▶ ピルツ ゲーエムベーハー アンド コー.カーゲーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-03-01
(45)【発行日】2022-03-09
(54)【発明の名称】電圧監視装置および方法
(51)【国際特許分類】
G01R 19/165 20060101AFI20220302BHJP
G05B 9/03 20060101ALI20220302BHJP
G01R 19/00 20060101ALI20220302BHJP
【FI】
G01R19/165 K
G05B9/03
G01R19/00 B
【請求項の数】
15
【外国語出願】
(21)【出願番号】P 2019212449
(22)【出願日】2019-11-25
(65)【公開番号】P2020101526
(43)【公開日】2020-07-02
【審査請求日】2020-02-21
(31)【優先権主張番号】10 2018 129 796.3
(32)【優先日】2018-11-26
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】501493037
【氏名又は名称】ピルツ ゲーエムベーハー アンド コー.カーゲー
(74)【代理人】
【識別番号】110002310
【氏名又は名称】特許業務法人あい特許事務所
(72)【発明者】
【氏名】ダニエル バコヴィック
(72)【発明者】
【氏名】マティアス シュヴァイカー
(72)【発明者】
【氏名】ウーヴェ ショホ
(72)【発明者】
【氏名】ユルゲン プルマン
【審査官】青木 洋平
(56)【参考文献】
【文献】特表2016-513444(JP,A)
【文献】特開2014-230451(JP,A)
【文献】特開2010-078390(JP,A)
【文献】特開昭57-025012(JP,A)
【文献】米国特許第05513062(US,A)
(58)【調査した分野】(Int.Cl.,DB名)
G01R 19/165
G05B 9/03
G01R 19/00
(57)【特許請求の範囲】
【請求項1】
技術設備の安全性に関連する機能を実装したプラットホーム(68)に動作電圧を提供する装置(10)であって、前記安全性に関連する機能は、前記技術設備を危険な事象下で安全な状態に置くための制御機能であり、前記プラットホーム(68)は、前記安全性に関連する機能を実施するための第1の処理チャンネル(12)および第2の処理チャンネル(14)を備えるとともに、
前記装置(10)は、
入力電圧(18)を受信するための入力部(16)と、
前記入力電圧(18)から既定の出力電圧(22)を生成させる電圧レギュレータ(20)と、
前記生成された出力電圧(22)を前記プラットホーム(68)に供給する出力部(24)と、
前記出力部(24)に供給された電圧を既定の出力電圧(22)と比較して、前記供給された電圧が前記既定の出力電圧(22)から逸脱している場合、前記出力部(24)を遮断するように構成された電圧監視装置(26) と、
前記電圧レギュレータ(20)を前記プラットホーム(68)の前記第1の処理チャンネル(12)および前記第2の処理チャンネル(14)に接続するための第1のインターフェイス(28)および第2のインターフェイス(30)とを備え、
前記電圧レギュレータ(20)は、前記第1のインターフェイス(28)および前記第2のインターフェイス(30)を介して前記既定の出力電圧(22)よりも低い不足電圧および前記既定の出力電圧(22)よりも高い過電圧を生成することができるように調整可能に構成され、
前記電圧レギュレータ(20)は、前記第1のインターフェイス(28)および前記第2のインターフェイス(30)を介して前記第1の処理チャンネル(12)および前記第2の処理チャンネル(14)によって互いに独立して調整できるように構成されている、装置。
【請求項2】
前記電圧監視装置(26)による前記出力部(24)の遮断は、前記プラットホーム(68)において、危険な事象下で前記技術設備を安全な状態に置くように前記制御機能が実行されるという結果をもたらす、請求項1に記載の装置。
【請求項3】
前記電圧レギュレータ(20)を調整することによって前記不足電圧および前記過電圧を生成する抵抗回路網(40)を含む、請求項1または請求項2に記載の装置。
【請求項4】
前記第1のインターフェイス(28)または、前記第2のインターフェイス(30)からの信号に応答して各々動作可能な第1のスイッチング素子(42)および第2のスイッチング素子(44)をさらに備え、前記電圧レギュレータ(20)の調整は、前記第1のスイッチング素子(42)または前記第2のスイッチング素子(44)の動作により達成される、請求項1~請求項3のいずれか1項に記載の装置。
【請求項5】
前記第1のスイッチング素子(42)および前記第2のスイッチング素子(44)は、前記電圧レギュレータ(20)において生成される電圧を所定量変化させる、請求項4に記載の装置。
【請求項6】
前記第1のスイッチング素子(42)が動作し前記第2のスイッチング素子(44)が動作しないことに応じて、前記電圧レギュレータ(20)は前記既定の出力電圧(22)を生成し、前記第1のスイッチング素子(42)および前記第2のスイッチング素子(44)が動作することに応じて、前記電圧レギュレータ(20)は既定の不足電圧を生成し、
前記第1のスイッチング素子(42)が動作せず前記第2のスイッチング素子(44)が動作することに応じて、前記電圧レギュレータ(20)は既定の過電圧を生成する、請求項4または請求項5に記載の装置。
【請求項7】
前記出力部(24)に並列にキャパシタ(66) がさらに設置され、前記電圧監視装置(26) が前記出力部(24)を遮断したときに、所定の期間、前記生成された出力電圧を保持するように構成された、請求項1~請求項6のいずれか1項に記載の装置。
【請求項8】
前記第1の処理チャンネル(12)および前記第2の処理チャンネル(14)にそれぞれ接続可能であり、前記出力部(24)に供給された電圧を読み込むことができる第3のインターフェイス(62)および第4のインターフェイス(64)をさらに備える、請求項1~請求項7のいずれか1項に記載の装置。
【請求項9】
技術設備の安全性に関連する機能の実行を監視する監視装置(70)に動作電圧を供給する装置(10)であって、前記安全性に関連する機能は、前記技術設備を危険な事象下で安全な状態に置くための制御機能であり、
前記監視装置(70)は、前記安全性に関連する機能を実行するための第1の処理チャンネル(12)および第2の処理チャンネル(14)を有し、
前記装置(10)は、
入力電圧(18)を受信するための入力部(16)と、
前記入力電圧(18)から既定の出力電圧(22)を生成させる電圧レギュレータ(20)と、
前記生成された出力電圧(22)を前記監視装置(70)に供給する出力部(24)と、
前記出力部(24)に供給された電圧を前記既定の出力電圧(22)と比較して、供給された電圧が前記既定の出力電圧(22)から逸脱している場合、前記出力部(24)を遮断するように構成された電圧監視装置(26) と、
前記電圧レギュレータ(20)を前記監視装置(70)の前記第1の処理チャンネル(12)および前記第2の処理チャンネル(14)に接続するための第1のインターフェイス(28)および第2のインターフェイス(30)とを備え、
前記電圧レギュレータ(20)は、前記第1のインターフェイス(28)および前記第2のインターフェイス(30)を介して前記既定の出力電圧(22)よりも低い不足電圧および前記既定の出力電圧(22)よりも高い過電圧を生成することができるように調整可能に構成され、
前記電圧レギュレータ(20)は、前記第1のインターフェイス(28)および前記第2のインターフェイス(30)を介して前記第1の処理チャンネル(12)および前記第2の処理チャンネル(14)によって互いに独立して調整できるように構成されている、装置。
【請求項10】
入力電圧(18)を提供する通信インタフェース(82)をさらに備える、請求項9に記載の装置。
【請求項11】
前記安全性に関連する機能の実行は前記通信インタフェース(82)を介して行われる、請求項10に記載の装置。
【請求項12】
前記装置は、前記安全性に関連する機能を実行するプラットフォームに装着可能なドングルとして設計される、請求項9~請求項11のいずれか1項に記載の装置。
【請求項13】
技術設備の安全性に関連する機能を実施するためのプラットホーム(68)であって、第1の処理チャンネル(12)と、
第2の処理チャンネル(14)と、
請求項1~請求項8のいずれか1項に記載の装置とを含む、プラットホーム(68)。
【請求項14】
技術設備の安全性に関連する機能を実施するための監視装置(70)であって、第1の処理チャンネル(12)を規定する第1のマイクロコントローラと、
第2の処理チャンネル(14)を規定する第2のマイクロコントローラと、
請求項9~請求項12のいずれか1項に記載の装置(10)とを含む、監視装置(70)。
【請求項15】
技術設備の安全性に関連する機能を実装したプラットホーム(68)、または前記プラットホーム(68)上で前記安全性に関連する機能を実行する監視装置(70)に動作電圧を提供する方法であって、前記プラットホーム(68)または前記監視装置(70)のいずれかは、第1の処理チャンネル(12)および第2の処理チャンネル(14)を有し、
- 入力部(16)において入力電圧(18)を受信し、
- 電圧レギュレータ(20)によって、前記入力電圧(18)から既定の出力電圧(22)を生成し、
- 前記生成された出力電圧(22)を出力部(24)において前記動作電圧として供給し、
- 電圧監視装置(26)によって、前記供給された電圧を既定の出力電圧(22)と比較し、
- 前記供給された電圧が前記既定の出力電圧(22)から逸脱する場合に、前記出力部(24)を遮断し、
- 前記電圧レギュレータ(20)を、第1のインターフェイス(28)および第2のインターフェイス(30)を経て、前記第1の処理チャンネル(12)および前記第2の処理チャンネル(14)に接続し、
ここにおいて、前記電圧レギュレータ(20)は、前記第1のインターフェイス(28)および前記第2のインターフェイス(30)を介して前記既定の出力電圧(22)よりも低い不足電圧、および前記既定の出力電圧(22)よりも高い過電圧を生成することができるように調整可能であり、かつ
前記電圧レギュレータ(20)は、前記第1のインターフェイス(28)および前記第2のインターフェイス(30)を介して前記第1の処理チャンネル(12)および前記第2の処理チャンネル(14)によって互いに独立して調整される、方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機械または技術設備の安全機能を実装しまたは監視し、少なくとも2つの処理チャンネルを有するデバイスの電圧を監視するための装置および方法、ならびに対応するデバイスに関する。
【背景技術】
【0002】
産業オートメーションまたはプロセス技術において、技術設備により提起される人々および環境へのリスクを低下させるのに役立つ装置が、設けられていなければならない。このために、危険が生じた場合に、技術設備または安全性が要求される過程を安全な状態に置くための安全機能が実装される。
【0003】
安全機能に関連して、関連する標準DIN EN ISO 13849-1およびDIN EN ISO 12100は、機械から放射している危険性を許容可能なレベルまで低下させる、機械の安全に関連した制御機能を定める。
【0004】
安全機能とは、例えば、非常停止ボタンを押圧した後の機械の停止(shutdown)である。
【0005】
最初、安全機能は、例えばリレー技術を有する安全スイッチング素子という形で、個々の安全な部品によって最初に実装された。これらは、被監視システム用の制御システムと独立して、今日、使われている。
【0006】
それらは基本的に、危険が生じた場合、いかなるコントローラとも独立して電源を遮断することによって、技術設備のスイッチを自動的に切る。
【0007】
さらなる開発において、安全スイッチング素子は、さらに複雑な安全機能を実施するために、互いに論理的にリンクされた。
【0008】
今日、安全コントローラが、さらに複雑なタスクのために用いられる。
【0009】
プログラマブルロジックコントローラ(PLC)と同様、安全コントローラは、プログラミングによって、相互接続される。
【0010】
安全コントローラは、2本の別々のチャンネルを有し、異なるハードウェアを有する多様な構造を有し、入力部および出力部の試験が行え、ユーザーデータの比較が行え、故障または危険が生じた場合に電圧監視および時間監視により安全なシャットダウンを行えることによって、PLC制御システムと通常異なる。
【0011】
本明細書において、安全リレー、構成可能な安全リレーおよび安全コントローラは、安全設備として一般に理解される。
【0012】
これらの安全設備の電気部品に電力を供給するために、特に、処理ユニット(そのほとんどはマイクロコントローラとして設計される)を駆動するために、各安全設備は外部から供給される電圧(例えば24ボルト)を、電気部品の動作のために必要とされるより小さい動作電圧(例えば3.3ボルト、5ボルト、12ボルトまたは24ボルト)に変換する電圧レギュレータを備えている。
【発明の概要】
【発明が解決しようとする課題】
【0013】
デジタルシステム(例えばマイクロコンピュータおよびマイクロプロセッサ)にとって、それらの動作電圧が所定のレベルに達したときにだけ、それらが起動することが重要である。
【0014】
動作電圧の低下または崩壊は、これらのシステムの不完全な動作につながることとなり、設けられている安全機能を弱めることができる。
【0015】
安全な電圧監視は、したがって、すべての安全設備の主要部分であり、常に安全性の概念に組み込まれなければならない。
【0016】
そこで、非常に単純で、実装するのに費用対効果的で、非常に信頼性が高い電圧監視概念(voltage monitoring concept)を提供することがいっそう重要になる。
【0017】
以上のバックグラウンドに対して、電圧監視概念ならびにそれに対応する装置および方法を提供することが本発明の目的である。それは単純で、信頼性が高く、費用対効果の高い状態で実施することができる。
【課題を解決するための手段】
【0018】
本発明の一態様によれば、機械または技術設備の安全機能を実施しまたは監視する設備の電圧を監視する装置によって前記目的を達成できる。前記装置は、少なくとも2本の処理チャンネルを備え、入力電圧を受信するための入力部と、前記入力電圧から既定の出力電圧を発生させる電圧レギュレータと、前記既定の出力電圧をデバイスの動作のために提供する出力部と、前記出力部に存在する電圧を既定の出力電圧と比較して、現在の電圧が既定の出力電圧から逸脱している場合、出力部のスイッチを切るように構成された電圧監視装置と、前記電圧レギュレータを前記デバイスの前記少なくとも2つの処理チャンネルに接続するための第1のインターフェイスおよび第2のインターフェイスとを備え、前記デバイスの少なくとも2つの処理チャンネルの第1の処理チャンネルおよび第2の処理チャンネルが前記電圧レギュレータを独立して調整できるように、前記第1のインターフェイスおよび前記第2のインターフェイスは、第1の処理チャンネルおよび第2の処理チャンネルに別々に接続するように構成されている。
【0019】
本発明のさらなる態様によれば、機械または技術設備の安全機能を実施するかまたは監視して、少なくとも2本の処理チャンネルを備えている装置の電圧監視のための方法によって、前記目的を達成できる。すなわち、この方法は、入力部において入力電圧を受信するステップ、電圧レギュレータによって、前記入力電圧から既定の出力電圧を生成するステップ、装置の操作のための出力部に前記既定の出力電圧を供給するステップ、電圧監視装置によって、前記出力部に現れる電圧を既定の出力電圧と比較するステップ、前記出力部に現れる電圧が既定の出力電圧から逸脱する場合に、前記出力部を遮断するステップ、ならびに第1のインターフェイスおよび第2のインターフェイスを経てデバイスの少なくとも2つの処理チャンネルに、前記電圧レギュレータを接続するステップ、を含む。前記第1のインターフェイスおよび前記第2のインターフェイスは、前記デバイスの少なくとも2つの処理チャンネルのうち第1の処理チャンネルおよび第2の処理チャンネルに、前記第1の処理チャンネルおよび前記第2の処理チャンネルが独立して前記電圧レギュレータを調整することができるように、接続される。
【0020】
したがって、1チャンネルの電圧監視装置で電圧レギュレータを監視することが本発明の着想である。電圧監視自体はデュアル・チャンネルでテストされる。このことにより、初めに言及した安全基準のより高い安全カテゴリの要件を満たす安全な電圧監視を実施することができる。
【0021】
これとともに、安全設備の2チャンネル処理を利用して、追加の電圧監視試験をローコストで実施できる。また電源自体またはその監視の冗長設計を回避でき、実装経費を減らすことができる。
【0022】
電圧レギュレータに直結するインターフェイスを介して、電圧監視のための部品に対して、試験を直接容易に行うことができる。
【0023】
試験は、安全設備によって、ほとんど労せずに実施することができる。したがって、能力の比較的低い処理ユニットによっても実施することもできる。
【0024】
したがって、本装置を、異なった安全設備に対して柔軟に用いることが可能である。異なった安全設備とは、単純な安全スイッチング素子からプログラム可能な安全コントローラまでを含む。
【0025】
前述した目的は、このように完全に解決される。
【0026】
さらなる改良形態では、電圧監視により出力をスイッチオフすることにより、安全機能の実行ができる。出力のスイッチオフが安全機能につながるので、電圧監視およびその検査を容易に実装することができる。その理由は、故障が生じた場合、安全な状態に保つために出力のみスイッチを切ればよいからである。これは、付加的なスイッチオフ経路を設置する必要がないことを意味する。また電圧監視は、安全機能そのものの設置を知っている必要もない。このように、電圧監視を、特に単純に保つことができる。
【0027】
さらなる改良では、電圧レギュレータは抵抗回路網に接続され得る。電圧レギュレータを調整することは、電圧レギュレータの既定の出力電圧を、抵抗回路網を介して調整することを含んでいてもよい。
【0028】
抵抗回路網は、配線に応じて所定の各端子で異なる抵抗値を提供する。抵抗回路網は、特に容易に、かつローコストで設置することができる。電圧レギュレータの調整は、このように特に容易である。このような設計は、装置のコスト低減にさらに寄与する。
【0029】
さらなる改良において、装置は、第1のインターフェイスまたは第2のインターフェイスに現れる信号に応答して各々操作可能な第1のスイッチング素子および第2のスイッチング素子を含み得る。そこにおいて、電圧レギュレータは、第1のスイッチング素子または第2のスイッチング素子の動作によって調整されることができる。
【0030】
スイッチング素子は、容易に駆動することができて、それらを制御する信号上の要件は低い。このように電圧レギュレータの調整は、複雑な制御信号を使用する必要がないため、非常に容易である。さらにこれは、単純な安全設備によって電圧監視試験を実施することを可能にし、処理チャンネル内で用いられる処理ユニットの性能上の要求を低いものにする。
【0031】
好ましくは、第1のスイッチング素子および第2のスイッチング素子を動作させることは、出力に現れる電圧を所定量、変えることを含む。
【0032】
出力に現れる電圧を所定量だけ変えることによって、各スイッチング素子は、不足電圧または過電圧を、試験目的のために容易に設定できる。
【0033】
好ましくは、電圧レギュレータは、第1のスイッチング素子が動作し、第2のスイッチング素子が動作しないときに、既定の出力電圧を提供する。また第1および第2のスイッチング素子が動作するときに、既定の出力電圧より少ない既定の不足電圧を提供する。また第1のスイッチング素子が動作せず、第2のスイッチング素子が動作するときに、既定の出力電圧より大きい既定の過電圧を提供する。
【0034】
2つの処理チャンネルによって別々に制御されることができる各スイッチング素子を用いることによって、不足電圧および過電圧を、容易に発生できる。これは、インターフェイスを制御して試験を実施することを特に容易にする。
【0035】
さらなる改良において、装置は、出力部に設置されたキャパシタであって、電圧監視装置が出力をスイッチオフしたときに所定の期間、既定の出力電圧を保持するように構成されたキャパシタを含むことができる。
【0036】
このキャパシタは、バッファキャパシタとして機能し、出力がスイッチオフされたときに、現在の電圧が直ちに低下しないようにして、所定の期間利用できる。このようにして、適正な運用において、出力がスイッチオフされる試験を実施できる。
【0037】
キャパシタがあるため、シャットダウン(例えばシステムのシャットダウン)は、安全機能の実際の実行につながらない。このように安全設備の実用性は、試験に影響を受けない。
【0038】
さらなる改良において、デバイスは、第1の処理チャンネルおよび第2の処理チャンネルとは別に接続される、第3のインターフェイスおよび第4のインターフェイスを有していても良い。第3のインターフェイスおよび第4のインターフェイスにおいて、出力に存在する電圧にアクセスできる。
【0039】
出力に現れる電圧に独立してアクセスできることは、デュアル・チャンネルの読み込み(read-back)を有効にする。その結果、試験の評価は、2つの既存の処理チャンネルによって、デュアル・チャンネル法によって行うことができる。
【0040】
さらなる改良において、デバイスは、コミュニケーション・インターフェース、例えばUSBインターフェースを備えることができる。コミュニケーション・インターフェース は、入力電圧としての動作電圧を印加し、好ましくは、安全機能を実施するかまたは監視するために用いられる。
【0041】
この設計は、特に単純な安全設備の場合、有利である。単純な安全設備とは、例えば、他の設備を監視するようにのみ設計されている設備を指す。USBインターフェースのような通信インタフェースから動作電圧を印加することによって、デバイスは単一のインターフェイスとして理解される。このようにデバイスの設置を単純化することができる。
【0042】
好ましくは、デバイスは、ドングル(例えばUSBスティック)として設計されるような監視装置であってもよい。それは、第1のマイクロコントローラおよび第2のマイクロコントローラを処理ユニットとして収容した筐体を有する。
【0043】
この種の装置は、好ましくは、プラットホーム上のユーザー・プログラムにより行う安全機能の実施を保護するように設計されている。そこにおいて、監視装置は第1の通信インタフェースを介してプラットホームに接続可能で、監視装置がフェイルセーフ周辺モジュールと協働するプラットホームとは独立して、少なくとも1つのフェイルセーフ・サービスを実行する。その結果、フェイルセーフ周辺モジュールは、プラットホームおよびフェイルセーフ・サービス上に設置された安全機能に基づいて、機械または技術設備を安全な状態に置くことができる。安全装置がいくつかの部品を通じて配布されることができる点で、この改良は特に有利である。
【0044】
これは、ソフトウェアで行われる安全機能の有効な実行が、強力な、しかし必ずしも本質的に安全でないプラットホームで起こり得ることを意味する。その一方で、安全性に関連した安全防護対策は、単純な、しかし、プラットホームと対話するフェイルセーフな周辺装置へ、移行される。
【0045】
前述の特徴および以下で説明される特徴は、示された他の組合せ以外に、本発明の範囲を逸脱しない範囲で、他の組み合わせでも、もしくは単独で使用され得ることは言うまでもない。
【図面の簡単な説明】
【0046】
【図1】本発明の実施形態に係る装置を備えた安全設備を示す。
【図2】装置の好ましい実装例を示す。
【図3】装置の好ましい適用シナリオを示す。
【図4】本発明の実施形態に係る方法を表したフローチャートを示す。
【発明を実施するための形態】
【0047】
以下の説明において、本発明の実施形態を図面を参照してさらに詳細に説明する。
【0048】
図1は、本発明の実施形態に係る装置が実装された安全設備を示す。
【0049】
図1において安全設備は参照番号100によって全体が示される。装置は参照番号10により示される。
【0050】
安全設備100は、技術設備または安全性に関連したプロセス(図示せず)を保護するための安全機能を実装している。
【0051】
「安全機能」という用語は、危険状態において機械または安全性に関連したプロセスを安全な状態にするために手動または自動的に実行される、安全性に関連した制御機能を指す。安全機能は、例えば、非常停止ボタンを押圧した後の機械のシャットダウンである。
【0052】
安全機能は、好ましくは互いを監視する2つの処理チャンネル12、14によって冗長的に処理される。チャンネルをチャンネルAおよびチャンネルBとする。
【0053】
処理は、例えば、処理チャンネルの処理ユニット、特にマイクロコントローラにおける各ユーザー・プログラムの並行した別々の実行により実施される。
【0054】
安全設備の各電気部品を動作するために、安全な電源が必要とされる。それは実施形態に係る装置10によって実施される。
【0055】
装置10は、ここに示すように安全設備100に集積され、安全設備100 を取り囲む筐体の中に設置される。よって安全設備100は装置10とともに複合ユニットを形成する。
【0056】
他の実施形態では、装置は、それ自身の筐体に設置されたスタンドアロン装置であることもでき、この場合装置は、1つ以上のインターフェイスを経て、安全設備100の、特に安全設備100の処理チャンネルおよび電源に接続される。
【0057】
装置10は、入力電圧18を取得できる少なくとも一つの入力部16を有する。入力電圧18は、安全設備の供給電圧であってもよい。例えば、自動化技術で多用される24Vの供給電圧または他のいかなる直流電圧または交流電圧であってもよい。
【0058】
装置10の行う主なタスクは、入力電圧を、電圧レギュレータ20を介して既定の出力電圧22に変換することである。既定の出力電圧22は、好ましくは、入力電圧18から独立した一定の、安定した電圧である。「安定した」とは電力消費量(current consumption)から独立していることを言う。
【0059】
正常運転時、電圧レギュレータ20は、安全設備100の動作電圧に対応するとともに、安全設備100により用いられる電気部品を動作させることに適している既定の出力電圧22を発生させる。
【0060】
これらの電気部品の動作点は、例えば、3.3Vであってもよい。
【0061】
言うまでもなくもう一つの実施例では、安全設備は動作のためのいくつかの動作電圧を必要とする。これらの電圧は装置の各出力電圧として設けられてもよい。個々の出力電圧は、後述する方法で監視されることができる。
【0062】
出力電圧は、出力部24に供給され、電圧監視装置26によって監視される。電圧監視装置26は、出力部24で測定した電圧が、既定の出力電圧から所定の値だけ逸脱するとすぐに、出力のスイッチを切るように構成される。
【0063】
換言すれば、過電圧または不足電圧のために既定の出力電圧が供給されない場合、電圧は出力部に印加されない。そして、安全設備に、安全機能により定義される安全な状態を採らせる。例えば監視された技術設備はシャットダウンされる。このようにして、安全設備100の電気部品は、動作のために必要とされる動作電圧だけを供給されることが確実になる。
【0064】
電圧監視装置26の適当な機能を保証するために、電圧監視装置自体は、テストされなければならない。この目的のために、装置10は、調節可能、すなわち出力電圧が特定の制御によって可変である電圧レギュレータ20を有する。
【0065】
加えて、装置10は、電圧レギュレータ20を安全設備100の2つの処理チャンネル12、14に接続するための第1のインターフェイス28および第2のインターフェイス30を有する。
【0066】
電圧レギュレータ20は、インターフェイス28、30を経て「調整される」ことができる(can be detuned)。すなわち、一方では既定の出力電圧より小さい不足電圧および一方では既定の出力電圧より大きい過電圧が、電圧レギュレータ20により提供されるように、電圧レギュレータ20は、第1のインターフェイス28および第2のインターフェイス30を経て制御されることができる。
【0067】
過電圧または不足電圧は、これらの電圧が装置の出力部24に印加されたならば、電圧監視装置26が応答するように選択される。換言すれば、処理チャンネル12および14、すなわち各チャンネルにおいて実行されているユーザー・プログラムが、電圧レギュレータ20を、電圧監視装置26が適切に機能している場合に出力部24のスイッチを切るように、それぞれ独立して設定することができる。
【0068】
このようにして、電圧監視装置26は、2つの処理チャンネルを利用することによって、独立して、そして、冗長にテストされることができる。
【0069】
電圧レギュレータ20の専用制御によって、電圧監視機能は、電圧監視装置26によりテストされることができ、それによって、誤った電圧監視を識別できる。
【0070】
安全設備100の真性の故障に対する安全性を、このように都合よく増大させることができる。
【0071】
安全設備100の既存の処理チャンネルを利用することによって、電圧監視装置の自己診断を効果的に、低価格で行うことができる。
【0072】
【0073】
この例では、電圧レギュレータ20は、集積回路として設計されたレギュレータである。
【0074】
入力電圧18が、第1の端子32を経て電圧レギュレータ20に供給される。変換された既定の出力電圧22は、第2の端子34で検出することができる。第3の端子36は、電圧レギュレータ20の特定の制御のために用いられ、第2の端子34に提供される出力電圧を調整することができる。
【0075】
この調整のために、制御電圧が、分圧器38を介して第3の端子36に印加される。
【0076】
この例では、制御電圧は、抵抗回路網40を用いて各抵抗器を分圧器38へ追加するかまたは削除することによって、設定される。
【0077】
各抵抗器を追加し、取り外すことは、第1のスイッチング素子42および第2のスイッチング素子44によってなされる。
【0078】
第1のスイッチング素子42は、第1の抵抗器46を分圧器38の抵抗器と並列に接続する。第2のスイッチング素子44は、第2の抵抗器48を、第1の抵抗器46と独立して分圧器38の抵抗器と並列に接続する。
【0079】
分圧器38の全抵抗から、抵抗器を追加しまたは取り外すことによって、第3の端子36での制御電圧を変えることができる。このことにより、第2の端子34に供給される出力電圧を「操作する」ことができる。
【0080】
特に、第1のスイッチング素子42および第2のスイッチング素子44の切り換えられた位置に応じて、第2の端子34に既定の過電圧または既定の不足電圧を設定することができる。
【0081】
第1のスイッチング素子42は、第1のインターフェイス28に接続され、第2のスイッチング素子44は第2のインターフェイス30に接続されている。
【0082】
各スイッチング素子42、44は、インターフェイス28、30を経て選択的に動作されることができる。このようにして、2つのインターフェイス28、30を経て既定の不足電圧または既定の過電圧をセットすることができる。
【0083】
第1の抵抗器46、第2の抵抗器48および分圧器38は、第1のスイッチング素子42が動作せず、第2のスイッチング素子44が動作するときに、既定の出力電圧(例えば3.6V)が第2の端子34に印加されるように、好ましくは設計される。
【0084】
他方で、第1のスイッチング素子42および第2のスイッチング素子44の両方が動作する場合、不足電圧(例えば3.2V未満の電圧)が第2の端子34で発生する。
【0085】
第1のスイッチング素子42が動作し、第2のスイッチング素子44が動作しない場合、第2の端子34で過電圧(例えば、3.9Vを超える)が発生する。
【0086】
ここで示した実装は、既定の出力電圧に関連して不足電圧または過電圧を発生させるひとつの例であることは言うまでもない。
【0087】
他の実施形態において、電圧レギュレータ20を「調整」するために、直接または間接的に他の手段によって、電圧レギュレータ20を制御することもできる。
【0088】
重要なことは、デュアル・チャンネルの冗長な試験を有効にするために、制御が少なくとも2つの処理チャンネルによって独立して実行されることができるということである。
【0089】
過電圧または不足電圧は、電圧監視装置26により検出されることができる。この好ましい実施例において、電圧監視装置26は、集積回路として設計される。
【0090】
原理的には、電圧監視装置26は、第1の閾値を越えたときすなわち過電圧が生じたとき、または、第2の閾値以下に落ちたときすなわち不足電圧になったときに、動作を実行する、すなわち出力部を切替える2つの限界スイッチによって構成される。この動作は出力部24を遮断することであってもよい。
【0091】
過電圧および不足電圧のための各閾値は、第2の端子34における電圧ならびに、第1の入力部52および第2の入力部54において電圧監視装置26へ供給される電圧に関連するさらなる抵抗回路網50によって設定される。
【0092】
この動作は、電圧監視装置26のさらなる出力部56を介して実行される。
【0093】
ここで示される実施例において、各出力部56はさらなるスイッチング素子58を制御する。そしてスイッチング素子58を介して、出力部24は、電圧レギュレータ20の第2の端子34から切り離され得る。
【0094】
電圧監視装置は、図2に示すような集積回路として実装される必要が、必ずしもないことは言うまでもない。例えば個別部品を用いた他のバージョンも考えられる。
【0095】
この例では、出力部56の状態はLED60を介して可視化できる。加えて、出力部24に存在する電圧に独立してアクセスすることができる第3および第4のインターフェイス62、64を設けることができる。
【0096】
このことは、第1の処理チャンネル12および第2の処理チャンネル14による出力部24の別々のリードバック(read-back)を有効にする。
【0097】
安全設備は、好ましくは、第1のインターフェイス28、第2のインターフェイス30、第3のインターフェイス62、および第4のインターフェイス64を経て装置10に接続している。
【0098】
第1のインターフェイス28および第3のインターフェイス62は、安全設備100の第1の処理チャンネル12に接続し、第2のインターフェイス30および第4のインターフェイス64は安全設備100の第2の処理チャンネル14に接続している。
【0099】
電圧監視装置26はこのようにデュアル・チャンネルでテストされることができ、テスト結果はデュアル・チャンネルで読み込まれる。その一方で、電圧監視装置26自体は単一チャンネルで構成される。
【0100】
デュアル・チャンネル・テストは、第1のスイッチング素子42および第2のスイッチング素子44を上記の方法により駆動して、所定の期間に特有の過電圧および不足電圧を発生させることによって、安全設備100により実行される。
【0101】
各処理チャンネル12、14は、電圧監視装置26が電圧レギュレータ20の調整に予想どおりに反応するかどうか調べるために、第3のインターフェイス62および第4のインターフェイス64を経て、互いに独立して出力に供給された電圧値を、追加的に読み込むことができる。
【0102】
デュアル・チャンネルを読み取る代わりに、電圧監視装置26によって、安全機能を直接実行することもできることは、言うまでもない。
【0103】
過電圧または不足電圧を印加することによる試験は、電圧監視装置26の適正な運用中にスイッチを切られている出力部24に現れ、それは安全設備100にとって安全な状態とみなされる。
【0104】
試験による安全機能の実際の実行を回避するために、出力部24に、少なくとも過電圧または不足電圧の所定の期間だけ出力部24の電圧を緩和する追加キャパシタ66を配置できる。キャパシタの容量は、例えばスイッチが切られた出力電圧が10ms続くように設計することができる。
【0105】
出力部24は、キャパシタの放電のふるまい(behaviour)に基づいて安全設備によって読み取られ、より正確な判定のために、キャパシタの放電ふるまいに合わせて明示的に調整されることができる。
【0106】
換言すれば、試験が成功するかどうかは、キャパシタ66が放電するという事実にだけでなく、キャパシタが予想どおりに放電するかどうかにも、依存する。
【0107】
電圧源を出力部24に渡すのは、キャパシタ66だけではないことは言うまでもない。あるいは、他のエネルギー蓄積素子を、各試験期間または試験周期の適切な選択との組み合わせで用いることが可能である。しかしながら、キャパシタ66によるブリッジングは適応性があり、ローコストに行うことができる。
【0108】
図3は、本発明による装置を用いることができる好ましい適用例を示す。同じ参照符号は、前のとおり同じ部品を意味する。
【0109】
図3は、3つの別々の個別部品で構成される安全設備100を示す。
【0110】
3つの部品は、プラットホーム68、監視装置70およびフェイルセーフ周辺モジュール72を含む。
【0111】
安全設備100を別々の部品に分割する目的は、主に任意のプラットホーム68で、特に非安全なプラットホーム上で、ソフトウェアに実装されている安全機能を実行するためである。その一方で、この実行はプラットホーム外の外付け部品によって主に保護される。
【0112】
これらの外付け部品 は、安全性に関連し、かつ、特に専用ハードウエアとして実装され、コストを意識してできるだけ基本に沿った形で設計される。同時に、関連した標準にしたがってこれらの部品を保証するための管理の負担も、低く保持され得る。
【0113】
全般的に見て、安全設備100は、安全性が別の部品に「設定される(encapsulated)」ことに応じて、ローコストで複雑な安全機能を実施できる。
【0114】
換言すれば、主に費用対効果的なプラットホーム上のソフトウェアで安全機能の複雑な設計を実施し、要求される固有の誤差安全性を、ほとんど手間をかけずに保証される実装部品に容易に移行(outsource)することができる。
【0115】
外部プラットホーム部品、すなわち監視装置70およびフェイルセーフ外部周辺モジュール72は、安全機能を実行するユーザー・プログラム74が誤って実行されている場合、プラットホームそのものの不完全なふるまい、またはそれにつながるエラーがあれば、安全設備100によって安全な状態を作り出すように相互作用する。
【0116】
この目的のために、監視装置70は、ユーザー・プログラム74の実行を保護する。したがって、監視装置70は、プラットホーム68で実行される安全な実行環境(runtime environment)76と協働できる。
【0117】
故障が生じた場合 、監視装置70は、--「番犬」(watch dog)の原則にしたがってプラットホーム68と独立して実行される離れたフェイルセーフ・サービスを経て--フェイルセーフ外部周辺モジュール72を経てプラットホーム68と独立して、安全機能の実行を開始できる。
【0118】
特に監視装置70は、監視された技術設備または監視された安全性に関連したプロセスのシャットダウンを開始できる。
【0119】
プラットホーム68は、開発の基礎およびユーザー・プログラムの実行に役立つソフトウェア、ハードウェアまたは仮想プラットホームであってもよい。特にプラットホーム68は、非安全なプラットホームであってもよく、例えばシングルチャンネルのシステム、例えば標準PCであり得る。あるいはプラットホーム68は、クラウド・コンピューティングの形で展開されるものであってもよい。特に基盤をインターネット経由のサービスとして提供するInfrastructure as a serviceサービス(IaaS)またはプラットフォームをインターネット経由のサービスとして提供するPlatform as a service(PaaS)であってもよい。
【0120】
プラットホーム68は、安全なランタイム環境76を好ましい実施例として含むことができる。この明細書において、非安全とは、真性の安全に必要とされる程度に応じて自己の上で安全機能を実行するために、非安全なプラットホーム68が自己の中に、関連した安全上の要求を満たさないことを云う。
【0121】
監視装置70は、プラットホームの安全なランタイム環境76およびフェイルセーフ周辺モジュール72と対話するフェイルセーフ・サービス78を実行できる。フェイルセーフ・サービスは、例えば、ハードウェアまたはソフトウェアの中で、信頼できかつフェイルセーフであり得る単純な技術的なデータ関数または動作を実行できる。
【0122】
これらは、関連した安全基準にしたがって少ない努力により、保証されることができる。換言すれば、この種の監視装置は、関連した標準にしたがって高い安全性カテゴリのために容易に承認され得る。
【0123】
監視装置70はこのように、少なくとも一つのフェイルセーフ・サービスの排他的な実行のための必要性が減少される。
【0124】
したがって、監視装置70は安全機能を実行しているプラットホーム68より複雑でなくてもよい。そして、それは権限を有する関係機関によって安全承認されることを特に単純化する。特に、実行される安全機能から独立した安全防護対策が有利である。このことにより、個々のシナリオにおいて行われる安全機能とは基本的に独立して、安全性受入試験を実施することができる。
【0125】
安全機能そのもののきっかけは、監視装置70により始動されることができ、またその実行は、フェイルセーフ周辺モジュール72に任せられる。フェイルセーフ周辺モジュール72は、通常、自動化システムにとって標準部品として提供され、先行技術として知られている。
【0126】
高安全なカテゴリを実装するために、外部品は、安全な電圧監視装置を含むことを必要とする。これは、本発明に従った装置10の監視装置70およびフェイルセーフ周辺モジュール72によって達成されることができる。加えて、プラットホーム68が、この種の装置を備えていることもできる。いくつかの部品に分けられた安全設備の実装のために、いくつかのこの種の装置が必要とされるので、ローコストの有効な設計が特に好ましい。
【0127】
本装置では、全て3つの部品が同一であり得る。しかしながら、装置のインターフェイスは、異なる方法で、安全設備100に接続することができる。
【0128】
例えば監視装置70のために、安全な電圧監視のための装置10は、装置10(すなわち安全電圧監視装置)がデュアル・チャンネルな方法でテストされるために、監視装置70に存在する冗長な処理ユニット80の第1のインターフェイスおよび第2のインターフェイスを経て直接接続されてもよい。
【0129】
監視装置70の処理ユニット80は、単純なマイクロコントローラ、ASICまたは類似の演算器を含んでいてもよく、またはディスクリートな複数の電気部品からできていてもよい。
【0130】
フェイルセーフ周辺モジュール72において、安全な電圧監視のための装置10は、監視装置70と同一の態様で実装されていてもよい。
【0131】
または、その代わりにもしくはそれに加えて、安全な電圧監視のための装置10は、監視装置70およびフェイルセーフ周辺モジュール72の両方が統合された処理ユニット80の代わりに、冗長なユーザー・プログラム74a、74bとリンクされていてもよい。この場合処理ユニット80が電圧監視チェック(voltage monitoring check)を開始する。
【0132】
監視装置70およびフェイルセーフ周辺モジュール72は、通信インタフェース82を介してプラットホーム68に接続されている。この通信インタフェース82は、安全な通信インタフェースである必要がなく、その代わりに単純なUSBインターフェースとして設計されていてもよい。
【0133】
好ましい実施例において、監視装置70は、USBインターフェースを介して動作電圧を供給されることができる。動作電圧はこの場合、装置10の入力電圧であり、それは処理ユニット80の動作のための既定の出力電圧に変換される。
【0134】
このようにして、装置10を含む監視装置70は、USBインターフェースから離れた少なくとも外部への他のいかなるインターフェイスも含む必要はない単純なUSB装置(USB dongle)として、設計され得る。監視装置70は、安全な電圧監視装置を含んで、このように特に容易に用いることができ、ローコストで実装することができる。
【0135】
あるいはこれに代えて、本装置は異なる動作電圧を使用できる。例えば、安全な周辺モジュール72の場合、装置10は入力電圧として、安全な出力84を制御するために用いる動作電圧、通常24Vを使用できる。
【0136】
図4は、少なくとも2つの処理チャンネルを有する、機械または技術設備の安全機能を実装した装置を電圧監視するための方法の個々のステップを示すフローチャートである。
【0137】
ステップS100において、入力部で入力電圧を受信する。
【0138】
ステップS200において、入力電圧から既定の出力電圧を、電圧レギュレータを介して生成する。
【0139】
出力電圧は、ステップS300において、デバイスを駆動するために出力部に供給される。
【0140】
このように、ステップS100、S200およびS300によって、外部の動作電圧が、動作のために必要とされる出力電圧に変換される。
【0141】
ステップS400において、出力部に現れる電圧は、電圧監視装置において、既定の出力電圧と比較される。もし出力部に存在する電圧が既定の出力電圧から逸脱する場合、出力部はステップS400において、スイッチが遮断される。
【0142】
このように、ステップS300およびS400によれば、既定の出力電圧が(少なくとも所定の許容範囲の中で)出力部 に現れるか、または、全く出力部に現れない。
【0143】
ステップS500において、電圧レギュレータが装置の少なくとも2つの処理チャンネルに接続されるための第1のインターフェイスおよび第2のインターフェイスが設けられる。
【0144】
第1のインターフェイスおよび第2のインターフェイスは、それらが装置の少なくとも2つの処理チャンネルである第1の処理チャンネルおよび第2の処理チャンネルを電圧レギュレータに別々に接続するように設計される。換言すれば、独立した2つのインターフェイスを経て電圧レギュレータに影響を与えることができる。
【0145】
ステップS600では、電圧レギュレータが、電圧監視装置すなわちステップS100~S300で提供された安全な電圧源の機能性を点検するために調整される。
【0146】
本方法はさらなるステップを含むことができること、および前述した個々のステップの順序に限定されない点に注意すべきである。
【0147】
好ましい実施例において、この電圧監視試験は、以下のとおりに周期的に実行されることもできる。
【0148】
すなわち各試験において、不足電圧および過電圧が各ターンにおいて発生する。そして、例えば電圧監視装置の出力部に存在する電圧が所定の閾値以下になるかどうか判定することによって、予想どおりであるかどうかが点検される。YESの場合は、電圧試験は成功しており、電圧レギュレータは動作電圧にセットされることができる。
【0149】
出力部は通常、訂正動作の期間スイッチを切られるので、出力部がスイッチを切られているにもかかわらず、システムが所定の期間「生き続ける」ことを確実にするためキャパシタを設けることができる。キャパシタは好ましくは、電源がスイッチを切られてもシステムが約10m秒の間存続できるように容量設計される。試験の後、キャパシタが次の試験を実施するために再充電されるまで、短い時間を待つ。
【0150】
試験が成功した場合、通常操作を回復できる。
【0151】
試験が成功しなかった場合、その結果を、例えば、マイクロコントローラのEEPROMに書き込むことが可能である。あるいは診断メッセージとしてより上位のレベルのユニットに送り届けることが可能である。
【図1】
【図2】
【図3】
【図4】