专利名称:安全网络系统及安全从动装置的制作方法
技术领域:
本发明涉及安全网络系统及安全从动装置。
背景技术:
在工厂自动化(下称“FA”)中所使用的可编程序控制器(下称“PLC”)由开关或传感器等输入装置输入ON/OFF信息,按照用梯形语言等编成的序列程序(也称为用户程序)进行逻辑运算,根据所求出来的运算结果把ON/OFF信息的信号输出到继电器或阀门、制动器等输出装置,由此来进行控制。
可是,输入装置以及输出装置与PLC的连接方式既可以直接连接到PLC,也可以通过网络连接。在构建由相关的网络连接的网络系统的情况下,上述ON/OFF信息的发送/接收就经由网络来进行。这时,通常以PLC侧为主机而机器侧为从动装置的主从方式进行信息的传送。
另一方面,最近,即使在由PLC进行的控制中,也在导入保险(安全)系统。既,PLC、各机器本身以及网络也都配上了安全功能。这里所谓的安全功能是指确认是“安全的”才进行输出的功能。安全系统是在紧急停止开关被按下,或者当网络系统处于光障之类的传感器检测到人体(身体的一部分)进入等的危险状态时,保险系统启动,使系统处于安全侧,而停止动作的系统。换言之,通过上述安全功能,只有在确认了机器安全才有动力输出使机械运转,而在不能确认安全的情况下,机械停止运转。
在具备上述安全功能的网络系统(安全网络系统)的情况下,从发生了异常、危险状态时起直到执行安全动作(装置的停止等)所需要的时间必须一定。也就是说,正如众所周知,如图1(a)所示,在以主从方式进行信息传送的情况下,各从动装置根据来自主机的要求把安全应答按顺序发回到主机。在图1所示的例子中,构成网络系统的从动装置为三个,这里使用的ON/OFF信息是称之为正常(安全)/异常(危险)的安全控制用的信息。最大应答时间保证一次通信循环所花的时间。
另一方面,要求定期或不定期地收集除了上述安全信息以外的从动装置的状态或通电时间或动作次数等的用来监视从动装置或连接在从动装置上的机器的补充信息(非安全信息)。通过取得有关的非安全信息,就能够进行例如判定机器寿命,在实际发生故障使系统停止之前进行更换。
但是,如上所述,在送出非安全信息的情况下,例如在图1(a)所示的例子中,考虑在通信循环1中全部发送非安全信息,而在下一个通信循环2中全部发送安全信息。但是,按照相关的方式,因为在通信循环1期间不能送出安全信息,结果最大应答时间就成为通信循环的2倍。
作为其他的方式,如图1(b)所示,对于来自主机的要求,能够返回在发送安全信息的安全应答中附加了非安全信息的信息。
当这样进行非安全信息的通信时,无论采取上述的任何一种方式都会影响通信量,并影响安全信息的通信性能。既,因为正在进行非安全信息的通信时显然不能进行安全信息的通信,所以该部分安全信息的送出就会延迟。
由于接受来自主机(安全PLC)的读出要求而返回安全从动装置具有的非安全信息,所以使相关非安全信息的读出间隔越小,就越能够监测线性非安全信息,但另一方面,读出要求的发布间隔越短,对网络通信量的影响就变得越大。
发明内容
本发明的目的是提供一种安全网络系统及安全从动装置,能尽可能地抑制对网络通信量的影响,同时能够有效地收集非安全信息。
按照本发明的安全从动装置是可连接在安全网络上的安全从动装置。具备根据经所述安全网络送来的来自安全控制器的要求,发送判定是否处于安全状态的安全信息的安全信息发送功能、存储关于所述安全从动装置的非安全信息的非安全信息存储装置、当存储在该非安全信息存储装置中的所述非安全信息满足一定条件时,向所述安全控制器发送至少满足条件的非安全信息的功能。在根据所述要求的一次通信循环中,所述非安全信息的发送可以等其他安全从动装置的安全应答终止之后进行。
可连接在安全网络上的安全从动装置也可以具备根据经所述安全网络送来的来自安全控制器的要求,发送判定是否处于安全状态的安全信息的安全信息发送功能、存储关于所述安全从动装置的非安全信息的非安全信息存储装置、存储用来发送所述非安全信息的条件的存储装置、判断所述非安全信息中存储的所述非安全信息是否满足所述条件的监视装置、根据该监视装置的监视结果决定发送时刻的决定装置。
另一方面,本发明所述的安全网络系统是通过安全网络把安全控制器和权利要求1或权利要求2所述的安全从动装置连接起来构成的网络系统,从所述从动装置输出的所述机器的信息被发送到所述控制器。
所述安全控制器管理的一次通信循环在接收来自所述各安全从动装置的安全应答后,也可以具有非安全信息的接收期间。
这里所谓的安全信息是至少包含安全从动装置和/或与其相连接的安全机器的状态是否为安全状态的信息的信息。当然也可以包含除此以外的信息。相对于此,所谓非安全信息是不包含上述安全信息的各种信息,例如,继电器的寿命、调查结果、通电时间、动作次数、机型信息等。在这里,“通电时间”或“动作次数”等是通过如计时器或计数器进行计时·计数来求出,再把所求出的当前时刻的数值作为非安全信息发送出去。另外,所谓“继电器的寿命”是预知寿命,即,这里所说的作为非安全信息的继电器的寿命不是指寿命已尽而不能安全动作的信息(这时成为安全信息处理),而是指虽然能安全动作但是接近进行保养(更换、调整修理等)的时期的预知信息。“调查结果”是指如统计的预知或检测出的信息。既,不是自诊断在从动装置侧是否安全的结果。该自诊断结果作为安全信息发送出去。另外,作为非安全信息的检查结果的例子,有虽然能安全动作,但①接近寿命,或②在恶劣的环境下使用,或③温度④振动状态⑤供电电压⑥是否是残酷使用状态…等信息。通过知道相关信息,能够尽早进行保养(更换、调整修理等),且能够防止寿命已尽而不能启动以及异常的影响变大等情况。另外,自诊断出来的结果也成为一种非安全信息。
另外,“安全功能”是指所谓的保险功能,是把处于安全状态输出为条件,使机械动作的系统。因此,在处于不安全的情况下,停止输出。就这样,在发生了异常的情况下或发生了通信异常时,能在控制器等的控制下被控制停止,同时通过控制器的停止能使输出对应的机器或控制机器维持安全的状态。
作为需要这种控制停止的情况的例子有,将控制器的CPU之外的其他各处理部等双重化且检测出两者不一致的情况、由于某种原因在网络中产生异常的情况、机械系统的紧急停止开关被按下的情况、处于光障之类的多光轴光电传感器检测到人体(身体的一部分)进入危险区域等的危险状态的情况等。在上述情况下,通过安全功能,确实能使控制对象的机械系统在安全状态下动作,或者在该动作之外使其停止在安全状态下,或者启动保险系统使机械系统在安全状态下强制性地停止动作。
另外,安全机器既具有被连接在安全从动装置的情况,也有安全机器本身成为安全从动装置,与安全控制器进行数据的发送/接受的情况。作为这种安全机器本身成为安全从动装置的具体例子有光障(多光轴光电传感器)。即,检测人进入危险区域的功能是安全机器(输入机器),而经由网络将检测结果的信号给主机进行通信的功能就成为安全从动装置。
另外,所谓关于安全从动装置的非安全信息的概念还包含连接到安全从动装置的安全机器的非安全信息,有时也仅仅是相关安全机器的非安全信息。
按照本发明,在收集并存储了非安全信息的安全从动装置侧,判断是否处于发送非安全信息的时刻,到达发送时刻时,向安全控制器发送非安全信息。即,不必那么频繁地发送非安全信息,只有达到某设定值时,才要求为进行保养或预知寿命而想知道非安全信息。是否达到相关设定值只有实际收集非安全信息的安全从动装置知道。
因此,通过将原本在以往的安全控制器侧所做的是否进行发送的决定,转移到安全从动装置,就能够在合适的时刻发送非安全信息。在安全控制器侧,接收到的非安全信息全部成为有意义的信息,能够高效率地进行信息的收集。
换言之,根据来自安全控制器侧的要求发送非安全信息时,有可能送出不必要或不太有益的非安全信息,有可能担心会对通信量产生坏影响,但是,根据本发明,因为只有达到预先设定的必要的发送时刻时才进行发送,所以,能够尽可能地抑制对网络通信量的影响。
另外,根据本发明,虽然在每一个通信循环中必须确保用来发送非安全信息的时间,但是通常在没有频繁地达到发送时刻的情况下,设定在一次通信循环中的用于发送非安全信息的时间只要有例如一份或儿份能够从安全从动装置发送的时间就够了,总的来看缩短了通信时间。假定只取一份发送时间,即使存在多个一次达到发送时刻的安全从动装置,由于在非安全信息的情况下并不那么紧急,所以未能发送的安全从动装置的非安全信息只要在下次以后的通信循环时发送出去就足够了。
另外,上述的各发明是安全从动装置根据来自安全控制器的要求发送安全信息或非安全信息的结构,但是本发明并限定于此,发送对方是任意的。
即,是一种可连接在安全网络上的安全从动装置,可以具备根据经所述安全网络送来的来自其他节点的要求发送判定是否处于安全状态的安全信息的安全信息发送功能、存储关于所述安全从动装置的非安全信息的非安全信息存储装置、当存储在该非安全信息存储装置中的所述非安全信息满足一定条件时,向所述其他节点发送至少满足条件的非安全信息的功能而构成。
这里所谓的其他节点是指连接在配置器(配置工具)或监视装置或其他从动装置等的安全网络上的节点。
此外,虽然上述各发明都是根据叫做来自发送对象的要求的外部触发脉冲发送安全信息或非安全信息的安全从动装置,但是本发明并不限定于此,还包括根据内部触发脉冲自发地发送安全信息或非安全信息的安全从动装置。
即,本发明所述安全从动装置是可连接在安全网络上的安全从动装置,能够具备当满足发送条件时,发送判定是否处于安全状态的安全信息的安全信息发送功能、存储关于所述安全从动装置的非安全信息的非安全信息存储装置、当存储在该非安全信息存储装置中的所述非安全信息满足一定条件时,向连接在所述安全网络上的其他节点发送至少满足条件的非安全信息的功能而构成。
图1是说明现有技术例的问题的说明图。
图2是表示本发明所述安全网络系统的一个实施例的示意图。
图3是表示安全PLC和安全从动装置之间的通信步骤的时序图。
图4是说明安全PLC(主机)的功能的程序框图。
图5是表示本发明所述安全从动装置的优选实施例的示意图。
图6是表示非安全信息存储部的数据结构的示意图。
图7是表示安全从动装置的MPU的功能(收集、存储非安全信息)的程序框图。
图8是表示非安全信息发送控制部的数据结构的示意图。
图9是表示安全从动装置的MPU的功能(控制发送)的程序框图。
图10是说明发送安全信息、非安全信息的作用的说明图。
图11是说明发送安全信息、非安全信息的作用的说明图。
图12是说明发送安全信息、非安全信息的作用的说明图。
图13是表示用来执行图12所示的处理的安全从动装置的MPU的功能(控制发送)的程序框图。
具体实施例方式
以下根据附图更详细地说明本发明。
图2表示本发明所适用的安全网络系统的一个实施例。如该图所示,安全PLC1(主机)和多个安全从动装置2经安全网络3连接起来。安全PLC1和安全从动装置2按主从方式进行信息的发送/接收。另外,在各安全从动装置2上除连接有安全门开关、安全限位开关或异常停止开关之外,还连接有各种输入机器或输出机器等安全机器4。另外,安全PLC1使用例如CPU单元、主机单元(通信单元)、I/O单元等多个单元连结构成的装置。这种情况下,主机单元连接在安全网络3上。
另外,监控工具(个人计算机等)5可连接在安全PLC1的CPU单元或主机单元上。如后面所述,该监控工具5经安全PLC1收集、管理有关安全从动装置2的信息,进而收集、管理有关连接在安全从动装置2上的安全机器4的信息。
构成该安全网络系统的各种装置都使用配备了安全功能(保险系统)的装置,这种安全功能是确认为安全并启动进行输出(控制)的功能。在处于危险状态的情况下,启动保险系统,使系统处于安全侧而停止动作。也就是说,该安全系统是在按下紧急停止开关,或者当网络系统处于光障等传感器检测到人体(身体的一部分)进入等危险状态时,保险系统启动,使系统处于安全状态,并停止动作的装置。换言之,是一种通过上述安全功能,只有在确认了是安全的情况下,才有动力输出并使机械运转的系统。进而,在不能确认为安全的情况下机械停止运转。
下面,在上述安全功能中,对构成本发明的主要部分的信息的发送/接收进行说明。首先,在安全PLC中配备有通信功能,与安全从动装置2之间按主从方式进行信息的发送/接收。与现有技术基本上相同,安全PLC1经安全网络3对各安全从动装置2顺次发出要求,接收到该要求的安全从动装置2返回作为安全应答的安全信息。
在此,如图3所示,在本发明中,从安全PLC1对各安全从动装置2按同时多址通信方式发出要求,如果接收到从全部安全从动装置2针对要求发来的安全应答,则并不立刻转移到下一个通信循环,而是设置一定期间的接收待机状态。该一定期间取为能够充分接收来自至少一个安全从动装置2的发送帧的时间。
即,该一定期间被设定为用来发送/接收非安全信息的期间。如后面所述,在安全从动装置2侧决定是否发送非安全信息,决定了发送非安全信息的安全从动装置2在上述一定期间的接收待机状态时向安全PLC1发送非安全信息。
即,虽然也可以不那么频繁地发送非安全信息,但在某种状况时,也有确实想要发送的时刻。但是,在作为对来自以往安全PLC1(主机)的要求的响应返回非安全信息的方式中,由于安全PLC1不知道安全从动装置2的状态,所以并不限定在想要发送上述非安全信息的时刻发出要求。因此,为了取得时刻刚好的非安全信息,必须较频繁地对全部安全从动装置2发出要求。相对于此,在本发明中,由于在安全从动装置2侧很简单地知道是否处于非安全信息的发送时刻,所以能够控制在必要时才确实发送非安全信息,而不必要时就不发送非安全信息。用于执行上述处理的安全PLC1的MPU中的具体的处理功能就是实施图4所示的程序框图的处理的功能。
即,一接通电源,就在规定的时刻,对全部安全从动装置2同时多址地发送要求(ST1,ST2)。然后,等待安全从动装置2的应答,一直等到接收超时为止(ST3,ST4)。在此,接收超时是指作出了发送要求之后超过了设定为一次通信循环的时间的超时。具体地说,是在用于接收来自全部安全从动装置2的安全应答的时间加上,加上能够接收来自至少一个安全从动装置2的非安全信息的时间所得到的时间。
在具有来自安全从动装置的应答的情况下(步骤4的分岔判断中的“是”),进入步骤5,判断是否是安全应答。如果是安全应答,再判断该安全应答(接收到的安全信息)的内容是否是“安全”(ST6)。如果其判断结果是异常(危险),则进入步骤9,启动保险系统,停止通信处理,进行输出切断处理(ST7,ST8)。在所接收到的内容是“安全”的情况下,返回到步骤3,等待下一次的接收。
另一方面,在步骤5的分岔判断中为“否”,即接收到非安全信息的情况下,进入步骤8,进行规定的非安全信息的接收处理。即,将接收到的非安全信息存储到存储器中,输出显示在监视器上等。然后返回到步骤3,等待下一次的接收。如果接收超时(步骤3的分岔判断中为“是”),因为这次通信循环的处理结束了,所以转移到下一个通信循环的处理(ST7)。以后重复进行上述处理。
另外,虽然省略了程序框图中的表记,但是实际上在接收超时时,判断是否接收到了来自全部安全从动装置2的应答。当然,为了进行相关的判断,要存储接收到安全应答的安全从动装置的编号。所以,当存在未接收的安全从动装置的情况下,可以推定为在网络上出现了异常,所以进行步骤9中的通信停止处理。另外,不仅可以如上所述的仅存在一次不能接收的安全从动装置的情况下就停止,也可以设计成在连续N次不能通信的情况下,进行通信停止处理。这些处理都是以往进行的那些处理。
另一方面,安全从动装置2具有根据来自安全PLC1的要求返回安全应答的功能、收集并存储非安全信息的功能、按规定的时刻对安全PLC1发送所存储的非安全信息的功能。图5示出了实现相关功能的具体的内部结构。如该图所示,安全从动装置2具有网络接口21、安全机器接口22以及MPU23,所述网络接口21连接在安全网络3上,和安全PLC1(主机)之间进行数据的发送/接收,所述安全机器接口22用于和连接到安全从动装置2的安全机器(省略图示)之间进行数据的发送/接收的,所述MPU23读出存储在ROM24内的程序,并适当地使用系统RAM25的存储区域而进行规定的处理。MPU23根据通过网络接口21接收到的来自主机的要求,将通过安全机器接口22从安全机器取得的安全信息(安全/危险)通过网络接口21、安全网络3返回到安全PLC1。
另外,安全从动装置2本身也能成为安全机器,这种情况下,就不是安全机器接口22,而是成为检测有无安全的安全机器部。此外,安全从动装置2中的上述各构成以及动作原理都与以往的一样,所以省略其详细说明。
另外,MPU23具备监视安全机器4的动作状态(通电时间、ON/OFF次数等)的监视功能,也进行将启动该监视功能所得到的动作状态等机器信息存储在非安全信息存储部26内的处理。而且,根据后述的程序,把存储在该非安全信息存储部26内的非安全信息(机器信息)发送到安全PLC1。
并且,作为非安全信息存储部26的数据结构,如图6所示的那样。这里所谓的输入1,2,3,…是安全从动装置2的接点(端子座)的编号。另外。在图中所示的各著录项目中,机种、制造厂名、型号、寿命设定是预先著录的。具体地说,例如,利用连接在安全PLC1或安全网络3上的工具,通过安全网络3将必要的信息发送到安全从动装置2,从直接连接在安全从动装置2上的工具发送信息,安全从动装置2的MPU23通过网络接口21取得相关的信息,同时与接点编号相结合著录在非安全信息存储部26中。这里所说的寿命设定是例如构成寿命的通电时间,或动作次数,或由这些值用规定的计算公式求出来的值等。在寿命已尽时,因为该安全机器4达到更换时期,所以,寿命结果就变得异常,而通知安全信息(异常)。
另外,状态、动作次数、通电时间、通知标志等在实际的系统运行中由MPU23收集并记录。这里的状态是识别安全机器4是(ON状态)否(OFF信息)正在运转的信息,动作次数是表示安全机器4的接点的ON/OFF次数的信息,通电时间是安全机器4通电的累计时间。另外,寿命结果存储寿命是否已尽(正常)。在安全从动装置2上还设置有显示部,可以显示存储在非安全信息存储部26内的机器的信息。
上述通电时间和继电器ON/OFF次数等的收集算法,如图7所示的程序框图。即,MPU23进行自诊断和安全输入监视(ST11)。即,自诊断是检查在被连接的安全机器4中是否未发生异常的检查,这种处理本身是公知的现有技术。安全输入监视是监视来自被连接的安全机器4的输入。在有异常或有输入的情况下,也要判定是有关哪个安全机器4的信息。
接下来,用在步骤11进行的自诊断·安全输入监视的结果来判断异常检测或安全输入是否是OFF(不安全·危险)(ST12)。如果检测到异常等,就进行异常处理(ST13)。即,将异常状态等存储在图中省略的安全信息存储部的相应接点编号中的自诊断结果或ON/OFF信息栏内。该自诊断结果等对应于来自安全PLC1的安全信息的要求,作为安全应答发送出去。
另一方面,在步骤12的分岔判断中为“否”,即为安全状态的情况下,更新通电时间(ST14)。该更新处理例如是用计时器计量从上次更新处理到现在为止的时间(安全机器4停止中(不通电)不计时,暂时停止),在上次更新处理时的通电时间上加上从上述计量的更新处理到现在为止的通电时间所得到的值作为新的通电时间,将该通电时间存储在非安全信息存储部26内。
接着,判断安全机器4的输入状态是否从OFF(上次)变到了ON(这次)(ST15)。即,在上次OFF的情况下,经步骤13处理非安全信息存储部26的ON/OFF信息栏成为OFF,因此,相关的相应接点编号的ON/OFF信息为OFF的情况下,该分岔判断就为“是”。由此,进入步骤16,动作计数进1(ST16)。将该动作计数著录在非安全信息存储部26的动作次数栏内的同时,使非安全信息存储部26的状态栏为ON。就这样,由于一旦一次动计数增进,状态就变为ON,所以在该次循环中进行了步骤15的分岔判断的情况下(进程中不为安全输入OFF的情况下)就为“否”,不进行动作计数。因为已经登录为ON状态,所以即使不再写入ON状态也没有问题。以后,通过重复进行上述处理就能够收集存储安全机器4的状态。
另外,如上所述,通电时间或动作次数的计时/计数也可以在安全从动装置2侧用计时器·计数器进行,在连接于安全从动装置2上的安全机器4侧对通电时间或动作次数进行计时·计数的同时,也可以始终在安全机器4侧进行存储,使安全从动装置2按规定的时刻读取存储在安全机器4内的存储信息。
另外,在本实施例中,设置有非安全信息发送控制部27,决定发送存储在非安全信息存储部26中的非安全信息的时刻,在本实施例中,该非安全信息发送控制部27是存储通知非安全信息的发送时刻的阈值的存储器。
也就是说,如图8所示,非安全信息发送控制部27的数据结构是在通电时间、继电器ON/OFF次数和通信重发次数中存储有一个或多个发送时刻。如果按通电时间计,是指在通电时间超过200小时、400小时、600小时、800小时时,向安全PLC(主机)1通知当前值。而在继电器的ON/OFF次数的情况下,是指在超过3000次、5000次、8000次、10000次时,向安全PLC1通知当前值。另外,如果是重发次数,就是指在通信循环在500次、1000次、1500次、2000次时,向安全PLC1通知该时刻的重发次数。
关键在于能够知道寿命进程中达到哪个区段就行。例如,在继电器的ON/OFF次数的情况下,如图所示,既可以是5000、8000等的区段数值,也可以用比例来决定。例如,如图6中的输入1的门开关,如果寿命设定为80000(次或小时),则可以设定成三分之一的26667次或80%的64000次。即,在认为安全动作的范围内,只要能够得到表示寿命经过(消耗过程中的经过)到哪一段的信息就行。
这样,通过网络信息(通信出错时的重发次数、输入输出应答时间等)的通知,就能够实现网络环境改善方面的明确化或应答时间(在安全对应系统中是安全停止时间)的优化。即,在具有频繁发生异常·故障的安全机器时,因为能够预测到存在某种问题,所以能够实现变更使用的机器本身等的系统的变更。
另外,上述通电时间或继电器ON/OFF次数可以通过访问非安全信息存储部26取得。而且,由于控制·执行通信的芯片本身存储保持着通信循环或重发次数的信息,所以通过收集相关的信息就能够判别是否达到了发送时刻。即,在本实施例中,是否达到了非安全信息的发送时刻的实际判断是由MPU23访问非安全信息发送控制部27来取得各非安全信息的发送时刻,同时访问非安全信息存储部26来判断是否达到了发送时刻。一旦检测到达到了发送时刻的非安全信息,就发送相应的信息。
另外,作为发送的非安全信息当然不限于上述的信息,也可以是如将自诊断结果作为非安全信息发送。即,在自诊断为异常的情况下,也可以发送表示该异常的主要原因的信息。例如,作为内装光障功能的装置的自诊断异常主要原因信息,有连结配线异常、外部继电器监视器异常、干涉光异常、控制输出异常以及传感器破坏等。
图9所示的程序框图就是MPU23中的安全信息和非安全信息的发送控制算法。即,接通电源后,等待从安全PLC(主机)送来的要求(ST21,ST22),一旦接收到要求,就作出安全应答(ST23)。即,通知安全状态(安全/异常)。
然后,判断是否达到了非安全信息的发送时刻(ST24),即,判断存储在非安全信息存储部26内的既定信息或通信次数是否达到了存储在非安全信息发送控制部27内的设定值,或者判断有无应通知的自诊断结果等。在达到非安全信息的发送时刻的情况下,发送相应的非安全信息(ST25)。如果不是相关的发送刻时,就决定在这次通信循环中不发送非安全信息,不进行处理(ST26)。以后,通过重复进行上述处理,根据来自安全PLC(主机)1的要求作出安全应答,同时在达到了非安全信息的发送时刻的情况下,以安全从动装置2侧为主体积极地发送非安全信息。另外,非安全信息的发送是监视接收上述要求后在安全网络3上传输的数据并确认发送帧并未被传送出去之后进行发送。
另一方面,由本实施例中的网络接口21进行的安全网络3上的数据的发送/接收、通信协议使用CAN(Controller Area Network控制器区域网)。即,如众所周知的那样,在CAN中,在数据链层上进行优先顺序管理,对通信线路上的数据进行线“或”处理,当数据「1」和数据「0」重复的情况下,在线路上呈现数据「0」。这时,各安全从动装置2分别把自己要发送的发送帧(安全信息)发送出去,同时监视线路上的数据,并判断线路上传输的数据与自己发送出去的数据是否一致,如果不一致,则判断为没有这次发送的权限,停止发送此后的数据。
这样,通常发送帧按信息要点、发送对方地址·发送源地址、发送的数据的顺序排列,所以,能够从小的发送源地址即各安全从动装置2的节点编号地址开始按顺序发送。因此,如图3所示,对于来自安全PLC的同时多址发送的要求,安全从动装置2就按①→②→③的顺序返回安全应答。
按照上述的实施例,如图10所示,不处于非安全信息的发送时刻的情况下,各安全从动装置2返回安全应答之后,各安全从动装置2原处等待接收下次的要求。另外在图中,安全从动装置①用S1表示,安全从动装置②用S2表示,安全从动装置③用S3表示。既,在第N次通信循环中,仅仅进行安全应答,然后结束处理。
接下来,一旦超过设定于一次通信循环的时间而接收超时,则安全PLC(主机)1就发出下一个要求,所以,各安全从动装置接受该要求并按顺序作出安全应答。而且,在该第N+1次通信循环中,由于某安全从动装置2到达非安全信息的发送时刻(既定的非安全信息超过所设定的阈值),所以安全应答结束后,发送非安全信息。这时发送的非安全信息仅被作为超过了设定的非安全信息。因此,能够抑制发送的数据量,并能够在短时间进行发送。当然,也可以设计成一并发送超过阈值的非安全信息以外的信息。
在上述的实施例中,从各安全PLC1对各安全从动装置2发出的要求按多址同时发送方式进行发送,但是本发明并不限于此,例如,如图11所示,也可以同样适用对各安全从动装置2按①→②→③的顺序发出要求,接受了要求的安全从动装置2按顺序返回安全要求。如图所示,即使在这种情况下,存在超过所设定的阈值并达到了非安全信息的发送时刻的非安全从动装置的情况下,发送非安全信息,而在未达到相关的时刻的情况下就不发送非安全信息。
在上述的实施例中,虽然分别记载了非安全信息发送控制部27和非安全信息存储部26,但也可以收纳为一个表。另外,在上述实施例中,非安全信息发送控制部27作为存储阈值的存储器,实际的判断是由MPU来进行,该阈值成为判断是否达到发送时刻的判断标准,但是,也可以设计成非安全信息发送控制部27监视非安全信息存储部26,在达到了发送时刻的情况下,对MPU23发出触发脉冲。
在上述实施例中,在一次通信循环内,在发送安全信息的安全应答期间之后设置了发送非安全信息的期间,但是本发明并不限于此,特别是也可以不设置发送非安全信息的时间。即,例如,在达到非安全信息的发送时刻的情况下,发送非安全信息来替代安全信息。
也就是说,从安全PLC送来安全要求的情况下,通常作出安全应答,而达到非安全信息的发送时刻的情况下,发送非安全信息。这时,以所述安全从动装置处于安全状态为条件发送非安全信息。所谓发送非安全信息是指保障安全从动装置的安全。因此,在安全从动装置处于安全状态的情况下,通过安全PLC接收安全信息(安全)来直接确认安全从动装置处于安全状态,或者通过接收非安全信息来间接确认安全从动装置处于安全状态。假定处于发送非安全状态的时刻为不安全状态时,发送称为“不安全”的安全信息(危险·异常),所以为不安全状态的情况下启动保险系统之前的应答时间就可以不被延长。换言之,从动装置(安全从动装置)能够把非安全信息通知到主机(安全控制器),而不影响安全网络的通信量。
这种情况下,由于安全PLC侧并不知道接收到的数据帧是安全信息还是非安全信息,所以,例如可以在发送帧上附加区别它们的标志。
另一方面,上述实施例中说明的从动装置是表示在主机单元之间发送/接收I/O信息,经由该主机单元与控制器(PLC)进行相关的I/O信息的发送/接收,以此来进行系统的控制的实施例;并且说明了称之为所希望的从动装置在主机单元和从动装置之间对来自主机的要求返回应答的主从方式。但是,本发明中所说的从动装置并不限定于主机-从动装置之间进行通信的装置。即,称之为从动装置的装置可以采用任意种通信方式。严格来讲,可以说这一点包含与一般意义的从动装置不同的概念。
总之,本发明中所说的从动装置如果有与控制器进行发送/接收控制所必要的I/O信息的功能的话,发送/接收安全信息或非安全信息时的通信协议是任意的。另外,本发明中作为发送对象的安全信息、非安全信息的发送对方地址并不限于主机单元或控制器,可以是连接在网络上的监视器装置或配置工具或其他从动装置以外的装置等的自身节点以外的装置、即其他节点。
通信方式也可以根据发送对象进行适当地选择。当然,用于发送的触发脉冲也不限于如上所述,既,如来自上述主机的要求那样根据来自外部的要求(例如,来自监视器装置或配置工具等的要求)来进行,也可以根据内部触发脉冲(内部的时钟脉冲、符合一定条件时产生的事件等)来发送。
这里,所谓“内部触发脉冲”是指基于安全从动装置本身进行预定处理的结果的触发脉冲,是在安全从动装置内部生成的。下面描述的是内部触发脉冲的一例。即,可以在发生了异常状态时,或由安全从动装置取得的输入输出机器的状态信息达到阈值,或判断是否超过了阈值时,产生该判断结果。具有将该判断结果作为触发脉冲信号利用的例子。另外,也具有在安全从动装置内保持计时,通过该计时,每经过规定的时间,就周期性地生成触发脉冲信号,或在规定时刻生成触发脉冲信号的例子。
如果进一步详细说明上述的内部触发脉冲,上述内部触发脉冲具有用来决定安全从动装置发送信息的时刻的脉冲,以及在满足发送该信息时用于发送非安全信息的条件的情况下产生的脉冲。前者作为决定发送信息的时刻的内部触发脉冲,有内部时钟达到一定时间的情况,或发生了条件事件的情况等。而后者作为非安全信息的通知条件的内部触发脉冲,具有作为非安全信息而收集的值超过了阈值的情况,或者需要通知自诊断结果的情况。当然,作为该非安全信息的通知条件,也可以设置内部时钟,也可以设置成在经过比通常的发送间隔更长的规定期间的情况下产生通知非安全信息的触发脉冲。
各安全从动装置在根据自己的内部时钟发送信息的情况下,如果其他安全从动装置已经在发送之中,就停止发送,如果要同时发送,但在网络上有冲突时,最优先的安全从动装置(节点编号最小的安全从动装置)原样继续通信。由此,在一次通信循环中,就能够按规定的顺序从各安全从动装置顺序地发送信息。而且,通过适当地设置发送时钟,以后就能够按该顺序稳定地重复进行信息的发送。
在从安全从动装置侧根据内部触发脉冲自发地发送信息的情况下,不是对来自主机的要求的应答,而是如图12所示的那样,各安全从动装置可以分别按适当的时刻发送安全信息,根据需要发送非安全信息。如上述的实施例那样,既可以把主机作为这时的发送对方地址,也可以把配置工具等其他的装置作为这时的发送对方地址。
作为用于进行相关处理的安全从动装置的功能,只要执行图13所示的程序框图就可以。即,接通电源后,成为发送条件,即等待产生用于发送信息的内部触发脉冲(ST31,ST32)。一旦产生出用于发送信息的内部触发脉冲,就把当前的安全状态(安全/异常)作为安全信息发送到规定的对方(ST33)。
接下来,判断是否达到了非安全信息的发送时刻(ST34)。即,判断在非安全信息存储部26内存储的规定的信息或通信次数是否达到了在非安全信息发送控制部27内存储的设定值,或者判断是否有应发送的自诊断结果等。在具备条件的情况下,发送相应的非安全信息(ST35)。而在不具备条件的情况下,在此次通信循环中不发送非安全信息而返回到步骤31,等待产生下一个内部触发脉冲。以后,通过重复进行上述处理,安全从动装置在适当的时刻自发地发出安全信息,同时,在达到了非安全信息的发送时刻的情况下,安全从动装置侧成为主体,积极地发送非安全信息。
另外,非安全信息的发送是在发送过安全信息后监视安全网络3上传输的数据,并确认未曾传送发送帧之后才进行发送。
即使在该例中,在达到非安全信息的发送条件的情况下,安全从动装置在处于安全状态的条件下也可以不发送安全信息,而仅仅发送非安全信息。也就是说,安全从动装置处于安全状态的情况下,安全PLC等可以通过接收安全信息(安全)来直接确认安全从动装置处于安全状态,或者通过接收非安全信息来间接确认安全从动装置处于安全状态。如果假定处于发送非安全状态的时刻为不安全状态,发送称为“不安全”的安全信息(危险·异常),所以为不安全状态的情况下启动保险系统之前的应答时间就可以不被延长。
这种情况下,由于安全PLC侧并不知道接收到的帧是安全信息还是非安全信息,所以,例如可以在发送帧上附加区别它们的标志。
在本发明中,将机器信息存储装置设置在安全从动装置内,存储并保持连接在安全从动装置上的机器的信息,所以,控制器或工具能够经网络收集该存储并保持的有关连接在安全从动装置上的各机器的信息。而且,在本发明中,因为系统整体不必始终进行收集,所以,非安全信息的发送/接收可以减少花费于网络传输的时间。但是,由于收集非安全信息的安全从动装置按所希望的时刻发送非安全信息,所以,能够用安全控制器等其他装置有效地收集非安全信息。
权利要求
1.一种可连接在安全网络上的安全从动装置,其特征在于,具备,安全信息发送功能,该安全信息发送功能根据通过所述安全网络送来的来自安全控制器的要求,发送判定是否处于安全状态的安全信息;非安全信息存储装置,存储关于所述安全从动装置的非安全信息;当存储在该非安全信息存储装置中的所述非安全信息满足一定条件时,向所述安全控制器发送至少满足条件的非安全信息的功能。
2.一种可连接在安全网络上的安全从动装置,其特征在于,具备,安全信息发送功能,该安全信息发送功能根据通过所述安全网络送来的来自安全控制器的要求,发送判定是否处于安全状态的安全信息;非安全信息存储装置,存储关于所述安全从动装置的非安全信息;存储装置,存储用于发送所述非安全信息的条件;监视装置,判断所述非安全信息中存储的所述非安全信息是否满足所述条件;决定装置,根据该监视装置的监视结果决定发送时刻。
3.如权利要求1或2所述的安全从动装置,其特征在于,在根据所述要求的一次通信循环中,所述非安全信息的发送是等其他安全从动装置的安全应答终止之后进行。
4.一种安全网络系统,通过安全网络将安全控制器和权利要求1至权利要求3的任一项所述的安全从动装置连接起来构建而成,其特征在于,从所述从动装置输出的所述机器的信息被发送到所述控制器。
5.如权利要求4所述的安全网络系统,其特征在于,所述安全控制器管理的一次通信循环具有在接收来自所述各安全从动装置的安全应答后接收非安全信息的接收期间。
6.一种可连接在安全网络上的安全从动装置,其特征在于,具备,安全信息发送功能,该安全信息发送功能根据通过所述安全网络送来的来自其他节点的要求发送判定是否处于安全状态的安全信息;非安全信息存储装置,存储关于所述安全从动装置的非安全信息;当存储在该非安全信息存储装置中的所述非安全信息满足一定条件时,向所述安全控制器发送至少满足条件的非安全信息的功能。
7.一种可连接在安全网络上的安全从动装置,其特征在于,具备,安全信息发送功能,当满足发送条件时,发送判定是否处于安全状态的安全信息;非安全信息存储装置,存储关于所述安全从动装置的非安全信息;当存储在该非安全信息存储装置中的所述非安全信息满足一定条件时,向连接在所述安全网络上的其他节点发送至少满足条件的非安全信息的功能。
全文摘要
作为主机的安全PLC和安全从动装置2经安全网络3连接起来构建成网络系统。在安全从动装置中具有存储所连接的安全机器的各别信息或状态信息的非安全信息存储部26,状态信息监视动作中的安全机器的状态,并根据其监视结果更新存储内容。在非安全信息满足一定条件时,向安全PCL至少发送满足条件的非安全信息,由MPU进行相关处理。由此,无须发送不必要的非安全信息。
文档编号G06F15/16GK1518816SQ02812498
公开日2004年8月4日 申请日期2002年6月21日 优先权日2001年6月22日
发明者宗田靖男, 中村敏之, 之 申请人:欧姆龙株式会社