安全系统和控制装置制造方法

安全系统和控制装置制造方法
【专利摘要】本发明的课题是提供可进行用于明确地设定更切合实际的判定值的测定的、构成新的安全系统和构成该安全系统的控制装置。为此，提供在发生了符合预定的安全条件的事件时，使目标设备转移到安全状态的安全系统。安全系统包括：具有连续地收集有关安全条件的信息的监视功能的控制装置；以及汇总由控制装置收集到的有关安全条件的信息的管理装置。控制装置响应发生了符合安全条件的事件，使收集到的信息与发生定时相关联，同时在以该发生定时为基准的整个规定期间存储有关安全条件的信息。管理装置以发生定时作为基准，汇总有关安全条件的信息。
【专利说明】安全系统和控制装置
【技术领域】
[0001]本发明涉及在发生了符合预定的安全条件的事件时使目标设备转移到安全状态的安全系统和构成该系统的控制装置。
【背景技术】
[0002]许多的生产现场中使用的机械或设备都由可编程控制器(Programmable LogicContiOller ;以下也称为‘PLC’ )等控制。一般地，对于这样的机械或设备，有要提高运转率的需要。因此，例如，在特开2004-242480号公报(专利文献I)中，公开了监视输出电流从而可以尽早地掌握故障的预兆和异常的逆变器(inverter)装置。
[0003]除了要提高这样的运转率的需要以外，还有要确保生产现场的安全的需要。‘安全’是指即使有任何的危险(误操作、噪声、程序差错(programming miss)等造成的误指令的输出)以及故障(某些部件故障造成的功能损失)，也通过合适的安全功能，维持对人(作业者)的安全状态。作为这样的‘安全状态’的具体例子，是指机械或设备的电源/动力源被关断的状态。
[0004]用于实现这样安全功能的方法有各种各样，大多期望与机械或设备的动作的系统独立的安全系统。根据这样独立的安全系统，除了考虑安全来进行装置设计的装置设计者以外，即使是作业者或现场监督者这样的装置设计者以外的人也可以容易地验证安全功能的妥善性。
[0005]这样的独立的安全系统，代表性地以在发生了符合预定的安全条件的事件时关断供给到目标设备的电源/动力源的结构来实现。例如，即使导入用于检测电机超速的超速继电器、用于监视在监视区域内的作业者存在的安全扫描仪这样的提供更高度的安全功能的新技术，作为其输出形态，大多也只是关断供给到目标设备的电源/动力源这样的对应处理。因此，即便是发生了符合预定的安全条件的事件的情况下，只要事后知道伴随该事件的发生而_ ‘什么时候关断了电源/动力源’就足够了。
[0006]现有技术文献
[0007]专利文献
[0008]专利文献I特开2004-242480号公报
【发明内容】

[0009]发明要解决的问题
[0010]但是，在上述那样的、只是仅事后性地判断‘什么时候关断了电源/动力源’中，也在产生不足的事态。
[0011]例如，若导入使用三维的视频传感器等，以其检测出的数值判别是否安全的安全设备，或导入如多轴机器人那样的动作本身成为安全管理的对象的设备，则对于是否安全的判别情况、或作为判别的基准的阈值等，产生时序地事后确认的需要。为了充分地灵活使用这些设备产生的安全功能，不仅检测‘什么时候’，而且检测‘哪个功能’超过阈值‘多少’，所以为了确保安全而需要掌握关断电源/动力源这样的、系统的整体姿态。此外，在定时(timing)或判定值不合适的安全系统中，不必要地转移到安全状态(关断电源/动力源)。在这样的情况下，产生想事后验证在刚刚产生向安全状态的转移的之前和之后的状态的需要。
[0012]此外，在IEC(International Electrotechnical Commission ;国际电工技术委员会)61508等中，对于机器人等的复杂控制，不是以往的关断电源/动力源这样的安全对策，而是认定有采用了基于用于限定危险的系统设计方法制作的监视功能的安全对策(危险对策)的导入。
[0013]例如，一旦确定关系到时间、位置、速度、加速度这样的安全功能的判定值的数值，在装置导入后的变更或更新上占用很多的时间。这是因为根据IEC的规程，需要再次从头议论有关判定值的安全性，所以需要时间。因此，本发明的目的在于，提供可进行用于明确地设定更切合实际的判定值的测定的、构成新的安全系统和构成该安全系统的控制装置。
[0014]解决问题的方案
[0015]根据本发明的一个方案，提供在发生了符合预定的安全条件的事件时使目标设备转移到安全状态的安全系统。安全系统包括:具有连续地收集有关安全条件的信息的监视功能的控制装置；以及汇总由控制装置收集到的有关安全条件的信息的管理装置。控制装置响应发生了符合安全条件的事件，使收集到的信息与发生定时相关联，同时在以该发生定时为基准的整个规定期间存储有关安全条件的信息。管理装置以发生定时作为基准，汇总有关安全条件的信息。
[0016]优选地，在监视功能中，基于有关目标设备的动作的信号，判断是否发生了符合安全条件的事件，在发生了符合安全条件的事件时，将发生了符合该安全条件的事件通知给管理装置，同时输出将目标设备的动作停止的信号。
[0017]进一步优选地，管理装置从其中一个控制装置被通知发生了符合该安全条件的事件时，对于其他的控制装置，通知用于停止目标设备的动作的指令。
[0018]进一步优选地，控制装置还具有控制目标设备的动作的设备控制功能，监视功能中，对判断发生了符合安全条件的事件、以及接收来自管理装置的用于停止目标设备的动作的指令的至少一方进行响应，决定发生定时，同时对于设备控制功能输出用于停止目标设备的动作的指令。
[0019]或者优选地，控制装置与控制目标设备的动作的装置具有接口，监视功能中，对判断发生了符合安全条件的事件、以及接收来自管理装置的用于停止目标设备的动作的指令的至少一方进行响应，决定发生定时，同时对于控制目标设备的动作的装置，输出用于停止目标设备的动作的指令。
[0020]或者优选地，安全系统还包括对于控制目标设备的动作的装置输出信号的输出装置，监视功能中，对判断发生了符合安全条件的事件、以及接收来自管理装置的用于停止目标设备的动作的指令的至少一方进行响应，决定发生定时，管理装置在发生符合安全条件的事件时，通过输出装置，对于控制目标设备的动作的装置输出用于停止目标设备的动作的信号。
[0021]优选地，有关安全条件的信息至少包括表示是包含通常状态和安全状态的哪个状态的信息。[0022]根据本发明的另一方案，提供构成在发生了符合预定的安全条件的事件时使目标设备转移到安全状态的安全系统的控制装置。控制装置中，包括连续地收集有关安全条件的信息的监视功能，响应发生了符合安全条件的事件，使收集到的信息与发生定时相关联，同时在以该发生定时为基准的整个规定期间存储有关安全条件的信息，将存储的有关安全条件的信息发送到管理装置，以使其以发生定时作为基准能够汇总存储的有关安全条件的信息。
[0023]发明的效果
[0024]根据本发明的一个方案的控制装置，可以进行用于明确地设定更切合实际的判定值的测定。
【专利附图】

【附图说明】
[0025]图1是表示本实施方式的安全系统的结构的示意图。
[0026]图2是说明在图1所示的安全系统中光幕探测到有人闯入时的动作的图。
[0027]图3是说明在图1所示的安全系统中安全扫描仪探测到有人存在时的动作的图。
[0028]图4是说明在图1所示的安全系统中伺服驱动器的安全监视功能探测到超速时的动作的图。
[0029]图5是表示图1所示的安全系统的安全监视管理装置的结构的示意图。
[0030]图6是表示图5所示的安全监视管理装置的主处理单元的结构的示意图。
[0031]图7是表示图1所示的安全系统的伺服驱动器的结构的示意图。
[0032]图8是表示图1所示的安全系统的个人计算机的结构的示意图。
[0033]图9是示意地表示图1所示的安全系统的伺服驱动器的控制功能的方框图。
[0034]图10是用于说明借助伺服驱动器的安全监视功能进行日志信息的收集的图。
[0035]图11是示意地表示图1所示的安全系统的安全监视管理装置的控制功能的方框图。
[0036]图12是用于说明安全监视管理装置的汇总模块产生的汇总结果的图。
[0037]图13是表示伺服驱动器中的处理过程的流程图。
[0038]图14是表示安全监视管理装置中的处理过程的流程图。
[0039]图15是表示本实施方式的第I其他方式的安全系统的结构的示意图。
[0040]图16是表示本实施方式的第2其他方式的安全系统的结构的示意图。
[0041]标号说明
[0042]I安全系统、5工业用机器人、6限位传感器、7安全扫描仪、8光幕、9被监视设备、10安全监视管理装置、11主处理单元、12、13、14、151/0单元、16系统总线、20、21A、21B伺服驱动器、21电机控制功能、22安全监视功能、22A、22B安全监视装置、25电源、26连接器、301/0装置、40PLC、50、70个人计算机、60、62网络、102、222、224处理器、104芯片组、106、226、406RAM、108、228闪速存储器、110、224、408硬盘、112系统总线控制器、114网络控制器、116接口、118存储器卡接口、120存储器卡、210、2201/0单元、212控制电路、214变换器、215、217检测电路、216逆变器、402CPU、404R0M、410键盘、412鼠标、414监视器、416CD-R0M驱动装置、418CD-R0M、1002、2202通信模块、1004、2204安全条件存储单元、1006,2206安全条件文档、1008、2208判断模块、1012、2212FIF0缓冲器、1014、2214生成模块、1020日志信息存储单元、1022日志信息、1024汇总模块、2210输入模块。
【具体实施方式】
[0043]参照附图详细地说明本发明的实施方式。再有，对于图中的相同或相当部分，附加同一标号而不反复进行其说明。
[0044]<A.概要 >
[0045]本实施方式的安全系统，在发生了符合预定的安全条件的事件(以下也称为‘安全事件’)时使目标设备转移到安全状态。更具体地说，安全系统包括:具有连续地收集有关安全条件的信息的监视功能的控制装置；以及汇总由控制装置收集到的有关安全条件的
信息的管理装置。
[0046]更具体地说，在本安全系统中，在目标设备从通常动作的通常状态(监视状态)转移到安全状态的定时前后的整个规定期间，记录(logging)目标设备的状态值(速度、位置、开关状态值等)。例如，在驱动机器人等的伺服电机中，SLS (Safety-Limited Speed:安全限速功能)这样的安全功能装载在伺服驱动器上，基于来自伺服电机上安装了该安全功能的速度传感器的信息监视超速。在伺服电机的速度超过了预定的阈值的情况下，通过断路(shut-off)功能或ST0(Safety Torque Off ;安全转矩关闭)功能，关断对伺服电机的电力供给，转移到安全状态。
[0047]在本实施方式中，将指示向‘安全功能’的转移的信号作为触发，在整个规定期间收集和存储有关目标设备的状态数据。由此，通过安全功能，明确从通常状态向安全状态进行状态过渡的理由和/或定时。即，控制装置响应发生了符合安全条件的事件，使收集到的信息与发生定时相关联，同时在以该发生定时为基准的整个规定期间存储有关安全条件的信息。使该收集到的信息与发生定时相关联，代表性地说，是指在所收集的时序的信息中包括设定基准点的情况，用于在与其他装置等收集到的信息之间容易地进行定时匹配的处理。
[0048]管理装置以发生定时作为基准，汇总在控制装置中存储的有关安全条件的信息。例如，以同一发生定时作为基准，从多个控制装置收集状态值，以在同一时间轴上可比较的形态进行曲线显示。通过利用这样的曲线显示，可以适当地调整安全功能。
[0049]〈B.系统结构(基本结构)>
[0050]首先，说明本实施方式的安全系统I的概略结构。图1是表示本实施方式的安全系统I的结构的示意图。
[0051]参照图1，安全系统I包括:安全监视管理装置10 ;伺服驱动器20 ； I/O (InputOutput ;输入输出)装置30 ;以及PLC40。这些装置通过网络60彼此可数据通信地构成。在安全监视管理装置10上，连接个人计算机50。伺服驱动器20装载电机控制功能21和安全监视功能22。输入到1/0装置30的信号，主要传送到安全监视管理装置10。
[0052]作为一例，假设安全系统I监视包括目标设备即工业用机器人5的被监视设备9的安全。被监视设备9设定有进入限制区域，在该进入限制区域的进出口中，设有用于探测有人闯入的光幕(light curtain) 8。此外，在工业用机器人5的附近，假设设有用于探测有人存在的安全扫描仪7。
[0053]作为安全系统I中的预定的安全条件，在由光幕8探测到有人闯入时，或由光幕8探测到有人存在时，使工业用机器人5的动作停止。
[0054]此外，工业用机器人5具有用于产生其驱动力的伺服电机51，根据来自伺服驱动器20的移动指令(代表性地，脉冲串)进行动作。在伺服电机51上安装有未图示的编码器，通过该编码器检测的表示伺服电机51的位置的位置信息(或表示每单位时间的移动量的速度信息)被反馈到伺服驱动器20。
[0055]工业用机器人5中，还设有用于检测其动作范围的边界或限制位置等的限位传感器6。限位传感器6在工业机器人5到达预定的位置时输出导通(ON)信号，在除此以外时输出截止(OFF)信号。作为安全系统I中的预定的安全条件，在从限位传感器6输出导通信号时，使工业机器人5的动作停止。
[0056]如上述，在安全系统I中，在发生光幕8探测出有人存在、安全扫描仪7探测出有人存在、以及限位传感器6输出导通信号这样的符合预定的安全条件的事件时，使目标设备即工业机器人5转移到安全状态。
[0057]在安全系统I中，安装安全监视功能，以便能够事后验证向安全状态转移的理由等。在图1所示的例子中，作为代表例子，装载在伺服驱动器20上的安全监视功能22连续地收集有关安全条件的信息。再有，电机控制功能21控制目标设备即工业机器人5 (伺服电机51)的动作。
[0058]更具体地说，安全监视功能22以规定周期连续地收集(记录)来自目标设备即工业用机器人5 (伺服电机51)的位置信息和/或速度信息，另一方面，若发生符合如上述的安全条件的事件(安全事件)，则将该安全事件的发生作为触发，在收集到的信息(日志信息)中附加其定时。然后，安全监视功能22在发生了安全事件前后的整个规定期间，记录目标设备的状态值(位置信息和/或速度信息)。再有，还记录表示来自限位传感器6的导通信号/截止信号和状态(通常状态/安全状态)的信息。
[0059]于是，安全监视功能22响应发生了符合安全条件的事件，使收集到的信息与发生定时相关联，同时在以该发生定时为基准的整个规定期间存储有关安全条件的信息。
[0060]通过安全监视管理装置10或伺服驱动器20的安全监视功能来判断安全事件的发生。更具体地说，作为有关目标设备的动作的信号的一例，安全监视管理装置10基于通过I/o装置30接收的、光幕8和安全扫描仪7产生的探测信号(安全输入)，判断是否发生了符合安全条件的事件(安全事件)。
[0061]此外，伺服驱动器20的安全监视功能22，基于来自伺服电机51的位置信息或速度信息以及来自限位传感器6的导通/截止信号，判断是否发生了符合安全条件的事件(安全事件)。而且，安全监视功能22在发生了符合安全条件的事件时，将发生了符合该安全条件的事件通知给安全监视管理装置10，同时将停止目标设备即工业用机器人5 (伺服电机51)的动作的信号(STO)输出到安全监视功能22。该STO是用于使输出截止的安全功能。
[0062]另一方面，若从任何一个伺服驱动器20被通知发生了符合安全条件的事件(安全事件)时，安全监视管理装置10对于未图示的其他控制装置(可包括其他的伺服驱动器20)，通知用于停止目标设备的动作的指令。
[0063]如上述，在伺服驱动器20的安全监视功能22中，有通过本装置的判断功能，知道发生了符合安全条件的事件(安全事件)的情况和通过接收来自安全监视管理装置10的指令而知道发生了符合安全条件的事件(安全事件)的情况。在任何一个情况中，都将STO输出到安全监视功能22，同时记录安全事件的发生定时。而且，安全监视功能22在以该发生定时为基准的整个规定期间存储有关机械动作的信息(轴转速、位置、加速度等)。即，伺服驱动器20的安全监视功能22响应本装置产生的发生了符合安全条件的事件的判断、以及接收来自安全监视管理装置10的用于停止目标设备的动作的指令的至少其中一方，记录安全事件的发生定时，在以该发生定时为基准的整个规定期间存储有关机械动作的信息(轴转速、位置、加速度等)，同时对于电机控制功能21输出用于停止目标设备的动作的指令。
[0064]在图1所不的例子中，作为安全系统I的一部分记载了 PLC40,但优选安全系统I与PLC40独立地动作。PLC40根据预定的程序进行运算，依次生成用于使工业机器人5以预定的工作状况进行动作的指令，并每次输出到伺服驱动器20。伺服驱动器20的电机控制功能21根据来自该PLC40的指令，生成并输出对伺服电机51的移动指令。另一方面，在与来自PLC40的指令没有关系，而发生符合预定的安全条件的事件(安全事件)时，伺服驱动器20的安全监视功能22输出ST0，使电机控制功能21停止移动指令的生成和输出。
[0065]〈C.安全系统的动作>
[0066]下面，参照图2?图4，说明图1所示的安全系统I的动作概要。
[0067](Cl:光幕8的探测)
[0068]图2是说明在图1所示的安全系统I中光幕8探测到有人闯入时的动作的图。参照图2，在通常状态(监视状态)中，伺服驱动器20的安全监视功能22对每个规定周期记录目标设备的状态值(速度、位置、开关状态值等)((I)稳态记录)。再有，在临时地保持状态值的记录区域中也有上限值，所以如FIF0(First-1n First-Out ;先进先出)缓冲器那样，也可以依次丢弃从收集起超过一定期间的状态值。
[0069]若光幕8探测出有人闯入，则该探测信号通过I/O装置30被传输到安全监视管理装置10 ((2)闯入探测信号)。安全监视管理装置10判断通过I/O装置30从光幕8接收到的闯入探测信号是否为符合预定的安全条件的事件，如果是符合的事件，则判断为发生了安全事件((3)探测安全事件发生)。而且，安全监视管理装置10记录安全事件的发生定时((4)记录)。进而，安全监视管理装置10响应安全事件的发生，通知用于停止目标设备的动作的指令((5)停止指令)。
[0070]伺服驱动器20的电机控制功能21若从安全监视管理装置10接收用于停止目标设备的动作的指令，则将停止工业机器人5 (伺服电机51)的动作的信号(STO)输出到安全监视功能22 ((6) ST0)。而且，伺服驱动器20的电机控制功能21确定安全事件的发生，同时在以该发生定时为基准的整个规定期间存储目标设备的状态值((7)记录停止指令)。
[0071]而且，若完成了整个规定期间的状态值的存储，则该存储的数据自动或响应请求地被发送到安全监视管理装置10。
[0072](c2:安全扫描仪7的探测)
[0073]图3是说明在图1所示的安全系统I中安全扫描仪探测到有人存在时的动作的图。该动作与图2所示的光幕8探测到有人闯入时的动作是同样的。
[0074]具体地说，参照图3，在通常状态(监视状态)中，伺服驱动器20的安全监视功能22对每个规定周期记录目标设备的状态值(速度、位置、开关状态值等)((I)稳态记录)。
[0075]若安全扫描仪7探测出有人存在，则该探测信号通过I/O装置30被传输到安全监视管理装置10((2)存在探测信号)。安全监视管理装置10判断通过I/O装置30从光幕8接收到的存在探测信号是否为符合预定的安全条件的事件，如果是符合的事件，则判断为发生了安全事件((3)探测安全事件发生)。而且，安全监视管理装置10记录安全事件的发生定时((4)记录)。进而，安全监视管理装置10响应安全事件的发生，通知用于停止目标设备的动作的指令((5)停止指令)。
[0076]伺服驱动器20的电机控制功能21若从安全监视管理装置10接收用于停止目标设备的动作的指令，则将停止工业机器人5 (伺服电机51)的动作的信号(STO)输出到安全监视功能22 ((6) ST0)。而且，伺服驱动器20的电机控制功能21确定安全事件的发生，同时在以该发生定时为基准的整个规定期间存储目标设备的状态值((7)记录停止指令)。
[0077]而且，若完成了整个规定期间的状态值的存储，则该存储的数据自动或响应请求地被发送到安全监视管理装置10。
[0078](c3:安全监视功能22的超速探测)
[0079]图4是说明在图1所示的安全系统I中伺服驱动器20的安全监视功能22探测到超速时的动作的图。逐次比较来自伺服电机51的速度信息和预定的阈值，并根据速度信息超过了该阈值来判断该超速。
[0080]参照图4，在通常状态(监视状态)中，伺服驱动器20的安全监视功能22对每个规定周期记录目标设备的状态值(速度、位置、开关状态值等)((I)稳态记录)。
[0081]若来自伺服电机51的速度信息超过预定的阈值，则判断为超速(⑵探测超速)。而且，安全监视功能22将发生了安全事件通知给安全监视管理装置10((3)超速探测信号)。接收到超速探测信号的安全监视管理装置10判断为发生了安全事件((4)探测安全事件发生)，然后记录安全事件的发生定时((5)记录)。
[0082]此外，伺服驱动器20的电机控制功能21与超速探测信号的发送并行，将停止工业机器人5 (伺服电机51)的动作的信号(STO)输出到安全监视功能22 ((6) ST0)。而且，伺服驱动器20的电机控制功能21确定安全事件的发生，同时在以该发生定时为基准的整个规定期间存储目标设备的状态值((7)记录停止指令)。
[0083]而且，若完成了整个规定期间的状态值的存储，则该存储的数据自动或响应请求地被发送到安全监视管理装置10。
[0084](C4:小结)
[0085]图1所示的安全系统I归纳如下。即，安全系统I在从通常状态向动作禁止/动作限制这样的安全状态转移的定时，具有自动地取得日志(log)的功能。在图1所示的安全系统I中，该功能作为伺服驱动器20的安全监视功能22来安装。此外，伺服驱动器20的安全监视功能22，根据来自安全监视管理装置10的指令，可施加目标设备即工业机器人5 (伺服电机51)的紧急停止。
[0086]于是，在发生了符合预定的安全条件的事件时，即产生了对安全监视的违反判定时，安全部件即安全监视功能22成为预先定义的安全状态(关断状态)，确保安全，同时将向该安全状态的转移作为触发，在内部存储器中存储该状态前后的整个规定期间的信号监视值。随着向该安全状态的转移，执行安全确保动作，所以安全监视管理装置10和所连接的其他安全部件也都分别转移到安全状态。而且，以转移到安全状态的定时作为基准，在内部存储器中存储各个安全部件中的信号监视值(状态值)。[0087]这些存储的状态值的数据，由安全监视管理装置10和/或个人计算机50汇总，通过以转移到安全状态(确保了安全)的定时作为基准进行时刻匹配，可以再现多个安全部件协同动作的状况。而且，通过确认这些安全部件检测的状态值以及至预定的阈值的余量，可以容易地验证安全功能(阈值)的有效性。
[0088]通过读出这样存储的数据，可以追溯到先前确认状态。在违反作业员或现场监督员这样的用户、或装置设计者的意向，而转移到安全状态的情况下，需要调查是否按照原来的安全策略，但在本实施方式中，由于自动地存储彼此关联的信息，所以可以更容易并且在短时间内进行该验证和再设定。
[0089]此外，由于可以不关断与安全系统I同时使用的PLC40自身的电源，所以还可以保留与安全系统I的动作独立的控制信息的记录。
[0090]<D.装置结构>
[0091]下面，说明图1所示的安全系统I所包括的装置的结构。
[0092](dl:安全监视管理装置)
[0093]图5是表示图1所示的安全系统I的安全监视管理装置10的结构的示意图。图6是表示图5所示的安全监视管理装置10的主处理单元11的结构的示意图。本实施方式的安全监视管理装置10，作为代表例子，表示使用PLC来实现的例子。当然，也可以使用PLC以外的通用结构(architecture)的处理器来实现,也可以使用专用的硬件实现。
[0094]参照图5，安全监视管理装置10包括主处理单元11，和各种I/O (Input Output ；输入输出)单元12、13、14、15。单元间通过系统总线16可数据通信地连接。
[0095]主处理单元11，如后述，是管理安全监视管理装置10的整体处理的运算装置。I/O单元12、13、14、15是获取目标设备的状态数据，同时输出用于转移到安全状态的信号的接口。作为一例，I/O单元12是数字输入单元，接受导通/截止(0N/0FF)信号(数字输入:DI)。I/O单元13是数字输出单元，将导通/截止信号(数字输出:D0)输出到外部装置。I/O单元14是模拟输入单元，接受模拟信号(模拟输入:AI)，将该信号值变换为数字值并输出到主处理单元11。I/O单元15是模拟输出单元，根据来自主处理单元11的指令值(数字值)，生成对应的模拟信号，并输出到外部装置。
[0096]不需要I/O单元12、13、14、15的全部种类，而根据目标设备和预定的安全条件，适当选择I/o单元的数和种类。即，为了收集有关安全条件的信息，主要使用I/O单元12和14，为了向安全状态的转移，主要使用I/O单元13。而且，也可以采用可接受上述以外的信号的I/O单元。
[0097]下面，参照图6，说明安全监视管理装置10的主处理单元11的结构。主处理单元11包括:处理器102 ;芯片组104 ；RAM (Random Access Memory ;随机存取存储器)106 ;闪速存储器(FLASH) 108 ;硬盘(Hard Disk Drive) 110 ;系统总线控制器112 ;网络控制器114 ；USB接口 (I/F) 116;以及存储器卡接口 (I/F)118。
[0098]处理器102是通过执行在闪速存储器108等中存储的程序，用于实现安全监视管理装置10的功能的运算主体。作为一例，处理器102包括CPU (Central Processing Unit ；中央处理单元)和DSP (Digital Signal Processor ;数字信号处理器)等。芯片组104控制各个部件之间的数据的交换等。
[0099]RAM106具有作为工作存储器的功能，存储用于处理器102执行程序所需的各种数据和程序等，同时保持通过I/o单元收集到的数据(在本实施方式中，是有关安全条件的信息)。
[0100]闪速存储器108和硬盘110非易失性地存储各种数据。更具体地说，这些记录介质存储由处理器102执行的程序、以安全事件作为触发而收集到的有关安全条件的信息等。
[0101]系统总线控制器112通过用于在I/O单元12、13、14、15之间交换数据的系统总线16(图5)，控制数据传送。网络控制器114控制通过网络60(图1)的与其他装置之间的数据传送。USB接口 116是用于与进行编程等的辅迪装置(个人计算机)连接的通信接口。
[0102]存储器卡接口 118可安装存储器卡120，通过存储器卡120，将闪速存储器108或硬盘110中存储的数据输出到外部装置。
[0103](d2:伺服驱动器)
[0104]图7是表示图1所示的安全系统I的伺服驱动器20的结构的示意图。本实施方式的伺服驱动器20装载电机控制功能21和安全监视功能22。由于优选这些功能彼此独立，所以在本实施方式中，作为硬件也采用彼此独立的结构。但是，也不排除将硬件共用。
[0105]参照图7，伺服驱动器20包括:控制电路212、变换器(CONV) 214、逆变器(INV) 216、检测电路215、217、以及I/O单元210，以它们作为电机控制功能。
[0106]变换器214根据来自控制电路212的指令，将外部电源(商用电源)变换为直流。逆变器216接受由变换器214变换的直流电力，根据来自控制电路212的指令生成交流电力。该生成的交流电力被供给到伺服电机51。
[0107]检测电路215检测对变换器214的输入侧流入的电流值和电压值。检测电路217检测对变换器216的输出侧流入的电流值和电压值。
[0108]控制电路212根据通过通信接口(I/F)230从PLC40提供的指令值，基于通过I/O单元210收集的反馈信息(从伺服电机51反馈的位置信息/速度信息)、以及由检测电路215和检测电路217检测的电流值及电压值，控制变换器214和变换器216。
[0109]此外，伺服驱动器20包括:1/0单元220 ;处理器222 ;硬盘(HDD) 224 ；RAM226 ;以及闪速存储器(FLASH) 228，以它们作为安全监视功能22。
[0110]处理器222通过执行在硬盘224或闪速存储器228中预先存储的程序，实现安全监视功能22的处理。硬盘224和闪速存储器228非易失性地存储各种数据。更具体地说，这些记录介质存储由处理器224执行的程序、以安全事件的发生作为触发而收集到的有关安全条件的信息等。
[0111]RAM226具有作为工作存储器的功能，存储用于处理器222执行程序所需的各种数据和程序等，同时保持通过I/o单元220收集到的数据(在本实施方式中，是有关安全条件的信息)。
[0112]I/O单元220收集从伺服电机51反馈的位置信息/速度信息。也可以将I/O单元210和I/O单元220作为一个部件来安装，但从安全的观点来看，优选分别地安装。
[0113](d3:1/0 装置)
[0114]安全系统I的I/O装置30，在图5所示的PLC中，是取代主处理单元11，而配置了网络通信单元的装置。即，I/o装置30作为一种遥控I/O单元(装置)构成。该I/O装置30的主要的结构元件与图5中说明的I/O单元12、13、14、15是同样的。因此，不反复进行以上的详细的说明。[0115](d4:PLC)
[0116]安全系统I的PLC40与图5和图6所示的安全监视管理装置10的结构实质上相同。但是，PLC40与安全监视管理装置10的处理独立地控制对象的设备。另一方面，若从安全监视管理装置10被通知用于停止目标设备的动作的指令，则PLC40停止目标设备的动作。
[0117]其他的方面，由于参照图5和图6进行了说明，所以不反复进行详细的说明。
[0118](d5:个人计算机)
[0119]图8是表示图1所示的安全系统I的个人计算机50的结构的示意图。本实施方式的个人计算机50包括:执行包含OS的各种程序的CPU402 ;存储BIOS和各种数据的R0M404 ;提供用于执行CPU402中的程序所需的数据的作业区域的RAM406 ;以及非易失性地存储由CPU402执行的程序等的硬盘(HDD)408。
[0120]个人计算机50还包括:接受来自用户的操作的键盘410和鼠标412 ;以及用于对用户提示信息的监视器414。个人计算机50包括用于与安全监视管理装置10等进行通信的通信接口(I/F)420。
[0121]如后述，由个人计算机50执行的各种程序，存储在CD-R0M418等的记录介质中而流通。该 CD-R0M418 中存储的程序，由 CD-ROM (Compact Disk-Read Only Memory ;光盘只读存储器)驱动装置416读取，存储到硬盘408等。或者，也可以构成为从高层的主计算机等通过网络来下载程序。
[0122]〈E.控制功能〉
[0123]下面，说明本实施方式的安全系统I的控制功能。
[0124](el:伺服驱动器20的控制功能)
[0125]图9是示意地表示图1所示的安全系统I的伺服驱动器20的控制功能的方框图。图9所示的各块(模块)，代表性地通过对应于图7的安全监视功能22的硬件与软件协同来实现。
[0126]更具体地说，作为其控制功能，伺服驱动器20包括:通信模块2202 ;安全条件存储单元2204 ;安全条件文档2206 ;判断模块2208 ;输入模块2210 ；FIF0缓冲器2212 ;以及生成模块2214。
[0127]通信模块2202在与通过网络60连接的安全监视管理装置10之间交换各种数据。具体地说，通信模块2202从安全监视管理装置10接收安全条件和发生的安全事件，同时将由伺服驱动器20判断的发生安全事件通知给安全监视管理装置10。而且，通信模块2202将收集到的日志信息发送到安全监视管理装置10。
[0128]安全条件存储单元2204存储用于判断是否发生了安全事件的安全条件文档2206。该安全文档2206的设定内容(安全条件)可由安全监视管理装置10设定，也可以根据来自用户的设定而直接地设定。
[0129]输入模块2210收集有关安全条件的信息。有关该安全条件的信息，包含来自安全管理的目标设备等的现场(field)信息。该现场信息包含有关目标设备的动作的信息，作为一例，包含来自伺服电机51的反馈速度、通往伺服电机51的指令速度、通往伺服电机51的伺服指令位置、来自伺服电机51的反馈位置、表示伺服电机51的状态的状态标记、制动器等的数据端口的状态、输入信号的状态、来自PLC40等的定期更新的指令值等。这些信息可以任意地组合。
[0130]由输入模块2210收集到的现场信息被输出到FIFO缓冲器2212。此外，在这些现场信息中，作为安全条件设定的信息被输出到判断模块2208。
[0131]判断模块2208参照安全条件文档2206，基于有关目标设备的动作的信号判断是否发生了符合安全条件的事件。而且，判断模块2208在发生了符合安全条件的事件时，将发生了符合安全条件的事件(安全事件)通知给安全监视管理装置10。
[0132]此外，判断模块2208在发生了符合安全条件的事件时，输出将目标设备的动作停止的信号(STO)。判断模块2208在从安全监视管理装置10被通知了发生安全事件时，也输出将目标设备的动作停止的信号(ST0)。即，判断模块2208响应发生了符合安全条件的事件的判断、以及接收来自安全监视管理装置10的用于停止目标设备的动作的指令的至少一方，对于电机控制功能21输出用于停止目标设备的动作的指令。
[0133]此外，判断模块2208输出表示在各时刻处于包含通常状态和安全状态的哪个状态的状态值(例如，监视中/无效中/安全状态中)，作为有关安全条件的信息。
[0134]FIFO缓冲器2212在整个规定期间依次存储由输入模块2210收集到的现场信息和来自判断模块2208的状态值。S卩，FIFO缓冲器2212连续地收集有关安全条件的信息。
[0135]若发生安全事件，生成模块2214从FIFO缓冲器2212中提取发生了安全事件前后的整个规定期间的数据，生成日志信息。即，生成模块2214响应发生了符合安全条件的事件，使收集到的信息与发生定时相关联，同时在以该发生定时作为基准的整个规定期间存储有关安全条件的信息。此时，生成模块2214响应发生了符合安全条件的事件的判断、以及接收来自安全监视管理装置10的用于停止目标设备的动作的指令的至少一方，确定安全事件的发生定时。
[0136]由生成模块2214生成的日志信息，顺序或根据要求被发送到安全监视管理装置
10。再有，对于通过与预定的阈值的比较而发生安全事件的安全条件，生成模块2214同时发送对应的预定的阈值(设定值)。
[0137]图10是用于说明伺服驱动器20的安全监视功能22的收集日志信息的图。参照图10，作为有关安全条件的信息，假定收集(a)判断模块2208的状态值(通常状态/安全状态)、(b)伺服电机51的速度、(c)对伺服电机51供给的电流值的例子。
[0138]如图10所示，若在某个定时发生安全事件，并从通常状态转移到安全状态，则以该定时作为基准，存储该安全事件前后的整个规定期间(记录范围)的信息作为日志信息。如上述，通过使用FIFO缓冲器，顺序收集现场信息，在发生了安全事件时，还记录前于该时刻的现场信息。
[0139]再有，这些日志信息由安全监视管理装置10汇总，所以优选将时间轴共用。例如，利用在网络60中确保定时性而利用的定时器(或计数器)，也可以定义图10所示的时间轴。通过定义这样的时间轴，在与安全监视管理装置10侧汇总的各种信息同时汇总的情况下，也可以事后地确认各部件的时间性的工作状况。
[0140]也可以按其他方法进行时间匹配。例如，也可以由安全监视管理装置10定期地通知时刻，各装置装载GPS (Global Positioning Sensor ;全球定位传感器)接收机,利用在该GPS电波中包含的时刻信息。
[0141](e2:安全监视管理装置10的控制功能)[0142]图11是示意地表示图1所示的安全系统I的安全监视管理装置10的控制功能的方框图。图11所示的各块(模块)，代表性地通过构成图5所示的安全监视管理装置10的硬件与软件协同来实现。
[0143]更具体地说，作为该控制功能，安全监视管理装置10包括:通信模块1002 ;安全条件存储单元1004 ;安全条件文档1006 ;判断模块1008 ；FIF0缓冲器1012 ;生成模块1014 ；日志信息存储单元1020 ;以及汇总模块1024。
[0144]通信模块1002在通过网络60连接的伺服驱动器20和I/O装置30、PLC40之间交换各种数据。具体地说，通信模块1002接收伺服驱动器20发行的安全事件和/或I/O装置30收集到的有关安全条件的信息(现场信息)，同时将判断模块1008判断出的发生安全事件通知给伺服驱动器20 (以及未图示的其他伺服驱动器)和I/O装置30。而且，通信模块1002接收由伺服驱动器20收集到的日志信息。
[0145]安全条件存储单元1004存储用于判断是否发生了安全事件的安全条件文档1006。该安全条件文档1006的设定内容(安全条件)，代表性地也可以根据来自用户的设定而直接地设定。安全监视管理装置10的安全条件文档1006的设定内容和伺服驱动器20的安全条件文档2206的设定内容，可以彼此独立地设定，也可以在安全条件文档1006中仅将有关伺服驱动器20的文档作为安全条件文档2206来利用。
[0146]判断模块1008参照安全条件文档1006，基于有关目标设备的动作的信号来判断是否发生了符合安全条件的事件。而且，在发生了符合安全条件的事件时，判断模块1008将发生了符合安全条件的事件(安全事件)通知给伺服驱动器20 (以及未图示的其他伺服驱动器)和I/O装置30。
[0147]此外，若从任何一个伺服驱动器20被通知发生了符合安全条件的事件(安全事件)，判断模块1008将该通知还通知给其他伺服驱动器20和I/O装置30。即，若从任何一个伺服驱动器20被通知发生了符合安全条件的事件，判断模块1008对于其他伺服驱动器20和/或I/O装置30，通知用于将目标设备的动作停止的指令。
[0148]此外，判断模块1008输出表示在各时刻处于包含通常状态和安全状态的哪个状态的状态值(例如，监视中/无效中/安全状态中)，作为有关安全条件的信息。
[0149]FIFO缓冲器1012顺序存储在整个规定期间通过通信模块1002收集的现场信息和来自判断模块1008的状态值。即，FIFO缓冲器1012连续地收集有关安全条件的信息。该现场信息包含有关目标设备的动作的信息，作为一例，包含I/O装置30所连接的目标设备的各时刻的输出值和/或输入值、以及状态值等。这些信息可以任意地组合。
[0150]若发生安全事件，生成模块1014从FIFO缓冲器1012中提取发生了安全事件前后的整个规定期间的数据，并生成日志信息。即，生成模块1014响应发生了符合安全条件的事件，使收集到的信息与发生定时相关联，同时在以该发生定时为基准的整个规定期间存储有关安全条件的信息。此时，生成模块1014响应发生了符合安全条件的事件的判断、以及接收来自安全监视管理装置10的用于停止目标设备的动作的指令的至少一方，确定安全事件的发生定时。
[0151]由生成模块1014生成的日志信息、以及通过通信模块1002从伺服驱动器20等获取的日志信息被存储在日志信息存储单元1020中。在由多个伺服驱动器20构成的系统中，使同一安全事件相关联多个日志信息。即，日志信息存储单兀1002对应于同一安全事件的发生，有存储多个日志信息1022的情况。再有，生成模块1014对于通过与预定的阈值的比较而发生安全事件的安全条件，将该预定的阈值(设定值)和日志信息同时存储。
[0152]汇总模块1024使日志信息存储单元1020中存储的日志信息1022与安全事件的发生定时相关联地汇总。即，汇总模块1024将安全事件的发生定时作为基准，汇总有关安全条件的信息。而且，汇总模块1024输出将有关安全条件的信息汇总所得的结果。该结果输出，代表性地显示在安全监视管理装置10所连接的个人计算机50上。或者，可以采用打印机输出、邮件发送、基于Web的访问等任意的形态。
[0153]此外，安全监视管理装置10的汇总模块1024的功能，也可以通过由个人计算机50执行程序来实现。这种情况下，在安全监视管理装置10上，不需要安装汇总模块1024，而仅装载收集日志信息1022的功能。
[0154]图12是用于说明安全监视管理装置10的汇总模块1024的汇总结果的图。在图12中，表示在个人计算机50的画面上所显示的画面例子。
[0155]作为一例，假设安全监视管理装置10通过I/O装置30收集来自光幕8和安全扫描仪7的导通/截止信号，同时两个伺服驱动器20分别控制伺服电机I和2。而且，假设两个伺服驱动器20收集各自对应的伺服电机的有关安全条件的日志信息。
[0156]如图12所示，这些信息的时间性变化被显示，同时以符合安全条件的事件(安全事件)的发生定时为基准地确定该时间轴。在图12所示的画面例子中，对于(a)光幕8和(b)安全扫描仪7，是安全监视管理装置10收集到的日志信息，(c)伺服电机I的速度(伺服I速度)和(d)伺服电机I的电流值(伺服I电流)是第I伺服驱动器20收集到的日志信息，(e)伺服电机2的速度(伺服2速度)和(f)伺服电机2的电流值(伺服2电流)是第2伺服驱动器20收集到的日志信息。此外，(f)状态表示‘监视中’和‘安全状态值’这样的状态值。对于该状态，使用由安全监视管理装置10管理的状态值或由伺服驱动器20管理的状态值。
[0157]此外，对于速度和电流值，各自对应的阈值(设定值)被同时显示。如上述，这样的阈值(设定值)与日志信息相关联，从伺服驱动器20等发送。于是，通过将阈值(设定值)同时显示，可以一眼确认至超过阈值(违反设定值)为止的余量。
[0158]而且，在设定有多个阈值(设定值)的情况下，通过各个阈值和现场值的比较，根据其中一个安全功能，也可以明确地表示是否发生了安全事件。这种情况下，区分安全功能来收集和存储状态。
[0159]〈F.处理过程〉
[0160]下面，说明本实施方式的安全系统I的处理过程。
[0161](fl:伺服驱动器20的处理过程)
[0162]图13是表示伺服驱动器20中的处理过程的流程图。在图13所示的流程图中，分别表示电机控制功能21和安全监视功能22的处理过程。
[0163]参照图13，伺服驱动器20的控制电路212收集伺服电机51的控制上需要的信息(步骤S100)。具体地说，控制电路212收集来自PLC40的指令值、由检测电路215检测的变换器214的输入侧的电流值/电压值、由检测电路217检测的逆变器216的输出侧的电流值/电压值、以及从伺服电机51反馈的信号(速度信息/位置信息)等。该伺服电机51的控制上需要的信息被顺序记录。接着，控制电路212基于在步骤SlOO中收集到的信息，计算下一步骤的输出值(步骤S102)。接着，控制电路212判断处理器222是否发行STO(步骤S104)。如果发行ST0，则中断处理(步骤S106)。即，控制电路212使关断对伺服电机51的电力的断路(shut off)功能有效。相反，如果不发行ST0，控制电路212对伺服电机51供给电力(步骤S108)。更具体地说，控制电路212根据步骤S102中算出的输出值，控制变换器214和逆变器216。
[0164]再有，在图13中，为了便于说明，表示了在处理执行中的特定步骤中判断有无发行STO的例子，但代表性地，STO大多作为中断信号来安装，在这种情况下，即使是处理的其中一个阶段，断路功能也有效。
[0165]与该电机控制功能21并行地执行以下的安全监视功能22的处理。
[0166]S卩，处理器222收集有关安全条件的信息，并存储在RAM226 (FIFO缓冲器2212)中(步骤S200)。有关安全条件的信息被顺序地记录。接着，处理器222参照预先存储的安全条件文档2206，基于收集到的有关安全条件的信息，判断是否发生了符合安全条件的事件(安全事件)(步骤S202)。
[0167]在未发生符合安全条件的事件的情况下(步骤S202中为“否”的情况)，处理器222判断是否从安全监视管理装置10接收到发生了符合安全条件的事件的通知(步骤S204)。在从安全监视管理装置10未接收到发生了符合安全条件的事件的通知的情况下(在步骤S204中为“否”的情况)，反复进行步骤S200以下的处理。
[0168]与此相反，在发生了符合安全条件的事件的情况下(在步骤S202中为“是”的情况)，处理器222将发生了符合安全条件的事件通知给安全监视管理装置10(步骤S210)。接着，处理器222发行STO(步骤S212)。而且，处理器222记录发生了符合安全条件的事件的定时，在以该发生定时为基准的整个规定期间，收集伺服电机51的控制上需要的信息(轴转速、位置、加速度等)和有关安全条件的信息(步骤S214)。而且，若完成了在整个规定期间的伺服电机51的控制上需要的信息和有关安全条件的信息的收集，则处理器222生成日志信息(步骤S216)。处理器222最终将生成的日志信息发送到安全监视管理装置10(步骤S218)。然后，处理结束。
[0169]在从安全监视管理装置10接收到发生了符合安全条件的事件的通知的情况下(在步骤S204中为“是”的情况)，执行步骤S210以下的处理。
[0170](f2:安全监视管理装置10的处理过程)
[0171]图14是表示安全监视管理装置10中的处理过程的流程图。参照图14，处理器102收集有关安全条件的信息，并存储在RAM106 (FIFO缓冲器1012)中(步骤S300)。接着，处理器102参照预先存储的安全条件文档1006，基于收集到的有关安全条件的信息，判断是否发生了符合安全条件的事件(安全事件)(步骤S302)。
[0172]在未发生符合安全条件的事件的情况下(在步骤S302中为“否”的情况)，处理器102判断是否从其他装置(任何一个伺服驱动器20)接收到发生了符合安全条件的事件的通知(步骤S304)。在从其他装置没有接收到发生了符合安全条件的事件的通知的情况下(在步骤S304中为“否”的情况)，反复进行步骤S300以下的处理。
[0173]与此相反，在发生了符合安全条件的事件的情况下(在步骤S302中为“是”的情况)，或在从其他装置接收到发生了符合安全条件的事件的通知的情况下(在步骤S304中为“是”的情况)，处理器102将发生了符合安全条件的事件，对于所有的装置(伺服驱动器20和/或I/O装置30)通知发生了符合安全条件的事件(步骤S310)。S卩，处理器102对于构成安全系统I的全部装置，通知用于停止目标设备的动作的指令。
[0174]而且，处理器102确定发生了符合安全条件的事件的定时，在整个规定期间继续收集有关安全条件的信息(步骤S312)。而且，若完成了整个规定期间的有关安全条件的信息的收集，则处理器102生成日志信息(步骤S314)。
[0175]然后，处理器102顺序接收从其他装置发送的日志信息(步骤S316)，以对象的安全事件的发生定时作为基准，汇总日志信息(步骤S318)。然后，处理结束。
[0176]该汇总的日志信息，按照来自个人计算机70等的请求被适当输出。
[0177]<G.系统结构(第I其他形态)>
[0178]在上述实施方式中，例示了有关安全部件即安全监视功能22安装在伺服驱动器20内的结构，但也可以取代内置这样的安全监视功能22的结构而采用其他结构。以下，作为安全系统I的其他形态，说明以各自独立的装置实现电机控制功能21和安全监视功能22的形态。
[0179]图15是表示本实施的第I其他形态的安全系统IA的结构的示意图。图15所示的安全系统IA与图1所示的安全系统I比较，在伺服驱动器20被作为提供电机控制功能21的伺服驱动器21A和提供安全监视功能22的安全监视装置22A安装方面有所不同。
[0180]图15所示的伺服驱动器21A和安全监视装置22A分别用于执行上述电机控制功能21和安全监视功能22的控制，所以不反复进行详细的说明。但是，从安全监视装置22A到伺服驱动器21的ST0，通过网络60或直接连接的布线等来传输。
[0181]于是，安全监视装置22A具有控制目标设备即伺服电机51的动作的伺服驱动器21A的接口。而且，提供安全监视功能22的安全监视装置22A响应发生了符合安全条件的事件(安全事件)的判断、以及接收来自安全监视管理装置10的用于停止目标设备的动作的指令的至少一方，确定安全事件的发生定时，同时对于伺服驱动器21A输出用于停止目标设备的动作的指令。
[0182]〈H.系统结构(第2其他形态)>
[0183]如上述，还期望与机械和设备的动作的控制系统独立的安全系统。例如，安全监视管理装置10和PLC40连接到各自独立的网络。即使是这样的情况，也可以实现本实施方式的功能。
[0184]图16是表示本实施的第2其他形态的安全系统IB的结构的示意图。图16所示的安全系统IB与图1所示的安全系统I比较，在伺服驱动器20被作为提供电机控制功能21的伺服驱动器21B和提供安全监视功能22的安全监视装置22B安装的方面有所不同。而且，安全监视管理装置10和安全监视装置22B连接的网络60与PLC40和伺服驱动器21B连接的网络62彼此独立。因此，控制目标设备即工业机器人5(伺服电机51)的动作的装置结构和监视该目标设备的装置结构彼此不干扰。
[0185]图16所示的安全系统IB中，在安全系统(PLC40和伺服驱动器21B)探测到发生某些安全事件的情况下，作为使伺服驱动器21B和工业机器人5 (伺服电机51)的动作停止的结构，采用将对伺服驱动器21B的电源关断这样的结构。更具体地说，在从电源25对伺服驱动器21B供给的动力电源的路径上，设置连接器26，通过对该连接器26从I/O装置31输出关断信号，实现异常时的电源关断。I/O装置31连接到与安全监视管理装置10相同的网络60。
[0186]于是，安全系统IB包括对于控制目标设备即伺服电机51的动作的伺服驱动器21A输出信号的I/o装置31。通过安全监视功能22的安全监视装置22A响应发生了符合安全条件的事件(安全事件)的判断、以及接收来自安全监视管理装置10的用于停止目标设备的动作的指令的至少一方，确定发生定时。此外，若发生符合安全条件(安全事件)的事件，则安全监视管理装置10通过I/O装置31，对于伺服驱动器21A输出用于停止目标设备的动作的指令。
[0187]〈1.优点〉
[0188]如以往那样，若考虑在发生了安全事件时仅关断机械和设备的电源/动力源的安全系统，则假想以下的课题。即，若将用于控制对象装置的PLC和安全系统用的PLC的起动顺序弄错，则被误判断为发生了安全事件，有可能关断电源/动力源，这些起动过程复杂。此外，有在控制用PLC和安全系统用PLC之间输入/输出的数值的单位不同、各自的PLC用的设计软件彼此独立、控制用PLC和安全系统用PLC之间的定时调整困难的调整上的困难度。因控制用PLC和安全系统用PLC之间控制周期不同，或者即使模拟上取得同步而实际运用中产生控制周期的误差等理由，该定时调整不容易。
[0189]此外，在运用中解决问题不容易。这是因为安全设备将着眼点放在安全状态上，所以即使有任何误动作，该现象也成为‘不动’侧的现象，事后难以解决问题。此外，在安全状态中，由于电源被关断，所以难以确认造成了什么样的事件。
[0190]如上述，在本实施方式中，通过取得现场信息等的日志，可以在同步状态下追溯并确认各装置(部件)管理的当前值和对应的阈值(设定值)。通过参照这样的日志信息，可以事后地确认最终被判断为违反设定值而装置停止的原因。
[0191]根据本实施方式的安全系统的结构，可以用发生安全事件(发行STO等的安全确保信号)这样的简单的触发来取得日志。此外，无论哪个安全系统，由于电源/动力源的关断状态是安全的，所以可以适用原样保持共用的规格的多个安全系统。此外，由于以自动方式取得日志，所以即使是发生频度低的现象，也可以更容易地取得日志。此时，由于记录了装置的内部数据，所以不需要外部的测定器等。
[0192]例如，在被监视设备内，在I小时中必须进行几次10秒左右的简单作业的情况下，将对被监视设备的检修门(access door)作为安全门，若采用打开该安全门时每次关断电源的安全系统，则接通电源，至装置再起动为止的等待时间相对变大，可能压制作业效率。这样的情况下，取代关断要供给的电源，可以采用使用安全运行功能来确保装置的停止状态的方法。通过导入这样的安全运行功能，可以维持运算中途的计算值，所以通过继续输出动作指令这样的操作，有能够大幅度地减轻因再起动产生的时间损失的情况。
[0193]在导入这样的安全运行功能时，采用发现基于动作监视的控制异常的方法。在该方法中，兼顾装置的生产率和作业员的安全性，并且需要将装置的动作位置(动作范围)和人(作业员)能够进入的范围之间的调整进行优化。在这样的情况下，本实施方式的安全系统是合适的。
[0194]S卩，所谓的安全系统(安全部件)，若形成对安全监视的违反判定，则共同地进行将电源/动力源关断的动作。因此，与转移到安全状态的定时匹配，通过采用预先存储各个现场信息等这样的简单结构，事后从各安全部件中汇总数据，以确保安全的时刻(转移到安全状态的定时)作为基准来比较彼此的数据，从而可以确认和验证判定了违反安全监视时的运行状态和控制状态的余量等。
[0195]如上述，一般地，‘安全状态’依赖于电源/动力源的关断，所以未被确保安全的机械和设备包含监视系统，有可能全部被断路。因此，还有未正确地保存由控制系统记录的数据的情况，在以往的结构中，不容易测定调整用数据。相对于此，在本实施方式的安全系统中，使用以确保了安全状态的监视为主的装置，保存测定到的数据，所以根据紧急停止和监视异常等，可以用数值确认系统动作有多少为异常动作。由此，可以将该数据用于事后的改
盡
口 ο
[0196]本次公开的实施方式应该被认为在所有方面都是例示而不是限制。本发明的范围，不是上述的说明，而由权利要求书表示，意图包含了与权利要求书同等的意义和范围内的所有变更。
【权利要求】
1.一种安全系统，在发生了符合预定的安全条件的事件时使目标设备转移到安全状态，该安全系统包括: 控制装置，具有连续地收集有关所述安全条件的信息的监视功能；以及 管理装置，汇总由所述控制装置收集到的有关所述安全条件的信息， 所述控制装置响应发生了符合所述安全条件的事件，使收集到的信息与发生定时相关联，同时在以该发生定时为基准的整个规定期间存储有关所述安全条件的信息， 所述管理装置以所述发生定时作为基准，汇总有关所述安全条件的信息。
2.如权利要求1所述的安全系统， 所述监视功能中， 基于有关所述目标设备的动作的信号，判断是否发生了符合所述安全条件的事件， 在发生了符合所述安全条件的事件时，将发生了符合该安全条件的事件通知给所述管理装置，同时输出将所述目标设备的动作停止的信号。
3.如权利要求2所述的安全系统， 所述管理装置从其中一个控制装置被通知发生了符合该安全条件的事件时，对于其他的控制装置，通知用于停止所述目标设备的动作的指令。
4.如权利要求3所述的安全系统， 所述控制装置还具有控制所述目标设备的动作的设备控制功能， 所述监视功能中，对判断发生了符合所述安全条件的事件、以及接收来自所述管理装置的用于停止所述目标设备的动作的指令的至少一方进行响应，决定所述发生定时，同时对于所述设备控制功能输出用于停止所述目标设备的动作的指令。
5.如权利要求3所述的安全系统， 所述控制装置具有与控制所述目标设备的动作的装置的接口， 所述监视功能中，对判断发生了符合所述安全条件的事件、以及接收来自所述管理装置的用于停止所述目标设备的动作的指令的至少一方进行响应，决定所述发生定时，同时对于控制所述目标设备的动作的装置，输出用于停止所述目标设备的动作的指令。
6.如权利要求3所述的安全系统， 所述安全系统还包括对于控制所述目标设备的动作的装置输出信号的输出装置， 所述监视功能中，对判断发生了符合所述安全条件的事件、以及接收来自所述管理装置的用于停止所述目标设备的动作的指令的至少一方进行响应，决定所述发生定时， 所述管理装置在发生符合所述安全条件的事件时，通过所述输出装置，对于控制所述目标设备的动作的装置输出用于停止所述目标设备的动作的信号。
7.如权利要求1所述的安全系统， 有关所述安全条件的信息至少包括表示是包含通常状态和安全状态的哪个状态的信肩、O
8.—种控制装置，是构成在发生了符合预定的安全条件的事件时使目标设备转移到安全状态的安全系统的控制装置， 包括连续地收集有关所述安全条件的信息的监视功能， 响应发生了符合所述安全条件的事件，使收集到的信息与发生定时相关联，同时在以该发生定时为基准的整个规定期间存储有关所述安全条件的信息，将存储的有关所述安全条件的信息发送到管理装置，以使其能够以所述发生定时作为基准汇总 存储的有关所述安全条件的信息。
【文档编号】G05B19/05GK103543685SQ201310285523
【公开日】2014年1月29日 申请日期:2013年7月9日 优先权日:2012年7月11日
【发明者】植野纯一, 佐藤俊孝, 森川明彦, 牛山孝雄 申请人:欧姆龙株式会社