WO2002098065A1 - Systeme reseau de securite, esclaves de securite, controleur de securite, procede de communication, procede de collecte d'information et procede de surveillance dans un reseau de securite - Google Patents

Description

明 細 書 安全ネッ トワークシステム及び安全スレーブ並びに安全コントローラ及び通信 方法並びに安全ネッ トワークシステムにおける情報収集方法及びモニタ方法 技術分野

この発明は、 安全ネッ トワークシステム及び安全スレーブ並びに安全コント口 ーラ及ぴ通信方法並びに安全ネッ トワークシステムにおける情報収集方法及びモ 二夕方法に関するものである。 背景技術

ファク トリーオートメーション （以下、 「F A」 と称する） で用いられるプロ グラマブルコントローラ （以下、 「P L C」 と称する） は、 スィッチやセンサな どの入力機器から O N/ 0 F F情報を入力し、 ラダー言語などで書かれたシーケ ンスプログラム （ユーザプログラムとも称する） に沿って論理演算を実行し、 求 められた演算結果に従い、 リレーやバルブ， ァクチユエ一夕などの出力機器に〇 0 F F情報の信号を出力することで制御が実行される。

ところで、 P L Cと、 入力機器並びに出力機器との接続形態は、 P L Cに直接 接続する場合もあれば、 ネッ トワークを介して接続する場合もある。 係るネッ ト ワークで接続されたネッ トワークシステムを構築した場合、 上記 0 N/ 0 F F情 報の送受をネッ トワークを経由して行うことになる。 このとき、 通常、 P L C側 がマスタとなり、 機器側がスレーブとなるマスタスレーブ方式で情報の伝送が行 われる。

一方、 最近では P L Cによる制御においても、 フェイルセーフ （安全） システ ムが導入されつつある。 つまり、 P L Cや各機器自体はもちろんネッ トワークも 安全機能を組み込まれたもので構成される。 ここで安全機能とは、 安全であるこ とを確認し、 出力を行う機能である。 そして、 安全システムは、 緊急停止スイツ チが押下されたり、 ライ トカーテンなどのセンサが人 （身体の一部） の進入を検 出した場合等のネッ トワークシステムが危険状態になった場合に、 フェイルセ一 フが働き、 システムが安全側になって、 動作が停止するようにするものである。 換言すると、 上記した安全機能により、 安全であることが格納されたときのみ出 力し、 機械を動かすシステムである。 よって、 安全が確認できない場合には、 機 械が停止する。

上記した安全機能を備えたネッ トワークシステム （安全ネッ トワークシステム ) の場合、 異常， 危険状態その他の安全でない状態が発生した時から、 安全動作 (装置の停止等） を実行するまでに要する最大応答時間を一定にする必要がある 。 すなわち、 良く知られているように、 マスタースレーブ方式で情報伝送をする 場合、 図 1 ( a ) に示すように、 マスタからの要求に従って各スレーブが順にマ スタに安全応答を返すようになる。 図示の例では、 ネッ トワークシステムを構成 するスレーブは 3つある。 なお、 ここで扱う O N/ O F F情報は、 正常 （安全） ノ異常 （危険） という安全制御用の I Z O情報である。 最大応答時間は、 1回の 通信サイクルにかかる時間が保証される。

一方、 定期的或いは非定期的に、 上記安全情報以外のスレーブの状態や通電時 間や動作回数などのスレーブ並びにスレーブに接続された機器を監視するための' 補完的な情報 （非安全情報） を収集したいという要求がある。 係る非安全情報を 取得することによ り、 例えば機器の寿命判定が行え、 実際に故障を生じてシステ ムが停止する前に交換することができる。

しかし、 上記のように、 非安全情報を送る場合、 例えば図 1 ( a ) に示す例に おいそ i信サイクル 1では全て非安全情報を送信し、 次の通信サイクル 2では全 て安全情報を送信することが考えられる。 しかし、 係る方式によると、 通信サイ クル 1の期間は安全情報を送ることができないので、 結局最大応答時間は通信サ イタルの 2倍の長さとなる。

また、 別の方式としては、 図 1 ( b ) に示すように、 マスタからの要求に対し 、 安全情報を送信する安全応答に非安全情報を付加した情報を返すこともできる 。 この場合でも、 図 1 ( a ) に示す安全応答のみ返す場合に比べると、 1回の通 信サイクルに要する時間が長くなる。 従って、 いずれの方式をとつても、 最大応 答時間を短く したいという要求を満足することができなかった。

この発明は、 システム稼働中に安全信号以外の情報をネッ トワークを介して送 受信しても、 本来の安全信号の応答時間が遅れることの無い安全ネッ トヮ一クシ ステム及び安全スレーブ並びに安全コントロ一ラ及び通信方法並びに安全ネッ ト ワークシステムにおける情報収集方法及ぴモニタ方法を提供することを目的とす る。 発明の開示

上記した目的を達成するため、 この発明による安全ネッ トワークシステムは、 安全コントローラと、 安全スレーブとが安全ネッ トワークを介して接続されて構 築される。 ここで、 安全ネッ トワークシステムとは、 ネッ トワークシステム内に おいて異常 ·危険など安全状態でなくなった場合に、 フヱイルセーフ機能が働き 、 異常 '危険回避をすることができるものである。 そして、 安全コントローラ， 安全スレーブ並びに安全ネットワークは、 それぞれフェイルセーフ処理に対応す る装置類である。

そして、 前記安全スレーブは、 安全状態にあるか否かを特定する安全情報を送 信する安全情報送信機能と、 前記安全情報を含まない非安全情報を送信する非安 全情報送信機能を有し、 前記非安全情報送信機能は、 前記安全スレーブ力 ^?安全状 態であることを条件に非安全情報を送信するように構成した。

そして、 好ましくは、 前記安全スレーブは、 前記非安全情報を送信するタィミ ングの際に安全でないと判断した場合には、 前記非安全情報を送ることなく前記 安全を送信する機能を設けることである。

また、 この発明による通信方法は、 安全コン トローラと、 安全スレーブとが安 全ネッ トワークを介して接続されて構築される安全ネッ トワークシステムにおけ る通信方法であって、 前記安全スレーブは、 所定のタイミ ングで前記安全ネッ ト ワークを介して前記安全コントローラに向けて、 安全状態にあるか否かを特定す る安全情報と、 前記安全情報を含まない非安全情報のいずれかの情報を送信する 処理を行う。 このとき、 前記非安全情報を送信する処理は、 前記安全スレーブが 安全状態であることを条件に行う。

また、 本発明に係る安全スレーブでは、 安全状態にあるか否かを特定する安全 情報を送信する安全情報送信機能と、 前記安全情報を含まない非安全情報を送信 する非安全情報送信機能を有し、 前記非安全情報送信機能は、 安全状態であるこ とを条件に非安全情報を送信するように構成した。 ここで、 安全スレーブにおけ る各送信機能は、 実施の形態では M P U 2 3により実現されている。

さらにまた、 本発明に係る安全コントローラでは、 前記安全スレーブから受信 した安全情 の内容を解析し、 安全状態に無いと判断した場合に所定の処理を実 行するフェイルセーフ処理機能と、 前記非安全情報を受信した場合には、 送信元 の前記安全スレ一ブは安全状態にあると推定する機能を備えることである。

本発明によれば、 非安全情報が送信されるということは、 安全スレーブの安全 が保障されることを意味する。 従って、 安全スレーブが安全状態である場合には 、 安全コン トローラは、 安全情報を受信することによ り安全スレーブが安全状態 にあることを直接確認できる。 そして、 非安全情報を受信することにより間接的 に安全スレーブが安全状態にあることを確認できる。 また、 仮に非安全状態を送 信するタイ ミ ングのときに安全状態でなくなると、 安全でないと言う安全情報 （ 危険 .異常） を送信するので、 安全状態でなくなった場合にフヱィルセーフが起 動するまでの応答時間は、 延ばさずに済む。

つまり、 ユーザが必要とする非安全情報の更新時間を設定することができる。 そして、 非安全情報を送信したとしても安全状態が保障されているので、 毎回安 全情報を送信する場合に比べ、 応答時間が長くならない。

換言すると、 安全ネッ トワークのトラフィ ックに影響を与えず、 非安全情報を スレーブ （安全スレーブ） からマスタ （安全コントローラ） に通知できる。 よつ て、 非安全情報の更新時間をユーザが設定できるので、 ユーザアプリに合わせた 管理が可能となる。 また、 システムを停止することなく、 非安全情報の収集が可 能なため、 機器のモニタがオンラインで可能となる。

また、 非安全情 の送信タイ ミングを制御するのは、 安全コントローラ側と安 全スレーブ側の何れでも良い。 具体的には、 前者の場合には、 例えば、 安全コン トローラに、 非安全情報の送信要求を発するタイミングを制御する非安全情報要 求制御手段を設けることにより実現できる。 この場合に対応する安全スレーブと しては、 受信した前記安全コントローラからの要求が、 安全情報の要求か非安全 情報の要求かを判断し、 前記安全情報の要求の場合には、 安全情報を送信し、 前 記非安全情報の要求の場合には、 自己が安全状態にあるときは前記非安全情報を 送信し、 安全状態にないときは安全情報を送信するように構成することである。 一方、 後者の場合には、 安全スレーブに、 非安全情報を送信する送信タイミ ング を制御する非安全情報送信制御手段を設け、 前記送信タイミ ングの際に、 安全状 態にあることを条件に前記非安全情報を送信するように構成することである。 ま た、 送信タイミングをいくつにするかの設定は、 製造時にメーカが設定していて も良いし、 ユーザが設定できるようにしても良い。

安全情報とは、 少なく も安全スレーブ及びまたはそれに接続された安全機器の 状態が安全状態か否かの情報を含むものである。 もちろん、 それ以外の情報を含 むことはかまわない。 これに対し、 非安全情報は、 上記安全情報を含まない各種 の情報であり、 例えば、 リレーの寿命， 調査結果， 通電時間， 動作回数， 型情報 等がある。 ここで、 「通電時間」 や 「動作回数」 などは、 例えば、 それぞれタイ マやカウンタで計時 .計数して求め、 求めた現時点の数値を非安全情報として送 'る。 また、 「リレーの寿命」 とは寿命予知である。 つまり、 ここでいう非安全情 報としてのリレーの寿命は、 寿命が来て安全動作ができない旨の情報ではなく （ この時は安全情報扱いとなる） 、 安全に動作するがメ ンテナンス （交換， 調整手 入れなど） をする時期が近づいてきている旨の予知的な情報である。 「調査結果 」 は、 たとえば統計的に予知或いは検出するような旨の情報である。 つまり、 ス レ一ブ側で安全かどうかを自己診断した結果ではない。 この自己診断結果は安全 情報として送られる。 なお、 非安全情報としての検査結果の例としては、 安全に 動作する力⁵、 ①もう少しで寿命が来そうだとか、 ②悪い環境で使用されていると か、 ③温度④振動状態⑤供給電圧⑥酷使状態かどうか…などの情報がある。 係る 情報を知ることで、 早めにメンテナンス （交換， 調整手入れなど） をすることが でき、 寿命が来て動かなくなり、 異常の影響が大きくなることが防止できる。 さらに本発明に係る安全ネッ.トワークシステムにおける情報収集方法は、 安全 コントローラと、 安全スレーブとが安全ネッ トワークを介して接続されて構築さ れる安全ネッ トワークシステムを前提とする。 そして、 前記安全スレーブは、 安 全状態にあるか否かを特定する安全情報を送信する安全情報送信機能と、 前記安 全情報を含まない非安全情報を送信する非安全情報送信機能を有し、 前記非安全 情報送信機能は、 前記安全スレーブが安全状態であることを条件に非安全情報を 送信するものであり、 前記安全スレーブが、 前記安全コントローラに向けて情報 を送信するに際し、 前記安全情報と前記非安全情報のいずれを送信するかを決定 し、 次いで、 その決定した情報を前記安全ネッ トワークを介して送信し、 前記安 全コントローラは、 前記安全ネッ トワークを介して送られてきた前記安全情報或 いは前記非安全情報を受信し、 受信した情報が前記非安全情報の場合に、 その非 安全情報に基づく情報を記憶する。

このようにすると、 安全コントローラは、 安全ネッ トワークに接続された安全 スレーブから非安全情報を取得することができる。 しかも、 本来非安全情報の送 信タイミ ングの時に安全でない場合には、 安全情報が送られてくるので、 安全シ ステムとしての信頼性を低下することなく、 非安全情報の収集ができる。 また、 非安全情報を収集した場合には、 安全であることも間接的に認識できる。

また、 本発明のモニタ方法は、 安全コントローラと、 安全スレーブとが安全ネ ッ トワークを介して接続されて構築される安全ネッ トワークシステムに対し、 モ 二夕装置をさらに接続して構築されるシステムにおけるモニタ方法である。 そし て、 前記安全スレーブは、 安全状態にあるか否かを特定する安全情報を送信する 安全情報送信機能と、 前記安全情報を含まない非安全情報を送信する非安全情報 送信機能を有するとともに、 前記非安全情報送信機能は、 前記安全スレーブが安 全状態であることを条件に非安全情報を送信するものであり、 前記モニタ装置は 、 前記安全スレ一ブから前記安全コン トローラに向けて送信される前記非安全情 報を取得し、 その取得した非安全情報を解析し、 その非安全情報に基づく情報を 記憶するようにした。

ここで、 モニタ装置は、 安全コントローラに接続され、 非安全情報は、 その安 全コン トローラ経由で間接的に取得することができる。 また、 モニタ装置を安全 ネッ トワークに接続し、 安全ネッ トワーク上を伝送されるフレームを監視し、 安 全コントローラ宛の非安全情報をモニタ装置も受信することにより非安全情報を 直接的に収集することもできる。

モニタ装置は、 安全ネッ トワークに接続された安全スレーブから非安全情報を 取得することができる。 しかも、 本来非安全情報の送信タイ ミ ングの時に安全で ない場合には、 安全情報が送られてくるので、 安全システムとしての信頼性を低 下することなく、 非安全情報を収集し、 モニタリングすることができる。 なお、 データの記憶方法としては、 口ギングデータその他各種の形式で保存することが できる。 しかも、 非安全情報を取得した場合には、 安全システムは、 安全状態に あることを間接的に認識できる。 なお、 このモニタ装置は、 実施の形態では、 ノ、。 ソコン 5によるツールに対応する。 また、 モニタリング装置や、 コンフィグレー 夕などと称されるものも、 このモニタ装置に対応する。 図面の簡単な説明

図 1は、 従来例を示す図である。

図 2は、 本発明に係る安全ネッ トワークシステムの好適な一実施の形態を示す 図である。

図 3は、 本発明に係る安全コントローラ （P L C ) の好適な一実施の形態の要 部を示す図である。

図 4は、 本発明に係る安全スレーブの好適な一実施の形態を示す図である。 図 5は、 本実施の形態の作用を説明する図である。

図 6は、 送信フレームのデータ構造の一例を示す図である。

図 7は、 安全 P L C (マスタュニッ ト） の M P Uの機能を説明するフローチヤ 一トの一部である。

図 8は、.安全 P L C (マスタユニッ ト） の M P U.の機能を説明するフローチヤ -トの一部である。

図 9は、 安全 P L C (マスタユニッ ト） の M P Uの機能を説明するフローチヤ 一トの一部である。

図 1 0は、 安全スレーブの M P Uの機能を説明するフローチャートである。 図 1 1は、 本実施の形態の作用を説明する図である。 . - 図 1 2は. 別の実施の形態の作用を説明する図である。

図 1 3は、 変形例の作用を説明する図である。

図 1 4は、 変形例の安全スレーブの M P Uの機能を説明するフローチヤ一トで め ₀ 図 1 5は、 変形例における送信フレームのデータ構造の一例を示す図である。 図 1 6は、 変形例における情報受信側の機能を説明するフローチャー トの一部 で ¾る。 発明を実施するための最良の形態

本発明をより詳細に説明するにあたり、 添付の図面に従ってこれを説明する。 具体的には、 図 2は、 本発明が適用される安全ネッ トワークシステムの一例を示 している。 図 2に示すように、 安全 P L C 1 と複数の安全スレーブ 2が安全ネッ トワーク 3を介して接続されている。 各安全スレーブ 2には、 非常停止スィッチ などの他、 各種の入力機器や出力機器等の各種安全機器 4が接続されている。 安 全 P L C 1は、 C P Uュニッ ト ； I a， マスタユニッ ト （通信ュニッ ト） 1 b， I ノ0ュニッ ト 1 cなどの複数のュニッ トを連結して構成されている。

更に、 ツールとしてのパソコン 5が、 安全 P L C 1の C P Uュニッ ト 1 aやマ スタユニッ ト 1 b並びに安全ネッ トワーク 3に接続可能どなっている。 このパソ コン 5は、 安全 P L C 1を介して安全スレーブ 2、 ひいてはそれに接続された安 全機器 4についての情報を収集し、 管理する。

この安全ネッ トワークシステムを構成する各種装置は、 全て安全機能 （フェイ ルセーフ） が組み込まれたものを用いている。 この安全機能は、 安全であること を確認し、 出力 （制御） を行う機能である。 そして危険状態になった場合にフエ ィルセーフが働いて、 システムが安全側になって動作を停止させる。 つまり、 安 全システムは、 緊急停止スィッチが押下されたり、 ライ トカーテンなどのセンサ が人 （身体の一部） の進入を検出した場合等のネッ トワークシステムが危険状態 になった場合に、 フヱイルセーフが働き、 システムが安全側になって、 動作が停 止するようにするものである。 換言すると、 上記した安全機能により、 安全であ ることが格納されたときのみ出力し、 機械を動かすシステムである。 よって、 安 全が確認できない場合には、 機械が停止する。

次に、 このような安全機能のうち、 本発明の要部となる情報の送受について説 明する。 マスタユニッ ト l bには、 通信機能も組み込まれており、 安全スレーブ 2 との間でマスタ ' スレーブ方式で情報の送受を行うようになっている。 基本的 には従来と同様で、 図 1 ( a ) に示すように安全 P L C 1 (マスタユニッ ト l b ) からの要求に従い、 その要求を受けた安全スレーブ 2は、 安全応答として安全 情報を返す。 安全スレーブ 2に対し、 ①—②―③といように順番に要求を発し、 3つ全ての安全スレーブ 2から安全情報を収集することを 1つの通信サィクルと し、 その通信サイクルを繰り返し実行する。

そして、 上記通信の制御を行うマスタユニッ ト 1 bは、 図 3に示すような内部 構造をとつている。 すなわち、 システム R O M 1 1に格納されたプログラムを読 み出し、 システム R AM I 2のメモリ領域を適宜使用して所定の処理を実行する M P U 1 0を有し、 更に、 安全ネッ トワーク 3 と接続され、 所定の安全スレーブ 2との間でデータの送受を行うための通信ィンタフェース 1 3を備えている。 更 にまた、 安全スレーブ 2から送られてきた非安全情報を記憶する非安全情報記憶 部 1 4を備えている。 すなわち、 本実施の形態でも、 従来と同様に各安全スレー ブ 2から、 非安全情報が送られてく るので、 受信した非安全情報を安全スレーブ のア ドレスに関連づけて記憶する。 この非安全情報記憶部 1 4に記憶された安全 スレーブの非安全情報は、 定期的或いはパソコン （ツール） 5の読み出し命令に 従い抽出される。

なお、 当然のことながら、 このマスタュニッ ト 1 b も安全ネッ トワークシステ ムに対応しているものであるので、 各種の安全機能が組み込まれている。 すなわ ち、 図示は省略するが、 例えば M P U 1 0を 2個設け、 同時に同一プログラムを 実行させ、 その結果が一致したときのみ正しい出力として処理する機能を設ける 。 もちろん、 安全ネッ トワークシステムに対応するためのこれ以外の安全機能も' 具備する。

そして、 マスタュニッ ト 1 bの M P U 1 0で実行するプログラムの一例と して は、 例えば、 上記した所定の安全スレーブ 2に対して要求を発信し、 その要求に 対する応答を.受信するとともに、 受信した応答内容に従い所定の処理を実行する ものである。 もちろん、 C P Uュニッ ト 1 aからの命令に従い、 所定の安全スレ ーブ 2に対して情報を送信する処理もある。

一方、 安全スレーブ 2の内部構造は、 図 4に示すようになつている。 同図に示 すように、'安全ネッ トワーク 3に接続し、 安全？ L C 1 (マスタュニッ ト 1 b ) との間でデータの送受を行う通信ィンタフヱース 2 1 と、 安全スレーブ 2に接続 された安全機器 4との間でデータの送受を行うための入出力ィンタフェース 2 2 と、 システム R O M 2 4に格納されたプログラムを読み出し、 システム R AM 2 5のメモリ領域を適宜使用して所定の処理を実行する M P U 2 3を備えている。 M P U 2 3は、 通信ィンタフヱース 2 1を介して受信した自己宛の要求に従い、 入出力インタフェース 2 2を介して安全機器 4から取得した情報 （安全情報等） を、 通信ィンタフェース 2 1， 安全ネッ トワーク 3を経由してマスタュニッ ト 1 bに返す処理を行う。

さらに、 M P U 2 3は、 自己診断機能や、 安全機器 4の動作状態 （通電時間， O N/ O F F回数など） 監視機能を備え、 各機能を稼働させて得られた診断結果 や動作状態などの非安全情報を非安全情報格納用メモリ 2 6に格納する処理も実 行する。 そして、 この非安全情報格納用メモリ 2 6に格納された非安全情報も、 マスタュニッ ト 1 bからの要求に従い返送することにより、 マスタュニッ ト 1 b に非安全情報を伝達するようになつている。

つまり、 マスタユニッ ト 1 bからの要求は、 安全情報の要求と非安全要求の情 報の 2種類があり、 安全スレーブ 2は、 要求された種類の情報を応答として返す 。 なお、 実際には、 送信する都度 1ずつインクリメン トするシーケンス N 0を付 加した要求を行い、 そのシーケンス N 0の値によって各安全スレーブは安全情報 と非安全情報のどちらの要求かを判断するようにしている。

ここで本実施の形態では、 マスタュニッ ト 1 bに非安全情報要求制御部 1 5を 設け、 各安全スレーブ 2から非安全情報を収集するタイミングを任意に設定し、 実行するようにしている。 すなわち、 非安全情報要求制御部 1 5は、 タイマ或い はカウンタなどからなり、 一定時間経過する毎、 或いは通信サイクルが一定回数 行われる毎にトリガ信号を M P U 1 0に送る。 M P U 1 0は、 通常状態では安全 情報取得のための要求を行い、 前記トリガ信号を受信した場合には、 その次の 1 サイクルは非安全情報の取得のための要求を行うようにする。 このようにすると 、 ユーザが設定したサイクルで非安全情報を収集することができる。 もちろん、 システムの稼働中でも行える。 なお、 この要求の出力についての M P U 1 0の詳 細な処理機能の説明は後述する。 —方、 安全スレーブ 2は、 上記した通り、 マスタユニッ ト 1 bからの要求に伴 い安全情報または非安全情報のいずれかを返す。 このとき、 安全スレーブ 2は、 さらに以下のような処理を行う。 つまり、 安全情報の要求の場合には、 そのまま そのときの安全情報を返す。 非安全情報の要求の場合には、 まず、 その安全スレ ーブ 2が安全状態であるか否かを判断し、 安全状態の場合には非安全情報を返し 、 安全状態でない場合 （危険， 異常） には、 安全情報を送信する。 すると、 この 場合の安全情報は 「異常通知」 を意味する。

このようにすると、 非安全情報が送られてきた場合には、 その非安全情報を送 つてきた安全スレーブ 2は安全状態にあることが保証される。 よって、 マスタュ ニッ ト 1 bでは、 非安全情報の要求に伴い安全スレーブ 2から非安全情報の応答 があった場合には、 安全であるとみなせるので緊急停止などのフヱイルセーフの 処理をする必要が無く、 当初の目的である非安全情報を所定の間隔で収集できる 。 また、 安全スレーブ 2が安全状態にない場合には、 たとえ非安全情報の要求を した場合でも安全情報 （異常通知） が送られてくるので、 それに伴い所定の安全 処理を行う。 従って、 異常発生に伴う応答時間は、 1回の通信サイクルに要する 時間が保証できる。

一例を示すと、 図 5のように N— 1回目の通信サイクルでは通常の安全情報の 要求を行い、 N回目の通信サイクルで非安全情報の要求を行う場合を想定する。 すると、 各安全スレーブ 2が安全状態にある場合には、 図 5 ( a ) に示すように 各安全スレーブからは、 要求のあった種類の情報を返す。 これに対し、 例えば、 安全スレーブ②が N— 1回目の通信サイクルで安全応答を返した後で異常が発生 した場合には、 次の N回目の通信サイクルの安全スレーブ②は、 安全応答を送る ので、 この異常発生から安全応答を出力するまでの時間 tは、 1回の通信サイク ルの時間 T 0よりも短くなる。

なお、 上記した処理を実現するためには、 マスタュニッ ト 1 b側で受信した情 が安全情報なのか非安全情報なのかを識別する必要がある。 そこで、 本実施の 形態では、 送信フレームに格納する情報として、 図 6に示すように安全情報と非 安全情報を識別するための識別ビッ トを付加するようにした。 これにより、 マス タユニッ ト 1 bは、 識別ビッ トの値を見ることに'より、 受信した送信フレームが 、 安全情報か非安全情報かを判別できる。

次に、 上記した一連のデータ通信を行うための安全 P L C 1 (マスタユニッ ト 1 b) の]IPU 10と、 安全スレーブ 2の MP U 23にて実行される処理手順に ついて説明する。 マスタユニッ ト 1 bの MP U 10は、 図 7から図 9に示すフロ 一チャートを実行する機能を有する。 前提として、 図 1に示すように安全スレー. ブ 2は、 ①から③の 3個有し、 非安全情報の更新周期は通信サイクル単位で行い 、 3回に 1回の割合で取得するものとする。

電源が投入されると、 ユーザからの非安全情報の更新周期の設定入力を待つ （ S T 1 , ST2) 。 そして、 非安全情報の更新周期 （この例では通信サイクルが 3回毎） が設定されると、 シーケンス No. 3を非安全にし （ST3) 、 各スレ ーブ （①から③） のシーケンス No. 3に非安全情報を要求するように設定する (ST4, ST 5) 。 本実施の形態では、 上記した更新周期の設定を非安全情報 要求制御部 15が行う。

もちろん、 更新タイミングが N回に 1回の割合とする場合には、 ステップ 3の 非安全への変換は、 シーケンス No. = 「N」 を非安全に設定することになる。 また、 本形態では、 非安全情報の収集を全ての安全スレーブに対して同一の通信 サイクル （この例では 3回目.） で行うようにしたが、 各安全スレーブ毎に設定し 、 異なる通信サイクルで収集するようにしてももちろん良い。 さらには、 各安全 スレーブ毎に更新周期を変えることもできる。

上記した各処理が完了すると、 実際に安全ネッ トワークシステムを稼働させ、 所定の制御を行うようになる。 すなわち、 まず、 シーケンス No. の値である n に 1をセッ ト し （S T 6) 、 安全スレーブ①に対して要求を送信する （S T 7) 。 この要求には、 シーケンス No. を付加して行う。 従って、 電源投入後の最初 の要求は、 シーケンス No. = 「1」 の要求となる。 - そして、 安全スレーブ①からの応答を待ち、 当該安全スレーブ①からの送信フ レームを受信したならば、 識別ビッ トを解析し、 値が 「0」 であるか否かを判断 する （ST8) 。 識別ビッ トが 「0」 でない場合、 つまり、 「1」 の場合には安 全情報が送信されてきたので、 そのデータ部を解析し、 安全スレーブ①の安全情 報を受信する （ST9) 。 そして、 安全状態が 「安全」 か否かを判断し （ST 1 0) 、 安全の場合には安全スレーブ②に対してシーケンス No. nを付加した要 求を送信する。 '

一方、 ステップ 8の分岐判断で Ye s、 つまり識別ビッ トが 0の場合には送ら れてきた情報は非安全情報であるので、 ステップ 1 1に飛び、 安全スレ一ブ①に ついての非安全情報を受信する （ST 1 1) 。 また、 今回の安全スレーブ①の安 全状態は安全と推定する （ST 12) 。 その後、 ステップ 1 3に進みスレーブ② に要求を出力する。

上記と同様の処理を安全スレーブ②に対して行い （S T 1 3から ST 1 8) 、 続いて安全スレーブ③に対して行う （S T 1 9から S T 24) 。 これにより、 1 回の通信サイクルに伴い安全情報或いは非安全情報の収集が行える。

そして、 3つの安全スレーブ①から③からの情報を取得したならば、 nが 3以 上か否かを判断し （S T 2 5) 、 3未満の場合には nを 1インクリメン ト し （S T2 6) 、 3以上の場合には n= lにする （S T2 7) 。 その後、 ステップ 7に 戻り、 次の通信サイクルを実行する。 以後、 上記したステップ 7からステップ 2 8までの処理を繰り返し実行する。

また、 ステップ 1 0， 1 6， 22の安全か否かの判断で、 「No」 、 つまり受 信した安全情報が 「安全でない」 場合には、 ステップ 28に飛び、 安全出力を遮 断し、 動作を停止する （ST 28， S T 29) 。 なお、 係るステップ 28, 2 9 における具体的な処理は、 従来からある安全ネッ トワークシステムにおける異常 通知 （危険） に伴う処理と同様であるので、 その詳細な説明を省略する。

一方、 各安全スレーブの MP U 23の動作は、 図 1 0に示すようになる。 すな わち、 電源投入後、 マスタユニッ ト 1 bから送られてく る非安全情報を送信する シーケンス N o. を取得し、 設定する。 ここでは、 シーケンス No. = 「3」 が 非安全情報を送信するタイミ ングであると設定する （S T3'0， S T 3 1 ) 。 次いで、 マスタュニッ ト 1 bからの要求を待ち （S T 32) 、 要求を受けると 、 現在安全状態か否かを判断する （ST 33) 。 そして、 安全でない場合には、 安全情報として 「危険」 を送信する （S T 34) 。 また、 安全状態の場合には、 要求とともに付加されてきたシーケンス N 0. .をチェックし、 No. が 「3」 の 場合には非安全情報を送信し、 3以外の場合には安全情報 （安全） を送信する （ ST 35， 36， 3 7) 。 以後、 上記したステップ 32からステップ 3 7までの 処理を繰り返し実行する。

上記した処理を 1つの安全スレーブの動きを基準に見ると、 図 1 1に示すよう になる。 つまり、 マスタユニッ ト 1 bから送られてくる要求にはシーケンス N 0 . が付加されており、 その値は、 「1—2— 3— 1 ···」 というように 1から 3を 順次繰り返した値となる。 そして、 シーケンス N o. = 「3」 の要求を受けた際 に非安全情報を返す。 これにより、 図 1 1 (a) に示すように、 安全スレーブが 安全状態にあるとすると、 マスタ側ではその安全スレ一ブの非安全情報を 3回に 1回受信することになり、 その非安全情報を受信することにより安全確認ができ る。

また、 図 1 1 (b) に示すように、 シーケンス N o. = 「3」 のときに安全で なく なった場合には、 非安全情報を送ることなく安全応答をする。 従って、 マス 夕側では非安全情報は受信できないが、 安全応答に基づき危険状態にあることが わかるので、 停止処理など所定の安全処理を行う。 なお、 図示省略するが、 シ一 ケンス N o. 1， 2の要求のときに安全でなくなった場合には、 通常通り安全応 答 （異常通知） をするので、 それに基づき所定の安全処理を行う。

なお、 上記した実施の形態では、 N回に 1回の割合で非安全情報を取得するよ うに.したが、 本発明はこれに限ることはなく、 一定時間毎に非安全情報を取得す るようにすることもできる。 この場合は、 上記したように非安全情報を送信する シーケンス No. を決めるのではなく、 マスタが出す要求にフラグを付けるなど して、 通常の安全情報の要求と、 非安全情報の要求を安全スレーブ側で識別でき るようにする。 そして、 非安全情報要求制御部 1 5は、 タイマを持ち、 設定され た時間経過する都度、 トリガ信号を MPU 1 0に送る。 そして、 MPU 1 0は、 通常は安全情報用の要求を出し、 トリガ信号を受信した際に非安全情報用の要求 を出すようにすることもできる。

また、 通信サイクルの回数により非安全情報を収集する場合でも、 例えば、 上 記のようにマスタが安全情報用の要求と、 非安全情報用の要求を出力するような 場合、 非安全情報要求制御部 1 5がカウンタを備え、 要求を出力した回数をカウ ントし、 所定回数に達したならばトリガ信号を出力し、 そのトリガ信号を受けた M P U 1 0が非安全情報用の要求を出力するようにすることもできる。

一方、 上記した例では、 マスタ側で非安全情報の取得タイミングを制御するよ うにしたが、 本発明はこれに限ることはなく安全スレーブ側で制御することもで きる。 この場合に、 図 4に示すように、 安全スレーブ 2に、 非安全情報送信制御 部 2 8を設ける。 この非安全情報送信制御部 2 8は、 タイマ或いはカウンタなど からなり、 予め設定した非安全情報の更新タイミ ング （一定時間， 一定通信回数 ) になると、 非安全情報送信用のトリガ信号を M P U 2 3に与える。

M P U 2 3は、 マスタュニッ ト 1 bから要求があると、 通常は安全応答をし、 安全情報 （安全/危険） を返す。 そして、 上記トリガ信号を受けた場合には、 要 求を受けると、 現在の安全状態を確認し、 安全状態にある場合には非安全情報を 送る。 但し、 安全状態でない （異常， 危険） 場合には、 トリガ信号を受けた場合 でも安全応答をする。 なお、 M P U 2 3は、 安全情報と非安全情報のどちらの情 報を送信したかがマスタュニッ ト側でわかるようにするために、 例えば本例でも 図 6に示すように送信フレーム中に認識ビッ トを設け、 「0」 または 「1」 をセ ッ トする。

一方、 マスタュニッ ト 1 b側は、 所定の通信サイクルで順次各安全スレーブに 対して要求を送信し、 対応する安全スレーブからの応答を待つ。 そして、 安全ス レーブからの送信フレームを受信すると、 認識ビッ トを確認し、 安全情報と非安 全情報のどちらの情報かを識別する。 そして、 非安全情報の場合には、 取得した 非安全情報を非安全情報記憶部 1 4に格納するとともに、 安全であることを認識 する。 また、 受信した情報が安全情報の場合には、 その内容を取得し、 安全でな い場合には、 所定の安全処理を実行する。

このときのマスタースレーブ間でのデータの送受信のタイ ミ ングチャートを示 すと、 図 1 2のようになる。 そして、 図示の例では、 各安全スレーブがいずれも 安全状態であったため、 それぞれの非安全情報を送信するタイミングで非安全情 報を送信し、 これを受けたマスタは非安全情報を取得するとともに、 安全である ことが確認できる。 そして、 この非安全情報を送信するタイ ミ ングのときに安全 でない場合には安全応答をすることになる。 また、 各安全スレーブ側でそれぞれ 送信タイミ ングを管理しているので、 図示するように、 必ずしも同一の通信サイ クルめときに全ての安全スレ一ブから非安全情報が送られるとは限らない。 さらにまた、 上記した実施の形態では、 マスタからの要求に対して所望のスレ ーブがレスポンスを返すと行ったマスタースレーブ方式を説明した。 すなわち、 安全情報と非安全情報のいずれを送信するかの決定権は、 マスタ側と安全スレ一 プ側のいずれでも良いことは、 既に述べた通りであるが、 いずれにしても、 各ス レーブからの送信タイミングは、 マスタからのリクエストというように外部トリ ガに起因したものである。 しかし、 本発明で言うスレーブは、 このようにマスタ 一スレーブ間通信を行うものに限られない。 つまり、 スレーブとは称するものの

、 通信方式は任意のものを利用できる。 その点では、 厳密に言う と一般的に定義 されているスレーブとは異なる概念を含むものであると言える。 つまり、 本発明 で言う所のスレーブは、 安全情報と非安全情報を適宜のタイミングで切替えなが ら送信する機能が有れば、 実際に送受信する際の通信プロトコルは任意である。 特に本発明で送信対象とする非安全情報の送信先は、 マスタュニッ トゃコント口 ーラに限ることはなく、 ネッ トワークに接続されたコンフィグレー夕 （コンフィ グレーシヨンツール） や、 モニタリング装置や他のスレーブなど、 自ノード以外 のデバイス、 つまり他ノードとすることができる。

そして、 通信方式も、 送信相手に応じて適宜選択できる。 もちろん、 送信する ためのトリガも、 上記したマスタからのリクェストのように外部からの要求に応 じて行うものに限ることはなく、 内部トリガ （内部のタイマ， 一定の条件に合致 したときに発生するィベントなど） に基づいて送信してもよい。

ここで、 「内部トリガ」 とは、 スレーブ自身の所定の処理実行の結果に基づく もので、 スレーブ内部で生成されるものである。 そして、 内部トリガの一例を示 すと、 スレーブで取得した非安全情報 （入出力機器の状態情報等） が、 予め設定 した状態になった場合がある。 つまり、 例えば、 入出力機器に対する通電時間が 5 0 0 0時間を超えた場合に内部トリガを発生させたり、 動作回数が 1万回を越 えた場合に内部トリガを発生させることである。 また、 スレーブ内に時計を持た せておき、 その時計により所定時間経過のたびに周期的に内部トリガ信号を生成 したり、 所定時刻で内部トリガ信号を生成するものもある。

そして、 予め設定した状態になった場合に内部トリガを発生させるようにする と、 その設定を適切に行なうことにより、 頻繁に非安全情報を送ることを抑制し 、 通常の通信では、 安全情報を送信することができる。 そして、 例えば入出力機 器の動作状態に応じて定期的に、 或いは、 入出力機器が寿命に近づいてきたとき 等に内部トリガを発生させて非安全情報を送信することにより、 効率よく、 必要 な非安全情報を送信することができる。 つまり、 例えば動作回数ゃ通電時間等の 場合には、 前回取得したデータから数回や数分程度変化したとしてもさほど重要 性の高い情報ではない。 そこで、 係る重要性の高くない情報を送ることを抑制す ることにより、 効率よく安全情報と非安全情報を送信することができる。

そして、 係る内部トリガに基づいて安全スレーブ側から情報の発信をする場合 のタイムチャートとしては、 例えば図 1 3に示すようになる。 すなわち、 各送信 デバイス （安全スレーブ） は、 それぞれ内部タイマを持ち、 送信タイマ間隔毎に 内部トリガを発生する。 この内部タイマを受けて、 それぞれの安全スレーブは、 安全奥羽等或いは非安全情報を所定の送信先に向けて出力する。 この送信先は、 予め設定しておくことにより、 マスタや、 他のスレーブなど、 ネッ トワークに接 続された他のノードに向けて送信することができる。

また、 各安全スレーブは、 自己の内部タイマに基づいて送信する力 既に他の 安全スレーブが送信中の場合には、 送信を停止し、 同時に送信しょう としてネッ トワーク上で衝突した場合には、 優先順位の高い安全スレーブ （ノード番号の小 さいもの） 側がそのまま通信を継続する。 これにより、 1回の通信サイクルで、 所定の順で各安全スレーブから順次情報を送信することができる。 そして、 送信 夕イマを適宜に設定ずることにより、 以後は、 その順でスムーズに繰り返し情報 の送信が行える。

そして、 係る送信処理を行う安全スレーブ側の M P Uの機能としては、 例えば 図 1 4に示すフ'ローチャートのようになる。 この機能は、 基本的には図 1 0に示 した処理フローに対応するものである。 つまり、 まず電源 O Nに伴い、 非安全情 報の送信シーケンス N 0を設定する （S T 4 1 ) 。 この例では、 全ての安全スレ —ブにおいて、 送信シーケンス N oは 「3」 に設定するようにしている力 ^?、 この 数値は任意であり、 安全スレーブ毎に替えてももちろん良い。

設定が完了したならば、 送信条件、 つまり、 内部トリガが発生するのを待つ （ ST 42) 。 そして、 内部トリガが発生すると、 現在が安全か否かを判断し （S T4 3) 、 安全でない場合には、 安全情報 （危険） を送信する （ST44) 。 一 方、 安全の場合には、 シーケンス Noを確認し （S T45) 、 3未満の場合には 、 安全情報 （安全） を送信するとともに、 シーケンス N 0である Nを 1インクリ メントし （S T 46， S T 47) 、 ステップ 42に戻り次の送信条件に来るのを 待つ。 また、 シーケンス Noが 3以上の場合には、 非安全情報送信タイミングで あるので、 非安全情報を送信する （S T48) 。 その後、 Nを 1にセッ ト後 （S T 49) 、 ステップ 42に戻り次の送信条件に来るのを待つ。

なお、 ステップ 45における判断のしきい値が 「3」 としているが、 これはス テツプ 4 1にて非安全情報を送信するシーケンス N 0の設定を 「 3」 にしたため であり、 ステップ 4 1における設定が 3以外の場合には、 このステップ 45にお ける判断基準値もそれに合わせて変動する。

また、 現在送信した情報が、 安全情報であるのか、 非安全情報であるのかは、 送信フレー煙中に設定する識別ビッ ト （図 1 5参照） により、 特定する。 従って 、 安全スレーブは、 送信する際に、 どちらの情報かに合わせて識別ビッ トを設定 する。

—方、 上記した安全スレ一ブからの情報を受信する側のデバイスとしては、 図 1 6に示すフローチャートを実施する機能を有する。 すなわち、 まず、 電源投入 後、 上記した安全スレーブから送られてくるフレームを受信するのを待つ （ST 5 1 ) 。 そして、 受信したならば、 それが正常受信か否かを判断し、 異常の場合 (ステップ 52で N o) には、 出力停止などの安全出力手段処理を行う （S T 5 7) 。 また、 正常に受信した場合には、 識別ビッ トを確認し、 0の場合には、 受 信したデータは非安全情報であるので、 非安全情報受信処理を行う （ST 54) 。 つまり、 取得した非安全情報を所定エリアに格納したり、 内容を解析し、 解析 結果に応じた処理を行う。 その後、 ステップ 5 1に戻り次の受信を待つ。

一方、 識別ビッ トが 1の場合には、 安全情報であるので、 安全情報受信処理を 行い （S T 5 5) 、 通知内容が安全か否かを判断する （ST 56) 。 そして、 安 全の場合には、 ステップ 5 1に戻り次の受信を待つ。 また、 通知内容が危険等の 安全でない場合には、 出力停止などの安全出力手段処理を行う （ST 57) 。 な お、 安全情報や非安全情報を受信した後の処理自体は、 上記した実施の形態と同 様であるので、 詳細な説明を省略する。

また、 識別ビッ トであるが、 上記した説明では、 安全情報と非安全情報を 「 1 」 と 「0」 の 1 ビッ トで示す場合を説明したが、 本発明はこれに限ることはなく 、 さらに別の情報を付加することができる。 つまり、 非安全情報の場合には、 デ ータ部に格納する具体的な情報としては、 スレーブに接続された入出力機器の通 電或いは動作の積算時間や、 動作回数等各種のものがあり、 単に数値データのみ 送信した場合では、 何の情報を送つたかを認識できない場合がある。 係る場合に 、 データ部の中身に応じて、 非安全情報の種類等を特定する識別コードを付加す ると良い。 さらに、 I / O端子は、 複数個用意されている。 従って、 仮に 8点あ るとすると、 8ビッ トの識別コードを用意し、 各点毎に安全情報と非安全情報の 識別ビッ トを立てるようにすることができる。 また、 係る場合、 例えば、 8点全 てが非安全情報を送信したり、 逆に安全情報を送信する場合には、 8ビッ トを全 て同一の識別ビッ トすることになるが、 代表して 1ビッ トにすることができる。 これにより、 送信データを圧縮し、 短時間で送信可能となる。 なお、 係る場合に は、 圧縮している識別コードか圧縮していない識別コードかを識別するためのフ ラグが必要となる。 産業上の利用可能性

以上のように、 この発明では、 安全状態にあることを条件に非安全情報を送信 するようにしたため、 システム稼働中に安全情報 （安全信号） 以外の情報を安全 ネッ トワークを介して送受信しても、 本来の安全情報の応答時間が遅れることが ない。

Claims

請 求 の 範 囲

1 . 安全コン トローラと、 安全スレーブとが安全ネッ トワークを介して接続さ れて構築される安全ネッ トワークシステムであって、

前記安全スレ一ブは、 安全状態にあるか否かを特定する安全情報を送信する安 全情報送信機能と、 前記安全情報を含まない非安全情報を送信する非安全情報送 信機能を有し、

前記非安全情報送信機能は、 前記安全スレーブが安全状態であることを条件に 非安全情報を送信するようにしたことを特徴とする安全ネッ トワークシステム。

2 . 前記安全スレーブは、 前記非安全情報を送信するタイミングの際に安全で ないと判断した場合には、 前記非安全情報を送ることなく前記安全を送信するよ うにしたことを特徴とする請求の範囲第 1項に記載の安全ネッ トワークシステム

3 . 前記安全コントローラは、 前記非安全情報を受信した場合には、 その非安 全情報の送信元の前記安全スレーブは安全状態にあると推定するようにしたこと を特徴とする請求の範囲第 1項に記載の安全ネッ トワーク

4 . 安全コン トローラと、 安全スレーブとが安全ネッ トワークを介して接続さ れて構築される安全ネッ トワークシステムに接続するための安全スレーブであつ て、

安全状態にあるか否かを特定する安全情報を送信する安全情報送信機能と、 前 記安全情報を含まない非安全情報を送信する非安全情報送信機能を有し、 前記非安全情報送信機能は、 安全状態であることを条件に非安全情報を送信す るようにしたことを特徴とする安全スレーブ。

5 . 受信した前記安全コントローラからの要求が、 安全情報の要求か非安全情 報の要求かを判断し、 前記安全情報の要求の場合には、 安全情報を送信し、

前記非安全情報の要求の場合には、 自己が安全状態にあるときは前記非安全情 報を送信し、 安全状態にないときは安全情報を送信するようにしたことを特徴と する請求の範囲第 4項に記載の安全スレーブ。

6 . 非安全情報を送信する送信タイミングを制御する非安全情報送信制御手段 を設け、

前記送信タイミングの際に、 安全状態にあることを条件に前記非安全情報を送 信するようにしたことを特徴とする請求の範囲第 4項に記載の安全スレーブ。

7 . 安全コン トローラと、 安全スレーブとが安全ネッ トワークを介して接続さ れて構築される安全ネッ トワークシステムに接続するための安全コン トローラで あって、

前記安全スレ一ブから受信した安全情報の内容を解析し、 安全状態に無いと判 断した場合に所定の処理を実行するフェイルセーフ処理機能と、

前記非安全情報を受信した場合には、 送信元の前記安全スレーブは安全状態に あると推定する機能を備えたことを特徴とする安全コントローラ。

8 . 非安全情報の送信要求を発するタィミングを制御する非安全情報要求制御 手段を設けたことを特徴とする請求の範囲第 7項に記載の安全コントローラ。

9 . 安全コントローラと、 安全スレーブとが安全ネッ トワークを介して接続さ れて構築される安全ネッ トワークシステムにおける通信方法であって、

前記安全スレーブは、 所定のタイミングで前記安全ネッ トワークを介して前記 安全コントローラに向けて、 安全状態にあるか否かを特定する安全情報と、 前記 安全情報を含まない非安全情報のいずれかの情報を送信する.処理を行い、 前記非安全情報を送信する処理は、 前記安全スレーブが安全状態であることを 条件に行うことを特徴とする通信方法。

1 0 . 安全コントローラと、 安全スレーブとが安全ネッ トワークを介して接続 されて構築される安全ネッ トワークシステムにおける情報収集方法であって、 前記安全スレ一ブは、 安全状態にあるか否かを特定する安全情報を送信する安 全情報送信機能と、 前記安全情報を含まない非安全情報を送信する非安全情報送 信機能を有し、 前記非安全情報送信機能は、 前記安全スレーブが安全状態である ことを条件に非安全情報を送信するものであり、

前記安全スレーブが、 前記安全コントローラに向けて情報を送信するに際し、 前記安全情報と前記非安全情報のいずれを送信するかを決定し、 次いで、 その決 定した情報を前記安全ネッ トワークを介して送信し、

前記安全コントローラは、 前記安全ネッ トワークを介して送られてきた前記安 全情報或いは前記非安全情報を受信し、 受信した情報が前記非安全情報の場合に 、 その非安全情報に基づく情報を記憶することを特徴とする安全ネッ トワークシ ステムにおける情報収集方法。

1 1 . 安全コントローラと、 安全スレーブとが安全ネッ トワークを介して接続 されて構築される安全ネッ トワークシステムに対し、 モニタ装置をさらに接続し て構築されるシステムにおけるモニタ方法であって、

前記安全スレ一ブば、 安全状態にあるか否かを特定する安全情報を送信する安 全情報送信機能と、 前記安全情報を含まない非安全情報を送信する非安全情報送 信機能を有するとともに、 前記非安全情報送信機能は、 前記安全スレーブが安全 状態であることを条件に非安全情報を送信するものであり、

前記モニタ装置は、 前記安全スレーブから前記安全コントローラに向けて送信 される前記非安全情報を取得し、

その取得した非安全情報を解析し、 その非安全情報に基づく情報を記憶するこ とを特徴とするモニタ方法。 . .