WO2019207837A1

WO2019207837A1 - 電力変換システム及び電力変換方法

Info

Publication number: WO2019207837A1
Application number: PCT/JP2018/046068
Authority: WO
Inventors: 孝亮林; 祐介荒尾
Original assignee: 株式会社日立産機システム
Priority date: 2018-04-25
Filing date: 2018-12-14
Publication date: 2019-10-31
Also published as: CN112041763A; JP7112240B2; EP3786729A4; US20210096516A1; EP3786729A1; US11442415B2; JP2019191928A

Abstract

機能安全に対応した電力変換装置において、システム動作の異常や診断エラーを検知した際の安全機能動作を、異常時のシステムの状況に応じて動的な設定とすることで、システムの安全性を向上させる機能を提供することを目的とする。　上記目的を達成するために、モータを駆動するための電力変換装置本体と、安全機能を実行する安全機能部とを備える電力変換システムであって、安全機能部は、安全要求信号を受信したら安全機能動作指示信号を出力し、安全機能動作指示信号により電力変換装置本体はモータを制御し、安全機能部は、モータの状態監視を行い、モータの状態が所定の範囲を超過した場合、予め選択された安全機能動作による閾値超過後処理を行う。

Description

電力変換システム及び電力変換方法

　本発明は、電力変換システムに係り、特に安全機能動作に関するものである。

　従来、機能安全に対応した電力変換装置において、システム動作の異常や診断エラーを検知した際にシステムを安全方向に移行する安全機能動作が提案されている。(例えば特許文献1)

ＷＯ２０１６/０５１５５２号公報

　特許文献１に記載の制御方法では、減速度制御等のシステム動作に異常が発生した場合や診断エラー発生を検知した場合は、安全機能動作であるＳＴＯ (Safe torque off) 機能によりモータへのトルクを遮断する。一方、安全機能動作の技術動向として、ＳＴＯ動作により遮断するだけでなく、より安全にシステムを制御する技術が普及し始めている。本発明では、異常時のシステムの状況に応じて安全機能動作を動的な設定とすることで、システムの安全性をより向上させる機能を提供する。

　本発明は、上記背景技術及び課題に鑑み、その一例を挙げるならば、モータを駆動するための電力変換装置本体と、安全機能を実行する安全機能部とを備える電力変換装置であって、安全機能部は、安全要求信号を受信したら安全機能動作指示信号を出力し、安全機能動作指示信号により電力変換装置本体はモータを制御し、安全機能部は、モータの状態監視を行い、モータの状態が所定の範囲を超過した場合、予め選択された安全機能動作による閾値超過後処理を行う。

　本発明によれば、システム動作の異常や診断エラー発生後という動的な状況において、システムの状況にあわせてモータの駆動を細かく制御できるため、システムの安全性が向上する。

実施例における電力変換装置で安全機能を動作させる場合の機能的構成を示すシステムブロック図である。実施例における電力変換装置に安全機能部を接続して安全機能を動作させる場合の機能的構成を示すシステムブロック図である。実施例における電力変換装置と安全機能部の構成および接続時のデータの流れを示す図である。実施例における電力変換装置と安全機能部を接続しない状態の回路図である。実施例における電力変換装置と安全機能部が接続された状態の回路図である。実施例における電力変換装置と安全機能部が接続された状態でオプション接続部と本体接続部が接続されていない状態の回路図である。実施例における電力変換装置と安全機能部の接続処理を説明するフローチャートである。実施例における電力変換装置と安全機能部の電源を入れてからモータの運転を開始するまでのフローチャートである。実施例における電力変換装置がモータ運転中に安全機能部が接続又は接続解除された場合のフローチャートである。実施例における電力変換装置と安全機能部の構成および安全要求信号受信時のデータの流れを示す図である。実施例における電力変換装置と安全機能部の構成およびモータ減速時のデータの流れを示す図である。実施例における安全機能実行部の構成を示す図である。実施例における動作監視部の処理のフローチャートである。実施例における安全機能動作判定処理のフローチャートである。実施例における電力変換装置に搭載された操作部、表示部の表示例を示した図である。実施例における安全機能動作を説明する図である。実施例における安全機能動作の処理の流れを説明するフローチャートである。実施例における安全機能動作の所定の閾値超過後処理を説明するフローチャートである。実施例における安全機能動作の自動調整処理を説明するフローチャートである。実施例における安全領域復帰後処理を説明するための図である。

　以下、本発明の実施例について図面を用いて説明する。なお、各図における共通の構成については同一の参照番号を付してある。また、以下に説明する各実施例は図示例に限定されるものではない。

　図１Ａ、１Ｂは、本実施例における安全機能を動作させる場合の機能的構成を示すシステムブロック図である。図１Ａは、電力変換装置で安全機能を動作させる場合の機能的構成を示す。図１Ａにおいては、電力変換装置１０と入出力部３０とモータ４０と負荷機械５０から構成される。モータ４０は、電気的なエネルギーを機械的なエネルギーに変換する機器であり、例えば、３相交流モータなどである。

　負荷機械５０は、例えば、エレベータや工作機械等の産業機械の構成要素で、モータ４０に接続されて駆動される。

　入出力部３０は、負荷機械５０を安全な状態にするための緊急停止信号等の安全要求信号を入出力するものである。例えば、負荷機械５０に携わる作業員などによって押下されて緊急停止信号を出力する緊急停止スイッチや、あるいは負荷機械５０に人が近づいたり進入禁止のドアが開いたりしたことを検知して緊急停止信号を出力するライトカーテンやセーフティドアロックなどである。また、これらの複数の装置と接続されて使用され、装置から緊急事態の通知を受けたら、緊急停止信号を出力するセーフティリレーやセーフティＰＬＣなどでも良い。緊急停止信号は、国際規格ＩＥＣ６１８００－５－２で定められている安全機能の実行を要求する安全要求信号の一つである。また、後述する安全機能部２０から出力された安全機能動作指示信号を、図示していない外部ブレーキに出力し、外部ブレーキが動作する構成であってもよい。

　電力変換装置１０は、モータ４０を駆動制御するものである。その詳細な構成については後述する。電力変換装置１０は、入出力部３０から緊急停止信号等の安全要求信号を受信した場合、モータ４０を停止するなどの制御を行う。

　図１Ｂは、電力変換装置に安全機能部を接続して安全機能を動作させる場合の機能的構成を示すブロック図である。図１Ｂにおいて、安全機能部２０は、電力変換装置１０と接続されて動作し、モータ４０の緊急停止だけでなく、モータ４０を減速して停止したり、一定速度に保ったりする安全機能を実行するように電力変換装置１０に制御信号を出す。その詳細な構成については後述する。

　このように、電力変換装置１０は、それ単体でもモータ４０の制御及び安全機能を実行でき、更に安全機能部２０を接続すれば、より高度な安全機能が実行できるようになる。なお、電力変換装置１０を電力変換装置本体とし、それに接続された安全機能部２０とを合わせて新たな電力変換装置１１としてもよい。

　図２は本実施例における電力変換装置と安全機能部として２重化の構成の例および接続時のデータの流れを示す図である。

　図２において、電力変換装置１０は、運転管理部１０１、本体制御部１０２、駆動部１０３、電流検出器１０４、オプション接続部１０８、１０９、通信部１１０、表示部１１１を含んで構成される。

　運転管理部１０１は、本体制御部１０２に速度指示を出してモータの駆動制御をする。例えば、ＣＰＵ(Central Processing Unit)とＣＰＵ上で動作するプログラムで構成される。また、表示部１１１に電力変換装置１０の状態を通知するように指示を出したり、外部機器と通信をする際に通信部１１０に対して通信の指示を出したりする。

　本体制御部１０２は、駆動部１０３にＰＷＭ(Pulse Width Modulation)制御信号を出力する。例えば、ＣＰＵ上で動作するプログラムである。

　駆動部１０３は、モータ４０にトルクを与えるための電力を供給するものである。

　電流検出器１０４は、駆動部１０３からモータ４０に供給される電流を測定するものであり、例えばホール素子で構成される。

　オプション接続部１０８は、安全機能部２０と接続するための端子である。安全機能部２０と接続された際に、接続完了信号を出力し、安全機能部２０と分離された際に、接続解除信号を出力する。例えば、具体的には、接続完了信号を出力するとは、オプション接続部１０８の端子の電圧が高くなった状態（例えば２４Ｖ等になった状態）になるということであり、接続解除信号を出力するとは、端子の電圧が低くなった状態（例えば０Ｖ等になった状態）になるということである。電力変換装置１０の電源が入った状態において、運転管理部１０１はオプション接続部１０８の端子電圧を取得することで、安全機能部２０と接続されているかどうかを判断できる。オプション接続部１０９もオプション接続部１０８と同様である。

　図２において、安全機能部２０は、通信部２１０、制御部２１１、２２１、安全機能実行部２１２、２２２、ＭＣＵ自己診断部２１３、２２３、経路自己診断部１０７、２０７、安全機能動作指示部２１４、２２４、本体接続部２０８、２０９から構成される。なお、本実施例では制御部を２１１と２２１の２つとし２重化の構成としているが１重構成でも趣旨は同様である。

　また、機能安全用設定ツール７０は、安全要求信号受信時に実行される安全機能動作を予め選択、設定する際や、動作パラメータを設定する際に用いる。詳細は図１４等の説明時にて後述する。

　通信部２１０は、安全機能部２０が他の情報処理装置とデータのやり取りを行う際に用いる。電力変換装置１０と情報のやり取りを行う場合にも利用する。また、安全機能部２０がインターネットや他の情報処理装置などにアクセスするための通信処理等も行う。また、通信部２１０は１つのみを使用する場合に限らず、例えば、Ｂｌｕｅｔｏｏｔｈ（登録商標)、無線ＬＡＮ、ＣＤＭＡ(Code Division Multiple Access)、ＬＴＥ(Long Term Evolution：登録商標)等の複数の通信方式を利用可能にするために複数備えても良い。また、通信部２１０および通信部１１０は、二重化しても良い。二重化することにより、どちらか一方の通信部が故障したとしても、もう一方の通信部を使用して通信が行われるため、装置の安全性が向上する。

　制御部２１１は、例えばＣＰＵで構成され、データの管理や計算、送受信などの処理を行う。制御部２２１も同様である。

　安全機能実行部２１２は、モータ４０の速度を監視したり入出力部３０からの安全要求信号を受け付けてＳＴＯ等の安全機能動作実行信号を出力したりする。詳細な構成は図９を用いて後述する。安全機能実行部２２２も同様である。

　ＭＣＵ自己診断部２１３は、制御部２１１が正常に動作しているか否かを診断する。例えば、ウォッチドッグタイマーを用いて制御部２１１上で実行されるプログラムがハングアップしていないかどうかを定期的に確認する。ＭＣＵ自己診断部２２３も同様である。

　安全機能動作指示部２１４は、安全機能実行部２１２から緊急停止信号等の安全要求信号を受信したら、電力変換装置１０に対して安全機能動作指示信号を出力する。安全機能動作指示部２２４も同様である。

　本体接続部２０８は、電力変換装置１０と接続するための端子である。本体接続部２０９も同様である。

　経路自己診断部１０７は、安全機能実行部２１２から駆動部１０３までの間を信号が伝達されるかどうかを診断する。所定の時間間隔でテストパルスを送信し、駆動部１０３に信号が到達したかどうかを検出する。もし信号が届かなかった場合はエラー発生を運転管理部１０１に通知する。なお、ＭＣＵ自己診断部２１３と経路自己診断部１０７とは１つのモジュールとして構成されてもよい。経路自己診断部２０７も同様である。

　図２において、電力変換装置１０と安全機能部２０を接続した際の信号の流れを矢印で示しており、この図を用いて接続処理時のデータの流れを説明する。

　図２において、まず、電力変換装置１０のオプション接続部１０８と、安全機能部２０の本体接続部２０８が接続されると、オプション接続部１０８と本体接続部２０８はそれぞれ接続完了信号を出力する。また、オプション接続部１０９と本体接続部２０９も同様にそれぞれ接続完了信号を出力する。オプション接続部１０８および１０９から出力された接続完了信号は、運転管理部１０１に送信される。さらに、通信部１１０、通信部２１０を経由して、制御部２１１に接続完了信号が送信される。また、本体接続部２０８および２０９から出力された接続完了信号は、制御部２１１に送信される。さらに、通信部２１０、通信部１１０を経由して、運転管理部１０１に送信される。このようにして、電力変換装置１０と安全機能部２０から出力された接続完了信号がお互いに交換され、合計４つの接続完了信号が出力されることになる。

　これらの接続完了信号は、運転管理部１０１および制御部２１１で受信される。全ての接続完了信号を受信できた場合は正常に接続が完了したと判断して、表示部１１１に安全機能部が正常に接続されたことを示すメッセージを表示する。もし、全ての接続完了信号が受信できなかった場合は接続エラーと判断し、接続エラーを示す表示をする。

　次に、図３Ａ、３Ｂ、３Ｃを用いて、オプション接続部と本体接続部の詳細について説明する。図３Ａは、電力変換装置１０と安全機能部２０を接続しない状態の回路図を示している。オプション接続部１０８、１０９は安全機能部２０と接続されていない。この状態で電力変換装置１０の電源を入れても、オプション接続部１０８、１０９の端子の電圧は低い状態（例えば、０Ｖ）である。すなわち、オプション接続部１０８、１０９から接続解除信号が出力され、運転管理部１０１がそれを受信する。

　図３Ｂは、電力変換装置１０と安全機能部２０が接続された状態の回路図を示している。端子１３０は電力変換装置１０から安全機能部２０に電圧を供給するための端子である。端子１３０は安全機能部２０の端子２３０に接続される。安全機能部２０の内部において、端子２３０と本体接続部２０８、２０９は電気的につながっている。そのため、オプション接続部１０８、１０９と本体接続部２０８、２０９が接続された状態で、電力変換装置１０の電源を入れると、オプション接続部１０８、１０９および本体接続部２０８、２０９の電圧が高くなる（例えば、２４Ｖになる）。すなわち、接続完了信号が出力される。

　なお、端子１３０とオプション接続部１０８の端子、オプション接続部１０９の端子は、まとめて一つのコネクタとして構成しても良い。

　図３Ｃは、電力変換装置１０と安全機能部２０が接続された状態だが、オプション接続部１０８と本体接続部２０８は、接触不良などにより接続されていない状態の回路図を示している。この状態では、電力変換装置１０の電源を入れると、オプション接続部１０９と本体接続部２０９の電圧は高くなる（例えば、２４Ｖになる）が、オプション接続部１０８と本体接続部２０８の電圧は低い状態（例えば、０Ｖ）である。すなわち、オプション接続部１０９と本体接続部２０９からは接続完了信号が出力され、オプション接続部１０８と本体接続部２０８からは接続解除信号が出力される。

　このように、オプション接続部および本体接続部の電圧を取得することで接続状態が分かるため、接続状態の変化をすぐに知ることができる。それにより、故障と判断した場合はすぐにモータを停止させる等して、安全を確保することができる。

　なお、電力変換装置１０に接続用スイッチボタンを備えつけても良い。接続用スイッチボタンは、安全機能部２０が接続されているかどうかを示すボタンである。例えば、安全機能部２０を接続させた場合に、ユーザがこの接続用スイッチボタンを押して接続中であることを明示的に電力変換装置１０に通知する。これにより、電力変換装置１０は確実に接続状態を知ることができ、安全を担保できる。

　また、電力変換装置１０は、接続状態を運転管理部１０１などに記憶させておいても良い。これにより、運転管理部１０１は接続状態を確認する際に、オプション接続部１０８、１０９から出力される接続完了信号または接続解除信号の他にも、運転管理部１０１が記憶している接続情報を用いて接続状態を確認できるため、より安全が担保できる。

　図４を用いて、電力変換装置１０と安全機能部２０の接続判定処理フローの詳細を説明する。図４において、まず、オプション接続部と本体接続部が接続されている場合は、オプション接続部１０８、１０９が接続完了信号を出力し（ステップＳ３０２）、本体接続部２０８、２０９も接続完了信号を出力する（ステップＳ３０３）。ここで、オプション接続部もしくは本体接続部が正常に動作すれば４つの接続完了信号が出力されるが、いずれかが故障している場合は接続完了信号が４つは出力されない。また、オプション接続部と本体接続部が接続されていない場合は、オプション接続部１０８、１０９が接続解除信号を出力し（ステップＳ３０４）、本体接続部２０８、２０９も接続解除信号を出力する（ステップＳ３０５）。

　そして、オプション接続部および本体接続部から出力された接続完了信号または接続解除信号を、運転管理部１０１が受信する（ステップＳ３０６）。

　次に、タイマーが起動済みかどうかを確認し（ステップＳ３０７）、タイマーが起動していない場合は、タイマーを起動する（ステップＳ３０８）。このタイマーは、運転管理部が所定の時間内に全ての接続完了信号を受信できない場合は接続エラーであると判断する際に、時間を計測するために利用する。

　そして、運転管理部１０１が接続完了信号または接続解除信号のうちどちらの信号を受信したかを確認し（ステップＳ３０９）、接続完了信号を受信した場合は（ステップＳ３０９；接続完了信号）、接続中状態に遷移する（ステップＳ３１１）。ここで、接続中状態とは、運転管理部１０１が保持する状態の１つであり、接続完了信号が出力されてくるのを待つ状態である。例えば、実行プログラム中に定義された変数（例えば、ｓｔａｔｅ）として状態を保持し、変数ｓｔａｔｅの値が１の場合は接続中状態を示す。接続解除信号を受信した場合は（ステップＳ３０９；接続解除信号）、未接続状態へ遷移する（ステップＳ３１０）。未接続状態とは、電力変換装置１０に安全機能部２０が接続されていないことを示す状態である。接続エラー状態とは異なり、未接続状態でも電力変換装置１０はモータの運転を開始できる。

　次に、全ての接続完了信号を受信したかどうかを確認する（ステップＳ３１２）。全ての接続完了信号を受信できた場合は、接続が正常に行われたと判断して、接続完了状態に遷移する（ステップＳ３１７）。もし、まだ全ての接続完了信号を受信できていなかった場合は、タイマーが満了したかどうかを確認し（ステップＳ３１３）、まだタイマーが満了していなかったら、ステップＳ３０６に戻って信号を受信する処理を実行する。

　全ての接続完了信号を受信できないままタイマーが満了した場合、接続中状態かどうかを確認する（ステップＳ３１４）。もし接続中状態であった場合は、接続エラーと判断して接続エラー状態に遷移する（ステップＳ３１５）。また、もし接続中状態でなかった場合は、未接続状態を維持する（ステップＳ３１６）。

　そして、表示部１１１に接続状態に従った内容を表示する（ステップＳ３１８）。例えば、接続完了状態であれば「正常に接続が完了しました」や、接続エラー状態であれば「接続エラーです」などと表示する。

　また、ＬＥＤなどを用いて、接続状態を表示してもよい。正常に接続された際に点灯されるＬＥＤと、接続エラーの際に点灯されるＬＥＤを分けても良いし、１つのＬＥＤで接続状態によって点灯する色を変えてユーザに通知するようにしても良い。これにより、ユーザはそのＬＥＤを見れば接続状態が一目で確認でき、より安全性が向上する。

　なお、図４に図示していないが、接続完了信号は制御部２１１でも受信し、運転管理部１０１と同様の処理を実行することによって、接続が正常に行われたかエラーが発生したかを知ることができる。

　また、電力変換装置１０と安全機能部２０の接続は、両者の電源がＯＦＦの状態で行う。そして、接続が完了した後に電源をＯＮにして、その後にユーザが運転スタートボタンを押下することで、モータの運転が開始される。その際に、接続が正常に完了していればモータの運転を開始させても良いが、もし接続エラーが発生している場合は、モータを運転させないことが望ましい。

　次に、図５を用いて、電力変換装置１０と安全機能部２０の電源を入れてから、モータの運転を開始するまでの処理のフローについて説明する。図５において、まず、ユーザによって電力変換装置１０と安全機能部２０の電源がＯＮにされると（ステップＳ４０１）、図４に記載した接続判定処理を実行する（ステップＳ４０２）。これにより、接続状態が接続完了状態、接続エラー状態、接続中状態、未接続状態のいずれかに遷移する。そして、ユーザによってスタートボタンが押下される（ステップＳ４０３）。次に、運転管理部１０１が接続状態を確認する（ステップＳ４０４）。接続状態が接続完了状態または未接続状態であれば、モータの運転開始処理を行う（ステップＳ４０６）。また、接続状態が接続中状態であれば、接続中である旨を表示部１１１に表示して（ステップＳ４０５）、再びスタートボタン押下の待ち受け状態に戻る。また、接続状態が接続エラー状態であれば、接続エラーである旨を表示部１１１に表示して（ステップＳ４０７）、再びスタートボタン押下の待ち受け状態に戻る。

　また、安全機能部２０を接続した状態でモータを運転している際に、何らかの原因で接続が外れた場合は、すぐにモータの運転を停止させることが望ましい。逆に、安全機能部２０を接続しないで電力変換装置１０単体でモータを運転している際に、安全機能部２０が接続された場合は、意図しない接続と判断して、すぐにモータの運転を停止させることが望ましい。

　図６を用いて、モータの運転中に接続解除または接続された場合の電力変換装置１０の処理のフローを説明する。図６において、まず、運転管理部１０１が本体制御部１０２に速度指示を出してモータの駆動制御をする（ステップＳ５００）。

　次に、オプション接続部１０８、１０９から、接続が解除されたことを示す接続解除信号または接続されたことを示す接続完了信号が出力されたか否かを確認する（ステップＳ５０１）。もし、信号が出力されなかった場合は、再びモータ駆動制御を行う（ステップＳ５００）。もし、信号が出力された場合は、接続状態を取得して確認する（ステップＳ５０２）。そして、信号の種類と接続状態との組合せにより、実行する処理内容を決める（ステップＳ５０３）。

　例えば、接続完了状態で接続解除信号が出力された場合は、安全機能部２０が取外されたか接続不良が発生したか誤動作と判断し、モータを安全な状態にしなくてはならない。たとえば、運転管理部が本体制御部へモータを停止するよう指示するＳＴＯを実行するよう設定されている場合は、モータを安全に停止する旨を表示し、ＳＴＯを実行する。

　また、未接続状態で接続完了信号が出力された場合は、安全機能部２０が取り付けられたと判断し、運転中に安全機能部２０を取り付けてもモータの運転に影響はないが安全機能や安全度は向上しないことをユーザに通知する表示を行う。この場合、ＳＴＯ等の安全機能動作は実行しなくても良い。

　また、接続完了状態であるのに接続完了信号が出力された場合、もしくは、未接続状態であるのに接続解除信号が出力された場合は、機器が正常に動作していれば起こり得ない組合せなので、オプション接続部１０８、１０９が故障している可能性があると判断して、故障の可能性をユーザに通知する表示を行い、ＳＴＯ等を実行する。

　このように、オプション接続部１０８、１０９が出力した信号の種類と、接続状態との組合せにより表示部１１１に表示する内容と、安全機能動作を実行するか否か等を決定する。

　そして、ユーザに通知すべき内容があれば表示部１１１にその内容を表示する（ステップＳ５０４）。

　その後、安全機能動作を実行する必要があれば、安全機能動作を実行し（ステップＳ５０６）、接続エラー状態に遷移する（ステップＳ５０７）。安全機能動作実行の必要がなければ、再びモータ駆動制御を行う（ステップＳ５００）。

　次に、例として、安全要求信号として緊急停止信号を受け付け、安全機能動作としてＳＴＯを実行するよう設定されている場合において、入出力部から緊急停止信号が出力されてから、駆動部１０３にＳＴＯ信号が入力されるまでの動作を説明する。

　まず、図７を用いて、入出力部から緊急停止信号が出力され電力変換装置に通知する際の処理の流れの概要を説明する。図７において、まず、入出力部３０から緊急停止信号が出力されると、当該信号が安全機能実行部２１２、２２２に入り、後述する動作パラメータを付加して安全機能動作指示部２１４、２２４に出力される。そして、通信部２１０、１１０を介して運転管理部１０１に送信される。

　次に、図８を用いて、モータ４０を減速させる際に安全機能実行部がモータ４０の速度を監視する処理の流れを説明する。図８において、運転管理部１０１は減速の指示を受けると、本体制御部１０２に減速度などのパラメータと共に減速の指示を出す。これを受けて本体制御部１０２は、駆動部１０３にＰＷＭ制御信号を出力し、モータ４０を減速する。

　そして、本体制御部１０２は電流検出器１０４から出力されるモータ速度(出力周波数)を推測するための電流値を取得する。更に、安全機能実行部２１２、２２２も電流検出器１０４から電流値を取得する。この値を用いて、安全機能実行部２１２、２２２はモータ４０の速度監視を開始する。その後、モータ４０の速度が何らかの要因で所定の閾値を超過すると、安全機能実行部２１２、２２２は通信部２１０、１１０を経由してＳＴＯ等の安全機能動作指示信号を駆動部１０３に対して出力する。

　安全機能動作信号は、運転管理部１０１、本体制御部１０２を介して駆動部１０３に入力される。そして、駆動部１０３はモータ４０に発生するトルクをオフにする。

　このようにして、入出力部から緊急停止信号が出力された際にモータ４０の速度を減速して停止することができ、安全機能が拡張できる。なお、モータ４０の速度が所定の閾値を超過した際にどのような安全機能動作を実行するかは、予め機能安全用設定ツール７０などを用いてユーザの選択を受け付けることにより設定されて良い。

　ここで、図９を用いて、安全機能実行部２１２の詳細な構成について説明する。安全機能実行部２２２も同様の構成である。図９において、安全機能実行部２１２は、動作パラメータ記憶部２１２２、動作監視部２１２３、モータ速度推測部２１２５、時間監視部２１２６から構成される。

　動作パラメータ記憶部２１２２は、減速度や速度の閾値などといった動作パラメータを記憶する。例えば、ＲＡＭなどで構成される。

　モータ速度推測部２１２５は、電流検出器１０４が出力する電流値などを基にして、モータ４０の速度を推測する。モータ４０に給電される電流の大きさや周波数からモータ４０に発生するトルクを計算し、モータ４０の回転速度に変換する。なお、モータに付加してモータの回転数を出力するエンコーダを使っても良い。これにより、より正確なモータの速度が分かり、安全機能が向上する。

　時間監視部２１２６は、緊急停止信号等の安全要求信号を受信してからの経過時間を計測する。所定の時間間隔で経過時間を動作監視部２１２３に出力する。

　動作監視部２１２３は、モータ４０の速度および経過時間を取得して、所定の閾値に達したか否かを監視する。もし、所定の閾値に達した場合は、設定されているＳＴＯ等の安全機能動作信号を出力する。

　図１０を用いて、安全要求信号として緊急停止信号を受信した場合の動作監視部２１２３の処理の流れを説明する。図１０において、まず、入出力部から緊急停止信号が出力され、当該信号を安全機能実行部２１２の動作監視部２１２３が受信すると、動作パラメータ記憶部２１２２から動作パラメータを取得する（ステップＳ１００）。動作パラメータの設定方法に関しては図１４の説明時にて後述する。次に、動作監視部２１２３は、取得した動作パラメータを安全機能動作指示部２１４に出力し、安全機能動作指示部２１４が減速指示を出力する（ステップＳ１０１）。その後、安全機能動作指示部２１４は運転管理部１０１から減速開始信号を受信したかどうかを判定する（ステップＳ１０２）。もし、減速開始信号を受信していなかった場合、減速指示信号を再度出力する（ステップＳ１０４）。そして、緊急停止信号を受信してから所定の時間が経過していない場合、処理は再びステップＳ１０２に戻る。もし、所定の時間が経過していた場合は、電力変換装置１０に何かしらのエラーが発生したと判断して、ＳＴＯ等の安全機能動作指示信号を出力する（ステップＳ１０６）。

　減速指示を出力した後に減速開始信号が受信できた場合は、安全機能動作判定処理を実行する（ステップＳ１０３）。そして、安全機能動作判定処理が終了すると、動作監視部２１２３がＳＴＯ等の安全機能動作指示信号を出力する（ステップＳ１０６）。

　ここで、図１１を用いて、安全機能動作判定処理の詳細な流れを説明する。図１１において、安全機能動作判定処理は、まず、動作監視部２１２３が動作パラメータ記憶部２１２２から動作パラメータを取得する（ステップＳ２０１）。ここで、動作パラメータとは、減速度や安全機能動作指示信号（ＳＴＯ等）を出力する閾値となる速度などであり、その詳細については図１３を用いて後述する。次に、モータの初速度が取得済か否かを確認し（ステップＳ２０２）、取得済みでなかった場合、モータの速度を取得して（ステップＳ２０３）、取得した速度をモータの初速度として動作パラメータ記憶部２１２２に記憶する（ステップＳ２０４）。モータの初速度が取得済であった場合、そのままモータの速度と時刻を取得し（ステップＳ２０５）、モータ速度の閾値を計算する（ステップＳ２０６）。そして、モータ速度が閾値を超えているか否かを判断し（ステップＳ２０７）、もし閾値を超えていた場合、安全機能動作判定処理を終了して、安全機能動作指示信号出力（図１０のステップＳ１０６）を行う。もし閾値を超えていなかった場合、ステップＳ２０５に戻って処理を実行する。

　図１２は、本実施例における電力変換装置に搭載された操作部、表示部の表示例を示した図である。操作部、表示部は、必ずしも電力変換装置に装着されたものに限定される必要はなく、ケーブルなどで電力変換装置から着脱可能な構成のものでもよい。

　電力変換装置１０には、運転開始ボタン７０１、運転停止ボタン７０２、表示部７０３、ＯＫボタン７０４、上ボタン７０５、下ボタン７０６などのインタフェースを備えている。

　エラー発生時には、表示部７０３にエラーである旨を通知する表示がされる。例えば、エラーの番号“No.001”や、エラーの内容“Connection error.”などという内容が表示される。このように、エラーの内容を表示することで、ユーザはなぜモータ４０が停止したのか、などの理由が分かり、使い勝手が向上する。

　次に、モータを減速して停止させる動作について説明する。図１３は、本実施例における、安全機能動作を説明する図である。なお、ここでは例として、機能安全規格ＩＥＣ６１８００－５－２に規定されているＳＳ１(Safety stop 1)に対応する減速停止動作を行うよう設定されている場合について説明する。

　図１３において、縦軸はモータ速度、横軸は時刻を示している。また、各符号の意味を下記するが、詳細は後述する。
Ｔ２－Ｔ１：安全要求信号を受信してから減速が開始されるまでの最大時間
Ｔ４－Ｔ３：所定の閾値超過後、安全領域復帰処理が開始されるまでの最大時間
Ｔ６－Ｔ３：許容時間
Ｔ８－Ｔ１：ＳＳ１減速時間
Ｔ９－Ｔ４：安全領域復帰処理の減速時間
Ｔ５－Ｔ１：最小ＳＳ１減速時間
Ｔ１０－Ｔ１：最大ＳＳ１減速時間
Ｔ７－Ｔ４：自動調整ＳＳ１減速時間
６０１：ＳＳ１減速時の動作
６０２：ＳＳ１減速時に診断エラー、異常が発生した後の動作
６０３：異常発生後、ユーザが選択した安全領域復帰処理の減速時間に応じて動作
６０４：異常発生後、安全領域復帰処理(ＳＳ１動作選択時)の減速時間を自動調整して動作
６１１：ＳＳ１最小減速時間（下限閾値）
６１２：ＳＳ１最大減速時間（上限閾値）
Ｐ１：異常発生判別点
Ｐ２：許容時間以内にモータ速度が許容時間内に戻るかどうかの判別点
Ｐ３：安全領域復帰処理（自動調整）にて安全領域にモータ速度が戻ったかどうかの判別点

　図１３において、まず、モータが速度Ｖ０で動作中に、時刻Ｔ１に安全要求信号として緊急停止信号を受信したら、モータの減速を開始する。通常、この減速レートは、ユーザが設定した(時刻Ｔ８－Ｔ１間：ＳＳ１減速時間)に従い６０１のように速度Ｖ１まで減速したら(時刻Ｔ８)トルクをオフにする。その後、モータは無制御状態となり停止する。

　また、減速度に上限、下限を設定しても良い。例えば、点線６１２を上限、点線６１１を下限とする所定の閾値内を安全領域として、モータの速度がこの安全領域内に入っていればそのまま減速を続ける。もし、この安全領域をモータの速度が外れた場合は、所定の閾値超過とみなす。所定の閾値超過後の安全機能動作に関しては後述する。

　例えば、６０１のようにＳＳ１で減速停止中になんらかの影響により６０２のようにモータ速度が６１２を超えた際の時刻Ｔ３(６０２と６１２が交わる点：Ｐ１)が所定の閾値を超過した時刻となる。

　なお、所定の閾値とは、ＳＳ１の場合は、上下限閾値のことで、予め機能安全用設定ツール７０で設定したＳＳ１最小減速時間及び、ＳＳ１最大減速時間によって定まる閾値のことである。図１３における（６１１、６１２）である。

　ここでは、ＳＳ１最小減速時間の定義をＴ５－Ｔ１とし、最大減速時間の定義をＴ１０－Ｔ１としている。なお、減速時間の設定始点をＴ１としているが、緊急停止信号（ここではＳＳ１信号）を受信してから減速が開始されるまでの最大時間であるＴ２経過後からで定義しても良い。

　また、緊急停止信号受信時に実行される安全機能動作としてＳＳ１でなくＳＬＳ(Safety Limited Speed)が設定されている場合は、所定の閾値とは上限閾値のことで、予め機能安全用設定ツール７０で設定した周波数リミット値で定まる閾値のことである。また、ＳＤＩ(Safe Direction)の場合は、０速度が閾値となる。正転を許可している場合は、逆転方向が所定の閾値を超過することになり、逆転を許可している場合は、正転方向が所定の閾値を超過することになる。

　所定の閾値超過時は、モータへのトルクを遮断する機能ＳＴＯ、モータを減速停止させてからＳＴＯを実行する機能ＳＳ１、外部ブレーキ制御用に安全出力信号を出す機能ＳＢＣ(Safe Brake Control)の何れかの機能を実行するかが予めユーザによって選択、設定されており、その選択された機能に従って停止する。

　このように、所定の閾値超過時、予め選択されたＳＴＯ/ＳＳ１/ＳＢＣ等の何れかの安全機能動作が、それぞれの機能仕様に従って動作することでモータの減速をより細かく制御でき、安全性が向上する。

　これらの安全機能を実現するためには、安全機能実行部２１２の動作パラメータ記憶部２１２２に、安全要求信号が入力された際に実行する安全機能の種類を示すパラメータを保持しておく。具体的には、プログラム上の変数を用意しておき、例えば、当該変数の値が１であればＳＳ１を実行し、２であればＳＬＳを実行する、といった制御を安全機能実行部２１２が行う。更に、各安全機能に関する動作パラメータを動作パラメータ記憶部２１２２に保持しておく。

　なお、ユーザが設定する安全機能動作選択や減速時間、許容時間など安全関連機能のパラメータ設定は、例えば、機能安全用設定ツール７０から行われる。機能安全用設定ツール７０でのパラメータ設定方法は、例えば、通信部１１０と接続して安全機能実行部２１２の動作パラメータ記憶部２１２２に書き込む。書き込むルートは通信部１１０に限らずに、最終的に動作パラメータ記憶部２１２２に書き込めていれば良い。この機能安全用設定ツール７０を用いてユーザは、安全関連機能のパラメータを予め設定する。

　安全関連機能のパラメータは動作パラメータ記憶部２１２２に保持される。なお、安全機能実行部２２２の動作パラメータ記憶部にも同様に保持される。

　ここで、図１４を用いて、安全機能動作処理の詳細な流れを説明する。なお、図１４の指示された安全機能動作は、例えば、ＩＥＣ６１８００－５－２記載の安全機能動作ＳＳ１/ＳＬＳ/ＳＤＩなどである。このような、緊急停止信号受信時や所定の速度閾値超過時に実行される安全機能動作についても、機能安全用設定ツール７０から設定されることとしてよい。

　図１４において、安全機能動作処理は、予め設定された動作パラメータの取得を行う (ステップＳ６００) 。例えば、指示された安全機能動作としてＳＳ１が予め設定された場合、指示された安全機能動作の実行が行われた際、予め設定された動作パラメータのＳＳ１減速時間に従い減速を開始する（ステップＳ６０１）。そして、モータ速度が安全領域内であるか否かを判断し（ステップＳ６０２）、もし安全領域から外れた場合、所定の閾値超過後処理（ステップＳ６０５）に遷移する。所定の閾値超過後処理に関しては後述する。

　安全領域内の場合、予め設定した所定の時間（ここでは、ＳＳ１減速時間）を経過したかを判別し（ステップＳ６０３）、もし所定の時間を経過していなかった場合、ステップＳ６０２に戻り、モータ速度が安全領域内にあるかどうかの監視に戻り処理を実行する。所定時間を経過した場合（ステップＳ６０３）、安全機能動作信号（ここではＳＳ１信号）出力（ステップＳ６０４）を行う。

　図１５は、ステップＳ６０２で安全領域内から外れたと判断した場合に実行する安全機能動作に関する所定の閾値超過後処理を示したフローチャートである。図１５の安全領域復帰処理は、所定の閾値超過（ステップＳ６０５）後に実行される安全機能動作ＳＴＯ/ＳＳ１/ＳＢＣなどがある。

　図１５において、安全領域を外れたと判断した場合、安全領域復帰処理を実行する。この安全領域復帰処理は、予め機能安全用設定ツール７０でＳＴＯ/ＳＳ１/ＳＢＣの何れかを設定し、その設定された安全機能動作を実行する（ステップＳ７００）。

　安全領域復帰処理で、ＳＴＯを設定していた場合（ステップＳ７０１）、ＳＴＯ信号を出力する。

　安全領域復帰処理で、ＳＢＣを設定していた場合（ステップＳ７０２）、外部ブレーキ制御用に安全出力信号（ＳＢＣ信号）を出力する。

　なお、安全領域復帰処理でＳＢＣを設定していた場合、ＳＴＯを実行後ＳＢＣ、ＳＢＣを実行後ＳＴＯ、ＳＳ１を実行後ＳＴＯを実行してＳＢＣ、ＳＳ１実行後ＳＢＣを実行してＳＴＯ、のように、すぐさまＳＢＣ信号を出力するのではなく、他の安全機能動作の実行後にＳＢＣ信号を出力することもできる。

　安全領域復帰処理でＳＳ１を設定していた場合、予め自動調整を選択していた場合と、通常どおり、予め設定していた安全領域復帰処理のＳＳ１減速時間設定に従い動作する場合、のどちらを実行するかを判別する（ステップＳ７０３）。

　通常処理（ステップＳ７０６）に遷移した場合は、予め設定していた安全領域復帰処理のＳＳ１減速時間設定に従い、図１３の６０３のように減速し、Ｖ１の速度まで減速したらＳＴＯが実行されて緊急停止する。

　なお、ここでは、６０３の安全機能動作ＳＳ１の減速時間は、予め機能安全用設定ツール７０で設定した安全領域復帰処理のＳＳ１減速時間（Ｔ９－Ｔ４）である。減速レートとしては、Ｔ４時点のモータ速度からＴ９時点のモータ速度（Ｖ１）まで減速するレートで減速する。また、減速時間、減速レートをＴ１時点からなど他の基準で算出することとしても良い。

　なお、通常処理を選択しても、安全領域復帰処理のＳＳ１減速時間の設定を受け付けていなかった場合においては、自動調整処理（ステップＳ７０４）を行っても良い。

　図１６は、自動調整開始の場合実行される自動調整処理（ステップＳ７０４）を示したフローチャートである。図１６において、自動調整処理監視後、反応時間（ステップＳ８００）経過しているかを判別する。もし、反応時間が経過していない場合は、反応時間が経過されるまでは前処理の機能安全動作を継続している状態である。反応時間を経過した場合は、安全領域復帰処理を実行（ステップＳ８０１）、図１６では自動調整処理に関する説明となるため、安全領域復帰処理でＳＳ１を設定した場合となる。

　図１６の自動調整処理に関して、図１３も用いて自動調整の処理の流れを説明する。所定の閾値超過と判断する時刻Ｔ３から安全領域復帰処理が実行されるＴ４までの時間（Ｔ４－Ｔ３）が安全領域復帰処理実行されるまでの反応時間である。反応時間が経過していない場合、ステップＳ８００に戻る。反応時間経過後、安全領域復帰処理を実行する（ステップＳ８０１）。

　図１３において、所定の閾値超過と判断する時刻Ｔ３からＴ６までの時間（Ｔ６－Ｔ３）を許容時間と定めている。なお、この許容時間は、予め機能安全用設定ツール７０から設定される。この設定された許容時間以内にモータ速度が安全領域内に戻るかを判別する（ステップＳ８０２）。

　許容時間以内にモータ速度が安全領域内に戻ると判断された場合、機能安全用設定ツール７０で設定した安全領域復帰処理のＳＳ１減速時間に従い減速停止する（ステップＳ８０３）。

　もし、許容時間以内にモータ速度が安全領域内に戻らないと判断された場合、自動調整が実行される（ステップＳ８０４）。

　許容時間以内にモータ速度が安全領域内に戻るかの判別方法は、Ｔ４の安全領域復帰処理実行時点において、予め設定されている許容時間及び、安全領域を決めている上限閾値の交点Ｐ２(Ｔ６と６１２が交わる点)を予め設定している安全領域復帰処理のＳＳ１減速時間設定通りに減速停止した場合にＴ６の時刻にて、この交点Ｐ２をモータ速度が下回り安全領域に戻るかを時刻Ｔ４時点におけるモータ速度、許容時間、上限閾値から判別する。

　ここでは、安全領域をモータ速度が上回ったため、上限閾値を判別方法の条件に使用するが、安全領域をモータ速度が下回った場合には、下限閾値を判別方法の条件に使用する。

　なお、ここでは、ＳＳ１の場合を例にしているため、上限閾値、下限閾値が安全領域を決めている。よって、安全領域をモータ速度が外れるかを判別するのは、これら上限閾値、下限閾値である。つまり、安全領域を定める閾値がＴ４時点において、安全領域以内にモータ速度が戻るかを判別する判別条件に使用される。

　なお、指示された安全機能動作でＳＬＳを選択していた場合、安全領域は、予め機能安全用設定ツール７０から設定された周波数リミットが上限閾値となり、この設定された周波数以下が安全領域となる。安全領域を外れた後は、所定の閾値超過後処理（Ｓ６０５）に遷移し、ＳＳ１と同様に安全領域にモータ速度を戻すように安全機能動作を実行する。

　なお、指示された安全機能動作でＳＤＩを選択していた場合、回転方向制限機能なので、安全領域は、逆転方向を禁止している場合は正転方向が安全領域である。正転方向を禁止している場合は、逆転方向が安全領域となる。

　なお、ここでいう自動調整とは、Ｔ４時点で予め設定されていた安全領域復帰処理のＳＳ１減速時間を採用せずに、Ｔ４時点という動的な状況において、モータ速度、許容時間、上限閾値から、例えば、Ｔ６時点において交点Ｐ２をモータ速度が下回るような安全領域復帰処理のＳＳ１減速時間を予め設定されていた値を採用せずに、安全領域内にモータ速度が戻るように、安全領域復帰処理のＳＳ１減速時間を変更することである。

　また、自動調整した安全領域復帰処理のＳＳ１減速時間を動作パラメータ記憶部（２１２２）で記憶しておき、別途、安全動作２のＳＳ１減速時間を設定者が決める際の参考値として使用しても良い。

　なお、安全領域復帰処理のＳＳ１減速時間を所定の時間ごとに見直しをかけて実行し、より動的な状況での制御を細かく行っても良い。

　Ｔ４時点で、予め設定された安全領域復帰処理のＳＳ１減速時間を採用して減速停止を行うと、予め設定していた安全領域復帰処理のＳＳ１減速時間が設定者が想定していた減速停止となれば良いが、誤って設定していた場合、例えば、安全領域復帰処理のＳＳ１減速時間を長くとっていた場合など、すぐに安全領域内にモータ速度が戻らず、所定の閾値を超過するモータ速度で運転していることになる。例えば、図１３では６０３の減速レートで減速停止することになり、Ｐ２時点においてモータ速度が安全領域を上回っている。

　自動調整機能を採用することで、所定の閾値超過後、安全領域復帰処理が実行されるＴ４の時点という動的な状況において、許容時間以内にモータ速度が安全領域内に戻すことができ、運転状況に応じてモータの減速時間を制御できるため、よりシステムの安全性を高めることができる。例えば、図１３では６０４の減速レートで減速停止することになり、Ｐ２時点においてモータ速度が安全領域内に戻っている。なお、この自動調整時のＳＳ１減速時間は、本実施例ではＴ７－Ｔ４で定義しているが、他の基準で算出することとしても良い。

　Ｓ８０４での自動調整実行後、もし、万一、許容時間内でモータ速度が安全領域内に戻らない場合はＳＴＯでモータへのトルクを遮断するなど、予め設定しておいて良い。

　次に、図１５において、Ｓ７０４での自動調整処理終了後、モータ速度が安全領域内に戻ってきた後の安全領域復帰後処理(Ｓ７０５)について説明する。安全領域復帰後処理は、自動調整処理終了後、モータ速度が安全領域内に戻ってきた時点（６０４と６１２の交点Ｐ３）から停止までの安全機能動作を選択できる処理である。安全領域復帰後処理は、Ｐ３時点から停止までの安全機能動作を予め機能安全用設定ツール７０から設定し、自動調整処理を行った場合に、安全領域内にモータ速度が戻った際に実行される。

　図１７は、安全領域復帰後処理を説明するための図である。図１７において、モータ速度が安全領域に戻ってきて上限閾値６１２と交わる時点Ｐ３以降の処理については、機能安全用設定ツール７０により設定する際に、例えば、以下の４つの選択肢が与えられる。安全領域復帰処理選択（１）：自動調整処理にて、Ｔ４時点で変更採用した安全領域復帰処理のＳＳ１減速時間のままの６０４の減速レートで減速停止する。安全領域復帰処理選択（２）：指示された安全機能動作のＳＳ１減速時間に従い減速レート６０１で減速停止する。安全領域復帰処理選択（３）：予め設定した安全領域復帰処理のＳＳ１減速時間設定に従った６０３の減速レートに従い減速停止する。安全領域復帰処理選択（４）：閾値内で制御（安全領域復帰処理をＳＳ１に設定時は上下限閾値の中央値で減速するＳＳ１減速時間に従い減速レート６０１で減速停止する。上下限閾値の中央値までモータ速度が下がるまでの安全領域復帰処理の減速時間は、安全領域復帰処理選択１と同様である。）。

　なお、安全領域復帰後処理は、上記の選択肢以外の処理でも良い。例えば、指示された安全機能動作でＳＬＳを設定していた場合では、許容時間内に自動調整により安全領域に復帰した際は、減速停止せずに、リミット値を超えないモータ速度で運転を継続させるなどの選択でも良い。

　このように、安全領域復帰処理を加えることで、所定の閾値超過後の機能安全動作によりシステムの安全性を向上させることができる。

　なお、安全領域復帰処理実行中においても、再び安全領域を外れる場合は、所定の閾値超過後処理（ステップＳ６０５）を実行することで安全領域内にモータ速度を戻す。

　また、表示部１１１に、自動調整実行（ステップＳ８０４）で安全機能動作を行ったことを通知する旨を表示する。例えば、自動調整実行（ステップＳ８０４）の際に安全領域復帰処理のＳＳ１減速時間を変更(自動調整)したのをトリガとして、自動調整実行中信号を通信部２１０及び通信部１１０を経由して運転管理部１０１に送信し、自動調整実行中信号を受信した運転管理部１０１は、表示部１１１に自動調整実施中であることを通知する。そして、例えば、「自動調整で安全領域復帰処理（ＳＳ１）を実行しました」などと表示する。表示するタイミングは、自動調整を１回でも実行した際に表示や、停止後に設定ツールで設定したＳＳ１減速時間ではなく、自動調整値を使用して停止した旨を表示するなどでも良い。

　以上のように、本実施例では、システム動作の異常や診断エラー発生後に、ＳＴＯ動作により遮断するだけでなく、予め選択された安全機能動作によってモータの減速等をシステムの状況にあわせてより細かく制御でき、安全性が向上する。

　また、システム動作の異常や診断エラー発生後という動的な状況において、たとえば安全機能動作としてＳＳ１が設定されている場合は、減速時間の設定値を自動的に変更し、許容時間以内に安全領域内に復帰するように速度制御することでシステムの安全性を向上させることができる。

１０：電力変換装置、２０：安全機能部、３０：入出力部、４０：モータ、５０：負荷機械、７０：機能安全用設定ツール、１０１：運転管理部、１０２：本体制御部、１０３：駆動部、１０４：電流検出器、１０７：経路自己診断部、１０８，１０９：オプション接続部、１１０，２１０：通信部、１１１：表示部、２０８，２０９：本体接続部、２１１，２２１：制御部、２１２，２２２：安全機能実行部、２１３，２２３：ＭＣＵ自己診断部、２１４，２２４：安全機能動作指示部

Claims

　モータを駆動するための電力変換装置本体と、安全機能を実行する安全機能部とを備える電力変換システムであって、
　前記安全機能部は、安全要求信号を受信したら安全機能動作指示信号を出力し、該安全機能動作指示信号により前記電力変換装置本体はモータを制御し、
　前記安全機能部は、モータの状態監視を行い、前記モータの状態が所定の範囲を超過した場合、予め選択された安全機能動作による閾値超過後処理を行うことを特徴とする電力変換システム。
　請求項１に記載の電力変換システムであって、
　前記予め選択された安全機能動作は、ＳＴＯ／ＳＳ１／ＳＢＣのいずれかであることを特徴とする電力変換システム。
　請求項１に記載の電力変換システムであって、
　前記安全機能部は、前記モータの速度監視を行い、前記モータの速度が所定の値を超過した場合に前記閾値超過後処理を行うことを特徴とする電力変換システム。
　請求項３に記載の電力変換システムであって、
　前記安全機能部は、前記モータの速度が前記所定の値を超過した時点から該所定の値に許容時間以内に復帰するように、前記モータの減速レートを自動調整することを特徴とする電力変換システム。
　請求項４に記載の電力変換システムであって、
　前記閾値超過後処理はＳＳ１であって、
　前記自動調整により前記モータの速度が前記所定の値に戻った後、前記自動調整にて採用した前記モータの減速レートのままで減速停止するか、前記閾値超過後処理での減速レートで減速停止するか、予め設定した前記自動調整の減速レートに従い減速停止するか、前記所定の値を上限閾値としたとき下限閾値との間で減速する減速レートで減速停止するか、を選択可能とすることを特徴とする電力変換システム。
　モータを駆動するための電力変換装置本体と、安全機能を実行する安全機能部とを備える電力変換システムの電力変換方法であって、
　安全要求信号の受信により安全機能動作指示信号を出力し、該安全機能動作指示信号により前記モータを制御し、前記モータの状態が所定の範囲を超過した場合、予め選択された安全機能動作による閾値超過後処理を行うことを特徴とする電力変換方法。
　請求項６に記載の電力変換方法であって、
　前記予め選択された安全機能動作は、ＳＴＯ／ＳＳ１／ＳＢＣのいずれかであることを特徴とする電力変換方法。
　請求項６に記載の電力変換方法であって、
　前記安全機能部は、前記モータの速度監視を行い、前記モータの速度が所定の値を超過した場合に前記閾値超過後処理を行うことを特徴とする電力変換方法。
　請求項８に記載の電力変換方法であって、
　前記モータの速度が前記所定の値を超過した時点から該所定の値に許容時間以内に復帰するように、前記モータの減速レートを自動調整することを特徴とする電力変換方法。
　請求項９に記載の電力変換方法であって、
　前記閾値超過後処理はＳＳ１であって、前記自動調整により前記モータの速度が前記所定の値に戻った後、前記自動調整にて採用した前記モータの減速レートのままで減速停止するか、前記閾値超過後処理での減速レートで減速停止するか、予め設定した前記自動調整の減速レートに従い減速停止するか、前記所定の値を上限閾値としたとき下限閾値との間で減速する減速レートで減速停止するか、を選択可能とすることを特徴とする電力変換方法。