▶ ピルツ ゲーエムベーハー アンド コー.カーゲーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-01-12
(45)【発行日】2024-01-22
(54)【発明の名称】保護モジュールを有する制御装置
(51)【国際特許分類】
G05B 9/02 20060101AFI20240115BHJP
G05B 19/042 20060101ALI20240115BHJP
【FI】
G05B9/02 A
G05B19/042
【請求項の数】
15
【外国語出願】
(21)【出願番号】P 2021170862
(22)【出願日】2021-10-19
(65)【公開番号】P2022069412
(43)【公開日】2022-05-11
【審査請求日】2021-12-28
(31)【優先権主張番号】10 2020 128 026.2
(32)【優先日】2020-10-23
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】501493037
【氏名又は名称】ピルツ ゲーエムベーハー アンド コー.カーゲー
(74)【代理人】
【識別番号】110002310
【氏名又は名称】弁理士法人あい特許事務所
(72)【発明者】
【氏名】ヴィンフリート グルーバー
【審査官】大古 健一
(56)【参考文献】
【文献】特開2007-312573(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G05B 9/00 - 9/05
G05B 19/04 -19/05
(57)【特許請求の範囲】
【請求項1】
技術設備を制御するためのモジュール構造を有する制御装置(10)であって、前記技術設備の状態を表す入力信号を受信するよう構成された、入力モジュール(14)と、
前記入力信号に基づいて、前記技術設備を制御する出力信号を出力するよう構成された、出力モジュール(16)と、
前記モジュール構造に組み込まれ、かつ、前記入力モジュール(14)および前記出力モジュール(16)の操作を監視するよう、ならびに、前記出力モジュール(16)の前記出力信号を、前記入力モジュール(14)および前記出力モジュール(16)が正常に作動しているときにのみ確認するよう構成された、保護モジュール(100)とを備え、
前記入力モジュール(14)および前記出力モジュール(16)は、前記モジュール構造内に第1の電位群(30)を形成し、
前記保護モジュール(100)は、前記モジュール構造内に第2の電位群(32)を形成し、前記第2の電位群(32)は、前記第1の電位群(30)から独立しており、前記出力信号は前記第1の電位群(30)を用いて供給され、前記出力信号を確認するための信号が前記第2の電位群(32)を用いて供給される、制御装置。
【請求項2】
前記入力モジュール(14)、前記出力モジュール(16)および前記保護モジュール(100)はそれぞれ、前記入力モジュール(14)、前記出力モジュール(16)および前記保護モジュール(100)がそれを介して互いに接続されるバスモジュール部(24)を備えており、前記保護モジュール(100)の前記バスモジュール部は、前記保護モジュール(100)の当該バスモジュール部を、前記保護モジュール(100)の他の構成要素からガルバニック絶縁するよう構成された、分離部(38)を有している、請求項1に記載の制御装置。
【請求項3】
前記入力モジュール(14)および前記出力モジュール(16)は、規定の間隔で前記保護モジュール(100)に状態情報を送信するよう構成されており、前記保護モジュール(100)は、前記状態情報に基づいて前記出力信号を確認するよう構成されている、請求項1または請求項2に記載の制御装置。
【請求項4】
前記第1の電位群(30)は、前記入力モジュール(14)および前記出力モジュール(16)に加えて、前記出力信号を供給することに関係する、1つまたはそれ以上のさらなるモジュールを備えており、前記さらなるモジュールはそれぞれ、前記規定の間隔で前記状態情報を送信するよう構成されており、前記保護モジュール(100)は、すべての関係するモジュールの前記状態情報の受信に依存して、前記出力信号を確認するよう構成されている、請求項3に記載の制御装置。
【請求項5】
前記保護モジュール(100)は、前記第2の電位群(32)を形成する電位に接続されることになる、第1の供給端子(34)を備えている、請求項1~請求項4のいずれか1項に記載の制御装置。
【請求項6】
前記保護モジュール(100)は、前記第1の電位群(30)の前記出力モジュール(16)に前記出力信号を供給するよう構成された、出力モジュール部(42)を備えている、請求項1~請求項5のいずれか1項に記載の制御装置。
【請求項7】
前記保護モジュール(100)は、前記出力モジュール部(42)に給電するさらなる電位に接続されることになる、第2の供給端子を備えており、前記出力モジュール部(42)は、前記保護モジュール(100)からガルバニック絶縁されている、請求項6に記載の制御装置。
【請求項8】
前記保護モジュール(100)は、マルチチャネル冗長設計とされている、請求項1~請求項7のいずれか1項に記載の制御装置。
【請求項9】
当該制御装置は、2つの別体の信号処理チャネルを備える安全コントローラである、請求項1~請求項8のいずれか1項に記載の制御装置。
【請求項10】
当該制御装置は、入力および/または出力モジュールを継続的に試験するよう、かつ、不具合または危険がある場合に安全な停止動作を保証するよう構成されている、請求項1~請求項9のいずれか1項に記載の制御装置。
【請求項11】
モジュール構造を有する制御装置(10)の入力モジュール(14)および出力モジュール(16)の操作を監視するための保護モジュール(100)であって、前記入力モジュール(14)および前記出力モジュール(16)から状態情報を受信するよう構成された、バスモジュール部(24)と、
前記入力モジュール(14)および前記出力モジュール(16)からの前記状態情報を評価するよう構成された、論理モジュール部(22)と、
前記評価に基づいて前記出力モジュール(16)の出力信号を確認するよう構成された、出力モジュール部(20;42)とを備え、
前記入力モジュール(14)および前記出力モジュール(16)は、前記モジュール構造内に第1の電位群(30)を形成し、
前記保護モジュール(100)の少なくとも前記論理モジュール部(22)は、前記モジュール構造内に、前記第1の電位群(30)から独立した第2の電位群(32)を形成している、保護モジュール(100)。
【請求項12】
前記論理モジュール部(22)内の回路を、前記出力モジュール部(42)および/または前記バスモジュール部(24)内の回路から電気的に絶縁するよう構成された、分離部(38;52)をさらに備えている、請求項11に記載の保護モジュール(100)。
【請求項13】
前記出力モジュール部(42)は、外部の周辺電圧を受信するための端子(48)を備えており、前記端子(48)は、前記外部の周辺電圧により、前記出力モジュール(16)の前記出力信号を供給するよう構成されている、請求項11または請求項12に記載の保護モジュール(100)。
【請求項14】
前記論理モジュール部(22)は、前記外部の周辺電圧からの、前記出力モジュール(16)の前記出力信号の供給を停止するよう構成されている、請求項13に記載の保護モジュール(100)。
【請求項15】
技術設備を制御するための方法であって、少なくとも1つの入力モジュール(14)および1つの出力モジュール(16)を備えるモジュール構造を有する制御装置(10)を設けるステップと、
前記入力モジュール(14)を介して入力信号を受信するステップであって、前記入力信号は前記技術設備の状態を表すステップと、
前記出力モジュール(16)を介して出力信号を出力するステップであって、前記出力信号は前記入力信号に基づいて前記技術設備を制御するステップと、
前記モジュール構造に保護モジュール(100)を組み込むステップであって、前記保護モジュールは前記入力モジュール(14)および前記出力モジュール(16)の操作を監視し、前記入力モジュール(14)および前記出力モジュール(16)が正常に作動しているときにのみ前記出力モジュール(16)の前記出力信号を確認するステップと、
前記モジュール構造内に第1の電位群(30)を形成するステップであって、前記第1の電位群(30)は、前記入力モジュール(14)および前記出力モジュール(16)を備えているステップと、
前記モジュール構造内に、前記第1の電位群から独立した第2の電位群(32)を形成するステップとを含み、前記第2の電位群(32)は前記保護モジュール(100)を備えており、前記出力信号は前記第1の電位群(30)を用いて供給され、前記出力信号を確認するための信号が前記第2の電位群(32)を用いて供給される 、方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、モジュール式の制御装置、この制御装置のための保護モジュール、および対応する制御方法に関する。
【背景技術】
【0002】
制御装置は自動化技術の分野で公知である。これらは、機械などの技術設備または処理に対する制御を行う。
【0003】
ハードワイヤードロジックにより開ループおよび閉ループ制御タスクを行うリンクプログラムコントローラ(link-programmed controller)と、自由にプログラム可能で、それゆえに開ループおよび閉ループの制御タスクを行えるプログラマブルロジックコントローラ(PLC)とは、区別される。
【0004】
その柔軟性および適合性により、後者は、処理および自動化技術において、複雑な、または、動的に変化する制御タスクについて、標準となってきた。
【0005】
制御装置は、それぞれが特定のタスクを行う個々の構成要素で構成される単一のユニットである場合、モジュール式と呼ばれる。一般に制御装置は、ヘッドモジュールとも呼ばれる少なくとも1つの中央処理ユニットを備えている。ヘッドモジュールは通常、一連のモジュール中の第1のモジュールを形成し、これはさらに、少なくとも1つの入力モジュールおよび少なくとも1つの出力モジュールを含んでいる。「周辺モジュール」という用語は以下において、区別の必要がない場合、入力モジュールまたは出力モジュールについて使用する。
【0006】
入力モジュールは、技術設備の状態を判定するために、エンコーダまたはセンサに接続される。出力モジュールは、所望の制御タスクに従い、かつ、入力の状態に基づいて、技術設備を制御するために、アクチュエータに接続される出力を提供する。
【0007】
特別な制御装置が、安全コントローラ(フェールセーフ(FS)コントローラも)である。安全コントローラは、通常の制御装置と同じ機能を果たすが、安全関連のタスクも行う点が異なる。安全コントローラは主に、標準的なコントローラと類似するやり方でプログラムすることにより、安全機器(safety)を相互接続できるようにしたいという要望から生まれた。機能に関し、安全コントローラは、標準的なタスク用のコントローラと、わずかに異なるだけである。しかし内部では、安全コントローラは、安全関連の機能のための、追加のハードウェアおよびソフトウェアを有している。
【0008】
簡単に言えば、安全コントローラは、並行するアプリケーションプログラムを動かし、入力/出力の同じ処理画像を使用し、かつ常に互いに同期している、2つの標準的なコントローラからなっている。とりわけ、安全コントローラは、少なくとも2つの別体のチャネル、異なるハードウェアを有する多様な構造、入力および出力の継続的な試験、ユーザデータの継続的な比較、電圧および時間監視、ならびに、不具合または危険の際の安全な停止動作によって規定される。
【0009】
安全コントローラが直面する特別な種類の不具合が、いわゆる共通原因故障(common cause failure)(CCF)、すなわち単一の原因の故障または単一の事象の結果として起きる故障である。共通原因故障は、それらによって、安全関連のサブシステムから冗長性が除かれ、それゆえに安全機能の実行が妨げられる場合に重大となる。ゆえに、基本原理が冗長性をもたらすことにある安全コントローラにとって、共通原因故障の検知および排除は、大いに重要である。
【発明の概要】
【発明が解決しようとする課題】
【0010】
ゆえに、本発明の目的は、共通原因故障から、より良好に保護された制御装置を提供することである。さらに、柔軟に適合できる状態で、共通原因故障から保護された制御装置を提供することである。最後に、共通原因故障ゆえの故障を低減するための、既存の制御機器に容易に後付けできるやり方を規定することである。
【課題を解決するための手段】
【0011】
本発明の1つの局面によれば、技術設備を制御するためのモジュール構造を有する制御装置であって、技術設備の状態を表す入力信号を受信するよう構成された入力モジュールと、入力信号に基づいて、技術設備を制御する出力信号を出力するよう構成された出力モジュールと、モジュール構造に組み込まれ、かつ、入力モジュールおよび出力モジュールの操作性を監視するよう、ならびに、それに応じて出力モジュールの出力信号を確認するよう構成された保護モジュールとを備え、入力モジュールおよび出力モジュールは、モジュール構造内に第1の電位群を形成し、保護モジュールは、モジュール構造内に、第1の電位群から独立した第2の電位群(32)を形成する、制御装置が提供される。
【0012】
本開示のさらに他の局面によれば、モジュール構造を有する制御装置の入力モジュールおよび出力モジュールの操作性を監視するための保護モジュールであって、入力モジュールおよび出力モジュールから状態情報を受信するよう構成されたバスモジュール部と、入力モジュールおよび出力モジュールからの状態情報を評価するよう構成された論理モジュール部と、この評価に基づいて出力モジュールの出力信号を確認するよう構成された出力モジュール部とを備え、入力モジュールおよび出力モジュールは、モジュール構造内に第1の電位群を形成し、保護モジュールの少なくとも論理モジュール部は、モジュール構造内に第2の電位群を形成し、第2の電位群は第1の電位群から独立している、保護モジュールが提供される。
【0013】
本開示のさらなる局面によれば、技術設備を制御する方法であって、
少なくとも1つの入力モジュールおよび1つの出力モジュールを備えるモジュール構造を有する制御装置を設けるステップと、
入力モジュールを介して入力信号を受信するステップであって、入力信号は技術設備の状態を表すステップと、
出力モジュールを介して出力信号を出力するステップであって、出力信号は、入力信号に基づいて前記技術設備を制御するステップと、
モジュール構造に保護モジュールを組み込むステップであって、保護モジュールは、入力モジュールおよび出力モジュールの操作性を監視するステップと、
モジュール構造内に第1の電位群を形成するステップであって、第1の電位群は、入力モジュールおよび出力モジュールを備えているステップと、
保護モジュールを備えるモジュール構造内に、第1の電位群から独立した第2の電位群を形成するステップとを備える制御方法が提供される。
少なくとも1つの入力モジュールおよび1つの出力モジュールを備えるモジュール構造を有する制御装置を設けるステップと、
入力モジュールを介して入力信号を受信するステップであって、入力信号は技術設備の状態を表すステップと、
出力モジュールを介して出力信号を出力するステップであって、出力信号は、入力信号に基づいて前記技術設備を制御するステップと、
モジュール構造に保護モジュールを組み込むステップであって、保護モジュールは、入力モジュールおよび出力モジュールの操作性を監視するステップと、
モジュール構造内に第1の電位群を形成するステップであって、第1の電位群は、入力モジュールおよび出力モジュールを備えているステップと、
保護モジュールを備えるモジュール構造内に、第1の電位群から独立した第2の電位群を形成するステップとを備える制御方法が提供される。
【0014】
これらは、モジュール式の制御装置において、少なくとも1つのモジュールを、それ自体の電位群を他のモジュールの電位群とは別に規定する、保護モジュールとして設けるという着想である。保護モジュールは、他の電位群の1つまたはそれ以上のモジュールの操作性(operability)を、直接または間接的に監視するよう構成されている。「操作性」とはこの明細書において、モジュールが、その適正な作動を行える状態にあることを意味する。
【0015】
この明細書における電位群は、共通の電圧電位を共有する、または、共通の電圧源にアクセスする、モジュールの群により定義される。共通の電圧電位は、共通の作動電圧源であってもよく、または、モジュールへ、もしくはモジュールから供給される、共有された周辺電圧を指していてもよい。この明細書における「共通の」は、同じ電位が異なるモジュールに印加されていること、および、モジュールが同じ電位を使用できることを意味する。この電位群と別の、または、この電位群から独立した電位群は、この電位群から少なくともガルバニック分離された電位群である。異なる電位群に属するモジュールは、第1の電圧電位と異なる電圧電位にアクセスし、第1の電位から独立して作動する。保護モジュールは、その独自の作動電圧源を有していてもよく、または、他の電位群のモジュールと異なる供給源から、周辺電圧を受け取ってもよい。
【0016】
ゆえに、保護モジュール、または、少なくともそのいくつかの部分は、モジュール構造内の他のモジュールから、ガルバニック絶縁されている。同時に、保護モジュールは、それらを監視し、かつ、必要であればそれらに作用するために、他のモジュールと結合されていてもよい。保護モジュールおよび他のモジュールは、通信インタフェースを介して相互接続されていてもよく、通信インタフェースを介して、少なくとも保護モジュールは、検知された状態に応じて他のモジュールにより制御される処理に影響を与えるため、他のモジュールの状態を判定することができる。通信インタフェースは、第1の電位群および第2の電位群の分離を破壊しないような仕方で配置される。換言すれば、第1の電位群および第2の電位群のモジュールは、同じ電位により給電されずに、または、制御用の共通の周辺電圧に頼る必要なしに、ロジックレベルで互いに影響を与えられる。
【0017】
追加の保護モジュールを上述した仕方で有するモジュール構造には、電位群を規定する電位により生じる不具合または不規則性が、他の電位群の保護モジュールの機能に影響を与えないという利点がある。さらには、保護モジュールは、他の電位群の1つの出力モジュールまたは複数の出力モジュールの少なくとも出力信号を確認するよう構成されている。ゆえに、第1の電位群を規定する電位により誘発され、そのためにすべてのモジュールに影響する不具合の場合、保護モジュールは、技術設備への制御効果を持ち続けることができ、それを安全な状態に移行させることができる。例えば、保護モジュールは、出力のスイッチを切り、それにより技術設備を停止させることによって、システムを安全な状態に移行させられる。電位群の規定の電位まで遡って追跡できる、例えば電力供給不良(defective power supply)または過電圧により引き起こされたエラーを、このようにして制御できる。ゆえに、提案された手法で、共通原因エラーの別の原因を効果的に取り除くことができる。
【0018】
保護モジュールは、他のあらゆるモジュール同様、制御装置のモジュール構造へと組み込まれている。ゆえに、制御装置自体への変更は必要でない。そのため、追加の保護機能をコスト効率良く、かつ能率的に実施できる。さらには、既存のモジュール式の制御装置は、共通原因の不具合(common cause fault)に対する追加の保護から、容易にメリットを得られる。ゆえに、保護モジュールは、新規な制御装置の保護の範囲を拡大するだけでなく、この機能により、旧式の制御装置を補足するよう機能する。くわえて、保護モジュールは、モジュール構造への、そのシームレスな組み込みゆえに、柔軟に、かつ、異なる用途のために使用できる。
【0019】
さらなる改良形態では、第1の電位群は出力信号を供給してもよく、第2の電位群は、出力信号を承認するためのイネーブル信号を供給してもよい。
【0020】
ゆえに、出力信号、および、それを確認する信号(イネーブル信号)は、異なる電位群から生じる。それゆえ、電位群の1つにおける不具合が、制御不能につながることはない。これは、冗長信号が、別の電位群から供給されるからである。
【0021】
さらなる改良形態では、入力モジュール、出力モジュールおよび保護モジュールはそれぞれ、入力モジュール、出力モジュールおよび保護モジュールがそれを介して互いに接続されるバスモジュール部を備えていてもよく、保護モジュールのバスモジュール部は、保護モジュールの当該バスモジュール部を、保護モジュールのさらなる構成要素からガルバニック絶縁するよう構成された、ガルバニック分離部を有している。
【0022】
保護モジュールに関し、この改良形態は、バスモジュール部への移行において、保護モジュール内でガルバニック絶縁が起きることを意味する。バスモジュール部は、それを介してモジュール構造の他のモジュールとの通信を実現でき、それゆえに、保護モジュールの電位群と異なる第1の電位群に割り当てられている。この改良形態により、制御装置が、モジュール間の通信リンクを提供するすべてのモジュールに共通のバックプレーンを有する場合であっても、保護モジュールを既存の制御装置に容易に組み込むことができる。ゆえに、ガルバニック絶縁は、保護モジュールで起こり、かつ、制御装置の残部に対して透過的である。
【0023】
さらなる改良形態では、入力モジュールおよび出力モジュールは、規定の間隔で保護モジュールに状態情報を送信するよう構成されていてもよく、その際、保護モジュールは、送信された状態情報に応じて出力信号を確認するよう構成されている。
【0024】
ゆえに、この改良形態では、保護モジュールは、「監視機構(watchdog)」の原理に従って作動できる。保護モジュールが、入力または出力モジュールの生命の兆候(sign of life)として、「ハートビート信号」を受信した場合にのみ、保護モジュールは出力信号を確認し、それにより技術設備の運転を可能にする。このような監視機構原理は、入力および出力モジュールのハードウェア適用なしに、容易に実施される。
【0025】
さらなる改良形態では、第1の電位群は、入力モジュールおよび出力モジュールに加えて、出力信号の供給に関係し、かつ、それぞれが規定の間隔で信号を送信するよう構成された、1つまたはそれ以上のさらなるモジュールを備えていてもよく、保護モジュールは、すべての関係するモジュールからの信号の受信に依存して、出力信号を確認するよう構成されている。
【0026】
ゆえに、保護モジュールは、複数のモジュールを監視できる。とりわけ、保護モジュールは、中央処理ユニットを備えるヘッドモジュールをも監視できる。電位群中の多数のモジュールに関し、共通原因不具合に対する追加の保護を実施するのに必要なのは、単一の保護モジュールのみである。このようにして、非常に能率的な仕方で、実施が可能となる。
【0027】
さらなる改良形態では、保護モジュールは、第2の電位群を形成する電位に接続されることになる、第1の供給端子を含んでいてもよい。
【0028】
ゆえに、保護モジュールは、それを介して保護モジュールが第2の電位群を規定する電位を受信する電力供給源に結合するための、適切な接続を備えていてもよい。このようにして、保護モジュールは、制御装置の残部から独立した供給接続部を持つことができる。これは例えば、自動化技術で一般に使用される24V接続であってもよい。第2の電位群を規定する電位は事実上、第1の電位群を規定する電位と同一であってもよい。
【0029】
さらなる改良形態では、保護モジュールは、第1の電位群の出力モジュールに出力信号を供給するよう構成された、出力モジュールを備えていてもよい。
【0030】
この改良形態によれば、保護モジュールは、出力信号を供給するための電位を供給することにより、出力モジュールに直接影響を与えてもよい。出力信号をそれ自体の別の信号を介して確認する代わりに、この場合、保護モジュールが出力モジュールに電位を供給するかしないかによって、確認が行われる。とりわけ、これにより、周辺機器への制御装置のケーブル敷設が簡略化される。これは、出力モジュールを、変更せずに周辺機器に接続できるからである。出力モジュールおよび保護モジュールの個々の信号を組み合わせる必要はない。
【0031】
さらなる改良形態では、保護モジュールは、この目的のために、出力モジュール部に給電する第2の供給端子を有していてもよく、出力モジュール部は、保護モジュールから電気的に絶縁されている。ゆえに、出力モジュールに給電するために、出力モジュール部は、別の電力供給端子を有していてもよい。このようにして、第1の端子が保護モジュールの論理モジュール部に供給し、第2の端子が出力モジュール部に供給する。出力モジュール部および論理モジュール部は、互いにガルバニック絶縁されている。同時に、論理モジュール部および出力モジュール部は、論理モジュール部が出力モジュール部を制御できるよう、結合されてモジュールに組み込まれている。論理モジュール部は、出力モジュール部を介して、保護モジュールの出力モジュール部に結合された出力モジュールへの電位の供給の、スイッチを入れる、または切るよう構成されている。
【0032】
別の改良形態では、保護モジュールは、マルチチャネル冗長設計とされている。
【0033】
ゆえに、安全(周辺)モジュールと共通して、保護モジュールは、それ自体の作動を監視するために、冗長設計の論理モジュール部を有していてもよい。このようにして、保護モジュールは、高い安全区分の要求を満たすことができ、モジュール内の不具合を制御可能にできる。
【0034】
上記特徴および以下に説明する特徴を、各場合に示唆した組み合わせにおいてだけでなく、他の組み合わせ、または単独でも、本発明の範囲を逸脱することなく使用できることが理解される。
【0035】
本発明の実施の形態の例を図面に示し、かつ、以下の記述において、より詳細に説明する。
【図面の簡単な説明】
【0036】
【図1】発明の第1の実施の形態にかかる保護モジュールを有する制御装置を示す模式図である。
【図2】保護モジュールを有する制御装置を備える技術設備を制御するための制御方法を示す模式図である。
【図3】第2の実施の形態にかかる保護モジュールの機能を果たす電力供給モジュールを有する制御装置を示す模式図である。
【図4】第1の実施の形態にかかる制御装置用の保護モジュールを示す模式図である。
【図5】第2の実施の形態にかかる制御装置用の電力供給モジュールの形態の保護モジュールを示す模式図である。
【発明を実施するための形態】
【0037】
図1は、本発明の第1の実施の形態にかかる保護モジュールを有する制御装置の模式図を示している。制御装置は全体が、参照番号10で示されている。
【0038】
制御装置10はモジュール構造を有している。本実施の形態では、制御装置は、4つの個別のモジュールを有している。第1のモジュールはヘッドモジュール12であり、第2のモジュールは入力モジュール14であり、第3のモジュールは出力モジュール16であり、第4のモジュールは保護モジュール100である。
【0039】
モジュールはそれぞれ、ハウジング(18a~18d)に収容されて組み合わされ、制御装置10を形成していてもよい。モジュールが配置される順序は、無関係であり、モジュールをここに示す順序で配置する必要はない。しかし、別の実施の形態で、互いに隣り合って配置されるモジュールの順序が、それぞれのモジュールの役割を規定する上で重要であることも考えられる。
【0040】
くわえて、モジュールの数は、ここに示す4つのモジュールに限定されない。制御装置10は、通常の単一のヘッダーモジュールに加えて、複数の他の入力モジュールおよび出力モジュール(周辺モジュール)を含んでいてもよい。ここに示す入力および出力でない他の機能を有するさらなるモジュールも考えられる。これらの他のモジュールは、同等の仕方で、保護モジュールから制御を受けられる。モジュール式であるものの、制御装置10は単一のユニットを形成している。
【0041】
制御装置の各モジュールは、それら自体もモジュール式であってもよい。個々のモジュールのモジュール構造を、以下において垂直モジュール性(vertical modularity)と呼び、個々のモジュールからなる制御装置のモジュール構造を、水平モジュール性(horizontal modularity)と呼ぶ。
【0042】
モジュールは、単一のモジュールに統合された、入力/出力モジュール部20、論理モジュール部22およびバスモジュール部24を含んでいてもよい。
【0043】
モジュールの入力/出力モジュール部20は、周辺機器に対して物理インターフェースを実現して、入力物の処理画像(PII)を取得し、かつ、出力物の処理画像(PIO)に対する出力を設定する。入力/出力モジュール部は、一方でセンサおよびエンコーダからの入力信号を受信するため、他方でアクチュエータに出力信号を供給するために、センサおよびアクチュエータを接続するための複数の端末を備えている。入力および出力は、ここに二重矢印(double arrow)で示すように、冗長であってもよい。
【0044】
モジュールの論理モジュール部22は、モジュールの核を形成している。このモジュール部では、実際の信号処理(ロジック)が、対応する信号処理装置26によって起きる。処理には、検知した状態の評価、および、評価に応じて実行されることになる反応の判定が含まれる。信号処理はマイクロコントローラ(μC)により行うことができるが、それに限定されず、CPU、GPU、ASICなどの他の信号処理装置が同等に考えられる。エラー防止および/または検知に関し、ここに各モジュール向けの添字aおよびbにより示すように、モジュールは、2つまたはそれ以上の信号処理装置26a,bを含んでいてもよい。
【0045】
信号処理装置26は、入力信号および出力信号を並行して処理または生成してもよく、かつ、互いに同調しおよび監視してもよい。これは、マルチチャネル冗長設計とも呼ばれる。個々のモジュールのマルチチャネル冗長設計は、フェールセーフな設備を提供するための公知の設計である。
【0046】
バスモジュール部24は、他のモジュールに対する通信インタフェースを形成する。モジュールの信号処理装置26への通信リンクに加えて、バスモジュール部24は、隣接するモジュールの隣接するバスモジュール部への、それぞれの交差接続を含んでいる。このようにして、バスモジュール部24は、並んで接続されているが、それを通じて制御装置のモジュールが互いに通信できる通信バスを形成する。入力モジュール14、出力モジュール16および保護モジュール100の信号処理装置26は、バスを介してデータを交換できる。同様に、ヘッドモジュール12は、バスを介して、他のモジュールとデータを交換してもよい。
【0047】
バスモジュール部24はここでそれぞれ、個々のモジュールのモジュール部として形成されている。しかし、バスモジュール部24が、ヘッドモジュールに結合され、かつ個々のモジュールを差し込める、単一のバックプレーンとして形成されることも考えられる。
【0048】
保護モジュール100は、周辺モジュールに対して類似の構造を有しており、それゆえに、他の周辺モジュールのように、制御装置のモジュール構造へと組み込むことができる。保護モジュール100は、周辺モジュールと同様に、少なくとも1つの論理モジュール部22と、バスモジュール部24とを有している。さらに、さまざまな実施の形態において、保護モジュール100は、入力/出力モジュール部20を有していてもよい。
【0049】
保護モジュール100の信号処理装置26は、周辺モジュール14、16およびヘッドモジュール12と、データおよび信号を交換する。以下に説明するように、保護モジュール100は、周辺モジュール14、16およびヘッドモジュール12の適切な作動を監視する。
【0050】
周辺モジュール14、16およびヘッドモジュール12の適切な作動時に、保護モジュール100は、出力モジュールの出力信号を確認する。この目的のために、保護モジュール100は、論理モジュール部の信号処理に応じて追加の出力信号を供給する、専用の出力モジュール部を含んでいてもよい。次いで、制御装置の出力モジュールの出力信号の確認を、これらの出力信号の「AND」演算によって行ってもよく、その結果、保護モジュールの出力信号および確認すべき出力信号が「AND」演算に存在する場合にのみ、リンクされた出力信号28が生成される。これは、出力信号を確認する1つのやり方に過ぎないと理解される。
【0051】
制御装置10は、2つの電位群(potential group)を備えている。ここで、第1の電位群30は、ヘッドモジュール12、入力モジュール14および出力モジュール16を含んでいる。第2の電位群32は、保護モジュール100の論理モジュール部および出力モジュール部を含んでいる。図1において、第2の電位群32は、斜線部により強調表示されている。
【0052】
第1の供給電圧端子34が、第1の電位群30に給電し、例えばヘッドモジュールに配置される。第2の供給端子36が、第2の電位群32に給電し、保護モジュール100に配置される。電位群30、32の関連する電位は、同一電位であってもよく、ここに示すように、例えば24Vであってもよい。さらには、電位群30、32は互いに独立しており、制御装置内で互いにガルバニック絶縁されている。少なくとも保護モジュールの出力信号が、監視すべきモジュールの出力信号と異なる電位群から給電されている限り、電位群30、32の分離は、ここに示す分離に限定されないと理解される。
【0053】
保護モジュールを独立したモジュールとして形成することにより、電位群30、32の分離を容易に実現できる。保護モジュールは、他のモジュールと通信できるだけでよい。分離部38との、対応する通信インターフェースにより、電位群のガルバニック絶縁を無くすことなく、これが可能となる。通信インターフェースの分離部38は、例えば2つの電気的に絶縁された回路の間で信号伝送を可能にするオプトカプラにより、実施されてもよい。オプトカプラは通常、光送信器として発光ダイオード(LED)または半導体レーザ(LD)により、かつ、光受信器としてフォトダイオードまたはフォトトランジスタにより形成されている。
【0054】
図1に示す実施の形態では、通信インターフェースの分離部38は、論理モジュール部22とバスモジュール部24との間に配置されている。分離部38の他の配置も考えられると理解される。別の実施の形態では、分離部38は、例えばバスモジュール部24に組み込まれていてもよく、その際、交差接続のそれぞれはガルバニック絶縁を含んでいる。
【0055】
【0056】
この制御方法は、第1のステップ(S1)において、本発明の実施の形態に係るモジュール構造を有する制御装置を設けることを含んでいる。制御装置は、少なくとも1つの入力モジュールと、1つの出力モジュールとを備えている。
【0057】
入力モジュールを介して、制御装置は、技術設備の状態を表す、少なくとも1つの入力信号を受信する(S2)。入力信号は、安全センサ(例えば、光バリアまたは緊急停止スイッチ)からの信号であってもよい。入力信号の総体が、入力物(PII)の処理画像となり、そのようにして技術設備の状態を反映する。
【0058】
出力モジュールを介して、制御装置は、アクチュエータを制御するための少なくとも1つの出力信号を出力する(S3)。出力信号の総体が、出力物の処理画像(PIO)により判定される。例えば、アクチュエータは、技術設備の電力供給源における接触器であってもよく、接触器は、出力信号が存在する場合に、技術設備の電力供給を解除するのみである。技術設備を停止させることは、技術設備を安全な状態に移行させる一つのやり方に過ぎないと理解される。別の実施の形態では、出力信号は、技術設備自体を電源遮断することなく、安全な位置へと技術設備を移動させる、別の制御機能を起動させてもよい。
【0059】
さらには、この方法は、保護モジュールを、制御装置のモジュール構造へと組み込むステップ(S4)を含んでいる。保護モジュールは、周辺モジュール(すなわち、入力モジュールおよび出力モジュール)の少なくとも操作性を監視するよう構成されている。別の実施の形態では、保護モジュールは、他のモジュール(例えばヘッドモジュール)をも監視してもよい。監視処理の詳細については、より詳細に以下に説明する。
【0060】
本方法の最後のステップ(S5、S6)は、モジュール構造内の規定の電位群の形成を含んでいる。別個の電位群により、保護モジュールによるモジュールの独立した監視が可能となっており、その結果、特定のモジュールの電力供給における不具合が、同じ仕方で他のモジュールに影響することはあり得ない。
【0061】
ステップ(S5)で、少なくとも周辺モジュールを備える第1の電位群が形成される。第1の電位群は、例えば、供給電圧をモジュールの供給端子に印加することにより、規定される。
【0062】
ステップ(S6)で、保護モジュールを備える第2の電位群が形成される。第2の電位群は、制御装置のモジュール構造内の第1の電位群から独立している。ゆえに、保護モジュールは、監視を行うため、および、出力信号の確認を行うために、他のモジュールからガルバニック絶縁された、少なくとも1つの回路を有している。保護モジュールは、第2の電位群を形成するために、さらなる供給端子を介して供給電源に結合されていてもよい。
【0063】
保護モジュールの監視処理の例を、以下に説明する。この例によれば、保護モジュールは、「監視機構(watchdog)」の原理に従って作動する。この原理によれば、監視されるべきモジュールは、モジュールの操作性を示すために、規定の間隔で継続的に信号を発する。このような信号は、「ハートビート」信号とも呼ばれる。
【0064】
保護モジュールが予想通りにハートビート信号を受信した場合にのみ、保護モジュールは、制御装置の出力に合意する。例えば、保護モジュールの出力信号と制御装置の出力との「AND」演算により、有効化(enabling)を行うことができ、その結果、制御装置および保護モジュール両方の出力信号すべてが存在する場合にのみ、演算が許可される。保護モジュールがハートビート信号を受信しない場合、制御装置の出力を確認することはない。そのため、技術設備は安全な状態に移行され、または、技術設備はそのような状態に留まる。これは、例えば、技術設備の電力供給において接触器を駆動する制御装置の出力により実現できる。接触器は、制御装置の出力信号の存在下で、技術設備を捕捉し、かつ、技術設備に電力を供給するのみである。他方、出力信号がないために接触器が脱落すると、技術設備は電源遮断され、それゆえに、人間にとってもはや危険でなくなる。
【0065】
説明した処理は、技術設備の安全な状態をどのように実現できるかについての一例に過ぎないと理解される。安全な状態を出力信号の助けによりどのように確立できるかについて、安全工学の分野から、さらなる手続きが公知である。ここで提案した制御装置は、特定の手続きに限定されない。
【0066】
同様に、監視機構の原理は、モジュールを監視する1つのやり方に過ぎない。個々の周辺モジュールの直接の監視に加えて、例えば間接的な監視も実施できる。間接的な監視の場合、1つのモジュール(例えば、制御装置のヘッドモジュール)のみが、他のモジュールを代表して、上記原理に従って監視される。
例えば、ヘッドモジュールが、関連する他のモジュールを監視し、かつ、不具合の場合に出力のスイッチを切るよう構成される場合、周辺モジュールの間接的な監視を可能にするために、ヘッドモジュールのみを監視すれば十分であろう。
例えば、ヘッドモジュールが、関連する他のモジュールを監視し、かつ、不具合の場合に出力のスイッチを切るよう構成される場合、周辺モジュールの間接的な監視を可能にするために、ヘッドモジュールのみを監視すれば十分であろう。
【0067】
さらには、別の実施の形態では、保護モジュールも、制御装置の他のモジュールに、それ自体の操作性を示すために、ハートビート信号を発するよう構成されていてもよい。例えば、保護モジュールは、制御装置のヘッドモジュールにハートビート信号を送信してもよく、ヘッドモジュールは、予想通りハートビート信号を受信しなかった場合に、出力が止められるようにする。このようにして、他のモジュールは保護モジュールを監視し、保護モジュールの電位群に不具合が起きた場合に、安全な状態が想定されるようにする。したがって、制御装置のモジュールおよび保護モジュールは、互いを監視することができ、それによって、制御装置のモジュールおよび保護モジュールが別個の電位群に属しているという事実により、より良好に共通原因故障を検知できる。
【0068】
保護モジュールによる確認を、上述したやり方により実現できる。換言すれば、保護モジュールは、それ自体の出力モジュール部を有していて、他のモジュールの監視に応じ、それ自体の出力信号を供給する。保護モジュールの出力信号は、制御装置の実際の出力信号にリンクさせることができる。別の実施の形態を、図3を参照しながら以下に説明する。
【0069】
【0070】
図1に係る実施の形態と同様に、図3に係る実施の形態は、ヘッドモジュール12、入力モジュール14および出力モジュール16を有する制御装置10を備えている。モジュールは、図1を参照して先に説明した仕方で作動し、かつ互いに通信する。同様に、モジュールは、モジュール構造内で組み合わされて、上述した仕方で第1の電位群を形成する。ヘッドモジュール12、入力モジュール14および出力モジュール16は、第1の供給電圧端子34により給電される。
【0071】
図1の実施の形態と異なり、図3の実施の形態に係る制御装置10は、追加の電力供給モジュール40を有している。電力供給モジュール40は、外部の周辺電圧を受信するよう、かつ、出力信号を供給するためにそれを周辺モジュールに利用可能とするよう、構成されている。このように、制御装置の出力モジュール16は、その出力信号を、制御装置の電圧供給に依存する必要なしに、外部の周辺電圧から供給できる。電力供給モジュールの助けにより、制御装置を容易に調整できる。これは、出力の数が、制御装置自体の電力供給によって制限されないからである。
【0072】
電力供給モジュール40は、外部の周辺電圧を受信し、かつ他のモジュールに渡すよう構成された、入力/出力モジュール部42を含んでいる。転送は、別個の配線により実現されてもよく、または、隣接するモジュールの入力/出力モジュール部への、入力/出力モジュール部42の特別な結合により実現されてもよい。ここでは外部の周辺電圧の転送を、矢印44により模式的に示している。
【0073】
入力/出力モジュール部42はさらに、転送のスイッチを入れる、または切ることができるよう構成されている。例えば、入力/出力モジュール部42は、外部の周辺電圧の入力端子48と、隣接するモジュールへの出力端子50との間に、スイッチング素子46を有していてもよい。ここに示すように、スイッチング素子46は冗長に設けられていてもよい。
【0074】
スイッチング素子46は、電力供給モジュール40の論理モジュール部22により始動させられてもよい。換言すれば、電力供給モジュール40の論理モジュール部22は、外部の周辺電圧の転送のスイッチを入れる、または切るよう構成されていてもよい。論理モジュール部22が転送を許可した場合にのみ、出力モジュールは、外部の周辺電圧からのその出力信号を供給できる。ゆえに、転送を制御することにより、論理モジュール部22は、従属する出力モジュールの出力信号を容易に確認できる。
【0075】
図3に示す実施の形態によれば、電力供給モジュール40は、他のモジュールとは異なる電位群に論理モジュール部22が割り当てられるように構成されている。この目的のために、第2の供給端子36が、論理モジュール部22にのみ電力を供給するために、かつ、追加の絶縁手段52が、論理モジュール部22を他のモジュール部およびモジュールから絶縁するために、設けられていてもよい。このようにして、第2の電位群32が論理モジュール部22の周りに形成されており、第1の電位群30から独立している。
【0076】
論理モジュール部22はさらに、図1に示す保護モジュール100の論理モジュール部22と同じ機能を果たしてもよい。ゆえに、電力供給モジュール42は、出力の確認が外部の周辺電圧の制御された転送を介して行われている状態で、上述した監視作動の1つを行うことができる。換言すれば、図3に示す実施の形態によれば、電力供給モジュール40は、それ自体の電位群を設けることにより、保護モジュールのタスクを行うよう、拡張することができる。このようにして、電力供給モジュールおよび保護モジュールが1つのモジュールに統合され、それは、制御装置をより小さく、かつ、より簡略にできることを意味する。同時に、共通原因不具合に対する効率の良い保護が可能となる。
【0077】
【0078】
【0079】
ここで、保護モジュール100は、モジュール構成の他のモジュールを監視するための、独立型の保護モジュールとされている。図示した実施の形態では、保護モジュールは、独立した構成要素として形成されていてもよく、かつ、保護モジュールを形成するために組み立てられていてもよい、3つのモジュール部を備えている。この明細書における独立型の構成要素とは、保護モジュール専用ではなく、他のモジュールと共に使用できるもののことである。
【0080】
第1のモジュール部は、通信インターフェース54を含むバスモジュール部24である。通信インターフェース54は、バスモジュール部が、監視されるべきモジュールと通信すること、および、監視されるべきモジュールからの信号を受信することを可能にする。
【0081】
第2のモジュール部は、信号処理装置26を有する論理モジュール部22である。信号処理装置26は、監視されるべきモジュールから受信した信号を評価し、かつ、モジュールの適切な作動を検証する。評価は、互いに同期および監視する、2つの別体の信号処理ユニット56により、冗長に行われてもよい。
【0082】
第3のモジュール部は、出力モジュール部42である。出力モジュール部42を介し、保護モジュールは、受信した信号に応答して、出力信号を供給してもよい。保護モジュールの出力信号は、監視されるべき制御装置の出力モジュールの1つまたはそれ以上の出力信号を確認するために使用される。出力信号はイネーブル信号58であってもよい。イネーブル信号58は、制御装置により制御される技術設備の作動を有効にするために、制御装置の実際の出力信号に加えて、存在しなければならない。
【0083】
保護モジュールは、モジュールが組み込まれた制御装置内に、独立した電位群32を形成する。この明細書において、「独立した」とは、電位群32が、制御装置の他のモジュールが給電される電位群と、別体とされ独立していることを意味する。これは、監視および有効化を担う保護モジュール内の少なくとも1つの回路が、他のモジュールの回路からガルバニック絶縁されていることを意味する。分離は、分離部38により実現できる。電位群を生成するために、保護モジュールは供給端子34を有していてもよく、供給端子34を通じて、保護モジュール100は、電位群32を規定する電位を受信する。
【0084】
図5は、制御装置用の電力供給モジュールの形態とされた保護モジュールの第2の実施の形態を模式的に示している。
【0085】
図5に係る保護モジュールは、図4に係る保護モジュールと同じ作動原理に基づいており、3つのモジュール部に分かれている。バスモジュール部24および論理モジュール部22は、図4に示す保護モジュールの対応するモジュール部と同一であるが、図5に示す保護モジュール100は、出力モジュール部42が異なっている。
【0086】
出力モジュール部42はここで、電位を受信するための端子48、および、隣接するモジュールに電位を渡すための端子50を含んでいる。ゆえに、隣接するモジュールは、電位入力により供給される出力信号を、出力モジュール部42に供給してもよい。くわえて、出力モジュール部42は、端子48および端子50を接続および接続解除するために、端子48と端子50との間にスイッチング素子46を含んでいる。スイッチング素子46は、保護モジュール100が、投入された電位の転送を防ぐよう構成されるように、論理モジュール部22により制御されてもよい。このようにして、保護モジュールは、投入された電位を使用してその出力信号を供給するこのモジュールの出力信号を確認できる。
【0087】
【0088】
【図1】
【図2】
【図3】
【図4】
【図5】