3.2 安全アプリケーション例の概略図に関する情報
図10の左側は、『第1部』で既に定義されている、安全アプリケーションと機能アプリケーションの分離を示しています。ただし、安全機能の図(右側)では、安全アプリケーションが安全関連のアクションを有効にする必要があるので、標準変数が安全にまったく影響しなくても、安全変数と標準変数が安全FBの処理に影響します。
対応する信号を簡単に識別できるように、『第2部 ユーザ応用例』のインタフェース概略図では、上図の右側に示したとおり、入力信号が機能アプリケーションと安全アプリケーションのどちらに属するかに関わらずに、入力信号を安全機能に応じて仕分けし、安全アプリケーションに直接割り当てています。いずれにしても、これらの標準信号1)のほとんどは、機能アプリケーションによって操作されません。標準入力/出力を安全アプリケーションから直接取り扱うシステムもあれば、機能アプリケーションを通じてこれらの信号を提供するシステムもあります。
ただし、異なる物理入力/出力ブロックへの分離、および機能アプリケーションまたは安全アプリケーションへの割り当ては、『第1部』で定義された基本的なアーキテクチャモデルと一致しています。機能アプリケーションによって処理され、リセットや自己診断などのような特定の安全機能に属さない信号2)は、2つのアプリケーション間のインタフェースで単純化して図示してあります。
注:例では、接点の使用、および入出力ユニットとの接続は単純化して図示したものであり、一般に、現実のアプリケーションに1対1で移し替えることはできません。
実際の導入は、必要な安全度水準、センサ/アクチュエータの適用可能性、システムの能力、および故障の除外に依存します。
これらは、各種の安全制御システム間で異なる場合があります。したがって、サプライヤの文書、標準規格、およびその他の関連情報を考慮する必要があります。
3.3 隠蔽されたシステムレベルインタフェースを用いた安全駆動装置の使用に関する情報
駆動装置内部の状態マシンは複雑でベンダ固有なので、状態マシンを扱う制御や状態の情報は、隠蔽されたシステムレベルインタフェースを通じて駆動装置と制御システムとの間で交換されます。従って、ユーザはまったくプログラミングする必要がありません。
隠蔽されたインタフェースは、ディスクリート式の出力装置を利用できますが、ほとんどの場合はデジタル式のフィールドバスインタフェースになります。アプリケーションプログラムには透過な変数がないので、以下の例の概略図では、次の図11:駆動装置に対する隠蔽されたインタフェースの概要に示したとおり、データ交換は、FBインスタンスとアクターによって表現されます。
安全駆動装置は、安全機能の組み込まれた駆動装置です。一般に、駆動装置は、安全機能がアクティブではないモードと安全性がアクティブであるモードを区別します。安全モードには、様々な安全機能がある可能性があります。通常、安全機能間の遷移は、駆動装置内部の状態マシンによって行われ、いろいろな優先順位が設定されるかもしれません。状態マシンの挙動は、駆動装置内部の一連のパラメータに依存する場合もあります。
対応するPLCopen FBは、この状態マシンを制御するインタフェースを提供します。PLCopen FBが安全機能を実行することは決してありません。
異なる安全機能を選択するには、または移動を可能にするには、ほとんどの場合、システムレベルインタフェースが使用されます。これは、ディスクリートI/Oインタフェースを通じて制御ビットと状態ビットが伝送される場合にあり得るように、これらのビットが不可視であることを意味します。このようなFBには、以下のものがあります。
・SF_SafeStop1
・SF_SafeStop2
・SF_SafelyLimitedSpeed.
ただし、ディスクリートI/Oインタフェースは、SF_SafetyRequest
FBを代わりに使用することによって利用できます。
どのような場合も、駆動装置へのインタフェースは、電流切断原理(訳者注:b接点によるインタロック原理)を使用します。これは、何らかの理由で通信が失われた場合に、駆動装置が独立してフェールセーフ反応(例えば、停止カテゴリ1 EN60204に適応する安全停止)を実行することを意味します。FBがエラーを検出した場合は、自動的に安全状態が要求されます。
安全制限速度
要求事項により、イネーブルスイッチが解除されるか、パニック状況が検出された場合、機械装置を稼働させるイネーブル装置を使用して、機械装置を安全に停止する必要があります。SF_SafelyLimitedSpeedには、SafeStop機能が組み込まれています。SafeStop機能は、SafeStop1またはSafeStop2としてパラメータ化できます。たとえば、材料の詰まりを取り除くために危険区域に入らなければならない作業員のためなど、安全が必要とされる限りは、SafeStopを実行する必要があります。材料を装置から取り出すために、作業員が装置を稼働させなければならない場合があります。そのため、作業員はイネーブルスイッチを使用し、イネーブルスイッチによって実際のSafelyLimitedSpeed機能がアクティブ化されます。言い換えると、イネーブルスイッチを作動させない場合、許容速度はゼロであるということです。イネーブルスイッチを作動させた後は、安全制限速度より低速で動作させることができます。ただし、速度指令は、モーションコントローラによって別個にアクティブ化される必要があり、安全機能に対しては何も行いません。指令値が許容速度よりも大きい場合は駆動装置がフェールセーフ反応を実行するので、速度指令は可用性を左右するだけです(詳細は、『第1部』のSF_SafelyLimitedSpeedを参照)。
注:インタフェースの概要では、隠蔽されたシステム信号をFBインスタンスごとに示しています。変数ごとに示してはいません。
(続く:次回は6月20日掲載予定)
(参考:http://www.plcopen‐japan.jp)
(筆者:廣前 耕三PLCopen Japan Safety‐WG主査)
オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。
