知財求人 - 知財ポータルサイト「IP Force」
▶ ピルツ ゲーエムベーハー アンド コー.カーゲーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6576936
(24)【登録日】2019年8月30日
(45)【発行日】2019年9月18日
(54)【発明の名称】電気負荷を安全にオフにする方法および装置
(51)【国際特許分類】
G05B 9/02 20060101AFI20190909BHJP
【FI】
G05B9/02 A
【請求項の数】8
【全頁数】15
(21)【出願番号】特願2016-548704(P2016-548704)
(86)(22)【出願日】2015年1月28日
(65)【公表番号】特表2017-504907(P2017-504907A)
(43)【公表日】2017年2月9日
(86)【国際出願番号】EP2015051674
(87)【国際公開番号】WO2015113994
(87)【国際公開日】20150806
【審査請求日】2017年11月17日
(31)【優先権主張番号】102014100970.3
(32)【優先日】2014年1月28日
(33)【優先権主張国】DE
(73)【特許権者】
【識別番号】501493037
【氏名又は名称】ピルツ ゲーエムベーハー アンド コー.カーゲー
(74)【代理人】
【識別番号】110002310
【氏名又は名称】特許業務法人あい特許事務所
(72)【発明者】
【氏名】ヘルター,ミヒャエル
(72)【発明者】
【氏名】ザイツィンガー,ディートマー
【審査官】
牧 初
(56)【参考文献】
【文献】
特表2006−525565(JP,A)
【文献】
特表2003−518682(JP,A)
【文献】
特開2013−178648(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G05B 23/00−23/02
G05B 9/00− 9/05
(57)【特許請求の範囲】
【請求項1】
電気負荷を安全にオフにする方法であって、
マルチチャネル制御ユニット(12)と、1チャネルのデータ伝送経路(22)と、第1処理ユニット(50)および第2処理ユニット(58)ならびに安全出力(52)を有する出力ユニット(16)とを提供するステップと、
前記マルチチャネル制御ユニット(12)によって入力信号(34)を受信して評価し、前記マルチチャネル制御ユニット(12)が、前記評価に基づいてイネーブル信号(38)を生成するステップと、
前記マルチチャネル制御ユニット(12)が、前記イネーブル信号(38)を前記1チャネルのデータ伝送経路(22)を介して前記出力ユニット(16)に伝送するステップと、
前記出力ユニット(16)の第1処理ユニット(50)によって前記イネーブル信号(38)を受信して、前記第1処理ユニット(50)が、前記イネーブル信号(38)に基づいて出力信号(63)を生成するステップと、
前記イネーブル信号(38)の少なくとも一部を、その評価のために前記第1処理ユニット(50)から前記第2処理ユニット(58)に提供するステップと、
前記提供されたイネーブル信号(38)に基づいて前記第2処理ユニット(58)によって動的クロック信号(60)を生成するステップと、
コンバータ要素(62)によって前記動的クロック信号(60)を整流して一定のアナログ信号を生成し、前記一定のアナログ信号が前記第1処理ユニット(50)からの前記出力信号(63)にリンクされるステップと、
前記リンクされた信号に基づいて、前記出力ユニット(16)が前記安全出力(52)を制御するステップと、
を有する方法。
マルチチャネル制御ユニット(12)と、1チャネルのデータ伝送経路(22)と、第1処理ユニット(50)および第2処理ユニット(58)ならびに安全出力(52)を有する出力ユニット(16)とを提供するステップと、
前記マルチチャネル制御ユニット(12)によって入力信号(34)を受信して評価し、前記マルチチャネル制御ユニット(12)が、前記評価に基づいてイネーブル信号(38)を生成するステップと、
前記マルチチャネル制御ユニット(12)が、前記イネーブル信号(38)を前記1チャネルのデータ伝送経路(22)を介して前記出力ユニット(16)に伝送するステップと、
前記出力ユニット(16)の第1処理ユニット(50)によって前記イネーブル信号(38)を受信して、前記第1処理ユニット(50)が、前記イネーブル信号(38)に基づいて出力信号(63)を生成するステップと、
前記イネーブル信号(38)の少なくとも一部を、その評価のために前記第1処理ユニット(50)から前記第2処理ユニット(58)に提供するステップと、
前記提供されたイネーブル信号(38)に基づいて前記第2処理ユニット(58)によって動的クロック信号(60)を生成するステップと、
コンバータ要素(62)によって前記動的クロック信号(60)を整流して一定のアナログ信号を生成し、前記一定のアナログ信号が前記第1処理ユニット(50)からの前記出力信号(63)にリンクされるステップと、
前記リンクされた信号に基づいて、前記出力ユニット(16)が前記安全出力(52)を制御するステップと、
を有する方法。
【請求項2】
前記出力信号および前記動的クロック信号(60)に基づいて、前記第1処理ユニット(50)によってフィードバックメッセージを生成するステップと、
前記フィードバックメッセージを前記1チャネルのデータ伝送経路(22)を介して前記マルチチャネル制御ユニット(12)に伝送するステップと、
をさらに有する、請求項1に記載の方法。
前記フィードバックメッセージを前記1チャネルのデータ伝送経路(22)を介して前記マルチチャネル制御ユニット(12)に伝送するステップと、
をさらに有する、請求項1に記載の方法。
【請求項3】
前記イネーブル信号(38)は可変コード(70)を含み、前記第2処理ユニット(58)は前記可変コード(70)に基づいて前記動的クロック信号(60)を生成する、請求項1および請求項2のいずれか1項に記載の方法。
【請求項4】
前記可変コード(70)は指定の順序をもつ所定のコードシーケンスの一部である、請求項3に記載の方法。
【請求項5】
前記第2処理ユニット(58)は前記可変コード(70)に基づいて既定の期間(61)中に前記動的クロック信号(60)を提供している、請求項3および請求項4のいずれか1項に記載の方法。
【請求項6】
前記既定の期間(61)は、前記イネーブル信号(38)のサイクルタイム(T)より長く、前記サイクルタイム(T)の2倍より短い、請求項5に記載の方法。
【請求項7】
電気負荷を安全にオフにする装置(10)であって、
入力信号(34)を受信して評価するマルチチャネル制御ユニット(12)と、
1チャネルのデータ伝送経路(22)と、
第1処理ユニット(50)および第2処理ユニット(58)と安全出力(52)とコンバータ要素(62)とを有する出力ユニット(16)とを具備し、
前記マルチチャネル制御ユニット(12)は前記1チャネルのデータ伝送経路(22)を介して前記出力ユニット(16)に接続されており、
前記マルチチャネル制御ユニット(12)は前記入力信号(34)に基づいてイネーブル信号(38)を生成するように構成されており、
前記1チャネルのデータ伝送経路(22)は前記イネーブル信号(38)を前記制御ユニット(12)から前記出力ユニット(16)に伝送するように構成されており、
前記出力ユニット(16)の第1処理ユニット(50)は前記イネーブル信号(38)に基づいて出力信号(63)を生成するとともに、前記イネーブル信号(38)をその評価のために前記第2処理ユニット(58)に少なくとも部分的に提供するように構成されており、
前記第2処理ユニット(58)は前記提供されたイネーブル信号(38)に基づいて動的クロック信号(60)を生成し、
前記コンバータ要素(62)が前記動的クロック信号(60)を整流して、一定のアナログ信号を生成し、前記整流された一定のアナログ信号を前記第1処理ユニット(50)からの前記出力信号(63)にリンクさせ、
前記出力ユニット(16)は前記リンクされた信号に基づいて前記安全出力(52)を制御するように構成されている装置(10)。
入力信号(34)を受信して評価するマルチチャネル制御ユニット(12)と、
1チャネルのデータ伝送経路(22)と、
第1処理ユニット(50)および第2処理ユニット(58)と安全出力(52)とコンバータ要素(62)とを有する出力ユニット(16)とを具備し、
前記マルチチャネル制御ユニット(12)は前記1チャネルのデータ伝送経路(22)を介して前記出力ユニット(16)に接続されており、
前記マルチチャネル制御ユニット(12)は前記入力信号(34)に基づいてイネーブル信号(38)を生成するように構成されており、
前記1チャネルのデータ伝送経路(22)は前記イネーブル信号(38)を前記制御ユニット(12)から前記出力ユニット(16)に伝送するように構成されており、
前記出力ユニット(16)の第1処理ユニット(50)は前記イネーブル信号(38)に基づいて出力信号(63)を生成するとともに、前記イネーブル信号(38)をその評価のために前記第2処理ユニット(58)に少なくとも部分的に提供するように構成されており、
前記第2処理ユニット(58)は前記提供されたイネーブル信号(38)に基づいて動的クロック信号(60)を生成し、
前記コンバータ要素(62)が前記動的クロック信号(60)を整流して、一定のアナログ信号を生成し、前記整流された一定のアナログ信号を前記第1処理ユニット(50)からの前記出力信号(63)にリンクさせ、
前記出力ユニット(16)は前記リンクされた信号に基づいて前記安全出力(52)を制御するように構成されている装置(10)。
【請求項8】
入力信号(34)を受信して評価するマルチチャネル制御ユニット(12)と、1チャネルのデータ伝送経路(22)とを有する、電気負荷を安全にオフにする装置(10)に使用される出力ユニットであって、
第1処理ユニット(50)および第2処理ユニット(58)と安全出力(52)とコンバータ要素(62)とを有し、
前記第1処理ユニット(50)はイネーブル信号(38)に基づいて出力信号(63)を生成するとともに、前記イネーブル信号(38)をその評価のために前記第2処理ユニット(58)に少なくとも部分的に提供するように構成されており、前記第2処理ユニット(58)は前記提供されたイネーブル信号(38)に基づいて動的クロック信号(60)を生成し、前記コンバータ要素(62)は前記動的クロック信号(60)を整流して、一定のアナログ信号を生成し、前記整流された一定のアナログ信号を前記第1処理ユニット(50)からの前記出力信号(63)にリンクさせ、前記出力ユニット(16)は前記リンクされた信号に基づいて前記安全出力(52)を制御するように構成されている、出力ユニット(16)。
第1処理ユニット(50)および第2処理ユニット(58)と安全出力(52)とコンバータ要素(62)とを有し、
前記第1処理ユニット(50)はイネーブル信号(38)に基づいて出力信号(63)を生成するとともに、前記イネーブル信号(38)をその評価のために前記第2処理ユニット(58)に少なくとも部分的に提供するように構成されており、前記第2処理ユニット(58)は前記提供されたイネーブル信号(38)に基づいて動的クロック信号(60)を生成し、前記コンバータ要素(62)は前記動的クロック信号(60)を整流して、一定のアナログ信号を生成し、前記整流された一定のアナログ信号を前記第1処理ユニット(50)からの前記出力信号(63)にリンクさせ、前記出力ユニット(16)は前記リンクされた信号に基づいて前記安全出力(52)を制御するように構成されている、出力ユニット(16)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電気負荷を安全にオフにする方法およびそのための対応する装置に関するものである。
【0002】
本発明は一般に安全な自動化の分野に関し、具体的には安全を最重視すべきプロセスの制御および監視に関する。本発明における安全を最重視すべきプロセスとは、人または価値ある物体に対するリスクを回避するために、エラーのない動作が確保されなければならない技術的シーケンス、関係および/または事象である。これは、特に、事故防止のために機械工学およびプラントエンジニアリングの分野において自動的に行われる動作の監視および制御に係わる。代表的な例は、プレス設備の保護、自動運転するロボットの保護、または技術設備の保守作業のための害を及ぼさない状態の安全防護である。
【0003】
このようなプロセスに関し、EN ISO 13839−1規格およびEN/IEC 62061規格は、一方で、コントローラの安全関連部品が安全機能を予測可能な状態で行える能力を規定する水準を、他方で、プロセスに割り当てられた安全機能の安全度を示す水準を設定している。前者はaからeまでの水準で示されるいわゆる性能水準(PL)で、eがもっとも高い水準である。安全度の仕様に関しては、1から3の水準で示される安全度水準(SIL)が規定され、SIL3がもっとも高い水準である。本発明は、少なくとも性能水準dおよび安全度水準2に適合しなければならない安全を最重視すべきプロセスに関する。
【背景技術】
【0004】
データ伝送経路を介して、特にいわゆるフィールドバスを介して互いに接続されている空間的に離れた入出力(I/O)ユニットを有するコントローラが、プロセス制御にますます使用されるようになっている。プロセスデータを記録するセンサと、制御動作を行うアクチュエータとが入出力ユニットに接続されている。
【0005】
安全技術の分野における代表的なセンサは緊急停止スイッチ、防御扉、両手スイッチ、レブカウンタ(rev counters)、および光バリア装置である。代表的なアクチュエータは、例えば、監視する設備の駆動装置をオフにするために使用することのできるコンタクタである。このような装置において、入出力ユニットは空間的に分散した信号センサおよび信号出力ステーションとして実質的に使用されるのに対し、プロセスデータは、上位制御ユニット、例えば、プログラマブル・ロジック・コントローラ(PLC)によって実際に処理されて、アクチュエータ用の制御信号が生成される。
【0006】
バスベースのシステムを使用して安全を最重視すべきプロセスを制御できるようにするために、入出力ユニットから制御ユニットまでのデータの伝送をフェールセーフにしなければならない。特に、伝送されたプロセスデータが紛失、繰り返し、破損、挿入もしくは変更された結果として、および/または遠隔入出力ユニットの故障があっても、設備全体に危険な状態が発生することがないように確保しなければならない。
【0007】
特許文献1は、上位制御ユニットおよび遠隔入出力ユニットの両方に存在するいわゆる安全関連機器によって、伝送経路を保護するシステムを開示している。これは、例えば、信号受信路、信号処理路および信号出力路すべての冗長設計に関わる。そのため、上位制御ユニットおよび遠隔ユニットの両方によって安全なスイッチオフを開始することができ、そのためデータの伝送とは独立して、フェールセーフなスイッチオフを確保することが可能になる。そのため、安全機能は、使用される伝送技術またはバスシステムの構造とは独立している。しかし、入出力ユニット自体は安全関連機器によって制御機能を行うため、ユニットは複雑で高価であり、複数のアクチュエータを安全に制御しなければならないシステムには適していない。さらに、このアプローチでは、承認手順の範囲内で遠隔入出力ユニットの完全な本質フェールセーフ性を実証しなければならない。したがって、これは複雑で高価である。
【0008】
代替アプローチは、遠隔入出力ユニットを「非フェールセーフ」にするよう構成することに関わり、代わりに2チャネル、すなわち2つの個別の信号路を備えるデータ伝送経路を実装することに関わる。この場合、フェールセーフ設計を有する上位制御ユニットは、プロセスデータにアクセスしながら、2チャネルで必要なエラーチェックを行う可能性を有する。このアプローチでは入出力ユニット自体は1チャネル設計を有してもよいが、データ伝送経路の冗長設計のために各I/Oユニットに追加の個別ラインが必要なため、ケーブリングの量は増える。
【0009】
あるいは、マシンの安全性に関する安全な伝送を、適切なプロトコルを使用して1チャネルのデータ伝送経路を介して達成することもできる。この一実施例が、フェールセーフなフィールドバス通信のために出願人が開発したSafetyBUS p(登録商標)規格である。SafetyBUS p(登録商標)は技術的にはCANフィールドバスシステムに基づいており、この場合、OSI参照システムのレイヤ2および7に伝送を保護するための追加メカニズムを追加している。SafetyBUS p(登録商標)ネットワークでは、安全関連機器のみを使用する。そのため、安全なマルチチャネル制御に加えて、論理レベルで安全なコントローラから受信したデータをマルチチャネル化して冗長的に処理するマルチチャネル入出力ユニットが使用される。
【0010】
前述したアプローチの中間ルートが特許文献2に記述され、1チャネル伝送経路を介した入力ユニットから制御ユニットへのプロセスデータの多重伝送が開示されている。ダイバーシティ伝送は少なくとも伝送経路の入力信号に関してフェールセーフな読取りを確保することが意図されている。この場合、プロセスデータは伝送のために可変の常に変わるキーワードで符号化され、そのためはっきりしたプロセスデータのダイナミクスを生じるため、上位制御ユニットによって入力信号を冗長的に評価することが可能になる。これにより、入力ユニットの完全な冗長設計を省略することが可能になる。しかし、伝送のエラーとは独立して安全なスイッチオフを確保するために、出力側にはフィールドバスを経由しない個別のスイッチオフ経路がいぜん必要である。そのため、少なくとも安全出力を有する出力ユニットには追加のラインがいぜん必要である。
【0011】
特許文献3は、前述の中間ルートを実装する別の可能な方法を開示している。そのため、伝送経路上の制御ユニットと遠隔ユニットとの間のデータの流れを解析して、安全関連の機能を行うよう設計されている追加の安全アナライザが、遠隔入出力ユニットを有するコントローラを保護するために挿入されている。監視することにより、安全アナライザはセンサが取得したデータを読み取ることができると同時に、内部論理ユニットによって前記データを処理することができる。アクチュエータを制御するために、安全アナライザはおそらく制御ユニットからアクチュエータ用に意図されたデータメッセージを上書きし、それ自体のアクチュエータ用の制御データを挿入する。このように、安全アナライザは接続されているアクチュエータを制御することができる。
【0012】
しかし、高安全カテゴリを達成するために安全アナライザを使用するときには、追加スイッチオフ経路も設けられる。この追加スイッチオフ経路は安全アナライザに局所的に配置されている追加安全出力によって設けられる。そのため、安全アナライザは、このために制御データを遠隔出力ユニットと交換しなくても、監視するべき設備を独立してスイッチオフできるように設計されている。これにより出力ユニットを経由する追加スイッチオフ経路を省略することが可能になり、その結果、局所的な安全出力も追加ラインを介して監視するべき設備に接続しなければならないため、ケーブリングの量は減るのでなく、むしろ変動(shift)する。
【0013】
前述した安全アナライザの概念は、例えば、AS−i SAFETY AT WORKにすでに実装されている。ASインターフェース(アクチュエータ/センサインターフェースの場合AS−iと略される)は、パラレルケーブリングを減らす目的で、アクチュエータおよびセンサを接続するように開発されたフィールドバス通信用の規格である。AS−i SAFETY AT WORKを使用して、安全指向のコンポーネントをAS−iネットワークに組み込むことができる。さらに、安全および標準コンポーネントは同じケーブルでパラレル方式で動作し、この場合追加の安全モニタが安全指向のコンポーネントを監視する。安全モニタは安全指向のスイッチオフのために、2チャネルのイネーブル回路を有する。そのため、遠隔出力ユニットを介する安全なスイッチオフは、安全アナライザに追加の局所的な安全出力がなければ、AS−i SAFETY AT WORKではやはり可能ではない。
【先行技術文献】
【特許文献】
【0014】
【特許文献1】独国特許出願公開公報第19742716号明細書
【特許文献2】欧州特許第1620768号明細書
【特許文献3】独国特許第19927635号明細書
【発明の概要】
【発明が解決しようとする課題】
【0015】
以上の背景に照らし、より単純でより費用対効果のよい、追加のケーブリングおよび/または追加の安全指向デバイスがなくても管理可能な、遠隔周辺機器を安全に制御することのできる代替方法を提供することが本発明の目的である。
【課題を解決するための手段】
【0016】
本発明のある態様によると、前記目的は、電気負荷を安全にオフにする方法によって達成され、当該方法は、マルチチャネル制御ユニットと、1チャネルのデータ伝送経路と、第1処理ユニットおよび第2処理ユニットならびに安全出力を有する出力ユニットとを提供するステップと、前記マルチチャネル制御ユニットによって入力信号を受信して、評価し、前記評価に基づいてイネーブル信号を生成するステップと、前記1チャネルのデータ伝送経路を介して前記イネーブル信号を前記出力ユニットに伝送するステップと、前記イネーブル信号を前記第1処理ユニットによって受信して、前記イネーブル信号に基づいて出力信号を生成するステップと、前記第2処理ユニットによって評価するために、前記第1処理ユニットによって前記イネーブル信号の少なくとも一部を提供するステップと、前記イネーブル信号に基づいて、前記第2処理ユニットによって動的クロック信号を生成するステップと、前記出力信号および前記動的クロック信号に基づいて、前記安全出力を制御するステップとを有する。
【0017】
本発明の別の態様によると、前記目的は、入力信号を受信して評価するマルチチャネル制御ユニットと、1チャネルのデータ伝送経路と、第1処理ユニットおよび第2処理ユニットならびに安全出力を有する出力ユニットとを有する電気負荷を安全にオフにする装置によって達成される。前記マルチチャネル制御ユニットは前記1チャネルのデータ伝送経路を介して前記出力ユニットに接続されており、前記マルチチャネル制御ユニットは前記入力信号に基づいてイネーブル信号を生成するように構成されており、前記1チャネルのデータ伝送経路は前記イネーブル信号を前記制御ユニットから前記出力ユニットまで伝送するように構成されており、前記第1処理ユニットは前記イネーブル信号に基づいて出力信号を生成するとともに、前記第2処理ユニットに評価のために前記イネーブル信号を少なくとも部分的に提供するように構成されており、前記第2処理ユニットは前記イネーブル信号に基づいて動的クロック信号を生成し、前記出力ユニットは前記出力信号および前記動的クロック信号に基づいて前記安全出力を制御するように構成されている。
【0018】
本発明の別の態様によると、前記目的は、第1処理ユニットおよび第2処理ユニットと安全出力とを有する出力ユニットによって達成され、前記第1処理ユニットはイネーブル信号に基づいて出力信号を生成するとともに、評価のために前記第2処理ユニットに前記イネーブル信号を少なくとも部分的に提供するように構成されており、前記第2処理ユニットは前記イネーブル信号に基づいて動的クロック信号を生成し、前記出力ユニットは前記出力信号および前記動的クロック信号に基づいて前記安全出力を駆動するようにも構成されている。
【0019】
このように、本発明の概念は、中央制御ユニットから空間的に離れた周辺機器を、同様に遠隔の出力ユニットを介して安全にオフにすることを可能にすることである。この場合、遠隔出力ユニットは1チャネルのデータ伝送経路だけを介してマルチチャネル制御ユニットに接続されている。追加のスイッチオフ経路を実装するために、制御ユニットに追加のスイッチオフ経路または局所的な安全出力を必要とはしないが、それでもなお、原則的には可能である。
【0020】
また、好ましいことに、出力ユニットを完全なマルチチャネル冗長性を有するように設計する必要がない。むしろ、本発明は、安全コントローラによって提供されるイネーブル信号の出力ユニット内での適切な信号処理を可能にする安全なスイッチオフを提案する。このために必要とされるコンポーネントに課される要求は、完全なマルチチャネル冗長性のために設計される出力ユニットの場合よりも低い。そのため、本発明による出力ユニットはより費用対効果よく製造することができる。
【0021】
特に、完全な相互制御を有する完全な2チャネル出力ユニットと比べて、処理ユニット間で広範な調整(consultation)および同期の必要がない。処理ユニットは自らに関係する情報のみを処理するので、2台の処理ユニットにすべての情報を提供する必要がない。さらに、処理ユニット1台のみがデータ伝送経路を介して制御ユニットと通信すれば十分であるのに対し、第2処理ユニットは第1処理ユニットからの関連データを受信する。ハードウェアコンポーネントの要求の低下に加えて、好ましいことにソフトウェア構造も簡略化することができ、そのため低性能の処理ユニットで高性能を実現することも可能になる。
【0022】
好ましいことに、ソフトウェアおよびハードウェアの要求事項が減ったことで、完全な2チャネルソリューションと比べて、本発明による出力ユニットのエネルギ消費量も減少する。エネルギ消費量の減少、またそれに関連して、熱放射の低下は、特に高い国際保護等級、例えばIP67をもたなければならない遠隔出力ユニットにとって非常に重要である。
【0023】
さらに、本発明による方法は、好ましいことに、1チャネルのデータ伝送経路に追加の要求事項を必要としないので、あらゆる共通バスシステムを使用してもよい。このように、既存のシステムを容易に改造または拡張することができる。
【0024】
総体的に、本新規な方法は、冗長ケーブリング、局所的な安全出力を備える追加の安全指向デバイスまたは完全なマルチチャネル冗長性を備える出力ユニットを使用する必要なく、冒頭で述べた高い安全水準の規格に合った安全なスイッチオフを確保することができるので、既存のソリューションと比較してコストを削減することが可能である。
【0025】
そのため、前述の目的は完全に達成される。
【0026】
さらなる改良形態において、前記イネーブル信号は可変コードを含み、前記第2処理ユニットは前記可変コードに基づいて前記動的クロック信号を生成する。
【0027】
このさらなる改良形態によると、可変コードとしての追加の情報項目はイネーブル信号を介して伝送される。好ましくは、可変コードは第2処理ユニットによって検出することのできる少なくとも2つの状態を符号化することができる。可変コードによって示される状態によって、第2処理ユニットは動的クロック信号を生成するように構成されている。このように、好ましいことに、制御ユニットは、第2処理ユニットまたは第1処理ユニットとは独立して、安全出力によってどの状態をアセンブルすべきかを合図(signal)することができる。
【0028】
特に好適な改良形態では、可変コードは指定された順序を有する予め定義されたコードシーケンスの一部である。
【0029】
この改良形態は、イネーブル信号が個々のコードの連続シーケンスで伝送されるという利点を有する。この場合、順序は、例えば、可変コードとともに伝送され、コードが配列されるコードシーケンス内の位置を示す増分カウンタによって、実装することができる。コードシーケンスの中断または順序の変更は第2処理ユニットによって検出することができ、出力の結果は第2処理ユニットによって動的クロック信号を一時停止してオフにされる。このように、安全出力の起動は、追加条件にリンクさせることができる。
【0030】
さらなる改良形態において、第2処理ユニットは可変コードに基づいて所定の期間中、動的クロック信号を提供する。
【0031】
この改良形態によると、動的クロック信号の提供の要求事項はさらに増える。動的クロック信号は、コードが第2処理ユニットに定期的に、つまり、既定の間隔内に到着した場合に限り、第2処理ユニットにより生成される。このように、イネーブル信号は上位制御ユニットによって継続的に確認されなければならない。確認がなければ、動的クロック信号が生成されないため、出力ユニットは安全出力をオフにする。
【0032】
言うまでもなく、前述の特徴およびこれから以下説明する特徴は、それぞれ記載される組み合わせだけではなく、本発明の範囲を逸脱することなく他の組み合わせまたは単独でも使用することができる。
【図面の簡単な説明】
【0033】
【図1】本発明による装置の模式図をブロック図の形式で示す。
【図2】好適な実施形態に係る制御ユニットの模式図を示す。
【図3】好適な実施形態に係る出力ユニットの模式図を示す。
【図4】好適な実施形態に係る、イネーブル信号を伝送するためのコードシーケンスの模式図を示す。
【図5】実施形態に係る接続モジュールの斜視図を示す。
【発明を実施するための形態】
【0034】
本発明の実施形態を図面に図示し、以下の説明でより詳細に説明する。
【0035】
図1において、装置の全体を参照符号10を用いて表す。
【0036】
装置10は制御ユニット12を有し、ここでは例として4台のI/Oユニット14,16,18,20がこれに接続されている。制御ユニットは、例えば、本発明の出願人がPSS(登録商標)の名称で市販しているフェールセーフなPLCである。
【0037】
I/Oユニット14〜20は制御ユニット12から空間的に離れており、1チャネルのデータ伝送経路22を介して後者に接続されている。データ伝送経路22は従来のフィールドバスであってもよい。この明細書において、1チャネルとは、データ伝送経路22自体は信号を安全を最重視する方法で伝送することを可能にする冗長なハードウェアコンポーネント、特に冗長なケーブリングをもたないことを意味する。データ伝送経路22は好ましくは市販されているイーサネット(登録商標)プロトコルに基づいたイーサネット(登録商標)データ接続である。
【0038】
マルチチャネル制御ユニット12と比べ、I/Oユニット14〜20は、実質的に信号を受信および/または出力する、つまりセンサを読み出してアクチュエータを制御するために使用される入力および/または出力を有する単純なユニットである。代表的なアプリケーション向けのセンサの例として、複数の防護扉24、緊急停止スイッチ26および光グリッド28が図示されている。通常監視するべきマシン32への電流の供給を遮断することのできるコンタクタ30は、ここではアクチュエータとして示されている。図1による実施形態によると、入力および出力のために個々のユニットが提供されている。しかし、この単純化した図とは対照的に、I/Oユニット14〜20は入出力混合ユニットであってもよい。
【0039】
I/Oユニット14〜20の入出力状態はプロセスデータと呼ばれる。プロセスデータは好ましくはI/Oユニット14〜20と制御ユニット12との間で周期的に交換される。この実施形態では、制御ユニット12は、例えば、センサ24,26,28から入力ユニット14,18,20を介して受信した入力信号34を評価して、出力ユニット16を介してアクチュエータ30を制御するために対応する出力信号36を提供する。ここに図示する出力ユニット16に加えて、他の実施形態では複数の出力ユニットを1チャネルのデータ伝送経路に接続してもよい。I/Oユニットが配置される順序も同様に単なる例示的なものである。入力信号34は制御ユニット12の出力に割り当てられる。
【0040】
安全を最重視すべきアプリケーションの場合、1チャネルのデータ伝送経路22を介したプロセスデータのエラーのない伝送を確保しなければならない。特に、センサから受信する信号がアクチュエータでの対応する変化になることを確実にするために、紛失、繰り返し、破損、挿入および順序の変更などのエラーを避けなければならない。図1による実施形態では、制御ユニット12およびI/Oユニット14〜20は、データ伝送経路22でエラーがある場合、監視するマシン32も安全にオフにされるように、この目的のために互いに調整される。
【0041】
このために、信号34はI/Oユニット14〜20から制御ユニット12に、例えば、ダイバーシティ多重伝送により、入力側で伝送され、すなわち、好適な実施形態では、データは1回目にプレーンテキストで伝送され、2回目に制御ユニット12によって予め決められた符号化形式で伝送される。この実施形態では制御ユニット12はコーディングを規定するため、データ伝送経路22を介したセンサからの入力信号のフェールセーフな読み込みをこのように可能にすることができる。このように、伝送中の前述のエラーは、少なくとも入力側で制御することができる。ただし、あるいは、1チャネルのデータ伝送経路22を介した入力信号34の読み込みのために、異なる安全形式の伝送を使用することも可能である。
【0042】
本発明のある態様によると、アクチュエータ30は同様にここでは1チャネルのデータ伝送経路22を介してのみ出力側で制御される。このために、制御ユニット12は1つ以上の入力信号34に基づいてデジタル制御コマンド形式のイネーブル信号38を生成し、これは1チャネルのデータ伝送経路を介して出力ユニット16に伝送される。出力ユニット16は、互いに異なる信号処理ステップを行う第1処理ユニットおよび第2処理ユニットを有する。
【0043】
第1処理ユニットはイネーブル信号38のデジタル制御コマンドを論理レベルで処理して、イネーブル信号38に基づいて、コンタクタ30、より一般的にはアクチュエータをオンオフするために使用することのできる出力信号を生成する。いくつかの実施形態では、第1処理ユニットはイネーブル信号38からの制御コマンドの論理処理中に追加の制御コマンド、例えば、装置10の別の制御ユニット(ここでは図示せず)からの追加の制御コマンド、または局所的に生成された制御コマンドを考慮することができる。さらに、第1処理ユニットはイネーブル信号38を第2処理ユニットに提供する。
【0044】
以下より詳細に説明するように、第2処理ユニットは、イネーブル信号38が時間に関して最新である場合、所定の期間中に動的クロック信号を生成する。好ましい実施形態では、第2処理ユニットはイネーブル信号38の制御コマンドの内容を評価するのではなく、データ伝送経路22を介して受信したイネーブル信号38の最新性のみをチェックする。アクチュエータ30が危険な設備をオンにすることができるには、第1処理ユニットからの出力信号および第2処理ユニットからの動的クロック信号の両方が存在しなければならない。そのため、両方の信号が存在する場合にのみ、出力ユニットの安全出力が起動される。2つの独立した出力信号はイネーブル信号から生成されるため、安全スイッチオフに関する前述の伝送エラーを制御することができる。追加のスイッチオフ経路および局所的な安全出力はそれぞれ必要ない。
【0045】
本発明の意味における制御ユニット12、出力ユニット16およびイネーブル信号38の好適な実施形態を、図2、図3および図4を使用して以下より詳細に説明する。この場合、図1による実施形態と同じ参照記号は同じ部品を表す。
【0046】
図2は、制御ユニット12の実施形態を模式的に示す。ここでは、制御ユニット12はマルチチャネルの冗長性をもたせて設計されており、必要な本質フェールセーフ性を確保するために、センサ24,26,28からのすべての入力データを完全に冗長的に処理する。冗長信号処理チャネルは、ここでは単純化して、実質的に同じ処理ステップを行い、接続44を介して結果を交換し、そのため互いに相互に制御する2つのマイクロコントローラ40,42によって表されている。接続44は例えばデュアルポートRAMとして実装してもよいが、他の形で実装してもよい。ある好適な実施形態では、マイクロコントローラ40,42は、ここでは第2マイクロコントローラ42がイタリック体表示で示されるように、異なる設計を有する。異なる設計のため、同一の機能を有する個々の処理チャネルにおける系統的なエラーを排除することができる。
【0047】
制御ユニット12は通信インターフェース46も有し、これを介してマイクロコントローラ40,42はデータ伝送経路22にアクセスすることができる。通信インターフェース46は好ましくは、1チャネルのデータ伝送経路を介してデータを周期的に伝送するために対応するプロトコルを実装しているプロトコルチップである。
【0048】
制御ユニット12は1チャネルのデータ伝送経路22を介して入力信号を継続的に読み込んで、それをマイクロコントローラ40,42を使用してマルチチャネル冗長性で評価するように設計されている。2つのマイクロプロセッサ40,42は評価に基づいてアクチュエータ用の制御コマンドを周期的に生成する。このような制御コマンドは、センサ24,26,28からの入力信号が安全な状態を示す場合、マシン32の危険な動きをスイッチオンするためのイネーブル信号を表してもよい。従来のプロセスデータと同様に、イネーブル信号38は1チャネルのデータ伝送経路を介して出力ユニットに伝送される。ある好適な実施形態では、イネーブル信号は所定数のビットを有するデータワードであり、周期的に再発するように出力ユニット16に伝送される。
【0049】
図2による好適な実施形態では、制御ユニット12は符号化ユニット48も有し、これはその最新性を出力ユニット16によって非常に素早くかつ簡単にチェックできるように、各処理サイクルでイネーブル信号38を操作するように設計されている。例えば、第1ビットシーケンスが第1状態を示し、第1とは異なる第2ビットシーケンスは第2状態を示すことができるであろう。あるいは、または追加で、符号化ユニット48は、例えばデータメッセージに含まれるカウンタを漸増増加することにより、周期的に伝送されるイネーブル信号に既定の順序を与えることができるであろう。イネーブル信号を含む各データメッセージは、以前に伝送されたイネーブル信号を含むデータメッセージとは異なり、既定の順序は個々のイネーブル信号によって決められることが好ましい。図2に図示されるように、符号化ユニット48はソフトウェアまたはハードウェアコンポーネントとして2つのマイクロコントローラのうちの1つに統合することができる。あるいは、符号化は2つのマイクロコントローラまたは個別のコンポーネントによって行うこともできる。
【0050】
図3は、I/Oユニット16に基づく出力ユニット16の好ましい実施形態を示す。まさに制御ユニット12と同じく、ここでの出力ユニットは通信インターフェース46を有し、これを介して第1処理ユニット50はデータ伝送経路22にアクセスすることができる。あるいは、通信インターフェース46は第1処理ユニット50に統合されていてもよい。好適な実施形態では、出力ユニット16内の1つの処理ユニットのみがデータ伝送経路22に直接接続されて、制御ユニット12と通信する。
【0051】
この実施形態では、例えばマイクロコントローラ、ASICまたはFPGAの形態でもよい第1処理ユニット50はイネーブル信号38を周期的に受信して、その内容を評価する。すなわち、第1処理ユニット50はイネーブル信号38に含まれている制御コマンドを論理的に解釈し、それとおそらく追加情報に基づいて、出力52を制御するためのアナログ出力信号36を生成する。好ましいことに、追加情報は設備全体の追加の制御ユニット(ここでは図示せず)からの制御コマンドであってもよい。また、好ましい実施形態では、追加情報は出力ユニット16の領域に局所的に存在するセンサからの入力情報であってもよい。これは、特に、出力ユニット16がセンサからの入力信号の読み込みとアクチュエータの制御の両方を行う入出力混合ユニットである場合に当てはまるであろう。
【0052】
さらに、第1処理ユニット50はここではイネーブル信号38をここでは内部接続56を介して第2処理ユニット58に提供する。内部接続56は、第1処理ユニット50からのデータのみを第2処理ユニット58に伝送する一方向接続である。そのため、好適な実施形態では、第2処理ユニットはデータ伝送経路を介してデータを伝送することはできない。第2処理ユニット58は好ましくは同様にマイクロコントローラ、ASIC、FPGAまたは別の信号処理モジュールであるが、第1処理ユニット50と比べて少ないセット機能を有する。
【0053】
ある好適な実施形態では、1つの入力とCPUと1つの出力とのみを有する最小限のコントローラである。入力は単純なUARTインターフェースであってもよく、これを介して第2処理ユニット58は第1処理ユニット50からのイネーブル信号を受信するのに対し、出力は単純なデジタル出力であってもよく、それを介して動的クロック信号60が提供される。ある特に好適な実施形態では、動的クロック信号60はイネーブル信号38の受信後の限られた既定の期間61中にのみ生成される。第2処理ユニット58がこの既定の期間内に追加の有効なイネーブル信号38を受信しない場合、動的クロック信号は一時停止される。このように、イネーブル信号が制御ユニット12によって継続的に確認されなければならないことが確保される。好適な実施形態では、既定の期間61は、制御ユニット12は入力信号を読み込んで、周期的なイネーブル信号38を生成するサイクルタイムTよりもやや長いが、サイクルタイムTの2倍よりも短い。
【0054】
そのため、第2処理ユニット58はイネーブル信号38の最新性を実質的にチェックする。しかし、好適な実施形態では、イネーブル信号38に含まれる制御コマンドを評価しない。そのため、イネーブル信号38を実質的に論理的に評価し、特にイネーブル信号38に含まれる制御コマンドを論理的に処理する第1処理ユニット50とは独立して動作する。最新の、そのため有効なイネーブル信号が存在する場合、第2処理ユニット58は既定の期間61中に動的クロック信号60を生成する。
【0055】
第2処理ユニット58は好ましくは、イネーブル信号38と一緒に伝送されて、現行のカウンタの状態または周期的に変化する他のデータを含んでもよい制御ユニット12からのメタデータを評価する。この実施形態では、このようにイネーブル信号38が既定の状態を表し、第2処理ユニット58の所定の期待に対応する場合にのみ、イネーブル信号38は有効である。最新の場合にのみ、イネーブル信号38が、ここでは論理AND記号で示されるように、生成されて、コンバータ要素62を介して、第1出力信号36にリンクされる動的クロック信号60である。コンバータ要素62は好ましくは整流器であり、これは動的クロック信号60を使用して、第1処理ユニット50から出力信号63にリンクされる一定のアナログ信号を生成する。
【0056】
第1および第2の処理ユニット50,58からリンク信号を介して安全出力52が起動される。この実施形態では、リンク信号は電源53を安全出力52に接続する2つのスイッチング要素54を制御する。スイッチング要素が閉じると、つまり、第1処理ユニットからの出力信号および第2処理ユニットからの動的クロック信号の両方が存在する場合、安全出力52が付勢されて、接続されているアクチュエータがアクティブになる。図1では、安全出力52が1つだけ示されている。あるいは、複数のパラレル出力もこのように制御することができる。
【0057】
この好適な実施形態では、出力ユニット16は生成された出力信号のフィードバックを提供するようにも設計されている。これは好ましくは第1処理ユニット50のみで行う。実施形態では、第1処理ユニット50の入力は、一方で第1フィードバックライン64を介して安全出力52に接続されており、他方で第2フィードバックライン66を介してコンバータ要素62の出力に接続されている。いくつかの実施形態では、フィードバックされた値は入力信号のように制御ユニット12に伝送される。これらの例示的実施形態では、制御ユニット12はフィードバックされた値を使用して、出力ユニット16内の個々のコンポーネントの機能性をチェックすることができる。このために、制御ユニット12は好ましくは、イネーブル信号38を簡潔に変更または一時停止することによって、周期的なスイッチオフ試験を行う。制御ユニット12はフィードバックされた値を使用して、対応する状態変化が2つのイネーブル経路で起こったか否かを判定する。
【0058】
あるいは、または追加で、第1処理ユニット50はそれ自体がフィードバック信号64,66を評価することができ、特に、それを周期的に伝送されるイネーブル信号38からの各制御コマンドに論理的にリンクすることができる。
【0059】
図4は、周期的に繰り返して伝送されるイネーブル信号38の実施形態を模式的に示す。イネーブル信号38は好ましくは、1つ以上のパケットで出力ユニット16に周期的に伝送されるデータメッセージである。好適な実施形態では、この伝送は他のプロセスデータの伝送とは違わない。周期的な伝送のために、イネーブル信号38はここではデータワードのシーケンスで図示されている。この実施形態では、データワード68は第1部分70と第2部分72とから構成されている。この実施形態では、第1部分70は各データメッセージとともに漸増増加するカウンタの状態を含む。これは、特に第2処理ユニット58の受信機側で容易に再構築されてチェックすることのできる所定の順序を生成する。この実施形態では、第2部分72は出力ユニット16でアクチュエータ向けの制御コマンドを符号化する。ここでは、制御コマンドは第1メッセージでオンであり、第4メッセージでオフである。
【0060】
図5は最後に、入出力ユニット14,16が機能的なアセンブリ74に結合されているI/Oユニットの特に好適な実施形態を示す。入出力ユニットは、ここでは国際保護等級IP67に従う防水性ハウジング76に統合されている。入出力のそれぞれの接続はプラグソケット78を介して送り出されている。データ伝送経路への接続のために追加の接続80,82が設けられている。
【0061】
センサおよびアクチュエータは好ましくはプレハブケーブルを介して機能的アセンブリ74に接続されている。データ伝送経路22は第1バス接続80および第2バス接続82を介して環状にされて、その結果複数の接続モジュール74をデータ伝送経路22に直列接続することができる。機能的アセンブリ74は特に小型であり、国際保護等級IP67であるため、好ましくは制御キャビネット外の領域への設置に適する。例えばLEDの形態の追加インジケータ84は、機能的アセンブリ74の入出力のそれぞれの状態を直接示すことができる。