CN112818322A - 用于马达驱动器的功能安全软件概念 - Google Patents
用于马达驱动器的功能安全软件概念 Download PDFInfo
- Publication number
- CN112818322A CN112818322A CN202011260614.5A CN202011260614A CN112818322A CN 112818322 A CN112818322 A CN 112818322A CN 202011260614 A CN202011260614 A CN 202011260614A CN 112818322 A CN112818322 A CN 112818322A
- Authority
- CN
- China
- Prior art keywords
- software
- computing device
- watchdog timer
- timer circuit
- refresh signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000004044 response Effects 0.000 claims abstract description 35
- 230000006870 function Effects 0.000 claims description 65
- 230000015654 memory Effects 0.000 claims description 42
- 238000012544 monitoring process Methods 0.000 claims description 41
- 238000004891 communication Methods 0.000 claims description 34
- 238000004590 computer program Methods 0.000 claims description 23
- 230000005540 biological transmission Effects 0.000 claims description 18
- 230000000737 periodic effect Effects 0.000 claims description 15
- 230000033001 locomotion Effects 0.000 claims description 8
- 230000002085 persistent effect Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 description 36
- 230000008569 process Effects 0.000 description 34
- 238000012545 processing Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 101000879673 Streptomyces coelicolor Subtilisin inhibitor-like protein 3 Proteins 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007858 starting material Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/24—Resetting means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02P—CONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
- H02P27/00—Arrangements or methods for the control of AC motors characterised by the kind of supply voltage
- H02P27/04—Arrangements or methods for the control of AC motors characterised by the kind of supply voltage using variable-frequency supply voltage, e.g. inverter or converter supply voltage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Debugging And Monitoring (AREA)
Abstract
公开了用于马达驱动器的功能安全软件概念。根据一方面,提供了一种用于控制马达的频率转换器的计算设备的功能安全FS看门狗定时器电路。FS看门狗定时器电路被配置成响应于FS看门狗定时器电路的定时器到期而触发频率转换器的安全状态。此外,FS看门狗定时器电路被配置成响应于从使用非反相逻辑运行FS软件的计算设备接收到第一刷新信号以及响应于从使用反相逻辑运行FS软件的计算设备接收到第二刷新信号将定时器复位。
Description
技术领域
各种示例实施方式涉及工业过程的控制。
背景技术
驱动器用于控制机器的运动,通常用于从给定的一个或多个机器实现最佳性能和效率。驱动器用于需要精确运动控制的许多应用中,例如,用于采用升降机、起重机和/或传送带的线自动化应用中。为了使与操作驱动器驱动的工业系统相关联的风险最小化,已经定义了各种安全标准。功能安全(FS)系统和设备安全地监测并且在必要时超驰机器应用以确保安全操作。常规地,使用单独的功能安全认证的处理器来实现功能安全。换言之,在典型的驱动器架构中,提供一个处理器用于执行非FS相关功能,以及提供另一个处理器用于执行FS相关功能。在一些替选解决方案中,仅提供功能安全认证的处理器,使得FS相关功能和非FS相关功能二者均由同一FS认证的处理器执行。然而,在这样的解决方案中,对认证的需求是非FS相关功能的瓶颈。
因此,需要一种用于实现功能安全以克服或减轻前述问题中的至少一些问题的更简单的方式。
发明内容
根据第一方面,提供了一种用于控制马达的频率转换器的计算设备的功能安全FS看门狗定时器电路,所述FS看门狗定时器电路被配置成执行以下操作:响应于所述FS看门狗定时器电路的定时器到期而触发所述频率转换器的安全状态;响应于从使用非反相逻辑运行FS软件的所述计算设备接收到第一刷新信号将所述定时器复位;以及响应于从使用反相逻辑运行所述FS软件的所述计算设备接收到第二刷新信号将所述定时器复位。
根据第二方面,提供了一种用于频率转换器的计算设备,包括:至少一个处理器;以及至少一个存储器,其包括计算机程序代码,其中,所述计算机程序代码包括功能安全FS软件和非FS频率转换器操作软件,并且所述至少一个存储器和所述FS软件被配置成利用所述至少一个处理器使用非反相逻辑使所述计算设备至少执行以下操作:将第一刷新信号周期性地发送至FS看门狗定时器电路;监测所述FS软件的状态;以及响应于在所述监测期间检测到故障或偏离而中断所述第一刷新信号的周期性发送,其中,所述至少一个存储器和所述FS软件被配置成利用所述至少一个处理器使用反相逻辑使所述计算设备至少执行以下操作:将第二刷新信号周期性地发送至所述FS看门狗定时器电路;监测所述FS软件的状态;以及响应于在所述监测期间检测到故障或偏离而中断所述第二刷新信号的周期性发送。
根据第三方面,提供了一种用于频率转换器的计算设备,包括:至少一个处理器;以及至少一个存储器,其包括计算机程序代码,其中,所述计算机程序代码包括功能安全FS软件和非FS频率转换器操作软件,并且所述至少一个存储器和所述FS软件被配置成利用所述至少一个处理器使用非反相逻辑使所述计算设备至少执行以下操作:监测所述FS软件的状态;以及将第一刷新信号周期性地发送至FS看门狗定时器电路,其中,所述第一刷新信号包括基于所述FS软件的状态生成的时变代码,所述时变代码用于验证所述FS软件的状态;其中,所述至少一个存储器和所述FS软件被配置成利用所述至少一个处理器使用反相逻辑使所述计算设备至少执行以下操作:监测所述FS软件的状态;以及将第二刷新信号周期性地发送至所述FS看门狗定时器电路,其中,所述第二刷新信号包括基于所述FS软件的状态生成的时变代码,所述时变代码用于验证所述FS软件的状态。
根据第四方面,提供了一种非暂态计算机可读介质,其上存储有包括功能安全FS软件的指令,所述指令在由计算设备使用非反相逻辑执行时使所述计算设备执行以下操作:将第一刷新信号周期性地发送至功能安全FS看门狗定时器电路;监测所述FS软件的状态;以及响应于在所述监测期间检测到故障或偏离而中断所述第一刷新信号的周期性发送,其中,所述指令在由所述计算设备使用反相逻辑执行时使所述计算设备还执行以下操作:将第二刷新信号周期性地发送至所述FS看门狗定时器电路;监测所述FS软件的状态;以及响应于在所述监测期间检测到故障或偏离而中断所述第二刷新信号的周期性发送。
根据第五方面,提供了一种非暂态计算机可读介质,其上存储有包括功能安全FS软件的指令,所述指令在由计算设备使用非反相逻辑执行时使所述计算设备执行以下操作:监测所述FS软件的状态;以及将第一刷新信号周期性地发送至FS看门狗定时器电路,其中,所述第一刷新信号包括基于所述FS软件的状态生成的时变代码,所述时变代码用于验证所述FS软件的状态,其中,所述指令在由所述计算设备使用反相逻辑执行时使所述计算设备还执行以下操作:监测所述FS软件的状态;以及将第二刷新信号周期性地发送至所述FS看门狗定时器电路,其中,所述第二刷新信号包括基于所述FS软件的状态生成的时变代码,所述时变代码用于验证所述FS软件的状态。
根据第六方面,提供了一种频率转换器,其包括:根据第一方面所述的功能安全FS看门狗定时器电路以及根据第二或第三方面所述的计算设备。
在附图和以下描述中更详细地阐述了实现方式的一个或更多个示例。根据说明书和附图以及根据权利要求书,其他特征将是明显的。
一些实施方式提供用于实现功能安全概念的装置、方法、系统和计算机可读介质。
附图说明
在下文中,将参照附图更详细地描述示例实施方式,在附图中
图1A和图1B示出了根据实施方式的示例性工业系统;以及
图2A、图2B、图2C以及图3至图7示出了根据实施方式的过程。
具体实施方式
以下实施方式仅作为示例呈现。尽管说明书在文本的若干位置中可以指代“一(an)”、“一个(one)”或“一些”实施方式和/或示例,但这并不一定意指每次提及均指同一实施方式或示例,或者特定特征仅适用于单个实施方式和/或示例。不同实施方式和/或示例的单个特征也可以被组合以提供其他实施方式和/或示例。
安全标准将安全定义为不受不可接受风险影响的状态。消除风险的最有效方法是将其设计为消失。但是由于通过设计降低风险并非总是可能或切实可行,并且因此出于若干原因,利用静态防护装置进行防护通常是次佳选项。与突然的安全停止相比,快速且安全地停止机器不仅降低了风险,而且增加了机器的运行时间和生产率。同时,履行法律义务,并且确保人员和环境的安全。机械中的功能安全(FS)通常意指安全地监测并在必要时超驰机器应用以确保安全操作的系统。因此,与安全相关的系统通过检测危险状况并通过确保进行期望动作例如安全停止来使操作进入安全状态来实现所需的安全功能。安全功能可以被定义为机器的功能,机器的故障会导致风险的立即增加。安全系统监测可以包括机器速度、旋转方向、停止和停滞。当执行安全功能——例如监测偏离预期值(即过快)的爬行速度时,安全系统会检测到该偏离并且通过例如安全地停止机器并从马达轴移除转矩来主动使机器操作返回安全状态。安全系统中的任何故障将立即增加与机器操作相关的风险。
常规地,使用单独的功能安全认证的处理器来实现功能安全。换言之,在典型的驱动器(或频率转换器)架构中,提供一个处理器(或中央处理单元,CPU)来执行非FS相关功能,并且提供另一个FS认证的处理器(或CPU)用于执行FS相关功能。这些处理器可以在不同的印刷电路板(PCB)上或同一PCB上实现。在一些替选解决方案中,仅提供功能安全认证的处理器,使得FS相关功能和非FS相关功能二者由同一认证的处理器执行。然而,在这样的解决方案中,对处理器的认证需求是非FS相关功能的瓶颈,这是因为例如嵌入式操作系统也需要认证。
将要讨论的实施方式用于克服或至少减轻用于在驱动器或频率转换器中实现功能安全的当前方案的问题中的至少一些。
在图1A和图1B中示出了可以应用本发明的实施方式的系统的两种替选架构。图1A和图1B示出了简化的系统架构,其仅示出了一些元件和功能实体(即,仅示出了一些功能安全相关的元件和功能实体),所有都是其实现方式可能与所示出的不同的逻辑单元。图1A和图1B中示出的连接是逻辑连接;实际的物理连接可能不同。对于本领域技术人员明显的是,系统还可以包括其他功能和结构。
在下文中,首先详细讨论图1A,然后讨论图1B,其中着重于与图1A相比的差异。除非另有说明,否则关于图1A提供的定义同样也适用于图1B的系统。
图1A示出了包括控制马达118的驱动器101的系统。驱动器101(也被称为马达驱动器)至少包括计算设备102、功能安全(FS)看门狗定时器电路111和安全转矩关闭(STO)安全功能117。马达118还可以连接至机械系统,使得驱动器101、马达118和机械系统一起形成工业系统(例如,生产或组装线系统或其一部分)。
驱动器101是用于控制马达118的运动的设备。所述控制可以通过改变驱动器101的一个或更多个驱动参数来实现,所述一个或更多个驱动参数可以包括诸如转矩、速度、功率、电压、频率、马达控制模式(例如,标量、矢量或直接转矩控制)、比例积分微分(PID)控制器设置、加速斜坡设置、减速斜坡设置的参数和/或影响驱动器的操作的其他参数。具体地,驱动器101可以是电驱动器(支持低电压至高电压和/或低马达速度至高马达速度的AC驱动器)。驱动器101也可以被称为频率转换器。驱动器101可以是可编程逻辑控制器(PLC)或(马达)软启动器。在一个实施方式中,驱动器101可以是变速驱动器(VSD)或变频驱动器(VFD)。与术语“驱动器”的一些定义相比之下,在本申请的上下文中,由驱动器101驱动的马达118本身不形成驱动器101的一部分(也如图1中所示)。
驱动器101可以包括用于为马达118供电的至少一个高压电力单元(图1中未示出)和用于向电力单元提供控制信号以控制驱动器101并启用安全功能的低压控制单元(至少包括元件102、111、117)。在一些实施方式中,控制单元和电力单元可以集成到单个单元中。
驱动器101可以使用(有线)连接来连接至驱动工业或非工业过程(即,驱动用于执行工业或非工业过程的机器、设备、部件、装置或系统)的马达118。驱动器101(或者具体地其至少一个电力单元)可以经由三相电源给马达118馈电。马达118可以是例如异步马达(例如,感应马达)、同步马达(例如,永磁马达)或磁阻马达(例如,同步磁阻马达)。马达可以用于运行例如用于运输材料的系统——例如泵、风扇、压缩机、鼓风机、传送带、起重机和/或电梯——和/或用于处理材料的系统——例如造纸机、磨坊、搅拌器和/或离心机。尽管图1示出了单个马达118,但是在其他实施方式中,驱动器101可以用于控制包括多个马达的电机。
计算设备102包括处理器103、接口104和存储器105。处理器103可以是驱动器101的中央处理单元(CPU),或者具体地是驱动器101的“正常”非FS认证的中央处理单元(CPU)。在一些实施方式中,可以在计算设备102中设置有一个或更多个控制电路系统例如一个或更多个处理器代替单个处理器103。根据实施方式,计算设备102可以包括一个或更多个控制电路系统103例如至少一个处理器以及至少一个存储器105,至少一个存储器105包括一种或更多种算法107,例如计算机程序代码(软件)108、109,其中,至少一个存储器和计算机程序代码(软件)108、109利用至少一个处理器被配置成使计算设备执行下面将描述的计算设备的示例性功能中的任何一种。根据不同实施方式,使用诸如ASIC(专用集成电路)的特定集成电路或其他部件和设备来实现功能也是可行的。
可以使用任何合适的数据存储技术来实现计算设备102的存储器105,数据存储技术诸如基于半导体的存储器设备、闪存、磁存储器设备和系统、光学存储器设备和系统、固定存储器和可移动存储器。存储器105包括至少一个数据库106和软件107(即,一种或更多种算法)。具体地,软件107可以包括功能安全(FS)软件108和非FS驱动器操作软件109。非FS驱动器操作软件109也可以被称为非FS频率转换器操作软件109。处理器103可以被配置成使用非反相逻辑和反相逻辑二者来至少运行FS软件108。在一些实施方式中,软件107中的一些或全部可能已经使用FS认证的编译器被编译。
非FS驱动器操作软件109可以用于执行驱动器101的非FS相关功能。驱动器101的所述非FS相关功能至少包括用于控制电连接至驱动器的马达(或者具体地,电动马达)的运动(例如,通过调节驱动器101的一个或更多个驱动参数以调节马达118的运动)的功能。可以例如在使用非反相逻辑运行FS软件108与使用反相逻辑运行FS软件108之间周期性地运行(例如,使用正常的非反相逻辑)非FS驱动器操作软件109。
计算设备102的接口104可以包括例如一个或更多个通信接口,一个或更多个通信接口包括用于根据一种或更多种通信协议来实现通信连接的硬件和/或软件。具体地,一个或更多个通信接口104可以包括例如提供与FS看门狗定时器电路111的STO控制引脚112的连接的接口、提供与FS看门狗定时器电路111的反相STO控制引脚113的连接的接口、提供与FS看门狗定时器电路111的刷新引脚114的连接的接口、提供与FS看门狗定时器电路111的反相刷新引脚115的连接的接口。提供与刷新引脚114和STO控制引脚112的连接的接口可以由FS软件108在使用非反相逻辑运行时控制,而提供与反相刷新引脚115和反相STO控制引脚113的连接的接口可以由FS软件108在使用反相逻辑运行时控制。一个或更多个通信接口104可以包括标准的公知部件,例如一个或更多个天线以及由相应控制单元控制的放大器、滤波器、频率转换器、(解调)调制器和编码器/解码器电路系统。一个或更多个通信接口104还可以包括用户接口。
FS看门狗定时器电路111是用于功能安全目的的硬件看门狗定时器。根据一般定义,看门狗定时器(有时被称为计算机正常操作或COP定时器,或者简称为看门狗)是用于检测计算机故障并从计算机故障恢复的电子定时器。通常,FS看门狗定时器具有预定义的起始值,从所述预定义的起始值开始递减计数直至达到零或另一个预定义的值。在由看门狗定时器观察的计算设备的正常操作期间,计算设备周期性地复位看门狗定时器(即,将看门狗定时器复位为预定义的起始值)以防止其到期或超时。重新启动看门狗定时器的动作通常被称为“踢”看门狗。如果由于硬件故障或程序错误,计算设备无法复位看门狗,则定时器将到期(即达到零或另一个预定义的值)并且生成超时信号。超时信号用于发起一个或多个纠正动作。
根据实施方式的FS看门狗定时器电路111在以下情况下提供了在上一段中描述的功能:计算设备102是由FS看门狗定时器电路111观察的计算设备,并且超时信号对应于用于触发驱动器的安全状态即在此专门触发STO安全功能117的信号。然而,为了确保所有故障将被检测到,FS看门狗定时器电路111被配置成周期性地接收用于复位定时器的两个不同的刷新信号:第一刷新信号,其经由刷新引脚114接收并且使用利用非反相逻辑运行的FS软件108来生成;以及第二刷新信号,其经由反相刷新引脚115接收并且使用利用反相逻辑运行的FS软件108来生成。第一刷新信号和第二刷新信号可以与同一定时器相关联。
如以上所提到的,除了用于复位定时器的刷新引脚114和反相刷新引脚115之外,FS看门狗定时器电路111还可以包括用于从计算设备102分别接收STO控制数据和反相STO控制数据的STO控制引脚112和反相STO控制引脚113。此外,可以提供至少一个引脚或输出116以触发(或控制)STO安全功能117。
在一些实施方式中,FS看门狗定时器电路111是窗式看门狗。不仅在定时器到期的情况下而且在定时器复位次数大于预期的情况下触发窗式看门狗。换言之,窗式看门狗不仅检测定时器是否溢出,而且还检测其是否下溢。
在一些实施方式中,FS看门狗定时器电路111是专用集成电路(ASIC)或现场可编程门阵列(FPGA)。
STO安全功能117是用于使驱动器安全地进入无转矩状态的基于驱动器的功能安全的基本基础。STO安全功能117可以用于防止马达118的意外启动和/或用于使马达118停止(例如,由于过热或超速保护目的或作为马达118的紧急停止)。具体地,所述紧急停止满足停止类别0。停止类别0意指通过立即移除机器致动器的电力来停止(即,不受控制的停止——通过移除到机器致动器的电源使机器运动停止)。马达118的停止可以通过以(预定义的)受控方式关闭驱动器101的电力单元来实现。
在一些实施方式中,除了STO安全功能117之外,驱动器101可以包括(或连接至)一个或更多个其他安全功能(图1中未示出)。所述一个或更多个其他安全功能可以包括例如安全停止1(SS1)、安全停止紧急情况(SSE)、安全限制速度(SLS)、安全最大速度(SMS)和安全制动控制(SBC)中的一个或更多个。所述一个或更多个其他安全功能中的至少一些还可以由计算设备102使用FS软件108来控制(或触发)(例如,在接收到相应的用户输入时)。
虽然FS看门狗定时器电路111和STO安全功能117(以及一个或更多个其他安全功能)可以是驱动器101的组成部分(如图1A中所示),但在其他实施方式中,元件111、117中的一个或更多个可以形成一个或多个单独的系统(在驱动器101外部)。
如以上所提到的,图1B示出了图1A中示出的实施方式的替选实施方式。与图1A的系统类似,图1B中示出的系统包括控制马达168的驱动器151。驱动器151至少包括计算设备152、功能安全(FS)看门狗定时器电路161和STO安全功能167。图1B的元件156、160、167、168可以完全对应于如上所述的图1A的元件106、110、117、118。
图1B的系统与图1A的系统的不同之处在于,在图1B中利用计算设备152与FS看门狗定时器电路161之间的单个通信链路160替换了图1A中使用刷新引脚114和反相刷新引脚115实现的计算设备102与FS看门狗定时器电路111之间的连接。该通信链路160可以是有线或无线通信链路。通信链路160可以根据一种或更多种通信协议来实现通信连接。具体地,通信链路160可以采用至少一种串行通信协议。例如,通信链路160可以采用集成电路间(I2C)协议、串行外围接口(SPI)协议和通用异步接收和传输(UART)协议中的至少一种。计算设备152和FS看门狗定时器电路161中的每一个可以包括提供所述通信链路160的相应的通信接口154、164。提供通信链路160的所述通信接口可以包括标准的公知部件,例如一个或更多个天线以及由相应控制单元控制的放大器、滤波器、频率转换器、(解调)调制器和编码器/解码器电路系统。除了关于传输方式的这种变化之外,计算设备152的接口154和FS看门狗定时器电路161的引脚162、163、166可以完全对应于如关于图1A所描述的计算设备102的接口104以及FS看门狗定时器电路111的引脚112、113、116。
通信链路160可以用于将诸如时变代码的信息从计算设备152传输至FS看门狗定时器电路161。FS看门狗定时器电路161可以被配置成基于所述时变代码验证计算设备的状态(或者具体地,FS软件的状态)。因此,FS看门狗定时器电路161可以被认为是图1A的FS看门狗定时器电路111的更高级形式,其能够处理从计算设备152接收的更复杂的信息。因此,图1B的处理器153和FS软件158与图1A的系统的相应元件103、108相比还可以被不同地配置或定义,如将在下面更详细地讨论的。
在一些实施方式中,FS看门狗定时器电路161是专用集成电路(ASIC)或现场可编程门阵列(FPGA)。
虽然图1A和图1B示出了仅单个安全逻辑(即FS看门狗定时器电路111、161)和仅单个安全功能(即STO安全功能117、167),但应当理解,驱动器101、151还可以包括一个或更多个其他安全逻辑和一个或更多个其他安全功能。
图2A、图2B以及图2C示出了根据实施方式的用于操作驱动器的计算设备以便能够使用FS看门狗定时器电路来触发驱动器的安全状态的过程。所讨论的计算设备可以是图1A的计算设备102或图1B的计算设备152。
图2A示出了根据实施方式的计算设备在操作期间的(处理器)调度。具体地,图2A示出了四个连续的时间间隙100、110、120、130,它们分别被调度用于运行FS软件100,运行非FS驱动器操作软件110,运行反相FS软件120(即,使用反相逻辑运行FS软件)以及运行(再次)非FS驱动器操作软件130。图2A中示出的调度可以重复,使得在运行非FS驱动器操作软件230之后,可以使用非反相逻辑来再次运行FS软件。因此,根据示出的实施方式,在使用非反相逻辑200运行FS软件108与使用反相逻辑220运行FS软件108之间运行(例如,使用非反相逻辑)非FS驱动器操作软件210。可以周期性地运行FS软件和非FS驱动器操作软件中的每一个,使得运行FS软件的每个其他实例采用反相逻辑。
如以上所提到的,非FS驱动器操作软件210、230可以用于执行驱动器的非FS相关功能。驱动器101的所述非FS相关功能可以至少包括控制电连接至驱动器的电动马达的运动(例如,通过调节驱动器的一个或更多个驱动参数)。关于图2B和图2C详细描述了当使用非反相200和反相逻辑220运行时FS软件的功能。
虽然在图2A中每个框200、210、220、230的长度相同,但是在一些实施方式中,与所述框200、210、220、230相关联的持续时间可以不同。具体地,框200、210、220、230可以分别对应于第一预定义时间量、第二预定义时间量、第三预定义时间量和第四预定义时间量。在一些实施方式中,所述第一预定义时间量和第三预定义时间量可以相等和/或所述第二预定义时间量和第四预定义时间量可以相等。
应当注意,在其他实施方式中,可能不总是在运行FS软件(使用非反相逻辑或反相逻辑)的两个连续实例之间运行非FS驱动器操作软件210、230。与图2A中示出的简单示例相比,也可能存在调度中的其他差异。根据一般定义,可以周期性地但在不同时间使用非反相逻辑和使用反相逻辑运行FS软件。
应当注意,不仅可以结合图2B和图2C的过程而且可以结合根据其他实施方式(例如,图4和图6)的驱动器的计算设备的过程中的任何过程来应用关于图2A所讨论的调度。
图2B和图2C分别示出了当使用非反相逻辑和反相逻辑运行FS软件时计算设备的操作。换言之,图2B的过程对应于图2A的框200,以及图2C的过程对应于图2A的框220。
参照图2B,在框201中,计算设备将第一刷新信号周期性地发送至FS看门狗定时器电路。具体地,第一刷新信号经由FS看门狗定时器电路的刷新引脚(在图1A的系统的情况下)或者经由通信链路(在图1B的系统的情况下)被发送。第一刷新信号可以是没有携带信息的简单信号,例如具有特定频率或至少在特定频率范围内的交流(AC)信号或方波信号。可替选地,第一刷新信号可以是携带诸如时变代码的信息的更复杂的信号。具体地,后者选项可以与图1B的系统一起使用。在框202中,计算设备监测计算设备的状态。具体地,在框202中,计算设备可以监测指示计算设备的(FS)状态的FS软件的状态。框202中的监测可以包括监测随机存取存储器中的相关数据(在此其可以是专用于使用非反相逻辑运行FS软件的数据)的有效性和/或一个或更多个永久存储器中的相关数据的有效性。在框202中得到的关于当前状态的信息可以被存储到计算设备的存储器。响应于在框203中在监测期间检测到(或遇到)故障或偏离正常操作,在框204中,计算设备中断第一刷新信号的周期性发送(即,根据框201进行的发送)。因此,FS看门狗定时器电路的定时器将到期,从而导致触发驱动器的安全状态(例如,通过触发STO安全功能)并且因此导致以受控且安全的方式使马达停止。
图2C示出了当使用反相逻辑运行FS软件时计算设备的操作,这在大部分上与图2B的过程相对应。除了采用反相逻辑的事实之外,这两个过程之间的唯一区别在于,在图2C中,在框221中,计算设备将第二刷新信号发送至FS看门狗定时器电路。具体地,第二刷新信号可以经由FS看门狗定时器电路的反相刷新引脚(在图1A的系统的情况下)或者经由通信链路(在图1B的系统的情况下)被发送。在后一种情况下,相同的通信链路可以用于图2B和图2C的两个过程。类似于第一刷新信号,第二刷新信号可以是没有包含信息的简单信号或者包括诸如时变代码的信息的更复杂的信号。相应地,在框224中,计算设备中断第二刷新信号的周期性发送(即,根据框221的发送)。
除了采用反相逻辑的事实之外,框222、223可以对应于框202、203。相应地,在框222中对计算设备(或FS软件)的状态的监测可以包括监测随机存取存储器中的相关数据(在此其可以是专用于使用反相逻辑运行FS软件的数据)的有效性和/或一个或更多个永久存储器中的相关数据的有效性。
在一些实施方式中,在框204、224中,计算设备可以完全中断FS软件的运行。通常,在框204、224中,计算设备可以中断任何周期性发送(包括框201、221二者)和/或所有监测活动(即,根据202、203、222、223的动作)。
在一些实施方式中,计算设备可以将关于使用非反相逻辑运行时的FS软件以及关于使用反相逻辑运行时的FS软件的单独数据存储在随机存取存储器(RAM)中。在后一种情况下,RAM中的数据可能反相。可以例如在框202、222中的监测中分别使用与非反相逻辑和反相逻辑相关联的所述RAM数据。
图3示出了根据实施方式的FS看门狗定时器电路观察驱动器的计算设备(或处理器或CPU)以触发驱动器的安全状态(例如,通过触发驱动器的STO安全功能)的基本功能。图3的过程可以由图1A的FS看门狗定时器电路111或由图1B的FS看门狗定时器电路161执行。由FS看门狗定时器电路执行的图3的过程可以对应于响应于驱动器的计算设备执行图2A、图2B以及图2C的过程而执行的动作。
参照图3,假设FS看门狗定时器电路的定时器已经在某个较早的时间点启动(例如,如下所述,响应于接收到第一刷新信号或第二刷新信号),并且因此FS看门狗定时器电路的定时器一直在递减计数。响应于框301中的从运行FS软件的计算设备接收到刷新信号,在框302中,FS看门狗定时器电路将FS看门狗定时器电路的定时器复位。换言之,在框302中将定时器再次设置为预定义的起始值。在框301中接收的刷新信号可以是经由FS看门狗定时器电路的刷新引脚从使用非反相逻辑运行FS软件的计算设备接收的第一刷新信号或者经由FS看门狗定时器电路的反相刷新引脚从使用反相逻辑运行FS软件的计算设备接收的第二刷新信号。在其他实施方式中,在框301中接收的刷新信号可以是通过通信链路从使用非反相逻辑运行FS软件的计算设备接收的第一刷新信号或者通过所述通信链路从使用反相逻辑运行FS软件的计算设备接收的第二刷新信号。
响应于框303中的FS看门狗定时器电路的定时器到期(即,达到零或其他预定义值),在框304中,FS看门狗定时器电路触发驱动器的安全状态(或者具体地,驱动器的STO安全功能)。具体地,触发可以包括经由FS看门狗定时器电路的相应输出端将触发STO控制信号发送至STO安全功能。
在FS看门狗定时器电路是窗式看门狗的实施方式中,可以在框303中执行两种不同的检查。即,除了上一段中描述的功能(即,检查定时器是否已到期)之外,确定定时器的连续复位(即,前两次连续复位)之间的时段是否低于预定义的下阈值。如定时器的连续复位之间的时段低于预定义的下阈值,则在框304中,窗式FS看门狗定时器电路触发驱动器的安全状态。可以在每当在框302中将定时器复位时执行该第二检查。为了启用该功能,窗式FS看门狗定时器电路可以被配置成将关于框302中的定时器的复位时间的信息存储到存储器。
图4和图5分别示出了根据实施方式的驱动器的计算设备(例如,CPU)以及FS看门狗定时器电路观察计算设备以触发驱动器的安全状态(例如,通过触发驱动器的STO安全功能)的其他功能。图4的过程可以由图1A的计算设备102或图1B的计算设备152执行,而图5的过程可以由图1A的FS看门狗定时器电路111或由图1B的FS看门狗定时器电路161执行。图4和图5的过程可以由所述两个设备并行执行。
图4的过程可以对应于由驱动器的使用非反相或反相逻辑运行FS软件的计算设备执行的过程。在框401中,计算设备将第一刷新信号(如果使用非反相逻辑)或第二刷新信号(如果使用反相逻辑)周期性地发送至FS看门狗定时器电路。如在上述实施方式中那样,第一刷新信号可以经由FS看门狗定时器电路的刷新引脚(在图1A的系统的情况下)或经由通信链路(在图1B的系统的情况下)被发送至FS看门狗定时器电路。此外,类似于上述实施方式,在框402中,计算设备监测计算设备的状态(或者具体地,FS软件的状态),并且响应于在框403中的监测期间检测到故障或偏离,在框406中,计算设备中断第一刷新信号或第二刷新信号的周期性发送(即,根据框401进行的发送)。
然而,在图4的过程中,FS看门狗定时器电路还可以以更直接的方式被控制。响应于在框404中接收到STO控制命令,在框405中,计算设备经由FS看门狗定时器电路的STO控制引脚(如果使用非反相逻辑)或者经由FS看门狗定时器电路的反相STO控制引脚(如果使用反相逻辑)将STO控制信号发送至FS看门狗定时器电路。STO控制命令可以由计算设备例如经由驱动器的用户输入设备(例如,驱动器控制面板)来接收。换言之,驱动器的用户可能能够经由驱动器的用户输入设备手动控制(至少触发)STO安全功能。
在图4中,假设STO控制信号对应于用于触发STO安全功能(即,用于以受控方式使由驱动器控制的马达停止)的控制信号。因此,在在框405中发送STO控制信号之后,根据框406也中断第一和/或第二刷新信号的周期性发送。
如上面所提到的,图5可以对应于在计算设备执行根据图4的过程时由FS看门狗定时器电路执行的过程。响应于框501中的经由FS看门狗定时器电路的STO控制引脚(与使用非反相逻辑运行的FS软件相关联)从计算设备接收到用于触发STO安全功能的第一STO控制信号,在框507中,FS看门狗定时器电路触发驱动器的STO安全功能。类似地,响应于框502中的经由FS看门狗定时器电路的反相STO控制引脚(与使用反相逻辑运行的FS软件相关联)从计算设备接收到用于触发STO安全功能的第二STO控制信号,在框507中,FS看门狗定时器电路也触发FS安全功能。
元素503至507可以对应于图3的元素301至304,因此在此不详细讨论。然而,应当注意,在图5中,第一刷新信号和第二刷新信号的接收利用分离的元素503、504示出,而在图3中,单个元素301用于示出相同的功能。
图6和图7分别示出了根据更高级实施方式的驱动器的计算设备以及FS看门狗定时器电路观察计算设备以触发驱动器的安全状态(例如,通过触发驱动器的STO安全功能)的过程。具体地,图6的过程可以由图1B的计算设备152执行,而图7的过程可以由图1B的FS看门狗定时器电路161执行。图6和图7的过程可以由所述两个设备并行执行。如上面关于图2A所描述的,可以执行计算设备在根据这些实施方式的操作期间的调度。
类似于图4的过程,图6的过程可以对应于由驱动器的使用非反相逻辑或使用反相逻辑运行FS软件的计算设备执行的过程。
类似于上述实施方式,在框601中,计算设备监测计算设备的状态。具体地,在框601中,计算设备可以监测指示计算设备的(FS)状态的FS软件的状态。在框601中得到的关于当前状态的信息可以以正常的非反相方式和反相方式(取决于计算设备当前是正在使用非反相还是反相逻辑进行操作)被存储到计算设备的存储器。
在框602中,基于所述监测,计算设备生成时变代码(即,定义为随时间变化的代码)。时变代码可以指示计算设备的(或在计算设备中运行的FS软件的)状态。时变代码可以对应于区块链,并且框602中的生成可以包括将块添加至区块链。具体地,框602中的生成可以包括将区块链中的先前块的先前计算的散列(即,消息摘要)和时间戳或消息计数器添加至关于在框601中得到的计算设备的(或FS软件的)当前状态的信息,以及在所得数据上计算(第二)散列。当重复该过程时,该第二散列将被包括在区块链的后续块中。对于区块链中的第一块,该过程可能略有不同,因为在所述第一块中可以不包括散列。
在框603中,计算设备通过计算设备与FS看门狗定时器电路之间的通信链路将第一刷新信号(如果使用非反相逻辑)或第二刷新信号(如果使用反相逻辑)发送至FS看门狗定时器电路。在此,所述第一刷新信号或第二刷新信号包括基于计算设备的(或FS软件的)状态生成的所述时变代码。时变代码可以由FS看门狗定时器电路使用以验证计算设备的(或者具体地FS软件的)状态。
框603中的发送可以是周期性的(如由元素601至604形成的循环来证实)。可以周期性地或连续地执行框601中的监测和框602中的生成。
图6的框604、605可以对应于图4的框404、405,并且因此为了简洁在此不再重复。然而,应当强调的是,在此也经由STO控制引脚或经由反相STO控制引脚(取决于使用非反相逻辑还是反相逻辑)即不经由通信链路来执行STO控制信号的发送。在一些实施方式中,可以省略框604、605(其中框603直接引回到框601)。
在一些实施方式中,类似于关于上述实施方式所讨论的,计算设备可以响应于在框601中的监测期间检测到(或遇到)故障或偏离而中断第一和/或第二刷新信号的周期性发送。在包括指示所述检测到的故障或偏离的时变代码的第一或第二刷新信号(分别取决于当前使用非反相逻辑还是反相逻辑)通过通信链路被发送之前,所述中断可以被延迟(如果可能的话)。
此外,如针对其他实施方式所描述的,在这些实施方式中,计算设备还可以将关于使用非反相逻辑运行时的FS软件以及关于使用反相逻辑运行时的FS软件的单独数据存储在随机存取存储器(RAM)中。
参照图7,利用框701示出的STO控制功能可以完全对应于关于图5的框501、502所讨论的功能,并且因此为了简洁在此不再重复。应当注意,在一些简单的实施方式中,可以省略框701(类似于例如图3)。
如上面所提到的,FS看门狗定时器电路可以基于从计算设备接收到的信息来对计算设备的状态进行其自身的分析。具体地,响应于在框702中通过通信链路接收到包括时变代码的第一或第二刷新信号,在框703中,FS看门狗定时器电路基于接收到的(时变)代码(即,包括在所述第一或第二刷新信号中的代码)验证计算设备(或者特别地其FS软件)的当前状态。如上所述,时变代码可以例如对应于区块链。在这样的实施方式中,在框703中验证计算设备的状态可以包括确定所接收的区块链是否有效。该有效性检查可以包括例如验证已经利用正确的签名密钥对区块链中的所有散列进行了签名。
响应于在框704中验证成功(即,指示没有故障或没有偏离正常操作),在框705中,FS看门狗定时器电路将其定时器复位(类似于例如关于图3的框302所讨论的)。响应于在框703中验证指示故障或偏离,在框708中,FS看门狗定时器电路触发驱动器的STO安全功能。框706、707可以对应于图3的框303、304或图5的框506、507,并且因此在此不详细讨论。此外,框706、707可以对应于相同动作(仅为了清楚呈现而被绘制为单独的实体)。
上面讨论的实施方式提供优于常规解决方案(例如,在具体实施方式部分的开头中描述的解决方案)的若干优点。所述优点包括例如以下:
·由于FS软件和反相FS软件的分离,所有故障将被检测到。这些故障可以包括例如由于电磁兼容性(EMC)问题或失败的程序逻辑而导致的RAM和ROM数据损坏、比特翻转。
·不需要其他处理器(或CPU)来实现功能安全。
·可以在实施方式中采用任何处理器(而不是仅FS认证的处理器)。
·与常规解决方案相比,非FS驱动器操作软件和FS软件可能要简单得多。与由于根据常规解决方案将CPU和FS CPU分离而导致的所需的通信堆栈和附件相比,FS软件的核心逻辑可能非常小。
·与取决于所使用的FS CPU的当前解决方案相比,同一软件由于其可移植而因此可以用于所有后代。
·可以达到安全完整性等级3(SIL3)。
上面借助于图2A、图2B、图2C、图3、图4、图5、图6以及图7描述的框、相关功能和信息交换没有绝对的时间顺序,并且它们中的一些可以同时执行或者以与给定的顺序不同的顺序执行。也可以在它们之间或在它们内部执行其他功能,并且可以发送其他信息和/或应用其他规则。框中的一些或框中的部分或一条或更多条信息也可以被省去或者由相应框或框的部分或一条或更多条信息代替。
如在本申请中使用的,术语“电路系统”和“电路”可以是指以下中一个或更多个或全部:(a)仅硬件的电路实现,例如仅在模拟和/或数字电路系统中的实现;以及(b)硬件电路和软件(和/或固件)的组合,例如(如可适用的话):(i)模拟和/或数字硬件电路与软件/固件的组合、以及(ii)具有软件的硬件处理器的任何部分,包括数字信号处理器、软件和存储器,它们一起工作以使诸如终端设备或接入节点的装置执行各种功能;以及(c)硬件电路和处理器例如微处理器或微处理器的一部分,其需要软件(例如固件)以进行操作,但是当不需要软件以进行操作时软件可以不存在。“电路系统”和/或“电路”的该定义适用于本申请中该术语的所有用法,包括任何权利要求。作为另一示例,如在本申请中使用的,术语“电路系统”或“电路”还覆盖仅硬件电路或处理器(或多个处理器)或硬件电路或处理器的一部分及其(或它们的)随附软件和/或固件的实现。
在实施方式中,结合图2A、图2B、图2C、图3、图4、图5、图6以及图7描述的过程中的至少一些可以由包括用于执行所述过程中的至少一些的相应装置的设备来执行。用于执行过程的一些示例装置可以包括以下中的至少之一:检测器、处理器(包括双核和多核处理器)、数字信号处理器、控制器、接收器、发送器、编码器、解码器、存储器、RAM、ROM、软件、固件、显示器、用户接口、显示电路系统、用户接口电路系统、用户接口软件、显示软件、电路、滤波器(低通、高通、带通和/或带阻)、传感器、电路系统、逆变器、电容器、电感器、电阻器、运算放大器、二极管、晶体管和天线。在实施方式中,至少一个处理器、存储器和计算机程序代码形成处理装置或者包括用于执行根据图2A、图2B、图2C、图3、图4、图5、图6以及图7或其操作的实施方式中的任何一个的一个或更多个操作的一个或更多个计算机程序代码部分。在一些实施方式中,过程中的至少一些可以使用分立组件来实现。
所描述的实施方式也可以全部或至少部分地以由计算机程序或其部分(例如,由FS软件和/或非FS驱动器操作软件)定义的计算机处理的形式来执行。结合图2A、图2B、图2C、图3、图4、图5、图6以及图7描述的方法的实施方式可以通过执行包括相应指令的计算机程序的至少一个部分来执行。计算机程序可以被提供为包括在其上存储的程序指令的计算机可读介质,或者被提供为包括在其上存储的程序指令的非暂态计算机可读介质。计算机程序可以呈源代码形式、目标代码形式或者呈某种中间形式,并且其可以存储在某类载体中,所述载体可以是能够承载程序的任何实体或设备。例如,计算机程序可以存储在计算机或处理器可读的计算机程序分布介质上。例如,计算机程序介质可以是例如但不限于记录介质、计算机存储器、只读存储器、电载波信号、电信信号和软件分发包。计算机程序介质可以是非暂态介质。用于执行所示和所描述的实施方式的软件的编码完全在本领域普通技术人员的范围内。
实施方式可以至少部分地在现有系统中例如在逆变器和/或驱动器的监测系统中实现,或者可以以集中式或分散式方式使用分立元件和器件。现有设备例如逆变器通常包括可以用于实现实施方式的功能的处理器和存储器。因此,实现实施方式所需的改变和组装可以至少部分地由软件例程来处理,所述软件例程又可以实现为添加或更新的软件例程(被定义为前一段中所描述的)。
即使上面已经参考根据附图的示例描述了实施方式,但是清楚的是,实施方式不限于此,而是可以在所附权利要求的范围内以若干方式进行修改。因此,所有单词和表达应被宽泛地解释,并且它们旨在说明而不是限制实施方式。对于本领域技术人员将明显的是,随着技术进步,本发明概念可以以各种方式实现。此外,对于本领域技术人员清楚的是,所描述的实施方式可以但不必须以各种方式与其他实施方式组合。
Claims (22)
1.一种用于控制马达(118,168)的频率转换器(101,151)的计算设备(102,152)的功能安全FS看门狗定时器电路(111,161),所述FS看门狗定时器电路(111,161)被配置成执行以下操作:
响应于所述FS看门狗定时器电路(111,161)的定时器到期而触发所述频率转换器(101,151)的安全状态;
响应于从使用非反相逻辑运行FS软件(108,158)的所述计算设备(102,152)接收到第一刷新信号将所述定时器复位;以及
响应于从使用反相逻辑运行所述FS软件(108,158)的所述计算设备(102,152)接收到第二刷新信号将所述定时器复位。
2.根据权利要求1所述的FS看门狗定时器电路(111,161),其中,触发所述频率转换器(101,151)的安全状态包括触发所述频率转换器(101,151)的安全转矩关闭STO安全功能(117,167),所述FS看门狗定时器电路(111,161)还被配置成执行以下操作:
还响应于经由所述FS看门狗定时器电路(111,161)的STO控制引脚(112,162)从使用非反相逻辑运行所述FS软件(108,158)的所述计算设备(102,152)接收到用于触发所述STO安全功能(117,167)的第一STO控制信号或者经由所述FS看门狗定时器电路(111,161)的反相STO控制引脚(113,163)从使用反相逻辑运行所述FS软件(108,158)的所述计算设备(102,152)接收到用于触发所述STO安全功能(117,167)的第二STO控制信号来触发所述频率转换器(101,151)的STO安全功能(117,167)。
3.根据权利要求1所述的FS看门狗定时器电路(111,161),其中,所述FS看门狗定时器电路(111,161)被配置成经由所述FS看门狗定时器电路(111)的刷新引脚(114)接收所述第一刷新信号以及经由所述FS看门狗定时器电路(111)的反相刷新引脚(115)接收所述第二刷新信号。
4.根据权利要求1所述的FS看门狗定时器电路(111,161),其中,所述FS看门狗定时器电路(111,161)被配置成通过所述计算设备(102,152)与所述FS看门狗定时器电路(161)之间的通信链路(160)来接收所述第一刷新信号和所述第二刷新信号。
5.根据权利要求4所述的FS看门狗定时器电路(111,161),其中,所述第一刷新信号和所述第二刷新信号中的每一个包括时变代码,所述时变代码指示在所述频率转换器(101,151)的计算设备(102,152)中运行的所述FS软件(108)的当前状态。
6.根据权利要求5所述的FS看门狗定时器电路(111,161),其中,所述FS看门狗定时器电路(111,161)还被配置成响应于接收到所述第一刷新信号和所述第二刷新信号中的任一个而执行以下操作:
基于所接收到的时变代码来验证所述FS软件(108,158)的当前状态;
响应于验证指示故障或偏离正常操作,触发所述频率转换器(101,151)的安全状态;以及
响应于验证未指示故障或偏离正常操作,执行所述FS看门狗定时器电路(111,161)的定时器的复位。
7.根据权利要求5所述的FS看门狗定时器电路(111,161),其中,所述时变代码对应于区块链。
8.根据权利要求1所述的FS看门狗定时器电路(111,161),其中,触发所述频率转换器(101,151)的安全状态包括触发所述频率转换器(101,151)的安全转矩关闭STO安全功能(117,167)。
9.根据权利要求1所述的FS看门狗定时器电路(111,161),其中,所述FS看门狗定时器电路(111,161)是窗式看门狗定时器电路,所述FS看门狗定时器电路(111,161)被配置成执行以下操作:
响应于所述定时器的连续复位之间的时段低于预定义的下阈值而触发所述频率转换器(101,151)的安全状态。
10.一种用于频率转换器(101,151)的计算设备(102,152),包括:
至少一个处理器(103,153);以及
至少一个存储器(105,155),其包括计算机程序代码(107,157),其中,所述计算机程序代码(107,157)包括功能安全FS软件(108,158)和非FS频率转换器操作软件(109,159),并且所述至少一个存储器(105,155)和所述FS软件(108,158)被配置成利用所述至少一个处理器(103,153)使用非反相逻辑使所述计算设备(102,152)至少执行以下操作:
将第一刷新信号周期性地发送至FS看门狗定时器电路(111,161);
监测所述FS软件(108,158)的状态;以及
响应于在所述监测期间检测到故障或偏离而中断所述第一刷新信号的周期性发送,
其中,所述至少一个存储器(105,155)和所述FS软件(108,158)被配置成利用所述至少一个处理器(103,153)使用反相逻辑使所述计算设备(102,152)至少执行以下操作:
将第二刷新信号周期性地发送至所述FS看门狗定时器电路(111,161);
监测所述FS软件(108,158)的状态;以及
响应于在所述监测期间检测到故障或偏离而中断所述第二刷新信号的周期性发送。
11.根据权利要求10所述的计算设备(102,152),其中,所述至少一个存储器(105,155)和所述FS软件(108,158)被配置成利用所述至少一个处理器(103,153)使用非反相逻辑使所述计算设备(102,152)执行:经由所述FS看门狗定时器电路(111)的刷新引脚(114)周期性地发送所述第一刷新信号,并且所述至少一个存储器(105,155)和所述FS软件(108,158)被配置成利用所述至少一个处理器(103,153)使用反相逻辑使所述计算设备(102,152)执行:经由所述FS看门狗定时器电路(111)的反相刷新引脚(115)周期性地发送所述第二刷新信号。
12.一种用于频率转换器(101,151)的计算设备(102,152),包括:
至少一个处理器(103,153);以及
至少一个存储器(105,155),其包括计算机程序代码(107,157),其中,所述计算机程序代码(107,157)包括功能安全FS软件(108,158)和非FS频率转换器操作软件(109,159),并且所述至少一个存储器(105,155)和所述FS软件(108,158)被配置成利用所述至少一个处理器(103,153)使用非反相逻辑使所述计算设备(102,152)至少执行以下操作:
监测所述FS软件(108,158)的状态;以及
将第一刷新信号周期性地发送至FS看门狗定时器电路(111,161),其中,所述第一刷新信号包括基于所述FS软件的状态生成的时变代码,所述时变代码用于验证所述FS软件的状态;
其中,所述至少一个存储器(105,155)和所述FS软件(108,158)被配置成利用所述至少一个处理器(103,153)使用反相逻辑使所述计算设备(102,152)至少执行以下操作:
监测所述FS软件(108,158)的状态;以及
将第二刷新信号周期性地发送至所述FS看门狗定时器电路(111,161),其中,所述第二刷新信号包括基于所述FS软件的状态生成的时变代码,所述时变代码用于验证所述FS软件的状态。
13.根据权利要求12所述的计算设备(102,152),其中,所述至少一个存储器(105,155)和所述FS软件(108,158)被配置成利用所述至少一个处理器(103,153)使用非反相逻辑使所述计算设备(102,152)至少执行:通过所述计算设备(152)与所述FS看门狗定时器电路(161)之间的通信链路(160)周期性地发送所述第一刷新信号,并且所述至少一个存储器(105,155)和所述FS软件(108,158)被配置成利用所述至少一个处理器(103,153)使用反相逻辑使所述计算设备(102,152)至少执行:通过所述通信链路(160)周期性地发送所述第二刷新信号。
14.根据权利要求12所述的计算设备(102,152),其中,所述时变代码对应于区块链。
15.根据权利要求10至14中任一项所述的计算设备(102,152),其中,所述至少一个存储器(105,155)和所述计算机程序代码(107,157)还被配置成利用所述至少一个处理器(103,153)使所述计算设备(102,152)周期性地但在不同时间使用非反相逻辑以及使用反相逻辑运行所述FS软件(108,158)。
16.根据权利要求10至14中任一项所述的计算设备(102,152),其中,所述至少一个存储器(105,155)和所述计算机程序代码(107,157)被配置成利用所述至少一个处理器(103,153)使所述计算设备(102,152)在利用非反相逻辑运行所述FS软件(108,158)与利用反相逻辑运行所述FS软件(108,158)之间运行所述非FS频率转换器操作软件(109,159),所述至少一个存储器(105,155)和所述非FS频率转换器操作软件(109,159)被配置成利用所述至少一个处理器(103,153)使所述计算设备(102,152)至少控制电连接至所述频率转换器(101,151)的马达(118,168)的运动。
17.根据权利要求10至14中任一项所述的计算设备(102,152),其中,所述至少一个存储器(105,155)和所述计算机程序代码(107,157)被配置成利用所述至少一个处理器(103,153)使所述计算设备(102,152)至少执行以下操作:
将关于使用非反相逻辑运行时的所述FS软件(108,158)的单独数据以及关于使用反相逻辑运行时的所述FS软件(108,158)的单独数据存储在随机存取存储器中,其中,对所述FS软件(108,158)的状态的任何监测包括监测所述随机存取存储器中的相关数据的有效性和/或监测一个或更多个永久性存储器中的相关数据的有效性。
18.根据权利要求10至14中任一项所述的计算设备(102,152),其中,所述至少一个存储器(105,155)和所述FS软件(108,158)被配置成利用所述至少一个处理器(103,153)使用非反相逻辑使所述计算设备(102,152)还执行以下操作:
通过将STO控制信号发送至所述FS看门狗定时器电路(111,161)的STO控制引脚(112,162)来控制所述频率转换器(101,151)的STO安全功能(117,167),
其中,所述至少一个存储器(105,155)和所述FS软件(108,158)被配置成利用所述至少一个处理器(103,153)使用反相逻辑使所述计算设备(102,152)还执行以下操作:
通过将STO控制信号发送至所述FS看门狗定时器电路(111,161)的反相STO控制引脚(113,163)来控制所述频率转换器(101,151)的STO安全功能(117,167)。
19.一种非暂态计算机可读介质,其上存储有包括功能安全FS软件(108,158)的指令,所述指令在由计算设备(102,152)使用非反相逻辑执行时使所述计算设备(102,152)执行以下操作:
将第一刷新信号周期性地发送至功能安全FS看门狗定时器电路(111,161);
监测所述FS软件(108,158)的状态;以及
响应于在所述监测期间检测到故障或偏离而中断所述第一刷新信号的周期性发送,
其中,所述指令在由所述计算设备(102,152)使用反相逻辑执行时使所述计算设备(102,152)还执行以下操作:
将第二刷新信号周期性地发送至所述FS看门狗定时器电路(111,161);
监测所述FS软件(108,158)的状态;以及
响应于在所述监测期间检测到故障或偏离而中断所述第二刷新信号的周期性发送。
20.一种非暂态计算机可读介质,其上存储有包括功能安全FS软件(108,158)的指令,所述指令在由计算设备(102,152)使用非反相逻辑执行时使所述计算设备(102,152)执行以下操作:
监测所述FS软件(108,158)的状态;以及
将第一刷新信号周期性地发送至FS看门狗定时器电路(111,161),其中,所述第一刷新信号包括基于所述FS软件(108,158)的状态生成的时变代码,所述时变代码用于验证所述FS软件(108,158)的状态,
其中,所述指令在由所述计算设备(102,152)使用反相逻辑执行时使所述计算设备(102,152)还执行以下操作:
监测所述FS软件(108,158)的状态;以及
将第二刷新信号周期性地发送至所述FS看门狗定时器电路(111,161),其中,所述第二刷新信号包括基于所述FS软件(108,158)的状态生成的时变代码,所述时变代码用于验证所述FS软件(108,158)的状态。
21.一种频率转换器(101,151),其包括:
根据权利要求1所述的功能安全FS看门狗定时器电路(111,161);以及
根据权利要求10或12所述的计算设备(102,152)。
22.根据权利要求21所述的频率转换器(101,151),还包括:
能够由所述FS看门狗定时器电路(111,161)控制的安全转矩关闭STO安全功能(117,167)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP19209677.4A EP3822789B1 (en) | 2019-11-18 | 2019-11-18 | Functional safety software concept for motor drives |
EP19209677.4 | 2019-11-18 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112818322A true CN112818322A (zh) | 2021-05-18 |
CN112818322B CN112818322B (zh) | 2024-07-12 |
Family
ID=68609950
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011260614.5A Active CN112818322B (zh) | 2019-11-18 | 2020-11-12 | 用于马达驱动器的功能安全软件概念 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11334411B2 (zh) |
EP (1) | EP3822789B1 (zh) |
CN (1) | CN112818322B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060072251A1 (en) * | 2004-09-30 | 2006-04-06 | Nanotechnologies, Inc. | Safety system |
CN102025312A (zh) * | 2009-09-16 | 2011-04-20 | 株式会社东芝 | 马达控制元件及电气设备 |
US20120110388A1 (en) * | 2010-11-03 | 2012-05-03 | Kevin Patrick Lavery | Watch-Dog Timer with Support for Multiple Masters |
US20150268133A1 (en) * | 2014-03-18 | 2015-09-24 | Stmicroelectronics S.R.L. | Safe scheduler for finite state deterministic application |
CN105765852A (zh) * | 2013-10-01 | 2016-07-13 | 万银电力电子科技有限公司 | 用于功率转换器的柔性数字控制器 |
WO2016138401A1 (en) * | 2015-02-27 | 2016-09-01 | Microchip Technology Incorporated | Watchdog timer |
CN106170416A (zh) * | 2014-02-27 | 2016-11-30 | Trw有限公司 | 马达桥驱动器电路 |
US20180248505A1 (en) * | 2017-02-24 | 2018-08-30 | Fuji Electric Co., Ltd. | Load control system |
CN108697456A (zh) * | 2016-01-15 | 2018-10-23 | 伊西康有限责任公司 | 具有多个控制程序的模块化电池供电手持式外科器械 |
CN108697457A (zh) * | 2001-06-12 | 2018-10-23 | 伊西康有限责任公司 | 包括细长多层轴的模块化电池供电手持式外科器械 |
-
2019
- 2019-11-18 EP EP19209677.4A patent/EP3822789B1/en active Active
-
2020
- 2020-11-12 CN CN202011260614.5A patent/CN112818322B/zh active Active
- 2020-11-18 US US16/951,399 patent/US11334411B2/en active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108697457A (zh) * | 2001-06-12 | 2018-10-23 | 伊西康有限责任公司 | 包括细长多层轴的模块化电池供电手持式外科器械 |
US20060072251A1 (en) * | 2004-09-30 | 2006-04-06 | Nanotechnologies, Inc. | Safety system |
CN102025312A (zh) * | 2009-09-16 | 2011-04-20 | 株式会社东芝 | 马达控制元件及电气设备 |
US20120110388A1 (en) * | 2010-11-03 | 2012-05-03 | Kevin Patrick Lavery | Watch-Dog Timer with Support for Multiple Masters |
CN105765852A (zh) * | 2013-10-01 | 2016-07-13 | 万银电力电子科技有限公司 | 用于功率转换器的柔性数字控制器 |
CN106170416A (zh) * | 2014-02-27 | 2016-11-30 | Trw有限公司 | 马达桥驱动器电路 |
US20150268133A1 (en) * | 2014-03-18 | 2015-09-24 | Stmicroelectronics S.R.L. | Safe scheduler for finite state deterministic application |
WO2016138401A1 (en) * | 2015-02-27 | 2016-09-01 | Microchip Technology Incorporated | Watchdog timer |
CN108697456A (zh) * | 2016-01-15 | 2018-10-23 | 伊西康有限责任公司 | 具有多个控制程序的模块化电池供电手持式外科器械 |
US20180248505A1 (en) * | 2017-02-24 | 2018-08-30 | Fuji Electric Co., Ltd. | Load control system |
Non-Patent Citations (2)
Title |
---|
LASZLO MATHE等: "Multi-functional Converter with Integrated Motor Control, Battery Charging and Active Module Balancing for Electric Vehicular Application", pages 1 - 5, XP055277489, Retrieved from the Internet <URL:《网页在线公开:https://ieeexplore.ieee.org/abstract/document/7007106》> DOI: 10.1109/VPPC.2014.7007106 * |
贺良国等: "谐振锯齿波驱动型冲击直线压电马达", 《振动工程学报》, vol. 28, no. 3, 24 July 2015 (2015-07-24), pages 456 - 461 * |
Also Published As
Publication number | Publication date |
---|---|
US20210149758A1 (en) | 2021-05-20 |
US11334411B2 (en) | 2022-05-17 |
CN112818322B (zh) | 2024-07-12 |
EP3822789A1 (en) | 2021-05-19 |
EP3822789B1 (en) | 2022-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3588208A1 (en) | Servo system | |
JP5682323B2 (ja) | 安全制御システム | |
EP3588210B1 (en) | Motor control device | |
CN110178306A (zh) | 马达控制装置以及马达控制系统 | |
JP5830952B2 (ja) | インバータ装置 | |
JP2012060701A (ja) | 複数台運転ファン駆動装置およびその故障処理方法 | |
EP3354775B1 (en) | Spinning machine with electronic apparatus for providing the spinning machine with ac backup power supply in the case of an outage of ac power supply | |
CN110291716B (zh) | 马达控制装置、系统、失控状态检测方法及存储介质 | |
CN110168926B (zh) | 马达控制装置 | |
CN112818322B (zh) | 用于马达驱动器的功能安全软件概念 | |
CN108450006B (zh) | 驱动器的故障安全速度监控 | |
CN112865667B (zh) | 用于驱动器安全系统的电机速度估计 | |
CN111416557A (zh) | 一种交流伺服控制系统 | |
US20230042139A1 (en) | System and Method for Monitoring a Failsafe Function of Sensors in a Motor | |
CN110168452B (zh) | 马达控制装置 | |
JPWO2005080249A1 (ja) | エレベータの制御装置及びエレベータの制御方法 | |
EP4024700A1 (en) | Power converting device and sign diagnostic method used in same | |
JP5788022B2 (ja) | フェイルセーフな電子制御装置 | |
JP6201457B2 (ja) | ドライブ機器 | |
CN113557481B (zh) | 安全控制装置及安全控制系统 | |
CN108885433A (zh) | 安全控制装置和用于运行安全控制装置的方法 | |
EP4036668A1 (en) | Functional safety techniques for industrial automation devices | |
JP2024025459A (ja) | 診断装置、モータ制御装置、診断方法、診断プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |