WO2003001749A1 - Systeme de reseau securise et esclave securise - Google Patents

Description

明 細 書 安全ネッ トワークシステム及び安全スレ一ブ 技術分野

この発明は、 安全ネッ トワークシステム及び安全スレーブに関するものである

背景技術

ファク トリ一オートメーション （以下、 「F A」 と称する） で用いられるプロ グラマブルコントローラ （以下、 「P L C」 と称する） は、 スィッチやセンサな どの入力機器から◦ N Z◦ F F情報を入力し、 ラダー言語などで書かれたシーケ ンスプログラム （ユーザプログラムとも称する） に沿って論理演算を実行し、 求 められた演算結果に従い、 リレーやバルブ， ァクチユエータなどの出力機器に〇 N 0 F F情報の信号を出力することで制御が実行される。

ところで、 P L Cと、 入力機器並びに出力機器との接続形態は、 P L Cに直接 接続する場合もあれば、 ネッ トワークを介して接続する場合もある。 係るネッ ト ワークで接続されたネッ トワークシステムを構築した場合、 上記 0 N / 0 F F情 報の送受をネッ トワークを経由して行うことになる。 このとき、 通常、 P L C側 がマスタとなり、 機器側がスレーブとなるマスタスレ一ブ方式で情報の伝送が行 われる。

一方、 最近では P L Cによる制御においても、 フェイルセーフ （安全） システ ムが導入されつつある。 つまり、 P L Cや各機器自体はもちろんネッ トワークも 安全機能を組み込まれたもので構成される。 ここで安全機能とは、 安全であるこ とを確認し、 出力を行う機能である。 そして、 安全システムは、 緊急停止スイツ チが押下されたり、 ライ トカーテンなどのセンサが人 （身体の一部） の進入を検 出した場合等のネッ トワークシステムが危険状態になった場合に、 フェイルセ一 フが働き、 システムが安全側になって、 動作が停止するようにするものである。 換言すると、 上記した安全機能により、 安全であることが格納されたときのみ出 力し、 機械を動かすシステムである。 よって、 安全が確認できない場合には、 機 械が停止する。

上記した安全機能を備えたネッ トワークシステム （安全ネッ トワークシステム ) の場合、 異常， 危険状態が発生した時から、 安全動作 （装置の停止等） を実行 するまでに要する最大応答時間を一定にする必要がある。 すなわち、 良く知られ ているように、 マスタ一スレーブ方式で情報伝送をする場合、 図 1 ( a ) に示す ように、 マスタからの要求に従って各スレーブが順にマスタに安全応答を返すよ うになる。 図 1に示す例では、 ネッ トワークシステムを構成するスレーブは 3つ 。 なお、 ここで扱う O N Z O F F情報は、 正常 （安全） /異常 （危険） という安 全制御用の情報である。 最大応答時間は、 1回の通信サイクルにかかる時間が保 証される。

一方、 定期的或いは非定期的に、 上記安全情報以外のスレーブの状態や通電時 間や動作回数などのスレーブ或いはスレーブに接続された機器を監視するための 補完的な情報 （非安全情報） を収集したいという要求がある。 係る非安全情報を 取得することにより、 例えば機器の寿命判定が行え、 実際に故障を生じてシステ ムが停止する前に交換することができる。

しかし、 上記のように、 非安全情報を送る場合には、 例えば図 1 ( a ) に示す 例において通信サイクル 1では全て非安全情報を送信し、 次の通信サイクル 2で は全て安全情報を送信することが考えられる。 しかし、 係る方式によると、 通信 サイクル 1の期間は安全情報を送ることができないので、 結局最大応答時間は通 信サイクルの 2倍の長さとなる。

また、 別の方式としては、 図 1 ( b ) に示すように、 マスタからの要求に対し 、 安全情報を送信する安全応答に非安全情報を付加した情報を返すこともできる o

このように非安全情報を通信させると、 上記した何れの方式をとつても トラフ イ ツクに影響を与え、 安全情報の通信性能に影響を与えてしまう。 つまり、 当然 のことながら非安全情報を通信しているときは安全情報を通信することはできな いので、 その分安全情報を送るのが遅れてしまう。

そして、 係る非安全情報は、 マスタ （安全 P L C ) からの読み出し要求を受け て、 安全スレーブが持つ非安全情報を返しているので、 読み出す間隔を小さくす るほどよりリニアな非安全情報をモニタすることができる反面、 読み出し要求の 発行間隔が短くなるほど、 ネッ トワーク トラフィ ックへの影響が大きくなる。 この発明は、 ネッ トワーク トラフィ ックへの影響を可及的に抑制しつつ、 非安 全情報を効率良く収集することのできる安全ネッ トワークシステム及び安全スレ ーブを提供することを目的とする。

発明の開示

この発明による安全スレーブは、 安全ネッ トワークに接続可能な安全スレーブ である。 そして、 前記安全ネッ トワークを介して送られてきた安全コントローラ からの要求に応じて、 安全状態にあるか否かを特定する安全情報を送信する安全 情報送信機能と、 前記安全スレーブについての非安全情報を記憶する非安全情報 記憶手段と、 その非安全情報記憶手段に格納された前記非安全情報が、 一定の条 件を満たした際に、 前記安全コントローラに向けて少なく とも条件を満たした非 安全情報を送信する機能を備えて構成する。 そして、 前記非安全情報の送信は、 前記要求に基づく 1回の通信サイクル中において、 他の安全スレーブの安全応答 の終了後に行うようにすることができる。

また、 安全ネッ トワークに接続可能な安全スレーブであって、 前記安全ネッ ト ワークを介して送られてきた安全コントロ一ラからの要求に応じて、 安全状態に あるか否かを特定する安全情報を送信する安全情報送信機能と、 前記安全スレ一 ブについての非安全情報を記憶する非安全情報記憶手段と、 前記非安全情報の送 信のための条件を記憶する記憶手段と、 前記非安全情報に記憶された前記非安全 情報が前記条件を満たすか否かを判断する監視手段と、 その監視手段の監視結果 に基づいて送信タイミングを決定する決定手段とを備えたものとしてもよい。 一方、 本発明に係る安全ネッ トワークシステムは、 安全コン トローラと、 請求 項 1または 2に記載の安全スレーブとが安全ネッ トワークを介して接続されて構 築されるネッ トワークシステムであり、 前記スレ一ブから出力された前記機器の 情報が、 前記コン トローラへ送信されるようにした。 そして、 前記安全コントローラが管理する 1回の通信サイクルは、 前記各安全 スレーブからの安全応答を受信後、 非安全情報の受信期間を持つようにするとよ い。

ここで、 安全情報とは、 少なく も安全スレーブ及びまたはそれに接続された安 全機器の状態が安全状態か否かの情報を含むものである。 もちろん、 それ以外の 情報を含むことはかまわない。 これに対し、 非安全情報は、 上記安全情報を含ま ない各種の情報であり、 例えば、 リレーの寿命， 調査結果， 通電時間， 動作回数 ， 型情報等がある。 ここで、 「通電時間」 や 「動作回数」 などは、 例えば、 それ ぞれタイマやカウンタで計時 ·計数して求め、 求めた現時点の数値を非安全情報 として送る。 また、 「リレーの寿命」 とは寿命予知である。 つまり、 ここでいう 非安全情報としてのリレーの寿命は、 寿命が来て安全動作ができない旨の情報で はなく （この時は安全情報扱いとなる） 、 安全に動作するがメンテナンス （交換 ， 調整手入れなど） をする時期が近づいてきている旨の予知的な情報である。 「 調査結果」 は、 たとえば統計的に予知或いは検出するような旨の情報である。 つ まり、 スレーブ側で安全かどうかを自己診断した結果ではない。 この自己診断結 果は安全情報として送られる。 なお、 非安全情報としての検査結果の例としては 、 安全に動作するが、 ①もう少しで寿命が来そうだとか、 ②悪い環境で使用され ているとか、 ③温度④振動状態⑤供給電圧⑥酷使状態かどうか…などの情報があ る。 係る情報を知ることで、 早めにメンテナンス （交換， 調整手入れなど） をす ることができ、 寿命が来て動かなくなり、 異常の影響が大きくなることが防止で きる。 さらには、 自己診断した結果も非安全情報の一種となる。

また、 「安全機能」 とは、 いわゆるフヱ一ルセーフ機能のことであり、 安全で あることを条件に出力し、 機械を動かすシステムである。 従って、 安全でなくな つた場合には、 出力が停止される。 よって、 コントローラなどの制御で異常が生 じた場合や通信異常が生じた場合に制御停止させるともに、 コントローラの停止 により出力対処の機器や制御機器が安全な状態を維持することができる。

この制御停止が必要な場合の例としては、 コントローラの C P Uその他の各処 理部等を二重化して両者の不一致を検知した場合、 何らかの原因でネッ トワーク に異常が生じた場合、 機械システムの緊急停止スィッチが押下された場合、 ライ トカ一テンなどの多光軸光電センサにより危険領域に人 （身体の一部） の進入を 検出したときなどの危険状態になった場合などがある。 そして、 上記の場合には 、 安全機能によ り、 確実に制御対象の機械システムを安全な状態に動作させ、 ま たはその動作に加えて安全な状態で停止させ、 またはフヱイルセーフが働いて機 械システムが安全な状態で動作を強制的に停止させることができる。

また、 安全機器は、 安全スレーブに接続されている場合も有れば、 安全機器自 体が安全スレーブとなり、 安全コン トローラとデータの送受をすることもあり得 る。 この安全機器自体が安全スレーブともなる具体例としては、 ライ ト力一テン

(多光軸光電センサ） がある。 つまり、 危険域などに人が入ったことを検出する 機能は安全機器 （入力機器） であるし、 検出結果の信号をネッ トワーク経由でマ スタに通信する機能は安全スレーブとなる。

さらに、 安全スレーブについての非安全情報とは、 安全スレーブに接続された 安全機器の非安全情報も含む概念であり、 係る安全機器の非安全情報のみの場合 もある。

この発明によれば、 非安全情報を収集， 記憶した安全スレーブ側で、 非安全情 報を送信するタイミングにあるか否かを判断し、 送信タイミングに達したときに 非安全情報を安全コン トローラに向けて送信する。 つまり、 非安全情報は、 さほ ど頻繁に送る必要がないものの、 ある設定値に達したときは、 メ ンテナンスや寿 命の予知のために知りたいという要求がある。 そして、 係る設定値に達したか否 かは、 実際に非安全情報を収集している安全スレーブのみが知り得る。

従って、 従来安全コントローラ側で行っていた送信するか否かの決定を安全ス レーブ側に移管することにより、 適切なタイミングで非安全情報を送信すること ができる。 安全コントローラ側にとっては、 受信した非安全情報は全て有意義な ものとなり、 効率良く情報の収集が行える。

換言すると、 安全コントローラ側からの要求に基づいて非安全情報を送るよう にすると、 不必要或いはあまり有益でない非安全情報を送る可能性があり、 トラ フィ ックに悪影響を生じるおそれがあるが、 本発明によれば、 予め設定した必要 な送信タイミングに達したときに送信するので、 ネッ トワーク トラフィ ックへの 影響が可及的に抑制される。 さらに、 この発明によれば、 各通信サイクル毎に非安全情報の送信のための時 間を確保する必要がある力 ^s、 通常、 送信タイ ミ ングに達することが頻繁に無い場 合には、 1回の通信サイクルに設定する非全情報の送信のための時間は、 例えば 、 1 または少数分の安全スレーブからの送信ができる時間で有れば十分であり、 トータル的に見ると通信時間が短縮される。 また、 仮に 1個分の送信時間しかと つておらず、 一度に送信タイミングに達した安全スレーブが複数存在したとして も、 非安全情報の場合にはさほど緊急性がないので、 送信できなかった安全スレ —ブの非安全情報は、 次回以降の通信サイクルの時に送れば足りる。

また、 上記した各発明は、 安全コントローラからの要求に従って安全スレーブ が安全情報や非安全情報を送信するものである力 ^?、 本発明はこれに限ることはな く、 送信相手は任意である。

つまり、 安全ネッ トワークに接続可能な安全スレーブであって、 前記安全ネッ トワークを介して送られてきた他のノ一ドからの要求に応じて、 安全状態にある か否かを特定する安全情報を送信する安全情報送信機能と、 前記安全スレ―ブに ついての非安全情報を記憶する非安全情報記憶手段と、 その非安全情報記憶手段 に格納された前記非安全情報が、 一定の条件を満たした際に、 前記他のノードに 向けて少なく とも条件を満たした非安全情報を送信する機能を備えて構成するこ とができる。

ここで他のノー ドとは、 コンフィ グレータ （コンフィグレーションツール） や モニタ装置や他のスレーブ等の安全ネッ トワークに接続されたノードである。 また、 上記した各発明は、 いずれも送信相手からの要求と言った外部トリガに 基づいて安全情報や非安全情報を送信するものであるが、 本発明はこれに限るこ とはなく、 内部トリガに基づいて自発的に安全情報や非安全情報を送信するもの も含む。

すなわち、 安全ネッ トワークに接続可能な安全スレーブであって、 送信条件を 満たした場合に、 安全状態にあるか否かを特定する安全情報を送信する安全情報 送信機能と、 前記安全スレーブについての非安全情報を記憶する非安全情報記憶 手段と、 その非安全情報記憶手段に格納された前記非安全情報が、 一定の条件を 満たした際に、 前記安全ネッ トワークに接続された他のノードに向けて少なく と も条件を満たした非安全情報を送信する機能を備えて構成することができる。 図面の簡単な説明

図 1は、 従来例の問題を説明する図である。

図 2は、 本発明に係る安全ネッ トワークシステムの一実施の形態を示す図であ 図 3は、 安全 P L Cと安全スレーブ間の通信の手順を示すタイミ ングチャート である。

図 4は、 安全 P L C (マスタ） の機能を説明するフローチャー トである。

図 5は、 本発明に係る安全スレーブの好適な一実施の形態を示す図である。 図 6は、 非安全情報記憶部のデータ構造を示す図である。

図 7は、 安全スレーブの M P Uの機能 （非安全情報収集， 記憶） を示すフロー チャートである。

図 8は、 非安全情報送信制御部のデータ構造を示す図である。

図 9は、 安全スレーブの M P Uの機能 （送信制御） を示すフローチャー トであ る。

図 1 0は、 安全情報， 非安全情報を送信する作用を説明する図である。

図 1 1は、 安全情報， 非安全情報を送信する作用を説明する図である。

図 1 2は、 安全情報， 非安全情報を送信する作用を説明する図である。

図 1 3は、 図 1 2に示す処理を実行するための安全スレーブの M P Uの機能 （ 送信制御） を示すフローチャートである。 発明を実施するための最良の形態

本発明をより詳細に説明するにあたり、 添付の図面に従ってこれを説明する。 図 2は、 本発明が適用される安全ネッ トワークシステムの一例を示している。 同図に示すように、 安全 P L C 1 (マスタ） と複数の安全スレーブ 2が安全ネッ トワーク 3を介して接続されている。 安全 P L C 1 と安全スレーブ 2とは、 マス 夕—スレーブ方式により情報の送受が行われる。 更に、 各安全スレーブ 2には、 安全ドアスィ ッチ， 安全リミッ トスィ ッチや非常停止スィ ッチなどの他、 各種の 入力機器や出力機器等の安全機器 4が接続されている。 なお、 安全 P L C 1は、 例えば C P Uユニッ ト， マスタユニッ ト （通信ユニッ ト） ， 1 0ユニッ トなど の複数のユニッ トを連結して構成するものが用いられる。 この場合に、 安全ネッ トワーク 3に対しては、 マスタユニッ トが接続される。

更に、 モニタリングツール （パソコンなど） 5力⁵'、 安全 P L C 1の C P Uュニ ッ トやマスタュニッ トに接続可能となっている。 このモニタリ ングツール 5は、 後述するように安全 P L C 1を介して安全スレーブ 2、 ひいてはそれに接続され た安全機器 4についての情報を収集し、 管理する。

この安全ネッ トワークシステムを構成する各種装置は、 全て安全機能 （フェイ ルセーフ） が組み込まれたものを用いている。 この安全機能は、 安全であること を確認し、 出力 （制御） を行う機能である。 そして危険状態になった場合にフエ ィルセーフが働いて、 システムが安全側になって動作を停止させる。 つまり、 安 全システムは、 緊急停止スィ ッチが押下されたり、 ライ トカーテンなどのセンサ が人 （身体の一部） の進入を検出した場合等のネッ トワークシステムが危険状態 になった場合に、 フヱイルセーフが働き、 システムが安全側になって、 動作が停 止するようにするものである。 換言すると、 上記した安全機能により、 安全であ ることが格納されたときのみ出力し、 機械を動かすシステムである。 よって、 安 全が確認できない場合には、 機械が停止する。

次に、 このような安全機能のうち、 本発明の要部となる情報の送受について説 明する。 まず、 安全 P L C 1には、 通信機能も組み込まれており、 安全スレーブ 2との間でマスタ ' スレーブ方式で情報の送受を行うようになっている。 基本的 には従来と同様で、 安全 P L C 1は、 安全ネッ トワーク 3を介して各安全スレー ブ 2に対して順次要求を発し、 その要求を受けた安全スレーブ 2が、 安全応答と して安全情報を返すようになっている。

ここで本発明では、 図 3に示すように、 安全 P L C 1から各安全スレーブ 2に 対して一斉同報により要求を発行する。 そして、 全ての安全スレーブ 2から要求 に対する安全応答を受信したならば、 直ぐに次の通信サイクルに移行するのでは なく、 一定期間の受信待機状態を設ける。 この一定期間は、 少なくとも 1つの安 全スレーブ 2からの送信フレームを受信するために十分な時間を取る。 すなわち、 この一定期間が、 非安全情報の送受のための期間に設定される。 そ して、 後述するごとく、 非安全情報を送信するか否かの決定は、 安全スレーブ 2 側で行い、 非安全情報を送信することを決定した安全スレーブ 2は、 上記した一 定期間の受信待機状態のときに非安全情報を安全 P L C 1に向けて送信する。 つまり、 非安全情報は、 さほど頻繁に送信しなくても良いが、 ある状況のとき には確実に送りたいというタイミングがある。 しかし、 従来の安全 P L C 1 (マ スタ） からの要求に対するレスポンスとして非安全情報を返す方式では、 安全 P L C 1は安全スレーブ 2の状態が不知であるので、 必ずしも上記した非安全情報 を送りたいタイミングの時に要求を発するとは限らない。 従って、 タイミング良 く非安全情報を取得するためには比較的頻繁に全ての安全スレーブに対して要求 を発する必要がある。 これに対し、 本発明では、 安全スレーブ 2側で非安全情報 の送信タイミングにあるか否かは簡単にわかるので、 必要なときに確実に送信し 、 不必要なときは非安全情報を送信しないように制御できる。 そして、 上記した 処理を実行するための安全 P L C 1の M P Uにおける具体的な処理機能は、 図 4 に示すフローチヤ一 トを実施するものである。

すなわち、 電源が投入されると、 所定のタイ ミ ングで全ての安全スレーブ 2に 対して一斉同報送信要求をする （S T 1， S T 2 ) 。 その後、 受信タイムァゥ ト するまで安全スレーブ 2からの応答を待つ （S T 3， S T 4 ) 。 ここで受信タイ ムアウ トは、 送信要求をした後、 一回の通信サイクルタイムとして設定した時間 が経過した場合にタイムアウ トとなる。 具体的には、 全ての安全スレーブ 2から の安全応答を受信するための時間に、 少なく とも 1つの安全スレーブからの非安 全情報を受信できる時間を加算した時間である。

そして、 安全スレーブからの応答があった場合 （ステップ 4の分岐判断で Y e s ) には、 ステップ 5に進み、 安全応答か否かを判断する。 そして、 安全応答の 場合には、 さらにその安全応答 （受信した安全情報） の内容が安全か否かを判断 する （S T 6 ) 。 その判断結果が、 異常 （危険） の場合には、 ステップ 9に進み 、 フヱイルセーフが働き、 通信処理を停止し、 出力遮断処理を実行する （S T 7 ， S T 8 ) 。 また、 受信した内容が安全の場合には、 ステップ 3に戻り次の受信 を待つ。 一方、 ステップ 5の分岐判断で N o、 つまり、 非安全情報を受信した場合には 、 ステップ 8に進み、 所定の非安全情報の受信処理をする。 つまり、 受信した非 安全情報をメモリに記憶したり、 モニタに出力表示などをする。 その後、 ステツ プ 3に戻り次の受信を待つ。 そして、 受信タイムァゥ トしたならば （ステップ 3 の分岐判断で Y e s ) 、 今回の通信サイクルの処理は終了するので、 次の通信サ ィクルの処理に移行する （S T 7 ) 。 以後、 上記処理を繰り返し実行する。 ' なお、 フローチャー トでの表記は省略した力 実際には、 受信タイムアウ トし た際に、 安全ネッ トワーク 3に接続された全ての安全スレーブ 2からの応答を受 信したか否かを判断する。 もちろん、 係る判断をするためには、 安全応答を受信 した安全スレーブの番号等を記憶する処理を行う。 そして、 受信していない安全 スレーブが存在する場合には、 ネッ トワーク上で異常があつたと推定できるので 、 ステップ 9における通信停止処理をする。 また、 このように 1回でも受信でき ない安全スレーブがあった場合に、 即停止するのではなく、 N回連続して通信で きない場合に通信停止処理をするようにすることもできる。 これらの処理は、 従 来から行われるものである。

一方、 安全スレーブ 2は、 安全 P L C 1からの要求に従い、 安全応答を返す機 能と、 非安全情報を収集するとともに記憶する機能と、 記憶した非安全情報を所 定のタイミングで安全 P L C 1に対して送信する機能などを有する。 係る機能を 実現するための具体的な内部構造は、 図 5に示すようになつている。 同図に示す ように、 安全ネッ トワーク 3に接続し、 安全 P L C 1 (マスタ） との間でデータ の送受を行うネッ トワークインタフェース 2 1 と、 安全スレーブ 2に接続された 安全機器 （図示省略） との間でデータの送受を行うための安全機器インタフエ一 ス 2 2 と、 システム R O M 2 4に格納されたプログラムを読み出し、 システム R A M 2 5のメモリ領域を適宜使用して所定の処理を実行する M P U 2 3を備えて いる。 M P U 2 3は、 ネッ トヮ一クインタフエース 2 1 を介して受信したマス夕 からの要求に従い、 安全機器ィンタフヱース 2 2を介して安全機器から取得した 安全情報 （安全 危険） を、 ネッ トワークインタフヱース 2 1， 安全ネッ トヮー ク 3を経由して安全 P L C 1に返す処理を行う。

なお、 安全スレーブ 2自体が安全機器となることもでき、 その場合に、 安全機 器インタフヱース 22ではなく安全の有無などを検出する安全機器部となる。 な おまた、 安全スレーブ 2における上記した各構成並びに動作原理は、 従来のもの と同様であるのでその詳細な説明を省略する。

さらに、 MPU 23は、 安全機器 4の動作状態 （通電時間， ONZOFF回数 など） 監視機能を備え、 その監視機能を稼働させて得られた動作状態などの機器 情報を非安全情報記憶部 26に格納する処理も実行する。 そして、 この非安全情 報記憶部 26に格納された非安全情報 （機器情報） を、 後述するルールに従い安 全 P L C 1に送信する。

そして、 非安全情報記憶部 26のデータ構造としては、 例えば図 6に示すよう になる。 ここで、 入力 1， 2, 3， …とは、 安全スレーブ 2の接点 （端子台） の 番号である。 そして、 図に示す登録する各項目のうち、 機種種別， メーカ一名， 型式， 寿命設定は、 予め登録する。 具体的には、 例えば安全 P LC 1や安全ネッ トワーク 3に接続したツールを用い、 安全ネッ トワーク 3を介して安全スレーブ 2に必要な情報を送ったり、 安全スレーブ 2に直接接続されたツールから情報を 送り、 安全スレーブ 2の MP U 23力 、 ネッ トワークインタフェース 2 1を介し て係る情報を取得するとともに、 接点番号と関連付けて非安全情報記憶部 26に 登録する。 ここで寿命設定は、 例えば寿命となる通電時間や、 動作回数や、 それ らの値から所定の演算式により求められる値などである。 なお、 寿命が来た場合 には、 その安全機器 4は交換時期にきたので、 寿命結果が異常となり、 安全情報

(異常） を通知することになる。

また、 状態， 動作回数， 通電時間， 通知フラグなどは、 実際のシステム稼働中 に MPU23が収集し、 記録する。 ここで、 状態は、 安全機器 4が動作している

(ON状態） か否か （OFF情報） を識別する情報であり、 動作回数は、 安全機 器 4の接点の ONZOFF回数を示す情報であり、 通電時間は、 安全機器 4に通 電していた積算時間である。 更に、 寿命結果は、 寿命がきたか否か （正常） を格 納する。 更に安全スレーブ 2には、 表示部を設け、 非安全情報記憶部 26に格納 された機器の情報を表示可能とするとよい。

そして、 上記した通電時間並びにリレー ONZOFF回数等の収集アルゴリズ ムは、 図 7に示すフローチャー トのようになつている。 すなわち、 MPU 23は 、 自己診断並びに安全入力監視を行う （S T 1 1 ) 。 すなわち、 自己診断は、 接 続された安全機器 4に異常が発生していないかの検査を行うもので、 この処理自 体は従来公知のものである。 また、 安全入力監視は、 接続された安全機器 4から の入力を監視するものである。 そして、 異常或いは入力があった場合には、 どの 安全機器 4についての情報かも特定する。

次いで、 ステップ 1 1による自己診断 '安全入力監視を行った結果が、 異常検 出や安全入力が OFF (安全でない .危険） であったか否かを判断する （S T 1 2) 。 そして、 異常等が検出された場合には、 異常処理をする （ST 1 3) 。 つ まり、 異常状態等を図示省略の安全情報記憶部の該当する接点番号における自己 診断結果やオンオフ情報の欄に格納する。 なお、 この診断結果等は、 安全 P LC 1からの安全情報の要求に対応し、 安全応答として送信する。

一方、 ステップ 1 2の分岐判断で N o、 つまり安全状態の場合には、 通電時間 を更新する （S T 1 4) 。 この更新処理は、 例えば、 前回の更新処理から現在ま での時間をタイマで計測し （安全機器 4が停止中 （通電なし） は計時せずに一時 停止する） 、 前回の更新処理した際の通電時間に上記計測した更新処理から現在 までの通電時間を加算した値を新たな通電時間とし、 その通電時間を、 非安全情 報記憶部 2 6に格納する。

次いで、 安全機器 4の入力状態が OFF (前回） から ON (今回） に変わった か否かを判断する （ST 1 5) 。 つまり、 前回 OFFの場合には、 ステップ 1 3 の処理を経て非安全情報記憶部 26の ON OFF情報の欄は 0 F Fになってい る。 従って、 係る該当する接点番号の ONZO F F情報が OF Fの場合には、 こ の分岐判断は Y e sとなる。 そこで、 ステップ 1 6に進み、 動作カウントを 1ィ ンクリメ ン トする （ST 1 6) 。 この動作カウントが、 非安全情報記憶部 26の 動作回数の欄に登録されるとともに、 非安全情報記憶部 26の状態の欄を ONに する。 これにより、 1回動作力ゥントがインクリメントされると、 状態は ONと なるので、 その次のサイクルでステップ 1 5の分岐判断を実行した場合 （途中で 安全入力 OFFにならない場合） には、 N oとなり、 動作カウン トはされない。 また、 既に ON状態と登録されているので、 再度 ON状態と書き込まなくても問 題はない。 以後、 上記処理を繰り返し実行することによ り、 安全機器 4の状態を 収集， 記憶することができる。

なお、 通電時間や動作回数の計時/計数は、 上記したように、 安全スレーブ 2 側でタイマ · カウンタを持って行っても良いし、 安全スレーブ 2に揆続した安全 機器 4側で通電時間や動作回数を計時 ·計数するとともに、 安全機器 4側で常時 記憶しておき、 安全スレーブ 2が所定タイミングで安全機器 4に記憶された記憶 情報を読み出すようにしてもよい。

さらに、 本形態では、 非安全情報記憶部 2 6に格納された非安全情報を送信す るタイミングを決定する非安全情報送信制御部 2 7を設けている。 この非安全情 報送信制御部 2 7は、 本形態では、 非安全情報を通知する送信タイミングのしき い値を記憶するメモリである。

つま り、 非安全情報送信制御部 2 7のデータ構造は、 図 8に示すように、 通電 時間， リレー O N Z O F F回数並びに通信のリ トライ回数において、 1または複 数の送信するタイミングを格納している。 通電時間でいうと、 通電時間が 2 0 0 h , 4 0 0 h , 6 0 0 h , 8 0 0 hを超えた時に安全 P L C (マスタ） 1へ現在 値を通知することを意味する。 また、 リレーの O N _ 0 F F回数の場合、 3 0 0 0回， 5 0 0 0回， 8 0 0 0回， 1 0 0 0 0回を超えた時に安全 P L C 1へ現在 値を通知することを意味する。 さらに、 リ トライ回数の場合、 通信サイクルが 5 0 0回， 1 0 0 0回， 1 5 0 0回， 2 0 0 0回時にその時点でのリ トライ回数を 安全 P L C 1に通知することを意味する。

要は、 寿命なら途中経過のどこかの区切りになったことを知らせればよい。 例 えばリ レーの O N Z O F F回数の場合には、 図示のように 5 0 0 0， 8 0 0 0な どの区切り数値としてもよいし、 割合で決めてもよい。 例えば、 図 6中の入力 1 のドアスィ ッチのように 8 0 0 0 0 (回或いは時間） が寿命設定なら、 3分の 1 の 2 6 6 6 7回や、 8 0 %の 6 4 0 0 0回と設定してもよい。 つまり、 安全に動 作するとみなせる範囲で、 寿命経過 （消耗途中経過） のどの辺りかを表す情報を 得るようにすればよい。

このように、 ネッ トワーク情報 （通信エラー時のリ トライ回数、 入出力応答時 間など） の通知により、 ネッ トワーク環境の改善ボイントの明確化や応答時間 （ 安全対応システムでは安全停止時間） の最適化を図ることができる。 つま り、 異 常 ·故障を頻繁に生じる安全機器がある場合には、 何か問題があると予測できる ので、 使用する機器自体を変更するなどシステムの変更を図ることができる。 なお、 上記した通電時間やリレー O NZ O F F回数は、 非安全情報記憶部 2 6 にアクセスして取得することができる。 また、 通信サイクルやリ トライ回数の情 報は、 通信を制御 ·実行するチップ自体が記憶保持しているので、 係る情報を収 集することにより、 送信タイ ミ ングに来たか否かを判別できる。 すなわち、 本形 態では、 非安全情報の送信タイミングに来たか否かの実際の判断は、 M P U 2 3 が非安全情報送信制御部 2 7をアクセスして各非安全情報の送信タイミングを取 得するとともに、 非安全情報記憶部 2 6をアクセスして送信タイミ ングになった ものがあるか否かを判断する。 そして、 送信タイミ ングになった非安全情報を検 出すると、 該当する情報を送信するようになる。

さらにまた、 送信する非安全情報としては、 上記したものに限られないのは言 うまでもなく、 例えば自己診断結果を非安全情報として送信するようにしても良 レ、。 つまり、 自己診断で異常となった場合に、 その異常の要因を示す情報を送信 することもできる。 一例と しては、 ライ トカ一テン機能内蔵デバイスの自己診断 異常要因情報としては、 インタ一ロック配線異常， 外部リ レーモニタ異常， 干渉 光異常， 制御出力異常並びにセンサ破壊などがある。

そして、 M P U 2 3における安全情報並びに非安全情報の送信の制御アルゴリ ズムは、 図 9に示すフローチャートのようになつている。 すなわち、 電源投入後 、 安全 P L C (マスタ） から送られてくる要求を待ち （S T 2 1， S T 2 2 ) 、 要求を受けると、 安全応答をする （S T 2 3 ) 。 つまり、 安全状態 （安全 Z異常 ) を通知する。

次いで、 非安全情報の送信タイ ミ ングに来ているか否かを判断する （S T 2 4 ) 。 つまり、 非安全情報記憶部 2 6に格納された所定の情報や通信回数が、 非安 全情報送信制御部 2 7に格納された設定値に達しているか否かや、 通知すべき自 己診断結果の有無等を判断する。 そして、 非安全情報の送信タイ ミ ングに来てい る場合には、 該当する非安全情報を送信する （S T 2 5 ) 。 また、 係る送信タイ ミングでない場合には、 今回の通信サイクルでは非安全情報を送信しない旨を決 定し、 処理をしない （S T 2 6 ) 。 以後、 上記処理を繰り返し実行することによ り、 安全 P L C (マスタ） 1からの要求に応じて安全応答をするとともに、 非安 全情報の送信タイミングに達した場合には、 安全スレーブ 2側が主体となって積 極的に非安全情報を送信する。 なお、 非安全情報の送信は、 上記要求を受信後に 安全ネッ トワーク 3上を流れるデータを監視し、 送信フレームが伝送されなくな つたことを確認後送信するようになる。

一方、 本形態におけるネッ トワークインタフェース 2 1による安全ネッ トヮ一 ク 3上のデータの送受， 通信プロ トコルは、 C A N (Control ler Area Networ k) を用いている。 すなわち、 良く知られているように、 C A Nにおいては、 デー タリンク層で優先順位の管理を行い、 通信回線上のデータがヮ一ヤード O Rされ 、 データ 「1」 とデータ 「0」 が重なった場合、 回線上では、 データ 「0」 が現 れる。 このとき、 各安全スレーブ 2は、 それぞれ自己が送信しょうとする送信フ レーム （安全情報） を送出するとともに、 回線上のデータを監視し、 回線上を流 れるデータと自己が送出したデータが一致するか否かを判断し、 一致しない場合 には今回の送信をする権限がないと判断し、 それ以降のデータの送信を停止する o

これにより、 送信フレームは、 通常、 ヘッダ情報， 送信先 ·送信元アドレス， 送信するデータの順に配列されているので、 送信元ァドレスつまり各安全スレー ブ 2のノード番号の小さいものから順に送信することができる。 よって、 図 3に 示したように、 安全 P L C 1からの一斉同報による要求に対し、 安全スレーブ 2 は、 ①—②—③の順に安全応答を返すようになる。

上記した実施の形態によると、 図 1 0に示すように、 非安全情報の送信タイミ ングにない場合には、 各安全スレーブ 2が安全応答を返した後は、 各安全スレー ブ 2はそのまま次の要求の受信を待つ。 なお、 図では、 安全スレーブ①を S 1で 示し、 安全スレーブ②を S 2で示し、 安全スレーブ③を S 3で示している。 つま り、 N回目の通信サイクルでは、 安全応答のみ実行されて処理を終了する。

次いで、 1回の通信サイクルに設定された時間が経過して受信タイムァゥトす ると、 安全 P L C (マスタ） 1が次の要求を発するので、 それを受けて各安全ス レーブが順に安全応答をする。 そして、 この N + 1回目の通信サイクルでは、 あ る安全スレーブ 2が非安全情報の送信タイミングに来た （所定の非安全情報が設 定されたしきい値を越える） ので、 安全応答の終了後に、 非安全情報を送信する 。 このとき送る非安全情報は、 設定を超えた非安全情報のみとしている。 これに より、 送信するデータ量を抑え、 短時間で送信できるようにしている。 もちろん 、 しきい値を越えた非安全情報以外の情報を併せて送るようにしても良い。 なお、 上記した実施の形態では、 安全 P L C 1から各安全スレーブに対して発 行する要求を一斉同報により行ったが、 本発明はこれに限ることはなく、 例えば 、 図 1 1に示すように、 各安全スレーブ 2に対し、 ①—②—③といように順番に 要求を発し、 要求を受けた安全スレーブ 2が順次安全要求を返すようにしたもの においても同様に適用できる。 この場合でも、 図示するように、 設定されたしき い値を越え、 非安全情報の送信タイミングになった非安全スレーブが存在する場 合には非安全情報を送信するが、 係るタイミングにない場合には非安全情報は送 信されない。

なお、 上記した実施の形態では、 非安全情報送信制御部 2 7と非安全情報記憶 部 2 6とを別に記載したが、 1つのテーブルとして格納するようにしてももちろ ん良い。 また、 上記した実施の形態では、 非安全情報送信制御部 2 7は、 送信タ ィミングに達したか否かの判断基準となるしきい値を記憶するメモリとし、 実際 の判断は M P U 2 3が行うようにした力、 非安全情報送信制御部 2 7が非安全情 報記憶部 2 6を監視し、 送信タイミングに来た場合に M P U 2 3に対してトリガ をかけるようにしてももちろん良い。

また、 上記した実施の形態では、 1回の通信サイクルの中で、 安全情報を送信 する安全応答のための期間の後に非安全情報を送信する期間を設けたが、 本発明 はこれに限ることはなく、 特別に非安全情報を送信する時間を設けないようにす ることもできる。 すなわち、 一例を示すと、 非安全情報の送信タイミングにきた 場合には、 安全情報に替えて非安全情報を送信することである。

つまり、 安全 P L Cから安全要求が来た場合に、 通常は安全応答をする力 非 安全情報の送信タイ ミ ングの場合には非安全情報を送信する。 このとき、 前記安 全スレーブが安全状態であることを条件に非安全情報を送信するようにする。 す ると、 非安全情報が送信されるということは、 安全スレーブの安全が保障される ことを意味する。 従って、 安全スレーブが安全状態である場合には、 安全 P L C は、 安全情報 （安全） を受信することにより直接、 或いは、 非安全情報を受信す ることにより間接的に安全スレ一ブが安全状態にあることを確認できる。 また、 仮に非安全状態を送信するタイミングにある場合に安全状態でなくなると、 安全 でないと言う安全情報 （危険 ·異常） を送信するので、 安全状態でなく なった場 合にフェイルセーフが起動するまでの応答時間は、 延ばさずに済む。 換言すると 、 安全ネッ トワークのトラフィ ックに影響を与えず、 非安全情報をスレーブ （安 全スレーブ） からマスタ （安全コントローラ） に通知できる。

なお、 この場合に、 安全 P L C側は受信したフレーム力 ^?、 安全情報なのか非安 全情報なのかがわからなくなるので、 例えば、 それらを区別するフラグを送信フ レームに付加すると良い。

一方、 上記した実施の形態で説明したスレーブは、 マスタユニッ トとの間で I / 0情報を送受し、 そのマスタユニッ トを経由してコン トローラ （P L C ) と係 る I 0情報の送受を行ってシステムの制御を行う例を示し、 マスタュニッ トと スレーブとの間は、 マスタからの要求に対して所望のスレーブがレスポンスを返 すといったマスタースレーブ方式を説明した。 しかし、 本発明で言うスレーブは 、 マスタ一スレーブ間通信を行うものに限られない。 つまり、 スレーブとは称す るものの、 通信方式は任意のものを利用できる。 その点では、 厳密に言うと一般 的に定義されているスレーブとは異なる概念を含むものであると言える。

つまり、 本発明で言う所のスレーブは、 制御に必要な I 0情報をコン ト口一 ラと送受する機能が有れば、 安全情報や非安全情報を送受信する際の通信プロ ト コルは任意である。 さらに本発明で送信対象とする安全情報， 非安全情報の送信 先は、 マスタユニッ トやコン トローラに限ることはなく、 ネッ トワークに接続さ れたモニタ装置ゃコンフィ グレーショ ンツールや他のスレーブその他の装置等の 自ノード以外のデバイス、 つまり他ノードとすることができる。

そして、 通信方式も、 送信相手に応じて適宜選択できる。 もちろん、 送信する ためのトリガも、 上記したマスタからのリクエス トのように外部からの要求 （例 えば、 モニタ装置やコンフィグレーションツール等からの要求） に応じて行うも のに限ることはなく、 内部トリガ （内部のタイマ， 一定の条件に合致したときに 発生するイベン トなど） に基づいて送信してもよい。 ここで、 「内部トリガ」 とは、 スレーブ自身の所定の処理実行の結果に基づく もので、 スレーブ内部で生成されるものである。 そして、 内部トリガの一例を示 すと、 以下のものがある。 すなわち、 異常状態が発生した時や、 スレーブで取得 した入出力機器の状態情報がしきい値に達したり、 しきい値を越えたかどうかを 判断すると、 その判断結果が生じる。 その判断結果をトリガ信号として利用する ものがある。 さらに、 スレーブ内で時計を持たせておき、 その時計により所定時 間経過のたびに周期的にトリガ信号を生成したり、 所定時刻でトリガ信号を生成 するものもある。

上記した内部トリガをさらに詳細に説明すると、 安全スレ一ブが情報を送信す るタイミングを決定するためのものと、 その情報を送信する際に非安全情報を送 信するための条件を満たした場合に発するものがある。 そして、 前者の情報を送 信するタイミングを決定するものとしては、 内部タイマで一定時間結果した場合 や、 条件イベントが発生した場合などがある。 後者の非安全情報の通知条件とし ての内部トリガは、 非安全情報として収集している値がしきい知を超えた場合や 、 自己診断結果の結果通知が必要となった場合などがある。 もちろん、 この非安 全情報の通知条件として、 内部タイマを設け、 通常の送信間隔よりも長い所定期 間が経過した場合に非安全情報を通知する トリガを発生させるようにしても良い なお、 各安全スレーブは、 自己の内部タイマに基づいて情報を送信する場合、 既に他の安全スレーブが送信中の場合には、 送信を停止し、 同時に送信しようと してネッ トワーク上で衝突した場合には、 優先順位の高い安全スレーブ （ノード 番号の小さいもの） がそのまま通信を継続する。 これにより、 1回の通信サイク ルで、 所定の順で各安全スレーブから順次情報を送信することができる。 そして 、 送信タイマを適宜に設定することにより、 以後は、 その順でスムーズに繰り返 し情報の送信が行える。

そして、 内部トリガに基づいてスレーブ側から自発的に情報を発信する場合、 マスタからの要求に対する応答ではなく、 例えば図 1 2に示すように、 各安全ス レーブが、 それぞれ適宜のタイ ミ ングで安全情報を送信し、 必要に応じて非安全 情報を送信するように構成できる。 この場合の送信先は、 上記した実施の形態の ようにマスタとすることもできるし、 コンフィ グレーションツールその他のデバ イスとすることもできる。

そして、 係る処理を実行するための安全スレーブの機能としては、 図 1 3に示 すフローチャー トを実行するようにすれば良い。 すなわち、 電源投入後、 送信条 件になること、 つまり、 情報送信のための内部トリガが発生するのを待つ （S T 3 1， S T 3 2 ) 。 そして、 情報送信のための内部トリガが発生すると、 現在の 安全状態 （安全/異常） を安全情報として所定の相手に送信する （S T 3 3 ) 。 次いで、 非安全情報の送信タイ ミ ングに来ているか否かを判断する （S T 3 4 ) 。 つまり、 非安全情報記憶部 2 6に格納された所定の情報や通信回数が、 非安 全情報送信制御部 2 7に格納された設定値に達しているか否かや、 送信すべき自 己診断結果があるか等を判断する。 そして、 条件を具備する場合には、 該当する 非安全情報を送信する （S T 3 5 ) 。 また、 条件を具備しない場合には、 今回の 通信サイクルでは非安全情報を送信することなくステップ 3 1に戻り、 次の内部 トリガが発生するのを待つ。 以後、 上記処理を繰り返し実行することによ り、 安 全スレーブは、 適宜のタイ ミ ングで自発的に安全情報を発するとともに、 非安全 情報の送信タイミングに達した場合には、 安全スレーブ側が主体となって積極的 に非安全情報を送信する。

なお、 非安全情報の送信は、 安全情報を送信した後に安全ネッ トワーク 3上を 流れるデータを監視し、 送信フレームが伝送されなくなつたことを確認後送信す るよつになる。

また、 この例でも、 非安全情報の送信条件に来た場合に、 安全スレーブが安全 状態であることを条件に安全情報を送ることなく非安全情報のみを送信するよう にすることもできる。 つまり、 安全スレーブが安全状態である場合には、 安全 P L C等は、 安全情報 （安全） を受信することによ り直接、 或いは、 非安全情報を 受信することにより間接的に安全スレーブが安全状態にあることを確認できる。 また、 仮に非安全状態を送信するタイミングにある場合に安全状態でなくなると 、 安全でないと言う安全情報 （危険 ·異常） を送信するので、 安全状態でなくな つた場合にフヱイルセーフが起動するまでの応答時間は、 延ばさずに済む。

なお、 この場合に、 安全 P L C側は受信したフレーム力 ^?、 安全情報なのか非安 全情報なのかがわからなくなるので、 例えば、 それらを区別するフラグを送信フ レームに付加すると良い。 産業上の利用可能性

この発明では、 機器情報記憶手段をスレーブに設け、 スレーブに接続された機 器の情報を記憶保持したため、 その記憶保持したスレーブに接続された各機器に ついての情報をネッ トワークを介してコン トローラやッ一ルが収集することがで きる。 そして、 この発明では、 システム全体で常時収集する必要がなくなるので 、 非安全情報の送受信がネッ トワーク トラフィ ックに与える時間を軽減できる。 しかも、 非安全情報を収集している安全スレーブが、 所望のタイ ミ ングで非安全 情報を送信するので、 安全コン トロ—ラその他の装置では非安全情報を効率良く 収集することができる。

Claims

請 求 の 範 囲

1 . 安全ネッ トワークに接続可能な安全スレーブであって、

前記安全ネッ トワークを介して送られてきた安全コントロ一ラからの要求に応 じて、 安全状態にあるか否かを特定する安全情報を送信する安全情報送信機能と 前記安全スレ一ブについての非安全情報を記憶する非安全情報記憶手段と、 その非安全情報記憶手段に格納された前記非安全情報が、 一定の条件を満たし た際に、 前記安全コントローラに向けて少なく とも条件を満たした非安全情報を 送信する機能を備えたことを特徴とする安全スレーブ。

2 . 安全ネッ トワークに接続可能な安全スレーブであって、

前記安全ネッ トワークを介して送られてきた安全コントローラからの要求に応 じて、 安全状態にあるか否かを特定する安全情報を送信する安全情報送信機能と 前記安全スレーブについての非安全情報を記憶する非安全情報記憶手段と、 前記非安全情報の送信のための条件を記憶する記憶手段と、

前記非安全情報に記憶された前記非安全情報が前記条件を満たすか否かを判断 する監視手段と、

その監視手段の監視結果に基づいて送信タイミングを決定する決定手段とを備 えたことを特徴とする安全スレーブ。

3 . 前記非安全情報の送信は、 前記要求に基づく 1回の通信サイクル中におい て、 他の安全スレーブの安全応答の終了後に行うようにしたことを特徴とする請 求の範囲第 1項または第 2項に記載の安全スレーブ。

4 . 安全コン ト ローラと、 請求の範囲第 1項から第 3項の何れか 1項に記載の 安全スレーブとが安全ネッ トワークを介して接続されて構築されるネッ トワーク システムであって、 前記スレ一ブから出力された前記機器の情報が、 前記コン トローラへ送信され ることを特徴とするネッ トワークシステム。

5 . 前記安全コン トローラが管理する 1回の通信サイクルは、 前記各安全スレ ―ブからの安全応答を受信後、 非安全情報の受信期間を持つことを特徴とする請 求の範囲第 4項に記載の安全ネッ トワークシステム。

6 . 安全ネッ トワークに接続可能な安全スレーブであって、

前記安全ネッ トワークを介して送られてきた他のノ一ドからの要求に応じて、 安全状態にあるか否かを特定する安全情報を送信する安全情報送信機能と、 前記安全スレーブについての非安全情報を記憶する非安全情報記憶手段と、 その非安全情報記憶手段に格納された前記非安全情報が、 一定の条件を満たし た際に、 前記他のノードに向けて少なく とも条件を満たした非安全情報を送信す る機能を備えたことを特徴とする安全スレーブ。

7 . 安全ネッ トワークに接続可能な安全スレーブであって、

送信条件を満たした場合に、 安全状態にあるか否かを特定する安全情報を送信 する安全情報送信機能と、

前記安全スレーブについての非安全情報を記憶する非安全情報記憶手段と、 その非安全情報記憶手段に格納された前記非安全情報が、 一定の条件を満たし た際に、 前記安全ネッ トワークに接続された他のノードに向けて少なく とも条件 を満たした非安全情報を送信する機能を備えたことを特徴とする安全スレーブ。