知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6015178
(24)【登録日】2016年10月7日
(45)【発行日】2016年10月26日
(54)【発明の名称】安全システム
(51)【国際特許分類】
G05B 9/02 20060101AFI20161013BHJP
G05B 23/02 20060101ALI20161013BHJP
【FI】
G05B9/02 B
G05B23/02 301V
【請求項の数】4
【全頁数】27
(21)【出願番号】特願2012-155495(P2012-155495)
(22)【出願日】2012年7月11日
(65)【公開番号】特開2014-16930(P2014-16930A)
(43)【公開日】2014年1月30日
【審査請求日】2015年7月10日
(73)【特許権者】
【識別番号】000002945
【氏名又は名称】オムロン株式会社
(74)【代理人】
【識別番号】110001195
【氏名又は名称】特許業務法人深見特許事務所
(72)【発明者】
【氏名】植野 純一
(72)【発明者】
【氏名】佐藤 俊孝
(72)【発明者】
【氏名】森川 明彦
(72)【発明者】
【氏名】牛山 孝雄
【審査官】
稲垣 浩司
(56)【参考文献】
【文献】
特開2011−229359(JP,A)
【文献】
特開2004−234437(JP,A)
【文献】
特開2003−211380(JP,A)
【文献】
特開2008−027156(JP,A)
【文献】
特開2004−242480(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G05B 9/02
G05B 23/02
(57)【特許請求の範囲】
【請求項1】
予め定められた安全条件に合致する事象が発生したときに対象機器を安全状態へ移行させる安全システムであって、
前記安全条件に関する情報を連続的に収集する監視機能、および、前記対象機器の作動を制御する機器制御機能、を有する制御装置と、
前記制御装置で収集された前記安全条件に関する情報を集約する管理装置とを備え、
前記制御装置は、前記安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、前記安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納し、
前記管理装置は、
前記発生タイミングを基準として、前記安全条件に関する情報を集約し、
いずれかの制御装置から当該安全条件に合致する事象が発生したことを通知されると、他の制御装置に対して、前記対象機器の作動を停止するための指令を通知し、
前記制御装置の前記監視機能は、
前記対象機器の作動に関する信号に基づいて、前記安全条件に合致する事象が発生したとの判断、および、前記管理装置からの前記対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、前記発生タイミングを決定するとともに、前記機器制御機能に対して前記対象機器の作動を停止するための指令を出力する、安全システム。
前記安全条件に関する情報を連続的に収集する監視機能、および、前記対象機器の作動を制御する機器制御機能、を有する制御装置と、
前記制御装置で収集された前記安全条件に関する情報を集約する管理装置とを備え、
前記制御装置は、前記安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、前記安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納し、
前記管理装置は、
前記発生タイミングを基準として、前記安全条件に関する情報を集約し、
いずれかの制御装置から当該安全条件に合致する事象が発生したことを通知されると、他の制御装置に対して、前記対象機器の作動を停止するための指令を通知し、
前記制御装置の前記監視機能は、
前記対象機器の作動に関する信号に基づいて、前記安全条件に合致する事象が発生したとの判断、および、前記管理装置からの前記対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、前記発生タイミングを決定するとともに、前記機器制御機能に対して前記対象機器の作動を停止するための指令を出力する、安全システム。
【請求項2】
予め定められた安全条件に合致する事象が発生したときに対象機器を安全状態へ移行させる安全システムであって、
前記安全条件に関する情報を連続的に収集する監視機能を有する制御装置と、
前記制御装置で収集された前記安全条件に関する情報を集約する管理装置とを備え、
前記制御装置は、前記安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、前記安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納し、
前記制御装置は、前記対象機器の作動を制御する装置とのインターフェイスを有しており、
前記管理装置は、
前記発生タイミングを基準として、前記安全条件に関する情報を集約し、
いずれかの制御装置から当該安全条件に合致する事象が発生したことを通知されると、他の制御装置に対して、前記対象機器の作動を停止するための指令を通知し、
前記制御装置の前記監視機能は、
前記対象機器の作動に関する信号に基づいて、前記安全条件に合致する事象が発生したとの判断、および、前記管理装置からの前記対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、前記発生タイミングを決定するとともに、前記対象機器の作動を制御する装置に対して前記対象機器の作動を停止するための指令を出力する、安全システム。
前記安全条件に関する情報を連続的に収集する監視機能を有する制御装置と、
前記制御装置で収集された前記安全条件に関する情報を集約する管理装置とを備え、
前記制御装置は、前記安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、前記安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納し、
前記制御装置は、前記対象機器の作動を制御する装置とのインターフェイスを有しており、
前記管理装置は、
前記発生タイミングを基準として、前記安全条件に関する情報を集約し、
いずれかの制御装置から当該安全条件に合致する事象が発生したことを通知されると、他の制御装置に対して、前記対象機器の作動を停止するための指令を通知し、
前記制御装置の前記監視機能は、
前記対象機器の作動に関する信号に基づいて、前記安全条件に合致する事象が発生したとの判断、および、前記管理装置からの前記対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、前記発生タイミングを決定するとともに、前記対象機器の作動を制御する装置に対して前記対象機器の作動を停止するための指令を出力する、安全システム。
【請求項3】
予め定められた安全条件に合致する事象が発生したときに対象機器を安全状態へ移行させる安全システムであって、
前記安全条件に関する情報を連続的に収集する監視機能を有する制御装置と、
前記制御装置で収集された前記安全条件に関する情報を集約する管理装置と、
前記対象機器の作動を制御する装置に対して信号を出力する出力装置とを備え、
前記制御装置は、前記安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、前記安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納し、
前記管理装置は、
前記発生タイミングを基準として、前記安全条件に関する情報を集約し、
いずれかの制御装置から当該安全条件に合致する事象が発生したことを通知されると、他の制御装置に対して、前記対象機器の作動を停止するための指令を通知し、
前記制御装置の前記監視機能は、
前記対象機器の作動に関する信号に基づいて、前記安全条件に合致する事象が発生したとの判断、および、前記管理装置からの前記対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、前記発生タイミングを決定し、
前記管理装置は、前記安全条件に合致する事象が発生すると、前記出力装置を介して、前記対象機器の作動を制御する装置に対して前記対象機器の作動を停止するための信号を出力する、安全システム。
前記安全条件に関する情報を連続的に収集する監視機能を有する制御装置と、
前記制御装置で収集された前記安全条件に関する情報を集約する管理装置と、
前記対象機器の作動を制御する装置に対して信号を出力する出力装置とを備え、
前記制御装置は、前記安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、前記安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納し、
前記管理装置は、
前記発生タイミングを基準として、前記安全条件に関する情報を集約し、
いずれかの制御装置から当該安全条件に合致する事象が発生したことを通知されると、他の制御装置に対して、前記対象機器の作動を停止するための指令を通知し、
前記制御装置の前記監視機能は、
前記対象機器の作動に関する信号に基づいて、前記安全条件に合致する事象が発生したとの判断、および、前記管理装置からの前記対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、前記発生タイミングを決定し、
前記管理装置は、前記安全条件に合致する事象が発生すると、前記出力装置を介して、前記対象機器の作動を制御する装置に対して前記対象機器の作動を停止するための信号を出力する、安全システム。
【請求項4】
前記安全条件に関する情報は、少なくとも、通常状態および安全状態を含むいずれの状態であるかを示す情報を含む、請求項1〜3のいずれか1項に記載の安全システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、予め定められた安全条件に合致する事象が発生したときに対象機器を安全状態へ移行させる安全システムおよびそれを構成する制御装置に関する。
【背景技術】
【0002】
多くの生産現場で使用される機械や設備は、プログラマブルコントローラ(Programmable Logic Controller;以下「PLC」とも称す)などによって制御される。一般的に、このような機械や設備については、稼働率を高めたいというニーズがある。そのため、例えば、特開2004−242480号公報(特許文献1)には、出力電流を監視して故障の予兆や異常を早期に把握できるようにしたインバータ装置が開示されている。
【0003】
このような稼働率を高めたいというニーズに加えて、生産現場の安全を確保したいというニーズもある。「安全」とは、何らかのリスク(誤操作、ノイズ、プログラムミスなどによる誤指令の出力)、および、故障(何らか部品故障による機能損失)があっても、適切な安全機能によって、人間(作業者)に対する安全状態が維持されることを意味する。このような「安全状態」の具体例としては、機械や設備の電源/動力源が遮断されている状態を意味する。
【0004】
このような安全機能を実現するための方法は種々存在するが、機械や設備の作動に係るシステムとは独立した安全システムが要望されることが多い。このような独立した安全システムによれば、安全を考慮して装置設計を行なう装置設計者に加えて、作業者や現場監督者といった装置設計者以外の人でも安全機能の妥当性を容易に検証できる。
【0005】
このような独立した安全システムは、典型的には、予め定められた安全条件に合致する事象が発生したときに対象機器に供給される電源/動力源を遮断するという仕組みで実現される。例えば、モータの速度超過を検出するための過速度検出リレーや、監視エリア内での作業者の存在を監視するためのセーフティスキャナーといったより高度な安全機能を提供する新技術を導入したとしても、その出力形態としては、対象機器に供給される電源/動力源を遮断するという対処のみであることが多かった。そのため、安全条件に合致する事象が発生した場合であっても、その事象の発生に伴って「いつ電源/動力源が遮断されたのか」ということが事後的に判れば十分であった。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2004−242480号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上述のような、単に「いつ電源/動力源が遮断されたのか」を事後的に判断するということだけでは、十分ではない事態も生じつつある。
【0008】
例えば、3次元のビデオセンサーなどを用いて、その検出された数値で安全であるか否かを判別する安全機器を導入したり、多軸ロボットのように動作そのものが安全管理の対象となる機器が導入されたりすると、安全であるか否かの判別具合や、判別の基準であるしきい値などについて、時系列に事後的に確認する必要が生じる。これらの機器による安全機能を十分に活用するためには、「いつ」だけではなく、「どの機能」が「どれくらい」のしきい値超過(設定値違反)を検出しているから、安全確保のために電源/動力源が遮断されているという、システムの全体像を把握する必要がある。また、タイミングや判定値が適切ではない安全システムでは、不必要に安全状態(電源/動力源の遮断)へ移行することになる。このような場合には、安全状態への移行を生じる直前および直後の状態を事後的に検証したいというニーズが生じる。
【0009】
また、IEC(International Electrotechnical Commission)61508などにおいて、ロボットなどの複雑な制御については、従来の電源/動力源の遮断という安全対策ではなく、リスクを限定するためのシステム設計手法に基づいて制作された監視機能を用いた安全対策(リスク対策)の導入を認めるようになっている。
【0010】
例えば、時間、位置、速度、加速度といった安全機能の判定値に関わる数値を一旦決めてしまうと、装置導入後の変更や更新にはより多くの手間がとられている。これは、IECの手続きに従って再度最初から判定値の安全性に関わる議論を行なう必要があるため、時間を要することになるからである。そこで、本発明の目的は、より現実に即した判定値を明確に設定するための測定を可能にする、新規な安全システムおよびそれを構成する制御装置を提供することである。
【課題を解決するための手段】
【0011】
本発明のある局面によれば、予め定められた安全条件に合致する事象が発生したときに対象機器を安全状態へ移行させる安全システムが提供される。安全システムは、安全条件に関する情報を連続的に収集する監視機能を有する制御装置と、制御装置で収集された安全条件に関する情報を集約する管理装置とを含む。制御装置は、安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納する。管理装置は、発生タイミングを基準として、安全条件に関する情報を集約する。
【0012】
好ましくは、監視機能は、対象機器の作動に関する信号に基づいて、安全条件に合致する事象が発生したか否かを判断し、安全条件に合致する事象が発生したときに、当該安全条件に合致する事象が発生したことを管理装置へ通知するとともに、対象機器の作動を停止する信号を出力する。
【0013】
さらに好ましくは、管理装置は、いずれかの制御装置から当該安全条件に合致する事象が発生したことを通知されると、他の制御装置に対して、対象機器の作動を停止するための指令を通知する。
【0014】
さらに好ましくは、制御装置は、対象機器の作動を制御する機器制御機能をさらに有しており、監視機能は、安全条件に合致する事象が発生したとの判断、および、管理装置からの対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、発生タイミングを決定するとともに、機器制御機能に対して対象機器の作動を停止するための指令を出力する。
【0015】
あるいは好ましくは、制御装置は、対象機器の作動を制御する装置とのインターフェイスを有しており、監視機能は、安全条件に合致する事象が発生したとの判断、および、管理装置からの対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、発生タイミングを決定するとともに、対象機器の作動を制御する装置に対して対象機器の作動を停止するための指令を出力する。
【0016】
あるいは好ましくは、安全システムは、対象機器の作動を制御する装置に対して信号を出力する出力装置をさらに含む。監視機能は、安全条件に合致する事象が発生したとの判断、および、管理装置からの対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、発生タイミングを決定し、管理装置は、安全条件に合致する事象が発生すると、出力装置を介して、対象機器の作動を制御する装置に対して対象機器の作動を停止するための信号を出力する。
【0017】
好ましくは、安全条件に関する情報は、少なくとも、通常状態および安全状態を含むいずれの状態であるかを示す情報を含む。
【0018】
本発明の別の局面に従えば、予め定められた安全条件に合致する事象が発生したときに対象機器を安全状態へ移行させる安全システムを構成する制御装置が提供される。制御装置は、安全条件に関する情報を連続的に収集する監視機能を含み、安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納し、発生タイミングを基準として集約できるように、格納した安全条件に関する情報を管理装置へ送信する。
【発明の効果】
【0019】
本発明のある局面に係る制御装置によれば、より現実に即した判定値を明確に設定するための測定を可能にできる。
【図面の簡単な説明】
【0020】
【図1】本実施の形態に従う安全システムの構成を示す模式図である。
【図10】サーボドライバの安全監視機能によるログ情報の収集を説明するための図である。
【図12】安全監視管理装置の集約モジュールによる集約結果を説明するための図である。
【図13】サーボドライバにおける処理手順を示すフローチャートである。
【図14】安全監視管理装置における処理手順を示すフローチャートである。
【図15】本実施の第1の別形態に従う安全システムの構成を示す模式図である。
【図16】本実施の第2の別形態に従う安全システムの構成を示す模式図である。
【発明を実施するための形態】
【0021】
本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。
【0022】
<A.概要>本実施の形態に従う安全システムは、予め定められた安全条件に合致する事象(以下「安全イベント」とも称す。)が発生したときに対象機器を安全状態へ移行させる。より具体的には、安全システムは、安全条件に関する情報を連続的に収集する監視機能を有する制御装置と、制御装置で収集された安全条件に関する情報を集約する管理装置とを含む。
【0023】
より具体的には、本安全システムにおいては、対象機器が通常に作動している通常状態(監視状態)から安全状態へ移行したタイミングの前後の所定期間にわたる、対象機器の状態値(速度、位置、スイッチ状態値など)を記録(ロギング)する。例えば、ロボットなどを駆動するサーボモータでは、SLS(Safety-Limited Speed:安全制限速度機能)といった安全機能がサーボドライバに搭載されており、この安全機能がサーボモータに取り付けられた速度センサなどからの情報に基づいて過速度を監視する。サーボモータの速度が予め定められたしきい値を超過した場合には、シャットオフ機能あるいはSTO(Safety Torque Off)機能によって、サーボモータへの電力の供給が遮断され、安全状態へ移行する。
【0024】
本実施の形態においては、「安全機能」への移行を指示する信号をトリガーとして、対象機器に係る状態データを所定期間にわたって収集および格納する。これにより、安全機能によって通常状態から安全状態へ状態遷移した理由および/またはタイミングを明確化する。すなわち、制御装置は、安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納する。この収集した情報に発生タイミングを関連付けるとは、典型的には、収集される時系列の情報に基準点を設定することを含み、他の装置などで収集された情報との間でタイミング合わせを容易にするための処理を意味する。
【0025】
管理装置は、発生タイミングを基準として、制御装置に格納されている安全条件に関する情報を集約する。例えば、同一の発生タイミングを基準として、複数の制御装置から状態値を収集し、同一の時間軸上に比較可能な態様でグラフ表示がなされる。このようなグラフ表示を利用することで、安全機能を適切に調整することができる。
【0027】
図1を参照して、安全システム1は、安全監視管理装置10と、サーボドライバ20と、I/O(Input Output)装置30と、PLC40とを含む。これらの装置は、ネットワーク60を介して互いにデータ通信可能に構成される。安全監視管理装置10には、パーソナルコンピュータ50が接続される。サーボドライバ20は、モータ制御機能21および安全監視機能22を搭載する。I/O装置30に入力された信号は、主として、安全監視管理装置10へ伝達される。
【0028】
一例として、安全システム1は、対象機器である産業用ロボット5を含む被監視設備9の安全を監視するものとする。被監視設備9は、立入制限区域が設定されており、その立入制限区域のアクセス口には、人の侵入を検知するためのライトカーテン8が設けられている。また、産業用ロボット5の近くには、人の存在を検知するためのセーフティスキャナー7が設けられているものとする。
【0029】
安全システム1における予め定められた安全条件として、ライトカーテン8により人の侵入が検知されると、または、ライトカーテン8により人の存在が検知されると、産業用ロボット5の作動を停止させる。
【0030】
また、産業用ロボット5は、その駆動力を発生するためのサーボモータ51を有しており、サーボドライバ20からの移動指令(典型的には、パルス列)に従って作動する。サーボモータ51には図示しないエンコーダが装着されており、このエンコーダによって検出されるサーボモータ51の位置を示す位置情報(あるいは、単位時間あたりの移動量を示す速度情報)がサーボドライバ20へフィードバックされる。
【0031】
産業用ロボット5には、その作動範囲の限界あるいは制限位置などを検出するためのリミットセンサ6がさらに設けられている。リミットセンサ6は、産業用ロボット5が予め定められた位置に到達するとON信号を出力し、それ以外ではOFF信号を出力する。安全システム1における予め定められたさらなる安全条件として、リミットセンサ6からON信号が出力されると、産業用ロボット5の作動を停止させる。
【0032】
上述したように、安全システム1では、ライトカーテン8による人の存在の検知、セーフティスキャナー7による人の存在の検知、および、リミットセンサ6によるON信号の出力といった、予め定められた安全条件に合致する事象が発生すると、対象機器である産業用ロボット5を安全状態へ移行させる。
【0033】
安全システム1では、安全状態へ移行した理由などを事後的に検証できるように、安全監視機能が実装される。図1に示す例では、典型例として、サーボドライバ20に搭載された安全監視機能22が安全条件に関する情報を連続的に収集する。なお、モータ制御機能21は、対象機器である産業用ロボット5(サーボモータ51)の作動を制御する。
【0034】
より具体的には、安全監視機能22は、対象機器である産業用ロボット5(サーボモータ51)からの位置情報および/または速度情報を所定周期で連続的に収集(ロギング)する一方で、上述のような安全条件に合致する事象(安全イベント)が発生すると、その安全イベントの発生をトリガーとして、収集した情報(ログ情報)にそのタイミングを付加する。そして、安全監視機能22は、安全イベントが発生した前後の所定期間にわたって、対象機器の状態値(位置情報および/または速度情報)を記録(ロギング)する。なお、リミットセンサ6からのON信号/OFF信号および状態(通常状態/安全状態)を示す情報も記録(ロギング)される。
【0035】
このように、安全監視機能22は、安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納する。
【0036】
安全イベントの発生は、安全監視管理装置10またはサーボドライバ20の安全監視機能22によって判断される。より具体的には、対象機器の作動に関する信号の一例として、安全監視管理装置10は、I/O装置30を介して受信する、ライトカーテン8およびセーフティスキャナー7による検知信号(安全入力)に基づいて、安全条件に合致する事象(安全イベント)が発生したか否かを判断する。
【0037】
また、サーボドライバ20の安全監視機能22は、サーボモータ51からの位置情報あるいは速度情報、および、リミットセンサ6からのON/OFF信号に基づいて、安全条件に合致する事象(安全イベント)が発生したか否かを判断する。そして、安全監視機能22は、安全条件に合致する事象が発生したときに、当該安全条件に合致する事象が発生したことを安全監視管理装置10へ通知するとともに、対象機器である産業用ロボット5(サーボモータ51)の作動を停止する信号(STO)をモータ制御機能21へ出力する。このSTOは、出力をオフにするための安全機能である。
【0038】
一方、安全監視管理装置10は、いずれかのサーボドライバ20から安全条件に合致する事象(安全イベント)が発生したことを通知されると、図示しない他の制御装置(他のサーボドライバ20を含み得る)に対して、対象機器の作動を停止するための指令を通知する。
【0039】
上述のように、サーボドライバ20の安全監視機能22では、自装置の判断機能によって、安全条件に合致する事象(安全イベント)が発生したことを知る場合と、安全監視管理装置10からの指令を受信することで安全条件に合致する事象(安全イベント)が発生したことを知る場合とがある。いずれの場合においても、STOをモータ制御機能21へ出力するとともに、安全イベントの発生タイミングを記録する。そして、安全監視機能22は、機械動作に関する情報(シャフトスピード、位置、加速度など)を当該発生タイミングを基準とした所定期間にわたって格納する。すなわち、サーボドライバ20の安全監視機能22は、自装置による安全条件に合致する事象が発生したとの判断、および、安全監視管理装置10からの対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、安全イベントの発生タイミングを記録し、機械動作に関する情報(シャフトスピード、位置、加速度など)を当該発生タイミングを基準とした所定期間にわたって格納するとともに、モータ制御機能21に対して対象機器の作動を停止するための指令を出力する。
【0040】
図1に示す例では、安全システム1の一部としてPLC40を記載しているが、安全システム1は、PLC40とは独立して動作することが好ましい。PLC40は、予め定められたプログラムに従って演算を行ない、産業用ロボット5を予め定められた挙動で作動させるための指令を順次生成し、サーボドライバ20へ都度出力する。サーボドライバ20のモータ制御機能21は、このPLC40からの指令に従って、サーボモータ51への移動指令を生成して出力する。一方で、サーボドライバ20の安全監視機能22は、PLC40からの指令とは無関係に、予め定められた安全条件に合致する事象(安全イベント)が発生すると、STOを出力して、モータ制御機能21による移動指令の生成および出力を停止させる。
【0042】
(c1:ライトカーテン8による検知)図2は、図1に示す安全システム1においてライトカーテン8が人の侵入を検知したときの動作を説明する図である。図2を参照して、通常状態(監視状態)では、サーボドライバ20の安全監視機能22が対象機器の状態値(速度、位置、スイッチ状態値など)を所定周期毎に記録する((1)定常ロギング)。なお、状態値を一時的に保持する記録領域にも上限値があるので、FIFO(First-In First-Out)バッファのように、収集してから一定期間を超えたものは、順次廃棄してもよい。
【0043】
ライトカーテン8が人の侵入を検知すると、その検知信号は、I/O装置30を介して安全監視管理装置10へ伝送される((2)侵入検知信号)。安全監視管理装置10は、I/O装置30を介してライトカーテン8から受信した侵入検知信号が予め定められた安全条件に合致する事象であるか否かを判断し、合致する事象であれば、安全イベントが発生したと判断する((3)安全イベント発生検知)。そして、安全監視管理装置10は、安全イベントの発生タイミングを記録する((4)ロギング)。さらに、安全監視管理装置10は、安全イベントの発生に応答して、対象機器の作動を停止するための指令を通知する((5)停止指令)。
【0044】
サーボドライバ20の安全監視機能22は、対象機器の作動を停止するための指令を安全監視管理装置10から受信すると、産業用ロボット5(サーボモータ51)の作動を停止する信号(STO)をモータ制御機能21へ出力する((6)STO)。そして、サーボドライバ20の安全監視機能22は、安全イベントの発生を決定するとともに、対象機器の状態値を、当該発生タイミングを基準とした所定期間にわたって格納する((7)停止指令ロギング)。
【0045】
そして、所定期間にわたる状態値の格納が完了すると、自動あるいは要求に応答して、当該格納されたデータが安全監視管理装置10へ送信される。
【0046】
(c2:セーフティスキャナー7による検知)図3は、図1に示す安全システム1においてセーフティスキャナー7が人の存在を検知したときの動作を説明する図である。この動作は、基本的には、図2に示すライトカーテン8が人の侵入を検知したときの動作と同様である。
【0047】
具体的には、図3を参照して、通常状態(監視状態)では、サーボドライバ20の安全監視機能22が対象機器の状態値(速度、位置、スイッチ状態値など)を所定周期毎に記録する((1)定常ロギング)。
【0048】
セーフティスキャナー7が人の存在を検知すると、その検知信号は、I/O装置30を介して安全監視管理装置10へ伝送される((2)存在検知信号)。安全監視管理装置10は、I/O装置30を介してセーフティスキャナー7から受信した存在検知信号が予め定められた安全条件に合致する事象であるか否かを判断し、合致する事象であれば、安全イベントが発生したと判断する((3)安全イベント発生検知)。そして、安全監視管理装置10は、安全イベントの発生タイミングを記録する((4)ロギング)。さらに、安全監視管理装置10は、安全イベントの発生に応答して、対象機器の作動を停止するための指令を通知する((5)停止指令)。
【0049】
サーボドライバ20の安全監視機能22は、対象機器の作動を停止するための指令を安全監視管理装置10から受信すると、産業用ロボット5(サーボモータ51)の作動を停止する信号(STO)をモータ制御機能21へ出力する((6)STO)。そして、サーボドライバ20の安全監視機能22は、安全イベントの発生を決定するとともに、対象機器の状態値を、当該発生タイミングを基準とした所定期間にわたって格納する((7)停止指令ロギング)。
【0050】
そして、所定期間にわたる状態値の格納が完了すると、自動あるいは要求に応答して、当該格納されたデータが安全監視管理装置10へ送信される。
【0051】
(c3:安全監視機能22による速度超過検知)図4は、図1に示す安全システム1においてサーボドライバ20の安全監視機能22が速度超過を検知したときの動作を説明する図である。この速度超過は、サーボモータ51からの速度情報と予め定められたしきい値とを逐次比較し、速度情報がこのしきい値を超過したという事象によって判断される。
【0052】
図4を参照して、通常状態(監視状態)では、サーボドライバ20の安全監視機能22が対象機器の状態値(速度、位置、スイッチ状態値など)を所定周期毎に記録する((1)定常ロギング)。
【0053】
サーボモータ51からの速度情報が予め定められたしきい値を超過すると、速度超過であると判断される((2)速度超過を検知)。そして、安全監視機能22は、安全イベントが発生したことを安全監視管理装置10へ通知する((3)速度超過検知信号)。速度超過検知信号を受信した安全監視管理装置10は、安全イベントが発生したと判断する((4)安全イベント発生検知)し、そして安全イベントの発生タイミングを記録する((5)ロギング)。
【0054】
また、サーボドライバ20の安全監視機能22は、速度超過検知信号の送信と並行して、産業用ロボット5(サーボモータ51)の作動を停止する信号(STO)をモータ制御機能21へ出力する((6)STO)。そして、サーボドライバ20の安全監視機能22は、安全イベントの発生を決定するとともに、対象機器の状態値を、当該発生タイミングを基準とした所定期間にわたって格納する((7)停止指令ロギング)。
【0055】
そして、所定期間にわたる状態値の格納が完了すると、自動あるいは要求に応答して、当該格納されたデータが安全監視管理装置10へ送信される。
【0056】
(c4:まとめ)図1に示す安全システム1は、以下のように要約される。すなわち、安全システム1は、通常状態から動作禁止/動作制限といった安全状態へ移行したタイミングで、自動的にログをとる機能を有している。図1に示す安全システム1において、この機能は、サーボドライバ20の安全監視機能22として実装されている。また、サーボドライバ20の安全監視機能22は、安全監視管理装置10からの指令に従って、対象機器である産業用ロボット5(サーボモータ51)の非常停止をかけることが可能である。
【0057】
このように、予め定められた安全条件に合致する事象が発生したとき、すなわち安全監視に対する違反判定がなされたとき、安全コンポーネントである安全監視機能22は、予め定義されている安全状態(遮断状態)となり、安全を確保するとともに、この安全状態への移行をトリガーとして、その前後の所定期間にわたる信号モニタ値を内部メモリに格納する。この安全状態への移行に伴って、安全確保動作が実行されるので、安全監視管理装置10および接続されている他の安全コンポーネントについてもそれぞれ安全状態へ移行する。そして、安全状態へ移行したタイミングを基準として、それぞれの安全コンポーネントでの信号モニタ値(状態値)が内部メモリに格納される。
【0058】
これらの格納された状態値のデータは、安全監視管理装置10および/またはパーソナルコンピュータ50によって集約され、安全状態へ移行した(安全確保した)タイミングを基準として時刻合わせすることで、複数の安全コンポーネントが連携して動作している様子を再現できる。そして、これらの安全コンポーネントが検出している状態値、および、予め定められたしきい値までの余裕度を確認することで、安全機能(しきい値)の妥当性を容易に検証できる。
【0059】
このように格納したデータを読み出すことで、過去に遡って状態を確認することができる。作業者や現場監督者といったユーザ、または、装置設計者の意に反して、安全状態へ移行したような場合には、本来の安全ポリシーに沿っているか否かを調査する必要があるが、本実施の形態においては、互いに関連する情報が自動的に格納されるので、その検証および再設定をより容易かつ短時間に行なうことができる。
【0060】
また、安全システム1と同時に使用されるPLC40自体の電源を遮断しないようにもできるため、安全システム1の動作とは独立した制御情報の記録を残すこともできる。
【0062】
(d1:安全監視管理装置)図5は、図1に示す安全システム1の安全監視管理装置10の構成を示す模式図である。図6は、図5に示す安全監視管理装置10のメイン処理ユニット11の構成を示す模式図である。本実施の形態に従う安全監視管理装置10は、典型例として、PLCを用いて実現される例を示す。もちろん、PLC以外の汎用アーキテクチャのプロセッサを用いて実現してもよいし、専用のハードウェアを用いて実現してもよい。
【0063】
図5を参照して、安全監視管理装置10は、メイン処理ユニット11と、各種のI/O(Input Output)ユニット12,13,14,15とを含む。ユニット間は、システムバス16を介してデータ通信可能に接続される。
【0064】
メイン処理ユニット11は、後述するように、安全監視管理装置10の全体処理を司る演算装置である。I/Oユニット12,13,14,15は、対象機器に係る状態データを取得するとともに、安全状態へ移行するための信号を出力するインターフェイスである。一例として、I/Oユニット12は、デジタル入力ユニットであり、ON/OFF信号(デジタル入力:DI)を受け付ける。I/Oユニット13は、デジタル出力ユニットであり、ON/OFF信号(デジタル出力:DO)を外部装置へ出力する。I/Oユニット14は、アナログ入力ユニットであり、アナログ信号(アナログ入力:AI)を受け付けて、その信号値をデジット値に変換してメイン処理ユニット11へ出力する。I/Oユニット15は、アナログ出力ユニットであり、メイン処理ユニット11からの指令値(デジット値)に従って、対応するアナログ信号を生成し、外部装置へ出力する。
【0065】
I/Oユニット12,13,14,15の全種類が必要になるわけではなく、対象機器および予め定められる安全条件に応じて、I/Oユニットの数および種類は適宜選択される。すなわち、安全条件に関する情報を収集するためには、主として、I/Oユニット12および14が用いられ、安全状態への移行には、主として、I/Oユニット13が用いられる。さらに、上述以外の信号を受け付け可能なI/Oユニットを採用してもよい。
【0066】
次に、図6を参照して、安全監視管理装置10のメイン処理ユニット11の構成について説明する。メイン処理ユニット11は、プロセッサ102と、チップセット104と、RAM(Random Access Memory)106と、フラッシュメモリ(FLASH)108と、ハードディスク(Hard Disk Drive)110と、システムバスコントローラ112と、ネットワークコントローラ114と、USBインターフェイス(I/F)116と、メモリカードインターフェイス(I/F)118とを含む。
【0067】
プロセッサ102は、フラッシュメモリ108などに格納されたプログラムを実行することで、安全監視管理装置10の機能を実現するための演算主体である。プロセッサ102は、一例として、CPU(Central Processing Unit)やDSP(Digital Signal Processor)などを含む。チップセット104は、それぞれのコンポーネントの間でのデータの遣り取りなどを制御する。
【0068】
RAM106は、ワーキングメモリとして機能し、プロセッサ102がプログラムを実行するために必要な各種データやプログラムなどを格納するとともに、I/Oユニットを介して収集されたデータ(本実施の形態においては、安全条件に関する情報)を保持する。
【0069】
フラッシュメモリ108およびハードディスク110は、各種データを不揮発的に格納する。より具体的には、これらの記録媒体は、プロセッサ102で実行されるプログラム、安全イベントの発生をトリガーとして収集された安全条件に関する情報などを格納する。
【0070】
システムバスコントローラ112は、I/Oユニット12,13,14,15との間でデータを遣り取りするためのシステムバス16(図5)を介してデータ転送を制御する。ネットワークコントローラ114は、ネットワーク60(図1)を介した他の装置との間のデータ転送を制御する。USBインターフェイス116は、プログラミングなどを行なうサポート装置(パーソナルコンピュータ)と接続するための通信インターフェイスである。
【0071】
メモリカードインターフェイス118は、メモリカード120を装着可能になっており、メモリカード120を介して、フラッシュメモリ108またはハードディスク110に格納されたデータを外部装置へ出力する。
【0072】
(d2:サーボドライバ)図7は、図1に示す安全システム1のサーボドライバ20の構成を示す模式図である。本実施の形態に従うサーボドライバ20は、モータ制御機能21および安全監視機能22を搭載する。これらの機能は互いに独立していることが好ましいので、本実施の形態においては、ハードウェアとしても互いに独立した構成を採用する。但し、ハードウェアを共通化することを排除するものではない。
【0073】
図7を参照して、サーボドライバ20は、モータ制御機能21として、制御回路212と、コンバータ(CONV)214と、インバータ(INV)216と、検出回路215,217と、I/O部210とを含む。
【0074】
コンバータ214は、制御回路212からの指令に従って、外部電源(商用電源)を直流に変換する。インバータ216は、コンバータ214で変換された直流電力を受けて、制御回路212からの指令に従って交流電力を生成する。この生成される交流電力がサーボモータ51へ供給される。
【0075】
検出回路215は、コンバータ214の入力側に流れる電流値および電圧値を検出する。検出回路217は、インバータ216の出力側に流れる電流値および電圧値を検出する。
【0076】
制御回路212は、通信インターフェイス(I/F)230を介してPLC40から与えられる指令値に従って、I/O部210を介して収集されるフィードバック情報(サーボモータ51からフィードバックされる位置情報/速度情報)、ならびに、検出回路215および検出回路217によって検出される電流値および電圧値に基づいて、コンバータ214およびインバータ216を制御する。
【0077】
また、サーボドライバ20は、安全監視機能22として、I/O部220と、プロセッサ222と、ハードディスク(HDD)224と、RAM226と、フラッシュメモリ(FLASH)228とを含む。
【0078】
プロセッサ222は、ハードディスク224またはフラッシュメモリ228に予め格納されるプログラムを実行することで、安全監視機能22に係る処理を実現する。ハードディスク224およびフラッシュメモリ228は、各種データを不揮発的に格納する。より具体的には、これらの記録媒体は、プロセッサ222で実行されるプログラム、安全イベントの発生をトリガーとして収集された安全条件に関する情報などを格納する。
【0079】
RAM226は、ワーキングメモリとして機能し、プロセッサ222がプログラムを実行するために必要な各種データやプログラムなどを格納するとともに、I/O部220を介して収集されたデータ(本実施の形態においては、安全条件に関する情報)を保持する。
【0080】
I/O部220は、サーボモータ51からフィードバックされる位置情報/速度情報を収集する。I/O部210とI/O部220とを1つのコンポーネントとして実装してもよいが、安全の観点からは、別々に実装することが好ましい。
【0081】
(d3:I/O装置)安全システム1のI/O装置30は、図5に示すPLCにおいて、メイン処理ユニット11に代えて、ネットワーク通信ユニットを配置したものである。すなわち、I/O装置30は、一種のリモートI/Oユニット(装置)として構成される。このI/O装置30の主たる構成要素は、図5において説明したI/Oユニット12,13,14,15と同様である。そのため、これ以上の詳細な説明は繰り返さない。
【0082】
(d4:PLC)安全システム1のPLC40は、図5および図6に示す安全監視管理装置10の構成と実質的に同一である。但し、PLC40は、安全監視管理装置10の処理とは独立して、対象の機器を制御する。一方で、安全監視管理装置10から対象機器の作動を停止するための指令が通知されると、PLC40は対象機器の作動を停止する。
【0084】
(d5:パーソナルコンピュータ)図8は、図1に示す安全システム1のパーソナルコンピュータ50の構成を示す模式図である。本実施の形態に従うパーソナルコンピュータ50は、OSを含む各種プログラムを実行するCPU402と、BIOSや各種データを格納するROM404と、CPU402でのプログラムの実行に必要なデータを格納するための作業領域を提供するRAM406と、CPU402で実行されるプログラムなどを不揮発的に格納するハードディスク(HDD)408とを含む。
【0085】
パーソナルコンピュータ50は、さらに、ユーザからの操作を受け付けるキーボード410およびマウス412と、情報をユーザに提示するためのモニタ414とを含む。パーソナルコンピュータ50は、安全監視管理装置10などと通信するための通信インターフェイス(I/F)420を含む。
【0086】
後述するように、パーソナルコンピュータ50で実行される各種プログラムは、CD−ROM418などの記録媒体に格納されて流通する。このCD−ROM418に格納されたプログラムは、CD−ROM(Compact Disk-Read Only Memory)駆動装置416によって読取られ、ハードディスク408などへ格納される。あるいは、上位のホストコンピュータなどからネットワークを通じてプログラムをダウンロードするように構成してもよい。
【0087】
<E.制御機能>次に、本実施の形態に従う安全システム1に係る制御機能について説明する。
【0088】
(e1:サーボドライバ20の制御機能)図9は、図1に示す安全システム1のサーボドライバ20の制御機能を模式的に示すブロック図である。図9に示す各ブロック(モジュール)は、典型的には、図7の安全監視機能22に対応するハードウェアがソフトウェアと協働することによって実現される。
【0089】
より具体的には、サーボドライバ20は、その制御機能として、通信モジュール2202と、安全条件記憶部2204と、安全条件ファイル2206と、判断モジュール2208と、入力モジュール2210と、FIFOバッファ2212と、生成モジュール2214とを含む。
【0090】
通信モジュール2202は、ネットワーク60を介して接続された安全監視管理装置10との間で各種データを遣り取りする。具体的には、通信モジュール2202は、安全条件や発生した安全イベントを安全監視管理装置10から受信するとともに、サーボドライバ20で判断した安全イベントの発生を安全監視管理装置10へ通知する。さらに、通信モジュール2202は、収集されたログ情報を安全監視管理装置10へ送信する。
【0091】
安全条件記憶部2204は、安全イベントが発生したか否かを判断するための安全条件ファイル2206を格納する。この安全条件ファイル2206の設定内容(安全条件)は、安全監視管理装置10から設定されてもよいし、ユーザからの設定に応じて直接的に設定されてもよい。
【0092】
入力モジュール2210は、安全条件に関する情報を収集する。この安全条件に関する情報は、安全管理の対象機器などからのフィールド情報を含む。このフィールド情報は、対象機器の作動に関する情報を含み、一例として、サーボモータ51からのフィードバック速度、サーボモータ51への指令速度、サーボモータ51へのサーボ指令位置、サーボモータ51からのフィードバック位置、サーボモータ51の状態を示すステータスフラグ、ブレーキなどの出力ポートの状態、入力信号の状態、PLC40などからの定期更新される指令値などを含む。これらの情報は、任意に組み合わせることができる。
【0093】
入力モジュール2210で収集されたフィールド情報は、FIFOバッファ2212へ出力される。また、これらのフィールド情報のうち、安全条件として設定されている情報は、判断モジュール2208へ出力される。
【0094】
判断モジュール2208は、安全条件ファイル2206を参照して、対象機器の作動に関する信号に基づいて安全条件に合致する事象が発生したか否かを判断する。そして、判断モジュール2208は、安全条件に合致する事象が発生したときに、安全条件に合致する事象(安全イベント)が発生したことを安全監視管理装置10へ通知する。
【0095】
また、判断モジュール2208は、安全条件に合致する事象が発生したときに、対象機器の作動を停止する信号(STO)を出力する。判断モジュール2208は、安全監視管理装置10から安全イベントの発生を通知されたときにも、対象機器の作動を停止する信号(STO)を出力する。すなわち、判断モジュール2208は、安全条件に合致する事象が発生したとの判断、および、安全監視管理装置10からの対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、モータ制御機能21に対して対象機器の作動を停止するための指令を出力する。
【0096】
また、判断モジュール2208は、安全条件に関する情報として、各時点において、通常状態および安全状態を含む、いずれの状態であるかを示す状態値(例えば、監視中/無効中/安全状態中)を出力する。
【0097】
FIFOバッファ2212は、所定期間にわたって、入力モジュール2210で収集されたフィールド情報および判断モジュール2208からの状態値を順次格納する。すなわち、FIFOバッファ2212は、安全条件に関する情報を連続的に収集する。
【0098】
生成モジュール2214は、安全イベントが発生すると、FIFOバッファ2212から安全イベントが発生した前後の所定期間にわたるデータを抽出し、ログ情報を生成する。すなわち、生成モジュール2214は、安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納する。このとき、生成モジュール2214は、安全条件に合致する事象が発生したとの判断、および、安全監視管理装置10からの対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、安全イベントの発生タイミングを決定する。
【0099】
生成モジュール2214で生成されたログ情報は、逐次あるいは要求に応じて、安全監視管理装置10へ送信される。なお、予め定められたしきい値との比較によって安全イベントを発生させる安全条件については、生成モジュール2214は、対応する予め定められたしきい値(設定値)を併せて送信する。
【0100】
図10は、サーボドライバ20の安全監視機能22によるログ情報の収集を説明するための図である。図10を参照して、安全条件に関する情報として、(a)判断モジュール2208による状態値(通常状態/安全状態)、(b)サーボモータ51の速度、(c)サーボモータ51に供給される電流値が収集される例を想定する。
【0101】
図10に示すように、あるタイミングで安全イベントが発生し、通常状態から安全状態へ移行すると、そのタイミングを基準として、その前後の所定期間(ロギング範囲)にわたる情報がログ情報として格納される。上述したように、FIFOバッファを用いてフィールド情報を逐次収集しておくことで、安全イベントが発生した際に、その時点より過去分のフィールド情報についてもロギングする。
【0102】
なお、これらのログ情報は、安全監視管理装置10によって集約されるため、時間軸を共通にすることが好ましい。例えば、ネットワーク60において定時性を確保するために利用されるタイマー(あるいは、カウンター)を利用して、図10に示す時間軸を定義してもよい。このような時間軸を定義することで、安全監視管理装置10側で収集される各種情報と併せて集約した場合にも、各コンポーネントの時間的な挙動を事後的に確認できる。
【0103】
別の方法で時間合わせを行なってもよい。例えば、安全監視管理装置10から定期的に時刻を通知するようにしてもよいし、各装置がGPS(Global Positioning Sensor)受信機を搭載しておき、そのGPS電波に含まれる時刻情報を利用するようにしてもよい。
【0104】
(e2:安全監視管理装置10の制御機能)図11は、図1に示す安全システム1の安全監視管理装置10の制御機能を模式的に示すブロック図である。図11に示す各ブロック(モジュール)は、典型的には、図5に示す安全監視管理装置10を構成するハードウェアがソフトウェアと協働することによって実現される。
【0105】
より具体的には、安全監視管理装置10は、その制御機能として、通信モジュール1002と、安全条件記憶部1004と、安全条件ファイル1006と、判断モジュール1008と、FIFOバッファ1012と、生成モジュール1014と、ログ情報記憶部1020と、集約モジュール1024とを含む。
【0106】
通信モジュール1002は、ネットワーク60を介して接続されたサーボドライバ20やI/O装置30と、安全監視管理装置10との間で各種データを遣り取りする。具体的には、通信モジュール1002は、サーボドライバ20が発行した安全イベント、および/または、I/O装置30で収集された安全条件に関する情報(フィールド情報)を受信するとともに、判断モジュール1008で判断した安全イベントの発生をサーボドライバ20(および図示しない他のサーボドライバ)、ならびにI/O装置30へ通知する。さらに、通信モジュール1002は、サーボドライバ20で収集されたログ情報を受信する。
【0107】
安全条件記憶部1004は、安全イベントが発生したか否かを判断するための安全条件ファイル1006を格納する。この安全条件ファイル1006の設定内容(安全条件)は、典型的には、ユーザからの設定に応じて直接的に設定されてもよい。安全監視管理装置10の安全条件ファイル1006の設定内容と、サーボドライバ20の安全条件ファイル2206の設定内容とは、互いに独立に設定されていてもよいし、安全条件ファイル1006のうちサーボドライバ20に関するものだけを安全条件ファイル2206として利用するものであってもよい。
【0108】
判断モジュール1008は、安全条件ファイル1006を参照して、対象機器の作動に関する信号に基づいて安全条件に合致する事象が発生したか否かを判断する。そして、判断モジュール1008は、安全条件に合致する事象が発生したときに、安全条件に合致する事象(安全イベント)が発生したことを、サーボドライバ20(および図示しない他のサーボドライバ)、ならびにI/O装置30へ通知する。
【0109】
また、判断モジュール1008は、いずれかのサーボドライバ20から安全条件に合致する事象(安全イベント)が発生したことを通知されると、その通知を他のサーボドライバ20およびI/O装置30へも通知する。すなわち、判断モジュール1008は、いずれかのサーボドライバ20から安全条件に合致する事象が発生したことを通知されると、他のサーボドライバ20および/またはI/O装置30に対して、対象機器の作動を停止するための指令を通知する。
【0110】
また、判断モジュール1008は、安全条件に関する情報として、各時点において、通常状態および安全状態を含む、いずれの状態であるかを示す状態値(例えば、監視中/無効中/安全状態中)を出力する。
【0111】
FIFOバッファ1012は、所定期間にわたって、通信モジュール1002を介して収集されるフィールド情報および判断モジュール1008からの状態値を順次格納する。すなわち、FIFOバッファ1012は、安全条件に関する情報を連続的に収集する。このフィールド情報は、対象機器の作動に関する情報を含み、一例として、I/O装置30に接続されている対象機器の各時点における出力値および/または入力値、ならびに状態値などを含む。これらの情報は、任意に組み合わせることができる。
【0112】
生成モジュール1014は、安全イベントが発生すると、FIFOバッファ1012から安全イベントが発生した前後の所定期間にわたるデータを抽出し、ログ情報を生成する。すなわち、生成モジュール1014は、安全条件に合致する事象が発生したことに応答して、収集した情報に発生タイミングを関連付けるとともに、安全条件に関する情報を、当該発生タイミングを基準とした所定期間にわたって格納する。このとき、生成モジュール1014は、安全条件に合致する事象が発生したとの判断、および、サーボドライバ20からの対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、安全イベントの発生タイミングを決定する。
【0113】
生成モジュール1014によって生成されるログ情報、および、通信モジュール1002を介してサーボドライバ20などから取得されるログ情報は、ログ情報記憶部1020に格納される。複数のサーボドライバ20で構成されるシステムでは、同一の安全イベントに複数のログ情報が関連付けられることになる。すなわち、ログ情報記憶部1020は、同一の安全イベントの発生に対応して、複数のログ情報1022を格納する場合がある。なお、生成モジュール1014は、予め定められたしきい値との比較によって安全イベントを発生させる安全条件について、その予め定められたしきい値(設定値)をログ情報と併せて格納する。
【0114】
集約モジュール1024は、ログ情報記憶部1020に格納されたログ情報1022を安全イベントの発生タイミングに関連付けて集約する。すなわち、集約モジュール1024は、安全イベントの発生タイミングを基準として、安全条件に関する情報を集約する。そして、集約モジュール1024は、安全条件に関する情報を集約して得られた結果を出力する。この結果出力は、典型的には、安全監視管理装置10に接続されるパーソナルコンピュータ50に表示される。あるいは、プリンタ出力、メール送信、Webベースでのアクセスなどの任意の形態を採用できる。
【0115】
また、安全監視管理装置10の集約モジュール1024に係る機能については、パーソナルコンピュータ50でプログラムを実行することで、実現してもよい。この場合、安全監視管理装置10には、集約モジュール1024を実装する必要はなく、ログ情報1022を収集する機能のみが搭載される。
【0117】
一例として、安全監視管理装置10がI/O装置30を介して、ライトカーテン8およびセーフティスキャナー7からのON/OFF信号を収集するとともに、2つのサーボドライバ20がサーボモータ1および2をそれぞれ制御しているとする。そして、2つのサーボドライバ20がそれぞれ対応するサーボモータの安全条件に関するログ情報を収集しているとする。
【0118】
図12に示すように、これらの情報の時間的変化が表示されるとともに、安全条件に合致する事象(安全イベント)の発生タイミングを基準にその時間軸が決定される。図12に示す画面例において、(a)ライトカーテン8、および(b)セーフティスキャナー7については、安全監視管理装置10が収集したログ情報であり、(c)サーボモータ1の速度(サーボ1速度)、および(d)サーボモータ1の電流値(サーボ1電流)は、1番目のサーボドライバ20が収集したログ情報であり、(e)サーボモータ2の速度(サーボ2速度)、および(f)サーボモータ2の電流値(サーボ2電流)は、2番目のサーボドライバ20が収集したログ情報である。また、(f)ステータスは、「監視中」および「安全状態値」といった状態値を示す。このステータスについては、安全監視管理装置10で管理される状態値またはサーボドライバ20で管理される状態値が用いられる。
【0119】
また、速度および電流値については、それぞれ対応するしきい値(設定値)が併せて表示される。上述したように、このようなしきい値(設定値)は、ログ情報に関連付けて、サーボドライバ20などから送信される。このように、しきい値(設定値)を併せて表示することで、しきい値超過(設定値違反)までの余裕度を一目して確認することができる。
【0120】
さらに、複数のしきい値(設定値)が設定されている場合には、それぞれのしきい値とフィールド情報との比較によって、いずれの安全機能によって、安全イベントが発生したのかを明示的に示すようにしてもよい。この場合には、安全機能の別にステータスが収集および格納される。
【0121】
<F.処理手順>次に、本実施の形態に従う安全システム1に係る処理手順について説明する。
【0122】
(f1:サーボドライバ20の処理手順)図13は、サーボドライバ20における処理手順を示すフローチャートである。図13に示すフローチャートには、モータ制御機能21および安全監視機能22に係る処理手順をそれぞれ示す。
【0123】
図13を参照して、サーボドライバ20の制御回路212は、サーボモータ51の制御に必要な情報を収集する(ステップS100)。具体的には、制御回路212は、PLC40からの指令値、検出回路215で検出されるコンバータ214の入力側の電流値/電圧値、検出回路217で検出されるインバータ216の出力側の電流値/電圧値、ならびにサーボモータ51からフィードバックされる信号(速度情報/位置情報)などを収集する。このサーボモータ51の制御に必要な情報は逐次記録される。続いて、制御回路212は、ステップS100において収集した情報に基づいて、次ステップの出力値を算出する(ステップS102)。続いて、制御回路212は、プロセッサ222がSTOを発行しているか否かを判断する(ステップS104)。STOが発行されていれば、処理を中止する(ステップS106)。すなわち、制御回路212は、サーボモータ51への電力を遮断するシャットオフ機能を有効化する。これに対して、STOが発行されていなければ、制御回路212は、サーボモータ51へ電力を供給する(ステップS108)。より具体的には、制御回路212は、ステップS102において算出された出力値に従って、コンバータ214およびインバータ216を制御する。
【0124】
なお、図13においては、説明の便宜上、処理実行中の特定のステップにおいてSTOの発行有無を判断する例を示したが、典型的には、STOは割込信号として実装されることが多く、この場合には、処理のいずれの段階であっても、シャットオフ機能が有効化される。
【0125】
このモータ制御機能21と並行して、以下のような安全監視機能22に係る処理が実行される。
【0126】
すなわち、プロセッサ222は、安全条件に関する情報を収集し、RAM226(FIFOバッファ2212)に格納する(ステップS200)。安全条件に関する情報は逐次記録される。続いて、プロセッサ222は、予め格納されている安全条件ファイル2206を参照して、収集した安全条件に関する情報に基づいて、安全条件に合致する事象(安全イベント)が発生したか否かを判断する(ステップS202)。
【0127】
安全条件に合致する事象が発生していない場合(ステップS202においてNOの場合)には、プロセッサ222は、安全条件に合致する事象が発生しているとの通知を安全監視管理装置10から受信したか否かを判断する(ステップS204)。安全条件に合致する事象が発生しているとの通知を安全監視管理装置10から受信していない場合(ステップS204においてNOの場合)には、ステップS200以下の処理が繰り返される。
【0128】
これに対して、安全条件に合致する事象が発生した場合(ステップS202においてYESの場合)には、プロセッサ222は、安全条件に合致する事象が発生したことを安全監視管理装置10へ通知する(ステップS210)。続いて、プロセッサ222は、STOを発行する(ステップS212)。さらに、プロセッサ222は、安全条件に合致する事象が発生したタイミングを記録し、この発生タイミングを基準とした所定期間にわたって、サーボモータ51の制御に必要な情報(シャフトスピード、位置、加速度など)および安全条件に関する情報を収集する(ステップS214)。そして、プロセッサ222は、所定期間にわたるサーボモータ51の制御に必要な情報および安全条件に関する情報の収集が完了すると、ログ情報を生成する(ステップS216)。最終的に、プロセッサ222は、生成したログ情報を安全監視管理装置10へ送信する(ステップS218)。そして、処理は終了する。
【0129】
安全条件に合致する事象が発生しているとの通知を安全監視管理装置10から受信した場合(ステップS204においてYESの場合)には、ステップS212以下の処理が実行される。
【0130】
(f2:安全監視管理装置10の処理手順)図14は、安全監視管理装置10における処理手順を示すフローチャートである。図14を参照して、プロセッサ102は、安全条件に関する情報を収集し、RAM106(FIFOバッファ1012)に格納する(ステップS300)。続いて、プロセッサ102は、予め格納されている安全条件ファイル1006を参照して、収集した安全条件に関する情報に基づいて、安全条件に合致する事象(安全イベント)が発生したか否かを判断する(ステップS302)。
【0131】
安全条件に合致する事象が発生していない場合(ステップS302においてNOの場合)には、プロセッサ102は、安全条件に合致する事象が発生しているとの通知を他の装置(いずれかのサーボドライバ20)から受信したか否かを判断する(ステップS304)。安全条件に合致する事象が発生しているとの通知を他の装置から受信していない場合(ステップS304においてNOの場合)には、ステップS300以下の処理が繰り返される。
【0132】
これに対して、安全条件に合致する事象が発生した場合(ステップS302においてYESの場合)、または、安全条件に合致する事象が発生しているとの通知を他の装置から受信した場合(ステップS304においてYESの場合)には、プロセッサ102は、安全条件に合致する事象が発生したことをすべての装置(サーボドライバ20および/またはI/O装置30)に対して、安全条件に合致する事象が発生していることを通知する(ステップS310)。すなわち、プロセッサ102は、安全システム1を構成する全制御装置に対して、対象機器の作動を停止するための指令を通知する。
【0133】
さらに、プロセッサ102は、安全条件に合致する事象が発生したタイミングを決定し、安全条件に関する情報の収集を所定期間にわたって継続する(ステップS312)。そして、プロセッサ102は、所定期間にわたる安全条件に関する情報の収集が完了すると、ログ情報を生成する(ステップS314)。
【0134】
その後、プロセッサ102は、他の装置から送信されるログ情報を順次受信し(ステップS316)、対象の安全イベントの発生タイミングを基準として、ログ情報を集約する(ステップS318)。そして、処理は終了する。
【0135】
この集約されたログ情報は、パーソナルコンピュータ50などからの要求に応じて、適宜出力される。
【0136】
<G.システム構成(第1の別形態)>上述の実施の形態においては、安全コンポーネントである安全監視機能22がサーボドライバ20内に実装される構成について例示したが、このような安全監視機能22を内蔵する構成に代えて他の構成を採用してもよい。以下では、安全システム1の別形態として、モータ制御機能21および安全監視機能22をそれぞれ独立した装置で実現する形態について説明する。
【0137】
図15は、本実施の第1の別形態に従う安全システム1Aの構成を示す模式図である。図15に示す安全システム1Aは、図1に示す安全システム1に比較して、サーボドライバ20が、モータ制御機能21を提供するサーボドライバ21Aおよび安全監視機能22を提供する安全監視装置22Aとして実装されている点が異なっている。
【0138】
図15に示すサーボドライバ21Aおよび安全監視装置22Aは、それぞれ上述のモータ制御機能21および安全監視機能22に係る制御を実行するため、詳細な説明は繰り返さない。但し、安全監視装置22Aからサーボドライバ21AへのSTOは、ネットワーク60または直接接続された配線などを介して伝送される。
【0139】
このように、安全監視装置22Aは、対象機器であるサーボモータ51の作動を制御するサーボドライバ21Aとのインターフェイスを有している。そして、安全監視機能22を提供する安全監視装置22Aは、安全条件に合致する事象(安全イベント)が発生したとの判断、および、安全監視管理装置10からの対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、安全イベントの発生タイミングを決定するとともに、サーボドライバ21Aに対して対象機器の作動を停止するための指令を出力する。
【0140】
<H.システム構成(第2の別形態)>上述したように、機械や設備の作動に係る制御システムとは独立した安全システムが要望されることもある。例えば、安全監視管理装置10およびPLC40がそれぞれ独立したネットワークに接続される。このような場合であっても、本実施の形態に従う機能を実現することができる。
【0141】
図16は、本実施の第2の別形態に従う安全システム1Bの構成を示す模式図である。図16に示す安全システム1Bは、図1に示す安全システム1に比較して、サーボドライバ20が、モータ制御機能21を提供するサーボドライバ21Bおよび安全監視機能22を提供する安全監視装置22Bとして実装されている点が異なっている。さらに、安全監視管理装置10および安全監視装置22Bが接続されているネットワーク60と、PLC40およびサーボドライバ21Bが接続されているネットワーク62とは、互いに独立している。そのため、対象機器である産業用ロボット5(サーボモータ51)の作動を制御する装置構成と、それを監視する装置構成とは互いに干渉しない。
【0142】
図16に示す安全システム1Bにおいては、安全システム(PLC40およびサーボドライバ21B)が何らかの安全イベントの発生を検知した場合に、サーボドライバ21Bおよび産業用ロボット5(サーボモータ51)の作動を停止させるための構成として、サーボドライバ21Bへの電源を遮断するという構成を採用する。より具体的には、電源25からサーボドライバ21Bへ供給される動力電源の経路上に、コンタクタ26を設け、このコンタクタ26にI/O装置31から遮断信号を出力することで、異常時の電源遮断を実現する。I/O装置31は、安全監視管理装置10と同じくネットワーク60に接続される。
【0143】
このように、安全システム1Bは、対象機器であるサーボモータ51の作動を制御するサーボドライバ21Bに対して信号を出力するI/O装置31を含む。安全監視機能22を提供する安全監視装置22Bは、安全条件に合致する事象(安全イベント)が発生したとの判断、および、安全監視管理装置10からの対象機器の作動を停止するための指令の受信、の少なくとも一方に応答して、発生タイミングを決定する。また、安全監視管理装置10は、安全条件(安全イベント)に合致する事象が発生すると、I/O装置31を介して、サーボドライバ21Bに対して対象機器の作動を停止するための指令を出力する。【0144】
<I.利点>従来のように、安全イベントが発生した際に機械や設備の電源/動力源を遮断するだけの安全システムを考えると、以下のような課題が想定される。すなわち、対象装置を制御するためのPLCと、安全システム用のPLCとの起動順序を誤ると、安全イベントが発生したと誤判断されて、電源/動力源が遮断される可能性があり、これらの起動手順が複雑化する。また、制御用PLCと安全システム用PLCとの間で入力/出力に係る数値の単位が異なる、それぞれのPLC用の設計ソフトウェアが互いに独立している、制御用PLCと安全システム用PLCとの間のタイミング調整が難しいといった調整上の困難性もある。このタイミング調整は、制御用PLCと安全システム用PLCとの間で制御周期が異なっていたり、シミュレーション上は同期がとれていても実運用において制御周期の誤差が生じたりするなどの理由から、容易ではない。
【0145】
また、運用中に問題を解決することは容易ではない。これは、安全機器は安全状態となることに主眼が置かれているので、何らかの誤作動があった場合でも、その現象は「動かない」側の現象となり、事後的に問題を解決しにくい。また、安全状態では、電源が遮断されるので、どのような事象が起きたのかを確認することが難しい。
【0146】
上述したように、本実施の形態においては、フィールド情報などのログをとることにより、各装置(コンポーネント)が管理している現在値および対応するしきい値(設定値)を同期した状態で遡って確認することができる。このようなログ情報を参照することで、最終的に設定値違反と判断されて装置が停止した原因を事後的に確認できる。
【0147】
本実施の形態に従う安全システムの構成によれば、安全イベントの発生(STOなどの安全確保信号の発行)といった、簡単なトリガーでログをとることができる。また、いずれの安全システムであっても、電源/動力源の遮断状態は安全であるので、共通の仕様を保ったまま複数の安全システムに適用できる。また、自動でログがとれるので、発生頻度の低い現象であっても、より容易にログをとることができる。このとき、装置の内部データが記録されるので、外部の測定器などを必要としない。
【0148】
例えば、被監視設備内で、10秒ほどの簡単な作業を1時間に何度も行なわなければならないような場合に、被監視設備へのアクセスドアを安全ドアにしておき、その安全ドアを開くと都度電源が遮断されるような安全システムを採用すると、電源が投入されて、装置が再起動するまでの待ち時間が相対的に大きくなり、作業効率を圧迫し得る。このような場合、供給する電源を遮断する代わりに、セーフティモーション機能を用いて装置の停止状態を確保するような方法を採用することができる。このようなセーフティモーション機能を導入することで、演算途中の計算値を維持できるので、動作指令を継続出力するなどの操作によって、再起動により生じる時間ロスを大幅に軽減できる場合がある。
【0149】
このようなセーフティモーション機能を導入するにあたって、動作監視による制御異常を発見する方法が採用される。この方法においては、装置の生産性と作業者の安全性とを両立させつつ、装置の作動位置(作動範囲)と人間(作業者)が立ち入ることができる範囲との調整を最適化する必要がある。このような場合に、本実施の形態に従う安全システムは好適である。
【0150】
すなわち、いずれの安全システム(安全コンポーネント)は、安全監視に対する違反判定がなされると、電源/動力源を遮断しようとする動作を共通に行なう。そこで、安全状態へ移行したタイミングに合わせて、それぞれのフィールド情報などを記憶しておくというシンプルな構成を採用することで、事後的に各安全コンポーネントからデータを集約して、安全確保した時刻(安全状態へ移行したタイミング)を基準として互いのデータを比較することで、安全監視に対する違反が判定されたときの運転状態と制御状態との余裕度などを確認および検証できる。
【0151】
上述したように、一般的に、「安全状態」は電源/動力源の遮断に頼るため、安全確保されていない機械や設備は監視系を含めて、すべてシャットオフされる可能性がある。そのため、制御システムで記録されたデータを正しく残せない場合もあり、従来の構成では、調整用にデータを測定することは容易ではなかった。これに対して、本実施の形態に従う安全システムでは、安全状態が確保された監視を主とする装置を用いて、測定したデータを残すので、非常停止や監視異常などによって、システム動作がどれだけ異常な動作になっていたのかを数値で確認できる。これにより、当該データを事後的な改善に利用できる。
【0152】
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【符号の説明】
【0153】
1 安全システム、5 産業用ロボット、6 リミットセンサ、7 セーフティスキャナー、8 ライトカーテン、9 被監視設備、10 安全監視管理装置、11 メイン処理ユニット、12,13,14,15 I/Oユニット、16 システムバス、20,21A,21B サーボドライバ、21 モータ制御機能、22 安全監視機能、22A,22B 安全監視装置、25 電源、26 コンタクタ、30 I/O装置、40 PLC、50,70 パーソナルコンピュータ、60,62 ネットワーク、102,222,224 プロセッサ、104 チップセット、106,226,406 RAM、108,228 フラッシュメモリ、110,224,408 ハードディスク、112 システムバスコントローラ、114 ネットワークコントローラ、116 USBインターフェイス、118 メモリカードインターフェイス、120 メモリカード、210,220 I/O部、212 制御回路、214 コンバータ、215,217 検出回路、216 インバータ、402 CPU、404 ROM、410 キーボード、412 マウス、414 モニタ、416 CD−ROM駆動装置、418 CD−ROM、1002,2202 通信モジュール、1004,2204 安全条件記憶部、1006,2206 安全条件ファイル、1008,2208 判断モジュール、1012,2212 FIFOバッファ、1014,2214 生成モジュール、1020 ログ情報記憶部、1022 ログ情報、1024 集約モジュール、2210 入力モジュール。