安全制御システム
【課題】プロセッサユニット数を削減して、低コスト化と省スペース化を実現するとともに、二重化構成による安全機能間の同期を確実に維持すること。
【解決手段】制御機能と安全機能の両方を実行する第一のプロセッサユニットと、安全機能のみを実行する第二のプロセッサユニットで構成し、第一のプロセッサユニットは、通信データが安全データを含む場合は、内部割込み信号と第二のプロセッサユニットへの外部割込み信号を発生させると共に、安全データを第二のプロセッサユニットへ転送する安全データ転送手段と、内部割込み信号によって安全処理を実行する安全データ実行手段とを備え、第二のプロセッサユニットは、外部割込み信号によって起動し、第一のプロセッサユニットから転送された安全データをもとに安全処理を実行する。
【解決手段】制御機能と安全機能の両方を実行する第一のプロセッサユニットと、安全機能のみを実行する第二のプロセッサユニットで構成し、第一のプロセッサユニットは、通信データが安全データを含む場合は、内部割込み信号と第二のプロセッサユニットへの外部割込み信号を発生させると共に、安全データを第二のプロセッサユニットへ転送する安全データ転送手段と、内部割込み信号によって安全処理を実行する安全データ実行手段とを備え、第二のプロセッサユニットは、外部割込み信号によって起動し、第一のプロセッサユニットから転送された安全データをもとに安全処理を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電力変換器などの被制御装置の安全監視機能を有し、ネットワーク経由で与えられる制御信号に基づいて被制御装置を制御する安全制御システムに係り、特に制御機能と安全監視機能とを有するプロセッサと、安全監視機能のみを有するプロセッサとの間で精度の高い同期処理を実行し、高い安全性を実現する安全制御システムに関する。
【背景技術】
【0002】
従来、電力変換器などの被制御装置に対しては、機能安全が要求され、IEC61508に代表される機能安全規格などが策定されている。この機能安全規格は、診断・監視機能に加えて、外部のセンサー等からの信号に基づいて装置を安全な状態へ移行する機能を定義している。安全状態への移行機能においては、安全停止、安全減速などが挙げられる。また、外部コントローラから電力変換器へ制御信号や安全信号を与える方法として、現在主流となっているのは、機能ごとに信号線を電力変換器へ接続するワイヤ配線によるものである。この方法は、実装が容易であるものの、システムの規模に応じて配線が複雑化し、設計面やコスト面で不利となっている。このため、ワイヤ配線で与えられていた安全信号を、制御信号と混合させて産業用ネットワークに乗せるための「安全バス」を用いたシステムが提案されている。(例えば特許文献1を参照。)
【0003】
また、特許文献2には、外部の安全コントローラと安全規格で設計された入力機器・出力機器とをネットワークに中継するための装置が記載されている。この装置の入力と出力はそれぞれ別々の機器で構成され、それぞれは冗長化された端子(送受信部)で接続することで安全機能を実現している。
【0004】
電力変換器で安全バスを実現するとき、通信装置は、機能安全規格を満たすため、たとえば図8に示すように、安全バス(ネットワーク3)に流れる通信データのうち、制御データと安全データを分離するために、独立した2つの通信装置10a,10bを設けるか、あるいは、図9に示すように、一つの通信装置10で安全データと非安全データ(制御データ)の混在する通信データを受信し、その通信データから安全データと非安全データとを分離するための専用のプロセッサユニットを設けていた。
【0005】
ところで、ハードウェアのコスト削減の要請から、図9に挙げる3つのプロセッサユニットを2つに集約し、一方のプロセッサユニットには制御機能と安全機能を実装し、他方のプロセッサユニットには安全機能のみを実装するようにすれば、安全機能の二重化の条件を満たしつつ、ユニット数が削減され小型化と低コスト化を実現することができる。
【0006】
しかしながら、このユニット構成にすると安全機能と非安全機能が混在することによる問題が生じる。たとえば、二重化された安全機能は、同時に同じ安全処理を実行するように同期をとる必要があるが、一方のプロセッサユニットの安全処理が非安全処理の挙動に影響されて同期外れが起こりやすくなるという問題がある。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2006−178730号公報
【特許文献2】特開2006−325390号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、上述のかかる事情に鑑みてなされたものであり、プロセッサユニット数を削減して、低コスト化と省スペース化を実現するとともに、二重化構成による安全機能間の同期を確実に維持することのできる安全制御システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明に係る安全制御システムは、ネットワークを介して外部コントローラと通信データの送受信を行う通信装置と、該通信装置を経由して外部コントローラから送られてくる通信データを受信し、該通信データに基づいて電力変換器へ制御信号を出力する制御機能と、該通信データに基づいて電力変換器への停止指令の出力その他の安全機能と、を実行する第一のプロセッサユニットと、安全機能のみを実行する第二のプロセッサユニットを有する安全制御システムであって、第一のプロセッサユニットは、通信データが非安全データを含む場合は、該非安全データをもとに制御指令を生成して電力変換器へ出力する制御指令生成手段と、通信データが安全データを含む場合は、前記第二のプロセッサユニットに対する割込み信号である外部割込み信号と、プロセッサ内部の割込み信号である内部割込み信号を発生すると共に、安全データを前記第二のプロセッサユニットへ転送する安全データ転送手段と、内部割込み信号によって、安全データに基づく安全処理を実行する安全データ実行手段と、第二のプロセッサユニットによって実行された安全処理の結果を受信し、該受信データと安全データ実行手段による実行結果をもとに通信コントローラへ送信すべき通信データを生成する結合手段と、を備え、第二のプロセッサユニットは、外部割込み信号によって起動し、第一のプロセッサユニットから転送された安全データをもとに安全処理を実行し、該安全処理の結果を第一のプロセッサユニットへ送信する安全データ実行手段を備えたことを特徴とする。
【0010】
ここで、プロセッサユニットとは、ある機能を実現するための演算処理を行う独立した構成単位を意味し、その形態(基板や装置など)は問わない。
【0011】
本発明では、第一のプロセッサユニットでは制御機能と安全機能を実行させ、第二のプロセッサユニットでは安全機能のみを実行させ、処理負荷の重い第一のプロセッサユニットからの外部割込み信号によって両プロセッサユニット間の安全処理のタイミングをとる。第二のプロセッサユニットは、第一のプロセッサユニットよりも処理負荷が軽いので、第一のプロセッサユニットのタイミングに合わせても安全処理が停滞することはない。これにより、両プロセッサユニットの安全機能の同期を確実にとることができる。
【0012】
また、本発明に係る安全制御システムの第一のプロセッサユニットは、一定時間間隔で内部割込み信号を発生させる第一のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、第二のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第一のメモリ診断手段と、第二のプロセッサユニットの第二のメモリ診断手段によって発生された外部割込み信号によって起動し、第二のメモリ診断手段から送信された誤り検出符号と第一のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第一の安全管理手段と、を備え、第二のプロセッサユニットは、設定時間経過後に内部割込み信号を発生させた後に再起動する第二のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、第一のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第二のメモリ診断手段と、第一のプロセッサユニットの第一のメモリ診断手段によって発生された外部割込み信号によって起動し、該起動のタイミングに基づいて第二のタイマ手段の設定時間を調整する一方、第一のメモリ診断手段から送信された誤り検出符号と第二のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第二の安全管理手段と、を備えたことを特徴とする。
【0013】
安全機能の一つであるメモリ診断機能は、同じタイミングで誤り検出符合を生成して転送し合うことが必要であるが、誤り検出符号生成のタイミングを発生するタイマ手段については、第一のプロセッサユニットからの誤り検出符号の送信タイミングで第二のタイマの設定時間を調整することにより、第二のタイマ手段を第一のタイマ手段に同期させるようにする。これにより、両プロセッサユニットのメモリ診断処理のタイミングのずれが蓄積されていくことを防止することができる。
【0014】
また、本発明に係る安全制御システムの第一のメモリ診断手段は、送信ごとに順にインクリメントされる送信番号とともに誤り検出符号を送信し、第二のメモリ診断手段は、第一のメモリ手段から送られてきた最新の送信番号をインクリメントした値を送信番号として、該送信番号を誤り検出符号とともに送信し、第一の安全管理手段と第二の安全管理手段は、それぞれ送信番号も含めて比較し、送信番号と誤り検出符号のいずれか一方でも一致していない場合はエラー処理を実行することを特徴とする。
【0015】
本発明では、両プロセッサユニット間で万一メモリ診断処理のタイミングにずれが生じた場合に、ずれが生じたこと、すなわち同期外れの状態にあることを検知してエラー処理を実行する。
【発明の効果】
【0016】
本発明によれば、プロセッサユニット数を削減して、低コスト化と省スペース化を実現するとともに、二重化構成による安全機能間の同期を確実に維持することができる。また、故障等により万一安全機能間で同期外れが発生した場合には、これを検知してエラー処理を実行するので、信頼性の高い安全制御システムを構築することができる。
【図面の簡単な説明】
【0017】
【図1】本発明の実施の形態による安全制御システム1および周辺装置の構成図である。
【図2】図1のプロセッサユニット11,12の機能ブロック図である。
【図3】本発明の実施の形態による安全制御システム1の動作概要の説明図である。
【図4】分離手段22の処理手順を示すフローチャートである。
【図5】図2のメモリ34、メモリ64の領域分割の説明図である。
【図6】図2のメモリ診断手段28、安全管理手段29の処理手順を示すフローチャートである。
【図7】図2のメモリ診断手段58、安全管理手段59の処理手順を示すフローチャートである。
【図8】従来の安全制御システムの一構成例である。
【図9】従来の安全制御システムの他の構成例である。
【発明を実施するための形態】
【0018】
以下、図面を参照しながら本発明の実施の形態を説明する。図1は、本発明の実施の形態による安全制御システム1および周辺装置の構成図である。図9に示す従来の安全制御システム1との主な違いは、プロセッサユニット90とプロセッサユニット91との機能を統合して制御機能と安全機能の両方を有するプロセッサユニット11と、安全機能のみを有するプロセッサユニット12の構成にしたことである。各プロセッサユニット11,12や通信装置10、電力変換器60はケーブルで接続される。また、プロセッサユニット11とプロセッサユニット12との間は、データ同期手段として外部割込み信号線で接続されている。
【0019】
この構成において、非安全信号は、プロセッサユニット11から電力変換器60へ出力され、安全信号は、プロセッサユニット11およびプロセッサユニット12の両方から電力変換器60へ出力される。たとえば、緊急停止の安全信号がプロセッサユニット11とプロセッサユニット12の少なくともいずれか一方から出力された場合は、電力変換器60は緊急停止を行う。したがって、プロセッサユニット11とプロセッサユニット12によって、制御系は一重化、安全系は二重化の構成を実現している。
【0020】
図2は、プロセッサユニット11,12の機能ブロック図である。プロセッサユニット11は、演算処理を実行するCPU21、データを記憶するメモリ34、通信装置10とデータの送受信を行う送受信回路35、電力変換器60との間でそれぞれ安全信号、制御信号の受け渡しを行うI/F(インタフェース)回路36,37、割込み要求の出力を一定時間保持するラッチ回路38,39、およびプロセッサユニット12との間でデータの送受信を行う送受信回路40を備えている。
【0021】
また、CPU21の機能として、通信装置10から受信したデータを分離する分離手段22、安全データを受信した場合は、外部割込みと内部割込みを発生させ、安全データをプロセッサユニット12へ転送する安全データ転送手段26、安全データに基づいて安全処理を実行する安全データ実行手段27、外部コントローラ2からの制御データに基づいて電力変換器60へ出力すべき制御信号を生成する制御指令生成手段24、安全処理や制御処理の結果から外部コントローラ2へ送信すべき通信データを生成する結合手段23、レジスタ等の設定値保持手段(以下、「設定値」という。)31に保持されている設定値に基づいて時間を計測して一定周期で割込み要求(内部割込み)を出力するタイマ手段30、タイマ手段30からの割込み要求によって起動されメモリ領域の診断を行うメモリ診断手段28、およびメモリ診断手段28による診断結果等に基づいて異常の有無を監視し、異常検出時は予め定められたフェイルセーフ処理を実行する安全管理手段29を備えている。
【0022】
プロセッサユニット12は、演算処理を実行するCPU51、データを記憶するメモリ64、電力変換器60との間でそれぞれ安全信号の受け渡しを行うI/F回路66、割込み要求の出力を一定時間保持するラッチ回路69、およびプロセッサユニット11との間でデータの送受信を行う送受信回路70を備えている。なお、送受信回路40と送受信回路70との間は物理的にはシリアル通信によって接続する。図2において、回路40,70間の破線は、論理的接続を意味している。
【0023】
また、CPU51の機能として、プロセッサユニット11から送られてきた安全データに基づいて安全処理を実行する安全データ実行手段27、設定値81に基づいて時間を計測して割込み要求(内部割込み)を出力するタイマ手段80、タイマ手段80からの割込み要求によって起動されメモリ領域の診断を行うメモリ診断手段58、およびメモリ診断手段58による診断結果等に基づいて異常の有無を監視し、異常検出時は予め定められたフェイルセーフ処理を実行する安全管理手段59を備えている。
【0024】
上記の構成を有する安全制御システム1の動作概要を説明する。
図3において、安全制御システム1は通信データを受信すると、まず、CPU21の分離手段22は、通信装置10から受け取った通信データを安全データと制御データに分離する(S1)。そして、通信データが制御データであった場合は、制御指令生成手段24により制御データ処理を行い、電力変換器60へ制御信号を出力して(S2)、処理は終了する。一方、ステップS1で通信データが安全データであった場合は、CPU21の安全データ転送手段26は、CPU51へ安全データを転送する一方、安全データ実行手段27は、その安全データに基づいて安全処理を実行する(S3)。同時に、安全データにより設定された周期でメモリ診断処理なども実行する。CPU51は、CPU21から安全データを受け取ると、その安全データに基づいて安全処理を実行する(S4)。プロセッサ21ならびにプロセッサ51による安全データの処理結果は、データ同期手段によってプロセッサ21にまとめられ、結合手段23の処理によって、安全データは通信データに変換され、通信装置10を介して外部コントローラ2へ通信データが送信される(S5)。
【0025】
以下、安全制御システム1の動作を詳述する。
(受信データ分離処理)
図4に分離手段22の処理手順を示す。通信装置10を介して送られてきた通信データは、送受信回路35を介して受信され、CPU21の分離手段22によって受信される(S101)。次に、分離手段22は、通信データが安全データであるか制御データであるかを判定する(S102)。この判定は、通信データの中に安全データか制御データかを判別するためのデータ(データ種別)を定義しておき、そのデータ種別により判定する。判定の結果、安全データであれば安全処理用の内部割込をセットする(S103)。制御データであれば、制御処理用の内部割込をセットする(S104)。
【0026】
なお、通信データが、安全データおよび制御データの両方を含む場合、安全データと制御データを分離すると共に、安全処理用の内部割込みと制御処理用の内部割込みの両方をセットする。内部割込みは、CPUの特定のプログラムを起動するための割込みである。この内部割込を用いることで、制御データと安全データが同時に受信された場合や、その他の処理が行われる場合でも、予め決定したプログラムの優先度に応じて順番に処理されることとなり、安全通信処理と緊急性の高いその他の処理を効率よく処理することができる。また、制御データ処理とは異なる割込要因で処理することにより、安全データ処理の独立性が確保できる。
【0027】
(制御指令生成処理)
制御指令生成手段24は、分離手段22で発生された内部割込をトリガに起動して、速度指令等の制御データを制御信号として電力変換器60へ出力する。また、電力変換器60から取得された現在速度などの制御応答信号を後述する結合手段23へ送る。
【0028】
(安全データ転送処理)
安全データ転送手段26は、分離手段22で発生された内部割込をトリガに起動し、プロセッサユニット12のCPU51に外部割込み要求を出力する。この要求は、予め割り付けられた特定のアドレスへの書き込み動作によって出力される。具体的には書き込み信号がラッチ回路38に入力されると、ラッチ回路38は割込みがアクティブ(有効)になるように一定時間パルス信号を出力する。このパルス信号は、外部割込み信号としてCPU51に入力され、CPU51の安全データ実行手段57が起動される。
【0029】
安全データ転送手段26は、同時に送受信回路40を介して安全データをプロセッサユニット12へ送信する。プロセッサユニット11から送信された安全データは、プロセッサユニット12の送受信回路70で受信され、CPU51の安全データ実行手段57に渡される。
【0030】
安全データ転送手段26は、さらに、内部割込みをセットして、安全データ実行手段27を起動する。
【0031】
(安全データ実行処理)
プロセッサユニット11の安全データ実行手段27は、安全データ転送手段26によってセットされた内部割込みによって起動すると、安全データから安全処理に必要な安全信号を生成し、I/F回路36を介して電力変換器60へ出力する。この処理結果は、結合手段23に渡される。
【0032】
一方、プロセッサユニット12の安全データ実行手段57は、ラッチ回路38から出力される外部割込み信号によって起動すると、安全データ転送手段26から送られてくる安全データを受信し、この安全データから安全処理に必要な安全信号を生成し、I/F回路66を介して電力変換器60へ出力する。この処理結果は、プロセッサユニット11の結合手段23に送られる
【0033】
以上、分離手段22、安全データ転送手段26による外部および内部の割込み信号の発生および安全データの転送、さらに両プロセッサユニット11,12の安全データ実行手段27,57の処理動作によって、プロセッサユニット11,12の間で安全データの同期処理が実現する。
【0034】
(データの結合処理)
結合手段23の処理は、安全データ実行手段27およびプロセッサユニット12の安全データ実行手段57で取得された安全データの処理結果から通信データを生成して、通信装置10を経由して外部コントローラ2へ送信する。結合手段23は、また、制御指令生成手段24から渡される制御応答信号をもとに通信データを生成して外部コントローラ2へ送信する。
【0035】
(メモリ診断の同期処理)
安全処理の中でも、定周期に実行されるメモリ診断処理の同期をとることが重要である。以下、この手順について説明する。なお、定周期処理では、CPU内のメモリ診断の他に、電力変換器60の出力電圧チェックや電動機4の速度監視等の安全モニタリング処理があるが、これらはメモリ診断の前後に実行すれば良いので、以下、プロセッサユニット11,12間でのメモリ診断の同期のとり方について説明する。
【0036】
CPU21並びにCPU51に接続もしくは内蔵されているメモリの構成を図5に示す。プロセッサユニット11のメモリ34は、非安全関連(制御関連)メモリ領域と、安全関連メモリ領域と、その他の領域に予め区分けされている。この区分けは、リンカなどのツールを用いて行うことができる。このように区分けをすることにより、制御データ処理でのプログラムミスによって、メモリ書き換えが発生した場合でも、安全データ処理のメモリに直接影響を与えることがない。また、万一メモリ空間を越えて書き換えが発生するなどの異常が発生した場合でも、プロセッサユニット12では同様の安全データ処理を実行し、相互監視を行っているため異常を検出することが可能で、安全性を確保することができる。
【0037】
プロセッサユニット12は、安全関連メモリ領域とその他の領域に区分けされている。プロセッサユニット11とプロセッサユニット12は、安全処理については上述したように同期をとって実行しているため、安全関連メモリ領域は、常に同一のデータとなるよう制御されている。したがって、この安全関連メモリ領域のメモリ診断(例えばリードライトチェック)やメモリ領域から生成した誤り符号を互いのCPUで同期して不一致が無いか一定の周期でチェックを行うものである。
【0038】
また、電力変換器60や電動機4についても温度・電圧・仕様外の何らかの異常が存在しないか定周期間隔で監視を行い、異常発生時は予め定義された安全動作を行うようにする。安全動作は、たとえば電力変換器60内の電力線のゲート遮断や電動機4などの負荷を一定値で減速する安全減速停止、安全速度制限などである。
【0039】
誤り検出符合の処理としては、例えば、5msの一定周期で安全関連メモリ領域の誤り検出符号(例えばCRC)を計算して、その計算結果を相互に送信し合うというものである。
【0040】
このメモリ診断処理の手順の概要は、タイマ手段30,80による内部割込みにより、両プロセッサユニット11,12のメモリ診断手段28,58を起動して、上述した一定の定周期処理の後、誤り検出符号を計算して、相互に送信する。そして、安全管理手段29,59によって、両プロセッサユニット11,12の、誤り検出符号を照合して一致しているか否かを判定するというものである。
【0041】
以下、図6、図7を用いて各プロセッサユニット11,12ごとにメモリ診断処理の手順を詳述する。
【0042】
(プロセッサユニット11のメモリ診断処理)
プロセッサユニット11のメモリ診断手段28は、タイマ手段30の設定値31の時間経過による内部割込みによって起動する。そして、タイマ手段30を再起動し(S201)、安全モニタリング処理(電力変換器60の出力電圧チェックなど)を実行した後に(S202)、メモリ診断処理を実行する(S203)。そして、安全関連領域について誤り検出符号を生成して(S204)、メモリ34の予め決められた所定領域に保存する。その後、外部割込みを出力すると共に、プロセッサユニット12へ向けて生成した誤り検出符号を送信する(S205)。
【0043】
プロセッサユニット11の安全管理手段29は、プロセッサユニット12のメモリ診断手段58からの外部割込みによって起動すると、メモリ診断手段58から送られてくる誤り検出符号を抽出すると共に、メモリ34に保存されている自身の誤り検出符号を抽出して(S301)、ログをとる一方、両者が一致しているか否かを判定する(S302,S303)。その結果一致していなければ(S303で「NO」)、予め定められたフェイルセーフ処理を実行する(S304)。
【0044】
(プロセッサユニット12のメモリ診断処理)
プロセッサユニット12のメモリ診断手段58は、タイマ手段80の設定値81の時間経過による内部割込みによって起動する。そして、安全モニタリング処理を実行した後に(S401)、メモリ診断処理を実行する(S402)。そして、安全関連領域について誤り検出符号を生成してメモリ64の所定領域に保存する(S403)。その後、外部割込みを出力すると共に、プロセッサユニット11へ向けて生成した誤り検出符号を送信する(S404)。
【0045】
プロセッサユニット12の安全管理手段59は、プロセッサユニット11のメモリ診断手段28からの外部割込みによって起動すると、設定値81の調整を行って(S501)、タイマ手段80を再起動する(S502)。設定値81の調整のしかたは、メモリ診断手段58による外部割込み信号出力タイミングと、メモリ診断手段28からの外部割込みのタイミングの時間差を計測し、メモリ診断手段28からの外部割込みのタイミングの方が一定値以上遅くなれば、設定値81を予め定められた値だけ加算する。これにより、次回のメモリ診断手段58の起動タイミングが遅くなる。一方、メモリ診断手段28からの外部割込みのタイミングの方が一定値以上早くなれば、設定値81を予め定められた値だけ減算する。これにより、次回のメモリ診断手段58の起動タイミングが早くなる。
【0046】
次に、メモリ診断手段28から送られてくる誤り符号を抽出すると共に、メモリ64に保存されている自身の誤り検出符号を抽出して(S503)、ログをとる一方、両者が一致しているか否かを判定する(S504,S505)。その結果一致していなければ(S505で「NO」)、予め定められたフェイルセーフ処理を実行する(S506)。
【0047】
なお、上記の図6、図7の処理では、誤り検出符号を互いに送信し合うようにしたが、このとき、送信ごとに順にインクリメントされる送信番号とともに誤り検出符号を送信するようにしても良い。そして、それぞれ送信番号も含めて誤り検出符号を比較し、送信番号と誤り検出符号のいずれか一方でも一致していない場合はエラー処理を実行する。これにより、故障等によって同期外れの状態にあることを迅速に検知することができる。
【0048】
以上、本実施の形態によれば、二重化構成による安全機能間の同期を維持しつつ、プロセッサユニット数を削減することができる。特に、安全機能のみを実装するプロセッサユニット12のタイマ手段80を上記の処理によってプロセッサユニット11のタイマ手段30のタイミングに追従させるようにしたので、両プロセッサユニット11,12を精度よく同期させることができる。また、故障等により万一安全機能間で同期外れが発生した場合には、これを検知してエラー処理を実行するので、信頼性の高い安全制御システムを構築することができる。
【符号の説明】
【0049】
1 安全制御システム
2 外部コントローラ
3 ネットワーク
4 電動機
10,10a,10b 通信装置
11,12 プロセッサユニット
21,51 CPU(プロセッサ)
22 分離手段
23 結合手段
24 制御指令生成手段
26 安全データ転送手段
27,57 安全データ実行手段
28,58 メモリ診断手段
29,59 安全管理手段
30,80 タイマ手段
31,81 設定値
34,64 メモリ
35,40,70 送受信回路
36,37,66 I/F回路
38,39,69 ラッチ回路
40 送受信回路
60 電力変換器
64 メモリ
90,91,92 従来のプロセッサユニット
99 従来の安全制御システム
【技術分野】
【0001】
本発明は、電力変換器などの被制御装置の安全監視機能を有し、ネットワーク経由で与えられる制御信号に基づいて被制御装置を制御する安全制御システムに係り、特に制御機能と安全監視機能とを有するプロセッサと、安全監視機能のみを有するプロセッサとの間で精度の高い同期処理を実行し、高い安全性を実現する安全制御システムに関する。
【背景技術】
【0002】
従来、電力変換器などの被制御装置に対しては、機能安全が要求され、IEC61508に代表される機能安全規格などが策定されている。この機能安全規格は、診断・監視機能に加えて、外部のセンサー等からの信号に基づいて装置を安全な状態へ移行する機能を定義している。安全状態への移行機能においては、安全停止、安全減速などが挙げられる。また、外部コントローラから電力変換器へ制御信号や安全信号を与える方法として、現在主流となっているのは、機能ごとに信号線を電力変換器へ接続するワイヤ配線によるものである。この方法は、実装が容易であるものの、システムの規模に応じて配線が複雑化し、設計面やコスト面で不利となっている。このため、ワイヤ配線で与えられていた安全信号を、制御信号と混合させて産業用ネットワークに乗せるための「安全バス」を用いたシステムが提案されている。(例えば特許文献1を参照。)
【0003】
また、特許文献2には、外部の安全コントローラと安全規格で設計された入力機器・出力機器とをネットワークに中継するための装置が記載されている。この装置の入力と出力はそれぞれ別々の機器で構成され、それぞれは冗長化された端子(送受信部)で接続することで安全機能を実現している。
【0004】
電力変換器で安全バスを実現するとき、通信装置は、機能安全規格を満たすため、たとえば図8に示すように、安全バス(ネットワーク3)に流れる通信データのうち、制御データと安全データを分離するために、独立した2つの通信装置10a,10bを設けるか、あるいは、図9に示すように、一つの通信装置10で安全データと非安全データ(制御データ)の混在する通信データを受信し、その通信データから安全データと非安全データとを分離するための専用のプロセッサユニットを設けていた。
【0005】
ところで、ハードウェアのコスト削減の要請から、図9に挙げる3つのプロセッサユニットを2つに集約し、一方のプロセッサユニットには制御機能と安全機能を実装し、他方のプロセッサユニットには安全機能のみを実装するようにすれば、安全機能の二重化の条件を満たしつつ、ユニット数が削減され小型化と低コスト化を実現することができる。
【0006】
しかしながら、このユニット構成にすると安全機能と非安全機能が混在することによる問題が生じる。たとえば、二重化された安全機能は、同時に同じ安全処理を実行するように同期をとる必要があるが、一方のプロセッサユニットの安全処理が非安全処理の挙動に影響されて同期外れが起こりやすくなるという問題がある。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2006−178730号公報
【特許文献2】特開2006−325390号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、上述のかかる事情に鑑みてなされたものであり、プロセッサユニット数を削減して、低コスト化と省スペース化を実現するとともに、二重化構成による安全機能間の同期を確実に維持することのできる安全制御システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明に係る安全制御システムは、ネットワークを介して外部コントローラと通信データの送受信を行う通信装置と、該通信装置を経由して外部コントローラから送られてくる通信データを受信し、該通信データに基づいて電力変換器へ制御信号を出力する制御機能と、該通信データに基づいて電力変換器への停止指令の出力その他の安全機能と、を実行する第一のプロセッサユニットと、安全機能のみを実行する第二のプロセッサユニットを有する安全制御システムであって、第一のプロセッサユニットは、通信データが非安全データを含む場合は、該非安全データをもとに制御指令を生成して電力変換器へ出力する制御指令生成手段と、通信データが安全データを含む場合は、前記第二のプロセッサユニットに対する割込み信号である外部割込み信号と、プロセッサ内部の割込み信号である内部割込み信号を発生すると共に、安全データを前記第二のプロセッサユニットへ転送する安全データ転送手段と、内部割込み信号によって、安全データに基づく安全処理を実行する安全データ実行手段と、第二のプロセッサユニットによって実行された安全処理の結果を受信し、該受信データと安全データ実行手段による実行結果をもとに通信コントローラへ送信すべき通信データを生成する結合手段と、を備え、第二のプロセッサユニットは、外部割込み信号によって起動し、第一のプロセッサユニットから転送された安全データをもとに安全処理を実行し、該安全処理の結果を第一のプロセッサユニットへ送信する安全データ実行手段を備えたことを特徴とする。
【0010】
ここで、プロセッサユニットとは、ある機能を実現するための演算処理を行う独立した構成単位を意味し、その形態(基板や装置など)は問わない。
【0011】
本発明では、第一のプロセッサユニットでは制御機能と安全機能を実行させ、第二のプロセッサユニットでは安全機能のみを実行させ、処理負荷の重い第一のプロセッサユニットからの外部割込み信号によって両プロセッサユニット間の安全処理のタイミングをとる。第二のプロセッサユニットは、第一のプロセッサユニットよりも処理負荷が軽いので、第一のプロセッサユニットのタイミングに合わせても安全処理が停滞することはない。これにより、両プロセッサユニットの安全機能の同期を確実にとることができる。
【0012】
また、本発明に係る安全制御システムの第一のプロセッサユニットは、一定時間間隔で内部割込み信号を発生させる第一のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、第二のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第一のメモリ診断手段と、第二のプロセッサユニットの第二のメモリ診断手段によって発生された外部割込み信号によって起動し、第二のメモリ診断手段から送信された誤り検出符号と第一のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第一の安全管理手段と、を備え、第二のプロセッサユニットは、設定時間経過後に内部割込み信号を発生させた後に再起動する第二のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、第一のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第二のメモリ診断手段と、第一のプロセッサユニットの第一のメモリ診断手段によって発生された外部割込み信号によって起動し、該起動のタイミングに基づいて第二のタイマ手段の設定時間を調整する一方、第一のメモリ診断手段から送信された誤り検出符号と第二のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第二の安全管理手段と、を備えたことを特徴とする。
【0013】
安全機能の一つであるメモリ診断機能は、同じタイミングで誤り検出符合を生成して転送し合うことが必要であるが、誤り検出符号生成のタイミングを発生するタイマ手段については、第一のプロセッサユニットからの誤り検出符号の送信タイミングで第二のタイマの設定時間を調整することにより、第二のタイマ手段を第一のタイマ手段に同期させるようにする。これにより、両プロセッサユニットのメモリ診断処理のタイミングのずれが蓄積されていくことを防止することができる。
【0014】
また、本発明に係る安全制御システムの第一のメモリ診断手段は、送信ごとに順にインクリメントされる送信番号とともに誤り検出符号を送信し、第二のメモリ診断手段は、第一のメモリ手段から送られてきた最新の送信番号をインクリメントした値を送信番号として、該送信番号を誤り検出符号とともに送信し、第一の安全管理手段と第二の安全管理手段は、それぞれ送信番号も含めて比較し、送信番号と誤り検出符号のいずれか一方でも一致していない場合はエラー処理を実行することを特徴とする。
【0015】
本発明では、両プロセッサユニット間で万一メモリ診断処理のタイミングにずれが生じた場合に、ずれが生じたこと、すなわち同期外れの状態にあることを検知してエラー処理を実行する。
【発明の効果】
【0016】
本発明によれば、プロセッサユニット数を削減して、低コスト化と省スペース化を実現するとともに、二重化構成による安全機能間の同期を確実に維持することができる。また、故障等により万一安全機能間で同期外れが発生した場合には、これを検知してエラー処理を実行するので、信頼性の高い安全制御システムを構築することができる。
【図面の簡単な説明】
【0017】
【図1】本発明の実施の形態による安全制御システム1および周辺装置の構成図である。
【図2】図1のプロセッサユニット11,12の機能ブロック図である。
【図3】本発明の実施の形態による安全制御システム1の動作概要の説明図である。
【図4】分離手段22の処理手順を示すフローチャートである。
【図5】図2のメモリ34、メモリ64の領域分割の説明図である。
【図6】図2のメモリ診断手段28、安全管理手段29の処理手順を示すフローチャートである。
【図7】図2のメモリ診断手段58、安全管理手段59の処理手順を示すフローチャートである。
【図8】従来の安全制御システムの一構成例である。
【図9】従来の安全制御システムの他の構成例である。
【発明を実施するための形態】
【0018】
以下、図面を参照しながら本発明の実施の形態を説明する。図1は、本発明の実施の形態による安全制御システム1および周辺装置の構成図である。図9に示す従来の安全制御システム1との主な違いは、プロセッサユニット90とプロセッサユニット91との機能を統合して制御機能と安全機能の両方を有するプロセッサユニット11と、安全機能のみを有するプロセッサユニット12の構成にしたことである。各プロセッサユニット11,12や通信装置10、電力変換器60はケーブルで接続される。また、プロセッサユニット11とプロセッサユニット12との間は、データ同期手段として外部割込み信号線で接続されている。
【0019】
この構成において、非安全信号は、プロセッサユニット11から電力変換器60へ出力され、安全信号は、プロセッサユニット11およびプロセッサユニット12の両方から電力変換器60へ出力される。たとえば、緊急停止の安全信号がプロセッサユニット11とプロセッサユニット12の少なくともいずれか一方から出力された場合は、電力変換器60は緊急停止を行う。したがって、プロセッサユニット11とプロセッサユニット12によって、制御系は一重化、安全系は二重化の構成を実現している。
【0020】
図2は、プロセッサユニット11,12の機能ブロック図である。プロセッサユニット11は、演算処理を実行するCPU21、データを記憶するメモリ34、通信装置10とデータの送受信を行う送受信回路35、電力変換器60との間でそれぞれ安全信号、制御信号の受け渡しを行うI/F(インタフェース)回路36,37、割込み要求の出力を一定時間保持するラッチ回路38,39、およびプロセッサユニット12との間でデータの送受信を行う送受信回路40を備えている。
【0021】
また、CPU21の機能として、通信装置10から受信したデータを分離する分離手段22、安全データを受信した場合は、外部割込みと内部割込みを発生させ、安全データをプロセッサユニット12へ転送する安全データ転送手段26、安全データに基づいて安全処理を実行する安全データ実行手段27、外部コントローラ2からの制御データに基づいて電力変換器60へ出力すべき制御信号を生成する制御指令生成手段24、安全処理や制御処理の結果から外部コントローラ2へ送信すべき通信データを生成する結合手段23、レジスタ等の設定値保持手段(以下、「設定値」という。)31に保持されている設定値に基づいて時間を計測して一定周期で割込み要求(内部割込み)を出力するタイマ手段30、タイマ手段30からの割込み要求によって起動されメモリ領域の診断を行うメモリ診断手段28、およびメモリ診断手段28による診断結果等に基づいて異常の有無を監視し、異常検出時は予め定められたフェイルセーフ処理を実行する安全管理手段29を備えている。
【0022】
プロセッサユニット12は、演算処理を実行するCPU51、データを記憶するメモリ64、電力変換器60との間でそれぞれ安全信号の受け渡しを行うI/F回路66、割込み要求の出力を一定時間保持するラッチ回路69、およびプロセッサユニット11との間でデータの送受信を行う送受信回路70を備えている。なお、送受信回路40と送受信回路70との間は物理的にはシリアル通信によって接続する。図2において、回路40,70間の破線は、論理的接続を意味している。
【0023】
また、CPU51の機能として、プロセッサユニット11から送られてきた安全データに基づいて安全処理を実行する安全データ実行手段27、設定値81に基づいて時間を計測して割込み要求(内部割込み)を出力するタイマ手段80、タイマ手段80からの割込み要求によって起動されメモリ領域の診断を行うメモリ診断手段58、およびメモリ診断手段58による診断結果等に基づいて異常の有無を監視し、異常検出時は予め定められたフェイルセーフ処理を実行する安全管理手段59を備えている。
【0024】
上記の構成を有する安全制御システム1の動作概要を説明する。
図3において、安全制御システム1は通信データを受信すると、まず、CPU21の分離手段22は、通信装置10から受け取った通信データを安全データと制御データに分離する(S1)。そして、通信データが制御データであった場合は、制御指令生成手段24により制御データ処理を行い、電力変換器60へ制御信号を出力して(S2)、処理は終了する。一方、ステップS1で通信データが安全データであった場合は、CPU21の安全データ転送手段26は、CPU51へ安全データを転送する一方、安全データ実行手段27は、その安全データに基づいて安全処理を実行する(S3)。同時に、安全データにより設定された周期でメモリ診断処理なども実行する。CPU51は、CPU21から安全データを受け取ると、その安全データに基づいて安全処理を実行する(S4)。プロセッサ21ならびにプロセッサ51による安全データの処理結果は、データ同期手段によってプロセッサ21にまとめられ、結合手段23の処理によって、安全データは通信データに変換され、通信装置10を介して外部コントローラ2へ通信データが送信される(S5)。
【0025】
以下、安全制御システム1の動作を詳述する。
(受信データ分離処理)
図4に分離手段22の処理手順を示す。通信装置10を介して送られてきた通信データは、送受信回路35を介して受信され、CPU21の分離手段22によって受信される(S101)。次に、分離手段22は、通信データが安全データであるか制御データであるかを判定する(S102)。この判定は、通信データの中に安全データか制御データかを判別するためのデータ(データ種別)を定義しておき、そのデータ種別により判定する。判定の結果、安全データであれば安全処理用の内部割込をセットする(S103)。制御データであれば、制御処理用の内部割込をセットする(S104)。
【0026】
なお、通信データが、安全データおよび制御データの両方を含む場合、安全データと制御データを分離すると共に、安全処理用の内部割込みと制御処理用の内部割込みの両方をセットする。内部割込みは、CPUの特定のプログラムを起動するための割込みである。この内部割込を用いることで、制御データと安全データが同時に受信された場合や、その他の処理が行われる場合でも、予め決定したプログラムの優先度に応じて順番に処理されることとなり、安全通信処理と緊急性の高いその他の処理を効率よく処理することができる。また、制御データ処理とは異なる割込要因で処理することにより、安全データ処理の独立性が確保できる。
【0027】
(制御指令生成処理)
制御指令生成手段24は、分離手段22で発生された内部割込をトリガに起動して、速度指令等の制御データを制御信号として電力変換器60へ出力する。また、電力変換器60から取得された現在速度などの制御応答信号を後述する結合手段23へ送る。
【0028】
(安全データ転送処理)
安全データ転送手段26は、分離手段22で発生された内部割込をトリガに起動し、プロセッサユニット12のCPU51に外部割込み要求を出力する。この要求は、予め割り付けられた特定のアドレスへの書き込み動作によって出力される。具体的には書き込み信号がラッチ回路38に入力されると、ラッチ回路38は割込みがアクティブ(有効)になるように一定時間パルス信号を出力する。このパルス信号は、外部割込み信号としてCPU51に入力され、CPU51の安全データ実行手段57が起動される。
【0029】
安全データ転送手段26は、同時に送受信回路40を介して安全データをプロセッサユニット12へ送信する。プロセッサユニット11から送信された安全データは、プロセッサユニット12の送受信回路70で受信され、CPU51の安全データ実行手段57に渡される。
【0030】
安全データ転送手段26は、さらに、内部割込みをセットして、安全データ実行手段27を起動する。
【0031】
(安全データ実行処理)
プロセッサユニット11の安全データ実行手段27は、安全データ転送手段26によってセットされた内部割込みによって起動すると、安全データから安全処理に必要な安全信号を生成し、I/F回路36を介して電力変換器60へ出力する。この処理結果は、結合手段23に渡される。
【0032】
一方、プロセッサユニット12の安全データ実行手段57は、ラッチ回路38から出力される外部割込み信号によって起動すると、安全データ転送手段26から送られてくる安全データを受信し、この安全データから安全処理に必要な安全信号を生成し、I/F回路66を介して電力変換器60へ出力する。この処理結果は、プロセッサユニット11の結合手段23に送られる
【0033】
以上、分離手段22、安全データ転送手段26による外部および内部の割込み信号の発生および安全データの転送、さらに両プロセッサユニット11,12の安全データ実行手段27,57の処理動作によって、プロセッサユニット11,12の間で安全データの同期処理が実現する。
【0034】
(データの結合処理)
結合手段23の処理は、安全データ実行手段27およびプロセッサユニット12の安全データ実行手段57で取得された安全データの処理結果から通信データを生成して、通信装置10を経由して外部コントローラ2へ送信する。結合手段23は、また、制御指令生成手段24から渡される制御応答信号をもとに通信データを生成して外部コントローラ2へ送信する。
【0035】
(メモリ診断の同期処理)
安全処理の中でも、定周期に実行されるメモリ診断処理の同期をとることが重要である。以下、この手順について説明する。なお、定周期処理では、CPU内のメモリ診断の他に、電力変換器60の出力電圧チェックや電動機4の速度監視等の安全モニタリング処理があるが、これらはメモリ診断の前後に実行すれば良いので、以下、プロセッサユニット11,12間でのメモリ診断の同期のとり方について説明する。
【0036】
CPU21並びにCPU51に接続もしくは内蔵されているメモリの構成を図5に示す。プロセッサユニット11のメモリ34は、非安全関連(制御関連)メモリ領域と、安全関連メモリ領域と、その他の領域に予め区分けされている。この区分けは、リンカなどのツールを用いて行うことができる。このように区分けをすることにより、制御データ処理でのプログラムミスによって、メモリ書き換えが発生した場合でも、安全データ処理のメモリに直接影響を与えることがない。また、万一メモリ空間を越えて書き換えが発生するなどの異常が発生した場合でも、プロセッサユニット12では同様の安全データ処理を実行し、相互監視を行っているため異常を検出することが可能で、安全性を確保することができる。
【0037】
プロセッサユニット12は、安全関連メモリ領域とその他の領域に区分けされている。プロセッサユニット11とプロセッサユニット12は、安全処理については上述したように同期をとって実行しているため、安全関連メモリ領域は、常に同一のデータとなるよう制御されている。したがって、この安全関連メモリ領域のメモリ診断(例えばリードライトチェック)やメモリ領域から生成した誤り符号を互いのCPUで同期して不一致が無いか一定の周期でチェックを行うものである。
【0038】
また、電力変換器60や電動機4についても温度・電圧・仕様外の何らかの異常が存在しないか定周期間隔で監視を行い、異常発生時は予め定義された安全動作を行うようにする。安全動作は、たとえば電力変換器60内の電力線のゲート遮断や電動機4などの負荷を一定値で減速する安全減速停止、安全速度制限などである。
【0039】
誤り検出符合の処理としては、例えば、5msの一定周期で安全関連メモリ領域の誤り検出符号(例えばCRC)を計算して、その計算結果を相互に送信し合うというものである。
【0040】
このメモリ診断処理の手順の概要は、タイマ手段30,80による内部割込みにより、両プロセッサユニット11,12のメモリ診断手段28,58を起動して、上述した一定の定周期処理の後、誤り検出符号を計算して、相互に送信する。そして、安全管理手段29,59によって、両プロセッサユニット11,12の、誤り検出符号を照合して一致しているか否かを判定するというものである。
【0041】
以下、図6、図7を用いて各プロセッサユニット11,12ごとにメモリ診断処理の手順を詳述する。
【0042】
(プロセッサユニット11のメモリ診断処理)
プロセッサユニット11のメモリ診断手段28は、タイマ手段30の設定値31の時間経過による内部割込みによって起動する。そして、タイマ手段30を再起動し(S201)、安全モニタリング処理(電力変換器60の出力電圧チェックなど)を実行した後に(S202)、メモリ診断処理を実行する(S203)。そして、安全関連領域について誤り検出符号を生成して(S204)、メモリ34の予め決められた所定領域に保存する。その後、外部割込みを出力すると共に、プロセッサユニット12へ向けて生成した誤り検出符号を送信する(S205)。
【0043】
プロセッサユニット11の安全管理手段29は、プロセッサユニット12のメモリ診断手段58からの外部割込みによって起動すると、メモリ診断手段58から送られてくる誤り検出符号を抽出すると共に、メモリ34に保存されている自身の誤り検出符号を抽出して(S301)、ログをとる一方、両者が一致しているか否かを判定する(S302,S303)。その結果一致していなければ(S303で「NO」)、予め定められたフェイルセーフ処理を実行する(S304)。
【0044】
(プロセッサユニット12のメモリ診断処理)
プロセッサユニット12のメモリ診断手段58は、タイマ手段80の設定値81の時間経過による内部割込みによって起動する。そして、安全モニタリング処理を実行した後に(S401)、メモリ診断処理を実行する(S402)。そして、安全関連領域について誤り検出符号を生成してメモリ64の所定領域に保存する(S403)。その後、外部割込みを出力すると共に、プロセッサユニット11へ向けて生成した誤り検出符号を送信する(S404)。
【0045】
プロセッサユニット12の安全管理手段59は、プロセッサユニット11のメモリ診断手段28からの外部割込みによって起動すると、設定値81の調整を行って(S501)、タイマ手段80を再起動する(S502)。設定値81の調整のしかたは、メモリ診断手段58による外部割込み信号出力タイミングと、メモリ診断手段28からの外部割込みのタイミングの時間差を計測し、メモリ診断手段28からの外部割込みのタイミングの方が一定値以上遅くなれば、設定値81を予め定められた値だけ加算する。これにより、次回のメモリ診断手段58の起動タイミングが遅くなる。一方、メモリ診断手段28からの外部割込みのタイミングの方が一定値以上早くなれば、設定値81を予め定められた値だけ減算する。これにより、次回のメモリ診断手段58の起動タイミングが早くなる。
【0046】
次に、メモリ診断手段28から送られてくる誤り符号を抽出すると共に、メモリ64に保存されている自身の誤り検出符号を抽出して(S503)、ログをとる一方、両者が一致しているか否かを判定する(S504,S505)。その結果一致していなければ(S505で「NO」)、予め定められたフェイルセーフ処理を実行する(S506)。
【0047】
なお、上記の図6、図7の処理では、誤り検出符号を互いに送信し合うようにしたが、このとき、送信ごとに順にインクリメントされる送信番号とともに誤り検出符号を送信するようにしても良い。そして、それぞれ送信番号も含めて誤り検出符号を比較し、送信番号と誤り検出符号のいずれか一方でも一致していない場合はエラー処理を実行する。これにより、故障等によって同期外れの状態にあることを迅速に検知することができる。
【0048】
以上、本実施の形態によれば、二重化構成による安全機能間の同期を維持しつつ、プロセッサユニット数を削減することができる。特に、安全機能のみを実装するプロセッサユニット12のタイマ手段80を上記の処理によってプロセッサユニット11のタイマ手段30のタイミングに追従させるようにしたので、両プロセッサユニット11,12を精度よく同期させることができる。また、故障等により万一安全機能間で同期外れが発生した場合には、これを検知してエラー処理を実行するので、信頼性の高い安全制御システムを構築することができる。
【符号の説明】
【0049】
1 安全制御システム
2 外部コントローラ
3 ネットワーク
4 電動機
10,10a,10b 通信装置
11,12 プロセッサユニット
21,51 CPU(プロセッサ)
22 分離手段
23 結合手段
24 制御指令生成手段
26 安全データ転送手段
27,57 安全データ実行手段
28,58 メモリ診断手段
29,59 安全管理手段
30,80 タイマ手段
31,81 設定値
34,64 メモリ
35,40,70 送受信回路
36,37,66 I/F回路
38,39,69 ラッチ回路
40 送受信回路
60 電力変換器
64 メモリ
90,91,92 従来のプロセッサユニット
99 従来の安全制御システム
【特許請求の範囲】
【請求項1】
ネットワークを介して外部コントローラと通信データの送受信を行う通信装置と、該通信装置を経由して前記外部コントローラから送られてくる通信データを受信し、該通信データに基づいて電力変換器へ制御信号を出力する制御機能と、該通信データに基づいて前記電力変換器への停止指令の出力その他の安全機能と、を実行する第一のプロセッサユニットと、前記安全機能のみを実行する第二のプロセッサユニットを有する安全制御システムであって、
前記第一のプロセッサユニットは、
通信データが非安全データを含む場合は、該非安全データをもとに制御指令を生成して前記電力変換器へ出力する制御指令生成手段と、
通信データが安全データを含む場合は、前記第二のプロセッサユニットに対する割込み信号である外部割込み信号と、プロセッサ内部の割込み信号である内部割込み信号を発生すると共に、安全データを前記第二のプロセッサユニットへ転送する安全データ転送手段と、
前記内部割込み信号によって、前記安全データに基づく安全処理を実行する安全データ実行手段と、
前記第二のプロセッサユニットによって実行された安全処理の結果を受信し、該受信データと前記安全データ実行手段による実行結果をもとに前記通信コントローラへ送信すべき通信データを生成する結合手段と、
を備え、
前記第二のプロセッサユニットは、
前記外部割込み信号によって起動し、前記第一のプロセッサユニットから転送された安全データをもとに安全処理を実行し、該安全処理の結果を前記第一のプロセッサユニットへ送信する安全データ実行手段を備えたことを特徴とする安全制御システム。
【請求項2】
前記第一のプロセッサユニットは、一定時間間隔で内部割込み信号を発生させる第一のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、前記第二のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第一のメモリ診断手段と、前記第二のプロセッサユニットの前記第二のメモリ診断手段によって発生された外部割込み信号によって起動し、前記第二のメモリ診断手段から送信された誤り検出符号と前記第一のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第一の安全管理手段と、を備え、
前記第二のプロセッサユニットは、設定時間経過後に内部割込み信号を発生させた後に再起動する第二のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、前記第一のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第二のメモリ診断手段と、前記第一のプロセッサユニットの前記第一のメモリ診断手段によって発生された外部割込み信号によって起動し、該起動のタイミングに基づいて前記第二のタイマ手段の設定時間を調整する一方、前記第一のメモリ診断手段から送信された誤り検出符号と前記第二のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第二の安全管理手段と、
を備えたことを特徴とする請求項1に記載の安全制御システム。
【請求項3】
前記第一のメモリ診断手段は、送信ごとに順にインクリメントされる送信番号とともに誤り検出符号を送信し、
前記第二のメモリ診断手段は、前記第一のメモリ手段から送られてきた最新の送信番号をインクリメントした値を送信番号として、該送信番号を誤り検出符号とともに送信し、
前記第一の安全管理手段と前記第二の安全管理手段は、それぞれ送信番号も含めて比較し、送信番号と誤り検出符号のいずれか一方でも一致していない場合はエラー処理を実行することを特徴とする請求項1または請求項2に記載の安全制御システム。
【請求項1】
ネットワークを介して外部コントローラと通信データの送受信を行う通信装置と、該通信装置を経由して前記外部コントローラから送られてくる通信データを受信し、該通信データに基づいて電力変換器へ制御信号を出力する制御機能と、該通信データに基づいて前記電力変換器への停止指令の出力その他の安全機能と、を実行する第一のプロセッサユニットと、前記安全機能のみを実行する第二のプロセッサユニットを有する安全制御システムであって、
前記第一のプロセッサユニットは、
通信データが非安全データを含む場合は、該非安全データをもとに制御指令を生成して前記電力変換器へ出力する制御指令生成手段と、
通信データが安全データを含む場合は、前記第二のプロセッサユニットに対する割込み信号である外部割込み信号と、プロセッサ内部の割込み信号である内部割込み信号を発生すると共に、安全データを前記第二のプロセッサユニットへ転送する安全データ転送手段と、
前記内部割込み信号によって、前記安全データに基づく安全処理を実行する安全データ実行手段と、
前記第二のプロセッサユニットによって実行された安全処理の結果を受信し、該受信データと前記安全データ実行手段による実行結果をもとに前記通信コントローラへ送信すべき通信データを生成する結合手段と、
を備え、
前記第二のプロセッサユニットは、
前記外部割込み信号によって起動し、前記第一のプロセッサユニットから転送された安全データをもとに安全処理を実行し、該安全処理の結果を前記第一のプロセッサユニットへ送信する安全データ実行手段を備えたことを特徴とする安全制御システム。
【請求項2】
前記第一のプロセッサユニットは、一定時間間隔で内部割込み信号を発生させる第一のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、前記第二のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第一のメモリ診断手段と、前記第二のプロセッサユニットの前記第二のメモリ診断手段によって発生された外部割込み信号によって起動し、前記第二のメモリ診断手段から送信された誤り検出符号と前記第一のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第一の安全管理手段と、を備え、
前記第二のプロセッサユニットは、設定時間経過後に内部割込み信号を発生させた後に再起動する第二のタイマ手段と、該内部割込み信号によってメモリ診断処理を実行すると共に安全処理用のメモリ領域について誤り検出符合を生成し、当該誤り検出符合の生成後、前記第一のプロセッサユニットに対して外部割込み信号を発生すると共に該誤り検出符号を送信する第二のメモリ診断手段と、前記第一のプロセッサユニットの前記第一のメモリ診断手段によって発生された外部割込み信号によって起動し、該起動のタイミングに基づいて前記第二のタイマ手段の設定時間を調整する一方、前記第一のメモリ診断手段から送信された誤り検出符号と前記第二のメモリ診断手段によって生成された誤り検出符号を比較し、両符号が一致していない場合はエラー処理を実行する第二の安全管理手段と、
を備えたことを特徴とする請求項1に記載の安全制御システム。
【請求項3】
前記第一のメモリ診断手段は、送信ごとに順にインクリメントされる送信番号とともに誤り検出符号を送信し、
前記第二のメモリ診断手段は、前記第一のメモリ手段から送られてきた最新の送信番号をインクリメントした値を送信番号として、該送信番号を誤り検出符号とともに送信し、
前記第一の安全管理手段と前記第二の安全管理手段は、それぞれ送信番号も含めて比較し、送信番号と誤り検出符号のいずれか一方でも一致していない場合はエラー処理を実行することを特徴とする請求項1または請求項2に記載の安全制御システム。
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図1】
【図8】
【図9】
【図3】
【図4】
【図5】
【図6】
【図7】
【図1】
【図8】
【図9】
【公開番号】特開2011−257889(P2011−257889A)
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願番号】特願2010−130533(P2010−130533)
【出願日】平成22年6月7日(2010.6.7)
【出願人】(000005234)富士電機株式会社 (3,146)
【Fターム(参考)】
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願日】平成22年6月7日(2010.6.7)
【出願人】(000005234)富士電機株式会社 (3,146)
【Fターム(参考)】
[ Back to top ]