WO2020183559A1

WO2020183559A1 - 安全制御装置および安全制御システム

Info

Publication number: WO2020183559A1
Application number: PCT/JP2019/009653
Authority: WO
Inventors: 悠廣川; 瞬也長谷川; 博史元丸; 麻紀原田
Original assignee: 三菱電機株式会社
Priority date: 2019-03-11
Filing date: 2019-03-11
Publication date: 2020-09-17
Also published as: CN113557481A; CN113557481B; JPWO2020183559A1; JP6635238B1

Abstract

安全制御装置（２）は、外部の安全入力機器（５０）からの安全入力信号を、安全専用バス（８）を介して受信し、制御対象の機器に対して安全出力信号を送信することで安全制御を行うと共に、ＣＰＵバス（９）を介して接続される安全制御以外の制御を行う一般制御用装置（４）に対して、安全入力信号および安全出力信号を含む安全制御データを送信し、電気信号が入力される入力部（６ａ）と出力される出力部（６ｂ）を有する電子部品（６）を備え、電子部品（６）は、安全制御データを、一旦、光又は磁気に変換し、次に電気信号に変換して、出力部（６ｂ）を経由してＣＰＵバス（９）を介して一般制御用装置（４）に送信し、一般制御用装置（４）からの制御データの受信を遮断する。

Description

安全制御装置および安全制御システム

　本発明は、安全機能を実行する安全制御装置および安全制御システムに関する。

　ロボット機械やプレス機などを使用する工場などでは、安全性の高い制御が要求されるため、安全機能を備えた制御システムが導入されている。安全機能とは、いわゆるフェールセーフ機能のことであり、例えば、コントローラなどの制御で異常が生じた場合は、制御を停止させるとともに、制御対象の機器等が安全な状態を保てるように安全制御を行う機能をいう。

　特許文献１においては、安全制御を行う安全制御装置である安全コントローラと、安全制御以外の制御を行う一般装置である非安全コントローラとを、ＣＰＵバスでバス接続してシステム全体を連携している。安全コントローラは、他の安全ユニットと安全専用バスでバス接続され、安全機能を実現している。

特開２００７－１９３８４３号公報

　特許文献１に記載の安全コントローラおよびシステムでは、安全コントローラと、非安全コントローラを、ＣＰＵバスによりバス接続させて連結しているため、安全コントローラが非安全コントローラの制御データを取り込む可能性がある。安全コントローラが非安全コントローラの制御データを安全制御に利用すると、安全機能が保証されなくなるため、特許文献１に記載の安全コントローラおよびシステムでは、例えばファームウェア等により、制御データの入力を拒否するような設定をしている。しかし、当該ファームウェア等にバグ等が生じた場合は、安全機能が保証されなくなる可能性があるという課題があった。

　本発明は、上述のような問題を解決するためになされたもので、安全制御装置と一般制御用装置が連結されている場合において、一般制御用の制御データが安全制御に影響を与えず、安全機能が保証される安全制御装置および安全制御システムを提供することを目的とする。

上述した課題を解決し、目的を達成するために、本発明にかかる安全制御装置は、外部の安全入力機器からの安全入力信号を、安全専用バスを介して受信し、制御対象の機器に対して安全出力信号を送信することで安全制御を行うと共に、ＣＰＵバスを介して接続される安全制御とは異なる制御を行う一般制御用装置に対して、安全入力信号および安全出力信号である安全制御データを送信する。安全制御装置は、電気信号が入力される入力部と電気信号が出力される出力部を有する電子部品を備える。電子部品は、安全専用バスを介して入力部にて受信した、電気信号である安全制御データを、一旦、光又は磁気に変換し、次に電気信号に変換して、出力部を経由してＣＰＵバスを介して一般制御用装置に送信し、一般制御用装置からの制御データの受信を遮断する。

さらに、本発明に係る安全制御システムは、外部の安全入力機器からの安全入力信号により、制御対象の機器に対して、安全制御の安全出力信号を送信する安全用制御回路を有する安全制御装置と、ＣＰＵユニットを含む、安全制御とは異なる制御を行う複数の一般制御用装置と、安全入力信号および安全出力信号である安全制御データを、他のユニットへ送信するために用いられる安全専用バス、および、一般制御用装置内の制御データの通信を行うＣＰＵバスの調停を行う調停用制御回路と、安全用制御回路側に、安全制御データが入力される入力部が設けられ、調停用制御回路側に、安全制御データが出力される出力部が設けられた電子部品と、を備える。電子部品は、安全専用バスを介して入力部にて受信した、電気信号である安全制御データを、一旦、光又は磁気に変換し、次に電気信号に変換して、出力部を経由してＣＰＵバスを介して一般制御用装置に送信し、一般制御用装置からの制御データの受信を遮断する。

　本発明に係る安全制御装置および安全制御システムによれば、安全制御装置に設けた電子部品により、電気信号である安全制御データを一旦、光又は磁気に変換し、次に電気信号に変換してＣＰＵバスに送信し、一般制御用装置からの制御データの受信は遮断することができるため一般制御用装置の制御データが安全制御装置に送信されず、システムの安全機能を保証することができる。

本発明の実施の形態１に係る安全制御装置を備えた安全制御システムの構成を示す図である。本発明の実施の形態１の安全制御装置の構成を示す図である。本発明の実施の形態１に係る安全制御装置の調停用制御回路の構成を示す図である。本発明の実施の形態２に係る安全制御システムの構成を示す図である。本発明の実施の形態３に係る安全制御システムの構成を示す図である。

以下に、本発明の実施の形態に係る安全制御装置および安全制御システムを、図面を用いて説明する。各実施の形態に共通する構成要素には、同じ符号を付して説明を省略する。なお、この実施の形態により発明が限定されるものではない。

実施の形態１．
図１は、本発明の実施の形態１に係る安全制御装置を備えた安全制御システムの構成を示す図である。安全制御システム１００は、電源を供給する電源１ａ、１ｂ、安全制御を行う安全制御装置である安全ＣＰＵユニット２、安全入出力ユニット３、安全制御以外の制御を行う一般制御用装置４であるＣＰＵユニット４ａおよび一般制御用ユニット４ｂから構成される。電源１ａは、安全ＣＰＵユニット２に内蔵され、電源１ｂは、ＣＰＵユニット４ａに内蔵される。

ここで、安全ＣＰＵユニット２のような安全機器を扱う機械安全分野では、制御システム全体のうち、安全に関わる電気制御システムを安全関連部といい、それ以外の部分を非安全関連部と呼ぶことで互いに区別をしている。非安全関連部は、機械設備がその性能を発揮するための制御システム部分であり、本実施の形態１においては、一般制御用装置４が該当する。具体的には、機械の可動範囲の位置決め制御、モータ回転数の制御など、機械設備の重要な機能を制御する部分である。一方、安全関連部は、主に機械設備の作業者に対する安全を確保する制御システム部分であり、安全が確認されている場合には、非安全関連部である一般制御用装置４からの始動命令を受信して制御対象の機器が作動する。

本実施の形態１の安全制御システム１００においては、安全関連部である安全ＣＰＵユニット２に、安全入力機器５０、制御対象出力機器６０が接続され、非安全関連部であるＣＰＵユニット４ａまたは一般制御用ユニット４ｂに、制御対象出力機器６０が接続されている。これらにより、工場内のＦＡ（Ｆａｃｔｏｒｙ　Ａｕｔｏｍａｔｉｏｎ）システムを用いた安全制御システムが実現されている。安全入力機器５０は、例えば、非常停止ボタンやライトカーテン等の入力機器をいう。また、制御対象の機器である制御対象出力機器６０は、モータ等、機械設備の駆動機器をいう。

安全入出力ユニット３は、外部の安全入力機器５０からの安全入力信号の受信、つまり、安全制御データの受信を行う装置である。安全入出力ユニット３は、受信した安全制御データを、安全専用バス８を介して、安全ＣＰＵユニット２に送信する。安全入力機器５０が複数ある場合は、複数の安全入力に対応するために安全入出力ユニット３を増設して対応する。なお、図１においては、安全入出力ユニット３に、安全入力機器５０のみ接続された構成を図示しているが、制御対象出力機器６０を接続してもよい。

機械設備の安全が確保されている状況では、安全入力機器５０は、安全状態を示す電気信号を、安全ＣＰＵユニット２および安全入出力ユニット３に送信する。ここで、安全状態を示す電気信号を安全入力信号という。安全入力信号を受信した安全ＣＰＵユニット２は、制御対象出力機器６０に対し、運転を許可する電気信号を送信する。ここで、運転を許可する電気信号を安全出力信号という。換言すると、安全入力信号を受信した安全ＣＰＵユニット２は、制御対象出力機器６０に対し、安全出力信号を出力する。安全出力信号を受信した制御対象出力機器６０は、一般制御用ユニット４ｂからの制御に従った動作を行う。

一方、安全が確認できない状態、例えば、工場内の作業者が危険区域に侵入したことを検出したときや、工場設備のオペレータ等が機械の停止スイッチを押したときは、安全入力機器５０は、安全入力信号の送信を停止する。つまり、安全入力機器５０の入力があると、安全入力信号の送信を停止する。次に、安全ＣＰＵユニット２は、制御対象出力機器６０に対し、安全出力信号の送信を停止する。これにより、制御対象出力機器６０は運転を停止する。なお、図１では、制御対象出力機器６０を１台のみ記載しているが、各々複数台あってもよい。

ここで、上述した、安全入力信号および安全出力信号をまとめて安全制御データという。安全制御データは、安全機能の処理を行うための電気信号であり、安全用制御回路５で処理され、安全専用バス８を介して、安全ＣＰＵユニット２と安全入出力ユニット３間で通信される。なお、本実施の形態において、安全制御データは、安全入力信号および安全出力信号であるとしたが、これらに限らず、安全入力機器５０の入力により、安全入力信号の送信が停止されたという情報や、安全用制御回路５が、制御対象出力機器６０に対して送信する安全出力信号の出力を停止したという情報が含まれても良いし、安全用制御回路５が有する、安全ＣＰＵユニット２および安全入出力ユニット３の構成管理情報や、論理回路を記述したプログラムの情報等、いわゆるコンフィグレーション情報が含まれていてもよい。

また、安全制御システム１００の、安全ＣＰＵユニット２および安全入出力ユニット３は、安全専用バス８によりバス接続される。さらに、安全ＣＰＵユニット２には、調停用制御回路７を介してＣＰＵバス９が接続される。ＣＰＵユニット４ａと一般制御用ユニット４ｂは、ＣＰＵバス９によりバス接続される。なお、安全制御システム１００において、安全入出力ユニット３、一般制御用ユニット４ｂは、それぞれ複数バス接続されてもよい。

安全専用バス８は、安全ＣＰＵユニット２と安全入出力ユニット３との間で、安全制御データの送受信を行うためのバスである。安全制御データは、安全専用バス８を用いることにより安全の信頼性が保証される。ＣＰＵバス９は、ＣＰＵユニット４ａと一般制御用ユニット４ｂとの間、および一般制御用ユニット４ｂと調停用制御回路７との間で安全制御以外の制御データの送受信を行う。

図２は、本発明の実施の形態１に係る安全制御装置である安全ＣＰＵユニットの構成図である。安全制御装置である安全ＣＰＵユニット２は、電源を供給する電源１ａと、安全用制御回路５と、絶縁素子６と、調停用制御回路７とから構成される。安全ＣＰＵユニット２の安全用制御回路５は、外部の安全入力機器５０からの安全制御データを、安全専用バス８を介して受信する。安全用制御回路５は、受信した安全制御データに応じて、制御対象出力機器６０への安全出力信号の出力を制御する。

安全ＣＰＵユニット２の絶縁素子６は、安全専用バス８から受信した、電気信号である安全制御データを、一旦、光や磁気に変換し再び電気信号に戻すことによって、電気的に絶縁しながら電気信号を送信する。具体的には、絶縁素子６は、安全制御データを入力する入力部６ａと安全制御データを出力する出力部６ｂを有し、入力部６ａで、安全制御データを光又は磁気の信号に変換し、出力部６ｂで、安全制御データを再び電気信号に戻してから後述する調停用制御回路７に送信する。調停用制御回路７は、ＣＰＵバス９を介して安全制御データを一般制御用装置４に送信する。つまり、絶縁素子６は、安全ＣＰＵユニット２と、後述する、安全制御以外の制御を行う一般制御用装置４を電気的に絶縁している。絶縁素子６は、例えば、フォトカプラや、デジタルアイソレータである。

ここで、安全機能を有する製品は、製品出荷前に安全規格（ＩＥＣ、ＩＳＯ規格等）に準じた安全認証を取得するが、安全認証を取得した製品は、安全側に制御されることが保証される。しかし、安全認証を取得しない一般制御用装置４は、故障等した場合、安全側に制御されることもあれば、機器が暴走する可能性もあり、安全機能が保証できなくなる可能性がある。上述の場合、一般制御用装置４の制御データを、安全ＣＰＵユニット２または安全入出力ユニット３へ取り込み、取り込んだ制御データを安全制御に利用した場合、安全機能が保証できなくなる。したがって、安全ＣＰＵユニット２または安全入出力ユニット３は、一般制御用装置４からの制御データを受信しないように遮断することが必要である。一般制御用装置４の制御データは、制御対象出力機器６０の動作を制御するためのデータである。

絶縁素子６は、電気信号の入力部６ａを安全用制御回路５側に設け、電気信号の出力部６ｂを調停用制御回路７側に設ける。絶縁素子６の出力部６ｂは、出力部６ｂで再度電気信号に変換された安全制御データの送信のみ行い、電気信号の受信は行わない。つまり、ＣＰＵバス９から調停用制御回路７を介して、電気信号である制御データを受信することはない。結果として、ＣＰＵバス９からの制御データの受信を遮断することができる。この構成により、安全ＣＰＵユニット２と安全入出力ユニット３の間で送受信される安全制御データは、一般制御用装置４へ送信することはできるが、一般制御用装置４からの制御データを、安全ＣＰＵユニット２または安全入出力ユニット３が受信しないようにすることができる。

なお、安全制御システム１００が稼働している間は、安全制御データは安全専用バス８またはＣＰＵバス９内で通信され、一般制御用装置４の制御データは常にＣＰＵバス９内で通信されている。よって、絶縁素子６の入力部６ａは、安全専用バス８を介して送信された安全制御データを受信する度に、受信した安全制御データを、上述のように電気的に絶縁しながら出力部６ｂに渡し、出力部６ｂから安全専用バス８を介して調停用制御回路７に送信している。

　図３は、安全ＣＰＵユニット２の調停用制御回路７の構成図を示す図である。調停用制御回路７は、安全専用バスＩ／Ｆ（インターフェイス）１０、安全制御データ受信部１１、安全制御データ解析部１２、安全制御データ転送部１３、ＣＰＵバスＩ／Ｆ１４で構成される。調停用制御回路７は、安全制御データをＣＰＵバスＩ／Ｆ１４のメモリに載せ、ＣＰＵバス９に送信している。

安全制御データ受信部１１は、安全専用バスＩ／Ｆ１０を介して安全機能の処理を行うための安全制御データを受信し、受信した安全制御データを安全制御データ解析部１２に送信する。安全制御データ解析部１２は、安全制御データ受信部１１から受信した安全制御データを解析し、安全制御データにデータ化けやデータ誤りないか否かを確認する。データ誤りがなければ、安全制御データをもとに、一般制御用装置４に対応するデータを作成し、安全制御データ転送部１３に送信する。データ誤りがある場合は、受信した誤りデータそのもの破棄され、データ誤りを検出した旨のログを、調停用制御回路７が備える、図示しないメモリに格納する。ユーザは、一般制御用装置４のＣＰＵユニット４ａに接続された図示しないエンジニアリングツールで、メモリを適宜確認することで、参照しているデータが更新されたものか否かを確認することができる。

　安全制御データ転送部１３は、安全制御データ解析部１２から受信した、一般制御用装置４に対応した安全制御データを、ＣＰＵバスＩ／Ｆ１４およびＣＰＵバス９を介して、各一般制御用装置４に送信する。

一般制御用装置４に送信された安全制御データは、一般制御用装置４のＣＰＵユニット４ａに接続された図示しないエンジニアリングツールで確認することができる。ここで、一般制御用装置４がＣＰＵバス９を介して受信した安全制御データ内に、安全ＣＰＵユニット２の内部要因で故障等が発生している旨のエラーコード等がある場合、ユーザは、ＣＰＵユニット４ａに接続されたエンジニアリングツールで当該エラーコードを確認することができる。当該エラーコードを確認したということは、一般制御用装置４がＣＰＵバス９を介して受信した安全制御データが、正確な情報でない可能性があるため、ユーザは、一般制御用装置４の制御を停止する等の処理をすることができる。このように、一般制御用装置４に送信された安全制御データは、安全状態を監視する為に利用することができる。

　ＣＰＵユニット４ａは、ＰＬＣ（プログラマブルロジックコントローラ）の制御の中心となるユニットである。主に、ユーザプログラム、Ｉ／Ｏメモリ、実行エンジン、プログラムメモリ、外部通信用Ｉ／Ｆ、ＣＰＵバスＩ／Ｆ等から構成される。

　一般制御用ユニット４ｂは、例えば、Ｉ／Ｏユニット、ネットワークユニット、温度調節ユニット等である。一般制御用ユニット４ｂは、ユーザが工場内等で何を制御するかにより、目的に合わせて選択が可能である。

また、安全制御システム１００においては、安全ＣＰＵユニット２に電源１ａを内蔵し、ＣＰＵユニット４ａに電源１ｂを内蔵している。つまり、安全制御側と一般制御側は、別々の電源系統で電源を供給している。

ここで、安全制御を行う装置と安全制御以外の一般制御用装置を連携したシステムにおいて、同じ電源系統で電源を供給している場合、一方の装置を電源ＯＦＦまたはリセットしようとすると、他方の装置も同様に電源ＯＦＦまたはリセットされてしまう。例えば、ＣＰＵユニットのみシステム拡張を行う場合であっても、ＣＰＵユニットが電源ＯＦＦにより停止されれば、システム拡張を行わない安全ＣＰＵユニットも一時的に停止しなくてはならない。よって、作業者は安全ＣＰＵユニットを停止させた状態で作業を行うことになり、安全が確保されない可能性がある。

　本実施の形態１に係る安全制御システム１００のように、安全ＣＰＵユニット２とＣＰＵユニット４ａが、各々別々の電源系統から電源を供給されるような構成であれば、ＣＰＵユニット４ａのみシステム拡張等を行うために電源ＯＦＦしても、安全ＣＰＵユニット２に影響はないため、安全機能を保証しながらシステム拡張等行うことが可能となる。

以上より、実施の形態１に係る安全制御システムによれば、安全制御装置である安全ＣＰＵユニットに絶縁素子を設けることにより、ファームウェア等で制御データの入力を拒否するような設定をする必要なく、安全ＣＰＵユニットに一般制御用のデータが取り込まれないようにすることができる。また、当該ファームウェア等のバグを考慮することなく、安全機能を保証することができる。

さらに、安全制御を実行する安全制御装置である安全ＣＰＵユニットと、一般制御用装置であるＣＰＵユニットが別々の電源を有するため、一方のユニットの電源をＯＦＦにしても他方のユニットの機能に影響を与えることなくシステム拡張や構成変更を行うことができる。つまり、安全制御システムは、一般制御用装置がシステム拡張や構成変更をするために電源をＯＦＦする場合においても、安全機能を確保することができる。

　実施の形態２．
　図４は、実施の形態２に係る安全制御システムの構成を示す図である。図４の安全制御システム２００は、安全ＣＰＵユニット２の絶縁素子６および調停用制御回路７を、調停回路ユニット１５として、安全ＣＰＵユニット２の外部に設けたものである。この場合においても、安全制御データの送受信の手順は、実施の形態１と同様である。安全ＣＰＵユニット２と調停回路ユニット１５間の接続、または、一般制御用ユニット４ｂと調停回路ユニット１５間の接続は、各ユニットの側面に設けられた増設コネクタにより接続してもよいし、増設用のケーブル等で接続してもよい。

　調停回路ユニット１５は、絶縁素子６と調停用制御回路７から構成される。ここで、安全ＣＰＵユニット２は安全機能を有するため、製品出荷前に安全規格に準じた安全認証を取得しなければならない。安全認証の試験は、規格申請費用等を含め高コストである。安全認証の試験は、製品全体を試験するため、安全ＣＰＵユニット２において、絶縁素子６または調停用制御回路７に故障があり修理した場合でも、安全ＣＰＵユニット２の安全認証を再度取得しなくてはならない。したがって、絶縁素子６および調停用制御回路７を安全ＣＰＵユニット２の外部に設けることで、絶縁素子６または調停用制御回路７が故障した場合、修理後に安全認証を再度取得する必要がなくなる。

　以上より、実施の形態２の安全制御システムによれば、調停用制御回路７を調停回路ユニット１５として安全ＣＰＵユニット２の外部に設けたことにより、調停回路の基板のみ故障した場合、調停回路の基板を交換するのみでよいため、低コストで修理することができる。

　実施の形態３．
　図５は、実施の形態３に係る安全制御システムの構成を示す図である。図５の安全制御システム３００は、安全ＣＰＵユニット２に接続された安全制御用エンジニアリングツール１６と、ＣＰＵユニット４ａに接続された一般制御用エンジニアリングツール１７を備える。

　安全制御用エンジニアリングツール１６は、安全ＣＰＵユニット２に接続され、第１のコンフィグレーション情報である、安全ＣＰＵユニット２および安全入出力ユニット３のコンフィグレーション情報を設定する。第１のコンフィグレーション情報は、安全制御システム３００の、安全ＣＰＵユニット２および安全入出力ユニット３の構成管理情報や、論理回路を記述したプログラムの情報等をいう。また、第１のコンフィグレーション情報は、安全用制御回路５が有している。なお、本実施の形態においては、安全制御用エンジニアリングツール１６で第１のコンフィグレーション情報を設定しているが、安全ＣＰＵユニット２に搭載された、スイッチ等のハードウェア部品により、設定してもよい。

一般制御用エンジニアリングツール１７は、ＣＰＵユニット４ａに接続され、第２のコンフィグレーション情報である、ＣＰＵユニット４ａおよび一般制御用ユニット４ｂのコンフィグレーション情報を設定する。第２のコンフィグレーション情報は、安全制御システム３００のＣＰＵユニット４ａおよび一般制御用ユニット４ｂの構成管理情報や、一般制御用装置４が制御対象出力機器６０に対する制御を行うためのラダープログラムの情報等をいう。第２のコンフィグレーション情報は、ＣＰＵユニット４ａまたは一般制御用ユニット４ｂが各自備えている、図示しない制御回路が有している。なお、本実施の形態においては、一般制御用エンジニアリングツール１７で第２のコンフィグレーション情報を設定しているが、ＣＰＵユニット４ａに搭載された、スイッチ等のハードウェア部品により、設定してもよい。

この構成により、安全制御側と一般制御側で、エンジニアリングツールまたはコンフィグレーション情報設定用のハードウェア部品を分けているため、一方のコンフィグレーション情報の設定や変更に影響を与えることはない。

また、ＣＰＵユニット４ａが備える、図示しない制御回路は、第１のコンフィグレーション情報を照合する機能を有する。また、第１のコンフィグレーション情報を照合する機能を有するＣＰＵユニット４ａは、図示しない安全制御情報保持部を有する。システム起動時またはシステム変更時に、ユーザが一般制御用エンジニアリングツール１７を介して第１のコンフィグレーション情報を読み出す指示を入力すると、ＣＰＵユニット４ａは、受信した安全制御データから、第１のコンフィグレーション情報を取得し、安全制御情報保持部へ格納する。具体的には、ＣＰＵユニット４ａが備える制御回路が、ＣＰＵバス９を介して、第１のコンフィグレーション情報を安全制御情報保持部へ格納する。なお、本実施の形態において、ユーザが第１のコンフィグレーション情報を読み出す指示を入力するとしたが、そのほか、ユーザが一般制御用エンジニアリングツール１７を介して第１のコンフィグレーション情報を直接入力してもよい。

　第１のコンフィグレーション情報の照合とは、具体的には、システム起動時またはシステム変更時に、安全制御情報保持部に格納した第１のコンフィグレーション情報と、システム稼働中にＣＰＵバス９を介して安全制御データから取得した第１のコンフィグレーション情報をＣＰＵユニット４ａが備える制御回路が照合することである。照合した結果が相違している事を示した場合、一般制御用エンジニアリングツール１７の表示部にその旨を表示することでユーザに通知する。

本実施の形態のように、システム起動時またはシステム変更時の第１のコンフィグレーション情報と、システム稼働中の第１のコンフィグレーション情報を照合し、比較する機能により、ユーザが、安全ＣＰＵユニット２または安全入出力ユニット３が意図しないコンフィグレーションで動作していないかを確認することができる。

　例えば、安全制御用エンジニアリングツール１６のユーザが、安全ＣＰＵユニット２または安全入出力ユニット３が行う安全制御の出力動作を、システム起動時またはシステム変更時に設定した動作内容から、意図しない動作内容にコンフィグレーションを変更してしまったとしても、安全ＣＰＵユニット２が、設定したとおりの安全制御を行っているか否かの確認ができる。

なお、照合した結果が相違している事を示した場合ユーザへの通知とともに、一般制御を停止してもよいし、一般制御を継続したまま、異常を通知するだけでもよい。また、本実施の形態３では、一般制御用エンジニアリングツール１７を用いてコンフィグレーション情報を照合しているが、ＣＰＵユニット４ａ内の、図示しないファームウェアで照合を行ってもよい。この場合、照合した結果が相違しているときは、ＣＰＵユニット４ａのエラーとしてＣＰＵユニット４ａの図示しない表示部に表示し、ユーザに通知する。

　以上より、実施の形態３の安全制御システムによれば、一般制御用装置が安全ＣＰＵユニットと安全入出力ユニットのコンフィグレーションを照合する機能を有することで、安全ＣＰＵユニットまたは安全入出力ユニットが、システム起動時またはシステム変更時にユーザが設定とおりの安全制御を行っているか否かを確認することができ、安全性を高めることができる。

１ａ、１ｂ　電源、２　安全ＣＰＵユニット、３　安全入出力ユニット、４　一般制御用装置、４ａ　ＣＰＵユニット、４ｂ　一般制御用ユニット、５　安全用制御回路、６　絶縁素子、７　調停用制御回路、８　安全専用バス、９　ＣＰＵバス、１０　安全専用バスＩ／Ｆ、１１　安全制御データ受信部、１２　安全制御データ解析部、１３　安全制御データ転送部、１４　ＣＰＵバスＩ／Ｆ、１５　調停回路ユニット、１６　安全制御用エンジニアリングツール、１７　一般制御用エンジニアリングツール、５０　安全入力機器、６０　制御対象出力機器。

Claims

外部の安全入力機器からの安全入力信号を、安全専用バスを介して受信し、制御対象の機器に対して安全出力信号を送信することで安全制御を行うと共に、ＣＰＵバスを介して接続される前記安全制御とは異なる制御を行う一般制御用装置に対して、前記安全入力信号および前記安全出力信号である安全制御データを送信する安全制御装置であって、
　前記安全制御装置は、電気信号が入力される入力部と前記電気信号が出力される出力部を有する電子部品を備え、
　前記電子部品は、前記安全専用バスを介して前記入力部にて受信した、電気信号である前記安全制御データを、一旦、光又は磁気に変換し、次に電気信号に変換して、前記出力部を経由して前記ＣＰＵバスを介して前記一般制御用装置に送信し、前記一般制御用装置からの制御データの受信を遮断すること、
　を特徴とする安全制御装置。
前記安全制御装置は、前記安全入力機器からの前記安全入力信号により、前記制御対象の機器に対して、前記安全出力信号を送信する安全用制御回路と、
前記安全制御データを、他のユニットへ送信するために用いられる安全専用バス、および、前記安全制御とは異なる制御を行う一般制御用装置内の制御データの通信を行うＣＰＵバスの調停を行う調停用制御回路と、を有すること、
を特徴とする請求項１に記載の安全制御装置。
前記安全制御装置は、電源を有すること、
を特徴とする請求項１又は２に記載の安全制御装置。
前記安全用制御回路は、複数の前記他のユニットを制御すること、
を特徴とする請求項２に記載の安全制御装置。
　前記電子部品は、絶縁素子であること、
を特徴とする請求項１から４のいずれか１項に記載の安全制御装置。
　外部の安全入力機器からの安全入力信号により、制御対象の機器に対して、安全制御の安全出力信号を送信する安全用制御回路を有する安全制御装置と、
　ＣＰＵユニットを含む、安全制御とは異なる制御を行う複数の一般制御用装置と、
前記安全入力信号および前記安全出力信号である安全制御データを、他のユニットへ送信するために用いられる安全専用バス、および、前記一般制御用装置内の制御データの通信を行うＣＰＵバスの調停を行う調停用制御回路と、
前記安全用制御回路側に、前記安全制御データが入力される入力部が設けられ、前記調停用制御回路側に、前記安全制御データが出力される出力部が設けられた電子部品と、を備え、
前記電子部品は、前記安全専用バスを介して前記入力部にて受信した、電気信号である前記安全制御データを、一旦、光又は磁気に変換し、次に電気信号に変換して、前記出力部を経由して前記ＣＰＵバスを介して前記一般制御用装置に送信し、前記一般制御用装置からの制御データの受信を遮断すること、
を特徴とする安全制御システム。
前記安全制御装置と前記一般制御用装置は、それぞれ電源を有すること、
を特徴とする請求項６に記載の安全制御システム。
前記安全制御装置は、第１のコンフィグレーション情報を保持し、前記一般制御用装置は、第２のコンフィグレーション情報を保持すること、
を特徴とする請求項６又は７に記載の安全制御システム。
前記安全制御データは、前記第１のコンフィグレーション情報を含むこと、
を特徴とする請求項８に記載の安全制御システム。
　前記安全制御装置に接続されたエンジニアリングツールにより、前記第１のコンフィグレーション情報を設定し、前記一般制御用装置に接続されたエンジニアリングツールによち、前記第２のコンフィグレーション情報を設定すること、
　を特徴とする請求項８に記載の安全制御システム。
　前記安全制御装置は、自己の装置に搭載されたハードウェア部品により第１のコンフィグレーション情報を設定し、前記一般制御用装置は、自己の装置に搭載されたハードウェア部品により第２のコンフィグレーション情報を設定すること、
　を特徴とする請求項８に記載の安全制御システム。
　前記一般制御用装置は、システム起動時またはシステム変更時に設定した前記第１のコンフィグレーション情報を記憶する安全制御情報保持部を有し、前記安全制御情報保持部に記憶された前記第１のコンフィグレーション情報と、システム稼働中に、前記ＣＰＵバスを介して取得した前記安全制御データ内の前記第１のコンフィグレーション情報とを照合する機能を有すること、
　を特徴とする請求項８に記載の安全制御システム。
前記電子部品は、絶縁素子であること、
を特徴とする請求項６から１２のいずれか１項に記載の安全制御システム。