特許第5823861号(P5823861)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > クーパー テクノロジーズ カンパニー

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ クーパー テクノロジーズ カンパニーの特許一覧

<>
  • 特許5823861-冗長電源 図000005
  • 特許5823861-冗長電源 図000006
  • 特許5823861-冗長電源 図000007
  • 特許5823861-冗長電源 図000008
  • 特許5823861-冗長電源 図000009
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5823861
(24)【登録日】2015年10月16日
(45)【発行日】2015年11月25日
(54)【発明の名称】冗長電源
(51)【国際特許分類】
   H02J 1/00 20060101AFI20151105BHJP
   H02J 9/06 20060101ALI20151105BHJP
   H02H 9/00 20060101ALI20151105BHJP
   H02M 3/00 20060101ALI20151105BHJP
【FI】
   H02J1/00 304E
   H02J9/06 110
   H02H9/00 A
   H02M3/00 W
   H02M3/00 B
【請求項の数】30
【全頁数】15
(21)【出願番号】特願2011-526575(P2011-526575)
(86)(22)【出願日】2009年9月14日
(65)【公表番号】特表2012-503457(P2012-503457A)
(43)【公表日】2012年2月2日
(86)【国際出願番号】GB2009051190
(87)【国際公開番号】WO2010029375
(87)【国際公開日】20100318
【審査請求日】2012年9月14日
(31)【優先権主張番号】0816844.5
(32)【優先日】2008年9月15日
(33)【優先権主張国】GB
(73)【特許権者】
【識別番号】506257537
【氏名又は名称】クーパー テクノロジーズ カンパニー
(74)【代理人】
【識別番号】100099759
【弁理士】
【氏名又は名称】青木 篤
(74)【代理人】
【識別番号】100092624
【弁理士】
【氏名又は名称】鶴田 準一
(74)【代理人】
【識別番号】100122965
【弁理士】
【氏名又は名称】水谷 好男
(74)【代理人】
【識別番号】100141162
【弁理士】
【氏名又は名称】森 啓
(74)【代理人】
【識別番号】100160716
【弁理士】
【氏名又は名称】遠藤 力
(72)【発明者】
【氏名】ランパード,メルビン ジェイムズ
(72)【発明者】
【氏名】ウェーバー,ラッセル ダグラス
【審査官】 早川 卓哉
(56)【参考文献】
【文献】 米国特許出願公開第2004/0252428(US,A1)
【文献】 特開2002−062903(JP,A)
【文献】 特開平09−065584(JP,A)
【文献】 特開平05−292750(JP,A)
【文献】 特開2004−289964(JP,A)
【文献】 国際公開第2007/088387(WO,A1)
【文献】 欧州特許出願公開第00997831(EP,A2)
【文献】 国際公開第03/041239(WO,A2)
(58)【調査した分野】(Int.Cl.,DB名)
H02J1/00−1/16
H02J9/00−9/08
H02M3/00−3/44
H02H9/00
(57)【特許請求の範囲】
【請求項1】
機能的冗長性のための複数の本質的安全入力を多重化する方法であって、
本質的安全出力に接続される複数のスイッチングモジュールと、
複数の本質的安全入力電源から前記複数のスイッチングモジュールそれぞれへの実質的に同一の複数の入力と、
を使用し、前記スイッチングモジュールそれぞれの間の複数のインタロック信号を使用して、最大で1つのスイッチングモジュールがいずれの時点でもアクティブになることを可能にすることにより、前記複数の本質的安全入力電源からの前記複数の実質的に同一の入力の最大で1つを前記本質的安全出力に接続することを可能にし、
代替的なスイッチングモジュールへのスイッチングの間に前記本質的安全出力に接続される入力がない期間である保障最小期間をさらに提供するステップを含む方法。
【請求項2】
2つのスイッチングモジュールを具備する請求項1に記載の方法。
【請求項3】
代替的なスイッチングモジュールへの前記スイッチングの間に前記本質的安全出力に接続される入力がない期間である前記保障最小期間は、少なくとも危険な組合せの可能性を取り除くために必要な時間であるか、又は全ての電源が負荷から切断されることを立証する(テストの間)ために必要な時間である請求項1、又は請求項2に記載の方法。
【請求項4】
代替的なスイッチングモジュールへの前記スイッチングの間に前記本質的安全出力に接続される入力がない期間である前記保障最小期間は、接続されるIS負荷装置のドロップアウト特性に依存する最大期間を有する請求項1〜3のいずれか一項に記載の方法。
【請求項5】
アクティブなスイッチングモジュールの前記入力が機能しなくなる場合に、代替的なスイッチングモジュールに自動的にスイッチングするステップをさらに備える請求項1〜4のいずれか一項に記載の方法。
【請求項6】
アクティブなスイッチングモジュールが機能しなくなる場合に、代替的なスイッチングモジュールに自動的にスイッチングするステップをさらに備える請求項1〜5のいずれか一項に記載の方法。
【請求項7】
前記入力の少なくとも1つが前記本質的安全出力に接続されるときに、前記複数のスイッチングモジュールのいずれか1つ、及び前記複数の本質的安全入力電源のいずれか1つは、除去可能である請求項1〜6のいずれか一項に記載の方法。
【請求項8】
関連する入力が存在するときに、前記スイッチングモジュールの除去を防止するように配置されるスイッチングモジュールそれぞれのための機械的インタロックを提供するステップをさらに有する請求項1〜7のいずれか一項に記載の方法。
【請求項9】
前記複数の実質的に同一の入力のそれぞれは、本質的安全電源からの安定化した電流及び/又は電圧を備える請求項1〜8のいずれか一項に記載の方法。
【請求項10】
前記本質的安全入力電源は、FISCO PSUを備える請求項9に記載の方法。
【請求項11】
前記出力は、「Ex ib」フィールド回路を駆動するのに適する請求項1〜10のいずれか一項に記載の方法。
【請求項12】
危険論理機能、及び非危険論理機能を制御する論理回路を物理的に分離するステップをさらに有する請求項1〜11のいずれか一項に記載の方法。
【請求項13】
個別論理を使用して前記危険論理機能を実施し、単一のチップマイクロプロセッサ上で前記非危険論理機能を実施するステップをさらに有する請求項12に記載の方法。
【請求項14】
複数の本質的安全入力を多重化するスイッチング回路であって、
本質的安全出力に接続され、かつそれぞれが実質的に同一の複数の入力の1つを受信するように配置される複数のスイッチングモジュールを備え、
スイッチングモジュールそれぞれは、いずれの時点でも前記複数の実質的に同一の入力の最大で1つが前記本質的安全出力に接続されることを可能にするように配置されるロック手段を有し、
前記ロック手段は、代替的なスイッチングモジュールへのスイッチングの間に前記本質的安全出力に接続される入力がない期間である保障最小期間をさらに提供するように配置されるスイッチング回路。
【請求項15】
2つのスイッチングモジュールを具備する請求項14に記載のスイッチング回路。
【請求項16】
前記ロック手段は、前記複数のスイッチングモジュールのそれぞれの間の複数のロック信号を提供する請求項14に記載のスイッチング回路。
【請求項17】
代替的なスイッチングモジュールへの前記スイッチングの間に前記本質的安全出力に接続される入力がない期間である前記保障最小期間は、少なくとも危険な組合せの可能性を取り除くために必要な時間であるか、又は全ての電源が負荷から切断されることを立証する(テストの間)ために必要な時間である請求項14、請求項15、又は請求項16のいずれか一項に記載のスイッチング回路。
【請求項18】
代替的なスイッチングモジュールへの前記スイッチングの間に前記本質的安全出力に接続される入力がない期間である前記保障最小期間は、接続されるIS負荷装置のドロップアウト特性に依存する最大期間を有する請求項14〜17のいずれか一項に記載のスイッチング回路。
【請求項19】
使用時に、アクティブなスイッチングモジュールの入力が機能しなくなる場合に、代替的なスイッチングモジュールに自動的にスイッチングするように配置される請求項14〜18のいずれか一項に記載のスイッチング回路。
【請求項20】
使用時に、アクティブなスイッチングモジュールが機能しなくなる場合に、代替的なスイッチングモジュールに自動的にスイッチングするように配置される請求項14〜19のいずれか一項に記載のスイッチング回路。
【請求項21】
使用時に、外部指令に応答して、代替的なスイッチングモジュールにスイッチングするように配置される請求項14〜20のいずれか一項に記載のスイッチング回路。
【請求項22】
使用時に、他のスイッチング回路の少なくとも1つが前記出力に接続されるときに、前記複数のスイッチングモジュールのいずれか1つは、除去可能である請求項14〜21のいずれか一項に記載のスイッチング回路。
【請求項23】
前記複数のスイッチングモジュールのいずれかは、関連する入力が存在するときに、前記スイッチングモジュールの前記除去を防止するように配置される機械的インタロックを備える請求項22に記載のスイッチング回路。
【請求項24】
前記複数の実質的に同一の入力は、本質的安全電源からの安定化した電流及び/又は電圧を備える請求項14〜23のいずれか一項に記載のスイッチング回路。
【請求項25】
前記本質的安全電源は、FISCO PSUである請求項24に記載のスイッチング回路。
【請求項26】
前記出力は、「Ex ib」フィールド回路を駆動するのに適する請求項14〜25のいずれか一項に記載のスイッチング回路。
【請求項27】
内部の危険論理機能を制御する論理回路は、非危険論理機能を制御する論理回路から物理的に分離される請求項14〜26のいずれか一項に記載のスイッチング回路。
【請求項28】
個別論理を使用して前記危険論理機能が実施され、単一のチップマイクロプロセッサ上で前記非危険論理機能が実施される請求項27に記載のスイッチング回路。
【請求項29】
前記出力は、前記スイッチング回路に印加される最小で1つの加算的な故障によっても本質的安全を維持する請求項14〜28のいずれか一項に記載のスイッチング回路。
【請求項30】
機能的冗長性のために複数の本質的安全入力を多重化するシステムであって、
複数の入力電源と、
スイッチング回路であって、
本質的安全出力に接続される複数のスイッチングモジュールを有し、それぞれのスイッチングモジュールは、実質的に同一の複数の入力の1つを前記複数の入力電源から受信するように配置されるスイッチング回路と、
を備え、スイッチングモジュールそれぞれは、いずれの時点でも前記複数の実質的に同一の入力の最大で1つが前記本質的安全出力に接続されることを可能にするように配置されるロック手段を有し、
さらに前記ロック手段は、代替的なスイッチングモジュールへのスイッチングの間に前記本質的安全出力に接続される入力がない期間である保障最小期間を提供するように配置されるシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、冗長電源に関する。より詳細には、本質的安全回路における冗長性に関し、さらに、本質的安全回路における機能的冗長性のために複数の本質的安全出力を多重化する装置、及びその方法に関する。
【背景技術】
【0002】
工業的に危険な環境は、ガス、又は微粉の潜在的な爆発性混合物が置かれる場所を含むことができる。
【0003】
本質的安全(Intrinsically Safe)は、電気装置が危険な環境での爆発の原因になることを防止するために使用される概念である。本質的安全(IS)システムは、危険な環境に配置されるIS装置(フィールド回路(field Circuit)、又はフィールド装置(field device)として知られる)と、電源とIS装置との間の危険でない領域(すなわち安全な領域)に配置される電力制限装置(ISバリア、ガルバニック絶縁器)と、付随する配線とを備える。本質的安全システムにおいて、設備の全ては、故障状態においても潜在的な爆発性ガス混合物の発火するために十分なエネルギー、又は電力を供給する可能性がないように設計され、かつ設置される。
【0004】
ISシステムは、フィールド装置へのアクセスしやすさが非常に制限されることが多く、かつ重要な構成素子の故障により費用がかかるだけでなく、重要な構成素子の故障が潜在的に高い危険性を有するが、ISシステムにおいて、信頼性は、特に重要な要因である。システムにおける構成素子、又は回路の冗長性、又は重複は、システムの信頼性を高めるための1つの方法であり、セーフティクリティカルな回路は、主回路が機能しなくなる場合に始動可能な等価的な従回路となるように、冗長的に供給されることが多い。
【0005】
ISシステムは、リアルタイムに分配される制御システム、特に危険な領域を有する製造工場において一般的になりつつあり、フィールドバスの本質的安全の概念(Fieldbus Intrinsic Safe COncept、FISCO)として知られる本質的安全フィールドバスシステムのIEC規格(IEC60079−27)に基づく。
【0006】
FISCOシステムにおいて、アクティブな電源(電力調整器、又は電力供給ユニット)は、セグメント当たり1つのみ認められる。他の全ての構成素子は、パッシブな電流シンク(passive current sinks、機器)として作動しなければならない。保守に備えてセグメントの全ての装置が機能しなくなることを防止する必要があるシステムにおいて、1つが機能しなくなり、又は交換する必要がある場合に、電源間を切り替える手段とともに、1つ、又は2つ以上の冗長な電源ユニット(PUS)を設置することが可能である。
【0007】
欧州において、危険な環境、及び防爆領域は、いわゆるZoneに分類される。Zone0、1、及び2の間で区分され、Zone0は、可燃雰囲気が長期間、又は連続的に存在する可能性が高い最も慎重に対処すべき区域である。Zone1においては、可燃雰囲気である可能性はあるが、長期間に亘り存在する可能性はなく、Zone2においては、典型的には処理故障状態により生じる短期間の間を除き、可燃雰囲気は、存在する可能性がない。
【0008】
また、これらの危険な環境Zoneに対応する電気設備のための本質的安全3つのカテゴリが承認されている。本質的安全「ia」、又は略して「Ex ia」は、Zone0、1、及び2に適応する設備であり、「Ex ib」は、Zone1、及び2にのみ適合し、「Ex ic」は、Zone2にのみ適合する。
【0009】
米国特許出願第2004/0252428号では、電流制限抵抗を使用する防爆領域の電気負荷のISが説明され、冗長な電流‐電圧供給のための装置が説明される。
【0010】
米国特許出願第2004/0145843号では、コントローラ動作用の電源の電圧感知、及び逆バイアス感知を有するNチャネルFETを使用して共通負荷への2つ以上の電源の接続を絶縁し、かつ配列する始動防止回路が説明される。
【発明の概要】
【発明が解決しようとする課題】
【0011】
公知のIS冗長システム、及びその方法に関連する問題は、電源の切換えの間にただ1つの入力電源が負荷に接続されることを保障しないことである。必要なものは、不安全な状態、すなわち出力負荷に同時に接続される1つより多い入力電源が生じる可能性がある状態でないことを保障するために、切換えの間に負荷から全ての入力電源が十分に不接続であることを保障されるシステムである。
【0012】
したがって、本発明の目的は、負荷がZone1、又は2に搭載されるときに2つのFISCO PSUが冗長な予備構造で動作し、いずれの時点でも入力電源の1つの最大が出力負荷に接続される、いわゆる冗長FISCO PSUスキームの要求に対応するシステム、及びその方法を提供することである。
【0013】
具体的には、本発明は、FISCOシステムの実施に適し、そのシステムの冗長PSUを提供するが、これには限定されない。
【0014】
本発明は、IS回路の機能的冗長性のためにIS出力のIS出力を多重化する方法を提供するとともに、マルチプレクサを実施するために多段スイッチング設備を提供することを探求する。
【課題を解決するための手段】
【0015】
本発明の第1の態様に従うと、機能的冗長性のための複数の本質的安全入力を多重化する方法であって、本質的安全出力に接続される複数のスイッチングモジュールと、複数の本質的安全入力電源から複数のスイッチングモジュールそれぞれへの実質的に同一の複数の入力とを使用して、スイッチングモジュールそれぞれの間の複数のインタロック信号を使用して、最大で1つのスイッチングモジュールがいずれの時点でもアクティブになることを可能にすることにより、複数の入力電源からの複数の入力の最大で1つを本質的安全出力に接続することを可能にし、代替的なスイッチングモジュールへのスイッチングの間に本質的安全出力に接続される入力がない期間である保障最小期間をさらに提供するステップを含む方法が提供される。
【0016】
好適には使用中に、2つのスイッチングモジュールを使用して、他方が冗長であるとき、一方のスイッチングモジュールがアクティブになるようにする。
【0017】
好適には、代替的なスイッチングモジュールへのスイッチングの間に本質的安全出力に接続される入力がない期間である保障最小期間は、少なくとも10μsであり(最小期間は、安全を保障し、又は立証するなど)、500μsの最大期間を有する(最大期間は、接続されるフィールド設備のいずれにも不利な機能的影響がないことを保障するなど)。
【0018】
好適には、アクティブなモジュールの入力、又はアクティブなモジュール自体が機能しなくなる場合、出力は、代替的なスイッチングモジュールに自動的に切り替わる。
【0019】
好適には、入力の少なくとも1つが本質的安全出力に接続されるときに、複数のスイッチングモジュールのいずれか1つ、及び複数の本質的安全入力電源のいずれか1つは、除去可能である。これは、出力に接続される1つ、又は2つ以上のIS装置に電力が供給される間に、構成素子の修理が可能であり、また構成素子の置換が可能であることを意味する。
【0020】
好適には、機械的インタロックは、関連する入力が存在するときに、スイッチングモジュールの除去を防止するように配置されるスイッチングモジュールそれぞれに提供される。有利には、これにより、入力の過渡的な結合を防止し、スイッチングモジュールの故障解析、及び電子設計を単純化する。
【0021】
好適には、複数の入力のそれぞれは、本質的安全電源からの、特にはFISCO PSUからの安定化した電流及び/又は電圧を備える。入力が本質的安全電源からであることを保障することにより、出力は、「Ex ib」フィールド回路を駆動するのに適する。
【0022】
好適には、危険論理機能、及び非危険論理機能を制御する論理回路は、物理的に分離される。具体的な有利な配置では、危険論理機能は、個別論理を使用して実施され、非危険論理機能は、単一のチップマイクロプロセッサ上で実施される。
【0023】
本発明のさらなる態様に従うと、複数の本質的安全入力を多重化するスイッチング回路であって、本質的安全出力に接続され、かつそれぞれが実質的に同一の複数の入力の1つを受信するように配置される複数のスイッチングモジュールを備え、スイッチングモジュールそれぞれは、いずれの時点でも複数の入力の最大で1つが本質的安全出力に接続されることを可能にするように配置されるロック手段を有し、ロック手段は、代替的なスイッチングモジュールへのスイッチングの間に本質的安全出力に接続される入力がない期間である保障最小期間をさらに提供するように配置される回路が提供される。
【0024】
好適には、ロック手段は、複数のスイッチング手段のそれぞれの間の複数のロック信号を有する。
【0025】
好適には、出力は、スイッチング回路に印加される最小で1つの加算的な故障によっても本質的安全を維持する。
【0026】
本発明のさらなる態様に従うと、機能的冗長性のために複数の本質的安全入力を多重化するシステムであって、複数の入力電源と、本質的安全出力に接続される複数のスイッチングモジュールを有するスイッチング回路とを備え、モジュールそれぞれは、実質的に同一の複数の入力の1つを複数の入力電源から受信するように配置され、スイッチングモジュールそれぞれは、いずれの時点でも複数の入力の最大で1つが本質的安全出力に接続されることを可能にするように配置されるロック手段を有し、ロック手段は、代替的なスイッチングモジュールへのスイッチングの間に本質的安全出力に接続される入力がない期間である保障最小期間をさらに提供するように配置されるシステムが提供される。
【0027】
以下、本発明は添付図面を参照して例示のみの方法でさらに説明される。
【図面の簡単な説明】
【0028】
図1】本発明に係る1つの実施形態に従う二重冗長FISCO PSUスキームの回路ブロックを概略的に示す図である。
図2】本発明に係る1つの実施形態に従う二重冗長FISCO PSUスキームの一般化した論理ブロックを概略的に示す図である。
図3】本発明に係る1つの実施形態に従う二重冗長FISCO PSUスキームの論理ブロックをより詳細に示す図である。
図4】本発明に係る1つの実施形態に従う二重冗長FISCO PSUスキームの簡明な論理シミュレーションの回路ブロックを概略的に示す図である。
図5図4の論理シミュレーションにおいてシミュレーション動作から取得される一連のプロットを示す図である。
【発明を実施するための形態】
【0029】
図1を参照すると、「Ex ib」フィールド回路を駆動するのに適する二重冗長構造において、2つのPISCO PSU装置が、同一の電気システムに接続可能であるスキームが示される。システム10は、2つの物理領域に分離される。安全領域12、及びZone1危険領域14である。安全領域12内部では、第1のFISCO PSU(PSU_A)16、及び第2のFISCO PSU(PSU_B)22は、第1のスイッチ調停モジュール(Switch Arbitration Module、SAM)28、及びSAM30にそれぞれ接続される。PSU_A16は、第1のローカル電源18により駆動され、第1の通信ポート20に接続される。同様に、PSU_B22は、第2のローカル電源24により駆動され、第2の通信ポート26に接続される。SAM28、及び30は、バックプレーンインタロック信号32により互いに接続されて、ISスイッチング回路33を形成する。SAM28、及び30からの出力は、危険領域14の「Ex ib」負荷34に共通に接続される。
【0030】
このISスイッチング回路33は、機能的PSU16、及び22を選択するために、スイッチングによりPSU故障に応答するように配置される。システム10は、システム10が機能続ける間に、故障したPSU、又はSAMの修理、交換、又は除去が可能なように配置される。インタロックは、ただ1つのPSUが危険領域負荷34に常に接続されることを保障することを含む。
【0031】
活線での保守の間にPSUの過渡的な組合せに対して適切な保護を維持するために、SAMそれぞれは、関連するPSUが存在する間にSAMの除去、又は挿入を防止する機械的インタロックを含む。これにより、SAMは、通電されるときに決して除去、又は交換される可能性がないことが保障される。したがって、SAMを「活線交換」(hot swapping)するとき、SAMは、通電されていないことが保障される。しかしながら、他のSAMからのインタフェース信号は、アクティブのままであろう。
【0032】
SAMそれぞれ内部の論理は、異なる2つの部分である「機能論理」(functional logic)、及び「危険論理」(hazardous logic)に分離されて実施される。安全のために、危険論理部は、個別論理の構成素子(discrete logic components)を使用して実行される。しかしながら、機能論理部は、単一のチップマイクロプロセッサ(MPU)を使用して、より効果的に実施することが可能である。
【0033】
図2は、本発明に従うISスイッチング回路33の一般化した実施を示す図である。ここで同等な素子は、同等な符号で識別される。第1のSAM28は、信号a1によりスイッチSA1を制御する論理ブロック36と、信号a2によりスイッチSA2を制御する論理ブロック38とを有する。第2のSAM30は、信号b1によりスイッチSB1を制御する論理ブロック40と、信号b2によりスイッチSB2を制御する論理ブロックとを有する。2つのSAM28、及び30は、インタロック信号32を有するインタフェースにより相互接続される。
【0034】
SAMの保護機能は、
a)フィールド回路34への2つのFISCO PSU16、及び22の危険な組合せを防止することと、
b)切換えの間にPSU_A16、及びPSU_B22がいずれも負荷に接続されない保障最小「オフ期間」(off period)によって、「ブレークビフォメーク」(break before make)を提供することと、
である。
【0035】
フィールド回路が「Ex ib」を許可されることを意図するため、保護のこのレベルは、相互接続される2つのSAM28、及び30と、そのインタロック信号接続32との組合せに適用される最大で1つの可算的な故障(one countable fault)によって維持される必要がある。ここで、1つの可算的な故障は、開路、短絡、又は他の抵抗値の故障にしてもよい。これを考慮して、予見不可能な論理故障、又は論理状態のリスクを最小化するように、以下の設計基準が規定される。
a)論理は、ステートマシンとして設計されることになる
b)全ての状態は、公表される(declared)ことになる
c)4つの全ての論理ブロック36、38、40、及び42が同時にオンする状態は、通常動作、又は単一の可算的な故障が印加されることにより生じるであろういずれの状態遷移を介して決して入らない「不許可」(disallowed)状態にすることになるであろう。このような状態が生じる場合、ステートマシンは、4つの論理ブロック36、38、40、及び42の少なくとも2つが「オフ」にスイッチングされるより安全な状態に遷移するように早急に、かつ無条件に試みるように配置される
d)論理ブロック36、38、40、及び42のいずれか3つが同時に「オン」する状態は、通常動作により生じるであろういずれの状態遷移を介しての決してはいらない「不許可」状態にすることになるであろう。このような状態が生じる場合、ステートマシンは、4つの論理ブロック36、38、40、及び42の少なくとも2つが「オフ」にスイッチングされるより安全な状態に遷移するように早急に、かつ無条件に試みるように配置される
e)スイッチ論理回路36、38、40、及び42それぞれは、論理電圧の低電圧検出、及び過電圧クランプにより保護されるように配置される
f)SAM28、及び30それぞれ内部の半導体電源スイッチSA1、SA2、SB1、及びSB2それぞれは、論理に電力が印加されないときは「ノーマリオフ」(normally off)がデフォルトであるように配置される。
【0036】
図2に示すように、一般化されたSAMの実施可能な2つのステートマシンを実施することが考えられる。第1の実施では、中間トランクA1、及びB1、並びに出力トランクCの感知電圧のみを使用する。第2の実施では、a1、a2、b1、及びb2を使用して(「a1、及びb1」をゲート制御する)、不要な遷移状態を良好に制御し、かつ、アイドル状態(idle state)にせざるおう得ないことを保障する。この外部制御は、適正な「Ex ib」ソリュージョンに本質的であるとは考えられないが、保護を向上させるためには好適である。しかしながら、「a1、及びb1」のゲート制御は、無制限な開路インタフェース故障のためにSAMを活線交換可能にする場合は、使用することはできない。
【0037】
信号a1、a2、b1、及びb2がインタフェースを介して遷移するとき(「a1、及びb1」をゲート制御する)、設計基準を使用して、対称性を有する以下の保護論理式を図2の回路の実施のために抽出してもよい。
【数1】
ここで、
【数2】
= B1の論理的な反転
a1+ = a1の次の状態
・ = 項のAND論理
+ = 項のOR論理
である。
【0038】
図3は、上述の安全論理式を実行する図1のISスイッチング回路33の一般化された論理ブロックを概略的に示す図である。図1、及び2に示すように、システムは、相互接続信号32により接続される第1のSAMモジュール28と、第2のSAMモジュール30とを有する。強調して示される接続は、PSU_A16、及びPSU_B22から危険領域負荷34へ電力が流れる経路を示す。
【0039】
電圧検出器a9、及びb9は、PSU入力電圧の妥当性を判定し、論理信号VAOK、及びVBOKとして送信する機能的(非安全)構成素子である。これらの信号、並びに手動押しボタンA36、及び押しボタンB38は、機能論理ブロックMPUA、及びMPUBに提供される。機能論理ブロックMPUA、及びMPUBは、機能信号ENA、及びENBそれぞれを使用してローカルスイッチSA1、SA2、SB1、及びSB2をオフすることが可能なマイクロプロセッサで実施される。図示されないが、電圧検出器a9、及びb9は、出力VAOK、及びVBOKを判定するために、信号を交換することができる。
【0040】
スイッチSA1、SA2、及びSB1、SB2は、論理信号a1、a2、及びb1、b2によりそれぞれ制御される半導体スイッチである。スイッチは、ローカル論理電源が不足する場合、ノーマリオープンになるように配置される。
【0041】
低電圧検出器(図示せず)は、ローカル論理電源が不足電圧の場合、関連するスイッチを強制的に開にする反転論理信号UVOLTA1、UVOLTA2、及びUVOLTB1、UVOLTB2を提供する。
【0042】
MPUA、及びMPUBの論理機能は、反転出力RESETA、及びRESETBをそれぞれ提供する関連する監視検出器を有する。関連するマイクロプロセッサがリセットされる場合に、半導体スイッチSA1、SA2、及びSB1、SB2を強制的にオフする機能論理信号がある。
【0043】
論理ゲートa1、a2、a10、及びb1、b2、b10、並びに関連するインバータ、及びバッファは、上述の状態遷移式を実施する。
【0044】
タイマTA1、TA2、及びTB1、TB2は、立ち上がり入力を30μsから68μs遅延させるが、立ち下り入力では遅延がほぼゼロである非対称タイミング回路である。関連するゲート制御(TA1のa3、及びa4など)によって、これらのタイマは、「ブレークビフォメーク」の保障されるブレーク時間の提供を実施する。多重タイマは、可算的な故障が印加されるときでさえも、この遅延が保障されることを保障する。
【0045】
中間トランク電圧検出器a8、a16、a12、a5、及びb8、b16、b12、b5は、関連するトランク電圧が2.3V〜3.7Vの範囲のしきい値電圧を超えるかを検出する。低電圧しきい値は、5V論理を電源供給するために十分なトランク電圧があるとき、インタロック信号が有効であることを保障することによって、トランク電圧が4.5V(最小動作論理電源)を超過するときに、ただ1つのスイッチモジュールが常に「オン」できることを保障する。出力トランク電圧検出器17、及び17は、出力トランク電圧が7.6V〜11Vの範囲のしきい値電圧を超えるかを検出する。比較的高い電圧を選択して、フィールド負荷がほとんどないときにスイッチング遅延を最小化することによって、フィールドバス線路終端容量は、電力が除去されるときに、徐々に放電する。
【0046】
ドライバa14、a15、及びb14、b15は、「a2、及びb2」のゲート制御機能が可能な出力を提供する。ドライバは、いずれかの単一の可算的な故障が印加されることによって出力が「オフ」(Low)に落ちる可能性がないように配置される。
【0047】
抵抗RA1〜RA14、及びRB1〜RB14は、機能回路と、危険領域保護論理との間の間違いのない保護を提供する。抵抗値は、機能論理内のいずれの短絡条件によっても危険領域保護機能内の危険な故障をもたらさないように選択される。
【0048】
A1、及びB1ゲート制御(a5、a12、及びb5、b12をそれぞれ介する)は、キャリアにより中間トランクA1、及びB2をルーティングすることにより実施される。出力接続の開路故障は、インタロック信号32の喪失を生じるが、危険領域14への電力を同時に切断する。
【0049】
スイッチSA2、及びSB2の論理制御は、スイッチSA1、及びSB2それぞれの論理制御の出力から動作される「カスケード」(cascade)である。これにより、スイッチそれぞれがオンするとき、「グレーコード化された」(Gray-coded)シーケンスを実施する。
【0050】
以下の説明は、危険領域保護の様々なレイヤに関する。
【0051】
論理項目a5、a2、a3、a4、SA1、b5、b2、b3、b4、及びSB1は、双安定(bistable)を形成し、常にSA1、又はSA2がオンすることのみを可能にする。
【0052】
いずれかの項目に印加される単一の可算的な故障は、状態を変化させるが、SA1、及びSA2の双方を常に導電することはできない。
【0053】
論理が電圧供給されることを保障するときに、トランク電圧検出器a5、及びb5が有効な出力を有することによって、双安定動作が保障されるように、論理電源低電圧検出器not−UVOLTA1、及びnot−UVOLTA2が、4.5Vより低い電圧で動作する。
【0054】
論理項目a16、a12、a10、a11、SA2、B16、b12、b10、b11、及びSB2は、先により詳細に説明されたように、過渡的な性能に主として関係する。しかしながら、補助的な保護機能もまた、この論理により提供される。論理は、反対する中間トランクA1、又はB1がオンの場合、スイッチSA1、又はSB1がオフするようになる。またこの論理は、SA1、及びSB1により形成されるフリップフロップが互いに接続される2つの出力A1、及びB1を決して有さないために、双安定として動作できることを保障する。SA2、又はSB2の論理のいずれかが機能しなくなり、他のSAMがオンであるときにSA2、又はSB2が「オン」状態にある場合、機能しなくなったSA2、又はSB2を介する(A1、又はB1への)反転条件によって、スイッチは、状態を変化させて、「3つのスイッチがオン」(three switch on)状態から「2つのスイッチがオン」(two switch on)状態に遷移する。
【0055】
a6、a2、a13、a10、a14、a15、b6、b2、b13、b10、b14、及びb15により提供される論理ゲート制御は、上述の「a2、及びb2」ゲート制御機能を実施する。ゲート制御の目的は、不要な遷移状態を認識することにより不要な遷移状態が生じることを防止し、これにより状態遷移は、より安全なアイドル状態になるように主に配置されることである。しかしながら、静的な危険状態の発生に対する付加的な保護をも提供する。
【0056】
出力、相互接続、及び入力は、単一の可算的な故障により全て「オフ」にならないように配置される。
【0057】
タイマTA1、及びTB1は、スイッチが状態を変化させる保障最小「ブレーク」(break)期間を保障する遅延を提供する。タイマTA1、又はTB1のいずれかに印加される可算的な故障は、一方の方向、又は他方の方向において状態変化が生じたときにこの保護を破ることになるであろう。しかしながら、タイマTA2、及びTB2は、TA1、及びTB1と協働して動作し、切換えブレーク遅延は、TA1、又はTB1に印加される可算的な故障に関わらず生ずる。
【0058】
原理的には、SA1、及びSB1により形成される双安定は、TA1、及びTB1が正しく動作さえすれば、スイッチSA1、及びSB1の双方は過渡的な不安定状態に入る可能性はない。タイマTA2、及びTB2は、トランクA1、及びB1の過渡信号が出力Cに伝播することを防止する。TA1、又はTB1が単一の可算的な故障により故障した場合でさえも、過渡信号は、SAMモジュールの1つのみを介して伝播する可能性はあるが、双方を介して伝播する可能性はない。
【0059】
スイッチSA2(及びSB2)は、オンするときに、SA1(及びSB1)に対して連続的に動作する。これは、論理項目a16(及びb16)を介してA1(及びB1)の状態を感知することによる。このシーケンスは、出力に伝播する「オン」過渡信号を最小化することを意図する。最大の安全を実現するように、オフするときに、スイッチSA1、及びSB1の双方(及びSB1、及びSB2)が同時にオフするので、コーディングは、厳密にはグレーコード化されていない。このシーケンスは、単一の換算的な故障が印加されるとき、不確実である。
【0060】
論理項目a8、及びb8は、出力タンクCを感知し、切換えの間、出力トランク電圧が7.6V〜11Vの範囲のしきい値電圧を下回るまで、スイッチがオンすることを防止する。これにより、他方のスイッチがオンできる前に、先にアクティブなスイッチの切断が(ある程度)確かめられるようにシーケンスを効果的に提供することになるであろう。保護は、単一の可算的な故障を利用することによって破られる可能性がある。
【0061】
上述のように、システムは、保障切断(ブレーク)間隔で2つのPSUの間による「ブレークビフォメーク」切換えを保障しなければならない。最小ブレーク間隔の大きさは、SAMがオンオフするときの様々なクリティカル回路を介するワーストケースの伝播遅延に依存する。安全のために、オンの最小時間遅延は、オフの最大遅延を超えることを保障するように設計され、これら2つの遅延の差異は、保障されるブレーク間隔を示す。設計では、間隔は、10μsを超えなければならない。これは、他方のPSUの再接続によって、焼夷危険(incendive hazard)のリスクの増加をもたらさないであろうところまで、潜在的な焼夷条件が低下しているであろうと一般に理解される期間である。しかしながら、フィールドバスの応用では、間隔は、最大許容可能なドロップアウト間隔である500μsを超えてはいけない。
【0062】
図3に関して、以下の表は、SAMの安全な構成素子それぞれのオンオフの計算される時間遅延を示す。
【0063】
【表1】
【0064】
表は、最小ブレークマージン(一方のタイマが機能しなくなり、他方が最小遅延を提供すると仮定する) = 30μs−13μs = 17μsであることを示す。
【0065】
図4は、SAM論理シミュレーションの簡明な論理シミュレーションの回路を概略的に示す図である。スイッチの論理、及びゲート電圧は、0.5Vのしきい値を有する1Vの論理電圧に正規化される。PSU_A16、及びPSU_B22は、5Vの供給に正規化される。
【0066】
非対称タイマは、ゲートG1、G2、G3、及びG4について20μsの立ち上がり時間を規定し、事実上10μsにタイマそれぞれを規定する(50%しきい値)ことにより、実施される。通常動作のプロットは、図5に示される。
【0067】
図5のプロットは、相互接続されるSAMの状態における多くの事象の効果を示す。シミュレーションでは、PSU_Aは、PSU_Bの前に起動する。そしてスイッチ制御信号a1、及びa2は、「オン」を連続させて、SA1、及びSA2を介して負荷にPSU_Aを接続する。
【0068】
次いで、押しボタンA36が動作して、a1、及びa2がLowになり、PSU_A16を負荷から切断する。次いで、b1、及びb2は、「オン」を連続させて、SB1、及びSB2を介して負荷にPSU_B22を接続する。
【0069】
次いで、押しボタンB38が動作して、b1、及びb2がLowになり、PSU_B22を負荷から切断し、a1、及びa2が「オン」を連続する。最後に、PSU_A16は、Lowに落ちて、a1、及びa2がLowになり、b1、及びb2がオンを連続して、PSU_B22をオンラインにする。
【0070】
シミュレーションにおけるブレーク遅延は、切換えそれぞれで20μs程度であり、20μsの立ち上がり時間と50%のしきい値に基づいて、ゲートG1、G2、G3、及びG4のそれぞれから10μsに等しいことが理解できる。
【0071】
理解されるであろうように、本発明は、本質的安全システムにおける冗長な電力を提供するために特に効果的、かつ信頼性があるスキームを提供可能である。本質的安全は、代替的な入力が出力に接続される前に、接続される電源が十分に切断されるという事実により少なくとも部分的に保障される。
【0072】
本発明は、前述の実施形態の特定の詳細には限定されず、FISCO PSUではない本質的安全入力の発明に使用されるような代替手段は、本発明の概念の一部として含まれる。
図1
図2
図3
図4
図5
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.