具体实施方式

一边参照附图，一边详细说明本发明的实施方式。另外，对于图中的相同或相当的部分，标注相同的符号并不再重复其说明。

＜A.适用例＞

首先，对适用本发明的场景的一例进行说明。

图1是表示本实施方式的控制系统1的适用例的示意图。本实施方式的控制系统1例如除了IEC61508等中规定的安全功能以外，还提供在非专利文献2(“IEC 61800-5-2:2016可调速电力驱动系统-第5-2部分:安全要求-功能”，国际电工委员会，2016-04-18)中规定的安全转矩关断(Safe Torque Off，STO)、安全停止1(Safe Stop 1，SS1)、安全停止2(Safe Stop 2，SS2)以及安全操作停止(Safe Operating Stop，SOS)等与驱动装置关联的若干个安全功能。

参照图1，控制系统1主要包含标准控制器100、以及经由现场网络2而与标准控制器100连接的安全控制器200以及一个或多个安全驱动器(安全伺服驱动器)300。安全驱动器300分别驱动电连接的伺服马达400。另外，并不限于伺服马达400，而能够采用任意种类的马达。而且，安全驱动器300的实体既可为伺服驱动器，也可为通用的逆变器装置。以下的说明中，将安全驱动器300作为“驱动装置”的一例进行说明。

标准控制器100对应于“控制器”，按照预先制作的标准控制程序(后述的标准控制程序1104)，来执行对包含伺服马达400的控制对象的标准控制(后述的标准控制150)。典型的是，标准控制器100通过循环执行与来自一个或多个传感器(未图示)等的输入信号相应的控制运算，从而周期性地算出对伺服马达400等致动器的指令。

安全控制器200按照安全程序(后述的安全程序2104)，对安全驱动器300发送与安全功能(后述的安全功能250)的动作相关的安全指令。安全控制器200是与标准控制器100独立地，循环执行用于实现对控制对象的安全功能250的监测及控制运算。

安全控制器200能够受理来自任意的安全设备240的输入信号、及/或向任意的安全设备240输出指令。安全程序2104是利用与安全控制器200可通信地连接的支持装置500所提供的开发环境而由用户预先制作，并转发至安全控制器200。

安全驱动器300按照来自标准控制器100的指令，对伺服马达400供给电力，由此来驱动伺服马达400。安全驱动器300基于来自伺服马达400的反馈信号等，周期性地算出伺服马达400的旋转位置、旋转速度、旋转加速度及所产生的转矩等。

进而，安全驱动器300根据来自安全控制器200的安全指令，执行与伺服马达400的驱动相关的规定的安全功能250。更具体而言，安全驱动器300将安全功能250所需的状态信息提供给安全控制器200，并且执行与所要求的安全功能250相应的运动安全程序(后述的运动安全程序3204)，由此来调整或阻断对伺服马达400供给的电力。

伺服马达400具有接受来自安全驱动器300的电力而旋转的马达(后述的三相交流马达402)，并且将来自与马达的旋转轴结合的编码器(后述的编码器404)的检测信号作为反馈信号而输出至安全驱动器300。

支持装置500支持标准控制器100侧的开发以及安全控制器200侧的开发。更具体而言，作为标准控制器100侧的开发，支持装置500支持由标准控制器100所执行的标准控制程序(后述的标准控制程序1104)的开发或与标准控制150相关的设定等。进而，作为安全控制器200侧的开发，支持装置500支持由安全控制器200所执行的安全程序(后述的安全程序2104)的开发或与安全功能250相关的设定等。支持装置500向用户提供用于通过将至少一个以上的命令信息予以组合而生成程序的开发环境(程序制作编辑工具、分析器、编译器等)。

本说明书中，“设备”是能够经由现场网络2等任意网络来与其他装置进行数据通信的装置的总称。本实施方式的控制系统1中，“设备”包含标准控制器100、安全控制器200及安全驱动器300。

本说明书中，对比性地使用了“标准控制”及“安全控制”的术语。“标准控制”是用于按照预先规定的要求规格来对控制对象进行控制的处理的总称。另一方面，“安全控制”是对用于防止因设备或机械等而威胁到人的安全的处理的总称。“安全控制”被设计成，满足用于实现IEC61508等中规定的安全功能的要件。

本说明书中，将驱动装置(安全设备300)特有的安全功能总称为“运动安全功能”或简单地总称为“安全功能”。典型的是，“功能”包含所述非专利文献2中规定的与驱动装置相关的安全功能。例如，包含用于监测控制轴的位置或速度以确保安全的控制。

本说明书中，“过程数据(process data)”是在标准控制或安全控制的至少任一控制中所用的数据的总称。具体而言，“过程数据”包含从控制对象获取的输入信息、向控制对象输出的输出信息、被用于各设备中的控制运算的内部信息等。

输入信息包含由光电传感器等所检测的导通/断开(ON/OFF)信号(数字输入)、由温度传感器等所检测的物理信号(模拟输入)、以及脉冲编码器(pulse encoder)等所产生的脉冲信号(脉冲输入)等。输出信息包含用于驱动继电器等的导通/断开(数字输出)、对伺服马达的旋转速度等进行指示的速度指令(模拟输出)、以及对步进马达(stepping motor)的移动量等进行指示的位移指令(脉冲输出)等。内部信息包含通过将任意的过程数据作为输入的控制运算等而决定的状态信息等。

在控制系统1的现场网络2中，进行过程数据通信，将标准控制器100作为通信主机，通信帧600循环(例如数msec～十数msec)地在设备间巡回一圈。通信帧600传输的周期也称作过程数据通信周期。本实施方式中，作为循环地传输此种通信帧600的现场网络2的协议的一例，采用EtherCAT。

对于通信帧600，针对每个设备而分配有数据区域。各设备在收到周期性地传输的通信帧600时，向所述收到的通信帧600内的被分配给自身设备的数据区域写入预先设定的数据的当前值。并且，将写入当前值后的通信帧600送出至下段的设备。由各设备所写入的数据的当前值可从其他设备进行参照。

通过各设备在通信帧600中写入预先设定的数据的当前值，从而在现场网络2中巡回一圈而返回通信主机(标准控制器100)的通信帧600中，将包含由各设备所收集的最新的值。

本实施方式中，利用此种过程数据通信，在安全控制器200与安全驱动器300各自之间形成逻辑连接4。所述逻辑连接4被用于用以实现安全功能250的数据的交换。

如上所述，在采用EtherCAT来作为现场网络2的协议的情况下，能够使用被称作基于EtherCAT的故障安全(FailSafe over EtherCAT，FSoE)的协议来形成逻辑连接4。

更具体而言，对通信帧600分配用于保存为了形成逻辑连接4而交换的命令的专用数据区域。通过使用所述专用数据区域来在设备间交换命令，从而形成逻辑连接4。

如图1所示，各安全驱动器300保持用于对运动安全功能360的有效或无效进行管理的安全状态70。可通过安全驱动器300来实现的运动安全功能360包含安全转矩关断(Safe Torque Off，STO)、安全停止1(Safe Stop 1，SS1)、安全停止2(Safe Stop 2，SS2)、安全操作停止(Safe Operating Stop，SOS)、安全速度范围(Safe Speed Range，SSR)、安全方向正(Safe Direction positive，SDIp)以及安全方向负(Safe Direction negative，SDIn)。用于指定所述各运动安全功能360的有效或无效的指定信息被配置在安全状态70中所含的针对每位而设的区域。另外，错误确认(Error Acknowledge，Error Ack)是用于在错误发生时解除错误的功能，始终被有效化。

各安全驱动器300仅具有预先决定的运动安全功能360。例如，在特定的安全驱动器300中，未安装图1所示的各运动安全功能360中的SSR，而安装除此以外的STO、SS1、SS2、SOS、SDIp以及SDIn。这不过是例示，在其他安全驱动器300中也同样，仅具有预先决定的运动安全功能360。

安全驱动器300按照安全状态70中所含的指定信息，对每个运动安全功能360进行有效化或无效化。“指定信息”只要是用于关于运动安全功能360分别指定有效或无效的信息，则为任何信息皆可。本实施方式中，指定信息通过以“0”或“1”所示的标记来指定有效或无效。更具体而言，当标记为“0”时，运动安全功能360成为有效，当标记为“1”时，运动安全功能360成为无效。

所有的运动安全功能360以在启动时(即，默认)时成为有效的方式而将标记固定，用户无法变更其内容。即，默认时的运动安全功能360全被被固定为有效。这是在所述非专利文献1所公开的规定中所要求的。

此处，一边参照图2，一边对在ETG的规格中定义的安全状态70中的安全功能的有效/无效设定进行说明。图2是表示在ETG的规格中定义的对安全功能的有效/无效设定进行指定的第一字节的信息的示意图。

如图2所示，非专利文献1中表示了对安全功能的有效/无效设定进行指定的第一字节的信息。具体而言，在非专利文献1所示的与运动安全功能360相关的控制字700中，包含位栏702、名称栏704与说明栏706。在位栏702中，作为第一字节中所含的位，配置有0位至7位为止的各位。在名称栏704中，表示了与各位相关联的运动安全功能360的简称。在说明栏706中，表示了各运动安全功能360的正式名称以及与标记相关联的运行状态。

本实施方式中，关于所有的运动安全功能360，在默认状态下标记被固定为表示有效的“0”。各运动安全功能360要求在默认时标记以“0”而起动。

在图2所示的对安全功能的有效/无效设定进行指定的第一字节中，0位至7位为止的各位的标记在默认时被固定为“0”，且用户无法变更默认状态。另外，尽管省略图示，但关于第二字节，用户能够变更默认状态。

另外，所谓安全功能的“有效”，是指用于进行安全控制的功能处于运行状态。例如，关于STO、SS1、SS2、SOS以及SSR，当标记为“0”时处于“有效(active)”。这意味着用于进行安全控制的功能处于运行状态。而且，关于SDIp或SDIn，当标记为“0”时处于“禁用(disable)…”。这意味着禁止马达向正方向或负方向运行，即，用于进行安全控制的功能处于运行状态。

另一方面，所谓安全功能的“无效”，是指用于进行安全控制的功能处于非运行状态。例如，关于STO、SS1、SS2、SOS以及SSR，当标记为“1”时处于“无效(deactivate)”。这意味着用于进行安全控制的功能处于非运行状态。而且，关于SDIp或SDIn，当标记为“1”时处于“启用(enable)…”。这意味着允许马达向正方向或负方向运行，即，用于进行安全控制的功能处于非运行状态。

返回图1，各安全驱动器300无论是否安装，与所有的运动安全功能360对应的标记在默认时均为“0”而起动。因此，关于所安装的运动安全功能360，通过使默认时的设定固定为有效，从而使其功能有效化。假设有未安装的运动安全功能360，关于所述未安装的运动安全功能360，即使标记被设定为有效也不会执行。

这样，在各安全驱动器300中，无论是否安装，关于所有的运动安全功能360，默认时的设定均被固定为有效。但是，在实际使用中，也存在下述情况，即，必须根据工序内的作业内容来变更安全功能的有效/无效设定，以将运动安全功能360设为有效或者设为无效。

作为以后变更特定的运动安全功能360的有效或无效的方法，考虑使来自安全控制器200的安全指令中包含用于使特定的运动安全功能360有效化或无效化的指定信息。例如，本实施方式中，在逻辑连接4建立后，能够从安全控制器200对安全驱动器300发送安全指令。只要使所述安全指令中包含用于使特定的运动安全功能360有效化或无效化的指定信息，便能够在以后变更特定的运动安全功能360的有效或无效。

然而，此时，用户为了从默认状态变更特定的运动安全功能360的有效/无效设定，必须使用支持装置500等工具来制作安全程序2104，有可能产生作业量增加的事态。因而，频繁地制作安全程序2104会导致效率降低。而且，在编程作业中，必须记述源代码，因此也有用户无意地记述错误的设定内容之虞。进而，在控制系统1内设有多个安全驱动器300的情况下，必须对于所有的安全驱动器300制作此种安全程序2104，从而存在作业量变得庞大的问题。

因此，本实施方式的控制系统1中，作为从默认状态变更运动安全功能360的有效/无效设定的另一种方法，利用SRA参数60。SRA参数如非专利文献3(EtherCAT协议增强，ETG.5100FSoE规格修正，文档:ETG.5120S(R)V1.1.0”、EtherCAT技术协会、2017-07-14)所公开的那样，在ETG的规格中进行了定义。SRA参数60是与安全驱动器300的设定相关的“参数”的一例。

SRA参数60是从在现场网络2上的设备间管理数据交换的标准控制器100转发给FSoE的从机(本实施方式中为安全驱动器300)。具体而言，标准控制器100在现场网络2中的连接建立后，使SRA参数60包含在初始命令中，由此来将所述SRA参数60发送至安全驱动器300。安全驱动器300在执行运动安全程序3204时，一边参照所述SRA参数60一边执行运动安全功能360。

在SRA参数60中，包含指定信息，所述指定信息用于关于至少一个以上的运动安全功能360分别指定有效或无效。“指定信息”只要是用于关于运动安全功能360分别指定有效或无效的信息，则为任何信息皆可。本实施方式中，指定信息是通过将与运动安全功能360各自对应的位排列而成的位串，关于所述运动安全功能360分别通过以“0”或“1”所示的标记来指定有效或无效。用户能够使用支持装置500等工具来设定指定信息中的标记，由此，能够从默认状态变更特定的运动安全功能360的有效或无效。

例如，如图1所示，在默认时，所有的运动安全功能360的标记被固定为“0”。此处，在关于特定的安全驱动器300的运动安全功能360而想要使SS2、SOS以及SDIp无效化的情况下，作为SRA参数60的指定信息，用户只要将与SS2、SOS以及SDIp各自对应的标记设定为“1”(无效状态)即可。这样，用户通过设定SRA参数60的指定信息，便能够在以后变更在默认时所规定的运动安全功能360的有效/无效设定。

这样，用户通过SRA参数60来指定关于特定的运动安全功能为无效的意旨，当现场网络2中的连接建立时，对于安全驱动器300，能够将特定的运动安全功能从默认时的有效状态变更为无效状态。进而，用户经由现场网络2而将SRA参数60发送至安全驱动器300，由此，能够使特定的运动安全功能360有效化或无效化，因此，比起执行为了从默认时变更运动安全功能360的有效/无效设定而另行准备的程序，不会使控制系统1的执行性能下降。而且，也不会因用于进行运动安全功能360的有效/无效设定的程序增加而导致安全控制器200的控制周期发生恶化。

＜B.控制系统1中所含的设备的结构例＞

接下来说明控制系统1中所含的设备的结构例。

(b1：标准控制器100)

图3是表示构成本实施方式的控制系统1的标准控制器100的硬件结构例的示意图。参照图3，标准控制器100包含处理器102、主存储器104、贮存器110、上位网络控制器106、现场网络控制器108、通用串行总线(Universal Serial Bus，USB)控制器120、存储卡接口112以及局部总线控制器(local bus controller)116。这些组件经由处理器总线118而连接。

处理器102相当于主要执行与标准控制150相关的控制运算的运算处理部，包含中央处理器(Central Processing Unit，CPU)或图形处理器(Graphics Processing Unit，GPU)等。具体而言，处理器102读出保存在贮存器110中的程序(作为一例，为系统程序1102及标准控制程序1104)，并在主存储器104中展开而执行，由此，实现与控制对象(例如安全驱动器300或伺服马达400)相应的控制运算以及如后所述的各种处理。

主存储器104包含动态随机存取存储器(Dynamic Random Access Memory，DRAM)或静态随机存取存储器(Static Random Access Memory，SRAM)等易失性存储装置等。贮存器110例如包含固态硬盘(Solid State Drive，SSD)或硬盘驱动器(Hard Disk Drive，HDD)等非易失性存储装置等。

在贮存器110中，除了用于实现基本功能的系统程序1102以外，还保存根据控制对象而制作的标准控制程序1104。而且，在贮存器110中，保存用于对如后所述的变量等进行设定的设定信息1106。进而，在贮存器110中，保存有利用支持装置500而制作的SRA参数60。SRA参数60经由将标准控制器100作为主机的现场网络2而发送至作为从机的安全驱动器300。

上位网络控制器106经由上位网络而与任意的信息处理装置之间交换数据。

现场网络控制器108经由现场网络2而与包含安全控制器200及安全驱动器300的任意设备之间交换数据。图1所示的控制系统1中，标准控制器100的现场网络控制器108作为现场网络2的通信主机(master)发挥功能。

USB控制器120经由USB连接而与支持装置500等之间交换数据。

存储卡接口112受理作为可装卸的记录介质的一例的存储卡114。存储卡接口112能够对存储卡114写入数据，对从存储卡114读出各种数据(日志或跟踪数据等)。

局部总线控制器116经由局部总线而与连接于标准控制器100的任意单元之间交换数据。

图3中表示了通过处理器102执行程序而提供所需功能的结构例，但这些提供的功能的一部分或全部也可使用专用的硬件电路(例如专用集成电路(Application SpecificIntegrated Circuit，ASIC)或现场可编程门阵列(Field-Programmable Gate Array，FPGA)等)而实现。或者，标准控制器100的主要部分也可使用遵循通用架构的硬件(例如将通用个人计算机作为基础的工业个人计算机)来实现。此时，也可使用虚拟技术来并列地执行用途不同的多个操作系统(Operating System，OS)，并且在各OS上执行所需的应用。进而，也可采用将显示装置或支持装置等的功能综合至标准控制器100中的结构。

(b2：安全控制器200)

图4是表示构成本实施方式的控制系统1的安全控制器200的硬件结构例的示意图。参照图4，安全控制器200包含处理器202、主存储器204、贮存器210、现场网络控制器208、USB控制器220及安全局部总线控制器216。这些组件经由处理器总线218而连接。

处理器202相当于主要执行与安全控制相关的控制运算的运算处理部，包含CPU或GPU等。具体而言，处理器202读出保存在贮存器210中的程序(作为一例，为系统程序2102及安全程序2104)，并在主存储器204中展开而执行，由此来实现用于提供所需的安全功能250的控制运算以及如后所述的各种处理。

尤其，安全控制器200通过执行安全程序2104，从而将包含指定信息的安全指令输出至安全驱动器300，所述指定信息用于指定安全驱动器300的运动安全功能360的有效或无效。安全驱动器300的安全状态70中所含的指定信息可基于安全指令中所含的指定信息而受到更新。

主存储器204包含DRAM或SRAM等易失性存储装置等。贮存器210例如包含SSD或HDD等非易失性存储装置等。

在贮存器210中，除了用于实现基本功能的系统程序2102以外，还保存根据所要求的安全功能250而制作的安全程序2104。进而，在贮存器210中，保存用于对如后所述的变量等进行设定的设定信息2106。

现场网络控制器208经由现场网络2而与包含标准控制器100及安全驱动器300的任意设备之间交换数据。图4所示的控制系统1中，安全控制器200的现场网络控制器208作为现场网络2的通信从机发挥功能。

USB控制器220经由USB连接而与支持装置500等信息处理装置之间交换数据。

安全局部总线控制器216经由安全局部总线而与连接于安全控制器200的任意的安全单元之间交换数据。图4中，作为安全单元的一例，表示了安全IO单元230。

安全IO单元230与任意的安全设备240之间交换输入/输出信号。更具体而言，安全IO单元230受理来自安全传感器或安全开关等安全设备240的输入信号。或者，安全IO单元230向安全继电器等安全设备240输出指令。

图4中表示了通过处理器202执行程序而提供所需的功能的结构例，但这些提供的功能的一部分或全部也可使用专用的硬件电路(例如ASIC或FPGA等)而实现。或者，安全控制器200的主要部分也可使用遵循通用架构的硬件(例如将通用个人计算机作为基础的工业个人计算机)来实现。

(b3：安全驱动器300以及伺服马达400)

图5是表示构成本实施方式的控制系统1的安全驱动器300及伺服马达400的硬件结构例的示意图。参照图5，安全驱动器300包含现场网络控制器302、控制部310、驱动电路330以及反馈接收电路332。

现场网络控制器302经由现场网络2而与包含标准控制器100及安全控制器200的任意设备之间交换数据。本实施方式中，现场网络控制器302作为从标准控制器100接收包含SRA参数60的初始命令的“接收部”发挥功能。图5所示的控制系统1中，安全驱动器300的现场网络控制器302作为现场网络2的通信从机发挥功能。

控制部310执行为了使安全驱动器300运行所需的运算处理。作为一例，控制部310包含处理器312、处理器314、主存储器316以及贮存器320。

处理器312相当于主要执行用于驱动伺服马达400的控制运算的运算处理部。处理器314主要执行用于提供与伺服马达400相关的安全功能250的控制运算。本实施方式中，处理器314作为根据SRA参数60或安全指令来使特定的运动安全功能360无效化的“无效化部”发挥功能。处理器312、314均包含CPU等。

主存储器316包含DRAM或SRAM等易失性存储装置等。贮存器320例如包含SSD或HDD等非易失性存储装置等。

在贮存器320中，保存用于实现后述的伺服控制350的伺服控制程序3202、用于实现后述的运动安全功能360的运动安全程序3204、以及用于对在其他设备中公开的变量等进行设定的设定信息3206。进而，在设定信息3206中，保存有用于对关于运动安全功能360的有效/无效设定进行管理的安全状态70。

图5中，例示了通过两个处理器312、314分别执行不同目标的控制运算来提高可靠性的结构，但并不限于此，只要能够实现所要求的安全功能250，则采用任何结构皆可。例如，在单个处理器中包含多个核心的情况下，也可执行与处理器312、314分别对应的控制运算。而且，图5中，表示了通过处理器312、314执行程序而提供所需的功能的结构例，但这些提供的功能的一部分或全部也可使用专用的硬件电路(例如ASIC或FPGA等)而实现。

驱动电路330包含转换器电路及逆变器电路等，根据来自控制部310的指令，生成所指定的电压、电流、相位的电力，并供给至伺服马达400。

反馈接收电路332接收来自伺服马达400的反馈信号，并将其接收结果输出至控制部310。

典型的是，伺服马达400包含三相交流马达402以及被安装于三相交流马达402的旋转轴的编码器404。

三相交流马达402是接受从安全驱动器300供给的电力而产生旋转力的致动器。图5中，作为一例，例示了三相交流马达，但并不限于此，也可为直流马达，还可为单相交流马达或者多相交流马达。进而，还可采用线性伺服(linear servo)那样的沿着直线来产生驱动力的致动器。

编码器404输出与三相交流马达402的转速相应的反馈信号(典型的是，与转速相应的数量的脉冲信号)。

(b4：支持装置500)

图6是表示构成本实施方式的控制系统1的支持装置500的硬件结构例的示意图。作为一例，支持装置500是使用遵循通用架构的硬件(例如通用个人计算机)而实现。

参照图6，支持装置500包含处理器502、主存储器504、输入部506、输出部508、贮存器510、光学驱动器512与USB控制器520。这些组件经由处理器总线518而连接。

处理器502包含CPU或GPU等，读出保存在贮存器510中的程序(作为一例，为OS5102及支持程序5104)，并在主存储器504中展开而执行，由此来实现如后所述的各种处理。即，处理器502具有执行支持程序5104的计算机的功能。

主存储器504包含DRAM或SRAM等易失性存储装置等。贮存器510例如包含HDD或SSD等非易失性存储装置等。

在贮存器510中，除了用于实现基本功能的OS5102以外，还保存用于提供作为支持装置500的功能的支持程序5104。即，支持程序5104是由连接于控制系统1的计算机予以执行，由此来实现本实施方式的支持装置500。

进而，在贮存器510中，保存项目数据(project data)5106，所述项目数据5106是在通过执行支持程序5104而提供的开发环境下由用户所制作。

本实施方式中，支持装置500提供能够综合性地实现对控制系统1中所含的各设备的设定以及各设备中所执行的程序的制作的开发环境。项目数据5106包含通过此种综合性的开发环境而生成的数据。典型的是，项目数据5106包含标准控制源程序5108、标准控制器设定信息5110、安全源程序5117、安全控制器设定信息5114以及安全驱动器设定信息5116。进而，在安全驱动器设定信息5116中，保存有由用户所制作的SRA参数60。

标准控制源程序5108在被转换成目标代码(object code)后，被发送至标准控制器100，并被保存为标准控制程序1104(参照图3)。另外，标准控制源程序5108也可不转换为目标代码而直接被发送至标准控制器100。同样，关于标准控制器设定信息5110，也被发送至标准控制器100，并被保存为设定信息1106(参照图3)。

安全源程序5117在被转换成目标代码后，被发送至安全控制器200，并被保存为安全程序2104(参照图4)。另外，安全源程序5117也可不转换为目标代码而直接被发送至安全控制器200。同样，关于安全控制器设定信息5114，也被发送至安全控制器200，并被保存为设定信息2106(参照图4)。

包含SRA参数60的安全驱动器设定信息5116被发送至安全驱动器300，并被保存为设定信息3206(参照图5)。保存在设定信息3206中的安全状态70中所含的指定信息可基于SRA参数60中所含的指定信息而受到更新。

输入部506包含键盘或鼠标等，受理用户操作。输出部508包含显示器、各种指示器(indicator)、打印机等，输出来自处理器502的处理结果等。

USB控制器520经由USB连接而与标准控制器100等之间交换数据。

支持装置500具有光学驱动器512，从非一次性地保存计算机可读取的程序的记录介质514(例如数字多功能光盘(Digital Versatile Disc，DVD)等光学记录介质)中，读取保存在其中的程序并安装到贮存器510等中。

由支持装置500所执行的支持程序5104等既可经由计算机可读取的记录介质514而安装，也可以从网络上的服务器装置等下载的形式而安装。而且，本实施方式的支持装置500所提供的功能也有时以利用OS所提供的模块的一部分的形式而实现。

图6中，表示了通过处理器502执行程序而提供作为支持装置500所需的功能的结构例，但这些提供的功能的一部分或全部也可使用专用的硬件电路(例如ASIC或FPGA等)而实现。

另外，在控制系统1运转中，支持装置500也可从标准控制器100予以拆卸。

＜C.控制系统1的功能分担＞

接下来，对控制系统1中的功能分担的一例进行说明。图7是表示本实施方式的控制系统1的功能分担的一例的示意图。

参照图7，关于标准控制器100所执行的标准控制150，安全驱动器300执行伺服控制350。标准控制150包含下述处理，即：按照对控制对象预先设定的用户程序，来周期性地算出用于驱动伺服马达400的指令。而且，伺服控制350包含用于通过标准控制150依据周期性地算出的指令来驱动伺服马达400的控制、及获取表示伺服马达400的动作状态的状态值并予以输出的处理。伺服控制350是由安全驱动器300的处理器312(参照图5)来负责。

另一方面，与安全控制器200所提供的安全功能250对应地，安全驱动器300提供运动安全功能360。运动安全功能360是由安全驱动器300的处理器314(参照图5)来负责。

安全功能250基于标准控制器100所执行的标准控制150所保持的状态值、由来自安全设备240的信号所示的状态值、及安全驱动器300所保持的状态值等，当预先规定的条件成立时，使预先指定的安全功能250有效化。

使预先指定的安全功能250有效化的处理例如包含针对安全驱动器300的安全指令的输出、或者针对安全设备240的安全指令的输出(例如，阻断与对特定装置的电力供给相关的安全继电器)等。

安全驱动器300通过执行运动安全程序3204，从而响应来自安全控制器200的安全指令而实现指定的运动安全功能360。另外，在各安全驱动器300中，预先规定有可执行的运动安全功能360。根据所指定的运动安全功能360的种类，介入伺服控制350对伺服马达400的控制，而执行阻断对伺服马达400的电力供给的处理、或者监测伺服控制350对伺服马达400的控制的状态值是否收敛在预先规定的限制范围内的处理等。运动安全程序3204根据由安全状态70中所含的指定信息所指定的安全功能的有效/无效设定，来使各运动安全功能360有效化或无效化。

图8是表示由本实施方式的控制系统1的安全驱动器300所进行的与安全功能250相关的处理流程的一例的序列图。参照图8，通过标准控制器100的标准控制150而周期性地算出指令，并输出至安全驱动器300(伺服控制350)(序列SQ2)。安全驱动器300的伺服控制350根据来自标准控制150的指令，来驱动伺服马达400(序列SQ4)。

当在某时机，发生来自安全设备240(例如安全传感器)的安全事件(safetyevent)时(序列SQ6)，安全控制器200对安全驱动器300(运动安全功能360)输出安全指令(序列SQ8)。响应所述安全指令，安全驱动器300的运动安全功能360使所指定的安全功能250有效化(序列SQ10)。

响应安全功能250的有效化，从标准控制器100的标准控制150输出及输出与所述被有效化的安全功能250相应的指令(序列SQ12)。另一方面，安全驱动器300(运动安全功能360)监测伺服马达400的动作状态是否收敛在预先规定的限制范围内。若判断为伺服马达400的动作状态未收敛在预先规定的限制范围内，或者，若预先规定的停止时间已到来，则安全驱动器300(运动安全功能360)阻断对伺服马达400的电力供给(序列SQ14)。

这样，安全驱动器300能够依据来自标准控制器100(标准控制150)的指令来驱动伺服马达400，并且能够根据用于使安全功能250有效化的指令，来实现对安全控制器200(安全功能250)的运动安全功能360。

＜D.控制系统1的运动安全功能360＞

接下来，对控制系统1所提供的运动安全功能360的一例进行说明。

图9是表示本实施方式的控制系统1所提供的运动安全功能360的一例的图。图9(A)中，表示与STO对应的伺服马达400的行为的一例，图9(B)中，表示与SS1对应的伺服马达400的行为的一例。

参照图9(A)，在伺服马达400正以某旋转速度而运转的状态下，当在时刻t1给予安全指令(STO)时，安全驱动器300阻断对伺服马达400的电力供给，将伺服马达400所产生的转矩设为零。其结果，伺服马达400在因惰性而旋转后停止。另外，在伺服马达400安装有制动器的情况下，伺服马达400也能够立即停止。

参照图9(B)，在伺服马达400正以某旋转速度而运转的状态下，当在时刻t1给予安全指令(SS1)时，安全驱动器300以预先规定的加速度来降低旋转速度。此时，安全驱动器300也可执行从伺服马达400的电力回收(即再生)等。并且，当在时刻t2，伺服马达400的旋转速度变为零时，安全驱动器300阻断对伺服马达400的电力供给，将伺服马达400所产生的转矩设为零。在时刻t2以后，成为与图9(A)所示的STO同样的状态。

在图9(A)所示的STO及图9(B)所示的SS1中，根据与伺服马达400机械连结的设备的特性等，适当选择能够更安全地停止的安全功能。

所述的非专利文献1不仅规定了图9(A)及图9(B)所示的运动安全功能，而且规定了多个运动安全功能。为了实现各运动安全功能，需要用于规定伺服马达400的行为的设定。

＜E.标准控制、安全控制以及SRA参数转发的实现例＞

如上所述，在本实施方式的控制系统1中，可实现借助数据通信以及逻辑连接4的安全通信。接下来，对利用各个通信的标准控制、安全控制以及SRA参数60的转发的实现例进行说明。

图10是表示本实施方式的控制系统1中的标准控制、安全控制以及SRA参数转发的实现例的示意图。为了便于说明，图10中表示了除了标准控制器100、安全控制器200以及支持装置500以外，还包含一个安全驱动器300的控制系统1的示例。

如图10所示，标准控制器100包含数据通信层170与IO管理模块172以作为主要的功能结构。安全控制器200包含数据通信层270、IO管理模块272、逻辑连接层276及安全功能状态管理引擎278，以作为主要的功能结构。安全驱动器300包含数据通信层370、逻辑连接层376、运动安全功能状态管理引擎378、伺服控制执行引擎352以及运动安全功能执行引擎362，以作为主要的功能结构。

数据通信层170、数据通信层270以及数据通信层370负责现场网络2上的通信帧600的转发。

安全控制器200的逻辑连接层276及安全驱动器300的逻辑连接层376负责安全通信帧630的交换。即，逻辑连接层276及逻辑连接层376按照用于建立逻辑连接4的协议(本实施方式中为FSoE)，使用通信帧600中所含的安全通信帧630来交换命令及数据。安全控制器200包含建立模块277，所述建立模块277用于经由逻辑连接层276而与安全驱动器300之间建立逻辑连接4。

标准控制器100中，IO管理模块172通过与控制对象之间交换信号，从而更新过程数据174。在标准控制器100中执行的标准控制程序1104参照过程数据174来执行控制运算，并且根据控制运算的执行结果来更新过程数据174。

安全控制器200中，IO管理模块272通过与安全设备240之间交换信号，从而更新过程数据274。

在安全控制器200中执行的安全程序2104参照过程数据274及安全功能状态管理引擎278来执行控制运算，并且基于控制运算的执行结果来更新过程数据274，或者对安全功能状态管理引擎278输出内部指令。

安全功能状态管理引擎278根据安全程序2104所进行的控制运算的执行结果，生成用于对特定的安全驱动器300来使特定的运动安全功能360有效化或无效化的安全指令。逻辑连接层276响应来自安全功能状态管理引擎278的指令，与作为对象的安全驱动器300的逻辑连接层376之间使用安全通信帧630来交换所需的命令及数据。

在安全驱动器300中，伺服控制执行引擎352参照过程数据374及经由反馈接收电路332而获取的反馈信号的信息来执行与伺服控制相关的控制运算。伺服控制执行引擎352基于控制运算的执行结果来更新过程数据374，并且对驱动电路330输出内部指令。驱动电路330依据来自伺服控制执行引擎352的指令来驱动伺服马达400。

运动安全功能状态管理引擎378依据来自安全控制器200的安全指令或来自标准控制器100的SRA参数60来管理运动安全功能360的状态。安全状态70是由运动安全功能状态管理引擎378予以保持。运动安全功能状态管理引擎378依据安全状态70中所含的指定信息，对运动安全功能执行引擎362输出内部指令。

在运动安全功能执行引擎362中，通过执行运动安全程序3204，从而实现指定的运动安全功能360。

逻辑连接层376响应来自运动安全功能状态管理引擎378的指令，与安全控制器200的逻辑连接层276之间使用安全通信帧630来交换所需的命令以及数据。

支持装置500包含数据通信层533与参数管理器532，以作为主要的功能结构。数据通信层533与包含标准控制器100的各设备交换数据。参数管理器532依据操作受理部530经由输入部506而受理的用户操作，来设定SRA参数60。具体而言，通过设定SRA参数60，从而进行安全功能的有效/无效设定。SRA参数60经由现场网络2而被转发至作为对象的安全驱动器300。

＜F.运动安全功能的有效或无效的迁移的一例＞

图11是表示本实施方式的运动安全功能360的有效或无效的迁移的一例的示意图。

如前所述，安全驱动器300无论是否安装，与所有的运动安全功能360对应的标记在默认时均为“0”而起动。即，在默认时，安全状态70中所含的所有位的标记为“0”。

当用户在SRA参数60中所含的指定信息中为了使SS2无效化而将与SS2对应的第二位的标记设定为“1”，为了使SOS无效化而将与SOS对应的第三位的标记设定为“1”，进而，为了使SDIp有效化而将与SDIp对应的第五位的标记设定为“1”时，安全状态70中所含的指定信息依据初始命令中所含的SRA参数60的指定信息而受到更新。更具体而言，安全状态70中所含的指定信息被覆盖，以变得与SRA参数60中所含的指定信息相同。

随后，当用户以为了再次使SS2有效化而将与SS2对应的第二位的标记设定为“0”，为了使SS1无效化而将与SS1对应的第一位的标记设定为“1”的方式来制作安全程序2104时，安全状态70中所含的指定信息依据安全指令而受到更新。更具体而言，安全状态70中所含的指定信息中的、与SS2对应的标记即第二位的标记被变更为“0”，与SS1对应的标记即第一位的标记被变更为“1”。

这样，在本实施方式的控制系统1中，在现场网络2中的连接建立后，能够通过SRA参数60或安全指令来从默认状态变更特定的运动安全功能360的有效或无效的设定。

＜G.与运动安全功能360相关的用户接口＞

接下来，对与支持装置500所提供的运动安全功能360相关的用户接口的一例进行说明。

图12以及图13是表示本实施方式的支持装置500所提供的SRA参数60中的用于进行运动安全功能360的有效/无效设定的用户接口的一例的图。而且，图14是表示本实施方式的支持装置500所提供的安全程序2104中的用于进行变量设定的用户接口的一例的图。用户在支持装置500中执行支持程序5104，从而能够显示与图13～图15所示的用户接口相关的画面。

如图12所示，在与用户接口601相关的画面的左侧，设有多视图资源管理器(multiview explorer)栏610。在多视图资源管理器栏610中，包含用于对成为开发对象的程序进行指定的切换开关612。本例中，在切换开关612中，指定了与安全程序2104对应的“新_安全CPU0”。

进而，在多视图资源管理器栏610中，包含用于对在控制系统1中进行网络连接的结构进行设定的结构/设定开关614。在通过结构/设定开关614而展开的下位层，包含用于进行与SRA参数60相关的开发的SRA参数图标616、与用于进行在安全程序2104中参照的变量的映射的I/O映射图标618。所谓“变量”，是指数据其自身、以及保存所述数据的容器或存储区域等。例如，作为在安全程序2104中参照的变量，关联有伺服马达400等的状态值等，根据与所述变量关联的状态值来实现各运动安全功能360。

SRA参数图标616是对应于与控制系统1连接的一个或多个安全驱动器300的每一个而设，本例中，选择了与节点(Node)10的安全驱动器300对应的SRA参数图标616。

在与用户接口601相关的画面的中央，显示有用于设定SRA参数60的画面620。在所述画面620中，包含编号栏622与标记栏624。

在编号栏622中，以与安全状态70中所含的指定信息相同的排列，从第一位起依次对每个运动安全功能360表示有编号。另外，本例中，未安装第四位的SSR的运动安全功能360，因此与第四号对应的信息全部为“保留(Reserved)”。

在标记栏624中，准备了能够由用户来勾选的复选框。在SRA参数60中所含的指定信息中，通过在标记栏624的复选框中进行勾选，从而将标记设定为“0”，通过在标记栏624的复选框中取消勾选，从而将标记设定为“1”。这样，用户通过在标记栏624的复选框中进行勾选或者取消勾选，便能够容易地进行SRA参数60中的运动安全功能360的有效/无效设定。

另外，关于运动安全功能360的有效/无效设定，对于安全状态70的第二字节，能够由用户来变更默认状态，但如图12所示，对于第二字节，用户也能够通过SRA参数60来进行有效/无效设定。

图12所示的示例中，在标记栏624的复选框中，SS2、SOS以及SDIp的勾选被取消。因此，在SRA参数60中，与SS2、SOS以及SDIp对应的标记被指定为“1”。

如图13所示，在标记栏624的复选框中，当关于特定的运动安全功能360进行无效化时，切换为与用户接口602相关的画面，在位于画面下方的输出窗口670中，通知与经无效化的特定的运动安全功能360相关联的变量已被解除的意旨。

如图14所示，当I/O映射图标618受到选择时，切换为与用户接口603相关的画面。在与用户接口603相关的画面的中央，显示用于对各运动安全功能360进行变量映射的画面650。在所述画面650上，包含端口栏652、变量栏654与变量注释栏656。

在端口栏652中，表示了在选择中的安全驱动器300(本例中为节点10)中安装的各运动安全功能360。在变量栏654中，表示了与各运动安全功能360相关联的变量。在变量注释栏656中，表示了与跟各运动安全功能360关联的变量相关的注释。

此处，如图13所示，在标记栏624的复选框中，当关于特定的运动安全功能360而进行了无效化时，与经无效化的特定的运动安全功能360相关联的变量被解除。因此，在图14所示的与用户接口603相关的画面上，变量栏654以及变量注释栏656变为空白。例如，本例中，在标记栏624的复选框中，SS2以及SOS被无效化而变量被解除，因此与SS2以及SOS对应的变量栏654以及变量注释栏656变为空白。

这样，支持装置500响应指定了特定的运动安全功能360的无效的情况，而禁止在与所述特定的运动安全功能360相关的安全程序2104中参照的变量的使用。由此，能够避免用户无意地设定在与经无效化的运动安全功能360相关的安全程序2104中参照的变量的事态。

＜H.安全有效/无效设定处理＞

接下来，对支持装置500所执行的安全有效/无效设定处理进行说明。图15是用于说明本实施方式的支持装置500所执行的安全有效/无效设定处理的流程图。

如图15所示，支持装置500判定是否受理了SRA参数60的设定画面的显示(S502)。若未受理SRA参数60的设定画面的显示(S502中为否)，则支持装置500结束本处理。

另一方面，若受理了SRA参数60的设定画面的显示(S502中为是)，则支持装置500判定是否存在安全功能的有效/无效设定的支持(S504)。若无安全功能的有效/无效设定的支持(S504中为否)，则支持装置500以无法进行安全功能的有效/无效设定的形态来显示SRA参数60的设定画面(S506)。例如，支持装置500在与图12所示的用户接口601相关的画面上，将标记栏624的复选框的内容设为不可编辑的状态。随后，支持装置500结束本处理。

另一方面，若存在安全功能的有效/无效设定的支持(S504中为是)，则支持装置500以可进行安全功能的有效/无效设定的形态来显示SRA参数60的设定画面(S508)。例如，支持装置500在与图12所示的用户接口601相关的画面上，将标记栏624的复选框的内容设为可编辑的状态。

接下来，支持装置500判定是否受理了安全功能的有效/无效设定(S510)。具体而言，支持装置500判定在与图12所示的用户接口601相关的画面上，用户对标记栏624的复选框是进行了勾选还是取消了勾选。若未受理安全功能的有效/无效设定(S510中为否)，则支持装置500重复S510的处理，直至受理有效/无效设定为止。

另一方面，若受理了安全功能的有效/无效设定(S510中为是)，则支持装置500将安全功能的有效/无效设定反映至SRA参数60(S512)。继而，支持装置500判定对于被设定为无效的运动安全功能360是否存在变量的映射(S514)。若对于被设定为无效的运动安全功能360无变量的映射(S514中为否)，则支持装置500结束本处理。

另一方面，若对于被设定为无效的运动安全功能360存在变量的映射(S514中为是)，则支持装置500解除与被设定为无效的运动安全功能360对应的变量(S516)，并通知已解除的意旨(S518)。例如，支持装置500在图13所示的输出窗口670中，通知已解除了与经无效化的特定的运动安全功能360相关联的变量的意旨。

继而，支持装置500禁止对被设定为无效的运动安全功能360的变量的映射(S520)，并结束本处理。

这样，支持装置500响应指定了特定的运动安全功能360的无效的情况，禁止在与所述特定的运动安全功能360相关的安全程序2104中参照的变量的使用。由此，能够避免用户无意地设定在与经无效化的运动安全功能360相关的安全程序2104中参照的变量的事态。

而且，支持装置500能够将在与经无效化的运动安全功能360相关的安全程序2104中参照的变量的使用已被禁止的情况通知给用户。

＜I.SRA参数接收处理＞

接下来，对安全驱动器300所执行的SRA参数接收处理进行说明。图16是用于说明本实施方式的安全驱动器300所执行的SRA参数接收处理的流程图。另外，安全驱动器300在从标准控制器100收到初始命令时，执行图16所示的SRA参数接收处理。

如图16所示，安全驱动器300判定是否收到SRA参数60(S302)。即，安全驱动器300判定在从标准控制器100收到的初始命令中是否包含SRA参数60。若未收到SRA参数60(S302中为否)，则安全驱动器300根据默认状态下的安全状态70的指定信息，维持所有的运动安全功能360的有效/无效设定(S304)。即，将所有的运动安全功能360维持为有效。随后，安全驱动器300结束本处理。

另一方面，若已收到SRA参数60(S302中为是)，则安全驱动器300根据SRA参数60的指定信息，进行特定的运动安全功能360的有效/无效设定(S308)。例如，如图11所示，安全驱动器300使SS2以及SOS无效化，且在收到包含使SDIp有效化的意旨的指定信息的SRA参数60的情况下，在安全状态70的指定信息中也使SS2以及SOS无效化且使SDIp有效化。随后，安全驱动器300结束本处理。

这样，安全驱动器300能够根据SRA参数60，从默认状态变更特定的运动安全功能360的有效/无效设定。

＜J.安全指令接收处理＞

接下来，对安全驱动器300所执行的安全指令接收处理进行说明。图17是用于说明本实施方式的安全驱动器300所执行的安全指令接收处理的流程图。另外，安全驱动器300在现场网络2中的连接建立而逻辑连接4建立后，执行图17所示的安全指令接收处理。

如图17所示，安全驱动器300判定是否从安全控制器200收到安全指令(S322)。若未收到安全指令(S322中为否)，则安全驱动器300结束本处理。

另一方面，若已收到安全指令(S322中为是)，则安全驱动器300判定安全指令中是否包含运动安全功能360的有效/无效设定(S324)。若在安全指令中不含运动安全功能360的有效/无效设定(S324中为否)，则安全驱动器300结束本处理。

另一方面，若在安全指令中包含运动安全功能360的有效/无效设定(S324中为是)，则安全驱动器300根据安全指令中所含的指定信息，进行特定的运动安全功能360的有效/无效设定(S326)。例如，如图11所示，安全驱动器300在收到了包含使SS2有效化且使SS1无效化的意旨的指定信息的安全指令的情况下，在安全状态70的指定信息中也使SS2有效化且使SS1无效化。随后，安全驱动器300结束本处理。

这样，安全驱动器300较之在初始命令接收时执行的依据SRA参数60的有效/无效设定，优先依据在逻辑连接4建立后接收的安全指令来进行运动安全功能360的有效/无效设定。另外，安全驱动器300在随后，无论是收到SRA参数60时，抑或是收到安全指令时，均始终根据最新的有效/无效设定来更新安全状态70的指定信息。由此，不论是SRA参数60以及安全指令的哪个，用户均能够根据最新的有效/无效设定来实现运动安全功能360。

＜K.变形例＞

所述的实施方式中，不论是SRA参数60以及安全指令的哪个，均是依照由用户所进行的最新的有效/无效设定来实现运动安全功能360，但并不限于此。

(k1：以SRA参数60为优先来进行有效/无效设定)

例如，也可如图18所示，较之安全指令而优先参照SRA参数60来实现运动安全功能360。图18是用于说明变形例的安全驱动器300a所执行的安全指令接收处理的流程图。另外，安全驱动器300a在现场网络2中的连接建立而逻辑连接4建立后，执行图18所示的安全指令接收处理。

如图18所示，安全驱动器300a判定是否从安全控制器200收到安全指令(S342)。若未收到安全指令(S342中为否)，则安全驱动器300结束本处理。

另一方面，若收到了安全指令(S342中为是)，则安全驱动器300a判定安全指令中是否包含运动安全功能360的有效/无效设定(S344)。若在安全指令中未包含运动安全功能360的有效/无效设定(S344中为否)，则安全驱动器300a结束本处理。

另一方面，若在安全指令中包含运动安全功能360的有效/无效设定(S344中为是)，则安全驱动器300a判定是否已根据在初始命令时接收的SRA参数60的指定信息而进行了运动安全功能360的有效/无效设定(S346)。

若尚未依据SRA参数60的指定信息来进行运动安全功能360的有效/无效设定(S346中为否)，则安全驱动器300a根据安全指令的指定信息来进行特定的运动安全功能360的有效/无效设定(S348)。

另一方面，若已根据SRA参数60的指定信息而进行了运动安全功能360的有效/无效设定(S346中为是)，则安全驱动器300a以SRA参数60的指定信息为优先，根据所述SRA参数60的指定信息来维持所有的运动安全功能360的有效/无效设定(S350)。在S348或S350后，安全驱动器300a结束本处理。

这样，在图18所示的变形例中，安全驱动器300a较之在逻辑连接4建立后接收的安全指令，优先根据与初始命令一同接收的SRA参数60来进行运动安全功能360的有效/无效设定。由此，即使用户无意地记述了错误的设定内容的源代码，所述错误的设定内容也不会反映至运动安全功能360的有效/无效设定。

(k2：根据SRA参数60和安全指令的与(AND)来进行有效/无效设定)

例如，也可如图19以及图20所示，基于SRA参数60中所含的指定信息的标记和安全指令中所含的指定信息的标记的与运算结果，来实现运动安全功能360。图19是用于说明变形例的安全驱动器300b所执行的安全指令接收处理的流程图。另外，安全驱动器300b在现场网络2中的连接建立而逻辑连接4建立后，执行图19所示的安全指令接收处理。而且，图20是表示变形例的运动安全功能360的有效或无效的迁移的一例的示意图。

如图19所示，安全驱动器300b判定是否从安全控制器200收到安全指令(S362)。若未收到安全指令(S362中为否)，则安全驱动器300b结束本处理。

另一方面，若收到了安全指令(S362中为是)，则安全驱动器300b判定在安全指令中是否包含运动安全功能360的有效/无效设定(S364)。若在安全指令中不含运动安全功能360的有效/无效设定(S364中为否)，则安全驱动器300b结束本处理。

另一方面，若在安全指令中包含运动安全功能360的有效/无效设定(S364中为是)，则安全驱动器300b关于特定的运动安全功能360，进行已设定的有效/无效设定、和由收到的安全指令的指定信息所指定的有效/无效设定的与运算，判定所述与运算结果是否为“0”(S366)。例如，若已根据SRA参数60的指定信息进行了运动安全功能360的有效/无效设定，则安全驱动器300b判定通过SRA参数60而设定的有效/无效设定、和由收到的安全指令的指定信息所指定的有效/无效设定的与运算结果是否为“0”。

若与运算结果并非为“0”(S366中为否)，则安全驱动器300b将与成为运算对象的特定的运动安全功能360对应的安全状态70的指定信息的标记设为“1”(S368)。例如，如图20所示，在已通过SRA参数60而将SOS的标记设定为“1”的情况下，若根据安全指令的指定信息80而SOS的标记为“1”，则与运算结果为“1”。此时，安全驱动器300b将安全状态70的指定信息中的SOS的标记设定为“1”。

另一方面，若与运算结果为“0”(S366中为是)，则安全驱动器300b将与成为运算对象的特定的运动安全功能360对应的安全状态70的指定信息的标记设为“0”(S370)。例如，如图20所示，在已通过SRA参数60而将SS2的标记设定为“1”的情况下，若根据安全指令的指定信息80而SS2的标记为“0”，则与运算结果为“0”。此时，安全驱动器300b将安全状态70的指定信息中的SS2的标记设定为“0”。

在S368或S370之后，安全驱动器300b判定是否关于所有的运动安全功能360完成了运算(S372)。若尚未关于所有的运动安全功能360完成运算(S372中为否)，则安全驱动器300b再次重复S366的处理。另一方面，若已关于所有的运动安全功能360完成了运算(S372中为是)，则安全驱动器300b结束本处理。

这样，在图19以及图20所示的变形例中，安全驱动器300b基于SRA参数60中所含的指定信息的标记和安全指令中所含的指定信息的标记的与运算结果，来进行运动安全功能360的有效/无效设定。由此，用户能够考虑SRA参数60和安全指令这两者，根据实际情况来使运动安全功能360有效化或无效化。

(k3：根据SRA参数60与安全指令的或(OR)来进行有效/无效设定)

例如，也可如图21以及图22所示，基于SRA参数60中所含的指定信息的标记和安全指令中所含的指定信息的标记的或运算结果，来实现运动安全功能360。图21是用于说明变形例的安全驱动器300c所执行的安全指令接收处理的流程图。另外，安全驱动器300c在现场网络2中的连接建立而逻辑连接4建立后，执行图21所示的安全指令接收处理。而且，图22是表示变形例的运动安全功能360的有效或无效的迁移的一例的示意图。

如图21所示，安全驱动器300c判定是否从安全控制器200收到安全指令(S382)。若未收到安全指令(S382中为否)，则安全驱动器300c结束本处理。

另一方面，若收到了安全指令(S382中为是)，则安全驱动器300c判定在安全指令中是否包含运动安全功能360的有效/无效设定(S384)。若在安全指令中不含运动安全功能360的有效/无效设定(S384中为否)，则安全驱动器300c结束本处理。

另一方面，若在安全指令中包含运动安全功能360的有效/无效设定(S384中为是)，则安全驱动器300c关于特定的运动安全功能360，进行已设定的有效/无效设定和由收到的安全指令的指定信息所指定的有效/无效设定的或运算，判定所述或运算结果是否为“0”(S386)。例如，安全驱动器300c在已根据SRA参数60的指定信息而进行了运动安全功能360的有效/无效设定的情况下，判定通过SRA参数60而设定的有效/无效设定和由收到的安全指令的指定信息所指定的有效/无效设定的或运算结果是否为“0”。

若或运算结果并非为“0”(S386中为否)，则安全驱动器300c将与成为运算对象的特定的运动安全功能360对应的安全状态70的指定信息的标记设为“1”(S388)。例如，如图22所示，在已通过SRA参数60而将SS2的标记设定为“1”的情况下，若根据安全指令的指定信息80而SS2的标记为“0”，则或运算结果为“1”。此时，安全驱动器300c将安全状态70的指定信息中的SS2的标记设定为“1”。

另一方面，若或运算结果为“0”(S386中为是)，则安全驱动器300c将与成为运算对象的特定的运动安全功能360对应的安全状态70的指定信息的标记设为“0”(S390)。例如，如图22所示，在已通过SRA参数60而将STO的标记设定为“0”的情况下，若根据安全指令的指定信息80而STO的标记为“0”，则或运算结果为“0”。此时，安全驱动器300c将安全状态70的指定信息中的STO的标记设定为“0”。

在S388或S390后，安全驱动器300c判定是否已关于所有的运动安全功能360而完成了运算(S392)。若尚未关于所有的运动安全功能360而完成了运算(S392中为否)，则安全驱动器300c再次重复S386的处理。另一方面，若已关于所有的运动安全功能360而完成了运算(S392中为是)，则安全驱动器300c结束本处理。

这样，在图21以及图22所示的变形例中，安全驱动器300c基于SRA参数60中所含的指定信息的标记和安全指令中所含的指定信息的标记的或运算结果，来进行运动安全功能360的有效/无效设定。由此，用户能够考虑SRA参数60与安全指令这两者，根据实际情况来使运动安全功能360有效化或无效化。

＜L.附注＞

如上所述，本实施方式中包含如下所述的公开。

[结构1]

一种控制系统(1)，包括：

驱动装置(300)，连接于网络(2)，具有至少一个以上的安全功能并且驱动马达(400)；以及

控制器(100)，在包含连接于所述网络的所述驱动装置的装置间管理数据的交换，

所述控制器在所述网络中的连接建立时，将与所述驱动装置的设定相关的参数(60)经由所述网络而发送至所述驱动装置，

在所述参数中，包含指定信息，所述指定信息用于关于所述至少一个以上的安全功能分别指定有效或无效，

所述驱动装置使所述至少一个以上的安全功能中的、由所述参数中所含的所述指定信息指定为无效的特定的安全功能无效化。

[结构2]

根据结构1所述的控制系统，其中所述参数为安全相关应用参数(Safety-relatedApplication Parameter)。

[结构3]

根据结构1或结构2所述的控制系统，其中所述指定信息包含信息，所述信息用于通过将与所述至少一个以上的安全功能分别对应的位排列而成的位串，来关于所述至少一个以上的安全功能分别指定有效或无效。

[结构4]

根据结构1至结构3中任一项所述的控制系统，包括：

支持装置(500)，支持与所述至少一个以上的安全功能相关的设定，

所述支持装置提供用于设定所述指定信息的用户接口(600)。

[结构5]

根据结构4所述的控制系统，其中所述支持装置响应指定了所述至少一个以上的安全功能中的所述特定的安全功能的无效的情况，禁止在与所述特定的安全功能相关的程序(2104)中参照的变量的使用。

[结构6]

根据结构5所述的控制系统，其中所述支持装置通知所述变量的使用的禁止。

[结构7]

根据结构1至结构6中任一项所述的控制系统，包括：

第二控制器(200)，对所述驱动装置发送与所述至少一个以上的安全功能的动作相关的安全指令，

在所述安全指令中，包含第二指定信息，所述第二指定信息用于关于所述至少一个以上的安全功能分别指定有效或无效，

所述驱动装置基于所述参数中所含的所述指定信息与所述安全指令中所含的所述第二指定信息，关于所述至少一个以上的安全功能分别进行有效化或无效化。

[结构8]

一种控制方法，为控制系统(1)中的控制方法，

所述控制系统包括：

驱动装置(300)，连接于网络(2)，具有至少一个以上的安全功能并且驱动马达(400)；以及

控制器(100)，在包含连接于所述网络的所述驱动装置的装置间管理数据的交换，

所述控制方法包含下述步骤：

在所述网络中的连接建立时，通过所述控制器，将包含指定信息的参数(60)经由所述网络而发送至所述驱动装置，所述指定信息用于关于所述至少一个以上的安全功能分别指定有效或无效；以及

通过所述驱动装置，使所述至少一个以上的安全功能中的、由所述参数中所含的所述指定信息指定为无效的特定的安全功能无效化。

[结构9]

一种驱动装置(300)，连接于网络(2)，具有至少一个以上的安全功能并且驱动马达(400)，其中

由控制器(100)在包含连接于所述网络的所述驱动装置的装置间管理数据的交换，

所述驱动装置(300)包括：

接收部(302)，在所述网络中的连接建立时，经由所述网络而从所述控制器接收包含指定信息的参数(60)，所述指定信息用于关于所述至少一个以上的安全功能分别指定有效或无效；以及

无效化部(314)，使所述至少一个以上的安全功能中的、由所述参数中所含的所述指定信息指定为无效的特定的安全功能无效化。

＜M.优点＞

根据本实施方式的控制系统1，用户通过SRA参数60来指定关于特定的运动安全功能360为无效的意旨，由此，当现场网络2中的连接建立时，能够针对安全驱动器300而使特定的运动安全功能360无效化。进而，用户经由现场网络2来将SRA参数60发送至安全驱动器300，由此，能够使特定的运动安全功能360无效化，因此比起执行为了使运动安全功能360无效化而另行准备的安全程序2104，不会使控制系统1的执行性能下降。

应认为，此次公开的实施方式在所有方面仅为例示而非限制者。本发明的范围是由权利要求而非所述说明所示，且意图包含与权利要求均等的含义及范围内的所有变更。

符号的说明

1：控制系统

2：现场网络

4：逻辑连接

60：SRA参数

70：安全状态

80：指定信息

100：标准控制器

102、202、312、314、502：处理器

104、204、316、504：主存储器

106：上位网络控制器

108、208、302：现场网络控制器

110、210、320、510：贮存器

112：存储卡接口

114：存储卡

116：局部总线控制器

118、218、518：处理器总线

120、220、520：USB控制器

150：标准控制

170、270、370、533：数据通信层

172、272：管理模块

174、274、374：过程数据

200：安全控制器

216：安全局部总线控制器

230：安全IO单元

240：安全设备

250：安全功能

276、376：逻辑连接层

277：建立模块

278：安全功能状态管理引擎

300、300a、300b、300c：安全驱动器

310：控制部

330：驱动电路

332：反馈接收电路

350：伺服控制

352：伺服控制执行引擎

360：运动安全功能

362：运动安全功能执行引擎

378：运动安全功能状态管理引擎

400：伺服马达

402：三相交流马达

404：编码器

500：支持装置

506：输入部

508：输出部

512：光学驱动器

514：记录介质

530：操作受理部

532：参数管理器

600：通信帧

601、602、603：用户接口

610：多视图资源管理器栏

612：切换开关

614：设定开关

616：参数图标

618：I/O映射图标

620、650：画面

622：编号栏

624：标记栏

630：安全通信帧

652：端口栏

654：变量栏

656：变量注释栏

670：输出窗口

700：控制字

702：位栏

704：名称栏

706：说明栏

1102、2102：系统程序

1104：标准控制程序

1106、2106、3206：设定信息

2104：安全程序

3202：伺服控制程序

3204：运动安全程序

5104：支持程序

5106：项目数据

5108：标准控制源程序

5110：标准控制器设定信息

5114：安全控制器设定信息

5116：安全驱动器设定信息

5117：安全源程序