安全控制器的制作方法

专利名称：安全控制器的制作方法
技术领域：
本发明涉及一种适于构成工厂内的安全系统(作业安全系统)的安全控制器，尤其是涉及一种在各种安全开关与构成危险源的生产设备等之间、执行避免作业人员等暴露于危险下的状况用的控制的安全控制器。
背景技术：
为了构成工厂内的安全系统，采用各种安全控制器。这种安全控制器的基本功能是在各种安全开关(例如非常停止开关、双手操作开关、垫子(mat)开关、安全限位开关、光幕(light curtain)、电磁锁定式安全门锁开关等)与构成危险源的生产设备(机器手、工作机械、输送机等)之间，执行判断作业人员暴露于危险下的状况并使该生产设备停止等控制。
作为现有的安全控制器，已知有安全PLC(可编程控制器ProgrammableLogic Controller)与安全继电器组。所谓安全PLC是指相对于通常的PLC，通过双重化硬件和软件，或者附加故障诊断功能等来提高动作可靠性。所谓安全继电器组是指内置介于安全开关与生产设备之间的专用安全继电器的单元设备。另外，以前已知通过自动识别所连接的安全开关的种类来自动切换到对应的动作程序、能够以1台来适用于多种安全开关的安全继电器组(例如参照专利文献1)。
专利文献1特表2001-521669号公报。
但是，因为上述安全PLC基本上是PLC，所以对于规定来自安全开关的输入信号与至危险源的输出信号的关系的动作程序而言，必须在作为用户的销售商或最终用户侧进行编程，非常麻烦，还容易生成编程错误。此外，当组装到向要求严格的安全标准的欧洲等出口的设备上时，在向安全PLC的动作程序组装完成的时刻，每次都必须接受是否满足安全标准的认定，所以不胜其烦。并且，在安全开关由于生产线中的设备增设等而增加进而必须追加动作程序的情况下，必须对该追加动作程序也重新接受安全标准的认定，产生与上述一样的问题。
另一方面，因为在安全继电器组中，就规定来自安全开关的输入信号与至危险源的输出信号的关系的动作而言，被固定成硬件式或软件式，所以若在出厂时等必须接受安全标准的认定，则在实际向安全系统组装完成时不必重复接受认定。可是，由于对不同的安全开关的种类需要专用的单元，所以为了应对包含各种安全开关的安全系统，必须按每种开关购入专用的安全继电器组，订购麻烦，在库管理也费周折，导致成本上升。另外，在增设生产线中的设备等时，也必须每次都购入对应于新追加的安全开关的继电器组，导致成本上升。
另外，在专利文献1中记载的能够以1台来适用于各种安全开关的CPU内置型安全继电器组中，因为仅能适用于1个安全开关，所以为了应对包含多个安全开关的安全系统，分别需要内置CPU的多台安全继电器组，导致成本显著上升。

发明内容
本发明鉴于上述问题而作出，其目的在于提供一种安全控制器，只要是事先预定的多种安全开关的其中之一，则无论对哪种的安全开关都可通过简单的操作来设定需要的动作程序，并且即使在向欧洲等出口时，也不必在每次组装到安全系统时都必须接受安全标准认定。
本发明的另一目的在于提供一种扩展性高的安全控制器，除上述外，在构成包含多个安全开关的安全系统的情况下，或在已设的安全系统中增设安全开关的情况等下，能够以低成本来实现。
本发明的其它目的或作用效果可通过参照下面的说明书的描述，只要是本领域的技术人员都可容易理解。
本发明的安全控制器具有基本模块、1个或2个以上的扩展模块、和总线连接这些模块的附有扩展用槽的主板。
在作为所述扩展模块的其中之一的输入扩展模块中，包含可连接1个或2个以上的安全开关的1个或2个以上的外部输入端子部；和从1个或2个以上的外部输入端子部取入安全输入信号的输入电路。这里，所谓安全开关是指用于检测人接近作为危险源的装置或设备的状态等或用于使设备停止的开关或传感器，具体而言，安全垫子开关(mat switch)、非常停止开关、双手操作开关、带型(テ一プ)开关、光幕等相当于此。这些安全开关具备失效保护功能或故障诊断功能等，通过实施硬件或软件的多重化，提高安全性及可靠性。这些安全开关的端子数或端子排列按种类来区分。因此，准备数量只要将预定种类的安全开关的某个连接于1个外部输入端子部上即可的外部端子。另外，输入电路中还包含如下电路结构，即使连接预定的任一种安全开关，都可向各外部端子送出或取入期望的信号。
在作为所述扩展模块的其中之一的输出扩展模块中，包含可与危险源的输出控制系统连接的外部输出端子部；和向外部输出端子部送出安全输出信号的输出电路。这里，所谓危险源的输出控制系统例如是指使作为危险源的机器手、工作机械、输送机等的驱动源开闭的电磁开关(magnet contactor电磁接触器)的控制电路等。连接到外部输出端子部的设备或元件不限于1个。因此，对外部输出端子部准备与假定的输出控制系统对应所必须的数量的外部输出端子。作为构成输出电路的输出元件，不限于电磁继电器，也可采用内置半导体开关元件的螺线管状态继电器(SSR)等。对应于外部输出端子的数量来适当决定这些输出元件的个数。
在所述基本模块中，包含动作程序存储部件，针对预定的安全开关的各个种类，分别存储有规定安全输入信号的状态和安全输出信号的状态的关系的安全动作程序；开关种类设定部件，用于设定外部输入端子部和应连接于该外部输入端子部的安全开关的种类；和动作程序执行部件，选择存储在动作程序存储部件中的多种安全动作程序中的、对应于由设定部件设定的开关种类的安全动作程序，并对由设定部件设定的外部输入端子部执行该安全动作程序。这里，所谓安全动作程序主要是指实现如下动作的程序，即对应于各安全开关的结构来判断连接到1个或2个以上外部输入端子部上的安全开关各自的动作状态(接通状态/断开状态)，使这些判断结果对应规定的逻辑，生成最终的输出状态，送出到连接于外部输出端子部的各外部端子上的设备或元件。作为一般实例，在安全系统中，只有在全部安全开关为接通状态时，危险源的驱动源(电机等)的电磁接触器才接通，当安全开关任一为断开状态时，接触器断开。不用说，也存在例外。
根据该结构，仅通过进行哪种安全开关连接于哪个外部输出端子部上的设定，对应的安全动作程序就可自动动作，所以此后仅通过将安全开关及输出元件或设备连接于对应的外部输入端子部及外部输出端子部上，就可如安全PLC那样，尽管不进行关于安全动作程序的编程，也可简单且迅速地构成期望的安全系统。另外，因为对安全动作程序使用规定的程序，所以在工厂出厂时等接受一次安全标准的认定，则无论构成何种安全系统，都不必在此后再次接受安全标准认定，所以可顺利进行向必须这种安全标准认定的欧洲等的出口。并且，在构筑包含多个安全开关的安全系统或增设已设的安全系统的情况下，也可仅在增设扩展模块后进行同样的设定操作即可，系统的扩展自由度非常高。
在本发明的最佳实施形态中，最好所述基本模块中还包含可连接1个或2个以上的安全开关的1个或2个以上的外部输入端子部；从1个或2个以上的外部输入端子部取入安全输入信号用的输入电路；可与危险源的输出控制系统连接的外部输出端子部；和向外部输出端子部送出安全输出信号的输出电路。根据这种结构，也可由基本单元单独来构筑安全系统。
在本发明的最佳实施形态中，最好在所述基本模块中包含所述基本模块中包含执行诊断程序的部件，该程序通过将从主板上的扩展用槽读入的模块识别信息和在基本模块侧设定的模块识别信息进行对照，从而诊断各扩展槽中是否安装有预定的扩展模块。根据这种结构，可避免对扩展槽安装与预定不同的扩展模块引起的误操作的可能。
在本发明的最佳实施形态中，最好所述基本模块中还包含故障诊断程序存储部件，按预定的安全开关的类别存储有故障诊断程序，该故障诊断程序进行连接于外部连接端子部的安全开关的故障诊断；和故障诊断程序执行部件，选择存储在故障诊断程序存储部件中的多种故障诊断程序中的、对应于由设定部件设定的开关类别的故障诊断程序，对由设定部件设定的外部输入端子部执行该故障诊断程序。根据这种结构，通过担保对各安全开关的动作确定性，可使安全系统的可靠性提高。
在本发明的最佳实施形态中，最好在具有锁定解除用螺线管的电磁锁定式门锁开关的故障诊断程序中包含诊断锁定解除用螺线管的故障的螺线管诊断功能。根据这种结构，通过担保锁定解除用螺线管的动作确定性，可使门锁开关的可靠性提高。
在本发明的最佳实施形态中，最好故障诊断程序中包含履历生成功能，可根据从安全开关中所包含的一对联动接点到来的2系统信号间的时间差的随时间的变化来诊断安全开关的接点恶化。根据这种结构，能自动诊断安全开关的接点恶化。
在本发明的最佳实施形态中，最好故障诊断程序中包含履历生成功能，可根据送出安全输出信号后而直到来自接触器辅助接点的反馈信号到来为止的时间差的随时间的变化来诊断接触器的接点恶化。根据这种结构，能自动诊断接触器的接点恶化。
在本发明的最佳实施形态中，最好在所述基本模块中包含执行输出监视程序的部件，该输出监视程序根据从设置在基本模块或扩展模块中的反馈输入端子取入的接触器辅助接点信号，监视构成危险源的输出控制系统的接触器状态。根据这种结构，可在送出安全输出信号后确认接触器是否正确动作。
在本发明的最佳实施形态中，最好在所述基本模块中包含执行互锁程序的部件，该互锁程序根据从设置在基本模块或扩展模块中的可编程控制器动作状态输入端子取入的可编程控制器动作状态信号，控制可否进行作为所述安全动作程序的执行结果的输出动作。根据这种结构，通过将PLC的运转状态链接到接触器的动作条件，可在PLC输出动作停止指令后控制对象设备的运转停止的情况下，通过安全控制器的安全输出来防止尽管无危险接触器也断开的无用的开关。另外，通过监视PLC的动作停止指令，只要没有来自PLC的命令则不使接触器动作，可省略装置控制系统中的接触器。


图1是安全控制器的全部模块安装状态的外观立体图；图2是安全控制器的扩展模块拉出状态的外观立体图；图3是表示将个人计算机连接到控制器的状态的系统外观图；图4是表示基本模块的硬件结构的框图；图5是表示基本模块内的第1、第2输出电路与外部电磁接触器的连线实例的布线图；图6是表示输入扩展模块的硬件结构的框图；图7是表示作为输出扩展模块的电磁继电器输出模块的硬件结构的框图；图8是表示作为输出扩展模块的电磁继电器输出模块内的继电器接点与外部电磁开关的连线实例的布线图；图9是表示作为输出扩展模块的螺线管状态继电器输出模块的硬件结构的框图；图10是表示螺线管状态继电器输出模块内的继电器与外部电磁接触器的连线实例的布线图；图11是表示主板的硬件结构的视图；图12是表示非常停止开关的端子台连线方法的布线图；图13是表示双手操作开关的端子台连线方法的布线图；图14是表示垫子开关的端子台连线方法的布线图；图15是表示安全限位开关的端子台连线方法的布线图；图16是表示光幕的端子台连线方法的布线图；图17是表示电磁锁定式安全门锁开关与安全限位开关的端子台连线方法的布线图；图18是示意表示由第1、第2CPU执行的控制程序的整体流程图；图19是表示以设定模式执行的控制程序的整体流程图；图20是表示指令分析/EEPROM写入处理的细节的流程图；图21是用表来表示EEPROM内的数据配置的整体的视图；图22是用表来表示EEPROM内的扩展输入模块用的数据配置的视图；图23是用表来表示EEPROM内的扩展输出模块用的数据配置的视图；图24是表示以通常模式执行的控制程序的整体流程图；图25是表示输入处理/输出判断处理的细节的流程图；图26是表示输出判断处理的细节的流程图(之2)；图27是表示诊断处理的细节的流程图；图28是表示输入诊断处理的细节的流程图(之1)；图29是表示输入诊断处理的细节的流程图(之2)；图30是表示输入电路侧的诊断处理的流程图；图31是表示输入诊断处理的细节的流程图(之3)；图32是表示输入诊断处理的细节的流程图(之4)；
图33是表示第2输入电路侧的诊断处理的时序图；图34是表示输入端子侧的硬件结构与安全开关的连线实例的视图(对应无电压接点)；图35是表示输入端子台的硬件结构与安全开关的连线实例的视图(对应有电压接点)；图36是表示判断处理的细节的流程图；图37是表示输入诊断用的错误表格的内容的视图；图38是表示输出处理的细节的流程图；图39是表示非常停止开关模式下的控制器的动作的状态变迁图；图40是表示用于判断非常停止开关从OFF切换到ON的处理程序的流程图；图41是表示用于判断非常停止开关从ON切换到OFF的处理程序的流程图；图42是表示用于履历生成的处理程序的流程图；图43A、图43B是利用安全开关动作时的接点焊接诊断的说明图；图44是表示用于履历读出的指令分析处理的流程图；图45是表示双手操作开关模式下的控制器的动作的状态变迁图；图46是表示用于判断双手操作开关从OFF切换到ON的处理程序的流程图(之1)；图47是表示用于判断双手操作开关从OFF切换到ON的处理程序的流程图(之2)；图48是表示用于判断双手操作开关从ON切换到OFF的处理程序的流程图；图49是表示垫子开关模式下的控制器的动作的状态变迁图；图50是表示用于判断垫子开关的ON/OFF的处理程序的流程图；图51是表示模块检查处理的细节的流程图；图52是表示第1接点落下检查用的连线方法的布线图；图53是表示第1接点落下检查用的处理的流程图；图54是表示第2接点落下检查用的连线方法的布线图；图55是表示第2接点落下检查用的处理的流程图(之1)；
图56A、图56B是表示第2接点落下检查用的处理的流程图(之2)；图57A、图57B是利用第2接点落下检查时的接点焊接诊断的说明图；图58是附有动作状态监视器端子的安全控制器的说明图(之1)；图59是附有动作状态监视器端子的安全控制器的说明图(之2)；图60A、图60B是利用输入电路的螺线管诊断的说明图；图61A、图61B是对应于各安全开关的输出控制形态的视图(之1)；图62A、图62B是对应于各安全开关的输出控制形态的视图(之2)。
具体实施例方式
下面，参照附图来详细说明本发明的安全控制器的一实施形态。
图1中示出安全控制器的全部模块安装状态的外观立体图，图2中示出该安全控制器的扩展模块拉出状态的外观立体图，图3中示出表示将个人计算机连接到控制器的状态的系统外观图。
从这些图可知，安全控制器1具备基本模块2、输入扩展模块3和输出扩展模块4。这些模块2、3、4经模块保持架5以整列状态定位固定。模块保持架5是上面开放的箱型壳体，在底部设置有DIN轨道装配沟51及DIN轨道固定部件52。因此，模块保持架5可安装于未图示的DIN轨道。另外，在图示例中，是对1个基本模块设置2个扩展模块3、4的情况，但扩展模块的数量也可更多，也可安装如8个或16个这样多个的扩展模块。在模块保持架5的内部的底部铺设后面参照图11说明的主板53。另外，基本模块2、输入扩展模块3和输出扩展模块4可插入主板53上的基本模块用连接器531、扩展模块用连接器533-1～533-n中。
在基本模块2的一个侧面上分上下2段地设置第1输入端子台21和第2输入端子台22，在另一侧面上分上下2段地设置第1输出端子台23和第2输出端子台24。同样，在输入扩展模块3的另一侧面，分上下2段地设置第1输入端子台31、第2输入端子台32、第3输入端子台33、第4输入端子台34。同样，在输出扩展模块4的一个侧面上设置第1输出端子台41，在另一侧面上设置第2输出端子台42。
从图中可知，各端子台分别可连接4条信号线，构成各信号线的电线可经芯线插入式的接线板机构简单地固定。
如图3所示，构成安全控制器1的基本模块2可经RS-232C软线7与个人计算机6进行通信，后述的各种设定操作经个人计算机6的键盘进行，将如此得到的设定数据经RS-232C软线7，写入构成安全控制器1的基本模块2的存储器(例如EEPROM电可擦除只读存储器等)中。另外，由于这种数据通信及存储器的改写处理可通过各种文献公知，所以省略详细说明。
另外，在图1～图3的实例中，示出设置1台基本模块2与2台扩展模块3、4的示例，但扩展模块的个数及种类并不限于此，例如也可自由拆装地连接如8个或16个等多个扩展模块。
图4中示出表示基本模块的硬件结构的框图。如该图所示，在基本模块2内包含第1CPU201、第2CPU202、第1输入电路203、第2输入电路204、第1输出电路205、第2输出电路206、通信线路(RS-232C)207、电源电路208。
第1CPU201与第2CPU202是用于实现控制的双重化，各自执行基本相同的程序。在第1CPU201中内置用于存储后述的安全动作程序等的程序存储器(例如闪存)202a。同样，在第2CPU202中也内置用于存储后述的安全动作程序等的程序存储器202b。另外，在第1CPU201及第2CPU202各自的外部分别设置用于存储后述的各种设定数据的EEPROM209a及209b。程序存储器202a的存储内容与程序存储器202b的存储内容基本相同，同样，EEPROM209a的存储内容与EEPROM209b的存储内容也基本相同。由此即使在第1CPU201与第2CPU202中的任意一方停机的情况下，也可通过另一方正常的CPU继续控制，提高安全性。
在第1输入电路203及第2输入电路204上连接后述的安全开关9，在本例中，在第1输出电路205及第2输出电路206上连接电磁接触器(magnetcontactormagnet switch)10。另外，在通信线路(RS-232C)207上连接个人计算机(PC)6，在电源电路208上连接外部电源8。并且，在连接第1CPU201与第2CPU202的总线上连接主板(マザ一ボ一ド)53。由此，可从基本模块经主板53向各扩展模块送出数据，或相反，基本模块取入从各扩展模块经主板53到达的数据。并且，由个人计算机(PC)6生成的各种数据经通信线路(RS-232C)207取入至基本模块2。另外，安全开关9及电磁接触器10的结构如后详细说明。
图5中示出表示基本模块内的第1、第2输出电路205、206与外部电磁接触器10的连线实例的布线图。如该图所示，基本模块2内的第1输出电路205由彼此互补连接的2个晶体管TR1、TR2构成，同样，第2输出电路206由彼此互补连接的2个晶体管TR3、TR4构成。将这2个的晶体管的各连接点引出到外部端子T01、T02。在这些外部端子T01、T02与0V端子之间分别连接电磁开关的线圈MS1、MS2。电磁开关MS1具有3极单掷型的主构造(メイク)接点MS1-1与单极单掷型的辅助中断(ブレイク)接点MS1-2。同样，电磁开关MS2中也具有3极单掷型的主构造接点MS2-1与单极单掷型的辅助中断接点MS2-2。另外，这2个主构造接点MS1-1、MS2-1串联连接于至作为危险源的驱动源的电机M的通电路径上。因此，通过第1输出电路205及第2输出电路206双方接通(ON)，电磁开关MS1及MS2动作，通过主构造接点MS1-1、MS2-1关闭，对3相电机M进行通电。
图6中示出表示输入扩展模块的硬件结构的框图。如该图所示，该输入扩展模块3包含第1输入电路301、第2输入电路302、第3输入电路303、第4输入电路304、第1总线接口305与第2总线接口306。
第1输入电路301具有连接到第1输入端子台(参照图2)31上的3个外部输入端子T11、T12、T13。第2输入电路302具有连接到第2输入端子台(参照图2)32上的3个外部输入端子T21、T22、T23。第3输入电路303具有连接到第3输入端子台(参照图2)33上的3个外部输入端子T31、T32、T33。第4输入电路304具有连接到第4输入端子台(参照图2)34上的3个外部输入端子T41、T42、T43。另外，电源端子(24V、GND)经电源线307与主板53连接。第1总线接口305及第2总线接口306包含非易失性的存储元件，在该存储元件中存储该输入扩展模块3的识别信息(模块识别信息)等。该模块识别信息(ID)在通过对照从主板53上的扩展用槽(スロツト)533-1～N读入的模块识别信息与在基本模块侧设定的模块识别信息，诊断各扩展槽中是否安装有预定的扩展模块时被利用。
图7中示出表示作为输出扩展模块的电磁继电器输出模块的硬件结构的框图。如图所示，在电磁继电器输出模块4A内包含第1输出电路401、第2输出电路402、监视器电路403、第1总线接口404和第2总线接口405。另外，在电磁继电器输出模块4A中内置电磁继电器K1与K2。电磁继电器K1具有2个单极单掷型的构造接点K1-1、K1-2与2个单极单掷型中断接点K1-3、K1-4。同样，电磁继电器K2中具有2个单极单掷型的构造接点K2-1、K2-2与2个单极单掷型中断接点K2-3、K2-4。这些接点以相互串联或并联状态介于外部端子列T11、T21、T31与外部端子列T12、T22、T32之间。
图8中示出表示作为输出扩展模块的电磁继电器输出模块内的继电器接点与外部电磁开关的连线实例的布线图。另外，图中对与图7相同的端子附加相同符号，省略说明。从图中可知，通过电磁继电器K1、K2双方动作，向2个电磁开关MS1、MS2的线圈进行通电，3极单掷型的主构造接点MS1-1及MS2-1双方接通，对3相电机M进行通电。
图9中示出表示作为输出扩展模块的螺线管状态继电器输出模块的硬件结构的框图。如图所示，螺线管状态继电器输出模块4B内包含第1输出电路411、第2输出电路412、第1监视器电路403a、第2监视器电路403b、第1总线接口404、第2总线接口405。第1输出电路411连接于外部端子T13、T14上。第2输出电路412连接于外部端子T23、T24上。第1监视器电路403a连接于外部端子T11上，第2监视器电路403b连接于外部端子T21上。外部端子T12、T22连接于从主板53来的电源上。
图10中示出表示螺线管状态继电器输出模块内的继电器与外部电磁接触器的连线实例的布线图。如图所示，螺线管状态继电器输出模块4B内包含第1螺线管状态继电器411a、第2螺线管状态继电器412b、第1监视器电路403a、第2监视器电路403b、第1、第2总线接口404、405和保险丝(fuse)406、407。从图中可知，若第1螺线管状态继电器411a、第2螺线管状态继电器412b双方动作，则对电磁开关MS1、MS2进行通电，主构造接点MS1-1、MS2-1接通，由此对3相电机M进行通电。同时，通过电磁开关MS1、MS2的辅助中断接点MS1-2、MS2-2断开，可经第1监视器电路403a、第2监视器电路403b确认电磁开关MS1、MS2是否正常动作。另外，图中AC为交流电源，F1、F2是保险丝。
图11中示出表示主板的硬件结构的视图。如图所示，主板53铺设在安全控制器1的模块保持架5的内部，具有基本模块用连接器531、2个地址解码器532a、532b、n个扩展模块用连接器533-1、533-2～533-n。从基本模块用连接器531中导出数据线534与2系统的地址线535a、535b。地址线535a由地址解码器532a解码，从而导出槽选择线536a。同样，地址线535b由地址解码器532b解码，从而生成槽选择线536b。当然是将基本模块2可自由拆装地安装在基本模块用连接器531中。同样，将各种扩展模块(输入扩展模块3和输出扩展模块4等)可自由拆装地安装在扩展模块用连接器533-1～533-n中。另外，图中，作为第1槽、第2槽、...、第n槽，描述了n个扩展模块用连接器533-1～533-n，但不用说，在以图2所示具体结构例为对象的情况下，扩展模块用连接器也可以是2个。
下面，参照图12～图17来说明预定本发明的安全控制器1进行处理的安全开关的几个例子。
图12中示出表示非常停止开关的端子台连线方法的布线图。如图所示，在1个安全开关的外部端子台(例如由图2的上下二段的端子台21、22构成)上顺序排列6个外部端子T13、T11、T12、T23、T21、T22。另外，非常停止开关ES包含1个按钮PB0、和通过该按钮PB0的操作而联动动作的2个中断接点b0-1(第1系统)、b0-2(第2系统)。第1中断接点b0-1连接于外部端子T11与T12之间，第2中断接点b0-2连接于外部端子T21与T22之间。
图13中示出表示双手操作开关的端子台连线方法的布线图。在本例中，也在1个安全开关的外部端子台上顺序排列6个外部端子T13、T11、T12、T23、T21、T22。另外，在双手操作开关2HS中设置2个按钮PB1、PB2、通过按钮PB1的操作而联动动作的第1系统的一对中断及构造接点b1-1、a1-2、和通过按钮PB2的操作而联动动作的第2系统的一对中断及构造接点b2-1、a2-2。另外，中断接点b1-1连接于外部端子T13与T11之间，构造接点a1-2连接于外部端子T11与T12之间。同样，中断接点b2-1连接于外部端子T23与T21之间，构造接点a2-2连接于外部端子T21与T22之间。
图14中示出表示垫子开关的端子台连线方法的布线图。在本例中，也在对应于1个安全开关的外部端子台上顺序排列6个外部输入端子T13、T11、T12、T23、T21、T22。另一方面，在垫子开关MS中包含彼此存在并列关系的多个构造接点a1、a2、a3。另外，这些构造接点群的一端侧(第1系统)的公共线连接于端子T11与T12之间，同样，接点群的另一公共线(第2系统)连接于端子T21与T22之间。
图15中示出表示安全限位开关的端子台连线方法的布线图。如图所示，在本例中，也在1个安全开关的外部端子台上顺序排列6个输入端子T13、T11、T12、T23、T21、T22。另外，在安全限位开关SLS中包含与作为限位开关致动器的安全保护装置(Safety Guard)动作而联运动作的一对构造接点a1与中断接点b1。另外，构造接点(第1系统)a1连接于端子T11与T12之间。中断接点(第2系统)b1连接于端子T21与T22之间。
图16中示出表示光幕的端子台连线方法的布线图。在本例中，在对应于1个安全开关的外部端子台上顺序排列2个电源端子(24V、GND)和6个外部输入端子T13、T11、T12、T23、T21、T22。另外，复位信号(RESET)对应于作为第1系统的端子T11，控制输出1对应于T12，另外，测试信号(TEST)对应于作为第2系统的T21，控制输出2对应于端子T22。公知光幕LC在光投射器T与光接收器R之间形成多孔轴的光幕，同时通过人体等将其遮住，发出控制输出1及控制输出2。
图17中示出表示电磁锁定式安全门锁开关与安全限位开关的端子台连线方法的布线图。在本例中，在1个安全开关的外部端子台上顺序排列螺线管驱动端子(A、B)和6个外部输入端子T13、T11、T12、T23、T21、T22。另一方面，在安全限位开关SLS中设置由滑动致动器(即Safety Guard)驱动的1个中断接点b1，在电磁锁定式安全门锁开关MDS中包含与螺线管SOL的动作联动动作的中断接点b1(用于螺线管动作确认)、和与防拔用的锁定销p的出没动作联动动作的2个中断接点b2、b3(不作用)。另外，作为第1系统的2个中断接点b1与b2连接于端子T11与端子T12之间。同样，作为第2系统的安全限位开关SLS的中断接点b1连接于端子21与端子22之间。
如上所述，在本发明的安全控制器的输入端子台中，对各个的1个安全开关的区域顺序排列6个外部输入端子T13、T11、T12、T23、T21、T22，用其公共的外部端子，可对应于各种安全开关(非常停止开关ES、双手操作开关2HS、垫子开关MS、安全限位开关SLS、光幕LC、电磁锁定式安全门锁开关MDS等)。
下面，图18中示出了示意地表示由第1、第2CPU执行的控制程序的整体流程图。该流程图通过接通电源开始执行。图中，若开始处理，则首先执行内部RAM初始化及各种初始设定(步骤101)。这里所谓的内部RAM是指构成第1CPU201及第2CPU202内的工作区域的RAM等。接着在电源接通时的诊断处理(步骤102)中，如后面详细说明的那样，执行使安全系统的可靠性提高的各种诊断处理。接着在有无设定模式突入的指令的判断处理(步骤103)中，进行由个人计算机(PC)6的操作生成的规定指令是否到达基本模块2的判断。这里，若判断为有设定模式突入的指令(步骤103为“是”)，则执行设定模式的处理(步骤104)。相反，若设定模式突入的指令未到达(步骤103为“否”)，则执行通常模式的处理(步骤105)。
图19中示出表示以设定模式执行的控制程序的整体流程图。图中若开始处理，则持续检查有无指令的接收(步骤201为“否”)，并执行各种设定模式下的处理(步骤204)。这里所谓的其它处理(步骤204)在后面必要时进行说明。
若确认接收指令(步骤201为“是”)，则执行指令的分析及对EEPROM202a、202b(参照图4)的数据写入处理(步骤202)。若写入结束，则接着执行响应处理(步骤203)，经通信线路(RS-232C)207将表示写入正常结束或异常结束的响应返回到个人计算机(PC)6侧。
图20中示出表示指令分析/EEPROM写入处理的细节的流程图。图中若开始处理，则进行接收数据的读出(步骤301)，进行所读出的指令内容是否是EEPROM写入命令的判断(步骤302)。这里若是EEPROM写入命令以外的命令，则变迁到其它的命令处理。相对于此，若是EEPROM写入命令，则接着进行请求该写入的数据在EEPROM内的指定地址的判断(步骤303)。这里若判断指定的地址为00-3F(hex)，则将该接收数据地址指定为基本模块的存储器区域，写入该区域的EEPROM中(步骤306)。相反，若判断指定的地址为40-BF(hex)，则将该接收数据地址指定为扩展模块的对应的存储器区域(步骤305)，将该数据写入双方的EEPROM209a、209b(参照图4)中(步骤306)。
图21中示出用表来表示EEPROM209a、209b内的数据配置的整体的视图。从图中可知，在EEPROM内的地址空间中设置关于公共规格设定及基本模块设定的存储区域、和关于扩展模块设定的存储区域。作为关于公共规格设定及基本模块设定的存储区域，分别存储CRC(0-FFFFh)作为从地址0开始的2字节大小；存储延迟时间表格(0-300)，作为从地址2开始的30字节大小；存储预备空间(reserve)，作为从地址20开始的1字节大小；存储延迟模式(0断开延迟、1接通延迟)，作为从地址21开始的1字节大小；存储延迟时间(0-300)，作为从地址22开始的2字节大小；存储主模块动作模式(02N.C(非常停止开关等)、11N.C+1N.O、2双手开关、3垫子开关、4光幕)，作为从地址24开始的1字节大小；存储预备空间(reserve)，作为从地址25开始的1字节大小；存储数字滤波值(1-255)，作为从地址26开始的30字节大小；存储安全输入系统间的时间差的允许值(0无限、1-255)，作为从地址30开始的1字节大小；存储手动复位接通最大时间(0无限、1-255)，作为从地址31开始的1字节大小，存储形式数据，作为从地址32开始的8字节大小；存储预备空间(reserve)，作为从地址3A开始的2字节大小；存储硬件版本(0.00-99.99)，作为从地址3C开始的4字节大小。这里，所谓“安全输入系统间的时间差的允许值”是“系统间同步监视计时器”的值，用于后述的图39及图40的处理中。
另一方面，在扩展模块设定用区域中分别从地址40、50、60、70、80、90、A0、B0开始存储16字节大小的对应于连接模块1-8的数据。
图22中示出用表来表示EEPROM内的扩展输入模块用数据配置的视图。从图中可知，作为分配给扩展输入模块的存储器区域，存储(1)模块ID(00H未连接、11H输入模块、12H特定开关用的输入模块1、13H特定开关用的输入模块2、14H特定开关用的输入模块3、...)，作为从地址0开始的1字节大小；(2)动作模式(0非常停止、1非常停止+输入1反转、2双手、3垫子、4光幕)，作为从地址1开始的1字节大小；(3)安全输入系统间的时间差的允许值(0无限、1-255)，作为从地址2开始的1字节大小；(4)预备空间(reserve)，作为从地址3开始的1字节大小；(5)数字滤波器值(1-255)，作为从地址4开始的2字节大小；(6)动作模式(0非常停止、1非常停止+输入1反转、2双手、3垫子、4光幕)，作为从地址6开始的1字节大小；(7)安全输入系统间的时间差的允许值(0无限、1-255)，作为从地址7开始的1字节大小；(8)预备空间(reserve)，作为从地址8开始的1字节大小；
(9)数字滤波器值(1-255)，作为从地址9开始的2字节大小；(10)预备空间(reserve)，作为从地址B开始的1字节大小；(11)硬件版本(0.00-99.99)，作为从地址C开始的4字节大小。由此，各扩展输入模块可处理独立的2个安全开关。
图23中示出用表来表示EEPROM内的扩展输出模块用数据配置的视图。从图中可知，作为扩展输出模块用的存储器区域，存储(1)模块ID(00H未连接、01HAC半导体输出模块、02H继电器输出模块、...)，作为从地址0开始的1字节大小；(2)延迟模式(0断开延迟、1接通延迟)，作为从地址1开始的1字节大小；(3)延迟时间(0-300)，作为从地址2开始的2字节大小；(4)预备空间(reserve)，作为从地址4开始的8字节大小；(5)硬件版本(0.00-99.99)，作为从地址C开始的4字节大小。
另外，在以上说明的各数据中，就延迟模式、延迟时间而言，可对各个扩展输出模块进行断开延迟输出或接通延迟输出，延迟时间的范围可在0～300(×100)msec的范围内自由设定。当然，可对应于该表格，参照这些延迟模式的内容及延迟时间，将实现对应输出功能用的处理加入扩展输出模块用的动作程序中。
图24中示出表示以通常模式执行的控制程序的整体流程图。在图中若开始处理，则以没有错误为条件(步骤401为“否”)，依次反复执行输入处理/输出判断处理(步骤402)、诊断处理(步骤403)、输出处理(步骤404)、其它处理(步骤405)。
图25中示出表示输出判断处理的细节的流程图(之1)，图26中示出表示输出判断处理的细节的流程图(之2)。
在图中若开始处理，则在步骤501中将读出槽的序号设为1。在步骤502中，进行所指定的槽是否是输入模块的判断。这里若判断为是输入模块(步骤502为“是”)，则执行安全输入值的读出(安全输入值的读出)(步骤503)。接着，进行对安装在该槽中的模块请求的动作模式的判断，对应于动作模式是非常停止开关、双手操作开关、垫子开关等的哪一个，执行对应开关的输出判断处理(步骤505、506、507、...)之一。在这些判断处理中，对应于各安全开关的种类及内部结构，通过执行规定的安全动作程序，判断对应的安全开关的当前的接通/断开(ON/OFF)状态。将如此判断的接通/断开状态存储在存储器中(步骤508)。
使扩展槽的序号进行+1更新，同时依次对安装在各扩展用槽上的扩展用模块执行以上动作。即，通过对全部槽执行这些处理(步骤505、506、507、508)，将各安全开关的ON/OFF状态存储在存储器中。这样，若对全部槽的处理结束(步骤509)，则移动到图26，进行安全输入是否全部为接通的判断(步骤510)。
这里，若判断为安全输入全部是接通(步骤510为“是”)，则将其输出判断为接通(步骤511)。之后，判断有无复位输入(步骤512)，在有复位输入的情况下(步骤512为“是”)，以接通延迟计时器还未开始为条件(步骤513为“否”)，在执行接通延迟计时器的开始处理后(步骤514)，将输出判断为断开(步骤517)，直到以后接通延迟计时器进行计数为止(步骤515为“否”)。相反，若确认接通延迟计时器(ON延迟计时器)进行计数(步骤515为“是”)，则将输出判断为接通。从而，实现对外部输出的接通延迟功能。另外，在没有复位输入的情况下(步骤512为“否”)，马上判断输出为断开(步骤517)。
另外，所谓步骤512中判断的复位输入的有无，是基于来自连接于基本模块的第1输入电路203或第2输入电路204的复位钮的信号。即，通常在这种安全系统中，通例是为了进行系统整体的复位操作，装配用指端轻操作等的小型按钮开关，通过该操作来复位系统整体的启动。
另一方面，若判断为任一输入为断开(步骤510为“否”)，则在判断输出为断开后(步骤518)，进行上次判断中输出是否为接通的判断(步骤519)。这里，若上次判断中输出为ON(步骤519为“是”)，则以断开延迟计时器(OFF延迟计时器)还未开始为条件(步骤520为“否”)，执行断开延迟计时器的开始处理(步骤521)，判断输出为接通(ON)，直到以后确认断开延迟计时器进行计数为止(步骤522为“否”)。相反，若以上动作中确认断开延迟计时器进行计数(步骤522为“是”)，则判断输出为断开(OFF)(步骤523)。由此，实现关于外部输出的断开延迟功能。另一方面，若在上次判断中判断为输出不是接通(步骤519为“否”)，则马上判断输出为断开(步骤523)。
另外，在以上说明的图26的流程图中，在安全输入全部接通的情况下自动进行接通延迟处理，另外，在全部断开的情况下，自动进行断开延迟处理。这是对多个安全输入开关分配1个输出的情况。因此，在本发明的安全控制器中，也可使多个扩展输出模块对应于多个安全开关。假定这种情况形成的是在先说明的图23所示的扩展输出模块用的数据排列。即，如前所述，可对各不同扩展输出模块进行延迟模式及延迟时间的设定，若设定，则对设定了该延迟模式的扩展输出模块执行图26说明的接通延迟处理(步骤511-517)和断开延迟处理(步骤518-524)之一的结果，对多个扩展输出模块的每个单独进行接通延迟处理或断开延迟处理。
图27中示出表示诊断处理的细节的流程图。如图所示，在本处理中，在持续进行输入诊断处理(步骤601)与其它诊断处理(步骤602)的同时，若在任一诊断处理中判断有错误代码(步骤603为“是”)，则执行将错误代码存储在存储器中的处理(步骤604)。
下面参照图28-37来说明输入诊断处理。在输入诊断处理中存在两个大的作用。第1作用在于诊断外部连接到输入端子台上的安全开关自身。另一作用在于诊断存在于输入端子台的内部的输出电路及输入电路的状态。这里，所谓输出电路是指对构成输入端子台的各端子选择地提供电压的驱动电路等，所谓输入电路是指使从外部提供给端子台的24V降低到逻辑IC用的5V的电平移动电路及设置在其后级的门电路等。
但是，在安全开关侧的接点结构中，存在无电压接点与有电压接点。以无电压接点为主，非常停止开关、垫子开关、双手操作开关等相当于此。此外，光幕等相当于有电压接点。
图34中示出表示输入端子台侧的硬件结构与安全开关的连线实例的图(对应无电压接点)，另外，图35中示出表示输入端子台的硬件结构与安全开关的连线实例的图(对应有电压接点)。从这些图可知，在该输入端子台上设置由T11、T12、T21、T22构成的4个端子。另外，在用作无电压接点的情况下，将安全开关的第1系统的断开接点b11连接于端子T11与端子T12之间。相反，将第2系统的断开接点b21连接于端子T21与端子T22之间。
另一方面，存在于该端子台内部的输入电路及输出电路如下构成。虽未示出，但将输出电路与输入电路反并联地连接在端子T11上。这里，将从输出电路送出的信号表示为T11P(out)，将从端子T11取入到输入电路的信号表示为T11M(in)。同样，虽未示出，但也在端子T12中设置输出电路与输入电路。将从端子T12取入到输入电路的信号表示为T12D，将从输出电路送出、驱动晶体管TR11的信号表示为T12P(out)。
另一方面，说明第2系统的结构时，虽未示出，但在端子T21上反并联地设置输出电路与输入电路。这里，将从输出电路送出到端子T21的信号表示为T21P(out)，将从端子T21取入到输入电路的信号表示为T21M(in)。同样，也在端子T22中设置输入电路与输出电路。这里，将从端子T22取入到输入电路的信号表示为T22D，将从输出电路送出、驱动晶体管TR21的信号表示为T22P(out)。
比较图34与图35可知，在对应无电压接点的情况下，将安全开关的第1系统的断开接点b11连接于端子T11与端子T12之间。同样，第2系统的断开接点b21连接于端子T21与端子T22之间。另一方面，在对应有电压接点的情况下，第1系统侧的断开接点b11连接于电源24V与端子T12之间。同样，第2系统侧的断开接点b21连接于电源24V与端子T22之间。
下面，以图34及图35的电路结构为前提，参照图28-图33来说明本发明人等新开发出的诊断处理的结构。在使第1CPU201与第2CPU202并列动作的同时进行该输入诊断处理。另外，在处理整体的前半部分，第1CPU侧担当关于第1系统的断开接点的诊断，第2CPU侧执行关于第2系统的断开接点的诊断处理。另一方面，在处理的后半部分，作用颠倒，第1CPU侧执行关于第2系统的断开接点的诊断处理，第2CPU侧执行关于第1系统的断开接点的诊断处理。
另外，这些诊断处理是对在先说明的端子T11、T12、T21、T22分别适当进行提供输出信号或取入输入信号的处理，但对关于这些端子的电压输出，事先固定其作用。即，使第1CPU侧进行对第1系统的端子T11、T12的电压输出，第2CPU侧担当对第2系统的端子T21、T22的电压输出。这些关系被硬件固定。另一方面，构成为第1CPU及第2CPU并列进行从这4个端子T11、T12、T21、T22的信号取入。即，构成为第1CPU及第2CPU都进行从这4个端子T11、T12、T21、T22的信号取入。
下面，参照图28及图29来说明输入诊断处理的前半部分的处理。在这些图中若开始处理，则通过在第1CPU及第2CPU中分别彼此执行CPU间通信(步骤701、702)，首先进行同步的确立。
接着，在第1CPU侧进行T12D＝接通的判断(步骤702)。从图34的电路可知，在T11P(out)为接通(H)的状态下，若观察T12D是接通(H)还是断开(L)，则可判断第1系统的断开接点b11断路或不接通。这里，若判断为不是T12D＝接通(步骤702为“否”)，则更新错误表格4(细节如后所述)(步骤703)，存储产生断路或不接通。相反，若TD12＝接通(H)(步骤702为“是”)，则判断为不产生断路或不接通。
接着，在第1CPU侧使T12P接通(H)(步骤704)，执行100微秒以上的待机处理后(步骤705)，接着执行T12D＝断开(L)的判断(步骤706)。这里，在使T12P接通(H)的状态下，判断T12D＝断开(L)意味着诊断连接于端子T12上的输入电路的状态。这里，若判断为不是T12D＝断开(L)(步骤706为“否”)，则更新规定的错误表格1(步骤707)，存储内置于第1系统侧端子T12中的输入电路等的异常。
接着，在第1CPU侧，再使T12P断开(L)(步骤708)，使T11P断开(L)后(步骤709)，在执行300微秒以上的待机处理后(步骤710)，移动到图29，进行T11min＝断开(L)的判断(步骤711)。这里，在T12断开(L)、T11P断开(L)的状态下，判断T11min＝断开(L)意味着第1系统的断开接点b11与第2系统的断开接点b21的系统短路。这里，若判断为不是T11min＝断开(L)(步骤711为“否”)，则更新错误表格3(步骤712)，存储在前说明的第1系统与第2系统的短路。
并且，在第1CPU侧，执行T12D＝断开(L)的判断(步骤713)。这里，判断T12D＝断开(L)意味着尤其是在安全开关为垫子开关的情况下，对垫子开关的24V配线错误连线或断路这样的情况。这里，若判断为不是T12D＝断开(L)(步骤713为“否”)，则更新错误表格6(步骤714)，实质上存储垫子开关中存在异常布线的情况。
接着，在第1CPU侧，在使T11P接通(H)后，进行T11M＝接通(H)的判断(步骤716)。这里，在使T11P接通(H)的状态下，判断T11M＝接通(H)意味着进行内置于第1系统侧端子T11中的电路的故障诊断。这里，若判断为不是T11M＝接通(H)(步骤716为“否”)，则更新错误表格5(步骤717)，存储内置于端子T11中的电路的异常。
另一方面，在上面第1CPU侧的处理当中，在第2CPU侧，在进行CPU间通信后(步骤721)，执行100微秒的待机处理(步骤722)，之后进行T12D＝断开(L)的判断(步骤723)。这里，T12D＝断开(L)与前面在第1CPU侧进行的处理(步骤706、707)相同。即，意味着在第2CPU侧也判断端子T12的内部输入电路是否正常。
这样，当在第1CPU侧依次执行阶段#1、阶段#2、阶段#3，另一方面，在第2CPU侧阶段#1的状态也结束时，则最后在两个CPU中执行判断处理(步骤718、725)。
图36中示出表示判断处理细节的流程图。在该判断处理中，通过参照图37中示出的错误表格的内容，判断安全开关侧的故障和/或内置在输入端子台中的输入电路及输出电路的异常。即，如图37所示，在输入诊断用错误表格中，对基本模块和扩展模块1-8的每个设置诊断结果存储区域。另外，图中记为模式的栏表示对应模块的动作模式。这里如在前说明的那样，0表示非常停止模式，1表示非常停止+输入1有效反转模式，2表示双手操作开关模式，3表示垫子开关模式，4表示光幕模式，-1表示未连接。另外，在诊断结果存储区域中设置由“表格1自输入部故障”、“表格2其它输入部故障”、“表格3安全输入”、“表格4、6断路”、“表格5监视器电路故障”构成的5个区域。另外，在各区域中用规定代码来存储诊断结果。这里，0表示未实施(由系统定期清零)，-1表示正常结束，1表示第1次异常，2表示第2次异常。因此，通过参照该输入诊断用错误表格的内容，对各个基本模块和扩展模块，通过连续参照该模式并同时确认诊断结果，可准确判断安全开关侧的故障和/或端子台侧的输入电路和/或输出电路的故障。
下面，按照图30的时序图来说明以上说明的前半部分处理的信号状态。图中，上侧为第1CPU侧的处理，下侧为第2CPU侧的处理。从图中可知，在第1CPU侧的处理中，在使T12P(out)接通(H)的状态下，通过参照T12D的信号状态，可判断内部电路的故障状态。另一方面，在使T12P(out)断开(L)的状态下，通过参照T11M(in)的状态，可判断24V不变为输入系统间短路。另外，在参照T12D的信号状态并且其最初就为L的状态的情况下，仅在垫子开关的情况下可判断为断路。另一方面，在第2CPU侧的处理中，通过参照T12D，可适当判断内部电路的故障等。
下面，参照图31-图33来说明输入诊断处理的后半部分的处理。另外，这些处理相当于在先说明的前半部分处理中把第1CPU侧与第2CPU侧进行交换。即，在本实施形态中，通过在第1CPU侧与第2CPU侧交互执行相同处理，使在故障诊断期间具有时间差，从而可确实检测连接着的安全开关的两个系统间的短路。另外，图31-图33的处理与前面就前半部分处理进行说明的图28-图30的处理完全相同，所以省略详细说明。
最后，图36中示出了表示判断处理细节的流程图。图中当开始处理时，首先进行表格1错误＜2的判断(步骤801)。这里，在判断为不是表格1错误＜2的情况下(步骤801为“否”)，设置错误代码(步骤802)。
接着，进行表格2错误＜2的判断(步骤803)，这里，在判断为不是表格2错误＜2的情况下(步骤803为“否”)，设置错误代码(步骤804)。
接着，进行表格5错误＜2的判断(步骤805)，这里，在判断为不是表格5错误＜2的情况下(步骤805为“否”)，设置错误代码(步骤806)。
接着，进行动作模式是否是垫子模式的判断(步骤807)。这里若判断为动作模式不是垫子模式(步骤807为“是”)，则进行表格3错误＜2的判断(步骤808)，这里，在判断为不是表格3错误＜2的情况下(步骤808为“否”)，设置错误代码(步骤809)。
相反，在判断为动作模式是垫子模式的情况下(步骤807为“否”)，接着进行表格4错误＜2的判断(步骤810)，这里，在判断为不是表格4错误＜2的情况下(步骤810为“否”)，设置错误代码(步骤813)。
另一方面，在判断为表格4错误＜2的情况下(步骤810为“是”)，接着进行表格6错误＜2的判断(步骤811)，这里，在判断为不是表格6错误＜2的情况下(步骤811为“否”)，设置错误代码(步骤812)。
这样，若设置错误代码(步骤802、804、806、809、813、812)，则该安全控制器停止动作，移动到所谓的停工状态。即，若连接于外部的安全开关断路或短路、或内置于输入端子台的输入电路或输出电路中有异常，则马上停止安全控制器的动作，防向基于这些异常的危险状态移动于末然。
接着，图38中示出表示基本模块或扩展输出模块中执行的输出处理的细节的流程图。图中，当处理开始时，在将指定槽的指针(ポインタ)被初始设定成+1后(步骤901)，进行安装在指针所指定的槽中的模块(基本模块或扩展模块)是否是输出模块的判断(步骤902)。这里若判断为输出模块(步骤902为“是”)，则读出前面图26的流程图中的步骤516、517、523、524中存储的输出判断值(步骤903)，执行对应于这些判断值的输出处理(步骤904)。
之后，在使槽指定指针的值每次更新+1的同时，对相应的槽进行是否是输出模块的判断，在是输出模块的情况下，通过重复进行以上的处理(步骤903、904)，从基本模块或扩展输出模块的对应输出端子台向外部送出输出信号。
如上面详细说明的那样，在本发明的安全控制器中，按预定的安全开关的各种类，在基本模块2内的程序存储器202a、202b中存储规定安全输入信号状态与安全输出信号状态的关系的安全动作程序，另一方面，经个人计算机(PC)6，设定外部输入端子部与应连接于该外部输入端子部上的安全开关的种类，之后，在动作模式中，选择存储在作为动作程序存储部件的程序存储器202a、202b中的多种安全动作程序中的、对应于由设定部件设定的开关种类的安全动作程序，并对由设定部件设定的外部输入端子部执行该程序，所以可在各基本模块和扩展模块上连接任意种类的安全开关，同时，适当使与其对应的动作程序动作，由此多种组合任意个数的安全开关，可高效实现期望的安全系统。
此外，各输入端子部中，不仅外部连接的安全开关，针对内部输入输出电路也适当进行故障诊断，所以可与这些处理一起维持高的安全性，同时使安全控制器运转。
下面参照图39-图50来详细说明对应于各种开关的动作程序的细节(尤其是动作程序的输入值判断部分)。
图39中示出表示非常停止开关模式下的控制器的动作(输入判断部分)的状态变迁图。如图所示，在该状态变迁图中，存在由INITIAL、READY#2、TIMEOUT#2、ON、TIMEOUT#3、TIMEOUT#1、READY#1构成的7个状态。这些状态间的变迁通过特定条件的成立进行。图中，用箭头和附加到其上的记号表示这些条件。
例如，从状态INITIAL到状态READY#1的移动通过条件T22＝X的成立进行。相反，从状态READY#1到状态INITIAL的移动通过条件T22＝反转X(X的逻辑反转)的成立进行。该状态变迁图的读取方式按照上述要领，只要是本领域的技术人员，是容易理解的，但为了慎重起见，容易了解主要动作，使用流程图来进行说明。
图40中示出表示用于判断非常停止开关从断开切换到接通的处理程序的流程图。假设端子T12与T22(参照图34、35)为断开OFF(L)(步骤1001)。接着，在步骤1002中，进行T12是否是接通ON(H)的判断。这里，若判断为T12不是接通(步骤1002为“否”)，则前进到步骤1009，将非常停止开关判断为断开。相反，若T12为接通ON(H)(步骤1002为“是”)，则以系统间同步监视计时器不在启动中为条件(步骤1003为“否”)，在使系统间同步监视计时器启动后(步骤1004)，进行T22是否为接通的判断(步骤1005)。这里，若T22不是接通(步骤1005为“否”)，则接着待机到系统间同步监视计时器到时(タイムアツプ)(步骤1008)。期间若判断T22为接通(步骤1005为“是”)，则在执行后述的履历处理(步骤1006)后，判断非常停止开关为接通(步骤1007)。相反，若系统间同步监视计时器到时(步骤1008为“是”)，则判断非常停止开关为断开(步骤1009)。
接着，图41中示出表示用于判断非常停止开关从接通(ON)切换到断开(OFF)的处理程序的流程图。假设端子T12与T22为ON(H)(步骤1101)。在该状态下，若T12为ON(H)(步骤1102为“是”)、且T22为ON(H)(步骤1003为“是”)，则判断非常停止开关为ON。相反，若判断为端子T12、T22任一为OFF(L)(步骤1102为“否”或1103为“否”)，则判断非常停止开关为OFF(步骤1105)。
下面，参照图42-图44来说明利用安全开关动作时的接点焊接诊断。首先如参照图40来说明的那样，在安全开关动作时，在步骤1006中执行履历处理。该履历处理(步骤1006)对安全开关具有的2系统的输入信号T12、T22分别测量输入定时(タイミング)间同步错位时间，按时序将其存储在存储器中。
即，如图42所示，在履历处理(步骤1006)中，在使构成FIFO堆栈的存储器区域的指针每步进+1(步骤1201)的同时，向指针指定的地址存储图43(b)所示的同步错位时间T1。为了实现FIFO堆栈处理，在指针的值超过最终地址的情况下(步骤1202为“是”)，将指针的内容清为0(步骤1203)。
重复以上处理的结果，如图43A所示，在形成于基本模块2的RAM工作区域中的履历生成区域(参照图43A)中，依次存储在先说明的同步错位时间(T1)，作为安全输入的系统间的测定时间。即，在图43A的实例中，在指针指定的地址0001、0002、0003、0004、…、000F的区域中存储95ms、100ms、102ms、100ms、…、98ms等同步错位的时间(T1)。图43B的时序图中比较示出安全开关具有的2系统的输入端子T12、T22各自的接通定时，其上升沿的时间差为同步错位时间(T1)。另一方面，将这些同步错位时间(T1)与监视阈值(Th)相比，在同步错位时间(T1)超过监视阈值(Th)的情况下，如在先流程图中步骤1008所示，通过计时器的到时，判断非常停止开关为OFF(步骤1009)。
另一方面，图43A中示出的履历生成区域的内容可适当读出到个人计算机(PC)6。即，如图44的流程图所示，在基本模块中，读出接收数据(步骤1301)，若判断为读出的指令为安全输入的同步时间读出指令(步骤1302)，则读出仅被指定的履历数量的存储器的内容(步骤1303)，并基于此形成发送数据，返回到进行读出请求的个人计算机(PC)6(步骤1304)。
这样，如图40所示，在进行作为安全控制器的通常动作的同时，检测构成输入开关的第1系统的输入信号与第2系统的输入信号上升时间差(同步错位时间T1)，如图43A所示，将该时间差按时序存储在履历生成区域中，之后，在任意时刻，通过从个人计算机(PC)6送出规定的读出指令，如图44的流程图所示，从履历生成区域读出数据并形成发送数据，将其送出到个人计算机(PC)6侧。另一方面，个人计算机(PC)6侧也将从基本模块读出的一系列同步错位时间(T1)与适当的阈值相比，或曲线化该时序变化的程度，从而判断构成处理对象的安全开关的接点恶化状况，并用于推定到烧结的剩余时间等这样的各种用途中。
接着，图45中示出表示双手操作开关模式下的控制器的动作(输入判断部分)的状态变迁图。如图所示，在该状态变迁图中，存在由INITIAL#1、INITIAL#2、READY#1、TIMEOUT#1、TIMEOUT#3、ON、TIMEOUT#2、READY#2构成的8个状态。另外，这些状态间的移动条件如前面所述，用箭头和附加在箭头上的记号表示。如上所述，该状态变迁图的理解按照上述要领，只要是本领域的技术人员，是容易的，但为了慎重起见，参照图46-图48，容易理解地说明代表性动作。
图46中，当开始处理时，待机到端子T12与T22为OFF(L)且端子T13与T23为ON(H)(步骤1401)。在该状态下，若端子T12与T22变为OFF(L)且端子T13与T23变为ON(H)(步骤1401为“是”)，则接着进行端子T12是否为ON(H)的判断(步骤1402)。这里，若判断端子T12也为ON*H)(步骤1402为“是”)，则以接点间同步监视计时器不在启动中为条件(步骤1403为“否”)，在使接点间同步监视计时器启动后(步骤1404)，进行端子T13是否为OFF(L)的判断(步骤1405)。这里，若判断端子T13为OFF(L)(步骤1405为“是”)，则接着进行端子T22是否为ON(H)、且端子T23是否为OFF(L)的判断(步骤1408)。这里，若判断端子T22为ON且T23为OFF(L)(步骤1408为“是”)，则判断双手操作开关为ON(步骤1409)。
相反，在待机到端子T13为OFF(L)的期间(步骤1405为“否”)，若接点间同步监视计时器到时(步骤1406为“是”)，则判断双手操作开关为OFF(步骤1407)，结束处理。另外，若端子T22不是ON(H)且T23不是OFF(L)(步骤1408为“否”)，则以系统间同步监视计时器不在启动中为条件(步骤1410为“否”)，在使系统间同步监视计时器启动后(步骤1411)，待机到系统间同步监视计时器到时(步骤1412为“否”)。在此状态下，若系统间同步监视计时器到时(步骤1412为“是”)，则判断双手操作开关为OFF(步骤1413)。
下面，图48中示出表示判断双手操作开关从ON切换到OFF的处理程序的流程图。图中，假设端子T12与T22为ON(H)，且端子T13与T23为OFF(L)(步骤1501)。在该状态下，若端子T12为ON(步骤1502为“是”)、T22为ON(步骤1503为“是”)、T13为OFF(步骤1504为“是”)、且T23为OFF(步骤1505为“是”)，则判断双手操作开关为OFF(步骤1507)。
接着，图49中示出表示垫子开关模式下的控制器的动作(输入判断部分)的状态变迁图。该状态变迁图具有由INITIAL及ON构成的两个状态。这些状态间的移动是垫子OFF或遮挡ON之一，非常简单。若用流程图表示，则如图50所示，根据是否引起系统间短路(步骤1601)，判断为垫子开关OFF(步骤1602)或判断为垫子开关ON(步骤1603)。
下面说明组装在本实施形态所示基本模块或扩展模块中的各种检查处理。图51中示出表示模块检查处理的细节的流程图。所谓模块检查处理是在对主板上的扩展槽安装任意扩展槽的情况下，可自己诊断该任意扩展槽是否是预定种类的扩展槽的判断。该模块检查处理例如在图27所示其它诊断处理(步骤602)中执行。
图51中，当开始处理时，进行是否向对应于该槽的存储器分配ID的判断(步骤1701)。这里，若向存储器分配ID(步骤1701为“是”)，则从实际的模块中读出ID(步骤1702)，之后对照存储在存储器中的ID与从模块中读出的ID(步骤1703)，在二者不一致的情况下，识别为错误(步骤1704)，禁止启动控制器。对安装在主板上的全部槽进行以上处理的结果，例如在从个人计算机对各槽设定各种扩展模块，由于操作者失误等，在指定的槽中安装不同种类的扩展模块的情况下，通过该模块检查处理的执行，可防止误动作。
下面，图52中示出表示第1接点落下检查(バツクチエツク)用的连线方法的布线图，图53中示出表示为了该接点落下检查的处理的流程图。如图52所示，在基本模块2中设置反馈端子FB0。另外，在FB0与电源24V之间串联插入电磁开关MS1的辅助中断接点MS1-2与电磁开关2的辅助中断接点MS2-2。因此，通过观察反馈端子FB0的电压(H或L)，可确认在向电磁开关MS1、MS2送出安全输出信号后，电磁开关的主构造接点MS1-1、MS2-1实际上是否断开。即，如图53所示，在基本模块2内，监视在向端子T22、T32送出安全输出后，反馈端子FB0断开的时刻(步骤1801为“否”)。之后，在启动计时器后(步骤1802)，反馈输入为ON状态不变(步骤1803)，在监视时间超过设定值的情况下(步骤1804为“是”)，通过进行为错误的判断(步骤1805)，可尽早检测电磁开关MS1、MS2的主接点MS1-1、MS2-1的接点烧结事故等。
下面，图54中示出表示第2接点落下检查用的连线方法的布线图，图55中示出表示该检查用的处理的流程图(之1)，图56A、图56B中示出该流程图(之2)。在本例中，在扩展单元4A’侧设置2个反馈端子FB1、FB2。另外，这些反馈端子FB1、FB2中电磁开关MS1、MS2的辅助中断接点MS1-2、MS2-2分别经电源连接。由此，将中断接点MS1-2、MS2-2的ON/OFF状态分别取入扩展模块4A’，经主板上的总线送到基本模块2，从而可在基本模块2内单独进行电磁开关MS1、MS2的接点焊接诊断。
即，如图55的流程图所示，在对各槽进行扫描并同时判断为输出模块的情况下(步骤1901为“是”)，从输出为OFF的时刻开始(步骤1903为“是”)，在规定的监视时间经过的期间(步骤1906为“否”)，待机反馈输入ON(步骤1905为“是”)。之后，每当反馈输入ON(步骤1905为“是”)，则通过执行履历处理(步骤1908)，如图57A所示，将反馈测定时间存储在履历生成区域内。图56A中示出履历生成处理(步骤1908)的细节，另外，图56B中示出履历读出处理的细节。在该履历生成处理(步骤1908)中，如图56A所示，在图57A所示的履历生成区域内+1而更新指针(步骤2001)，同时每当指针超过最终地址(步骤2002)，则通过将指针更新为0(步骤2003)，向指针值所示的地址进行写入(步骤2004)。另外，如图57B所示，在使安全输出OFF后，观察反馈输入ON之前的反馈时间，并通过该时间变化是否达到监视阈值，可进行接点焊接诊断。
另一方面，图57A所示的履历生成区域的内容可适当读出到个人计算机(PC)6。即，如图56B的流程图所示，在基本模块中，读出接收数据(步骤2101)，若判断为读出的指令为反馈时间读出指令(步骤2102)，则读出仅被指定履历数量的存储器的内容(步骤2103)，基于此形成发送数据，返回进行读出请求的个人计算机(PC)6(步骤2104)。
这样，如图55所示，从输出断开的时刻开始，在规定的监视时间经过的期间，检测反馈输入接通的时间差，如图57A所示，将该时间差时序地存储在履历生成区域中，之后，通过在任意时刻从个人计算机(PC)6中送出规定的读出指令，如图56B的流程图所示，从履历生成区域读出数据并形成发送数据，之后送出到个人计算机(PC)6侧。另一方面，在个人计算机(PC)6侧，通过将从基本模块中读出的一系列反馈时间与适当的阈值相比，或曲线化该时序变化的程度，可用于以下各种用途中，即判断构成处理对象的电磁开关的接点恶化状况，或可推断至烧结的剩余时间。
下面，图58中示出附有动作状态监视器端子的安全控制器的说明图(之1)。本例中，通过将来自可编程控制器(PLC)的动作状态信号S1输入本发明的安全开关(SC)的监视器端子MT0中，进行是否是PLC使构成控制对象的装置动作的状态的判断。另外，在PLC未使该控制对象装置动作的状态下，即使假设根据来自安全开关的信号判断为危险状态的情况下，通过不使截断输出OUT2、OUT3输出，例如在维修作业或运转停止中，作业人员进入危险区域的情况下，不会每次安全开关动作，由于安全控制器(SC)而不经意地截断连接器(KM2、KM3)。即，由可编程控制器(PLC)来管理装置的控制系统，人的管理系统通过安全控制器(SC)来独立执行，由此只要是装置的控制系统不是有效状态，则即使假设作业人员进入危险区域，也不会从安全控制器产生截断输出。
图59中示出附有动作状态监视器端子的安全控制器的说明图(之2)。在本例中，如图中(a)所示，在现有装置的控制系统与人的管理系统中分别存在电磁开关KM1、KM2、KM3，由可编程控制器(PLC)使开关KM1进行ON/OFF动作，由安全控制器(SC)的输出OUT2、OUT3使开关KM2、KM3进行ON/OFF动作，如图中的(b)所示，从可编程控制器(PLC)向安全控制器(SC)提供动作指令信号S2，由安全控制器(SC)侧的监视器端子(MT1)接收该信号，由此施加互锁，在可编程控制器(PLC)不动作时，不输出截断输出OUT2、OUT3，可省略装置的控制系统中的截断开关KM1。
下面，图60A、图60B中示出利用输入电路的螺线管诊断的说明图。在本例中，如图60B的时序图所示，向图60A所示的螺线管连接端子E1、E2发送输出Aout、Bout，同时观察信号Ain、Bin，从而可判断螺线管SOL的接通故障及断路故障。该诊断处理如在先的流程图所示，可在电源接通后或通常模式中的处理等的适当定时下进行。
最后，图61A、图61B中示出对应于各安全开关的动作程序中的输出控制形态(之1)，图62A、图62B中示出该输出控制形态(之2)。
如图61A所示，在基本模块(main)的管理下，基本模块的输入部(INmain)或两个扩展输入模块(INadditional1、2)的任意之一中判断安全开关为OFF，使基本模块的输出部(OUTmain)或扩展输出模块(OUT1、2)的输出全部统一为OFF。
如图61B所示，在基本模块(main)的管理下，基本模块的输入部(INmain)或两个扩展输入模块(INadditional1、2)的任意之一判断安全开关为OFF时，使基本模块的输出部(OUTmain)与第1扩展模块的输出部(OUT1)瞬时OFF，使第2扩展输出模块的输出部(OUT2)断开延迟输出。
如图62A所示，在基本模块(main)的管理下，基本模块的输入部(INmain)进行安全开关的OFF判断时，使基本模块的输出部(OUTmain)也瞬时OFF，另一方面，两个扩展模块的输入部(INadditional1、2)的任意之一判断安全开关为OFF时，使这些扩展模块的输出部(OUT1、2)瞬时OFF。
如图62B所示，在基本模块(main)的管理下，基本模块的输入部(INmain)进行安全开关的OFF判断时，使基本模块的输出部(OUTmain)及两个扩展模块的输出部(OUT1、2)瞬时OFF，另一方面，两个扩展模块的输入部(INadditional1、2)的任意之一进行安全开关的OFF判断时，使这些扩展模块的输出部(OUT1、2)瞬时OFF。
这样，构成安全动作程序的安全开关的输入判断结果与输出控制状态的关系可事先组成各种形态。
另外，以上说明的安全动作程序在工厂出厂时固定装入，用户侧不能变更、操作，所以即使在向欧洲出口等时，若事先接受安全标准的认定，则即使用户侧进行对应于任何安全开关的设定，也不必在系统构成后每次接受安全的安全标准的认定。
如上所述，可知根据本发明，只要是事先预定的多种安全开关的任意之一，则可通过简单的操作对任一种安全开关设定必要的动作程序，并且即使在向欧洲等出口时，也不必在每次组装到安全系统时都接受安全标准认定。另外，根据本发明，除上述外，在构成包含多个安全开关的安全系统的情况下，或在已设的安全系统中增设安全开关等情况下，可以低成本来实现。
权利要求
1.一种安全控制器，具有基本模块、1个或2个以上的扩展模块、总线连接这些模块的附有扩展用槽的主板，在作为所述扩展模块的其中之一的输入扩展模块中，包含可连接1个或2个以上的安全开关的1个或2个以上的外部输入端子部；和从1个或2个以上的外部输入端子部取入安全输入信号用的输入电路，在作为所述扩展模块的其中之一的输出扩展模块中，包含可与危险源的输出控制系统连接的外部输出端子部；和向外部输出端子部送出安全输出信号的输出电路，在所述基本模块中，具备动作程序存储部件，针对预定的安全开关的各个种类，分别存储有规定安全输入信号的状态和安全输出信号的状态的关系的安全动作程序；开关种类设定部件，用于设定外部输入端子部和应连接于该外部输入端子部的安全开关的种类；和动作程序执行部件，选择存储在动作程序存储部件中的多种安全动作程序中的、对应于由设定部件设定的开关种类的安全动作程序，并对由设定部件设定的外部输入端子部执行该安全动作程序。
2.根据权利要求1所述的安全控制器，其特征在于所述基本模块中还包含可连接1个或2个以上的安全开关的1个或2个以上的外部输入端子部；从1个或2个以上的外部输入端子部取入安全输入信号用的输入电路；可与危险源的输出控制系统连接的外部输出端子部；和向外部输出端子部送出安全输出信号的输出电路。
3.根据权利要求1所述的安全控制器，其特征在于在所述基本模块中包含执行诊断程序的部件，该程序通过将从主板上的扩展用槽读入的模块识别信息和在基本模块侧设定的模块识别信息进行对照，从而诊断各扩展槽中是否安装有预定的扩展模块。
4.根据权利要求1所述的安全控制器，其特征在于所述基本模块中还具有故障诊断程序存储部件，按预定的安全开关的类别存储有故障诊断程序，该故障诊断程序进行连接于外部连接端子部的安全开关的故障诊断；和故障诊断程序执行部件，选择存储在故障诊断程序存储部件中的多种故障诊断程序中的、对应于由设定部件设定的开关类别的故障诊断程序，对由设定部件设定的外部输入端子部执行该故障诊断程序。
5.根据权利要求4所述的安全控制器，其特征在于在具有锁定解除用螺线管的电磁锁定式门锁开关的故障诊断程序中包含诊断锁定解除用螺线管的故障的螺线管诊断功能。
6.根据权利要求4所述的安全控制器，其特征在于故障诊断程序中包含履历生成功能，可根据从安全开关中所包含的一对联动接点到来的2系统信号间的时间差的随时间的变化来诊断安全开关的接点恶化。
7.根据权利要求4所述的安全控制器，其特征在于故障诊断程序中包含履历生成功能，可根据送出安全输出信号后而直到来自接触器辅助接点的反馈信号到来为止的时间差的随时间的变化来诊断接触器的接点恶化。
8.根据权利要求1所述的安全控制器，其特征在于在所述基本模块中包含执行输出监视程序的部件，该输出监视程序根据从设置在基本模块或扩展模块中的反馈输入端子取入的接触器辅助接点信号，监视构成危险源的输出控制系统的接触器状态。
9.根据权利要求1所述的安全控制器，其特征在于在所述基本模块中包含执行互锁程序的部件，该互锁程序根据从设置在基本模块或扩展模块中的可编程控制器动作状态输入端子取入的可编程控制器动作状态信号，控制可否进行作为所述安全动作程序的执行结果的输出动作。
10.一种安全系统，其特征在于具备有权利要求1所述的安全控制器、和连接于该安全控制器的1个或2个以上的安全开关。
全文摘要
一种安全控制器，若是事先预定的多种安全开关之一，则可通过简单的操作对任一种安全开关设定必要的动作程序，并且即使在向欧洲等出口时，也不必在每次组装到安全系统时都接受安全标准认定。在基本模块中具备动作程序存储部件，按预定的安全开关的种类，存储规定从外部输入端子部取入的安全输入信号的状态与送出到外部输出端子部的安全输出信号的状态的关系的安全动作程序；开关种类设定部件，用于设定外部输入端子部与应连接于该外部输入端子部的安全开关的种类；动作程序执行部件，选择存储在动作程序存储部件中的多种安全动作程序中的、对应于由设定部件设定的开关种类的安全动作程序，并对由设定部件设定的外部输入端子部执行该程序。
文档编号G05B19/04GK1521581SQ200410003969
公开日2004年8月18日 申请日期2004年2月12日 优先权日2003年2月12日
发明者河津武玄, 樋口敏之, 竹内寿, 高市隆一郎, 川池襄, 一郎, 之 申请人:日本制御机器株式会社, 欧姆龙株式会社