以下、本発明の実施の形態について図面を参照しながら詳細に説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰返さない。
図1は、この発明の実施の形態によるセーフティコントローラを用いた制御システムの構成を示す図である。
図1を参照して、この制御システムは、センサー/スイッチ類の一例である非常停止スイッチ12と、セーフティコントローラ20と、動力源31を機械34に接続する経路上に直列に設けられたセーフティリレー32,33とを含む。
セーフティコントローラ20は、端子IN1A,IN1B,IN2A,IN2Bと、安全入力回路21と、制御部22と、安全出力回路24と、リセット入力回路23とを含む。セーフティコントローラ20には、コントローラ用電源11から24Vおよび0Vの直流電源電圧が供給される。安全入力回路21には、端子IN1A,IN1B,IN2A,IN2Bが接続されている。
非常停止スイッチ12は、二重の接点14,15と、接点14,15を同時に開状態に変化させる大型の押ボタン16とを含む。非常停止スイッチ12は、たとえば、冗長化された二重の接点を有する直接開離型非常停止スイッチである。接点14、15は、押ボタン16を押していない通常の状態では、閉状態である。すなわち、接点14、15はNC(ノーマルクローズ)接点である。接点14,15のいずれか一方が短絡した場合を考慮して二重に接点が設けられている。この場合、短絡していない他方が正常に動作すればセーフティコントローラ20は動力を遮断する。
接点14の一方端は配線14Aによって端子IN1Aに接続されている。接点14の他方端は配線14Bによって端子IN1Bに接続されている。端子IN1A、端子IN1Bは一対を成し、チャンネルCH1を監視する入力部としての役割を果たす。
接点15の一方端は配線15Aによって端子IN2Aに接続されている。接点15の他方端は配線15Bによって端子IN2Bに接続されている。端子IN2A、端子IN2Bは一対を成し、チャンネルCH2を監視する入力部としての役割を果たす。
非常停止スイッチ12以外にも、センサー/スイッチ類として、インターロックスイッチ、両手操作スイッチ、ライトカーテンおよびエリアセンサーをセーフティコントローラに接続することができる。そして、このようなセンサー/スイッチ類は、センサー信号またはスイッチ信号をセーフティコントローラ20へ出力する。
安全入力回路21は、センサー/スイッチ類からセンサー信号またはスイッチ信号を受け、その受けたセンサー信号またはスイッチ信号に基づく内部信号S01,S11,S21を制御部22へ出力する。
また、安全入力回路21は、自己の診断が可能なように構成されている。制御部22は、安全入力回路21を診断する。すなわち、制御部22は、安全入力回路21から受けた内部信号S11,S21が故障により固定されていないかを診断する。このため制御部22は、定期的に診断信号S12,S22を安全入力回路21に送信して、内部信号S11,S21が正しく変化することを確認する。内部信号S11,S21が正常に動作していない場合、制御部22は、制御対象への出力をオフするように安全出力回路24を制御する。
また、制御部22は、安全入力回路21から受けた内部信号S01,S11,S21に基づいて安全出力回路24を制御する。たとえば、制御部22は、安全入力回路21から装置を非常停止させるためのスイッチ信号を受けると、出力をオフするように安全出力回路24を制御し、安全入力回路21から非常停止を解除するためのスイッチ信号を受けると、出力をオンするように安全出力回路24を制御する。
安全出力回路24は、制御部22からの制御に従ってセーフティリレー32,33を導通または遮断させる。セーフティリレー32,33は、動力源31と機械34との間に直列に接続されている。いずれか一方のセーフティリレーが故障しても他方のセーフティリレーが正常動作することで、確実に動力源31と機械34とを切離すことができる。
セーフティリレー32は、ノーマルオープン(NO)型接点32U,32V,32Wと、モニタ用のノーマルクローズ(NC)型接点32Tと、接点を動かすアクチュエータ32Aとを含む。セーフティリレー33は、NO型接点33U,33V,33Wと、モニタ用のNC型接点33Tと、接点を動かすアクチュエータ33Aとを含む。
NO型接点32U,32V,32Wは、動力源31に接続されている動力ケーブル36U,36V,36Wと、動力ケーブル37U,37V,37Wとの間にそれぞれ接続されている。NO型接点33U,33V,33Wは、機械34に接続されている動力ケーブル38U,38V,38Wと、動力ケーブル37U,37V,37Wとの間にそれぞれ接続されている。
安全出力回路24は、制御部22から導通指令を受けるとアクチュエータ32A,33Aを駆動させてセーフティリレー32,33を導通させる。NO型接点32U,32V,32Wが閉じると、NC型接点32Tはこれらに連動して開く。NO型接点33U,33V,33Wが閉じると、NC型接点33Tはこれらに連動して開く。
安全出力回路24を介してNC型接点32T,33Tをモニタすることにより、制御部22は指令どおりにセーフティリレー32,33が動作しているかを判断している。
つまり、安全出力回路24は、制御対象であるセーフティリレー32,33からフィードバック応答を受け、その受けたフィードバック応答を制御部22に入力可能な信号に変換して出力する。
制御部22は、安全出力回路24からのフィードバック応答に基づいて、制御対象の制御が正確に行なわれた否かを判定するとともに制御対象の応答時間を評価する。 図1では、制御対象がセーフティリレー32,33である例を示したが、制御対象を構成する負荷として、たとえば、電磁開閉器およびバルブ等を組合せたものであっても良い。
図2は、セーフティコントローラ20の状態遷移図である。
図2を参照して、電源が投入され、初期化処理が行なわれる。そして、初期化処理が完了すると、安全出力オフ状態へ移行する。
一方、初期化処理を失敗したとき、ロックアウト状態へ移行する。「ロックアウト状態」とは、安全出力、すなわち、安全出力回路24の出力が全てオフ状態となり、再起動が禁止される状態を言う。
安全出力オフ状態において、セーフティコントローラ20がセンサー/スイッチ類から非常停止を解除するためのスイッチ信号を受けると、安全出力オン状態へ移行する。また、安全出力オフ状態において、安全出力回路24が診断され、診断結果が異常であるとき、ロックアウト状態へ移行する。
安全出力オン状態において、セーフティコントローラ20が非常停止させるためのスイッチ信号を受けると安全出力オフ状態へ移行する。また、安全出力オン状態において、安全出力回路24が診断され、診断結果が異常であるとき、ロックアウト状態へ移行する。
このように、セーフティコントローラ20は、電源が投入され、初期化が完了すると、センサー/スイッチ類からの入力状態に応じて各種の状態に遷移する。
図3は、図1におけるセーフティコントローラの第1の使用例を示した図である。
図3を参照して、セーフティコントローラ20には、使用するセンサー/スイッチ類の違いにより動作モードを切替える設定スイッチSWが設けられている。図1で詳しく説明したように、センサー/スイッチ類として、非常停止スイッチ12を接続する場合には、設定スイッチSWを動作モード1側に設定する。非常停止スイッチ12は、ボタンを押すことにより同時に2つの接点が開く。このような使用法は、欧州規格EN954−1のカテゴリ4に相当する。
非常停止スイッチ12とセーフティコントローラ20との間の接続は4本の配線で行なわれる。端子IN1Aと第1の接点の一方端が接続され、その第1の接点の他方端と端子IN1Bとが接続される。さらに、端子IN2Aと第2の接点の一方端が接続され、その第2の接点の他方端と端子IN2Bとが接続される。
セーフティコントローラ20は、端子IN1Aと端子IN1Bとの間の接続がオープンになったことと、端子IN2Aと端子IN2Bとの間の接続がオープンになったことのいずれかを検知したときに機械を動力源から切り離す制御を行なう。これにより、いずれか一方の接点が溶着していた場合でも他方の接点が動作すれば機械の非常停止を行なうことができ、信頼性が要求される用途に使用することができる。
図4は、図1におけるセーフティコントローラの第2の使用例を示した図である。
図4を参照して、センサー/スイッチ類として、ライトカーテンを接続する場合には、設定スイッチSWを動作モード2側に設定する。
ライトカーテンは、たとえば、国際規格IEC61496−1のTYPE4に適合したものが接続される。このような使用法は、欧州規格EN954−1のカテゴリ4に相当する。
ライトカーテンの検知出力は、出力部の故障や伝達経路の配線に生じる障害による誤動作を避けるため、二重に設けられている。ライトカーテンの2つの出力端子は、たとえば、出力素子である2つのNPNトランジスタのエミッタにそれぞれ接続されている。これら2つのNPNトランジスタのコレクタにはライトカーテンの内部で直流電圧24Vが供給されている。
ライトカーテンとセーフティコントローラ20との間の接続は2本の配線で行なわれる。セーフティコントローラ20側の端子IN1Bとライトカーテンの第1の出力端子とが接続され、セーフティコントローラ20側の端子IN2Bとライトカーテンの第2の出力端子とが接続される。セーフティコントローラ20側の端子IN1A,IN2Aは、未接続のままでセーフティコントローラ20が使用される。
図5は、図1におけるセーフティコントローラの第3の使用例を示した図である。
図5を参照して、センサー/スイッチ類として、接点が1つしか無いスイッチを接続する場合には、設定スイッチSWを動作モード2側に設定する。このような使用法は、図3、図4よりも安全のランクが低いが、欧州規格EN954−1のカテゴリ2に相当する。
そのようなスイッチとセーフティコントローラ20との間の接続は3本の配線で行なわれる。端子IN1Aと接点の一方端が接続され、その接点の他方端と端子IN1Bとが接続される。さらに、その接点の他方端と端子IN2Bとが接続される。そして、端子IN2Aは、未接続のままセーフティコントローラ20が使用される。
図6は、図1に示す安全入力回路21の詳細を示した回路図である。
図6を参照して、安全入力回路21は、過電流を検知して内部信号S01を出力する過電流検知部21Aと、チャンネルCH1からの入力を検知して内部信号S11を出力するCH1検知部21Bと、チャンネルCH2からの入力を検知して内部信号S21を出力するCH2検知部21Cとを含む。
過電流検知部21Aは、一方端が直流24Vに結合され、他方端がノードN1に接続される自動復帰型の過電流保護素子52を含む。過電流保護素子52としては、たとえば、定格50mAのポリスイッチを用いることができる。ポリスイッチは、定格を超える電流が流れると発熱等のため抵抗が増大してオフ状態に近くなる素子であり、ポジティブサーミスタとも呼ばれる。電流が減少すると抵抗値も減少し、ポリスイッチは通常の導通状態に復帰する。ノードN1は、セーフティコントローラ20の端子IN1Aに接続されている内部ノードである。
過電流検知部21Aは、さらに、ノードN1とノードN3との間に接続される抵抗素子54と、ノードN3と接地ノードとの間に接続される抵抗素子56と、ベースがノードN3に接続されコレクタがノードN4に接続されエミッタが接地ノードに接続されるNPNトランジスタ58と、ノードN4を直流5Vにプルアップする抵抗素子60とを含む。ノードN4からは内部信号S01が出力される。
過電流が流れていないときにはノードN1の電位はHレベルであり、これに応じてNPNトランジスタ58がオン状態となるので内部信号S01はLレベル(0V)である。過電流が流れ過電流保護素子52の抵抗値が増大すると、ノードN1の電位はLレベルに引き下げられ、これに応じてNPNトランジスタ58がオフ状態となるので内部信号S01はHレベル(5V)に変化する。
CH1検知部21Bは、端子IN1BとノードN5との間に接続される抵抗素子62と、ノードN5と接地ノードとの間に接続される抵抗素子64と、ベースがノードN5に接続されコレクタがノードN6に接続されエミッタが接地ノードに接続されるNPNトランジスタ66と、ノードN6を直流5Vにプルアップする抵抗素子68とを含む。ノードN6からは内部信号S11が出力される。
端子IN1Aは過電流保護素子52によって通常は24Vに結合されている。接点14が閉じているときには、端子IN1Bが端子IN1Aに接続された結果、端子IN1Bの電位は24V(Hレベル)である。したがって、これに応じてNPNトランジスタ66がオン状態となるので内部信号S11はLレベル(0V)である。接点14が開いて端子IN1Bが24Vから切り離されると、ノードN5の電位は抵抗素子64によってLレベルに引き下げられ、これに応じてNPNトランジスタ66がオフ状態となるので内部信号S11はHレベル(5V)に変化する。
CH1検知部21Bは、内部信号S11の故障による固定を診断する機能を有する。このために、CH1検知部21Bは、さらに、ノードN8とノードN7との間に接続される抵抗素子72と、ノードN7と接地ノードとの間に接続される抵抗素子74と、ベースがノードN7に接続されコレクタがノードN5に接続されエミッタが接地ノードに接続されるNPNトランジスタ70とを含む。ノードN8には、制御部22のCPU22Aから診断信号S12が与えられる。
診断信号S12は通常はLレベル(0V)に設定されている。そのときはNPNトランジスタ70がオフ状態であり、ノードN5の電位は端子IN1Bの電位に応じて変化する。診断実行時には、診断信号S12がHレベル(5V)に設定される。そのときはNPNトランジスタ70がオン状態に変化し、ノードN5の電位は強制的にLレベル(0V)に設定される。その結果内部信号S11がHレベルとなるので、これをCPU22Aが検知する。診断を実行しているのにもかかわらず、内部信号S11がLレベルである場合には、故障が発生していると認識されて、セーフティコントローラ20はロックアウト状態に移行する。
CH2検知部21Cは、設定スイッチSWを含む。設定スイッチSWの切換によってCH2の内部接続が変更される。設定スイッチSWは、スイッチSWAとスイッチSWBとを含んでおり、スイッチSWAとスイッチSWBとは連動して切替えられる。スイッチSWとしては、スライドスイッチなどを使用することができる。
図7は、設定スイッチSWの切換を説明するための図である。
図7を参照して、セーフティコントローラ20の動作モードをモード1に設定する場合は、設定スイッチSWをモード1側に設定する。するとスイッチSWA、スイッチSWBが共に接点1側に接続される。モード1は、CH1とCH2との間に電位差を設ける場合に使用される。モード1では、CH1とCH2との間に電位差を設けると、CH1とCH2との間に短絡が発生すると過電流が流れ、これを検出することでチャンネル間(系統間)短絡が検出可能である。
セーフティコントローラ20の動作モードをモード2に設定する場合は、設定スイッチSWをモード2側に設定する。するとスイッチSWA、スイッチSWBが共に接点2側に接続される。モード2は、CH1とCH2との間に電位差を設けない場合に使用される。
再び図6を参照して、スイッチSWAの接点1側は、ノードN1に接続される。スイッチSWAの接点2側およびスイッチSWBの接点1側は、ノードN2に接続される。スイッチSWBの接点2側は、接地ノードに接続される。スイッチSWAによって、ノードN1,N2のいずれか一方がノードN9に接続される。スイッチSWBによって、ノードN2と接地ノードのいずれか一方がノードN10に接続される。
CH2検知部21Cは、さらに、端子IN2BとノードN2との間に接続される抵抗素子76と、ノードN9とノードN10との間に接続される抵抗素子78と、ノードN9,N10が入力側に接続されノードN11と接地ノードとが出力側に接続されるフォトカプラ80と、ノードN11を直流5Vにプルアップする抵抗素子86とを含む。ノードN11からは内部信号S21が出力される。
フォトカプラ80は、アノードがノードN9に接続されカソードがノードN10に接続される発光ダイオード82と、発光ダイオード82の発光に応じてノードN11と接地ノードとの間を導通させるフォトトランジスタ84とを含む。
フォトカプラ80は制御入力側と出力側が電気的に絶縁されているスイッチである。発光ダイオード82に過電流がながれ発光ダイオード82が破損すると発光がされなくなるのでフォトトランジスタ84は絶縁状態となってノードN11はHレベル(5V)になる。
動作モードがモード1の場合は、ノードN9は過電流保護素子52およびスイッチSWAによって通常は24Vに結合されており、ノードN10はスイッチSWBによってノードN2に結合されている。
接点15が閉じているときには、端子IN2Bの電位が端子IN2Aに接続された結果、ノードN9と接地ノードとの間に発光ダイオード82、抵抗素子76が直列に接続され抵抗素子76によって定まる電流が発光ダイオード82に流れる。その結果発光ダイオード82が発光し、フォトトランジスタ84がオン状態(導通状態)となりノードN11の電位は接地電位(0V)になる。したがって内部信号S21はLレベルである。
接点15が開いて端子IN2Bが0Vから切り離されると、発光ダイオード82に電流を流す経路が遮断されるので、発光ダイオード82の発光は停止し、これに応じてフォトトランジスタ84がオフ状態(非導通状態)となるので内部信号S21はHレベル(5V)に変化する。
CH2検知部21Cは、内部信号S21の故障による固定を診断する機能を有する。このために、CH2検知部21Cは、さらに、ノードN12とノードN13との間に接続される抵抗素子88と、ノードN13と接地ノードとの間に接続される抵抗素子96と、ノードN13,および接地ノードが入力側に接続されノードN9とノードN10とが出力側に接続されるフォトカプラ90とを含む。
フォトカプラ90は、アノードがノードN13に接続されカソードが接地ノードに接続される発光ダイオード92と、発光ダイオード92の発光に応じてノードN9とノードN10との間を導通させるフォトトランジスタ94とを含む。
診断信号S22は通常はLレベル(0V)に設定されている。そのときは発光ダイオード92に電流が流れないので未発光状態であり、フォトトランジスタ94はオフ状態であり、ノードN9とノードN10との電位差に応じて発光ダイオード82は発光する。診断実行時には、診断信号S22がHレベル(5V)に設定される。そのときは発光ダイオード92が発光し、フォトトランジスタ94によってノードN9とノードN10とが導通されてしまうので、発光ダイオード82は強制的に未発光状態に設定される。その結果内部信号S21がHレベルとなるので、これをCPU22Bが検知する。診断を実行しているのにもかかわらず、内部信号S21がLレベルである場合には、故障が発生していると認識されて、セーフティコントローラ20はロックアウト状態に移行する。
図8は、動作モードがモード1に設定された場合の内部信号の動作例を示した動作波形図である。
図6、図8を参照して、CPU22Aは、通常はLレベルにある診断信号S12を一定時間毎に期間T4,T8,T12,T16,T20,T24においてHレベルに活性化する。そのタイミングと位相をずらして、CPU22Bは、通常はLレベルにある診断信号S22を一定時間毎に期間T2,T6,T10,T14,T18,T22においてHレベルに活性化する。
期間T1〜T10までは、非常停止スイッチ12が押された状態すなわちオフ状態であり、接点14,15は開放状態である。したがって、内部信号S11、S21は共にHレベルである。この間は、CPU22A,22Bで内部信号S11、S21に基づき、スイッチ入力の判定が行なわれ、機械の動作が禁止された結果、動力源と機械との間の電源供給経路が遮断される。
期間T11において、非常停止スイッチ12が押された状態から解除された状態に変化し、接点14,15は閉じた状態に変化する。したがって、内部信号S11,S21はHレベルからLレベルに変化し、以降はCPU22A,22Bで内部信号S11、S21に基づき、スイッチ入力の判定が行なわれ、機械の動作が許可されて、動力源と機械との間の電源供給経路が接続される。
図8は、安全入力回路21に障害が発生していない場合について波形を示したが、例えば、トランジスタや抵抗の焼損等が発生してノードN6の電位が固定されてしまう場合が考えられる。このような場合は、例えば期間T12において、診断信号S12の活性化に応じて内部信号S11がHレベルに変化しなくなる。CPU22Aは、診断信号S12をHレベルに設定したときに内部信号S11がHレベルに変化すれば信号伝達経路に問題は無いと判断するが、内部信号がLレベルのままであれば、異常発生と判断してロックアウト状態に状態を遷移させる。
同様に、ノードN9の電位が固定されてしまう場合は、例えば期間T14において、診断信号S22の活性化に応じて内部信号S21がHレベルに変化しなくなる。CPU22Bは、診断信号S22をHレベルに設定したときに内部信号S21がHレベルに変化すれば信号伝達経路に問題は無いと判断するが、内部信号がLレベルのままであれば、異常発生と判断してロックアウト状態に状態を遷移させる。
図9は、制御部22で実行される処理の流れを示すフローチャートである。このフローチャートの処理は、電源オン後リセット処理等を実行させる所定のメインルーチンから一定時間毎または所定の条件が成立するごとに繰返して呼び出されて実行される。制御部22のCPU22A,22Bが一つの制御装置として、この処理を実行する。なお、この処理は、ソフトウエアで実行されるが、論理回路等の組み合わせによるハードウエアでも実行させることができる。
図9を参照して、処理が開始されると、まずステップST1において入力状態判定処理が行なわれる。図6では、診断信号S12,S22をLレベルに設定した状態で、内部信号S11,S21を観測することで入力判定処理が実行される。
続いてステップST2においてチャンネルCH1の診断判定処理が行なわれ、さらにステップST3においてチャンネルCH2の診断判定処理が行なわれる。
ステップST3の処理が終了すると、ステップST4において制御はメインルーチンに移される。
図10は、図9のステップST1の入力状態判定処理の詳細を示すフローチャートである。
図6、図10を参照して、入力判定処理が開始されると、まずステップST11において、「チャンネルCH1=ONかつチャンネルCH2=ON」が成立しているか否かが判断される。具体的には、図6において制御部22は、診断信号S12,S22をともにLレベルに設定した状態で、内部信号S11,S21の状態を観測する。
内部信号S11がLレベルかつ内部信号S21がLレベルであれば、チャンネルCH1=ONかつチャンネルCH2=ONが成立している(ステップST11においてYES)と判断される。この場合は、ステップST12に処理が進み、制御部22は、安全出力回路24に対して機械の動作を許可(セーフティリレーをオン)する判定を出力する。
一方、内部信号S11、内部信号S21の少なくとも一方がHレベルであれば、「チャンネルCH1=ONかつチャンネルCH2=ON」が成立しない(ステップST11においてNO)と判断される。この場合は、ステップST13に処理が進み、制御部22は、チャンネルCH1の状態とチャンネルCH2の状態が一致しない状態が所定時間(たとえば500ms)以下であるか否かを判断する。
具体的には、ステップST13において、内部信号S11、内部信号S21の一方がHレベルで他方がLレベルの状態が所定時間(たとえば500ms)以下であれば処理はステップST15に進む。この場合は、非常スイッチが押されチャンネルCH1,CH2が両方とも開状態になったとして、制御部22は、機械の動作禁止(セーフティリレーをオフして動力を遮断)する判定を安全出力回路24に対して出力する。
一方、ステップST13において、内部信号S11、内部信号S21の一方がHレベルで他方がLレベルの状態が所定時間(たとえば500ms)を超える場合には、配線14A,14B,15A,15Bのいずれかが断線した等の故障が考えられる。したがって、処理はステップST14に進む。この場合は、制御部22は、機械の動作禁止(セーフティリレーをオフして動力を遮断)する判定を安全出力回路24に対して出力する。そして、この動作禁止状態を保持するロックアウト状態に移行する。
ステップST12またはステップST15の処理が終了すると、ステップST16において制御は図9のステップST2に移される。
図11は、図9のステップST2で実行されるCH1診断判定処理の詳細を示すフローチャートである。
図6、図11を参照して、CH1診断判定処理が開始されると、ステップST21において、制御部22は、チャンネルCH1の診断信号S12をHレベルに設定する。すると、トランジスタ70がオン状態になり、ノードN5のレベルがLレベルに設定されるはずである。するとトランジスタ66がオフ状態になるので、ノードN6は抵抗素子68によって5Vにプルアップされ、内部信号S11はHレベルに設定されるはずである。
続いて、ステップST22において、チャンネルCH1の入力状態を示す内部信号S11がHレベルになっているか否かが判断される。内部信号S11がHレベルであれば(ステップST22でYES)、チャンネルCH1の入力信号が伝達される経路は正常に動作していると判定され、ステップST24に処理が進み、チャンネルCH1の診断信号S12がふたたびLレベルに戻されて、ステップST25において制御は図9のフローチャートに移される。
一方で、ステップST22において、診断信号S12がHレベルに設定されているにも拘らず内部信号S11がHレベルでない場合には、安全入力回路21に異常が発生していると判断され、ステップST23に処理が進む。この場合、制御部22は、機械の動作禁止(セーフティリレーをオフして動力を遮断)する判定を安全出力回路24に対して出力する。そして、この動作禁止状態を保持するロックアウト状態に移行する。
図12は、図9のステップST3で実行されるCH2診断判定処理の詳細を示すフローチャートである。
図6、図12を参照して、CH2診断判定処理が開始されると、ステップST31において、チャンネルCH2の診断信号S22をHレベルに設定する。すると、フォトカプラ90がオン状態になり、ノードN9とノードN10が接続されるはずである。そうすると、発光ダイオード82に電流が流れないので、フォトトランジスタ84はオフ状態になり、ノードN11は抵抗素子86によって5Vにプルアップされ、内部信号S21はHレベルに設定されるはずである。
続いて、ステップST32において、チャンネルCH2の入力状態を示す内部信号S21がHレベルになっているか否かが判断される。内部信号S21がHレベルであれば(ステップST32でYES)、チャンネルCH2の入力信号が伝達される経路は正常に動作していると判定され、ステップST34に処理が進み、チャンネルCH2の診断信号S22がふたたびLレベルに戻されて、ステップST35において制御は図9のフローチャートに移される。
一方で、ステップST32において、診断信号S22がHレベルに設定されているにも拘らず内部信号S21がHレベルでない場合には、安全入力回路21に異常が発生していると判断され、ステップST33に処理が進む。この場合、制御部22は、機械の動作禁止(セーフティリレーをオフして動力を遮断)する判定を安全出力回路24に対して出力する。そして、この動作禁止状態を保持するロックアウト状態に移行する。
以上、セーフティコントローラ20の安全入力回路21に関して、基本動作と自己診断動作を中心に説明をしてきた。以下は、セーフティコントローラ20の入力端子に接続されている配線に障害が発生した場合の検知または出力のフェイルセーフ制御について詳細に説明を行なう。
図13は、非常停止スイッチを接続する配線に障害が生じる場合を説明するための図である。図13では設定スイッチSWはモード1に設定されている。
図14は、図13に示した障害発生時の内部信号の変化と制御部の判定内容を示した図である。
図13、図14を参照して、障害番号F1は、チャンネルCH1において配線14A,14B間に短絡が発生した場合について示している。この場合、セーフティコントローラ20の端子IN1Aと端子IN1Bとが常時接続されてしまう。
障害番号F1の障害発生時に、スイッチ12が操作されていない場合(通常時)には、内部信号S01,S11,S21はすべてLレベルになる。これは、障害未発生時の通常時と同じであるので、障害が検知不可であるが、非常停止ボタンが押されていない場合に作動許可判定をすることは障害未発生時の判定と同じであるのでフェイルセーフな判定である。
障害番号F1の障害発生時にスイッチ12を操作した場合、接点14,15は開放状態になる。このとき、障害のため本来Hレベルに変化すべきである内部信号S11は、Lレベルになっている。しかし、チャンネルCH2については正常動作するので、内部信号S21はHレベルに変化する。制御部22は、内部信号S21がHレベルに変化したので作動判定を「禁止」と判定する。また、制御部22は、本来一致するはずの内部信号S11と内部信号S21とが一致しないので、障害が発生したと判断する。制御部22は、障害が発生したので作動判定を「禁止」と判定した上で、セーフティコントローラ20をロックアウト状態に遷移させる。
障害番号F2は、チャンネルCH1側の配線14AとチャンネルCH2側の配線15B間に短絡が発生した場合(系統短絡)について示している。この場合、セーフティコントローラ20の端子IN1Aと端子IN2Bとが常時接続されてしまう。
障害番号F2の障害発生時に、スイッチ12が操作されていない場合(通常時)には、内部信号S01,S11,S21はすべてHレベルになる。これは、ノードN1が端子IN1A、配線14A、短絡経路(F2)、配線15B、接点15、配線15A、端子IN2Aを経由して接地ノードに接続されてしまうので、過電流保護素子52に定格を超える電流が流れて過電流保護素子52の抵抗が増大し、ノードN1の電位が接地電位(0V)付近になるからである。すると過電流検知を示す内部信号S01がHレベルに変化するため、制御部22は障害の発生を検知することができる。障害発生時には、制御部22は、作動判定を「禁止」と判定した上で、セーフティコントローラ20をロックアウト状態に遷移させる。なお、このとき、ノードN1がLレベルであれば内部信号S11,S21はHレベルになっている。
障害番号F2の障害発生時にスイッチ12を操作した場合、接点14,15は開放状態になる。このとき障害のためノードN1とノードN10が抵抗76を介して接続された状態となっている。すると、発光ダイオード82には電流が流れない状態になるので内部信号S21はHレベルになる。また、接点14が開いているので、ノードN5は抵抗素子64によって接地電位に引き下げられ、トランジスタ66はオフ状態となり内部信号S11もHレベルになる。過電流が発生せず、内部信号S11,S21の不一致も発生しないので、制御部22は障害の発生を検知することはできない。しかし、障害未発生時と作動判定結果は同じでありフェイルセーフの状態が維持できている。
以降は、各障害番号と障害発生箇所についてのみ簡単に説明する。
障害番号F3は、チャンネルCH1側の配線14AとチャンネルCH2側の配線15A間に短絡が発生した場合(系統短絡)について示している。この場合、セーフティコントローラ20の端子IN1Aと端子IN2Aとが常時接続されてしまう。
障害番号F4は、チャンネルCH1側の配線14BとチャンネルCH2側の配線15B間に短絡が発生した場合(系統短絡)について示している。この場合、セーフティコントローラ20の端子IN1Bと端子IN2Bとが常時接続されてしまう。
障害番号F5は、チャンネルCH1側の配線14BとチャンネルCH2側の配線15A間に短絡が発生した場合(系統短絡)について示している。この場合、セーフティコントローラ20の端子IN1Bと端子IN2Aとが常時接続されてしまう。
障害番号F6は、チャンネルCH2側の配線15Aと配線15B間に短絡が発生した場合について示している。この場合、セーフティコントローラ20の端子IN2Aと端子IN2Bとが常時接続されてしまう。
障害番号F7は、チャンネルCH1側の配線14Aに地絡が発生した場合について示している。この場合、セーフティコントローラ20の端子IN1Aが接地(0V)に常時結合されてしまう。
障害番号F8は、チャンネルCH1側の配線14Bに地絡が発生した場合について示している。この場合、セーフティコントローラ20の端子IN1Bが接地(0V)に常時結合されてしまう。
障害番号F9は、チャンネルCH2側の配線15Bに地絡が発生した場合について示している。この場合、セーフティコントローラ20の端子IN2Bが接地(0V)に常時結合されてしまう。
障害番号F10は、チャンネルCH2側の配線15Aに地絡が発生した場合について示している。この場合、セーフティコントローラ20の端子IN2Aが接地(0V)に常時結合されてしまう。
障害番号F3〜F10の障害発生時も同様に、制御部22は、内部信号S11と内部信号S21が不一致であるとき、または過電流のため内部信号S01がHレベルに変化したときには障害が発生したとしてセーフティコントローラ20をロックアウト状態に遷移させる。また、図14の備考欄に示すように、障害が検知できない場合であっても、作動判定結果が障害未発生時と同じになるのでフェイルセーフの状態が維持できている。
図15は、ライトカーテンを接続する配線に障害が生じる場合を説明するための図である。図15では設定スイッチSWはモード2に設定され、端子IN1A,IN2Aは未接続状態で使用されている。
図16は、図15に示した障害発生時の内部信号の変化と制御部の判定内容を示した図である。
障害番号F11は、チャンネルCH1側の配線とチャンネルCH2側の配線間に短絡が発生した場合(系統短絡)について示している。この場合、セーフティコントローラ20の端子IN1Bと端子IN2Bとが常時接続されてしまう。
このような障害は、動作モードがモード2に設定されたセーフティコントローラ20では検知することができない。しかし、ライトカーテンに、たとえば、国際規格IEC61496−1のTYPE4に適合したものを使用することにより、この障害はQ1,Q2がともにオン状態であるとき(通常時)にライトカーテン側で検知される。そして、ライトカーテン側の出力トランジスタQ1,Q2が共にオフ状態にされるため、セーフティコントローラ20側でも最終的には作動判定は「禁止」となる。このような使用法は、欧州規格EN954−1のカテゴリ4に相当するものである。
なお、障害番号F11においてQ1,Q2がともにオフ状態であるとき(非常停止時)には、ライトカーテンでは検知しない場合もあるが、障害未発生時と同じ判定となり、フェイルセーフな状態である。
障害番号F12は、チャンネルCH1側の配線に地絡が発生した場合について示している。この場合、セーフティコントローラ20の端子IN1Bが接地(0V)に常時結合されてしまう。
障害番号F12の障害が発生している場合において、ライトカーテン側の出力トランジスタQ1,Q2が共にオン状態である通常時では、ライトカーテン側でも診断が行なわれており、この障害は検知され、トランジスタQ1,Q2はオフ状態に制御される。なお、Q1,Q2がオフ状態とならなくても、内部信号S21はLレベルで、かつチャンネルCH1側の地絡のため内部信号S11がHレベルに固定される。したがって、内部信号S11と内部信号S21とが不一致になるので、この状態が所定時間(500ms)続く場合には、制御部22は障害発生を検知してロックアウト状態にセーフティコントローラ20を遷移させる。
障害番号F12の障害が発生している場合において、ライトカーテン側の出力トランジスタQ1,Q2が共にオフ状態である非常停止時には、この障害は検知することができないが、内部信号S11,S21がHレベルであるので制御部22の判定結果も「禁止」となり、障害未発生時と同じであるからフェイルセーフが維持されている。
障害番号F13は、チャンネルCH2側の配線に地絡が発生した場合について示している。この場合、セーフティコントローラ20の端子IN2Bが接地(0V)に常時結合されてしまう。
障害番号F13の障害が発生している場合において、ライトカーテン側の出力トランジスタQ1,Q2が共にオン状態である通常時では、ライトカーテン側でも診断が行なわれており、この障害は検知され、トランジスタQ1,Q2はオフ状態に制御される。なお、Q1,Q2がオフ状態とならなくても、内部信号S11はLレベルで、かつチャンネルCH2側の地絡のため内部信号S21がHレベルに固定される。したがって、内部信号S11と内部信号S21とが不一致になるので、この状態が所定時間(500ms)続く場合には、制御部22は障害発生を検知してロックアウト状態にセーフティコントローラ20を遷移させる。
障害番号F13の障害が発生している場合において、ライトカーテン側の出力トランジスタQ1,Q2が共にオフ状態である非常停止時には、この障害は検知することができないが、内部信号S11,S21がHレベルであるので制御部22の判定結果も「禁止」となり、障害未発生時と同じであるからフェイルセーフが維持されている。
以上は、セーフティコントローラ20を外部のセンサー/スイッチ類に接続する経路における障害発生について説明してきたが、セーフティコントローラ20に設定スイッチSWを設ける場合には、設定スイッチSWの設定ミスや故障についても考慮しておく必要がある。
図17は、設定スイッチSWに障害が発生した場合の内部信号の変化と制御部の判定内容を示した図である。
図17において、SWA−1の欄がONである状態とは、図6のスイッチSWAの接点1側がノードN9と接続される場合を示し、SWA−1の欄がOFFである状態とは、図6のスイッチSWAの接点1側がノードN9と接続されない場合を示す。SWA−2の欄がONである状態とは、図6のスイッチSWAの接点2側がノードN9と接続される場合を示し、SWA−2の欄がOFFである状態とは、図6のスイッチSWAの接点2側がノードN9と接続されない場合を示す。
また、SWB−1の欄がONである状態とは、図6のスイッチSWBの接点1側がノードN10と接続される場合を示し、SWB−1の欄がOFFである状態とは、図6のスイッチSWBの接点1側がノードN10と接続されない場合を示す。SWB−2の欄がONである状態とは、図6のスイッチSWBの接点2側がノードN10と接続される場合を示し、SWB−2の欄がOFFである状態とは、図6のスイッチSWBの接点2側がノードN10と接続されない場合を示す。
スイッチSWが正常な状態では、SWA−1、SWA−2の欄のうちのいずれか1方のみがONとなっており、SWBについてもSWAに対応する側がONとなっているはずである。しかし、導電性または絶縁性の異物の進入、スイッチの物理的破損などにより、図17に示す障害番号F21〜F32の障害が発生する可能性が考えられる。
障害番号F21に示す障害では、スイッチSWAにおいて接点1側とノードN9が接続され、スイッチSWBにおいて接点2とノードN10が接続される。すると、24Vに接続されている過電流保護素子52からスイッチSWAの接点1、ノードN9、発光ダイオード82、ノードN10、スイッチSWBの接点2を経由して接地ノードに電流が流れる。抵抗素子76による電流制限が無い状態で発光ダイオード82に電源電圧が印加されるので、過電流により過電流保護素子52の抵抗が増大するか、または発光ダイオード82が破壊される。発光ダイオード82は、破壊されると端子間がショート状態またはオープン状態となり発光しなくなる。
過電流保護素子52の抵抗が増大した場合、内部信号S01がHレベルに変化して障害発生が検知される。また、発光ダイオード82がオープン状態で破壊された場合には、内部信号S01がLレベルのままになるが、発光しないのでフォトトランジスタ84がオン状態にならなくなり内部信号S21はHレベルに固定されてしまう。内部信号S21がHレベルに固定されると、制御部22は機械の作動を禁止する判定を行なうので、フェイルセーフな状態が維持できている。
障害番号F22に示す障害では、スイッチSWAにおいて接点2側とノードN9が接続され、スイッチSWBにおいて接点1とノードN10が接続される。すると、ノードN9とノードN10とが接続されてしまうので、発光ダイオード82のアノードとカソードとの間に電圧が印加されなくなり発光が起こらないのでフォトトランジスタ84がオンしなくなる。したがって、内部信号S21がHレベルに固定され、制御部22は機械の作動を禁止する判定を行なうので、フェイルセーフな状態が維持できている。
障害番号F23に示す障害では、スイッチSWAにおいて接点1側とノードN9が接続され、スイッチSWB側ではノードN10がいずれの接点にも接続されない状態になっている。すると、ノードN10と接地ノードとの間が接続されないので、発光ダイオード82に電流を流す回路が形成されず発光が起こらないのでフォトトランジスタ84がオンしなくなる。したがって、内部信号S21がHレベルに固定された状態となり、制御部22は機械の作動を禁止する判定を行なうので、フェイルセーフな状態が維持できている。
障害番号F24〜26に示す障害も、障害番号F23に示す障害と同様スイッチSWA、SWBのいずれか一方しか接続されないので発光ダイオード82に電流を流す経路が形成されない。したがって、内部信号S21がHレベルに固定された状態となり、制御部22は機械の作動を禁止する判定を行なうので、フェイルセーフな状態が維持できている。
障害番号F27に示す障害は、スイッチSWA、SWBの両方において接続が行なわれないので発光ダイオード82に電流を流す経路が形成されない。したがって、内部信号S21がHレベルに固定された状態となり、制御部22は機械の作動を禁止する判定を行なうので、フェイルセーフな状態が維持できている。
障害番号F28に示す障害は、スイッチSWAにおいて接点1側および接点2側とノードN9が接続され、スイッチSWB側ではノードN10が接点1側に接続された状態になっている。すると、ノードN9とノードN10との間が短絡し、発光ダイオード82に電圧が印加されず発光が起こらないのでフォトトランジスタ84がオンしなくなる。したがって、内部信号S21がHレベルに固定された状態となり、制御部22は機械の作動を禁止する判定を行なうので、フェイルセーフな状態が維持できている。
障害番号F29、F30に示す障害では、スイッチSWAにおいて接点1側とノードN9が接続され、スイッチSWBにおいて接点2とノードN10が接続される。すると、24Vに接続されている過電流保護素子52からスイッチSWAの接点1、ノードN9、発光ダイオード82、ノードN10、スイッチSWBの接点2を経由して接地ノードに電流が流れる。抵抗素子76による電流制限が無い状態で発光ダイオード82に電源電圧が印加されるので、過電流により過電流保護素子52の抵抗が増大するか、または発光ダイオード82が破壊される。これは、障害番号F21の場合と同様、内部信号S01がHレベルとなる過電流または内部信号S21がHレベルに固定されるので、フェイルセーフの状態が維持できている。
障害番号F31に示す障害は、スイッチSWAにおいて接点2側とノードN9が接続され、スイッチSWB側ではノードN10が接点1側および接点2側に接続された状態になっている。すると、ノードN9とノードN10との間が短絡し、発光ダイオード82に電圧が印加されず発光が起こらないのでフォトトランジスタ84がオンしなくなる。したがって、内部信号S21がHレベルに固定された状態となり、制御部22は機械の作動を禁止する判定を行なうので、フェイルセーフな状態が維持できている。
障害番号F32に示す障害は、スイッチSWAにおいて接点1および接点2側とノードN9が接続され、スイッチSWB側ではノードN10が接点1側および接点2側に接続された状態になっている。過電流保護素子52からスイッチSWA、ノードN2、スイッチSWBを経由して接地ノードに接続される経路ができてしまうので、過電流が発生し内部信号S01がHレベルに変化するので異常が検知できる。また、ノードN9とノードN10との間が短絡し、発光ダイオード82に電圧が印加されず発光が起こらないのでフォトトランジスタ84がオンしなくなる。したがって、内部信号S21がHレベルに固定された状態となり、制御部22は機械の作動を禁止する判定を行なうので、フェイルセーフな状態が維持できている。
なお、障害番号F22〜F28,F31の障害は、いずれもCH1を通常状態に設定しているとき(内部信号S11がLレベルであるとき)には、内部信号S11と内部信号S21の不一致により障害発生が検知され、セーフティコントローラはロックアウト状態に移行する。
最後に、再び図6を参照して本実施の形態についての発明のある局面について総括的に説明する。
この発明は、ある局面においては、少なくとも第1および第2の監視結果に応じて動力源から機械に与えられる動力の導通および遮断の制御を行なう監視装置であって、対をなす第1、第2の端子(IN1A,IN1B)を含み、第1の監視結果が入力される第1入力部と、対をなす第3、第4の端子(IN2A,IN2B)を含み、第2の監視結果が入力される第2入力部と、第1、第2入力部を介して与えられる第1、第2の監視結果に基づき第1、第2の信号(S11,S21)を出力する入力回路(21)とを備える。入力回路(21)は、第1、第2の端子間および第3、第4の端子間が接続状態と開放状態とのいずれにあるかで監視結果が入力される第1の動作モードと第2、第4の端子の電位の設定によって監視結果が入力される第2の動作モードとを切替える切替スイッチ(SW)と、第2の端子(IN1B)の電位に応じて第1の信号を出力するトランジスタ(66)と、第4の端子(IN2B)に一方端が接続される第1の抵抗(76)と、第1の抵抗の他方端と第1の電源電位のいずれか一方が切替スイッチの操作に応じて結合される第1のノード(N9)と、第1のノードが入力側の第1電極に接続され、切替スイッチの操作に応じて第1の電源電位とは異なる第2の電源電位と第1の抵抗の他方端とのいずれか一方が入力側第2電極に結合されるフォトカプラ(80)とを含む。フォトカプラは、第2の信号を出力する。監視装置は、第1、第2の信号に基づいて動力の導通許可および導通禁止の判断を行なう制御部(22)をさらに備える。
好ましくは、第2の電源電位は、接地電位であり、第1の電源電位は、接地電位よりも高い電位である。
好ましくは、制御部は、第1、第2の信号の少なくとも一方が非活性化された場合には動力の導通を禁止させ、第1、第2の信号の両方が活性化された場合には動力の導通を許可し、第1、第2の信号の不一致を検出した場合には動力の導通が禁止された状態を第1,第2の信号が一致した状態に戻っても保持させる、入力状態判定を実行する。
より好ましくは、入力回路は、第2の端子とトランジスタの制御入力との間に接続される第2の抵抗(62)と、第1の診断信号に応じてトランジスタの制御入力を強制的に設定する第1の設定手段(70)と、第2の診断信号に応じて第1のノードの電位を強制的に設定する第2の設定手段(90)とをさらに含む。制御部は、入力状態判定と、第1の診断信号を変化させて第1の信号を監視する第1の診断判定と、第2の診断信号を変化させて第2の信号を監視する第2の診断判定とを繰返して実行する。
以上、説明してきたように、本実施の形態では、設定スイッチSWを設けることにより複数種類のスイッチまたはセンサー類を接続可能な監視装置が実現できる。そして、設定スイッチSWに障害が発生した場合であっても、過電流検知または内部信号の安全側への固定の発生により障害の発生を検知できる。
さらに、少なくともチャンネルCH2側にフォトカプラ80を用いているので過電流により破損が起こったとしても内部信号S21は安全側に固定されることになる。なお、チャンネルCH1側のトランジスタ58,66,70の部分もフォトカプラを用いても良い。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
11 コントローラ用電源、12 非常停止スイッチ、14,15 接点、14A,14B,15A,15B 配線、16 押ボタン、20 セーフティコントローラ、21 安全入力回路、21A 過電流検知部、21B CH1検知部、21C CH2検知部、22 制御部、23 リセット入力回路、24 安全出力回路、31 動力源、32A,33A アクチュエータ、32,33 セーフティリレー、32U,32V,32W,33U,33V,33W NO型接点、32T,33T NC型接点、34 機械、36U,36V,36W,37U,37V,37W,38U,38V,38W 動力ケーブル、52 過電流保護素子、54,56,60,62,64,68,72,74,76,78,86,88,96 抵抗素子、58,66,70 トランジスタ、80,90 フォトカプラ、82,92 発光ダイオード、84,94 フォトトランジスタ、CH1,CH2 チャンネル、IN1A,IN1B,IN2A,IN2B 端子、Q1,Q2 トランジスタ、SW 設定スイッチ、SWA,SWB スイッチ。