用于安全关断的装置和方法与流程

本发明涉及电力电子器件中的功能安全。

背景技术：

功能安全的目的是免于物理损伤或直接或间接地损害人体健康的不可接受的风险。国际标准涵盖了关于如何执行安全功能的原则，例如，iec61508给出了对电气系统的要求。

功能安全的示例是所谓的安全关断(sto，safeturn-off)功能，该功能结合电力电子器件意味着其必须能够以可靠的方式切断输出电源。可靠性要求通常意味着操作者(即按下开/关按钮的人员)与致动器(即连接输出电源接通/断开的电力电子部件)之间的电路系统的设计必须可靠并且其功能需是可测试的。

在现代电力电子器件中，可控电力半导体开关(例如，绝缘栅双极型晶体管(igbt))通常用作主电路中的电源开关。在sto的情况下，应确保所有电源开关都保持在断开状态。确保这一点的一种安全方法是关断向栅极驱动器供应能量以生成用于可控电力半导体开关的控制脉冲的辅助电压。使用这种方法时的问题在于对安全功能的功能测试会中断器件的操作，这在许多连续操作的过程中是不期望的。

技术实现要素：

本发明的目的在于提供一种用于确保可以对输出电源关断电路系统的功能进行测试的新颖装置和新颖方法。根据本发明，可以在电力电子器件操作期间定期地测试dc辅助电压递送系统中的关键安全相关部件的操作状况，而无需中断该电力电子器件的操作。以下是简要概述，以便提供对本发明各种实施例的一些方面的基本理解，稍后给出例示性实施例的更详细描述。本发明的目的通过独立权利要求中陈述的内容来实现，其他优选实施例在从属权利要求中披露。

根据本发明的安全关断装置的基本特性特征在于：在未通电时确保电力电子器件的输出连接安全性的功能单元的dc辅助电压经由安全电路来供应，该安全电路包括以下特征：

-该dc辅助电压的每一极都可以单独断开，

-当仅断开一个dc极时，能量存储器件维持安全电路系统的输出电压高于极限值至少预定义时间段，

-当断开这两个dc极时，输出电压无延迟地降至极限值以下，并且

-安全关断电路生成特定于部件的反馈信号，这些反馈信号指示执行dc极断开的这些关键部件的操作状态。

在安全关断装置中，对操作指令与相应反馈信号的比较提供了对安全关键dc电路断开部件的功能的可靠指示，这是满足安全标准(例如，iec61508)要求的条件。比较可以在监督电力电子器件的功能安全的任何控制块中(例如，在频率转换器的控制单元中)执行。

用于断开dc辅助电压极的部件可以是例如mosfet晶体管、双极型晶体管、机械开关等。用于监测断开部件的功能的反馈信号可以例如通过使用光耦合器来形成。

在根据本发明的方法中，可以通过每次一个dc辅助电压极的较短断开周期来定期地测试安全电路系统的功能。测试时间段可以选择成足够短，使得在测试脉冲期间安全电路系统的输出电压保持高于负载电路的最小操作电平。

在安全关断的情况下，dc辅助电压的两极同时断开。

根据本发明的装置和方法使得可以在电力电子器件的操作期间测试安全关断电路的功能而无需中断电力电子器件的正常操作。在安全关断的情况下，电路断开辅助电压，从而确保快速防止对电力电子器件的输出端子通电。

附图说明

在下文中，参考附图、使用示例更详细地解释了本发明，在附图中，

图1呈现了频率转换器驱动器的主电路，

图2呈现了辅助电压装置，

图3呈现了安全电路，

图4展示了安全电路的操作，

图5呈现了示出用于安全电路的示例性测试算法的流程图，并且

图6呈现了包括安全电路的辅助电压装置。

具体实施方式

图1呈现了作为电力电子器件的示例的变速电机驱动器的简化主电路图，其中，根据本发明的功能安全电路系统是可适用的。在该图中，频率转换器fc用于控制ac电机m的轴转速。在这个示例中，频率转换器fc包括：整流器rec，将三相供电电压ul整流成由电容器cdc滤波的恒定dc链路电压；以及三相逆变器单元inu，产生三相可调输出电压um以供应电机m。inu由可控电力半导体开关(通常是igbt)(未呈现)与续流二极管(未呈现)组成。频率转换器fc还包括控制单元cu以及辅助电压电源pow，该辅助电压电源将来自dc链路的输入电压转换成用于例如控制单元cu和inu的栅极驱动器单元(未呈现)的若干较低电平的输出dc电压。

在sto的情况下，应当防止电机轴由频率转换器的输出电压引起的旋转。可以通过确保inu的所有可控电力半导体开关保持在断开状态来达到此目标。

图2呈现了频率转换器中的控制和辅助电压供应系统的简化示例。第一辅助电源pow1将dc链路电压udc转换成用于控制单元cu的第一较低电压ucu、以及用于栅极驱动器单元gd的第二较低电压ugd。在栅极驱动器单元gd内部，第二辅助电压电源pow2将ugd电压转换成用于每个栅极驱动器gd1、gd2、……的隔离的辅助电压，这些辅助电压根据从控制单元cu接收的控制信号v_g形成逆变器可控电力半导体开关的控制信号(仅呈现v1)。

图3呈现了根据本发明的安全电路sc的示例。电路sc位于第一辅助电压电源pow1与第二辅助电源pow2之间，该第一辅助电压电源具有具备正极ugd1+和负极ugd1-的输出dc电压ugd1，并且该第二辅助电源具有具备正极ugd2+和负极ugd2-的输入dc电压ugd2。安全电路包括以下各项：

-第一二极管d1、第一开关s1和第二二极管d2在ugd1+与ugd2+之间的串联连接，使得这两个二极管的正向方向朝向ugd2+连接，

-第三二极管d3、第二开关s2和第四二极管d4在ugd1-与ugd2-之间的串联连接，使得这两个二极管的正向方向朝向ugd1-连接，

-第一能量存储器件，有利地是电容器c1，连接在ugd2+与d4的阳极端子之间，

-第二能量存储器件，有利地是电容器c2，连接在d1的阴极端子与ugd2-之间，

-第一反馈电路，包括电阻器r1与光耦合器h1的发光光电二极管的串联连接，该第一反馈电路连接在d2和d4的阳极端子之间，使得光耦合器的发光二极管的正向方向朝向s2连接，以及

-第二反馈电路，包括电阻器r2与光耦合器h2的发光光电二极管的串联连接，该第二反馈电路连接在d1和d3的阴极端子之间，使得光耦合器的发光二极管的正向方向朝向s2连接。

图4展示了图3中所呈现的安全电路的操作。曲线的目的仅仅是为了展示操作原理，其不是相对于彼此按比例绘制的。信号s和h指示开关s1、s2的操作以及反馈信号h1、h2的操作状态，使得高状态意指开关的闭合状态以及反馈信号的有效状态。

在正常操作情况下，在时刻t1之前，这两个开关s1、s2都处于闭合状态，这意味着ugd1+经由二极管d1、d2连接到ugd2+，并且ugd1-经由二极管d3、d4连接到ugd2-。因此，pow2的输入电压ugd2接近pow1的输出电压ugd1。进一步地，在这两个开关s1、s2都处于闭合状态时，电流流经这两个光耦合器h1、h2，从而指示安全电路sc的功能正常。

在时刻t1处，开关s1转变为断开状态。由于电流无法从第一辅助电源pow1(由于断开的开关s1)或第二辅助电源pow2(由于阻塞的二极管d2)流到光耦合器h1，因此h1的反馈信号(指示s1的操作状态)转变为非有效状态。在s1断开的状态下，ugd1+不再连接到ugd2+，但由于在t1之前c1中所充填的能量，其电压uc1以及还有电压ugd2以有限的速率下降。在ugd2已经达到pow2的最小操作电压极限ulim之前，在时刻t2处将s1转变回到闭合状态。因此，pow2还可以在时间段t1至t2期间继续其正常操作，并且同时反馈信号h1指示开关s1可操作。

在时间周期t3至t4期间，对s2进行与上文关于s1所描述的相似操作状况测试。类似于上述c1，在测试期间，电容器c2的能量会防止电压ugd2降至极限ulim以下。如图4所示，在时刻t3处，开关s2转变为断开状态。由于电流无法从光耦合器h2流到第一辅助电源pow1(由于断开的开关s2)或第二辅助电源pow2(由于阻塞的二极管d3)，因此h2的反馈信号(指示s2的操作状态)转变为非有效状态。在s2断开的状态下，ugd1+不再连接到ugd2+，但由于在t3之前c2中所充填的能量，其电压uc2以及还有电压ugd2以有限的速率下降。在ugd2已经达到pow2的最小操作电压极限ulim之前，在时刻t4处将s2转变回到闭合状态。因此，pow2还可以在时间段t3至t4期间继续其正常操作，并且同时反馈信号h2指示开关s1可操作。

在时刻t5处，作为sto命令的结果，将这两个开关s1、s2都转变为断开状态。现在，断开的开关经由二极管d1至d4防止ugd1与ugd2之间的直接连接，并且断开的开关还防止满电的电容器c1、c2向pow2供应能量。因此，电压ugd2立即下降至0，这意味着在与图2所呈现的类似装置中，pow2是否不再能够向栅极驱动器供应辅助电压。缺失辅助电压会防止栅极驱动器生成用于主电路可控电力半导体开关的导通脉冲，这是安全关断情况下的目标。还值得注意的是，在开关部件发生故障的情况下，即，s1或s2卡在闭合状态，将满足安全关断的条件，但由于c1或c2所存储的能量而具有延迟。

图5是示出了用于安全电路的示例性测试算法的流程图。流程图在安全电路的正常操作模式下开始(在该正常操作模式下，开关s1、s2闭合并且光耦合器h1、h2处于活动状态。接下来，断开第一开关s1并判定光耦合器h1是否改变为非活动状态。如果是，则算法前进到下一步骤，否则算法终止，同时报告故障。在下一步骤处，闭合第一开关s1并断开第二开关s2，并且判定光耦合器h2是否改变了状态。如果是，则算法终止，同时指示电路正常工作；如果否，则算法终止，同时报告故障。

图6呈现了如图2所呈现的频率转换器中的控制和辅助电压供应系统的另一种相似的但具有添加的安全电路sc的简化示例。在这个示例中，第一辅助电压ugd1经由与图3的电路相对应的安全电路sc进行接线，以便形成用于栅极驱动器单元gd的最终辅助电压ugd2。控制单元cu形成用于开关(图3中的s1、s2)的控制信号s_c、接收指示开关的操作状态的反馈信号s_f、并且执行满足功能安全要求所需的逻辑操作。反馈信号s_f可以包括光耦合器的光电晶体管的输出。

在图6中，仅以高度示意性的形式示出了上述光耦合器h1和h2的光电晶体管部分。有利地是，光电晶体管连接到属于根据本发明的安全装置的安全逻辑(其可以形成控制单元cu的一部分并且可以与控制单元cu分离)，在该安全装置中，通过将开关s1、s2的操作指令与来自光耦合器h1、h2的相应反馈信号进行比较来持续监测安全关键部件的功能。应注意的是，上述光耦合器仅用作有利部件的示例，还存在在发送器(对应于上述光电二极管)与接收器(对应于上述光电晶体管)之间具有隔离的其他商用信号传输器件。

除非另外明确地说明，在以上描述中所提供的特定示例并非穷尽，也不应被解释为限制所附权利要求书的范围和/或适用性。除非另外明确地说明，可以自由地将所附从属权利要求中记载的特征相互组合。动词“包括(tocomprise)”和“包括(toinclude)”在此文档中用作既不排除也不要求存在也未记载的特征的开放性限制。此外，应理解的是，贯穿本文档使用“一个(a)”或“一个(an)”(即单数形式)并不排除多个。