▶ ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-08-03
(54)【発明の名称】緊急停止装置
(51)【国際特許分類】
G05B 9/02 20060101AFI20230727BHJP
F02D 17/00 20060101ALI20230727BHJP
【FI】
G05B9/02 B
F02D17/00 A
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023501055
(86)(22)【出願日】2021-07-07
(85)【翻訳文提出日】2023-02-16
(86)【国際出願番号】 EP2021068829
(87)【国際公開番号】W WO2022008592
(87)【国際公開日】2022-01-13
(31)【優先権主張番号】102020208577.3
(32)【優先日】2020-07-08
(33)【優先権主張国・地域又は機関】DE
(81)【指定国・地域】
(71)【出願人】
【識別番号】591245473
【氏名又は名称】ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング
【氏名又は名称原語表記】ROBERT BOSCH GMBH
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(72)【発明者】
【氏名】フェーンレ,スベン
【テーマコード(参考)】
3G092
5H209
【Fターム(参考)】
3G092AA02
3G092AC10
3G092BB10
3G092CA01
3G092CB01
3G092CB05
3G092FA29
3G092FB07
3G092HF20Z
5H209AA09
5H209DD20
5H209GG20
5H209HH04
5H209JJ05
(57)【要約】
本発明は、1つの共通の制御機器(31)によって制御される複数の機構(71~74)を有するシステム(20)の緊急停止装置(10)に関する。緊急停止装置(10)は、機構の選択(71~74)をオフにするために適応されている。
【特許請求の範囲】
【請求項1】
1つの共通の制御機器(31)によって制御される複数の機構(71~74)を有するシステム(20)の緊急停止装置(10)において、前記機構の選択(71~74)をオフにするために適応されていることを特徴とする緊急停止装置(10)。
【請求項2】
前記制御機器(31)が、3つのレベル(40、50、60)をもつ安全コンセプトを有し、かつ前記第1のレベル(40)および前記第2のレベル(50)にそれぞれ、前記緊急停止装置の作動時に前記機構の選択を前記機構(71~74)の動作状態に応じて行うために適応されている選択機能が実装されていることを特徴とする請求項1に記載の緊急停止装置(10)。
【請求項3】
前記第1のレベル(40)が前記機構(71~74)への制御接続(81)を有し、前記制御接続(81)が、前記機構(71~74)を制御するために、および前記機構の選択(71~74)をオフにするために適応されていることを特徴とする請求項2に記載の緊急停止装置(10)。
【請求項4】
前記第2のレベル(50)が前記第3のレベル(60)のモジュールと接続されており、前記モジュールが前記機構(71~74)への少なくとも1つのオフ接続(82)を有し、前記オフ接続(82)が、前記機構の選択(71~74)をオフにするために適応されていることを特徴とする請求項2または3に記載の緊急停止装置(10)。
【請求項5】
前記モジュールが、Hardware-Error-Management-Module(67)であることを特徴とする請求項4に記載の緊急停止装置(10)。
【請求項6】
前記第3のレベル(60)に、前記機構(71~74)からの固定設定された選択が保存されていることを特徴とする請求項2~5のいずれか一項に記載の緊急停止装置(10)。
【請求項7】
前記機構の前記固定設定された選択が、モニタリングモジュール(65)に保存されていることを特徴とする請求項6に記載の緊急停止装置(10)。
【請求項8】
前記第3のレベル(60)が前記機構(71~74)への少なくとも1つのオフ接続(83)を有し、前記オフ接続(83)が、前記第3のレベル(60)に保存されている前記機構の選択(71~74)をオフにするために適応されていることを特徴とする請求項6または7に記載の緊急停止装置(10)。
【請求項9】
前記第3のレベル(60)の前記オフ接続(83)が部分的に、共通線を介して前記第2のレベル(50)のオフ接続(82)と通じていることを特徴とする請求項8に記載の緊急停止装置(10)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、1つの共通の制御機器によって制御される複数の機構を有するシステムの緊急停止装置に関する。
【背景技術】
【0002】
電子制御機器の一般的な安全インテグリティ、つまり安全関連措置の十分な独立性は、ISO規格26262に基づく3レベル安全コンセプトによって保証され得る。3レベル安全コンセプトでは、第1のレベルが機能レベルとして働き、第2のレベルが、第1のレベルを監視する安全レベルとして働き、かつ第3のレベルが第2のレベルのインテグリティを保証する。このような制御機器は様々なアクチュエータ、例えば、船舶用エンジンなどのような車両エンジン、農業機械のエンジン、または作業機械のエンジンの制御のために使用され得る。これに関し、エンジンの電気エネルギー供給は制御機器を介して行われる。
【0003】
危険な場合にまたは危険をかわすためにこのようなエンジンを迅速にオフにできるよう、制御機器の電気エネルギー供給を遮断する緊急停止スイッチが設けられている。これにより、エンジンの、したがってエンジンのすべての電動機構の電気エネルギー供給も即座に遮断される。
【発明の概要】
【課題を解決するための手段】
【0004】
1つの共通の制御機器によって制御される複数の機構を有するシステムの緊急停止装置は、とりわけ、船舶用エンジンなどのようなエンジンをコントロール下で停止させるために使用され得る。このような船舶用エンジンが、従来の緊急停止スイッチによって船舶用エンジンの制御機器への電気エネルギー供給が遮断されることで止められると、これにより、この船舶用エンジンのすべての電動機構が即座にオフになる。これによって例えばエンジンの絞り弁がその初期位置に戻ると、それにより、この船舶用エンジンを改めて始動できなくなる可能性がある。そのうえ制御機器に電気エネルギーが供給されなくなると、個々の機構のデータを読み出せなくなる。よって本緊急停止装置は、機構の選択だけをオフにするために適応されており、これに関し制御機器はオフにならない。これは、緊急停止装置の作動後も機構のデータを読み出し、こうして場合によっては緊急停止が必要になった理由を迅速に認識し、かつその原因を取り除くことを可能にする。緊急停止状態で個々の機構が引き続き電気エネルギーを供給されていれば、システムの迅速な再起動も可能である。
【0005】
好ましくは、制御機器は、3レベル安全コンセプト、とりわけISO規格26262に基づく3レベル安全コンセプトを有する制御機器である。この既存の安全コンセプトは、第1のレベルおよび第2のレベルにそれぞれ、緊急停止装置の作動時に機構の選択を機構の動作状態に応じて行うために適応されている選択機能を実装するために利用され得る。機構の動作状態に応じて、どの機構がエネルギー供給から切り離されてよいか、およびどれが引き続き電気エネルギーを供給されなければならないかが決定され得る。選択の際に第1のレベルに不具合がある場合、この機能を第2のレベルによって引き継ぐこともできる。
【0006】
第1のレベルは機能レベルとして、機構を制御する役割および電気エネルギーを供給する役割をもつので、第1のレベルは機構への制御接続を有する。この制御接続が、好ましくは、機構の選択をオフにし得るためにも適応されている。こうすることで、第1のレベルで機構の選択が提供されている間は、つまりこの選択を第1のレベル自体で発生させることで提供されているかまたは第1のレベルでの選択の不具合の際に第2のレベルによって第1のレベルに提供されている間は、このために追加的な電気接続またはデータ接続が設けられなくても、個々の機構の選択的なオフが行われ得る。
【0007】
さらに、第2のレベルが第3のレベルのモジュールと接続されており、このモジュールが機構への少なくとも1つのオフ接続を有し、このオフ接続が、機構の選択をオフにするために適応されていることが好ましい。このオフ接続は、制御接続を介したオフ信号の送信が不可能な場合に利用され得る。このオフ接続は、第1のレベルが、機構の選択をそれ自体ではもう行えないだけでなく第2のレベルから選択を受信することもできなくなる程の強い機能不全を示す場合にも利用され得る。この場合には、第2のレベルで選択が生成された後、第2のレベルがオフ接続を介して直接的にオフを行い得る。これに関し第3のレベルのモジュールの利用は、3レベル安全コンセプトが第3のレベルにHardware-Error-Management-Module(EMM)を設けているので好ましい。このモジュールには既にハードウェア向けの機能が実装されているので、このモジュールがオフのために使用され得ることが有利である。
【0008】
さらに、第3のレベルに、機構の固定設定された選択が保存されていることが好ましい。最初の両方のレベルが、例えば機構の動作状態についてのデータをもう受信できないという理由で機構の選択を行えない場合のために、第3のレベルでの最後の後退可能性として、機構のこの固定設定された選択を使用でき、この選択は、危険をかわすためにどんな場合でもオフにされなければならない機構を含んでいる。動作状態を評価せずに固定的な選択を使用することは、確かに第1のレベルまたは第2のレベルで行われたかもしれない選択に基づくオフのようには有利でないが、危険のないことが知られており、ただしシステムの再起動に不可欠な機構を引き続き通電すること、さらに制御機器の電気エネルギー供給を維持することを依然として可能にする。
【0009】
これに関し、機構の固定設定された選択が、第3のレベルのモニタリングモジュールに保存されていることが特に好ましい。モニタリングモジュールは、3レベル安全コンセプトでは、ハードウェアメカニズムおよびソフトウェアメカニズムによってそれ以外の制御機器から分離されたハードウェアユニット内に配置されており、したがって制御機器の他の部分に関係し得る妨害から特に良く保護されている。
【0010】
好ましくは、第3のレベルが機構への少なくとも1つのオフ接続を有し、このオフ接続は、第3のレベルに保存されている機構の選択をオフにするために適応されている。第1および第2のレベルを通っていないこの独立したオフ接続も、危険な場合に緊急停止の特別な確実性を可能にする。
【0011】
緊急停止装置のために必要な追加的な電気接続またはデータ接続の数を少なく保つために、第3のレベルのオフ接続が部分的に、共通線を介して第2のレベルのオフ接続と通じていることがさらに好ましい。
【0012】
本発明の1つの例示的実施形態を図面に示しており、以下の説明においてより詳しく解説する。
【図面の簡単な説明】
【0013】
【発明を実施するための形態】
【0014】
図1は、システム20をオフにするために設けられた緊急停止スイッチの形態での従来の緊急停止装置10を示す。システム20は、ハードウェアモジュール32を備えた制御機器31を有する。制御機器31は、ISO規格26262に基づく3つのレベル40、50、60をもつ安全コンセプトを有する。制御機器31の電気エネルギー供給33は遮断スイッチ34を有する。緊急停止装置10の作動により、この遮断スイッチ34が開かれ、これにより制御機器31に電気エネルギーが供給されなくなる。この例示的実施形態では、制御機器31が、船舶を駆動するディーゼルエンジンを制御している。このディーゼルエンジンは、ディーゼルエンジンの高圧ポンプのための割当ユニット71、絞り弁72、絞り弁の前に配置された空気弁73、および噴射ドライバ74の形態での機構71~74を有する。第1のレベル40での機能モジュール41は、制御線81を介してこれらの機構71~74を制御する。制御線81は、図1では簡略化して1つだけの接続として図示されている。しかしながら実際には4本の制御線81が設けられており、したがって機構71~74の各々が別々の制御線81につながっている。制御線81は、機構71~74に電気エネルギーも供給する。したがって緊急停止装置10の作動は、制御機器31およびそのハードウェアモジュール32の休止だけでなく、すべての機構71~74の休止にも至る。
【0015】
3レベル安全コンセプトでは、第2のレベル50に安全モジュール51が設けられており、安全モジュール51が機能モジュール41を監視する。このために安全モジュール51は、機能モジュール41からデータを受信し、さらに機能モジュール41にデータを送り返す。第3のレベル60には、第2のレベル50および第3のレベル60のメモリテストを実施するメモリテストモジュール61が配置されている。構成テストモジュール62は、第2のレベル50および第3のレベル60のハードウェア構成を監視する。ハードウェアテストモジュール63は、制御機器31の追加的なハードウェアモジュールを監視する。メモリテストモジュール61、構成テストモジュール62、およびハードウェアテストモジュール63のデータは、PFCモジュール(Program Flow Check)によって収集される。PFCモジュールは、第2のレベル50の安全モジュール51ともデータを交換する。構造的にそれ以外の制御機器31から切り離されてはいるが第3のレベル60の一部を構成するハードウェアモジュール32内のモニタリングモジュール65は、メモリテストモジュール61、構成テストモジュール62、およびハードウェアテストモジュール63に、ならびに第2のレベル50の安全モジュール51に問合せを送信し得る。これらのモジュール51、61、62、63の回答がPFCモジュール64によって収集された後、回答をモニタリングモジュール65に渡すことができ、こうすることで、モニタリングモジュール65が第2のレベル50のインテグリティを保証している。第3のレベルではさらにECC(Error-Code-Correction)の形態のハードウェアメモリテストのための安全メカニズム66およびEMM(Hardware-Error-Management-Module)67が設けられている。
【0016】
本発明の1つの例示的実施形態に基づく緊急停止装置10が図2に示されている。この例示的実施形態では遮断スイッチ34がなくされている。緊急停止装置10は、その代わりに2つの冗長的な線路を介して緊急停止要求を第1のレベル40の機能モジュール41および第2のレベル50の安全モジュール51に送信する。機能モジュール41では、機構71~74の動作状態に基づいて、どの機構71~74がオフにされなければならないか、およびどれが危険なく引き続き動作し得るかが決定される。この選択に基づき、機構の選択がその後、制御接続81を介してオフにされる。
【0017】
安全モジュール51も緊急停止要求を受信するので、安全モジュール51は、機能モジュール41内で実行中の機構71~74の選択を再現し、場合によっては第1のレベル40で発生している選択の誤りを訂正する。誤り訂正または制御接続81を介したオフ要求の送信が失敗すると、安全モジュール51はその代わりに、安全モジュール51によって選択されたオフ要求を、第2のレベル50のオフモジュール52を介して第3のレベル60のEMM67に転送する。EMM67は、制御機器31のうち従来のシステムでは設けられていない有線接続の形態でのオフ接続82を介して制御線81~84の出力と接続されており、機構71~74をオフ要求に基づいてオフにし得る。
【0018】
第1のレベル40でも第2のレベル50でも緊急停止要求の実行が失敗すると、これがモニタリングモジュール65によって認識される。モニタリングモジュール65は、どの機構71~74がオフにされるべきかの決定を下すために独自に機構の選択を行うことを試みない。モニタリングモジュール65はその代わりに、機構71~74の、モニタリングモジュール65に固定保存された選択にアクセスし、この固定保存された選択は、すべての他のオフ経路が不具合の際に、どの機構71~74がオフにされるべきかをリストの形態で提示する。この例示的実施形態では、このリストが例えば噴射ドライバ74のオフだけを規定している。このオフ要求は、さらなるオフ接続83を介して機構71~74に送信される。オフ接続83は、ハードウェアモジュール32内で始まって、制御機器31内でオフ接続82に統合される追加的な有線接続として実施されている。
【0019】
制御機器31およびそのハードウェアモジュール32は、緊急停止装置10の作動後もアクティブであり続ける。制御機器31およびそのハードウェアモジュール32は、引き続き機構71~74についてのデータをもたらし、かつ緊急停止要求が撤回されるとすぐにシステム20全体の迅速な再起動を可能にする。
【図1】
【図2】
【国際調査報告】