅かされることを防止するための指令を生成する処理を総称する用語である。セーフティ制御においては、例えば、制御対象自体の挙動が本来とは異なっている場合だけではなく、制御システム1が適切に制御を実行できない状態などであると判断された場合にも、制御対象を停止させるような処理を含む。
 本明細書において、「フィールド装置」は、フィールドネットワーク4を介してネットワーク接続可能な装置を総称する用語である。フィールド装置としては、図1に示すサーボドライバ10に加えて、ロボットコントローラ、温度コントローラ、流量コントローラといった各種装置を含み得る。
 サーボドライバ10_1,10_2,10_3は、サーボモータ12_1,12_2,2_3(以下、「サーボモータ12」とも総称する。)をそれぞれ駆動する駆動源である。サーボドライバ10の各々は、CPUユニット100に接続された機能ユニットおよび/またはカプラユニット200に接続された機能ユニットからの指令(フィールドネットワーク4を介して伝送される)などに従って、対応するサーボモータ12を駆動する。後述するように、サーボドライバ10は、セーフティコントローラ260(あるいは、セーフティ入出力ユニット270)またはセーフティ入出力ユニット300からの指令に従って、対応するサーボモータ12を非常停止させる場合もある。
 図2は、本実施の形態に係る制御システム1におけるデータ伝送の形態を説明する模式図である。図2(A)は、標準制御用の周期的に伝送される通信フレームを示し、図2(B)は、セーフティ制御用の通信フレーム(説明の便宜上、以下「セーフティ通信フレーム」とも称す。)を示す。
 図2に示すように、制御システム1において、マスタ装置2のCPUユニット100は、ユーザプログラムを実行することで標準制御を実行し、リモートIO装置6_1のセーフティコントローラ260はセーフティプログラムを実行することでセーフティ制御を実行する。
 図2(A)に示すように、標準制御用の通信フレームは、フィールドネットワーク4上を周期的に伝送される。より具体的には、通信マスタであるCPUユニット100は、予め定められた周期毎に、通信フレームを生成し、フィールドネットワーク4を介して通信スレーブへ送信する。通信フレームは、フィールドネットワーク4を介して通信スレーブ間を順次転送され、最終的には、CPUユニット100まで戻される。各通信スレーブは、前段の通信スレーブから通信フレームを受信すると、受信した通信フレームから自装置宛のデータ(出力データ/指令)を読出すとともに、自装置において事前に収集しているデータ(入力データ/計測値)を通信フレームに書込み、次段の通信スレーブへ送信する。このような通信フレームの周期的な伝送が繰返されることにより、CPUユニット100から各通信スレーブへの指令の出力、および、各通信スレーブからのフィールドデータの収集が可能となる。このように、標準制御用の通信フレームは、フィールドネットワーク4上を予め定められたタイミングに同期して転送される。
 図2(B)に示すように、セーフティ制御用のセーフティ通信フレームは、1または複数の送信先へ確実にデータを伝送できるプロトコルに従って伝送される。一例として、FSoE(Functional Safety over EtherCAT)が採用されてもよい。図2には、セーフティ通信フレームが通信マスタによりルーティングされる例を示す。
 例えば、セーフティコントローラ260からセーフティ入出力ユニット270へデータを伝送する場合を考える。まず、カプラユニット200は、セーフティコントローラ260からの要求に応答して、セーフティ通信フレームを生成し、フィールドネットワーク4を介して、CPUユニット100へ送信する。CPUユニット100は、受信したセーフティ通信フレームをそのまま、フィールドネットワーク4を介して、カプラユニット200へ再度送信する。そして、カプラユニット200において、セーフティ通信フレームは本来の宛先であるセーフティ入出力ユニット270へ転送される。このような経路によって、セーフティ通信フレームは、送信元から送信先へ伝送される。このように、セーフティ制御用の通信フレーム(セーフティ通信フレーム)は、フィールドネットワーク4上を非同期で転送される。
 また、逆方向の通信においては、カプラユニット200は、セーフティ入出力ユニット270からの要求に応答して、セーフティ通信フレームを生成し、フィールドネットワーク4を介して、CPUユニット100へ送信する。上述と同様の手順で、通信フレームはセーフティコントローラ260へ送信される。
 さらに、セーフティ入出力ユニット300から送出されるセーフティ通信フレームについても同様の手順で転送される。
 このように、セーフティコントローラ260、セーフティ入出力ユニット270、および、セーフティ入出力ユニット300は、周期的に伝送される第1の通信フレームとは異なる第2の通信フレームを用いて、フィールド装置との間でデータを遣り取りする。
 図3は、本実施の形態に係る制御システム1における伝送異常検知時の処理を説明するための模式図である。図3(A)には、本発明の関連技術に従う処理を示し、図3(B)には、本実施の形態に係る処理を示す。
 図3(A)を参照して、カプラユニット200は、通信フレームの周期的な受信を監視している。例えば、通信フレームの受信失敗が所定周期連続した、あるいは、通信フレームを受信できない期間が予め定められた期間を超えたといった場合に、カプラユニット200は、伝送異常が発生したと検知する。すなわち、カプラユニット200は、通信フレームの周期的な受信を監視して、伝送異常を検知する。
 このような伝送異常を検知すると、カプラユニット200は、出力ブロック信号を発生し、カプラユニット200に接続されているすべての機能ユニットについて信号出力を無効化する。このとき、カプラユニット200は、カプラユニット200に接続されている機能ユニットの種類にかかわらず、出力ブロック信号を一律に発生するので、セーフティコントローラ260についても信号出力の更新が停止される。その結果、セーフティコントローラ260によるセーフティ制御の対象となっているフィールド装置に対しても、非常停止が指令されることになる。図3(A)に示す例では、セーフティコントローラ260からセーフティ入出力ユニット270へのデータ伝送が停止されるので、セーフティ入出力ユニット270からの指令により、サーボドライバ10_1,10_2,10_3が非常停止する。
 また、カプラユニット200は、出力側の処理を停止するために、通信の状態を制御するので、セーフティ制御用の通信フレーム(セーフティ通信フレーム)の受信処理も停止してしまい、セーフティコントローラ260との間でセーフティ通信フレームを遣り取りしているセーフティ入出力ユニット300などのフィールド装置についても、結果的に、非常停止または非常停止に類似したセーフティ状態へ遷移する。
 上述したように、標準制御において用いられる周期的に伝送される通信フレームと、セーフティ制御において用いられるセーフティ通信フレームとの間は、その送信タイミングやデータ内容などに何らの関連性もない。また、上述したような伝送異常(すなわち、通信フレームを受信できない状態)が発生した場合であっても、セーフティ通信フレームの伝送には何ら問題がない場合もある。
 このような場合には、少なくとも、セーフティコントローラ260の動作を継続することが好ましい。そこで、本実施の形態に係る制御システム1においては、周期的に伝送される通信フレームの異常が発生した場合であっても、予め定められた条件が満たされていれば、セーフティコントローラ260などの一部の機能ユニットについては、動作を継続することが可能になっている。
 この場合、セーフティコントローラ260でのセーフティ制御は継続される。その結果、サーボドライバ10_1,10_2,10_3に対しても非常停止が与えられることはなく、セーフティコントローラ260でのセーフティ制御下で運転が継続される。
 このように、カプラユニット200は、伝送異常(すなわち、通信フレームを受信できない状態)が検知されたときに、カプラユニット200に接続されている機能ユニットの構成に基づいて、中継装置(カプラユニット200)に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、中継装置(カプラユニット200)に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのいずれかに遷移する。
 このような状態遷移によって、共通のカプラユニット200に接続されている複数の機能ユニットがそれぞれ個別に制御を行っているような場合には、通信フレームの伝送異常などのイベントで、両者の制御がいずれも停止するのではなく、対象となり得る部分のみを適切に停止させつつ、残りの部分については健全性を維持できる範囲で制御を継続することで、不必要なライン停止といった操業上の損失などの発生を防止できる。
 以下、本実施の形態に係る制御システム1のより詳細な具体例について説明する。
 <B.ハードウェア構成例>
 次に、本実施の形態に係る制御システム1を構成する主たるコンポーネントのハードウェア構成例について説明する。
 (b1:CPUユニット100)
 図4は、本実施の形態に係る制御システム1を構成するCPUユニット100のハードウェア構成例を示すブロック図である。図4を参照して、CPUユニット100は、プロセッサ102と、チップセット104と、メモリ106と、ストレージ108と、ネットワークコントローラ110と、USB(Universal Serial Bus)コントローラ112と、メモリカードインターフェイス114と、内部バスコントローラ118と、フィールドネットワークコントローラ120と、カウンタ126と、RTC(Real Time Clock)128とを含む。
 プロセッサ102は、制御演算などを実行する演算処理部に相当し、CPU、MPU、GPUなどで構成される。具体的には、プロセッサ102は、ストレージ108に格納されたプログラム(一例として、システムプログラムおよびユーザプログラム)を読出して、メモリ106に展開して実行することで、制御対象に応じた制御、および、後述するような各種処理を実現する。ストレージ108は、例えば、HDD(Hard Disk Drive)やSSD(Solid State Drive)などの不揮発性記憶装置などで構成される。メモリ106は、DRAM(Dynamic Random Access Memory)やSRAM(Static Random Access Memory)などの揮発性記憶装置などで構成される。
 チップセット104は、プロセッサ102と各デバイスを制御することで、CPUユニット100全体としての処理を実現する。
 ストレージ108には、基本的な機能を実現するためのシステムプログラムに加えて、設備や機械などの制御対象に応じて作成されるユーザプログラムが格納される。
 ネットワークコントローラ110は、上位ネットワーク8を介して、ゲートウェイやデータベースサーバといった任意の情報処理装置との間でデータを遣り取りする。USBコントローラ112は、USB接続を介して、サポート装置との間でデータを遣り取りする。
 メモリカードインターフェイス114は、メモリカード116を着脱可能に構成されており、メモリカード116に対してデータを書込み、メモリカード116から各種データ(ユーザプログラムやトレースデータなど)を読出すことが可能になっている。
 カウンタ126は、CPUユニット100で実行される各種プログラムの実行タイミングを管理するための時刻基準として用いられる。カウンタ126は、プロセッサ102を駆動するシステムバス上に配置された、高精度イベントタイマー(HPET:High Precision Event Timer)などを用いて実装してもよいし、あるいは、ASIC(Application Specific Integrated Circuit)やFPGA(Field-Programmable Gate Array)などの専用回路を用いて実装してもよい。
 RTC128は、計時機能を有する一種のカウンタであり、現在時刻をプロセッサ102などへ提供する。
 内部バスコントローラ118は、内部バス14を介して1または複数の機能ユニットとCPUユニット100とを電気的に接続するための通信インターフェイスに相当する。内部バスコントローラ118は、内部バス14を介した定周期通信を行うための通信マスタとして機能する。
 フィールドネットワークコントローラ120は、フィールドネットワーク4を介して1または複数の機能ユニットとCPUユニット100とを電気的に接続するための通信インターフェイスに相当する。フィールドネットワークコントローラ120は、フィールドネットワーク4を介した定周期通信を行うための通信マスタとして機能する。
 図4には、プロセッサ102がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、CPUユニット100の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOS(Operating System)を並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
 さらに、CPUユニット100に表示装置やサポート装置などの機能を統合した構成を採用してもよい。
 (b2:カプラユニット200)
 図5は、本実施の形態に係る制御システム1を構成するカプラユニット200のハードウェア構成例を示すブロック図である。図5を参照して、カプラユニット200は、フィールドネットワークコントローラ202と、メインコントローラ210と、内部バスコントローラ204とを含む。
 フィールドネットワークコントローラ202は、フィールドネットワーク4を介してカプラユニット200とCPUユニット100とを電気的に接続するための通信インターフェイスに相当する。フィールドネットワークコントローラ202は、フィールドネットワーク4を介した定周期通信に参加するための通信スレーブとして機能する。
 メインコントローラ210は、プロセッサ212と、メモリ214と、ファームウェア216とを含む。プロセッサ212は、制御演算などを実行する演算処理部に相当し、CPU、MPU、GPUなどで構成される。具体的には、プロセッサ212は、ストレージに格納されたファームウェア216を読出して、メモリ214に展開して実行することで、フィールドネットワークコントローラ202と内部バスコントローラ204との間のデータ転送、および、後述するような状態管理などを実現する。
 内部バスコントローラ204は、内部バス24を介して1または複数の機能ユニットとカプラユニット200とを電気的に接続するための通信インターフェイスに相当する。内部バスコントローラ204は、内部バス24を介した定周期通信を行うための通信マスタとして機能する。
 (b3:セーフティコントローラ260)
 図6は、本実施の形態に係る制御システム1を構成するセーフティコントローラ260のハードウェア構成例を示すブロック図である。図6を参照して、セーフティコントローラ260は、内部バスコントローラ262と、メインコントローラ264とを含む。
 内部バスコントローラ262は、内部バス24を介してカプラユニット200とセーフティコントローラ260とを電気的に接続するための通信インターフェイスに相当する。内部バスコントローラ262は、内部バス24を介したデータ通信に参加するための通信スレーブとして機能する。
 メインコントローラ264は、プロセッサ266と、メモリ267と、ストレージ268とを含む。プロセッサ266は、制御演算などを実行する演算処理部に相当し、CPU、MPU、GPUなどで構成される。具体的には、プロセッサ266は、ストレージ268に格納されたセーフティプログラム269を読出して、メモリ267に展開して実行することで、セーフティ制御などを実現する。
 (b4:入出力ユニット150,250およびセーフティ入出力ユニット270)
 入出力ユニット150,250およびセーフティ入出力ユニット270のハードウェア構成は、図6に示すセーフティコントローラ260のハードウェア構成と同様であるので、ここでは、詳細な説明は繰返さない。他種類の機能ユニットのハードウェア構成についても同様である。
 (b5:セーフティ入出力ユニット300)
 セーフティ入出力ユニット300のハードウェア構成は、図5に示すカプラユニット200のハードウェア構成と図6に示すセーフティコントローラ260のハードウェア構成とを組み合わせたような構成であり、ここでは、詳細な説明は繰返さない。
 <C.エリア個別制御>
 次に、本実施の形態に係るカプラユニット200が有するエリア個別制御の機能について説明する。本実施の形態に係るエリア個別制御は、カプラユニット200に複数の機能ユニットが接続された場合に、一部の機能ユニットを他の機能ユニットとは独立して動作させるものである。
 図7は、本実施の形態に係るカプラユニット200が有するエリア個別制御を説明するための模式図である。図7を参照して、例えば、カプラユニット200には、6つの機能ユニット(機能ユニット00~05)が接続されているとする。これら6つの機能ユニットのうち、前半3つの機能ユニットと、後半3つの機能ユニットとをそれぞれ独立して動作させるように設定できる。それぞれ独立して動作する単位を「Sync Unit」とも記す。
 図7に示す例では、機能ユニット00~機能ユニット02を「Sync Unit0」として設定し、機能ユニット03~機能ユニット05を「Sync Unit1」として設定している。例えば、「Sync Unit0」に属する機能ユニットは、周期的に伝送される通信フレームを利用して標準制御を実行し、「Sync Unit1」に属する機能ユニットは、非同期で伝送されるセーフティ通信フレームを利用してセーフティ制御を実行する。
 このように、カプラユニット200は、カプラユニット200に接続される複数の機能ユニットを、標準制御用の周期的に伝送される通信フレーム(第1の通信フレーム)を利用する機能ユニット、および、セーフティ通信フレーム(第2の通信フレーム)を利用する機能ユニットとしてそれぞれ個別に設定する個別設定機能を有している。このような個別設定機能、すなわちエリア個別制御を利用することで、共通のカプラユニット200を利用して、標準制御およびセーフティ制御をそれぞれ独立して実行できる。
 <D.フィールドネットワーク上のデータ伝送>
 次に、フィールドネットワーク4上を伝送される、標準制御用の周期的に伝送される通信フレーム、および、セーフティ制御用の通信フレーム(セーフティ通信フレーム)の伝送形態について説明する。
 図8は、本実施の形態に係る制御システム1における通信フレームの伝送形態を説明するための模式図である。図8を参照して、標準制御用の通信フレームは、予め定められたフレーム送信周期T毎に、通信マスタであるCPUユニット100から送信される。通信フレームは、フィールドネットワーク4に接続される通信スレーブ間を順次転送される。通信フレームは、フィールドネットワーク4に接続される末端の通信スレーブまで到達すると、その末端の通信スレーブで折り返され、再度、フィールドネットワーク4を逆方向に順次転送され、通信マスタであるCPUユニット100まで戻る。通信フレームが転送される毎に、各通信スレーブは、通信フレームから必要なデータの読取り、および、通信フレームに対するデータの書込みを行う。
 なお、図8には、非リング状のフィールドネットワーク4の例を示すが、リング状のフィールドネットワーク4を採用した場合には、CPUユニット100から送信された通信フレームは、フィールドネットワーク4を一巡してCPUユニット100へ戻ることになる。
 一方、カプラユニット200_1に接続されるセーフティコントローラ260からの要求に応答して、カプラユニット200_1が生成するセーフティ通信フレームは、一旦、通信マスタであるCPUユニット100へ送信される。CPUユニット100は、セーフティ通信フレームを受信すると、受信したセーフティ通信フレームを複製して、そのまま本来の宛先であるカプラユニット200_1に接続されているセーフティ入出力ユニット270へ送信する。このような経路によって、セーフティ通信フレームは、送信元から宛先へ伝送される。
 このように、カプラユニット200は、セーフティコントローラ260からの要求に応答してセーフティ通信フレーム(第2の通信フレーム)をCPUユニット100へ送信する。一方、CPUユニット100は、カプラユニット200から受信したセーフティ通信フレームを送信先であるフィールド装置へ送信するフレーム転送機能を有している。
 このように、本実施の形態に係る制御システム1のフィールドネットワーク4は、同期フレームおよび非同期フレームを混在して伝送することが可能になっている。
 <E.カプラユニット200の状態遷移>
 次に、本実施の形態に係るカプラユニット200が取り得る状態の一例について説明する。
 図9は、本実施の形態に係るカプラユニット200の状態遷移の一例を示す図である。図9にはEtherCAT状態マシン(EtherCAT State Machine:ESM)をベースとした状態遷移の一例を示す。
 図9を参照して、カプラユニット200は、状態値として、INIT状態(ST1)と、Operational状態(ST2)と、Safe-Operational状態(ST3)と、Partial-Safe-Operational状態(ST4)と、Pre-Operational状態(ST5)とを含む。
 INIT状態(ST1)は、初期状態であり、何らの通信もできない状態を意味する。
 Operational状態(ST2)は、通常の動作状態であり、入力データ(計測値)および出力データ(指令)の伝送が可能な状態を意味する。このとき、メッセージ伝送も可能である。
 Safe-Operational状態(ST3)は、何らかの異常が発生したときに遷移する状態であり、入力データ(計測値)の伝送およびメッセージ伝送が可能である。この状態においては、機能ユニットにおける入力データの収集(入力リフレッシュ)は有効化されているが、出力データの出力(出力リフレッシュ)は「Safe」状態となり、停止されている。
 Parial-Safe-Operational状態(ST4)は、エリア個別制御が有効な場合に取り得る状態であり、Operational状態およびSafe-Operational状態が混在した状態に相当する。すなわち、同一のカプラユニット200に接続されている複数の機能ユニットのうち、あるSync Unitとして設定されている1または複数の機能ユニットはOperational状態であり、別のSync Unitとして設定されている1または複数の機能ユニットはSafe-Operational状態である。
 Pre-Operational状態(ST5)は、メッセージ伝送のみが可能な状態である。
 本実施の形態に係る通信スレーブであるカプラユニット200は、状況に応じて、上述したような5つの状態の間を遷移することになる。
 <F.解決される課題>
 次に、本実施の形態に係る制御システム1の上述したような構成および処理によって解決される課題について説明する。
 本実施の形態に係る制御システム1において、通信スレーブであるカプラユニット200には、標準制御を司る機能ユニットと、セーフティ制御を司る機能ユニットとを混在して接続することができる。関連技術においては、このような構成において、以下のような課題が生じ得る。
 図10は、本実施の形態に係る制御システム1が解決しようとする課題を説明するための模式図である。図10には、上述の図7と同様に、機能ユニット00~機能ユニット02が標準制御を司る「Sync Unit0」として設定され、機能ユニット03~機能ユニット05がセーフティ制御を司る「Sync Unit1」として設定されている例を示す。このとき、Sync Unit0は、周期的に伝送される通信フレームを用いるように設定されており(同期制御モード)、Sync Unit1は、非同期で伝送されるセーフティ通信フレームを用いるように設定されている。同期制御モードは、周期的に伝送される通信フレームと同期して指令を算出するモードであり、例えば、モーション制御のような指令を高速な周期毎に更新しなければならないアプリケーションに向けられている。
 このような設定において、関連技術においては、例えば、ノイズなどの影響を受けて、Sync Unit0での処理に用いる通信フレームの受信失敗が所定周期連続すると、通信スレーブであるカプラユニット200は、同期制御モードに必要な要件を満たしていないと判断し、伝送異常(同期異常)が発生したと検知する。そして、カプラユニット200は、Safe-Operational状態(図9に示すST3)に遷移する。その結果、Sync Unit1が利用するセーフティ通信フレームのデータ伝送に問題はなくても、Sync Unit1によるセーフティ制御は停止してしまう。
 これに対して、本実施の形態に係るカプラユニット200においては、伝送異常が発生したとしても、セーフティ通信フレームの伝送が正常であれば、当該セーフティ通信フレームを利用する機能ユニット(Sync Unit)については、動作を継続させる。
 すなわち、本実施の形態に係るカプラユニット200において、接続される機能ユニットが利用する通信フレームに依存して、動作を停止する状態と、そのまま動作を継続できる状態とのいずれかに遷移できるようになっている。
 図11は、本実施の形態に係る制御システム1が解決しようとする別の課題を説明するための模式図である。図11には、上述の図7と同様に、機能ユニット00~機能ユニット02が標準制御を司る「Sync Unit0」として設定され、機能ユニット03~機能ユニット05がセーフティ制御を司る「Sync Unit1」として設定されている例を示す。
 図11を参照して、例えば、通信マスタであるCPUユニット100が保守または何らかのエラーにより、標準制御用の周期的に伝送される通信フレームの伝送を停止した場合には、通信スレーブであるカプラユニット200は、通信フレームを受信できない期間が予め定められた期間を超えると、通信スレーブであるカプラユニット200は、何らかの伝送異常(WDT(WatchDog Timer)異常)が発生したと検知し、Safe-Operational状態(図9に示すST3)に遷移する。その結果、Sync Unit1が利用するセーフティ通信フレームのデータ伝送に問題はなくても、Sync Unit1によるセーフティ制御は停止してしまう。
 これに対して、本実施の形態に係るカプラユニット200においては、伝送異常が発生したとしても、セーフティ通信フレームの伝送が正常であれば、当該セーフティ通信フレームを利用する機能ユニット(Sync Unit)については、動作を継続させる。
 すなわち、本実施の形態に係るカプラユニット200において、接続される機能ユニットが利用する通信フレームに依存して、動作を停止する状態と、そのまま動作を継続できる状態とのいずれかに遷移できるようになっている。
 <G.カプラユニット200における処理手順>
 次に、本実施の形態に係る制御システム1の通信スレーブであるカプラユニット200における処理手順について説明する。
 図12は、本実施の形態に係る制御システム1のカプラユニット200における処理手順を示すフローチャートである。図12に示す各ステップは、カプラユニット200のプロセッサ212がファームウェア216を実行することで実現されてもよい。
 図12を参照して、カプラユニット200は、通信フレームの周期的な受信を監視して、伝送異常が発生したか否かを判断する(ステップS100)。通信フレームの周期的な受信を監視方法として、図10に示す同期異常、および、図11に示すWDT異常の少なくとも一方を用いてもよい。
 図10に示す同期異常は、周期的に伝送される通信フレームを用いる制御(同期制御モード)が設定されている場合において、通信フレームの受信失敗が所定周期連続した、すなわち、通信フレームの受信が所定周期にわたってない状態を検知するものである。
 また、図11に示すWDT異常は、通信フレームを受信できない期間が予め定められた期間を超えた、すなわち、通信フレームの受信が予め定められた期間においてない状態を検知するものである。
 伝送異常が発生していなければ(ステップS100においてNO)、ステップS100の処理が繰返される。
 一方、伝送異常を検知すると(ステップS100においてYES)、カプラユニット200は、カプラユニット200に接続されている機能ユニットの構成に基づいて、カプラユニット200に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態(図9に示すSafe-Operational状態)と、カプラユニット200に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態(図9に示すPartial-Safe-Operational状態)とのいずれかに遷移する。
 より具体的には、カプラユニット200は、エリア個別制御が設定されているか否かを判断する(ステップS102)。エリア個別制御が設定されていなければ(ステップS102においてNO)、カプラユニット200は、ステップS120以下の処理を実行する。
 エリア個別制御が設定されていれば(ステップS102においてYES)、カプラユニット200は、セーフティ通信フレームを利用したセーフティ制御が存在するか否かを判断する(ステップS104)。セーフティ通信フレームを利用したセーフティ制御が存在していなければ(ステップS104においてNO)、カプラユニット200は、ステップS120以下の処理を実行する。
 セーフティ通信フレームを利用したセーフティ制御が存在していれば(ステップS104においてYES)、カプラユニット200は、検知された伝送の異常がセーフティ通信フレーム以外の通信であるか否かを判断する(ステップS106)。検知された伝送の異常がセーフティ通信フレームに係る通信であれば(ステップS106においてNO)、カプラユニット200は、ステップS120以下の処理を実行する。
 検知された伝送の異常がセーフティ通信フレーム以外の通信であれば(ステップS106においてYES)、カプラユニット200は、Parial-Safe-Operational状態への遷移を通信マスタであるCPUユニット100へ通知し(ステップS110)、Operational状態からParial-Safe-Operational状態へ遷移する(ステップS112)。そして、カプラユニット200は、伝送異常を検知したエリア(すなわち、対象のSync Unitに含まれる1または複数の機能ユニット)の信号出力を設定に従って制御する(ステップS114)。そして、通信異常を検知したときの処理は終了する。
 このようなParial-Safe-Operational状態において、セーフティコントローラ260は、セーフティ通信フレームの伝送、および、信号出力の更新を継続することになる。また、セーフティ入出力ユニット270は、信号出力の更新を継続することになる。すなわち、セーフティ制御は継続される。
 一方、ステップS120において、カプラユニット200は、Safe-Operational状態へ遷移を通信マスタであるCPUユニット100へ通知し(ステップS120)、Operational状態からSafe-Operational状態へ遷移する(ステップS122)。この状態遷移に伴なって、カプラユニット200は、カプラユニット200に接続されているすべての機能ユニットの信号出力を無効化する(ステップS124)。続いて、カプラユニット200は、それぞれの機能ユニットの信号出力を設定に従って制御する(ステップS126)。そして、通信異常を検知したときの処理は終了する。
 上述の処理手順のステップS110およびS120におけるCPUユニット100への通知においては、それぞれの状態を識別できる態様でその内容が送信されることが好ましい。
 図13は、本実施の形態に係る制御システム1のカプラユニット200からCPUユニット100への通知フレームの一部を示す模式図である。図13を参照して、通信スレーブの状態を示す通知フレームには、少なくとも、「スレーブ異常」のビット、および、「エリア個別異常」のビットを含む。「スレーブ異常」は、Safe-Operational状態に対応するものであり、TRUEに設定されると、Safe-Operational状態への遷移を意味し、「エリア個別異常」は、Partial-Safe-Operational状態に対応するものであり、TRUEに設定されると、Partial-Safe-Operational状態への遷移を意味する。
 図13に示すような通知フレームは、EtherCATにおいて用いられるALステータスフレームを利用することができる。ALステータスフレームは、リザーブされた未使用ビットを含んでおり、この未使用ビットに、「エリア個別異常」を割り当てることで、既存のシステムとも互換性を維持できる。
 また、上述の処理手順のステップS114およびS126における信号出力を設定に従った制御する処理の内容については、典型的には、予め設定されたデフォルト値(例えば、デジタル出力であれば、「ON」(ノーマリーオン)および「OFF」(ノーマリーオフ)のいずれか一方)を出力するようにしてもよい。あるいは、伝送異常が発生する直前に出力されていた値をそのまま維持するようにしてもよい。あるいは、伝送異常が発生する直前に受信されていた出力データを反映するようにしてもよい。
 さらに、カプラユニット200に接続される機能ユニットの情報(プロファイル情報)を参照して、各機能ユニットの種類または用途などに応じた値を出力するようにしてもよい。
 <H.カプラユニット200の機能構成>
 次に、本実施の形態に係る制御システム1の通信スレーブであるカプラユニット200における機能構成の一例について説明する。
 図14は、本実施の形態に係る制御システム1のカプラユニット200の機能構成を示す模式図である。図14に示す各モジュールは、カプラユニット200のプロセッサ212がファームウェア216を実行することで実現されてもよい。
 図14を参照して、カプラユニット200は、その機能構成として、通信フレーム転送モジュール2002と、通信フレームバッファ2004と、通信フレームマネジャー2006と、異常検知モジュール2008と、セーフティ通信フレームバッファ2014と、セーフティ通信フレームマネジャー2016と、異常検知モジュール2018と、選択モジュール2020と、個別設定モジュール2022と、状態遷移モジュール2030と、通知モジュール2032と、出力制御モジュール2042とを含む。
 通信フレーム転送モジュール2002は、フィールドネットワーク4上を伝送される通信フレームおよびセーフティ通信フレームの受信および送信を管理する。通信フレーム転送モジュール2002は、前段から受信した通信フレームおよびセーフティ通信フレームをそれぞれバッファへ出力するとともに、受信した通信フレームおよびセーフティ通信フレームに必要なデータを書込んで後段へ送信する。
 通信フレームバッファ2004は、通信フレーム転送モジュール2002により受信された通信フレームをバッファリングするとともに、標準制御を司る機能ユニットで収集されたデータ(入力データ/計測値)をバッファリングする。
 通信フレームマネジャー2006は、通信フレームバッファ2004にバッファリングされる通信フレームを、通信フレームを利用する機能ユニットに対して、提供するとともに、通信フレームを利用する機能ユニットからの要求に応答して、受信される通信フレームに対して書込むべきデータを生成する。
 異常検知モジュール2008は、通信フレームの周期的な受信を監視して、伝送異常を検知する。より具体的には、異常検知モジュール2008は、先の通信フレームを受信してから後続の通信フレームを受信するまでの時間または周期などを監視することで、同期異常またはWDT異常を検知する。
 セーフティ通信フレームバッファ2014は、通信フレーム転送モジュール2002により受信されたセーフティ通信フレームをバッファリングするとともに、セーフティ制御を司る機能ユニットで収集されたデータ(入力データ/計測値)、および、セーフティ制御を司る機能ユニットからの要求をバッファリングする。
 セーフティ通信フレームマネジャー2016は、セーフティ通信フレームバッファ2014にバッファリングされるセーフティ通信フレームを、セーフティ通信フレームを利用する機能ユニットに対して、提供するとともに、セーフティ通信フレームを利用する機能ユニットからの要求に応答して、セーフティ通信フレームを構成するためのデータを生成する。
 異常検知モジュール2018は、セーフティ通信フレームの受信状態を監視して、セーフティ通信フレームの伝送異常を検知する。
 選択モジュール2020は、通信フレームマネジャー2006およびセーフティ通信フレームマネジャー2016と論理的に結合すべき機能ユニットを選択する。
 個別設定モジュール2022は、予め用意された個別設定情報2024を参照して、選択モジュール2020による機能ユニットの選択を制御する。このように、個別設定モジュール2022は、選択モジュール2020と連係して、カプラユニット200に接続される複数の機能ユニットを、通信フレームを利用する機能ユニット、および、セーフティ通信フレームを利用する機能ユニットとしてそれぞれ個別に設定する。
 状態遷移モジュール2030は、異常検知モジュール2008および異常検知モジュール2018からの伝送異常検知のイベント、ならびに、個別設定モジュール2022からの機能モジュールに対するエリア個別制御の情報に基づいて、カプラユニット200の状態を遷移させる。より具体的には、状態遷移モジュール2030は、異常検知モジュール2008により伝送異常が検知されたときに、カプラユニット200に接続されている機能ユニットの構成に基づいて、カプラユニット200に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態(図9に示すSafe-Operational状態)と、カプラユニット200に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態(図9に示すPartial-Safe-Operational状態)とのいずれかに遷移する。
 なお、状態遷移モジュール2030は、異常検知モジュール2018により伝送異常が検知されると、カプラユニット200に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態(図9に示すSafe-Operational状態)に遷移する。すなわち、セーフティ通信フレームの伝送異常が検知した場合には、標準制御用の通信フレームの伝送異常より重大な異常であるとみなして、Safe-Operational状態に遷移する。
 通知モジュール2032は、状態遷移モジュール2030による状態遷移を通信マスタへ通知する。より具体的には、通知モジュール2032は、異常検知モジュール2008により伝送異常が検知されたときに、CPUユニット100に対して、遷移先の状態を示す情報を通知する。この通知内容としては、上述の図13に示すような通知フレームが用いられる。
 出力制御モジュール2042は、状態遷移モジュール2030による状態遷移に応答して、カプラユニット200に接続されている機能ユニットの信号出力の値を制御する。より具体的には、出力制御モジュール2042は、信号出力を無効化された機能ユニットについて、予め定められた出力設定2044に従って、無効化後の信号出力の内容を決定する。
 以上のような機能構成によって、本実施の形態に係る状態遷移が実現される。
 <I.その他>
 上述したような伝送異常(WDT異常)を検知するためのしきい時間は、Sync Unit毎に個別に設定してもよい。各しきい時間は、通信マスタであるCPUユニット100からカプラユニット200へのメッセージ伝送を利用して設定してもよい。
 また、伝送異常が検知されて機能ユニットの信号出力を無効化したときの振る舞いを予め設定しておいてもよい。この設定は、Sync Unit単位でもよいし、機能ユニット単位であってもよい。
 上述の図12に示す処理手順に示すように、Partial-Safe-Operational状態において、一部の機能ユニットは信号出力の更新を継続する。但し、複数回の伝送異常の検知によって、すべての機能ユニットについて信号出力が無効化された場合には、Partial-Safe-Operational状態を維持する必要はなくなるので、自動的に、Safe-Operational状態へ遷移するようにしてもよい。
 なお、エリア個別制御を設定する際に、Sync Unit毎にPartial-Safe-Operational状態への遷移を有効にするか、無効にするかを設定できるようにしてもよい。Partial-Safe-Operational状態への遷移が無効化されると、関連技術と同様に、何らかの伝送異常が検知されると、Partial-Safe-Operational状態を経ることなく、Safe-Operational状態へ遷移する。
 <J.付記>
 上述したような本実施の形態は、以下のような技術思想を含む。
[構成1]
 通信マスタとして機能する制御装置(100)と、
 前記制御装置とネットワーク接続される中継装置(200)と、
 前記制御装置とネットワーク接続される1または複数のフィールド装置(10)とを備え、
 前記中継装置には、1または複数の機能ユニット(250,260)が接続されており、
 前記制御装置は、ネットワークにおける第1の通信フレームの周期的な伝送を管理する伝送管理手段(120)を備え、
 前記中継装置は、
  前記第1の通信フレームの周期的な受信を監視して、伝送異常を検知する第1の異常検知手段(2008)と、
  前記第1の異常検知手段により伝送異常が検知されたときに、前記中継装置に接続されている機能ユニットの構成に基づいて、前記中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態(ST3)と、前記中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態(ST4)とのいずれかに遷移する状態遷移手段(2030)とを備える、制御システム。
[構成2]
 前記1または複数の機能ユニットは、セーフティコントローラ(260)およびセーフティ入出力ユニット(270)の少なくとも一方を含み、
 前記第2の状態において、前記セーフティコントローラおよびセーフティ入出力ユニットについては、信号出力の更新を継続する、構成1に記載の制御システム。
[構成3]
 前記セーフティコントローラおよびセーフティ入出力ユニットは、周期的に伝送される第1の通信フレームとは異なる第2の通信フレームを用いて、前記フィールド装置との間でデータを遣り取りする、構成2に記載の制御システム。
[構成4]
 前記中継装置は、前記セーフティコントローラおよびセーフティ入出力ユニットの少なくとも一方からの要求に応答して前記第2の通信フレームを前記制御装置へ送信し、
 前記制御装置は、前記中継装置から受信した前記第2の通信フレームを前記フィールド装置へ送信するフレーム転送手段(120)をさらに備える、構成3に記載の制御システム。
[構成5]
 前記中継装置は、前記中継装置に接続される複数の機能ユニットを、前記第1の通信フレームを利用する機能ユニット、および、前記第2の通信フレームを利用する機能ユニットとしてそれぞれ個別に設定する個別設定手段(2022)をさらに備える、構成3または4に記載の制御システム。
[構成6]
 前記中継装置は、前記第2の通信フレームの伝送異常を検知する第2の異常検知手段(2018)をさらに備え、
 前記状態遷移手段は、前記第2の異常検知手段により伝送の異常が検知されると、前記第1の状態に遷移する、構成3~5のいずれか1項に記載の制御システム。
[構成7]
 前記中継装置は、前記第1の異常検知手段により伝送異常が検知されたときに、前記制御装置に対して、遷移先の状態を示す情報を通知する通知手段(2032)をさらに備える、構成1~6のいずれか1項に記載の制御システム。
[構成8]
 前記中継装置は、信号出力を無効化された機能ユニットについて、予め定められた設定に従って、無効化後の信号出力の内容を決定する出力決定手段(2042)をさらに備える、構成1~7のいずれか1項に記載の制御システム。
[構成9]
 制御システム(1)の通信制御方法であって、前記制御システムは、通信マスタとして機能する制御装置(100)と、前記制御装置とネットワーク接続される中継装置(200)と、前記制御装置とネットワーク接続される1または複数のフィールド装置(10)とを備えており、
 前記中継装置には、1または複数の機能ユニット(250,260,270)が接続されており、
 前記制御装置が、ネットワークにおける第1の通信フレームの周期的な伝送を管理するステップと、
 前記中継装置が、前記第1の通信フレームの周期的な受信を監視して、伝送異常を検知するステップ(S100)と、
 前記第1の通信フレームについての伝送異常が検知されたときに、前記中継装置に接続されている機能ユニットの構成に基づいて、前記中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態(ST3)と、前記中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態(ST4)とのいずれかに遷移するステップ(S102~S106)とを備える、制御システムの通信制御方法。
[構成10]
 制御システム(1)を構成する中継装置(200)であって、前記制御システムは、前記中継装置がネットワーク接続される、通信マスタとして機能する制御装置(100)と、前記制御装置とネットワーク接続される1または複数のフィールド装置(10)とを備え、
 前記中継装置には、1または複数の機能ユニット(250,260,270)が接続されており、
 前記制御装置は、ネットワークにおける第1の通信フレームの周期的な伝送を管理する伝送管理手段(120)を備え、
 前記中継装置は、
  前記第1の通信フレームの周期的な受信を監視して、伝送異常を検知する第1の異常検知手段(2008)と、
  前記第1の異常検知手段により伝送異常が検知されたときに、前記中継装置に接続されている機能ユニットの構成に基づいて、前記中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態(ST3)と、前記中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態(ST4)とのいずれかに遷移する状態遷移手段(2030)とを備える、中継装置。
 <K.利点>
 本実施の形態に係る制御システムは、複数の機能ユニットが接続されたカプラユニットに対して、エリア個別制御を設定するとともに、それぞれの制御が利用する通信フレームが異なるような場合において、一方の制御で利用する通信フレームの伝送異常が発生したとしても、他方の制御で利用する通信フレームの伝送が正常であれば、当該他方の制御を停止することなく、継続する。このように、共通のカプラユニットを利用して、それぞれ異なる制御を実現するような制御システムにおいて、伝送異常の検知およびそれに伴なう必要な処置を合理的に行うことができる。
 上述したような複数の制御としては、例えば、高速かつ同期通信が要求される標準制御と、低速かつ非同期通信を利用するセーフティ制御との組み合わせが想定される。標準制御において、通信フレームのロストや構成変更などによって、同期を維持できない場合には、同期異常が発生するが、セーフティ制御においては、非同期の通信フレームを利用できるので、セーフティ制御のみを維持する専用の状態へ遷移することになる。
 また、通信マスタであるマスタ装置における標準制御に係るアプリケーションの停止(例えば、保守や致命的な異常の発生)により、通信フレームが届かなくなると、通信スレーブ側は異常を検知する。このような場合においても、セーフティ制御においては、非同期の通信フレームを利用できるので、セーフティ制御のみを維持する専用の状態へ遷移することになる。
 このように、本実施の形態に係る制御システム1は、共通のカプラユニットに複数の機能ユニットを接続し、これらの機能ユニットを用いてそれぞれ異なる制御を実行させるような構成において、一方の制御で発生した伝送異常の影響を他方の制御へ極力及ぼさないように、それぞれを独立化できる。
 今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
 1 制御システム、2 マスタ装置、4 フィールドネットワーク、6 リモートIO装置、8 上位ネットワーク、10 サーボドライバ、12 サーボモータ、14,24 内部バス、100 CPUユニット、102,212,266 プロセッサ、104 チップセット、106,214,267 メモリ、108,268 ストレージ、110 ネットワークコントローラ、112 USBコントローラ、114 メモリカードインターフェイス、116 メモリカード、118,204,262 内部バスコントローラ、120,202 フィールドネットワークコントローラ、126 カウンタ、128 RTC、150,250 入出力ユニット、200 カプラユニット、210,264 メインコントローラ、216 ファームウェア、260 セーフティコントローラ、269 セーフティプログラム、270,300 セーフティ入出力ユニット、2002 通信フレーム転送モジュール、2004 通信フレームバッファ、2006 通信フレームマネジャー、2008,2018 異常検知モジュール、2014 セーフティ通信フレームバッファ、2016 セーフティ通信フレームマネジャー、2020 選択モジュール、2022 個別設定モジュール、2024 個別設定情報、2030 状態遷移モジュール、2032 通知モジュール、2042 出力制御モジュール、2044 出力設定、T フレーム送信周期。

Claims (10)

  1.  通信マスタとして機能する制御装置と、
     前記制御装置とネットワーク接続される中継装置と、
     前記制御装置とネットワーク接続される1または複数のフィールド装置とを備え、
     前記中継装置には、1または複数の機能ユニットが接続されており、
     前記制御装置は、ネットワークにおける第1の通信フレームの周期的な伝送を管理する伝送管理手段を備え、
     前記中継装置は、
      前記第1の通信フレームの周期的な受信を監視して、伝送異常を検知する第1の異常検知手段と、
      前記第1の異常検知手段により伝送異常が検知されたときに、前記中継装置に接続されている機能ユニットの構成に基づいて、前記中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、前記中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのいずれかに遷移する状態遷移手段とを備える、制御システム。
  2.  前記1または複数の機能ユニットは、セーフティコントローラおよびセーフティ入出力ユニットの少なくとも一方を含み、
     前記第2の状態において、前記セーフティコントローラおよび前記セーフティ入出力ユニットについては、信号出力の更新を継続する、請求項1に記載の制御システム。
  3.  前記セーフティコントローラおよび前記セーフティ入出力ユニットは、周期的に伝送される第1の通信フレームとは異なる第2の通信フレームを用いて、前記フィールド装置との間でデータを遣り取りする、請求項2に記載の制御システム。
  4.  前記中継装置は、前記セーフティコントローラおよび前記セーフティ入出力ユニットの少なくとも一方からの要求に応答して前記第2の通信フレームを前記制御装置へ送信し、
     前記制御装置は、前記中継装置から受信した前記第2の通信フレームを前記フィールド装置へ送信するフレーム転送手段をさらに備える、請求項3に記載の制御システム。
  5.  前記中継装置は、前記中継装置に接続される複数の機能ユニットを、前記第1の通信フレームを利用する機能ユニット、および、前記第2の通信フレームを利用する機能ユニットとしてそれぞれ個別に設定する個別設定手段をさらに備える、請求項3または4に記載の制御システム。
  6.  前記中継装置は、前記第2の通信フレームの伝送異常を検知する第2の異常検知手段をさらに備え、
     前記状態遷移手段は、前記第2の異常検知手段により伝送の異常が検知されると、前記第1の状態に遷移する、請求項3~5のいずれか1項に記載の制御システム。
  7.  前記中継装置は、前記第1の異常検知手段により伝送異常が検知されたときに、前記制御装置に対して、遷移先の状態を示す情報を通知する通知手段をさらに備える、請求項1~6のいずれか1項に記載の制御システム。
  8.  前記中継装置は、信号出力を無効化された機能ユニットについて、予め定められた設定に従って、無効化後の信号出力の内容を決定する出力決定手段をさらに備える、請求項1~7のいずれか1項に記載の制御システム。
  9.  制御システムの通信制御方法であって、前記制御システムは、通信マスタとして機能する制御装置と、前記制御装置とネットワーク接続される中継装置と、前記制御装置とネットワーク接続される1または複数のフィールド装置とを備えており、
     前記中継装置には、1または複数の機能ユニットが接続されており、
     前記制御装置が、ネットワークにおける第1の通信フレームの周期的な伝送を管理するステップと、
     前記中継装置が、前記第1の通信フレームの周期的な受信を監視して、伝送異常を検知するステップと、
     前記第1の通信フレームについての伝送異常が検知されたときに、前記中継装置に接続されている機能ユニットの構成に基づいて、前記中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、前記中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのいずれかに遷移するステップとを備える、制御システムの通信制御方法。
  10.  制御システムを構成する中継装置であって、前記制御システムは、前記中継装置がネットワーク接続される、通信マスタとして機能する制御装置と、前記制御装置とネットワーク接続される1または複数のフィールド装置とを備え、
     前記中継装置には、1または複数の機能ユニットが接続されており、
     前記制御装置は、ネットワークにおける第1の通信フレームの周期的な伝送を管理する伝送管理手段を備え、
     前記中継装置は、
      前記第1の通信フレームの周期的な受信を監視して、伝送異常を検知する第1の異常検知手段と、
      前記第1の異常検知手段により伝送異常が検知されたときに、前記中継装置に接続されている機能ユニットの構成に基づいて、前記中継装置に接続されているすべての機能ユニットについて信号出力を無効化する第1の状態と、前記中継装置に接続されている一部の機能ユニットについて信号出力の更新を継続する第2の状態とのいずれかに遷移する状態遷移手段とを備える、中継装置。
PCT/JP2018/035603 2017-10-26 2018-09-26 制御システム、制御システムの通信制御方法、および中継装置 WO2019082579A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US16/643,581 US11340574B2 (en) 2017-10-26 2018-09-26 Control system, communication control method for control system, and junction device
EP18870952.1A EP3702851B1 (en) 2017-10-26 2018-09-26 Control system, communication control method for control system, and relay device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017207238A JP6897494B2 (ja) 2017-10-26 2017-10-26 制御システム、制御システムの通信制御方法、および中継装置
JP2017-207238 2017-10-26

Publications (1)

Publication Number Publication Date
WO2019082579A1 true WO2019082579A1 (ja) 2019-05-02

Family

ID=66247382

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2018/035603 WO2019082579A1 (ja) 2017-10-26 2018-09-26 制御システム、制御システムの通信制御方法、および中継装置

Country Status (4)

Country Link
US (1) US11340574B2 (ja)
EP (1) EP3702851B1 (ja)
JP (1) JP6897494B2 (ja)
WO (1) WO2019082579A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112099422A (zh) * 2019-06-18 2020-12-18 罗伯特·博世有限公司 用于安全运行自动化系统组件的安全模块
CN112099422B (zh) * 2019-06-18 2024-10-29 罗伯特·博世有限公司 用于安全运行自动化系统组件的安全模块

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10892911B2 (en) * 2018-08-28 2021-01-12 Texas Instruments Incorporated Controller area network receiver
DE102018129774A1 (de) * 2018-11-26 2020-05-28 Beckhoff Automation Gmbh Verfahren zum Betreiben eines Netzwerkteilnehmers und Netzwerkteilnehmer
IT201900012081A1 (it) * 2019-07-17 2021-01-17 Eurofork S P A Magazzino automatizzato con sistema di accesso sicuro
JP2022109780A (ja) * 2021-01-15 2022-07-28 オムロン株式会社 通信ユニット、ネットワークシステム、出力ユニットの制御方法および制御プログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150211A (ja) * 2001-11-12 2003-05-23 Omron Corp 制御システム及びスレーブ並びに制御情報収集装置及び制御情報収集方法
JP2009146039A (ja) 2007-12-12 2009-07-02 Omron Corp セーフティ・コントロール・システム
JP2012235335A (ja) * 2011-05-02 2012-11-29 Hitachi Ltd 装置間ケーブルの誤接続検出方法及び装置
JP2017151934A (ja) * 2016-02-26 2017-08-31 オムロン株式会社 プログラマブルコントローラ、プログラマブルコントローラの制御方法、プログラマブルコントローラの制御プログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017151496A (ja) 2016-02-22 2017-08-31 ルネサスエレクトロニクス株式会社 安全監視装置、ネットワークシステム、安全監視方法
US10650621B1 (en) * 2016-09-13 2020-05-12 Iocurrents, Inc. Interfacing with a vehicular controller area network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150211A (ja) * 2001-11-12 2003-05-23 Omron Corp 制御システム及びスレーブ並びに制御情報収集装置及び制御情報収集方法
JP2009146039A (ja) 2007-12-12 2009-07-02 Omron Corp セーフティ・コントロール・システム
JP2012235335A (ja) * 2011-05-02 2012-11-29 Hitachi Ltd 装置間ケーブルの誤接続検出方法及び装置
JP2017151934A (ja) * 2016-02-26 2017-08-31 オムロン株式会社 プログラマブルコントローラ、プログラマブルコントローラの制御方法、プログラマブルコントローラの制御プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP3702851A4

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112099422A (zh) * 2019-06-18 2020-12-18 罗伯特·博世有限公司 用于安全运行自动化系统组件的安全模块
CN112099422B (zh) * 2019-06-18 2024-10-29 罗伯特·博世有限公司 用于安全运行自动化系统组件的安全模块

Also Published As

Publication number Publication date
JP6897494B2 (ja) 2021-06-30
US20210157293A1 (en) 2021-05-27
JP2019079395A (ja) 2019-05-23
US11340574B2 (en) 2022-05-24
EP3702851A1 (en) 2020-09-02
EP3702851B1 (en) 2022-11-09
EP3702851A4 (en) 2021-07-14

Similar Documents

Publication Publication Date Title
WO2019082579A1 (ja) 制御システム、制御システムの通信制御方法、および中継装置
CN102122157B (zh) 保持原系统功能和性能的冗余架构控制系统和方法
JP6299640B2 (ja) 通信装置
US10908583B2 (en) Safety control system and safety control unit
US20220147022A1 (en) Control system
JP6747525B2 (ja) セーフティシステムおよびセーフティコントローラ
KR20150079418A (ko) 시설 관리 시스템 및 이력 기록 방법
JP6830608B2 (ja) 通信システム、被制御機器、及び、通信システムの制御方法
JP2012208706A (ja) 冗長コントローラ
JP6969371B2 (ja) 制御システムおよび制御装置
JP7220997B2 (ja) 施設監視システム、および、施設監視システムにおける通信方法
KR101294308B1 (ko) 설비 관제 시스템 및 이의 운전 방법
JP2007072980A (ja) 計算機制御システム
WO2022113383A1 (ja) 制御装置、通信制御方法、および制御プログラム
JP6321393B2 (ja) マスタスレーブ相互間中継装置およびその中継方法
WO2023248548A1 (ja) 制御システム、中継装置および通信方法
US20220308563A1 (en) Controller and control method
WO2022113384A1 (ja) 制御装置、通信制御方法、および制御プログラム
JP2019114073A (ja) プログラマブルコントローラ及び二重化システム
JP2013254333A (ja) 多重系制御システム及びその制御方法
JP3166127B2 (ja) Lan切替方式及び電力系統監視制御システム
JP2004078425A (ja) 二重化制御システムの二重化切換方法
JP6330448B2 (ja) 制御システム、制御装置、および中継装置
JP2004171511A (ja) 無停電電源装置の管理・制御方法
JP2024000665A (ja) 制御システム、中継装置および通信方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18870952

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2018870952

Country of ref document: EP

Effective date: 20200526