控制系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種使用多個(gè)單一結(jié)構(gòu)的控制器來應(yīng)對多種功能安全等級的控制系統(tǒng)。多個(gè)控制器(10)包括:用于從輸入設(shè)備(30)接收輸入設(shè)備信息的輸入部分(101)���、用于生成輸出到輸出設(shè)備(40���、50)的輸出設(shè)備信息的輸出部分(103)、用于經(jīng)由控制器間通信網(wǎng)絡(luò)(20)與其他控制器進(jìn)行通信的通信部分(104)以及根據(jù)輸入設(shè)備信息和/或輸出設(shè)備信息執(zhí)行預(yù)先設(shè)定的規(guī)定的信息處理的信息處理部分(102)����。經(jīng)由控制器間通信網(wǎng)絡(luò)將多個(gè)控制器結(jié)合成規(guī)定的結(jié)構(gòu),由此實(shí)現(xiàn)預(yù)先設(shè)定的多種功能安全等級中的規(guī)定的功能安全等級�����。
【專利說明】控制系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種滿足規(guī)定的功能安全等級的控制系統(tǒng)。
【背景技術(shù)】
[0002]例如在電梯運(yùn)行控制系統(tǒng)等系統(tǒng)中����,已經(jīng)廣泛使用了電氣控制系統(tǒng)���。為了確?�?刂葡到y(tǒng)的功能安全性�����,已經(jīng)制定了 SILl至SIL4的被稱為安全完整性等級(SafetyIntegrity Level)的功能安全等級����。
[0003]在現(xiàn)有技術(shù)中��,針對如SILl用控制系統(tǒng)�、SIL2用控制系統(tǒng)、SIL3用控制系統(tǒng)那樣所要求的安全等級�����,分別設(shè)置專用的控制系統(tǒng)(專利文獻(xiàn)1��、2)。
[0004]此外���,在各行業(yè)的功能安全規(guī)格中示出了與各種SIL相應(yīng)的控制系統(tǒng)的大致的結(jié)構(gòu)例����。例如��,作為面向電梯的功能安全規(guī)格���,制定了 EN81-1(非專利文獻(xiàn)I)��,作為面向機(jī)械的功能安全規(guī)格�����,制定了 IS013849 (非專利文獻(xiàn)2)�。
[0005]并且���,雖然未提及功能安全等級�����,但是還公知有通過總線來連接輸入裝置和輸出裝置以及信息處理裝置的控制系統(tǒng)(專利文獻(xiàn)3)�����。
[0006]專利文獻(xiàn)I國際公開第2010/109748號公報(bào)
[0007]專利文獻(xiàn)2日本國特表2010-523445號公報(bào)
[0008]專利文獻(xiàn)3日本國特表2002-538061號公報(bào)
[0009]非專利文獻(xiàn)I EN81-1
[0010]非專利文獻(xiàn)2 IS013849
[0011]在現(xiàn)有技術(shù)中��,由于按照SIL等級來構(gòu)筑控制系統(tǒng)�,因此研發(fā)成本以及制造成本會(huì)增加�。可以考慮將控制系統(tǒng)的基本結(jié)構(gòu)作為SIL3����,并將SIL3的裝置應(yīng)用于SIL2的系統(tǒng)以及SIL3的系統(tǒng)這兩者中。但在該情況下���,在本來只需要采用SIL2的裝置的系統(tǒng)中采用SIL3的裝置�,因此導(dǎo)致超出標(biāo)準(zhǔn)�,使得系統(tǒng)的構(gòu)筑成本上升。如上所述����,現(xiàn)有技術(shù)存在無法靈活地應(yīng)對功能安全等級,容易導(dǎo)致成本上升的問題�。
[0012]另外,在同一基板上構(gòu)筑雙系統(tǒng)結(jié)構(gòu)的現(xiàn)有技術(shù)中,在雙系統(tǒng)結(jié)構(gòu)中的一部分發(fā)生了故障時(shí)��,很難在不停止系統(tǒng)的情況下僅修理故障部位�����,導(dǎo)致維護(hù)性能下降�����。
【發(fā)明內(nèi)容】
[0013]本發(fā)明鑒于上述問題而作出��,本發(fā)明的目的在于提供一種能夠使用多個(gè)單一結(jié)構(gòu)的控制器來應(yīng)對多種功能安全等級的控制系統(tǒng)�����。
[0014]為了解決上述問題��,本發(fā)明提供一種控制系統(tǒng)�,其滿足規(guī)定的功能安全等級,該控制系統(tǒng)具有單一結(jié)構(gòu)的多個(gè)控制器���、以及用于將多個(gè)控制器連接成彼此可以進(jìn)行通信的至少一個(gè)控制器間通信網(wǎng)絡(luò)�����,多個(gè)控制器構(gòu)成為包括:用于從輸入設(shè)備接收輸入設(shè)備信息的至少一個(gè)輸入部分�����、用于生成輸出到輸出設(shè)備的輸出設(shè)備信息的至少一個(gè)輸出部分��、用于通過控制器間通信網(wǎng)絡(luò)與其他控制器進(jìn)行通信的至少一個(gè)通信部分��、以及用于根據(jù)輸入設(shè)備信息和/或輸出設(shè)備信息執(zhí)行預(yù)先設(shè)定的規(guī)定的信息處理的至少一個(gè)信息處理部分��,經(jīng)由控制器間通信網(wǎng)絡(luò)將多個(gè)控制器結(jié)合成規(guī)定的結(jié)構(gòu)��,由此實(shí)現(xiàn)預(yù)先設(shè)定的多種功能安全等級中的規(guī)定的功能安全等級��。
[0015](發(fā)明效果)
[0016]根據(jù)本發(fā)明����,經(jīng)由控制器間通信網(wǎng)絡(luò)將多個(gè)單一結(jié)構(gòu)的控制器結(jié)合成規(guī)定的結(jié)構(gòu)�,由此能夠得到與多種功能安全等級中的規(guī)定的功能安全等級相對應(yīng)的控制系統(tǒng)。
【專利附圖】
【附圖說明】
[0017]圖1是表示第一實(shí)施例所涉及的控制系統(tǒng)的結(jié)構(gòu)例的說明圖�。
[0018]圖2是表示通過各自的控制器間通信網(wǎng)絡(luò)來連接輸入側(cè)和輸出側(cè)的結(jié)構(gòu)例的說明圖。
[0019]圖3是表示將信息處理的結(jié)構(gòu)進(jìn)行了雙重化的結(jié)構(gòu)例的說明圖��。
[0020]圖4是表示第二實(shí)施例所涉及的將輸入用控制器進(jìn)行了雙重化的例子的說明圖��。
[0021]圖5是表示通過獨(dú)立于傳送輸入設(shè)備的信息的控制器間通信網(wǎng)絡(luò)而構(gòu)成的控制器間通信網(wǎng)絡(luò)連接經(jīng)雙重化的輸入用控制器的例子的說明圖。
[0022]圖6是表示第三實(shí)施例所涉及的分成本地站點(diǎn)和遠(yuǎn)程站點(diǎn)構(gòu)成的例子的說明圖��。
[0023]圖7是表示第四實(shí)施例所涉及的還能夠從遠(yuǎn)程站點(diǎn)對已被雙重化的本地站點(diǎn)進(jìn)行遠(yuǎn)程監(jiān)視的例子的說明圖��。
[0024]圖8是表示第五實(shí)施例所涉及的統(tǒng)一控制器的軟件結(jié)構(gòu)的例的說明圖����。
[0025]圖9是表示第六實(shí)施例所涉及的發(fā)現(xiàn)對方控制器后實(shí)現(xiàn)雙系統(tǒng)結(jié)構(gòu)的處理的流程圖。
[0026]圖10是表示第七實(shí)施例所涉及的指定條件后搜索對方控制器并實(shí)現(xiàn)雙系統(tǒng)結(jié)構(gòu)的處理的流程圖�����。
[0027]圖11是表示第八實(shí)施例所涉及的能夠?qū)⒈硎臼蔷哂幸?guī)定屬性(功能)的輸入設(shè)備的信息通知給統(tǒng)一控制器的輸入設(shè)備的例的電路圖���。
[0028]圖12是表示用于確認(rèn)連接了具有規(guī)定屬性的輸入設(shè)備的情況的處理的流程圖�。
[0029]圖13是表示第九實(shí)施例所涉及的能夠應(yīng)用于電梯����、汽車、電車�、飛機(jī)、檢察機(jī)械等各種系統(tǒng)的結(jié)構(gòu)的說明圖��。
[0030]圖14是表示第十實(shí)施例所涉及的信息處理用控制器按照接收到的信息的種類改變處理時(shí)的狀況的流程圖���。
[0031]1�、1A、1B��、1C���、1D�、1E�、1F:控制系統(tǒng),10:統(tǒng)一控制器�����,20����、21�、22、23��、24:控制器間通信網(wǎng)絡(luò)���,25:站點(diǎn)間通信網(wǎng)絡(luò)�,30、31:安全開關(guān)�,32:傳感器,40:電動(dòng)機(jī)���,50:制動(dòng)器,101:輸入部分��,102:信息處理部分���,103:輸出部分����,104:通信部分���。
【具體實(shí)施方式】
[0032]以下參照附圖對本發(fā)明的實(shí)施方式進(jìn)行說明�����。如以下的詳細(xì)說明所述��,本實(shí)施方式采用多個(gè)單一結(jié)構(gòu)的控制器來應(yīng)對多種功能安全等級(SIL)�。也就是說,經(jīng)由控制器間通信網(wǎng)絡(luò)適當(dāng)?shù)亟Y(jié)合單一結(jié)構(gòu)的控制器��,由此來構(gòu)筑滿足多種功能安全等級中的期望的功能安全等級的控制系統(tǒng)��。在以下的說明中����,為了與現(xiàn)有技術(shù)加以區(qū)別�����,將本發(fā)明涉及的單一結(jié)構(gòu)的控制器稱為“統(tǒng)一控制器”�。所謂的單一結(jié)構(gòu)的控制器是指具有通用結(jié)構(gòu)的控制器。單一結(jié)構(gòu)的控制器例如構(gòu)成為能夠應(yīng)對所要求的最大的功能安全等級��。
[0033]以下對本實(shí)施方式進(jìn)行詳細(xì)的說明�。以下所述的實(shí)施例的記載在理解和實(shí)施本發(fā)明所需的范圍內(nèi)示出了本發(fā)明的結(jié)構(gòu),但本發(fā)明的范圍并不受實(shí)施例結(jié)構(gòu)的限定�。
[0034](第一實(shí)施例)
[0035]圖1是表示使用多個(gè)統(tǒng)一控制器10構(gòu)成的控制系統(tǒng)I的例���。該控制系統(tǒng)I例如能夠用于控制電梯系統(tǒng)���,但并不僅限于此��,也可以應(yīng)用于其他各種系統(tǒng)中�����。
[0036]圖1所示的控制系統(tǒng)I具有多個(gè)統(tǒng)一控制器IOa?10d���。在不需要加以區(qū)別時(shí)稱為統(tǒng)一控制器10。各個(gè)統(tǒng)一控制器10的結(jié)構(gòu)完全相同����。統(tǒng)一控制器10例如具有設(shè)置在殼體(未圖不)內(nèi)的基板100、設(shè)置在基板100上的輸入部分101�����、信息處理部分102����、輸出部分103以及通信部分104。
[0037]輸入部分101是用于接收來自后述的輸入設(shè)備的信號的電路�。信息處理部分102是執(zhí)行規(guī)定的信息處理的電路。輸出部分103是用于向后述的輸出設(shè)備輸出指示的電路。通信部分104是經(jīng)由控制器間通信網(wǎng)絡(luò)20與其他統(tǒng)一控制器10進(jìn)行雙向通信的電路����。以下,有時(shí)將輸入部分101�、信息處理部分102、輸出部分103以及通信部分104稱為功能部分或者電路���。
[0038]各個(gè)電路101?104可以分別構(gòu)成為各自獨(dú)立的集成電路�����,也可以將各個(gè)電路101?104整合在一個(gè)集成電路內(nèi)��。此外��,各個(gè)電路并不僅限于一個(gè)�����,也可以是多個(gè)���。并且,如后述的實(shí)施例所示��,通信部分104可以具有多個(gè)通信端口�。通信部分104可以各自具有一個(gè)或者多個(gè)使用不同的通信協(xié)議的通信端口,也可以具有多個(gè)使用同一通信協(xié)議的通信端口�����。
[0039]信息處理部分102可以作為MPU(Micro_Processing Unit,微處理單元)或者FPGA (Field-Programmable Gate Array,現(xiàn)場可編程門陣列)等可編程邏輯器件來安裝,或者也可以作為硬接線(Hard Wired)的分立電路來安裝�����?���?梢允褂蒙鲜鋈我粋€(gè)結(jié)構(gòu)。輸入部分101和輸出部分103例如可以作為設(shè)置在MPU或者FPGA上的通用I/O端口等邏輯器件來實(shí)現(xiàn)�����。輸入部分101和輸出部分103可以包括A/D變換器或者DC/DC變換器這樣的進(jìn)行電壓電平變換等的分立電路�。
[0040]可將各個(gè)統(tǒng)一控制器10連接成經(jīng)由控制器間通信網(wǎng)絡(luò)20進(jìn)行雙向通信?���?刂破鏖g通信網(wǎng)絡(luò)20例如可以構(gòu)成為LAN (Local Area Network,局域網(wǎng))、RS232C����、RS422等網(wǎng)絡(luò)����。此外��,控制器間通信網(wǎng)絡(luò)20并不僅限于有線網(wǎng)絡(luò)�����,也可以構(gòu)成為無線網(wǎng)絡(luò)�����、光纖網(wǎng)絡(luò)����。
[0041]在此,控制器間通信網(wǎng)絡(luò)是為了將分別構(gòu)成為獨(dú)立的殼體的統(tǒng)一控制器10連接成彼此可進(jìn)行通信而使用的通信網(wǎng)絡(luò)����,不同于連接同一殼體內(nèi)的集成電路(芯片)彼此的內(nèi)部總線。
[0042]統(tǒng)一控制器10具有相同的結(jié)構(gòu)����,但各自的作用不同���。例如,各個(gè)統(tǒng)一控制器10中的統(tǒng)一控制器IOa是輸入用控制器����。輸入用控制器是輸入部分101上連接有輸入設(shè)備(安全開關(guān)30��、31等)的統(tǒng)一控制器�����。輸入用控制器IOa的輸入部分101與安全開關(guān)30連接��。輸入用控制器IOa的輸出部分103沒有與任何器件連接�。輸入用控制器IOa的通信部分104與控制器間通信網(wǎng)絡(luò)20連接。
[0043]各個(gè)統(tǒng)一控制器10中的統(tǒng)一控制器IObUOc是輸出用控制器���。輸出用控制器是將輸出部分103連接于輸出設(shè)備(電動(dòng)機(jī)40����、制動(dòng)器50等)的統(tǒng)一控制器�。[0044]—個(gè)輸出用控制器IOb的輸入部分101與編碼器41連接,輸出部分103與電動(dòng)機(jī)40連接�����。由于編碼器41是附屬于作為“輸出設(shè)備”的電動(dòng)機(jī)40的傳感器,所以統(tǒng)一控制器IOb是輸出用控制器����。另一個(gè)輸出用控制器IOc的輸出部分103與作為“輸出設(shè)備”的制動(dòng)器50連接。另一個(gè)輸出用控制器IOc的輸入部分101沒有與任何器件連接��。各個(gè)輸出用控制器IObUOc的通信部分104分別與控制器間通信網(wǎng)絡(luò)20連接���。
[0045]各個(gè)統(tǒng)一控制器10中的統(tǒng)一控制器IOd是信息處理用控制器����。信息處理用控制器是根據(jù)輸入設(shè)備信息和/或輸出設(shè)備信息來執(zhí)行規(guī)定的信息處理(例如控制運(yùn)算)的統(tǒng)一控制器�。信息處理用控制器IOd經(jīng)由控制器間通信網(wǎng)絡(luò)20從輸入用控制器IOa接收輸入設(shè)備信息(數(shù)據(jù)包)。并且��,信息處理用控制器IOd經(jīng)由控制器間通信網(wǎng)絡(luò)20從輸出用控制器IObUOc接收輸出設(shè)備信息(數(shù)據(jù)包)����。信息處理用控制器IOd還可以將信息處理的結(jié)果(控制信息)發(fā)送到輸出用控制器10b、10c���,由此通過輸出用控制器10b�����、IOc來控制輸出設(shè)備40���、50��。由于信息處理用控制器IOd是信息處理專用的統(tǒng)一控制器,所以其輸入部分101和輸出部分103沒有與任何器件連接�。
[0046]安全開關(guān)30是“輸入設(shè)備”的一例��。除了安全開關(guān)30�����,其他的安全開關(guān)31 (參照圖4)以及傳感器32(參照圖7)也可以被用作輸入設(shè)備��。在不需要加以區(qū)別安全開關(guān)30����、31以及傳感器32時(shí)�,稱為“安全開關(guān)等”或者“傳感器等”。
[0047]上述的輸入用控制器IOa的輸入部分101與來自安全開關(guān)等的信號線連接��,來自安全開關(guān)等的信號直接被輸入到上述的輸入用控制器IOa的輸入部分101作為電信號或者光信號等��。在此,直接輸入是指不經(jīng)由其他統(tǒng)一控制器10就將來自安全開關(guān)等的信息(相當(dāng)于輸入設(shè)備信息)直接輸入的情況�����。信息處理用控制器IOd獲取來自安全開關(guān)等的信息作為在輸入用控制器IOa中生成的數(shù)據(jù)包�����。例如����,從安全開關(guān)等輸出的接通/斷開信號在輸入用控制器IOa中被變換為多位數(shù)據(jù),并作為數(shù)據(jù)包而被發(fā)送到控制器間通信網(wǎng)絡(luò)20��。并不是作為“O”或者“I”的I位信號來進(jìn)行發(fā)送是為了提高安全性�����。如果使用I位信號(數(shù)據(jù))����,則在發(fā)生了斷線等的情況下,接收側(cè)的統(tǒng)一控制器10可能會(huì)作出錯(cuò)誤的解釋���。因此�,在本實(shí)施例中,將輸入設(shè)備信息等變換成規(guī)定的多位數(shù)據(jù)后發(fā)送到控制器間通信網(wǎng)絡(luò)20�。
[0048]從輸入用控制器IOa向控制器間通信網(wǎng)絡(luò)20上發(fā)送輸入設(shè)備信息的數(shù)據(jù)包,從輸出用控制器IObUOc向控制器間通信網(wǎng)絡(luò)20上發(fā)送輸出設(shè)備信息的數(shù)據(jù)包���,從信息處理用控制器IOd向控制器間通信網(wǎng)絡(luò)20上發(fā)送控制信息����。如上所述�����,在圖1所示的結(jié)構(gòu)中�,控制器間通信網(wǎng)絡(luò)20獨(dú)自承擔(dān)各個(gè)統(tǒng)一控制器10之間的信息傳遞��。
[0049]圖2表示圖1所示結(jié)構(gòu)的第一變形例�。在圖1的結(jié)構(gòu)中,所有的數(shù)據(jù)包(輸入設(shè)備信息���、輸出設(shè)備信息以及控制信息)流向共用的控制器間通信網(wǎng)絡(luò)20�。與此相對����,在圖2所示的控制系統(tǒng)IA中��,分別設(shè)置了用于傳送輸入設(shè)備信息的第一控制器間通信網(wǎng)絡(luò)21����、和用于傳送輸出設(shè)備信息的第二控制器間通信網(wǎng)絡(luò)22����。
[0050]其結(jié)果,圖2所示的控制系統(tǒng)IA被分割成包括輸入用控制器IOa的輸入?yún)^(qū)域�、包括信息處理用控制器IOd的計(jì)算區(qū)域以及包括輸出用控制器IObUOc的輸出區(qū)域。在以下的圖中省略了信息處理部分102的圖示�。并且在圖中分別將輸入部分簡稱為“輸入”,將輸出部分簡稱為“輸出”���,并且將通信部分簡稱為“通信”����。
[0051]輸入用控制器IOa的輸入部分101經(jīng)由信號線與安全開關(guān)30連接�����。輸入用控制器IOa的通信部分104與第一控制器間通信網(wǎng)絡(luò)21連接����。輸入用控制器IOa根據(jù)來自安全開關(guān)30的信號來生成輸入設(shè)備信息的數(shù)據(jù)包�����,并將該數(shù)據(jù)包發(fā)送到第一控制器間通信網(wǎng)絡(luò)21中�。
[0052]輸出用控制器IObUOc的通信部分104與第二控制器間通信網(wǎng)絡(luò)22連接�。輸出用控制器IObUOc的輸出部分103與輸出設(shè)備40、50連接���。此外���,輸出用控制器IOb的輸入部分101與附屬于作為輸出設(shè)備的電動(dòng)機(jī)40的編碼器41連接。輸出用控制器10b����、10c生成表示輸出設(shè)備的狀態(tài)等的輸出設(shè)備信息的數(shù)據(jù)包,并將其發(fā)送到第二控制器間通信網(wǎng)絡(luò)22中���。
[0053]執(zhí)行規(guī)定的控制運(yùn)算的信息處理用控制器IOd的通信部分104分別與第一控制器間通信網(wǎng)絡(luò)21和第二控制器間通信網(wǎng)絡(luò)22連接。信息處理用控制器IOd的輸入部分101和輸出部分102沒有與任何器件連接��。信息處理用控制器IOd經(jīng)由第一控制器間通信網(wǎng)絡(luò)21從輸入用控制器IOa接收輸入設(shè)備信息的數(shù)據(jù)包�����。此外,信息處理用控制器IOd經(jīng)由第二控制器間通信網(wǎng)絡(luò)22從輸出用控制器IObUOc接收輸出設(shè)備信息的數(shù)據(jù)包�。并且,信息處理用控制器IOd根據(jù)輸入設(shè)備信息和/或輸出設(shè)備信息�����,執(zhí)行規(guī)定的控制運(yùn)算��。
[0054]如上所述��,將控制器間通信網(wǎng)絡(luò)分成用于傳送輸入設(shè)備信息的第一控制器間通信網(wǎng)絡(luò)21和用于傳送輸出設(shè)備信息的第二控制器間通信網(wǎng)絡(luò)22����。由此,通過分離輸入設(shè)備信息的通信量和輸出設(shè)備信息的通信量���,能夠減輕控制系統(tǒng)內(nèi)部的通信負(fù)荷�,能夠進(jìn)一步提高控制系統(tǒng)的響應(yīng)性����。
[0055]圖3表示圖1所示結(jié)構(gòu)的第二變形例。圖3的結(jié)構(gòu)例與圖2的結(jié)構(gòu)例相比��,在圖3的控制系統(tǒng)IB中,設(shè)置了多個(gè)統(tǒng)一控制器IOcUlOe作為信息處理用控制器�����。第一(一個(gè))信息處理用控制器IOd與第二(另一個(gè))信息處理用控制器IOe經(jīng)由第三控制器間通信網(wǎng)絡(luò)23而被直接連接�。由于第三控制器間通信網(wǎng)絡(luò)23主要用于控制信息的傳送中,所以也可以將第三控制器間通信網(wǎng)絡(luò)23稱為控制信息用控制器間通信網(wǎng)絡(luò)�。
[0056]第一信息處理用控制器IOd經(jīng)由分別獨(dú)立設(shè)置的控制器間通信網(wǎng)絡(luò)21?23獲取以下所述的三種信息。第一信息是經(jīng)由第一控制器間通信網(wǎng)絡(luò)21從輸入用控制器IOa獲取的輸入設(shè)備信息�����。由于第一控制器間通信網(wǎng)絡(luò)21主要用于傳送與輸入設(shè)備有關(guān)的信息�,所以也可以將第一控制器間通信網(wǎng)絡(luò)21稱為輸入側(cè)通信網(wǎng)絡(luò)。第二信息是經(jīng)由第二控制器間通信網(wǎng)絡(luò)22從輸出用控制器IObUOc獲取的輸出設(shè)備信息���。由于第二控制器間通信網(wǎng)絡(luò)22主要用于傳送與輸出設(shè)備有關(guān)的信息����,所以也可以將第二控制器間通信網(wǎng)絡(luò)22稱為輸出側(cè)通信網(wǎng)絡(luò)�����。第三信息是經(jīng)由第三控制器間通信網(wǎng)絡(luò)23從第二信息處理用控制器IOe獲取的控制信息���。
[0057]第一信息處理用控制器IOd能夠根據(jù)輸入設(shè)備信息���、輸出設(shè)備信息以及控制信息來執(zhí)行規(guī)定的控制運(yùn)算?���;蛘撸谝恍畔⑻幚碛每刂破鱅Od也能夠根據(jù)輸入設(shè)備信息和輸出設(shè)備信息執(zhí)行規(guī)定的控制運(yùn)算���,并將作為運(yùn)算結(jié)果的控制信息經(jīng)由第三控制器間通信網(wǎng)絡(luò)23而發(fā)送給第二信息處理用控制器10e����。
[0058]在本實(shí)施例中�,如上所述,經(jīng)由控制器間通信網(wǎng)絡(luò)20�、21、22以規(guī)定的結(jié)構(gòu)結(jié)合了單一結(jié)構(gòu)的多個(gè)統(tǒng)一控制器10��。由此����,能夠?qū)崿F(xiàn)預(yù)先設(shè)定的多種功能安全等級(SIL1?SIL3)中的任一種規(guī)定的功能安全等級。
[0059]因此�,在本實(shí)施例中��,沒有必要針對每個(gè)功能安全等級開發(fā)或制造專用控制器�����,只要經(jīng)由控制器間通信網(wǎng)絡(luò)連接單一結(jié)構(gòu)的統(tǒng)一控制器10����,就能夠靈活地應(yīng)對期望的功能安全等級�����。其結(jié)果��,能夠降低統(tǒng)一控制器和控制系統(tǒng)的成本��。
[0060]此外�����,由于統(tǒng)一控制器10采用單一結(jié)構(gòu)��,所以能夠減少庫存�。因此,在統(tǒng)一控制器10發(fā)生了故障時(shí)�����,能夠迅速采取應(yīng)對措施�。并且,在構(gòu)筑雙系統(tǒng)結(jié)構(gòu)(或多系統(tǒng)結(jié)構(gòu))的一部分統(tǒng)一控制器10發(fā)生了故障時(shí)��,只要更換發(fā)生了故障的統(tǒng)一控制器10即可�����,所以在進(jìn)行維護(hù)作業(yè)時(shí)不需要停止控制系統(tǒng)�����。
[0061]并且�,本實(shí)施例還能夠靈活地應(yīng)對控制系統(tǒng)的結(jié)構(gòu)變更。例如�,在控制系統(tǒng)中增設(shè)新的安全開關(guān)30的情況下,只需要增設(shè)用于獲取并處理來自新的安全開關(guān)30的信號的輸入用控制器����,就能夠應(yīng)對該結(jié)構(gòu)變更。同樣���,在增減電動(dòng)機(jī)40或者制動(dòng)器50等輸出設(shè)備的情況下�����,也只要根據(jù)輸出設(shè)備的增減數(shù)來追加或者刪除輸出用控制器即可�。并且,在將來修改安全規(guī)格后需要增加控制運(yùn)算處理等時(shí)��,也只需要將負(fù)責(zé)增設(shè)的控制運(yùn)算處理的信息處理用控制器與控制器間通信網(wǎng)絡(luò)連接�,就可以應(yīng)對。
[0062]如上所述���,根據(jù)本實(shí)施例����,能夠方便且低成本地構(gòu)筑符合規(guī)定功能安全等級的控制系統(tǒng)���,并且還能夠方便且迅速地應(yīng)對控制系統(tǒng)的結(jié)構(gòu)變更���。
[0063](第二實(shí)施例)
[0064]參照圖4和圖5來說明第二實(shí)施例。在包括本實(shí)施例在內(nèi)的以下的各個(gè)實(shí)施例中省略重復(fù)的說明�,主要對特征結(jié)構(gòu)進(jìn)行說明。在本實(shí)施例中�,對按照功能安全等級需要構(gòu)筑雙系統(tǒng)(多系統(tǒng))時(shí)的結(jié)構(gòu)例進(jìn)行說明。
[0065]圖4的控制系統(tǒng)IC包括雙系統(tǒng)結(jié)構(gòu)和單系統(tǒng)結(jié)構(gòu)����。安全開關(guān)30隨著其用途�,有時(shí)要求的功能安全等級會(huì)不同��。一方的安全開關(guān)30允許構(gòu)成為單系統(tǒng)����,而另一方的安全開關(guān)31則要求構(gòu)成為雙系統(tǒng)����。
[0066]若是單系統(tǒng)結(jié)構(gòu),則只要將安全開關(guān)30與統(tǒng)一控制器IOf —對一地連接即可�����。統(tǒng)一控制器IOf經(jīng)由其通信部分104而與控制器間通信網(wǎng)絡(luò)20連接��。并且��,統(tǒng)一控制器IOf還可以經(jīng)由控制器間通信網(wǎng)絡(luò)20等而與其他統(tǒng)一控制器(未圖示)連接�。
[0067]與此相對,假定圖4的右側(cè)所示的安全開關(guān)31側(cè)的結(jié)構(gòu)所要求的功能安全等級較高�����。要求安全開關(guān)31具有強(qiáng)制分離開關(guān)(參照圖11的分離開關(guān)301)。并且�����,還要求通過兩個(gè)信道(多信道)對安全開關(guān)31的狀態(tài)進(jìn)行監(jiān)視���。
[0068]因此��,圖4所示的安全開關(guān)31具有在接點(diǎn)發(fā)生了粘連等時(shí)強(qiáng)制性使接點(diǎn)開放的強(qiáng)制分離開關(guān)���,并且安全開關(guān)31與多個(gè)統(tǒng)一控制器10g、10h連接����。由多個(gè)統(tǒng)一控制器10g、IOh監(jiān)視安全開關(guān)31的狀態(tài)����。
[0069]多個(gè)統(tǒng)一控制器10g、10h與控制器間通信網(wǎng)絡(luò)20連接�����,彼此能夠經(jīng)由控制器間通信網(wǎng)絡(luò)20進(jìn)行通信。在采用雙系統(tǒng)的系統(tǒng)結(jié)構(gòu)時(shí)����,通常需要在彼此間進(jìn)行比較。各個(gè)統(tǒng)一控制器10g�����、IOh生成包括表示安全開關(guān)31的狀態(tài)的輸入設(shè)備信息的數(shù)據(jù)包�,并且能夠經(jīng)由控制器間通信網(wǎng)絡(luò)20相互交換這些數(shù)據(jù)包。
[0070]此外��,也可以將由各個(gè)統(tǒng)一控制器10g����、10h生成的輸入設(shè)備信息發(fā)送給未圖示的信息處理用控制器�����,在該信息處理用控制器內(nèi)比較多個(gè)輸入設(shè)備信息是否一致�。另外,由于通過多個(gè)信道對安全開關(guān)31的狀態(tài)進(jìn)行監(jiān)視����,所以即使多個(gè)統(tǒng)一控制器10g、IOh中的某一個(gè)統(tǒng)一控制器發(fā)生了故障,也能夠通過其他統(tǒng)一控制器繼續(xù)監(jiān)視安全開關(guān)31的狀態(tài)���。
[0071]如上所述��,通過將多個(gè)統(tǒng)一控制器10與控制器間通信網(wǎng)絡(luò)20連接����,能夠容易構(gòu)筑雙系統(tǒng)結(jié)構(gòu)�����,另外��,在使用非強(qiáng)制分離型的安全開關(guān)30來構(gòu)筑雙系統(tǒng)結(jié)構(gòu)時(shí)�����,有時(shí)需要設(shè)置兩個(gè)該安全開關(guān)30��。此時(shí)�,可以準(zhǔn)備多種安全開關(guān)30與統(tǒng)一控制器IOf的組合來與控制器間通信網(wǎng)絡(luò)20連接。
[0072]圖5表示第二實(shí)施例的變形例�。在圖5所示的控制系統(tǒng)ID中,經(jīng)由控制信息傳送用控制器間通信網(wǎng)絡(luò)24來連接用于監(jiān)視安全開關(guān)31的狀態(tài)的多個(gè)統(tǒng)一控制器10g�、10h���。
[0073]控制器間通信網(wǎng)絡(luò)20的主要目的基本上是使得能夠?qū)ψ鳛檩斎朐O(shè)備的安全開關(guān)30和安全開關(guān)31的狀態(tài)進(jìn)行通信。從功能安全的角度來看��,在用于對安全開關(guān)31的狀態(tài)進(jìn)行相互比較的信息傳送中���,有時(shí)優(yōu)選設(shè)置其他控制器間通信網(wǎng)絡(luò)24���。因此,在圖5的結(jié)構(gòu)中����,設(shè)置彼此不同的多個(gè)控制器間通信網(wǎng)絡(luò)20、24����,分別采用不同的控制器間通信網(wǎng)絡(luò)來傳送輸入設(shè)備信息和相互監(jiān)視用的信息��。
[0074]在現(xiàn)有技術(shù)中��,為了對雙系統(tǒng)結(jié)構(gòu)中的信息進(jìn)行相互比較�����,使用DPRAM(Dual PortRAM,雙端口 RAM)或者專用處理器間通信總線開發(fā)出了雙系統(tǒng)專用的控制器���。與此相對�,在本實(shí)施例中����,只需經(jīng)由控制器間通信網(wǎng)絡(luò)20、24連接單一結(jié)構(gòu)的多個(gè)統(tǒng)一控制器10g����、10h,就能夠簡單地獲得雙系統(tǒng)結(jié)構(gòu)�����。
[0075]具有上述結(jié)構(gòu)的本實(shí)施例也能夠獲得與第一實(shí)施例相同的效果�����。
[0076](第三實(shí)施例)
[0077]參照圖6說明第三實(shí)施例���。在本實(shí)施例中���,說明將形成雙系統(tǒng)結(jié)構(gòu)的多個(gè)統(tǒng)一控制器中的一方設(shè)置在遠(yuǎn)程地區(qū)(遠(yuǎn)程站點(diǎn))的情況���。
[0078]圖6所示的控制系統(tǒng)IE包括作為本地站點(diǎn)的裝置側(cè)環(huán)境LS和作為遠(yuǎn)程站點(diǎn)的遠(yuǎn)程環(huán)境RS,通過站點(diǎn)間通信網(wǎng)絡(luò)25連接裝置側(cè)環(huán)境LS和遠(yuǎn)程環(huán)境RS�。由此,在本實(shí)施例中����,例如能夠提高發(fā)生了災(zāi)害等時(shí)的安全性。
[0079]裝置側(cè)環(huán)境LS是控制對象裝置所處的環(huán)境��,遠(yuǎn)程環(huán)境RS是指用于從在物理上遠(yuǎn)離了裝置側(cè)環(huán)境LS的場所對裝置側(cè)環(huán)境LS內(nèi)的控制對象裝置進(jìn)行遠(yuǎn)程監(jiān)視(遠(yuǎn)程控制)的環(huán)境���。
[0080]安全開關(guān)31的狀態(tài)利用由跨越多個(gè)環(huán)境的多個(gè)統(tǒng)一控制器101�、10k構(gòu)成的雙系統(tǒng)結(jié)構(gòu)進(jìn)行監(jiān)視����。第一統(tǒng)一控制器IOi設(shè)置在裝置側(cè)環(huán)境LS內(nèi)。第二統(tǒng)一控制器IOk設(shè)置在遠(yuǎn)離了裝置側(cè)環(huán)境LS的場所的遠(yuǎn)程環(huán)境RS內(nèi)����。
[0081]安全開關(guān)31在裝置側(cè)環(huán)境LS內(nèi)分別與第一統(tǒng)一控制器IOi和第三統(tǒng)一控制器IOj連接�。第三統(tǒng)一控制器IOj例如被用作發(fā)揮橋接功能的橋接用控制器。安全開關(guān)31經(jīng)由橋接用控制器IOj和站點(diǎn)間通信網(wǎng)絡(luò)25而與遠(yuǎn)程環(huán)境RS內(nèi)的第二統(tǒng)一控制器IOk連接����。
[0082]通信網(wǎng)絡(luò)25是用于連接第三統(tǒng)一控制器IOj和第二統(tǒng)一控制器IOk的通信網(wǎng)絡(luò)�����,是控制器間通信網(wǎng)絡(luò)的一種����。并且����,由于通信網(wǎng)絡(luò)25是用于連接裝置側(cè)環(huán)境LS和遠(yuǎn)程環(huán)境RS的通信網(wǎng)絡(luò),所以在本實(shí)施例中稱其為站點(diǎn)間通信網(wǎng)絡(luò)���。此外����,取而代之��,也可以將通信網(wǎng)絡(luò)25稱為外部連接用通信網(wǎng)絡(luò)���。另外�����,作為站點(diǎn)間通信網(wǎng)絡(luò)25�����,只要是不會(huì)對控制系統(tǒng)的安全性產(chǎn)生影響的通信網(wǎng)絡(luò)�����,則可以是有線網(wǎng)絡(luò)�����,也可以是無線網(wǎng)絡(luò)����。
[0083]遠(yuǎn)程環(huán)境RS內(nèi)的第二統(tǒng)一控制器IOk能夠通過站點(diǎn)間通信網(wǎng)絡(luò)25以及橋接用控制器IOj來監(jiān)視裝置側(cè)環(huán)境LS內(nèi)的安全開關(guān)31的狀態(tài)。此外�����,第二統(tǒng)一控制器IOk能夠經(jīng)由站點(diǎn)間通信網(wǎng)絡(luò)25將監(jiān)視結(jié)果傳遞給裝置側(cè)環(huán)境LS或者未圖示的其他站點(diǎn)��。
[0084]本實(shí)施例可以應(yīng)用于第一實(shí)施例和第二實(shí)施例中的任一個(gè)實(shí)施例�,且具有與第一和第二實(shí)施例相同的效果��。此外,在本實(shí)施例中����,用于監(jiān)視安全開關(guān)31的狀態(tài)的多個(gè)統(tǒng)一控制器中的一個(gè)統(tǒng)一控制器被設(shè)置在裝置側(cè)環(huán)境LS內(nèi),其他被設(shè)置在遠(yuǎn)程環(huán)境RS內(nèi)�。因此,在發(fā)生了災(zāi)害等時(shí)�,即使裝置側(cè)環(huán)境LS內(nèi)的第一統(tǒng)一控制器IOi停止了功能的情況下,也能夠通過遠(yuǎn)程環(huán)境RS內(nèi)的第二統(tǒng)一控制器IOk監(jiān)視系統(tǒng)狀態(tài)�,由此能夠確保安全性。此夕卜���,在本實(shí)施例中�,由于能夠從遠(yuǎn)程環(huán)境RS掌握安全開關(guān)31的狀態(tài)���,所以還能夠在遠(yuǎn)程區(qū)域進(jìn)行災(zāi)后恢復(fù)處理和在線維護(hù)作業(yè)等�����。
[0085](第四實(shí)施例)
[0086]參照圖7說明第四實(shí)施例�����。在本實(shí)施例中���,說明在裝置側(cè)環(huán)境LS內(nèi)構(gòu)筑雙系統(tǒng)結(jié)構(gòu)�,并且能夠從遠(yuǎn)程環(huán)境RS監(jiān)視裝置側(cè)環(huán)境LS的情況��。在本實(shí)施例中�����,以如汽車��、建設(shè)機(jī)械等那樣要求高功能安全等級的用于避免危險(xiǎn)狀態(tài)的自動(dòng)停止系統(tǒng)為例進(jìn)行說明����。
[0087]圖7表示本實(shí)施例所涉及的控制系統(tǒng)IF的結(jié)構(gòu)例。裝置側(cè)環(huán)境LS例如設(shè)置在汽車����、建筑機(jī)械、飛機(jī)��、火車等的內(nèi)部�����。因此,裝置側(cè)環(huán)境LS例如還被稱為車身側(cè)環(huán)境�����、機(jī)身側(cè)環(huán)境�����、移動(dòng)體側(cè)環(huán)境等��。
[0088]裝置側(cè)環(huán)境LS具有至少一個(gè)作為輸入設(shè)備的傳感器32����、多個(gè)統(tǒng)一控制器10p�����、10q�、10r、10s�����、至少一個(gè)作為輸出設(shè)備的制動(dòng)器50以及多個(gè)控制器間通信網(wǎng)絡(luò)21�、22。
[0089]傳感器32例如構(gòu)成為用于檢測障礙物的車載傳感器。用于檢測障礙物的傳感器例如構(gòu)成為單眼照相機(jī)���、立體照相機(jī)或者各種雷達(dá)等�。傳感器32與輸入用控制器IOp連接��。通過輸入用控制器IOp處理傳感器32的輸出信號��。輸入用控制器IOp的通信部分104與用于輸入設(shè)備信息的傳送中的控制器間通信網(wǎng)絡(luò)21連接��。輸入用控制器IOp根據(jù)來自傳感器32的信號生成輸入設(shè)備信息的數(shù)據(jù)包����,并將該輸入設(shè)備信息的數(shù)據(jù)包發(fā)送給控制器間通信網(wǎng)絡(luò)21。
[0090]輸出用控制器IOs與作為輸出設(shè)備的制動(dòng)器50連接�。輸出用控制器IOs的通信部分104與輸出側(cè)通信網(wǎng)絡(luò)22連接。輸出用控制器IOs生成輸出設(shè)備信息的數(shù)據(jù)包����,并將該輸出設(shè)備信息的數(shù)據(jù)包發(fā)送給控制器間通信網(wǎng)絡(luò)22。
[0091]在輸入用控制器IOp與輸出用控制器IOs之間設(shè)置有多個(gè)信息處理用控制器10q��、IOr0各個(gè)信息處理用控制器10q��、10r的通信部分104與控制器間通信網(wǎng)絡(luò)21����、22連接��。此夕卜��,信息處理用控制器IOr還具有用于在裝置側(cè)環(huán)境LS和遠(yuǎn)程環(huán)境RS之間進(jìn)行信息交換的橋接功能����,還通過站點(diǎn)間通信網(wǎng)絡(luò)25與遠(yuǎn)程環(huán)境RS內(nèi)的統(tǒng)一控制器IOk連接����。
[0092]統(tǒng)一控制器IOq從控制器間通信網(wǎng)絡(luò)21獲取輸入設(shè)備信息����,并根據(jù)該信息實(shí)施規(guī)定的控制運(yùn)算,并將其處理結(jié)果經(jīng)由控制器間通信網(wǎng)絡(luò)22而發(fā)送給輸出用控制器10s�。
[0093]遠(yuǎn)程環(huán)境RS內(nèi)的統(tǒng)一控制器IOk將裝置側(cè)環(huán)境LS內(nèi)的統(tǒng)一控制器IOr作為橋接控制器,經(jīng)由站點(diǎn)間通信網(wǎng)絡(luò)25獲取裝置側(cè)環(huán)境LS內(nèi)的輸入設(shè)備信息和輸出設(shè)備信息���。
[0094]遠(yuǎn)程環(huán)境RS內(nèi)的統(tǒng)一控制器IOk基于從裝置側(cè)環(huán)境LS獲取到的信息實(shí)施規(guī)定的控制運(yùn)算處理����。統(tǒng)一控制器IOk通過站點(diǎn)間通信網(wǎng)絡(luò)25以及統(tǒng)一控制器IOr將該處理結(jié)果發(fā)送給裝置側(cè)環(huán)境LS內(nèi)的輸出側(cè)通信網(wǎng)絡(luò)22����。
[0095]輸出用控制器IOs根據(jù)從控制器間通信網(wǎng)絡(luò)22接收到的信息(控制運(yùn)算的結(jié)果)來控制制動(dòng)器50�����。經(jīng)由控制器間通信網(wǎng)絡(luò)22向各個(gè)統(tǒng)一控制器10q����、10r發(fā)送該控制結(jié)果��,并且還經(jīng)由站點(diǎn)間通信網(wǎng)絡(luò)25向遠(yuǎn)程區(qū)域內(nèi)的統(tǒng)一控制器IOk發(fā)送該控制結(jié)果��。
[0096]裝置側(cè)環(huán)境LS內(nèi)的信息處理用控制器10f����、10h根據(jù)搭載在車身或者機(jī)身等上的傳感器32所能檢測到的車身周圍的狀況,實(shí)施發(fā)現(xiàn)障礙物時(shí)的減速處理等控制運(yùn)算����。各個(gè)統(tǒng)一控制器10f、10h的運(yùn)算結(jié)果以結(jié)果相同為前提���。
[0097]相對于此�,遠(yuǎn)程環(huán)境RS內(nèi)的統(tǒng)一控制器IOk除了參照來自傳感器32的信號外��,還能夠參照其他信息來進(jìn)行控制運(yùn)算。例如�����,統(tǒng)一控制器IOk能夠在考慮到位于設(shè)有裝置側(cè)環(huán)境LS的控制對象車輛的周邊的其他車輛的行駛狀況等的基礎(chǔ)上進(jìn)行控制運(yùn)算���。因此����,例如不僅能夠根據(jù)與在控制對象車輛前方行駛的先行車輛之間的距離在早期運(yùn)算減速的必要性���,而且還能夠根據(jù)前方其他車輛的速度等早期運(yùn)算減速的必要性。
[0098]本實(shí)施例可以應(yīng)用于第一實(shí)施例和第二實(shí)施例中的任一個(gè)實(shí)施例�。本實(shí)施例可以獲得與第三實(shí)施例相同的效果。在本實(shí)施例中�����,能夠在裝置側(cè)環(huán)境LS內(nèi)通過多個(gè)統(tǒng)一控制器10q��、10r來獲得雙系統(tǒng)的控制器結(jié)構(gòu)��,且還能夠通過遠(yuǎn)程環(huán)境RS內(nèi)的統(tǒng)一控制器IOk來實(shí)現(xiàn)備份結(jié)構(gòu)�����。還可以通過裝置側(cè)環(huán)境LS內(nèi)的控制和遠(yuǎn)程環(huán)境RS內(nèi)的控制,進(jìn)行不同的控制���。另外�,在本實(shí)施例中����,說明了應(yīng)用于汽車的自動(dòng)減速處理或者自動(dòng)停止處理的情況,但本發(fā)明并不僅限于此��,例如還可以應(yīng)用于船舶的運(yùn)行控制��、飛機(jī)的起飛降落控制以及建筑機(jī)械的行駛控制等其他的控制���。
[0099](第五實(shí)施例)
[0100]參照圖8說明第五實(shí)施例�。在本實(shí)施例中����,對統(tǒng)一控制器10的信息處理部分102由作為可編程器件的微處理器(CPU)構(gòu)成的情況的軟件結(jié)構(gòu)進(jìn)行說明。
[0101]作為信息處理部分102所具有的軟件層��,從上位層起算�,具有應(yīng)用程序?qū)?10���、虛擬I/o層111、功能安全層112�����、安全通信層113��、網(wǎng)絡(luò)層114以及I/O層115�����。
[0102]例如碰撞防止程序和自動(dòng)減速程序等這樣的與功能安全等級相對應(yīng)的應(yīng)用程序?qū)?yīng)于應(yīng)用程序?qū)?10�。為了應(yīng)用程序?qū)?10的程序不依賴于通信網(wǎng)絡(luò)和I/O等物理器件,設(shè)置虛擬I/o層111����。由此��,即使在將統(tǒng)一控制器10追加到控制系統(tǒng)中或者使設(shè)置場所移動(dòng)等情況下�,應(yīng)用程序?qū)?10的程序(應(yīng)用程序)也可以在無需意識物理器件的場所等情況下使用物理器件。
[0103]功能安全層112根據(jù)功能安全等級���,實(shí)現(xiàn)通信網(wǎng)絡(luò)以及I/O等的物理器件的安全措施�。功能安全層112按照所要求的功能安全等級來執(zhí)行經(jīng)由安全通信層113訪問網(wǎng)絡(luò)層114還是直接訪問網(wǎng)絡(luò)層114的判斷以及通信處理。并且����,功能安全層112按照所要求的功能安全等級,針對I/o層115實(shí)施反饋處理等安全措施�����。
[0104]具有上述結(jié)構(gòu)的本實(shí)施例可以應(yīng)用于第一實(shí)施例至第四實(shí)施例中的任一個(gè)實(shí)施例�����。通過在信息處理部分102設(shè)置本實(shí)施例所述的軟件層�����,能夠在無需意識通信網(wǎng)絡(luò)以及I/O等物理器件的情況下以及無需意識功能安全等級的情況下進(jìn)行應(yīng)用程序的開發(fā)�。由此,能夠縮短統(tǒng)一控制器10的開發(fā)期間以及降低開發(fā)成本���。
[0105](第六實(shí)施例)
[0106]參照圖9說明第六實(shí)施例��。在本實(shí)施例中����,說明用于實(shí)現(xiàn)雙系統(tǒng)(多系統(tǒng))的控制器結(jié)構(gòu)的方法。圖9的流程圖示出了由一方統(tǒng)一控制器(A)和已知的另一方統(tǒng)一控制器(B)構(gòu)筑雙系統(tǒng)結(jié)構(gòu)時(shí)的處理�����。在此��,在統(tǒng)一控制器上附加符號(A)����、(B)來加以區(qū)別。
[0107]統(tǒng)一控制器(A)將初始化信息發(fā)送給作為雙系統(tǒng)結(jié)構(gòu)的對方的統(tǒng)一控制器(B)(SlO)��。作為對方的統(tǒng)一控制器(B)已知是指�����,在構(gòu)筑控制系統(tǒng)時(shí)已決定用于在通信網(wǎng)絡(luò)上識別統(tǒng)一控制器的網(wǎng)絡(luò)ID等����。
[0108]作為對方的統(tǒng)一控制器⑶接收到初始化信息(Sll)后�����,返回ACK(S12)���。統(tǒng)一控制器㈧接收ACK(S13)�。統(tǒng)一控制器㈧確認(rèn)ACK是否已經(jīng)到達(dá)(S14)。
[0109]在確認(rèn)為ACK已經(jīng)到達(dá)時(shí)(S14:確認(rèn)接收到)����,統(tǒng)一控制器(A)執(zhí)行雙系統(tǒng)結(jié)構(gòu)構(gòu)筑成功時(shí)的處理(S15)。在確認(rèn)為ACK還沒有到達(dá)且還沒有超時(shí)時(shí)(S14:再次接收)�����,統(tǒng)一控制器(A)返回步驟S13�����,再次嘗試接收�����。
[0110]在確認(rèn)為ACK還沒有到達(dá)且已超時(shí)時(shí)(S14:超時(shí)),統(tǒng)一控制器㈧判斷初始化信息的發(fā)送次數(shù)是否達(dá)到了規(guī)定次數(shù)(S16)。在初始化信息的發(fā)送次數(shù)還沒有達(dá)到預(yù)先設(shè)定的規(guī)定次數(shù)時(shí)(S16:否)����,統(tǒng)一控制器(A)返回步驟S10,再次向統(tǒng)一控制器(B)發(fā)送初始
化信息��。
[0111]在發(fā)送了規(guī)定次數(shù)的初始化信息時(shí)(S16:是)�����,統(tǒng)一控制器(A)執(zhí)行雙系統(tǒng)結(jié)構(gòu)構(gòu)筑失敗的處理(S17)���。另外��,由于初始化信息的內(nèi)容����、初始化處理的內(nèi)容����、構(gòu)筑成功處理的內(nèi)容以及構(gòu)筑失敗處理的內(nèi)容不屬于本實(shí)施例的要點(diǎn),并且對理解和實(shí)施本實(shí)施例沒有影響�,所以在此不對其進(jìn)行詳細(xì)說明。
[0112]具有上述結(jié)構(gòu)的本實(shí)施例能夠應(yīng)用于所述各個(gè)實(shí)施例的雙系統(tǒng)(多系統(tǒng))的控制器結(jié)構(gòu)的構(gòu)筑�。
[0113](第七實(shí)施例)
[0114]參照圖10說明第七實(shí)施例。在本實(shí)施例中說明不知道作為對方的統(tǒng)一控制器(B)在網(wǎng)絡(luò)上的所處位置時(shí)的雙系統(tǒng)的控制器結(jié)構(gòu)的構(gòu)筑方法���。
[0115]圖10的流程圖表示一方的統(tǒng)一控制器(A)搜索另一方的統(tǒng)一控制器(B)以構(gòu)筑雙系統(tǒng)的控制器結(jié)構(gòu)的處理���。
[0116]統(tǒng)一控制器(A)生成包括作為雙系統(tǒng)結(jié)構(gòu)的對方的統(tǒng)一控制器(B)應(yīng)具備的條件的詢問信息(S20)�����。統(tǒng)一控制器(A)例如以“應(yīng)作為對方的統(tǒng)一控制器(B)與規(guī)定的安全開關(guān)連接”為條件,生成詢問信息����。統(tǒng)一控制器㈧將所生成的詢問信息從通信部分104發(fā)送到通信網(wǎng)絡(luò)(S21)。
[0117]與通信網(wǎng)絡(luò)連接的各個(gè)統(tǒng)一控制器接收詢問信息(S22)����,并確認(rèn)自己是否滿足詢問信息中指定的條件(S23)。在判斷為不滿足指定的條件時(shí)(S23:不符合)�����,結(jié)束處理���。在判斷為滿足指定的條件時(shí)(S23:符合)���,接收到詢問信息的統(tǒng)一控制器將自己的節(jié)點(diǎn)信息發(fā)送給統(tǒng)一控制器(A) (S24)。在此�����,假定通信網(wǎng)絡(luò)上的多個(gè)統(tǒng)一控制器中的統(tǒng)一控制器(B)滿足條件,已向統(tǒng)一控制器(A)發(fā)送了節(jié)點(diǎn)信息�����。
[0118]節(jié)點(diǎn)信息中包括連接在統(tǒng)一控制器(B)上的設(shè)備的種類等信息�。節(jié)點(diǎn)信息例如包括與連接在統(tǒng)一控制器(B)上的安全開關(guān)相關(guān)的信息等。
[0119]作為詢問信息的發(fā)送源的統(tǒng)一控制器(A)從統(tǒng)一控制器(B)接收節(jié)點(diǎn)信息(S25)�。統(tǒng)一控制器(A)確認(rèn)是否能夠接收節(jié)點(diǎn)信息(S26)。在能夠確認(rèn)節(jié)點(diǎn)信息的接收時(shí)(S26:接收確認(rèn))�,統(tǒng)一控制器(A)執(zhí)行構(gòu)筑成功的處理。
[0120]在不能確認(rèn)節(jié)點(diǎn)信息的接收且還沒有超時(shí)時(shí)(S26:再次接收)�,統(tǒng)一控制器(A)返回到步驟S25,再次接收節(jié)點(diǎn)信息���。
[0121]在不能確認(rèn)節(jié)點(diǎn)信息的接收且已超時(shí)時(shí)(S26:超時(shí))����,統(tǒng)一控制器㈧判斷詢問信息的發(fā)送次數(shù)是否達(dá)到了預(yù)先設(shè)定的規(guī)定次數(shù)(S28)�。在詢問信息的發(fā)送次數(shù)還沒有達(dá)到規(guī)定次數(shù)時(shí)(S28:否),統(tǒng)一控制器(A)返回步驟S21�����,向通信網(wǎng)絡(luò)發(fā)送詢問信息�����。
[0122]在詢問信息的發(fā)送次數(shù)達(dá)到了規(guī)定次數(shù)時(shí)(S28:是),統(tǒng)一控制器㈧執(zhí)行構(gòu)筑失敗的處理(S29)���。另外,由于詢問信息的內(nèi)容����、節(jié)點(diǎn)信息的內(nèi)容、構(gòu)筑成功處理的內(nèi)容以及構(gòu)筑失敗處理的內(nèi)容不屬于本實(shí)施例的要點(diǎn)�,并且對理解和實(shí)施本實(shí)施例沒有影響,所以在此不對其進(jìn)行詳細(xì)說明�����。
[0123]具有上述結(jié)構(gòu)的本實(shí)施例能夠應(yīng)用于所述各個(gè)實(shí)施例的控制器結(jié)構(gòu)的雙系統(tǒng)化(多系統(tǒng)化)中�����。
[0124](第八實(shí)施例)
[0125]參照圖11和圖12對第八實(shí)施例進(jìn)行說明����。在本實(shí)施例中,說明用于確認(rèn)連接在統(tǒng)一控制器10上的輸入設(shè)備或者輸出設(shè)備是否為規(guī)定設(shè)備的方法�。本實(shí)施例可以應(yīng)用于所述各個(gè)實(shí)施例中的任一個(gè)實(shí)施例中����。并且�,本實(shí)施例還可以應(yīng)用于輸入設(shè)備和輸出設(shè)備中的任一方。在此���,作為一例��,說明作為輸入設(shè)備的安全開關(guān)的例�����。
[0126]圖11表示在本實(shí)施例的控制系統(tǒng)中使用的安全開關(guān)30的結(jié)構(gòu)��。安全開關(guān)30設(shè)置在電源與統(tǒng)一控制器10之間����,例如具有接點(diǎn)部分300���、強(qiáng)制分離機(jī)構(gòu)301��、通信裝置302以及存儲(chǔ)器303�。由于安全開關(guān)30用于要求安全性的部位�,所以具有在接點(diǎn)部分300發(fā)生了粘連時(shí)也能夠強(qiáng)制性地使接點(diǎn)開放的強(qiáng)制分離機(jī)構(gòu)301�����。
[0127]統(tǒng)一控制器10根據(jù)電壓變化來檢測接點(diǎn)部分300的狀態(tài)����。例如���,在接點(diǎn)處于開放狀態(tài)時(shí),統(tǒng)一控制器10檢測出OV的電壓��,因此能夠檢測出開放狀態(tài)為“O”����。在接點(diǎn)處于閉合狀態(tài)時(shí),統(tǒng)一控制器10檢測出與電源電壓基本相同的電壓電平��,此時(shí)能夠檢測出閉合狀態(tài)為“I”��。
[0128]在安全開關(guān)30的內(nèi)部�,在連接接點(diǎn)部分300和統(tǒng)一控制器10的信號線的中途位置,通信裝置302和存儲(chǔ)器303被連接�。通信裝置302在接點(diǎn)部分300處于開放狀態(tài)時(shí)成為終端信號節(jié)點(diǎn),能夠與統(tǒng)一控制器10進(jìn)行通信����。在通信裝置302是以電力線傳輸方式進(jìn)行通信的裝置時(shí)���,即使接點(diǎn)部分300處于閉合狀態(tài),也能夠與統(tǒng)一控制器10進(jìn)行通信�。
[0129]通信裝置302上連接有存儲(chǔ)器303。存儲(chǔ)器303例如由非易失性存儲(chǔ)器構(gòu)成�,存儲(chǔ)與安全開關(guān)30有關(guān)的信息、即安全開關(guān)信息304��。安全開關(guān)信息304例如可以包括安全開關(guān)30的類別和型號等識別信息��。此外���,在安全開關(guān)30具有簡易的信息處理裝置時(shí)�,可以測量接點(diǎn)部分300的開閉次數(shù)�,并且將測量到的開閉次數(shù)包括在安全開關(guān)信息304的一部分中。
[0130]安全開關(guān)30在能夠與統(tǒng)一控制器10進(jìn)行通信的規(guī)定情況下��,從存儲(chǔ)器303讀出安全開關(guān)信息304���,并將其發(fā)送到統(tǒng)一控制器10中�����。
[0131]圖12是表不統(tǒng)一控制器10確認(rèn)安全開關(guān)30的處理的流程圖����。例如在統(tǒng)一控制器10執(zhí)行初始化處理時(shí)實(shí)施本處理。
[0132]統(tǒng)一控制器10在進(jìn)行該初始化時(shí)�����,將輸入部分101的端口作為輸入端口��,確認(rèn)端口的狀態(tài)(S30)����。統(tǒng)一控制器10判斷端口狀態(tài)是否處于開放狀態(tài)“O”(S31)�。
[0133]在端口狀態(tài)為“I”時(shí),由于安全開關(guān)30處于閉合狀態(tài)(S31:否)����,所以統(tǒng)一控制器10判斷為安全開關(guān)30正在進(jìn)行動(dòng)作,結(jié)束本處理���。此后��,統(tǒng)一控制器10為了滿足所要求的功能安全等級����,執(zhí)行規(guī)定的安全處理(未圖示)。
[0134]相對于此�����,在端口狀態(tài)為“O”時(shí)�,由于安全開關(guān)30處于開放狀態(tài)(S31:是),所以統(tǒng)一控制器10將端口的模式變更為輸出端口��,并開始供電和通信(S32)��。
[0135]接收了供電和通信處理化的安全開關(guān)30開始與統(tǒng)一控制器10進(jìn)行通信(S33)��,并且將存儲(chǔ)在存儲(chǔ)器303中的安全開關(guān)信息304發(fā)送給統(tǒng)一控制器10(S34)�����。
[0136]處于接收待機(jī)狀態(tài)的統(tǒng)一控制器10從安全開關(guān)30接收安全開關(guān)信息304 (S35)�。統(tǒng)一控制器10確認(rèn)是否已經(jīng)接收到安全開關(guān)信息304 (S36)。當(dāng)沒有在規(guī)定時(shí)間內(nèi)接收到安全開關(guān)信息304且已超時(shí)時(shí)(S36:超時(shí)),統(tǒng)一控制器10判斷為安全開關(guān)30是意料之外的開關(guān)��,結(jié)束本處理�。意料之外的開關(guān)是指不具有安全開關(guān)信息響應(yīng)功能的安全開關(guān)。
[0137]另一方面,當(dāng)在規(guī)定時(shí)間內(nèi)從安全開關(guān)30接收到了安全開關(guān)信息304(S36:已接收到)時(shí)��,統(tǒng)一控制器10對該安全開關(guān)信息304進(jìn)行處理�,并且判斷為連接了意料之中的安全開關(guān)30,結(jié)束本處理��。也就是說�����,統(tǒng)一控制器10判斷為與統(tǒng)一控制器10連接了具有能夠響應(yīng)安全開關(guān)信息304的功能的規(guī)定安全開關(guān)30之后��,執(zhí)行規(guī)定的安全處理�����。
[0138]具有上述結(jié)構(gòu)的本實(shí)施例能夠應(yīng)用于所述各個(gè)實(shí)施例��。在本實(shí)施例中�,能夠判斷出連接在統(tǒng)一控制器10上的安全開關(guān)30是否為具有能夠響應(yīng)安全開關(guān)信息304的功能的安全開關(guān)���。因此��,能夠事先判斷出控制系統(tǒng)中所使用的安全開關(guān)是否為安全性高的規(guī)定的安全開關(guān)30�����,能夠提高控制系統(tǒng)的安全性和可靠性��。
[0139]此外�,在安全開關(guān)30具有簡易的信息處理裝置時(shí),統(tǒng)一控制器10能夠確認(rèn)接點(diǎn)部分300的開關(guān)次數(shù)等安全器件的運(yùn)行狀況��。因此�����,統(tǒng)一控制器10例如能夠推測安全器件的壽命��,管理該安全器件的更換日期等�。此外,在本實(shí)施例中��,以安全開關(guān)30為例進(jìn)行了說明�,但本發(fā)明并不僅限于此。例如�����,也可以使接觸器那樣的裝置具有響應(yīng)與該裝置有關(guān)的信息的功能���。
[0140](第九實(shí)施例)
[0141]參照圖13說明第九實(shí)施例����。在本實(shí)施例中示例性地列舉了能夠應(yīng)用本發(fā)明的【技術(shù)領(lǐng)域】。
[0142]上述的各個(gè)實(shí)施例的結(jié)構(gòu)例如還可以廣泛地應(yīng)用于電梯系統(tǒng)60���、汽車61�、電車62�、飛機(jī)63、建筑機(jī)械63等領(lǐng)域�����。并且���,本發(fā)明還可以廣泛地應(yīng)用于煉鐵廠�、凈水處理廠以及化學(xué)廠等的工廠設(shè)備的控制中���。
[0143](第十實(shí)施例)
[0144]參照圖14說明第十實(shí)施例�����。在本實(shí)施例中���,例如根據(jù)數(shù)據(jù)的種類來變更圖2所示的控制系統(tǒng)中的處理。
[0145]圖2所示的信息處理用控制器IOd在經(jīng)由控制器間通信網(wǎng)絡(luò)21從輸入用控制器IOa接收到輸入設(shè)備信息的數(shù)據(jù)包時(shí)(S40)��,判斷接收到的數(shù)據(jù)包的種類是“通?���!边€是“緊急” (S41)。
[0146]所謂“通?�!崩缡侵冈诎踩苑矫娌恍枰M(jìn)行緊急處理�����,可以進(jìn)行通常處理的數(shù)據(jù)包�。另一方面,“緊急”例如是指在安全性方面應(yīng)當(dāng)進(jìn)行緊急處理的數(shù)據(jù)包�。也可以將通常的數(shù)據(jù)包稱為“第一數(shù)據(jù)包”,將緊急的數(shù)據(jù)包稱為“第二數(shù)據(jù)包”����。
[0147]在判斷為是通常的數(shù)據(jù)包時(shí)(S41:通常),信息處理用控制器IOd按照通常的方法����,根據(jù)所接收到的輸入設(shè)備信息執(zhí)行規(guī)定的控制運(yùn)算(S42)���,生成控制信息的數(shù)據(jù)包(S43)。信息處理用控制器IOd將該控制信息的數(shù)據(jù)包發(fā)送給通信網(wǎng)絡(luò)22(S44)��。輸出用控制器IOb (或者IOc)能夠根據(jù)控制信息的數(shù)據(jù)包控制輸出設(shè)備�����。
[0148]當(dāng)從輸入用控制器IOa接收到的數(shù)據(jù)包是應(yīng)緊急處理的數(shù)據(jù)包時(shí)(S41:緊急)�����,信息處理用控制器IOd將該數(shù)據(jù)包的目的地改寫為輸出用控制器(S45)���。信息處理用控制器IOd將改寫發(fā)送目的地后的數(shù)據(jù)包經(jīng)由控制器間通信網(wǎng)絡(luò)22而傳送給輸出用控制器IOb (或者 IOc)中(S46)��。
[0149]具有上述結(jié)構(gòu)的本實(shí)施例可以應(yīng)用于上述各個(gè)實(shí)施例�。在本實(shí)施例中��,在輸入用控制器檢測到應(yīng)緊急處理的事態(tài)的情況下����,信息處理用控制器將來自輸入用控制器的數(shù)據(jù)包的目的地改寫后發(fā)送到輸出用控制器。因此,能夠迅速地應(yīng)對緊急停止等緊急事態(tài)����。
[0150]另外�,本發(fā)明并不僅限于上述實(shí)施例。本領(lǐng)域的技術(shù)人員可以在本發(fā)明的范圍內(nèi)進(jìn)行各種追加或變更等����。
[0151]例如,如下所述�,可以將本發(fā)明表現(xiàn)為用于控制系統(tǒng)中的控制器。
[0152]表現(xiàn)1:一種在滿足規(guī)定的功能安全等級的控制系統(tǒng)中使用的控制器�����,
[0153]該控制器與在所述控制系統(tǒng)中使用的其他的控制器具有通用的結(jié)構(gòu)����,
[0154]能夠通過控制器間通信網(wǎng)絡(luò)而與所述其他的控制器以可通信的方式連接,
[0155]所述控制器構(gòu)成為包括:
[0156]用于從輸入設(shè)備接收輸入設(shè)備信息的至少一個(gè)輸入部分���;
[0157]用于生成輸出到輸出設(shè)備的輸出設(shè)備信息的至少一個(gè)輸出部分����;
[0158]用于通過所述控制器間通信網(wǎng)絡(luò)而與其他控制器進(jìn)行通信的至少一個(gè)通信部分�����;以及
[0159]用于根據(jù)所述輸入設(shè)備信息和/或所述輸出設(shè)備信息,執(zhí)行預(yù)先設(shè)定的規(guī)定的信息處理的至少一個(gè)信息處理部分�����,
[0160]經(jīng)由所述控制器間通信網(wǎng)絡(luò)與所述其他的控制器結(jié)合成規(guī)定的結(jié)構(gòu)�,由此實(shí)現(xiàn)預(yù)先設(shè)定的多種功能安全等級中的所述規(guī)定的功能安全等級。
【權(quán)利要求】
1.一種控制系統(tǒng)���,其滿足規(guī)定的功能安全等級����,所述控制系統(tǒng)具備: 單一結(jié)構(gòu)的多個(gè)控制器���;以及 用于將所述多個(gè)控制器連接成彼此能夠進(jìn)行通信的至少一個(gè)控制器間通信網(wǎng)絡(luò)���, 所述多個(gè)控制器構(gòu)成為包括: 用于從輸入設(shè)備接收輸入設(shè)備信息的至少一個(gè)輸入部分; 用于生成輸出到輸出設(shè)備的輸出設(shè)備信息的至少一個(gè)輸出部分�; 用于通過所述控制器間通信網(wǎng)絡(luò)而與其他控制器進(jìn)行通信的至少一個(gè)通信部分;以及用于根據(jù)所述輸入設(shè)備信息和/或所述輸出設(shè)備信息執(zhí)行預(yù)先設(shè)定的規(guī)定的信息處理的至少一個(gè)信息處理部分����, 經(jīng)由所述控制器間通信網(wǎng)絡(luò)將所述多個(gè)控制器結(jié)合成規(guī)定的結(jié)構(gòu)��,由此實(shí)現(xiàn)預(yù)先設(shè)定的多種功能安全等級中的所述規(guī)定的功能安全等級��。
2.如權(quán)利要求1所述的控制系統(tǒng)����,其中�����, 所述多個(gè)控制器中的至少一個(gè)控制器成為所述輸入部分與所述輸入設(shè)備連接的輸入用控制器����, 所述多個(gè)控制器中的至少一個(gè)控制器成為所述輸出部分與所述輸出設(shè)備連接的輸出用控制器���, 所述多個(gè)控制器中的至少一個(gè)控制器成為信息處理用控制器���,該信息處理用控制器根據(jù)經(jīng)由所述控制器間通信網(wǎng)絡(luò)從所述輸入用控制器獲取的所述輸入設(shè)備信息和/或經(jīng)由所述控制器間通信網(wǎng)絡(luò)從所述輸出用控制器獲取的所述輸出設(shè)備信息來執(zhí)行所述規(guī)定的信息處理。
3.如權(quán)利要求2所述的控制系統(tǒng)��,其中���, 所述輸入用控制器和所述信息處理用控制器經(jīng)由第一控制器間通信網(wǎng)絡(luò)被連接成能夠進(jìn)行通信����, 所述輸出用控制器和所述信息處理用控制器經(jīng)由第二控制器間通信網(wǎng)絡(luò)被連接成能夠進(jìn)行通信。
4.如權(quán)利要求3所述的控制系統(tǒng)�,其中, 設(shè)置多個(gè)所述信息處理用控制器���, 所述多個(gè)信息處理用控制器經(jīng)由第三控制器間通信網(wǎng)絡(luò)被連接成能夠進(jìn)行通信��。
5.如權(quán)利要求4所述的控制系統(tǒng)��,其中����, 所述多個(gè)信息處理用控制器中的一個(gè)信息處理用控制器設(shè)置在控制對象裝置所在的本地站點(diǎn)內(nèi)�����, 所述多個(gè)信息處理用控制器中的另一個(gè)信息處理用控制器設(shè)置在遠(yuǎn)程站點(diǎn)內(nèi)�,該遠(yuǎn)程站點(diǎn)設(shè)置在遠(yuǎn)離所述本地站點(diǎn)的場所內(nèi), 所述第三控制器間通信網(wǎng)絡(luò)構(gòu)成為站點(diǎn)間通信網(wǎng)絡(luò)�,該站點(diǎn)間通信網(wǎng)絡(luò)用于將所述本地站點(diǎn)和所述遠(yuǎn)程站點(diǎn)連接成彼此能夠進(jìn)行通信。
6.如權(quán)利要求1所述的控制系統(tǒng)����,其中���, 所述控制器間通信網(wǎng)絡(luò)包括用于傳送所述輸入設(shè)備信息的輸入側(cè)通信網(wǎng)絡(luò)、用于傳送所述輸出設(shè)備信息的輸出側(cè)通信網(wǎng)絡(luò)以及在 所述多個(gè)信息處理用控制器之間傳送控制信息的控制信息用控制器間通信網(wǎng)絡(luò)�。
7.如權(quán)利要求1至5中的任一項(xiàng)所述的控制系統(tǒng),其中�����, 所述輸入設(shè)備預(yù)先存儲(chǔ)規(guī)定的信息���,該規(guī)定的信息包括表示該輸入設(shè)備的屬性的屬性信息, 所述輸入用控制 器以規(guī)定的定時(shí)從所述輸入設(shè)備獲取所述規(guī)定的信息�。
【文檔編號】H04L29/02GK103713565SQ201310364447
【公開日】2014年4月9日 申請日期:2013年8月20日 優(yōu)先權(quán)日:2012年10月5日
【發(fā)明者】納谷英光, 吉川敏文, 井上真輔, 星野孝道, 松土貴司, 松本惠治, 池富力, 鳥谷部訓(xùn), 關(guān)根英則 申請人:株式會(huì)社日立制作所