中間装置を介して制御装置と周辺要素との間でメッセージを伝達するための方法
【課題】安全性指向のメッセージを、中間装置が他の任務、特に時間さえも重視される任務を引き受けているにもかかわらず、中間装置を介して伝送することを可能にする。
【解決手段】制御装置(3)から周辺要素(5,6)へのメッセージ(T)を伝達するために、中間装置(4)がメッセージ(T)を制御装置(3)から受け取り、それを変化なしに周辺要素(5,6)に転送する。周辺要素(5,6)から制御装置(3)へメッセージ(T)を伝達するために、中間装置(4)が、それぞれのメッセージ(T)を周辺要素(5,6)から受け取り、それを変化なしに制御装置(3)に転送する。メッセージ(T)は安全性メッセージであるので、制御装置(3)もしくは周辺要素(5,6)に転送されるメッセージ(T)が、それぞれ受信するユニット(3,5,6)によって健全性がチェック可能である
【解決手段】制御装置(3)から周辺要素(5,6)へのメッセージ(T)を伝達するために、中間装置(4)がメッセージ(T)を制御装置(3)から受け取り、それを変化なしに周辺要素(5,6)に転送する。周辺要素(5,6)から制御装置(3)へメッセージ(T)を伝達するために、中間装置(4)が、それぞれのメッセージ(T)を周辺要素(5,6)から受け取り、それを変化なしに制御装置(3)に転送する。メッセージ(T)は安全性メッセージであるので、制御装置(3)もしくは周辺要素(5,6)に転送されるメッセージ(T)が、それぞれ受信するユニット(3,5,6)によって健全性がチェック可能である
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、制御装置と周辺要素との間でメッセージを伝達するための方法に関する。
【背景技術】
【0002】
自動化技術において機械および設備の安全制御は絶対に必要である。特に、安全性指向の情報は制御装置と周辺要素との間で安全に伝達されなければならない。更に、安全な処理が保証されなければならない。「安全な処理」なる概念は、この場合には、個別的なエラーが危険な結果をもたらしてはならないことを意味する。「安全な伝達」なる概念は、伝達エラーが十分な信頼性をもって排除可能であることを意味する。安全な処理の例は次の2つの制御装置、すなわち相互に監視し、両制御装置の一方がエラーのある状態を認識するや否や、被制御設備の安全状態をもたらす2つの制御装置である。安全な処理の他の例は、それぞれ相互に監視してエラー認識時に適切な安全応答をひき起こす個別に見ると安全でない制御装置および個別に見ると安全でない周辺要素である。
【0003】
安全な伝達は、一方ではメッセージにおけるエラーがそれぞれ受信するユニットによって認識可能であることを必要とする。更に、メッセージエラー自体を介してメッセージの順序および欠如が確実に認識可能であることを必要とする。
【0004】
従来技術において、データを制御装置と周辺要素との間で個別の伝送線を介して伝達することは公知である。更に、メッセージを1つのバスを介して制御装置から周辺装置に、もしくはその逆に伝達することは公知である。この場合に従来技術において一方では制御装置および周辺要素がバスに接続されている。他方ではメッセージが安全性メッセージであるので、制御装置に伝送されるメッセージは制御装置によって健全性(エラーのないこと)についてチェック可能であり、周辺要素に伝達されるメッセージは周辺要素によって健全性ついてチェック可能である。
【0005】
自動化の課題が、しばしば階層構造の自動化システムによって実現される。このような場合に制御装置と周辺要素との間に他の構成要素(=本発明の意味での中間装置)が配置されているならば、通例、安全性に関連する情報の伝達は、それぞれの周辺要素を制御装置に接続する専用の伝送線を介して行なわれる。
【0006】
安全な第1の制御装置、安全でない第2の制御装置および周辺要素を有する制御システムは公知である(例えば、特許文献1参照)。安全な制御装置は、安全でない制御装置と周辺要素との間に配置されている。安全な制御装置は、安全でない第2の制御装置からメッセージを受け取り、選択的に変化させてまたは変化させないで周辺装置に転送することができる。更に、安全な制御装置は、周辺装置から得られたメッセージを変化させないで安全でない第2の制御装置に転送し、同時にメッセージを監視する。
【0007】
制御装置と周辺要素との間でメッセージを伝送するための方法は公知である(例えば、特許文献2)。
【特許文献1】独国特許出願公開第19928517号明細書
【特許文献2】国際特許出願公開2006/029899号明細書
【発明の開示】
【発明が解決しようとする課題】
【0008】
本発明の課題は、安全性指向のメッセージを、中間装置が他の任務、特に時間さえも重視される任務を引き受けているにもかかわらず、中間装置を介して伝送することを可能にすることにある。
【課題を解決するための手段】
【0009】
課題は請求項1の特徴を有する方法によって解決される。更に、課題は請求項7の特徴を有するプログラムによって解決される。更に、課題はこのようなプログラムが記憶されているデータ媒体によって解決される。更に、課題は請求項9の特徴を有する中間装置によって解決される。
【0010】
本発明によれば、制御装置と周辺要素との間でメッセージを伝達するための方法において、メッセージの1つを制御装置から周辺要素へ伝達するために、中間装置が、それぞれのメッセージを制御装置から受け取って、バッファメモリに中間記憶し、遅くとも最大のバッファ時間後に変化なしに周辺要素に転送する。同様のことが、メッセージの1つを周辺要素から制御装置へ伝達するために適用される。この場合にも中間装置が、それぞれのメッセージを受け取って、バッファメモリに中間記憶し、それを遅くとも最大のバッファ時間後に変化なしに転送する。メッセージは安全性メッセージであるので、メッセージはそれぞれ受信するユニット(制御装置または周辺要素)が健全性(エラーのないこと)についてチェック可能である。この場合に健全性のチェックは一方ではそれぞれのメッセージの内部の健全性もメッセージの順序および欠如も含む。
【0011】
中間装置は仲介機能の範囲内においてメッセージの受け取りおよび転送を行なう。仲介機能に加えて中間装置は固有機能を有する。中間装置は、(受け取ったメッセージが中間記憶されている)バッファメモリへの書込アクセスが固有機能の範囲内において阻止されるように構成されている。これは、固有機能の範囲内においてメッセージを変えることが試みられる場合でさえも当てはまる。この方法は、固有機能によるメッセージの取り消しが可能でないことが生じさせられる。
【0012】
中間装置が、論理入力チャンネルを介してそれぞれのメッセージを受け取り、論理入力チャンネルに対応する論理出力チャンネルを求め、論理出力チャンネルを介してそれぞれのメッセージを転送するとよい。このやり方は、通信仲介が中間装置によって特に簡単に実現可能であるという利点を有する。
【0013】
中間装置が論理出力チャンネルを内部の計画設定(プロジェクト)に基づいて求めるとよい。このやり方は特に柔軟性がある。
【0014】
制御装置と周辺要素との間で交換されるメッセージがそれぞれ1つの安全性機能に関係するとよい。各安全性機能には伝達方向ごとに個別にそれぞれ1つの論理入力チャンネルと1つの対応する論理出力チャンネルとが割り当てられているとよい。このやり方によって、個々の安全性機能が互いに別個に取り扱い可能である。
【0015】
バッファメモリへの読取アクセスは、書込アクセスと違って、危機的ではない。したがって、中間装置は、バッファメモリへの読取アクセスが固有機能の範囲内において可能であるように構成されているとよい。それによって、特に制御装置と周辺要素との間で交換される安全性関連の情報を固有機能の範囲内において考慮することができる。
【0016】
バッファメモリへのアクセス許可が、固有機能の範囲内において中間装置の固有機能に独立して規定可能な中間装置内部の計画設定によって定められているとよい。このやりかたによって、バッファメモリが書込アクセスに対しては遮断され、読取アクセスに対しては自由にされることを簡単に保証することができる。
【0017】
中間装置がプログラムを記憶しているプログラムメモリを有し、プログラムが中間装置の相応の装置によって実行可能であり、プログラムの実行が中間装置の本発明による動作を生じさせるとよい。代替として中間装置が方法を実行するASICを有するとよい。
【発明を実施するための最良の形態】
【0018】
以下において図面に関連させて実施例を説明することにより他の利点および詳細を明らかにする。図1は自動化システムの構成を概略的に示し、図2はメッセージの構成を概略的に示し、図3は制御装置と周辺要素との間の通信構成を示し、図4は中間装置の構成を概略的に示し、図5および図6はフローチャートを示し、図7は計画設定の構成を示し、図8はフローチャートを示す。
【0019】
図1によれば、自動化システム1により工業プロセス2が制御される。自動化システム1はこのために階層構造に構成されている。このシステムは、(少なくとも)1つの上位に置かれた制御装置3と、(少なくとも)1つの中間に置かれた中間装置4と、下位に置かれた周辺要素5,6とから構成されている。周辺要素5,6は、例えば駆動装置5および入力および/または出力要素6である。
【0020】
上位に置かれた制御装置3は安全性指向の制御装置3として構成されている。これは、図1において、制御装置3が破線によって2つの部分装置に区分されていることによって示されている。中間装置4は、一般に、周辺要素5,6の安全性指向でない機能を制御する。特に、工業プロセス2の相応の構成を前提として、中間装置4は、数値制御機械の運動制御を、あるいは一般的に運動制御を、または更により一般的にプロセス制御を実現する。中間装置4は、安全性指向の中間装置4として構成されているとよい。しかしながら、一般的には、それは安全性指向の中間装置4として構成されていない。周辺要素5,6は、部分的に安全性指向の周辺要素5,6として、部分的に安全性指向でない周辺要素5,6として構成されているとよい。
【0021】
本発明の範囲内において安全性指向でない機能は重要でない。したがって以下においては専ら安全性指向の機能(=安全性機能)に詳細に立ち入る。各安全性機能は定められた周辺要素5,6に割り当てられている。この場合に個々の周辺要素5,6には1つよりも多い安全性機能が割り当てられている。
【0022】
安全性機能の実現のために、制御装置3とそれぞれの周辺要素5,6とがメッセージTを交換する。この場合に各メッセージTはそれぞれ1つの安全性機能に関係させられている。
【0023】
メッセージTは安全性指向(=安全性メッセージ)である。メッセージTは、図2によれば、ヘッダ7と、実効データ8と、安全性情報9とからなる。ヘッダ7は、例えば送信するユニット(制御装置3または周辺要素5,6)に関するデータと、受信するユニット(周辺要素5,6または制御装置3)に関するデータとを含み、場合によってはその他のデータも含む。実効データ8は、例えばそれぞれの安全性機能自体に関するデータと、その機能の状態(活性、不活性)に関するデータとを含み、場合によってはその他のパラメータに関するデータも含む。安全性情報9は、例えば、それぞれの安全性メッセージが発生させられた時間データと、例えばCRC等の如き検査データとを含む。メッセージTは相応の規格によって規定されている。当該規格の例が、いわゆるPROFISAFE規格である。
【0024】
安全性指向の機能の例は、図3によれば、駆動装置5について、例えば、いわゆる安全停止1(すなわち、回転数=0、その後で無電流に切り換え)、安全停止2(すなわち、回転数=0ならびに回転数0への駆動装置5の能動的停止)または回転数制限運転(すなわち、限界回転数よりも小さい回転数、この場合に限界回転数がパラメータ化可能であるとよい。)である。相応の設定(それぞれの安全性機能の活性化または不活性化および場合によってはパラメータ化)が制御装置3によって行なわれる。それぞれの駆動装置5は制御装置3に、例えば回転数および電流供給状態をフィードバックする。
【0025】
図3によれば、各安全性機能について、それぞれの安全性機能に関係する対応するメッセージTを制御装置3からそれぞれの周辺要素5,6へ伝達するために、中間装置4への論理入力チャンネル10ならびに対応する論理出力チャンネル11がそれぞれ存在する。同様のやり方で、それぞれの周辺要素5,6から制御装置3へのメッセージTを伝達するためにも、対応する論理入力チャンネル10’および出力チャンネル11’が存在する。
【0026】
既に述べたように、伝達されるメッセージTは安全性メッセージである。したがって、それぞれ受け取るユニット(伝達方向に応じて制御装置3またはそれぞれの周辺要素5,6)は、受信されたメッセージTの健全性をチェックすることができる。この場合に、チェックは、一方ではそれぞれのメッセージT自体の内部健全性を含み、他方ではそれぞれのメッセージTの活性もしくは不活性、順序および欠如を含む。それぞれのユニット3,5,6がエラーを検出すると(そのうちのどれが検出するかには関係なく)、それは安全性指向の応答を作動させる。駆動装置5は、例えば自動的に安全停止1をもたらす。制御装置3は、例えば電磁開閉器を制御し、それにより駆動装置5およびその他の周辺要素6の電流供給が遮断される。
【0027】
本発明によれば、制御装置3と周辺要素5,6との間の通信が直接ではなく、中間装置4を介して行なわれる。したがって、中間装置4は、それぞれにおいて送信するユニット(制御装置3もしくは周辺要素5,6)からそれぞれのメッセージTを受け取る。中間装置4はそれぞれのメッセージTを変化させないで受信側ユニット(周辺要素5,6もしくは制御装置3)に転送する。この場合に転送は変化なしで行なわれる。したがって、メッセージTは元の形に保たれたままである。
【0028】
一方では制御装置3と中間装置4との間における、そして他方では中間装置4と周辺要素5,6との間における通信は、例えばバス12,13を介して行なわれる。この場合にバス12,13は、図1の表示に応じて互いに異なるバス12,13であってよい。しかしながら代替として同一の物理的なバスであってもよい。重要なことは制御装置3と周辺要素5,6との間における中間装置4の論理的な配置である。
【0029】
中間装置4は、図4によれば、一般にマイクロプロセッサ14(または他の適切な装置)によって制御される中間装置4として構成されている。したがって中間装置4は動作時にプログラム15を実行するマイクロプロセッサ14を有する。この場合にプログラム15は中間装置4のプログラムメモリ16に記憶されている。
【0030】
プログラム15は、中間装置4のマイクロプロセッサ14によって実行可能である機械コード17を含む。中間装置4のマイクロプロセッサ14による機械コード17の処理は、中間装置4が以下において説明する方法を実行することを生じさせる。
【0031】
プログラム15は、例えばインターネットまたは他のコンピュータネットワークを介して、中間装置4に供給される。代替として、プログラム15が機械読取可能な形で記憶されている適切なデータ媒体18により、プログラム15を中間装置4に供給することも可能である。例えば適切なデータ媒体18はCD−ROM、USBメモリスティック、メモリカードなどである。
【0032】
中間装置4は、図5によれば、ステップS1において入力を受け取る。受け取る入力は、代替として、安全性メッセージTまたはその他の入力であってよい。
【0033】
ステップS2においては、ステップS1の入力が安全性メッセージTであるかどうかを中間装置4が調べる。入力が安全性メッセージTでない場合には、中間装置4はステップS3に移行して、このステップにおいて固有機能を実行する。工業プロセス2の制御装置としての中間装置4の通常構成の場合には、中間装置4が、ステップS3の範囲内において、例えば工業プロセス2のための制御プログラムを実行する。ステップS3は、後で図8を参照して更に詳細に説明する。これに対してステップS1の入力が安全性メッセージTである場合には、中間装置4がステップS4を実行する。ステップS4においては安全性メッセージTが続行処理される。ステップS4は以下において図6を参照して詳細に説明する。
【0034】
図6によれば、中間装置4がステップS1の範囲内においてそれぞれの入力を受け取る。更に中間装置4は、ステップS1の範囲内において、入力が行なわれたかどうか、そして場合によってはどの入力チャンネル10,10’を介して入力が行なわれたかを決定する。ステップS2において、中間装置4は、例えば入力チャンネル10,10’の1つを介する入力が行なわれたかどうかという情報に基づいて、ステップS1の当該入力が安全性メッセージTであるかどうかを判定する。図5のステップS4は図6におけるステップS6乃至S9によって実現されている。
【0035】
ステップS6において、中間装置4は受け取ったメッセージTをバッファメモリ19に記憶する。バッファメモリ19への記憶はメッセージTの変化なしに行なわれる。もっと正確に言うとメッセージTは変化されないまま保存される。
【0036】
ステップS7において、中間装置4は、それぞれのメッセージTを受け取った方の論理入力チャンネル10,10’に対応する論理出力チャンネル11,11’を求める。このために中間装置4には、例えば計画設定(プロジェクト)20が予め与えられていて、計画設定メモリ20'に記憶されている(図4および図7参照)。計画設定20は、この場合に各安全性機能について伝達方向ごとに、それぞれ割り当てられた入力チャンネル10,10’、それぞれ割り当てられた出力チャンネル11,11’ならびにバッファメモリ19の1つのメモリ領域を含み、メモリ領域にはそれぞれのメッセージTが中間記憶される。更に、それぞれの安全性機能のために、バッファメモリ19のメモリ領域の内容が読み取られてもよいか否かが規定されるとよい。これについては後で更に詳細に立ち入る。中間装置4が付加的に他の計画設定を有する場合には、これらの他の計画設定は個別に記憶されている。
【0037】
ステップS8において、中間装置4は、バッファメモリ19に記憶されているメッセージTを読み出し、それを、ステップS9において、該当論理出力チャンネル11,11’を介して転送する。この場合にバッファメモリ19からのメッセージTの読み出しも転送もメッセージTの変化なしに行なわれる。
【0038】
図5のステップS1,S2およびS4の処理はサイクル時間T’内に行なわれる。これによって、中間装置4が受け取ったメッセージTを遅くとも最大バッファ時間(すなわち、サイクル時間T’)後に転送することが保証されている。
【0039】
図6を参照して既に説明した方法は、中間装置4が実行する仲介機能に相当する。ステップS3の固有機能は、この仲介機能とは独立している。この場合に固有機能は一般に使用者プログラム21によって決定されていて、使用者プログラム21は中間装置4の使用者メモリ22内に格納されている。使用者プログラム21および内部の計画設定20は、中間装置4に互いに独立して予め与えられ得る。固有機能(=図5のステップS3)の下位にはシステムプログラムが置かれている。以下において、図8を参照してこのシステムプログラムを説明する。この場合に、システムプログラムはプログラム15の構成部分である。
【0040】
図8によれば、中間装置4は、ステップS11において、作業メモリ23へのアクセスが行なわれるべきかどうかをチェックする。これがそうでない場合に、中間装置4は、ステップS12において、この種のメモリアクセスを含まない他の動作を実行する。この場合に作業メモリ23は、とりわけバッファメモリ19を含む。
【0041】
作業メモリ23へのアクセスが行なわれるべきである場合には、中間装置4は、ステップS13において、バッファメモリ19へのアクセスが行なわれるべきかどうかをチェックする。これがそうでない場合、すなわち作業メモリ23へのアクセスは行なわれるべきであるがバッファメモリ19に対しては必要でない場合には、中間装置4がステップS14においてそのアクセスを許可する。
【0042】
バッファメモリ19へのアクセスが行なわれるべきである場合に、中間装置4は、ステップS15において、所望のアクセスが書込アクセスであるかどうかをチェックする。これがそうである場合に、中間装置4はステップS16においてアクセスを拒否し、エラー処理を行なう。その他の場合に中間装置4はステップS17へ移行する。
【0043】
ステップS17において、中間装置4は、バッファメモリ19への読取アクセスが可能であるか(許されるか)どうかをチェックする。中間装置4は、ステップS17のチェックを、例えば計画設定20(図7参照)に基づいて行なう。読取アクセスが許される場合に中間装置4は読取アクセスをステップS18において許可する。その他の場合に中間装置4はステップS19において読取アクセスを拒否してエラー処理を行なう。ステップS19はほとんどステップS16に対応する。
【0044】
以上には、中間装置4がソフトウェアプログラミング可能な装置として構成されている中間装置4の構成を説明した。代替として、本発明による方法を実行するための中間装置4はASICを持っていてもよい。
【0045】
本発明による方法は多くの利点を有する。特に、制御装置3と周辺要素5,6との間に線が敷設される必要がない。したがって、本発明は簡単に実現可能である。更に、本発明による方法は非常に信頼性が高く、既存の自動化装置1においても簡単なやり方で追加装備可能である。更に、安全性機能は使用者プログラム21とは独立に計画可能である。安全性機能およびそれの計画設定20の変更は使用者プログラム21に影響しない。
【0046】
以上の説明は専ら本発明の説明に役立つ。これに対して本発明の保護範囲は専ら添付の特許請求の範囲によって定められるべきである。
【図面の簡単な説明】
【0047】
【図1】自動化システムの構成の概略図
【図2】メッセージの構成の概略図
【図3】制御装置と周辺要素との間の通信構成の概略図
【図4】中間装置の構成の概略図
【図5】本発明による方法の経過を示すフローチャート
【図6】図5の経過の一部を詳細に示すフローチャート
【図7】計画設定の構成の概略図
【図8】図5の他の一部を詳細に示すフローチャート
【符号の説明】
【0048】
1 自動化システム
2 工業プロセス
3 制御装置
4 中間装置
5 周辺要素(駆動装置)
6 周辺要素(入出力要素)
7 ヘッダ
8 実効データ
9 安全性情報
10 論理入力チャンネル
10' 論理入力チャンネル
11 論理出力チャンネル
11' 論理出力チャンネル
12 バス
13 バス
14 マイクロプロセッサ
15 プログラム
16 プログラムメモリ
17 機械コード
18 データ媒体
19 バッファメモリ
20 計画設定
21 使用者プログラム
22 使用者メモリ
23 作業メモリ
T 安全性メッセージ
【技術分野】
【0001】
本発明は、制御装置と周辺要素との間でメッセージを伝達するための方法に関する。
【背景技術】
【0002】
自動化技術において機械および設備の安全制御は絶対に必要である。特に、安全性指向の情報は制御装置と周辺要素との間で安全に伝達されなければならない。更に、安全な処理が保証されなければならない。「安全な処理」なる概念は、この場合には、個別的なエラーが危険な結果をもたらしてはならないことを意味する。「安全な伝達」なる概念は、伝達エラーが十分な信頼性をもって排除可能であることを意味する。安全な処理の例は次の2つの制御装置、すなわち相互に監視し、両制御装置の一方がエラーのある状態を認識するや否や、被制御設備の安全状態をもたらす2つの制御装置である。安全な処理の他の例は、それぞれ相互に監視してエラー認識時に適切な安全応答をひき起こす個別に見ると安全でない制御装置および個別に見ると安全でない周辺要素である。
【0003】
安全な伝達は、一方ではメッセージにおけるエラーがそれぞれ受信するユニットによって認識可能であることを必要とする。更に、メッセージエラー自体を介してメッセージの順序および欠如が確実に認識可能であることを必要とする。
【0004】
従来技術において、データを制御装置と周辺要素との間で個別の伝送線を介して伝達することは公知である。更に、メッセージを1つのバスを介して制御装置から周辺装置に、もしくはその逆に伝達することは公知である。この場合に従来技術において一方では制御装置および周辺要素がバスに接続されている。他方ではメッセージが安全性メッセージであるので、制御装置に伝送されるメッセージは制御装置によって健全性(エラーのないこと)についてチェック可能であり、周辺要素に伝達されるメッセージは周辺要素によって健全性ついてチェック可能である。
【0005】
自動化の課題が、しばしば階層構造の自動化システムによって実現される。このような場合に制御装置と周辺要素との間に他の構成要素(=本発明の意味での中間装置)が配置されているならば、通例、安全性に関連する情報の伝達は、それぞれの周辺要素を制御装置に接続する専用の伝送線を介して行なわれる。
【0006】
安全な第1の制御装置、安全でない第2の制御装置および周辺要素を有する制御システムは公知である(例えば、特許文献1参照)。安全な制御装置は、安全でない制御装置と周辺要素との間に配置されている。安全な制御装置は、安全でない第2の制御装置からメッセージを受け取り、選択的に変化させてまたは変化させないで周辺装置に転送することができる。更に、安全な制御装置は、周辺装置から得られたメッセージを変化させないで安全でない第2の制御装置に転送し、同時にメッセージを監視する。
【0007】
制御装置と周辺要素との間でメッセージを伝送するための方法は公知である(例えば、特許文献2)。
【特許文献1】独国特許出願公開第19928517号明細書
【特許文献2】国際特許出願公開2006/029899号明細書
【発明の開示】
【発明が解決しようとする課題】
【0008】
本発明の課題は、安全性指向のメッセージを、中間装置が他の任務、特に時間さえも重視される任務を引き受けているにもかかわらず、中間装置を介して伝送することを可能にすることにある。
【課題を解決するための手段】
【0009】
課題は請求項1の特徴を有する方法によって解決される。更に、課題は請求項7の特徴を有するプログラムによって解決される。更に、課題はこのようなプログラムが記憶されているデータ媒体によって解決される。更に、課題は請求項9の特徴を有する中間装置によって解決される。
【0010】
本発明によれば、制御装置と周辺要素との間でメッセージを伝達するための方法において、メッセージの1つを制御装置から周辺要素へ伝達するために、中間装置が、それぞれのメッセージを制御装置から受け取って、バッファメモリに中間記憶し、遅くとも最大のバッファ時間後に変化なしに周辺要素に転送する。同様のことが、メッセージの1つを周辺要素から制御装置へ伝達するために適用される。この場合にも中間装置が、それぞれのメッセージを受け取って、バッファメモリに中間記憶し、それを遅くとも最大のバッファ時間後に変化なしに転送する。メッセージは安全性メッセージであるので、メッセージはそれぞれ受信するユニット(制御装置または周辺要素)が健全性(エラーのないこと)についてチェック可能である。この場合に健全性のチェックは一方ではそれぞれのメッセージの内部の健全性もメッセージの順序および欠如も含む。
【0011】
中間装置は仲介機能の範囲内においてメッセージの受け取りおよび転送を行なう。仲介機能に加えて中間装置は固有機能を有する。中間装置は、(受け取ったメッセージが中間記憶されている)バッファメモリへの書込アクセスが固有機能の範囲内において阻止されるように構成されている。これは、固有機能の範囲内においてメッセージを変えることが試みられる場合でさえも当てはまる。この方法は、固有機能によるメッセージの取り消しが可能でないことが生じさせられる。
【0012】
中間装置が、論理入力チャンネルを介してそれぞれのメッセージを受け取り、論理入力チャンネルに対応する論理出力チャンネルを求め、論理出力チャンネルを介してそれぞれのメッセージを転送するとよい。このやり方は、通信仲介が中間装置によって特に簡単に実現可能であるという利点を有する。
【0013】
中間装置が論理出力チャンネルを内部の計画設定(プロジェクト)に基づいて求めるとよい。このやり方は特に柔軟性がある。
【0014】
制御装置と周辺要素との間で交換されるメッセージがそれぞれ1つの安全性機能に関係するとよい。各安全性機能には伝達方向ごとに個別にそれぞれ1つの論理入力チャンネルと1つの対応する論理出力チャンネルとが割り当てられているとよい。このやり方によって、個々の安全性機能が互いに別個に取り扱い可能である。
【0015】
バッファメモリへの読取アクセスは、書込アクセスと違って、危機的ではない。したがって、中間装置は、バッファメモリへの読取アクセスが固有機能の範囲内において可能であるように構成されているとよい。それによって、特に制御装置と周辺要素との間で交換される安全性関連の情報を固有機能の範囲内において考慮することができる。
【0016】
バッファメモリへのアクセス許可が、固有機能の範囲内において中間装置の固有機能に独立して規定可能な中間装置内部の計画設定によって定められているとよい。このやりかたによって、バッファメモリが書込アクセスに対しては遮断され、読取アクセスに対しては自由にされることを簡単に保証することができる。
【0017】
中間装置がプログラムを記憶しているプログラムメモリを有し、プログラムが中間装置の相応の装置によって実行可能であり、プログラムの実行が中間装置の本発明による動作を生じさせるとよい。代替として中間装置が方法を実行するASICを有するとよい。
【発明を実施するための最良の形態】
【0018】
以下において図面に関連させて実施例を説明することにより他の利点および詳細を明らかにする。図1は自動化システムの構成を概略的に示し、図2はメッセージの構成を概略的に示し、図3は制御装置と周辺要素との間の通信構成を示し、図4は中間装置の構成を概略的に示し、図5および図6はフローチャートを示し、図7は計画設定の構成を示し、図8はフローチャートを示す。
【0019】
図1によれば、自動化システム1により工業プロセス2が制御される。自動化システム1はこのために階層構造に構成されている。このシステムは、(少なくとも)1つの上位に置かれた制御装置3と、(少なくとも)1つの中間に置かれた中間装置4と、下位に置かれた周辺要素5,6とから構成されている。周辺要素5,6は、例えば駆動装置5および入力および/または出力要素6である。
【0020】
上位に置かれた制御装置3は安全性指向の制御装置3として構成されている。これは、図1において、制御装置3が破線によって2つの部分装置に区分されていることによって示されている。中間装置4は、一般に、周辺要素5,6の安全性指向でない機能を制御する。特に、工業プロセス2の相応の構成を前提として、中間装置4は、数値制御機械の運動制御を、あるいは一般的に運動制御を、または更により一般的にプロセス制御を実現する。中間装置4は、安全性指向の中間装置4として構成されているとよい。しかしながら、一般的には、それは安全性指向の中間装置4として構成されていない。周辺要素5,6は、部分的に安全性指向の周辺要素5,6として、部分的に安全性指向でない周辺要素5,6として構成されているとよい。
【0021】
本発明の範囲内において安全性指向でない機能は重要でない。したがって以下においては専ら安全性指向の機能(=安全性機能)に詳細に立ち入る。各安全性機能は定められた周辺要素5,6に割り当てられている。この場合に個々の周辺要素5,6には1つよりも多い安全性機能が割り当てられている。
【0022】
安全性機能の実現のために、制御装置3とそれぞれの周辺要素5,6とがメッセージTを交換する。この場合に各メッセージTはそれぞれ1つの安全性機能に関係させられている。
【0023】
メッセージTは安全性指向(=安全性メッセージ)である。メッセージTは、図2によれば、ヘッダ7と、実効データ8と、安全性情報9とからなる。ヘッダ7は、例えば送信するユニット(制御装置3または周辺要素5,6)に関するデータと、受信するユニット(周辺要素5,6または制御装置3)に関するデータとを含み、場合によってはその他のデータも含む。実効データ8は、例えばそれぞれの安全性機能自体に関するデータと、その機能の状態(活性、不活性)に関するデータとを含み、場合によってはその他のパラメータに関するデータも含む。安全性情報9は、例えば、それぞれの安全性メッセージが発生させられた時間データと、例えばCRC等の如き検査データとを含む。メッセージTは相応の規格によって規定されている。当該規格の例が、いわゆるPROFISAFE規格である。
【0024】
安全性指向の機能の例は、図3によれば、駆動装置5について、例えば、いわゆる安全停止1(すなわち、回転数=0、その後で無電流に切り換え)、安全停止2(すなわち、回転数=0ならびに回転数0への駆動装置5の能動的停止)または回転数制限運転(すなわち、限界回転数よりも小さい回転数、この場合に限界回転数がパラメータ化可能であるとよい。)である。相応の設定(それぞれの安全性機能の活性化または不活性化および場合によってはパラメータ化)が制御装置3によって行なわれる。それぞれの駆動装置5は制御装置3に、例えば回転数および電流供給状態をフィードバックする。
【0025】
図3によれば、各安全性機能について、それぞれの安全性機能に関係する対応するメッセージTを制御装置3からそれぞれの周辺要素5,6へ伝達するために、中間装置4への論理入力チャンネル10ならびに対応する論理出力チャンネル11がそれぞれ存在する。同様のやり方で、それぞれの周辺要素5,6から制御装置3へのメッセージTを伝達するためにも、対応する論理入力チャンネル10’および出力チャンネル11’が存在する。
【0026】
既に述べたように、伝達されるメッセージTは安全性メッセージである。したがって、それぞれ受け取るユニット(伝達方向に応じて制御装置3またはそれぞれの周辺要素5,6)は、受信されたメッセージTの健全性をチェックすることができる。この場合に、チェックは、一方ではそれぞれのメッセージT自体の内部健全性を含み、他方ではそれぞれのメッセージTの活性もしくは不活性、順序および欠如を含む。それぞれのユニット3,5,6がエラーを検出すると(そのうちのどれが検出するかには関係なく)、それは安全性指向の応答を作動させる。駆動装置5は、例えば自動的に安全停止1をもたらす。制御装置3は、例えば電磁開閉器を制御し、それにより駆動装置5およびその他の周辺要素6の電流供給が遮断される。
【0027】
本発明によれば、制御装置3と周辺要素5,6との間の通信が直接ではなく、中間装置4を介して行なわれる。したがって、中間装置4は、それぞれにおいて送信するユニット(制御装置3もしくは周辺要素5,6)からそれぞれのメッセージTを受け取る。中間装置4はそれぞれのメッセージTを変化させないで受信側ユニット(周辺要素5,6もしくは制御装置3)に転送する。この場合に転送は変化なしで行なわれる。したがって、メッセージTは元の形に保たれたままである。
【0028】
一方では制御装置3と中間装置4との間における、そして他方では中間装置4と周辺要素5,6との間における通信は、例えばバス12,13を介して行なわれる。この場合にバス12,13は、図1の表示に応じて互いに異なるバス12,13であってよい。しかしながら代替として同一の物理的なバスであってもよい。重要なことは制御装置3と周辺要素5,6との間における中間装置4の論理的な配置である。
【0029】
中間装置4は、図4によれば、一般にマイクロプロセッサ14(または他の適切な装置)によって制御される中間装置4として構成されている。したがって中間装置4は動作時にプログラム15を実行するマイクロプロセッサ14を有する。この場合にプログラム15は中間装置4のプログラムメモリ16に記憶されている。
【0030】
プログラム15は、中間装置4のマイクロプロセッサ14によって実行可能である機械コード17を含む。中間装置4のマイクロプロセッサ14による機械コード17の処理は、中間装置4が以下において説明する方法を実行することを生じさせる。
【0031】
プログラム15は、例えばインターネットまたは他のコンピュータネットワークを介して、中間装置4に供給される。代替として、プログラム15が機械読取可能な形で記憶されている適切なデータ媒体18により、プログラム15を中間装置4に供給することも可能である。例えば適切なデータ媒体18はCD−ROM、USBメモリスティック、メモリカードなどである。
【0032】
中間装置4は、図5によれば、ステップS1において入力を受け取る。受け取る入力は、代替として、安全性メッセージTまたはその他の入力であってよい。
【0033】
ステップS2においては、ステップS1の入力が安全性メッセージTであるかどうかを中間装置4が調べる。入力が安全性メッセージTでない場合には、中間装置4はステップS3に移行して、このステップにおいて固有機能を実行する。工業プロセス2の制御装置としての中間装置4の通常構成の場合には、中間装置4が、ステップS3の範囲内において、例えば工業プロセス2のための制御プログラムを実行する。ステップS3は、後で図8を参照して更に詳細に説明する。これに対してステップS1の入力が安全性メッセージTである場合には、中間装置4がステップS4を実行する。ステップS4においては安全性メッセージTが続行処理される。ステップS4は以下において図6を参照して詳細に説明する。
【0034】
図6によれば、中間装置4がステップS1の範囲内においてそれぞれの入力を受け取る。更に中間装置4は、ステップS1の範囲内において、入力が行なわれたかどうか、そして場合によってはどの入力チャンネル10,10’を介して入力が行なわれたかを決定する。ステップS2において、中間装置4は、例えば入力チャンネル10,10’の1つを介する入力が行なわれたかどうかという情報に基づいて、ステップS1の当該入力が安全性メッセージTであるかどうかを判定する。図5のステップS4は図6におけるステップS6乃至S9によって実現されている。
【0035】
ステップS6において、中間装置4は受け取ったメッセージTをバッファメモリ19に記憶する。バッファメモリ19への記憶はメッセージTの変化なしに行なわれる。もっと正確に言うとメッセージTは変化されないまま保存される。
【0036】
ステップS7において、中間装置4は、それぞれのメッセージTを受け取った方の論理入力チャンネル10,10’に対応する論理出力チャンネル11,11’を求める。このために中間装置4には、例えば計画設定(プロジェクト)20が予め与えられていて、計画設定メモリ20'に記憶されている(図4および図7参照)。計画設定20は、この場合に各安全性機能について伝達方向ごとに、それぞれ割り当てられた入力チャンネル10,10’、それぞれ割り当てられた出力チャンネル11,11’ならびにバッファメモリ19の1つのメモリ領域を含み、メモリ領域にはそれぞれのメッセージTが中間記憶される。更に、それぞれの安全性機能のために、バッファメモリ19のメモリ領域の内容が読み取られてもよいか否かが規定されるとよい。これについては後で更に詳細に立ち入る。中間装置4が付加的に他の計画設定を有する場合には、これらの他の計画設定は個別に記憶されている。
【0037】
ステップS8において、中間装置4は、バッファメモリ19に記憶されているメッセージTを読み出し、それを、ステップS9において、該当論理出力チャンネル11,11’を介して転送する。この場合にバッファメモリ19からのメッセージTの読み出しも転送もメッセージTの変化なしに行なわれる。
【0038】
図5のステップS1,S2およびS4の処理はサイクル時間T’内に行なわれる。これによって、中間装置4が受け取ったメッセージTを遅くとも最大バッファ時間(すなわち、サイクル時間T’)後に転送することが保証されている。
【0039】
図6を参照して既に説明した方法は、中間装置4が実行する仲介機能に相当する。ステップS3の固有機能は、この仲介機能とは独立している。この場合に固有機能は一般に使用者プログラム21によって決定されていて、使用者プログラム21は中間装置4の使用者メモリ22内に格納されている。使用者プログラム21および内部の計画設定20は、中間装置4に互いに独立して予め与えられ得る。固有機能(=図5のステップS3)の下位にはシステムプログラムが置かれている。以下において、図8を参照してこのシステムプログラムを説明する。この場合に、システムプログラムはプログラム15の構成部分である。
【0040】
図8によれば、中間装置4は、ステップS11において、作業メモリ23へのアクセスが行なわれるべきかどうかをチェックする。これがそうでない場合に、中間装置4は、ステップS12において、この種のメモリアクセスを含まない他の動作を実行する。この場合に作業メモリ23は、とりわけバッファメモリ19を含む。
【0041】
作業メモリ23へのアクセスが行なわれるべきである場合には、中間装置4は、ステップS13において、バッファメモリ19へのアクセスが行なわれるべきかどうかをチェックする。これがそうでない場合、すなわち作業メモリ23へのアクセスは行なわれるべきであるがバッファメモリ19に対しては必要でない場合には、中間装置4がステップS14においてそのアクセスを許可する。
【0042】
バッファメモリ19へのアクセスが行なわれるべきである場合に、中間装置4は、ステップS15において、所望のアクセスが書込アクセスであるかどうかをチェックする。これがそうである場合に、中間装置4はステップS16においてアクセスを拒否し、エラー処理を行なう。その他の場合に中間装置4はステップS17へ移行する。
【0043】
ステップS17において、中間装置4は、バッファメモリ19への読取アクセスが可能であるか(許されるか)どうかをチェックする。中間装置4は、ステップS17のチェックを、例えば計画設定20(図7参照)に基づいて行なう。読取アクセスが許される場合に中間装置4は読取アクセスをステップS18において許可する。その他の場合に中間装置4はステップS19において読取アクセスを拒否してエラー処理を行なう。ステップS19はほとんどステップS16に対応する。
【0044】
以上には、中間装置4がソフトウェアプログラミング可能な装置として構成されている中間装置4の構成を説明した。代替として、本発明による方法を実行するための中間装置4はASICを持っていてもよい。
【0045】
本発明による方法は多くの利点を有する。特に、制御装置3と周辺要素5,6との間に線が敷設される必要がない。したがって、本発明は簡単に実現可能である。更に、本発明による方法は非常に信頼性が高く、既存の自動化装置1においても簡単なやり方で追加装備可能である。更に、安全性機能は使用者プログラム21とは独立に計画可能である。安全性機能およびそれの計画設定20の変更は使用者プログラム21に影響しない。
【0046】
以上の説明は専ら本発明の説明に役立つ。これに対して本発明の保護範囲は専ら添付の特許請求の範囲によって定められるべきである。
【図面の簡単な説明】
【0047】
【図1】自動化システムの構成の概略図
【図2】メッセージの構成の概略図
【図3】制御装置と周辺要素との間の通信構成の概略図
【図4】中間装置の構成の概略図
【図5】本発明による方法の経過を示すフローチャート
【図6】図5の経過の一部を詳細に示すフローチャート
【図7】計画設定の構成の概略図
【図8】図5の他の一部を詳細に示すフローチャート
【符号の説明】
【0048】
1 自動化システム
2 工業プロセス
3 制御装置
4 中間装置
5 周辺要素(駆動装置)
6 周辺要素(入出力要素)
7 ヘッダ
8 実効データ
9 安全性情報
10 論理入力チャンネル
10' 論理入力チャンネル
11 論理出力チャンネル
11' 論理出力チャンネル
12 バス
13 バス
14 マイクロプロセッサ
15 プログラム
16 プログラムメモリ
17 機械コード
18 データ媒体
19 バッファメモリ
20 計画設定
21 使用者プログラム
22 使用者メモリ
23 作業メモリ
T 安全性メッセージ
【特許請求の範囲】
【請求項1】
制御装置(3)と周辺要素(5,6)との間でメッセージ(T)を伝達するための方法であって、
メッセージ(T)の1つを制御装置(3)から周辺要素(5,6)へ伝達するために、中間装置(4)が、それぞれのメッセージ(T)を制御装置(3)から受け取って、バッファメモリ(19)に中間記憶し、遅くとも最大のバッファ時間(T’)後に変化なしに周辺要素(5,6)に転送し、
メッセージ(T)の1つを周辺要素(5,6)から制御装置(3)へ伝達するために、中間装置(4)が、それぞれのメッセージ(T)を周辺要素(5,6)から受け取って、バッファメモリ(19)に中間記憶し、遅くとも最大のバッファ時間(T’)後に変化なしに制御装置(3)に転送し、
メッセージ(T)は安全性メッセージであり、制御装置(3)に転送されるメッセージ(T)が制御装置(3)によって健全性についてチェック可能であり、周辺要素(5,6)に転送されるメッセージ(T)が周辺要素(5,6)によって健全性についてチェック可能であり、
中間装置(4)が仲介機能の範囲内においてメッセージ(T)の受け取りおよび転送を実行し、
中間装置(4)が仲介機能に加えて固有機能を有し、バッファメモリ(19)への書込アクセスが固有機能の範囲内において阻止されているように中間装置(4)が構成されている方法。
【請求項2】
中間装置(4)が論理入力チャンネル(10,10’)を介してそれぞれのメッセージ(T)を受け取り、中間装置(4)が論理入力チャンネル(10,10’)に対応する論理出力チャンネル(11,11’)を求め、中間装置(4)が論理出力チャンネル(11,11’)を介してそれぞれのメッセージ(T)を転送する請求項1記載の方法。
【請求項3】
中間装置(4)が論理出力チャンネル(11,11’)を内部の計画設定(20)に基づいて求める請求項2記載の方法。
【請求項4】
制御装置(3)と周辺要素(5,6)との間で交換されるメッセージ(T)がそれぞれ1つの安全性機能に関係し、各安全性機能に伝達方向ごとに個別にそれぞれ1つの論理入力チャンネル(10,10’)と1つの対応する論理出力チャンネル(11,11’)とが割り当てられている請求項2又は3記載の方法。
【請求項5】
バッファメモリ(19)への読取アクセスが固有機能の範囲内において可能である請求項6記載の方法。
【請求項6】
バッファメモリ(19)へのアクセス許可が、固有機能の範囲内において中間装置(4)の固有機能に独立して規定可能な中間装置(4)内部の計画設定(20)によって定められている請求項1乃至5の1つに記載の方法。
【請求項7】
中間装置(4)による機械コード(17)の処理が、中間装置(4)が請求項1乃至6の1つに記載の方法を実行することを生じさせる機械コード(17)を含むプログラム。
【請求項8】
請求項7記載のプログラムが記憶されているデータ媒体。
【請求項9】
動作時に請求項1乃至6の1つに記載の方法を実行するように構成されている中間装置。
【請求項10】
中間装置がプログラムメモリ(16)を有し、プログラムメモリ(16)に請求項7記載のプログラム(15)が記憶されていて、プログラム(15)が中間装置の相応の装置(14)によって実行可能である請求項9記載の中間装置。
【請求項11】
中間装置が方法を実行するASICを有する請求項9記載の中間装置。
【請求項1】
制御装置(3)と周辺要素(5,6)との間でメッセージ(T)を伝達するための方法であって、
メッセージ(T)の1つを制御装置(3)から周辺要素(5,6)へ伝達するために、中間装置(4)が、それぞれのメッセージ(T)を制御装置(3)から受け取って、バッファメモリ(19)に中間記憶し、遅くとも最大のバッファ時間(T’)後に変化なしに周辺要素(5,6)に転送し、
メッセージ(T)の1つを周辺要素(5,6)から制御装置(3)へ伝達するために、中間装置(4)が、それぞれのメッセージ(T)を周辺要素(5,6)から受け取って、バッファメモリ(19)に中間記憶し、遅くとも最大のバッファ時間(T’)後に変化なしに制御装置(3)に転送し、
メッセージ(T)は安全性メッセージであり、制御装置(3)に転送されるメッセージ(T)が制御装置(3)によって健全性についてチェック可能であり、周辺要素(5,6)に転送されるメッセージ(T)が周辺要素(5,6)によって健全性についてチェック可能であり、
中間装置(4)が仲介機能の範囲内においてメッセージ(T)の受け取りおよび転送を実行し、
中間装置(4)が仲介機能に加えて固有機能を有し、バッファメモリ(19)への書込アクセスが固有機能の範囲内において阻止されているように中間装置(4)が構成されている方法。
【請求項2】
中間装置(4)が論理入力チャンネル(10,10’)を介してそれぞれのメッセージ(T)を受け取り、中間装置(4)が論理入力チャンネル(10,10’)に対応する論理出力チャンネル(11,11’)を求め、中間装置(4)が論理出力チャンネル(11,11’)を介してそれぞれのメッセージ(T)を転送する請求項1記載の方法。
【請求項3】
中間装置(4)が論理出力チャンネル(11,11’)を内部の計画設定(20)に基づいて求める請求項2記載の方法。
【請求項4】
制御装置(3)と周辺要素(5,6)との間で交換されるメッセージ(T)がそれぞれ1つの安全性機能に関係し、各安全性機能に伝達方向ごとに個別にそれぞれ1つの論理入力チャンネル(10,10’)と1つの対応する論理出力チャンネル(11,11’)とが割り当てられている請求項2又は3記載の方法。
【請求項5】
バッファメモリ(19)への読取アクセスが固有機能の範囲内において可能である請求項6記載の方法。
【請求項6】
バッファメモリ(19)へのアクセス許可が、固有機能の範囲内において中間装置(4)の固有機能に独立して規定可能な中間装置(4)内部の計画設定(20)によって定められている請求項1乃至5の1つに記載の方法。
【請求項7】
中間装置(4)による機械コード(17)の処理が、中間装置(4)が請求項1乃至6の1つに記載の方法を実行することを生じさせる機械コード(17)を含むプログラム。
【請求項8】
請求項7記載のプログラムが記憶されているデータ媒体。
【請求項9】
動作時に請求項1乃至6の1つに記載の方法を実行するように構成されている中間装置。
【請求項10】
中間装置がプログラムメモリ(16)を有し、プログラムメモリ(16)に請求項7記載のプログラム(15)が記憶されていて、プログラム(15)が中間装置の相応の装置(14)によって実行可能である請求項9記載の中間装置。
【請求項11】
中間装置が方法を実行するASICを有する請求項9記載の中間装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2009−48632(P2009−48632A)
【公開日】平成21年3月5日(2009.3.5)
【国際特許分類】
【出願番号】特願2008−207207(P2008−207207)
【出願日】平成20年8月11日(2008.8.11)
【出願人】(390039413)シーメンス アクチエンゲゼルシヤフト (2,104)
【氏名又は名称原語表記】Siemens Aktiengesellschaft
【住所又は居所原語表記】Wittelsbacherplatz 2, D−80333 Muenchen, Germany
【Fターム(参考)】
【公開日】平成21年3月5日(2009.3.5)
【国際特許分類】
【出願日】平成20年8月11日(2008.8.11)
【出願人】(390039413)シーメンス アクチエンゲゼルシヤフト (2,104)
【氏名又は名称原語表記】Siemens Aktiengesellschaft
【住所又は居所原語表記】Wittelsbacherplatz 2, D−80333 Muenchen, Germany
【Fターム(参考)】
[ Back to top ]