安全主机的制作方法

专利名称：安全主机的制作方法
技术领域：
本发明涉及使用适合规定的安全标准的输入设备(非常停止开关、LCC 等)或适合规定的安全标准的输出设备(安全接触器、安全继电器)的安全 控制器，特别涉及安装了用户程序的安全控制器(safety controller;以下，称 为"安全主机(safety master )")，所述用户程序用于实现包含适合规定的 安全标准的输入输出设备的多个装置之间的联锁(interlock)功能。
背景技术：
在适用于例如汽车或半导体等的制造系统一般通过连接多个装置而构 成。这些装置分别被施加各种安全对策，并在装置之间取得联锁(interlock), 从而还被施加了作为制造系统整体的安全对策。
在图12中表示了被施加这样的各个装置的安全对策以及作为制造系统 整体的安全对策的制造系统整体的一个例子的说明图。如图12(a)所示，在 该例子中，制造系统的整体由n个装置Dl Dn构成。
各个装置Dl Dn分别包括适合规定的安全标准的输入设备(在该例子 中，例示了非常停止开关)INl INn以及适合规定的安全标准的输出设备(在 该例子中，例示了接触器)OUTl OUTn。
此外，在各个装置Dl Dn中，还包括为了管理那些输入设备IN
INn 以及输出设备OUTl OUTn而作为"安全从动装置(safety slave)"起作用 的安全控制器或者安全远程I/O终端Cl Cn。
这些安全控制器或者安全远程I/O终端C1 Cn经由未图示的安全区域网 络(field network )可与作为"安全主机"起作用的安全控制器CO进行通信。
上述的"安全主机"、"安全从动装置，，是表示与本发明的联锁有关的 状态信号的取得、动作指示信号的输出处理中的主从关系，与一般的区域网 (field net)中的"主机"、"从动装置，，的关系不同。
各个装置DKDn的安全控制器等(即，"安全从动装置，，)Cl Cn的 各个控制器，在规定的定时对安全控制器(即，"安全主机")C0发送用于
4表示该装置处于规定的"安全状态"还是处于"非安全状态"的状态信号。 此时，规定状态信号的内容在"安全状态"时成为ON( "1"),并在"非
安全状态"时成为OFF ( "0")。
另外，在装置Dl Dn中的任一个不在时，规定在安全控制器CO侧接收 的状态信号中，对应于其不在的装置的状态信号的内容成为与"非安全状态" 对应的OFF ( "0")。
此外，从安全控制器C0对各个安全控制器或者安全远程I/O终端Cl Cn 的各个终端，在规定的定时发送用于指示应将该装置设为"运行状态"还是 应设为切断电源的"停止状'态"的动作指示信号。此时，规定动作指示信号 的内容在"运行状态指示，'时成为ON ("〗")，并在"停止状态指示"时 成为OFF ( "0")。
在安全控制器C0内的用户存储器(未图示)中，存储了包含联锁功能
的用于安全控制的用户程序。作为用于实现联锁功能的用户程序，若用逻辑
符号图来表示，则例如图12(b)所示那样，能够表示为多输入"与"电路
AND，即将从各个装置接收的状态信号作为各个输入，并将对各个装置的动 作指示信号作为输出。
根据这样的结构，若存在构成制造系统的多个装置Dl Dn的全部，并且 那些装置的每个都处于规定的"安全状态"，则由于在安全控制器C0侧接收 的各个装置Dl Dn的状态信号的内容全部成为ON ( "1"),所以构成联锁 功能的多输入"与"电路AND的输出成为ON ( 'T')。
这样，在各个装置侧接收的动作指示信号的内容全部成为ON( "I")， 由此，各个装置D卜Dn全部成为"运行状态"，可进行制造系统整体的运行。
此外，在制造系统的运行状态中，若在装置Dl Dn中的任一个装置产生 "非安全状态"，则从产生了该"非安全状态"的装置的安全控制器等发送 到担当联锁控制的安全控制器C0的状态信号的内容成为表示"非安全状态" 的OFF( "0")，所以构成在用户程序中安装的联锁功能的多输入"与"电 路AND的输出成为OFF ( "0")。
这样，在各个装置侧接收的动作指示信号的内容全部成为OFF( "0")， 由此，各个装置Dl Dn全部成为"停止状态"，制造系统整体成为电源被切 断的停止状态。
另一方面，在构成制造系统的装置Dl Dn中的任一个欠缺的状态("不在"(absent))或者在装置Dl Dn中的任一个产生了通信障碍或断电等的 状态时，应成为"非加入通信"，但在这样的"非加入通信，，时，从担当联 锁控制的安全控制器CO看的其不在或者产生通信障碍或断电等的装置的状 态信号的内容成为与"非安全状态"对应的OFF( "0"),所以构成安装到 用户程序的联锁功能的多输入"与"电路AND的输出成为OFF ( "0")。 这样，与在装置Dl Dn的任一个中产生了 "非安全状态"的情况相同地， 在各个装置侧接收的动作指示信号的内容全部成为OFF ( "0"),由此，各 个装置Dl Dn全部成为"停止状态"，制造系统整体成为电源被切断的停止 状态。(日本)特开平11-24250"7号公报
如上所述那样，在采用了通过安全区域网络连接一台安全主机(安全控 制器C0 )和多台安全从动装置(安全控制器或者安全远程I/O终端Cl Cn ) 而成的安全控制系统的制造系统中，在构成制造系统的装置Dl Dn的任一个 欠缺的状态("不在")或者产生了通信障碍或断电等的状态，即该安全从 动装置没有加入通信的"非加入通信"的状态时，与在装置Dl Dn的任一个 中产生了 "非安全状态"的情况相同地，制造系统整体成为电源被切断的停 止状态。
构成制造系统的装置Dl Dn的任一个欠缺的状态("不在")可在新设 置制造系统时，或在维护时等产生。特别地，在汽车或半导体等的制造系统 的情况下，通常构成制造系统的各个装置的交纳安装人员是不同的，所以若 不凑齐所有的装置则不能进行制造系统整体的运行，则对各个装置的运行测
试带来障碍，非常不便。
因此，为了消除若不凑齐所有的装置则不能进行构成制造系统的各个装 置的运行的不便，从以往开始采用了几个(第1至第3)联锁无效对策(参 照图13)。
作为第1对策，举出暂时改写用于实现联锁功能的用户程序中的对应部 位的方法。
即，比较如图13 (a)所示的原来的程序例子和如图13 (b)所示的变更 后的程序例子，可知在该第l联锁无效对策中，使用规定的可编程工具进行 在担当联锁功能的安全控制器C0内的用户程序的改写处理，从而改写程序使 得代替与不在的装置(在该例子中，装置D2)对应的状态信号而始终输入ON ( 'T')，暂时排除了与装置D2对应的状态信号OFF ( "0")的影响。 作为第2对策，举出通过可编程工具所具有的强制置位功能或者强制复 位功能，将应输入到担当联锁功能的安全控制器C0内的用户程序中的对应部 位的状态信号或者应输出到对应部位的动作指示信号暂时固定化为ON( "1") 的方法。
即，比较如图13 (a)所示的原来的程序例子和如图13 (b)所示的变更 后的程序例子，可知在该第2联锁无效对策中，使用规定的可编程工具，通 过可编程工具所具有的强制置位功能或者强制复位功能，将应输入到用于实 现联锁功能的用户程序中的对应部位的状态信号(在该例子中，与装置D2 对应的状态信号)或者应输出到对应部位的动作指示信号(在该例子中，从 "与，，电路AND输出的动作指示信号)暂时固定为ON ( 'T，)，从而暂 时排除了与装置D2对应的状态信号的影响。
作为第3对策，可举出进行执行用于实现联锁功能的控制的安全控制器 的离线仿真，不进行真机的系统动作的确认的方法。
但是，在上述的第l对策中，由于变更实现联锁功能的用户程序其本身， 所以存在变更操作时在程序中混入错误(bug)的可能性、存在忘记将变更部 位恢复到原来的状态的顾虑等问题点。特别地，在忘记将用户程序中的变更 部位恢复到原来的情况下，存在发生即使对应于其变更部位的安全设备(例 如，非常停止开关等)动作，制造系统也不停止等极其危险的事态的顾虑。
在第2对策中，通过可编程工具所具有的强制置位功能或者强制复位功 能，将应输入到用于实现联锁功能的安全控制器C0内的用户程序中的对应部 位的状态信号或者应输出到对应部位的动作指示信号暂时固定化，所以若本 想对状态信号或者动作指示信号进行强制操作，却错误地将其他的信号进行 强制操作，则存在会引起没有预期的危险的顾虑。
在第3对策中，可进行程序的调试，但无法确认包含传感器或电动机等 的外部连接设备的真机的系统动作，所以在真机系统中还设想未意识的动作， 不能充分确保安全性。
另外，在以上叙述的第1至第3的联锁无效对策的问题点，在将组合式 (building block)安全控制器独立(stand alone)使用的同时将安全本地I/O 单元的各个单元分配给制造系统的各个装置的情况下也同样被设想。

发明内容
本发明是鉴于上述的以往的问题点而完成的，其目的在于，提供一种安 全控制器，其在构成制造系统的任一个装置为"不在"或者产生了通信障碍 或断电的情况下，无需改变用户程序本身，或对特定的输入信号或输出信号 进行强制置位或复位，可通过简单的操作将联锁设为无效状态。
此外，本发明的其他目的在于，提供一种安全控制器，其在一直是"非
力口入通1言(not participating in communication )，，的装置一皮力口入而成为"力口入通 信(participating in communication)"日于，无需特别的恢复操作，可将联锁恢 复为有效状态。
此外，本发明的其他目的在于，提供一种安全控制器，其在一直是"非 加入通信"的装置被加入而成为"加入通信'，时，之后不会将联锁错误地无效。
通过参照说明书的以下记述，本领域的技术人员应该容易理解本发明的 其他目的以及作用效杲。
可以理解可通过具有以下结构的安全主机来解决上述的"发明要解决的
课题"。
即，本发明的安全主机，经由通过安全区域网络连接的多个安全从动装 置的各个装置，或者经由通过安全底板(back plane)总线连接的多个本地 (local) I/O单元的各个单元，连接到构成一个装置系统的多个要素装置内的 安全I/O设备。
此外，该安全主机从各个安全从动装置或者各个安全本地I/O单元各自 接收表示关于其要素装置的"安全状态"或者"非安全状态"的状态信号， 同时将那些取得的各个状态信号作为输入，执行用户任意生成的联锁运算程
序而输出动作指示信号，将其动作指示信号经由多个安全从动装置或者多个 安全本地I/O单元发送到各个要素装置的安全I/O设备，从而控制该要素装置 的运行/停止，从而实现了与各个要素装置有关的安全控制以及作为一系列的 要素装置整体的安全控制。
在这样的安全主机中，本发明包括无效请求生成部件，生成包含多个
要素装置的任意一个的指定的状态信号无效请求；以及状态信号无效部件， 其在成为联锁运算程序的输入的多个要素装置的状态信号的每个中设置，并 且在状态信号无效请求生成时，将与其无效请求所指定的要素装置有关的状态信号设为无效，由此，在与任一个要素装置对应的安全从动装置或者安全 本地I/O单元"不在"或者产生了通信障碍或断电时，生成与其要素装置有 关的无效请求，使该要素装置的状态信号"非安全状态"无效，从而可避免 了其"不在，，的安全从动装置或者安全本地I/O单元的影响经由联锁运算程 序的执行而涉及到一个装置系统的整体。
根据这样的结构，在构成制造系统的任一个装置"不在"或者产生了通 信障碍或断电的情况下，无需改变用户程序本身、或者对特定的输入信号或 输出信号进行强制置位或者复位，可通过简单的操作将联锁设为无效状态， 可避免由于一部分要素装置不在而起联锁作用，从而制造系统整体成为停止 状态，而且，还能够避免联锁无效时的误操作所导致的没有预期的异常动作 的产生，可顺利地进行这种制造系统等的安装时或维护时的各个装置的动作 测试等。
在本发明的优选的实施方式中，还包括判定部件，其判定与构成一个 装置系统的多个要素装置的各个装置对应的安全从动装置或者安全本地I/O 单元是"加入通信"还是"非加入通信"，只有在通过判定部件判定为"非 加入通信"时，状态信号无效部件将其"非加入通信"的要素装置的状态信 号设为无效，并且在其之后，与其"非加入通信"的要素装置对应的安全从 动装置或者安全本地I/O单元判定为"加入通信"的情况下，解除状态信号 的无效。
根据这样的结构，在一直是"非加入通信，，的装置被加入而成为"加入 通信，，时，无需特别的恢复操作，能够使联锁自动地恢复到有效状态，所以 能够极力避免由于忘记从联锁无效状态的恢复搡作而在装置加入之后联锁也 不启动的事态。
在本发明的优选的实施方式中，在状态信号的无效一旦被解除之后，即 使解除了其无效的安全从动装置或者安全本地I/O单元再次通过判定部件判 定为"非加入通信，，，状态信号无效部件也不会再无效其"非加入通信，，的
要素装置的状态信号。
根据这样的结构，在任一个要素装置被加入到系统之后，即使错误地使 联锁无效，也因为没有附加那样的请求，所以能够避免由于那样的误操作的 异常动作的产生。
在本发明的安全主机中，作为"无效请求生成部件"是(1 )在与连接
9到输入电路的各个要素装置对应的多个开关中的任一个被操作时，生成与对 应于其开关的要素装置的状态信号有关的无效请求的部件，(2)通过可编程 终端中的规定操作，被通知与"非加入通信"的安全从动装置或者安全本地 1/0单元对应的地址时，生成与对应于其地址的要素装置的状态信号有关的无
效请求的部件，(3 )在经由内部的通信单元注册表，被通知任一安全从动装 置或者安全本地I/O单元的"非加入通信，，的情况下，生成与对应于其的要 素装置的状态信号有关的无效请求的部件，或者适当地采用将这些(1 ) (3 ) 的两个以上并用的部件等即可。
此外，在本发明的安全控制器中，作为"判定部件"可适当地采用(1 )
通过与要素装置侧的安全从动装置或者安全本地i/o单元之间的通信被恢复，
判定从"非加入通信"变化为"加入通信"的情况的部件，(2)通过从要素
装置侧的安全从动装置或者安全本地i/o单元接收有效的1/0数据，判定从"非
加入通信"变化为"加入通信"的情况的部件，(3)通过联锁条件成立，判 定从"非加入通信"变化为"加入通信'，的情况的部件等即可。
此外，在本发明的安全控制器中，在优选的实施方式中，也可以包括 显示控制部件，在规定的显示器中显示联锁实质上被无效的意旨。
根据这样的结构，依靠这样的显示，能够将任意的要素装置为"非加入 通信"的状态下安心地进行系统调试时或维护时的测试或检查。
此外，在本发明的安全控制器中，在优选的实施方式中，也可以包括 显示控制部件，只有在联锁实质上没有被无效，并且任一安全从动装置或者 安全本地I/O单元为"非加入通信"的情况下，在规定的显示器中显示通信 异常的意旨。
根据这样的结构，能够避免在将任意的要素装置为"非加入通信"的状 态下，使联锁无效而进行测试作业或^r查作业等的时刻，显示通信异常的意 旨而产生的麻烦。


图1 (a) ~ (d)是表示适用本发明的系统结构例子的说明图。 图2是安全控制器(安全主机)的硬件结构图。 图3是表示安全控制器(安全主机)的处理整体的一般流程图。 图4是包含安全控制器(安全主机)的安全控制系统整体的结构图。图5是有关本发明的安全控制器(安全主机)CO的装置Dn的作用说明图。
图6是表示本发明的安全控制器(安全主机)CO的动作的定时图。 图7 ( a) ~ ( c )是本发明的状态信号无效部件(之1 )的说明图。 图8 (a) ~ (b)是本发明的状态信号无效部件(之2)的说明图。 图9 (a) ~ (b)是本发明的状态信号无效部件(之3)的说明图。 图IO是本发明的状态信号无效部件(之4)的说明图。 图11 ( a) (d )是状态信号无效电路的详细说明图。 图2 (a) (b)是各个装置的安全对策以及作为制造系统整体的安全 对策的说明图。
图13 (a) ~ (c)是以往的联锁无效对策的说明图。
标号+兌明
10 CPU
10a微处理器
10b RAM
10c ROM
11输入电路
12输出电路
13通信电路
14显示电5各
15设定电路
401开关
701运算单元
702用户程序存储器
703 1/0存储器
704联锁无效运算单元
705无效对象节点存储器
801运算单元
801a无效专用应用命令
803 1/0存储器
901运算单元902用户程序存储器
903 I/O存储器
CO安全控制器(安全主机)
Cl Cn安全从动装置
INl INn输入设备
OUTl OUTn输出设备
具体实施例方式
以下，参照附图详细说明本发明的安全主机的优选的实施方式。 图1表示用于表示适用本发明的安全主机的系统结构例子的说明图。如 图1 (a) (c)所示，本发明的安全主机CO经由通过安全区域网络(NET) 连接的多个安全从动装置Cl Cn的各个装置，或者如图1 (d)所示，经由通 过安全底板(back plane)总线(BUS)连接的多个本地(local) I/O单元的 各个单元，连接到构成一个装置系统的多个要素装置内的安全I/O设备，
更详细地说，在图1 (a)所示的是，作为安全从动装置Cl、 C2......Cn
而都采用了安全控制器(图中，矩形标记)的例子，如图1 (b)所示的是， 将安全控制器(图中，矩形标记)和安全远程I/O终端(图中，圆形标记) 混合的例子，如图1 (c)所示的是，都采用了安全远程I/O终端(图中，圆 形标记)的例子。
而且，从各个安全从动装置C1、 C2……Cn生成用于表示该从动装置管 辖的要素装置内的安全输入输出设备处于"安全状态"还是处于"非安全状 态"的状态信号，该状态信号经由安全区域网络而发送到安全主机CO。
另一方面，如图1 (d)所示的是，在称为底板的刚性板上铺设底板总线 (BUS),并且在该底板总线(BUS)上按适当的间隔配置单元安装用连接 器，其上安装一台CPU单元和多台安全本地I/0单元而构成的纽合式安全控 制器，多台安全本地I/O单元的各个单元例如连接到构成制造系统的各个要 素装置内的输入输出用安全设备。
而且，从各个安全本地I/O单元生成用于表示该从动装置管辖的要素装 置内的安全输入输出设备处于"安全状态"还是处于"非安全状态"的状态 信号，该状态信号经由底板总线(BUS)而发送到作为安全主机起作用的CPU 单元。另外，安全远程I/O终端执行如下动作将经由通信从安全主机接收的
输出数据，经由未图示的输出电路而发送到安全输出设备，或者将从安全输 入电路读取的输入数据经由通信而发送到安全主机。
接着，在图2中表示用于表示作为安全主机起作用的安全控制器CO的 概略结构的硬件结构图。如图2所示，安全控制器CO经由通信电路13连接 到安全区域网络(NET),并且经由输入电路11连接到适合规定的安全标准 的输入设备INl INn，还经由输出电路12连接到适合规定的安全标准的输出 设备OUTl OUTn。
在安全控制器C0的内部内置了用于统一控制输入电路11 、输出电路12、 通信电路13、显示电路14以及设定电路15的CPUIO。这里，显示电路14 是用于进行与该安全控制器的动作有关的各种显示的电路，由适当尺寸的液 晶显示器、动作显示用的灯等构成。此外，设定电路15是用于进行与该安全 控制器的动作有关的各种设定的电路，由数字键、功能键、钥匙开关等构成。
另 一 方面，在CPU 10内包括微处理器(MPU ) 10a、 RAM 10b以及ROM 10c 。 如后所述，为了保证动作可靠性，这些微处理器(MPU) 10a、 RAM10b以及 R()MI0c;故二重化。
接着，在图3表示用于表示作为安全主机起作用的安全控制器内的CPU 的处理整体的一般流程图。如图3所示，CPU10的整体由两台的CPU(CPUA、 CPUB)构成，这些CPU在互相取得同步的同时并行地动作，从而接着电源 接通之后的初始处理、自我诊断处理(步骤101a、 101b),同时并行地纟丸行 同步处理(步骤102a、 102b)、自我诊断处理(步骤103a、 103b)、周边处 理(步骤104a、 104b) 、 I/O更新处理(步骤105a、 105b)以及运算处理(步 骤106a、 106b)。
这里，"初始处理"是指进行设备以及数据的初始化、保存数据的读出 等的处理，"自我诊断处理"是指进行硬件诊断的处理(步骤101a、 101b)。 此外，"同步处理，，(步骤102a、 102b)是指进行两个CPU之间的时间性的 同步处理(包含用于将循环时间一定的Wait处理)、数据一致确认处理等的 处理。此外，自我诊断处理(步骤103a、 103b)是进行硬件诊断等的处理。 此外，周边处理(步骤104a、 104b)是指进行对于外部^ 某体(存储器卡、RTC 等)的存取处理或与外部设备、工具等的通信处理等的处理。I/O更新处理(步 骤105a、 105b)是指进行本地输入输出(包含输入输出单元)的更新处理或逸程I/0输入输出的数据更新等的处理。此外，运算处理(步骤106a、 106b) 是指执行用户任意生成的用户程序(包含用于实现联锁功能的用户程序)的处理。
接着，图4表示包含作为本发明的安全主机起作用的安全控制器CO的 安全控制系统整体的更详细的结构图。如图4所示，该安全控制系统包含进 行联锁控制的一台安全控制器CO和多台安全从动装置Cl Cn。
此外，该安全控制系统统括的制造系统包含n台要素装置而构成。而且， n台安全从动装置Cl Cn的各个装置构成为统括n台要素装置Dl Dn的各个 装置。
更详细地说，n台要素装置Dl Dn的各个装置中包含安全从动装置 Cl Cn,并且这些安全从动装置Cl Cn使用适合规定的安全标准的输入设备 IN 1 INn和适合规定的安全标准的输出设备OUT 1 ~OUTn。
而且，在各个要素装置Dl Dn中，若经由适合规定的安全标准的输入设 备INl INn和适合规定的安全标准的输出设备OUTl OUTn被判定关于该装 置的"非安全状态"，则其意旨的状态信号经由安全区域网络(NET),发 送到进行联锁控制的安全控制器C0。
另一方面，在进行联锁控制的安全控制器C0内，之后安装用于实现由 多输入"与，，电路AND等表示的联锁功能的用户程序。而且，该用户程序基 于从多个装置Dl Dn的各个装置发来的状态信号而执行，被安装为其结果生 成用于指示运行指示或者停止指示的任一个的动作指示信号。
此外，在进行该联锁控制的安全控制器C0中，设置无效请求生成部 件，生成包含要素装置Dl Dn的指定的状态信号无效请求；以及状态信号无 效部件，其在成为联锁运算程序的输入的各个要素装置Dl Dn的状态信号的 每个中设置，并且在状态信号无效请求生成时，将与其无效请求所指定的要 素装置有关的状态信号设为无效。
这里，作为"无效请求生成部件"是(1 )在与连接到输入电路的各个 要素装置对应的多个开关401中的任一个被操作时，生成与对应于其开关401 的要素装置的状态信号有关的无效请求的部件，(2)通过可编程终端的触摸 面板402中的规定操作，起因于"不在"或通信障碍而被通知与"非加入通 信"的安全从动装置或者安全本地I/O单元对应的地址时，生成与对应于其 地址的要素装置的状态信号有关的无效请求的部件，(3)在经由内部的通信单元注册表，故通知任一安全从动装置Cl Cn (或者安全本地I/O单元)的 "非加入通信"的情况下，生成与对应于其的要素装置的状态信号有关的无 效请求的部件，或者适当地采用将这些(1 ) (3)的两个以上并用的部件等即可。
另一方面，作为"状态信号无效部件"，可采用之后如图7 图ll所示的 各种结构的部件。即，在该状态信号无效部件中，在成为联锁运算程序的输 入的各个要素装置Dl Dn的状态信号的每个中设置，并且在状态信号无效请 求生成时，将与其无效请求所指定的要素装置有关的状态信号设为无效。
如以上所说明，由于在进行联锁控制的安全控制器(即，"安全主机") C0中，包含具有上述功能的"无效请求生成部件"和"状态信号无效部件"， 所以在新设置的系统的调试时等，要素装置Dl Dn的任一个例如不在等作为 原因而"非加入通信"的情况下，若指定其要素装置而生成状态信号无效请 求，则能够如后所述那样，与其指定的要素装置有关的状态信号被无效，其 结果，关于其要素装置，联锁实质上不起作用，所以即使其要素装置不在或 通信障碍等作为原因而成为"非加入通信"，对其他的要素装置的运行也没有 障碍，可以无障碍地进行调试前的检修或检查等。
在图5中表示与本发明的安全控制器(安全主机)C0的装置Dn有关的 作用说明图。如图5所示，假设与装置Dn有关的安全从动装置Cn起因于系 统的调试时等而处于"不在"的状态中，启动如图5的流程图所示的处理， 则装置Dn被判定为"非加入"(步骤501 "否，，)，判定联锁的无效请求的有 无(步骤502 )。这里，若联锁无效请求(状态信号的无效请求的含义)判定 为"无'，(步骤502 "否，，)，则联锁成为有效(步骤504 ),所以联锁功能(例 如，在多输入"与"电路AND的情况下)启动，所有的装置Dl Dri成为停 止状态。
相对于此，在装置为"非加入，，的状态中(步骤501 "否")，若判定为 有联锁无效请求(步骤502 "是，，)，则联锁成为无效(步骤503 ),所以所有 的装置Dl Dn成为运行状态。
在图6中表示用于表示本发明的安全控制器(安全主机)CO的动作的定 时图。如图6所示，在时刻0到时刻tl为止的期间，安全从动装置Cn处于 通信非加入状态(例如，"不在"或"通信障碍，，)，所以装置Dn的状态信号 成为表示"非安全状态"的OFF ("0")，通过联锁程序的执行，各个装置的
15动作指示信号成为表示"停止指示"的"0",所有的装置成为停止状态。
若在时刻tl的时刻，生成联锁无效请求，则装置Dn的状态信号"0"被
无效而成为"1"，所以通过联锁程序的执行，各个装置的动作指示信号成为 表示"运行指示"的"r,所有的装置成为运行状态。
若在时刻t2的时刻，装置Dn为通信加入状态(例如，"存在，，或"通信 障碍恢复")并且没有联锁无效请求，则在装置Dn的状态信号的内容为"非 安全状态"时(t2 t3 )，各个装置的动作指示信号成为表示"停止指示"的"0", 在装置Dn的状态信号的内容为"安全状态"时(t3 t4)，各个装置的动作指 示信号成为表示"运行指示"的'T，。
若在时刻t4的时刻，生成联锁无效请求，则与没有联锁无效请求的状况 相同地，在装置Dn的状态信号的内容为"非安全状态"时(t4 t5)，各个装 置的动作指示信号成为表示"停止指示，，的"O，，，在装置Dn的状态信号的 内容为"安全状态"时(t5 )，各个装置的动作指示信号成为表示"运行指 示"的"1"。
接着，图7表示本发明的状态信号无效部件(之1)的说明图。在这里 例示的"状态信号无效部件"，不局限于将联锁无效或者不无效，将用户程序 其本身设为与通常的联锁电路同样，另一方面，安全控制器与用户程序执行 单元不同地具有专用的联锁无效(判定)单元。另外，在图7 图11的说明 中，将"安全从动装置"换称为"通信对象"，但其实体是相同的。
在图7中，运算单元701包含执行用户程序的功能、用于执行的基本命 令或应用命令。在用户程序存储器702中，存储了用户任意生成的用户程序。 在1/0存储器703中，存储了对用户程序的输入数据、输出数据。在联锁无 效运算单元704中，安装了通过硬件或者软件构筑的功能。在无效对象节点 (node )存储器705中，存储了可确定使联锁无效的通信对象的信息(例如， 节点地址等)。可自动地判别用户的手动设定或通信未能实现的情况，安全控 制器进行设定。
接着，图8表示本发明的状态信号无效部件(之2)的说明图。在这里 例示的"状态信号无效部件"，在用户程序上，在使联锁无效的部分明示地配 置应用命令或应用功能块，并且使安全控制器具有执行其应用命令或应用功 能块的功能。
在图8中，在运算单元801中，包含执行用户程序的功能、用于执行的基本命令或应用命令。在联锁无效专用应用命令801a中，安装了用于使联锁 无效的专用应用命令或应用FB。可编程工具可使用其专用应用命令或应用 FB。
接着，图9表示本发明的状态信号无效部件(之3)的说明图。在这里 例示的"状态信号无效部件"中，安全控制器不具有用于将联锁无效的专用 应用命令或专用应用FB。该安全控制器依赖同时使用的可编程工具的作用。
用FB的可编程工具，构筑无效程序。
在图9中，运算单元卯l包含执行用户程序的功能、用于执行的基本命 令或应用命令。用户程序存储器902存储用户程序。I/O存储器903存储用户 程序的输入数据或输出数据。
接着，图IO表示本发明的状态信号无效部件(之4)的说明图。在这里 例示的"状态信号无效部件"中，安全控制器不具有用于将联锁无效的专用 应用命令或专用应用FB。该安全控制器依赖同时使用的可编程工具的作用。 即，在图IO的例子中，用户使用不具有用于将联锁无效的专用应用命令或专 用应用FB的可编程工具，构筑无效程序。
接着，图11表示状态信号无效电路的详细说明图。如图11 (a)所示， 状态信号无效电路可使用"或，，运算符简单地构筑，但在这样的使用了简单 的"或"运算符的状态信号无效电路的情况下，即使正常地加入了通信对象 n，与安全控制器进行通信的情况，但在"将通信对象n无效的请求"错误地 成为ON的情况下，存在联锁被无效的问题。另外，"将通信对象n无效的请 求"的错误的ON是由于操作者的操作失误或通信路径的噪声等而产生。
相对于此，根据在图11 (b)所示的本发明的联锁无效电路(之1)，由 于采用了对2输入"与"运算符的一个输入提供将通信对象n无效的请求， 另一方面，对另一个输入串联地插入锁存电路和反转运算符的方法，所以一 旦通信对象n加入，则之后不能进行联锁的无效，所以能够维持与不进行无 效的情况相同的安全性。
这里，与图11 (c)所示那样，图11 (b)中包含的锁存电路可使用RS 触发器电路来构筑。此时，为了不会被没有准备地施加复位，最好始终对复 位输入端子提供"0"。
此外，如图11 (d)所示，对在图11 (b)的电路中的"锁存电路 AND"
17的部分使用比较器等也能够实现。
这里，"通信对象n加入信号"可通过以下信号的任一个或者组合而生成。
.安全控制器与通信对象n开始通信的情况
这个可通过例如从通信对象始终接受ON信号来实现。在通信开始前看 作OFF,但通信确立时始终成为ON信号。
有效的1/0数据接收
这个可通过例如从通信对象一并接收用于表示I/O数据为有效还是无效 的标志来实现。
-联锁条件成立
这个可通过例如判定"通信对象的安全信号"成为ON的情况来实现。 另一方面，"将通信对象n无效的请求"可通过以下信号的任一个或者组
合而生成。
.通过连接到进行联锁控制的安全控制器的输入电路的开关的ON/OFF,
通知if关锁的无效
-通过可编程显示器(也称为可编程终端)，指定非加入的通信对象的地 址，从而经由网络通知到进行联锁控制的安全控制器
.通过安全控制器内部的通信单元注册表，自动地判断要无效的通信对
象
另外，在以上的实施方式中，只要在规定的显示器中显示联锁实质上被 无效的意旨，则根据那样的显示，可以在将任意的要素装置为通信非加入的 状态下，安心地进行在系统的调试时或维护时的测试或检查。
此外，也可以具有显示控制部件，其在联锁实质上没有被无效，并且任 一个安全从动装置或者安全本地I/O单元为"非加入通信，，时，在规定的显 示器中显示通信异常的意旨。根据这样的结构，能够避免在将任意的要素装 置为"非加入通信"的状态下，使联锁无效而进行测试作业或检查作业等的 时刻，显示通信异常的意旨而产生的麻烦。
根据本发明的安全主机，在构成制造系统的任一个装置不在的情况下， 或者产生了通信障碍或断电的情况下，无需改变与其装置有关的用户程序本 身，或对特定的输入信号或输出信号进行强制置位或复位，将联锁设为无效 状态，从而能够避免制造系统成为停止状态的情况，而且，在一直不在的装
18置加入时，无需特别的恢复操作，能够使联锁恢复到有效状态，所以能够极 力避免在联锁无效时的误操作产生的未预期的异常动作的产生或由于忘记从 联锁无效状态恢复而装置加入之后联锁也不启动的事态。
权利要求
1. 一种安全主机，是通过进行以下动作经由通过安全区域网络连接的多个安全从动装置的各个装置，或者经由通过安全底板总线连接的多个安全本地I/O单元的各个单元，连接到构成一个装置系统的多个要素装置内的各个安全I/O设备，从所述多个安全从动装置或者所述多个安全本地I/O单元各自接收表示关于其要素装置的“安全状态”或者“非安全状态”的状态信号，同时将所述取得的各个状态信号作为输入，执行用户任意生成的联锁运算程序而输出动作指示信号，将该动作指示信号发送到所述多个安全从动装置或者所述多个安全本地I/O单元来控制该要素装置的运行/停止，从而实现了与所述多个要素装置的各个装置有关的安全控制以及作为一系列的要素装置整体的安全控制的安全控制器，其特征在于，所述安全主机包括无效请求生成部件，生成包含所述多个要素装置的任意一个的指定的状态信号无效请求；以及状态信号无效部件，其在成为所述联锁运算程序的输入的所述多个要素装置的状态信号的每个中设置，并且在所述状态信号无效请求生成时，将与该无效请求所指定的要素装置有关的状态信号设为无效。
2. 如权利要求1所述的安全主机，其特征在于，还包括 判定部件，其判定与构成所述一个装置系统的多个要素装置的各个装置对应的安全从动装置或者安全本地I/O单元是"加入通信"还是"非加入通 信，'，只有在通过所述判定部件判定为"非加入通信"时，所述状态信号无效 部件将关于该"非加入通信"的要素装置的状态信号设为无效，而在其之后， 与关于该"非加入通信，，的要素装置对应的安全从动装置或者安全本地I/O 单元被判定为"加入通信"的情况下，解除所述状态信号的无效。
3. 如权利要求2所述的安全主机，其特征在于，在所述状态信号的无效一旦被解除之后，即使解除了该无效的安全从动 装置或者安全本地I/O单元再次通过所述判定部件判定为"非加入通信，，，所述状态信号无效部件也不会再无效关于该"非加入通信"的要素装置的状 态信号。
4. 如权利要求1至3的任一项所述的安全主机，其特征在于， 在与连接到该安全主机的输入电路的各个要素装置对应的多个开关中的任一个被操作时，所述无效请求生成部件生成与对应于该开关的要素装置的 状态信号有关的无效请求。
5. 如权利要求1至3的任一项所述的安全主机，其特征在于， 通过连接到所述网络的可编程终端中的规定操作，被通知与关于"非加入通信，，的安全从动装置或者安全本地I/O单元对应的地址时，所述无效请 求生成部件生成与对应于该地址的要素装置的状态信号有关的无效请求。
6. 如权利要求1至3的任一项所述的安全主机，其特征在于， 在经由该安全主机内部的通信单元注册表，被通知任一安全从动装置或者安全本地I/O单元的"非加入通信，，的情况下，无效请求生成部件生成与 对应于该通知的要素装置的状态信号有关的无效请求。
7. 如权利要求2或3所述的安全主机，其特征在于， 通过与所述安全从动装置或者所述安全本地I/O单元之间的通信被恢复，所述判定部件判定从"非加入通信"变化为"加入通信，，的情况。
8. 如权利要求2或3所述的安全主机，其特征在于， 通过从所述安全从动装置或者所述安全本地I/O单元接收有效的I/O数据，所述判定部件判定从"非加入通信"变化为"加入通信"的情况。
9. 如权利要求2或3所述的安全主机，其特征在于， 通过联锁条件成立，所述判定部件判定从"非加入通信"变化为"加入通信"的情况。
10. 如权利要求1至3的任一项所述的安全主机，其特征在于，包括 显示控制部件，在规定的显示器中显示联锁被无效的意旨。
11. 如权利要求1至3的任一项所述的安全主机，其特征在于，包括 显示控制部件，只有在联锁没有被无效，并且任一安全从动装置或者安全本地I/O单元为"非加入通信，，的情况下，在规定的显示器中显示通信异 常的意旨。
全文摘要
本发明提供一种安全主机，其包括无效请求生成部件，生成包含所述多个要素装置的任意一个的指定的状态信号无效请求；以及状态信号无效部件，其在成为所述联锁运算程序的输入的所述多个要素装置的状态信号的每个中设置，并且在所述状态信号无效请求生成时，将与其无效请求所指定的要素装置有关的状态信号设为无效。
文档编号H02H3/00GK101471555SQ20081018560
公开日2009年7月1日 申请日期2008年12月17日 优先权日2007年12月28日
发明者中村敏之, 依田安基, 寺西圭一, 山下勋, 日冈威彦, 池野直晓 申请人:欧姆龙株式会社