JP5560915B2 - Safety control system - Google Patents

Safety control system Download PDF

Info

Publication number
JP5560915B2
JP5560915B2 JP2010127372A JP2010127372A JP5560915B2 JP 5560915 B2 JP5560915 B2 JP 5560915B2 JP 2010127372 A JP2010127372 A JP 2010127372A JP 2010127372 A JP2010127372 A JP 2010127372A JP 5560915 B2 JP5560915 B2 JP 5560915B2
Authority
JP
Japan
Prior art keywords
safety
signal
time
circuit
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010127372A
Other languages
Japanese (ja)
Other versions
JP2011253392A (en
Inventor
博之 國分
以久也 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Priority to JP2010127372A priority Critical patent/JP5560915B2/en
Publication of JP2011253392A publication Critical patent/JP2011253392A/en
Application granted granted Critical
Publication of JP5560915B2 publication Critical patent/JP5560915B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Hardware Redundancy (AREA)

Description

本発明は、電力変換器などの被制御装置の安全監視機能を有し、ネットワーク経由で与えられる制御信号に基づいて被制御装置を制御する安全制御システムに係り、特に二重化されたプロセッサによって安全監視機能を実現する際のプロセッサ間の同期を維持する技術に関する。   The present invention relates to a safety control system that has a safety monitoring function of a controlled device such as a power converter and controls the controlled device based on a control signal given via a network, and in particular, monitors the safety by a duplicated processor. The present invention relates to a technique for maintaining synchronization between processors when realizing a function.

従来、電力変換器などの被制御装置に対しては、機能安全が要求され、IEC61508に代表される機能安全規格などが策定されている。この機能安全規格は、診断・監視機能に加えて、外部のセンサー等からの信号に基づいて、安全停止、安全減速など装置を安全な状態へ移行する機能を定義している。   Conventionally, functional safety is required for controlled devices such as power converters, and functional safety standards represented by IEC61508 have been established. This functional safety standard defines a function for shifting a device to a safe state such as a safe stop and a safe deceleration based on a signal from an external sensor or the like in addition to a diagnosis / monitoring function.

また、外部コントローラから安全制御システムの電力変換器へ制御信号や安全信号を与える方法として、現状は信頼性の観点から安全制御システムを構成する各装置(ユニット)をワイヤ配線によって接続している。この方法は、実装が容易であるものの、システムの規模に応じて配線が複雑化し、設計面やコスト面で不利となっている。このため、ワイヤ配線で与えられていた安全信号を、制御信号と混合させて産業用ネットワークに乗せるための「安全バス」を用いたシステムが提案されている。(例えば特許文献1を参照。)   Moreover, as a method of giving a control signal and a safety signal from an external controller to the power converter of the safety control system, currently, devices (units) constituting the safety control system are connected by wire wiring from the viewpoint of reliability. Although this method is easy to mount, the wiring becomes complicated according to the scale of the system, which is disadvantageous in terms of design and cost. For this reason, a system using a “safety bus” for mixing a safety signal provided by wire wiring with a control signal and placing it on an industrial network has been proposed. (See, for example, Patent Document 1)

また、特許文献2は、信頼性向上のための二重化情報システムに関する。2つのシステムは常時同時に動作せず、故障などの際にトリガとして割込信号を出力して、他方のシステムを稼働させるものである。このため、必ずしも機能安全を満足するシステムとはいえない。また、同文献のシステムは、他方のシステムへ送る割込信号の変化のみを処理開始のトリガとしたものであり、信号の信頼性向上を図るものではない。   Patent Document 2 relates to a duplex information system for improving reliability. The two systems do not always operate at the same time, but output an interrupt signal as a trigger in the event of a failure or the like, and operate the other system. For this reason, it is not necessarily a system that satisfies functional safety. Further, the system of this document uses only a change in an interrupt signal sent to the other system as a trigger for starting processing, and does not improve signal reliability.

特開2006−178730号公報JP 2006-178730 A 特開2006−209624号公報JP 2006-209624 A

一般に、電力変換器で安全バスを実現するとき、安全制御システムは、機能安全規格を満たすため、2つの安全系プロセッサを設ける必要がある。この2つのプロセッサは互いに同期して安全機能を実行しなければならない。このため、2つのプロセッサ間でタイミングを伝達するための同期信号を用い、この信号の変化に応じて、他方のプロセッサにタイミングを伝達している。   Generally, when a safety bus is realized by a power converter, the safety control system needs to be provided with two safety processors in order to satisfy the functional safety standard. The two processors must perform safety functions synchronously with each other. For this reason, a synchronization signal for transmitting the timing between the two processors is used, and the timing is transmitted to the other processor in accordance with the change of the signal.

しかしながら、電力変換器からのノイズや故障による短絡、断線、接地等の問題によって、誤ったタイミングで同期信号が変化し、このタイミングで安全機能に関する処理が動作してしまう危険性がある。   However, there is a risk that the synchronization signal changes at an incorrect timing due to noise from the power converter or a problem such as a short circuit, disconnection, or grounding due to a failure, and the processing related to the safety function operates at this timing.

本発明は上述のかかる事情に鑑みてなされたものであり、安全バスに対応した安全制御システムにおいて、安全機能を実現するための二重化プロセッサ間のタイミング同期手段を高信頼度で実現することのできる安全制御システムを提供することを目的とする。   The present invention has been made in view of the above-described circumstances, and in a safety control system corresponding to a safety bus, a timing synchronization means between dual processors for realizing a safety function can be realized with high reliability. An object is to provide a safety control system.

上記の目的を達成するため、本発明に係る安全制御システムは、ネットワークを介して外部コントローラと通信データの送受信を行う通信装置と、該通信装置を経由して外部コントローラから送られてくる通信データを受信し、該通信データに基づいて電力変換器へ制御信号を出力する制御装置と、該通信データに基づいて電力変換器への停止指令の出力その他の安全に関する動作を実行する安全機能を、第一のプロセッサと第二のプロセッサによって実現する安全装置と、を有する安全制御システムであって、第一のプロセッサと第二のプロセッサは、周期的に伝送する安全データの送信タイミングまたは受信タイミングで発生させる相手側プロセッサへの外部割込信号を同期信号として相互に転送するタイミング同期手段を備え、タイミング同期手段は、同期信号によって発生する割り込みがアクティブ(有効)状態にあるアクティブ時間と、該割込信号の発生サイクルであるアクティブ化間隔とを監視し、アクティブ時間およびアクティブ化間隔が、それぞれ設定された閾値範囲にあるときのみ外部割込信号を受け付けて予め定められた安全処理を行うことを特徴とする。   In order to achieve the above object, a safety control system according to the present invention includes a communication device that transmits and receives communication data to and from an external controller via a network, and communication data that is transmitted from the external controller via the communication device. And a safety device that outputs a control signal to the power converter based on the communication data, and outputs a stop command to the power converter and other safety-related operations based on the communication data. A safety control system having a safety device realized by a first processor and a second processor, wherein the first processor and the second processor are at a transmission timing or a reception timing of periodically transmitting safety data. Timing synchronization means for transferring the external interrupt signal to the other processor to be generated as a synchronization signal is provided. The synchronization means monitors the active time when the interrupt generated by the synchronization signal is in the active (valid) state and the activation interval that is the generation cycle of the interrupt signal, and the active time and the activation interval are set respectively. It is characterized in that an external interrupt signal is received and a predetermined safety process is performed only when it is within the set threshold range.

本発明によれば、二重化されたプロセッサは互いに他方から送られた同期信号の変化時間を監視する手段を備えることにより、タイミング同期信号の信頼性を向上させた安全バス対応の安全制御システムを実現することができる。   According to the present invention, the duplexed processor is provided with means for monitoring the change time of the synchronization signal sent from the other, thereby realizing a safety control system corresponding to the safety bus with improved reliability of the timing synchronization signal. can do.

また、本発明に係る安全制御システムでは、アクティブ化間隔の閾値は、運転動作前に予め設定され、アクティブ時間の閾値は、電力変換器の動作状態に応じて設定されることを特徴とする。   In the safety control system according to the present invention, the activation interval threshold is set in advance before the driving operation, and the active time threshold is set in accordance with the operating state of the power converter.

本発明では、特に電力変換器の動作状態に応じてアクティブ時間の閾値を設定し、この閾値を監視しながら安全処理を実行するので、動作ノイズや故障に強い安全制御システムを構築することができる。   In the present invention, a threshold of active time is set according to the operating state of the power converter in particular, and safety processing is executed while monitoring this threshold. Therefore, a safety control system that is resistant to operating noise and failure can be constructed. .

さらに、本発明に係る安全制御システムは、割込信号がアクティブ状態になった時点からの時間を計測するタイマを備え、安全処理は、該タイマの値によって、減速時間または停止までの時間を補正することを特徴とする。   Furthermore, the safety control system according to the present invention includes a timer that measures the time from when the interrupt signal becomes active, and the safety process corrects the deceleration time or the time until stop by the value of the timer. It is characterized by doing.

本発明では、割込信号によって安全処理を実行する際に、割込信号がアクティブ状態になった時点からの時間で減速時間または停止までの時間を補正するので、二重化されたCPUの出力を一致させ、精度の高い安全処理を実現することができる。   In the present invention, when executing safety processing with an interrupt signal, the deceleration time or the time to stop is corrected by the time from the time when the interrupt signal becomes active, so the outputs of the duplicated CPUs match. And safe processing with high accuracy can be realized.

本発明によれば、二重化されたプロセッサ間で転送するタイミング同期信号の信頼性を向上させ、また精度の高い安全処理を実現することができる。   According to the present invention, it is possible to improve the reliability of a timing synchronization signal transferred between duplicated processors and to realize highly accurate safety processing.

本発明の実施の形態による安全制御システムおよび周辺装置の構成図である。1 is a configuration diagram of a safety control system and peripheral devices according to an embodiment of the present invention. 図1の安全装置の概略構成図である。It is a schematic block diagram of the safety device of FIG. タイミング同期信号波形と負論理における各信号名、時間名との関係の説明図である。It is explanatory drawing of the relationship between a timing synchronous signal waveform, each signal name in negative logic, and a time name. タイミング同期信号波形とエラー要因例の説明図である。It is explanatory drawing of a timing synchronous signal waveform and an error factor example. 図2のCPU32,42の機能構成を示す。The functional structure of CPU32, 42 of FIG. 2 is shown. 図5の同期信号監視手段71の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the synchronous signal monitoring means 71 of FIG. 図5の閾値設定テーブル73のデータ構成図である。It is a data block diagram of the threshold value setting table 73 of FIG. 図5の設定値変更手段72の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the setting value change means 72 of FIG. 図2のタイミング同期信号受信回路44の構成図である。FIG. 3 is a configuration diagram of a timing synchronization signal receiving circuit 44 in FIG. 2.

以下、図面を参照しながら本発明の実施の形態を説明する。図1は、本発明の実施の形態による安全制御システムおよび周辺装置の構成図である。この図において、安全制御システム1は、ネットワーク3を介して外部コントローラ2と接続している。外部コントローラ2は、安全制御システム1へ制御機能や安全機能に関する指令信号の送信ならびに安全制御システム1からの監視データの受信によるモニタリングを行う。一方、安全制御システム1は、外部コントローラ2から送られてくる指令信号に基づいて制御対象である電動機4を監視制御する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a configuration diagram of a safety control system and peripheral devices according to an embodiment of the present invention. In this figure, the safety control system 1 is connected to an external controller 2 via a network 3. The external controller 2 performs monitoring by transmitting a control function and a command signal related to the safety function to the safety control system 1 and receiving monitoring data from the safety control system 1. On the other hand, the safety control system 1 monitors and controls the electric motor 4 that is a control target based on a command signal sent from the external controller 2.

安全制御システム1は、ネットワーク3を介して外部コントローラ2と通信を行う通信装置10、外部コントローラ2から送られてくる指令信号に基づいて制御信号を出力する制御装置20、制御装置20から出力される制御信号によって電動機4を駆動する電力変換器60、電力変換器60や制御装置20などの異常の有無を監視し、電力変換器60へ停止指令を出力するCPU二重化された安全装置30を有している。通信装置10、制御装置20、および、安全装置30との間は、それぞれケーブルやコネクタなどの分離・接続可能な接続手段で接続されている。なお安全制御システム1の各装置は、それぞれユニット構成で実現しても良いし、基板構成で実現しても良い。   The safety control system 1 is output from the communication device 10 that communicates with the external controller 2 via the network 3, the control device 20 that outputs a control signal based on a command signal sent from the external controller 2, and the control device 20. The power converter 60 that drives the electric motor 4 by the control signal, the power converter 60, the control device 20 and the like are monitored for abnormalities, and a safety device 30 with a duplicated CPU that outputs a stop command to the power converter 60 is provided. doing. The communication device 10, the control device 20, and the safety device 30 are connected by connection means such as cables and connectors that can be separated and connected. Each device of the safety control system 1 may be realized by a unit configuration or a substrate configuration.

安全制御システム1を構成する各装置の機能概要を説明すると、まず、制御装置20は、通信装置10から渡された外部コントローラ2の通信データを制御データと安全データとに分離する。そして制御データを受信した場合は、その制御データに基づいて電力変換器60の電圧・電流・周波数などを決定し、制御信号を生成して電力変換器60へ出力する。そして、電力変換器60は、制御装置20からの制御指令や安全装置30からの停止指令によって、電動機4を運転させるための電力の供給や停止を行う。通信装置10から渡された通信データが安全データの場合は、制御装置20は、この安全データを安全装置30へ渡す。安全データの渡し方は、二重化されたプロセッサユニットのうち、制御装置20と通信を行う一のプロセッサユニット31に渡し、そのプロセッサユニット31が他方のプロセッサユニット41へ安全データを転送する。なお、安全データの渡し方はこれに限らず、たとえば、データを分岐する分岐手段を設け、制御装置20から送信された安全データをその分岐手段を介して夫々同じデータを両方のプロセッサユニット31,41へ送信するようにしても良い。   The functional outline of each device constituting the safety control system 1 will be described. First, the control device 20 separates the communication data of the external controller 2 passed from the communication device 10 into control data and safety data. When the control data is received, the voltage, current, frequency, and the like of the power converter 60 are determined based on the control data, and a control signal is generated and output to the power converter 60. The power converter 60 supplies or stops power for operating the electric motor 4 according to a control command from the control device 20 or a stop command from the safety device 30. When the communication data passed from the communication device 10 is safety data, the control device 20 passes this safety data to the safety device 30. The safety data is transferred to one processor unit 31 that communicates with the control device 20 among the duplicated processor units, and the processor unit 31 transfers the safety data to the other processor unit 41. The way of passing the safety data is not limited to this. For example, a branching unit for branching data is provided, and the safety data transmitted from the control device 20 is sent to the processor units 31 and 31 via the branching unit. You may make it transmit to 41.

安全装置30の両プロセッサユニット31,41は、外部コントローラ2からの安全機能設定信号による非常停止制御、安全状態の外部コントローラ2への通知処理などを行う。   Both processor units 31 and 41 of the safety device 30 perform emergency stop control by a safety function setting signal from the external controller 2, notification processing to the external controller 2 of a safe state, and the like.

両プロセッサユニット31,41間は、ケーブル接続されるが、外部割込信号によって、互いに処理のタイミングを通知して同期をとっている。なお、プロセッサユニット内部のCPUのプログラム処理によって発生する割込信号(内部割込信号)に対して、CPU間の割込信号は、CPUの外部に出力されるため、以下の説明において外部割込信号という。電力変換器60の動作ノイズによって、ケーブルにノイズが乗ることがあり、これにより誤動作を起こす可能性がある。   The processor units 31 and 41 are connected by a cable, but are synchronized with each other by notifying the processing timing by an external interrupt signal. Note that an interrupt signal between CPUs is output to the outside of the CPU with respect to an interrupt signal (internal interrupt signal) generated by the program processing of the CPU inside the processor unit. It is called a signal. The operation noise of the power converter 60 may cause noise on the cable, which may cause malfunction.

本実施の形態は、このノイズに対して割込信号が誤入力されることを回避するために下記の構成をとっている。   The present embodiment has the following configuration in order to avoid an erroneous input of an interrupt signal with respect to this noise.

図2に、安全装置30の概略構成図を示す。安全装置30のプロセッサユニット31,41はそれぞれ内部にプログラムによる演算処理を実行するCPU32,42を有している。CPU32,42間は、互いに外部割込信号を発生する回路(タイミング同期信号発生回路)33,43と、外部割込信号を受信する回路(タイミング同期信号受信回路)44,34が設けられている。なお、外部割込信号によってCPUの処理の同期をとるため、タイミング同期信号発生回路33,43とタイミング同期信号受信回路44,34とを合わせてタイミング同期手段40という。   FIG. 2 shows a schematic configuration diagram of the safety device 30. The processor units 31 and 41 of the safety device 30 respectively have CPUs 32 and 42 that execute arithmetic processing by a program. Between the CPUs 32 and 42, circuits (timing synchronization signal generating circuits) 33 and 43 for generating external interrupt signals and circuits (timing synchronization signal receiving circuits) 44 and 34 for receiving external interrupt signals are provided. . The timing synchronization signal generating circuits 33 and 43 and the timing synchronization signal receiving circuits 44 and 34 are collectively referred to as timing synchronization means 40 in order to synchronize the CPU processing with an external interrupt signal.

タイミング同期手段40は、プロセッサ間を外部割込信号線で結んでいる。なお、図1では、外部割込信号は双方向であるが、たとえばCPU42をCPU32に同期させる場合は、CPU32からCPU42の一方向のみでも機能する。この信号は、ある電圧閾値、たとえば2.0Vなどを境界値として用いて2.0V以上なら「1」、2.0V未満なら「0」のように表わされる。アクティブロー(Active Low: 負論理)で定義するとき、「1」は非アクティブ、「0」はアクティブとなる。以下、負論理であるとして説明する。   The timing synchronization means 40 connects the processors with an external interrupt signal line. In FIG. 1, the external interrupt signal is bidirectional. However, for example, when the CPU 42 is synchronized with the CPU 32, only one direction of the CPU 32 to the CPU 42 functions. This signal is expressed as “1” if it is 2.0 V or higher using a certain voltage threshold, for example, 2.0 V as a boundary value, and “0” if it is lower than 2.0 V. When defined by active low (Active Low: negative logic), “1” is inactive and “0” is active. Hereinafter, description will be made assuming that the logic is negative.

このとき、通常はこの信号がアクティブとなる時点(立ち下がり時)に、CPUは外部割込として予め定めた処理(割り込み処理)を実行する。設定によっては、非アクティブ状態になるとき(立ち上がり時)、または、その両方(両エッジ時)などの場合もある。   At this time, normally, when this signal becomes active (at the time of falling), the CPU executes a predetermined process (interrupt process) as an external interrupt. Depending on the setting, there may be a case of inactive state (at the time of rising), or both (at the time of both edges).

信号線に問題が生じたとき、たとえばノイズや断線、短絡、または他方のプロセッサユニットの故障などのときは、割り込み処理が予期しないタイミングで動作する場合があり、安全機能の動作に遅延が生じたりするなどの問題を引き起こす危険性がある。   When a problem occurs in the signal line, such as noise, disconnection, short circuit, or failure of the other processor unit, the interrupt processing may operate at an unexpected timing, causing a delay in the operation of the safety function. There is a risk of causing problems.

本実施の形態では、アクティブ状態となった時点を基準にして、非アクティブ状態になるまでの時間(アクティブ時間)と、アクティブ状態になった時点を基準にして、次にアクティブ状態になる時点までの間隔(アクティブ化間隔)を用いて、外部割込みの発生タイミングを制御する。   In the present embodiment, the time until the inactive state (active time) based on the time when the active state is reached and the time when the next active state is reached based on the time when the active state is reached The generation timing of the external interrupt is controlled using the interval (activation interval).

図3にタイミング同期信号波形と負論理における各信号名、時間名との関係を示す。アクティブ時間とアクティブ化間隔はそれぞれ下限値と上限値の2つの閾値を持つ。   FIG. 3 shows the relationship between the timing synchronization signal waveform and each signal name and time name in negative logic. The active time and the activation interval each have two threshold values, a lower limit value and an upper limit value.

たとえば、図4に挙げられる主に4つの問題をアクティブ時間及びアクティブ化間隔を監視することで対策できる。図4(a)は信号線が断線または短絡、プロセッサ故障等で発生する障害であり、アクティブ時間の上限値を超えたか否かによって検出できる。図4(b)は、ノイズ等によるもので、アクティブ時間の下限値によって検出できる。図4(c)では、安全通信のサイクル時間(すなわち、同期信号の周期)によって下限値は既知となっている。このため、下限値をさらに下回ってアクティブ状態となった場合には、故障などの問題が推定される。図4(d)は、同期信号である外部割込信号の非アクティブ状態のときに、断線や故障等が発生したときの障害であり、アクティブ化間隔の上限値を超えたときに検出することができる。   For example, the four main problems listed in FIG. 4 can be countered by monitoring the active time and the activation interval. FIG. 4A shows a failure that occurs due to a broken or shorted signal line, a processor failure, or the like, and can be detected by whether or not the upper limit of the active time has been exceeded. FIG. 4B is due to noise or the like, and can be detected by the lower limit value of the active time. In FIG. 4C, the lower limit value is known from the cycle time of safety communication (that is, the cycle of the synchronization signal). For this reason, when the active state is further lowered below the lower limit value, a problem such as a failure is estimated. FIG. 4 (d) shows a failure when a disconnection or failure occurs when the external interrupt signal, which is a synchronization signal, is inactive, and is detected when the upper limit of the activation interval is exceeded. Can do.

本実施の形態では、外部割込信号がアクティブ状態になったときにCPUの機能として備える同期信号監視手段71が起動して、同期信号の監視及び整合性確認処理を実行して、上記の図4(a)〜(d)の不具合を検出する。図5にCPU32,42の機能構成を示す。CPUの演算処理部には、プログラムによって実現可能な同期信号監視手段71と設定値変更手段72を備え、また、内部タイマである監視タイマ1(74)、監視タイマ2(75)を備えている。また、CPUの内部メモリには、閾値設定テーブル73を保存している。   In the present embodiment, when the external interrupt signal is in an active state, the synchronization signal monitoring means 71 provided as a function of the CPU is activated to execute the synchronization signal monitoring and consistency check processing, and 4) Failures (a) to (d) are detected. FIG. 5 shows a functional configuration of the CPUs 32 and 42. The arithmetic processing unit of the CPU includes a synchronization signal monitoring unit 71 and a set value changing unit 72 that can be realized by a program, and also includes a monitoring timer 1 (74) and a monitoring timer 2 (75) that are internal timers. . A threshold setting table 73 is stored in the internal memory of the CPU.

図6に同期信号監視手段71の処理手順を示す。この処理では、CPUの内部タイマ機能(監視タイマ1,監視タイマ2)を用いる。外部割込信号は、立下りエッジ検出回路45によって、アクティブ状態への変化点が検出され、CPUへ割込信号として入力される。この割込信号によって同期信号監視手段71が起動する。同期信号監視手段71は、起動されると、監視タイマ2のタイマ値を取得する(S101)。この監視タイマ2は前回サイクルのアクティブ状態変化点からの時間を計測するタイマであり、初期値として通信サイクルの値が設定されている。   FIG. 6 shows the processing procedure of the synchronization signal monitoring means 71. In this process, the internal timer function (monitoring timer 1, monitoring timer 2) of the CPU is used. The external interrupt signal is detected by the falling edge detection circuit 45 at the change point to the active state and input to the CPU as an interrupt signal. The synchronization signal monitoring means 71 is activated by this interrupt signal. When activated, the synchronization signal monitoring means 71 acquires the timer value of the monitoring timer 2 (S101). The monitoring timer 2 is a timer that measures the time from the active state change point of the previous cycle, and a communication cycle value is set as an initial value.

そして、同期信号監視手段71は、取得したタイマ値からアクティブ化間隔は閾値(下限値)以上か否かを判定し(S102)、「YES」の場合は、監視タイマ1の動作を開始する(S103)。この監視タイマ1は、アクティブ状態の継続時間(すなわちアクティブ時間)を計測するタイマである。次に、同期信号監視手段71は、監視タイマ1は時間切れか否かを判定し(S104)、時間切れの場合は、監視タイマ1の動作を停止して(S105)、フェイスセーフ処理を実行する(S107)。  Then, the synchronization signal monitoring means 71 determines whether or not the activation interval is equal to or greater than a threshold value (lower limit value) from the acquired timer value (S102). If “YES”, the operation of the monitoring timer 1 is started ( S103). The monitoring timer 1 is a timer that measures the duration of the active state (that is, the active time). Next, the synchronization signal monitoring unit 71 determines whether or not the monitoring timer 1 has expired (S104). If the monitoring timer 1 has expired, the operation of the monitoring timer 1 is stopped (S105) and the face safe process is executed. (S107).

一方、ステップS104で、監視タイマ1が時間切れでない場合は、タイミング同期信号が非アクティブ状態か否かを判定し(S109)、非アクティブ状態でなければ、ステップS104に戻る。同期信号が非アクティブ状態ならば、監視タイマ1の動作を停止し(S110)、タイマ値を取得し(S111)、そのタイマ値(すなわちアクティブ時間)が設定範囲内か否かを判定する(S112)。設定範囲内の場合は、監視タイマ2を再起動し(S113)、内部割込みを発生させて、割込み処理を起動する(S114)。   On the other hand, if the monitoring timer 1 has not expired in step S104, it is determined whether or not the timing synchronization signal is in an inactive state (S109). If not in an inactive state, the process returns to step S104. If the synchronization signal is in an inactive state, the operation of the monitoring timer 1 is stopped (S110), a timer value is acquired (S111), and it is determined whether or not the timer value (ie, active time) is within a set range (S112). ). If it is within the set range, the monitoring timer 2 is restarted (S113), an internal interrupt is generated, and interrupt processing is started (S114).

また、ステップS102でアクティブ化間隔が閾値(下限値)以下の場合は(S102で「NO」)、フェイスセーフ処理を実行する(S108)。なお、ステップS102で、アクティブ化間隔が、閾値(上限値)を超えた場合もフェイルセーフ処理を実行するようにしても良い。   If the activation interval is equal to or smaller than the threshold value (lower limit value) in step S102 (“NO” in S102), face-safe processing is executed (S108). In step S102, the fail safe process may be executed even when the activation interval exceeds a threshold value (upper limit value).

以上の同期信号監視手段の処理によって、アクティブ時間、アクティブ化間隔とも閾値の範囲内に入っている場合、すなわち正常時には割込みを受け付けて、その割込みに対応する安全処理を実行し、アクティブ時間またはアクティブ化間隔のいずれかが閾値の範囲内に入っていない場合は、割込みを受け付けずに予め定められたフェイルセーフ処理を実行する。   As a result of the above processing of the synchronization signal monitoring means, when both the active time and the activation interval are within the threshold range, that is, in the normal state, the interrupt is accepted and the safety process corresponding to the interrupt is executed, and the active time or active If any of the conversion intervals does not fall within the threshold range, a predetermined fail-safe process is executed without accepting an interrupt.

なお、閾値の決定方法としては、たとえばインバータの運転指令周波数またはキャリア周波数、ユーザーによる動作環境の初期設定、安全通信の処理サイクルといったパラメータを元にして決定し、これら閾値を運転前に予めメモリ等に格納しておく。そして、運転時に条件に応じて切り替える仕組みを用意することで、監視・整合性確認処理による処理開始の遅延を最小化することができる。   Note that the threshold value is determined based on parameters such as the inverter operation command frequency or carrier frequency, the initial setting of the operating environment by the user, and the safety communication processing cycle. Store it in. By preparing a mechanism for switching according to conditions during operation, it is possible to minimize the delay of the process start due to the monitoring / consistency confirmation process.

たとえば通信サイクルが10ms周期のとき、図1の構成によれば、外部コントローラ2と安全制御システム1との間では、10ms周期で安全データが送受信されることになる。外部コントローラ2から送られてきた安全データは、制御装置20で受信され、安全装置30へ渡される。このとき安全装置30のプロセッサユニット31からプロセッサユニット41へ送られる受信の同期信号はおよそ10ms間隔になる。また、プロセッサ2からプロセッサ1への送信も同様に10ms周期で行われ、安全データとして異常有無などのステータスが、制御装置20を経由して、外部コントローラ2へ送られる。したがって、アクティブ化間隔の下限値は10msより小さく、処理時間のばらつき誤差を差し引いた値に設定すれば良い。アクティブ化間隔の上限値は10msより大きく、断線等の故障と判定できる境界値を設定する。アクティブ時間の下限値は基準値に対してプロセッサの遅延時間などを考慮した最小値、アクティブ時間の上限値はプロセッサの信号出力精度と短絡等の故障と見なせる境界値を設定する。なおアクティブ時間の基準値は、電動機の速度によってCPU32,CPU42間のケーブルに乗るノイズの大きさが異なってくる。速度が速くなればノイズが大きくなる傾向にあるので、予め速度指令値とアクティブ時間基準値との関係を閾値設定テーブル73として制御装置20あるいは、安全装置30の各CPU32,42に保存しておく。そして、外部コントローラ2から送られてくる速度指令値に基づいて閾値設定テーブル73を参照してアクティブ時間基準値を抽出して、上述したように一定値を加算あるいは減算することによってアクティブ時間の上下限値を演算する。一方、アクティブ化間隔は、通信サイクルによって決まるので、運転前の設定値として予め保存しておき、運転サイクルが変更になった場合は、そのサイクルに応じて上下限値を変更する。簡便な方法としては、図7に示すように、一定の指令値範囲ごとにアクティブ時間の下限値と上限値を関連付けて予め保存し、通信サイクルを基準とした下限値と上限値をアクティブ化間隔の閾値として予め保存しておくようにしても良い。   For example, when the communication cycle has a 10 ms period, according to the configuration of FIG. 1, safety data is transmitted and received between the external controller 2 and the safety control system 1 at a 10 ms period. The safety data sent from the external controller 2 is received by the control device 20 and passed to the safety device 30. At this time, the reception synchronization signal sent from the processor unit 31 to the processor unit 41 of the safety device 30 is about 10 ms apart. Similarly, transmission from the processor 2 to the processor 1 is also performed at a cycle of 10 ms, and a status such as the presence / absence of abnormality is sent as safety data to the external controller 2 via the control device 20. Accordingly, the lower limit value of the activation interval may be set to a value smaller than 10 ms and subtracting the processing time variation error. The upper limit value of the activation interval is larger than 10 ms, and a boundary value that can be determined as a failure such as disconnection is set. The lower limit value of the active time is set to a minimum value in consideration of the delay time of the processor with respect to the reference value, and the upper limit value of the active time is set to a boundary value that can be regarded as a failure such as a short circuit or the like. The reference value of the active time varies depending on the speed of the electric motor and the magnitude of noise on the cable between the CPU 32 and the CPU 42. Since the noise tends to increase as the speed increases, the relationship between the speed command value and the active time reference value is stored in advance in the control device 20 or the CPUs 32 and 42 of the safety device 30 as the threshold setting table 73. . The active time reference value is extracted by referring to the threshold setting table 73 based on the speed command value sent from the external controller 2, and the constant value is added or subtracted as described above to increase the active time. Calculate the lower limit value. On the other hand, since the activation interval is determined by the communication cycle, it is stored in advance as a set value before operation, and when the operation cycle is changed, the upper and lower limit values are changed according to the cycle. As a simple method, as shown in FIG. 7, the lower limit value and the upper limit value of the active time are stored in advance in association with each predetermined command value range, and the lower limit value and the upper limit value based on the communication cycle are stored in the activation interval. The threshold value may be stored in advance.

図8は、CPU32,42の設定値変更手段72の処理手順を示すフローチャートである。電力変換器60の指令周波数、または通信サイクルが変更されたときのアクティブ時間、アクティブ化間隔の閾値の変更手順を示す。   FIG. 8 is a flowchart showing the processing procedure of the setting value changing means 72 of the CPUs 32 and 42. The procedure for changing the command frequency of the power converter 60, or the active time when the communication cycle is changed, and the threshold of the activation interval is shown.

この図に示すように、設定値変更手段72は、電力変換器60への指令周波数等の設定変更の際の内部割込によって起動する。設定値変更手段72は、起動されると、指令周波数の変更か否かを判定し、指令周波数の変更の場合は、閾値設定テーブルに格納されているアクティブ時間の閾値の上下限値を抽出して、図6のステップS112の判定処理の閾値として設定する。ステップS201で「NO」の場合は、設定値変更手段72は、通信サイクルが変更になったか否かを判定し、通信サイクルが変更になった場合は、閾値設定テーブル73に格納されているアクティブ化間隔の閾値の上下限値を抽出して、図6のステップS102の判定処理の閾値として設定する。   As shown in this figure, the set value changing means 72 is activated by an internal interruption at the time of changing the setting of the command frequency to the power converter 60. When activated, the set value changing means 72 determines whether or not the command frequency is changed. When the command frequency is changed, the upper and lower limit values of the threshold value of the active time stored in the threshold value setting table are extracted. Thus, it is set as the threshold value for the determination process in step S112 of FIG. If “NO” in the step S201, the setting value changing unit 72 determines whether or not the communication cycle has been changed, and if the communication cycle has been changed, the active value stored in the threshold setting table 73 is determined. The upper and lower limit values of the threshold of the conversion interval are extracted and set as the threshold values for the determination process in step S102 of FIG.

本実施の形態によれば、通信サイクルによって、タイミング同期のアクティブ化間隔を設定・変更し、指令周波数によって、アクティブ時間の設定・変更をするので、ノイズに強いタイミング同期手段を実現することができ、信頼性の高い安全制御システムを構築することができる。   According to the present embodiment, the timing synchronization activation interval is set / changed according to the communication cycle, and the active time is set / changed according to the command frequency, so that it is possible to realize a noise synchronization resistant timing synchronization means. A highly reliable safety control system can be constructed.

次の本発明の第2の実施の形態を説明する。
第1の実施の形態は、CPUのソフトウェア処理によって、アクティブ時間、アクティブ化間隔を監視するものであるが、本実施の形態は、外付けの回路によってアクティブ時間、アクティブ化間隔を監視するものである。 Next, a second embodiment of the present invention will be described.
In the first embodiment, the active time and the activation interval are monitored by CPU software processing. In this embodiment, the active time and the activation interval are monitored by an external circuit. is there.

本実施の形態によるタイミング同期手段40の構成を図2、図9に示す。
この図において、タイミング同期手段40は、タイミング同期信号発生回路33,43と外部割込みの信号線を通して、同回路と夫々つながるタイミング同期信号受信回路44,34から構成されている。回路33と回路43、および回路34と回路44はそれぞれ同じ回路構成であるので、以下、タイミング同期信号発生回路33とタイミング同期信号受信回路44を例に説明する。 The configuration of the timing synchronization means 40 according to the present embodiment is shown in FIGS.
In this figure, the timing synchronization means 40 is composed of timing synchronization signal generating circuits 33 and 43 and timing synchronization signal receiving circuits 44 and 34 respectively connected to the same circuit through signal lines for external interrupts. Since the circuit 33 and the circuit 43 and the circuit 34 and the circuit 44 have the same circuit configuration, the timing synchronization signal generation circuit 33 and the timing synchronization signal reception circuit 44 will be described below as an example.

タイミング同期信号発生回路33は、CPU32のアドレスをデコードするデコード回路35、デコード回路35の出力と書き込み信号との論理積を演算するAND回路36、およびラッチ回路37から構成されている。ラッチ回路37は、DFF(D型フリップフロップ)で実現されD入力には、データのあるビット(たとえばLSB)が接続され、クロック入力(CK)には、AND回路36の出力が接続される。ラッチ回路37の出力は外部割込信号として、タイミング同期信号受信回路44へ伝送される。   The timing synchronization signal generation circuit 33 includes a decoding circuit 35 that decodes the address of the CPU 32, an AND circuit 36 that calculates a logical product of the output of the decoding circuit 35 and a write signal, and a latch circuit 37. The latch circuit 37 is realized by a DFF (D-type flip-flop), and a bit (for example, LSB) having data is connected to the D input, and an output of the AND circuit 36 is connected to the clock input (CK). The output of the latch circuit 37 is transmitted to the timing synchronization signal receiving circuit 44 as an external interrupt signal.

次に、本実施の形態によるタイミング同期信号受信回路44の構成を図9を用いて説明する。
図9のタイミング同期信号受信回路44において、外部割込信号は立下りエッジ検出回路45と立上りエッジ検出回路46にそれぞれ入力される。立下りエッジ検出回路45は外部割込信号のアクティブ状態への変化点を検出する回路で、エッジを検出するとワンショットのパルスを発生させる。立上りエッジ検出回路46は外部割込信号の非アクティブ状態への変化点を検出する回路で、変化点を検出するとワンショットのパルスを発生させる。 Next, the configuration of the timing synchronization signal receiving circuit 44 according to the present embodiment will be described with reference to FIG.
In the timing synchronization signal receiving circuit 44 of FIG. 9, the external interrupt signal is input to the falling edge detection circuit 45 and the rising edge detection circuit 46, respectively. The falling edge detection circuit 45 is a circuit that detects the change point of the external interrupt signal to the active state. When an edge is detected, a one-shot pulse is generated. The rising edge detection circuit 46 detects a change point of the external interrupt signal to the inactive state, and generates a one-shot pulse when the change point is detected.

立下りエッジ検出回路45の出力は、ラッチ回路47とワンショット回路56へそれぞれ入力される。ラッチ回路47は、ワンショットパルスをラッチする回路であり、ラッチされた出力は、タイマ回路49のイネーブル端子(EN)に接続される。タイマ回路49では、イネーブル端子の入力が「1」のときにシステムの基準クロックによって計数され、計数結果であるタイマ値が出力される。このタイマ値は、比較回路53に入力される。   The output of the falling edge detection circuit 45 is input to the latch circuit 47 and the one-shot circuit 56, respectively. The latch circuit 47 is a circuit that latches the one-shot pulse, and the latched output is connected to the enable terminal (EN) of the timer circuit 49. In the timer circuit 49, when the input of the enable terminal is “1”, the timer circuit 49 counts with the reference clock of the system and outputs a timer value as a counting result. This timer value is input to the comparison circuit 53.

比較回路53は、入力されたタイマ値を閾値格納手段51に格納されているアクティブ時間の下限値および上限値とそれぞれ比較して、その比較結果を出力する。たとえば、タイマ値が下限値と上限値の間にあるときは、「下限値≦x≦上限値」の端子から「1」が出力される。なお、閾値格納手段51は、たとえば複数のDFFによって構成することができ、CPUから書き込まれた値がラッチされている。   The comparison circuit 53 compares the input timer value with the lower limit value and the upper limit value of the active time stored in the threshold value storage means 51, and outputs the comparison result. For example, when the timer value is between the lower limit value and the upper limit value, “1” is output from the terminal of “lower limit value ≦ x ≦ upper limit value”. The threshold value storage means 51 can be constituted by a plurality of DFFs, for example, and values written from the CPU are latched.

比較回路53の出力は、DFFで構成されるラッチ回路55のD入力端子に繋がっている。また、ラッチ回路55のクロック端子(CK)は、立上りエッジ検出回路46の出力と繋がっている。すなわち、ラッチ回路55によって、比較回路53の「下限値≦x≦上限値」の出力が、立上りエッジ検出回路46のパルスでラッチされ、ラッチ回路55の出力が割込信号としてCPUに入力される。   The output of the comparison circuit 53 is connected to the D input terminal of the latch circuit 55 composed of DFF. The clock terminal (CK) of the latch circuit 55 is connected to the output of the rising edge detection circuit 46. That is, the output of “lower limit value ≦ x ≦ upper limit value” of the comparison circuit 53 is latched by the pulse of the rising edge detection circuit 46 by the latch circuit 55, and the output of the latch circuit 55 is input to the CPU as an interrupt signal. .

また、ラッチ回路47の出力は、タイマ回路48のイネーブル端子(EN)に入力され、この端子が「1」の間、タイマ回路48は、基準クロックによってカウントアップされる。そして、タイマ回路48の出力であるタイマ値は、比較回路52に入力されると共に、CPUからも読み込まれるようになっている。比較回路52は、入力されたタイマ値を閾値格納手段50に格納されているアクティブ化間隔の下限値および上限値とそれぞれ比較して、その比較結果を出力する。たとえば、タイマ値が下限値と上限値の間にあるときは、「下限値≦x≦上限値」の端子から「1」が出力され、タイマ値が上限値を超えている場合は、「x>上限値」の端子から「1」が出力される。「x>上限値」の端子は、DFFで構成されるラッチ回路54に接続され、ラッチ回路54のクロック入力(CK)には基準クロックが入力される。ラッチ回路54の出力は、異常検出信号としてCPUに入力される。   The output of the latch circuit 47 is input to an enable terminal (EN) of the timer circuit 48, and the timer circuit 48 is counted up by the reference clock while this terminal is “1”. The timer value output from the timer circuit 48 is input to the comparison circuit 52 and is also read from the CPU. The comparison circuit 52 compares the input timer value with the lower limit value and the upper limit value of the activation interval stored in the threshold value storage means 50, and outputs the comparison result. For example, when the timer value is between the lower limit value and the upper limit value, “1” is output from the terminal of “lower limit value ≦ x ≦ upper limit value”, and when the timer value exceeds the upper limit value, “x” “1” is output from the terminal of “> upper limit value”. The terminal of “x> upper limit value” is connected to the latch circuit 54 configured by DFF, and the reference clock is input to the clock input (CK) of the latch circuit 54. The output of the latch circuit 54 is input to the CPU as an abnormality detection signal.

比較回路52の「下限値≦x≦上限値」の端子は、ワンショット回路56の入力(A入力)に繋がり、ワンショット回路56の他の入力(B入力)には、立下りエッジ検出回路45の出力が繋がっている。ワンショット回路56は、A入力、B入力ともに「1」のときに一定幅のパルスを出力する回路である。このワンショット回路56の出力は、タイマ回路48,49、ラッチ回路47のリセット端子に繋がっている。また、ラッチ回路54,55のクリア端子(CL)は、CPUと繋がり、CPU回路の書き込み動作によってリセットされるようになっている。なお、ラッチ回路47のクロック端子(CK)の入力は、リセット端子に入力されるリセット信号の解除タイミングよりも若干遅くするなど必要により、各信号のタイミング調整を行うものとする。   A terminal of “lower limit value ≦ x ≦ upper limit value” of the comparison circuit 52 is connected to an input (A input) of the one-shot circuit 56, and a falling edge detection circuit is connected to the other input (B input) of the one-shot circuit 56. 45 outputs are connected. The one-shot circuit 56 is a circuit that outputs a pulse having a constant width when both the A input and the B input are “1”. The output of the one-shot circuit 56 is connected to the reset terminals of the timer circuits 48 and 49 and the latch circuit 47. The clear terminals (CL) of the latch circuits 54 and 55 are connected to the CPU, and are reset by a write operation of the CPU circuit. Note that the input of the clock terminal (CK) of the latch circuit 47 adjusts the timing of each signal as necessary, for example, slightly later than the reset timing of the reset signal input to the reset terminal.

上記の構成を有するタイミング同期手段の40の動作を説明する。
タイミング同期信号発生回路33は、特定のアドレスへのデータに「1」「0」を書き込むことによって、図3に示す波形になるように外部割込信号を発生させる。 The operation of the timing synchronization means 40 having the above configuration will be described.
The timing synchronization signal generation circuit 33 generates an external interrupt signal so as to have the waveform shown in FIG. 3 by writing “1” and “0” in data to a specific address.

すなわち、CPUは、通信サイクルに連動して送信タイミングになったときに、「1」を書き込んで、外部割込信号をアクティブ状態にする。そして、閾値設定テーブル73を参照して、現在の指令周波数に対応する時間後に「0」を書き込んで非アクティブ状態にする。この動作を送信タイミングごとに繰り返す。   That is, the CPU writes “1” when the transmission timing comes in conjunction with the communication cycle, and activates the external interrupt signal. Then, with reference to the threshold setting table 73, “0” is written after the time corresponding to the current command frequency to make it inactive. This operation is repeated for each transmission timing.

タイミング同期信号受信回路44では、正常な外部割込信号の場合は、立下りエッジ検出回路45で立ち下がりエッジを検出すると、ラッチ回路47の出力が「1」となり、タイマ回路49が計数を開始する。そして、タイマ値がアクティブ時間の下限値と上限値の間になったときに「下限値≦x≦上限値」の端子が「1」を出力し、またこのタイミングで非アクティブ状態になるので、立上りエッジ検出回路46からパルスが出力され、ラッチ回路55の出力が「1」になり、割込信号が発生する。   In the timing synchronization signal receiving circuit 44, in the case of a normal external interrupt signal, when the falling edge is detected by the falling edge detection circuit 45, the output of the latch circuit 47 becomes “1” and the timer circuit 49 starts counting. To do. And, when the timer value is between the lower limit value and the upper limit value of the active time, the terminal of “lower limit value ≦ x ≦ upper limit value” outputs “1”, and at this timing, it becomes inactive. A pulse is output from the rising edge detection circuit 46, the output of the latch circuit 55 becomes “1”, and an interrupt signal is generated.

また、次の通信サイクルでは、アクティブ化間隔が上限値と下限値の間にあるときに外部割込信号がアクティブ状態になるため、ワンショット回路56からリセット信号が出力され、ラッチ回路47、タイマ回路48,49がリセットされ、立下りエッジ検出回路45の出力パルスによって再起動する。このとき、比較回路52の「x>上限値」は「1」にならず、ラッチ回路54の出力も「1」にならないので、異常検出信号は発生しない。   In the next communication cycle, since the external interrupt signal becomes active when the activation interval is between the upper limit value and the lower limit value, a reset signal is output from the one-shot circuit 56, and the latch circuit 47, timer The circuits 48 and 49 are reset and restarted by the output pulse of the falling edge detection circuit 45. At this time, “x> upper limit value” of the comparison circuit 52 does not become “1”, and the output of the latch circuit 54 does not become “1”, so that no abnormality detection signal is generated.

CPUでは、ラッチ回路55から出力される割込信号によって、割込み処理が起動すると、割込み処理においてラッチ回路55にリセット信号を出力して割込みを解除すると共に、タイマ回路48から出力されるタイマ値を読み込む。これにより、割込みがアクティブ状態になってからの時間を検知することができる。割込み処理では、このタイマ値をたとえば減速指令を演算するときに、現在時刻をタイマ値で補正して、アクティブ状態になった時点からの速度として演算することによって、CPU32とCPU42との間の減速指令の誤差を小さくすることができる。また、指令周波数によって変動するアクティブ時間の誤差を精度良く補正することができる。   In the CPU, when the interrupt processing is started by the interrupt signal output from the latch circuit 55, the reset signal is output to the latch circuit 55 in the interrupt processing to cancel the interrupt, and the timer value output from the timer circuit 48 is set. Read. Thereby, it is possible to detect the time from when the interrupt becomes active. In the interrupt processing, for example, when calculating a deceleration command, the current time is corrected with the timer value and calculated as a speed from the time when the CPU enters the active state. The command error can be reduced. Further, it is possible to accurately correct an error in the active time that varies depending on the command frequency.

<図4(a)の場合>
アクティブ時間が上限値を超えると、比較回路52の「x>上限値」の出力端子が「1」となり、この結果ラッチ回路54の出力も「1」となり、CPUに異常が通知される。CPUは、割込みによって異常状態を検知すると、フェイルセーフ処理を実行すると共に、リセット信号を出力してラッチ回路54をリセットする。このとき、比較回路53では、タイマ値が上限値よりも大きくなるので、「下限値≦x≦上限値」の端子は「1」にならず、ラッチ回路55の出力も「1」にならないので、割込信号は発生しない。 <In the case of FIG. 4A>
When the active time exceeds the upper limit value, the output terminal of “x> upper limit value” of the comparison circuit 52 becomes “1”. As a result, the output of the latch circuit 54 also becomes “1”, and the CPU is notified of the abnormality. When the CPU detects an abnormal state by interruption, the CPU executes fail-safe processing and outputs a reset signal to reset the latch circuit 54. At this time, in the comparison circuit 53, since the timer value is larger than the upper limit value, the terminal of “lower limit value ≦ x ≦ upper limit value” is not “1”, and the output of the latch circuit 55 is not “1”. No interrupt signal is generated.

<図4(b)の場合>
アクティブ時間が下限値未満の場合は、比較回路53の「下限値≦x≦上限値」の端子は「1」にならず、ラッチ回路55の出力も「1」にならないので、割込信号は発生しない。また、アクティブ化間隔の上下限値の範囲内に無い場合はワンショット回路56からリセット信号は出力されないので、タイマ回路48,49は計数を継続する。これにより
瞬時のノイズによる誤動作を防止することができる。 <In the case of FIG. 4B>
When the active time is less than the lower limit value, the terminal of “lower limit value ≦ x ≦ upper limit value” of the comparison circuit 53 is not “1”, and the output of the latch circuit 55 is not “1”. Does not occur. If the activation interval is not within the range of the upper and lower limit values, the reset signal is not output from the one-shot circuit 56, so that the timer circuits 48 and 49 continue counting. Thereby, malfunction due to instantaneous noise can be prevented.

<図4(c)の場合>
アクティブ化間隔が下限値未満の場合は、ワンショット回路56からリセット信号は出力されず、タイマ回路48,49の計数が続行する。一過性のノイズであって瞬時に復帰をすれば、次の通信サイクルでリセット信号が出力され、アクティブ時間の計数が開始される。継続故障の場合は、比較回路52の「x>上限値」端子が「1」となり、ラッチ回路54から異常検出信号が出力される。 <In the case of FIG. 4C>
When the activation interval is less than the lower limit value, the reset signal is not output from the one-shot circuit 56, and the timer circuits 48 and 49 continue counting. If it is a transient noise and returns instantly, a reset signal is output in the next communication cycle, and counting of the active time is started. In the case of a continuous failure, the “x> upper limit” terminal of the comparison circuit 52 becomes “1”, and an abnormality detection signal is output from the latch circuit 54.

<図4(d)の場合>
断線等により、外部割込信号の非アクティブ状態が上限値を超えて継続した場合は、図4(a)の場合と同様に、比較回路52の「x>上限値」の出力端子が「1」となり、この結果ラッチ回路54の出力も「1」となり、CPUに異常が通知される。 <In the case of FIG. 4D>
When the inactive state of the external interrupt signal continues beyond the upper limit due to disconnection or the like, the output terminal of “x> upper limit” of the comparison circuit 52 is “1” as in the case of FIG. As a result, the output of the latch circuit 54 also becomes “1”, and the CPU is notified of the abnormality.

本実施の形態によれば、CPUの外付け回路によってタイミング同期手段を実現するので、CPUの処理負荷を低減させることができる。また、外部割込みがアクティブ状態になった時点からの経過時間をCPUへ読み込み可能にして、読み取った経過時間をもとに安全信号の出力タイミングを調整することにより、二重化されたCPU間の同期処理の精度を向上させることができる。   According to the present embodiment, since the timing synchronization means is realized by an external circuit of the CPU, the processing load on the CPU can be reduced. In addition, by making it possible for the CPU to read the elapsed time from when the external interrupt becomes active, and adjusting the output timing of the safety signal based on the read elapsed time, the synchronization processing between the duplicated CPUs Accuracy can be improved.

1 安全制御システム
2 外部コントローラ
3 ネットワーク
4 電動機
10 通信装置
20 制御装置
30 安全装置
31,41 プロセッサユニット
32,42 CPU(プロセッサ)
33,43 タイミング同期信号発生回路
34,44 タイミング同期信号受信回路
35 デコード回路
36 AND回路
37,47,54,55 ラッチ回路
40 タイミング同期手段
45 立下りエッジ検出回路
46 立上りエッジ検出回路
48,49 タイマ回路
50,51 閾値格納手段
52,53 比較回路
56 ワンショット回路
60 電力変換器
71 同期信号監視手段
72 設定値変更手段
73 閾値設定テーブル DESCRIPTION OF SYMBOLS 1 Safety control system 2 External controller 3 Network 4 Electric motor 10 Communication apparatus 20 Control apparatus 30 Safety apparatus 31,41 Processor unit 32,42 CPU (processor)
33, 43 Timing synchronization signal generating circuit 34, 44 Timing synchronization signal receiving circuit 35 Decoding circuit 36 AND circuit 37, 47, 54, 55 Latch circuit 40 Timing synchronization means 45 Falling edge detection circuit 46 Rising edge detection circuit 48, 49 Timer Circuits 50 and 51 Threshold storage means 52 and 53 Comparison circuit 56 One-shot circuit 60 Power converter 71 Synchronization signal monitoring means 72 Setting value changing means 73 Threshold setting table

Claims (3)

ネットワークを介して外部コントローラと通信データの送受信を行う通信装置と、該通信装置を経由して前記外部コントローラから送られてくる通信データを受信し、該通信データに基づいて電力変換器へ制御信号を出力する制御装置と、該通信データに基づいて前記電力変換器への停止指令の出力その他の安全に関する動作を実行する安全機能を、第一のプロセッサと第二のプロセッサによって実現する安全装置と、を有する安全制御システムであって、
前記第一のプロセッサと前記第二のプロセッサは、周期的に伝送する安全データの送信タイミングまたは受信タイミングで発生させる相手側プロセッサへの外部割込信号を同期信号として相互に転送するタイミング同期手段を備え、
前記タイミング同期手段は、同期信号によって発生する割り込みがアクティブ状態にあるアクティブ時間と、該割込信号の発生サイクルであるアクティブ化間隔とを監視し、前記アクティブ時間および前記アクティブ化間隔が、設定された閾値範囲にあるときのみ前記外部割込信号を受け付けて予め定められた安全処理を行うことを特徴とする安全制御システム。 A communication device that transmits / receives communication data to / from an external controller via a network, receives communication data sent from the external controller via the communication device, and receives a control signal to a power converter based on the communication data And a safety device that implements a safety function that outputs a stop command to the power converter and other safety-related operations based on the communication data by the first processor and the second processor A safety control system comprising:
The first processor and the second processor include timing synchronization means for mutually transferring, as a synchronization signal, an external interrupt signal to a counterpart processor that is generated at a transmission timing or a reception timing of safety data that is periodically transmitted. Prepared,
The timing synchronization means monitors an active time in which an interrupt generated by a synchronization signal is in an active state and an activation interval that is a generation cycle of the interrupt signal, and the active time and the activation interval are set. A safety control system that receives the external interrupt signal and performs a predetermined safety process only when it is within a predetermined threshold range. 前記アクティブ化間隔の閾値は、運転動作前に予め設定され、前記アクティブ時間の閾値は、電力変換器の動作状態に応じて設定されることを特徴とする請求項1に記載の安全制御システム。   The safety control system according to claim 1, wherein the activation interval threshold is set in advance before the driving operation, and the active time threshold is set in accordance with an operation state of the power converter. 前記割込信号がアクティブ状態になった時点からの時間を計測するタイマを備え、前記安全処理は、該タイマの値によって、減速時間または停止までの時間を補正することを特徴とする請求項1または2に記載の安全制御システム。   2. A timer for measuring a time from a point in time when the interrupt signal is in an active state is provided, and the safety process corrects a deceleration time or a time to stop by a value of the timer. Or the safety control system of 2.
JP2010127372A 2010-06-03 2010-06-03 Safety control system Expired - Fee Related JP5560915B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010127372A JP5560915B2 (en) 2010-06-03 2010-06-03 Safety control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010127372A JP5560915B2 (en) 2010-06-03 2010-06-03 Safety control system

Publications (2)

Publication Number Publication Date
JP2011253392A JP2011253392A (en) 2011-12-15
JP5560915B2 true JP5560915B2 (en) 2014-07-30

Family

ID=45417273

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010127372A Expired - Fee Related JP5560915B2 (en) 2010-06-03 2010-06-03 Safety control system

Country Status (1)

Country Link
JP (1) JP5560915B2 (en)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2534909Y2 (en) * 1990-12-14 1997-05-07 日本電気ホームエレクトロニクス株式会社 Arithmetic control unit

Also Published As

Publication number Publication date
JP2011253392A (en) 2011-12-15

Similar Documents

Publication Publication Date Title
JP5494255B2 (en) Safety control system
US9783138B2 (en) Vehicle control device
JP2013061863A (en) Electronic control device
CN110690894A (en) Clock failure safety protection method and circuit
JP6222362B2 (en) Power converter
JP2020078107A (en) Motor control device
CN112099412B (en) Safety redundancy architecture of micro control unit
US10924371B2 (en) Method for monitoring a first node in a communications network and monitoring system
KR101560497B1 (en) Method for controlling reset of lockstep replicated processor cores and lockstep system using the same
JP2019128638A (en) Duplex control system
US20190289524A1 (en) Circuit for monitoring a data processing system
JP5560915B2 (en) Safety control system
JP5195075B2 (en) Bidirectional bus control circuit
JP2006209624A (en) Dual information processing system
EP3655841B1 (en) Method to synchronize integrated circuits fulfilling functional safety requirements
JP2019071001A (en) Safety controller
JP2011227786A (en) Microcomputer control system, charging device using the same and photovoltaic power supply system
JP2013156732A (en) Control device and control method for elevator
US10824582B2 (en) Communication apparatus, communication method, program, and communication system
US20170155546A1 (en) Duplex control device and duplex system
US10887074B1 (en) Full duplex communication using edge timing in a signal
US20230001939A1 (en) Vehicle mounted electronic control apparatus
JP5985030B1 (en) Electronic control device and control method for electronic control device
CN118331026A (en) Dual-computer redundancy communication method and system
CN115168083A (en) Functional board card, data verification method, data verification device and electronic equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130415

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140423

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140513

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140526

R150 Certificate of patent or registration of utility model

Ref document number: 5560915

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees