安全装置および電力変換器
【課題】基本的な制御機能と安全機能とを分離した構成を有する安全装置において、所望の規格の安全機能を担う安全機能部が正しく実装されていることを正確に判定すること。
【解決手段】安全装置を制御部と安全機能部で構成し、制御部には、接続されるべき安全機能部を識別するための種別を選択する手段と、基準信号を安全機能部へ送信する手段と、安全機能部から返信されてきた種別を特定するための信号である種別識別信号をもとに、接続されている安全機能部の種別が選択した種別と一致するか否かを判定し、該判定の結果を出力する手段と、判定の結果、接続されている安全機能部の種別と選択した種別とが一致しなかった場合は、制御信号の出力を禁止する手段とを設け、安全機能部には、制御部から送信されてきた基準信号をもとに該安全機能部の種別に応じた処理によって種別識別信号を生成して制御部へ返信する手段を設ける。
【解決手段】安全装置を制御部と安全機能部で構成し、制御部には、接続されるべき安全機能部を識別するための種別を選択する手段と、基準信号を安全機能部へ送信する手段と、安全機能部から返信されてきた種別を特定するための信号である種別識別信号をもとに、接続されている安全機能部の種別が選択した種別と一致するか否かを判定し、該判定の結果を出力する手段と、判定の結果、接続されている安全機能部の種別と選択した種別とが一致しなかった場合は、制御信号の出力を禁止する手段とを設け、安全機能部には、制御部から送信されてきた基準信号をもとに該安全機能部の種別に応じた処理によって種別識別信号を生成して制御部へ返信する手段を設ける。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、種々の安全規格に準拠した安全装置を構築する技術に係り、特に電動機を駆動するインバータやサーボアンプ等の電力変換器やプログラマブルロジックコントローラ(PLC)等の制御対象機器の安全機能を実現する安全装置および電力変換器に関する。
【背景技術】
【0002】
近年、省エネルギー化の必要性から、電動機を可変速駆動する電力変換器の普及が進んでいる。一方、電気機器の異常動作は重大な事故につながる場合があるので、各メーカは安全機能の充実が求められている。また、製品の開発,設計,生産,保守,廃棄の各段階において人体への危険性を許容範囲内に抑えるために厳しい安全規格が設けられている。
【0003】
世界標準の安全規格としては、例えばISO13849などが規定されている。特に電気機器に関しては,IEC61508という上位概念の安全規格と,インバータやサーボアンプなどの電動機の制御装置を対象としたIEC61800-5-2という下位規格がある。日本では、これらの国際規格に準拠した電動機の制御装置の開発が盛んに行われている。
【0004】
また、欧州ではIEC61800-5-2規格に準拠した電動機の制御装置が発売されつつある。これらの安全規格に準拠するためには、開発体制やコンセプトを文書化して、規格に準拠しているかどうかの認証を受けるだけではなく、制御対象機器や制御装置の異常を監視して、異常を検出した場合には仕様に従って安全に制御対象機器を停止させることが必要になる。
【0005】
このような安全規格は適宜見直されており、その度に新たに安全機能を有する制御装置(以下、「安全装置」という。)を開発するには、膨大な開発コストと時間がかかる。また、顧客によっては、必要となる安全規格のレベルや制御対象機器の使用環境が異なるため、個々の顧客が要求する安全水準に対応した安全装置を提供する必要がある。これらの理由により、制御機能と安全機能とを分離して、個別対応が必要な部分のみを開発して開発コストの低減や開発期間の短縮を図ることが考えられる。
【0006】
安全機能に関する従来の技術として、例えば、特許文献1には、電動機を駆動するための制御信号を生成する制御部と独立して、この制御部の異常監視を行う安全機能部を設けた安全装置が記載されている。この安全装置は、安全機能部によって装置の異常を検出したときは、制御部から出力される制御対象への制御信号を遮断することにより電動機を停止させるというものである。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】米国特許第7253577号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、上記の従来技術は、制御機能を担う制御部と安全機能を担う安全機能部とを独立して設けることは記載されているが、複数の種類の安全機能部が存在し各安全機能部と制御部との組み合わせによって安全装置を構成する場合については考慮されていない。複数の種類の安全機能部が存在する場合は、安全機能部の脱着操作の誤りや組み合わせの誤りにより制御対象機器に要求される安全機能が動作しないことが想定される。このような安全機能の不動作により生じる危険状態を回避するために、正しい安全機能部が、正しい組み合わせで、正しく接続されていることを正確に判定する必要がある。
【0009】
本発明の目的は、上述のかかる事情に鑑みてなされてものであり、制御機能と安全機能とを分離した構成を有する安全装置において、所望の規格の安全機能を担う安全機能部が正しく実装されていることを正確に判定することのできる安全装置および電力変換器を提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明に係る安全装置は、基本的に下記の手段を備え制御対象機器を制御するための制御信号を生成する制御部と、この制御部と接続して所定の安全機能を実行する安全機能部とで構成される。
【0011】
なお、制御部、安全機能部は共に基板によって実現して、一つのユニットに実装して専用ケーブルあるいは内部バスによって識別信号のやり取りをするようにしても良いし、それぞれ単体の装置やモジュールとして構成して、専用ケーブルで接続するようにしても良い。
【0012】
制御部は、基本機能として、次の手段a〜dを有する。
a.接続されるべき安全機能部を識別するための種別を選択する手段
この種別は、安全機能部の識別情報としての意味を持つが、これに限定されない。例えば、安全規格(あるいは安全機能)ごとに安全機能部が設けられている場合は、安全規格(安全機能)の識別情報としての意味も持つ。少なくとも安全機能部を識別することができれば、「種別」に含まれる。
b.種別特定可能な種別識別信号を生成するための基準信号を安全機能部へ送信する手段
c.安全機能部から返信されてきた種別識別信号をもとに、接続されている安全機能部の種別が上記aで選択した種別と一致するか否かを判定し、その判定の結果を出力する手段
d.判定の結果、接続されている安全機能部の種別と上記aで選択した種別とが一致しなかった場合は、制御信号の出力を禁止する手段
【0013】
また、安全機能部は、次の手段eを有する。
e.制御部から送信されてきた基準信号をもとにその安全機能部の種別に応じた処理によって種別識別信号を生成して制御部へ返信する手段
【0014】
すなわち、本発明では、制御部から安全機能部へ基準信号を送信する。安全機能部では、その基準信号をもとに、その安全機能部にユニークな処理によって種別識別信号を生成して制御部へ返信する。制御部では、その種別識別信号のパターン(以下、「信号パターン」という。)が予め選択した種別の信号パターンと一致しているか否かを判定して、一致していない場合は制御信号の出力を禁止する。
【0015】
種別識別信号の生成のしかたとしては、例えば、制御部から基準信号として連続的な定周期信号を安全機能部へ送信し、安全機能部は、その定周期信号を用いて所定の分周条件で分周することによって種別識別信号を生成するという方法がある。この分周条件(例えば、2分周、4分周など)は、安全機能部の種別によってユニークに決められる。
【0016】
なお、制御部は、返信された種別識別信号の周期と、予め選択した種別によって定まる周期とが一致するか否かを判定して、一致しない場合は、予め選択した種別の安全機能部が実装されていないとして、制御信号をロックする。
他の種別識別信号の生成のしかたとして、分周条件に替えて、安全機能部の種別に応じた時間または位相の条件で遅延させて種別識別信号を生成するようにしても良い。
【0017】
また、安全機能部は、外部からの入力あるいは異常監視機能によって、制御対象機器を緊急に停止させる必要が生じた場合は、専用の信号線で停止要求信号を制御部へ伝送するようにしてもよいが、種別に応じた処理によって生成する本来の種別識別信号とは異なる信号を生成して、その信号を種別識別信号として制御部へ返信するようにしてもよい。これにより、制御部は正しい安全機能部が実装されていないとして制御信号の出力を禁止するので、より少ない信号線で同等の効果を得ることができる。
【0018】
なお、安全機能部が正常に実装されているか否かの確認は、制御対象機器に要求されている安全機能の動作要求時間より短い時間間隔にするのがよい。制御部は、この時間間隔で基準信号を安全機能部へ送信し、安全機能部から返信されてくる種別識別信号によって都度、確認をすることにより異常時の制御出力のロックを適切なタイミングで行うことができる。
【発明の効果】
【0019】
本発明によれば、制御部と安全機能部とを分離した構成としたので、開発コストの低減や開発期間の短縮を図ることができる。特に、制御部は、安全機能部から予め選択した種別と同じ種別となる種別識別信号の返信が無い場合は制御対象機器への制御信号の出力をしないので、制御部と安全機能部とを分離したことに起因する安全機能の不動作や誤動作を防止することができる。
【0020】
また、安全機能の種別ごとに専用の安全機能部を設けるので、効率的に安全機能を実現することができる。さらに、規格の改版や顧客要求の多様化により、安全機能の種別が増加した場合であっても柔軟に対応することができる。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施の形態による安全装置を含む電力変換器の機能ブロック図である。
【図2】図1において他の安全機能基板を実装した安全装置を含む電力変換器の機能ブロック図である。
【図3】実施例1による種別識別回路の回路構成図である。
【図4】図3において適切な安全機能基板が接続されている場合の動作波形例の説明図である。
【図5】図3において安全機能基板の未接続時や送受信回路(信号線)の開放故障時の動作波形例の説明図である。
【図6】図3において送受信回路(信号線)の短絡故障時の動作波形例の説明図である。
【図7】図3において不適切な安全機能基板が接続されている場合の動作波形例の説明図である。(その1)
【図8】図3において不適切な安全機能基板が接続されている場合の動作波形例の説明図である。(その2)
【図9】実施例2による種別識別回路の回路構成図である。
【図10】図9の種別識別回路の動作波形例の説明図である。
【図11】図9の一致判定回路の一例であり、図11(a)は、一致判定回路をROMで実現する場合の回路図、図11(b)は、図11(a)のROMのアドレスとデータとの関係を示す図である。
【図12】実施例3による種別識別回路の回路構成図である。
【図13】図12の一致判定回路の一例であり、図13(a)は、一致判定回路をROMで実現する場合の回路図、図13(b)は、図13(a)のROMのアドレスとデータとの関係を示す図である。
【図14】実施例4による種別識別回路の回路構成図である。
【発明を実施するための形態】
【0022】
以下、制御対象として電動機を駆動する電力変換器を例にして本発明の実施の形態を説明する。
【0023】
図1は、本発明の一実施の形態による安全装置を含む電力変換器の機能ブロック図である。図1において、電力変換器50は、半導体スイッチング素子によって所定周波数の交流電流を生成して制御対象である電力変換機に出力する主回路30、主回路30に対して半導体スイッチング素子を動作させるための制御信号を出力する制御基板10、および制御基板10に接続して用いられ異常等の監視を行う安全機能基板20Aを備えている。この制御基板10と安全機能基板20Aによって安全装置1を構成する。
【0024】
なお、図1に示す構成は、安全装置1を複数の基板で構成することとしているが、本発明はこれに限られず、安全装置1を複数の装置やモジュールとして実現することも可能である。
【0025】
次に電力変換器50の機能概要を説明する。
電力変換器50の主回路30は、電源からコネクタ38を介して交流電流を入力して整流回路31と平滑コンデンサ32によって整流し、制御基板10から渡される制御信号によってスイッチング回路33の半導体スイッチング素子をON,OFFさせて交流電流を発生させる。この交流電流はコネクタ39を介して電動機へ送られる。
【0026】
制御基板10は、基本機能として主回路30の制御を行う演算手段11を備えている。演算手段11は、外部から運転・停止指令や位置・速度・トルク指令を受けて、電動機の速度検出信号等の入力信号に基づいて、主回路30のスイッチング回路33を動作させるための制御信号を生成する。生成された制御信号は、ゲート回路12を経由して主回路30に伝達される。
【0027】
この制御基板10には、異なる安全機能を有する複数の安全機能基板が接続可能になっている。制御基板10に接続される安全機能基板としては、例えば、ISO13849やEN954などの安全規格に準拠する安全トルクオフ機能のみを有する安全機能基板20Aや、IEC61508あるいはIEC61800-5-2に準拠する安全トルクオフや速度制限機能等の安全機能を有する安全機能基板20Bなどがある。以下、この2種類の安全機能基板20A,20Bを例にして説明する。
【0028】
次に、上記の構成を有する安全装置1の動作を説明する。
図1において、制御基板10は、外部からの運転指令系信号を入力しマイクロコンピュータ等のプロセッサで電動機を制御するための演算を実行する。外部からの運転指令系信号としては、運転・停止指令,位置,速度,トルク指令などがある。制御基板10の演算手段11は、電動機の回転角度や電流を夫々エンコーダや変流器(CT)等のセンサで検出してフィードバック制御を行い、主回路30上のスイッチング回路33の半導体スイッチング素子を制御するための制御信号を出力する。演算手段11は、プロセッサの他、ゲートアレイ等の集積化されたロジック回路でも実現することができる。なお、フィードバック制御機能は本発明の対象ではないので本機能の図面への記載や詳しい説明は省略する。
【0029】
制御基板10は、接続される安全機能基板の基板種別を識別するための種別識別回路13を備えている。この種別識別回路13は、制御基板10に接続されている安全機能基板20A,20Bの実装状態を判別して、この実装状態に基づいて、演算手段11に対して制御演算の実行を許可する動作許可信号を生成する。
【0030】
種別識別回路13から出力された動作許可信号は、演算手段11に入力される。演算手段11は、この動作許可信号を検知することによって制御演算を実行して、制御信号を出力する。この制御信号はゲート回路12に伝達される。ゲート回路12は半導体スイッチング素子の動作許可信号が入力されている場合のみ主回路30に半導体スイッチング素子を制御するための制御信号を伝達しスイッチング回路33の半導体スイッチング素子を動作させる。
【0031】
また、種別識別回路13は、接続されるべき安全機能基板20A,20Bが接続されているか否かを判定し、正常に接続されていない場合にはゲート回路12に対してゲート遮断信号を出力する。ゲート回路12はゲート遮断信号を受信すると、演算手段11から出力される主回路30への制御信号を強制的にオフして、ゲート遮断を行う。
【0032】
また、安全機能基板20Aに安全トルクオフ(以下STOと記す)指令が入力されている場合は、安全機能基板20Aの演算手段21Aは、安全機能基板20Aの状態信号としてSTO指令を出力する。このSTO指令は、内部バスあるいは接続ケーブルを介して制御基板10の種別識別回路13に伝達される。制御基板10の種別識別回路13はSTO指令を入力すると、ゲート回路12にゲート遮断信号を伝達する。ゲート回路12はゲート遮断信号を受信すると演算手段11からの制御信号を強制的に遮断する。また、演算手段11は、種別識別回路13から出力されるゲート遮断信号をステータスとして入力して、動作許可信号の状態と比較することによってSTO指令が出力されたことを検知する。
【0033】
これにより、安全装置1は、制御基板10の演算手段11を介さずに独立でSTO機能を実現することができるため、たとえ演算手段11が暴走あるいは故障をしたとしても確実に半導体スイッチング素子を制御するための制御信号を遮断することが可能である。
【0034】
なお、図示しないが、図1の制御基板10の構成においてゲート回路12を二重化することも可能である。このゲート回路の二重化に加え、さらに、開発プロセスを文書化することにより、ISO13849-1の安全規格(欧州規格ではEN954-1)の認証を受けることも可能である。
【0035】
図2に示す安全機能基板20Bは、2つの演算手段を設けて監視機能を二重化した例である。安全機能基板20Bの演算手段21B,22Bは、それぞれ制御基板10の動作を監視する機能を有する。また、安全機能基板20Bは、安全機能として、STO指令の入力のほか、回転速度を減速させた後に停止させる指令(以下、減速・停止指令という。)や最高速度を決定する速度リミット指令等の安全関連系信号を入力する端子28を備えている。
【0036】
減速・停止指令等の安全関連系信号が安全機能基板20Bに入力されると、この安全関連系信号はシリアル通信やパラレル通信等のデータ通信により制御基板10の演算手段11に伝達される。制御基板10は伝達された安全関連系の指令信号に基づいて電動機を制御する。
【0037】
また、安全機能基板20Bは、制御基板10の演算手段11が正常に動作しているかを監視しており、正常な動作から逸脱していることを検出すると、制御基板10に対して異常状態を通知する。制御基板10の種別識別回路13は、この異常状態を受信するとゲート回路12にゲート遮断信号を伝達する。
【0038】
これにより、安全関連系信号によって動作している場合であっても、制御基板10の演算手段11を介さずにゲート遮断が可能になるので、制御基板10の演算手段11が暴走したとしても緊急に遮断することが可能になる。
【0039】
なお、安全機能基板20Bの演算手段21B,22Bは二重化されているので、安全機能基板20Bに実装された他方の演算手段の異常を検出することができる。これにより、STO指令が安全機能基板20Bに入力された場合のみならず、他方の演算手段の異常を検出した際にも種別識別回路13を介しゲート回路12にゲート遮断信号を伝達して、演算手段11から出力される制御信号を強制的に遮断することができる。
【0040】
また、安全機能基板20Bにはブレーキ信号や外部の機械スイッチを動作させるなどの出力信号を設けることが可能である。
なお、図2では、安全機能基板20Bの構成を簡略化して示しているが、本発明はこれに限定されるものではない。例えば、制御電源やクロック等の2重化機能、あるいは相互監視機能など、国際規格の安全要求レベルによって様々な構成をとることができる。
(実施例1)
【0041】
次に上記の基板構成を有する安全装置1の実施例1による種別識別回路13について図3を用いて説明する。本実施例による種別識別回路13は、制御基板10が送信する種別を識別するための信号として方形波の連続信号を専用回線を介して送受信する。本実施例では、制御基板10が受信する返信信号が送信信号の2倍周期である場合を適切な基板が接続されていると判定する。
【0042】
以下、種別識別回路13の動作を詳述する。制御基板10は、まず方形波発生器61で生成した信号を安全機能基板20Aへ送信する。この信号は、安全機能基板20Aでその安全機能基板を特定するための種別識別信号を作成する際の基準信号となる。
【0043】
安全機能基板20AはTフリップフロップ91A等のロジック回路により基準信号のパルスを2倍の周期に変更して種別識別信号を生成し、制御基板10に返信する。制御基板10のDフリップフロップ62は、送信信号の立上りをトリガとして、返信されてくる種別識別信号を保持する。また、制御基板10のDフリップフロップ63は、Dフリップフロップ62の出力信号を入力して、1クロック前の種別識別信号を保持する。EX−OR回路65はDフリップフロップ62,63の出力のいずれか一方のみHレベルの場合にHレベルを出力するので、受信信号が送信信号の2倍周期である場合のEX−OR回路65の出力は常時Hレベルとなる。EX−OR回路65の出力をDフリップフロップ64で整形して、動作許可信号(正論理)を生成する。また、安全機能基板20Aから渡されるSTO指令(負論理)と動作許可信号は共にAND回路66の入力となり、AND回路66の出力がゲート遮断信号(負論理)になる。
【0044】
図4は、図3に示す回路構成において適切な安全機能基板20Aが接続されている場合の動作波形例である。本実施例による種別識別回路13によって基準信号の2倍周期の種別識別信号が検知され動作許可信号がHレベルとなっている。
【0045】
図5は、図3に示す回路において安全機能基板20Aが接続されていない場合の動作波形例である。安全機能基板20Aが接続されていない場合は、制御基板10には種別識別信号が返信されず、入力信号に変化はない。図5では種別識別信号は常時Lレベルになっている。この場合、Dフリップフロップ62,63の出力値(A,B)が一致するため、EX−OR回路65の出力Cおよび動作許可信号が共にLレベルとなる。また、STO指令の如何にかかわらずゲート遮断信号もLレベルになる。動作許可信号は、正論理のため不活性状態(「偽」)となり、ゲート遮断信号は、負論理のため活性状態(「真」)となる。
【0046】
これにより安全機能基板が正常に接続されていないことを検出でき、ゲート回路12を遮断することができる。また、演算手段11は、動作許可信号により安全機能が正常に働いていないことを検知することができる。なお、基準信号および種別識別信号の伝送系統に開放故障が発生した場合にも同様の動作となり異常を検出することができる。
図6は、図3に示す回路において制御基板10の送信信号出力と返信信号入力が短絡されている場合の動作波形例である。返信信号が送信信号と同一となる場合、Dフリップフロップ62,63の出力値(A,B)はHレベルに固定されるため、EX−OR回路65の出力C、動作許可信号、およびゲート遮断信号は共にLレベルになる。これにより、ゲート回路12を遮断状態にすることができる。
【0047】
図7は、図3に示す回路において制御基板10に不適切な安全機能基板が接続され、送信信号の4倍周期となる種別識別信号が返信されてくる場合の動作波形例である。図3の種別識別回路13は、基準信号の2倍周期以外の信号が入力されると、図7に示すようにDフリップフロップ62,63の出力値(A,B)が同一となる。つまり、共にHレベルまたは共にLレベルとなるタイミングが発生する。このため、EX−OR回路65の出力C、動作許可信号、およびゲート遮断信号がLレベルとなるタイミングが発生する。これにより基板接続の異常が検出でき、半導体スイッチング素子の動作を不許可にすることできる。なお、図7において、動作許可信号がトグル状になっているが、基板種別を基準信号を分周した周期で判別する場合、最長周期の基板種別に合わせて、当該周期分の種別識別信号のデータを基準信号ごとにサンプリングし、このサンプリングしたデータが所望の基板種別の信号パターンに該当するか否かを判定することによって、動作許可信号を正しい安全機能基板が実装されているときは常時Hレベル、間違った安全機能基板が実装されているときは常時Lレベルの安定した信号にすることができる。
【0048】
図8は、図3に示す回路において制御基板10に不適切な安全機能基板が接続され基準信号の論理反転信号が返信されてくる場合の動作波形例である。基準信号の論理反転信号が入力された場合、制御基板10のDフリップフロップ62,63の出力値(A,B)は共にLレベルとなる。このため、EX−OR回路65の出力C、動作許可信号、およびゲート遮断信号がLレベルとなる。これにより制御基板10は、安全機能基板の接続異常を検出でき、ゲート回路12を遮断することによって、主回路30の半導体スイッチング素子の動作を不許可とすることができる。
【0049】
本実施例によれば、種別識別回路13から基板識別用のクロック信号を送信し、各安全機能基板20A,20Bではこのクロック信号を入力して、基板ごとに特有のクロック周期に変更して、制御基板10へ返信する。制御基板10は、この返信信号を受信して、本来実装すべき安全機能基板の周期かどうかを判定して、動作許可信号およびゲート遮断信号を生成する。この安全機能基板に特有のクロック周期が安全機能基板の識別コードに相当する。
(実施例2)
【0050】
図9は、制御基板10が受信する返信信号が送信信号の4倍周期である場合を適切な安全機能基板が接続されていると定義した場合の回路例である。
【0051】
図9に示す種別識別回路13は、図3の回路構成において送信信号の2倍周期の返信信号を4倍周期の返信信号としたものである。安全機能基板20Bの演算手段21Bは、Tフリップフロップ91B,92Bによって受信した基準信号の4倍周期の信号を生成して、返信信号として出力する。種別識別回路13は、返信信号を受け取ると、Dフリップフロップ71〜74によって、4クロック分の信号を保持し、一致判定回路76によって各フリップフロップの出力(D,E,F,G)が一致するか否かを判定する。一致判定回路76は、Dフリップフロップ71〜74からの入力信号が予め定めた信号パターン(本実施例では基準信号の4倍周期の信号パターン)と一致した場合はHレベル,不一致の場合はLレベルを出力する。Dフリップフロップ75は、一致判定回路76の出力を保持して、動作許可信号を生成する。また、図3と同様に、この動作許可信号とSTO指令とのAND条件によって、ゲート遮断信号を生成する。
【0052】
図10は、図9の種別識別回路13のタイミングチャートである。一致判定回路76は、各フリップフロップ71〜74の出力(D,E,F,G)が(H,H,L,L)(L,H,H,L)(L,L,H,H)(H,L,L,H)のときにHレベルを出力する。すなわち、各出力D〜Gを循環させて捉えたときに連続する2ビットが「H」であり、かつ連続する2ビットが「L」のときに「H」を出力し、他の信号パターンのときは「L」を出力するように機能させる。これにより、制御基板10は、適切な安全機能基板20Bが実装されていることを判定することができる。
【0053】
一致判定回路76は、たとえば、図11(a)に示すようなROM,EEPROMの他ASICやディスクリートのロジック回路等でも実現することができる。なお、以下においてはROMを用いた場合を例にして説明する。ROMで実現するような場合は、データ出力のためのチップセレクト信号やリード信号は常時活性状態にしておいても良いし、方形波発生器61からの基準信号等を用いてDフリップフロップ75でラッチするタイミングでデータを出力するようにしても良い。
【0054】
図11(a)において、一致判定回路76のアドレスには、各フリップフロップ71〜74の出力が接続されている。なお、空きアドレスは、LレベルあるいはHレベルに固定しておくものとする。そして、データの特定ビット(図11ではD0)は、図11(b)に示すように、アドレスの入力信号が基板種別に対応する特定の信号パターンに該当するときは「H」、それ以外は「L」になるように設定する。このデータを書き込んだROMを一致判定回路76として用いることにより、図10のタイミングチャートの動作を実現することができる。勿論、ROMを使用する替わりに、図11(b)の論理によって動作するASICやロジック回路等によって構成することもできる。
(実施例3)
【0055】
図12は、制御基板10に実装されているスイッチで安全機能を選択し、正しい安全機能基板が実装されているか否かを判定できるようにした実施例である。
【0056】
図9との違いは、一致判定回路76の入力側に選択回路78を設けたことである。一致判定回路76は、選択回路78から出力される選択信号により、判定する信号パターンを変えることによって、所望の安全機能基板が実装されているか否かを判定する。
【0057】
図13(a)は、本実施の形態による一致判定回路76と選択回路78の回路構成例である。選択回路78は、スイッチ82とプルアップ抵抗81で構成されている。これにより、スイッチ82がオフのときは、一致判定回路76のアドレスA10には「H」が入力され、スイッチ82がオンのときには、アドレスA10には「L」が入力されることになる。このアドレスに対応させて、一致判定回路76を構成するROMのアドレスA10が「L」のときには、アドレスA0〜A3の安全機能基板20Bの信号パターンに該当するデータD0を「H」に設定し、それ以外を「L」に設定する。また、一致判定回路76を構成するROMのアドレスA10が「H」のときには、アドレスA0〜A3の安全機能基板20Aの信号パターンに対応するアドレスのデータD0を「H」に設定し、それ以外を「L」に設定する。本実施例の場合は、アドレスとデータとの関係は図13(b)に示したとおりである。
【0058】
これにより、選択回路78がオフのときは基準信号を2分周した種別識別信号を返信する安全機能基板20Aが検知され、選択回路78がオンのときは基準信号を4分周した種別識別信号を返信する安全機能基板20Bが検知され、適正な基板が実装されているときに動作許可信号が出力される。
(実施例4)
【0059】
上記の各実施例では、安全機能基板20A,20Bから制御基板10へ種別識別信号とは別にSTO指令を送信し、制御基板10側でこの信号と動作許可信号とを用いてゲート遮断信号を生成するようにしたが、本実施例は安全機能基板側でSTO指令発生時に種別識別信号のパターンを変化させ、制御基板10側で種別識別信号からSTO指令を検知するようにしたものである。
【0060】
図14は、本実施例による種別識別回路13の回路構成例である。この図において、安全機能基板20Bは、基準信号を4分周した信号を出力するTフリップフロップ92Bの出力と、8分周するTフリップフロップ93Bの出力とを切り替える切替回路94Bを備えている。この切替回路94Bは、STO指令を入力していないときは、Tフリップフロップ92Bの出力を選択し、STO指令を入力したときは、Tフリップフロップ93Bの出力を選択して、種別識別信号として制御基板10へ返信する。
【0061】
制御基板10の種別識別回路13は、シフトレジスタ79を有しており、方形波発生器61からの基準信号によって、入力した種別識別信号を順にシフトして出力Q0〜Q7へ出力する。シフトレジスタから出力された信号は、一致判定回路76に入力される。
【0062】
一致判定回路76は、ROM等で構成することができ、STO指令の信号パターンに該当するアドレスのデータ2ビット目(D1)が「H」に設定されている。本実施例の場合は、STO指令時は、基準信号を8分周した信号が返信されるので、シフトレジスタの出力D0〜D7を循環して捉えたとき、連続4ビット「H」であり、かつ連続4ビット「L」となるアドレスのデータD1を「H」にセットし、他のアドレスのデータD1は「L」にセットする。データD0の設定は、実施例3と同様である。一致判定回路76のデータD0,D1から出力されたデータは、それぞれ、Dフリップフロップ75,80のD入力に入力される。Dフリップフロップ75,80のClock入力には、それぞれ方形波発生器61からの基準信号が入力されている。Dフリップフロップ75の出力は、動作許可信号となる。また、この動作許可信号とDフリップフロップ80の反転出力端子からの出力信号は、AND回路77に入力され、その出力は、ゲート遮断信号として出力される。
【0063】
このように構成された種別識別回路13において、安全機能基板20Bから正常に種別識別信号を入力したときは、一致判定回路76の出力D0が「H」、D1が「L」となり、Dフリップフロップ75の出力は「H」,Dフリップフロップ80の反転出力も「H」となる。これによって、AND回路77の出力は「H」になる。この結果、動作許可信号が活性状態、ゲート遮断信号が不活性状態になる。
【0064】
この状態で、安全基板20BからSTO指令が出力されたときは、一致判定回路76の出力D0が「L」、D1が「H」となる。この結果、Dフリップフロップ75の出力は「L」,Dフリップフロップ80の反転出力も「L」となる。これにより、AND回路77の出力は「L」になり、ゲート遮断信号が活性状態になり、ゲート回路12が遮断される。
【0065】
本実施例によれば、種別識別信号とSTO指令とを同じ信号線で送信することができるので、ケーブルの芯数やバスの本数を削減することができる。
(実施例5)
【0066】
その他の実施例として、制御基板10が送信する信号を一定周期間隔で発生させることでも基板種別の識別が可能である。制御対象機器に要求されている安全機能の動作要求時間より短い時間間隔で基板種別の識別信号を出力し、適切な安全機能基板が接続されていることを確認することで、要求されている安全機能を実現することができる。
【0067】
また、一定周期間隔の信号を利用することで、周期性を持たないパターン信号を基板種別の識別信号に使用できるようになるため多様な信号パターンを適用することが可能となる。
【0068】
さらに、制御基板10に接続される安全機能基板20A,20Bに信号を一定時間遅延させる遅延手段を設けて、安全機能基板20A,20Bは、受信した基準信号に対して予め決められた時間だけ信号を遅延させて生成した信号を種別識別信号として返信することでも基板種別の識別が可能である。遅延手段の遅延時間に送受信回路や送信回線等の遅延時間を加味し遅延時間の許容範囲を決定し、制御基板が返信信号の遅延時間の範囲を判定することで適切な安全機能基板が接続されていることを確認することができる。なお、遅延条件を位相で指定することも可能である。論理反転信号が返信されてくる例として、180度遅れの信号波形は、図8の種別識別信号と同様な波形となる。
【0069】
以上、本実施の形態による安全装置によれば、安全機能を担う複数の種類の安全機能基板を準備し、仕様に合わせて安全機能基板を差し替えて使用することにより、顧客が要求する安全規格のレベルに合った最適な安全装置を容易に実現することが可能になる。また、仕様の変更に対しても柔軟に対応することができる。
【0070】
特に、制御基板の種別識別回路は、接続されている安全機能基板の種別が制御基板に初期設定された安全機能に対応している場合にのみ、動作許可信号をONにして制御処理を可能にする。種別識別回路は、さらにSTO指令やその他の重大な異常が発生した場合はゲート遮断信号を発生してゲート回路を直ちに遮断する。これにより、安全機能基板の差し替えにおいて発生する接続の誤りによる安全機能の不動作や誤動作を防止でき、さらに、装置故障に対しては迅速かつ確実に制御対象機器を停止させる方向へ制御することができるので信頼性の高いシステムを構築することができる。
【0071】
本実施の形態の各実施例による方法によって種別識別信号を生成することにより、安全機能基板の誤実装を検出できるのみならず、種別識別信号の伝送回線が短絡することにより生じる安全機能の不動作や誤動作も防止することができる。
【0072】
また、強制トルクオフを要求する際に種別識別信号を通常時の信号と異なる信号にすることにより、種別識別信号に強制トルクオフの要求の役割をさせることができるので、信号線の数を減らすことができ、製品の低コスト化が可能になる。
【0073】
本発明は上述の実施の形態に限定されることなく、その要旨を逸脱しない範囲で、種々変形して実現することができる。
例えば、上記の実施例4では、STO指令も基板種別と同様に基準信号を分周してデューティ比50%のトグル信号として生成するようにしたが、基準信号に基づいて任意のユニークな信号パターンとして生成するようにしても良い。このような場合、実施例3,4で説明したように一致判定回路をROM等の不揮発性メモリ素子で実現するのが効果的である。基準信号でサンプリングした種別識別信号をアドレスとして入力し、メモリ素子には、判別すべき信号パターンに該当するアドレスの特定のデータビットを予めセットしておくことにより、所望の信号パターンを簡便に検出することができる。
【符号の説明】
【0074】
1 安全装置
10 制御基板(制御部)
11 演算手段
12 ゲート回路
13 種別識別回路
20A,20B 安全機能基板(安全機能部)
21A,21B,22B 演算手段
30 主回路
31 整流回路
32 平滑コンデンサ
33 スイッチング回路
18,19,28,38,39 コネクタ
61 方形波発生器
65 EX−0R回路
66,77 AND回路
62〜64,71〜75 Dフリップフロップ
76 一致判定回路
78 選択回路
79 シフトレジスタ
81 プルアップ抵抗
82 スイッチ
91A,91B,92B Tフリップフロップ
【技術分野】
【0001】
本発明は、種々の安全規格に準拠した安全装置を構築する技術に係り、特に電動機を駆動するインバータやサーボアンプ等の電力変換器やプログラマブルロジックコントローラ(PLC)等の制御対象機器の安全機能を実現する安全装置および電力変換器に関する。
【背景技術】
【0002】
近年、省エネルギー化の必要性から、電動機を可変速駆動する電力変換器の普及が進んでいる。一方、電気機器の異常動作は重大な事故につながる場合があるので、各メーカは安全機能の充実が求められている。また、製品の開発,設計,生産,保守,廃棄の各段階において人体への危険性を許容範囲内に抑えるために厳しい安全規格が設けられている。
【0003】
世界標準の安全規格としては、例えばISO13849などが規定されている。特に電気機器に関しては,IEC61508という上位概念の安全規格と,インバータやサーボアンプなどの電動機の制御装置を対象としたIEC61800-5-2という下位規格がある。日本では、これらの国際規格に準拠した電動機の制御装置の開発が盛んに行われている。
【0004】
また、欧州ではIEC61800-5-2規格に準拠した電動機の制御装置が発売されつつある。これらの安全規格に準拠するためには、開発体制やコンセプトを文書化して、規格に準拠しているかどうかの認証を受けるだけではなく、制御対象機器や制御装置の異常を監視して、異常を検出した場合には仕様に従って安全に制御対象機器を停止させることが必要になる。
【0005】
このような安全規格は適宜見直されており、その度に新たに安全機能を有する制御装置(以下、「安全装置」という。)を開発するには、膨大な開発コストと時間がかかる。また、顧客によっては、必要となる安全規格のレベルや制御対象機器の使用環境が異なるため、個々の顧客が要求する安全水準に対応した安全装置を提供する必要がある。これらの理由により、制御機能と安全機能とを分離して、個別対応が必要な部分のみを開発して開発コストの低減や開発期間の短縮を図ることが考えられる。
【0006】
安全機能に関する従来の技術として、例えば、特許文献1には、電動機を駆動するための制御信号を生成する制御部と独立して、この制御部の異常監視を行う安全機能部を設けた安全装置が記載されている。この安全装置は、安全機能部によって装置の異常を検出したときは、制御部から出力される制御対象への制御信号を遮断することにより電動機を停止させるというものである。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】米国特許第7253577号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、上記の従来技術は、制御機能を担う制御部と安全機能を担う安全機能部とを独立して設けることは記載されているが、複数の種類の安全機能部が存在し各安全機能部と制御部との組み合わせによって安全装置を構成する場合については考慮されていない。複数の種類の安全機能部が存在する場合は、安全機能部の脱着操作の誤りや組み合わせの誤りにより制御対象機器に要求される安全機能が動作しないことが想定される。このような安全機能の不動作により生じる危険状態を回避するために、正しい安全機能部が、正しい組み合わせで、正しく接続されていることを正確に判定する必要がある。
【0009】
本発明の目的は、上述のかかる事情に鑑みてなされてものであり、制御機能と安全機能とを分離した構成を有する安全装置において、所望の規格の安全機能を担う安全機能部が正しく実装されていることを正確に判定することのできる安全装置および電力変換器を提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明に係る安全装置は、基本的に下記の手段を備え制御対象機器を制御するための制御信号を生成する制御部と、この制御部と接続して所定の安全機能を実行する安全機能部とで構成される。
【0011】
なお、制御部、安全機能部は共に基板によって実現して、一つのユニットに実装して専用ケーブルあるいは内部バスによって識別信号のやり取りをするようにしても良いし、それぞれ単体の装置やモジュールとして構成して、専用ケーブルで接続するようにしても良い。
【0012】
制御部は、基本機能として、次の手段a〜dを有する。
a.接続されるべき安全機能部を識別するための種別を選択する手段
この種別は、安全機能部の識別情報としての意味を持つが、これに限定されない。例えば、安全規格(あるいは安全機能)ごとに安全機能部が設けられている場合は、安全規格(安全機能)の識別情報としての意味も持つ。少なくとも安全機能部を識別することができれば、「種別」に含まれる。
b.種別特定可能な種別識別信号を生成するための基準信号を安全機能部へ送信する手段
c.安全機能部から返信されてきた種別識別信号をもとに、接続されている安全機能部の種別が上記aで選択した種別と一致するか否かを判定し、その判定の結果を出力する手段
d.判定の結果、接続されている安全機能部の種別と上記aで選択した種別とが一致しなかった場合は、制御信号の出力を禁止する手段
【0013】
また、安全機能部は、次の手段eを有する。
e.制御部から送信されてきた基準信号をもとにその安全機能部の種別に応じた処理によって種別識別信号を生成して制御部へ返信する手段
【0014】
すなわち、本発明では、制御部から安全機能部へ基準信号を送信する。安全機能部では、その基準信号をもとに、その安全機能部にユニークな処理によって種別識別信号を生成して制御部へ返信する。制御部では、その種別識別信号のパターン(以下、「信号パターン」という。)が予め選択した種別の信号パターンと一致しているか否かを判定して、一致していない場合は制御信号の出力を禁止する。
【0015】
種別識別信号の生成のしかたとしては、例えば、制御部から基準信号として連続的な定周期信号を安全機能部へ送信し、安全機能部は、その定周期信号を用いて所定の分周条件で分周することによって種別識別信号を生成するという方法がある。この分周条件(例えば、2分周、4分周など)は、安全機能部の種別によってユニークに決められる。
【0016】
なお、制御部は、返信された種別識別信号の周期と、予め選択した種別によって定まる周期とが一致するか否かを判定して、一致しない場合は、予め選択した種別の安全機能部が実装されていないとして、制御信号をロックする。
他の種別識別信号の生成のしかたとして、分周条件に替えて、安全機能部の種別に応じた時間または位相の条件で遅延させて種別識別信号を生成するようにしても良い。
【0017】
また、安全機能部は、外部からの入力あるいは異常監視機能によって、制御対象機器を緊急に停止させる必要が生じた場合は、専用の信号線で停止要求信号を制御部へ伝送するようにしてもよいが、種別に応じた処理によって生成する本来の種別識別信号とは異なる信号を生成して、その信号を種別識別信号として制御部へ返信するようにしてもよい。これにより、制御部は正しい安全機能部が実装されていないとして制御信号の出力を禁止するので、より少ない信号線で同等の効果を得ることができる。
【0018】
なお、安全機能部が正常に実装されているか否かの確認は、制御対象機器に要求されている安全機能の動作要求時間より短い時間間隔にするのがよい。制御部は、この時間間隔で基準信号を安全機能部へ送信し、安全機能部から返信されてくる種別識別信号によって都度、確認をすることにより異常時の制御出力のロックを適切なタイミングで行うことができる。
【発明の効果】
【0019】
本発明によれば、制御部と安全機能部とを分離した構成としたので、開発コストの低減や開発期間の短縮を図ることができる。特に、制御部は、安全機能部から予め選択した種別と同じ種別となる種別識別信号の返信が無い場合は制御対象機器への制御信号の出力をしないので、制御部と安全機能部とを分離したことに起因する安全機能の不動作や誤動作を防止することができる。
【0020】
また、安全機能の種別ごとに専用の安全機能部を設けるので、効率的に安全機能を実現することができる。さらに、規格の改版や顧客要求の多様化により、安全機能の種別が増加した場合であっても柔軟に対応することができる。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施の形態による安全装置を含む電力変換器の機能ブロック図である。
【図2】図1において他の安全機能基板を実装した安全装置を含む電力変換器の機能ブロック図である。
【図3】実施例1による種別識別回路の回路構成図である。
【図4】図3において適切な安全機能基板が接続されている場合の動作波形例の説明図である。
【図5】図3において安全機能基板の未接続時や送受信回路(信号線)の開放故障時の動作波形例の説明図である。
【図6】図3において送受信回路(信号線)の短絡故障時の動作波形例の説明図である。
【図7】図3において不適切な安全機能基板が接続されている場合の動作波形例の説明図である。(その1)
【図8】図3において不適切な安全機能基板が接続されている場合の動作波形例の説明図である。(その2)
【図9】実施例2による種別識別回路の回路構成図である。
【図10】図9の種別識別回路の動作波形例の説明図である。
【図11】図9の一致判定回路の一例であり、図11(a)は、一致判定回路をROMで実現する場合の回路図、図11(b)は、図11(a)のROMのアドレスとデータとの関係を示す図である。
【図12】実施例3による種別識別回路の回路構成図である。
【図13】図12の一致判定回路の一例であり、図13(a)は、一致判定回路をROMで実現する場合の回路図、図13(b)は、図13(a)のROMのアドレスとデータとの関係を示す図である。
【図14】実施例4による種別識別回路の回路構成図である。
【発明を実施するための形態】
【0022】
以下、制御対象として電動機を駆動する電力変換器を例にして本発明の実施の形態を説明する。
【0023】
図1は、本発明の一実施の形態による安全装置を含む電力変換器の機能ブロック図である。図1において、電力変換器50は、半導体スイッチング素子によって所定周波数の交流電流を生成して制御対象である電力変換機に出力する主回路30、主回路30に対して半導体スイッチング素子を動作させるための制御信号を出力する制御基板10、および制御基板10に接続して用いられ異常等の監視を行う安全機能基板20Aを備えている。この制御基板10と安全機能基板20Aによって安全装置1を構成する。
【0024】
なお、図1に示す構成は、安全装置1を複数の基板で構成することとしているが、本発明はこれに限られず、安全装置1を複数の装置やモジュールとして実現することも可能である。
【0025】
次に電力変換器50の機能概要を説明する。
電力変換器50の主回路30は、電源からコネクタ38を介して交流電流を入力して整流回路31と平滑コンデンサ32によって整流し、制御基板10から渡される制御信号によってスイッチング回路33の半導体スイッチング素子をON,OFFさせて交流電流を発生させる。この交流電流はコネクタ39を介して電動機へ送られる。
【0026】
制御基板10は、基本機能として主回路30の制御を行う演算手段11を備えている。演算手段11は、外部から運転・停止指令や位置・速度・トルク指令を受けて、電動機の速度検出信号等の入力信号に基づいて、主回路30のスイッチング回路33を動作させるための制御信号を生成する。生成された制御信号は、ゲート回路12を経由して主回路30に伝達される。
【0027】
この制御基板10には、異なる安全機能を有する複数の安全機能基板が接続可能になっている。制御基板10に接続される安全機能基板としては、例えば、ISO13849やEN954などの安全規格に準拠する安全トルクオフ機能のみを有する安全機能基板20Aや、IEC61508あるいはIEC61800-5-2に準拠する安全トルクオフや速度制限機能等の安全機能を有する安全機能基板20Bなどがある。以下、この2種類の安全機能基板20A,20Bを例にして説明する。
【0028】
次に、上記の構成を有する安全装置1の動作を説明する。
図1において、制御基板10は、外部からの運転指令系信号を入力しマイクロコンピュータ等のプロセッサで電動機を制御するための演算を実行する。外部からの運転指令系信号としては、運転・停止指令,位置,速度,トルク指令などがある。制御基板10の演算手段11は、電動機の回転角度や電流を夫々エンコーダや変流器(CT)等のセンサで検出してフィードバック制御を行い、主回路30上のスイッチング回路33の半導体スイッチング素子を制御するための制御信号を出力する。演算手段11は、プロセッサの他、ゲートアレイ等の集積化されたロジック回路でも実現することができる。なお、フィードバック制御機能は本発明の対象ではないので本機能の図面への記載や詳しい説明は省略する。
【0029】
制御基板10は、接続される安全機能基板の基板種別を識別するための種別識別回路13を備えている。この種別識別回路13は、制御基板10に接続されている安全機能基板20A,20Bの実装状態を判別して、この実装状態に基づいて、演算手段11に対して制御演算の実行を許可する動作許可信号を生成する。
【0030】
種別識別回路13から出力された動作許可信号は、演算手段11に入力される。演算手段11は、この動作許可信号を検知することによって制御演算を実行して、制御信号を出力する。この制御信号はゲート回路12に伝達される。ゲート回路12は半導体スイッチング素子の動作許可信号が入力されている場合のみ主回路30に半導体スイッチング素子を制御するための制御信号を伝達しスイッチング回路33の半導体スイッチング素子を動作させる。
【0031】
また、種別識別回路13は、接続されるべき安全機能基板20A,20Bが接続されているか否かを判定し、正常に接続されていない場合にはゲート回路12に対してゲート遮断信号を出力する。ゲート回路12はゲート遮断信号を受信すると、演算手段11から出力される主回路30への制御信号を強制的にオフして、ゲート遮断を行う。
【0032】
また、安全機能基板20Aに安全トルクオフ(以下STOと記す)指令が入力されている場合は、安全機能基板20Aの演算手段21Aは、安全機能基板20Aの状態信号としてSTO指令を出力する。このSTO指令は、内部バスあるいは接続ケーブルを介して制御基板10の種別識別回路13に伝達される。制御基板10の種別識別回路13はSTO指令を入力すると、ゲート回路12にゲート遮断信号を伝達する。ゲート回路12はゲート遮断信号を受信すると演算手段11からの制御信号を強制的に遮断する。また、演算手段11は、種別識別回路13から出力されるゲート遮断信号をステータスとして入力して、動作許可信号の状態と比較することによってSTO指令が出力されたことを検知する。
【0033】
これにより、安全装置1は、制御基板10の演算手段11を介さずに独立でSTO機能を実現することができるため、たとえ演算手段11が暴走あるいは故障をしたとしても確実に半導体スイッチング素子を制御するための制御信号を遮断することが可能である。
【0034】
なお、図示しないが、図1の制御基板10の構成においてゲート回路12を二重化することも可能である。このゲート回路の二重化に加え、さらに、開発プロセスを文書化することにより、ISO13849-1の安全規格(欧州規格ではEN954-1)の認証を受けることも可能である。
【0035】
図2に示す安全機能基板20Bは、2つの演算手段を設けて監視機能を二重化した例である。安全機能基板20Bの演算手段21B,22Bは、それぞれ制御基板10の動作を監視する機能を有する。また、安全機能基板20Bは、安全機能として、STO指令の入力のほか、回転速度を減速させた後に停止させる指令(以下、減速・停止指令という。)や最高速度を決定する速度リミット指令等の安全関連系信号を入力する端子28を備えている。
【0036】
減速・停止指令等の安全関連系信号が安全機能基板20Bに入力されると、この安全関連系信号はシリアル通信やパラレル通信等のデータ通信により制御基板10の演算手段11に伝達される。制御基板10は伝達された安全関連系の指令信号に基づいて電動機を制御する。
【0037】
また、安全機能基板20Bは、制御基板10の演算手段11が正常に動作しているかを監視しており、正常な動作から逸脱していることを検出すると、制御基板10に対して異常状態を通知する。制御基板10の種別識別回路13は、この異常状態を受信するとゲート回路12にゲート遮断信号を伝達する。
【0038】
これにより、安全関連系信号によって動作している場合であっても、制御基板10の演算手段11を介さずにゲート遮断が可能になるので、制御基板10の演算手段11が暴走したとしても緊急に遮断することが可能になる。
【0039】
なお、安全機能基板20Bの演算手段21B,22Bは二重化されているので、安全機能基板20Bに実装された他方の演算手段の異常を検出することができる。これにより、STO指令が安全機能基板20Bに入力された場合のみならず、他方の演算手段の異常を検出した際にも種別識別回路13を介しゲート回路12にゲート遮断信号を伝達して、演算手段11から出力される制御信号を強制的に遮断することができる。
【0040】
また、安全機能基板20Bにはブレーキ信号や外部の機械スイッチを動作させるなどの出力信号を設けることが可能である。
なお、図2では、安全機能基板20Bの構成を簡略化して示しているが、本発明はこれに限定されるものではない。例えば、制御電源やクロック等の2重化機能、あるいは相互監視機能など、国際規格の安全要求レベルによって様々な構成をとることができる。
(実施例1)
【0041】
次に上記の基板構成を有する安全装置1の実施例1による種別識別回路13について図3を用いて説明する。本実施例による種別識別回路13は、制御基板10が送信する種別を識別するための信号として方形波の連続信号を専用回線を介して送受信する。本実施例では、制御基板10が受信する返信信号が送信信号の2倍周期である場合を適切な基板が接続されていると判定する。
【0042】
以下、種別識別回路13の動作を詳述する。制御基板10は、まず方形波発生器61で生成した信号を安全機能基板20Aへ送信する。この信号は、安全機能基板20Aでその安全機能基板を特定するための種別識別信号を作成する際の基準信号となる。
【0043】
安全機能基板20AはTフリップフロップ91A等のロジック回路により基準信号のパルスを2倍の周期に変更して種別識別信号を生成し、制御基板10に返信する。制御基板10のDフリップフロップ62は、送信信号の立上りをトリガとして、返信されてくる種別識別信号を保持する。また、制御基板10のDフリップフロップ63は、Dフリップフロップ62の出力信号を入力して、1クロック前の種別識別信号を保持する。EX−OR回路65はDフリップフロップ62,63の出力のいずれか一方のみHレベルの場合にHレベルを出力するので、受信信号が送信信号の2倍周期である場合のEX−OR回路65の出力は常時Hレベルとなる。EX−OR回路65の出力をDフリップフロップ64で整形して、動作許可信号(正論理)を生成する。また、安全機能基板20Aから渡されるSTO指令(負論理)と動作許可信号は共にAND回路66の入力となり、AND回路66の出力がゲート遮断信号(負論理)になる。
【0044】
図4は、図3に示す回路構成において適切な安全機能基板20Aが接続されている場合の動作波形例である。本実施例による種別識別回路13によって基準信号の2倍周期の種別識別信号が検知され動作許可信号がHレベルとなっている。
【0045】
図5は、図3に示す回路において安全機能基板20Aが接続されていない場合の動作波形例である。安全機能基板20Aが接続されていない場合は、制御基板10には種別識別信号が返信されず、入力信号に変化はない。図5では種別識別信号は常時Lレベルになっている。この場合、Dフリップフロップ62,63の出力値(A,B)が一致するため、EX−OR回路65の出力Cおよび動作許可信号が共にLレベルとなる。また、STO指令の如何にかかわらずゲート遮断信号もLレベルになる。動作許可信号は、正論理のため不活性状態(「偽」)となり、ゲート遮断信号は、負論理のため活性状態(「真」)となる。
【0046】
これにより安全機能基板が正常に接続されていないことを検出でき、ゲート回路12を遮断することができる。また、演算手段11は、動作許可信号により安全機能が正常に働いていないことを検知することができる。なお、基準信号および種別識別信号の伝送系統に開放故障が発生した場合にも同様の動作となり異常を検出することができる。
図6は、図3に示す回路において制御基板10の送信信号出力と返信信号入力が短絡されている場合の動作波形例である。返信信号が送信信号と同一となる場合、Dフリップフロップ62,63の出力値(A,B)はHレベルに固定されるため、EX−OR回路65の出力C、動作許可信号、およびゲート遮断信号は共にLレベルになる。これにより、ゲート回路12を遮断状態にすることができる。
【0047】
図7は、図3に示す回路において制御基板10に不適切な安全機能基板が接続され、送信信号の4倍周期となる種別識別信号が返信されてくる場合の動作波形例である。図3の種別識別回路13は、基準信号の2倍周期以外の信号が入力されると、図7に示すようにDフリップフロップ62,63の出力値(A,B)が同一となる。つまり、共にHレベルまたは共にLレベルとなるタイミングが発生する。このため、EX−OR回路65の出力C、動作許可信号、およびゲート遮断信号がLレベルとなるタイミングが発生する。これにより基板接続の異常が検出でき、半導体スイッチング素子の動作を不許可にすることできる。なお、図7において、動作許可信号がトグル状になっているが、基板種別を基準信号を分周した周期で判別する場合、最長周期の基板種別に合わせて、当該周期分の種別識別信号のデータを基準信号ごとにサンプリングし、このサンプリングしたデータが所望の基板種別の信号パターンに該当するか否かを判定することによって、動作許可信号を正しい安全機能基板が実装されているときは常時Hレベル、間違った安全機能基板が実装されているときは常時Lレベルの安定した信号にすることができる。
【0048】
図8は、図3に示す回路において制御基板10に不適切な安全機能基板が接続され基準信号の論理反転信号が返信されてくる場合の動作波形例である。基準信号の論理反転信号が入力された場合、制御基板10のDフリップフロップ62,63の出力値(A,B)は共にLレベルとなる。このため、EX−OR回路65の出力C、動作許可信号、およびゲート遮断信号がLレベルとなる。これにより制御基板10は、安全機能基板の接続異常を検出でき、ゲート回路12を遮断することによって、主回路30の半導体スイッチング素子の動作を不許可とすることができる。
【0049】
本実施例によれば、種別識別回路13から基板識別用のクロック信号を送信し、各安全機能基板20A,20Bではこのクロック信号を入力して、基板ごとに特有のクロック周期に変更して、制御基板10へ返信する。制御基板10は、この返信信号を受信して、本来実装すべき安全機能基板の周期かどうかを判定して、動作許可信号およびゲート遮断信号を生成する。この安全機能基板に特有のクロック周期が安全機能基板の識別コードに相当する。
(実施例2)
【0050】
図9は、制御基板10が受信する返信信号が送信信号の4倍周期である場合を適切な安全機能基板が接続されていると定義した場合の回路例である。
【0051】
図9に示す種別識別回路13は、図3の回路構成において送信信号の2倍周期の返信信号を4倍周期の返信信号としたものである。安全機能基板20Bの演算手段21Bは、Tフリップフロップ91B,92Bによって受信した基準信号の4倍周期の信号を生成して、返信信号として出力する。種別識別回路13は、返信信号を受け取ると、Dフリップフロップ71〜74によって、4クロック分の信号を保持し、一致判定回路76によって各フリップフロップの出力(D,E,F,G)が一致するか否かを判定する。一致判定回路76は、Dフリップフロップ71〜74からの入力信号が予め定めた信号パターン(本実施例では基準信号の4倍周期の信号パターン)と一致した場合はHレベル,不一致の場合はLレベルを出力する。Dフリップフロップ75は、一致判定回路76の出力を保持して、動作許可信号を生成する。また、図3と同様に、この動作許可信号とSTO指令とのAND条件によって、ゲート遮断信号を生成する。
【0052】
図10は、図9の種別識別回路13のタイミングチャートである。一致判定回路76は、各フリップフロップ71〜74の出力(D,E,F,G)が(H,H,L,L)(L,H,H,L)(L,L,H,H)(H,L,L,H)のときにHレベルを出力する。すなわち、各出力D〜Gを循環させて捉えたときに連続する2ビットが「H」であり、かつ連続する2ビットが「L」のときに「H」を出力し、他の信号パターンのときは「L」を出力するように機能させる。これにより、制御基板10は、適切な安全機能基板20Bが実装されていることを判定することができる。
【0053】
一致判定回路76は、たとえば、図11(a)に示すようなROM,EEPROMの他ASICやディスクリートのロジック回路等でも実現することができる。なお、以下においてはROMを用いた場合を例にして説明する。ROMで実現するような場合は、データ出力のためのチップセレクト信号やリード信号は常時活性状態にしておいても良いし、方形波発生器61からの基準信号等を用いてDフリップフロップ75でラッチするタイミングでデータを出力するようにしても良い。
【0054】
図11(a)において、一致判定回路76のアドレスには、各フリップフロップ71〜74の出力が接続されている。なお、空きアドレスは、LレベルあるいはHレベルに固定しておくものとする。そして、データの特定ビット(図11ではD0)は、図11(b)に示すように、アドレスの入力信号が基板種別に対応する特定の信号パターンに該当するときは「H」、それ以外は「L」になるように設定する。このデータを書き込んだROMを一致判定回路76として用いることにより、図10のタイミングチャートの動作を実現することができる。勿論、ROMを使用する替わりに、図11(b)の論理によって動作するASICやロジック回路等によって構成することもできる。
(実施例3)
【0055】
図12は、制御基板10に実装されているスイッチで安全機能を選択し、正しい安全機能基板が実装されているか否かを判定できるようにした実施例である。
【0056】
図9との違いは、一致判定回路76の入力側に選択回路78を設けたことである。一致判定回路76は、選択回路78から出力される選択信号により、判定する信号パターンを変えることによって、所望の安全機能基板が実装されているか否かを判定する。
【0057】
図13(a)は、本実施の形態による一致判定回路76と選択回路78の回路構成例である。選択回路78は、スイッチ82とプルアップ抵抗81で構成されている。これにより、スイッチ82がオフのときは、一致判定回路76のアドレスA10には「H」が入力され、スイッチ82がオンのときには、アドレスA10には「L」が入力されることになる。このアドレスに対応させて、一致判定回路76を構成するROMのアドレスA10が「L」のときには、アドレスA0〜A3の安全機能基板20Bの信号パターンに該当するデータD0を「H」に設定し、それ以外を「L」に設定する。また、一致判定回路76を構成するROMのアドレスA10が「H」のときには、アドレスA0〜A3の安全機能基板20Aの信号パターンに対応するアドレスのデータD0を「H」に設定し、それ以外を「L」に設定する。本実施例の場合は、アドレスとデータとの関係は図13(b)に示したとおりである。
【0058】
これにより、選択回路78がオフのときは基準信号を2分周した種別識別信号を返信する安全機能基板20Aが検知され、選択回路78がオンのときは基準信号を4分周した種別識別信号を返信する安全機能基板20Bが検知され、適正な基板が実装されているときに動作許可信号が出力される。
(実施例4)
【0059】
上記の各実施例では、安全機能基板20A,20Bから制御基板10へ種別識別信号とは別にSTO指令を送信し、制御基板10側でこの信号と動作許可信号とを用いてゲート遮断信号を生成するようにしたが、本実施例は安全機能基板側でSTO指令発生時に種別識別信号のパターンを変化させ、制御基板10側で種別識別信号からSTO指令を検知するようにしたものである。
【0060】
図14は、本実施例による種別識別回路13の回路構成例である。この図において、安全機能基板20Bは、基準信号を4分周した信号を出力するTフリップフロップ92Bの出力と、8分周するTフリップフロップ93Bの出力とを切り替える切替回路94Bを備えている。この切替回路94Bは、STO指令を入力していないときは、Tフリップフロップ92Bの出力を選択し、STO指令を入力したときは、Tフリップフロップ93Bの出力を選択して、種別識別信号として制御基板10へ返信する。
【0061】
制御基板10の種別識別回路13は、シフトレジスタ79を有しており、方形波発生器61からの基準信号によって、入力した種別識別信号を順にシフトして出力Q0〜Q7へ出力する。シフトレジスタから出力された信号は、一致判定回路76に入力される。
【0062】
一致判定回路76は、ROM等で構成することができ、STO指令の信号パターンに該当するアドレスのデータ2ビット目(D1)が「H」に設定されている。本実施例の場合は、STO指令時は、基準信号を8分周した信号が返信されるので、シフトレジスタの出力D0〜D7を循環して捉えたとき、連続4ビット「H」であり、かつ連続4ビット「L」となるアドレスのデータD1を「H」にセットし、他のアドレスのデータD1は「L」にセットする。データD0の設定は、実施例3と同様である。一致判定回路76のデータD0,D1から出力されたデータは、それぞれ、Dフリップフロップ75,80のD入力に入力される。Dフリップフロップ75,80のClock入力には、それぞれ方形波発生器61からの基準信号が入力されている。Dフリップフロップ75の出力は、動作許可信号となる。また、この動作許可信号とDフリップフロップ80の反転出力端子からの出力信号は、AND回路77に入力され、その出力は、ゲート遮断信号として出力される。
【0063】
このように構成された種別識別回路13において、安全機能基板20Bから正常に種別識別信号を入力したときは、一致判定回路76の出力D0が「H」、D1が「L」となり、Dフリップフロップ75の出力は「H」,Dフリップフロップ80の反転出力も「H」となる。これによって、AND回路77の出力は「H」になる。この結果、動作許可信号が活性状態、ゲート遮断信号が不活性状態になる。
【0064】
この状態で、安全基板20BからSTO指令が出力されたときは、一致判定回路76の出力D0が「L」、D1が「H」となる。この結果、Dフリップフロップ75の出力は「L」,Dフリップフロップ80の反転出力も「L」となる。これにより、AND回路77の出力は「L」になり、ゲート遮断信号が活性状態になり、ゲート回路12が遮断される。
【0065】
本実施例によれば、種別識別信号とSTO指令とを同じ信号線で送信することができるので、ケーブルの芯数やバスの本数を削減することができる。
(実施例5)
【0066】
その他の実施例として、制御基板10が送信する信号を一定周期間隔で発生させることでも基板種別の識別が可能である。制御対象機器に要求されている安全機能の動作要求時間より短い時間間隔で基板種別の識別信号を出力し、適切な安全機能基板が接続されていることを確認することで、要求されている安全機能を実現することができる。
【0067】
また、一定周期間隔の信号を利用することで、周期性を持たないパターン信号を基板種別の識別信号に使用できるようになるため多様な信号パターンを適用することが可能となる。
【0068】
さらに、制御基板10に接続される安全機能基板20A,20Bに信号を一定時間遅延させる遅延手段を設けて、安全機能基板20A,20Bは、受信した基準信号に対して予め決められた時間だけ信号を遅延させて生成した信号を種別識別信号として返信することでも基板種別の識別が可能である。遅延手段の遅延時間に送受信回路や送信回線等の遅延時間を加味し遅延時間の許容範囲を決定し、制御基板が返信信号の遅延時間の範囲を判定することで適切な安全機能基板が接続されていることを確認することができる。なお、遅延条件を位相で指定することも可能である。論理反転信号が返信されてくる例として、180度遅れの信号波形は、図8の種別識別信号と同様な波形となる。
【0069】
以上、本実施の形態による安全装置によれば、安全機能を担う複数の種類の安全機能基板を準備し、仕様に合わせて安全機能基板を差し替えて使用することにより、顧客が要求する安全規格のレベルに合った最適な安全装置を容易に実現することが可能になる。また、仕様の変更に対しても柔軟に対応することができる。
【0070】
特に、制御基板の種別識別回路は、接続されている安全機能基板の種別が制御基板に初期設定された安全機能に対応している場合にのみ、動作許可信号をONにして制御処理を可能にする。種別識別回路は、さらにSTO指令やその他の重大な異常が発生した場合はゲート遮断信号を発生してゲート回路を直ちに遮断する。これにより、安全機能基板の差し替えにおいて発生する接続の誤りによる安全機能の不動作や誤動作を防止でき、さらに、装置故障に対しては迅速かつ確実に制御対象機器を停止させる方向へ制御することができるので信頼性の高いシステムを構築することができる。
【0071】
本実施の形態の各実施例による方法によって種別識別信号を生成することにより、安全機能基板の誤実装を検出できるのみならず、種別識別信号の伝送回線が短絡することにより生じる安全機能の不動作や誤動作も防止することができる。
【0072】
また、強制トルクオフを要求する際に種別識別信号を通常時の信号と異なる信号にすることにより、種別識別信号に強制トルクオフの要求の役割をさせることができるので、信号線の数を減らすことができ、製品の低コスト化が可能になる。
【0073】
本発明は上述の実施の形態に限定されることなく、その要旨を逸脱しない範囲で、種々変形して実現することができる。
例えば、上記の実施例4では、STO指令も基板種別と同様に基準信号を分周してデューティ比50%のトグル信号として生成するようにしたが、基準信号に基づいて任意のユニークな信号パターンとして生成するようにしても良い。このような場合、実施例3,4で説明したように一致判定回路をROM等の不揮発性メモリ素子で実現するのが効果的である。基準信号でサンプリングした種別識別信号をアドレスとして入力し、メモリ素子には、判別すべき信号パターンに該当するアドレスの特定のデータビットを予めセットしておくことにより、所望の信号パターンを簡便に検出することができる。
【符号の説明】
【0074】
1 安全装置
10 制御基板(制御部)
11 演算手段
12 ゲート回路
13 種別識別回路
20A,20B 安全機能基板(安全機能部)
21A,21B,22B 演算手段
30 主回路
31 整流回路
32 平滑コンデンサ
33 スイッチング回路
18,19,28,38,39 コネクタ
61 方形波発生器
65 EX−0R回路
66,77 AND回路
62〜64,71〜75 Dフリップフロップ
76 一致判定回路
78 選択回路
79 シフトレジスタ
81 プルアップ抵抗
82 スイッチ
91A,91B,92B Tフリップフロップ
【特許請求の範囲】
【請求項1】
制御対象機器を制御するための制御信号を生成する制御部と、前記制御部と接続し所定の安全機能を実行する安全機能部とを有する安全装置であって、
前記制御部は接続されるべき安全機能部を識別するための種別を選択する手段と、
種別特定可能な種別識別信号を生成するための基準信号を前記安全機能部へ送信する手段と、
前記安全機能部から返信されてきた種別識別信号をもとに、接続されている安全機能部の種別が前記選択した種別と一致するか否かを判定し、該判定の結果を出力する手段と、
前記判定の結果、接続されている安全機能部の種別と前記選択した種別とが一致しなかった場合は、前記制御信号の出力を禁止する手段と、
を備え、
前記安全機能部は、前記制御部から送信されてきた前記基準信号をもとに該安全機能部の種別に応じた処理によって前記種別識別信号を生成して前記制御部へ返信する手段を備えたことを特徴とする安全装置。
【請求項2】
請求項1に記載の安全装置において、
前記制御部は、前記基準信号として連続的な定周期信号を前記安全機能部へ送信し、
前記安全機能部は、該定周期信号をもとに該安全機能部の種別に応じた分周条件で分周した信号を前記種別識別信号として前記制御部へ返信することを特徴とする安全装置。
【請求項3】
請求項1に記載の安全装置において、
前記安全機能部は、前記制御部から送信されてきた前記基準信号を該安全機能部の種別に応じた時間または位相の条件で遅延させ、該遅延させた信号を前記種別識別信号として前記制御部へ返信することを特徴とする安全装置。
【請求項4】
請求項1に記載の安全装置において、
前記制御部は前記制御対象機器に要求されている安全機能の動作要求時間より短い時間間隔で前記基準信号を前記安全機能部へ送信することを特徴とする安全装置。
【請求項5】
請求項1乃至4のいずれか一項に記載の安全装置において、
前記安全機能部は、外部からの入力あるいは異常監視機能によって、前記制御対象機器を緊急に停止させる必要が生じた場合は、前記種別に応じた処理によって生成した種別識別信号とは異なる信号を生成して、当該信号を種別識別信号として前記制御部へ返信することを特徴とする安全装置
【請求項6】
請求項1乃至6のいずれか一項に記載の安全装置を用いた電力変換器であって、
半導体スイッチング素子を具備し、該半導体スイッチング素子のゲートを前記制御信号によってオン、オフすることにより直流電流を交流電流に変換し、該交流電流を制御対象機器である電動機へ供給する主回路を備え、
前記制御部は、外部から入力される前記電動機の位置、速度、トルクのうち少なくともいずれか一つの指令値に基づいて前記制御信号を演算する演算手段と、該制御信号の出力を通過または遮断するゲート回路と、を備え、
前記安全機能部は、外部からの入力あるいは異常監視機能によって、前記電動機を緊急に停止させる必要が生じた場合は、前記制御部へ緊急停止信号を送信し、
前記制御部は、前記安全機能部から前記緊急停止信号を受信したときは、前記ゲート回路をオフすることによって、前記演算手段を介さずに前記制御信号を遮断することを特徴とする電力変換器。
【請求項1】
制御対象機器を制御するための制御信号を生成する制御部と、前記制御部と接続し所定の安全機能を実行する安全機能部とを有する安全装置であって、
前記制御部は接続されるべき安全機能部を識別するための種別を選択する手段と、
種別特定可能な種別識別信号を生成するための基準信号を前記安全機能部へ送信する手段と、
前記安全機能部から返信されてきた種別識別信号をもとに、接続されている安全機能部の種別が前記選択した種別と一致するか否かを判定し、該判定の結果を出力する手段と、
前記判定の結果、接続されている安全機能部の種別と前記選択した種別とが一致しなかった場合は、前記制御信号の出力を禁止する手段と、
を備え、
前記安全機能部は、前記制御部から送信されてきた前記基準信号をもとに該安全機能部の種別に応じた処理によって前記種別識別信号を生成して前記制御部へ返信する手段を備えたことを特徴とする安全装置。
【請求項2】
請求項1に記載の安全装置において、
前記制御部は、前記基準信号として連続的な定周期信号を前記安全機能部へ送信し、
前記安全機能部は、該定周期信号をもとに該安全機能部の種別に応じた分周条件で分周した信号を前記種別識別信号として前記制御部へ返信することを特徴とする安全装置。
【請求項3】
請求項1に記載の安全装置において、
前記安全機能部は、前記制御部から送信されてきた前記基準信号を該安全機能部の種別に応じた時間または位相の条件で遅延させ、該遅延させた信号を前記種別識別信号として前記制御部へ返信することを特徴とする安全装置。
【請求項4】
請求項1に記載の安全装置において、
前記制御部は前記制御対象機器に要求されている安全機能の動作要求時間より短い時間間隔で前記基準信号を前記安全機能部へ送信することを特徴とする安全装置。
【請求項5】
請求項1乃至4のいずれか一項に記載の安全装置において、
前記安全機能部は、外部からの入力あるいは異常監視機能によって、前記制御対象機器を緊急に停止させる必要が生じた場合は、前記種別に応じた処理によって生成した種別識別信号とは異なる信号を生成して、当該信号を種別識別信号として前記制御部へ返信することを特徴とする安全装置
【請求項6】
請求項1乃至6のいずれか一項に記載の安全装置を用いた電力変換器であって、
半導体スイッチング素子を具備し、該半導体スイッチング素子のゲートを前記制御信号によってオン、オフすることにより直流電流を交流電流に変換し、該交流電流を制御対象機器である電動機へ供給する主回路を備え、
前記制御部は、外部から入力される前記電動機の位置、速度、トルクのうち少なくともいずれか一つの指令値に基づいて前記制御信号を演算する演算手段と、該制御信号の出力を通過または遮断するゲート回路と、を備え、
前記安全機能部は、外部からの入力あるいは異常監視機能によって、前記電動機を緊急に停止させる必要が生じた場合は、前記制御部へ緊急停止信号を送信し、
前記制御部は、前記安全機能部から前記緊急停止信号を受信したときは、前記ゲート回路をオフすることによって、前記演算手段を介さずに前記制御信号を遮断することを特徴とする電力変換器。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2011−8642(P2011−8642A)
【公開日】平成23年1月13日(2011.1.13)
【国際特許分類】
【出願番号】特願2009−153013(P2009−153013)
【出願日】平成21年6月26日(2009.6.26)
【出願人】(000005234)富士電機ホールディングス株式会社 (3,146)
【Fターム(参考)】
【公開日】平成23年1月13日(2011.1.13)
【国際特許分類】
【出願日】平成21年6月26日(2009.6.26)
【出願人】(000005234)富士電機ホールディングス株式会社 (3,146)
【Fターム(参考)】
[ Back to top ]