CN101849226A - 安全控制装置 - Google Patents
安全控制装置 Download PDFInfo
- Publication number
- CN101849226A CN101849226A CN200880114972A CN200880114972A CN101849226A CN 101849226 A CN101849226 A CN 101849226A CN 200880114972 A CN200880114972 A CN 200880114972A CN 200880114972 A CN200880114972 A CN 200880114972A CN 101849226 A CN101849226 A CN 101849226A
- Authority
- CN
- China
- Prior art keywords
- output
- command
- unit
- output signal
- safety control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
- Programmable Controllers (AREA)
Abstract
为了得到无需使用高速的CPU就可以缩短响应时间的安全控制装置,指令判别部(21a、21b)判定输入来的输出指令是接通指令还是断开指令,对照部(22a、22b)将自身的指令判别部(21a、21b)的判别结果向对方侧发送,对指令判别部(21a、21b)的判别结果进行对照。在指令判别部(21a、21b)的判别结果为断开指令的情况下,或者对照部(22a、22b)的对照结果为不一致的情况下,输出部(24a、24b)输出使开关(SW1a)断开的输出信号。
Description
技术领域
本发明涉及一种具有1个或者多个处理部的安全控制装置,该处理部基于从外部输入来的输出指令,针对作为对象的设备来控制是进行安全动作还是进行动作许可,特别地,涉及一种使进行安全动作的指示的输出响应时间缩短的安全控制装置。
背景技术
在FA(Factory Automation)的机器人等设备的控制系统中,其安全性很重要,在检测出异常的情况下,必须使设备停止。在系统正常动作的情况下,为了使设备停止,可以向设备输出动作停止的指令,而使设备停止。但是,在系统发生异常的情况下,即使向设备输出动作停止的指令,也无法得知是否正常地执行了该命令。因此,有时利用对连接在设备和电源之间的开关进行控制的安全控制装置,通过使开关断开,而停止向设备供给动力,强制地使设备的动作停止。
通常,安全控制装置将从外部输入的指令的判别双重化而进行处理,通过在2个判别结果一致的情况下,进行基于输入来的指令的控制,在2个判别结果不一致的情况下,进行安全的控制(在此情况下,使设备停止),从而提高安全性。
另外,安全控制装置的性能,是根据从无法确认安全状态的时刻开始至作为对象的设备停止为止的响应时间而确定的。因此,缩短从接收到指令开始至输出使设备停止的输出信号为止的处理时间,相当于使安全控制装置的性能提高。
作为使双重化控制的处理高速化的现有技术,存在例如专利文献1。在专利文献1中公开了下述技术,即,在并列地设置2台将运算控制部和输入输出控制部由不同的CPU元件分当的多处理器方式的控制装置而构成的双重化控制装置中,通过在数据传输的同时执行双重化后的各个输入输出控制部的输入输出数据对照比较处理,从而以短时间进行两个系统的不一致检测。
专利文献1:日本特开昭59-43450号公报
发明内容
在上述专利文献1所记载的现有技术中,由于一方的CPU的运算控制部向自身和另一方的CPU的输入输出控制部发送运算结果,另一方的CPU的运算控制部向自身和一方的CPU的输入输出控制部发送运算结果,所以,与运算控制部向自身所属的CPU的输入输出控制部发送运算结果,输入输出控制部互相发送该运算结果的情况相比较,可以缩短通信时间。
在这里,如果在安全控制装置中应用上述专利文献1所记载的现有技术,则运算控制部相当于对指令进行判别的指令判别部,输入输出控制部相当于对照判别结果的对照部。在此情况下,安全控制装置的响应时间为,由指令判别部进行指令的判别处理所需要的判别处理时间、指令判别部向各对照部发送判别结果的通信处理所需要的通信处理时间、和对照部对照判别结果的对照处理所需要的对照处理时间之和。
但是,在安全控制装置中应用上述专利文献1所记载的现有技术的情况下,必须进行判别处理、通信处理以及对照处理,产生难以进一步缩短响应时间的问题。为了改善该问题,考虑使用处理能力更高的CPU,但在此情况下,产生成本变高的问题。另外,由于通信处理是CPU间的通信,所以与在CPU内部执行的判别处理以及对照处理相比较,其处理附加量较大。因此,通信处理时间成为确定响应时间的主要原因。
本发明就是鉴于上述情况而提出的,其目的在于,得到一种无需使用高速的CPU就可以缩短响应时间的安全控制装置。
为了解决上述课题,达到目的,本发明提供一种安全控制装置,其具有多个处理部,该处理部基于从外部输入的输出指令,针对作为对象的设备来控制是进行安全动作还是进行动作许可,该安全控制装置的特征在于,所述各处理部具有:指令判别单元,其判别所述输出指令是安全动作指令还是动作许可指令;对照单元,其将自身的指令判别单元的判别结果向其他处理部发送,并且,接收其他处理部的判别结果,对照接收到的其他处理部的判别结果与自身的指令判别单元的判别结果是否完全一致;以及输出单元,其在所述指令判别单元的判别结果为安全动作指令的情况下,或者所述对照单元的对照结果为不一致的情况下,输出使所述设备进行安全动作的输出信号,在所述指令判别单元的判别结果为动作许可指令,且所述对照单元的对照结果为一致的情况下,输出对所述设备进行动作许可的输出信号。
发明的效果
根据本发明,着眼于多个指令判别部对从外部输入的输出指令是安全动作指令还是动作许可指令进行判别,在各个判别结果中即使有1个判别为安全动作指令的情况下,即使其他指令判别部的判别结果为动作许可指令,也由于判别结果不一致,从而输出使设备进行安全动作的输出信号,由于在判别结果为安全动作指令的情况下,不与其他指令判别部的判别结果进行对照,就输出使设备进行安全动作的输出信号,所以具有下述效果,即,无需使用高性能的CPU对判别结果的通信或对照处理高速化,就可以得到响应时间缩短的高性能的安全控制装置。
附图说明
图1是针对使用实施方式1的安全控制装置的网络系统,示出其结构的一个例子的图。
图2是表示实施方式1的安全控制装置的结构的框图。
图3是表示判别结果与输出信号之间的关系的图。
图4是用于说明图2所示的A系统处理部的动作的流程图。
图5是用于说明实施方式1的安全控制装置的动作的序列图。
图6是用于说明实施方式1的安全控制装置的动作的序列图。
图7是用于说明实施方式1的安全控制装置的动作的序列图。
图8是表示实施方式2的安全控制装置的结构的框图。
图9是用于说明实施方式2的安全控制装置的动作的序列图。
图10是用于说明实施方式2的安全控制装置的动作的序列图。
图11是表示实施方式3的安全控制装置的结构的框图。
图12是用于说明实施方式3的安全控制装置的动作的序列图。
图13是用于说明实施方式3的安全控制装置的动作的序列图。
图14是表示实施方式4的安全控制装置的结构的框图。
图15是用于说明实施方式4的安全控制装置的动作的序列图。
图16是用于说明实施方式4的安全控制装置的动作的序列图。
标号的说明
1a、1b指令接收部
2a、3a、4a、5a A系统处理部
2b、3b、4b、5b B系统处理部
21a、21b指令判别部
22a、22b对照部
23a、23b串行驱动器
24a、24b输出部
25a、33a、54a、25b、33b、54b异常处理部
31a、51a、31b、51b计时器
32a、41a、52a、32b、41b、52b黑盒测试执行部
53a、53b故障诊断执行部
70电源
80控制远程I/O站点
81a、81b设备
82安全远程I/O站点
90远程主站点
91网络
SW1a、SW1b、SW2a、SW2b开关
具体实施方式
下面,基于附图,详细说明本发明中的安全控制装置的实施方式。此外,本发明并不限定于这些实施方式。
实施方式1
参照图1~图7,说明本发明的实施方式1。图1是针对使用本发明中的实施方式1的安全控制装置的网络系统,示出其结构的一个例子的图。在图1中,网络系统通过网络91连接有:控制远程I/O站点80,其与作为控制·监视对象的设备81a、81b(例如,机器人等)连接;安全远程I/O站点82,其对用于将设备81a、81b与电源70连接/断开的开关SW1a、SW1b、SW2a、SW2b进行控制;以及远程主站点90,远程主站点90经由安全远程I/O站点82对开关SW1a、SW1b、SW2a、SW2b进行控制,通过将设备81a、81b与电源70之间连接/断开,而控制向设备81a、81b的动力供给,经由控制远程I/O站点80,对设备81a、81b进行控制监视。
在图1中,在电源70与设备81a之间串联配置开关SW1a、SW1b,如果开关SW1a、SW1b均接通,则设备81a与电源70连接,向设备81a供给动力,如果开关SW1a、SW1b中的一个断开,则设备81a与电源70断开,向设备81a的动力供给停止。另外,在电源70与设备81b之间串联配置开关SW2a、SW2b,如果开关SW2a、SW2b均接通,则设备81b与电源70连接,向设备81b供给动力,如果开关SW2a、SW2b中的一个断开,则设备81b与电源70断开,向设备81b的动力供给停止。
在使设备81a、81b动作(向设备81a、81b供给动力)的情况下,远程主站点90向安全远程I/O站点82发送使开关SW1a、SW2a接通、开关SW1b、SW2b接通的输出指令。另外,在使设备81a、81b停止(停止向设备81a、81b的动力供给)的情况下,远程主站点90向安全远程I/O站点82发送使开关SW1a、SW2a断开、开关SW1b、SW2b断开的输出指令。
安全远程I/O站点82基于来自远程主站点90的输出指令,输出将开关SW1a、SW1b、SW2a、SW2b接通/断开的输出信号。如上述所示,向设备81a、81b的动力供给,通过2个开关SW1a、SW2a和开关SW1b、SW2b而双重化。
安全远程I/O站点82具有:对与设备81a对应的开关SW1a、SW1b进行控制的安全控制装置;以及对与设备81b对应的开关SW2a、SW2b进行控制的安全控制装置。下面,举出对与设备81a对应的开关SW1a、SW1b进行控制的安全控制装置作为例子进行说明。
图2是表示本发明中的实施方式1的安全控制装置的结构的框图。在图2中,安全控制装置具有:指令接收部1a、1b;A系统处理部2a,其具有指令判别部21a、对照部22a、串行驱动器23a、输出部24a、以及异常处理部25a;以及B系统处理部2b,其具有指令判别部21b、对照部22b、串行驱动器23b、输出部24b、以及异常处理部25b。
指令接收部1a具有经由网络91接收来自远程主站点90的输出指令的接口功能,将接收到的输出指令向A系统处理部2a的指令判别部21a、以及指令接收部1b输出。指令接收部1b接收来自指令接收部1a的输出指令,向B系统处理部2b的指令判别部21b输出。
A系统处理部2a是控制开关SW1a的处理部,B系统处理部2b是控制开关SW1b的处理部。A系统处理部2a和B系统处理部2b具有相同的功能,分别利用不同的硬件、或者MPU(Micro ProcessingUnit)实现各自的功能。
指令判别部21a、21b从输入来的输出指令中,提取针对自身系统(A系统或者B系统)的指令,判别提取出的指令是接通指令还是断开指令。指令判别部21a、21b将判别结果向对照部22a、22b输出。另外,指令判别部21a、21b仅在判别结果为断开指令的情况下,将用于通知使输出信号设为断开这一内容的输出指示(断开输出指示)向输出部24a、24b进行通知。
串行驱动器23a、23b具有与对方侧处理部(在A系统处理部2a的情况下为B系统处理部2b,在B系统处理部2b的情况下为A系统处理部2a)之间的串行通信接口功能。对照部22a、22b经由串行驱动器23a、23b,将从指令判别部21a、21b通知的判别结果(自身的判别结果)向对方侧处理部发送。另外,对照部22a、22b将经由串行驱动器23a、23b接收到的对方侧处理部的判别结果与自身的判别结果进行对照。对于对照部22a、22b,在对照结果为一致的情况下,向输出部24a、24b输出对将自身的判别结果作为输出信号这一内容进行通知的输出指示(在判别结果为接通指令的情况下,为接通输出指示,在判别结果为断开指令的情况下,为断开输出指示),在对照结果为不一致的情况下,将其内容向异常处理部25a、25b进行通知。
输出部24a、24b基于来自指令判别部21a、21b以及对照部22a、22b的输出指示,将使对应的开关SW1a、SW1b接通/断开的输出信号向开关SW1a、SW1b输出。具体地说,输出部24a、24b在接收到接通输出指示的情况下,将使开关SW1a、SW1b接通的接通输出信号向开关SW1a、SW1b输出,在接收到断开输出指示的情况下,将使开关SW1a、SW1b断开的断开输出信号向开关SW1a、SW1b输出。
如果异常处理部25a、25b从对照部22a、22b被通知了对照结果为不一致这一内容,则执行与对照结果不一致相对应的异常处理。所谓与对照结果不一致相对应的异常处理,是例如将对照结果为不一致这一情况向远程主站点90进行通知,或者在安全远程I/O站点82的显示单元中显示判别结果为不一致这一情况等的处理。
图3是表示针对A系统处理部2a以及B系统处理部2b的指令的判别结果与输出信号之间的关系的图。如图3所示,在A系统处理部2a的指令判别部21a的判别结果为“接通”且B系统处理部2b的指令判别部21b的判别结果为“接通”的情况下,A系统处理部2a以及B系统处理部2b所输出的输出信号均为“接通”,开关SW1a、SW1b均成为“接通”,从而向设备81a供给电源,设备81a进行动作。
在A系统处理部2a的指令判别部21a的判别结果为“接通”且B系统处理部2b的指令判别部21b的判别结果为“断开”的情况下,在A系统处理部2a的指令判别部21a的判别结果为“断开”且B系统处理部2b的指令判别部21b的判别结果为“接通”的情况下,由于判别结果不一致,所以A系统处理部2a以及B系统处理部2b所输出的输出信号均为“断开”,开关SW1a、SW1b均成为“断开”,不向设备81a供给电源,设备81a停止。
在A系统处理部2a的指令判别部21a的判别结果为“断开”且B系统处理部2b的指令判别部21b的判别结果为“断开”的情况下,A系统处理部2a以及B系统处理部2b所输出的输出信号均为“断开”,开关SW1a、SW1b均成为“断开”,不向设备81a供给电源,设备81a停止。
如上述所示,具有安全控制装置的安全远程I/O站点82所控制的开关SW1a、SW1b,串联配置在电源70与设备81a之间,在使设备81a动作的情况下,远程主站点90向安全远程I/O站点82内的安全控制装置发送使开关SW1a接通、开关SW1b接通的输出指令,在使设备81a停止的情况下,远程主站点90向安全远程I/O站点82内的安全控制装置发送使开关SW1a断开、开关SW1b断开的输出指令。由此,A系统处理部2a的指令判定部21a的判定结果与B系统处理部2b的指令判定部21b的判定结果一致。
但是,有时由于通信错误或来自远程主站点90的指令失误等,使A系统处理部2a的指令判别部21a的判别结果与B系统处理部2b的指令判别部21b的判别结果不一致。在此情况下,由于发生了某种异常,所以向设备81a供给动力而使其动作这一情况是危险的。因此,安全控制装置作为安全方面的处理而输出使开关SW1a、SW1b断开的断开输出信号,停止向设备81a的动力供给,从而使设备81a停止。
下面,说明本发明中的实施方式1的安全控制装置的动作。首先,参照图4的流程图,说明A系统处理部2a的动作。如果经由网络91接收到来自远程主站点90的输出指令,则指令接收部1a将接收到的输出指令向A系统处理部2a的指令判别部21a、和指令接收部1b输出。
如果从指令接收部1a接收到输出指令(步骤S100:是),则指令判别部21a从输出指令中提取针对自身系统(在此情况下为A系统,即开关SW1a)的指令,执行判别提取出的指令是接通指令还是断开指令的指令判别处理(步骤S101)。指令判定部21a将通过指令判别处理得到的判别结果向对照部22a输出。
在判别结果为断开指令的情况下(步骤S101:是),指令判别部21a将断开输出指示向输出部24a进行通知。输出部24a将断开输出信号向开关SW1a输出(步骤S102)。
另一方面,如果从指令判别部21a接收到判别结果,则对照部22a经由串行驱动器23a,将判别结果向其他系统即B系统处理部2b发送(步骤S103)。然后,对照部22a等待接收来自B系统处理部2b的判别结果。
如果经由串行驱动器23a接收到来自B系统处理部2b的判别结果(步骤S104:是),则对照部22a执行对照处理(步骤S105),该对照处理用于判定从指令判别部21a通知的判别结果与从B系统处理部2b接收到的判别结果是否一致。
在通过对照处理得到从指令判别部21a通知的判别结果与从B系统处理部2b接收到的判别结果一致的对照结果的情况下(步骤S105:是),对照部22a判定从指令判别部21a通知的判别结果是否为接通指令(步骤S106)。
在判定为从指令判别部21a通知的判别结果为接通指令的情况下(步骤S106:是),对照部22a将接通输出指示向输出部24a进行通知。输出部24a将接通输出信号向开关SW1a输出,并结束处理(步骤S107)。在判定为从指令判别部21a通知的判别结果为断开指令的情况下(步骤S106:否),对照部22a不向输出部24a进行通知而结束处理。
另一方面,在通过对照处理得到从指令判别部21a通知的判别结果与从B系统处理部2b接收到的判别结果不一致的对照结果的情况下(步骤S105:否),对照部22a将断开输出指示向输出部24a进行通知。输出部24a将断开输出信号向开关SW1a输出(步骤S108)。对照部22a将对照结果为不一致这一内容向异常处理部25a输出。异常处理部25a执行预先确定的异常处理,并结束处理(步骤S109)。
由于B系统处理部2b的动作与A系统处理部2a的动作大致相同,不同点仅在于:自身为B系统处理部2b,对方侧处理部为A系统处理部2a,控制对象的开关为SW1b,所以在这里省略说明。
下面,参照图5的序列图,说明A系统处理部2a的指令判别部21a以及B系统处理部2b的指令判别部21b的判别结果均为断开指令的情况下的安全控制装置的动作。如果经由网络91接收到来自远程主站点90的输出指令,则指令接收部1a将接收到的输出指令向A系统处理部2a的指令判别部21a、和指令接收部1b输出。指令接收部1b将从指令接收部1a接收到的输出指令向B系统处理部2b的指令判别部21b输出。
接收来自指令接收部1a、1b的输出指令(步骤S200a、S200b),指令判别部21a、21b执行参照前面的图4的流程图所说明的步骤S101的指令判别处理(步骤S201a、S201b)。
在这里,假设指令判别部21a、21b的判别结果均为断开指令。指令判别部21a、21b向输出部24a、24b通知断开输出指示,输出部24a、24b将断开输出信号向开关SW1a、SW1b输出(步骤S202a、S202b)。由此,开关SW1a、SW1b断开,使向设备81a的动力供给停止,从而设备81a停止。
另外,指令判别部21a、21b将判别结果为断开指令这一内容向对照部22a、22b进行通知。对照部22a、22b向对方侧即对照部22b、22a发送判别结果为断开指令这一内容,并且,接收来自对方侧的判别结果为断开指令这一内容(步骤S203a、S203b)。
对照部22a、22b执行参照前面的图4的流程图所说明的步骤S105的对照处理(步骤S204a、S204b)。在这里,由于对照部22a、22b自身的判别结果为断开指令,从对方侧接收到的判别结果也为断开指令,所以对照结果为一致(OK),结束处理。
如上述所示,在A系统处理部2a以及B系统处理部2b的判别结果均为断开指令的情况下,从开始接收指令的时刻t0至使开关SW1a、SW1b断开的时刻t1为止所需要的时间,与判别结果的发送/接收所需要的时间T3以及对照处理所需要的时间T4无关,为接收指令并判别该指令的指令判别处理所需要的时间T1、与输出“断开”的输出信号所需要的时间T2之和。
下面,参照图6的序列图,说明A系统处理部2a的指令判别部21a的判别结果与B系统处理部2b的指令判别部21b的判别结果均为接通指令的情况下的安全控制装置的动作。如果经由网络91接收到来自远程主站点90的输出指令,则指令接收部1a将接收到的输出指令向指令判别部21a、和指令接收部1b输出。指令接收部1b将从指令接收部1a接收到的输出指令向指令判别部21b输出。
接收来自指令接收部1a、1b的输出指令(步骤S300a、S300b),指令判别部21a、21b执行参照前面的图4的流程图所说明的步骤S101的指令判别处理(步骤S301a、S301b)。
在这里,假设A系统处理部2a的指令判别部21a的判别结果与B系统处理部2b的指令判别部21b的判别结果均为接通指令。指令判别部21a、21b将判别结果为接通指令这一内容向对照部22a、22b进行通知。对照部22a、22b向对方侧即对照部22b、22a发送判别结果为接通指令这一内容,并且,接收来自对方侧的判别结果为接通指令这一内容(步骤S302a、S302b)。
对照部22a、22b执行参照前面的图4的流程图所说明的步骤S105的对照处理(步骤S303a、S303b)。在这里,由于对照部22a、22b自身的判别结果均为接通指令,从对方侧接收到的判别结果也为接通指令,所以对照结果为一致(OK)。由于对照部22a、22b自身的判别结果为接通指令,所以向输出部24a、24b通知接通输出指示,输出部24a、24b将接通输出信号向开关SW1a、SW1b输出(步骤S304a、S304b)。由此,开关SW1a、SW1b接通,向设备81a供给动力,从而设备81a开始动作。
如上述所示,在A系统处理部2a以及B系统处理部2b的判别结果均为接通指令的情况下,从开始接收指令的时刻t0至使开关SW1a、SW1b接通的时刻t1a为止所需要的时间,为接收指令并判别该指令的指令判别处理所需要的时间T1、判别结果的发送/接收所需要的时间T3、对照处理所需要的时间T4、输出“接通”的输出信号所需要的时间T2之和。
下面,参照图7的序列图,举出A系统处理部2a的指令判别部21a的判别结果为“断开”,B系统处理部2b的指令判别部21b的判别结果为“接通”的情况作为例子,说明A系统处理部2a的指令判别部21a的判别结果与B系统处理部2b的指令判别部21b的判别结果不同的情况下的安全控制装置的动作。
如果经由网络91接收到来自远程主站点90的输出指令,则指令接收部1a将接收到的输出指令向A系统处理部2a的指令判别部21a、和指令接收部1b输出。指令接收部1b将从指令接收部1a接收到的输出指令向B系统处理部2b的指令判别部21b输出。
接收来自指令接收部1a、1b的输出指令(步骤S400a、S400b),指令判别部21a、21b执行参照前面的图4的流程图所说明的步骤S101的指令判别处理(步骤S401a、S401b)。
在这里,假设指令判别部21a的判别结果为断开指令,指令判别部21b的判别结果为接通指令。指令判别部21a向输出部24a通知断开输出指示,输出部24a将断开输出信号向开关SW1a输出(步骤S402a)。另外,指令判别部21a将判别结果为断开指令这一内容向对照部22a进行通知。对照部22a向对方侧即对照部22b发送判别结果为断开指令这一内容(步骤S403a)。
另一方面,对于指令判别部21b,由于判别结果为接通指令,所以不向输出部24b通知输出指示,而将判别结果为接通指令这一内容向对照部22b进行通知。对照部22b向对方侧即对照部22a发送判别结果为接通指令这一内容(步骤S402b)。
对照部22a、22b接收对方侧的判别结果,执行参照前面的图4的流程图所说明的步骤S105的对照处理(步骤S404a、S403b)。在这里,由于A系统处理部2a的判别结果为断开指令,B系统处理部2b的判别结果为接通指令,所以对照结果为不一致(NG)。由于对照部22a自身的判别结果为断开指令,所以不向输出部24a通知输出指示,而向异常处理部25a通知对照结果为不一致这一内容。异常处理部25a执行与对照结果不一致对应的异常处理。
对于对照部22b,由于对照结果为不一致,且自身的判别结果为接通指令,所以将断开输出指示向输出部24b进行通知,输出部24b将断开输出信号向开关SW1b输出(步骤S404b)。另外,对照部22b向异常处理部25b通知对照结果为不一致这一内容,异常处理部25b执行与对照结果不一致对应的异常处理。
如上述所示,在对照结果为不一致的情况下,自身的判别结果为接通指令的系统(在此情况下为B系统处理部2b),在进行对照处理后,输出断开输出信号而使开关SW1b断开,但自身的判别结果为断开指令的系统(在此情况下为A系统处理部2a),无需进行对照处理就输出断开输出信号,使开关SW1a断开。由于开关SW1a、SW1b串联配置在电源70与设备81a之间,所以在开关SW1a断开的时刻,向设备81a的动力供给停止,设备81a停止。因此,在对照结果为不一致的情况下,从开始接收指令的时刻t0至使开关SW1a断开的时刻t1为止所需要的时间,与判别结果的发送/接收所需要的时间T3以及对照处理所需要的时间T4无关,为接收指令并判别该指令的指令判别处理所需要的时间T1、与输出“断开”的输出信号所需要的时间T2之和。
如以上说明所示,在本实施方式1中,着眼于指令判别部21a、21b判别从外部输入的输出指令为动作许可指令(接通指令)还是安全动作指令(断开指令),在判别出判别结果中的一个为断开指令的情况下,即使另一个判别结果为接通指令,也导致判别结果不一致,而输出使设备81a进行安全动作(停止)的断开输出信号这一情况,设定为在判别结果为断开指令的情况下,无需与另一个指令判别部21a、21b的判别结果进行对照,就输出使设备81a停止的断开输出信号,因此,无需使用高性能的CPU对判别结果的通信或对照处理进行高速化,就可以缩短响应时间。
实施方式2
下面,参照图8~图10,说明实施方式2的安全控制装置。
通常,寻求在安全控制装置中,在两个系统均接收到进行安全动作这一内容的输出指令,或由于某些异常而使得两个系统接收到不一致的输出指令时,向设备可靠地输出安全动作指令。因此,安全控制装置以规定的定时执行诊断是否可以可靠地输出进行安全动作的信号的黑盒测试(dark test)。
另外,存在远程主站点与安全远程I/O站点之间的通信间隔固定的网络系统。下面说明的实施方式2的安全控制装置,应用于这种从远程主站点以固定的时间间隔接收输出指令的网络系统,通过适当地设定该输出指令的接收间隔和黑盒测试的执行间隔,从而将输出使设备停止的输出信号的定时与实施方式1相比进一步提前。
具体地说,实施方式2的安全控制装置基于从接收输出指令开始的经过时间,在与接收下一个输出指令相比略微提前的定时执行输出断开输出信号的处理,然后,在两个系统的处理部接收到接通指令时,基于该接通指令执行输出接通输出信号的处理。实施方式2的安全控制装置进行下述黑盒测试,即,监视基于该一系列的处理而输出的断开输出信号/接通输出信号,诊断本安全控制装置是否可以可靠地输出接通输出信号/断开输出信号。
在这里,由于实施方式2的安全控制装置在接收到两个系统的处理部的判别结果不一致的输出指令的情况下,在接收到该输出指令的时刻,处于已经执行了输出断开输出信号的处理的状态,所以对于开关SW1a、1b,与基于上述接收到的不一致的输出指令才输出的断开输出信号相比,更早地接收通过该处理而输出的断开输出信号。即,其结果,实施方式2的安全控制装置通过在接收输出指令之前作为黑盒测试的测试信号而输出的断开输出信号,可以与实施方式1相比更早地进行安全动作。
图8是表示实施方式2的安全控制装置的结构的框图。此外,对于具有与实施方式1相同的功能的结构要素,标注与实施方式1的结构要素相同的标号,省略详细的说明。
如图所示,实施方式2的安全控制装置具有:指令接收部1a、1b;A系统处理部3a,其具有指令判别部21a、对照部22a、串行驱动器23a、输出部24a、计时器31a、黑盒测试执行部32a、以及异常处理部33a;以及B系统处理部3b,其具有指令判别部21b、对照部22b、串行驱动器23b、输出部24b、计时器31b、黑盒测试执行部32b、以及异常处理部33b。
计时器31a、31b在从A系统处理部3a、B系统处理部3b接收到输出指令的时刻开始经过预先确定的时间时,向黑盒测试执行部32a、32b通知表示执行黑盒测试的黑盒测试执行指令。上述预先确定的时间设定为与输出指令的接收间隔相比稍短的时间。由此,在接收输出指令前,计时器31a、31b向黑盒测试执行部32a、32b通知黑盒测试执行指令。
黑盒测试执行部32a、32b在由计时器31a、31b通知了黑盒测试执行指令时,向输出部24a、24b通知断开输出指令。另外,黑盒测试执行部32a、32b监视输出部24a、24b,对于在虽然自身通知了断开输出指示却没有断开输出信号发出的情况下,或虽然对照部22a、22b将接通输出指示向输出部24a、24b进行了通知,却没有接通输出信号发出的情况下,将处于没有正常发出断开输出信号或者接通输出信号的状态这一内容向异常处理部33a、33b进行通知。
异常处理部33a、33b如果被从黑盒测试执行部32a、32b通知了处于没有正常发出断开输出信号或者接通输出信号的状态这一内容,则执行与该通知对应的异常处理。例如,与对应于对照结果不一致的异常处理相同地,异常处理部33a、33b将处于没有正常发出断开输出信号或者接通输出信号的状态这一情况向远程主站点90进行通知,或者在安全远程I/O站点82的显示单元中显示。
下面,说明本发明中的实施方式2的安全控制装置的动作。参照图9的序列图,说明A系统处理部3a的指令判别部21a的判别结果与B系统处理部3b的指令判别部21b的判别结果均为接通指令的情况下的安全控制装置的动作。在这里针对以下状态进行说明,即,如果将接收输出指令的间隔时间设为ΔT,将与ΔT相比足够短的时间设为Δt,则在从接收到前一次输出指令经过了ΔT-Δt时,计时器31a、31b向黑盒测试执行部32a、32b通知黑盒测试执行指令。
首先,计时器31a、31b在前一次A系统处理部3a、B系统处理部3b接收到输出指令时开始计数,在从开始计数的时刻经过了ΔT-Δt时,A系统处理部3a、B系统处理部3b执行黑盒测试开始处理(步骤S500a,步骤S500b)。即,计时器31a、31b向黑盒测试执行部32a、32b通知黑盒测试执行指令,被通知了该指令的黑盒测试执行部32a、32b开始对输出部24a、24b的监视,并且,向输出部24a、24b通知断开输出指示。在这里,将从接收到前一次的输出指令时开始经过ΔT-Δt后的时刻设为t-1。
然后,输出部24a、24b将断开输出信号向开关SW1a、SW1b输出(步骤S501a、S501b)。在这里,黑盒测试执行部32a、32b判定是否从输出部24a、24b正确地输出了断开输出信号,在判定为没有正确地输出断开输出信号的情况下,向异常处理部33a、33b进行通知而使其进行异常处理。
在从接收到前一次的输出指令时开始经过了ΔT时,即从时刻t-1经过了Δt时,指令判别部21a、21b从指令接收部1a、1b接收输出指令(步骤S502a、S502b)。然后,分别在步骤S503a~步骤S505a、步骤S503b~步骤S505b中,执行与实施方式1的步骤S301a~步骤S303a、步骤S301b~步骤S303b相同的动作。
然后,对照部22a、22b向输出部24a、24b通知接通输出指示,输出部24a、24b将接通输出信号向开关SW1a、SW1b输出(步骤S506a、S506b)。在这里,黑盒测试执行部32a、32b判定是否正确地输出了接通输出信号,在判定为没有正确地输出接通输出信号的情况下,向异常处理部33a、33b进行通知而使其进行异常处理。在正确地输出了接通输出信号的情况下,黑盒测试执行部32a、32b执行结束对输出部24a、24b的监视的黑盒测试结束处理(步骤S507a,步骤S507b)。
如上述所示,安全控制装置通过在A系统处理部3a、B系统处理部3b接收输出指令前,输出断开输出信号,从而与接收输出指令的时刻t0相比,提前了从Δt中减去黑盒测试开始处理所需要的时间T5和输出断开输出信号所需要的时间T2而得到的时间,使开关SW1a、SW1b断开。而且,安全控制装置在接收到输出指令后,在与第1实施方式相同的定时,输出接通输出信号,使开关SW1a、SW1b接通。另外,安全控制装置将该断开输出信号以及接通输出信号作为黑盒测试用的测试信号,在任一个测试信号没有正确地输出的情况下,执行异常处理。
下面,说明A系统处理部3a的指令判别部21a的判别结果与B系统处理部3b的指令判别部21b的判别结果不同的情况下的安全控制装置的动作。图10是说明A系统处理部3a的指令判别部21a的判别结果为“断开”,B系统处理部3b的指令判别部21b的判别结果为“接通”的情况下,安全控制装置的动作的序列图。
在图10中,首先,计时器31a、31b在前一次A系统处理部3a、B系统处理部3b接收到输出指令时开始计数,在从开始计数的时刻经过了ΔT-Δt时,A系统处理部3a、B系统处理部3b执行黑盒测试开始处理(步骤S600a,步骤S600b)。
然后,输出部24a、24b将断开输出信号向开关SW1a、SW1b输出(步骤S601a、S601b)。在这里,黑盒测试执行部32a、32b判定是否从输出部24a、24b正确地输出了断开输出信号,在判定为没有正确地输出断开输出信号的情况下,向异常处理部33a、33b进行通知而使其进行异常处理。
在从接收到前一次输出指令开始经过了ΔT时,指令判别部21a、21b接收来自指令接收部1a、1b的输出指令(步骤S602a、S602b)。然后,分别在步骤S603a~步骤S606a、步骤S603b~步骤S606b中,执行与实施方式1的步骤S401a~步骤S404a、步骤S401b~步骤S404b相同的动作。
如果着眼于断开输出信号的输出,则A系统处理部3a、B系统处理部3b在步骤S601a、步骤S601b中,作为黑盒测试的测试信号而输出断开输出信号。然后,A系统处理部3a在步骤S604a中,基于判断为断开指令的指令判别部21a的判别结果,将断开输出信号向开关SW1a输出。然后,B系统处理部3b在步骤S606b中,将断开输出信号向开关SW1b输出。
即,安全控制装置在接收到两个系统的判别结果不一致的输出指令的情况下,在步骤S601a、步骤S601b中输出断开输出信号以后,不输出接通输出信号。其结果,使得安全控制装置利用在接收两个系统的判别结果不一致的输出指令前输出的黑盒测试的测试信号,而通过断开输出信号执行安全控制。即,将设备81a或者设备81b的电力供给断开的时刻(t1b)与实施方式1中所说明的时刻t1相比,成为提前了从Δt与接收指令并判别该指令的指令判别处理所需要的时间T1之和中减去黑盒测试开始处理所需要的时间T5而得到的时间的时刻。
下面,说明A系统处理部3a的指令判别部21a以及B系统处理部3b的指令判别部21b的判别结果均为断开指令的情况下的安全控制装置的动作。在此情况下,安全控制装置也首先利用在即将接收输出指令前的黑盒测试的测试信号输出断开输出信号,然后,基于接收到的输出信号的判别结果输出断开输出信号。即,安全控制装置与已经说明的接收到两个系统的判别结果不一致的输出指令的情况相同地,与实施方式1相比,提前了从Δt与接收指令并判别该指令的指令判别处理所需要的时间T1之和中减去黑盒测试开始处理所需要的时间T5而得到的时间,执行安全控制。
如以上说明所示,根据实施方式2,由于应用于以规定的时间间隔从外部进行输出指令的输入的安全控制装置中,基于计时器31a、31b的测量时间和输出指令的输入时间间隔,使得在输出指令被输入前,输出停止向设备81a、81b供给动力的输出信号,所以与实施方式1相比,可以进一步提前执行用于进行安全动作的输出。另外,由于以在输出指令等输入前输出的停止向设备81a、81b的动力供给的输出信号,以及在输出指令输入后,判别出该输入的输出指令的判别结果均为接通指令的情况下输出的接通输出信号,作为测试信号而执行黑盒测试,所以可以省略另外执行黑盒测试的工时。
实施方式3
下面,参照图11~图14,说明实施方式3的安全控制装置。
在例如安全远程I/O站点与远程主站点之间的通信质量不佳,输出指令的通信被反复重试这样的情况下,安全远程I/O站点接收的输出指令的时间间隔并不是固定的。在这样接收输出指令的时间间隔不固定的情况下,无法如实施方式2所示,基于从接收到输出指令开始的经过时间,在接收输出指令前输出断开输出信号,开始黑盒测试。因此,实施方式3的安全控制装置在刚完成输出指令的接收后,输出断开输出信号而开始黑盒测试。
图11是表示实施方式3的安全控制装置的结构的框图。对于具有与实施方式2相同功能的结构要素,标注与实施方式2的结构要素相同的标号,省略详细的说明。
如图所示,实施方式3的安全控制装置具有:指令接收部1a、1b;A系统处理部4a,其具有指令判别部21a、对照部22a、串行驱动器23a、输出部24a、黑盒测试执行部41a、以及异常处理部33a;以及B系统处理部4b,其具有指令判别部21b、对照部22b、串行驱动器23b、输出部24b、黑盒测试执行部41b、以及异常处理部33b。
黑盒测试执行部41a、41b监视指令接收部1a、1b,在A系统处理部3a、B系统处理部3b完成了输出指令的接收的时刻,向输出部24a、24b通知断开输出指令。另外,黑盒测试执行部41a、41b监视输出部24a、24b,在虽然自身通知了断开输出指示,却没有断开输出信号发出的情况下,或虽然对照部22a、22b将接通输出指示向输出部24a、24b进行了通知,却没有接通输出信号发出的情况下,将处于没有正常发出断开输出信号或者接通输出信号的状态这一内容向异常处理部33a、33b进行通知。
下面,说明本发明中的实施方式3的安全控制装置的动作。参照图12的序列图,说明A系统处理部4a的指令判别部21a的判别结果与B系统处理部4b的指令判别部21b的判别结果均为接通指令的情况下的安全控制装置的动作。
在图12中,如果指令判别部21a、21b从指令接收部1a、1b接收输出指令并接收完毕,则执行黑盒测试开始处理(步骤S700a、S700b)。即,黑盒测试执行部41a、41b开始对输出部24a、24b的监视,并且向输出部24a、24b通知断开输出指示。
然后,输出部24a、24b将断开输出信号向开关SW1a、SW1b输出(步骤S701a、S701b)。在这里,黑盒测试执行部41a、41b判定是否从输出部24a、24b正确地输出了断开输出信号,在判定为没有正确地输出断开输出信号的情况下,向异常处理部33a、33b进行通知而使其进行异常处理。
然后,分别在步骤S702a~步骤S704a、步骤S702b~步骤S704b中,执行与实施方式2的步骤S503a~步骤S505a、步骤S503b~步骤S505b相同的动作。
然后,对照部22a、22b向输出部24a、24b通知接通输出指示,输出部24a、24b将接通输出信号向开关SW1a、SW1b输出(步骤S705a、S705b)。在这里,黑盒测试执行部41a、41b判定是否正确地输出了接通输出信号,在判定为没有正确地输出接通输出信号的情况下,向异常处理部33a、33b进行通知而使其进行异常处理。在正确地输出了接通输出信号的情况下,黑盒测试执行部41a、41b执行结束对输出部24a、24b的监视的黑盒测试结束处理(步骤S706a,步骤S706b)。
如上述所示,安全控制装置通过在A系统处理部4a、B系统处理部4b刚接收完输出指令后输出断开输出信号,从而在经过了从t0至输出指令的接收以及黑盒测试开始处理完毕为止所需要的时间T6、与输出断开输出信号所需要的时间T2之和的时间的时刻,使开关SW1a、SW1b断开。而且,安全控制装置在接收到输出指令后,在与第1实施方式相同的定时输出接通输出信号,使开关SW1a、SW1b接通。另外,安全控制装置将该断开输出信号以及接通输出信号作为黑盒测试用的测试信号,在任一个测试信号没有正确地输出的情况下,执行异常处理。
下面,参照图13的序列图,说明在A系统处理部4a的指令判别部21a的判别结果与B系统处理部4b的指令判别部21b的判别结果不同的情况下,安全控制装置的动作。图13是在A系统处理部4a的指令判别部21a的判别结果为“断开”,B系统处理部4b的指令判别部21b的判别结果为“接通”的情况下,说明安全控制装置的动作的序列图。
在图13中,如果指令判别部21a、21b从指令接收部1a、1b接收输出指令并接收完毕,则执行黑盒测试开始处理(步骤S800a、S800b)。即,黑盒测试执行部41a、41b开始对输出部24a、24b的监视,并且向输出部24a、24b通知断开输出指示。
然后,输出部24a、24b将断开输出信号向开关SW1a、SW1b输出(步骤S801a、S801b)。在这里,黑盒测试执行部41a、41b判定是否从输出部24a、24b正确地输出了断开输出信号,在判定为没有正确地输出断开输出信号的情况下,向异常处理部33a、33b进行通知而使其进行异常处理。
然后,分别在步骤S802a~步骤S805a、步骤S802b~步骤S805b中,执行与实施方式2的步骤S603a~步骤S606a、步骤S603b~步骤S606b相同的动作。
如果着眼于断开输出信号的输出,则A系统处理部4a、B系统处理部4b在步骤S801a、步骤S801b中,作为黑盒测试的测试信号而输出断开输出信号。然后,A系统处理部4a在步骤S803a中,基于判断为断开指令的指令判别部21a的判别结果,将断开输出信号向开关SW1a输出。然后,B系统处理部4b在步骤S805b中,将断开输出信号向开关SW1b输出。
即,安全控制装置在步骤S801a、步骤S801b中输出断开输出信号以后,不输出接通输出信号。其结果,安全控制装置利用在刚接收到两个系统的判别结果不一致的输出指令后的黑盒测试的测试信号,而通过断开输出信号执行安全控制。此外,开关SW1a、1b接收断开输出信号的时刻(t1c),成为从t0开始经过了接收指令并执行黑盒测试开始处理所需要的时间T6、与输出断开输出信号所需要的时间T2之和的时间的时刻。在这里,认为接收指令并执行黑盒测试开始处理所需要的时间T6,与在实施方式1中所说明的接收指令并判别该指令的指令判别处理所需要的时间T1相比没有较大差别。因此,t1c与t1为大致相同的时刻,可以说实施方式3的安全控制装置可以与实施方式1相同程度地缩短响应时间。
下面,说明在A系统处理部4a的指令判别部21a以及B系统处理部4b的指令判别部21b的判别结果均为断开指令的情况下,安全控制装置的动作。在此情况下,安全控制装置也首先利用在即将接收到输出指令前的黑盒测试的测试信号,输出断开输出信号,然后,基于接收到的输出信号的判别结果,输出断开输出信号。即,安全控制装置与已经说明的接收到两个系统的判别结果不一致的输出指令的情况相同地,在从接收指令开始经过了接收指令并执行黑盒测试开始处理所需要的时间T6、与输出断开输出信号所需要的时间T2之和的时间的时刻,执行安全控制。
如以上说明所示,根据实施方式3,由于在输出指令刚输入后,就输出停止向设备81a、81b的动力供给的输出信号,所以与实施方式1相同地,无需使用高性能的CPU对判别结果的通信或对照处理进行高速化,就可以缩短响应时间。而且,由于以在输出指令刚输入后输出的停止向设备81a、81b的动力供给的输出信号、以及在判别出输入的输出指令的判别结果均为接通指令的情况下输出的接通输出信号,作为测试信号而执行黑盒测试,所以可以省略另外执行黑盒测试的工时。
实施方式4
另外,通常安全控制装置除了黑盒测试以外,还执行对本安全控制装置是否损坏(故障)进行诊断的故障诊断。具体地说,安全控制装置在开始故障诊断前,输出断开输出信号而断开向设备的电力供给,执行故障诊断,在自身没有发现故障的情况下,输出接通输出信号,重新开始向设备的电力供给。实施方式4的安全控制装置将在故障诊断前输出的断开输出信号以及在故障诊断后输出的接通输出信号作为黑盒测试的测试信号。下面,参照图14~图16,说明实施方式4的安全控制装置。
图14是表示实施方式4的安全控制装置的结构的框图。如图所示,实施方式4的安全控制装置具有:指令接收部1a、1b;A系统处理部5a,其具有指令判别部21a、对照部22a、串行驱动器23a、输出部24a、计时器51a、黑盒测试执行部52a、故障诊断执行部53a、以及异常处理部54a;以及B系统处理部5b,其具有指令判别部21b、对照部22b、串行驱动器23b、输出部24b、计时器51b、黑盒测试执行部52b、故障诊断执行部53b、以及异常处理部54b。
计时器51a、51b每经过预先确定的时间后,向黑盒测试执行部52a、52b通知黑盒测试执行指令,并且向故障诊断执行部53a、53b通知代表执行故障诊断这一内容的故障诊断执行指令。
黑盒测试执行部52a、52b在由计时器51a、51b通知了黑盒测试执行指令时,向输出部24a、24b通知断开输出指令。另外,黑盒测试执行部52a、52b监视输出部24a、24b,在虽然自身通知了断开输出指示却没有断开输出信号发出的情况下,或虽然后述的故障诊断执行指令执行了接通输出指示却没有接通输出信号发出的情况下,将处于没有正常发出断开输出信号或者接通输出信号的状态这一内容向异常处理部54a、54b进行通知。
故障诊断执行部53a、53b在由计时器51a、51b通知了故障诊断执行指令时,开始对安全远程站点82的电源(未图示)或用于实现A系统处理部5a、B系统处理部5b的硬件(在利用MPU实现的情况下,为MPU)进行故障诊断。另外,故障诊断执行部53a、53b进行故障诊断的结果,在没有发现故障的情况下,向输出部24a、24b通知接通输出指示。故障诊断执行部53a、53b在发现故障的情况下,向异常处理部54a、54b通知存在故障这一内容。
异常处理部54a、54b如果由黑盒测试执行部32a、32b通知了处于没有正常发出断开输出信号或者接通输出信号的状态这一内容,则执行与该通知对应的异常处理。另外,异常处理部54a、54b在由故障诊断执行部53a、53b通知了存在故障这一内容的情况下,执行与该通知对应的异常处理。
下面,说明本发明中的实施方式4的安全控制装置的动作。参照图15的序列图,说明A系统处理部5a以及B系统处理部5b执行故障诊断而没有发现故障的情况下的安全控制装置的动作。
首先,执行黑盒测试·故障诊断开始处理(步骤S900a,步骤S900b)。即,计时器51a、51b通知黑盒测试执行指令以及故障诊断执行指令。然后,被通知了黑盒测试执行指令的黑盒测试执行部52a、52b,向输出部24a、24b通知断开输出指示,并且开始对输出部24a、24b的监视。
然后,输出部24a、24b将断开输出信号向开关SW1a、SW1b输出(步骤S901a、S901b)。在这里,黑盒测试执行部52a、52b判定是否从输出部24a、24b正确地输出了断开输出信号,在判定为没有正确地输出断开输出信号的情况下,向异常处理部54a、54b进行通知而使其进行异常处理。
然后,故障诊断执行部53a、53b执行故障诊断,得到没有发现故障(OK)的诊断结果(步骤S902a,步骤S902b)。
然后,故障诊断执行部53a、53b向输出部24a、24b通知接通输出指示,输出部24a、24b将接通输出信号向开关SW1a、SW1b输出(步骤S903a、S903b)。在这里,黑盒测试执行部52a、52b判定是否正确地输出了接通输出信号,在判定为没有正确地输出接通输出信号的情况下,向异常处理部54a、54b进行通知而使其进行异常处理。在正确地输出了接通输出信号的情况下,黑盒测试执行部52a、52b执行结束对输出部24a、24b的监视的黑盒测试结束处理(步骤S904a,步骤S904b)。
下面,说明A系统处理部5a以及B系统处理部5b执行故障诊断,在其中一个处理部中发现故障的情况下的安全控制装置的动作。图16是说明在A系统处理部5a中发现故障,而在B系统处理部5b中没有发现故障的情况下,安全控制装置的动作的序列图。
首先,执行黑盒测试·故障诊断开始处理(步骤S1000a,步骤S1000b)。然后,输出部24a、24b将断开输出信号向开关SW1a、SW1b输出(步骤S1001a,步骤S1001b)。在这里,黑盒测试执行部52a、52b判定是否从输出部24a、24b正确地输出了断开输出信号,在判定为没有正确地输出断开输出信号的情况下,向异常处理部54a、54b进行通知而使其进行异常处理。
然后,故障诊断执行部53a、53b执行故障诊断,故障诊断部53a得到发现故障(NG)的诊断结果(步骤S1002a),故障诊断部53b得到没有发现故障(OK)的诊断结果(步骤S1002b)。
然后,故障诊断执行部53a向异常处理54a进行通知而使其执行异常处理(步骤S1003a)。故障诊断执行部54b向输出部24b通知接通输出指示,输出部24b将接通输出信号向开关SW1b输出(步骤S1003b)。在这里,黑盒测试执行部52b判定是否正确地输出了接通输出信号,在判定为没有正确地输出接通输出信号的情况下,向异常处理部54b进行通知而使其进行异常处理。在正确地输出了接通输出信号的情况下,黑盒测试执行部52b执行结束对输出部24b的监视的黑盒测试结束处理(步骤S1004b)。
下面,说明在A系统处理部5a以及B系统处理部5b执行故障诊断,而在两个系统的处理部中发现故障的情况下,安全控制装置的动作。在此情况下,两个系统的处理部也首先执行黑盒测试·故障诊断开始处理,输出断开输出信号。然后,与已经说明的在A系统处理部5a中发现故障、在B系统处理部5b中没有发现故障的情况下的A系统处理部5a相同地,两个系统的处理部执行异常处理,而不输出接通输出信号。
如以上说明所示,根据实施方式4,安全控制装置将在故障诊断前输出的断开输出信号以及在故障诊断后输出的接通输出信号作为黑盒测试的测试信号,在通过故障诊断没有发现故障的情况下,其结果,可以同时执行故障诊断和黑盒测试,在发现故障的情况下,可以执行异常处理。
另外,在实施方式2~4的说明中,说明了为了提高安全性而准备多个处理部,将输出指令的判别结果在处理部之间彼此进行对照,但处理部的数量也可以是一个。在处理部的数量为一个的情况下,输出单元取代通过对照部得到的对照结果,而基于通过指令判别部得到的判别结果,输出接通输出信号或断开输出信号。
工业实用性
如上述所示,本发明所涉及的安全控制装置,在具有1个或者多个基于从外部输入的输出指令而针对作为对象的设备来控制是进行安全动作还是进行动作许可的处理部的安全控制装置中有用,特别地,适用于需要缩短从接收输出指令开始至输出使设备进行安全动作的输出信号为止的响应时间的系统。
Claims (8)
1.一种安全控制装置,其具有多个处理部,该处理部基于从外部输入的输出指令,针对作为对象的设备来控制是进行安全动作还是进行动作许可,
该安全控制装置的特征在于,
所述各处理部具有:
指令判别单元,其判别所述输出指令是安全动作指令还是动作许可指令;
对照单元,其将自身的指令判别单元的判别结果向其他处理部发送,并且,接收其他处理部的判别结果,对照接收到的其他处理部的判别结果与自身的指令判别单元的判别结果是否完全一致;以及
输出单元,其在所述指令判别单元的判别结果为安全动作指令的情况下,或者所述对照单元的对照结果为不一致的情况下,输出使所述设备进行安全动作的输出信号,在所述指令判别单元的判别结果为动作许可指令,且所述对照单元的对照结果为一致的情况下,输出对所述设备进行动作许可的输出信号。
2.根据权利要求1所述的安全控制装置,其特征在于,
将所述安全动作设为所述设备停止的状态,将所述动作许可设为所述设备启动的状态,
所述输出单元,
在所述指令判别单元的判别结果为安全动作指令的情况下,或者所述对照单元的对照结果为不一致的情况下,输出停止向所述设备的动力供给的输出信号,在所述指令判别单元的判别结果为动作许可指令,且所述对照单元的对照结果为一致的情况下,输出向所述设备供给动力的输出信号。
3.一种安全控制装置,其基于从外部输入的输出指令,针对作为对象的设备来判别是进行安全动作还是进行动作许可,并与该判别结果对应地对所述设备进行动作控制,
其特征在于,
具有处理部,其在所述判别的处理之前,输出停止向所述设备供给的动力的输出信号,在输出该输出信号后,针对所述设备来判别是进行安全动作还是进行动作许可。
4.根据权利要求3所述的安全控制装置,其特征在于,
所述输出指令以规定的时间间隔从外部向所述处理部输入,
所述处理部具有对从输入了输出指令开始的时间进行测量的计时器单元,基于通过所述计时器单元得到的测量时间和所述规定的时间间隔,在输入所述输出指令前,输出停止向所述设备的动力供给的输出信号。
5.根据权利要求3所述的安全控制装置,其特征在于,
所述处理部在所述输出指令刚输入后,输出停止向所述设备的动力供给的输出信号。
6.根据权利要求4或5所述的安全控制装置,其特征在于,
所述处理部还具有黑盒测试执行单元,其通过监视用于停止向所述设备的动力供给的输出信号、以及输出该输出信号后基于所述输出指令输出的向所述设备供给动力的输出信号,从而对自身的安全控制装置是否可以正常地输出输出信号进行诊断。
7.根据权利要求4或5所述的安全控制装置,其特征在于,
具有多个所述处理部,
所述各处理部还具有:
指令判别单元,其判别从外部输入的输出指令是否为动作许可指令;
对照单元,其将自身的指令判别单元的判别结果向其他处理部发送,并且,接收其他处理部的判别结果,对照接收到的其他处理部的判别结果与自身的指令判别单元的判别结果是否一致;以及
输出单元,其在所述指令判别单元的判别结果为动作许可指令,且所述对照单元的对照结果为一致的情况下,输出向所述设备供给动力的输出信号,在所述指令判别单元的判别结果并非动作许可指令的情况下,或者所述对照单元的对照结果为不一致的情况下,不输出向所述设备供给动力的输出信号。
8.根据权利要求3所述的安全控制装置,其特征在于,
所述处理部还具有:
黑盒测试执行单元,其输出停止向所述设备的动力供给的输出信号;以及
故障诊断执行单元,其在用于停止向所述设备的动力供给的输出信号输出后,对本装置执行故障诊断,在没有发现故障的情况下,输出向所述设备供给动力的输出信号,在发现故障的情况下,执行异常处理,
所述黑盒测试执行单元通过监视自身使所述输出单元输出的停止向所述设备的动力供给的输出信号,以及所述故障诊断执行单元使所述输出单元输出的向所述设备供给动力的输出信号,从而对自身的安全控制装置是否可以正常地输出输出信号进行诊断。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007289448 | 2007-11-07 | ||
| JP2007-289448 | 2007-11-07 | ||
| PCT/JP2008/070340 WO2009060953A1 (ja) | 2007-11-07 | 2008-11-07 | 安全制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101849226A true CN101849226A (zh) | 2010-09-29 |
| CN101849226B CN101849226B (zh) | 2016-06-15 |
Family
ID=40625839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880114972.6A Active CN101849226B (zh) | 2007-11-07 | 2008-11-07 | 安全控制装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8755917B2 (zh) |
| JP (1) | JP4832572B2 (zh) |
| KR (1) | KR101179738B1 (zh) |
| CN (1) | CN101849226B (zh) |
| DE (1) | DE112008002764T5 (zh) |
| WO (1) | WO2009060953A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103201812A (zh) * | 2010-11-08 | 2013-07-10 | 矢崎总业株式会社 | 组合开关 |
| CN104943055A (zh) * | 2014-03-27 | 2015-09-30 | 住友重机械工业株式会社 | 注射成型机、及注射成型机的操作画面 |
| CN105759781A (zh) * | 2015-01-06 | 2016-07-13 | 电装波动株式会社 | 机器人的布线方法 |
| CN108351619A (zh) * | 2015-11-09 | 2018-07-31 | 奥的斯电梯公司 | 自诊断电路 |
| CN108958248A (zh) * | 2018-07-05 | 2018-12-07 | 北京智行者科技有限公司 | 备份系统 |
| CN112817273A (zh) * | 2019-11-15 | 2021-05-18 | 发那科株式会社 | 控制装置以及控制系统 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5829392B2 (ja) * | 2010-09-30 | 2015-12-09 | 三菱重工業株式会社 | 制御装置および原子力発電プラント制御システム |
| JP2012079184A (ja) * | 2010-10-04 | 2012-04-19 | Mitsubishi Heavy Ind Ltd | 制御装置および原子力発電プラント制御システム |
| CN103959718B (zh) * | 2011-12-02 | 2017-04-26 | 株式会社自动网络技术研究所 | 发送消息生成装置以及车载通信系统 |
| WO2013175627A1 (ja) * | 2012-05-25 | 2013-11-28 | 株式会社日立製作所 | 信頼度算出装置および方法 |
| KR102346258B1 (ko) * | 2014-11-19 | 2022-01-03 | 삼성전자 주식회사 | 온도 제어 방법 및 장치 |
| CN107046813B (zh) * | 2015-12-07 | 2018-09-18 | 三菱电机株式会社 | 信号处理装置 |
| JP6512205B2 (ja) * | 2016-11-14 | 2019-05-15 | トヨタ自動車株式会社 | 通信システム |
| CA3194191A1 (en) * | 2020-11-30 | 2022-06-02 | Yoichiro Hamaya | Control switching device |
| US11500715B1 (en) | 2021-05-27 | 2022-11-15 | Fort Robotics, Inc. | Determining functional safety state using software-based ternary state translation of analog input |
| US20220382238A1 (en) * | 2021-05-27 | 2022-12-01 | Fort Robotics, Inc. | Hardware implementation for detecting functional safety states using ternary state translation |
| EP4500801A4 (en) | 2022-04-19 | 2025-06-11 | Fort Robotics, Inc. | SECURITY RESPONSE PROCESS FOR SECURITY POLICY VIOLATIONS |
| US12081202B2 (en) | 2022-05-05 | 2024-09-03 | Fort Robotics, Inc. | Feedback-diverse, dual-controller-architecture functional safety system |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6051136B2 (ja) * | 1979-11-07 | 1985-11-12 | 三菱電機株式会社 | デ−タ誤り検出方式 |
| JPS5943450A (ja) | 1982-09-02 | 1984-03-10 | Toshiba Corp | 二重化制御装置の入出力照合方法 |
| JPS6051136A (ja) * | 1983-08-30 | 1985-03-22 | Mitsui Petrochem Ind Ltd | ポリフルオロアルコ−ルの製法 |
| JPH03286340A (ja) * | 1990-04-03 | 1991-12-17 | Japan Electron Control Syst Co Ltd | Cpuの異常診断装置 |
| JP2806159B2 (ja) | 1992-08-04 | 1998-09-30 | 日立電線株式会社 | 光ファイバ気体圧送ヘッド |
| JPH06149604A (ja) * | 1992-11-11 | 1994-05-31 | Nissan Motor Co Ltd | 多重化システム |
| CN1210647C (zh) * | 1996-11-29 | 2005-07-13 | 松下电器产业株式会社 | 适于作由正值处理及饱和运算处理组成的修整处理的处理器 |
| SE511114C2 (sv) | 1997-12-10 | 1999-08-09 | Ericsson Telefon Ab L M | Metod vid processor, samt processor anpassad att verka enligt metoden |
| JPH11183546A (ja) * | 1997-12-17 | 1999-07-09 | Toshiba Corp | 制御装置の回路異常検出装置 |
| JP2000172517A (ja) * | 1998-12-03 | 2000-06-23 | Hitachi Ltd | フェイルセーフ送信回路 |
| JP3841585B2 (ja) * | 1999-04-21 | 2006-11-01 | 松下電器産業株式会社 | 電子部品実装機、及び該電子部品実装機にて実行される電力供給制御方法 |
| JP2001222309A (ja) | 2000-02-10 | 2001-08-17 | Yaskawa Electric Corp | ロボット制御装置 |
| JP4374471B2 (ja) * | 2003-08-04 | 2009-12-02 | 学校法人同志社 | 照明制御システムおよび制御システム |
| US7440932B2 (en) | 2003-10-02 | 2008-10-21 | International Business Machines Corporation | Method and system for automating issue resolution in manufacturing execution and material control systems |
| JP4625620B2 (ja) * | 2003-10-10 | 2011-02-02 | 株式会社日立製作所 | フェイルセイフ制御装置 |
| JP4300129B2 (ja) * | 2004-02-10 | 2009-07-22 | ファナック株式会社 | プログラマブル・シーケンス制御装置 |
| CN101107597A (zh) | 2005-01-25 | 2008-01-16 | 横河电机株式会社 | 信息处理装置及信息处理方法 |
| US20090106461A1 (en) | 2005-01-31 | 2009-04-23 | Yokogawa Electric Corporation | Information Processing Apparatus and Information Processing Method |
| JP3897047B2 (ja) | 2005-01-31 | 2007-03-22 | 横河電機株式会社 | 情報処理装置および情報処理方法 |
| JP4556721B2 (ja) * | 2005-03-16 | 2010-10-06 | トヨタ自動車株式会社 | 車両用警報装置 |
| JP5050825B2 (ja) * | 2007-12-11 | 2012-10-17 | 三菱電機株式会社 | システム制御装置 |
| WO2010096761A1 (en) * | 2009-02-23 | 2010-08-26 | Provo Craft And Novelty, Inc. | Controller device |
| US8954177B2 (en) * | 2011-06-01 | 2015-02-10 | Apple Inc. | Controlling operation of a media device based upon whether a presentation device is currently being worn by a user |
-
2008
- 2008-11-07 KR KR1020107008341A patent/KR101179738B1/ko not_active Expired - Fee Related
- 2008-11-07 CN CN200880114972.6A patent/CN101849226B/zh active Active
- 2008-11-07 JP JP2009540101A patent/JP4832572B2/ja active Active
- 2008-11-07 US US12/739,109 patent/US8755917B2/en active Active
- 2008-11-07 WO PCT/JP2008/070340 patent/WO2009060953A1/ja not_active Ceased
- 2008-11-07 DE DE112008002764T patent/DE112008002764T5/de not_active Ceased
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103201812A (zh) * | 2010-11-08 | 2013-07-10 | 矢崎总业株式会社 | 组合开关 |
| CN103201812B (zh) * | 2010-11-08 | 2015-08-26 | 矢崎总业株式会社 | 组合开关 |
| US9633810B2 (en) | 2010-11-08 | 2017-04-25 | Yazaki Corporation | Combination switch |
| CN104943055A (zh) * | 2014-03-27 | 2015-09-30 | 住友重机械工业株式会社 | 注射成型机、及注射成型机的操作画面 |
| CN105759781A (zh) * | 2015-01-06 | 2016-07-13 | 电装波动株式会社 | 机器人的布线方法 |
| CN105759781B (zh) * | 2015-01-06 | 2018-08-03 | 电装波动株式会社 | 机器人的布线方法 |
| CN108351619A (zh) * | 2015-11-09 | 2018-07-31 | 奥的斯电梯公司 | 自诊断电路 |
| CN108351619B (zh) * | 2015-11-09 | 2021-10-26 | 奥的斯电梯公司 | 自诊断电路 |
| US11175638B2 (en) | 2015-11-09 | 2021-11-16 | Otis Elevator Company | Self-diagnostic electrical circuit |
| CN108958248A (zh) * | 2018-07-05 | 2018-12-07 | 北京智行者科技有限公司 | 备份系统 |
| CN112817273A (zh) * | 2019-11-15 | 2021-05-18 | 发那科株式会社 | 控制装置以及控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009060953A1 (ja) | 2009-05-14 |
| US20100234968A1 (en) | 2010-09-16 |
| US8755917B2 (en) | 2014-06-17 |
| KR101179738B1 (ko) | 2012-09-04 |
| KR20100054869A (ko) | 2010-05-25 |
| JPWO2009060953A1 (ja) | 2011-03-24 |
| DE112008002764T5 (de) | 2010-07-29 |
| CN101849226B (zh) | 2016-06-15 |
| JP4832572B2 (ja) | 2011-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101849226B (zh) | 安全控制装置 | |
| CN101542518A (zh) | 远程监视·诊断系统 | |
| CN102176140B (zh) | 可远程控制的can总线测试装置及方法 | |
| US7555680B2 (en) | Distributed control apparatus | |
| US20200262074A1 (en) | Remote robot monitoring system and method | |
| CN106855711A (zh) | 远程诊断管理系统及其操作方法 | |
| CN113401749B (zh) | 电梯系统与机器乘客交互的故障诊断方法、可读存储介质、电子设备及故障诊断系统 | |
| US20180067474A1 (en) | Control device for a machine | |
| CN101458642A (zh) | 计算机监控终端及监控方法 | |
| CN102508065A (zh) | 电气故障诊断方法、系统及工程机械 | |
| CN106656564A (zh) | 一种工控网络自动测试方法、装置及系统 | |
| KR20040050973A (ko) | 반도체 제조 설비의 실시간 모니터링을 위한 통합 관리시스템 및 그의 제어 방법 | |
| CN110045713A (zh) | 一种钻机盘刹控制测试系统及控制测试方法 | |
| KR100809598B1 (ko) | 가상 테스트가 가능한 반도체 테스트 시스템 및 그것의반도체 테스트 방법 | |
| JPWO2011074147A1 (ja) | 二重系制御装置 | |
| KR19980030105A (ko) | 엘리베이터 진단 시스템 및 그의 제어방법 | |
| CN112417453B (zh) | 自动化系统安全装置 | |
| JP2008097285A (ja) | プラント監視制御システム | |
| JP5133526B2 (ja) | 通信システムにおける試験制御方式 | |
| CN119562387A (zh) | 机器人测试方法、机器人调试板和存储介质 | |
| CN119087304A (zh) | 工业机器人的接线检测方法及装置 | |
| CN101527667A (zh) | 多点架构下收发器与总线脱离的方法 | |
| CN120143757A (zh) | 核电机组启停控制方法、装置、电子设备及存储介质 | |
| KR20140087868A (ko) | 자동화 라인의 이상회로 점검방법 | |
| CN116425034A (zh) | 一种起重设备的作业前安全隐患排除方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |