[发明专利]安全信号处理系统

说明书

技术领域

本发明涉及进行数值控制装置和IO单元之间的安全信号的收发的安全信号处理系统。

背景技术

如图5所示，控制机床的数值控制装置（CNC）80具有CPU81、具有存储器83的通信控制器82、伺服控制器84、通信控制器85、和将这些连接的总线86。另外，I/O单元87具有信号输入输出用通信控制器88，在与数值控制装置80之间以及和其他的I/O单元（未图示）之间进行信号的收发。

在数值控制装置（CNC）80和机床之间，为进行DI/DO数据信号（输入信号/输出信号）的输入输出，连接多台外部信号输入输出单元（I/O单元87）。通常，在数值控制装置80和I/O单元87之间，经由通信线路89进行DI/DO数据信号的传送。在该DI/DO数据信号中，包含紧急停止信号或者门开关等为了避免危险等需要的安全信号。

在电气电子安全关联系统或机械类控制系统中，作为安全规格存在IEC61508或者ISO13849－1等，对于上述的安全信号，希望遵照这些规格进行处理以及传送。

关于信号的处理，在遵照IEC61508的SIL3（Safety Integrity Level3：安全完整性等级3）的情况下，通常要求实行基于双重的中央运算处理装置（处理器（CPU））的独立的安全功能。这是因为为了取得非常高的平均危险故障间隔（MTTd：Mean Time To Dangerous Failure平均故障修复时间）和非常低的危险故障率（PFH：Probability of Failure per Hour每小时故障的概率），要求系统有冗余性（参照美国公开公报US2008/0155318A1号）。

另外，具有这些输入输出信号的驱动器90以及接收器91的I/O单元87，同样也要求双重化。为简单地连接该双重化的I/O单元和双重化的CPU，只要使用双重化的通信线路连接二者即可。

图6表示现有的双重化的信号处理系统。

数值控制装置80具有两个CPU81a、81b；具有存储器83a的通信控制器82a；和具有存储器83b的通信控制器82b。I/O单元87a具有通信控制器88a、驱动器90a、和接收器91a。I/O单元87b具有通信控制器88b、驱动器90b、和接收器91b。

在数值控制装置80的通信控制器82a上，通过通信线路89a连接I/O单元87a的通信控制器88a。另外，在数值控制装置80的通信控制器82b上，通过通信线路89b连接I/O单元87b的通信控制器88b。

但是，一般，连接I/O单元和CPU的通信线路的双重化，随着成本的上升，难以兼顾安全和成本。如果可能，通过非双重化的通信线路能够确保安全更好。作为通过非双重化的通信线路的遵守安全规格的通信方法，例如公知基于PROFIBUS Nutzerorgaization e.V.的PROFIsafe。

一般，在FA系统环境下的通信中，能够发生反复、缺损、插入、不正确顺序等的错误，但是在PROFIsafe中，对于通信数据，给予计数值的给予（“signof life”）、期待时间值（“Watch dog”）、发送方和接收方之间的代码名（“F－addresss”）、数据完整性检查（CRC=cyclic Redundancy Check）等，通过传送的接收方检查这些，确保防范错误发生的安全性。通过该方法，不需要通信线路的双重性（PROFIsafe－Safety Technology for PROFIBUS and PROFINET system Description November2010,order Number4.342）。

这里，考虑将数值控制装置和I/O单元连接的系统。如果在I/O单元和CPU81a之间以及I/O单元和CPU81b之间分别应用通过上述PROFIsafe那样的非双重化的通信线路的传送方法，则能够使用非双重化的通信实现将CPU和输入输出信号分别双重化后的安全信号处理系统。

但是，当通过非双重化的通信线路连接双重化的CPU和双重化的I/O单元，通过该双重化的CPU独立地处理安全信号时，作为结果，两个CPU访问非双重化的通信线路。在两方的CPU在完全独立的定时进行访问的情况下，通过这两方的CPU同时访问一个存储器而发生竞争，具有因为用于调停该竞争的处理时间引起损失的可能性。