JP7249263B2 - 機能安全システム - Google Patents

機能安全システム Download PDF

Info

Publication number
JP7249263B2
JP7249263B2 JP2019207942A JP2019207942A JP7249263B2 JP 7249263 B2 JP7249263 B2 JP 7249263B2 JP 2019207942 A JP2019207942 A JP 2019207942A JP 2019207942 A JP2019207942 A JP 2019207942A JP 7249263 B2 JP7249263 B2 JP 7249263B2
Authority
JP
Japan
Prior art keywords
voltage
power supply
semiconductor device
value
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019207942A
Other languages
English (en)
Other versions
JP2021083206A (ja
Inventor
敏樹 山平
敏弘 川野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Renesas Electronics Corp
Original Assignee
Renesas Electronics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renesas Electronics Corp filed Critical Renesas Electronics Corp
Priority to JP2019207942A priority Critical patent/JP7249263B2/ja
Priority to EP20207365.6A priority patent/EP3823154A1/en
Priority to CN202011285293.4A priority patent/CN112817422A/zh
Priority to US16/950,988 priority patent/US11243246B2/en
Publication of JP2021083206A publication Critical patent/JP2021083206A/ja
Application granted granted Critical
Publication of JP7249263B2 publication Critical patent/JP7249263B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P3/00Arrangements for stopping or slowing electric motors, generators, or dynamo-electric converters
    • H02P3/06Arrangements for stopping or slowing electric motors, generators, or dynamo-electric converters for stopping or slowing an individual dynamo-electric motor or dynamo-electric converter
    • H02P3/18Arrangements for stopping or slowing electric motors, generators, or dynamo-electric converters for stopping or slowing an individual dynamo-electric motor or dynamo-electric converter for stopping or slowing an ac motor
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/282Testing of electronic circuits specially adapted for particular applications not provided for elsewhere
    • G01R31/2827Testing of electronic protection circuits
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/327Testing of circuit interrupters, switches or circuit-breakers
    • G01R31/3277Testing of circuit interrupters, switches or circuit-breakers of low voltage devices, e.g. domestic or industrial devices, such as motor protections, relays, rotation switches
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H9/00Details of switching devices, not covered by groups H01H1/00 - H01H7/00
    • H01H9/54Circuit arrangements not adapted to a particular application of the switching device and for which no provision exists elsewhere
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P25/00Arrangements or methods for the control of AC motors characterised by the kind of AC motor or by structural details
    • H02P25/02Arrangements or methods for the control of AC motors characterised by the kind of AC motor or by structural details characterised by the kind of motor
    • H02P25/022Synchronous motors
    • H02P25/024Synchronous motors controlled by supply frequency
    • H02P25/026Synchronous motors controlled by supply frequency thereby detecting the rotor position
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P29/00Arrangements for regulating or controlling electric motors, appropriate for both AC and DC motors
    • H02P29/02Providing protection against overload without automatic interruption of supply
    • H02P29/024Detecting a fault condition, e.g. short circuit, locked rotor, open circuit or loss of load
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P29/00Arrangements for regulating or controlling electric motors, appropriate for both AC and DC motors
    • H02P29/02Providing protection against overload without automatic interruption of supply
    • H02P29/024Detecting a fault condition, e.g. short circuit, locked rotor, open circuit or loss of load
    • H02P29/025Detecting a fault condition, e.g. short circuit, locked rotor, open circuit or loss of load the fault being a power interruption
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P29/00Arrangements for regulating or controlling electric motors, appropriate for both AC and DC motors
    • H02P29/02Providing protection against overload without automatic interruption of supply
    • H02P29/024Detecting a fault condition, e.g. short circuit, locked rotor, open circuit or loss of load
    • H02P29/026Detecting a fault condition, e.g. short circuit, locked rotor, open circuit or loss of load the fault being a power fluctuation
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P29/00Arrangements for regulating or controlling electric motors, appropriate for both AC and DC motors
    • H02P29/02Providing protection against overload without automatic interruption of supply
    • H02P29/024Detecting a fault condition, e.g. short circuit, locked rotor, open circuit or loss of load
    • H02P29/028Detecting a fault condition, e.g. short circuit, locked rotor, open circuit or loss of load the motor continuing operation despite the fault condition, e.g. eliminating, compensating for or remedying the fault
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02PCONTROL OR REGULATION OF ELECTRIC MOTORS, ELECTRIC GENERATORS OR DYNAMO-ELECTRIC CONVERTERS; CONTROLLING TRANSFORMERS, REACTORS OR CHOKE COILS
    • H02P29/00Arrangements for regulating or controlling electric motors, appropriate for both AC and DC motors
    • H02P29/02Providing protection against overload without automatic interruption of supply
    • H02P29/032Preventing damage to the motor, e.g. setting individual current limits for different drive conditions
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R19/00Arrangements for measuring currents or voltages or for indicating presence or sign thereof
    • G01R19/25Arrangements for measuring currents or voltages or for indicating presence or sign thereof using digital measurement techniques
    • G01R19/2513Arrangements for monitoring electric power systems, e.g. power lines or loads; Logging

Landscapes

  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Power Sources (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Dc-Dc Converters (AREA)
  • Control Of Electric Motors In General (AREA)

Description

本発明は、機能安全システムに関するものである。
近年、システムの信頼性を向上させるために、システムの動作を複数の監視系統を用いて監視することが行われている。また、安全の為の機能をシステムに組み込むことを機能安全と称する。システムの動作を複数の監視系統を用いて監視する例が、特開2006-302614号公報(特許文献1)に開示されている。
特許文献1に記載の制御装置は、第1のMPUと第2のMPUを有する。第2のMPUは、電圧監視回路を含む出力回路を制御する。具体的には、第2のMPUは、電圧監視回路へ供給される電源を遮断する。それによって、電圧監視回路からの出力結果を第1のMPUで観測し、第1のMPUと第2のMPUとの間でクロスコミュニケーションを行い、出力回路の異常を判定する。つまり、特許文献1では、電圧監視回路への配線経路の故障を診断することが出来る。
特開2006-302614号公報
しかしながら、特許文献1では、電圧監視回路自体の故障を診断することが出来ない。そのため、特許文献1に記載の制御装置は、信頼性が低いという課題がある。その他の課題と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
一実施の形態に係る機能安全システムは、外部電源に基づいて第1の電源電圧を生成する第1の電源装置と、第1の電源電圧を受け取り、かつ第1の電源電圧を監視する第1の電源監視装置と、第1の電源電圧を受け取り、かつ第1の電源電圧に基づいて動作する第1の半導体装置と、を備える。また、機能安全システムは、外部電源に基づいて第2の電源電圧を生成する第2の電源装置と、第2の電源電圧を受け取り、かつ第2の電源電圧を監視する第2の電源監視装置と、第2の電源電圧を受け取り、かつ第2の電源電圧に基づいて動作する第2の半導体装置と、を備える。更に、機能安全システムは、第1の半導体装置によって制御される第1の遮断回路と、第2の半導体装置によって制御される第2の遮断回路と、第1の遮断回路及び第2の遮断回路を介して駆動信号を受け取り、かつ駆動信号に基づいて動作するモータと、を備える。第1の電源監視装置は、第1の電圧変換回路と、第2の電圧変換回路と、第1の比較回路と、及び第2の比較回路と、を有する。第2の半導体装置は、第1の期待値と、第2の期待値とを有する。第1の電圧変換回路は、第2の半導体装置から供給される第1の切替信号に基づいて、第1の電源電圧から第1の検出電圧を生成し、第1の検出電圧を前記第1の比較回路へ供給する。第2の電圧変換回路は、第1の切替信号に基づいて、第1の電源電圧から第2の検出電圧を生成し、第2の検出電圧を第2の比較回路へ供給する。第1の比較回路は、第1の検出電圧と第1の基準電圧とを比較し、比較結果に応じて、第1の電圧監視結果を第2の半導体装置へ供給する。第2の比較回路は、第2の検出電圧と第1の基準電圧とを比較し、比較結果に応じて、第2の電圧監視結果を第2の半導体装置へ供給する。第2の半導体装置は、第1の電圧監視結果と第1の期待値とが異なる場合、又は第2の電圧監視結果と第2の期待値とが異なる場合に、第2の遮断回路を制御し、モータへ供給される駆動信号を遮断する。
他の実施の形態に係る機能安全システムは、外部電源に基づいて第1の電源電圧を生成し、第1の電源電圧を第1の電源配線へ供給する第1の電源装置と、第1の電源配線に接続され、かつ第1の電源配線の電位を監視する第1の電源監視装置と、第1の電源配線に接続され、かつ第1の電源電圧に基づいて動作する第1の半導体装置と、を備える。また、機能安全システムは、外部電源に基づいて第2の電源電圧を生成し、第2の電源電圧を第2の電源配線へ供給する第2の電源装置と、第2の電源配線に接続され、かつ第2の電源配線の電位を監視する第2の電源監視装置と、第2の電源配線に接続され、かつ第2の電源電圧に基づいて動作する第2の半導体装置と、を備える。更に、機能安全システムは、第1の半導体装置によって制御される第1の遮断回路と、第2の半導体装置によって制御される第2の遮断回路と、第1の遮断回路及び第2の遮断回路を介して駆動信号を受け取り、かつ駆動信号に基づいて動作するモータと、を備える。第1の電源監視装置は、第1の電圧変換回路と、第2の電圧変換回路と、第1の比較回路と、及び第2の比較回路とを有する。第2の半導体装置は、第1の期待値と、第2の期待値とを有する。第1の電圧変換回路は、第2の半導体装置から供給される第1の切替信号に基づいて、第1の電源電圧から第1の検出電圧を生成し、第1の検出電圧を前記第1の比較回路へ供給する。第2の電圧変換回路は、第1の切替信号に基づいて、第1の電源電圧から第2の検出電圧を生成し、第2の検出電圧を第2の比較回路へ供給する。第1の比較回路は、第1の検出電圧と第1の基準電圧とを比較し、比較結果に応じて、第1の電圧監視結果を第2の半導体装置へ供給する。第2の比較回路は、第2の検出電圧と第1の基準電圧とを比較し、比較結果に応じて、第2の電圧監視結果を第2の半導体装置へ供給する。第2の半導体装置は、第1の電圧監視結果と第1の期待値とが異なる場合、又は第2の電圧監視結果と第2の期待値とが異なる場合に、第2の遮断回路を制御し、モータへ供給される駆動信号を遮断する。
他の実施の形態に係る機能安全システムは、外部電源に基づいて第1の電源電圧を生成する第1の電源装置と、第1の電源電圧を受け取り、かつ第1の電源電圧を監視する電源監視装置と、第1の電源電圧を受け取り、かつ第1の電源電圧に基づいて動作する第1の半導体装置と、を備える。また、機能安全システムは、外部電源に基づいて第2の電源電圧を生成する第2の電源装置と、第2の電源電圧を受け取り、かつ第2の電源電圧に基づいて動作する第2の半導体装置と、を備える。更に、機能安全システムは、第2の半導体装置によって制御される遮断回路と、遮断回路を介して駆動信号を受け取り、駆動信号に基づいて動作するモータと、を備える。電源監視装置は、電圧変換回路及び比較回路を有する。第2の半導体装置は、期待値として、第1の値と第2の値を有する。電圧変換回路は、第2の半導体装置から供給されるLowレベルの切替信号に基づいて、第1の電源電圧から第1の分圧電圧を生成し、第1の分圧電圧を第1の比較回路へ供給する。電圧変換回路は、Highレベルの切替信号に基づいて、第1の電源電圧から第2の分圧電圧を生成し、第2の分圧電圧を比較回路へ供給する。比較回路は、第1の分圧電圧と基準電圧とを比較し、比較結果に基づいて、第1の結果値を第2の半導体装置へ供給する。比較回路は、第1の分圧電圧と基準電圧とを比較し、比較結果に基づいて、第2の結果値を第2の半導体装置へ供給する。第2の半導体装置は、第1の結果値と前記第1の値とが異なる場合、又は第2の結果値と第2の値とが異なる場合に、遮断回路を制御し、モータへ供給される駆動信号を遮断する。
実施の形態によれば、高信頼性の機能安全システムを提供することが出来る。
図1は、実施の形態1に係る機能安全システムの構成例を説明するブロック図である。 図2は、実施の形態1に係る電源監視装置の構成例を説明するブロック図である。 図3は、実施の形態1に係る半導体装置の構成例を説明するブロック図である。 図4は、実施の形態1に係る電源監視装置の出力結果例を説明する図である。 図5は、実施の形態1に係る電源監視装置の動作について説明する図である。 図6は、実施の形態2に係る機能安全システムの構成例を説明するブロック図である。 図7は、実施の形態2に係る電源監視装置の構成例を説明するブロック図である。 図8は、実施の形態2に係る電源監視装置の出力結果例を説明する図である。 図9は、実施の形態2に係る電源監視装置の動作について説明する図である。
以下の実施の形態においては便宜上その必要があるときは、複数のセクションまたは実施形態に分割して説明するが、特に明示した場合を除き、それらはお互いに無関係なものではなく、一方は他方の一部または全部の変形例、応用例、詳細説明、補足説明等の関係にある。また、以下の実施の形態において、構成要素の数等(個数、数値、量、範囲等を含む)に言及する場合、特に明示した場合及び原理的に明らかに特定の数に限定される場合等を除き、その特定の数に限定されるものではなく、特定の数以上でも以下でもよい。
更に、以下の実施の形態において、その構成要素(動作ステップ等もを有する)は、特に明示した場合及び原理的に明らかに必須であると考えられる場合等を除き、必ずしも必須のものではない。同様に、以下の実施の形態において、構成要素の形状、位置関係等に言及するときは、特に明示した場合及び原理的に明らかにそうでないと考えられる場合等を除き、実質的にその形状等には類似するものを有するものとする。
また、様々な処理を行う機能ブロックとして図面に記載される各要素は、ハードウェア的には、CPU 、メモリ、その他の回路で構成することができ、ソフトウェア的にはメモリにロードされたプログラムなどによって実現される。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現できることは当業者には理解されるところであり、いずれかに限定されるものではない。なお、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。
[実施の形態1]
図1は、実施の形態1に係る機能安全システム1の構成例を説明するブロック図である。
機能安全システム1は、モータMT、角度センサSE、半導体装置(第1の半導体装置)SC1、半導体装置(第2の半導体装置)SC2、半導体装置(第3の半導体装置)SC3、遮断回路(第1の遮断回路)IN1、遮断回路(第2の遮断回路)IN2、電源装置(第1の電源装置)VS1、電源装置(第2の電源装置)VS2、電源装置(第3の電源装置)VS3、電源監視装置(第1の電源監視装置)VM1、電源監視装置(第2の電源監視装置)VM2、電源配線(第1の電源配線)VW1、電源配線(第2の電源配線)VW2、及び電源配線(第3の電源配線)VW3を有する。また、機能安全システム1は、制御対象であるモータMTに対し、半導体装置SC1及びSC2を使用して機能安全システムを構成している。
半導体装置SC1、SC2、及びSC3、遮断回路IN1及びIN2、電源装置VS1、VS2、及びVS3、電源監視装置VM1及びVM2は、個別の半導体チップ上に形成されている。ただし、遮断回路IN1及びIN2は、1つの半導体チップ上に形成されてもよい。また、電源装置VS1及びVS2も、1つの半導体チップ上に形成されてもよい。
半導体装置SC1及びSC2は、監視対象(例えば、モータMT、電源装置VS1及びVS2、電源配線VW1及びVW2、電源監視装置VM1及びVM2等)の異常を検出し、モータMTを安全に停止させる安全制御を実施するMCU(Micro Controller Unit)である。好ましくは、半導体装置SC1及びSC2は、互いに同一の構造である。一方、半導体装置SC3は、モータMTを駆動させるMCUである。
機能安全システム1では、異なる電源装置で生成された動作電源電圧をそれぞれの半導体装置SC1、SC2及びSC3に供給する。具体的には、電源装置VS1は、外部から供給される外部電源電圧VIを昇圧又は降圧して、電源電圧(第1の電源電圧)VDD1を生成する。電源装置VS1は、電源電圧VDD1を、電源配線VW1へ供給する。電源装置VS1は、電源配線VW1を介して電源監視装置VM1と半導体装置SC1とに接続され、電源電圧VDD1を、電源配線VW1を介して電源監視装置VM1と半導体装置SC1を供給する。電源電圧VDD1は、半導体装置SC1の動作電源電圧である。電源電圧VDD1は、例えば3.3〔V〕である。
電源装置VS2は、外部電源電圧VIを昇圧又は降圧して、電源電圧(第2の電源電圧)VDD2を生成する。電源装置VS2は、電源電圧VDD2を、電源配線VW2へ供給する。電源装置VS2は、電源配線VW2を介して、電源監視装置VM2と半導体装置SC2とに接続され、電源電圧VDD2を、電源配線VW2を介して電源監視装置VM2と半導体装置SC2へ供給する。電源電圧VDD2は、半導体装置SC2の動作電源電圧である。電源電圧VDD2は、例えば3.3〔V〕である。
電源装置VS3は、外部電源電圧VIを昇圧又は降圧して、電源電圧VDD3(第3の電源電圧)を生成する。電源装置VS3は、電源電圧VDD3を、電源配線VW3へ供給する。電源装置VS3は、電源配線VW3を介して、半導体装置SC3に接続され、電源電圧VDD3を、電源配線VW3を介して半導体装置SC3へ供給する。電源電圧VDD3は、半導体装置SC3の動作電源電圧である。電源電圧VDD3は、例えば5〔V〕である。
電源監視装置VM1は、電源装置VS1から半導体装置SC1へ供給される電源電圧VDD1を受け取り、電源電圧VDD1の値を監視する。具体的には、電源監視装置VM1は、電源電圧VDD1に基づいた電源配線VW1の電位を監視し、電圧監視結果として、出力信号OA1及びOA2を半導体装置SC2へ供給する。つまり、電源電圧VDD1の値が異常である場合に、電源監視装置VM1は、電源電圧VDD1の値が異常である旨を、出力信号OA1及びOA2として、半導体装置SC2へ知らせる。また、電源監視装置VM1は、半導体装置SC2から切替信号(第1の切替信号)VC1を受け取り、切替信号VC1に基づいて出力信号OA1及びOA2の電位レベルを変更することが出来る。
電源監視装置VM2は、電源装置VS2から半導体装置SC2へ供給される電源電圧VDD2を受け取り、電源電圧VDD2の値を監視する。具体的には、電源監視装置VM2は、電源電圧VDD2に基づいた電源配線VW2の電位を監視し、電圧監視結果として、出力信号OB1及びOB2を半導体装置SC2へ供給する。つまり、電源電圧VDD2の値が異常である場合に、電源監視装置VM2は、電源電圧VDD2の値が異常である旨を、出力信号OB1及びOB2として、半導体装置SC1へ知らせる。また、電源監視装置VM2は、半導体装置SC1から切替信号(第2の切替信号)VC2を受け取り、切替信号VC2に基づいて出力信号OB1及びOB2の電位レベルを変更することが出来る。
半導体装置SC3は、電源電圧VDD3を受け取り、電源電圧VDD3に基づいて動作する。半導体装置SC3は、モータMTの駆動を制御する駆動信号DSを出力する。駆動信号DSは、遮断回路IN1及びIN2を介して、モータMTへ供給される。
遮断回路IN1は、遮断回路IN2、モータMT、及び半導体装置SC1に接続されている。また、遮断回路IN1は、遮断回路IN2とモータMTとの間に配置される。遮断回路IN1は、半導体装置SC1から供給される制御信号CS1に基づいて制御される。具体的には、遮断回路IN1は、制御信号CS1(例えば、Lowレベルの制御信号CS1)に基づいて、半導体装置SC3から遮断回路IN2を介してモータMTへ供給される駆動信号DSを遮断する。その結果、モータMTは、駆動信号DSを受け取ることが出来ず、モータMTの動作は停止する。一方、遮断回路IN1は、制御信号CS1(例えば、Highレベルの制御信号CS1)に基づいて、上述の駆動信号DSをモータMTへ供給する。
遮断回路IN2は、半導体装置SC3、遮断回路IN1、及び半導体装置SC2に接続されている。遮断回路IN2は、遮断回路IN1と半導体装置SC3との間に配置される。遮断回路IN2は、半導体装置SC2から供給される制御信号CS2に基づいて制御される。具体的には、遮断回路IN2は、制御信号CS2(例えば、Lowレベルの制御信号CS2)に基づいて、半導体装置SC3からモータMTへ供給される駆動信号DSを遮断する。その結果、モータMTは、駆動信号DSを受け取ることが出来ず、モータMTの動作は停止する。一方、遮断回路IN2は、制御信号CS2(例えば、Highレベルの制御信号CS2)に基づいて、上述の駆動信号DSを遮断回路IN1へ供給する。
モータMTは、半導体装置SC3から遮断回路IN1及びIN2を介して駆動信号DSを受け取り、駆動信号DSによって駆動される。具体的には、モータMTは、駆動信号DSに基づいて、回転動作を実施する。モータMTは、例えば、3相(u相、v相、w相)の同期モータ(言い換えればブラシレスDCモータ)である。図1では、制御対象として、モータMTを示したが、それに限定されず、例えば、センサ等の信号の入出力を行う素子でもよい。
角度センサSEは、モータMTに接続されている。角度センサSEは、モータMTの回転角を所定の周期で検出して、モータMTの回転角情報を示す情報信号MSを、半導体装置SC1及びSC2へ供給する。
半導体装置SC1は、電源電圧VDD1を受け取り、電源電圧VDD1に基づいて動作する。半導体装置SC1は、少なくとも、安全制御ソフトウェアSW1、期待値(第3の期待値)E1、及び期待値(第4の期待値)E2を有する。半導体装置SC1が、安全制御ソフトウェアSW1を実行する。それによって、半導体装置SC1は、角度センサSEから供給される情報信号MSを得て、モータMTが異常もしくは正常であるかを判断する。半導体装置SC1が、モータMTの異常を検出した場合、半導体装置SC1が、制御信号CS1(例えば、Lowレベルの制御信号CS1)を遮断回路IN1へ供給する。その結果、遮断回路IN1は、駆動信号DSを遮断し、モータMTの動作が停止する。
更に、半導体装置SC1は、出力信号OB1及びOB2を受け取り、半導体装置SC2へ供給される電源電圧VDD2の値が異常もしくは正常であるかを判断する。言い換えれば、半導体装置SC1は、出力信号OB1及びOB2に基づいて、電源装置VS2、電源監視装置VM2、又は電源配線VM2が故障しているかどうかを検出する。電源電圧VDD2の値が異常である場合、半導体装置SC1は、制御信号CS1(例えば、Lowレベルの制御信号CS1)を遮断回路IN1へ供給する。具体的には、半導体装置SC1は、安全制御ソフトウェアSW1に基づいて、電圧監視結果(出力信号OB1)と期待値E1とを比較し、更に電圧監視結果(出力信号OB2)と期待値E2とを比較する。電圧監視結果(出力信号OB1)と期待値E1とが異なる場合、又は電圧監視結果(出力信号OB2)と期待値E2とが異なる場合は、半導体装置SC1は、制御信号CS1(例えば、Lowレベルの制御信号CS1)を、遮断回路IN1へ供給する。それに伴って、遮断回路IN1は、駆動信号DSを遮断する。その結果、モータMTの動作が停止する。
また、半導体装置SC1は、安全制御ソフトウェアSW1に基づいて、切替信号VC2を電源監視装置VM2へ供給する。
半導体装置SC2は、電源電圧VDD2を受け取り、電源電圧VDD2に基づいて動作する。半導体装置SC2は、少なくとも安全制御ソフトウェアSW2、期待値(第1の期待値)E3、及び期待値(第2の期待値)E4を有する。半導体装置SC2は、安全制御ソフトウェアSW2を実行する。それによって、半導体装置SC2は、角度センサSEから供給される情報信号MSを得て、モータMTが異常もしくは正常であるかを判断する。半導体装置SC2が、モータMTの異常を検出した場合、制御信号CS2(例えば、Lowレベルの制御信号CS2)を遮断回路IN2へ供給する。その結果、遮断回路IN2は、駆動信号DSを遮断し、モータMTの動作が停止する。
更に、半導体装置SC2は、出力信号OA1及びOA2を受け取り、半導体装置SC1へ供給される電源電圧VDD1の値が異常もしくは正常であるかを判断する。言い換えれば、半導体装置SC2は、出力信号OA1及びOA2に基づいて、電源装置VS1、電源監視装置VM1、又は電源配線VM1が故障しているかどうかを検出する。電源電圧VDD1の値が異常である場合、半導体装置SC2は、制御信号CS2(例えば、Lowレベルの制御信号CS2)を遮断回路IN2へ供給する。具体的には、半導体装置SC2は、安全制御ソフトウェアSW2に基づいて、電圧監視結果(出力信号OA1)と期待値E3とを比較し、更に電圧監視結果(出力信号OA2)と期待値E4とを比較する。電圧監視結果(出力信号OA1)と期待値E3とが異なる場合、又は電圧監視結果(出力信号OA2)と期待値E4とが異なる場合は、半導体装置SC2は、制御信号CS2(例えば、Lowレベルの制御信号CS2)を遮断回路IN2へ供給する。それに伴って、遮断回路IN2は、駆動信号DSを遮断する。その結果、モータMTの動作が停止する。
また、半導体装置SC2は、安全制御ソフトウェアSW2に基づいて、切替信号VC1を電源監視装置VM1へ供給する。
また、半導体装置SC1及びSC2は、定期的に、相互通信を実施する。相互通信において、半導体装置SC1及びSC2は、計算結果データや計算途中のデータを互いに送受信し、それらのデータを比較することで互いの故障を検出することが出来る。つまり、半導体装置SC1及びSC2は、相互通信を実施することにより、互いの動作を監視している。それにより、システムの機能安全を確保することが出来る。
図2は、実施の形態1に係る電源監視装置VM1及びVM2の構成例を説明するブロック図である。
図2に示すように、電源監視装置VM1は、電圧変換回路(第1の電圧変換回路)DA1、電圧変換回路(第2の電圧変換回路)DA2、比較回路(第1の比較回路)CA1、及び比較回路(第2の比較回路)CA2を有する。電源監視装置VM2は、電圧変換回路(第3の電圧変換回路)DB1、電圧変換回路(第4の電圧変換回路)DB2、比較回路(第3の比較回路)CB1、及び比較回路(第4の比較回路)CB2を有する。
電圧変換回路DA1は、抵抗(第1の抵抗)RA1、抵抗(第2の抵抗)RA2、抵抗(第3の抵抗)RA3、及びスイッチ(第1のスイッチ)SA1を有する。電圧変換回路DA2は、抵抗(第4の抵抗)RA4、抵抗(第5の抵抗)RA5、抵抗(第6の抵抗)RA6、及びスイッチ(第2のスイッチ)SA2を有する。電圧変換回路DA1及びDA2は、抵抗分圧回路である。また、電源電圧VDD1が供給される電圧ノードは、電源配線VW1に接続されている。
電圧変換回路DA1は、切替信号VC1に基づいて、電源電圧VDD1から検出電圧(第1の検出電圧)VA1を生成し、検出電圧VA1を、電圧ノード(第1の検出電圧ノード)NA1から比較回路CA1へ供給する。また、検出電圧VA1は、切替信号VC1の電位レベルに基づいて、変化する。つまり、検出電圧VA1は、検出電圧(第1の分圧電圧)VNA1と、検出電圧VNA2(第2の分圧電圧)とを含む。
抵抗RA1は、電源電圧VDD1が供給される電圧ノードに接続される。また、抵抗RA2は、抵抗RA1と並列に、電源電圧VDD1の電圧ノードに接続される。抵抗RA2は、電源電圧VDD1が供給される電圧ノードと、電圧ノードNA1との間に配置(接続)されている。抵抗RA3は、電圧ノードNA1を介して、抵抗RA2と直列に接続されている。抵抗RA3は、電圧ノードNA1と接地電圧ノードの間に配置(接続)されている。さらに、抵抗RA1は、スイッチSA1を介して、電圧ノードNA1と接続されている。言い換えれば、スイッチSA1は、抵抗RA1と電圧ノードNA1との間に配置(接続)されている。また、スイッチSA1は、切替信号VC1に従って、ON/OFF状態に設定される。例えば、スイッチSA1は、Lowレベルの切替信号VC1に基づいて、OFF状態に設定され、Highレベルの切替信号VC1に基づいて、ON状態に設定される。
図2に示すように、スイッチSA1がOFF状態の場合、電圧変換回路DA1は、抵抗RA2と抵抗RA3を用いて、電源電圧VDD1を分圧にする。それに伴って、電圧変換回路DA1は、電源電圧VDD1を分圧した検出電圧VA1を、検出電圧VNA1として、比較回路CA1へ供給する。つまり、切替信号VC1がLowレベルである場合に、電圧変換回路DA1は、検出電圧VNA1を比較回路CA1へ供給する。
一方、スイッチSA1がON状態の場合、電圧変換回路DA1は、抵抗RA1と抵抗RA2を組み合わせた並列抵抗と、抵抗RA3とを用いて、電源電圧VDD1を分圧にする。それに伴って、電圧変換回路DA1は、電源電圧VDD1を分圧した検出電圧VA1を、検出電圧VNA2として、比較回路CA1へ供給する。つまり、切替信号VC1がHighレベルである場合に、電圧変換回路DA1は、検出電圧VNA2を比較回路CA1へ供給する。
したがって、検出電圧VNA1の値は、検出電圧VNA2の値より低い。言い換えれば、切替信号VC1がLowレベルである場合の検出電圧VA1の値は、切替信号VC1がHighレベルである場合の検出電圧VA1の値より低い。
比較回路CA1は、検出電圧VA1(VNA1又はVNA2)と基準電圧(第1の基準電圧)VreAと比較し、電圧監視結果(第1の電圧監視結果)を、出力信号OA1として、半導体装置SC2へ供給する。検出電圧VA1(VNA1又はVNA2)が基準電圧VreAより大きい場合、比較回路CA1は、Highレベルの出力信号OA1を出力する。一方、検出電圧VA1(VNA1又はVNA2)が基準電圧VreAより小さい場合、比較回路CA1は、Lowレベルの出力信号OA1を出力する。また、後述で説明するが、第1の電圧監視結果は、第1の結果値と、第2の結果値とを含む。
比較回路CA1の一方の入力端子は、電圧ノードNA1に接続され、検出電圧VA1を受け取る。比較回路CA1の他方の入力端子は、図2に図示されていない基準電圧生成回路に接続され、基準電圧生成回路から基準電圧VreAを受け取る。比較回路CA1は、切替信号VC1がLowレベルである場合、検出電圧VNA1と基準電圧VreAと比較して、その電圧監視結果(第1の結果値)を、出力信号OA1として、半導体装置SC2へ供給する。比較回路CA1は、切替信号VC1がHighレベルである場合、検出電圧VNA2と基準電圧VreAと比較して、その電圧監視結果(第2の結果値)を、出力信号OA1として、半導体装置SC2へ供給する。上述の電圧監視結果は、比較回路CA1による比較結果である。
電圧変換回路DA2は、切替信号VC1に基づいて、電源電圧VDD1から検出電圧(第2の検出電圧)VA2を生成し、検出電圧VA2を、電圧ノード(第2の検出電圧ノード)NA2から比較回路CA2へ供給する。また、検出電圧VA2は、切替信号VC1の電位レベルに基づいて、変化する。つまり、検出電圧VA2は、検出電圧(第3の分圧電圧)VNA3と、検出電圧(第4の分圧電圧)VNA4とを含む。
抵抗RA4は、電源電圧VDD1が供給される電圧ノードに接続される。また、抵抗RA4は、電源電圧VDD1が供給される電圧ノードと電圧ノードNA2との間に配置(接続)されている。抵抗RA5は、電圧ノードNA2を介して、抵抗RA4と直列に接続さている。抵抗RA5は、接地電圧ノードに接続され、電圧ノードNA2と接地電圧ノードとの間に配置(接続)されている。抵抗RA6は、抵抗RA5と並列に、接地電圧ノードに接続される。抵抗RA6は、スイッチSA2を介して、電圧ノードNA2と接続されている。言い換えれば、スイッチSA2は、抵抗RA6と電圧ノードNA2との間に配置(接続)されている。また、スイッチSA2は、切替信号VC1に従って、ON/OFF状態に設定される。例えば、スイッチSA2は、Lowレベルの切替信号VC1に基づいて、OFF状態に設定され、Highレベルの切替信号VC1に基づいて、ON状態に設定される。
図2に示すように、スイッチSA2がOFF状態の場合、電圧変換回路DA2は、抵抗RA4と抵抗RA5を用いて、電源電圧VDD1を分圧にする。それに伴って、電圧変換回路DA2は、電源電圧VDD1を分圧した検出電圧VA2を、検出電圧VNA3として、比較回路CA2へ供給する。つまり、切替信号VC1がLowレベルである場合に、電圧変換回路DA2は、検出電圧VNA3を比較回路CA2へ供給する。
一方、スイッチSA2がON状態の場合、電圧変換回路DA2は、抵抗RA5と抵抗RA6を組み合わせた並列抵抗と、抵抗RA4とを用いて、電源電圧VDD1を分圧にする。それに伴って、電圧変換回路DA2は、電源電圧VDD1を分圧した検出電圧VA2を、検出電圧VNA4として、比較回路CA2へ供給する。つまり、切替信号VC1がLowレベルである場合に、電圧変換回路DA2は、検出電圧VNA4を比較回路CA2へ供給する。
したがって、検出電圧VNA4の値は、検出電圧VNA3の値より低い。言い換えれば、切替信号VC1がHighレベルである場合の検出電圧VA2の値は、切替信号VC1がLowレベルである場合の検出電圧VA2の値より低い。
比較回路CA2は、検出電圧VA2(VNA3又はVNA4)と基準電圧(第1の基準電圧)VreAと比較して、電圧監視結果(第2の電圧監視結果)を出力信号OA2として、半導体装置SC2へ供給する。例えば、検出電圧VA2(VNA3又はVNA4)が基準電圧VreAより大きい場合、比較回路CA2は、Highレベルの出力信号OA2を出力する。一方、検出電圧VA2(VNA3又はVNA4)が基準電圧VreAより小さい場合、比較回路CA2は、Lowレベルの出力信号OA2を出力する。また、後述で説明するが、第2の電圧監視結果は、第3の結果値と、第4の結果値とを含む。
比較回路CA2の一方の入力端子は、電圧ノードNA2に接続され、検出電圧VA2を受け取る。比較回路CA2の他方の入力端子は、上述の基準電圧生成回路から基準電圧VreAを受け取る。比較回路CA2は、切替信号VC1がLowレベルである場合、検出電圧VNA3と基準電圧VreAと比較して、その電圧監視結果(第3の結果値)を、出力信号OA2として、半導体装置SC2へ供給する。同様に、比較回路CA2は、切替信号VC1がHighレベルである場合、検出電圧VNA4と基準電圧VreAと比較して、その電圧監視結果(第4の結果値)を、出力信号OA2として、半導体装置SC2へ供給する。上述の電圧監視結果は、比較回路CA2による比較結果である。
電圧変換回路DB1は、抵抗RB1、抵抗RB2、抵抗RB3、及びスイッチSB1を有する。電圧変換回路DB2は、抵抗RB4、抵抗RB5、抵抗RB6、及びスイッチSB2を有する。電圧変換回路DB1及びDB2は、抵抗分圧回路である。また、電源電圧VDD2が供給される電圧ノードは、電源配線VW2に接続されている。
電圧変換回路DB1は、切替信号VC2に基づいて、電源電圧VDD2から検出電圧(第3の検出電圧)VB1を生成し、検出電圧VB1を、電圧ノード(第3の検出電圧ノード)NB1から比較回路CB1へ供給する。また、検出電圧VB1は、切替信号VC2の電位レベルに基づいて、変化する。つまり、検出電圧VB1は、検出電圧(第5の分圧電圧)VNB1と、検出電圧(第6の分圧電圧)VNB2とを含む。電圧変換回路DB1の回路構成は、電圧変換回路DA1の回路構成と同じため、具体的な説明は省略する。つまり、電源電圧VDD2が供給される電圧ノードは、電源電圧VDD1が供給される電圧ノードに対応している。抵抗RB1は、抵抗RA1に対応している。抵抗RB2は、抵抗RA2に対応している。抵抗RB3は、抵抗RA3に対応している。スイッチSB1は、スイッチSA1に対応している。また、電圧ノードNB1は、電圧ノードNA1に対応している。ただし、スイッチSB1は、切替信号VC1ではなく、切替信号VC2に従って、ON/OFF状態に設定される。例えば、スイッチSB1は、Lowレベルの切替信号VC2に基づいて、OFF状態に設定され、Highレベルの切替信号VC2に基づいて、ON状態に設定される。
図2に示すように、スイッチSB1がOFF状態の場合、電圧変換回路DB1は、抵抗RB2と抵抗RB3を用いて、電源電圧VDD2を分圧にする。それに伴って、電圧変換回路DB1は、電源電圧VDD2を分圧した検出電圧VB1を、検出電圧VNB1として、比較回路CB1へ供給する。つまり、切替信号VC2がLowレベルである場合に、電圧変換回路DB1は、検出電圧VNB1を比較回路CB1へ供給する。
一方、スイッチSB1がON状態の場合、電圧変換回路DB1は、抵抗RB1と抵抗RB2を組み合わせた並列抵抗と、抵抗RB3とを用いて、電源電圧VDD2を分圧にする。それに伴って、電圧変換回路DB1は、電源電圧VDD2を分圧した検出電圧VB1を、検出電圧VNB2として、比較回路CB1へ供給する。つまり、切替信号VC2がHighレベルである場合に、電圧変換回路DB1は、検出電圧VNB2を比較回路CB1へ供給する。
したがって、検出電圧VNB1の値は、検出電圧VNB2の値より低い。言い換えれば、切替信号VC2がLowレベルのである場合の検出電圧VB1の値は、切替信号VC2がHighレベルのである場合の検出電圧VB1の値より低い。
比較回路CB1は、検出電圧VB1(VNB1又はVNB2)と基準電圧(第2の基準電圧)VreBと比較して、電圧監視結果(第3の電圧監視結果)を出力信号OB1として、半導体装置SC1へ供給する。例えば、検出電圧VB1(VNB1又はVNB2)が基準電圧VreAより大きい場合、比較回路CB1は、Highレベルの出力信号OB1を出力する。一方、検出電圧VB1(VNB1又はVNB2)が基準電圧VreBより小さい場合、比較回路CB1は、Lowレベルの出力信号OB1を出力する。また、後述で説明するが、第3の電圧監視結果は、第5の結果値と、第6の結果値とを含む。
比較回路CB1の一方の入力端子は、電圧ノードNB1に接続され、検出電圧VB1を受け取る。比較回路CB1の他方の入力端子は、図2に図示されていない基準電圧生成回路に接続され、基準電圧生成回路から基準電圧VreBを受け取る。比較回路CB1は、切替信号VC2がLowレベルである場合、検出電圧VNB1と基準電圧VreBと比較して、その電圧監視結果(第5の結果値)を、出力信号OB1として、半導体装置SC1へ供給する。同様に、比較回路CB1は、切替信号VC2がHighレベルである場合、検出電圧VNB2と基準電圧VreBと比較して、その電圧監視結果(第6の結果値)を、出力信号OB1として、半導体装置SC1へ供給する。上述の電圧監視結果は、比較回路CB1による比較結果である。
電圧変換回路DB2は、切替信号VC2に基づいて、電源電圧VDD2から検出電圧(第4の検出電圧)VB2を生成し、検出電圧VB2を、電圧ノード(第4の検出電圧ノード)NB2から比較回路CB2へ供給する。また、検出電圧VA2は、切替信号VC2の電位レベルに基づいて、変化する。つまり、検出電圧VB2は、検出電圧(第7の分圧電圧)VNB3と、検出電圧(第8の分圧電圧)VNB4とを含む。また、電圧変換回路DB2の回路構成は、電圧変換回路DA2の回路構成と同じため、具体的な説明は省略する。つまり、電源電圧VDD2が供給される電圧ノードは、電源電圧VDD1が供給される電圧ノードに対応している。抵抗RB4は、抵抗RA4に対応している。抵抗RB5は、抵抗RA5に対応している。抵抗RB6は、抵抗RA6に対応している。スイッチSB2は、スイッチSA2に対応している。また、電圧ノードNB2は、電圧ノードNA2に対応している。ただし、スイッチSB2は、切替信号VC1ではなく、切替信号VC2に従って、ON/OFF状態に設定される。例えば、スイッチSB2は、Lowレベルの切替信号VC2に基づいて、OFF状態に設定され、Highレベルの切替信号VC2に基づいて、ON状態に設定される。
図2に示すように、スイッチSB2がOFF状態の場合、電圧変換回路DB2は、抵抗RB4と抵抗RB5を用いて、電源電圧VDD2を分圧にする。それに伴って、電圧変換回路DB2は、電源電圧VDD2を分圧した検出電圧VB2を、検出電圧VNB3として、比較回路CB2へ供給する。つまり、切替信号VC2がLowレベルである場合に、電圧変換回路DB2は、検出電圧VNB3を比較回路CB2へ供給する。
一方、スイッチSB2がON状態の場合、電圧変換回路DB2は、抵抗RB5と抵抗RB6を組み合わせた並列抵抗と、抵抗RB4とを用いて、電源電圧VDD2を分圧にする。それに伴って、電圧変換回路DB2は、電源電圧VDD2を分圧した検出電圧VB2を、検出電圧VNB4として、比較回路CB2へ供給する。つまり、切替信号VC2がHighレベルである場合に、電圧変換回路DB2は、検出電圧VNB4を比較回路CB2へ供給する。
したがって、検出電圧VNB4の値は、検出電圧VNB3の値より低い。言い換えれば、切替信号VC2がHighレベルである場合の検出電圧VB2の値は、切替信号VC2がLowレベルである場合の検出電圧VB2の値より低い。
比較回路CB2は、検出電圧VB2(VNB3又はVNB4)と基準電圧(第2の基準電圧)VreBと比較して、電圧監視結果(第4の電圧監視結果)を出力信号OB2として、半導体装置SC1へ供給する。例えば、検出電圧VB2(VNB3又はVNB4)が基準電圧VreBより大きい場合、比較回路CB2は、Highレベルの出力信号OB2を出力する。一方、検出電圧VB2(VNB3又はVNB4)が基準電圧VreBより小さい場合、比較回路CB2は、Lowレベルの出力信号OB2を出力する。また、後述で説明するが、第4の電圧監視結果は、第7の結果値と、第8の結果値とを含む。
比較回路CB2の一方の入力端子は、電圧ノードNB2に接続され、検出電圧VB2を受け取る。比較回路CB2の他方の入力端子は、上述の基準電圧生成回路から基準電圧VreBを受け取る。比較回路CB2は、切替信号VC2がLowレベルである場合、検出電圧VNB3と基準電圧VreBと比較して、その電圧監視結果(第7の結果値)を、出力信号OB2として、半導体装置SC1へ供給する。同様に、比較回路CB2は、切替信号VC2がHighレベルである場合、検出電圧VNB4と基準電圧VreBと比較して、その電圧監視結果(第8の結果値)を、出力信号OB2として、半導体装置SC1へ供給する。上述の電圧監視結果は、比較回路CB2による比較結果である。
また、電源電圧VDD1の値が一定である場合に、検出電圧VNA1の値は、検出電圧VNA3の値より低く、検出電圧VNA4の値は、検出電圧VNA2の値より低い。電源電圧VDD2の値が一定である場合に、検出電圧VNB1の値は、検出電圧VNB3の値より低く、検出電圧VNB4の値は、検出電圧VNB2の値より低い。上述の関係になるように、電圧変換回路DA1、DA2、DB1、及びDB2内の各々の抵抗の値は、設計されている。
図3は、実施の形態1に係る半導体装置SC1及びSC2の構成例を説明するブロック図である。
図3に示すように、半導体装置SC1は、演算部10A、バス11A、ROM(Read Only Memory)12A、RAM(Random Access Memory)13A、タイマ14A、及び通信インターフェイス15Aを有する。半導体装置SC2は、演算部10B、バス11B、ROM(Read Only Memory)12B、RAM(Random Access Memory)13B、タイマ14B、及び通信インターフェイス15Bを有する。2重化の機能安全システムを構成する上で、半導体装置SC1の各回路と、半導体装置SC2の各回路は、互いに同じであること望ましい。
バス11Aは、演算部10Aと、周辺回路群(例えば、ROM12A、RAM13A、タイマ14A、及び通信インターフェイス15A)とを相互に接続する。
ROM12Aは、安全制御ソフトウェアSW1、期待値E1、及び期待値E2を格納している。期待値E1は、Lowレベルの切替信号VC2に対応する期待値(第5の値)E1Lと、Highレベルの切替信号VC2に対応する期待値(第6の値)E1Hを含む。期待値E1Lは、Lowレベルの値であり、期待値E1Hは、Highレベルの値である。期待値E2は、Lowレベルの切替信号VC2に対応する期待値(第7の値)E2Lと、Highレベルの切替信号VC2に対応する期待値(第8の値)E2Hを含む。期待値E2Lは、Highレベルの値であり、期待値E2Hは、Lowレベルの値である。具体的には、切替信号VC2がLowレベルである場合、期待値E1Lは、Lowレベルの出力信号OB1であり、期待値E2Lは、Highレベルの出力信号OB2である。切替信号VC2がHighレベルである場合、期待値E1Hは、Highレベルの出力信号OB1であり、期待値E2Hは、Lowレベルの出力信号OB2である。
RAM13Aは、安全制御ソフトウェアSW1の実行時に、一時的に使用されるデータを格納する。
タイマ14Aは、カウント値が予め設定された値に達すると、割り込み信号を演算部10Aに供給する。そのため、タイマ14Aは、割り込み信号を定期的に演算部10Aへ供給することが出来る。
演算部10Aは、ROM12Aから安全制御ソフトウェアSW1を読み出し、実行する。演算部10Aは、安全制御ソフトウェアSW1を実行し、タイマ14A基づいて、切替信号VC2の電位レベルを変える。具体的には、演算部10Aは、タイマ14Aから供給される割り込み信号に基づいて、切替信号VC2の電位レベルを、定期的にLowレベルとHighレベルに変える。
更に、演算部10Aは、安全制御ソフトウェアSW1を実行し、ROM12Aから、期待値E1L及びE1Hを含む期待値E1と、期待値E2L及びE2Hを含む期待値E2とを読み出す。切替信号VC2がLowレベルである時に、演算部10Aは、安全制御ソフトウェアSW1に基づいて、切替信号VC2がLowレベルである場合の出力信号OB1と、期待値E1Lとを比較する。同様に、演算部10Aは、切替信号VC2がLowレベルである場合の出力信号OB2と、期待値E2Lとを比較する。その結果、演算部10Aは、上述の出力信号OB1と期待値E1Lとが異なる場合、又は上述の出力信号OB2と期待値E2Lとが異なる場合に、制御信号CS1(例えば、Lowレベルの制御信号CS1)を遮断回路IN1へ供給する。更に、切替信号VC2がHighレベルである時に、演算部10Aは、安全制御ソフトウェアSW1に基づいて、切替信号VC2がHighレベルである場合の出力信号OB1と、期待値E1Hとを比較する。同様に、演算部10Aは、切替信号VC2がHighレベルである場合の出力信号OB2と、期待値E2Hとを比較する。その結果、演算部10Aは、上述の出力信号OB1と期待値E1Hとが異なる場合、又は上述の出力信号OB2と期待値E2Hとが異なる場合に、制御信号CS1(例えば、Lowレベルの制御信号CS1)を遮断回路IN1へ供給する。それらによって、遮断回路IN1は、駆動信号DSを遮断し、モータMTの駆動動作が停止する。
通信インターフェイス15Aは、半導体装置SC2と相互通信を実施する。具体的には、演算部10Aは、タイマ14Aから供給される割り込み信号に基づいて、定期的に、通信インターフェイス15Aを介して半導体装置SC2と相互通信を実施する。相互通信を実施するタイミングと、切替信号VC2の電位レベルを変化させるタイミングは、タイマ14Aからの共通の割り込み信号に基づいて実施されるため、それらのタイミングは同じである。
半導体装置SC2において、バス11Bは、演算部10Bと、周辺回路群(例えば、ROM12B、RAM13B、タイマ14B、及び通信インターフェイス15B)とを相互に接続する。
ROM12Bは、安全ソフトウェアSW2、期待値E3、期待値E4を格納している。期待値E3は、Lowレベルの切替信号VC1に対応する期待値(第1の値)E3Lと、Highレベルの切替信号VC1に対応する期待値(第2の値)E3Hを含む。期待値E3Lは、Lowレベルの値であり、期待値E3Hは、Highレベルの値である。期待値E4は、Lowレベルの切替信号VC1に対応する期待値(第3の値)E4Lと、Highレベルの切替信号VC1に対応する期待値(第4の値)E4Hを含む。期待値E4Lは、Highレベルの値であり、期待値E4Hは、Lowレベルの値である。具体的には、切替信号VC1がLowレベルである場合、期待値E3Lは、Lowレベルの出力信号OA1であり、期待値E4Lは、Highレベルの出力信号OA2である。切替信号VC1がHighレベルである場合、期待値E3Hは、Highレベルの出力信号OA1であり、期待値E4Hは、Lowレベルの出力信号OA2である。
RAM13Bは、安全制御ソフトウェアSW2の実行時に、一時的に使用されるデータを格納する。
タイマ14Bは、カウント値が予め設定された値に達すると、割り込み信号を演算部10Bに供給する。そのため、タイマ14Bは、割り込み信号を定期的に演算部10Bへ供給することが出来る。
演算部10Bは、ROM12Bから安全制御ソフトウェアSW2を読み出し、実行する。演算部10Bは、安全制御ソフトウェアSW2を実行し、タイマ14Bに基づいて、切替信号VC1の電位レベルを変える。演算部10Bは、タイマ14Bから供給される割り込み信号に基づいて、切替信号VC1の電位レベルを、定期的にLowレベルとHighレベルに変える。
更に、演算部10Bは、安全制御ソフトウェアSW2を実行し、ROM12Bから、期待値E3L及びE3Hを含む期待値E3と、期待値E4L及びE4Hを含む期待値E4とを読み出す。切替信号VC1がLowレベルである時に、演算部10Bは、安全制御ソフトウェアSW2に基づいて、切替信号VC1がLowレベルである場合の出力信号OA1と、期待値E3Lとを比較する。同様に、演算部10Bは、切替信号VC1がLowレベルである場合の出力信号OA2と、期待値E4Lとを比較する。その結果、演算部10Bは、上述の出力信号OA1と期待値E3Lとが異なる場合、又は上述の出力信号OA2と期待値E4Lとが異なる場合に、制御信号CS2(例えば、Lowレベルの制御信号CS2)を遮断回路IN2へ供給する。更に、切替信号VC1がHighレベルである時に、演算部10Bは、安全制御ソフトウェアSW2に基づいて、切替信号VC1がHighレベルである場合の出力信号OA1と、期待値E3Hとを比較する。同様に、演算部10Bは、切替信号VC1がHighレベルである場合の出力信号OA2と、期待値E4Hとを比較する。その結果、演算部10Bは、上述の出力信号OA1と期待値E3Hとが異なる場合、又は上述の出力信号OA2と期待値E4Hとが異なる場合に、制御信号CS2(例えば、Lowレベルの制御信号CS2)を遮断回路IN2へ供給する。それらによって、遮断回路IN2は、駆動信号DSを遮断し、モータMTの駆動動作が停止する。
通信インターフェイス15Bは、半導体装置SC1と相互通信を実施する。具体的には、演算部10Bは、タイマ14Bから供給される割り込み信号に基づいて、定期的に、通信インターフェイス15Bを介して半導体装置SC1と相互通信を実施する。相互通信を実施するタイミングと、切替信号VC1の電位レベルを変化させるタイミングは、タイマ14Bからの共通の割り込み信号に基づいて実施されるため、それらのタイミングは同じである。
図4は、実施の形態1に係る電源監視装置VM1及びVM2の出力結果例を説明する図である。図4には、電源監視装置VM1及びVM2の出力結果(電圧監視結果)として、出力信号OA1、OA2、OB1、及びOB2の電位レベルが記載されている。図4に示す「H」とは、Highレベルの電位を示し、「L」とは、Lowレベルの電位を示している。
図4に示すように、半導体装置SC1及びSC2の推奨上限電圧が、例えば、3.6〔V〕であり、半導体装置SC1及びSC2の推奨下限電圧が、例えば、3.0〔V〕である。それに伴って、機能安全システム1の正常の動作電圧範囲は、半導体装置SC1及びSC2の推奨下限電圧から推奨上限電圧までの範囲内が好ましい。そのため、図4に示すように、機能安全システム1の正常の動作電圧範囲は、3.5〔V〕~3.1〔V〕である。
本実施の形態においては、電源電圧VDD1及びVDD2が、上述の動作電圧範囲内になるように、電源装置VS1及びVS2を事前に設計する。また、電源監視装置VM1においても、上述の動作電圧範を考慮して、出力信号OA1及びOA2の電位レベルが、図4に示した電位レベル通りに変化するように、事前に設計する。まずは、切替信号VC1がLowレベルの場合を下記に説明する。電源電圧VDD1が3.5〔V〕以下である場合では、Lowレベルの出力信号OA1が出力される。一方、電源電圧VDD1が3.5〔V〕より大きい場合では、Highレベルの出力信号OA1が出力される。次に、切替信号VC1がHighレベルの場合を下記に説明する。電源電圧VDD1が3.1〔V〕以上である場合では、Highレベルの出力信号OA1が出力される。一方、電源電圧VDD1が3.1〔V〕より小さい場合では、Lowレベルの出力信号OA1が出力される。したがって、切替信号VC1をLowレベルからHighレベルに遷移することによって、監視対象電圧値を下げることが出来る。
また、切替信号VC1がLowレベルの場合を下記に説明する。電源電圧VDD1が3.1〔V〕以上である場合では、Highレベルの出力信号OA2が出力される。一方、電源電圧VDD1が3.1〔V〕より小さい場合では、Lowレベルの出力信号OA2が出力される。次に、切替信号VC1がHighレベルの場合を下記に説明する。電源電圧VDD1が3.5〔V〕以下である場合では、Lowレベルの出力信号OA2が出力される。一方、電源電圧VDD1が3.5〔V〕より大きい場合では、Highレベルの出力信号OA2が出力される。したがって、切替信号VC1をLowレベルからHighレベルに遷移することによって、監視対象電圧値を上げることが出来る。電源監視装置VM1を設計する上では、上述の構成になるように、抵抗RA1、RA2、RA3、RA4、RA5、及びRA6の各抵抗値と、基準電圧VreAの値とを算出する必要がある。
また、電源監視装置VM2は、電源監視装置VM1と同様の構造であるため、出力信号OB1及びOB2の電位レベルに関する説明は、省略する。つまり、出力信号OB1が、出力信号OA1に対応し、出力信号OB2が、出力信号OA2に対応する。更に、切替信号VC2が、切替信号VC1に対応している。
図5は、実施の形態1に係る電源監視装置VM1及びVM2の動作について説明する図である。図5には、図4に基づいた電源監視装置VM1及びVM2の動作として、ケース1、及びケース2を例示している。また、図5に示す「H」とは、Highレベルの電位を示し、「L」とは、Lowレベルの電位を示している。さらに、期待値E1、E2、E3、及びE4は、上述で説明した値が設定されている。
図5において、相互通信のタイミングと、切替信号VC1又はVC2の電位レベルが変わるタイミングは、同じである。具体的には、時刻T1及びT3において、切替信号VC1又はVC2が、HighレベルからLowレベルへ移行する時に、相互通信が実施される。時刻T2において、切替信号VC1又はVC2が、LowレベルからHighレベルへ移行する時に、相互通信が実施される。
ケース1は、電源電圧VDD1又はVDD2の値が、機能安全システム1の正常の動作電圧範囲内である場合の例である。図4に基づいて、例えば、電源電圧VDD1又はVDD2の値は、3.3〔V〕である。
ケース1の場合の電源監視装置VM1と半導体装置SC2の動作について、以下に説明する。時刻T1に、切替信号VC1が、HighレベルからLowレベルへ遷移し、その結果、スイッチSA1及びSA2が、OFF状態に設定される。それに伴って、電圧変換回路DA1が、電源電圧VDD1から検出電圧VNA1を生成し、電圧変換回路DA2が、電源電圧VDD1から検出電圧VNA3を生成する。比較回路CA1は、検出電圧VNA1と基準電圧VreAと比較し、その比較結果に応じて、Lowレベルの出力信号OA1を半導体装置SC2へ出力する。比較回路CA2は、検出電圧VNA3と基準電圧VreAと比較し、その比較結果に応じて、Highレベルの出力信号OA2を半導体装置SC2へ出力する。また、時刻T1において、上述したように、検出電圧VNA1は、検出電圧VNA3より低い値であるため、電圧変換回路DA1は、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲の上限電圧より低いかを監視している。一方、検出電圧VNA3は、検出電圧VNA1より高い値であるため、電圧変換回路DA2は、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲の下限電圧より高いかを監視している。したがって、時刻T1で、電源監視装置VM1は、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲内であるかどうかを監視することが出来る。
時刻T1に、半導体装置SC2は、電源監視装置VM1の電圧監視結果として、Lowレベルの出力信号OA1及びHighレベルの出力信号OA2を受け取る。それに伴って、半導体装置SC2は、安全制御ソフトウェアSW2に基づいて、電圧監視結果(Lowレベルの出力信号OA1)と期待値E3Lとを比較し、更に電圧監視結果(Highレベルの出力信号OA2)と期待値E4Lとを比較する。電圧監視結果(Lowレベルの出力信号OA1)は、期待値E3Lと同じであり、更に電圧監視結果(Highレベルの出力信号OA2)は、期待値E4Lと同じであるため、半導体装置SC2は、例えば、Highレベルの制御信号CS2を、遮断回路IN2へ供給する。
つまり、時刻T1において、半導体装置SC2は、電源電圧VDD1の値が、機能安全システム1の動作電圧範囲内であると判断する。言い換えれば、半導体装置SC2は、電源装置VS1、電源配線VW1、及び電源監視装置VM1が故障していないと判断する。
遮断回路IN2は、Highレベルの制御信号CS2に基づいて、駆動信号DSを遮断しない。そのため、モータMTは回転し続ける。
時刻T2に、切替信号VC1が、LowレベルからHighレベルへ遷移し、その結果、スイッチSA1及びSA2が、ON状態に設定される。それに伴って、電圧変換回路DA1が、電源電圧VDD1から検出電圧VNA2を生成し、電圧変換回路DA2が、電源電圧VDD1から検出電圧VNA4を生成する。比較回路CA1は、検出電圧VNA2と基準電圧VreAと比較し、その比較結果に応じて、Highレベルの出力信号OA1を半導体装置SC2へ出力する。比較回路CA2は、検出電圧VNA4と基準電圧VreAと比較し、その比較結果に応じて、Lowレベルの出力信号OA2を半導体装置SC2へ出力する。また、上述したように、検出電圧VNA4は、検出電圧VNA2より低い値であるため、電圧変換回路DA2は、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲の上限電圧より低いかを監視している。一方、検出電圧VNA2は、検出電圧VNA4より高い値であるため、電圧変換回路DA1は、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲の下限電圧より高いかを監視している。したがって、時刻T1と同様に、時刻T2でも、電源監視装置VM1は、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲内であるかどうかを監視することが出来る。
時刻T2に、半導体装置SC2は、電源監視装置VM1の電圧監視結果として、Highレベルの出力信号OA1及びLowレベルの出力信号OA2を受け取る。それに伴って、半導体装置SC2は、安全制御ソフトウェアSW2に基づいて、電圧監視結果(Highレベルの出力信号OA1)と期待値E3とを比較し、更に電圧監視結果(Lowレベルの出力信号OA2)と期待値E4Hとを比較する。電圧監視結果(Highレベルの出力信号OA1)は、期待値E3Hと同じであり、更に電圧監視結果(Lowレベルの出力信号OA2)は、期待値E4Hと同じであるため、半導体装置SC2は、上述と同様に、Highレベルの制御信号CS2を、遮断回路IN2へ供給する。
つまり、時刻T2においても、半導体装置SC2は、電源電圧VDD1の値が、機能安全システム1の動作電圧範囲内であると判断する。言い換えれば、半導体装置SC2は、電源装置VS1、電源配線VW1、及び電源監視装置VM1が故障していないと判断する。そのため、上述と同様に、モータMTは回転し続ける。
また、上述のように、電源監視装置VM1は、切替信号VC1の電位レベルの反転に応じて、出力信号OA1の電位レベルを反転させる。そのため、時刻T1及びT2を通しても、電源監視装置VM1は、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲内にあるかどうかを監視することも出来る。具体的には、検出電圧VNA1は、検出電圧VNA2より低い値であるため、電圧変換回路DA1及び比較回路CA1は、時刻T1で、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲の上限電圧より低いかを監視している。一方、検出電圧VNA2は、検出電圧VNA1より高い値であるため、電圧変換回路DA1及び比較回路CA1は、時刻T2で、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲の下限電圧より高いかを監視している。
また、上述のように、電源監視装置VM1は、切替信号VC1の電位レベルの反転に応じて、出力信号OA2の電位レベルも反転させる。そのため、上述と同様に、時刻T1及びT2を通しても、電源監視装置VM1は、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲内にあるかどうかを監視することも出来る。具体的には、検出電圧VNA3は、検出電圧VNA4より高い値であるため、それによって、電圧変換回路DA2及び比較回路CA2は、時刻T1で、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲の下限電圧より高いかを監視している。一方、検出電圧VNA4は、検出電圧VNA3より低い値であるため、電圧変換回路DA2及び比較回路CA2は、時刻T2で、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲の上限電圧より低いかを監視している。
ケース1の場合の電源監視装置VM2と半導体装置SC1の動作について、以下に説明する。ただし、上述と同様の動作であるため、詳細な説明は省略する。時刻T1で、電圧変換回路DB1が、電源電圧VDD2から検出電圧VNB1を生成し、電圧変換回路DB2が、電源電圧VDD2から検出電圧VNB3を生成する。時刻T1において、比較回路CB1は、検出電圧VNB1と基準電圧VreBと比較し、その比較結果に応じて、Lowレベルの出力信号OB1を半導体装置SC1へ出力する。比較回路CB2は、検出電圧VNB3と基準電圧VreBと比較し、その比較結果に応じて、Highレベルの出力信号OB2を半導体装置SC1へ出力する。上述の同様に、時刻T1において、電圧変換回路DB1は、電源電圧VDD2が機能安全システム1の正常の動作電圧範囲の上限電圧より低いかを監視している。一方、電圧変換回路DB2は、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲の下限電圧より高いかを監視している。したがって、時刻T1で、電源監視装置VM2は、電源電圧VDD2が機能安全システム1の正常の動作電圧範囲内であるかどうかを監視することが出来る。
時刻T1で、半導体装置SC1は、電源監視装置VM2の電圧監視結果として、Lowレベルの出力信号OB1及びHighレベルの出力信号OB2を受け取る。半導体装置SC1は、安全制御ソフトウェアSW1に基づいて、電圧監視結果(Lowレベルの出力信号OB1)と期待値E1Lとを比較し、電圧監視結果(Highレベルの出力信号OB2)と期待値E2Lとを比較する。電圧監視結果(Lowレベルの出力信号OB1)は、期待値E1Lと同じであり、更に電圧監視結果(Highレベルの出力信号OB2)は、期待値E2Lと同じであるため、半導体装置SC1は、例えば、Highレベルの制御信号CS1を、遮断回路IN1へ供給する。
つまり、時刻T1において、半導体装置SC1は、電源電圧VDD2の値が、機能安全システム1の動作電圧範囲内であると判断する。言い換えれば、半導体装置SC1は、電源装置VS2、電源配線VW3、及び電源監視装置VM4が故障していないと判断する。そのため、遮断回路IN1は、Highレベルの制御信号CS1に基づいて、駆動信号DSを遮断しない。その結果、モータMTは回転し続ける。
時刻T2で、電圧変換回路DB1が、電源電圧VDD2から検出電圧VNB2を生成し、電圧変換回路DB2が、電源電圧VDD2から検出電圧VNB4を生成する。時刻T2において、比較回路CB1は、検出電圧VNB2と基準電圧VreBと比較し、その比較結果に応じて、Highレベルの出力信号OB1を半導体装置SC1へ出力する。比較回路CB2は、検出電圧VNB4と基準電圧VreBと比較し、その比較結果に応じて、Lowレベルの出力信号OB2を半導体装置SC1へ出力する。時刻T2において、電圧変換回路DB2は、電源電圧VDD2が機能安全システム1の正常の動作電圧範囲の上限電圧より低いかを監視している。一方、電圧変換回路DB1は、電源電圧VDD1が機能安全システム1の正常の動作電圧範囲の下限電圧より高いかを監視している。したがって、時刻T2で、電源監視装置VM2は、電源電圧VDD2が機能安全システム1の正常の動作電圧範囲内であるかどうかを監視することも出来る。
時刻T2で、半導体装置SC1は、電源監視装置VM2の電圧監視結果として、Highレベルの出力信号OB1及びLowレベルの出力信号OB2を受け取る。半導体装置SC1は、安全制御ソフトウェアSW1に基づいて、電圧監視結果(Highレベルの出力信号OB1)と期待値E1Hとを比較し、電圧監視結果(Lowレベルの出力信号OB2)と期待値E2Hとを比較する。電圧監視結果(Highレベルの出力信号OB1)は、期待値E1Hと同じであり、更に電圧監視結果(Lowレベルの出力信号OB2)は、期待値E2Hと同じであるため、半導体装置SC1は、制御信号CS1(例えば、Highレベルの制御信号CS1)を、遮断回路IN1へ供給する。
つまり、時刻T2においても、半導体装置SC1は、電源電圧VDD2の値が、機能安全システム1の動作電圧範囲内であると判断する。言い換えれば、半導体装置SC1は、電源装置VS2、電源配線VW2、及び電源監視装置VM2が故障していないと判断する。そのため、上述と同様に、モータMTは回転し続ける。
また、上述のように、電源監視装置VM2は、切替信号VC2の電位レベルの反転に応じて、出力信号OB1の電位レベルを反転させる。そのため、時刻T1及びT2を通しても、電源監視装置VM2は、電源電圧VDD2が機能安全システム1の正常の動作電圧範囲内にあるかどうかを監視することも出来る。具体的には、検出電圧VNB1は、検出電圧VNB2より低い値であるため、電圧変換回路DB1及び比較回路CB1は、時刻T1で、電源電圧VDD2が機能安全システム1の正常の動作電圧範囲の上限電圧より低いかを監視している。一方、検出電圧VNB2は、検出電圧VNB1より高い値であるため、電圧変換回路DB1及び比較回路CB1は、時刻T2で、電源電圧VDD2が機能安全システム1の正常の動作電圧範囲の下限電圧より高いかを監視している。
また、上述のように、電源監視装置VM2は、切替信号VC2の電位レベルの反転に応じて、出力信号OB2の電位レベルも反転させる。そのため、時刻T1及びT2を通しても、電源監視装置VM2は、電源電圧VDD2が機能安全システム1の正常の動作電圧範囲内にあるかどうかを監視することも出来る。具体的には、検出電圧VNB3は、検出電圧VNB4より高い値であるため、それによって、電圧変換回路DB2及び比較回路CB2は、時刻T1で、電源電圧VDD2が機能安全システム1の正常の動作電圧範囲の下限電圧より高いかを監視している。一方、検出電圧VNB4は、検出電圧VNB3より低い値であるため、電圧変換回路DB2及び比較回路CB2は、時刻T2で、電源電圧VDD2が機能安全システム1の正常の動作電圧範囲の上限電圧より低いかを監視している。
ケース2は、電源装置VS1又は電源配線VW1等の故障よって、電源電圧VDD1が、機能安全システム1の正常の動作電圧範囲より高い場合である。または、ケース2は、電源装置VS2又は電源配線VW2等の故障よって、電源電圧VDD2が、機能安全システム1の正常の動作電圧範囲より高い場合である。図4に基づいて、電源電圧VDD1又はVDD2の値は、例えば、3.7〔V〕である。
ケース2において、半導体装置SC1及びSC2は、安定して動作することが出来ないため、機能安全システム1としても安定して動作しない可能性がある。したがって、機能安全システム1は、駆動信号DSを遮断し、モータMTの動作を停止させる必要がある。
ケース2の場合の電源監視装置VM1と半導体装置SC2の動作について、以下に説明する。時刻T1において、ケース2の電源電圧VDD1の値は、ケース1の電源電圧VDD1の値より高いため、それに伴い、ケース2の検出電圧VNA1及び検出電圧VNA3の値は、ケース1の検出電圧VNA1及び検出電圧VNA3の値とは異なる。そのため、ケース1の時刻T1と異なり、ケース2の時刻T1において、比較回路CA1は、検出電圧VNA1と基準電圧VreAと比較し、その比較結果に応じて、Highレベルの出力信号OA1を半導体装置SC2へ出力する。比較回路CA2は、検出電圧VNA3と基準電圧VreAと比較し、その比較結果に応じて、Highレベルの出力信号OA2を半導体装置SC2へ出力する。
ケース2において、時刻T1に、半導体装置SC2は、電源監視装置VM1の電圧監視結果として、Highレベルの出力信号OA1及びOA2を受け取る。それに伴って、上述したように、半導体装置SC2は、安全制御ソフトウェアSW2に基づいて、電圧監視結果(Highレベルの出力信号OA1)と期待値E3Lとを比較し、更に電圧監視結果(Highレベルの出力信号OA2)と期待値E4Lとを比較する。少なくとも、電圧監視結果(Highレベルの出力信号OA1)は、期待値E3Lと異なるため、半導体装置SC2は、制御信号CS2(例えば、Lowレベルの制御信号CS2)を、遮断回路IN2へ供給する。遮断回路IN2は、Lowレベルの制御信号CS2に基づいて、駆動信号DSを遮断する。その結果、モータMTの回転動作が停止する。
つまり、時刻T1において、半導体装置SC2は、電源電圧VDD1の値が、機能安全システム1の動作電圧範囲外であると判断する。言い換えれば、半導体装置SC2は、電源装置VS1、又は電源配線VW1等が故障していると判断する。そのため、遮断回路IN2は、Lowレベル制御信号CS2に基づいて、駆動信号DSを遮断する。その結果、モータMTの回転動作が停止する。これにより、機能安全システム1の安全性を確保することが出来る。
時刻T2において、ケース2の電源電圧VDD1の値は、ケース1の電源電圧VDD1の値より高いため、それに伴い、ケース2の検出電圧VNA2及び検出電圧VNA4の値は、ケース1の検出電圧VNA2及び検出電圧VNA4の値とは異なる。そのため、ケース1の時刻T2と異なり、ケース2の時刻T2において、比較回路CA2は、検出電圧VNA4と基準電圧VreAと比較し、その比較結果に応じて、Highレベルの出力信号OA2を半導体装置SC2へ出力する。比較回路CA1は、検出電圧VNA2と基準電圧VreAと比較し、その比較結果に応じて、Highレベルの出力信号OA1を半導体装置SC2へ出力する。
時刻T2において、半導体装置SC2は、電源監視装置VM1の電圧監視結果として、時刻T1と同様に、Highレベルの出力信号OA1及びOA2を受け取る。それに伴って、上述したように、半導体装置SC2は、安全制御ソフトウェアSW2に基づいて、電圧監視結果(Highレベル信号OA1)と期待値E3Hとを比較し、更に電圧監視結果(Highレベル信号OA2)と期待値E4Hとを比較する。少なくとも、電圧監視結果(Highレベル信号OA2)は、期待値E4Hと異なるため、半導体装置SC2は、制御信号CS2(例えば、Lowレベルの制御信号CS2)を、遮断回路IN2へ供給する。
つまり、時刻T2においても、半導体装置SC2は、電源電圧VDD1の値が、機能安全システム1の動作電圧範囲外であると判断する。そのため、上述と同様に、モータMTの回転動作を停止させ、機能安全システム1の安全性を確保することが出来る。
ケース2の場合の電源監視装置VM2と半導体装置SC1の動作について、上述と同様であるため、詳細な説明については、省略する。ケース2の電源電圧VDD2の値は、ケース1の電源電圧VDD2の値より高いため、それに伴い、ケース2の検出電圧VNB1及び検出電圧VNB3の値は、ケース1の検出電圧VNB1及び検出電圧VNB3の値とは異なる。同様に、ケース2の検出電圧VNB2及び検出電圧VNB4の値は、ケース1の検出電圧VNB2及び検出電圧VNB4の値とは異なる。
そのため、ケース1の時刻T1と異なり、ケース2の時刻T1において、比較回路CB1は、検出電圧VNB1と基準電圧VreBと比較し、その比較結果に応じて、Highレベルの出力信号OB1を半導体装置SC1へ出力する。それに伴って、半導体装置SC2は、少なくとも電圧監視結果(Highレベル信号OB1)は、期待値E1Lと異なるため、半導体装置SC1は、制御信号CS1(例えば、Lowレベルの制御信号CS1)を、遮断回路IN1へ供給する。
また、ケース1の時刻T2と異なり、ケース2の時刻T2において、比較回路CB2は、検出電圧VNB4と基準電圧VreBと比較し、その比較結果に応じて、Highレベルの出力信号OB2を半導体装置SC1へ出力する。それに伴って、半導体装置SC2は、少なくとも電圧監視結果(Highレベル信号OB2)は、期待値E2Hと異なるため、半導体装置SC1は、制御信号CS1(例えば、Lowレベルの制御信号CS1)を、遮断回路IN1へ供給する。
つまり、時刻T1及びT2において、半導体装置SC1は、電源電圧VDD2の値が、機能安全システム1の動作電圧範囲外であると判断する。言い換えれば、半導体装置SC1は、電源装置VS2又は電源配線VW2等が故障していると判断する。そのため、遮断回路IN1は、Lowレベル制御信号CS1に基づいて、駆動信号DSを遮断する。その結果、モータMTの回転動作が停止する。これにより、機能安全システム1の安全性を確保することが出来る。
また、図5には、図示していないが、電源装置VS1又はVS2、電源配線VW1又はVW2等の故障により、電源電圧VDD1又はVDD2が、機能安全システム1の正常の動作電圧範囲より低い場合もある。例えば、電源電圧VDD1又は電源電圧VDD2の値は、2.9〔V〕である。その場合においても、モータMTの回転動作を停止させ、機能安全システム1の安全性を確保することが出来る。図4に示すように、切替信号VC1がLowレベルの場合、出力信号OA2は、Lowレベルであるため、上述のように半導体装置SC2は、駆動信号DSを遮断させる。一方、切替信号VC1がHighレベルの場合、出力信号OA1は、Lowレベルであるため、上述のように半導体装置SC2は、駆動信号DSを遮断させる。また、切替信号VC2がLowレベルの場合、出力信号OB2は、Lowレベルであるため、上述のように半導体装置SC1は、駆動信号DSを遮断させる。一方、切替信号VC2がHighレベルの場合、出力信号OB1は、Lowレベルであるため、上述のように半導体装置SC1は、駆動信号DSを遮断させる。
したがって、半導体装置SC1は、切替信号VC2がLowレベルである間で、少なくとも電源装置VS2及び電源配線VW2等に対して故障がないかどうかを判断することが出来る。更に、半導体装置SC1は、切替信号VC2がHighレベルの間でも、少なくとも電源装置VS2及び電源配線VW2等に対して故障がないかどうかを判断することが出来る。そのため、高信頼の機能安全システム1を提供することが出来る。
同様に、半導体装置SC2は、切替信号VC1がLowレベルの間で、少なくとも電源装置VS1及び電源配線VW1に対して異常がないかどうかを判断することが出来る。更に、半導体装置SC2は、切替信号VC1がHighレベルの間でも、少なくとも電源装置VS1及び電源配線VW1に対して異常がないかどうかを判断することが出来る。そのため、高信頼の機能安全システム1を提供することが出来る。
更に、上述したように、電源監視装置VM1は、切替信号VC1の電位レベルの変化に応じて、出力信号OA1及びOA2の電位レベルも変化させているため、半導体装置SC2は、電源監視装置VM1自体も正常に動作しているかどうかを判断することが出来る。例えば、切替信号VC1の電位レベルの変化に応じて、出力信号OA1の電位レベルは変化するが、出力信号OA2の電位レベルが変化しない場合がある。その場合、電源監視装置VM1は故障している可能性がある。その場合も、上述のように、半導体装置SC2は、駆動信号DSを遮断させる。そのため、より高信頼の機能安全システム1を提供することが出来る。
また、電源監視装置VM2は、切替信号VC2の電位レベルの変化に応じて、出力信号OB1及びOB2の電位レベルも変化させているため、半導体装置SC1は、電源監視装置VM2自体も正常に動作しているかどうかを判断することが出来る。例えば、切替信号VC2の電位レベルの変化に応じて、出力信号OB1の電位レベルは変化するが、出力信号OB2の電位レベルが変化しない場合がある。その場合、電源監視装置VM2は故障している可能性がある。その場合も、上述のように、半導体装置SC1は、駆動信号DSを遮断させる。そのため、より高信頼の機能安全システム1を提供することが出来る。
また、電源監視装置VM1は、切替信号VC1の電位レベルの変化に応じて、出力信号OA1及びOA2の電位レベルも変化させるため、機能安全システム1は、電源電圧VDD1の値を変えなくても、電源装置VS1、電源配線VW1、及び電源監視装置VM1に対して、故障がないかどうかを判断することが出来る。同様に、電源監視装置VM2は、切替信号VC2の電位レベルの変化に応じて、出力信号OB1及びOB2の電位レベルを変化させるため、機能安全システム1は、電源電圧VDD2の値を変えなくても、電源装置VS2、電源配線VW2、及び電源監視装置VM2に対して、故障がないかどうかを判断することが出来る。そのため、機能安全システム1は、通常動作中において、それらの故障を検出することが出来る。
また、機能安全システム1として、ケース1の場合の出力信号OA1及びOA2と、ケース2の場合の出力信号OB1及びOB2とを組み合わせケースもある。その場合は、上述したように、半導体装置SC2は、通常の動作を実施するが、半導体装置SC1は、遮断回路IN1を制御して、駆動信号DSの供給を遮断する。その結果、モータMTの回転動作が停止する。そのため、機能安全システム1は、半導体装置SC1及びSC2を使用して2重化の機能安全システムを構成することが出来る。
[実施の形態2]
図6は、実施の形態2に係る機能安全システム2の構成例を説明するブロック図である。
機能安全システム2は、機能安全システム1の電源監視装置VM1の代わりに、電源監視装置(第1の電源監視装置)VM3を有する。電源監視装置VM3は、電源監視装置VM1と異なり、出力信号OA2を半導体装置SC2へ供給しない。また、機能安全システム2は、機能安全システム1の電源監視装置VM2の代わりに、電源監視装置(第2の電源監視装置)VM4を有する。電源監視装置VM4は、電源監視装置VM2と異なり、出力信号OB2を半導体装置SC1へ供給しない。
機能安全システム2において、電源監視装置VM3及びVM4以外の構成は、機能安全システム1と同様であるため、同一の符号を付し、説明は省略する。ただし、実施の形態2の半導体装置SC1は、実施の形態1の半導体装置SC1と異なり、期待値E2を有していない。また、実施の形態2の半導体装置SC2は、実施の形態1の半導体装置SC2と異なり、期待値E4を有していない。
図7は、実施の形態2に係る電源監視装置VM3及びVM4の構成例を説明するブロック図である。
図7に示すように、電源監視装置VM3は、電源監視装置VM1と同様に、電圧変換回路DA1及び比較回路CA1を有している。したがって、電源監視装置VM3は、電源監視装置VM1と同様に、出力信号OA1を半導体装置SC2へ供給する。電源監視装置VM4は、電源監視装置VM2と同様に、電圧変換回路DB1及び比較回路CB1を有している。したがって、電源監視装置VM4は、電源監視装置VM2と同様に、出力信号OB1を半導体装置SC1へ供給する。そのため、同一の符号を付し、説明は省略する。
つまり、電源監視装置VM3は、電源監視装置VM1と比較して、電圧変換回路DA2及び比較回路CA2を有していないため、電源監視装置VM3の大きさは、電源監視装置VM1の大きさより小さい。同様に、電源監視装置VM4は、電源監視装置VM2と比較して、電圧変換回路DB2及び比較回路CB2を有していないため、電源監視装置VM4の大きさは、電源監視装置VM2の大きさより小さい。
図8は、実施の形態2に係る電源監視装置VM3及びVM4の出力結果例を説明する図である。図8に、電源監視装置VM3及びVM4の出力結果(電圧監視結果)として、図4と同様に、出力信号OA1及びOB1の電位レベルが記載されている。図8に示す「H」とは、Highレベルの電位を示し、「L」とは、Lowレベルの電位を示している。
図8に示すように、図4と同様に、機能安全システム1の正常の動作電圧範囲は、例えば、3.5〔V〕~3.1〔V〕である。また、上述したように、電源監視装置VM3から供給される出力信号OA1と、電源監視装置VM1から供給される出力信号OA1とは、同じであるため、図8の出力信号OA1の値は、図4の出力信号OA1の値と同じある。また、上述したように、電源監視装置VM4から供給される出力信号OB1と、電源監視装置VM2から供給される出力信号OB1とは、同じであるため、図8の出力信号OB1の値は、図4の出力信号OB1の値と同じある。そのため、詳細な説明は省略する。
図9は、実施の形態2に係る電源監視装置VM3及びVM4の動作について説明する図である。図9には、電源監視装置VM3及びVM4の動作として、ケース3及びケース4を例示している。また、図9に示す「H」とは、Highレベルの電位を示し、「L」とは、Lowレベルの電位を示している。さらに、期待値E1及びE3は、上述で説明した値が設定されている。
図9において、時刻T11は、図4の時刻T1に対応しており、時刻T12は、図4の時刻T2に対応しており、時刻T13は、図4の時刻T3に対応している。また、図9において、図4と同様に、相互通信のタイミングと、切替信号VC1又はVC2の電位レベルが変わるタイミングは、同じである。
ケース3は、図5のケース1に対応している。そのため、電源電圧VDD1又はVDD2の値が、機能安全システム2の正常の動作電圧範囲内である場合の例である。そのため、ケース3における電源監視装置VM3の電圧変換回路DA1及び比較回路CA1の動作は、ケース1における電源監視装置VM1の電圧変換回路DA1及び比較回路CA1の動作と同様である。そのため、詳細な説明は省略するが、ケース3の場合の電源監視装置VM3と半導体装置SC2の動作について、以下に説明する。
ケース3の時刻T11において、電圧変換回路DA1が、Lowレベルの切替信号VC1に基づいて、電源電圧VDD1から検出電圧VNA1を生成する。比較回路CA1は、検出電圧VNA1と基準電圧VreAと比較し、その比較結果に応じて、Lowレベルの出力信号OA1を、電圧監視結果として、半導体装置SC2へ出力する。時刻T11において、半導体装置SC2は、安全制御ソフトウェアSW2に基づいて、電圧監視結果(Lowレベルの出力信号OA1)と期待値E3Lとを比較する。電圧監視結果(Lowレベルの出力信号OA1)は、期待値E3Lと同じであるため、ケース1と同様に、モータMTは回転し続ける。
切替信号VC1がLowレベルの間(時刻T11から時刻T12までの間)に、電源監視装置VM3は、上述で説明したように、電源電圧VDD1が機能安全システム2の正常の動作電圧範囲の上限電圧より低いかを監視することが出来る。しかしながら、電源監視装置VM3は、電源監視装置VM1と異なり、電圧変換回路DA2及び比較回路CA2を有していない。そのため、切替信号VC1がLowレベルの間(時刻T11から時刻T12までの間)に、電源監視装置VM3は、電源電圧VDD1が機能安全システム2の正常の動作電圧範囲の下限電圧より高いかを監視することが出来ない。
時刻T12において、電圧変換回路DA1が、Highレベルの切替信号VC1に基づいて、電源電圧VDD1から検出電圧VNA2を生成する。比較回路CA1は、検出電圧VNA2と基準電圧VreAと比較し、その比較結果に応じて、Highレベルの出力信号OA1を、電圧監視結果として、半導体装置SC2へ出力する。時刻T12において、半導体装置SC2は、安全制御ソフトウェアSW2に基づいて、電圧監視結果(Highレベルの出力信号OA1)と期待値E3Hとを比較する。電圧監視結果(Highレベルの出力信号OA1)は、期待値E3Hと同じであるため、ケース1と同様に、モータMTは回転し続ける。
切替信号VC1がHighレベルの間(時刻T12から時刻T13までの間)で、電源監視装置VM3は、電源電圧VDD1が機能安全システム2の正常の動作電圧範囲の下限電圧より高いかを監視することが出来る。一方、電源監視装置VM3は、電源監視装置VM1と異なり、電圧変換回路DA2及び比較回路CA2を有していない。そのため、切替信号VC1がHighレベルの間に、電源監視装置VM3は、電源電圧VDD1が機能安全システム2の正常の動作電圧範囲の上限電圧より低いかを監視することが出来ない。
したがって、切替信号VC1が、Lowレベル及びHighレベルである両方の期間を通して、電源監視装置VM3は、電源電圧VDD1が機能安全システム2の正常の動作電圧範囲内にあるかどうかを監視する。
つまり、切替信号VC1が、Lowレベル及びHighレベルである両方の期間を通して、半導体装置SC2は、電源装置VS1、電源配線VW1、及び電源監視装置VM1に対して、故障しているかどうかを判断する。具体的には、半導体装置SC2は、切替信号VC1がLowレベルである場合の出力信号OA1と、期待値E3Lとを比較し、更に、切替信号VC1がHighレベルである場合の出力信号OA1と、期待値E3Hとを比較する。その結果、半導体装置SC2は、切替信号VC1がLowレベルである場合の出力信号OA1と、期待値E3Lとが異なる場合、又は切替信号VC1がHighレベルである場合の出力信号OA1と、期待値E3Hとが異なる場合に、制御信号CS2(例えば、Lowレベルの制御信号CS2)を遮断回路IN2へ供給する。それによって、遮断回路IN2は、駆動信号DSを遮断し、モータMTの駆動動作が停止する。その結果、高信頼の機能安全システム2を提供することが出来る。
また、時刻T11及びT12を通して、電源監視装置VM3は、切替信号VC1の電位レベルの反転に応じて、出力信号OA1の電位レベルを反転させるため、半導体装置SC2は、電源監視装置VM3自体も正常に動作しているかどうかを判断することが出来る。それによって、より高信頼の機能安全システム2を提供することが出来る。さらに、電源監視装置VM3の大きさは、電源監視装置VM1の大きさより小さいため、機能安全システム2の小型化を提供することが出来る。
ケース3における電源監視装置VM4の電圧変換回路DB1及び比較回路CB1の動作は、ケース1における電源監視装置VM2の電圧変換回路DB1及び比較回路CB1の動作と同様である。そのため、詳細な説明は省略するが、ケース3の場合の電源監視装置VM4と半導体装置SC1の動作について、以下に説明する。
ケース3の時刻T11において、電圧変換回路DB1が、Lowレベルの切替信号VC2に基づいて、電源電圧VDD2から検出電圧VNB1を生成する。比較回路CB1は、検出電圧VNB1と基準電圧VreBと比較し、その比較結果に応じて、Lowレベルの出力信号OB1を、電圧監視結果として、半導体装置SC1へ出力する。時刻T11において、半導体装置SC1は、安全制御ソフトウェアSW1に基づいて、電圧監視結果(Lowレベルの出力信号OB1)と期待値E1Lとを比較する。電圧監視結果(Lowレベルの出力信号OB1)は、期待値E1Lと同じであるため、ケース1と同様に、モータMTは回転し続ける。ケース3において、切替信号VC2がLowレベルの間(時刻T11から時刻T12までの間)、電源監視装置VM4は、電源電圧VDD2が機能安全システム2の正常の動作電圧範囲の上限電圧より低いかを監視することが出来る。しかしながら、電源監視装置VM4は、電源監視装置VM2と異なり、電圧変換回路DB2及び比較回路CB2を有していない。そのため、切替信号VC2がLowレベルの間に、電源監視装置VM4は、電源電圧VDD2が機能安全システム2の正常の動作電圧範囲の下限電圧より高いかを監視することが出来ない。
時刻T12において、電圧変換回路DB1が、Highレベルの切替信号VC2に基づいて、電源電圧VDD2から検出電圧VNB2を生成する。比較回路CB1は、検出電圧VNB2と基準電圧VreBと比較し、その比較結果に応じて、Highレベルの出力信号OB1を、電圧監視結果として、半導体装置SC1へ出力する。時刻T12において、半導体装置SC1は、安全制御ソフトウェアSW1に基づいて、電圧監視結果(Highレベルの出力信号OB1)と期待値E1Hとを比較する。電圧監視結果(Highレベルの出力信号OB1)は、期待値E1Hと同じであるため、ケース1と同様に、モータMTは回転し続ける。ケース3において、切替信号VC2がHighレベルの間(時刻T12から時刻T13までの間)で、電源監視装置VM4は、電源電圧VDD2が機能安全システム2の正常の動作電圧範囲の下限電圧より高いかを監視することが出来る。一方、電源監視装置VM4は、電源監視装置VM2と異なり、電圧変換回路DB2及び比較回路CB2を有していない。そのため、切替信号VC2がHighレベルの間に、電源監視装置VM4は、電源電圧VDD2が機能安全システム2の正常の動作電圧範囲の上限電圧より低いかを監視することが出来ない。
したがって、切替信号VC2が、Lowレベル及びHighレベルである両方の期間を通して、電源監視装置VM4は、電源電圧VDD2が機能安全システム2の正常の動作電圧範囲内にあるかどうかを監視する。
つまり、切替信号VC2が、Lowレベル及びHighレベルである両方の期間を通して、半導体装置SC1は、電源装置VS2、電源配線VW2、及び電源監視装置VM2に対して、故障しているかどうかを判断する。具体的には、半導体装置SC1は、切替信号VC2がLowレベルである場合の出力信号OB1と、期待値E1Lとを比較し、更に、切替信号VC2がHighレベルである場合の出力信号OB1と、期待値E1Hとを比較する。その結果、半導体装置SC1は、切替信号VC2がLowレベルである場合の出力信号OB1と、期待値E1Lとが異なる場合、又は切替信号VC2がHighレベルである場合の出力信号OB1と、期待値E1Hとが異なる場合に、制御信号CS1(例えば、Lowレベルの制御信号CS1)を遮断回路IN1へ供給する。それらによって、遮断回路IN1は、駆動信号DSを遮断し、モータMTの駆動動作が停止する。その結果、高信頼の機能安全システム1を提供することが出来る。
また、時刻T11及びT12を通して、電源監視装置VM4は、切替信号VC2の電位レベルの反転に応じて、出力信号OB1の電位レベルを反転させるため、半導体装置SC1は、電源監視装置VM4自体も正常に動作しているかどうかを判断することが出来る。それによって、より高信頼の機能安全システム2を提供することが出来る。さらに、電源監視装置VM4の大きさは、電源監視装置VM2の大きさより小さいため、機能安全システム2の小型化を提供することが出来る。
ケース4は、図5のケース2に対応している。そのため、電源電圧VDD1又はVDD2が、機能安全システム2の正常の動作電圧範囲より高い場合の例である。そのため、ケース4における電源監視装置VM3の電圧変換回路DA1及び比較回路CA1の動作は、ケース2における電源監視装置VM1の電圧変換回路DA1及び比較回路CA1の動作と同様である。そのため、詳細な説明は省略するが、ケース4の場合の電源監視装置VM3と半導体装置SC2の動作について、以下に説明する。
ケース4の時刻T11において、電圧変換回路DA1が、Lowレベルの切替信号VC1に基づいて、電源電圧VDD1から検出電圧VNA1を生成する。比較回路CA1は、検出電圧VNA1と基準電圧VreAと比較し、その比較結果に応じて、Highレベルの出力信号OA1を、電圧監視結果として、半導体装置SC2へ出力する。時刻T11において、半導体装置SC2は、安全制御ソフトウェアSW2に基づいて、電圧監視結果(Highレベルの出力信号OA1)と期待値E3Lとを比較する。電圧監視結果(Highレベルの出力信号OA1)は、期待値E3Lと異なるため、半導体装置SC2は、ケース2と同様に、制御信号CS2(例えば、Lowレベルの制御信号CS2)を、遮断回路IN2へ供給する。遮断回路IN2は、Lowレベルの制御信号CS2に基づいて、駆動信号DSを遮断する。その結果、モータMTの回転動作が停止する。
つまり、時刻T11において、半導体装置SC2は、電源電圧VDD1の値が、機能安全システム2の動作電圧範囲外であると判断する。言い換えれば、半導体装置SC2は、電源装置VS1又は電源配線VW1等が故障していると判断する。そのため、遮断回路IN2は、Lowレベル制御信号CS2に基づいて、半導体装置SC3から供給される駆動信号DSを遮断する。その結果、モータMTの回転動作が停止する。これにより、機能安全システム2の安全性を確保することが出来る。
ケース4における電源監視装置VM4の電圧変換回路DB1及び比較回路CB1の動作は、ケース2における電源監視装置VM2の電圧変換回路DB1及び比較回路CB1の動作と同様である。そのため、詳細な説明は省略するが、ケース4の場合の電源監視装置VM4と半導体装置SC1の動作について、以下に説明する。
ケース4の時刻T11において、電圧変換回路DB1が、Lowレベルの切替信号VC2に基づいて、電源電圧VDD2から検出電圧VNB1を生成する。比較回路CB1は、検出電圧VNB1と基準電圧VreBと比較し、その比較結果に応じて、Highレベルの出力信号OB1を、電圧監視結果として、半導体装置SC1へ出力する。時刻T11において、半導体装置SC1は、安全制御ソフトウェアSW1に基づいて、電圧監視結果(Highレベルの出力信号OB1)と期待値E1Lとを比較する。電圧監視結果(Highレベルの出力信号OB1)は、期待値E1Lと異なるため、半導体装置SC1は、ケース2と同様に、制御信号CS1(例えば、Lowレベルの制御信号CS1)を、遮断回路IN1へ供給する。遮断回路IN1は、Lowレベルの制御信号CS1に基づいて、半導体装置SC3から供給される駆動信号DSを遮断する。その結果、モータMTの回転動作が停止する。
つまり、時刻T11において、半導体装置SC1は、電源電圧VDD2の値が、機能安全システム2の動作電圧範囲外であると判断する。言い換えれば、切替信号VC1がLowレベルの間で、半導体装置SC1は、電源装置VS2又は電源配線VW2が故障していると判断する。そのため、遮断回路IN1は、Lowレベル制御信号CS1に基づいて、半導体装置SC3から供給される駆動信号DSを遮断する。その結果、モータMTの回転動作が停止する。これにより、機能安全システム2の安全性を確保することが出来る。
また、図9には、図示していないが、電源装置VS1又はVS2、電源配線VW1又はVW2等の故障により、電源電圧VDD1又はVDD2が、機能安全システム2の正常の動作電圧範囲より低い場合もある。その場合においても、モータMTの回転動作を停止させ、機能安全システム2の安全性を確保することが出来る。図8に示すように、切替信号VC1がHighレベルの場合、出力信号OA1は、Lowレベルであるため、上述のように半導体装置SC2は、駆動信号DSを遮断させる。一方、切替信号VC2がHighレベルの場合、出力信号OB1は、Lowレベルであるため、上述のように半導体装置SC1は、駆動信号DSを遮断させる。
また、機能安全システム2として、ケース3の場合の出力信号OA1と、ケース4の場合の出力信号OB1とを組み合わせケースもある。その場合は、上述したように、半導体装置SC2は、通常の動作を実施するが、半導体装置SC1は、遮断回路IN1を制御して、駆動信号DSの供給を遮断する。その結果、モータMTの回転動作が停止する。そのため、機能安全システム1は、半導体装置SC1及びSC2を使用して2重化の機能安全システムを構成することが出来る。
1、2 機能安全システム
10A、10B 演算部
11A、11B バス
12A、12B ROM
13A、13B RAM
14A、14B タイマ
15A、15B 通信インターフェイス
CA1、CA2、CB1、CB2 比較回路
IN1、IN2 遮断回路
MT モータ
NA1、NA2、NB1、NB2 電圧ノード
RA1、RA2、RA3、RA4、RA5、RA6、RB1、RB2、RB3、RB4、RB5、RB6 抵抗
SA1、SA2、SB1、SB2 スイッチ
SC1、SC2、SC3 半導体装置
SE 角度センサ
SW1、SW2 安全制御ソフトウェア
VM1、VM2、VM3、VM4 電源監視装置
VS1、VS1、VS3 電源装置
VW1、VW2、VW3 電源配線

Claims (20)

  1. 外部電源に基づいて第1の電源電圧を生成する第1の電源装置と、
    前記第1の電源電圧を受け取り、かつ前記第1の電源電圧を監視する第1の電源監視装置と、
    前記第1の電源電圧を受け取り、かつ前記第1の電源電圧に基づいて動作する第1の半導体装置と、
    前記外部電源に基づいて第2の電源電圧を生成する第2の電源装置と、
    前記第2の電源電圧を受け取り、かつ前記第2の電源電圧を監視する第2の電源監視装置と、
    前記第2の電源電圧を受け取り、かつ前記第2の電源電圧に基づいて動作する第2の半導体装置と、
    前記第1の半導体装置によって制御される第1の遮断回路と
    前記第2の半導体装置によって制御される第2の遮断回路と、
    前記第1の遮断回路及び前記第2の遮断回路を介して駆動信号を受け取り、前記駆動信号に基づいて動作するモータと、
    を備え、
    前記第1の電源監視装置は、第1の電圧変換回路と、第2の電圧変換回路と、第1の比較回路と、及び第2の比較回路とを有し、
    前記第2の半導体装置は、第1の期待値と、第2の期待値とを有し、
    前記第1の電圧変換回路は、前記第2の半導体装置から供給される第1の切替信号に基づいて、前記第1の電源電圧から第1の検出電圧を生成し、前記第1の検出電圧を前記第1の比較回路へ供給し、
    前記第2の電圧変換回路は、前記第1の切替信号に基づいて、前記第1の電源電圧から第2の検出電圧を生成し、前記第2の検出電圧を前記第2の比較回路へ供給し、
    前記第1の比較回路は、前記第1の検出電圧と第1の基準電圧とを比較し、比較結果に応じて、第1の電圧監視結果を前記第2の半導体装置へ供給し、
    前記第2の比較回路は、前記第2の検出電圧と前記第1の基準電圧とを比較し、比較結果に応じて、第2の電圧監視結果を前記第2の半導体装置へ供給し、
    前記第2の半導体装置は、前記第1の電圧監視結果と前記第1の期待値とが異なる場合、又は前記第2の電圧監視結果と前記第2の期待値とが異なる場合に、前記第2の遮断回路を制御し、前記モータへ供給される前記駆動信号を遮断する、機能安全システム。
  2. 前記第2の電源監視装置は、第3の電圧変換回路と、第4の電圧変換回路と、第3の比較回路と、及び第4の比較回路とを有し、
    前記第1の半導体装置は、第3の期待値と、第4の期待値とを有し、
    前記第3の電圧変換回路は、前記第1の半導体装置から供給される第2の切替信号に基づいて、前記第2の電源電圧から第3の検出電圧を生成し、前記第3の検出電圧を前記第3の比較回路へ供給し、
    前記第4の電圧変換回路は、前記第2の切替信号に基づいて、前記第2の電源電圧から第4の検出電圧を生成し、前記第4の検出電圧を前記第4の比較回路へ供給し、
    前記第3の比較回路は、前記第3の検出電圧と第2の基準電圧とを比較し、比較結果に応じて、第3の電圧監視結果を前記第1の半導体装置へ供給し、
    前記第4の比較回路は、前記第4の検出電圧と前記第2の基準電圧とを比較し、比較結果に応じて、第4の電圧監視結果を前記第1の半導体装置へ供給し、
    前記第1の半導体装置は、前記第3の電圧監視結果と前記第3の期待値とが異なる場合、又は前記第4の電圧監視結果と前記第4の期待値とが異なる場合に、前記第1の遮断回路を制御し、前記モータへ供給される前記駆動信号を遮断する、請求項1に記載の機能安全システム。
  3. 前記第1の期待値は、第1の値と、第2の値とを含み、
    前記第2の期待値は、第3の値と、第4の値とを含み、
    前記第1の検出電圧は、第1の分圧電圧と、第2の分圧電圧とを含み、
    前記第2の検出電圧は、第3の分圧電圧と、第4の分圧電圧とを含み、
    前記第1の電圧監視結果は、第1の結果値と、第2の結果値とを含み、
    前記第2の電圧監視結果は、第3の結果値と、第4の結果値とを含み、
    前記第1の切替信号がLowレベルである場合に、前記第1の電圧変換回路は、前記第1の検出電圧として、前記第1の分圧電圧を、前記第1の比較回路へ供給し、
    前記第1の切替信号がHighレベルである場合に、前記第1の電圧変換回路は、前記第1の検出電圧として、前記第2の分圧電圧を、前記第1の比較回路へ供給し、
    前記第1の切替信号がLowレベルである場合に、前記第2の電圧変換回路は、前記第2の検出電圧として、前記第3の分圧電圧を、前記第2の比較回路へ供給し、
    前記第1の切替信号がHighレベルである場合に、前記第2の電圧変換回路は、前記第2の検出電圧として、前記第4の分圧電圧を、前記第2の比較回路へ供給し、
    前記第1の切替信号がLowレベルである場合に、前記第1の比較回路は、前記第1の分圧電圧と前記第1の基準電圧とを比較し、前記第1の電圧監視結果として、前記第1の結果値を前記第2の半導体装置へ供給し、
    前記第1の切替信号がHighレベルである場合に、前記第1の比較回路は、前記第2の検出電圧と前記第1の基準電圧を比較し、前記第1の電圧監視結果として、前記第2の結果値を前記第2の半導体装置へ供給し、
    前記第1の切替信号がLowレベルである場合に、前記第2の比較回路は、前記第3の検出電圧と前記第1の基準電圧とを比較し、前記第2の電圧監視結果として、前記第3の結果値を前記第2の半導体装置へ供給し、
    前記第1の切替信号がHighレベルである場合に、前記第2の比較回路は、前記第4の検出電圧と前記第1の基準電圧とを比較し、前記第2の電圧監視結果として、前記第4の結果値を前記第2の半導体装置へ供給し、
    前記第2の半導体装置は、前記第1の結果値と前記第1の値とが異なる場合、又は前記第3の結果値と前記第3の値とが異なる場合に、前記第2の遮断回路を制御し、前記モータへ供給される前記駆動信号を遮断し、
    前記第2の半導体装置は、前記第2の結果値と前記第2の値とが異なる場合、又は前記第4の結果値と前記第4の値とが異なる場合に、前記第2の遮断回路を制御し、前記モータへ供給される前記駆動信号を遮断する、請求項2に記載の機能安全システム。
  4. 前記第1の切替信号は、定期的に前記Highレベル及び前記Lowレベルになる、請求項3に記載の機能安全システム。
  5. 前記第1の分圧電圧の値は、前記第2の分圧電圧の値とは異なり、
    前記第3の分圧電圧の値は、前記第4の分圧電圧の値とは異なり、
    前記第1の分圧電圧の値は、前記第3の分圧電圧の値とは異なり、
    前記第2の分圧電圧の値は、前記第4の分圧電圧の値とは異なる、請求項3に記載の機能安全システム。
  6. 前記機能安全システムは、前記外部電源に基づいて第3の電源電圧を生成する第3の電源装置と、
    前記第3の電源電圧を受け取り、かつ前記第3の電源電圧に基づいて動作する第3の半導体装置と、
    を更に備え、
    前記第3の半導体装置は、前記駆動信号を、前記第1及び第2の遮断回路を介して前記モータへ供給する、請求項3に記載の機能安全システム。
  7. 前記第1の半導体装置と前記第2の半導体装置は、定期的に相互通信を実施し、互いの動作を監視する、請求項3に記載の機能安全システム。
  8. 前記相互通信を実施するタイミングと、前記第1の切替信号の電位レベルを変化させるタイミングとは同じである、請求項7に記載の機能安全システム。
  9. 前記第1の電圧変換回路は、
    前記第1の電源電圧が供給される電圧ノードに接続される第1の抵抗と、
    前記第1の抵抗と並列に、前記電圧ノードに接続され、かつ前記電圧ノードと第1の検出電圧ノードとの間に配置された第2の抵抗と、
    前記第1の検出電圧ノードを介して、前記第2の抵抗と直列に接続され、かつ前記第1の検出電圧ノードと接地電圧ノードとの間に配置された第3の抵抗と、
    前記第1の検出電圧ノードと前記第1の抵抗の間に配置された第1のスイッチと、
    を有し、
    前記第2の電圧変換回路は、
    前記電圧ノードに接続され、かつ前記電圧ノードと第2の検出電圧ノードとの間に配置された第4の抵抗と、
    前記第2の検出電圧ノードを介して、前記第4の抵抗と直列に接続され、かつ前記第2の検出電圧ノードと前記接地電圧ノードとの間に配置された第5の抵抗と、
    前記第5の抵抗と並列に、前記接地電圧ノードにされた第6の抵抗と、
    前記第2の検出電圧ノードと前記第6の抵抗の間に配置された第2のスイッチと、
    を有し、
    前記第1の比較回路は、前記第1の検出電圧ノードに接続され、
    前記第2の比較回路は、前記第2の検出電圧ノードに接続され、
    前記第1及び第2のスイッチは、前記第1の切替信号に従って、ON状態又はOFF状態に設定される、請求項3に記載の機能安全システム。
  10. 外部電源に基づいて第1の電源電圧を生成し、前記第1の電源電圧を第1の電源配線へ供給する第1の電源装置と、
    前記第1の電源配線に接続され、かつ前記第1の電源配線の電位を監視する第1の電源監視装置と、
    前記第1の電源配線に接続され、かつ前記第1の電源電圧に基づいて動作する第1の半導体装置と、
    前記外部電源に基づいて第2の電源電圧を生成し、前記第2の電源電圧を第2の電源配線へ供給する第2の電源装置と、
    前記第2の電源配線に接続され、かつ前記第2の電源配線の電位を監視する第2の電源監視装置と、
    前記第2の電源配線に接続され、かつ前記第2の電源電圧に基づいて動作する第2の半導体装置と、
    前記第1の半導体装置によって制御される第1の遮断回路と
    前記第2の半導体装置によって制御される第2の遮断回路と、
    前記第1の遮断回路及び前記第2の遮断回路を介して駆動信号を受け取り、前記駆動信号に基づいて動作するモータと、
    を備え、
    前記第1の電源監視装置は、第1の電圧変換回路と、第2の電圧変換回路と、第1の比較回路と、及び第2の比較回路とを有し、
    前記第2の半導体装置は、第1の期待値と、第2の期待値とを有し、
    前記第1の電圧変換回路は、前記第2の半導体装置から供給される第1の切替信号に基づいて、前記第1の電源電圧から第1の検出電圧を生成し、前記第1の検出電圧を前記第1の比較回路へ供給し、
    前記第2の電圧変換回路は、前記第1の切替信号に基づいて、前記第1の電源電圧から第2の検出電圧を生成し、前記第2の検出電圧を前記第2の比較回路へ供給し、
    前記第1の比較回路は、前記第1の検出電圧と第1の基準電圧とを比較し、比較結果に応じて、第1の電圧監視結果を前記第2の半導体装置へ供給し、
    前記第2の比較回路は、前記第2の検出電圧と前記第1の基準電圧とを比較し、比較結果に応じて、第2の電圧監視結果を前記第2の半導体装置へ供給し、
    前記第2の半導体装置は、前記第1の電圧監視結果と前記第1の期待値とが異なる場合、又は前記第2の電圧監視結果と前記第2の期待値とが異なる場合に、前記第2の遮断回路を制御し、前記モータへ供給される前記駆動信号を遮断する、機能安全システム。
  11. 前記第1の検出電圧は、前記第1の切替信号の電位レベルに基づいて、変化し、
    前記第2の検出電圧は、前記第1の切替信号の電位レベルに基づいて、変化する、請求項10に記載の機能安全システム。
  12. 前記第1の電圧変換回路は、
    前記第1の電源配線に接続される第1の抵抗と、
    前記第1の抵抗と並列に、前記第1の電源配線に接続され、かつ前記第1の電源配線と第1の検出電圧ノードとの間に配置された第2の抵抗と、
    前記第1の検出電圧ノードを介して、前記第2の抵抗と直列に接続され、かつ前記第1の検出電圧ノードと接地電圧ノードとの間に配置された第3の抵抗と、
    前記第1の検出電圧ノードと前記第1の抵抗の間に配置された第1のスイッチと、
    を有し、
    前記第2の電圧変換回路は、
    前記第1の電源配線に接続され、かつ前記第1の電源配線と第2の検出電圧ノードとの間に配置された第4の抵抗と、
    前記第2の検出電圧ノードを介して、前記第4の抵抗と直列に接続され、かつ前記第2の検出電圧ノードと前記接地電圧ノードとの間に配置された第5の抵抗と
    前記第5の抵抗と並列に、前記接地電圧ノードにされた第6の抵抗と、
    前記第2の検出電圧ノードと前記第6の抵抗の間に配置された第2のスイッチと、
    を有し、
    前記第1の比較回路は、前記第1の検出電圧ノードに接続され、
    前記第2の比較回路は、前記第2の検出電圧ノードに接続され、
    前記第1及び第2のスイッチは、前記第1の切替信号に従って、ON状態又はOFF状態に設定される、請求項11に記載の機能安全システム。
  13. 前記第2の電源監視装置は、第3の電圧変換回路と、第4の電圧変換回路と、第3の比較回路と、及び第4の比較回路とを有し、
    前記第1の半導体装置は、第3の期待値と、第4の期待値とを有し、
    前記第3の電圧変換回路は、前記第1の半導体装置から供給される第2の切替信号に基づいて、前記第2の電源電圧から第3の検出電圧を生成し、前記第3の検出電圧を前記第3の比較回路へ供給し、
    前記第4の電圧変換回路は、前記第2の切替信号に基づいて、前記第2の電源電圧から第4の検出電圧を生成し、前記第4の検出電圧を前記第4の比較回路へ供給し、
    前記第3の比較回路は、前記第3の検出電圧と第2の基準電圧とを比較し、比較結果に応じて、第3の電圧監視結果を前記第1の半導体装置へ供給し、
    前記第4の比較回路は、前記第4の検出電圧と前記第2の基準電圧とを比較し、比較結果に応じて、第4の電圧監視結果を前記第1の半導体装置へ供給し、
    前記第1の半導体装置は、前記第3の電圧監視結果と前記第3の期待値とが異なる場合、又は前記第4の電圧監視結果と前記第4の期待値とが異なる場合に、前記第1の遮断回路を制御し、前記モータへ供給される前記駆動信号を遮断する、請求項11に記載の機能安全システム。
  14. 前記第3の検出電圧は、前記第2の切替信号の電位レベルに基づいて、変化し、
    前記第4の検出電圧は、前記第2の切替信号の電位レベルに基づいて、変化する、請求項13に記載の機能安全システム。
  15. 外部電源に基づいて第1の電源電圧を生成する第1の電源装置と、
    前記第1の電源電圧を受け取り、かつ前記第1の電源電圧を監視する電源監視装置と、
    前記第1の電源電圧を受け取り、かつ前記第1の電源電圧に基づいて動作する第1の半導体装置と、
    前記外部電源に基づいて第2の電源電圧を生成する第2の電源装置と、
    前記第2の電源電圧を受け取り、かつ前記第2の電源電圧に基づいて動作する第2の半導体装置と、
    前記第2の半導体装置によって制御される遮断回路と、
    前記遮断回路を介して駆動信号を受け取り、前記駆動信号に基づいて動作するモータと、
    を備え、
    前記電源監視装置は、電圧変換回路及び比較回路を有し、
    前記第2の半導体装置は、期待値として、第1の値と第2の値を有し、
    前記電圧変換回路は、前記第2の半導体装置から供給されるLowレベルの切替信号に基づいて、前記第1の電源電圧から第1の分圧電圧を生成し、前記第1の分圧電圧を前記比較回路へ供給し、
    前記電圧変換回路は、Highレベルの前記切替信号に基づいて、前記第1の電源電圧から第2の分圧電圧を生成し、前記第2の分圧電圧を前記比較回路へ供給し、
    前記比較回路は、前記第1の分圧電圧と基準電圧とを比較し、比較結果に基づいて、第1の結果値を前記第2の半導体装置へ供給し、
    前記比較回路は、前記第1の分圧電圧と前記基準電圧とを比較し、比較結果に基づいて、第2の結果値を前記第2の半導体装置へ供給し、
    前記第2の半導体装置は、前記第1の結果値と前記第1の値とが異なる場合、又は前記第2の結果値と前記第2の値とが異なる場合に、前記遮断回路を制御し、前記モータへ供給される前記駆動信号を遮断する、機能安全システム。
  16. 前記第1の分圧電圧は、前記第2の分圧電圧とは、異なる値である、請求項15に記載の機能安全システム。
  17. 前記切替信号がLowレベルの時に、前記比較回路は、前記第1の結果値を前記第2の半導体装置へ供給し、
    前記切替信号がHighレベルの時に、前記比較回路は、前記第2の結果値を前記第2の半導体装置へ供給し、
    前記切替信号がLowレベルの時に、前記第2の半導体装置は、前記第1の結果値と前記第1の値とを比較し、
    前記切替信号がHighレベルの時に、前記第2の半導体装置は、前記第2の結果値と前記第2の値とを比較する、請求項15に記載の機能安全システム。
  18. 前記電圧変換回路は、
    前記第1の電源電圧が供給される電圧ノードに接続される第1の抵抗と、
    前記第1の抵抗と並列に、前記電圧ノードに接続され、かつ前記電圧ノードと検出電圧ノードとの間に配置された第2の抵抗と、
    前記検出電圧ノードを介して、前記第2の抵抗と直列に接続され、かつ前記検出電圧ノードと接地電圧ノードとの間に配置された第3の抵抗と、
    前記検出電圧ノードと前記第1の抵抗の間に配置されたスイッチと、
    を有し、
    前記スイッチは、前記切替信号に従って、ON状態又はOFF状態に設定される、請求項17に記載の機能安全システム。
  19. 前記第1の半導体装置と前記第2の半導体装置は、定期的に相互通信を実施し、互いの動作を監視する、請求項18に記載の機能安全システム。
  20. 前記相互通信を実施するタイミングと、前記切替信号の電位レベルを変化させるタイミングとは同じである、請求項19に記載の機能安全システム。
JP2019207942A 2019-11-18 2019-11-18 機能安全システム Active JP7249263B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2019207942A JP7249263B2 (ja) 2019-11-18 2019-11-18 機能安全システム
EP20207365.6A EP3823154A1 (en) 2019-11-18 2020-11-13 Functional safety system
CN202011285293.4A CN112817422A (zh) 2019-11-18 2020-11-17 功能性安全系统
US16/950,988 US11243246B2 (en) 2019-11-18 2020-11-18 Functional safety system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019207942A JP7249263B2 (ja) 2019-11-18 2019-11-18 機能安全システム

Publications (2)

Publication Number Publication Date
JP2021083206A JP2021083206A (ja) 2021-05-27
JP7249263B2 true JP7249263B2 (ja) 2023-03-30

Family

ID=73448824

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019207942A Active JP7249263B2 (ja) 2019-11-18 2019-11-18 機能安全システム

Country Status (4)

Country Link
US (1) US11243246B2 (ja)
EP (1) EP3823154A1 (ja)
JP (1) JP7249263B2 (ja)
CN (1) CN112817422A (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112527003B (zh) * 2021-02-18 2021-07-16 北京图森智途科技有限公司 数据传输装置和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007310693A (ja) 2006-05-19 2007-11-29 Omron Corp セーフティ・コントローラ
JP5924510B2 (ja) 2012-10-02 2016-05-25 富士電機株式会社 冗長化演算処理システム
JP2019101515A (ja) 2017-11-29 2019-06-24 ルネサスエレクトロニクス株式会社 半導体装置及びその電源監視方法
JP2019159992A (ja) 2018-03-15 2019-09-19 ルネサスエレクトロニクス株式会社 機能安全システム、機能安全システムの安全制御方法及び機能安全プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4435017B2 (ja) 2005-04-19 2010-03-17 オムロン株式会社 安全仕様の制御装置
JP5822041B1 (ja) * 2015-03-19 2015-11-24 富士電機株式会社 電力変換装置
JP6834798B2 (ja) * 2017-06-19 2021-02-24 株式会社デンソーウェーブ I/oモジュール

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007310693A (ja) 2006-05-19 2007-11-29 Omron Corp セーフティ・コントローラ
JP5924510B2 (ja) 2012-10-02 2016-05-25 富士電機株式会社 冗長化演算処理システム
JP2019101515A (ja) 2017-11-29 2019-06-24 ルネサスエレクトロニクス株式会社 半導体装置及びその電源監視方法
JP2019159992A (ja) 2018-03-15 2019-09-19 ルネサスエレクトロニクス株式会社 機能安全システム、機能安全システムの安全制御方法及び機能安全プログラム

Also Published As

Publication number Publication date
CN112817422A (zh) 2021-05-18
US11243246B2 (en) 2022-02-08
JP2021083206A (ja) 2021-05-27
US20210148966A1 (en) 2021-05-20
EP3823154A1 (en) 2021-05-19

Similar Documents

Publication Publication Date Title
JP5333756B2 (ja) インバータ装置
EP2250540B1 (en) Automatic detection of a cmos device in a latch-up and cycling of a power thereto
US9116531B2 (en) Methods and systems for current output mode configuration of universal input-output modules
US20130231767A1 (en) Systems and methods for control with a multi-chip module with multiple dies
JP7249263B2 (ja) 機能安全システム
US20110249717A1 (en) Input module of plc
JP5682323B2 (ja) 安全制御システム
JP2008295128A (ja) モータ制御用マイクロコンピュータ及びその制御方法
US10033389B2 (en) Clock signal stop detection circuit
KR102071404B1 (ko) Bms의 페일 세이프 장치 및 방법
US10274534B2 (en) Chip and reading circuit for die ID in chip
US10120742B2 (en) Power supply controller system and semiconductor device
EP3220539A1 (en) Motor controller
JP2015060398A (ja) 出力装置およびその診断方法
JP2011146549A (ja) 電子回路
CN106776463B (zh) 一种基于fpga的双余度计算机控制系统的设计方法
JP2021083237A (ja) パワーモジュール
WO2014188764A1 (ja) 機能安全制御装置
US10050434B1 (en) Device and method for inrush current control
KR102472184B1 (ko) 멀티플렉서를 이용한 다수의 기기 고장진단 장치 및 방법
JP7310501B2 (ja) プログラマブルコントローラ
JP2015176349A (ja) 情報処理装置、故障検出方法及びプログラム
Astarloa et al. An autonomous fault tolerant system for can communications
JP2007049719A (ja) 半導体集積回路
JPH01230135A (ja) 暴走防止回路

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220426

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230228

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230317

R150 Certificate of patent or registration of utility model

Ref document number: 7249263

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150