JP2004042906A - Parallel output type electronic interlocking system furnished with fail safe majority logic circuit - Google Patents

Parallel output type electronic interlocking system furnished with fail safe majority logic circuit Download PDF

Info

Publication number
JP2004042906A
JP2004042906A JP2003343270A JP2003343270A JP2004042906A JP 2004042906 A JP2004042906 A JP 2004042906A JP 2003343270 A JP2003343270 A JP 2003343270A JP 2003343270 A JP2003343270 A JP 2003343270A JP 2004042906 A JP2004042906 A JP 2004042906A
Authority
JP
Japan
Prior art keywords
circuit
output
failure
fail
logic circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003343270A
Other languages
Japanese (ja)
Other versions
JP3802895B2 (en
Inventor
Atsushi Kawabata
川端 敦
Fusashi Tashiro
田代 維史
Michio Fujiwara
藤原 道雄
Hitoshi Yanagi
柳 斉
Shigeru Kuwana
桑名 茂
Tsunenobu Kikuchi
菊地 常信
Satoshi Fukui
福井 聡
Hiroshi Saito
斎藤 浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
East Japan Railway Co
Original Assignee
Hitachi Ltd
East Japan Railway Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, East Japan Railway Co filed Critical Hitachi Ltd
Priority to JP2003343270A priority Critical patent/JP3802895B2/en
Publication of JP2004042906A publication Critical patent/JP2004042906A/en
Application granted granted Critical
Publication of JP3802895B2 publication Critical patent/JP3802895B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)
  • Logic Circuits (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a fail safe majority logic circuit not to output false output on the dangerous side even at the time when a single failure occurs by discovering the single failure at an early stage. <P>SOLUTION: The fail safe majority logic circuit to find a majority of at least three pieces of logic input is constituted by a circuit to compose the two input each of the three input of three pieces of OR circuits 311∼313 and to compose output of these OR circuits by a three input AND circuit 321. Additionally, a control mode and a failure detection mode are set in the circuit, a pattern for failure detection is input at the time of the failure detection mode and a failure of a part constituting the circuit is detected by absorbing the output. The input is forcibly changed so that the output of the circuit does not output to the dangerous side in the case of detecting the failure. Safety of the electronic interlocking device is improved by applying this fail safe majority logic circuit to the electronic interlocking device. <P>COPYRIGHT: (C)2004,JPO

Description

 本発明は、本発明は、安全な制御を行うために、全く同一のハードウェアを複数準備し、全く同じ演算を実行し、それぞれの出力を入力し、照合を取り、出力が一致しなかった場合には、多数決を行い、最終的な制御出力を決定する多数決論理回路に係り、特に誤出力の発生を防止するために、回路の構成部品の中で1個だけが故障した場合、つまり単一故障の場合には、危険側に出力される可能性が全く無い、フエール・セーフ多数決論理回路を備えたパラレル出力型電子連動装置に関する。 According to the present invention, in order to perform safe control, a plurality of identical hardware are prepared, identical arithmetic operations are performed, respective outputs are input, collation is performed, and outputs do not match. In such a case, a majority logic circuit that performs a majority decision and determines a final control output is provided. In particular, in order to prevent the occurrence of an erroneous output, when only one of the circuit components has failed, The present invention relates to a parallel output type electronic interlocking device having a fail-safe majority decision logic circuit that has no possibility of being output to a dangerous side in the case of one failure.

 従来、信号機や転てつ器を直接駆動する、または、それらの機器を駆動するリレーを制御する電子連動装置は、連動の論理計算を行い、転てつ器あるいは信号機などを制御するための信号線をパラレルに出力する3組の処理装置と、それらの出力の照合を各ライン毎に行うフェール・セーフ多数決回路とから構成されている。 Conventionally, an electronic interlocking device that directly drives a traffic signal or a switch, or controls a relay that drives those devices, performs a logical calculation of interlocking, and a signal for controlling a switch or a traffic signal. It is composed of three sets of processing devices that output lines in parallel, and a fail-safe majority circuit that compares the outputs for each line.

 従来のフェール・セーフ多数決論理回路は、通常、図5に示すように、3個の並列入力のうち2つの示した値を正しいとして出力する回路が採用されている。 (5) The conventional fail-safe majority logic circuit usually employs a circuit that outputs two indicated values out of three parallel inputs as correct, as shown in FIG.

 図5において、101〜103は3個の並列入力であって、111〜113はそれぞれAND回路、121はOR回路、131は出力である。 In FIG. 5, 101 to 103 are three parallel inputs, 111 to 113 are AND circuits, 121 is an OR circuit, and 131 is an output.

 この場合、例えば、入力101、102が「1」で、入力103が「0」であれば、AND回路111、113の出力は「0」、AND回路112の出力は「1」となり、出力131は「1」となる。 In this case, for example, if the inputs 101 and 102 are “1” and the input 103 is “0”, the outputs of the AND circuits 111 and 113 are “0”, the output of the AND circuit 112 is “1”, and the output 131 Becomes “1”.

 しかし、入力101のみ「1」で、入力102、103が「0」であれば、AND回路111〜113のいずれの出力も「0」となり、出力131は「0」となる。 However, if only the input 101 is “1” and the inputs 102 and 103 are “0”, all outputs of the AND circuits 111 to 113 are “0” and the output 131 is “0”.

 このため、入力101〜103に同一の論理演算を別々の回路で行わせた結果を入力として加えたとき、そのうちの1個が誤動作しても、出力131にはその誤動作の影響は現れないという、信頼性を高める回路となっている。 For this reason, when the results obtained by performing the same logical operation in different circuits on the inputs 101 to 103 are added as inputs, even if one of them malfunctions, the effect of the malfunction does not appear on the output 131. , A circuit that increases reliability.

 ここで論理積を記号「・」、論理和を記号「+」で示し、3個の入力の論理値を101〜103で示すと、この回路の論理式は、以下の(数1)となる。 Here, when the logical product is represented by the symbol "." And the logical sum is represented by the symbol "+", and the logical values of the three inputs are represented by 101 to 103, the logical expression of this circuit is as follows (Equation 1). .

   101・102+102・103+103・101 ……(数1) 101 · 102 + 102 · 103 + 103 · 101… (Equation 1)

 しかし、この場合、多数決論理回路自体が損傷したとき、例えば、OR回路121またはAND回路111が損傷すれば、誤出力を引き起こす。この点を考慮して、従来技術では、図6に示す様な回路によって、フェール・セーフ多数決回路自体が損傷した場合の対策を施している(例えば、特許文献1参照)。 However, in this case, when the majority logic circuit itself is damaged, for example, when the OR circuit 121 or the AND circuit 111 is damaged, an erroneous output is caused. In consideration of this point, in the related art, a circuit as shown in FIG. 6 takes measures against a case where the fail-safe majority decision circuit itself is damaged (for example, see Patent Document 1).

 図6において、201〜203は3個の並列入力であり、「1」、「0」の論理値が入力される。211〜216はトランジスタであり、2個ずつ並列に接続されたAND回路を構成する。221〜226はダイオードであり、2個を直列接続した回路を並列に接続しOR回路を構成している。231〜239は抵抗である。 に お い て In FIG. 6, reference numerals 201 to 203 denote three parallel inputs to which logical values of “1” and “0” are input. Reference numerals 211 to 216 denote transistors, which constitute AND circuits connected in parallel two by two. Diodes 221 to 226 are connected in parallel to form an OR circuit by connecting two circuits in series. 231-239 are resistors.

 241〜243は+の電位を持っている電源端子である。251〜253は零電位の電源端子である。261は本回路の論理出力である。本回路では、例えば、ダイオード221が導通故障を起こしても、回路自体の動作には全く影響を与えないことが保証されている。 # 241 to 243 are power supply terminals having a positive potential. Reference numerals 251 to 253 denote power terminals of zero potential. Reference numeral 261 denotes a logical output of the circuit. In the present circuit, for example, it is guaranteed that even if the conduction failure occurs in the diode 221, the operation of the circuit itself is not affected at all.

 ところが、本回路構成では、損傷したダイオードを検出する手段がない。そのため、故障が分からずに運転を継続し、2番目の故障が発生して、誤出力を引き起こす可能性がある。
特開昭52−112250号公報 However, in this circuit configuration, there is no means for detecting a damaged diode. Therefore, there is a possibility that the operation is continued without understanding the failure and the second failure occurs, causing an erroneous output.
JP-A-52-112250

 本発明では上で述べた従来技術の欠点に鑑み、次の(1)〜(4)のという条件を満たす、フエール・セーフ多数決論理回路を実現することにある。 In the present invention, in view of the above-mentioned drawbacks of the prior art, it is an object of the present invention to realize a fail-safe majority logic circuit that satisfies the following conditions (1) to (4).

 (1) 3個の論理入力の多数決をとる。 (1) Take the majority decision of three logical inputs.

 (2) 1個の部品が故障した場合には、危険側の錯誤出力を行わない。 (2) If one component breaks down, do not output a dangerous error.

 (3) 故障が内在した場合にも、必ず故障検出が可能である。 (3) Even if a failure is inherent, failure detection is always possible.

 (4) 故障検出結果に基づき、3個の論理入力条件を変更する。 (4) Change three logic input conditions based on the failure detection result.

 なお、ここで上記の危険側とは、ON制御側のことを指す。例えば、鉄道では、転てつ器を転換するために、転てつ器転換用モータの制御を行うが、錯誤により転換が行われなかった場合は、そのことにより直接人命などに関係する重大事故に繋がる可能性は少ない。 危 険 Here, the above-mentioned dangerous side refers to the ON control side. For example, in a railway, a switch for changing a switch is controlled in order to change the switch, but if the switch is not performed due to an error, a serious accident directly related to human life is caused. Is unlikely to lead to

 ところが、錯誤により転換が行われた場合には、転てつ器上を通過中の列車が脱線する可能性もあるから、極めて危険な錯誤と言える。そこで、ここでは装置を動かす側、つまり、ON制御側の故障を危険側故障としている。 転 換 However, if a change is made by mistake, the train passing on the switch may be derailed, which is a very dangerous mistake. Therefore, a failure on the side that moves the apparatus, that is, a failure on the ON control side is regarded as a dangerous failure.

 本発明は上記の課題を解決するために次のような手段を採用した。すなわち、連動の論理計算を行ない、信号機あるいは転てつ器を直接駆動するための論理値「1」と論理値「0」をとる信号、またはそれらの機器を駆動するリレーを制御するための論理値「1」と論理値「0」をとる信号の少なくとも一方の信号をパラレルに出力する3組の処理装置と、これら3組の処理装置から出力される3個の論理値のうちの2個ずつを入力とする3個のOR回路及びこれら3個のOR回路の出力を入力とする3入力AND回路により多数決演算を行うフェール・セーフ多数決論理回路を備えたパラレル出力型電子連動装置において、前記3入力AND回路は、単一故障では危険側の出力にならないフェール・セーフ性を有する回路で構成され、前記フェール・セーフ多数決論理回路に制御モードと故障検出モードを設定し、故障検出モード時に、前記3個の論理入力に故障検出用のパターンを与え、出力を観測することにより、フェール・セーフ多数決論理回路を構成している部品の故障を検出するようにした。 The present invention employs the following means in order to solve the above problems. That is, a signal that takes a logical value “1” and a logical value “0” for directly driving a traffic light or a switch by performing a logical calculation of interlocking, or a logic for controlling a relay that drives those devices. Three sets of processing devices that output at least one of signals having a value “1” and a logical value “0” in parallel, and two of the three logical values output from these three sets of processing devices A parallel output type electronic interlocking device comprising a fail-safe majority logic circuit for performing a majority operation by three OR circuits each having an input of each of them and a three-input AND circuit having inputs of the outputs of the three OR circuits, The three-input AND circuit is composed of a circuit having a fail-safe property in which a single failure does not result in a dangerous output, and the fail-safe majority logic circuit has a control mode and a failure detection mode. In the failure detection mode, a failure detection pattern is provided to the three logic inputs and the output is observed to detect a failure of a component constituting the fail-safe majority logic circuit. .

 このときフェール・セーフ多数決論理回路には制御モードと故障検出モードを設定し、故障検出モード時に、前記3個の論理入力に故障検出用のパターンを与え、出力を観測することにより、フェール・セーフ多数決論理回路を構成している部品の故障検出を可能としている。 At this time, a control mode and a failure detection mode are set in the fail-safe majority decision logic circuit. In the failure detection mode, a pattern for failure detection is applied to the three logic inputs, and the outputs are observed, whereby a fail-safe operation is performed. Failure detection of components constituting the majority logic circuit is enabled.

 また、上記故障検出モード時、部品の短絡故障を検知した場合には、3個ある入力の内の1個を、フェール・セーフ多数決論理回路の出力が危険側に出力することのないように強制的に変更している。 In the failure detection mode, when a short-circuit failure of a component is detected, one of the three inputs is forcibly applied so that the output of the fail-safe majority logic circuit is not output to the dangerous side. Has been changed.

 さらに、前記フェール・セーフ多数決論理回路をパラレル出力型電子連動装置に適用することにより、電子連動装置の安全性を高めている。 Further, the safety of the electronic interlocking device is enhanced by applying the fail-safe majority logic circuit to the parallel output type electronic interlocking device.

 本発明によれば、フェール・セーフ多数決論理回路の3個の並列入力が一致しなかった場合に、多数決を行い、最終的な制御出力の安全性を高めることができる。 According to the present invention, when the three parallel inputs of the fail-safe majority logic circuit do not match, a majority decision can be made to improve the safety of the final control output.

 さらに、本発明のフェール・セーフ多数決論理回路は、部品の単一故障が危険側出力を引き起こす可能性は全く無く、内在する単一故障は診断パルスによって確実に検出が可能であり、フェール・セーフ特性を有する多数決論理回路を備えたパラレル出力型電子連動装置を実現することが可能となる。 In addition, the fail-safe majority logic of the present invention has the advantage that a single failure of a component can never cause a dangerous output, the underlying single failure can be reliably detected by a diagnostic pulse, and the fail-safe It is possible to realize a parallel output type electronic interlocking device including a majority logic circuit having characteristics.

 また、単一故障が発生した場合でも論理入力条件を変更することにより危険側出力を出力することなく、電子連動装置の運転を継続できる。 で も Also, even when a single failure occurs, the operation of the electronic interlocking device can be continued without changing the logic input condition without outputting a dangerous output.

 本発明のフェール・セーフ多数決論理回路の原理は次の論理式に基づく。 The principle of the fail-safe majority logic circuit of the present invention is based on the following logical formula.

 フェール・セーフ多数決論理回路の3入力をA、B、Cとすると、本回路の論理式は次の(数2)となる。 Assuming that the three inputs of the fail-safe majority logic circuit are A, B, and C, the logical expression of this circuit is as follows (Equation 2).

  (A+B)・(B+C)・(C+A) ……(数2) (A + B) ・ (B + C) ・ (C + A) (2)

 本発明では、この論理式を用いることにより、単一故障の場合には、危険側誤出力の可能性は全く無くなり、また3個の入力に適当な入力パターンを与えることにより、確実に故障検出が可能なフエール・セーフ多数決論理回路が実現できる。 In the present invention, by using this logical formula, in the case of a single fault, the possibility of erroneous output on the dangerous side is completely eliminated, and by providing an appropriate input pattern to the three inputs, fault detection can be reliably performed. , A fail-safe majority logic circuit that can be implemented.

 本発明の具体的な実施形態を説明する前に、本発明のフェール・セーフ多数決論理回路の基本回路について、図1により説明する。 Before describing a specific embodiment of the present invention, a basic circuit of a fail-safe majority logic circuit of the present invention will be described with reference to FIG.

 図1のものは、通常用いられている図5に示すフェール・セーフ多数決論理回路と異なった構成となっている。 (1) The configuration shown in FIG. 1 is different from the generally used fail-safe majority logic circuit shown in FIG.

 図1において、301〜303は3個の並列論理入力であって、311〜313はそれぞれOR回路、321はAND回路、331は出力である。表1に、論理入力301〜303の全ての入力パターンと出力331の論理値を示す。表1から分かるように、図1は多数決論理回路を構成している。

Figure 2004042906
 本発明は、図1に示す多数決論理回路を、図2に示す具体的な回路で実現したものであり、以下、本発明の実施形態を図2を用いて詳細に説明する。 In FIG. 1, 301 to 303 are three parallel logic inputs, 311 to 313 are OR circuits, 321 is an AND circuit, and 331 is an output. Table 1 shows all input patterns of the logical inputs 301 to 303 and logical values of the output 331. As can be seen from Table 1, FIG. 1 constitutes a majority logic circuit.
Figure 2004042906
 In the present invention, the majority logic circuit shown in FIG. 1 is realized by a specific circuit shown in FIG. 2, and an embodiment of the present invention will be described below in detail with reference to FIG.

 図2において、401〜403は3個の並列論理入力であって、411〜416はダイオード、421〜423はフォト・モス・リレーを示している。431〜433は零あるいは負電位の電源端子であり、441、442は出力端子である。 In FIG. 2, 401 to 403 are three parallel logic inputs, 411 to 416 are diodes, and 421 to 423 are photo MOS relays. Reference numerals 431 to 433 denote power terminals of zero or negative potential, and 441 and 442 denote output terminals.

 論理値「1」の時に441、442間は導通し、論理値「0」の時に441、442間は非導通となる。ここで、導通側は危険側、非導通側は安全側とする。なお、図示していないが、フォト・モス・リレー421〜423は、励磁コイルと接点からなるリレーに置換することも可能である。 時 に When the logic value is “1”, the connection between 441 and 442 is conducted, and when the logic value is “0”, the connection between 441 and 442 is not conducted. Here, the conductive side is the dangerous side, and the non-conductive side is the safe side. Although not shown, the photo MOS relays 421 to 423 can be replaced with relays including excitation coils and contacts.

 図2の多数決論理回路において、入力401が「1」、入力402と403が「0」の時にはフォト・モス・リレー421と422はONとなるが、423がOFFとなるため、441、442間は非導通となる。入力401と402が「1」、入力403が「0」の時にはフォト・モス・リレー421〜423は全てONするため、441、442間は導通となる。この場合の入力と出力の関係は表1と全く等しくなる。 In the majority logic circuit of FIG. 2, when the input 401 is “1” and the inputs 402 and 403 are “0”, the photo MOS relays 421 and 422 are turned on, but 423 is turned off. Becomes non-conductive. When the inputs 401 and 402 are “1” and the input 403 is “0”, the photo MOS relays 421 to 423 are all turned on, so that the connection between 441 and 442 is conducted. In this case, the relationship between the input and the output is exactly the same as in Table 1.

 次に、本発明の多数決論理回路の構成部品の単一故障について簡単に説明する。まず、この単一故障とは構成部品が唯一個だけ壊れている状態である。複数の部品が同時に故障したように思える現象も、初めに単一故障が発生し、その後2個目、3個目の故障が発生したと考えることができる。 Next, a single fault of a component of the majority logic circuit of the present invention will be briefly described. First, a single failure is a condition in which only one component is broken. A phenomenon in which a plurality of components seem to have failed at the same time can also be considered that a single failure has occurred first, and then the second and third failures have occurred.

 したがって、単一故障を確実に検出し、2個目の故障が発生する前に、単一故障を修理することができるのであれば、故障モードとして単一故障のみを考慮すればよいことになる。 Therefore, if a single failure can be reliably detected and the single failure can be repaired before the second failure occurs, only the single failure should be considered as the failure mode. .

 なお、本実施形態で考慮する故障には2種類ある。第1は、本多数決論理回路に論理値を入力する、図示していない3個の処理系の誤動作が考えられる。この処理系が誤動作する場合には、本多数決論理回路に入力される3個の並列入力の論理値が同一でなくなる。 There are two types of faults considered in the present embodiment. First, a malfunction of three processing systems (not shown) that inputs a logical value to the majority logic circuit can be considered. If this processing system malfunctions, the logical values of the three parallel inputs input to the majority logic circuit will not be the same.

 第2は、本多数決論理回路を構成しているダイオードやフォト・モス・リレーの短絡故障、またはオープン故障が考えられる。 Second, a short-circuit fault or an open fault of the diode or the photo-mos relay constituting the majority logic circuit can be considered.

 したがって、本発明では、単一故障とは、多数決論理回路の全素子は故障していないが、並列入力の論理値が同一でないこと、または、並列入力の論理値は同一であるが、多数決論理回路を構成している素子のどれか1個が短絡故障、あるいはオープン故障を起こしていることと定義できる。 Therefore, in the present invention, a single failure means that all elements of the majority logic circuit have not failed, but the logic values of the parallel inputs are not the same, or the logic values of the parallel inputs are the same, but the majority logic It can be defined that any one of the elements constituting the circuit has a short-circuit fault or an open fault.

 次に、本発明による実施形態では、単一故障の場合には決して危険側出力が出力しないことを説明する。 Next, in the embodiment according to the present invention, it will be described that a dangerous output is never output in the case of a single failure.

 前述のように、多数決論理回路の全素子は故障していないが、並列入力の論理値が同一でない場合、この場合にも単一故障の考え方を用いると、図示していない3個の処理系のどれか1系が故障した場合を考慮すれば十分である。 As described above, if all the elements of the majority logic circuit are not faulty, but the logic values of the parallel inputs are not the same, also in this case, using the concept of a single fault, three processing systems (not shown) It is sufficient to consider the case where any one of the systems fails.

 すなわち、ただ1系のみが故障し、誤出力を出力するのであるから、多数決を実行すればこの場合、誤出力する可能性はない。 That is, since only one system breaks down and outputs an erroneous output, there is no possibility of erroneous output in this case if a majority decision is executed.

 同じく、前述のように、並列入力の論理値は同一であるが、フェール・セーフ多数決論理回路を構成している部品が1個だけ故障した場合、並列入力の論理値が同一であると、1個のダイオードが短絡故障、オープン故障を起こしても、誤出力する可能性はない。 Similarly, as described above, the logic values of the parallel inputs are the same, but if only one component constituting the fail-safe majority logic circuit fails, the logic values of the parallel inputs are 1 if the logic values of the parallel inputs are the same. Even if a short-circuit fault or an open fault occurs in any of the diodes, there is no possibility of erroneous output.

 また、1個のフォト・モス・リレーが短絡故障を起こした場合もダイオードの場合と同様であり、誤出力する可能性は無い。 Furthermore, when one photo MOS relay causes a short-circuit fault, it is the same as the case of the diode, and there is no possibility of erroneous output.

 1個のフォト・モス・リレーがオープン故障した場合には、3個のフォト・モス・リレーが直列に接続されているため、論理出力441〜442はOFF固定の誤出力を出す。この場合の故障は、安全側故障と考えられる。 (4) If one photo MOS relay has an open failure, the three photo MOS relays are connected in series, so that the logic outputs 441 to 442 output an erroneous output fixed at OFF. The failure in this case is considered a safe failure.

 次に、図3を用いて、本実施形態における、故障を検出する手法を説明する。 Next, a method for detecting a failure in the present embodiment will be described with reference to FIG.

 図3は、多数決論理回路の故障検出を考慮した回路である。501は故障を検出するための外部機器を駆動する電源である。511は制御対象となっている装置であり、例えば転てつ器を転換するモータなどを示している。 FIG. 3 is a circuit in which failure detection of a majority logic circuit is considered. Reference numeral 501 denotes a power supply for driving an external device for detecting a failure. Reference numeral 511 denotes a device to be controlled, for example, a motor for changing a switch.

 521は本フェール・セーフ多数決論理回路が出力している論理値を監視する端子であり、図示していない3個の処理系によってモニタされる。ここで、制御対象511はある程度大きな時定数を持っており、検出用パルスの信号では、制御対象511は動作しないものと仮定する。 # 521 is a terminal for monitoring a logical value output by the fail-safe majority logic circuit, and is monitored by three processing systems (not shown). Here, it is assumed that the control target 511 has a certain large time constant, and the control target 511 does not operate with the signal of the detection pulse.

 故障検出を行うには3個の並列論理入力401〜403から、検出用パルスの様々な論理値の組み合わせを与え、検出用パルスの論理入力により監視端子521がどのような出力を出すかを観測することにより、制御対象511を誤動作させずに、故障検出が可能となる。 To perform failure detection, various combinations of logical values of a detection pulse are given from three parallel logical inputs 401 to 403, and the output of the monitoring terminal 521 based on the logical input of the detection pulse is observed. By doing so, it is possible to detect a failure without causing the control target 511 to malfunction.

 ダイオード411がオープン故障した場合の、並列論理入力401〜403と監視端子521の論理値のパターンを表2に示す。表2の色付けした行が表1と異なっており、このことによりフェール・セーフ多数決論理回路内に故障が発生したことを検知できる。

Figure 2004042906
 ダイオード411が短絡故障した場合の、並列論理入力401〜403と監視端子521の論理値のパターンを表3に示す。表3の色付けした行が表1と異なっており、このことによりフェール・セーフ多数決論理回路内に故障が発生したことを検知できる。他のダイオードが故障した場合にも全く同様にして故障を検出できる。
Figure 2004042906
  フォト・モス・リレー421がオープン故障した場合には、先にも述べた通り、出力がOFF固定となり、容易に故障検出が可能である。 Table 2 shows patterns of the logical values of the parallel logic inputs 401 to 403 and the monitoring terminal 521 when the diode 411 has an open failure. The colored rows in Table 2 are different from those in Table 1 so that it is possible to detect that a failure has occurred in the fail-safe majority logic.
Figure 2004042906
 Table 3 shows the logic value patterns of the parallel logic inputs 401 to 403 and the monitoring terminal 521 when the diode 411 has a short-circuit fault. The colored rows in Table 3 are different from those in Table 1 so that it is possible to detect that a failure has occurred in the fail-safe majority logic. If another diode fails, the failure can be detected in the same manner.
Figure 2004042906
 When the photo MOS relay 421 has an open failure, as described above, the output is fixed to OFF, and the failure can be easily detected.

 フォト・モス・リレー421が短絡故障した場合は、並列論理入力401〜403と監視端子521の論理値パターンを表4に示す。表4の色付けした行が表1と異なっており、このことによりフェール・セーフ多数決論理回路内に故障が発生したことを検知できる。

Figure 2004042906
 表2で観測されたようなオープン単一故障が発生した場合には、表2の1行目、8行目の制御モードにおいて使用される部分が、正しく出力され、安全上問題のないことが解かる。また、第2番目の故障が発生しても、錯誤による危険側出力の可能性が全くないことも証明が可能である。 Table 4 shows the logical value patterns of the parallel logic inputs 401 to 403 and the monitoring terminal 521 when the photo MOS relay 421 has a short-circuit fault. The colored rows in Table 4 are different from those in Table 1 so that it is possible to detect that a failure has occurred in the fail-safe majority logic.
Figure 2004042906
 When an open single failure as observed in Table 2 occurs, the portion used in the control mode in the first and eighth lines of Table 2 is output correctly and there is no problem in safety. Understand. In addition, even if the second failure occurs, it can be proved that there is no possibility of a dangerous output due to a mistake.

 表3、表4で観測されたような短絡単一故障が発生した場合には、いずれの表においても、1行目、8行目の値が安全上問題のないことを示している。 (4) When a single short-circuit fault as observed in Tables 3 and 4 occurs, the values in the first and eighth rows in each table indicate that there is no safety problem.

 次に、フェール・セーフ多数決論理回路に単一故障が発生している場合でも、危険側出力を出力することなく、フェール・セーフ多数決論理回路の運転を継続できる場合について説明する。 Next, a case where the operation of the fail-safe majority logic circuit can be continued without outputting a dangerous output even when a single failure has occurred in the fail-safe majority logic circuit will be described.

 図3に示すフェール・セーフ多数決論理回路において、単一故障、例えば、ダイオード411が短絡故障している場合、すなわち表3の状態の場合、フェール・セーフ多数決論理回路の運転を継続していると、次に並列論理入力403に入力を与える図示していない処理系が故障して、誤って「1」を出力した場合には、フェール・セーフ多数決論理回路は危険側誤出力を出力してしまう。 In the fail-safe majority logic circuit shown in FIG. 3, when a single failure occurs, for example, when the diode 411 has a short-circuit failure, that is, in the state shown in Table 3, it is determined that the operation of the fail-safe majority logic circuit is continued. Then, if a processing system (not shown) for supplying an input to the parallel logic input 403 breaks down and erroneously outputs “1”, the fail-safe majority logic circuit outputs a dangerous-side erroneous output. .

 したがって、このような場合、本発明では、この危険側出力を避けるために、例えば表3に示すような出力結果が観測された時点で、並列論理入力403を強制的に「0」に固定する処理を行う。これにより、第2番目の故障が発生しても、表5に示されるように、錯誤による危険側出力が出力しないことが分かる。

Figure 2004042906
 次に、図4に、フェール・セーフ多数決論理回路を備えた電子連動装置のブロック図を示す。 Therefore, in such a case, in the present invention, in order to avoid this dangerous output, for example, when an output result as shown in Table 3 is observed, the parallel logic input 403 is forcibly fixed to “0”. Perform processing. Thus, it can be seen that even if the second failure occurs, as shown in Table 5, the danger-side output due to mistake is not output.
Figure 2004042906
 Next, FIG. 4 shows a block diagram of an electronic interlocking device provided with a fail-safe majority decision logic circuit.

 601〜603は連動論理の演算を行う処理装置であり、制御要求情報を入力し、さらに転てつ器あるいは信号機などを制御するための信号をパラレル出力し、またフェール・セーフ多数決論理回路の出力をパラレルに入力し、さらには転てつ器あるいは信号機などの表示情報や軌道リレーからの情報をパラレルに入力している。 Numerals 601 to 603 denote processing units for performing an interlocking logic operation, which input control request information, further output signals for controlling a switch, a traffic light, and the like in parallel, and output a fail-safe majority logic circuit. Are input in parallel, and further, display information such as a switch or a traffic light and information from a track relay are input in parallel.

 611は図3で示したフェール・セーフ多数決論理回路であり、処理装置601〜603から入力されるパラレル信号線の数だけ並んだ構成を持つ。621は制御要求情報を伝達する回線であり、処理装置601〜603に接続されている。 # 611 is the fail-safe majority logic circuit shown in FIG. 3, and has a configuration in which the number of parallel signal lines input from the processing devices 601 to 603 is arranged. Reference numeral 621 denotes a line for transmitting control request information, which is connected to the processing devices 601 to 603.

 631〜633は処理装置601〜603間でデータを交換するためのラインである。641〜643はパラレルラインであり、転てつ器あるいは信号機などを制御するための信号が流れる。651は転てつ器または信号機などに直接または中継リレーなどを介して間接的に接続されるラインである。 # 631 to 633 are lines for exchanging data among the processing devices 601 to 603. Reference numerals 641 to 643 denote parallel lines through which signals for controlling a switch, a traffic light, or the like flow. Reference numeral 651 denotes a line directly or indirectly connected to a switch, a traffic light, or the like via a relay relay or the like.

 661はフェール・セーフ多数決論理回路611が出力した情報を処理装置601〜603にフィードバックするラインであり、処理装置601〜603に並列に接続されている。671は、転てつ器あるいは信号機などからの表示情報や軌道リレーからの情報を処理装置601〜603に伝達するラインである。 # 661 is a line for feeding back information output by the fail-safe majority logic circuit 611 to the processing devices 601 to 603, and is connected in parallel to the processing devices 601 to 603. Reference numeral 671 denotes a line for transmitting display information from a switch or a traffic signal or information from a track relay to the processing devices 601 to 603.

 次にフェール・セーフ多数決論理回路を備えた電子連動装置の動作について説明する。 進路設定を行う場合には図示していない上位のシステムが621を介して、処理装置601〜603に同時に進路要求情報を伝送する。 Next, the operation of the electronic interlocking device provided with the fail-safe majority logic circuit will be described. (4) When setting a route, a higher-level system (not shown) simultaneously transmits route request information to the processing devices 601 to 603 via the link 621.

 3系の処理装置601〜603は全く同じ処理を同時に行い、処理結果を641〜643に同時に出力する。さらに、3系の処理装置601〜603は631〜633を通じて、適当な間隔でお互いに監視データを交換し合い、故障検出を行う。 The # 3 processing units 601 to 603 perform exactly the same processing at the same time and output the processing results to 641 to 643 at the same time. Further, the processing devices 601 to 603 of the third system exchange monitoring data with each other at appropriate intervals through 631 to 633 to detect a failure.

 フェール・セーフ多数決論理回路611は641〜643を介して得られた制御情報の多数決を行い、結果を651に出力し、転てつ器などの制御対象に制御信号を出力する。また、その制御信号は661を介して3系の処理装置601〜603にフィードバックされる。 The fail-safe majority logic circuit 611 performs a majority decision on the control information obtained through 641 to 643, outputs the result to 651, and outputs a control signal to a control target such as a switch. Further, the control signal is fed back to the processing devices 601 to 603 of the third system via 661.

 フェール・セーフ多数決論理回路611の故障検出を行うためには、3系の処理装置601〜603は、定期的に故障診断モードに入り、631〜633を介して情報を交換しながら641〜643に故障診断用のテストパターンを出力する。 In order to detect the failure of the fail-safe majority decision logic circuit 611, the processing devices 601 to 603 of the third system periodically enter the failure diagnosis mode and exchange the information via 631 to 633 to 641 to 643 while exchanging information. Outputs a test pattern for failure diagnosis.

本発明によるフェール・セーフ多数決論理回路の基本回路図である。FIG. 2 is a basic circuit diagram of the fail-safe majority logic circuit according to the present invention. 本発明によるフェール・セーフ多数決論理回路の具体的な回路図である。FIG. 2 is a specific circuit diagram of the fail-safe majority logic circuit according to the present invention. 本発明によるフェール・セーフ多数決論理回路の故障検出を考慮した回路図である。FIG. 3 is a circuit diagram in consideration of failure detection of a fail-safe majority logic circuit according to the present invention. 本発明におけるフェール・セーフ多数決論理回路を用いた電子連動装置の構成図である。1 is a configuration diagram of an electronic interlocking device using a fail-safe majority logic circuit in the present invention. 従来技術によるフェール・セーフ多数決論理回路図である。FIG. 2 is a fail-safe majority logic circuit diagram according to the prior art. 従来技術によるフェール・セーフ多数決論理回路の具体的な回路図である。FIG. 2 is a specific circuit diagram of a conventional fail-safe majority logic circuit.

符号の説明Explanation of reference numerals

101〜103:並列論理入力
111〜113:AND回路
121:OR回路
131:論理出力
201〜203:並列論理入力
211〜216:トランジスタ
221〜226:ダイオード
231〜239:抵抗
241〜243:正電位電源端子
251〜253:零電位電源端子
261:論理出力
301〜303:並列論理入力
311〜313:OR回路
321:AND回路
331:論理出力
401〜403:並列論理入力
411〜416:ダイオード
421〜423:フォト・モス・リレー
431〜433:零電位電源端子
441〜442:出力端子
501:故障検出用電源
511:制御対象
521:故障検出用端子
601〜603:処理装置
611:フェール・セーフ多数決論理回路 101 to 103: parallel logic inputs 111 to 113: AND circuit 121: OR circuit 131: logic outputs 201 to 203: parallel logic inputs 211 to 216: transistors 221 to 226: diodes 231 to 239: resistors 241 to 243: positive potential power supply Terminals 251 to 253: Zero potential power supply terminal 261: Logic outputs 301 to 303: Parallel logic inputs 311 to 313: OR circuit 321: AND circuit 331: Logic outputs 401 to 403: Parallel logic inputs 411 to 416: Diodes 421 to 423: Photo MOS relays 431 to 433: Zero potential power supply terminals 441 to 442: Output terminals 501: Failure detection power supply 511: Control target 521: Failure detection terminals 601 to 603: Processing device 611: Fail safe majority decision logic circuit

Claims (2)

 連動の論理計算を行ない、信号機あるいは転てつ器を直接駆動するための論理値「1」と論理値「0」をとる信号、またはそれらの機器を駆動するリレーを制御するための論理値「1」と論理値「0」をとる信号の少なくとも一方の信号をパラレルに出力する3組の処理装置と、これら3組の処理装置から出力される3個の論理値のうちの2個ずつを入力とする3個のOR回路及びこれら3個のOR回路の出力を入力とする3入力AND回路により多数決演算を行うフェール・セーフ多数決論理回路を備えたパラレル出力型電子連動装置において、
 前記3入力AND回路は、単一故障では危険側の出力にならないフェール・セーフ性を有する回路で構成され、
 前記フェール・セーフ多数決論理回路に制御モードと故障検出モードを設定し、故障検出モード時に、前記3個の論理入力に故障検出用のパターンを与え、出力を観測することにより、フェール・セーフ多数決論理回路を構成している部品の故障を検出することを特徴とするパラレル出力型電子連動装置。 A signal that takes a logical value "1" and a logical value "0" for directly driving a traffic light or a switch by performing a logical calculation of interlocking, or a logical value "for controlling a relay driving those devices" Three sets of processing units that output in parallel at least one of signals that take a logical value “1” and a logical value “0”, and two of the three logical values output from these three sets of processing units In a parallel output type electronic interlocking device including a fail-safe majority logic circuit for performing a majority operation by three OR circuits as inputs and a three-input AND circuit to receive outputs of these three OR circuits,
The three-input AND circuit is configured by a circuit having a fail-safe property in which a single failure does not result in a dangerous output.
A control mode and a failure detection mode are set in the fail-safe majority decision logic circuit. In the failure detection mode, a pattern for failure detection is given to the three logic inputs, and the outputs are observed to obtain a fail-safe majority logic. A parallel output type electronic interlocking device characterized by detecting a failure of a component constituting a circuit.  請求項1において、
 前記故障検出モードにおいて、部品の短絡故障を検知した場合に、3個ある入力の中の1個を、フェール・セーフ多数決論理回路の出力が危険側に出力しないように変更することを特徴とするパラレル出力型電子連動装置。 In claim 1,
In the failure detection mode, when a short circuit failure of a component is detected, one of the three inputs is changed so that the output of the fail-safe majority logic circuit is not output to the dangerous side. Parallel output type electronic interlocking device.
JP2003343270A 1995-07-21 2003-10-01 Parallel output type electronic interlocking device with a fail-safe majority logic circuit Expired - Lifetime JP3802895B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003343270A JP3802895B2 (en) 1995-07-21 2003-10-01 Parallel output type electronic interlocking device with a fail-safe majority logic circuit

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP18526195 1995-07-21
JP2003343270A JP3802895B2 (en) 1995-07-21 2003-10-01 Parallel output type electronic interlocking device with a fail-safe majority logic circuit

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP18965296A Division JPH0998081A (en) 1995-07-21 1996-07-18 Fail-safe majority logic circuit and parallel output type electronic interlocking device using this circuit

Publications (2)

Publication Number Publication Date
JP2004042906A true JP2004042906A (en) 2004-02-12
JP3802895B2 JP3802895B2 (en) 2006-07-26

Family

ID=31719098

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003343270A Expired - Lifetime JP3802895B2 (en) 1995-07-21 2003-10-01 Parallel output type electronic interlocking device with a fail-safe majority logic circuit

Country Status (1)

Country Link
JP (1) JP3802895B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006137277A (en) * 2004-11-11 2006-06-01 Toshiba Corp Vehicle traffic control system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006137277A (en) * 2004-11-11 2006-06-01 Toshiba Corp Vehicle traffic control system

Also Published As

Publication number Publication date
JP3802895B2 (en) 2006-07-26

Similar Documents

Publication Publication Date Title
US4583224A (en) Fault tolerable redundancy control
US8605392B2 (en) Safety switching arrangement for outputting a switching signal
US4270715A (en) Railway control signal interlocking systems
JPH02501244A (en) Fault tolerant output circuit
US7719255B2 (en) Safe input circuit with one-channel peripheral connection for the input of a bus participant
JP4494313B2 (en) Relay output device
EP0642080A2 (en) Clock selection control device
KR100945854B1 (en) Fault detection circuit of railroad signal controller
JP2004042906A (en) Parallel output type electronic interlocking system furnished with fail safe majority logic circuit
JP6738438B2 (en) Monitoring device for monitoring safety device and method for monitoring safety device
JP4103145B2 (en) Input module
JPH0998081A (en) Fail-safe majority logic circuit and parallel output type electronic interlocking device using this circuit
JP2008226619A (en) Fail safe output circuit having relay failure detection function
JP2013121169A (en) Digital output circuit having failure detection function
JP3630824B2 (en) Auxiliary relay drive circuit
JP3751746B2 (en) Fail-safe output device
JP4693362B2 (en) Power converter
JP3392938B2 (en) Double system equipment
US11762036B2 (en) Control device for a vehicle
US5671348A (en) Non-vital turn off of vital output circuit
JP2005343602A (en) Elevator controller
EP0618679A1 (en) High reliable integrated circuit structure for MOS power devices
CN205539295U (en) 485 bus communication fault detection module
JPS60214048A (en) Data processor quaranteed in signal technology
KR0186119B1 (en) Vital input circuit for interface of a railway signalling system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060131

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060425

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060428

R150 Certificate of patent (=grant) or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100512

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110512

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110512

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120512

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130512

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130512

Year of fee payment: 7

EXPY Cancellation because of completion of term