知財求人 - 知財ポータルサイト「IP Force」
特許7105635電力をインタフェースカードに提供するための方法および安全状態コントローラ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-07-14
(45)【発行日】2022-07-25
(54)【発明の名称】電力をインタフェースカードに提供するための方法および安全状態コントローラ
(51)【国際特許分類】
G06F 1/30 20060101AFI20220715BHJP
H02J 1/00 20060101ALI20220715BHJP
H02J 7/00 20060101ALI20220715BHJP
【FI】
G06F1/30
H02J1/00 309H
H02J7/00 S
H02J7/00 302A
H02J1/00 309F
【請求項の数】
13
【外国語出願】
(21)【出願番号】P 2018124753
(22)【出願日】2018-06-29
(65)【公開番号】P2019012525
(43)【公開日】2019-01-24
【審査請求日】2021-03-30
(31)【優先権主張番号】17179045.4
(32)【優先日】2017-06-30
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】518128182
【氏名又は名称】ドゥアゴン アクチエンゲゼルシャフト
【氏名又は名称原語表記】duagon AG
【住所又は居所原語表記】Riedstrasse 12, CH-8953 Dietikon, Switzerland
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100098501
【弁理士】
【氏名又は名称】森田 拓
(74)【代理人】
【識別番号】100116403
【弁理士】
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100135633
【弁理士】
【氏名又は名称】二宮 浩康
(74)【代理人】
【識別番号】100162880
【弁理士】
【氏名又は名称】上島 類
(72)【発明者】
【氏名】ラジェシュ ナイル
(72)【発明者】
【氏名】マルコ クナウス
(72)【発明者】
【氏名】ミハル ラタイスキ
(72)【発明者】
【氏名】ダーフィト ロイエンベアガー
(72)【発明者】
【氏名】マーク ローベアト
【審査官】豊田 真弓
(56)【参考文献】
【文献】特開平08-149684(JP,A)
【文献】米国特許出願公開第2012/0083936(US,A1)
【文献】特開2014-206901(JP,A)
【文献】米国特許出願公開第2015/0058652(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 1/26
H02J 1/00
H02J 7/00
(57)【特許請求の範囲】
【請求項1】
インタフェースカード(2)に提供される電力を制御するための方法であって、前記インタフェースカード(2)は、1つまたは複数のホストデバイス(3)を1つまたは複数のネットワークデバイス(4)に通信ネットワーク内で接続し、前記方法は、
(a)接続デバイス(5)を提供し、前記接続デバイス(5)は、通常動作モードでは、前記インタフェースカード(2)を電源(6)に接続し、それによって、電力を前記インタフェースカード(2)に提供し、
(b)不具合検出ユニット(7a;7b)を提供し、前記不具合検出ユニット(7a;7b)は、前記接続デバイス(5)に少なくとも間接的に結合され、
(c)深刻度が低い不具合および/または深刻度が高い不具合を前記不具合検出ユニット(7a;7b)により検出すると、前記接続デバイス(5)は、安全状態モードに変化し、前記安全状態モードでは、前記接続デバイス(5)は、前記電源(6)を前記インタフェースカード(2)から切り離 し、
エネルギー蓄積ユニット(8)は、前記接続デバイス(5)に接続され、
前記通常動作モードでは、前記エネルギー蓄積ユニット(8)は、放電されている、または、放電され、
前記安全状態モードでは、前記エネルギー蓄積ユニット(8)は、少なくとも閾値電圧が前記接続デバイス(5)に提供され、前記電源(6)を前記インタフェースカード(2)から切り離すまで、充電されている、または、充電される、
方法。
【請求項2】
前記安全状態モードは、第1の安全状態モードを含み、前記第1の安全状態モードにより、前記接続デバイス(5)は、前記電源(6)を前記インタフェースカード(2)に再接続し、それによって、電力を前記インタフェースカード(2)に提供することができる、請求項1に記載の方法。
【請求項3】
第1の安全状態回路(9)は、第1の半導体スイッチングデバイス(10)を含み、深刻度が低い不具合を前記不具合検出ユニット(7a)により検出すると、前記第1の半導体スイッチングデバイス(10)は、それによって電力供給される、請求項2に記載の方法。
【請求項4】
前記第1の半導体スイッチングデバイス(10)に対する前記電力は、再び取り去られ、それによって、前記第1の安全状態回路(9)を停止し、前記接続デバイス(5)を通常動作モードに戻す、請求項3に記載の方法。
【請求項5】
前記安全状態モードは、第2の安全状態モードを含み、前記第2の安全状態モードでは、前記接続デバイス(5)は、前記電源(6)を前記インタフェースカード(2)に再接続することができない、請求項1から4のいずれかに記載の方法。
【請求項6】
第2の安全状態回路(11)は、第2の半導体スイッチングデバイス(12)を含み、深刻度が高い不具合を前記不具合検出ユニット(7b)により検出すると、前記第2の半導体スイッチングデバイス(12)は、電力供給され、それによって、前記第2の安全状態モードを起動し、
前記第2の安全状態回路(11)を起動すると、ヒューズ(13)はとばされ、それによって、前記接続デバイス(5)を前記第2の安全状態モードに維持する、
請求項5に記載の方法。
【請求項7】
インタフェースカード(2)に提供される電力を制御するための安全状態コントローラ(1)であって、前記安全状態コントローラ(1)は、接続デバイス(5)を備え、
前記接続デバイス(5)は、通常動作モードでは、前記インタフェースカード(2)を電源(6)に接続し、それによって、電力を前記インタフェースカード(2)に提供し、
前記接続デバイス(5)は、不具合検出ユニット(7a;7b)に少なくとも間接的に結合可能であり、
前記接続デバイス(5)は、安全状態モードに切り替え可能であり、
前記安全状態モードでは、深刻度が低い不具合および/または深刻度が高い不具合を前記不具合検出ユニット(7a;7b)により検出すると、前記接続デバイス(5)は、前記電源(6)を前記インタフェースカード(2)から切り離 し、
前記接続デバイス(5)は、前記通常動作モードと前記安全状態モードとの間で、エネルギー蓄積ユニット(8)から提供される電圧によって切り替え可能であり、
前記通常動作モードでは、前記エネルギー蓄積ユニット(8)は、放電されている、または、放電されるように構成され、
前記安全状態モードでは、前記エネルギー蓄積ユニット(8)は、少なくとも閾値電圧が前記接続デバイス(5)に提供されるまで、充電されている、または、充電されるように構成される、
安全状態コントローラ(1)。
【請求項8】
前記接続デバイスは、pチャネルMOSFET(15)であり、前記MOSFET(15)は、前記エネルギー蓄積ユニット(8)に接続されているゲート(16)と、前記電源(6)に接続可能であるソース(17)と、前記インタフェースカード(2)に接続可能であるドレイン(18)と、を備える、請求項7に記載の安全状態コントローラ(1)。
【請求項9】
前記安全状態モードは、第1の安全状態モードを含み、第1の安全状態回路(9)が提供され、前記第1の安全状態回路(9)は、通常動作モードでは起動されず、深刻度が低い不具合を検出すると起動され、それによって、前記接続デバイス(5)を前記第1の安全状態モードに可逆的に変化する、
請求項7または8に記載の安全状態コントローラ(1)。
【請求項10】
前記第1の安全状態回路(9)は、第1の半導体スイッチングデバイス(10)を備え、前記第1の半導体スイッチングデバイス(10)は、深刻度が低い不具合を前記不具合検出ユニット(7a)により検出すると、前記第1の安全状態回路(9)を起動するように構成される、
請求項9に記載の安全状態コントローラ(1)。
【請求項11】
前記安全状態モードは、第2の安全状態モードを含み、第2の安全状態回路(11)が提供され、前記第2の安全状態回路(11)は、通常動作モードでは起動されず、深刻度が高い不具合を検出すると起動され、それによって、前記接続デバイス(5)を前記第2の安全状態モードに不可逆的に切り替える、
請求項7から10のいずれかに記載の安全状態コントローラ(1)。
【請求項12】
前記第2の安全状態回路(11)は、第2の半導体スイッチングデバイス(12)を備え、前記第2の半導体スイッチングデバイス(12)は、深刻度が高い不具合を前記不具合検出ユニット(7b)により検出すると、前記第2の安全状態回路(11)を起動するように構成される、
請求項11に記載の安全状態コントローラ(1)。
【請求項13】
前記安全状態モードは、可逆の第1の安全状態モードおよび不可逆の第2の安全状態モードを含み、ヒューズ(13)が提供され、前記ヒューズ(13)は、前記第2の安全状態モードではとばされるように構成され、前記第1の安全状態モードではとばされないように構成される、
請求項7から12のいずれかに記載の安全状態コントローラ(1)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インタフェースカードに提供される電力を制御するための方法に関するものであり、インタフェースカードに提供される電力を制御するための安全状態コントローラに関するものである。特に、本発明は、列車通信ネットワーク(TCN)内で用いられる方法および安全状態コントローラに関するものである。TCNは、通常、異なる通信ネットワークのオプション、特にワイヤ列車バス(WTB)および多機能車両バス(MVB)から構成される。さらに、コントローラ・エリア・ネットワーク(CANbus)および/またはイーサネット(ETH)が提供されてもよい。
【背景技術】
【0002】
本発明は、安全関連の機能を有するインタフェースカードと関連して用いられる。安全関連の機能は、例えば、安全関連のホストデバイスをTCNに接続するインタフェースカードに必要になりうる。一例では、安全関連のホストデバイスは、ブレーキコントローラを含むブレーキ制御ホストデバイスである。他の安全関連のホストデバイスは、ドアコントローラを含むドア制御デバイスまたはモータコントローラを含むモータ制御デバイスでもよい。これらの安全関連のホストデバイスのために、不具合(例えば、構成要素の不具合、ソフトエラー等)の場合に採用される安全状態モードに変化する可能性が存在することを確実にしなければならない。
【0003】
不具合の深刻度に応じて、異なる動作が必要になりうる、または、要求されてもよい。それゆえ、不具合は、少なくとも深刻度が低い不具合および深刻度が高い不具合に分類されてもよい。深刻度が低い不具合は、ソフトエラー、例えば、揮発性メモリ内のシングルイベントアップセット(SEU)でありえ、ハードウェア構成要素の欠陥に関連しない。深刻度が高い不具合は、構成要素またはハードウェアの不具合でありえ、特にデバイスの過電圧から生じる。この種の深刻度が高い不具合の場合、ホストデバイスをTCNに接続するインタフェースカードが損傷を受けると仮定される。または言い換えると、このシナリオでは、インタフェースカードがもはや適切に動作していないと仮定される。
【発明の概要】
【発明が解決しようとする課題】
【0004】
それゆえ、本発明の目的は、インタフェースカードに提供される電力を制御するための改良された方法を提供すること、および、通信ネットワーク内でインタフェースカードに提供される電力を制御するための改良された安全状態コントローラを提供することである。
【課題を解決するための手段】
【0005】
方法に関する課題は、請求項1に従う方法によって解決される。好適実施形態は、従属請求項において言及される。
【0006】
それゆえ、インタフェースカードに提供される電力を制御するための方法が提供される。インタフェースカードは、1つまたは複数のホストデバイスを1つまたは複数のネットワークデバイスに通信ネットワーク内で、好ましくは、列車通信ネットワーク内で接続する。方法は、接続デバイスを提供するステップを含み、接続デバイスは、通常動作モードでは、インタフェースカードを電源に接続し、それによって、電力をインタフェースカードに提供する。さらに、深刻度が低い不具合用および/または深刻度が高い不具合用の不具合検出ユニットが提供され、不具合検出ユニットは、接続デバイスに少なくとも間接的に結合される。深刻度が低い不具合および/または深刻度が高い不具合を不具合検出ユニットにより検出すると、接続デバイスは、安全状態モードに変化し、安全状態モードでは、接続デバイスは、前記電源の電力をインタフェースカードから切り離す。インタフェースカードおよび安全状態コントローラ、特にその接続デバイスは、1つの部分内に形成されてもよい。
【0007】
一例では、エネルギー蓄積ユニットは、接続デバイスに接続され、通常動作モードでは、エネルギー蓄積ユニットは、放電されている、または、放電される。安全状態モードでは、エネルギー蓄積ユニットは、少なくとも閾値電圧が接続デバイスに提供されるまで、充電されている、または、充電され、それによって、電源をインタフェースカードから切り離す。エネルギー蓄積ユニットの適切な選択に応じて、否定時間は、プラスの影響を受けうる。否定時間は、障害の存在が検出されるときに開始し、安全状態が実行されるときに終了する期間である。したがって、エネルギー蓄積ユニットは、一実施形態では、キャパシタである。他のエネルギー蓄積ユニット、例えば、アキュムレータが用いられてもよい。
【0008】
他の例では、安全状態モードは、第1の安全状態モードを含む。この第1の安全状態モードにより、接続デバイスは、電源をインタフェースカードに再接続し、それによって、電力をインタフェースカードに再び提供することができる。それゆえ、第1の安全状態モードは、一時的切り離しモードとしても知られている。この第1の安全状態モードでは、電力は、一時的にのみインタフェースカードから切り離され、インタフェースカードに再接続されてもよい。
【0009】
さらに他の例では、第1の半導体スイッチングデバイス、例えば、第1のトランジスタを含む第1の安全状態回路が提供される。深刻度が低い不具合を検出ユニットにより検出すると、第1の半導体スイッチングデバイスは、電力供給され、それによって、第1の安全状態モードを起動する。第1の安全状態回路を起動すると、第1の安全状態モードもまた起動される。これは、電子トリガ信号またはトリガ電圧が、半導体スイッチングデバイスに提供され、それによって、第1の安全状態モードを開始しうるという効果を有する。
【0010】
方法は、電力を第1の半導体スイッチングデバイスから取り去る追加のステップを含んでもよく、それによって、第1の安全状態回路を停止し、第1の安全状態モードを停止する。これは、接続デバイス、それゆえ、システム全体を通常動作モードに戻す。さらに他の実施形態では、通常動作モードは、電源を切断するまたは切り、再び電源を再適用するときにのみ得られる。
【0011】
他の例では、安全状態モードは、第2の安全状態モードを含み、第2の安全状態モードでは、接続デバイスは、電源をインタフェースカードに再接続することができない。それゆえ、第2の安全状態モードは、永続的な切り離しモードとしても知られている。これは、インタフェースカードがもはや電力供給されないという効果を有する。ホストデバイスと(列車)通信ネットワークデバイスとの間の信号伝達は、阻害される。
【0012】
一実施形態では、第2の半導体スイッチングデバイス、例えば、第2のトランジスタを含む第2の安全状態回路が提供される。深刻度が高い不具合を不具合検出ユニットにより検出すると、第2の半導体スイッチングデバイスは、電力供給され、それによって、第2の安全状態モードを起動する。第2の安全状態回路を起動すると、ヒューズはとばされる。これは、接続デバイスが第2の安全状態モードに維持されるという効果を有する。それゆえ、この状況では、接続デバイスは、電源をインタフェースカードに再接続することができない。これは、安全関連のホストデバイスと(列車)通信ネットワークデバイスとの間のインタフェースカードを介した信号送信が発生していない、または、今後発生しないであろうことを確実にする。
【0013】
安全状態コントローラに関する課題は、請求項8に従う安全状態コントローラによって解決される。好適実施形態は、従属請求項において言及される。
【0014】
安全状態コントローラは、インタフェースカードに提供される電力を制御し、接続デバイスを備え、接続デバイスは、通常動作モードでは、インタフェースカードを電源に接続し、それによって、電力をインタフェースカードに提供する。接続デバイスは、不具合検出ユニットに少なくとも間接的に結合可能である、または、結合される。接続デバイスは、安全状態モードに切り替え可能である、または、変化可能であり、安全状態モードでは、深刻度が低い不具合および/または深刻度が高い不具合を不具合検出ユニットにより検出すると、接続デバイスは、電源をインタフェースカードから切り離す。この安全状態コントローラを用いて、安全関連のホストデバイスを(列車)通信ネットワークデバイスから切断することができる。これは、不具合を検出すると、エラーを含む信号または誤った信号がインタフェースカードを介して送信されるのを阻害する効果を有する。
【0015】
一例では、接続デバイスは、エネルギー蓄積ユニットから提供される電圧によって、または、当該電圧を用いて、通常動作モードと安全状態モードとの間で切り替え可能である、または、変化可能である。エネルギー蓄積ユニットは、通常動作モードでは、放電されている、または、放電されるように構成される。エネルギー蓄積ユニットは、安全状態モードでは、接続デバイスに提供される少なくとも閾値電圧まで、充電されている、または、充電されるように構成される。閾値電圧を接続デバイスに提供すると、接続デバイスは、導通を停止し、それゆえ、電源をインタフェースカードから切り離す。
【0016】
他の例では、接続デバイスは、pチャネルMOSFET(金属酸化膜半導体電界効果トランジスタ)である。このMOSFETは、通常、ソース(S)、ゲート(G)、ドレイン(D)およびボディ(B)端子を有する4端子デバイスである。一実施形態では、MOSFETのボディ(または基板)は、ソース端子に接続され、他の電界効果トランジスタのような3端子デバイスにしている。MOSFETのゲートは、エネルギー蓄積ユニットに接続されている。それによって、エネルギー蓄積ユニットは、充電時にソースゲート電圧を提供する。ソースは、電源に接続されている、または、接続可能であり、ドレインは、インタフェースカードに接続されている、または、接続可能である。MOSFETがpチャネルMOSFETであるので、MOSFETは、ゲートソース電圧が所定の閾値電圧未満のとき、導通している。ゲートソース電圧が閾値電圧に達するとき、MOSFETは、安全状態モードを開始している、すなわち、非導通になり、それによって、電源をインタフェースカードから切り離す。電力がインタフェースカードに供給されないので、1つまたは複数のホストデバイスと1つまたは複数のネットワークデバイスとの間の信号送信は、もはや存在しない。
【0017】
さらに他の実施形態では、安全状態モードは、第1の安全状態モードを含み、第1の安全状態回路が提供される。この第1の安全状態回路は、通常動作モードでは起動されず、深刻度が低い不具合を検出すると起動され、それによって、接続デバイスを(一時的に)第1の安全状態モードに可逆的に変化する。第1の安全状態回路は、第1のトリガ回路によって別にトリガされてもよい、または、電力供給されてもよい。
【0018】
第1の安全状態回路は、第1のトランジスタのような第1の半導体スイッチングデバイスを備えてもよく、第1のトランジスタのゲートは、(例えば、電流を提供することによって)トリガされてもよい。この第1の半導体スイッチングデバイスは、深刻度が低い不具合を不具合検出ユニットにより検出すると、第1の安全状態回路を起動するように構成される。
【0019】
他の例では、安全状態モードは、追加的または代替的に、第2の安全状態モードを含み、第2の安全状態回路が提供される。この第2の安全状態回路もまた、通常動作モードでは起動されない。第2の安全状態回路は、深刻度が高い不具合を検出すると起動され、それによって、接続デバイスを(永続的な)第2の安全状態モードに不可逆的に変化する。第2の安全状態モードのための典型的状況は、インタフェースカードに提供される過電圧である。これらの状況では、インタフェースカードがもはや適切に動作していなく、安全関連のホストデバイスが(列車)通信ネットワークデバイスから切断されなければならないことが仮定される。第2の安全状態回路は、第2のトリガ回路によって別にトリガされてもよい、または、電力供給されてもよい。
【0020】
一例では、第2の安全状態回路は、第2のトランジスタのような第2の半導体スイッチングデバイスを備え、第2のトランジスタのゲートは、(例えば、電流を提供することによって)トリガされてもよい。第2の半導体スイッチングデバイスは、深刻度が高い不具合を不具合検出ユニットにより検出すると、第2の安全状態回路、それゆえ、第2の安全状態モードを起動するように構成される。
【0021】
さらに他の例示的実施形態では、安全状態モードは、可逆的な第1の安全状態モードおよび不可逆的な第2の安全状態モードを含む。第1の安全状態モードでは、接続デバイスは、電源をインタフェースカードに再接続することができるが、第2の安全状態モードでは、もはや、電力を電源からインタフェースカードに提供することができない。切り離しを実現するために、第2の安全状態モードでとぶように構成されるヒューズが提供される。ヒューズは、第1の安全状態モードではとばされないように構成される。それによって、インタフェースカードは、検出された深刻度が低い不具合がなくなると、電源に再接続されうるが、深刻度が高い不具合を検出すると、インタフェースカードを電源に再接続することはできない。
【0022】
本発明の他の変形例は、添付の図面にて示されるように、例示的実施形態の以下の詳細な説明を考慮して明らかになる。
【図面の簡単な説明】
【0023】
【図1】電源をインタフェースカードに接続する一例の安全状態コントローラを備える安全関連のシステムの簡略な図を表し、インタフェースカードは、1つまたは複数のホストデバイスを1つまたは複数のネットワークデバイスに通信ネットワーク内で接続する。
【図2】安全状態コントローラの他の実施形態の図を表す。
【図3】電源をインタフェースカードに接続する安全状態コントローラのより詳細な図を表す。
【図4】第1の半導体スイッチングデバイスをトリガするためのトリガ回路を表す。
【図5】第2の半導体スイッチングデバイスをトリガするための第2のトリガ回路を表す。
【図6】インタフェースカードに一体に組み込まれる安全状態コントローラを備えるインタフェースカード・システムを表す。
【発明を実施するための形態】
【0024】
図1には、インタフェースカード2を電源6に接続する安全状態コントローラ1が示される。例示的実施形態では、インタフェースカード2は、再構成可能論理デバイス、例えば、フィールドプログラマブルゲートアレイ(FPGA)21を提供する。FPGA21の一態様では、FPGA21は、リアルタイム・オペレーティングシステムを実行するように構成されるCPU22を組み込む。さらに、いくつかの埋め込みアプリケーションは、FPGA21のメモリに格納されてもよく、CPU22にロードされ、CPU22上で実行してもよい。さらに、インタフェースカード2は、デジタル・インタフェースモジュール23またはフィールドバス・インタフェースを提供する。デジタル・インタフェースモジュール23は、好ましくは、スイッチであり、スイッチは、インタフェースカード2の他の態様では、3ポート・イーサネットスイッチとして形成される。このスイッチは、1つまたは複数のネットワークデバイス4をインタフェースカード2に接続する。デジタル・インタフェースモジュール23に提供される信号は、CPU22内で処理され、(処理の後)ネットワーク・インタフェースモジュール24を介してホストデバイス3に送信されてもよく、ネットワーク・インタフェースモジュール24は、例示的実施形態では、2チャネル・デジタルアップコンバータである。ホストデバイス3は、ブレーキコントローラを組み込むブレーキデバイスでもよい。他の実施形態では、ホストデバイス3は、ドアコントローラまたはライトコントローラまたは気候システムコントローラ等である。さらに、インタフェースカード2は、他のまたは追加の構成要素25を備えてもよい。
【0025】
安全状態コントローラ1は、接続デバイス5を備え、接続デバイス5は、通常動作モードでは、インタフェースカード2を電源6に接続し、それによって、電力をインタフェースカード2に提供する。接続デバイス5はまた、不具合検出ユニット7a、7bにも結合される。本例では、不具合検出ユニット7a、7bは、2つの部分、すなわち、深刻度が低い不具合検出(例えば、ソフトエラー)用の不具合検出ユニット7aおよび深刻度が高い不具合検出(例えば、過電圧)用の不具合検出ユニット7bを備える。例示的実施形態では、FPGA21は、深刻度が低い不具合検出用の不具合検出ユニット7aを組み込む。深刻度が高い不具合検出用の不具合検出ユニット7bもまた、インタフェースカード2の回路基板26上に提供されるが、FPGA21とは別に提供される。深刻度が低い不具合および/または深刻度が高い不具合を不具合検出ユニット7a、7bにより検出すると、接続デバイス5は、安全状態モードに切り替えられる、または、変化され、安全状態モードでは、接続デバイス5は、電源6をインタフェースカード2から切り離す。電源6をインタフェースカード2から切り離すことは、結果として、デジタル・インタフェースモジュール23および/またはネットワーク・インタフェースモジュール24の停止につながる。または、換言すれば、デジタル・インタフェースモジュール23および/またはネットワーク・インタフェースモジュール24は、安全状態モードでは起動されないように設定される。
【0026】
図2には、代替の不具合検出ユニット7a、7bを有する安全状態コントローラ1のより簡略な構造が示される。この実施形態では、不具合検出ユニット7は、インタフェースカード2と独立して配置され、深刻度が低い不具合検出(例えば、ソフトエラー)用の不具合検出ユニット7aおよび深刻度が高い不具合検出(例えば、過電圧)用の不具合検出ユニット7bの両方を含む。
【0027】
図3には、例示的な安全状態コントローラ1のより詳細な図が示される。上述したように、この安全状態コントローラ1は、2つの異なるタイプの不具合を検出する、および、当該不具合に反応するように構成される。それゆえ、安全状態コントローラ1は、2つの異なる安全状態モード、すなわち、第1の安全状態モードおよび第2の安全状態モードを組み込む。第1の安全状態モードでは、通常動作モードに戻ることができ、電源6を切るまたは切断し、再び電源6を再適用することによって、接続デバイス5は、電源6をインタフェースカード2に接続する。第2の安全状態モードでは、電源6は、インタフェースカード2から永続的に切り離される。再接続は、人(人間)の介入なしでは、すなわち手動再生なしでは不可能である。
【0028】
以下、通常動作モードは、さらに詳細に記載されている。図3の実施形態では、接続デバイス5は、ゲート16、ソース17およびドレイン18を備えるPチャネルMOSFET15として形成される。MOSFET15はまた、ボディダイオード14を備える。エネルギー蓄積ユニット8は、本実施形態では、キャパシタであり、抵抗125を介してMOSFET15のゲート16に接続されている。通常動作モードでは、エネルギー蓄積ユニット8は、放電されているまたはグラウンド121を介して放電される。この構成では、電流は、ヒューズ13を介してグラウンド121に導かれる。それゆえ、MOSFET15のソース17とMOSFET15のゲート16との間には、電圧が提供されない、または、閾値電圧未満の電圧が提供される。それゆえ、通常動作モードでは、PチャネルMOSFET15は、そのソース17とそのドレイン18との間で導通している。例示的実施形態では、ソース17は、電源6に接続され、インタフェースカード2は、MOSFET15のドレイン18に接続されている。通常動作モードでは、電源6の電力は、接続デバイス5を介してインタフェースカード2に供給される。
【0029】
さらに、安全状態コントローラ1は、第1の安全状態回路9および第2の安全状態回路11を備える。第1の安全状態回路9は、第1の半導体スイッチングデバイス10を備え、第1の半導体スイッチングデバイス10は、第1のトランジスタとして形成され、ベース、コレクタおよびエミッタを備える。第2の安全状態回路11は、第2の半導体スイッチングデバイス12を含み、第2の半導体スイッチングデバイス12は、第2のトランジスタとして形成され、したがって、ベース、コレクタおよびエミッタを含む。通常動作モードでは、両方の安全状態回路9、11は起動されず、それらの半導体スイッチングデバイス10、12は導通していない。
【0030】
以下、第1の安全状態モードは、さらに詳細に記載されている。深刻度が低い不具合が不具合検出ユニット7aによって検出されるとき、第1の半導体スイッチングデバイス10は、そのベースにトリガライン119を介して電流が提供されることによって、電力供給される。第1の安全状態回路9を起動すると、エネルギー蓄積ユニット8は、充電され、それによって、PチャネルMOSFET15のゲート16で所定の閾値電圧を上回る電圧を提供する。この例示的実施形態では、MOSFET15のゲート16とソース17との間の閾値電圧は-0.5Vである。次に、接続デバイス5は、もはや導通しておらず、電源6は、インタフェースカードから切り離される。それによって、デジタル・インタフェースモジュール23および/またはネットワーク・インタフェースモジュール24は、起動されないように設定され、インタフェースカード2を介した任意の信号送信を防止する。この例示的実施形態では、第1の半導体スイッチングデバイス10のベース電流は、第1の安全状態回路9を起動するために、150μAを超えなければならない。
【0031】
第1の安全状態モードでは、ヒューズ13はとばされない。このため、第1の半導体スイッチングデバイス10および/または第1の安全状態回路9が再び起動されなくなるとき、エネルギー蓄積ユニット8は、ヒューズ13を介してグラウンド121に放電される。ゲートソース電圧は閾値電圧未満に減少し、pチャネルMOSFET15は、再び導通を開始し、それによって、電源6をインタフェースカード2に再接続する。それゆえ、第1の安全状態モードは、一時的切り離しモードとしても知られている。
【0032】
以下、第2の安全状態モードは、さらに詳細に記載されている。深刻度が高い不具合の検出の場合、第2の半導体スイッチングデバイス12は、トリガライン120を介して起動される。第2の半導体スイッチングデバイス12が導通を開始するとき、第2の安全状態回路11もまた起動する。第2の安全状態回路11が起動すると、ヒューズ13はとばされる。本実施形態では、ヒューズ13は、120mAのヒューズ電流によってとばされてもよい。また、エネルギー蓄積ユニット8は、少なくとも、PチャネルMOSFET15のゲート16とソース17との間の閾値電圧まで充電される。この状態では、接続デバイス5は、導通を停止し、電源6は、インタフェースカード2から切り離される。それによって、デジタル・インタフェースモジュール23および/またはネットワーク・インタフェースモジュール24は、起動されないように設定され、インタフェースカード2を介した任意の信号送信を防止する。この例示的実施形態では、第2の半導体スイッチングデバイス12のベース電流は、第2の安全状態回路11を起動するために、150μAを超えなければならない。
【0033】
第2の安全状態モードではヒューズ13がとばされるので、エネルギー蓄積ユニット8がグラウンド121を介して再び放電される可能性はない。このようなわけで、安全状態コントローラ1が通常動作モードに復帰する可能性は、もはや存在しない。なぜなら、MOSFET15のゲートソース電圧は、所定の閾値電圧未満に再び減少しないからである。電源は、インタフェースカード2から永続的に切り離される。それゆえ、第2の安全状態モードは、永続的な切り離しモードとしても知られている。
【0034】
図4では、第1の半導体スイッチングデバイスは、(一実施形態では)トリガライン119を介して2つの方法でトリガされてもよい。2つの方法のトリガとは、TEST_Nをローに引くこと、または、CYCLE_Nをローに引くこと、のいずれかである。本願明細書では、第1の安全状態モードのための可能な第1のトリガ回路が表される。
【0035】
TEST_Nがローに引かれるとき、安全状態コントローラ1の自己試験、特に接続デバイス5の自己試験が実行されてもよい。この状態では、第1の半導体スイッチングデバイス10(図3)は、導通を開始し、それによって、接続デバイス5が導通するのを防止し、それによって、TEST_Nのための駆動論理を電源から切り離す。その後、第1の半導体スイッチングデバイス10は、導通を停止し、接続デバイス5を導通モードに戻す。それゆえ、インタフェースカード2は、再び電力供給される。
【0036】
CYCLE_Nがローに引かれるとき、図4に示されるトランジスタ129は、導通を開始し、サイリスタ131のゲート116はトリガされる。第1の半導体スイッチングデバイス10(図3)は、導通を開始し、それによって、第1の安全状態モードに変化する。第1の半導体スイッチングデバイス10およびサイリスタ131を流れる電流が存在する限り、第1の安全状態モードは維持される。それゆえ、通常動作モードに戻って切り替わることは、電源6を切るまたは切断し、再び電源6を再適用することによってのみ可能である。
【0037】
CYCLE_ENをトリガすることによって、図4に示されるNチャネルFET130のゲートは、サイリスタ131のトリガ信号を阻害してもよい。これは、スタートアップ手順の間、特定の基板上のモジュールが誤って不具合を示すとき(例えば、電圧監視手段からの低電圧の表示)必要になりうる。これは、所定の期間を残してもよく、所定の期間は、一実施形態では、30msより長くてもよい。この所定の期間内で、任意のCYCLE_Nトリガが阻害されてもよい。トリガ信号を阻害することは、接続デバイス5の自己試験を、TEST_Nを介して実行するときに特に重要である。インタフェースカード2が自己試験の後再び電力供給される場合、誤った不具合の表示は、通常のスタートアップ手順と同様に行われる。
【0038】
図5では、第2の半導体スイッチングデバイス12は、(さらに他の実施形態では)トリガライン120を介してトリガされてもよい。本願明細書では、第2の安全状態モードのための可能なトリガ回路が表される。
【0039】
YOLO_Nがトリガされる、すなわち、ローに引かれる場合、第2のトリガ回路内に示されるトランジスタ129*は、導通を開始する。必要なトリガ電圧は、第2のトリガ回路のサイリスタ131*のゲート116*に印加される。それによって、電流は、トリガライン120を介して第2の半導体スイッチングデバイス12に提供される。第2の半導体スイッチングデバイス12が導通を開始するとき、ヒューズ13(図3)はとばされ、エネルギー蓄積ユニット8は充電され、それによって、電源6をインタフェースカード2から切り離す。ヒューズ13がとばされるので、パワーサイクルが実行されるときでも、第2の安全状態モードは維持される。
【0040】
図6は、インタフェースカード2に一体に組み込まれる安全状態コントローラ1を有するインタフェースカード・システム200を表す。安全状態コントローラ1、その接続デバイス5およびインタフェースカード2は、図1~図5の実施形態と同様の特徴を備える。それゆえ、上述した関連する文章が参照される。
【0041】
上述した説明は、例示的であり、制限する性質のものではない。開示された例に対する逸脱および変更は、当業者にとって明らかであろう。これらは、必ずしも、本発明の本質から逸脱するというわけではない。
【符号の説明】
【0042】
1 安全状態コントローラ
2 インタフェースカード
3 ホストデバイス
4 ネットワークデバイス
5 接続デバイス
6 電源(例えば、VIN=5.5V)
7a 深刻度が低い不具合用の不具合検出ユニット
7b 深刻度が高い不具合用の不具合検出ユニット(電圧監視手段)
8 エネルギー蓄積ユニット
9 第1の安全状態回路
10 第1の半導体スイッチングデバイス
11 第2の安全状態回路
12 第2の半導体スイッチングデバイス
13 ヒューズ
14 ボディダイオード(すなわち過電圧保護デバイス)
15 MOSFET(pチャネルMOSFET)
16 ゲート
17 ソース
18 ドレイン
19 トリガ信号(深刻度が低い不具合)
20 トリガ信号(深刻度が高い不具合)
21 FPGA(フィールドプログラマブルゲートアレイ)
22 CPU(中央演算処理装置)
23 デジタル・インタフェースモジュール(例えば、フィールドバス・インタフェース、例えば、スイッチ、例えば、3ポート・イーサネットスイッチ)
24 ネットワーク・インタフェースモジュール
25 構成要素
26 回路基板
116 ゲート
117 ソース
118 ドレイン
119 トリガライン(深刻度が低い不具合)
120 トリガライン(深刻度が高い不具合)
121 グラウンド(0V)
122 抵抗(例えば、68Ω)
123 抵抗(例えば、10KΩ)
124 抵抗(例えば、330Ω)
125 抵抗(例えば、33Ω)
126 グラウンド(0V)
127 抵抗(例えば、1KΩ)
128 抵抗(例えば、10KΩ)
129 トランジスタ(例えば、極性:PNP、例えば、Ptot=150mW、例えば、VCEO[最大]=45V、例えば、IC[最大]=100mA、例えば、hFE[最小]=220、例えば、hFE[最大]=475)
129* トランジスタ(例えば、極性:PNP、例えば、Ptot=150mW、例えば、VCEO[最大]=45V、例えば、IC[最大]=100mA、例えば、hFE[最小]=220、例えば、hFE[最大]=475)
130 FET(電界効果トランジスタ)
131 サイリスタ(例えば、3Vまでのサイリスタドロップ、例えば、3mAの保持電流、例えば、ヒューズをとばす電流(fuse kill current)=180mA)
131* サイリスタ(例えば、3Vまでのサイリスタドロップ、例えば、3mAの保持電流、例えば、ヒューズをとばす電流=180mA)
132 キャパシタ(例えば、4.7μF、25V)
133 キャパシタ(例えば、10nF、50V)
134 キャパシタ(例えば、22μF、10V)
200 インタフェースカード・システム
2 インタフェースカード
3 ホストデバイス
4 ネットワークデバイス
5 接続デバイス
6 電源(例えば、VIN=5.5V)
7a 深刻度が低い不具合用の不具合検出ユニット
7b 深刻度が高い不具合用の不具合検出ユニット(電圧監視手段)
8 エネルギー蓄積ユニット
9 第1の安全状態回路
10 第1の半導体スイッチングデバイス
11 第2の安全状態回路
12 第2の半導体スイッチングデバイス
13 ヒューズ
14 ボディダイオード(すなわち過電圧保護デバイス)
15 MOSFET(pチャネルMOSFET)
16 ゲート
17 ソース
18 ドレイン
19 トリガ信号(深刻度が低い不具合)
20 トリガ信号(深刻度が高い不具合)
21 FPGA(フィールドプログラマブルゲートアレイ)
22 CPU(中央演算処理装置)
23 デジタル・インタフェースモジュール(例えば、フィールドバス・インタフェース、例えば、スイッチ、例えば、3ポート・イーサネットスイッチ)
24 ネットワーク・インタフェースモジュール
25 構成要素
26 回路基板
116 ゲート
117 ソース
118 ドレイン
119 トリガライン(深刻度が低い不具合)
120 トリガライン(深刻度が高い不具合)
121 グラウンド(0V)
122 抵抗(例えば、68Ω)
123 抵抗(例えば、10KΩ)
124 抵抗(例えば、330Ω)
125 抵抗(例えば、33Ω)
126 グラウンド(0V)
127 抵抗(例えば、1KΩ)
128 抵抗(例えば、10KΩ)
129 トランジスタ(例えば、極性:PNP、例えば、Ptot=150mW、例えば、VCEO[最大]=45V、例えば、IC[最大]=100mA、例えば、hFE[最小]=220、例えば、hFE[最大]=475)
129* トランジスタ(例えば、極性:PNP、例えば、Ptot=150mW、例えば、VCEO[最大]=45V、例えば、IC[最大]=100mA、例えば、hFE[最小]=220、例えば、hFE[最大]=475)
130 FET(電界効果トランジスタ)
131 サイリスタ(例えば、3Vまでのサイリスタドロップ、例えば、3mAの保持電流、例えば、ヒューズをとばす電流(fuse kill current)=180mA)
131* サイリスタ(例えば、3Vまでのサイリスタドロップ、例えば、3mAの保持電流、例えば、ヒューズをとばす電流=180mA)
132 キャパシタ(例えば、4.7μF、25V)
133 キャパシタ(例えば、10nF、50V)
134 キャパシタ(例えば、22μF、10V)
200 インタフェースカード・システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
