[go: up one dir, main page]

JP4032907B2 - Design support apparatus, design support method, and program - Google Patents

Design support apparatus, design support method, and program Download PDF

Info

Publication number
JP4032907B2
JP4032907B2 JP2002287879A JP2002287879A JP4032907B2 JP 4032907 B2 JP4032907 B2 JP 4032907B2 JP 2002287879 A JP2002287879 A JP 2002287879A JP 2002287879 A JP2002287879 A JP 2002287879A JP 4032907 B2 JP4032907 B2 JP 4032907B2
Authority
JP
Japan
Prior art keywords
safety
circuit
category
failure
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002287879A
Other languages
Japanese (ja)
Other versions
JP2004126816A (en
Inventor
敏之 中村
靖男 宗田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp filed Critical Omron Corp
Priority to JP2002287879A priority Critical patent/JP4032907B2/en
Publication of JP2004126816A publication Critical patent/JP2004126816A/en
Application granted granted Critical
Publication of JP4032907B2 publication Critical patent/JP4032907B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
この発明は、設計支援装置及び設計支援方法並びにプログラムに関するものである。
【0002】
【従来の技術】
FA(ファクトリーオートメーション)で用いられるプログラマブルコントローラ(PLC)は、スイッチやセンサなどの入力機器のON/OFF情報を入力し、ラダー言語などで書かれたシーケンスプログラム(ユーザプログラム)に沿って論理演算を実行する。そして、PLCは、得られた演算結果にしたがって、リレー,バルブ,アクチュエータなどの出力機器に対し、ON/OFF情報の信号を出力することで制御が実行される。
【0003】
ところで、PLCと、入力機器並びに出力機器との接続形態は、PLCに直接接続する場合もあれば、ネットワークを介して接続する場合もある。係るネットワークで接続されたネットワークシステムを構築した場合、上記ON/OFF情報の送受をネットワークを経由して行うことになる。このとき、通常、PLC側がマスタとなり、機器側がスレーブとなるマスタスレーブ方式で情報の伝送が行われる。
【0004】
一方、最近ではPLCによる制御においても、フェイルセーフ(安全)システムが導入されつつある。つまり、PLCや各機器自体はもちろん、それらを接続するネットワークも安全機能を組み込まれたもので構成される。ここで安全機能とは、例えばCPUその他の各処理部等を二重化して、正しい出力をするようにしたり、ネットワーク異常(正常な通信ができない)の場合や、緊急停止スイッチが押下されたり、ライトカーテンなどのセンサが人(身体の一部)の進入を検出した場合等のネットワークシステムが危険状態になった場合には、フェイルセーフが働き、システムが安全側になって、動作が停止するようにするものである。
【0005】
上記した安全機能を備えたネットワークシステム(安全ネットワークシステム)の場合、ネットワークに接続される機器(PLC,スレーブ並びにスレーブに接続される機器等)は全て安全機能を備えたものを用いる必要があった。これは、1つでも安全機能のない機器が組み込まれていると、その機器或いはその機器との連携,データ通信にフェイルセーフを実行できず、システム全体の安全を保証できないためである。
【0006】
そこで、安全ネットワークシステムを構築すべく回路設計をする場合は、使用しようとする機器が安全機能を備えた安全機器であるか否かを確認したり、複数の機器を接続する場合に、安全機能を発揮することのできる組み合わせであるか否かを確認したりする必要がある。さらに、単に安全機器を用いただけでは安全ネットワークシステムを構築することはできず、配線のレイアウトを正しく行う必要がある。なお、この種の設計支援を行う設定ツールとしては、従来特許文献1に開示されたものがある。
【0007】
【特許文献1】
特開2000−276508号公報
【0008】
【発明が解決しようとする課題】
安全機器を使用した回路設計においては、通常の電機設計技術だけでなく、安全設計技術も必要となる。しかし、国際規格に準じた安全設計技術に関する設計ルールの理解が難しく、また安全設計技術の普及にも時間がかかっており、ユーザ等が独自に設計するのは困難であった。そのため、現在では各安全機器ベンダや認証機関に問い合わせをしながら回路設計を行っている。
【0009】
従って、回路設計する作業が非常に煩雑で時間もかかってしまう。そのため、安全設計部分はアウトソーシングし、本業に注力したいと要望するユーザや装置ベンダも増えている。
【0010】
また、回路設計がされたシステムに対しては、検証(デバッグ)を行う必要がある。そして、特に安全ネットワークの場合には、各部品が正常に動作している場合に安全レベルを達成していることは重要であるが、それだけでは不十分で、例えば、ある部品が故障等した場合でもシステムの安全が保証される必要がある。しかし、実際に故障時の動作まで検証するのは困難である。
【0011】
この発明は、設計工数の削減と設計品質を得ることができ、設計者によるばらつきなどを無くすことができるとともに、安全設計技術に対する熟練度があまり無い設計者であっても、所望の安全度の安全システムを設計することができ、さらに、設計した成果をプローブンテクノロジとして活用することができ、さらには、回路設計して作成されたシステムに対する故障診断を行うことができる設計支援装置及び設計支援方法並びにプログラムを提供することを目的とする。
【0012】
【課題を解決するための手段】
この発明による設計支援装置では、(1)ファクトリーオートメーションで用いられるコントローラ及び安全機器を使用し、危険状態になった場合にフェールセーフが働いて動作が停止する安全システムを、国際規格に準ずる安全カテゴリを満足するように設計する設計支援装置であって、前記安全機器である入力機器及び出力機器とそれに対応する前記安全カテゴリとの関係を示す安全関連情報、および、前記入力機器及び出力機器ごとに前記安全カテゴリに対応した安全回路とその安全回路に接続される機器の属性との関係を示す設計ルール、を格納した安全カテゴリデータベースと、前記安全回路を構成する入力機器及び出力機器の種類、その入力機器及び出力機器に関連づく制御の動作仕様、および、設計上達成すべき安全カテゴリ、に関する条件を取得する条件取得手段と、前記条件取得手段で取得した各種の条件に従って前記安全カテゴリデータベースをアクセスし、前記安全カテゴリに合致する入力機器及び出力機器であるかどうかを照合して正しく選択し、前記安全カテゴリに対応した安全回路図を呼び出し、選択した入力機器及び出力機器を前記安全カテゴリに対応した安全回路図に従ってコントローラの端子番号と各機器とを接続した状態の安全回路を生成する回路生成手段と、を備えて構成した。
【0013】
また、係る装置に対応する本発明に係る設計支援方法は、(2)ファクトリーオートメーションで用いられるコントローラ及び安全機器である入力機器及び出力機器とそれに対応する前記安全カテゴリとの関係を示す安全関連情報、および、前記入力機器及び出力機器ごとに前記安全カテゴリに対応した安全回路とその安全回路に接続される機器の属性との関係を示す設計ルール、を格納した安全カテゴリデータベースを備えた、危険状態になった場合にフェールセーフが働いて動作が停止する安全システムの回路図を、国際規格に準ずる安全カテゴリを満足するように設計する設計支援装置における設計支援方法であって、前記安全回路を構成する入力機器及び出力機器の種類、その入力機器及び出力機器に関連づく制御の動作仕様、および、設計上達成すべき安全カテゴリ、に関する条件を取得し、前記取得した各種の条件に従って前記安全カテゴリデータベースをアクセスし、前記安全カテゴリに合致する入力機器及び出力機器であるかどうかを照合して正しく選択し、その選択した入力機器及び出力機器を前記安全カテゴリに対応した安全回路図に従ってコントローラの端子番号と各機器とを接続した状態の安全回路を生成する処理を実行するようにした。
【0014】
さらに、本発明に係るプログラムは、(3)ファクトリーオートメーションで用いられるコントローラ及び安全機器である入力機器及び出力機器とそれに対応する前記安全カテゴリとの関係を示す安全関連情報、および、前記入力機器及び出力機器ごとに前記安全カテゴリに対応した安全回路とその安全回路に接続される機器の属性との関係を示す設計ルール、を格納した安全カテゴリデータベースを備えた、危険状態になった場合にフェールセーフが働いて動作が停止する安全システムの回路図を、国際規格に準ずる安全カテゴリを満足するように設計する設計支援装置を構成するコンピュータを、前記安全回路を構成する入力機器及び出力機器の種類、その入力機器及び出力機器に関連づく制御の動作仕様、および、設計上達成すべき安全カテゴリ、に関する条件を取得する条件取得手段、前記取得した各種の条件に従って前記安全カテゴリデータベースをアクセスし、前記安全カテゴリに合致する入力機器及び出力機器であるかどうかを照合して正しく選択し、その選択した入力機器及び出力機器を前記前記安全カテゴリに対応した安全回路図に従ってコントローラの端子番号と各機器とを接続した状態の安全回路を生成する回路生成手段、として機能させるものとした。
【0015】
本発明によれば、希望する安全カテゴリを実現するために必要な機器の安全関連情報と安全回路の設計ルールをデータベース化したため、入出力機器と動作仕様を定義することにより回路図・ソフトウェアを自動生成することができる。
【0016】
よって、設計者は、安全設計技術についての習熟度が高くなくても、目的の安全カテゴリを有する回路を設計することができる。そして、生成される回路の品質も、設計者間でばらつきの少ないものとなる。
【0020】
本発明によれば、入力された回路図が希望する安全カテゴリを満足するかチェックすることができる。ここでチェック対象の回路図は、上記した自動生成機能により作成した回路であってもよいし、別途作成したものでも良い。
【0021】
さらにまた、本発明に係る設計支援装置の別の解決手段としては、(1)の発明を前提とし、安全回路に接続される機器が故障した場合の影響を、故障の種類と関連づけた故障情報を格納した故障情報データベースと、設計された安全回路の構成情報を取得する回路構成情報取得手段と、取得した前記構成情報に従って、前記安全回路構成する所定の機器のうち、故障する機器を選択し、前記選択した機器についての故障情報を前記故障情報データベースから抽出し、前記安全回路へ与える影響を求める故障診断手段とを備えて構成することである。
【0022】
また、本発明に係る設計支援方法は、(2)の発明を前提とし、安全回路に接続される機器が故障した場合の影響を、故障の種類と関連づけた故障情報を格納した故障情報データベースを備えた設計支援装置における設計支援方法であって、設計された安全回路の構成情報を取得し、前記取得した前記構成情報に従って、前記安全回路構成する所定の機器のうち、故障する機器を選択し、前記選択した機器についての故障情報を前記故障情報データベースから抽出し、前記安全回路へ与える影響を求めるようにした。
【0023】
また、本発明に係るプログラムは、(3)の発明を前提とし、安全回路を構成する機器が故障した場合の影響を、故障の種類と関連づけた故障情報を格納した故障情報データベースを備えた設計支援装置を構成するコンピュータを、設計された安全回路の構成情報を取得する回路構成情報取得手段、前記取得した前記構成情報に従って、前記安全回路を構成する所定の機器のうち、故障する機器を選択し、前記選択した機器についての故障情報を前記故障情報データベースから抽出し、前記安全回路へ与える影響を求める故障診断手段、として機能させるものとした。
【0024】
この発明によれば、データベースに、機器の持つ故障モードと故障時の動作の定義を含めたことにより、過去に作成した回路図に対して希望するFMEA等を自動実行し、診断結果を出力することができる。よって、故障した際に安全か否かを確認することができる。
【0025】
また、上記した各発明は、それぞれ単独で実施することもできるし、適宜組み合わせて実施することもできる。そして、評価や故障診断の対象となる回路図は、自動生成して作成したものでも良いし、それ以外の方法で作成したものでも良い。
【0026】
【発明の実施の形態】
図1は、本発明の好適な一実施の形態を示している。図1に示すように、設計支援ツール10は、外部機器とデータの送受を行うための入力インタフェース11並びに出力インタフェース12と、設計支援処理を行うMPU13と、そのMPU13が設計支援処理を行うのに必要なデータを備えた機器情報データベース14,安全カテゴリデータベース15並びに故障情報データベース16を備えている。もちろん、この設計支援ツール10は、実際にはパソコンその他のコンピュータにより実現できるため、図示省略するが、コンピュータを動作させるためのプログラムが格納されたシステムROMや、MPU13で実行するプログラム(設計支援プログラム)を格納するユーザメモリや、MPU13の実行中に使用するワークメモリなどを備えている。
【0027】
一方、外部機器としては、入力インタフェース11に接続されるキーボード20並びにマウス21を備えている。また、出力インタフェース12には、外部機器としてCRT23,プリンタ24並びに記憶装置25を備えている。
次に各部について詳述する。機器情報データベース14は、機器ごとのプロファイル情報をライブラリ化して格納するもので、その機器を特定するデバイス名,ベンダ名,形式,認定規格情報,コスト,機器をあらわす図記号,対応可能な安全カテゴリ,機能定義,端子機能情報(端子No.,名前,プロパティ),入出力インタフェースの電気的特性,時間特性(応答時間),故障モードと動作等が登録される。
【0028】
安全カテゴリデータベース15は、安全ネットワークを構築するための情報が格納されており、具体的には、各安全カテゴリごとに要求される機能定義と配線ルールを備えた設計ルールと、安全機器/ソフトウェア機能モジュールと安全カテゴリを対応づけたカテゴリ対応テーブルと、安全機器/ソフトウェア機能モジュールと安全機能を対応づけた安全機能テーブルと、安全機器と電気的インタフェースを対応付けたインタフェース対応テーブルと、安全機器と応答時間を対応づけた応答時間対応テーブル等がある。各テーブルのデータは、機器情報データベース14に格納された各機器についてのプロファイル情報から必要なものを抽出し格納することにより構築できる。
【0029】
そして、設計ルールには、各機器(ファンクション)ごとにカテゴリに応じた配線パターンが登録される。図2に示すような具体的な回路構成と、その回路構成で達成される安全カテゴリ(図3参照)が関連付けられて登録される。図2に示す回路は、「非常停止用機器の安全カテゴリ4」の配線パターン例である。ユニットの内部回路や端子には属性があり、係る属性が予め登録されている。従って、その属性に基づいて接続される機器は絞り込まれる。すなわち、ユニットUNのA1,A2端子は電源端子であるため、所定の電源に接続され、T11,T12は接点端子であるため所定のスイッチSWが接続されている。スイッチSWは、所望の安全カテゴリを得ることのできる部品・機器を用い、2重化して冗長性を持たせている。このように、ユニットUNに接続される各機器は、安全カテゴリが決まるとある程度使用可能な範囲が定まるので、雛形として回路構成を作成し、登録しておく。また、図において枠Wで囲まれた機器は、ユーザの選択や設定などにより変更可能な部分である。さらに、ICの内部回路は、回路設計の上では必須ではないが、回路構成の中身を理解させやすくするために、表示用に記載している。
【0030】
また、図3に示すテーブルは、回路構成により達成する安全カテゴリを示している。つまり、安全カテゴリは、国際規格によって、どのような条件を満たす場合にどの安全カテゴリ(レベル,安全度)になるかが定められている。そして、安全カテゴリは、数値の大きいものほど安全の程度が高いことを意味し、安全カテゴリ「B」は、安全対策を施していない一般の機器のレベルを示す。図3から明らかなように、この回路を使用すれば、入力部や出力部の冗長性については、安全カテゴリ3や4の安全ネットワークを構成することができる。そして、上位のより高い安全カテゴリを満足するからと言って、それよりも下位の低い安全カテゴリに対応しているとは限らない。よって、設計者は、係るテーブルから、自己が希望する安全カテゴリを満足するものか否かを容易に判断することができる。
【0031】
また、安全機器/ソフトウェア機能モジュールと安全カテゴリを対応づけたカテゴリ対応テーブルのデータ構造の一例としては、図4に示すようになっている。各機器に対して、機器名,型式,ベンダ,操作電圧,接点構成,リセット機能に加え、安全カテゴリも関連付けたテーブルとなっている。上記各データは、機器情報データベース14にアクセスして取得することができる。この例では、安全レベルが4の安全ネットワークシステムを構築しようとする、使用できるリレーユニットは、A社製の型式が「形AAAAA」に限定されてしまうことになる。もちろん、図4では、リレーユニットに対してのみ具体例を記述しているが、実際には他の機器についても同様の各項目の内容が登録される。
【0032】
また、安全機器/ソフトウェア機能モジュールと安全機能を対応づけた安全機能テーブルは、図5に示すように、「非常停止」や「2ハンド」などの機能を実現することのできる安全機器が対応づけられて格納される。該当するものが複数ある場合は、それらを併記して登録する。これにより、ユーザは、代替え品を容易に検出することができる。なお、機能に対応するのがソフトウェアの場合は、機器ごとに提供されるアプリケーションプログラムのモジュールやファンクションブロックが登録される。なお、ここで言う安全機能は、制御機器の場合はその制御機器が有する安全機能であり、入出力機器は接続されるべき安全機能である。
【0033】
次に、MPU13の機能の1つである安全ネットワークを構成する安全回路の自動生成機能を説明する。この機能は、図6,図7に示すフローチャートを実行するものである。すなわち、まず、機器情報データベース14並びに安全カテゴリデータベース15を読み込みスタンバイ状態になる(ST1からST3)。ここまでが、データベース読み込みフェーズである。
【0034】
次に、ステップ4から8の条件入力フェーズを実行する。具体的には、まず制御グループ毎に入出力機器の登録を行う(ST4)。この入出力機器の登録処理は、具体的には以下のように行う。
【0035】
すなわち、まず、例えば図8に示すような入力画面、つまり、使用可能な部品(ファンクションブロック)の一覧を表示する部品ツリー欄と、実際の回路を組むための作業領域画面Gとを備えた入力画面をCRT23に出力表示する。作業領域画面Gには、入力機器配置領域R1と制御部配置領域R2と出力機器配置領域R3が用意されている。
【0036】
この入力画面において、設計者は、マウス21を操作して部品ツリー欄に表示された所望の部品をドラッグ&ドロップすることにより、作業領域画面G中の何れかの領域R1からR3に配置することにより、入出力機器の登録を行うことができる。なお、制御部には、仮想の制御BOXを配置する。
例えば、設計条件として、以下の(1)から(3)を満たす回路を設計することを想定する。
【0037】
(1)「非常停止A」と「非常停止B」と「非常停止C」のモニタを行い、安全状態で負荷A用電源を「コンタクタA」により閉路、安全でない状態では遮断させる。
(2)モニタ機能のスタートおよびリスタートは、「手動スイッチ入力」による。
(3)上記の機能をEN954−1/ISO13849−1などで定められた「安全カテゴリ3」で実現する。
【0038】
すると、ドラッグ&ドロップにより、3つの非常押しボタンを入力機器配置領域R1に配置するとともに、コンタクタを出力機器配置領域R3に配置する。なお、上記したように制御部配置領域R2には、仮想の制御BOXを配置するが、これはすくなくとも1個は必ず設置するものであるので、自動的に配置するようにしても良いし、他の入出力機器と同様に、部品リスト欄に用意された制御ボックスをドラッグ&ドロップすることにより配置するようにしても良い。そして、各領域R1からR3に部品を配置すると自動的に各部品にID Noが割り付けられる。このID Noの割付は、例えば、制御BOXに#00を割り付け、入力機器を先頭から順番に昇順方式で割付け、次いで、入力機器の最後のID No次の番号から出力機器の先頭から順番に昇順方式で割り付ける。これにより、入力画面は、図9に示すように各部品が配置された状態となる。
【0039】
なお、部品ツリー欄に表示される各部品は、実際の製品と対応づけられている。つまり、同じ「非常停止押しボタン」であっても、各製品用のものが用意されている。そこで、設計者は、目的とする安全レベルに適合する製品についての部品アイコンを選択し、ドラッグ&ドロップする。従って、作業領域画面Gに各部品を配置した状態では、図9では単に部品のアイコンのみ表示しているが、各部品はそれぞれ実際の製品と関連づけられている。
【0040】
すなわち、図9において例えばID Noが#01の非常停止押しボタンは、「デバイス名:E−STOP押しボタン,形式:AAAAA,ベンダ:A社,属性:φ22、プッシュロック」であり、#01の非常停止押しボタンは、「デバイス名:E−STOP押しボタン,形式:BBBBB,ベンダ:A社,属性:φ16、プッシュプル」であり、#01のコンタクタは、「デバイス名:コンタクタ,形式:CCCCC,ベンダ:B社,容量:200V 3.7KW,入力:AC100V」である。このような各機器についての機器情報も紐付けられている。よって、例えば、部品をダブルクリックなどして指定することにより、当該機機情報を表示できるようにすると好ましい。
【0041】
なお、上記した例では、部品ツリー欄には全ての部品が表示されるようにしているが、例えば制御BOXの機能に応じて選択できる部品はある程度絞り込まれる。従って、設計支援ツール10側で選択可能な部品を抽出し、その抽出した部品のみを部品ツリー欄に表示する機能を持たせると、より利便性があがるとともに、誤選択する可能性が抑制できる。
【0042】
次に、各構成部品の関連付けを行う。すなわち、構成部品(入出力機器)の関連付けと登録およびユーザコメントの入力を行う。まず関連付けは、図10に示すように、入力機器並びに出力機器を制御BOXへドラッグ&ドロップすることにより行う。すなわち、各部品の座標位置を認識しているため、例えばマウス21を操作し、非常停止押しボタン#01をドラッグして制御ボックス#00の位置まで移動し、そこでドロップすると、ツールのMPU13側では、非常停止押しボタン#01が制御ボックス#00の上に重なった状態でドロップされたことを認識する。そこで、それら重なった非常停止押しボタン#01と制御ボックス#00を関連付ける。これにより、ツール側では、非常停止押しボタン#01からの信号を制御ボックス#00に入力するように回路設計する必要があることを認識できる。
【0043】
この関連付けに伴い、制御機器の関連を示すテーブルを作成する。このテーブルがコンパイルの最小単位となる。一例を示すと、図11に示すようなテーブルを作成する。登録する各項目のタイトルを見ると明らかなように、多くの場合、機器情報データベース14に格納されているので、該当するデータをテーブルの所定位置に格納する。さらに、このテーブルを出力表示し、各機器のネーミング(ドアA,ペンダントA等)や、各種コメントをテーブル内の所定領域に登録することができる。
【0044】
さらに、本実施の形態では、レイアウト情報の入力も行えるようになっている。すなわち、機器の設置エリアがそれぞれ離れている場合を想定し、機器のグループ化を行う機能を持つ。具体的には、図12に示すように、ある制御BOXの出力を他の制御BOXの入力として使用することにより実現し、係る連携を、「ネットワーク」,「中継端子台」を部品として活用することにより行う。
【0045】
それら「ネットワーク」や「中継端子台」を部品として利用するため、通常の入力機器や出力機器と同様に、部品ツリーリストに配置してある「ネットワーク」等をドラッグ&ドロップにより入力機器配置領域R1や出力機器配置領域R3に配置するとともに、それら配置した部品を制御BOXに関連付けることにより、上記したレイアウト情報の入力が行える。なお、「ネットワーク」はスレーブのアドレスなどを割り振る必要がある。
【0046】
上記のようにして入出力機器の登録処理が完了したならば、制御BOXの動作仕様(回路動作)の入力処理を行う(ST5)。つまり、安全機能の選択処理であり、具体的には、入力機器,出力機器の登録が終了した制御BOXをクリックする。
【0047】
これに伴い、CRT23の表示画面に図13に示すような動作仕様入力画面を表示する。この動作仕様入力画面は、左側に、制御ファンクションの一覧がリスト表示される領域を設定し、右側に処理対象の制御BOXについての入力領域が設定される。そして、出力機器の欄には、その制御BOXに登録された出力機器を配置し、制御条件1の欄には、その制御BOXに登録された入力機器を配置する。係る配置は、ステップ4の実行によって得られた情報に基づき自動的に行い、表示する。また、制御条件2は、安全制御特有の設定情報を登録するエリアである。
【0048】
そして、上記した動作仕様入力画面を用い、表示された制御ファンクションを出力すべき機器の制御条件1エリアに割り当てるとともに、入力機器のIDを割り当てる。また、安全制御特有の設定情報も制御条件2に設定する。これらの割り当て,設定も、用意された制御ファンクションを所定位置にドラッグ&ドロップすることにより実行できる。
【0049】
上記処理を具体例を挙げて説明すると、以下のようになる。図13に示す動作仕様入力画面を利用して、例えば図10に示す制御BOX(#00)」に対し、以下のような内容が設定できるようになっている。
【0050】
(1)入力条件(制御条件1としている)
制御BOX#00の入力条件で、出力機器コンタクタ#04をアクティブにするための条件を設定する。この場合の入力機器は、図12に示すように非常停止押しボタンが3個(3個のいずれもが押されていないことを条件に動作する)であるので、非常停止がされたかどうかのモニタを3つそれぞれに独立して行うことになるため、「非常停止モニタ」が3つ配置される。
【0051】
(2)出力条件(図中「出力機器」)
この欄は、出力機器の諸条件を設定する欄である。例えば、オフディレーで遮断する場合には、制御FB欄の一番下にある「OFFディレー」をドラッグ&ドロップにより選択するとともに、制御オフディレー値(たとえば30秒)などを設定する。
【0052】
(3)再起動条件(図中「制御条件2」)
入力条件が満たさなくなって、いったんフェールセーフがかかって出力がOFF状態になった後で、出力がONする(起動させる)際のリスタート(リセット)条件を設定する。システムの復帰条件,再起動条件とも言える。これも、制御FB欄から所定のものをドラッグ&ドロップなどにより選択することにより設定する。
【0053】
なお、図に示す「マニュアルリセット」は、非常停止押しボタンとは別の手動リセットボタンが押されることでリセットされるように設定するためのものである。また、他に図示していないが、制御条件2に登録するものとしては、「オートリセット」もある。これは入力条件が満たされると自動的にリセットされるように設定するもので、非常停止押しボタンがON→OFFになれば、システムが再起動するようにできる。
【0054】
次いで、達成すべき安全カテゴリの入力処理を行う(ST6)。具体的には、図14に示すように、動作仕様入力画面の上に「安全カテゴリ入力画面」を重ねて表示し、安全カテゴリの欄に数値を入力させることにより行う。図14の例では、設計仕様が「安全カテゴリ=3」であったため、キーボード20を操作して「3」を入力したが、ここで入力する値は、「B,1,2,3,4」と決まっている(図3等参照)ため、予め係る数値を用意しておき、プルダウン方式のメニューから選択するようにしても良い。
【0055】
次に、コンパイル条件の入力処理を行う(ST7)。具体的には、図15に示すように、動作仕様入力画面の上に「コンパイル条件入力画面」を重ねて表示し、要求するコンパイル条件を受け付ける。設計者は、そのコンパイル条件入力画面に対し、キーボード20を介して具体的な条件を入力したり、マウス21を操作して該当するものをクリックして選択することにより、コンパイル条件を入力する。なお、応答時間は安全距離とすることもできる。また、「コスト」とは見積もりの有無を入力する欄である。そして、「コンパイルしますか?(Y/N)」に対してYを入力して「エンターキー」を押すことにより、入力された内容が確定され、次の処理に移行する。
【0056】
まず、実際のコンパイル処理をするに先立ち、入力された情報をもとに機器情報データベース14をアクセスし、入力されたコンパイル条件にあった機器を選択する。そして、安全カテゴリデータベース15に格納されたカテゴリ対応テーブルを読み出し、上記選択した機器が正しいか否かの照合チェックを行う(ST8)。すなわち、カテゴリと機器の不一致などの選択ミスがないかをチックする。そして、エラーがあると、ステップ4に戻り、再度入力処理を行う。このとき、エラー通知をすると良い。
【0057】
そして、照合チェックの結果、機器の選択が正しい場合には、回路生成フェーズに移行する。すなわち、コンパイル処理を実行する(ST9)。つまり、安全カテゴリデータベース15に格納された情報から、対応する機器同士を接続する外部結線図を呼び出し、選択した機器間の入出力インタフェースを確認しながら生成する。
【0058】
そして、コンパイル実行後に、設計ルールの照合チェックを行う(ST10)。すなわち、文法エラーなどがないかや、論理圧縮できるところはないか?等が判断される。
【0059】
文法エラーの例としては、非常停止押しボタンが、2ハンドSWモニタFBと結線されていたり、入出力インタフェースが機器間で不整合であったり、選択した機器が要望する安全カテゴリを満足しない場合などがある。それらのエラーの例をデータベースに登録しておき、対応するエラーメッセージを出力するようにすることもできる。また、論理圧縮の適否は、冗長な回路構成がないかなどを判断するもので、従来から公知の技術であるのでその詳細な説明を省略する。
【0060】
そして、照合チェックの結果、不適であって回路図が生成できない場合は、エラー通知および原因通知を行った後、ステップ4に戻り再度入出力機器の登録から行う。
【0061】
また、照合チェックした結果、OKとなった場合にはステップ11に進み、論理圧縮できる場合には簡単化する(ST11)。なお、この処理までは、安全機能と入出力機器との関係でチェックされる。
【0062】
その後、マッピングを行う(ST12)。すなわち、安全機能をライブラリに登録された機器やソフトウェアに変換する。そして、マッピングが正しく行われたならば、各機器を配置するとともに配線を行い(ST14)、生成された回路図・部品表を出力して処理を修理要する(ST15)。なお、上記した簡略化,マッピング,配置・配線,回路図・部品表出力の各処理ステップは、基本的に、安全機能に対応していない従来の一般的な回路設計をする場合の支援ツールに用いられる機能を利用できるので、その詳細な説明を省略する。
【0063】
なお、自動生成完了後に出力される回路図の一例としては、図16に示すようになり、部品表の一例としては、図17に示すようになる。また、係る回路図は、CRT23に出力表示したり、プリンタ24にてプリントアウトすることができる。また、それら回路図や部品表は、ファイルとして記憶装置25に格納するようにしても良い。
【0064】
次に、MPU13の第2の機能である回路チェック機能を説明する。上記した自動生成機能では、新たに回路を作成する場合に使用するが、この回路チェック機能は、上記した自動生成機能やその他の手法により作成した回路を評価するものである。そして、具体的には図18に示すフローチャートを実行する機能を有する。
【0065】
すなわち、まず、機器情報データベース14並びに安全カテゴリデータベース15を読み込みスタンバイ状態になる(ST1からST3)。ここまでが、データベース読み込みフェーズである。
【0066】
ついで、記憶装置25に格納されたチェック対象の回路図を読み込む(ST20)。これにより、例えば図16に示すような回路図が表示される。そして、達成すべき安全カテゴリを入力する(ST21)。この入力は、具体的な図示は省略するが、例えば図14に示した安全カテゴリ入力画面を図16の上に重ねて表示し、その状態で設計者に安全カテゴリを入力させればよい。
【0067】
次いで、安全カテゴリデータベース15に格納されたカテゴリ対応テーブルを読み出し、読み出した回路図を構成する機器が、安全カテゴリとの関係で正しいか否かの照合チェックを行う(ST22)。すなわち、安全カテゴリと機器の不一致などの選択ミスがないかをチックする。そして、選択ミスがない場合には、ステップ23に進み、文法エラーなどがないかの設計ルールの照合チェックを行う。
【0068】
一方、ステップ22,23で、照合チェック結果がエラーとすると、異常通知(ST25)を経て、ステップ26に進み、ミスのあった部分の回路編集を行った後、ステップ20に進み再度チェックを行う。そして、照合チェックした結果OKの場合には、その旨の結果通知(ST24)をした後処理を終了する。
【0069】
次に、MPU13が持つ、故障診断機能を説明する。まず、故障情報データベース16には、予め「FMEAルール」や、「故障モードと出力動作,システムへの影響テーブル」などが格納される。ここでFMEAは、Failure mode and effect analysisと呼ばれ、FMEAルールは、故障解析手法の1つであり、回路を構成するある部品が故障した場合に、回路全体(システム)に与える影響を調べるものである。同一部品であっても、故障の種類(故障モード)が異なれば、与える影響が異なる場合もある。
【0070】
安全システムでは、回路設計した後で選択ミスや設計ルール不合格がないかを確認するとともに、もし異常が起きた場合にシステムにどのような影響が起きるか(出力機器がどうなるか)を把握してチェックする必要がある。そのために、ある機器・部品がどういう故障モードや自己診断機能などを持っていて、故障したときに外部にどういう影響を与えるかの情報をデータベース化したのが「故障情報データベース16である。
【0071】
そして、係る故障情報データベース16に格納される「故障モードと出力動作,システムへの影響テーブル」は、機器情報データベース14に格納された各機器毎に、故障モードとその時の動作(ふるまい)を定義したテーブルである。具体的なデータ構造の一例を示すと、図19や図20に示すようなものがある。
【0072】
なお、図19,図20中「等級」は、Aは「機器が故障を検出可能」,Bは「検出不可能だが、累積故障が安全機能を損なわない」,Cは「検出不可能だが、単一の故障が直接安全機能を損なわない」,Dは「単独の故障が、直接安全機能を損なう」である。
【0073】
そして、MPU13は、記憶装置25に格納された作成済みの回路図(回路構成)を読み出し、FMEAを実行する。具体的には、図21,図22のフローチャートを実行する機能を有する。
【0074】
まず、機器情報データベース14並びに故障情報データベース16を読み込みスタンバイ状態になる(ST1,ST2′,ST3)。ここまでが、データベース読み込みフェーズである。
【0075】
ついで、記憶装置25に格納されたチェック対象の回路図を読み込む(ST20)。これにより、例えば図16に示すような回路図が表示される。読み出された回路図が目的のものであれば、FMEA条件の入力処理を行う(ST21)。具体的には、例えば図23に示すようなFMEA条件入力画面を、前工程で読み出してきた回路図の上に重ねて表示し、その状態で設計者にFEMA条件を入力させればよい。ここで、FEMA条件は、1つの部品が故障した場合の影響を調べる単一故障解析なのか、複数の部品が故障した場合の影響を調べる累積故障解析なのかを選択させ、累積故障解析の場合には、さらに累積する故障の数を入力させるようにする。解析の種別は、何れかをクリックすることにより選択でき、故障の数は具体的な数値を入力することにより行う。
【0076】
そして、上記した条件入力が完了したならば、その条件に従ってFMEAを実行する(ST28,ST29)。このFMEAの実行処理の一例を示すと、各部品と、その部品についての故障モードに番号を付与し、図20に示すフローチャートのように、その番号に従って、部品を1番から順に選択し、その選択した部品について用意された故障モードが発生した場合の影響を、故障情報データベース16から取得した情報に基づいて逐次検証する。つまり、検証中の故障モードの時のその部品の動作をした場合に回路(システム)全体がどのような動作を行い、安全であるか否かなどを判断する。なお、累積モードの場合には、ステップ33を実行してある部品のある故障モードを特定した後、すぐにFMEAを実行するのではなく、さらにステップ32から38(ステップ34を除く)と同様の処理を行って別の故障した部品の故障モードを特定する処理を、累積数に応じて所定数繰り返し実行することにより、ある1組の事象を特定し、FMEAを実行する。
【0077】
そして、全ての故障のケースについてFMEAを実行したならば、その結果を出力する(ST30)。実行結果の表示リストの一例を示すと、図24のようになる。ここで、判定結果がOKとは、安全である、つまりフェイルセーフが働き、安全システムが保証されることを意味する。
【0078】
このように、上記した実施の形態の設計ツールを使用することにより、安全設計技術に対する熟練度の程度にかかわらず、安全カテゴリを入力するとともに、入出力機器を登録することにより、目的とする安全カテゴリを満足する安全回路を設計することができる。また、既に作成済みの回路に対し、所望の安全カテゴリを満足しているか否かのチェックや、FEMAによる部品が故障した場合でも安全かなどの故障診断を行うことができる。
【0079】
【発明の効果】
以上のように、この発明では、安全設計技術に対する熟練度があまり無い設計者であっても、所望の安全度の安全システムを設計することができるとともに、設計者によるばらつきが無く、設計工数の削減と設計品質を得ることができる
【図面の簡単な説明】
【図1】 本発明の好適な一実施の形態を示すブロック図である。
【図2】 安全カテゴリデータベースに格納される設計ルールの一例を示す図である。
【図3】 安全カテゴリデータベースに格納される回路構成で達成される安全カテゴリ情報のデータ構造の一例を示す図である。
【図4】 安全カテゴリデータベースに格納されるカテゴリ対応テーブルのデータ構造の一例を示す図である。
【図5】 安全カテゴリデータベースに格納される安全機能テーブルのデータ構造の一例を示す図である。
【図6】 安全回路の自動生成機能を示すフローチャートの一部である。
【図7】 安全回路の自動生成機能を示すフローチャートの一部である。
【図8】 安全回路の自動生成機能を実行中にCRTに表示される画面の一例を示す図である。
【図9】 安全回路の自動生成機能を実行中にCRTに表示される画面の一例を示す図である。
【図10】 安全回路の自動生成機能を実行中にCRTに表示される画面の一例を示す図である。
【図11】 安全回路の自動生成機能を実行中にCRTに表示される画面の一例を示す図である。
【図12】 安全回路の自動生成機能を実行中にCRTに表示される画面の一例を示す図である。
【図13】 安全回路の自動生成機能を実行中にCRTに表示される画面の一例を示す図である。
【図14】 安全回路の自動生成機能を実行中にCRTに表示される画面の一例を示す図である。
【図15】 安全回路の自動生成機能を実行中にCRTに表示される画面の一例を示す図である。
【図16】 安全回路の自動生成機能を実行中にCRTに表示される画面の一例を示す図である。
【図17】 安全回路の自動生成機能を実行中にCRTに表示される画面の一例を示す図である。
【図18】 回路チェック機能を示すフローチャートの一部である。
【図19】 故障情報データベースに格納される故障モードと出力動作,システムへの影響テーブルの一例を示す図である。
【図20】 故障情報データベースに格納される故障モードと出力動作,システムへの影響テーブルの一例を示す図である。
【図21】 故障診断機能(FMEA)を示すフローチャートの一部である。
【図22】 故障診断機能(FMEA)を示すフローチャートの一部である。
【図23】 故障診断機能を実行中にCRTに表示される画面の一例を示す図である。
【図24】 故障診断機能を実行して得られたCRTに表示される実行結果画面の一例を示す図である。
【符号の説明】
10 設計支援ツール
11 入力インタフェース
12 出力インタフェース
13 MPU[0001]
BACKGROUND OF THE INVENTION
  The present invention relates to a design support apparatus, a design support method, and a program.LambIt is about.
[0002]
[Prior art]
A programmable controller (PLC) used in FA (factory automation) inputs ON / OFF information of input devices such as switches and sensors, and performs logical operations according to a sequence program (user program) written in a ladder language. Execute. Then, the PLC performs control by outputting a signal of ON / OFF information to an output device such as a relay, a valve, or an actuator according to the obtained calculation result.
[0003]
By the way, the connection form between the PLC and the input device and the output device may be directly connected to the PLC or may be connected via a network. When a network system connected by such a network is constructed, the ON / OFF information is transmitted / received via the network. At this time, information is normally transmitted in a master-slave system in which the PLC side is a master and the device side is a slave.
[0004]
On the other hand, recently, a fail-safe (safety) system is being introduced also in control by PLC. That is, not only the PLC and each device itself, but also the network connecting them is configured with a built-in safety function. Here, the safety function refers to, for example, duplicating the CPU and other processing units so that correct output is performed, a network error (normal communication is not possible), an emergency stop switch being pressed, When the network system is in a dangerous state, such as when a sensor such as a curtain detects the entry of a person (part of the body), fail-safe is activated, the system becomes safe and the operation stops. It is to make.
[0005]
In the case of the network system (safety network system) having the above-described safety function, all devices connected to the network (PLC, slaves, devices connected to the slave, etc.) have to be provided with safety functions. . This is because if even one device without a safety function is incorporated, failsafe cannot be executed for the device or cooperation with the device and data communication, and the safety of the entire system cannot be guaranteed.
[0006]
Therefore, when designing a circuit to build a safety network system, it is necessary to check whether the device to be used is a safety device with a safety function or when connecting multiple devices. It is necessary to confirm whether or not the combination is capable of exhibiting the above. Furthermore, a safety network system cannot be constructed simply by using safety devices, and wiring layout must be performed correctly. In addition, as a setting tool for performing this type of design support, there is one disclosed in Patent Document 1 of the related art.
[0007]
[Patent Document 1]
JP 2000-276508 A
[0008]
[Problems to be solved by the invention]
In circuit design using safety devices, not only ordinary electrical design techniques but also safety design techniques are required. However, it is difficult to understand the design rules related to the safety design technology according to the international standard, and it has been time consuming to spread the safety design technology, and it has been difficult for users and others to design independently. For this reason, circuit design is currently being conducted while inquiring each safety equipment vendor and certification body.
[0009]
Therefore, the circuit design work is very complicated and takes time. Therefore, users and equipment vendors who want to outsource the safety design part and focus on the main business are increasing.
[0010]
In addition, verification (debugging) must be performed on a system for which circuit design has been performed. And especially in the case of a safety network, it is important to achieve a safety level when each component is operating normally, but that is not enough, for example, if a certain component fails. But the safety of the system needs to be guaranteed. However, it is difficult to verify the actual operation at the time of failure.
[0011]
  This invention can reduce design man-hours and design quality, eliminate variations among designers, etc., and even a designer who has little skill in safety design technology can achieve a desired safety level. A design support apparatus and design support capable of designing a safety system, utilizing the designed results as probe technology, and capable of performing fault diagnosis on a system created by circuit design Method andprogramThe purpose is to provide.
[0012]
[Means for Solving the Problems]
  In the design support apparatus according to the present invention, (1)Controllers used in factory automation andUse safety equipmentIn case of danger, fail safe is activated and operation stopsSafety systemTo meet the safety category according to international standardsA design support apparatus to design, safety-related information indicating the relationship between the input device and output device, which are the safety devices, and the corresponding safety category, and corresponding to the safety category for each input device and output device Safety circuitFigureRelated to the safety category database storing the design rules indicating the relationship between the device and the attribute of the device connected to the safety circuit, the types of the input device and the output device constituting the safety circuit, and the input device and the output device. Condition acquisition means for acquiring conditions regarding control operation specifications and safety categories to be achieved in design, and access to the safety category database according to various conditions acquired by the condition acquisition means,Safety categoryEquipment and output equipment that meetCheck whether it isSelected,Call the safety circuit diagram corresponding to the safety category,The selected input device and output device areSafety circuit diagram corresponding to safety categoryAccording toThe controller terminal number and each deviceConnected safety circuitFigureAnd circuit generation means for generating.
[0013]
  The design support method according to the present invention corresponding to such a device is (2)Controllers used in factory automation andSafety-related information indicating the relationship between the input device and output device, which are safety devices, and the corresponding safety category, and a safety circuit corresponding to the safety category for each input device and output deviceFigureAnd a safety category database that stores design rules that show the relationship between attributes and the attributes of devices connected to the safety circuitIn order to satisfy safety categories that comply with international standards, the circuit diagram of the safety system in which fail-safe is activated and operation stops in the case of a hazardous conditionA design support method for a design support apparatus to be designed, the type of input device and output device constituting the safety circuit, the operation specification of control related to the input device and output device, and the safety category to be achieved in the design , Obtaining the conditions related to, and accessing the safety category database according to the obtained various conditions,Safety categoryEquipment and output equipment that meetCheck whether it isSelect the selected input device and output device.Safety circuit diagram corresponding to safety categoryAccording toThe controller terminal number and each deviceConnected safety circuitFigureThe process to generate is executed.
[0014]
  Furthermore, the program according to the present invention provides (3)Controllers used in factory automation andSafety-related information indicating the relationship between the input device and output device, which are safety devices, and the corresponding safety category, and a safety circuit corresponding to the safety category for each input device and output deviceFigureAnd a safety category database that stores design rules that show the relationship between attributes and the attributes of devices connected to the safety circuitIn order to satisfy safety categories that comply with international standards, the circuit diagram of the safety system in which fail-safe is activated and operation stops in the case of a hazardous conditionThe computer constituting the design support device to be designed relates to the types of input devices and output devices constituting the safety circuit, the operation specifications of the control related to the input devices and the output devices, and the safety category to be achieved in the design. Condition acquiring means for acquiring a condition, accessing the safety category database according to the acquired various conditions,Safety categoryEquipment and output equipment that meetCheck whether it isSelecting the selected input device and output device.Safety circuit diagram corresponding to safety categoryAccording toThe controller terminal number and each deviceConnected safety circuitFigureIt is assumed to function as circuit generation means for generating
[0015]
According to the present invention, the safety-related information and safety circuit design rules necessary for realizing the desired safety category have been compiled into a database, so the circuit diagram and software can be automatically defined by defining input / output devices and operation specifications. Can be generated.
[0016]
Therefore, the designer can design a circuit having the target safety category even if the proficiency level of the safety design technique is not high. The quality of the generated circuit is also less varied among designers.
[0020]
According to the present invention, it is possible to check whether an input circuit diagram satisfies a desired safety category. Here, the circuit diagram to be checked may be a circuit created by the automatic generation function described above, or may be created separately.
[0021]
  Furthermore, as another solution of the design support apparatus according to the present invention,Based on the invention of (1),Safety circuitConnected toA failure information database that stores failure information associated with the type of failure, the effects when a device breaks down, circuit configuration information acquisition means for acquiring configuration information of the designed safety circuit,RecordAccording to the acquired configuration information, the safety circuitTheSelect the failed device from the specified devices to configure,SaidFailure information about a selected device is extracted from the failure information database, and is configured to include failure diagnosis means for obtaining an influence on the safety circuit.
[0022]
  Further, the design support method according to the present invention includes:Based on the invention of (2),Safety circuitConnected toIt is a design support method in a design support device having a failure information database storing failure information that associates the effects of a device failure with the type of failure, and acquires configuration information of the designed safety circuit,SaidAccording to the acquired configuration information, the safety circuitTheSelect the failed device from the specified devices to configure,SaidThe failure information about the selected device is extracted from the failure information database, and the influence on the safety circuit is obtained.
[0023]
  In addition, the program according to the present inventionLambIsOn the premise of the invention of (3), a computer constituting a design support apparatus having a failure information database storing failure information in which the influence when a device constituting the safety circuit fails is associated with the type of failure,Get configuration information of designed safety circuitCircuit configuration information acquisition meansIn accordance with the acquired configuration information, a failure device is selected from among the predetermined devices constituting the safety circuit, and failure information about the selected device is extracted from the failure information database and given to the safety circuit. Seeking influenceIt was supposed to function as a failure diagnosis means.
[0024]
According to the present invention, the database includes the definition of the failure mode of the device and the operation at the time of failure, so that the desired FMEA or the like is automatically executed on the circuit diagram created in the past, and the diagnosis result is output. be able to. Therefore, it can be confirmed whether it is safe when it breaks down.
[0025]
Moreover, each above-mentioned invention can also be implemented individually, respectively, and can also be implemented in combination suitably. Then, the circuit diagram to be evaluated or diagnosed may be automatically generated and created, or may be created by other methods.
[0026]
DETAILED DESCRIPTION OF THE INVENTION
FIG. 1 shows a preferred embodiment of the present invention. As shown in FIG. 1, the design support tool 10 includes an input interface 11 and an output interface 12 for transmitting / receiving data to / from an external device, an MPU 13 for performing design support processing, and the MPU 13 for performing design support processing. A device information database 14 having necessary data, a safety category database 15 and a failure information database 16 are provided. Of course, the design support tool 10 can be actually realized by a personal computer or other computer, and although not shown, a system ROM storing a program for operating the computer or a program (design support program) executed by the MPU 13 ) And a work memory used during execution of the MPU 13.
[0027]
On the other hand, the external device includes a keyboard 20 and a mouse 21 connected to the input interface 11. The output interface 12 includes a CRT 23, a printer 24, and a storage device 25 as external devices.
Next, each part will be described in detail. The device information database 14 stores the profile information for each device in a library. The device information database 14 stores the device name, vendor name, format, authorized standard information, cost, device symbol to identify the device, and applicable safety category. , Function definition, terminal function information (terminal No., name, property), I / O interface electrical characteristics, time characteristics (response time), failure mode and operation, etc. are registered.
[0028]
  The safety category database 15 stores information for constructing a safety network. Specifically, the safety category database 15 includes design rules including function definitions and wiring rules required for each safety category, and safety device / software functions. Corresponding modules and safety categoriesCategory correspondence tableA safety function table that associates safety devices / software function modules with safety functions, an interface correspondence table that associates safety devices with electrical interfaces, a response time correspondence table that associates safety devices with response times, etc. is there. The data of each table can be constructed by extracting and storing necessary information from the profile information for each device stored in the device information database 14.
[0029]
In the design rule, a wiring pattern corresponding to the category is registered for each device (function). A specific circuit configuration as shown in FIG. 2 and a safety category (see FIG. 3) achieved by the circuit configuration are registered in association with each other. The circuit shown in FIG. 2 is an example of a wiring pattern of “Emergency stop device safety category 4”. The internal circuit and terminal of the unit have attributes, and such attributes are registered in advance. Therefore, the devices to be connected are narrowed down based on the attribute. That is, since the A1 and A2 terminals of the unit UN are power terminals, they are connected to a predetermined power source, and since T11 and T12 are contact terminals, a predetermined switch SW is connected. The switch SW is duplicated by using parts / equipment that can obtain a desired safety category and has redundancy. As described above, since the range that can be used for each device connected to the unit UN is determined to some extent when the safety category is determined, a circuit configuration is created and registered as a template. In the figure, a device surrounded by a frame W is a portion that can be changed by a user's selection or setting. Further, the internal circuit of the IC is not essential in the circuit design, but is described for display in order to facilitate understanding of the contents of the circuit configuration.
[0030]
Further, the table shown in FIG. 3 shows safety categories achieved by the circuit configuration. In other words, the safety category defines which safety category (level, safety level) is to be satisfied under what conditions. The safety category means that the greater the numerical value, the higher the degree of safety, and the safety category “B” indicates the level of general equipment that has not been subjected to safety measures. As is apparent from FIG. 3, when this circuit is used, a safety category 3 or 4 safety network can be configured with respect to redundancy of the input unit and the output unit. And just because a higher higher safety category is satisfied does not necessarily correspond to a lower lower safety category. Therefore, the designer can easily determine from the table whether the safety category desired by the designer is satisfied.
[0031]
  Corresponding safety equipment / software function modules and safety categoriesCategory correspondence tableAn example of the data structure is as shown in FIG. In addition to the device name, model, vendor, operating voltage, contact configuration, and reset function, each device has a table in which a safety category is also associated. Each of the above data can be acquired by accessing the device information database 14. In this example, the usable relay unit for constructing a safety network system with a safety level of 4 is limited to the type “AAAAA” by A company. Of course, in FIG. 4, a specific example is described only for the relay unit, but actually the contents of the same items are registered for other devices.
[0032]
In addition, as shown in FIG. 5, the safety function table in which the safety device / software function module and the safety function are associated with each other is associated with a safety device capable of realizing a function such as “emergency stop” or “two hands”. Stored. If there are multiple applicable items, register them together. Thereby, the user can easily detect the substitute. When software corresponds to a function, a module or a function block of an application program provided for each device is registered. In the case of a control device, the safety function referred to here is a safety function of the control device, and the input / output device is a safety function to be connected.
[0033]
Next, the automatic generation function of the safety circuit constituting the safety network, which is one of the functions of the MPU 13, will be described. This function executes the flowcharts shown in FIGS. That is, first, the device information database 14 and the safety category database 15 are read to enter a standby state (ST1 to ST3). This is the database reading phase.
[0034]
Next, the condition input phase of steps 4 to 8 is executed. Specifically, input / output devices are registered for each control group (ST4). Specifically, the input / output device registration processing is performed as follows.
[0035]
That is, first, for example, an input screen as shown in FIG. 8, that is, an input including a parts tree column for displaying a list of usable parts (function blocks) and a work area screen G for assembling an actual circuit. The screen is output and displayed on the CRT 23. In the work area screen G, an input device arrangement region R1, a control unit arrangement region R2, and an output device arrangement region R3 are prepared.
[0036]
In this input screen, the designer operates the mouse 21 and drags and drops a desired part displayed in the part tree column to place it in any of the areas R1 to R3 in the work area screen G. Thus, the input / output device can be registered. A virtual control BOX is arranged in the control unit.
For example, it is assumed that a circuit satisfying the following (1) to (3) is designed as a design condition.
[0037]
(1) “Emergency stop A”, “emergency stop B”, and “emergency stop C” are monitored, and the power supply for load A is closed by “contactor A” in a safe state and shut off in an unsafe state.
(2) Start and restart of the monitor function are based on “manual switch input”.
(3) The above function is realized by “safety category 3” defined by EN954-1 / ISO13849-1.
[0038]
Then, by drag and drop, the three emergency push buttons are arranged in the input device arrangement region R1, and the contactor is arranged in the output device arrangement region R3. As described above, a virtual control BOX is arranged in the control unit arrangement region R2. However, since at least one virtual BOX is always installed, it may be automatically arranged. Similarly to the input / output device, the control box prepared in the parts list field may be arranged by dragging and dropping. When a part is placed in each of the regions R1 to R3, an ID No. is automatically assigned to each part. This ID No. is assigned, for example, by assigning # 00 to the control BOX, assigning the input devices in ascending order from the top, and then ascending in order from the top of the output device from the last ID No. of the input device Assign by method. Thereby, the input screen is in a state in which the components are arranged as shown in FIG.
[0039]
Each component displayed in the component tree column is associated with an actual product. That is, the same "emergency stop push button" is prepared for each product. Therefore, the designer selects and drags and drops a component icon for a product that conforms to the target safety level. Accordingly, in the state where each component is arranged on the work area screen G, only the component icon is displayed in FIG. 9, but each component is associated with an actual product.
[0040]
That is, in FIG. 9, for example, the emergency stop push button with ID No. # 01 is “device name: E-STOP push button, type: AAAAA, vendor: Company A, attribute: φ22, push lock”. The emergency stop push button is “device name: E-STOP push button, model: BBBBB, vendor: Company A, attribute: φ16, push-pull”, and the contactor of # 01 is “device name: contactor, model: CCCCC” , Vendor: Company B, Capacity: 200 V, 3.7 kW, Input: AC 100 V ”. Such device information is also associated with each device. Therefore, for example, it is preferable that the machine information can be displayed by specifying a part by double-clicking.
[0041]
In the above example, all parts are displayed in the part tree column, but, for example, parts that can be selected according to the function of the control BOX are narrowed down to some extent. Therefore, if a part that can be selected on the design support tool 10 side is extracted and a function of displaying only the extracted part in the part tree column is provided, the convenience is improved and the possibility of erroneous selection can be suppressed.
[0042]
Next, each component is associated. That is, association and registration of component parts (input / output devices) and input of user comments are performed. First, as shown in FIG. 10, the association is performed by dragging and dropping the input device and the output device to the control BOX. That is, since the coordinate position of each part is recognized, for example, the mouse 21 is operated, the emergency stop push button # 01 is dragged to move to the position of the control box # 00, and dropped there, the MPU 13 side of the tool Then, it is recognized that the emergency stop push button # 01 is dropped in a state where it overlaps the control box # 00. Therefore, the emergency stop push button # 01 and the overlapped control box # 00 are associated with each other. Thereby, the tool side can recognize that it is necessary to design the circuit so that the signal from the emergency stop push button # 01 is input to the control box # 00.
[0043]
Along with this association, a table indicating the association of control devices is created. This table is the minimum unit of compilation. As an example, a table as shown in FIG. 11 is created. As apparent from the title of each item to be registered, since it is stored in the device information database 14 in many cases, the corresponding data is stored in a predetermined position of the table. Furthermore, this table can be output and displayed, and the naming of each device (door A, pendant A, etc.) and various comments can be registered in a predetermined area in the table.
[0044]
Furthermore, in this embodiment, layout information can also be input. That is, it has a function of grouping devices assuming that the installation areas of the devices are separated from each other. Specifically, as shown in FIG. 12, the output of a certain control box is used as the input of another control box, and such cooperation is utilized as a component of “network” and “relay terminal block”. By doing.
[0045]
Since these “network” and “relay terminal block” are used as parts, the “network” etc. arranged in the parts tree list are dragged and dropped in the input device arrangement area R1 in the same way as normal input devices and output devices. In addition, the layout information described above can be input by associating with the control BOX by arranging these components in the output device arrangement region R3. Note that the “network” must be assigned a slave address and the like.
[0046]
When the input / output device registration process is completed as described above, the control box operation specification (circuit operation) input process is performed (ST5). That is, it is a safety function selection process, and specifically, a control BOX for which input device and output device registration has been completed is clicked.
[0047]
Accordingly, an operation specification input screen as shown in FIG. 13 is displayed on the display screen of the CRT 23. In this operation specification input screen, an area for displaying a list of control functions is set on the left side, and an input area for a control BOX to be processed is set on the right side. The output device registered in the control BOX is arranged in the output device column, and the input device registered in the control BOX is arranged in the control condition 1 column. Such arrangement is automatically performed based on the information obtained by the execution of step 4 and displayed. Control condition 2 is an area for registering setting information unique to safety control.
[0048]
Then, using the above operation specification input screen, the displayed control function is assigned to the control condition 1 area of the device to be output, and the ID of the input device is assigned. Also, setting information unique to safety control is set in the control condition 2. These assignments and settings can also be executed by dragging and dropping the prepared control function to a predetermined position.
[0049]
The above processing will be described with a specific example as follows. Using the operation specification input screen shown in FIG. 13, for example, the following contents can be set for the control BOX (# 00) shown in FIG.
[0050]
(1) Input condition (control condition 1)
A condition for activating the output device contactor # 04 is set as an input condition of the control BOX # 00. The input device in this case has three emergency stop push buttons (operating on condition that none of the three buttons are pressed) as shown in FIG. Therefore, three “emergency stop monitors” are arranged.
[0051]
(2) Output conditions (“Output device” in the figure)
This column is a column for setting various conditions of the output device. For example, when shutting off with an off delay, “OFF delay” at the bottom of the control FB column is selected by drag and drop, and a control off delay value (for example, 30 seconds) is set.
[0052]
(3) Restart condition ("Control condition 2" in the figure)
After the input condition is not satisfied and the fail-safe is once applied and the output is turned off, a restart (reset) condition when the output is turned on (started up) is set. It can also be said to be a system recovery condition and restart condition. This is also set by selecting a predetermined item from the control FB column by drag & drop or the like.
[0053]
The “manual reset” shown in the figure is for setting to be reset when a manual reset button different from the emergency stop push button is pressed. Although not shown in the drawings, “automatic reset” is also registered as the control condition 2. This is set so as to be automatically reset when the input condition is satisfied, and the system can be restarted when the emergency stop push button is changed from ON to OFF.
[0054]
Next, input of a safety category to be achieved is performed (ST6). Specifically, as shown in FIG. 14, a “safety category input screen” is displayed over the operation specification input screen, and numerical values are input in the field of the safety category. In the example of FIG. 14, since the design specification is “safety category = 3”, “3” is input by operating the keyboard 20, but the values input here are “B, 1, 2, 3, 4”. ”(See FIG. 3 and the like), it is possible to prepare a numerical value in advance and select it from a pull-down menu.
[0055]
Next, compile condition input processing is performed (ST7). Specifically, as shown in FIG. 15, a “compile condition input screen” is displayed over the operation specification input screen, and the requested compile condition is received. The designer inputs a compile condition on the compile condition input screen by inputting a specific condition via the keyboard 20 or by operating the mouse 21 to select a corresponding one by clicking. The response time can be a safe distance. “Cost” is a column for inputting the presence / absence of an estimate. Then, by inputting Y in response to “Do you want to compile? (Y / N)” and pressing the “Enter key”, the input content is confirmed and the process proceeds to the next processing.
[0056]
First, prior to the actual compilation process, the device information database 14 is accessed based on the input information, and a device that meets the input compile conditions is selected. Then, the category correspondence table stored in the safety category database 15 is read, and a collation check is performed to determine whether or not the selected device is correct (ST8). That is, it is checked whether there is a selection mistake such as a mismatch between the category and the device. If there is an error, the process returns to step 4 to perform the input process again. At this time, an error notification may be sent.
[0057]
As a result of the collation check, if the device selection is correct, the circuit generation phase is entered. That is, the compiling process is executed (ST9). That is, from the information stored in the safety category database 15, an external connection diagram for connecting corresponding devices is called and generated while confirming the input / output interface between the selected devices.
[0058]
Then, after compiling, the design rule is checked (ST10). In other words, is there a grammatical error, or is there a place where logical compression is possible? Etc. are judged.
[0059]
Examples of syntax errors include when the emergency stop push button is connected to the 2-hand SW monitor FB, the input / output interface is inconsistent between devices, or the selected device does not meet the required safety category There is. Examples of these errors can be registered in the database, and corresponding error messages can be output. Also, whether or not logical compression is appropriate determines whether there is a redundant circuit configuration or the like, and since it is a conventionally known technique, its detailed description is omitted.
[0060]
If the result of the collation check is inadequate and the circuit diagram cannot be generated, error notification and cause notification are performed, and then the process returns to step 4 to register the input / output device again.
[0061]
If the collation check results in OK, the process proceeds to step 11, and if logical compression is possible, the process is simplified (ST11). Until this processing, the check is made in relation to the safety function and the input / output device.
[0062]
Thereafter, mapping is performed (ST12). That is, the safety function is converted into a device or software registered in the library. If the mapping is performed correctly, each device is placed and wired (ST14), and the generated circuit diagram / parts table is output to repair the processing (ST15). Note that the above simplification, mapping, placement / wiring, circuit diagram / parts list output processing steps are basically a support tool for conventional general circuit design that does not support safety functions. Since the function used can be utilized, the detailed description is abbreviate | omitted.
[0063]
An example of a circuit diagram output after completion of automatic generation is as shown in FIG. 16, and an example of a parts table is as shown in FIG. The circuit diagram can be output and displayed on the CRT 23 or printed out by the printer 24. Further, the circuit diagram and the parts table may be stored in the storage device 25 as a file.
[0064]
Next, a circuit check function that is a second function of the MPU 13 will be described. The automatic generation function is used when a new circuit is created. This circuit check function evaluates a circuit created by the automatic generation function and other methods. Specifically, it has a function of executing the flowchart shown in FIG.
[0065]
That is, first, the device information database 14 and the safety category database 15 are read to enter a standby state (ST1 to ST3). This is the database reading phase.
[0066]
Next, the circuit diagram to be checked stored in the storage device 25 is read (ST20). Thereby, for example, a circuit diagram as shown in FIG. 16 is displayed. Then, the safety category to be achieved is input (ST21). Although specific illustration is omitted, for example, the safety category input screen shown in FIG. 14 may be displayed on top of FIG. 16 and the designer may input the safety category in this state.
[0067]
Next, the category correspondence table stored in the safety category database 15 is read, and a verification check is performed to determine whether or not the devices constituting the read circuit diagram are correct in relation to the safety category (ST22). That is, it is checked whether there is a selection mistake such as a mismatch between the safety category and the device. If there is no selection mistake, the process proceeds to step 23 where a design rule check for a grammatical error is performed.
[0068]
On the other hand, if the result of the collation check is an error in steps 22 and 23, an abnormality notification (ST25) is passed, and the process proceeds to step 26. After the circuit editing of the part in which there is a mistake, the process proceeds to step 20 and the check is performed again. . If the result of the collation check is OK, the result is notified to that effect (ST24), and the process is terminated.
[0069]
Next, the failure diagnosis function of the MPU 13 will be described. First, the failure information database 16 stores “FMEA rules”, “failure mode and output operation, system influence table”, and the like in advance. Here, FMEA is called failure mode and effect analysis, and FMEA rule is one of failure analysis methods, and examines the influence on the entire circuit (system) when a certain part of the circuit fails. It is. Even the same part may have different effects if the type of failure (failure mode) is different.
[0070]
In the safety system, after circuit design, check whether there are any selection mistakes or design rule failures, and if there is an abnormality, what will happen to the system (what will happen to the output device). Need to check. For this purpose, the “failure information database 16” is a database of information on what failure mode, self-diagnosis function, etc. a certain device / part has, and what influences externally when a failure occurs.
[0071]
The “failure mode and output operation, system influence table” stored in the failure information database 16 defines the failure mode and the operation (behavior) at that time for each device stored in the device information database 14. It is a table. An example of a specific data structure is shown in FIGS. 19 and 20.
[0072]
In FIG. 19 and FIG. 20, “Grade” indicates that A is “equipment can detect failure”, B is “not detectable but cumulative failure does not impair safety function”, and C is “not detectable” A single failure does not directly impair the safety function, D is “a single failure directly impairs the safety function”.
[0073]
Then, the MPU 13 reads the created circuit diagram (circuit configuration) stored in the storage device 25 and executes FMEA. Specifically, it has a function of executing the flowcharts of FIGS.
[0074]
First, the device information database 14 and the failure information database 16 are read to enter a standby state (ST1, ST2 ', ST3). This is the database reading phase.
[0075]
Next, the circuit diagram to be checked stored in the storage device 25 is read (ST20). Thereby, for example, a circuit diagram as shown in FIG. 16 is displayed. If the read circuit diagram is the target, FMEA condition input processing is performed (ST21). Specifically, for example, an FMEA condition input screen as shown in FIG. 23 may be displayed on the circuit diagram read out in the previous process, and the designer may input the FEMA condition in that state. In this case, the FEMA condition is a case where a single failure analysis for examining the effect when one component fails or a cumulative failure analysis for examining the effect when a plurality of components fail is selected. In addition, the number of accumulated failures is input. The type of analysis can be selected by clicking on one of them, and the number of failures is performed by inputting a specific numerical value.
[0076]
When the above condition input is completed, FMEA is executed according to the condition (ST28, ST29). An example of the execution process of this FMEA gives a number to each part and the failure mode for that part, and selects parts in order from the first according to the number as shown in the flowchart of FIG. The effect when the failure mode prepared for the selected part occurs is sequentially verified based on the information acquired from the failure information database 16. That is, it is determined what operation the entire circuit (system) performs when it is operated in the failure mode under verification, and whether it is safe or not. In addition, in the cumulative mode, after step 33 is executed and a failure mode of a part is identified, FMEA is not executed immediately, but is similar to steps 32 to 38 (except step 34). By performing a process to identify a failure mode of another failed part by repeating a predetermined number of times according to the cumulative number, a certain set of events is identified and FMEA is executed.
[0077]
If FMEA is executed for all failure cases, the result is output (ST30). An example of the execution result display list is shown in FIG. Here, if the determination result is OK, it means that it is safe, that is, fail-safe works and a safety system is guaranteed.
[0078]
In this way, by using the design tool of the above-described embodiment, regardless of the level of skill in safety design technology, the safety category can be entered and the input / output device can be registered to obtain the target safety. Safety circuits that satisfy the category can be designed. In addition, it is possible to check whether or not a desired safety category is satisfied for a circuit that has already been created, and to perform a failure diagnosis such as whether the circuit is safe even if a component caused by FEMA fails.
[0079]
【The invention's effect】
As described above, according to the present invention, even a designer who is not proficient in safety design technology can design a safety system with a desired safety level, and there is no variation among designers, and the design man-hours can be reduced. Reduction and design quality can be obtained
[Brief description of the drawings]
FIG. 1 is a block diagram showing a preferred embodiment of the present invention.
FIG. 2 is a diagram showing an example of design rules stored in a safety category database.
FIG. 3 is a diagram illustrating an example of a data structure of safety category information achieved by a circuit configuration stored in a safety category database.
FIG. 4 is stored in the safety category databaseCategory correspondence tableIt is a figure which shows an example of this data structure.
FIG. 5 is a diagram illustrating an example of a data structure of a safety function table stored in a safety category database.
FIG. 6 is a part of a flowchart showing an automatic generation function of a safety circuit.
FIG. 7 is a part of a flowchart showing an automatic generation function of a safety circuit.
FIG. 8 is a diagram illustrating an example of a screen displayed on the CRT during execution of the automatic safety circuit generation function.
FIG. 9 is a diagram showing an example of a screen displayed on the CRT during execution of the automatic safety circuit generation function.
FIG. 10 is a diagram showing an example of a screen displayed on the CRT during execution of the automatic safety circuit generation function.
FIG. 11 is a diagram showing an example of a screen displayed on the CRT during execution of the automatic safety circuit generation function.
FIG. 12 is a diagram showing an example of a screen displayed on the CRT during execution of the automatic safety circuit generation function.
FIG. 13 is a diagram showing an example of a screen displayed on the CRT during execution of the automatic safety circuit generation function.
FIG. 14 is a diagram showing an example of a screen displayed on the CRT during execution of the automatic safety circuit generation function.
FIG. 15 is a diagram showing an example of a screen displayed on the CRT during execution of the automatic safety circuit generation function.
FIG. 16 is a diagram showing an example of a screen displayed on the CRT during execution of the automatic safety circuit generation function.
FIG. 17 is a diagram showing an example of a screen displayed on the CRT during execution of the automatic safety circuit generation function.
FIG. 18 is a part of a flowchart showing a circuit check function;
FIG. 19 is a diagram illustrating an example of a failure mode, output operation, and system impact table stored in a failure information database.
FIG. 20 is a diagram illustrating an example of a failure mode, output operation, and system impact table stored in a failure information database.
FIG. 21 is a part of a flowchart showing a failure diagnosis function (FMEA).
FIG. 22 is a part of a flowchart showing a failure diagnosis function (FMEA).
FIG. 23 is a diagram illustrating an example of a screen displayed on the CRT during execution of a failure diagnosis function.
FIG. 24 is a diagram showing an example of an execution result screen displayed on the CRT obtained by executing the failure diagnosis function.
[Explanation of symbols]
10 Design support tools
11 Input interface
12 Output interface
13 MPU

Claims (6)

ファクトリーオートメーションで用いられるコントローラ及び安全機器を使用し、危険状態になった場合にフェールセーフが働いて動作が停止する安全システムを、国際規格に準ずる安全カテゴリを満足するように設計する設計支援装置であって、
前記安全機器である入力機器及び出力機器とそれに対応する前記安全カテゴリとの関係を示す安全関連情報、および、前記入力機器及び出力機器ごとに前記安全カテゴリに対応した安全回路とその安全回路に接続される機器の属性との関係を示す設計ルール、を格納した安全カテゴリデータベースと、
前記安全回路を構成する入力機器及び出力機器の種類、その入力機器及び出力機器に関連づく制御の動作仕様、および、設計上達成すべき安全カテゴリ、に関する条件を取得する条件取得手段と、
前記条件取得手段で取得した各種の条件に従って前記安全カテゴリデータベースをアクセスし、前記安全カテゴリに合致する入力機器及び出力機器であるかどうかを照合して正しく選択し、前記安全カテゴリに対応した安全回路図を呼び出し、選択した入力機器及び出力機器を前記安全カテゴリに対応した安全回路図に従ってコントローラの端子番号と各機器とを接続した状態の安全回路を生成する回路生成手段と、を備えたことを特徴とする設計支援装置。A design support device that uses a controller and safety equipment used in factory automation to design a safety system that stops operation due to fail-safe operation in the event of a hazardous condition so as to satisfy safety categories that conform to international standards. There,
Safety-related information indicating the relationship between the input device and the output device, which are the safety devices, and the safety category corresponding thereto, and a safety circuit diagram corresponding to the safety category for each of the input device and the output device, and its safety circuit A safety category database that stores design rules indicating the relationship with the attributes of the connected devices;
Condition acquisition means for acquiring conditions relating to the types of input devices and output devices constituting the safety circuit, operation specifications of control related to the input devices and output devices, and safety categories to be achieved in design,
The conditions to access the safety category database according to various conditions acquired by acquisition means, said safety category matches whether the input device and output device matches properly selected, the safety circuit corresponding to the safety category Circuit generating means for calling a diagram and generating a safety circuit diagram in a state in which the selected input device and output device are connected to the controller terminal number and each device according to the safety circuit diagram corresponding to the safety category. Design support device characterized by 安全回路に接続される機器が故障した場合の影響を、故障の種類と関連づけた故障情報を格納した故障情報データベースと、
設計された安全回路の構成情報を取得する回路構成情報取得手段と、
前記取得した前記構成情報に従って、前記安全回路を構成する所定の機器のうち、故障する機器を選択し、前記選択した機器についての故障情報を前記故障情報データベースから抽出し、前記安全回路へ与える影響を求める故障診断手段とを備えたことを特徴とする請求項1に記載の設計支援装置。A failure information database that stores failure information that correlates the effects of failure of equipment connected to the safety circuit with the type of failure;
Circuit configuration information acquisition means for acquiring configuration information of the designed safety circuit;
According to the acquired configuration information, among the predetermined devices constituting the safety circuit, a failure device is selected, the failure information about the selected device is extracted from the failure information database, and the influence on the safety circuit The design support apparatus according to claim 1, further comprising failure diagnosis means for obtaining ファクトリーオートメーションで用いられるコントローラ及び安全機器である入力機器及び出力機器とそれに対応する前記安全カテゴリとの関係を示す安全関連情報、および、前記入力機器及び出力機器ごとに前記安全カテゴリに対応した安全回路とその安全回路に接続される機器の属性との関係を示す設計ルール、を格納した安全カテゴリデータベースを備えた、危険状態になった場合にフェールセーフが働いて動作が停止する安全システムの回路図を、国際規格に準ずる安全カテゴリを満足するように設計する設計支援装置における設計支援方法であって、
前記安全回路を構成する入力機器及び出力機器の種類、その入力機器及び出力機器に関連づく制御の動作仕様、および、設計上達成すべき安全カテゴリ、に関する条件を取得し、
前記取得した各種の条件に従って前記安全カテゴリデータベースをアクセスし、前記安全カテゴリに合致する入力機器及び出力機器であるかどうかを照合して正しく選択し、
その選択した入力機器及び出力機器を前記安全カテゴリに対応した安全回路図に従ってコントローラの端子番号と各機器とを接続した状態の安全回路を生成する処理を実行することを特徴とする設計支援方法。Safety-related information indicating the relationship between the input device and output device, which are controllers and safety devices used in factory automation , and the corresponding safety category, and a safety circuit corresponding to the safety category for each input device and output device A safety system circuit that has a safety category database that stores the design rules that show the relationship between the diagram and the attributes of the devices connected to the safety circuit . A design support method in a design support apparatus for designing a figure so as to satisfy a safety category conforming to international standards ,
Obtaining conditions relating to the types of input devices and output devices constituting the safety circuit, operation specifications of control related to the input devices and output devices, and safety categories to be achieved in design;
Access the safety category database according to the acquired various conditions , check whether the input device and the output device match the safety category , and select correctly .
A design support method for executing a process of generating a safety circuit diagram in which the terminal number of the controller and each device are connected according to the safety circuit diagram corresponding to the safety category for the selected input device and output device . . 安全回路に接続される機器が故障した場合の影響を、故障の種類と関連づけた故障情報を格納した故障情報データベースを備えた設計支援装置における設計支援方法であって、
設計された安全回路の構成情報を取得し、
前記取得した前記構成情報に従って、前記安全回路を構成する所定の機器のうち、故障する機器を選択し、
前記選択した機器についての故障情報を前記故障情報データベースから抽出し、前記安全回路へ与える影響を求めることを特徴とする請求項3に記載の設計支援方法。A design support method in a design support apparatus having a failure information database storing failure information associated with the type of failure, the effect when a device connected to a safety circuit fails,
Obtain configuration information of the designed safety circuit,
According to the acquired configuration information, select a malfunctioning device from among the predetermined devices constituting the safety circuit,
The design support method according to claim 3, wherein failure information about the selected device is extracted from the failure information database, and an influence on the safety circuit is obtained. ファクトリーオートメーションで用いられるコントローラ及び安全機器である入力機器及び出力機器とそれに対応する前記安全カテゴリとの関係を示す安全関連情報、および、前記入力機器及び出力機器ごとに前記安全カテゴリに対応した安全回路とその安全回路に接続される機器の属性との関係を示す設計ルール、を格納した安全カテゴリデータベースを備えた、危険状態になった場合にフェールセーフが働いて動作が停止する安全システムの回路図を、国際規格に準ずる安全カテゴリを満足するように設計する設計支援装置を構成するコンピュータを、
前記安全回路を構成する入力機器及び出力機器の種類、その入力機器及び出力機器に関連づく制御の動作仕様、および、設計上達成すべき安全カテゴリ、に関する条件を取得する条件取得手段、
前記取得した各種の条件に従って前記安全カテゴリデータベースをアクセスし、前記安全カテゴリに合致する入力機器及び出力機器であるかどうかを照合して正しく選択し、その選択した入力機器及び出力機器を前記前記安全カテゴリに対応した安全回路図に従ってコントローラの端子番号と各機器とを接続した状態の安全回路を生成する回路生成手段、
として機能させるためのプログラム。Safety-related information indicating the relationship between the input device and output device, which are controllers and safety devices used in factory automation , and the corresponding safety category, and a safety circuit corresponding to the safety category for each input device and output device A safety system circuit that has a safety category database that stores the design rules that show the relationship between the diagram and the attributes of the devices connected to the safety circuit . A computer that constitutes a design support device that designs a diagram so as to satisfy safety categories conforming to international standards.
Condition acquisition means for acquiring conditions relating to the types of input devices and output devices constituting the safety circuit, operation specifications for control related to the input devices and output devices, and safety categories to be achieved in design,
According to the acquired various conditions, the safety category database is accessed, the input device and the output device that match the safety category are collated and selected correctly , and the selected input device and output device are selected as the safety device. Circuit generating means for generating a safety circuit diagram in a state in which the terminal number of the controller and each device are connected in accordance with the safety circuit diagram corresponding to the category ;
Program to function as. 安全回路を構成する機器が故障した場合の影響を、故障の種類と関連づけた故障情報を格納した故障情報データベースを備えた設計支援装置を構成するコンピュータを、
設計された安全回路の構成情報を取得する回路構成情報取得手段、
前記取得した前記構成情報に従って、前記安全回路を構成する所定の機器のうち、故障する機器を選択し、前記選択した機器についての故障情報を前記故障情報データベースから抽出し、前記安全回路へ与える影響を求める故障診断手段、
として機能させるための請求項5に記載のプログラム。A computer that constitutes a design support apparatus having a failure information database that stores failure information that associates the effects of failure of equipment constituting the safety circuit with the type of failure,
Circuit configuration information acquisition means for acquiring configuration information of the designed safety circuit;
According to the acquired configuration information, among the predetermined devices constituting the safety circuit, a failure device is selected, the failure information about the selected device is extracted from the failure information database, and the influence on the safety circuit Failure diagnosis means for obtaining
The program of Claim 5 for functioning as.
JP2002287879A 2002-09-30 2002-09-30 Design support apparatus, design support method, and program Expired - Lifetime JP4032907B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002287879A JP4032907B2 (en) 2002-09-30 2002-09-30 Design support apparatus, design support method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002287879A JP4032907B2 (en) 2002-09-30 2002-09-30 Design support apparatus, design support method, and program

Publications (2)

Publication Number Publication Date
JP2004126816A JP2004126816A (en) 2004-04-22
JP4032907B2 true JP4032907B2 (en) 2008-01-16

Family

ID=32280534

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002287879A Expired - Lifetime JP4032907B2 (en) 2002-09-30 2002-09-30 Design support apparatus, design support method, and program

Country Status (1)

Country Link
JP (1) JP4032907B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107683462A (en) * 2015-06-12 2018-02-09 西门子公司 Method and apparatus for performing model-based fault analysis of complex industrial systems

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4793588B2 (en) * 2007-06-13 2011-10-12 オムロン株式会社 Program development support device for safety controller
JP4924851B2 (en) * 2009-12-09 2012-04-25 オムロン株式会社 Program development support device for safety controller
JP2011237872A (en) * 2010-05-06 2011-11-24 Mitsubishi Electric Corp Fa system configuration designing assistance apparatus
US9798605B2 (en) 2014-06-27 2017-10-24 Siemens Aktiengesellschaft Supporting global effect analysis
JP7128590B2 (en) * 2019-09-02 2022-08-31 東芝三菱電機産業システム株式会社 PLANT ENGINEERING SUPPORT DEVICE AND PLANT ENGINEERING SUPPORT METHOD

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107683462A (en) * 2015-06-12 2018-02-09 西门子公司 Method and apparatus for performing model-based fault analysis of complex industrial systems

Also Published As

Publication number Publication date
JP2004126816A (en) 2004-04-22

Similar Documents

Publication Publication Date Title
US7076713B1 (en) Test generator for converting a model of computer component object behavior and stimulus values to test script
JP5636378B2 (en) Method and apparatus for creating a user program for a safety controller and computer program
US6993456B2 (en) Mechanical-electrical template based method and apparatus
US7017080B1 (en) Method and system for determining a fault tree of a technical system, computer program product and a computer readable storage medium
US6963781B2 (en) Electronic apparatus for a bus system
JP6111675B2 (en) Method, apparatus and program for supporting user program design of safety controller
US10452362B2 (en) Tool compiler
US9829866B2 (en) Method and apparatus for automatically creating an executable safety function for a device
CN102292681B (en) Safety control device and method for controlling automation equipment with multiple equipment hardware components
CN108572611B (en) Information processing apparatus, information processing method, and computer-readable recording medium
JP4749414B2 (en) Method for demonstrating embedded systems
JP5246258B2 (en) File generation program, file generation apparatus, and file generation method
JP4032907B2 (en) Design support apparatus, design support method, and program
CN102902852B (en) Automatic generation system and automatic generation method of electronic control unit (ECU) diagnosis software model of automobile
US20060212268A1 (en) Diagnosis of an automation system
JP4656335B2 (en) Safety device setting file creation support device
Kaukewitsch et al. Automatic generation of RAMS analyses from model-based functional descriptions using UML state machines
CN111078444A (en) System and method for safety analysis of faulty behavior
JPH0511834A (en) Remote diagnostic system for machine
JP5210146B2 (en) Information control system and information control method
JP4532609B2 (en) Process management apparatus and method, and storage medium
JP2008027156A (en) Simulation device
JP4491165B2 (en) Verification pattern generation apparatus and method, and verification pattern generation program
JP5180809B2 (en) Information control system and method for creating control software
Soliman et al. A methodology to upgrade legacy industrial systems to meet safety regulations

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050527

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070409

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070620

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070720

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071002

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071015

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4032907

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121102

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131102

Year of fee payment: 6

EXPY Cancellation because of completion of term