JP2000255431A - 鉄道用保安制御装置及び保安制御システム - Google Patents

鉄道用保安制御装置及び保安制御システム

Info

Publication number
JP2000255431A
JP2000255431A JP11055774A JP5577499A JP2000255431A JP 2000255431 A JP2000255431 A JP 2000255431A JP 11055774 A JP11055774 A JP 11055774A JP 5577499 A JP5577499 A JP 5577499A JP 2000255431 A JP2000255431 A JP 2000255431A
Authority
JP
Japan
Prior art keywords
output
control
signal
input
failure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP11055774A
Other languages
English (en)
Other versions
JP3668632B2 (ja
Inventor
Noriaki Ichikawa
川 憲 照 市
Takayuki Meguro
黒 隆 之 目
Yoshiyuki Otani
谷 祥 之 大
Kyosuke Isono
野 京 介 磯
Teruzo Nagashima
島 暉 造 永
Takanori Yasumoto
本 高 典 安
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
East Japan Railway Co
Original Assignee
Toshiba Corp
East Japan Railway Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, East Japan Railway Co filed Critical Toshiba Corp
Priority to JP05577499A priority Critical patent/JP3668632B2/ja
Publication of JP2000255431A publication Critical patent/JP2000255431A/ja
Application granted granted Critical
Publication of JP3668632B2 publication Critical patent/JP3668632B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Safety Devices In Control Systems (AREA)

Abstract

(57)【要約】 【課題】 簡単な構成によって、フェイルセーフ性を向
上させること。 【解決手段】 入力ユニット8A,8Bは、それぞれ現
場機器からの入力信号をコントローラ1A,1Bに出力
する。コントローラ1A,1Bはこの信号の入力に基づ
き演算を行い制御信号を出力ユニット9A,9Bを介し
て現場機器に出力する。コントローラ1A,1Bは、入
力処理、演算処理、及び出力処理を行うに際して、共有
メモリ16A,16Bを通して互いに自系と他系との照
合を行い、データが一致しない場合は故障であるとして
走行を停止する。ヘルシー回路10A,10Bは自系が
健全であることを示す信号を出力する回路であり、一方
が異常を示す信号を出力すると出力ユニット9A,9B
から信号が出力されない。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、鉄道用保安制御装
置及び保安制御システムに関するものである。
【0002】
【従来の技術】一般に、鉄道用列車の制御装置に対して
は、万一故障が発生したとしても、その装置は常に安全
側の状態となるようにして、危険側の状態になるのを回
避できるような機能が要求されており、このような機能
をフェイルセーフ機能と呼んでいる。例えば、信号制御
装置においては、安全側の故障状態とは、列車の進行を
許可する信号(青信号)を出力すべきであるにもかかわ
らず、列車の進行を禁止する信号(赤信号)が誤って出
力されているような状態であり、一方、危険側の故障状
態とは、列車の進行を禁止する信号(赤信号)を出力す
べきであるにもかかわらず、列車の進行を許可する信号
(青信号)が誤って出力されているような状態である。
また、踏切制御装置においては、安全側の故障状態と
は、遮断機を上げる信号を出力すべきであるにもかかわ
らず、遮断機を下ろす信号が誤って出力されているよう
な状態であり、一方、危険側の故障状態とは、遮断機を
下げる信号を出力すべきであるにもかかわらず、遮断機
を上げる信号が誤って出力されているような状態であ
る。
【0003】図19は、このようなフェイルセーフ機能
が要求されている従来の鉄道用保安制御装置の要部の構
成を示すブロック図である。この制御装置は、A系及び
B系から成る2重系の構成を有しており、A系及びB系
はそれぞれマイクロプロセッサ・ユニット101A,1
01B及びメモリ102A,102Bを有している。こ
れらマイクロプロセッサ・ユニット101A,101B
はクロック回路103からのクロック信号により同期を
取りながら走行している。
【0004】マイクロプロセッサ・ユニット101A,
101Bにはバス104A,104Bを介してバス照合
・交番信号出力回路105が接続されている。このバス
照合・交番信号出力回路105は、バス104A,10
4B上に現れるマイクロプロセッサ・ユニット101
A,104Bの信号を照合し、両者が一致するか否かに
ついてその照合結果を照合異常検出回路106に出力し
ている。バス照合・交番信号出力回路105は、常時、
交番信号を出力しており、両者が一致している場合は、
この交番信号の出力を継続することによりマイクロプロ
セッサ・ユニット101A,101Bの走行を許容す
る。
【0005】しかし、バス照合・交番信号出力回路10
5は、両者の信号の不一致が一度でも発生すると、この
不一致の情報を記憶し、以後の交番信号の出力を停止す
る。バス照合・交番信号出力回路105からの交番信号
の停止で、照合異常検出回路106は照合異常を検出
し、マイクロプロセッサ・ユニット101A,101B
にリセット信号を出力する。マイクロプロセッサ・ユニ
ット101A,101Bがリセットされることにより、
バス照合・交番信号出力回路105が照合すべきデータ
がなくなり、照合不一致となって交番信号を出力できな
くなる。
【0006】そして、双方のマイクロプロセッサ・ユニ
ット101A,101Bはリセットされた状態(安全側
の状態となっている)で走行を停止するので、上記のフ
ェイルセーフ機能が確保されることになる。
【0007】
【発明が解決しようとする課題】従来の鉄道用保安制御
装置は、上記したように、図19のような構成のフェイ
ルセーフ回路によってフェイルセーフ機能が確保されて
いる。しかし、図19に示したフェイルセーフ回路は、
通常、専用のハードウエアにより構成されている。した
がって、高性能のマイクロプロセッサ・ユニットやマイ
クロコンピュータが開発される度に、その都度専用のハ
ードウエアを開発しなければならず、多大の労力及びコ
ストを費やす結果となっていた。
【0008】また、最近の鉄道用保安制御装置には多く
の個所に半導体素子が使用されているが、これらの半導
体素子の故障の発生場所あるいは発生態様によってはフ
ェイルセーフ機能を確保できない場合も考えられ、フェ
イルセーフ性を一定以上向上させることが非常に困難で
あった。
【0009】本発明は、上記事情に鑑みてなされたもの
であり、簡単な構成によって、フェイルセーフ性を向上
させることが可能な鉄道用保安制御装置及び保安制御シ
ステムを提供することを目的としている。
【0010】
【課題を解決するための手段】上記課題を解決するため
の手段として、請求項1記載の発明は、現場機器に対す
る制御が可能な少なくとも2系統以上の制御系を有し、
この2系統以上の制御系はそれぞれに専用のマイクロプ
ロセッサ・コントローラを有している鉄道用保安制御装
置において、前記各制御系は、自系統側及び1つの他系
統側の入出力結果を記憶し、前記現場機器との間の信号
の入出力結果について、自系統側と1つの他系統側との
間で一致するか否かを照合するための共有メモリと、自
系統側又は照合相手の他系統側が正常状態又は故障状態
のいずれにあるかを示す信号を出力するヘルシー回路
と、を有しており、各制御系の前記マイクロプロセッサ
・コントローラは、前記共有メモリを用いて前記照合を
行い、その照合結果の組合せが所定の場合にのみ前記現
場機器に対する制御を実行すると共に、自系統側又は1
つの他系統側のいずれかのヘルシー回路から故障状態を
示す信号を入力した場合は、その制御動作を停止するも
のであり、前記ヘルシー回路は、交番信号を出力する交
番信号出力回路と、前記交番信号出力回路からの交番信
号を1次側に入力し2次側から交番信号の交流分のみを
出力するトランスと、前記トランスからの交番信号を整
流した入力により動作するヘルシーリレー接点と、を有
するものである、ことを特徴とする。
【0011】請求項2記載の発明は、請求項1記載の発
明において、前記各制御系は、前記現場機器からの信号
を入力する専用の入力ユニットを有するものであり、さ
らに、各制御系のマイクロプロセッサ・コントローラ
は、それぞれ自系統側の故障を診断する機能を備えると
共に、1つの他系統側の故障診断結果との照合を行う機
能を備えており、自系統側の入力ユニットの入力信号と
1つの他系統側の入力ユニットの入力信号とが一致しな
い場合は、双方の制御系の制御動作を停止し、前記両機
能に基づいて危険側故障を確実に検出するようにした、
ことを特徴とする。
【0012】請求項3記載の発明は、請求項2記載の発
明において、前記各制御系の入力ユニットは、前記現場
機器からの信号入力経路上に設けられた入力用半導体素
子と、この入力用半導体素子に直列接続されたチェック
用半導体素子とを有しており、前記各制御系のマイクロ
プロセッサ・コントローラは、前記入力用半導体素子の
導通故障又はオープン故障を検出するために、チェック
信号の出力又はその出力停止を行うチェック信号発生回
路を有するものである、ことを特徴とする。
【0013】請求項4記載の発明は、請求項1乃至3の
いずれかに記載の発明において、前記各制御系は、前記
現場機器に対する出力信号を出力し、且つその信号出力
経路が互いに直列接続されている専用の出力ユニットを
有するものであり、自系統側の出力ユニットの出力信号
と1つの他系統側の出力ユニットの出力信号とが一致し
ない場合は、双方の制御系の制御動作を停止するように
した、ことを特徴とする。
【0014】請求項5記載の発明は、請求項4記載の発
明において、前記各出力ユニットは、それぞれ前記信号
出力経路上に設けられた出力用半導体素子と、この出力
用半導体素子のオンオフ状態とは反対のオンオフ状態を
示す故障検出用半導体素子と、この故障検出用半導体素
子に流れる電流を定期的にオンオフさせてこの故障検出
用半導体素子自体の故障の有無をチェックするチェック
用半導体素子と、を有しており、前記各マイクロプロセ
ッサ・コントローラは、前記出力用半導体素子をオンオ
フさせる出力信号駆動回路と、前記故障検出用半導体素
子のオンオフ状態の検出により前記出力用半導体素子に
ついての故障の有無を検出する故障検出回路と、前記故
障検出用半導体素子の導通故障又はオープン故障を検出
するために、チェック信号の出力又はその出力停止を定
期的に行うチェック信号発生回路と、前記現場機器のリ
レー接点状態を読み取る接点リードバック回路と、を有
しており、これら各回路の入力状態又は出力状態に基づ
いて、前記各出力ユニットについての故障状態を判別す
るものである、ことを特徴とする。
【0015】請求項6記載の発明は、請求項5記載の発
明において、前記各マイクロプロセッサ・コントローラ
は、前記自系統側の出力ユニットの出力用半導体素子又
は前記1つの他系統側の出力ユニットの出力用半導体素
子のいずれか一方が半導通状態にあることを検出可能な
ものである、ことを特徴とする。
【0016】請求項7記載の発明は、請求項1記載の発
明において、前記各制御系のマイクロプロセッサ・コン
トローラは、メインプログラムを実行する制御処理手段
と、前記メインプログラムに所定時間毎に割り込みプロ
グラムの割り込みをかけて前記交番信号を発生させる交
番信号発生手段とを有し、前記制御処理手段及び前記交
番信号発生手段は、前記メインプログラムの1回の処理
時間における割込プログラムの割込回数をそれぞれ監視
し、この割込回数の値が所定範囲外となった場合に、マ
イクロプロセッサ・コントローラの制御を停止させるも
のである、ことを特徴とする。
【0017】請求項8記載の発明は、請求項1乃至7の
いずれかに記載の発明において、前記共有メモリは、前
記自系統側又は前記1つの他系統側のマイクロプロセッ
サ・コントローラのうちのいずれかのプログラム内容の
一部が書き換えられた場合に、その書き換えられた内容
を記憶可能なものであり、前記自系統側又は前記1つの
他系統側のマイクロプロセッサ・コントローラのうちの
いずれか一方のプログラム内容の一部が書き換えられた
場合には、他方のプログラム内容も同様に書き換えられ
るようになっている、ことを特徴とする。
【0018】請求項9記載の発明は、請求項1乃至8の
いずれかに記載の発明において、前記制御系のいずれか
に故障が発生した場合、その制御系のマイクロプロセッ
サ・コントローラを他の制御系から強制的に切断するた
め、このコントローラの電源回路をオフにすることによ
りこのコントローラの動作を停止させる、ことを特徴と
する。
【0019】請求項10記載の発明は、請求項1記載の
発明において、前記制御系が第1乃至第3の3つの制御
系により構成され、いずれか1つの制御系に故障が発生
した場合に、残りの2つの制御系に故障が発生していな
いことを前記照合機能を用いて検出したときのみ、この
残りの2つの制御系により前記現場機器に対する制御を
継続する、ことを特徴とする。
【0020】請求項11記載の発明は、請求項10記載
の発明において、前記第1乃至第3の3つの制御系の全
てによる制御動作実行中に、いずれか2つの制御系が残
りの制御系の故障を検出した場合は、残りの1つの制御
系のマイクロプロセッサ・コントローラの電源回路がオ
フとなり、また、前記第1乃至第3の3つの制御系のう
ちのいずれか2つの制御系による制御動作実行中に、一
方の制御系が他方の制御系の故障を検出した場合は、双
方の制御系のマイクロプロセッサ・コントローラの電源
回路がオフとなる、ことを特徴とする。
【0021】請求項12記載の発明は、請求項1乃至1
1のいずれかに記載の発明において、前記各制御系のマ
イクロプロセッサ・コントローラは、タイマのカウント
値に基づきメインプログラムにおける所定動作実行時点
を決定し、この時点で前記自系統側と1つの他系統側と
の間の照合を行う場合に、この時点から所定時間が経過
するまでの期間における照合結果を無効とすることによ
り、前記自系統側のタイマと1つの他系統側のタイマと
の間のカウントタイミングのずれに起因する照合エラー
を排除するようにした、ことを特徴とする。
【0022】請求項13記載の発明は、現場機器との間
で信号の授受を行う複数の入出力端末装置と少なくとも
1台の制御処理端末装置との間を通信ネットワークで接
続し、この制御処理端末装置がこれら複数の入出力端末
装置を介して複数の現場機器に対する制御を行う制御シ
ステムにおいて、前記入出力端末装置及び前記制御処理
端末装置を、前記請求項1乃至12のいずれかに記載の
鉄道用保安制御装置により構成した、ことを特徴とす
る。
【0023】請求項14記載の発明は、請求項13記載
の発明において、前記制御処理端末装置は、現在の列車
運行用の第1の制御処理端末装置と、新しい応用プログ
ラムが実装された第2の制御処理端末装置とで構成さ
れ、列車運行数が多い時間帯では、第1の制御処理端末
装置が全ての入出力端末装置との間で信号の授受を行
い、列車運行数が少ない時間帯では、第1の制御処理端
末装置は特定の入出力端末装置との間でのみ信号の授受
を行うと共に、第2の制御処理端末装置は残りの入出力
端末装置との間で信号の授受を行う、ことを特徴とす
る。
【0024】請求項15記載の発明は、請求項14記載
の発明において、前記各入出力端末装置は、前記第1の
制御処理端末装置又は前記第2の制御処理端末装置のう
ちのいずれと信号の授受を行うかを決める切換スイッチ
を有しており、この切換スイッチの制御は前記第2の制
御処理端末装置により行われるようになっている、こと
を特徴とする。
【0025】
【発明の実施の形態】以下、本発明の実施形態を図に基
づき説明する。但し、以下の実施形態では、鉄道用保安
制御装置及び鉄道用保安制御システムとして、電子踏切
制御装置及び電子踏切制御システムを例にとり説明する
が、本発明の技術の適用はこれらのみに限定されるわけ
ではなく、信号制御装置及び信号制御システムなどの他
の制御装置及び制御システムに適用可能なものである。
【0026】図1は第1の実施形態の構成を示すブロッ
ク図である。この第1の実施形態は、A系(第1の制御
系)及びB系(第2の制御系)の2つの制御系を有する
ものである。
【0027】図1において、まず、A系の構成を説明す
ると、A系マイクロプロセッサ・コントローラ1Aはマ
イクロプロセッサ・ユニット2A、ROMにより構成さ
れた記憶部3A、RAMにより構成された記憶部4A、
入出力インタフェイス5Aを有しており、これらはMP
Uバス6Aにより相互に接続されている。
【0028】入出力インタフェイス5AはI/Oバス7
Aに接続されており、このI/Oバス7Aには、また、
入力ユニット8A、出力ユニット9A、及びヘルシー回
路10Aも接続されている。このヘルシー回路10A
は、出力回路11A、トランス12A、リレー13A、
及びヘルシーリレー接点14A等により構成されてい
る。I/Oバス7AはI/Oバスコントローラ15Aに
より制御されるようになっており、このI/Oバスコン
トローラ15Aに共有メモリ16Aが接続されている。
【0029】B系の構成もA系と同様であるため、B系
についてはその重複した説明を省略する。出力ユニット
9A,9B間には現場機器のリレー17が接続されてお
り、そのリレー接点18のオンオフにより、例えば遮断
機の制御が行われるようになっている。そして、リレー
接点18の状態は、リードバック(RB)信号として入
力ユニット8A,8Bに入力されるようになっている。
【0030】マイクロプロセッサ・ユニット2Aは、デ
ータの入出力制御、各種演算、シリアルデータ伝送等を
行うものである。記憶部3Aは、マイクロプロセッサ・
ユニット2Aのプログラムを格納するものであり、この
実施形態では電気的な書込・消去が可能なEEPROM
により形成されている。記憶部4Aは、ユーザアプリケ
ーション・プログラムとマイクロプロセッサ・ユニット
2Aの動作に必要なメモリである。入出力インタフェイ
ス5Aは、MPUバス6AとI/Oバス7Aとの間のイ
ンタフェイスを行うものであり、ゲートアレイにより構
成されている。
【0031】入力ユニット8Aは、例えば所定区間にお
ける列車の存在を知らせる信号、あるいは上述したリー
ドバック信号等を入力し、これをA系マイクロプロセッ
サ・コントローラ1Aに送出するものである。
【0032】出力ユニット9Aは、A系マイクロプロセ
ッサ・コントローラ1Aからの制御信号を出力し、リレ
ー17の制御を行うものである。但し、後述するよう
に、このリレー17は、出力ユニット9A,9Bの出力
値が動作方向で一致した場合のみ動作するようになって
いる。
【0033】共有メモリ16A,16Bには、それぞれ
自系の入力データや出力データ等が記憶されるようにな
っている。しかし、I/Oバスコントローラ15A,1
5Bの制御により、コントローラ1A,1Bはそれぞれ
自系の共有メモリの内容だけでなく、他系の共有メモリ
の内容についても読み取ることができるようになってい
る。
【0034】ヘルシー回路10Aは、自系が正常な状態
であるか否かを示す信号を出力する回路である。正常な
状態の場合は、出力回路11Aからの交番信号がトラン
ス12Aを介してリレー13Aを励磁し、ヘルシーリレ
ー接点14Aがオン状態となる。一方、故障状態の場合
は、ヘルシーリレー接点14Aはオフとなる。ヘルシー
リレー接点14Aがオフとなっている場合は、もちろん
A系は制御を停止しているが、ヘルシーリレー接点14
Aがオフになるとヘルシーリレー接点14Bもオフとな
り、B系も結局制御を停止するようになっている。
【0035】上記した図1の構成は、コントローラ部分
が他の部分とI/Oインタフェイスで分離されており、
独立性が強いものとなっている。したがって、汎用性の
高いボードコンピュータ等を採用することができ、マイ
クロプロセッサのみを高機能の機種と交換することによ
って、機能の向上や新機種への対応を容易に図ることが
可能な構成となっている。
【0036】図2は、図1における入力ユニット8A,
8Bの構成と、この入力ユニット8A,8Bとの間で信
号の授受を行うマイクロプロセッサ・コントローラ1
A,1Bの構成とを示すブロック図である。この図にお
いて、入力ユニット8Aは、抵抗19Aと、発光ダイオ
ード21A及びフォトトランジスタ22Aにより形成さ
れるフォトカプラ20A(入力用半導体素子)と、発光
ダイオード24A及びフォトトランジスタ25Aにより
形成されるフォトカプラ23A(チェック用半導体素
子)とを有している。
【0037】コントローラ1Aは、故障診断回路26A
と、信号入力回路27Aと、比較照合回路28Aと、チ
ェック信号発生回路29Aとを有している。そして、入
力ユニット8B及びコントローラ1Bも入力ユニット8
A及びコントローラ1Aと同様の構成を有している。
【0038】入力ユニット8A,8Bには入力接点信号
S1が入力されるようになっている。入力接点信号S1
は、踏切付近の所定区間内に列車が存在するか否かを知
らせる2値信号であり、“0”は列車が存在する場合、
“1”は列車が存在しない場合を示している。ここで、
入力ユニット8A,8Bのフェイルセーフ機能について
説明すると、信号S1の入力の際のフェイルセーフ性と
は、信号“0”を誤って信号“1”と判別してしまうこ
とを確実に防止することをいう。
【0039】すなわち、入力ユニットに何らかの故障が
生じ、実際の入力信号“0”(列車が存在する)を入力
信号“1”(列車が存在しない)と誤って認識して遮断
機を開放した場合には重大事故に直結する虞れがあるの
で、このような故障は絶対に回避しなければならない。
このような故障を「危険側故障」と呼ぶ。これに対し、
実際の入力信号“1”(列車が存在しない)を入力信号
“0”(列車が存在する)と誤って認識させるような故
障は直ちに重大事故に直結するものではないため、この
ような故障を「安全側故障」と呼ぶ。図2の構成は、上
記の危険側故障に起因する事故を確実に防止するための
ものである。
【0040】次に、図2の動作につき説明する。まず、
入力ユニット8A,8Bのいずれにも故障が生じていな
い場合を考える。例えば、入力接点信号S1として信号
“0”が入力ユニット8A,8Bに入力されると、入力
ユニット8A内の抵抗19A、発光ダイオード21A、
フォトトランジスタ25Aの経路には電流が流れないの
で、コントローラ1A内の信号入力回路27Aも“0”
を入力する。この入力結果は共有メモリ16に書き込ま
れる。入力ユニット8B及びコントローラ1B内でも同
様の動作が行われる。
【0041】比較照合回路28Aは、共有メモリ16に
書き込まれている信号入力回路27Bの入力結果を読み
出し、これと信号入力回路27Aの入力結果との比較照
合を行う。この照合結果は故障診断回路26Aに送ら
れ、これに基づき故障診断回路26Aは故障診断を行
う。コントローラ1B内の比較照合回路28B及び故障
診断回路26Bも同様の動作を行う。この場合は、比較
照合回路28A,28Bの照合結果は一致し、従って故
障診断回路26A,26Bはいずれも正常である旨の診
断を行う。
【0042】ところが、入力ユニット8A内のフォトト
ランジスタ22Aが導通故障している場合、実際の入力
接点信号S1は“0”にも拘わらず信号入力回路27A
は“1”を入力することになる。この場合のフォトトラ
ンジスタ22Aの導通故障は危険側故障であるが、図2
の構成によればこのような故障に基づく入力結果を排除
することができる。
【0043】すなわち、チェック信号発生回路29A
は、チェック信号としての“0”信号及び“1”信号を
定期的に交互に出力している。いま、チェック信号発生
回路29Aが“0”信号を発光ダイオード24Aに出力
している状態であればフォトトランジスタ25Aはオフ
状態であるため、発光ダイオード21Aには電流が流れ
ず、従ってフォトトランジスタ22Aも必ずオフ状態と
なるはずである。それにもかかわらず、信号入力回路2
7Aが“1”を入力しているのはフォトトランジスタ2
2Aに導通故障が生じていることに他ならない。故障診
断回路26Aは、このチェック信号発生回路29Aの出
力状態と信号入力回路27Aの入力結果とに基づいて入
力ユニット8Aが故障であると判断する。
【0044】一方、チェック信号発生回路29Aが
“1”信号を出力している状態の場合は、信号入力回路
27Aが“1”を入力したとしてもそれだけでは入力ユ
ニット8Aに故障が生じているか否かは分からない。し
かし、この場合、比較照合回路28AがB系との間で照
合を行っているので、故障診断回路26Aはこの照合結
果によって入力ユニット8Aに故障が生じていることを
判断することができる。
【0045】また、入力接点信号S1が“0”である状
態でフォトトランジスタ22Aにオープン故障が生じる
場合がある。この場合は、チェック信号発生回路29A
の出力信号が“0”又は“1”のいずれであっても信号
入力回路27Aは“0”を入力し、正常状態における場
合と同様の入力結果を示すため、故障診断回路26Aは
正常と判断することになる。つまり、コントローラ1A
は正常と判断しているが実際には故障が潜在した状態と
なっている。しかし、この故障は既述したように安全側
故障であり、直ちに検出されなくても重大事故に直結す
るものではないため許容され得る看過である。
【0046】図3は、入力ユニットの代表的な故障モー
ドを示した図表である。上述した例は、項目1乃至4に
該当する。なお、“0”信号及びこれに続く“1”信号
を1組の信号と見た場合には、一見すると、項目1及び
項目2、あるいは項目3及び項目4を一つの項目として
表記することも可能であるように思える。しかし、入力
ユニットの正常・故障状態は瞬時に変化する可能性を有
することから、フェイルセーフ機能を追求するために
は、チェック信号発生回路29Aが“0”信号を出力し
た時点及び“1”信号を出力した時点の各時点において
単独で正常又は故障の判断を行う必要がある。それ故、
図3においては、項目1,2、項目3,4、 … 項目
19,20等をそれぞれまとめて表記せず、単独の項目
として表記しいている。
【0047】図4は、図1における出力ユニット9A,
9Bの構成と、この出力ユニット9A,9Bとの間で信
号の授受を行うマイクロプロセッサ・コントローラ1
A,1Bの構成とを示すブロック図である。この図にお
いて、出力ユニット9Aは、発光ダイオード31A及び
フォトトランジスタ32Aにより形成されるフォトカプ
ラ30A(出力用半導体素子)と、発光ダイオード34
A及びフォトトランジスタ35Aにより形成されるフォ
トカプラ33A(故障検出用半導体素子)と、発光ダイ
オード37A及びフォトトランジスタ38Aにより形成
されるフォトカプラ36A(チェック用半導体素子)
と、抵抗39Aとを有している。出力ユニット9Bも出
力ユニット9Aと同様の構成を有しているが、その他
に、ダイオード40及び抵抗41を有している。
【0048】コントローラ1Aは、出力信号駆動回路4
2Aと、故障検出回路43Aと、チェック信号発生回路
44Aと、接点リードバック回路45Aとを有してい
る。そして、コントローラ1Bもコントローラ1Aと同
様の構成を有している。また、図1においても示したリ
レー17及びリレー接点18は、遮断機制御装置などの
現場機器内に配設されている。
【0049】24ボルト電源の高圧側端子には直列接続
されたヘルシーリレー接点14A,14Bを介してフォ
トカプラ30Aが接続されており、これに続いてフォト
カプラ30B、ダイオード40を介してリレー17の一
端側が接続され、リレー17の他端側が24ボルト電源
の0ボルト端子に接続されている。したがって、出力ユ
ニット9Aの信号出力経路と、出力ユニット9Bの信号
出力経路とは互いに直列接続されている。
【0050】リレー17に対して励磁信号としての
“1”信号が出力ユニット9A及び9Bから同時に出力
されてリレー17が励磁されている状態では、リレー接
点18が閉じ、遮断機が上がった状態となっている。ま
た、リレー17に対して無励磁信号としての“0”信号
が出力ユニット9A及び9Bから出力されてリレー17
が無励磁の状態になっていれば、リレー接点18が開
き、遮断機が下がった状態になっている。したがって、
出力ユニットのフェイルセーフ性とは、“0”信号を出
力して遮断機を下げていなければならない場合にもかか
わらず、誤って“1”信号が出力され遮断機を上げてし
まうような故障を確実に防止することである。図4の出
力ユニットの構成は、図2の入力ユニットの場合と同様
に、“1”信号を危険側信号、“0”信号を安全側信号
として扱い、危険側故障に起因する事故を確実に防止す
るためのものである。
【0051】次に、図4の動作につき説明する。A系及
びB系のいずれも正常に機能している場合はヘルシーリ
レー接点14A,14Bの双方がオンになっている。い
ま、出力信号駆動回路42A,42Bの一方又は双方か
ら“0”信号が出力されていれば、フォトトランジスタ
32A,32B及びダイオード40の経路には電流が流
れないので、リレー17は無励磁状態であり、したがっ
て遮断機は下がった状態となっている。このとき、リレ
ー接点18はオフとなっており、接点リードバック回路
45A,45Bは“1”信号を検出する。一方、出力信
号駆動回路42A,42Bの双方から“1”信号が出力
されていれば、フォトトランジスタ32A,32B及び
ダイオード40の経路に電流が流れるので、リレー17
は励磁状態となり、したがって遮断機は上がった状態と
なる。このとき、リレー接点18はオンとなり、接点リ
ードバック回路45A,45Bは“0”信号を検出す
る。
【0052】そして、上記のように、フォトトランジス
タ32A,32B及びダイオード40の経路に電流が流
れていない状態では、抵抗39A,発光ダイオード34
A側及び抵抗39B,発光ダイオード34B側にそれぞ
れ微弱電流が流れ、故障検出回路43A,43Bが
“1”信号を入力するようになっている。一方、フォト
トランジスタ32A,32B及びダイオード40の経路
に電流が流れている状態では、抵抗39A,発光ダイオ
ード34A側及び抵抗39B,発光ダイオード34B側
に微弱電流は流れず、故障検出回路43A,43Bは
“0”信号を入力するようになっている。
【0053】上記の故障検出回路43A,43Bにより
フォトトランジスタ32A,32Bの故障を検出するこ
とができる。すなわち、例えば、フォトトランジスタ3
2Aが導通故障している場合には、出力信号駆動回路4
2Aから“0”信号が出力されているにもかかわらず、
故障検出回路43Aが“0”信号を入力する(正常であ
れば、回路43Aは“1”信号を入力するはずであ
る。)。したがって、フォトトランジスタ32Aの導通
故障を検出することができる。また、フォトトランジス
タ32Aがオープン故障している場合には、出力信号駆
動回路42Aから“1”信号が出力されているにもかか
わらず、故障検出回路43Aが“1”信号を入力する
(正常であれば、回路43Aは“0”信号を入力するは
ずである。)。したがって、フォトトランジスタ32A
のオープン故障を検出することができる。
【0054】上記のように、フォトカプラ33A及び故
障検出回路43Aによりフォトトランジスタ32Aの故
障を検出することができるようになっている。しかし、
フォトカプラ33Aのフォトトランジスタ35Aが故障
した場合、特に、その故障が導通故障である場合はフェ
イルセーフ性を維持することができなくなる。なぜな
ら、フォトトランジスタ35Aが導通故障している場合
は故障検出回路43Aの入力が常時“1”となるため、
フォトトランジスタ32Aに導通故障が生じ、危険側信
号である“1”信号が誤ってリレー17に出力されて
も、これを検出することができなくなるからである(こ
れに対し、フォトトランジスタ35Aのオープン故障の
場合は、故障検出回路43Aの入力が常時“0”とな
り、コントローラ自体がリレー17に危険側信号である
“1”信号が出力されていることを認識していることに
なるので重大事故に直結することはない。)。したがっ
て、フェイルセーフ性を確保するためには、フォトトラ
ンジスタ35Aの導通故障は確実に検出すべき事象であ
る。フォトカプラ36A及びチェック信号発生回路44
Aは、この確実に検出すべき事象であるフォトトランジ
スタ35Aの導通故障を検出するために設けられたもの
であり、チェック信号発生回路44Aは定期的に“0”
信号及び“1”信号を交互に出力している。
【0055】すなわち、チェック信号発生回路44Aは
チェック信号としての“1”信号及び“0”信号を交互
に発光ダイオード37Aに出力し、フォトトランジスタ
38Aをオンオフする。これにより、発光ダイオード3
4Aに流れる電流が強制的にオンオフされる。したがっ
て、故障検出回路43Aが“1”信号を入力した状態で
チェック信号発生回路44Aがチェック信号を出力した
場合に、このチェック信号に応じて故障検出回路43A
の信号入力状態が変化せず、連続して“1”信号を入力
している状態となっているのであれば、それはフォトト
ランジスタ35Aに導通故障が発生しているからである
ということが分かる。
【0056】図5は、出力信号駆動回路42A、接点リ
ードバック回路45A、チェック信号発生回路44A、
及び故障検出回路43Aの動作を説明するためのタイム
チャートであり、(a)は正常動作の場合、(b)は危
険側故障の場合、(c)は安全側故障の場合をそれぞれ
示している。なお、「出力されるべき信号」とは、リレ
ー17に対して本来正しく出力されるべき信号の意味で
ある。
【0057】図5(a)に示されるように、正常の場合
には、故障検出回路43Aが入力する信号は、チェック
信号発生回路44Aが“0”信号を出力している場合に
は必ず“0”であり、また、チェック信号発生回路44
Aが“1”信号を出力している場合には接点リードバッ
ク回路45Aが読み取った信号と同じ信号となってい
る。
【0058】しかし、図5(b)に示されるように、フ
ォトトランジスタ35Aに導通故障が生じた場合は、チ
ェック信号が“0”であるにもかかわらず故障検出回路
43Aは“1”信号を入力している。そのため、この時
点で直ちにシステムを停止させて危険側故障に起因する
重大事故の発生を未然に防止するようにしている。も
し、この時点でシステムを停止させずにそのまま運転を
継続した場合、フォトトランジスタ32Aに導通故障が
生じても、これを検出することができなくなるからであ
る。
【0059】また、図5(c)に示されるように、フォ
トトランジスタ35Aにオープン故障が生じた場合は、
接点リードバック回路45Aが“0”信号を読み取って
いる期間は、チェック信号の変化によってもこのオープ
ン故障は検出されることがない。しかし、既述した通
り、この期間中にフォトトランジスタ35Aのオープン
故障が検出できなくとも重大事故に直結することはな
い。そして、この状態のままフォトトランジスタ32A
にオープン故障が発生すると、チェック信号が“1”で
あるにもかかわらず故障検出回路43Aが入力する信号
が“0”となり、接点リードバック回路45Aの信号と
一致しないために、フォトトランジスタ32Aのオープ
ン故障が検出され、システムが停止されることになる。
図6に、上述したような故障を含めた、出力ユニットの
代表的な故障モードを示す。
【0060】ところで、図4におけるフォトトランジス
タ32A,32Bは特異な状態に陥る可能性を有するも
のである。特異な状態とは、例えば、出力信号駆動回路
42Aが“0”信号を出力している場合に、フォトトラ
ンジスタ32Aが不飽和の状態でその漏れ電流を増加さ
せ、リレー17を励磁してしまう虞れのあるレベルの電
流を流している状態のことをいう(この状態のことを
「半導通状態」と呼ぶ。)。この半導通状態では、リレ
ー17は実際には励磁されておらず、故障検出回路43
Aも“1”信号を入力しているので何らの故障も検出さ
れていない。しかし、フォトトランジスタ32Aがこの
ような半導通状態に陥っている間にフォトトランジスタ
32Bに導通故障が生じると、出力信号駆動回路42
A,42Bが“0”信号を出力しているにもかかわらず
リレー17が励磁されてしまい、出力ユニット9A,9
Bのフェイルセーフ性が失われることになる。重大事故
の発生を確実に防ぎ安全性を向上させるためには、この
ような半導通状態が生じていることを確実に検出し、速
やかにシステムを停止させてフェイルセーフ性を維持す
ることが求められる。図4の構成によれば、このような
半導通状態を確実に検出することが可能である。
【0061】すなわち、正常の状態において出力信号駆
動回路42Aが“0”信号を出力している場合には、微
弱電流が抵抗39A、発光ダイオード34A、フォトト
ランジスタ38Aを通って出力ユニット9B側に出力さ
れるが、この出力される微弱電流はチェック信号発生回
路44Aの働きによって“0”と“1”とが交互に繰り
返される信号となっている。したがって、チェック信号
発生回路44Bの出力によりフォトトランジスタ38B
がオンになっている状態において、故障検出回路43B
は、出力ユニット9A側からの信号が“1”の場合には
“1”信号を入力し、出力ユニット9A側からの信号が
“0”の場合には“0”信号を入力するはずである。と
ころが、フォトトランジスタ32Aが上記の半導通状態
に陥っている場合には、その漏れ電流によって出力ユニ
ット9Aからの電流レベルが上昇し、故障検出回路43
Bは、フォトトランジスタ38Bがオンになっている状
態においては常時“1”信号を入力することになる。こ
の現象により、フォトトランジスタ32Aが半導通状態
にあることを検出することができる。上記の例は、A系
側のフォトトランジスタ32Aが半導通状態にあること
をB系側の故障検出回路43Bの入力状態に基づいて判
別していたが、B系側のフォトトランジスタ32Bに半
導通状態が生じている場合もA系側の故障検出回路43
Aの入力状態に基づいて判別することができる。
【0062】次に、図1において示したヘルシー回路1
0A,10Bにつき説明する。図7は、このヘルシー回
路10A,10Bの構成図である。図7においてA系を
例に取り説明すると、コントローラ1Aのマイクロプロ
セッサ・ユニット2Aは交番信号を生成するが、この交
番信号は入出力インタフェイス5A及びI/Oバス7A
を介してヘルシー回路10Aに送出される。そして、ヘ
ルシー回路10Aでは、出力回路11Aがこの交番信号
をトランス12Aの1次側に出力し、その2次側からは
直流分がカットされて交番信号の交流分のみが出力され
る。トランス12Aの2次側から出力される交番信号は
ダイオード46Aにより整流され、この整流された電流
によってリレー13Aが励磁され、ヘルシーリレー接点
14Aがオンとなる。
【0063】上記したように、リレー13Aは間接的に
はマイクロプロセッサ・ユニット2Aによって生成され
る交番信号に基づき励磁されるので、マイクロプロセッ
サ・ユニット2Aが故障を検知した場合には必ず無励磁
となってヘルシーリレー接点14Aがオフとなる。つま
り、マイクロプロセッサ・ユニット2Aが故障を検知し
た場合、通常、マイクロプロセッサ・ユニット2Aは全
ての出力をクリアして“0”とするが、故障の種類によ
っては出力をクリアできなくなることがある。そして、
マイクロプロセッサ・ユニット2Aから出力回路11A
に対して“1”信号が出力され続けることになるが、こ
の場合には出力回路11Aがトランス12Aの1次側に
供給する信号が交番信号ではなくなり、トランス12A
の2次側出力はゼロとなるためリレー13Aが励磁され
ることはない。したがって、マイクロプロセッサ・ユニ
ット2Aが故障を検知した場合にはリレー13Aは必ず
無励磁となってヘルシーリレー接点14Aをオフの状態
にすることができる。そして、図4において図示したよ
うに、ヘルシーリレー接点14A,14Bは直列接続さ
れた状態で電源回路に接続されているので、いずれか一
方がオフになった場合には決して現場機器内のリレー1
7が励磁されることがない。
【0064】図8は、出力回路11A,11Bの信号出
力状態とリレー13A,13Bの励磁状態を示すタイム
チャートである。この図において、当初A系及びB系共
に正常に機能していたが、ある時点でA系のマイクロプ
ロセッサ・ユニット2Aが故障を検知したとする。する
と、マイクロプロセッサ・ユニット2Aは直ちに全ての
出力をクリアするため出力回路11Aからの交番信号の
出力は停止され、それまで励磁状態となっていたリレー
13Aは無励磁状態となる。そして、B系のマイクロプ
ロセッサ・ユニット2Bは、A系のマイクロプロセッサ
・ユニット2Aが交番信号の生成を停止したことを照合
機能によって検知できるようになっている。したがっ
て、マイクロプロセッサ・ユニット2Bも、この後すぐ
に交番信号の生成を停止する。これにより、出力回路1
1Bからの交番信号の出力も停止されリレー13Bも無
励磁状態となる。
【0065】ここで、上記の交番信号において“1”と
なっている時間及び“0”となっている時間を一定に保
つための技術につき説明する。交番信号を出力する場
合、通常は、マイクロプロセッサ・ユニット2Aがメイ
ンプログラムで出力することが考えられる。しかし、マ
イクロプロセッサ・ユニット2Aの処理が正常に行われ
ている間はメインプログラムの制御処理時間が一定であ
るため特に問題は生じないが、外部からの入力信号の入
力状況如何によってはこの制御処理時間が一定でなくな
り、“1”である時間及び“0”である時間を一定に保
つことが困難になる。
【0066】そこで、本実施形態では、図9に示すよう
に、マイクロプロセッサ・ユニット2A内にメインプロ
グラムを実行する制御処理手段47の他に、割り込みプ
ログラムを実行する交番信号発生手段48を設け、これ
により交番信号を発生させるようにしている。制御処理
手段47はカウンタ49及び走行フラグ50を有してお
り、交番信号発生手段48はカウンタ51を有してい
る。
【0067】このような構成によりフェイルセーフな交
番信号を発生させるためには、メインプログラムに異常
が生じた場合は、割込プログラムによって確実にその走
行を停止させて交番信号の発生を停止させる必要があ
る。一方、割込プログラムに異常が生じた場合も、メイ
ンプログラムによって確実にその走行を停止させて交番
信号の発生を停止させる必要がある。そして、交番信号
の周期はできるだけ短い方が望ましいが、割込プログラ
ムが余りに頻繁に走行するとメインプログラムでの処理
時間がなくなってしまうので、その周期は適切に選ぶ必
要がある。図9の例では、制御処理手段47が実行する
メインプログラムの1回の処理時間を100〜200m
sとし、交番信号発生手段48が実行する割込プログラ
ムの割込周期を5msとする。したがって、正常状態で
あれば、メインプログラムの1回の処理時間の間に割込
プログラムが20〜40回走行することになる。この関
係を利用してヘルシー回路の交番信号を発生させること
ができる。
【0068】次に、図9の動作につき説明する。なお、
この例では、メインプログラムの1回の処理時間を10
0msとし、正常な割込回数を20±1回とする。制御
処理手段47は、1回の走行開始時に走行フラグ50を
セットすると共にカウンタ49に走行回数についてのカ
ウント値を加算し、更に1回の走行終了時に走行フラグ
50をリセットする。一方、交番信号発生手段48は、
走行フラグ50がセットされると5ms毎の割込を走行
フラグ50がリセットされるまで行い、“1”又は
“0”の交番信号を発生させる。そして、交番信号発生
手段48は、このときの割込回数についてのカウント値
をカウンタ51に加算する。
【0069】制御処理手段47が1回の走行を終了して
走行フラグ50をリセットし、次の走行を行うべく再度
走行フラグ50のセットを行うと、この時点で交番信号
発生手段48は、カウンタ51のカウント値をチェック
する。いま、カウンタ51のカウント値が22回であっ
たとすると、制御処理手段47は、メインプログラムに
異常が発生していると判別し、全プログラムの走行を停
止させる。
【0070】一方、制御処理手段47の側でもこの時点
でカウンタ51のカウント値をチェックしている。した
がって、交番信号発生手段48側に何らかの異常が発生
し、その結果カウンタ51のカウント値が22回になっ
た場合であっても、制御処理手段47は、割込異常とし
て全プログラムの走行を停止させることができる。
【0071】なお、制御処理手段47は、上記の割込異
常以外の異常(例えば、B系側の入力データとの照合結
果が一致しない等の異常)が生じた場合は、図示を省略
してあるエラーフラグをセットして全プログラムを停止
させる。このエラーフラグについては、交番信号発生手
段48もチェックしており、エラーフラグがセットされ
ると直ちに割込プログラムの走行を停止し、交番信号の
発生を停止するようになっている。
【0072】上記した図9の構成によれば、メインプロ
グラム側が何らかの原因で処理時間がかかる故障を起こ
した場合、あるいは処理時間が余りに短いような故障を
起こした場合に、メインプログラム自身がこれらの故障
を検出できないときでも、割込プログラムにより故障を
検出してヘルシーリレーを無励磁にすることができる。
また、割込プログラム側が割込頻度が異常に高い故障又
は異常に低い故障を起こした場合は、これをメインプロ
グラムで検出してヘルシーリレーを無励磁にすることが
できる。すなわち、高速で且つ高精度の周期を有する交
番信号を出力することができ、フェイルセーフを実現す
ることができる。さらに、交番信号を高速化することが
できるため、ヘルシー回路10A,10B内のトランス
12A,12Bを小型化することができ、速い応答性を
得ることができるようになる。
【0073】次に、図1に示した共有メモリ16A,1
6Bの利用により、プログラムの内容の一部を効率的に
書き換える技術につき説明する。一般に、電子踏切制御
装置のプログラムには標準的なものが用意されている
が、タイマ等の定数については現場の踏切の実際の状況
に合わせる必要があるため、予めインストールされてい
るプログラムの内容の一部を変更して使用する場合が通
常である。このようなプログラム内容の変更は、電子踏
切制御装置を実際に設置する際や、設置後の運用結果に
基づいて行われることが多いが、いずれにしても現場に
おいて行わなければならないので、この変更処理は容易
且つ確実に実行できるようにしておくことが望ましい。
本実施形態の構成によれば、共有メモリの働きにより、
A系又はB系のいずれか一方の系のみに対してプログラ
ム内容の一部を変更すれば、他方の系のプログラム内容
も自動的に変更されるようにすることができる。
【0074】すなわち、現場にいるオペレータは、図1
においては図示を省略してあるPC(パーソナル・コン
ピュータ)モニタを操作して、変更すべきタイマ等の定
数をマイクロプロセッサ・ユニット2Aを介して記憶部
3Aに書き込む。この記憶部3Aは、既述したように、
EEPROMにより形成されているので、電気的な書込
が可能であり、また、電源が停電した場合でもデータ保
持が可能なものである。
【0075】記憶部3Aに書き込まれたデータは共有メ
モリ16Aにも書き込まれるが、B系マイクロプロセッ
サ・コントローラ1Bはこの共有メモリ16Aの内容を
読み出し、これを自系の記憶部3B及び共有メモリ16
Bに書き込む。そして、A系マイクロプロセッサ・コン
トローラ1Aは、共有メモリ16Aのデータと共有メモ
リ16Bとを照合し、その照合結果をPCモニタに出力
する。PCモニタは、A系に書き込まれたデータと、A
系への書込に伴ってB系に書き込まれたデータとを比較
し、両者が一致していれば正常である旨を表示し、ま
た、不一致であればA系の動作を停止するようにA系マ
イクロプロセッサ・コントローラ1Aに指示する。な
お、変更データの信頼性を高めるために、定数データに
はデータの誤りを検出できるチェックコードを一緒に送
信することも可能である。
【0076】このように、図1の構成によれば、タイマ
等の定数などを変更する場合、2台のマイクロプロセッ
サ・コントローラのうち1台のみに対して変更処理を行
えば、他方の系の定数も自動的に変更される。そして、
自系と他系の変更内容が同一になっているか否かについ
てのチェックも同時に実行することができるので、人間
の操作ミスによる誤った定数の設定を防止することがで
きる。
【0077】次に、本発明の第2の実施形態につき説明
する。図10はこの第2の実施形態の構成を示すブロッ
ク図である。図1に示した第1の実施形態は、A系(第
1の制御系)及びB系(第2の制御系)の2つの制御系
を有するものであったが、この第2の実施形態は3つの
制御系を有するものであり、A系及びB系の2つの制御
系の他にさらにC系(第3の制御系)を有するものであ
る。そして、図11は、この図10に示した電子踏切制
御装置を用いて構成した電子踏切制御システムの構成図
である。
【0078】まず、図11の電子踏切制御システムにつ
いて先に説明する。この図において、第1の制御処理端
末装置61、第2の制御処理端末装置62、及び4台の
入出力処理端末装置63〜66の各制御系は、A〜C系
のLANによって互いに接続されている。そして、入出
力処理端末装置63〜66は、それぞれ現場機器67〜
70との間で信号の授受を行うようになっている。
【0079】第1の制御処理端末装置61及び第2の制
御処理端末装置62は入出力処理端末装置63〜66の
上位機器であり、現場機器67〜70は実質的にはこれ
ら第1の制御処理端末装置61又は第2の制御処理端末
装置62により、入出力処理端末装置63〜66を介し
て制御されることになる。
【0080】第1の制御処理端末装置61には現在の列
車運行に用いられるプログラムが実装されており、第2
の制御処理端末装置62には新しく開発された応用プロ
グラムが実装されている。そして、列車運行数が多い時
間帯(昼間)には全ての現場機器67〜70が稼働する
が、列車運行数が少ない時間帯(夜間)には現場機器6
7のみが稼働し、現場機器68〜70に対しては改修工
事あるいは試験等が行われるものとする。
【0081】入出力処理端末装置63〜66のそれぞれ
は、第1の制御処理端末装置61又は第2の制御処理端
末装置62のうちのいずれと信号の授受を行うかを決め
る切換スイッチを有しており、この切換スイッチの制御
は第2の制御処理端末装置62により行われるようにな
っている。昼間は、全ての入出力処理端末装置63〜6
6は現場機器67〜70からの入力信号を第1の制御処
理端末装置61のみに対して出力し、一方、第1の制御
処理端末装置61のみが入出力処理端末装置63〜66
に対して信号を出力する。しかし、夜間になって第2の
制御処理端末装置62が上記の切換スイッチを所定の位
置に切り換えると、入出力処理端末装置63のみが現場
機器67からの入力信号を第1の制御処理端末装置61
に対して出力し、一方、第1の制御処理端末装置61は
入出力処理端末装置63のみに対して信号を出力する。
そして、入出力処理端末装置64〜66は、現場機器6
8〜70からの入力信号を第2の制御処理端末装置62
に対して出力し、一方、第2の制御処理端末装置62は
入出力処理端末装置64〜66に対して信号を出力す
る。
【0082】このような鉄道用保安制御システムによれ
ば、特定の線路を使用する列車の運行は継続したまま
で、他の線路に設けられた踏切の改修工事あるいは試験
等を行うことが可能になるので、改修工事の効率を大き
く向上させることができ、工期の短縮を図ることができ
る。
【0083】次に、図10の構成につき説明する。この
図において、A系のマイクロプロセッサ・コントローラ
71Aは、マイクロプロセッサ・ユニット72A、メモ
リ部73A、LAN制御部74A、及びI/Oバス・イ
ンタフェイス75Aを有している。マイクロプロセッサ
・コントローラ71AはI/Oバス・インタフェイス7
6Aを介して入力ユニット77A、出力ユニット78
A、及びヘルシー回路79Aと接続されている(入力ユ
ニット77A及び出力ユニット78A構成は、それぞれ
図2及び図4に示したものと略同様の構成のものであ
る。)。B系及びC系もA系と同様の構成を有してい
る。そして、A系とB系との間には共有メモリ80、B
系とC系との間には共有メモリ81、C系とA系との間
には共有メモリ82が、それぞれ設けられている。
【0084】各系の入力ユニット77A,77B,77
Cには、現場機器入力信号モジュール83を介して現場
機器67(又は現場機器68〜70)からの信号が入力
されるようになっており、また、各系の出力ユニット7
8A,78B,78Cからの信号が現場機器出力信号モ
ジュール84を介して現場機器67に出力されるように
なっている。そして、各系のヘルシー回路79A,79
B,79Cからのヘルシーリレー接点信号の状態が、現
場機器出力信号モジュール84、さらに現場機器入力信
号モジュール83に対して送出されるようになってお
り、3系のうち少なくとも2系が正常でなければ現場機
器出力信号モジュール84及び現場機器入力信号モジュ
ール83が動作しないようになっている。なお、現場機
器入力信号モジュール83及び現場機器出力信号モジュ
ール84は、図10の構成についての理解を容易にする
ために概念的な要素として図示したものであり、実際に
は各コントローラ内のマイクロプロセッサ・ユニット7
2A,72B,72Cの機能として考えられるものであ
る。
【0085】図12は、図10におけるヘルシー回路7
9A,79B,79Cの構成図である(ヘルシー回路7
9B,79Cの構成はヘルシー回路79Aと同様である
ため省略する。)。この図において、A系マイクロプロ
セッサ・コントローラ71Aのマイクロプロセッサ・ユ
ニット72Aは交番信号を生成するが、この交番信号は
I/Oバス・インタフェイス75A,76Aを介してヘ
ルシー回路79Aに送出される。ヘルシー回路79Aで
は、2つの出力回路85A1,85A2がこの交番信号を
それぞれトランス86A1,86A2の1次側に出力し、
その2次側からは直流分がカットされて交番信号の交流
分のみが出力される。トランス86A1,86A2の各2
次側から出力される交番信号はそれぞれダイオード87
A1,87A2により整流され、この整流された電流によ
ってリレー88A1,88A2が励磁され、ヘルシーリレ
ー接点89A1,89A2がオンとなる。
【0086】図12のヘルシー回路79Aの動作は、図
7の場合と略同様であるため、その重複した説明は省略
し、各系の間のヘルシーリレー接点のオンオフの組合せ
のみについて説明する。図12における「ヘルシーA=
B,ヘルシーA=C,…ヘルシーC=B」は、他系と関
連するヘルシーリレー接点を示している。つまり、イコ
ール記号の左側のアルファベット記号は自系側を示し、
イコール記号の右側のアルファベット記号は他系側を示
している。
【0087】そして、例えば、A系コントローラが自己
診断によって自系の故障を検出した場合は、A=B及び
A=Cの接点をオフにして自系の走行を停止する。この
とき、B系側ではB=Cの接点はオンのままにしておく
が、A系と関連する接点であるB=Aの接点をオフにす
る。同様に、C系側でもC=Bの接点はオンのままにし
ておくが、A系と関連する接点であるC=Aの接点をオ
フにする。
【0088】一方、A系コントローラがその照合機能に
よって他系の故障を検出した場合は、その他系と関連す
る接点のみをオフにする。例えば、A系コントローラが
B系の故障を検出した場合は、A=Bの接点のみをオフ
にしてA=Cの接点はオンにしておく。このとき、C系
側でもC系コントローラがB系の故障を検出し、C=B
の接点のみをオフにしてC=Aの接点はオンにしてある
はずである。そして、A系側及びC系側の各接点A=B
及びC=Bがオフになったことにより、B系側の接点B
=C及びB=Aもオフとなり、B系の走行が停止され
る。
【0089】図10に示した第2の実施形態は、既述し
たように、A系,B系,C系の3重系構成を有するもの
であり、そのうち2系の入力データ又は出力データが一
致した場合に、その入力データ又は出力データを正常デ
ータとして取り扱うとする、所謂「2out of3」方式を
採用している。3系のうち2系の入出力データが一致す
る場合の態様としては、次の3つの態様がある。
【0090】(1)A系及びB系のヘルシーリレー接点
が共にオン(ヘルシーリレーが励磁状態)であり、且つ
A系及びB系の出力データ(又は入力データ)が共に
“1”である。 (2)B系及びC系のヘルシーリレー接点が共にオン
(ヘルシーリレーが励磁状態)であり、且つB系及びC
系の出力データ(又は入力データ)が共に“1”であ
る。 (3)C系及びA系のヘルシーリレー接点が共にオン
(ヘルシーリレーが励磁状であり、且つC系及びA系の
出力データ(又は入力データ)が共に“1”である。
【0091】例えば、B系において故障が発生した場
合、ヘルシー回路79Bの接点B=C及びB=Aがオフ
になると共に、ヘルシー回路79A,79Cの接点A=
B及びC=Bがオフになる。しかし、ヘルシー回路79
A,79Cの接点A=C及びC=Aはオン状態を維持し
ているので、正常なA系及びC系によってシステムの制
御を継続することができる(上記の(3)の態様)。
【0092】次に、図10の動作を、図13のフローチ
ャートに基づき説明する。但し、図13においてはA系
及びB系相互間のみの動作を説明し、B系及びC系相互
間並びにC系及びA系相互間についての重複した説明を
省略する。
【0093】コントローラ71A,71Bは、まず、プ
ログラムで制御を開始するための同期処理を行う。すな
わち、コントローラ71A,71Bは、「同期通番」と
呼ばれる処理回数を示す番号を共有メモリ80の自系領
域80A,80Bに書き込み、自系の同期通番と他系の
同期通番とが一致するか否かを確認することにより同期
が取れたか否かを判別する(ステップ101A,101
B)。同期が取れない場合は一定時間だけ待ち、それで
も同期が取れない場合は互いに他系を故障と判断し、そ
れぞれヘルシーリレー接点をオフにしてヘルシーリレー
を無励磁とする。そして、同期が取れた場合は、そのタ
イミングで制御処理を開始する。
【0094】同期が取れた後、各コントローラは、入力
モジュール83を通して入力した現場機器67からの入
力信号を読み込み、これを自系の記憶領域80A,80
Bに書き込む。そして、自系に書き込んだ入力信号と他
系に書き込まれた入力信号とが一致するか否かを判別す
る(ステップ102A,102B)。一致しない場合
は、それぞれ他系を故障と判別し、一方、一致する場合
は制御のための演算処理を行う(ステップ103A,1
03B)。
【0095】各コントローラは、演算処理結果を出力信
号として自系の記憶領域80A,80Bに書き込み、さ
らに自系に書き込んだ出力信号と他系に書き込まれた出
力信号とが一致するか否かを判別する(ステップ104
A,104B)。一致しない場合は、それぞれ他系を故
障と判別し、一方、一致する場合は、これを出力モジュ
ール84を介して現場機器67に出力する。
【0096】このように、A系側コントローラは自系の
制御処理を行うと共に、B系側コントローラに対する故
障検出器としても機能しており、また、B系側コントロ
ーラも自系の制御処理を行うと共に、A系側コントロー
ラに対する故障検出器としても機能している。したがっ
て、現場機器との間で確実な入出力制御を行うことがで
きる。
【0097】図14は、図13において説明した他系と
の同期チェック処理、入力処理、及び出力処理を含め、
エラー処理が行われる主な場合をA系側を例に取って示
したフローチャートである。A系コントローラ71A
は、まず、自系のI/Oバス等について異常がないか否
かにつき自己診断を行い(ステップ1)、異常があった
場合、すでに励振出力されていればエラー処理として励
振処理の出力を停止し(ステップ19)、制御動作を停
止する(ステップ20)。励振出力とは、図12におい
てマイクロプロセッサ・ユニット72Aが交番信号の発
生し、出力回路85A1,85A2に交番信号を出力させ
ることである。
【0098】コントローラの自己診断の結果、異常がな
ければ上記の励振出力を行う(ステップ2)。そして、
コントローラ71Aは、共有メモリ80,82に対する
書き込みテスト及び読み出しテストを行い(ステップ
3)、異常があればステップ19の処理を行う。次い
で、入力ユニット77A及び出力ユニット78Aのオフ
チェックを行って導通故障が生じていないかどうかをチ
ェックし(ステップ4,5)、異常があればステップ1
9の処理を行う。そして、前回の制御出力のリードバッ
クを行い、異常がないか否かを確認する(ステップ
6)。
【0099】ステップ4〜6のチェックの結果、異常が
なければ、図13において既述したように、他系すなわ
ちB系及びC系との同期を取るようにし(ステップ
7)、同期が取れなければステップ19の処理を行う。
同期が取れたならば、入力モジュール83からデータを
入力し入力処理を開始する(ステップ8)。そして、8
ビットの反転データを作成して、これを共有メモリ8
0,82に書き込むと共に(ステップ9)、B系及びC
系の反転データと照合することにより、これら他系と共
有しているメモリデータのチェックを行い(ステップ1
0)、異常があればステップ19の処理を行う。次い
で、入力モジュール83から入力した入力信号について
他系と一致するか否かを共有メモリ80,82を用いて
照合し(ステップ11)、異常があればステップ19の
処理を行う。
【0100】上記の照合の後、2つの同一内容のプログ
ラムである制御処理1,2をメモリエリアと時間を変え
て実行する(ステップ12,13)。そして、制御処理
1,2による演算結果を照合した結果(ステップ1
4)、一致しなければ異常であるとしてステップ19の
処理を行う。
【0101】この後、この演算結果を出力しようとする
前に、ステップ9,10と同様に、反転データの作成及
び書き込み並びに他系の反転データとの照合を行い(ス
テップ15,16)、異常があればステップ19の処理
を行う。次いで、出力モジュール84から出力すべき出
力信号について他系と一致するか否かを共有メモリ8
0,82を用いて照合し(ステップ17)、異常があれ
ばステップ19の処理を行う。そして、異常がなけれ
ば、出力処理を行い(ステップ18)、ステップ1以下
の動作を繰り返す。
【0102】A系コントローラはステップ19で励振出
力を停止する場合において、自系の異常を検出したとき
は、A=B及びA=Cの双方のヘルシーリレー接点をオ
フにし、B系(又はC系)の異常を検出したときは、A
=Bのみ(又はA=Cのみ)のヘルシーリレー接点をオ
フにする。そして、A=B及びA=Cの双方のヘルシー
リレー接点がオフになった場合、A系コントローラは走
行を停止するが(ステップ19)、A=Bのみ(又はA
=Cのみ)のヘルシーリレー接点がオフになった場合
は、C系(又はB系)との間で制御処理を続行する。
【0103】上述したように、3系のうちの1つの系に
故障が発生した場合、その系のコントローラは自系のヘ
ルシーリレーを無励磁にして自系の走行を停止させるよ
うになっているが、もし、自系のヘルシーリレーを無励
磁にできなかったとしても、他の2系が故障系のヘルシ
ーリレーを無励磁にし、故障系を制御処理に参加させな
いようにしてシステムの安全性を確保している。しか
し、故障系を除いた他の2系で制御処理を続行している
間に、何らかの原因で故障系が再び制御処理に参加する
ような事態が生じるとシステムの安全性が阻害されるこ
とになる。そこで、本実施形態では、このような事態が
生じることのないように、故障系の電源回路をオフに
し、故障系を他の2つの健全な系から強制的に切断する
ようにしている。
【0104】図15は、電源回路をオフにする系を各態
様毎に示した図表である。なお、この電源回路は、図1
0においては図示を省略してあるが、各系のコントロー
ラ71A,71B,71C内に設けられているものであ
る。図15において、「0」は故障と判断された系又は
その関連する系のヘルシーリレー接点(オフにされるべ
き接点)であり、「1」は正常な系のヘルシーリレー接
点であることを示している。また、X1は故障のために
既に電源回路がオフされている系のヘルシーリレー接点
(当然、オフになっている)を示し、X2はX1に係るヘ
ルシーリレー接点に追随してオフになっているヘルシー
リレー接点を示している。
【0105】したがって、項目1は、3系で制御中にA
系が故障したため、まずA系の接点A=B及びA=Cを
オフにすると共に、B系及びC系の接点B=A及びC=
Aをオフにし、A系の電源回路をオフにしてB系及びC
系で制御処理を続行する場合を示している。項目2は、
C系が故障のため既に電源回路がオフされており、A系
及びB系の2系で制御処理を行っている間に、今度はA
系が故障したため、A系の電源回路をオフにし、結局B
系の電源回路もオフにすべき場合を示している。項目3
は、B系が故障のため既に電源回路をオフされており、
A系及びC系の2系で制御処理を行っている間に、今度
はA系が故障したため、A系の電源回路をオフにし、結
局C系の電源回路もオフにすべき場合を示している。
【0106】図16は、故障した系の電源回路を強制的
にオフする構成をA系を例に取って示した説明図であ
る。この図において、24ボルトの電源回路の0V端子
と24V端子との間にオンタイマリレー90が接続され
ており、また、複数の接点により形成される接点群とA
系電源リレー91との直列接続体も両端子間に接続され
ている。
【0107】上記の複数の接点とは、オンタイマリレー
90のリレー接点92、A系電源リレー91のリレー接
点93、B=Aのヘルシーリレー接点94、A=Bのヘ
ルシーリレー接点95、C=Aのヘルシーリレー接点9
6、A=Cのヘルシーリレー接点97である。また、A
系電源リレー91は交流100ボルト電源の主接点98
を有している。
【0108】次に、図16の動作を説明する。電源回路
の投入時にはオンタイマリレー90が数秒間励磁され接
点92をオンにするため、A系電源リレー91が強制的
に励磁される。これにより接点93がオンになり、また
主接点98がオンとなって、交流100ボルトがコント
ローラに供給される。そして、A系コントローラは接点
95,97をオンにするが、これと同時にB系及びC系
のコントローラも動作を開始して接点94,96をオン
にする。したがって、A系電源リレー91の自己保持回
路が形成され、オンタイマリレー90が無励磁となった
後もA系電源リレー91の励磁状態が保持される。
【0109】この状態でB系及びC系がA系の故障を検
出すると、接点94,96がオフとなるため、A系電源
リレー91は無励磁となり主接点98がオフとなって、
故障系であるA系は健全系であるB系及びC系から完全
に切断される。また、A系及びB系の2系で制御処理中
(C系が故障であるため、接点96,97は既にオフと
なっている。)にB系がA系の故障を検出すると、接点
94がオフとなるため、A系電源リレー91は無励磁と
なり主接点98がオフとなって、故障系であるA系の制
御は停止される(これに伴って、健全系であるB系の制
御も結局は停止される。)。同様に、A系及びC系の2
系で制御処理中(B系が故障であるため、接点94,9
5は既にオフとなっている。)にC系がA系の故障を検
出すると、接点96がオフとなるため、A系電源リレー
91は無励磁となり主接点98がオフとなって、故障系
であるA系の制御は停止される(これに伴って、健全系
であるC系の制御も結局は停止される。)。さらに、3
系で制御処理中にA系が自己診断により自系の故障を検
出した場合は、接点95,97がオフとなるため、この
場合もA系電源リレー91が無励磁となってA系の制御
が停止される。
【0110】図17は、各リレーの励磁状態及び各ヘル
シーリレー接点のオンオフ状態の変化を示すタイムチャ
ートであり、(a)は3系で正常動作中にA系が異常と
なった場合、(b)はA系及びB系の2系で動作中にA
系が異常となった場合を示している。
【0111】図17(a)において、電源投入後に直ち
にオンタイマリレー90がオンになると共にA系電源リ
レー91及びC系電源リレーがオンとなっている。そし
て、オンタイマリレー90がオフとなった後、B系及び
C系がA系の異常を検出したため接点94,接点96が
オフとなってA系電源リレー91をオフにする。さら
に、この後A系の接点95,97もオフとなる。
【0112】図17(b)において、先にC系の異常が
検出され、C系電源リレーがオフとなった後(接点9
6,97も既にオフとなっている。)、B系がA系の異
常を検出し、接点94をオフにしてA系電源リレー91
をオフにしている。そして、この後A系の接点95もオ
フとなる。
【0113】次に、各系のコントローラが他系との間で
照合動作を行う場合に、各系のタイマ同士の間における
カウントタイミングのずれに起因する照合エラーを排除
するための技術について説明する。
【0114】各系の基本クロック信号は互いに独立に生
成されているので、各系のコントローラのタイマ同士の
間では、1カウント分の時間差が発生し、タイマ処理状
態が一致しない期間が存在する。例えば、メインプログ
ラムにおいて、所定の基準時点から3秒経過後に或る動
作を実行するように設定されている場合を考えてみる。
この場合、A系及びB系はそれぞれのタイマが「3」を
表示した時点で、既述した入力又は出力の照合を行い、
照合結果が一致した場合に上記の動作を実行することに
なる。
【0115】ところが、A系及びB系の各タイマはそれ
ぞれ独立して時間をカウントしているため、A系タイマ
が「3」秒を表示した時点では、B系タイマがまだ
「2」秒を表示しているという場合があり得る。両タイ
マはそのカウント値が3.0〜3.9秒の期間に「3」
秒を表示するようになっているが、例えば、A系タイマ
が3.7秒をカウントした時点でようやくB系タイマが
3.0秒をカウントした状態であったとすると、A系タ
イマが3.0〜3.6秒をカウントしている期間中は、
A系タイマは「3」秒を表示し、一方、B系タイマは
「2」秒を表示していることになる。したがって、A系
タイマが「3」秒を表示した時点で上記の動作を実行す
べく両系の照合を行うと、その照合結果は不一致となる
ため故障と判別されてしまうことになる。
【0116】図18は、このような両系のタイマのずれ
に起因する誤検知を防止する技術についての説明するた
めのタイムチャートである。この図において、(a),
(b)はそれぞれA系タイマ及びB系タイマの処理状態
を示す信号であり、CA1,CA2…、CB1,CB2…は
1回目、2回目、…のカウントを示している。(c),
(e)はスキャン番号が付されたスキャン信号S1〜S9
を示している。(d),(f)はA系タイマ及びB系タ
イマの実際の照合時における処理状態を示す信号TA
1,TB1である。(g)は上記の(d),(f)の信
号の一致状態及び不一致状態を示す信号である。また、
t1はタイマの1カウントの間隔を示す時間であり、t2
はA系タイマとB系タイマの動作開始時点の差を示す時
間であり、t3は制御処理周期(スキャン周期)すなわ
ちメインプログラムの走行周期を示している。
【0117】図18(a),(c)から明らかなよう
に、A系タイマの信号CA2が「1」になっている状態
が検出されるのはスキャン信号S3の立ち上がり時点か
らであり、それ故、実際の照合時におけるA系タイマの
処理状態は図18(d)の信号TA1によって示され
る。同様に、図18(b),(e)から明らかなよう
に、B系タイマの信号CB3が「1」になっている状態
が検出されるのはスキャン信号S5の立ち上がり時点か
らであり、それ故、実際の照合時におけるB系タイマの
処理状態は図18(f)の信号TB1によって示され
る。そして、図18(g)に示されるように、信号TA
1,TA2はスキャン信号S3,S4の期間においては互い
に不一致の状態となっている。
【0118】したがって、もし上記のスキャン信号S
3,S4の期間においてA系とB系との照合を行った場合
には、両系のタイマ処理状態が一致しないために照合エ
ラーとなって、故障を検知したと判断されてしまうこと
になる。しかし、この場合は実際にA系又はB系に故障
が発生したわけではなく、上記の故障検知は誤検知であ
る。
【0119】そこで、本実施形態ではこのような誤検知
を防止するために、両系のタイマの処理状態の不一致を
検出したとしても、所定時間の間はこの不一致を無効と
する制御処理を行うようにしている。図18の例では、
タイマの1カウントの時間t1がスキャン周期t3よりも
大きいので、少なくとも1カウント時間だけ待たない
と、両系のタイマの処理状態は確実には一致状態となら
ない。例えば、t1を100ms、t3を40msとした
場合に、3スキャンの間(S3,S4,S5)は不一致を
検出したとしてもこの不一致を無効とする処理を行い、
4スキャン連続で(S3〜S6)不一致を検出した場合に
はじめてこの不一致を有効とする処理を行うようにして
いる。図18の例では、タイマの1カウントの時間t1
がスキャン周期t3よりも大きい場合につき説明した
が、t1がt3よりも充分に小さい場合は、1スキャン時
間だけ待てば両系のタイマの処理状態は一致した状態と
なる。
【0120】
【発明の効果】以上のように、本発明によれば、各制御
系が、現場機器との間の信号の入出力結果について、自
系統側と1つの他系統側との間で一致するか否かについ
て共有メモリを用いて照合する機能を有し、全ての制御
系の照合結果の組合せが所定の場合にのみ前記現場機器
に対する制御を実行するようにしており、また、自系統
側又は照合相手の他系統側が正常状態又は故障状態のい
ずれにあるかをヘルシー回路を用いて検知する機能を有
し、いずれかの系統のヘルシー回路から故障信号を入力
した場合は制御動作を停止するようにしているので、簡
単な構成によって、フェイルセーフ性を向上させること
ができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態の構成を示すブロック
図。
【図2】図1における入力ユニット8A,8B、及びこ
の入力ユニットと信号の授受を行うA系コントローラ1
A,B系コントローラ1Bの構成を示すブロック図。
【図3】図2の入力ユニットの代表的な故障モードを示
した図表。
【図4】図1における出力ユニット9A,9B、及びこ
の出力ユニットと信号の授受を行うA系コントローラ1
A,B系コントローラ1Bの構成を示すブロック図。
【図5】図4の動作を説明するためのタイムチャート。
【図6】図4の出力ユニットの代表的な故障モードを示
す図表。
【図7】図1におけるヘルシー回路10A,10Bの構
成図。
【図8】図8の動作を説明するためのタイムチャート。
【図9】図7におけるマイクロプロセッサ・ユニット2
Aの構成を示すブロック図。
【図10】本発明の第2の実施形態の構成を示すブロッ
ク図。
【図11】図11の実施形態に係る電子踏切制御装置
(鉄道用保安制御装置)を用いて構成した電子踏切制御
システム(鉄道用保安制御システム)の構成図。
【図12】図10におけるヘルシー回路79A,79
B,79Cの構成図。
【図13】図10の動作を説明するためのフローチャー
ト。
【図14】図10のエラー処理が行われる主な場合を説
明するためのフローチャート。
【図15】図10における各系のコントローラ内の電源
回路をオフにする場合の態様を示す図表。
【図16】図10における各系のコントローラ内の電源
回路をオフにするための構成図。
【図17】図16の動作を説明するためのタイムチャー
ト。
【図18】図10における各系のコントローラが他系と
の間で照合動作を行う場合に、各系のタイマ同士の間に
おけるカウントタイミングのずれに起因する照合エラー
を排除するための技術を説明するためのフローチャー
ト。
【図19】従来の鉄道用保安制御装置の要部の構成を示
すブロック図。
【符号の説明】
1A,1B A系及びB系マイクロプロセッサ・コント
ローラ 2A,2B マイクロプロセッサ・ユニット 3A,3B 記憶部 4A,4B 記憶部 5A,5B 入出力インタフェイス 6A,6B MPUバス 7A,7B I/Oバス 8A,8B 入力ユニット 9A,9B 出力ユニット 10A,B10 ヘルシー回路 11A,11B 出力回路 12A,12B トランス 13A,13B リレー 14A,14B ヘルシーリレー接点 15A,15B I/Oバスコントローラ 16A,16B 共有メモリ 17 リレー 18 リレー接点 19A,19B 抵抗 20A,20B フォトカプラ 21A,21B 発光ダイオード 22A,22B フォトトランジスタ 23A,23B フォトカプラ 24A,24B 発光ダイオード 25A,25B フォトトランジスタ 26A,26B 故障診断回路 27A,27B 信号入力回路 28A,28B 比較照合回路 29A,29B チェック信号発生回路 30A,30B フォトカプラ 31A,31B 発光ダイオード 32A,32B フォトトランジスタ 33A,33B フォトカプラ 34A,34B 発光ダイオード 35A,34B フォトトランジスタ 36A,36B フォトカプラ 37A,37B 発光ダイオード 38A,38B フォトトランジスタ 39A,39B 抵抗 40 ダイオード40 41 抵抗41 42A,42B 出力信号駆動回路 43A,43B 故障検出回路 44A,44B チェック信号発生回路 45A,45B 接点リードバック回路 46A,46B ダイオード 47 制御処理手段 48 交番信号発生手段 49 カウンタ 50 走行フラグ 51 カウンタ 61 第1の制御処理端末装置 62 第2の制御処理端末装置 63〜66 入出力処理端末装置 67〜70 現場機器 71A,71B,71C A系、B系及びC系マイクロ
プロセッサ・コントローラ 72A,72B,72C マイクロプロセッサ・ユニッ
ト 73A,73B,73C メモリ部 74A,74B,74C LAN制御部 75A,75B,75C I/Oバス・インタフェイス 76A,76B,76C I/Oバス・インタフェイス 77A,77B,77C 入力ユニット 78A,78B,78C 出力ユニット 79A,79B,79C ヘルシー回路 80〜82 共有メモリ 83 現場機器入力信号モジュール 84 現場機器出力信号モジュール 85A1,85A2 出力回路 86A1,86A2 トランス 87A1,87A2 ダイオード 88A1,88A2 リレー 89A1,89A2 ヘルシーリレー接点 90 オンタイマリレー 91 A系電源リレー 92〜97 接点 98 主接点 101A,101B マイクロプロセッサ・ユニット 102A,102B メモリ 103 クロック回路 104A,104B バス104 105 バス照合・交番信号出力回路 106 照合異常検出回路
───────────────────────────────────────────────────── フロントページの続き (72)発明者 目 黒 隆 之 東京都渋谷区代々木二丁目2番2号 東日 本旅客鉄道株式会社内 (72)発明者 大 谷 祥 之 東京都渋谷区代々木二丁目2番2号 東日 本旅客鉄道株式会社内 (72)発明者 磯 野 京 介 東京都渋谷区代々木二丁目2番2号 東日 本旅客鉄道株式会社内 (72)発明者 永 島 暉 造 東京都港区芝浦一丁目1番1号 株式会社 東芝本社事務所内 (72)発明者 安 本 高 典 東京都港区芝浦一丁目1番1号 株式会社 東芝本社事務所内 Fターム(参考) 5H209 AA09 BB07 CC05 DD04 EE06 GG04 SS01 SS04 SS07 TT00

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】現場機器に対する制御が可能な少なくとも
    2系統以上の制御系を有し、この2系統以上の制御系は
    それぞれに専用のマイクロプロセッサ・コントローラを
    有している鉄道用保安制御装置において、 前記各制御系は、 自系統側及び1つの他系統側の入出力結果を記憶し、前
    記現場機器との間の信号の入出力結果について、自系統
    側と1つの他系統側との間で一致するか否かを照合する
    ための共有メモリと、自系統側又は照合相手の他系統側
    が正常状態又は故障状態のいずれにあるかを示す信号を
    出力するヘルシー回路と、を有しており、 各制御系の前記マイクロプロセッサ・コントローラは、
    前記共有メモリを用いて前記照合を行い、その照合結果
    の組合せが所定の場合にのみ前記現場機器に対する制御
    を実行すると共に、自系統側又は1つの他系統側のいず
    れかのヘルシー回路から故障状態を示す信号を入力した
    場合は、その制御動作を停止するものであり、 前記ヘルシー回路は、交番信号を出力する交番信号出力
    回路と、前記交番信号出力回路からの交番信号を1次側
    に入力し2次側から交番信号の交流分のみを出力するト
    ランスと、前記トランスからの交番信号を整流した入力
    により動作するヘルシーリレー接点と、を有するもので
    ある、 ことを特徴とする鉄道用保安制御装置。
  2. 【請求項2】前記各制御系は、前記現場機器からの信号
    を入力する専用の入力ユニットを有するものであり、 さらに、各制御系のマイクロプロセッサ・コントローラ
    は、それぞれ自系統側の故障を診断する機能を備えると
    共に、1つの他系統側の故障診断結果との照合を行う機
    能を備えており、 自系統側の入力ユニットの入力信号と1つの他系統側の
    入力ユニットの入力信号とが一致しない場合は、双方の
    制御系の制御動作を停止し、前記両機能に基づいて危険
    側故障を確実に検出するようにした、 ことを特徴とする請求項1記載の鉄道用保安制御装置。
  3. 【請求項3】前記各制御系の入力ユニットは、前記現場
    機器からの信号入力経路上に設けられた入力用半導体素
    子と、この入力用半導体素子に直列接続されたチェック
    用半導体素子とを有しており、 前記各制御系のマイクロプロセッサ・コントローラは、
    前記入力用半導体素子の導通故障又はオープン故障を検
    出するために、チェック信号の出力又はその出力停止を
    行うチェック信号発生回路を有するものである、 ことを特徴とする請求項2記載の鉄道用保安制御装置。
  4. 【請求項4】前記各制御系は、前記現場機器に対する出
    力信号を出力し、且つその信号出力経路が互いに直列接
    続されている専用の出力ユニットを有するものであり、 自系統側の出力ユニットの出力信号と1つの他系統側の
    出力ユニットの出力信号とが一致しない場合は、双方の
    制御系の制御動作を停止するようにした、 ことを特徴とする請求項1乃至3のいずれかに記載の鉄
    道用保安制御装置。
  5. 【請求項5】前記各出力ユニットは、それぞれ前記信号
    出力経路上に設けられた出力用半導体素子と、この出力
    用半導体素子のオンオフ状態とは反対のオンオフ状態を
    示す故障検出用半導体素子と、この故障検出用半導体素
    子に流れる電流を定期的にオンオフさせてこの故障検出
    用半導体素子自体の故障の有無をチェックするチェック
    用半導体素子と、を有しており、 前記各マイクロプロセッサ・コントローラは、前記出力
    用半導体素子をオンオフさせる出力信号駆動回路と、前
    記故障検出用半導体素子のオンオフ状態の検出により前
    記出力用半導体素子についての故障の有無を検出する故
    障検出回路と、前記故障検出用半導体素子の導通故障又
    はオープン故障を検出するために、チェック信号の出力
    又はその出力停止を定期的に行うチェック信号発生回路
    と、前記現場機器のリレー接点状態を読み取る接点リー
    ドバック回路と、を有しており、これら各回路の入力状
    態又は出力状態に基づいて、前記各出力ユニットについ
    ての故障状態を判別するものである、 ことを特徴とする請求項4記載の鉄道用保安制御装置。
  6. 【請求項6】前記各マイクロプロセッサ・コントローラ
    は、前記自系統側の出力ユニットの出力用半導体素子又
    は前記1つの他系統側の出力ユニットの出力用半導体素
    子のいずれか一方が半導通状態にあることを検出可能な
    ものである、 ことを特徴とする請求項5記載の鉄道用保安制御装置。
  7. 【請求項7】前記各制御系のマイクロプロセッサ・コン
    トローラは、メインプログラムを実行する制御処理手段
    と、前記メインプログラムに所定時間毎に割り込みプロ
    グラムの割り込みをかけて前記交番信号を発生させる交
    番信号発生手段とを有し、 前記制御処理手段及び前記交番信号発生手段は、前記メ
    インプログラムの1回の処理時間における割込プログラ
    ムの割込回数をそれぞれ監視し、この割込回数の値が所
    定範囲外となった場合に、マイクロプロセッサ・コント
    ローラの制御を停止させるものである、 ことを特徴とする請求項1記載の鉄道用保安制御装置。
  8. 【請求項8】前記共有メモリは、前記自系統側又は前記
    1つの他系統側のマイクロプロセッサ・コントローラの
    うちのいずれかのプログラム内容の一部が書き換えられ
    た場合に、その書き換えられた内容を記憶可能なもので
    あり、 前記自系統側又は前記1つの他系統側のマイクロプロセ
    ッサ・コントローラのうちのいずれか一方のプログラム
    内容の一部が書き換えられた場合には、他方のプログラ
    ム内容も同様に書き換えられるようになっている、 ことを特徴とする請求項1乃至7のいずれかに記載の鉄
    道用保安制御装置。
  9. 【請求項9】前記制御系のいずれかに故障が発生した場
    合、その制御系のマイクロプロセッサ・コントローラを
    他の制御系から強制的に切断するため、このコントロー
    ラの電源回路をオフにすることによりこのコントローラ
    の動作を停止させる、 ことを特徴とする請求項1乃至8のいずれかに記載の鉄
    道用保安制御装置。
  10. 【請求項10】前記制御系が第1乃至第3の3つの制御
    系により構成され、いずれか1つの制御系に故障が発生
    した場合に、残りの2つの制御系に故障が発生していな
    いことを前記照合機能を用いて検出したときのみ、この
    残りの2つの制御系により前記現場機器に対する制御を
    継続する、 ことを特徴とする請求項1記載の鉄道用保安制御装置。
  11. 【請求項11】前記第1乃至第3の3つの制御系の全て
    による制御動作実行中に、いずれか2つの制御系が残り
    の制御系の故障を検出した場合は、残りの1つの制御系
    のマイクロプロセッサ・コントローラの電源回路がオフ
    となり、 また、前記第1乃至第3の3つの制御系のうちのいずれ
    か2つの制御系による制御動作実行中に、一方の制御系
    が他方の制御系の故障を検出した場合は、双方の制御系
    のマイクロプロセッサ・コントローラの電源回路がオフ
    となる、 ことを特徴とする請求項10記載の鉄道用保安制御装
    置。
  12. 【請求項12】前記各制御系のマイクロプロセッサ・コ
    ントローラは、タイマのカウント値に基づきメインプロ
    グラムにおける所定動作実行時点を決定し、この時点で
    前記自系統側と1つの他系統側との間の照合を行う場合
    に、この時点から所定時間が経過するまでの期間におけ
    る照合結果を無効とすることにより、前記自系統側のタ
    イマと1つの他系統側のタイマとの間のカウントタイミ
    ングのずれに起因する照合エラーを排除するようにし
    た、 ことを特徴とする請求項1乃至11のいずれかに記載の
    鉄道用保安制御装置。
  13. 【請求項13】現場機器との間で信号の授受を行う複数
    の入出力端末装置と少なくとも1台の制御処理端末装置
    との間を通信ネットワークで接続し、この制御処理端末
    装置がこれら複数の入出力端末装置を介して複数の現場
    機器に対する制御を行う制御システムにおいて、 前記入出力端末装置及び前記制御処理端末装置を、前記
    請求項1乃至12のいずれかに記載の鉄道用保安制御装
    置により構成した、 ことを特徴とする鉄道用保安制御システム。
  14. 【請求項14】前記制御処理端末装置は、現在の列車運
    行用の第1の制御処理端末装置と、新しい応用プログラ
    ムが実装された第2の制御処理端末装置とで構成され、 列車運行数が多い時間帯では、第1の制御処理端末装置
    が全ての入出力端末装置との間で信号の授受を行い、 列車運行数が少ない時間帯では、第1の制御処理端末装
    置は特定の入出力端末装置との間でのみ信号の授受を行
    うと共に、第2の制御処理端末装置は残りの入出力端末
    装置との間で信号の授受を行う、 ことを特徴とする請求項13記載の鉄道用保安制御シス
    テム。
  15. 【請求項15】前記各入出力端末装置は、前記第1の制
    御処理端末装置又は前記第2の制御処理端末装置のうち
    のいずれと信号の授受を行うかを決める切換スイッチを
    有しており、この切換スイッチの制御は前記第2の制御
    処理端末装置により行われるようになっている、 ことを特徴とする請求項14記載の鉄道用保安制御シス
    テム。
JP05577499A 1999-03-03 1999-03-03 鉄道用保安制御装置及び保安制御システム Expired - Lifetime JP3668632B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP05577499A JP3668632B2 (ja) 1999-03-03 1999-03-03 鉄道用保安制御装置及び保安制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP05577499A JP3668632B2 (ja) 1999-03-03 1999-03-03 鉄道用保安制御装置及び保安制御システム

Publications (2)

Publication Number Publication Date
JP2000255431A true JP2000255431A (ja) 2000-09-19
JP3668632B2 JP3668632B2 (ja) 2005-07-06

Family

ID=13008238

Family Applications (1)

Application Number Title Priority Date Filing Date
JP05577499A Expired - Lifetime JP3668632B2 (ja) 1999-03-03 1999-03-03 鉄道用保安制御装置及び保安制御システム

Country Status (1)

Country Link
JP (1) JP3668632B2 (ja)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237653B2 (en) 2003-11-19 2007-07-03 Mitsubishi Denki Kabushiki Kaisha Elevator controller
WO2008152722A1 (ja) 2007-06-14 2008-12-18 Mitsubishi Electric Corporation エレベータ装置
JP2009201334A (ja) * 2008-02-25 2009-09-03 Hitachi Ltd 二重系列車制御装置
JP2010012848A (ja) * 2008-07-02 2010-01-21 Hitachi Ltd 鉄道保安装置の接続異常検出回路
JP2011069694A (ja) * 2009-09-25 2011-04-07 Hitachi Ltd プログラマブル・ロジック・コントローラ、および、プログラマブル・ロジック・コントローラにおける故障診断方法
CN103092092A (zh) * 2011-11-08 2013-05-08 欧姆龙株式会社 安全控制系统
EP2289832A4 (en) * 2008-06-27 2014-06-11 Mitsubishi Electric Corp LIFTING DEVICE AND OPERATING METHOD THEREFOR
JP2016153561A (ja) * 2015-02-20 2016-08-25 文化シヤッター株式会社 開閉体装置及び感知装置
JP2019040822A (ja) * 2017-08-29 2019-03-14 株式会社京三製作所 リレー制御装置
CN109547465A (zh) * 2018-12-17 2019-03-29 深圳科安达电子科技股份有限公司 一种铁路站间信息动态采集双验证的安全传输系统
JP2019179715A (ja) * 2018-03-30 2019-10-17 大同信号株式会社 デジタル時素リレー
JP2020032940A (ja) * 2018-08-31 2020-03-05 大同信号株式会社 鉄道機器用フェールセーフ制御装置
CN112078630A (zh) * 2020-08-25 2020-12-15 通号城市轨道交通技术有限公司 一种列车控制系统
CN113641094A (zh) * 2021-07-06 2021-11-12 江苏徐工工程机械研究院有限公司 预防工程机械控制器失效的安全系统及工程机械
CN113820625A (zh) * 2021-10-13 2021-12-21 上海电气泰雷兹交通自动化系统有限公司 一种用于检测交流固态继电器漏流的电路
US11938980B2 (en) 2018-01-16 2024-03-26 Mitsubishi Electric Corporation Signal control device and abnormality detection method
CN119459805A (zh) * 2024-11-08 2025-02-18 卡斯柯信号有限公司 用于车载安全输出的驱动回采系统、方法、设备及介质

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237653B2 (en) 2003-11-19 2007-07-03 Mitsubishi Denki Kabushiki Kaisha Elevator controller
CN100486881C (zh) * 2003-11-19 2009-05-13 三菱电机株式会社 电梯控制装置
WO2008152722A1 (ja) 2007-06-14 2008-12-18 Mitsubishi Electric Corporation エレベータ装置
US8272482B2 (en) 2007-06-14 2012-09-25 Mitsubishi Electric Corporation Elevator apparatus for braking control of car according to detected content of failure
JP2009201334A (ja) * 2008-02-25 2009-09-03 Hitachi Ltd 二重系列車制御装置
EP2289832A4 (en) * 2008-06-27 2014-06-11 Mitsubishi Electric Corp LIFTING DEVICE AND OPERATING METHOD THEREFOR
JP2010012848A (ja) * 2008-07-02 2010-01-21 Hitachi Ltd 鉄道保安装置の接続異常検出回路
JP2011069694A (ja) * 2009-09-25 2011-04-07 Hitachi Ltd プログラマブル・ロジック・コントローラ、および、プログラマブル・ロジック・コントローラにおける故障診断方法
CN103092092A (zh) * 2011-11-08 2013-05-08 欧姆龙株式会社 安全控制系统
JP2016153561A (ja) * 2015-02-20 2016-08-25 文化シヤッター株式会社 開閉体装置及び感知装置
JP2019040822A (ja) * 2017-08-29 2019-03-14 株式会社京三製作所 リレー制御装置
US11938980B2 (en) 2018-01-16 2024-03-26 Mitsubishi Electric Corporation Signal control device and abnormality detection method
JP2019179715A (ja) * 2018-03-30 2019-10-17 大同信号株式会社 デジタル時素リレー
JP7001312B2 (ja) 2018-03-30 2022-02-03 大同信号株式会社 デジタル時素リレー
JP2020032940A (ja) * 2018-08-31 2020-03-05 大同信号株式会社 鉄道機器用フェールセーフ制御装置
JP7141177B2 (ja) 2018-08-31 2022-09-22 大同信号株式会社 鉄道機器用フェールセーフ制御装置
CN109547465A (zh) * 2018-12-17 2019-03-29 深圳科安达电子科技股份有限公司 一种铁路站间信息动态采集双验证的安全传输系统
CN112078630A (zh) * 2020-08-25 2020-12-15 通号城市轨道交通技术有限公司 一种列车控制系统
CN112078630B (zh) * 2020-08-25 2022-10-18 通号城市轨道交通技术有限公司 一种列车控制系统
CN113641094A (zh) * 2021-07-06 2021-11-12 江苏徐工工程机械研究院有限公司 预防工程机械控制器失效的安全系统及工程机械
CN113641094B (zh) * 2021-07-06 2024-02-02 江苏徐工工程机械研究院有限公司 预防工程机械控制器失效的安全系统及工程机械
CN113820625A (zh) * 2021-10-13 2021-12-21 上海电气泰雷兹交通自动化系统有限公司 一种用于检测交流固态继电器漏流的电路
CN119459805A (zh) * 2024-11-08 2025-02-18 卡斯柯信号有限公司 用于车载安全输出的驱动回采系统、方法、设备及介质

Also Published As

Publication number Publication date
JP3668632B2 (ja) 2005-07-06

Similar Documents

Publication Publication Date Title
JP2000255431A (ja) 鉄道用保安制御装置及び保安制御システム
US7252180B2 (en) Situation-dependent reaction in the case of a fault in the region of a door of an elevator system
JP3944156B2 (ja) 非常停止回路
EP1403010B1 (en) Robot system comprising an operator detection unit
CN107407919A (zh) 安全控制系统和安全控制系统的运行方法
CN110178306A (zh) 马达控制装置以及马达控制系统
EP0006309A1 (en) Railway control signal dynamic input interlocking systems
US6826433B1 (en) Failsafe data output system and automation system having the same
US7933676B2 (en) Automation system with integrated safe and standard control functionality
JP6120723B2 (ja) 制御回路、制御回路の短絡故障検知方法、転轍制御回路の短絡故障検知方法および鉄道信号用連動制御システム
JP4389975B2 (ja) 安全システムおよび安全機器
CN104714439A (zh) 安全继电器箱系统
CN114347025A (zh) 协作机器人功能安全控制电路,控制方法及协作机器人
JP3630824B2 (ja) 補助リレー駆動回路
KR100186374B1 (ko) 엘리베이터 진단 시스템 및 그의 제어방법
JP3802895B2 (ja) フエール・セーフ多数決論理回路を備えたパラレル出力型電子連動装置
JP3497855B2 (ja) 2重系装置
JP3660190B2 (ja) 広大領域用の安全確認システム
JP4212963B2 (ja) 安全リレーシステム、安全リレーシステム用入力増設ユニット、安全リレーシステム用マスタユニット、安全リレーシステム用エンドユニット、及び安全リレーの制御方法
Akita et al. Safety and fault-tolerance in computer-controlled railway signalling systems
JP2736709B2 (ja) 交流電源方式の負荷駆動制御装置
KR0167209B1 (ko) 엘리베이터의 구출운전 제어 방법 및 장치
JPS6180303A (ja) 二重系の切換制御方式
EP0747279A1 (en) Non-vital turn off of vital output circuit
JPH04200223A (ja) 保護継電装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20041129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050107

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050411

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080415

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090415

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100415

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100415

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110415

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130415

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140415

Year of fee payment: 9

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term