JP3497855B2 - Double system equipment - Google Patents

Double system equipment

Info

Publication number
JP3497855B2
JP3497855B2 JP2002345132A JP2002345132A JP3497855B2 JP 3497855 B2 JP3497855 B2 JP 3497855B2 JP 2002345132 A JP2002345132 A JP 2002345132A JP 2002345132 A JP2002345132 A JP 2002345132A JP 3497855 B2 JP3497855 B2 JP 3497855B2
Authority
JP
Japan
Prior art keywords
output
failure
input
sensor
circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002345132A
Other languages
Japanese (ja)
Other versions
JP2003216451A (en
Inventor
正利 梅山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Signal Co Ltd
Original Assignee
Nippon Signal Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Signal Co Ltd filed Critical Nippon Signal Co Ltd
Priority to JP2002345132A priority Critical patent/JP3497855B2/en
Publication of JP2003216451A publication Critical patent/JP2003216451A/en
Application granted granted Critical
Publication of JP3497855B2 publication Critical patent/JP3497855B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Hardware Redundancy (AREA)
  • Logic Circuits (AREA)

Description

【発明の詳細な説明】Detailed Description of the Invention

【0001】[0001]

【発明の属する技術分野】本発明は、装置の信頼性を高
めるために設けられる、例えば電子連動装置等の2重系
装置に係り、特に、出力回路の故障検出ができるように
したものに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a dual system device, such as an electronic interlocking device, which is provided to enhance the reliability of the device, and more particularly to a device capable of detecting a failure of an output circuit.

【0002】[0002]

【従来の技術】従来から列車制御の分野では、装置の信
頼性を高めるために、装置を2重系にすることが一般的
に行われている。2. Description of the Related Art Conventionally, in the field of train control, in order to improve the reliability of the device, it is generally performed to make the device a double system.

【0003】従来の2重系の信号保安装置について説明
すると、主系装置(以下、主系という)と従系装置(以
下、従系という)は、完全独立状態に設けられていて、
各系ともデータ入力及び論理判断は独自に平行して行う
が、他装置、例えば信号機に対しては、主系のみの出力
によって制御するように構成されている。A conventional dual system signal security device will be described. A master system device (hereinafter referred to as a master system) and a slave system device (hereinafter referred to as a slave system) are provided in a completely independent state.
Although data input and logic judgment are independently performed in parallel in each system, other devices such as traffic signals are controlled by the output of only the main system.

【0004】主系の論理判断結果は、系間インターフェ
ースを介して従系に送られて従系の論理判断結果との一
致が図られ、従系は待機状態に保たれる。そして、主系
側に故障が発生したときは、従系が主系に代って他装置
を制御するように構成されている。The logic judgment result of the master system is sent to the slave system via the inter-system interface so as to match the logic judgment result of the slave system, and the slave system is kept in the standby state. Then, when a failure occurs on the master system side, the slave system is configured to control another device in place of the master system.

【0005】ところで、各系のマイクロプロセッサ(以
下、MPU)が所定のプログラムに従って演算処理して
論理判断を行うためには、入力ボードを介して入力した
データが正しくなければ正確な論理判断を行うことがで
きない。また、正確な論理判断が行われても出力ボード
の出力回路が故障していると、正確な出力信号が出力さ
れない事態となる。By the way, in order for the microprocessor (hereinafter referred to as MPU) of each system to perform arithmetic processing according to a predetermined program to make a logical decision, if the data input via the input board is not correct, an accurate logical decision is made. I can't. Further, even if an accurate logical judgment is made, if the output circuit of the output board is out of order, an accurate output signal will not be output.

【0006】もし、誤ったデータに基づいて論理判断を
行った場合、又は、誤った出力がなされた場合には、危
険な状態が起こる可能性がある。このため、信号保安装
置のように安全性の要求される装置は、その装置構成が
1重系又は2重系のいずれの場合も、入,出力回路の自
己診断が行われている。If a logical decision is made based on erroneous data, or if an erroneous output is made, a dangerous situation may occur. Therefore, in a device such as a signal security device that requires safety, the input / output circuit is self-diagnosed regardless of whether the device configuration is a single system or a dual system.

【0007】上述の自己診断としては、例えば図10に
示されるように、軌道リレーTRが付勢されているとき
に、そのリレー接点がN側に投入され、付勢されていな
いときにR側に戻る場合、N側の出力線及びR側の出力
線の信号の有無をチェックして行われる。As the above-mentioned self-diagnosis, for example, as shown in FIG. 10, when the track relay TR is energized, its relay contact is closed to the N side, and when it is not energized, the R side is inserted. When returning to step 1, the presence or absence of signals on the N-side output line and the R-side output line is checked.

【0008】すなわち、図10において、リレー接点が
N側に投入されていればN=論理値“1”(以下、論理
値を省略する),R=“0”、リレー接点がR側に戻っ
ていればN=“0”,R=“1”、リレー接点がN側と
R側の中間にある過渡状態ではN=“0”,R=“0”
なる信号になる。したがって、N側,R側の出力線にN
=“1”,R=“1”なる信号が同時に生じていたとす
れば、N側又はR側の入力回路が故障していると判定す
ることができる。That is, in FIG. 10, if the relay contact is closed on the N side, N = logical value "1" (hereinafter, the logical value will be omitted), R = "0", and the relay contact returns to the R side. If so, N = “0”, R = “1”, N = “0”, R = “0” in the transient state where the relay contact is between the N side and the R side.
It becomes a signal. Therefore, the N-side and R-side output lines have N
If signals "=" 1 "and R =" 1 "are generated at the same time, it can be determined that the input circuit on the N side or the R side is out of order.

【0009】図11は、さらに他の自己診断を示すもの
であって、照査パルス方式の自己診断回路が示されてい
る。FIG. 11 shows still another self-diagnosis, in which a verification pulse type self-diagnosis circuit is shown.

【0010】この照査パルス方式の自己診断回路は、照
査信号供給用のホトカプラPC0 に“0”の照査信号を
与えたときにホトカプラPC1 からは“0”の検出信号
が得られ、PC0 に“1”の照査信号を与えたときは接
点TRの状態に応じて、つまりN接点が構成時(列車な
しを意味する)はホトカプラPC1 からは“1”の信号
を、N接点が構成されていないとき(列車ありを意味す
る)は“0”が得られるように構成されている。In this verification pulse type self-diagnosis circuit, when a verification signal of "0" is given to the photocoupler PC0 for supplying a verification signal, a detection signal of "0" is obtained from the photocoupler PC1 and "1" is supplied to PC0. When the check signal of "" is given, the signal of "1" is output from the photocoupler PC1 depending on the state of the contact TR, that is, when the N contact is configured (meaning that there is no train), and when the N contact is not configured. (Meaning that there is a train) is configured so that "0" can be obtained.

【0011】ホトカプラPC1 からの検出信号“1”は
列車なしを意味することから、検出信号が“1”となる
故障は検出されなければならない。そのため、この照査
パルス方式の入力では、照査信号“0”を出力して、そ
の検出信号が“0”であることを確認(検出信号を
“1”とする故障が発生していないことを確認)した
後、照査信号“1”を出力して軌道リレーTRの状態を
得ることになる。Since the detection signal "1" from the photocoupler PC1 means that there is no train, a failure in which the detection signal becomes "1" must be detected. Therefore, with this verification pulse method input, a verification signal "0" is output and it is confirmed that the detection signal is "0" (confirm that there is no failure with the detection signal being "1"). After that, the verification signal “1” is output to obtain the state of the track relay TR.

【0012】[0012]

【発明が解決しようとする課題】しかしながら、上記図
10に示されるようなリレー接点の入力情報を用いた自
己診断の場合、1つの情報につきN接点とR接点と相反
する条件を入力する必要があるため、入力点数が多くな
り、ハード構成が大掛かりになる欠点がある。However, in the case of the self-diagnosis using the input information of the relay contact as shown in FIG. 10, it is necessary to input the condition in which the N contact and the R contact conflict with each other. Therefore, there is a drawback that the number of input points increases and the hardware configuration becomes large.

【0013】また、上記図11に示されるような照査パ
ルス方式の自己診断の場合は、安全側の故障(例えば、
列車が存在していないにもかかわらず、列車が存在して
いると判断し、他の列車を進入させないような故障。な
お、危険側の故障とは、列車が存在しているにもかかわ
らず、列車がいないと判断して、他の列車の進入を許す
ような故障をいう。)が診断できないという欠点があ
る。Further, in the case of the self-diagnosis of the verification pulse system as shown in FIG. 11, a failure on the safety side (for example,
A fault that prevents other trains from entering, judging that there is a train even though there is no train. The dangerous failure is a failure that allows the entry of other trains by deciding that there is no train despite the existence of the train. ) Has the drawback that it cannot be diagnosed.

【0014】上記図11を用いて、さらに説明すると、
ホトカプラPC0 に照査信号“0”を与えたときにホト
カプラPC1 の検出信号“1”が得られた場合、故障発
生と判断できるが、照査信号“0”のときにホトカプラ
PC1 の検出信号“0”が得られた場合は正常と判断し
てしまう。例えばPC1 のホトトランジスタ側がオープ
ン故障した場合を考えると、照査信号“0”で検出信号
は“0”を、また照査信号“1”で検出信号は“0”と
なることから、回路正常時の“列車あり”と同じ結果と
なる。なお、この故障が発生している状態では“列車あ
り”となることから、危険側に作用することはないが、
装置を2重系に構成する場合、安全側故障であっても故
障を確実に検出し、故障箇所を装置から切離しできなけ
れば、その故障が装置に影響を与えるため、2重系に構
成する意味がなくなってしまう。A further explanation will be given with reference to FIG.
If the detection signal "1" of the photocoupler PC1 is obtained when the verification signal "0" is given to the photocoupler PC0, it can be judged that a failure has occurred, but when the verification signal "0" is detected signal "0" of the photocoupler PC1. If is obtained, it is determined to be normal. For example, considering a case where the phototransistor side of PC1 has an open failure, the detection signal is "0" when the verification signal is "0", and the detection signal is "0" when the verification signal is "1". Same result as "with train". In addition, since there is a train in this faulty state, it does not affect the dangerous side,
When a device is configured in a dual system, even if it is a safety-side failure, the failure is reliably detected, and if the failure location cannot be isolated from the device, the failure affects the device, so the system is configured in a dual system. It makes no sense.

【0015】このように、上記照査信号方式の自己診断
においては、安全側故障を検出できない欠点があった。
装置を1重系に構成する場合、この安全側故障は放置さ
れても問題とはならないが、2重系に構成する場合、上
記理由から、安全側故障をも検出する必要がある。その
ためには、図10と同様、N接点とR接点を入力しなけ
ればならず、2重系構成では1重系構成に比べて4倍の
入力回路となってしまう。As described above, the self-diagnosis using the verification signal method has a drawback in that the safety failure cannot be detected.
When the device is configured in a single system, this safety side failure does not pose a problem even if it is left unattended, but in the case of a double system, the safety side failure must be detected for the above reason. For that purpose, it is necessary to input the N contact and the R contact as in the case of FIG. 10, and the number of input circuits in the double system configuration is four times that in the single system configuration.

【0016】そこで、本発明は、上記欠点を解決するた
めになされたものであって、その目的は、2重系の出力
回路を簡単な構成(上記図10のようなN接点とR接点
ともに入力するのでなくN接点のみを入力する)で、し
かも安全側の故障をも適確に検出することのできる2重
系装置を提供することにある。Therefore, the present invention has been made to solve the above-mentioned drawbacks, and its purpose is to provide a dual output circuit with a simple structure (both the N contact and the R contact as shown in FIG. 10). It is an object of the present invention to provide a dual system device capable of accurately detecting a failure on the safety side by inputting only N contacts instead of inputting).

【0017】[0017]

【課題を解決するための手段】本発明に係る2重系装置
は、上記目的を達成するために、主系及び従系にそれぞ
れ共通の所定のプログラムで動作するMPUを備えた2
重系装置において、前記各系のMPUの動作の同期化を
行う同期化手段と、前記各系のシステムバス間に設けら
れ、その各系間のデータの授受を行う系間インターフェ
ース手段と、前記各系のシステムバスにそれぞれ接続さ
れ、かつそれぞれの出力回路の出力側が他装置とワイヤ
ードオアに接続された出力手段と、前記各出力回路のそ
れぞれの出力状態を検知するセンサと、他装置への駆動
出力が行われているときに、前記いずれか一方の出力回
路の出力をソフトウェアカウンタ(ソフトカウンタ)を
用いて交互に所定時間停止させる停止手段と、その停止
手段が停止している出力回路に係る前記センサの出力デ
ータが“1”のときに、又はその停止手段の停止してい
ない出力回路に係るそのセンサの出力データが“0”の
ときに、その出力回路に故障が発生したと診断する出力
回路診断手段とを有することを特徴としている。In order to achieve the above object, a dual system device according to the present invention is provided with an MPU that operates with a predetermined program common to both the master system and the slave system.
In the heavy system device, a synchronization means for synchronizing the operation of the MPU of each system, an intersystem interface means provided between the system buses of the respective systems and for exchanging data between the systems, and Output means connected to the system bus of each system, and the output side of each output circuit is connected to another device and the wired OR, a sensor for detecting the output state of each output circuit, and to another device. When drive output is being performed, a stop means for alternately stopping the output of one of the output circuits by using a software counter (soft counter) for a predetermined time, and an output circuit in which the stop means is stopped When the output data of the sensor is “1”, or when the output data of the sensor related to the output circuit of the stop means that is not stopped is “0”, the output It is characterized by an output circuit diagnosis means for diagnosing a failure in road occurs.

【0018】そして、前記出力回路診断手段は、前記他
装置への駆動出力が行われていないときに、所定時間毎
に検出したセンサの出力データが“1”のとき、又はソ
フトカウンタを用いていずれか一方の出力回路のみに駆
動出力を与えそのセンサの出力データが“0”のとき、
そのセンサに係る出力回路に故障が発生したと診断する
ことを特徴としている。The output circuit diagnosing means uses a soft counter when the output data of the sensor detected at a predetermined time is "1" when the drive output to the other device is not performed. When the drive output is given to only one of the output circuits and the output data of the sensor is “0”,
It is characterized by diagnosing that a failure has occurred in the output circuit related to the sensor.

【0019】[0019]

【発明の実施の形態】以下、本発明の実施例を図面に基
づいて説明する。図1は、鉄道用の信号機を駆動制御す
る負荷リレーRを他装置とするときの一実施例装置の概
略構成を示すブロック図であって、入力信号として軌道
回路(図示せず)の軌道リレーTRの接点信号が用いら
れている。また、負荷リレーRを駆動するための出力ラ
インには、各系の出力を切離すための切離リレーCT
a,CTbの接点がそれぞれ設けられている。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a block diagram showing a schematic configuration of an embodiment of a device in which a load relay R for driving and controlling a traffic signal for a railway is used as another device, and a track relay of a track circuit (not shown) as an input signal. The contact signal of TR is used. Further, the output line for driving the load relay R has a disconnection relay CT for disconnecting the output of each system.
Contact points a and CTb are provided respectively.

【0020】主系a及び従系bは、それぞれシステムバ
スBa,Bbに複数のCPUを含んで構成されているM
PUボードMa,Mb、入力ボードEa,Eb及び出力
ボードOa,Obを接続して構成されている。そして、
両システムバスBa,Bbは系間インターフェースi
a,ibで接続されていて、互いにデータ授受が行われ
るように構成されている。なお、主系a又は従系bは説
明の都合上、a系又はb系のように説明するときもあ
る。Each of the main system a and the sub system b is a system bus Ba, Bb including a plurality of CPUs.
It is configured by connecting the PU boards Ma and Mb, the input boards Ea and Eb, and the output boards Oa and Ob. And
Both system buses Ba and Bb are inter-system interfaces i
They are connected by a and ib, and are configured to exchange data with each other. Note that the main system a or the sub system b may be described as an a system or a b system for convenience of description.

【0021】各入力ボードEa,Ebには、軌道リレー
TRの接点信号を入力する入力回路TR´a,TR´bが
それぞれ含まれているとともに、各出力ボードOa,O
bには、スイッチ素子Sa,Sb及び電流計からなるセ
ンサAa,Abを含んで形成される出力回路Oa′,O
b′がそれぞれ設けられている。なお、他装置としての
負荷リレーRは、ワイヤードオアで各出力ボードOa,
Obと接続されているので、従来の2重系のように系切
替時に瞬間遮断を起こすおそれがない特長がある。Each input board Ea, Eb includes an input circuit TR'a, TR'b for inputting a contact signal of the track relay TR, and each output board Oa, Ob.
b is an output circuit Oa ′, O formed by including sensors Aa, Ab composed of switch elements Sa, Sb and an ammeter.
b'are provided respectively. The load relay R as another device is a wired OR, and each output board Oa,
Since it is connected to Ob, it has a feature that there is no possibility of instantaneous interruption during system switching unlike the conventional double system.

【0022】図1中、a′,b′は、両MPUボードM
a,Mbを接続する信号線であって、両MPUの同期化
を図るための後述するステータス信号を送受信する際に
用いられる。In FIG. 1, a 'and b'are both MPU boards M.
It is a signal line connecting a and Mb, and is used when transmitting and receiving a status signal, which will be described later, for synchronizing both MPUs.

【0023】なお、本発明では、主系,従系の表現を用
いているが、本発明の各系は従来の2重系のように主従
の関係はなく、後述するように、他装置(信号機)を各
系が同列で制御するようにしている。したがって、本発
明における主系,従系は、説明の便宜のために用いられ
ている。In the present invention, the expressions of the master system and the slave system are used. However, each system of the present invention has no master-slave relationship like the conventional double system, and as described later, other devices ( Each system controls the traffic light) in the same line. Therefore, the main system and the sub system in the present invention are used for convenience of explanation.

【0024】また、図1中には、入,出力ボードEa,
Eb、Oa,Obは各システムバスB1 ,B2 にそれぞ
れ1個しか接続されていないが、これは図面を簡略化す
るためであって、各ボードは複数個接続されていてもよ
いことはもちろんであり、さらに入出力ボードが接続さ
れていてもよい。Further, in FIG. 1, input / output boards Ea,
Only one Eb, Oa, Ob is connected to each system bus B1, B2, but this is for the purpose of simplifying the drawing, and it goes without saying that a plurality of boards may be connected. Yes, and an I / O board may be connected.

【0025】図2は、各MPUボードMa,Mbの詳細
ブロック図であって、両ボードMa,Mbは、それぞれ
水晶発振子から構成される基本クロック1a,1bで駆
動されるMPU2a,2bを有している。なお、各MP
U2a,2bは、図示しないインターフェースを介して
各システムバスBa,Bbにそれぞれ接続されている。FIG. 2 is a detailed block diagram of each MPU board Ma, Mb. Both boards Ma, Mb have MPUs 2a, 2b driven by basic clocks 1a, 1b composed of crystal oscillators, respectively. is doing. In addition, each MP
U2a and 2b are respectively connected to the system buses Ba and Bb via an interface (not shown).

【0026】各MPUボードMa,Mbは、それぞれ所
定の一定時間毎に所定時間のステータス信号を発生させ
る定周期タイマ3a,3bと、そのステータス信号を他
系へ出力するための出力バッファ6a,6b及び他系か
らステータス信号を入力するための入力バッファ7a,
7bと、定周期タイマ3a,3bを監視するための基本
クロック4a′,4b′をそれぞれ有する監視タイマ4
a,4bとを有している。なお、上記ステータス信号は
デュティ50%の信号で、その立ち上がり変化時、MP
UボードMa,Mbに定周期タイマ割込を発生させるよ
うに構成されている。Each MPU board Ma, Mb has a fixed period timer 3a, 3b for generating a status signal for a predetermined time at each predetermined time, and output buffers 6a, 6b for outputting the status signal to another system. And an input buffer 7a for inputting a status signal from another system,
7b and a monitor timer 4 having basic clocks 4a 'and 4b' for monitoring the fixed period timers 3a and 3b, respectively.
a and 4b. The status signal is a signal with a duty of 50%, and when the rising edge changes, MP
The U-boards Ma and Mb are configured to generate a fixed-cycle timer interrupt.

【0027】各MPUボードMa,Mbにそれぞれ設け
られたカウンタ5a,5bは、自系(ここでは主系aを
自系としている。なお、以後の()は従系bを自系とし
たときを示している。)の定周期タイマ3a(3b)の
出力信号(ステータス信号(図2の()参照))
と、他系の定周期タイマ3b(3a)の出力信号(ステ
ータス信号(図2の()参照))を出力バッファ6
b(6a)を介して入力とするアンド回路8a(8b)
の出力信号とで駆動されるように構成されている。ま
た、各カウンタ5a,5bは、自系のMPU2a(2
b)からカウント値の書込み又は読出しができるように
構成されている。The counters 5a and 5b provided on the respective MPU boards Ma and Mb are self-systems (here, the master system a is the self-system. Note that the following () indicates when the slave system b is the self-system. The output signal of the fixed-cycle timer 3a (3b) (status signal (see () in FIG. 2))
And the output signal (status signal (see () of FIG. 2)) of the fixed cycle timer 3b (3a) of the other system.
AND circuit 8a (8b) that receives an input via b (6a)
It is configured to be driven with the output signal of. The counters 5a and 5b have their own MPU 2a (2
The count value can be written or read from b).

【0028】次に、図3のフローチャート及び図4のタ
イムチャートを用いて同期化制御動作について説明す
る。Next, the synchronization control operation will be described with reference to the flowchart of FIG. 3 and the time chart of FIG.

【0029】今、図示しない2重系装置の電源がONさ
れ、入,出力・内部補助リレー等がクリアされ、また全
タイマがプリセットされるなどの所定のイニシャル処理
がなされて、2重系が立ち上げられて稼動しているもの
とする(図3のステップ100。以下、ステップをSと
する。)。この稼動に際して、従系bは、主系aのステ
ータス信号のL(ロー)からH(ハイ)に変化したこと
を以て、主系aは、自系が主系に選択されたことを以
て、定周期タイマ3a,3b、監視タイマ4a,4b、
カウンタ5a,5bが設定される(図3のS102、S
104、S106。図4の(イ)参照。)。したがっ
て、この時点においては、両系a,bは完全周期が図ら
れている。Now, the power of a dual system (not shown) is turned on, the input / output / internal auxiliary relays, etc. are cleared, and predetermined initial processing such as presetting of all timers is performed, and the dual system is switched on. It is assumed that it has been started up and is in operation (step 100 in FIG. 3, hereinafter referred to as step S). During this operation, the slave system b changes from L (low) to H (high) of the status signal of the master system a, and the master system a selects the master system as the master system. Timers 3a, 3b, monitoring timers 4a, 4b,
The counters 5a and 5b are set (S102 and S in FIG. 3).
104, S106. See (a) of FIG. ). Therefore, at this time point, both systems a and b have a perfect cycle.

【0030】運転を継続していると、両系a,bの基本
クロック1a,1bの誤差から、各系a,bの定周期タ
イマ3a,3bからのステータス信号の同期状態にズレ
が生じてくる。例えば、基本クロック1a,1bが10
MHzの場合、通常、100Hz程度の誤差があるの
で、上述のズレが発生する。なお、このズレは数100
μs程度であれば装置運転上問題がないので許容される
(図4のt0 参照)。When the operation is continued, due to the error of the basic clocks 1a and 1b of the two systems a and b, the synchronization state of the status signals from the constant period timers 3a and 3b of the respective systems a and b is deviated. come. For example, the basic clocks 1a and 1b are 10
In the case of MHz, there is usually an error of about 100 Hz, so the above-mentioned deviation occurs. In addition, this deviation is several hundred
If it is on the order of μs, there is no problem in the operation of the device, so that it is acceptable (see t0 in FIG. 4).

【0031】このズレが大きくなると、系a,bの同期
状態が失われるので、このズレが例えば100μs以上
になったときに、従系bの定周期タイマ3b及び監視タ
イマ4bを主系aの定周期タイマ3a及び監視タイマ4
aに一致させる同期化処理が行われる。When this deviation becomes large, the synchronization state of the systems a and b is lost. Therefore, when the deviation becomes, for example, 100 μs or more, the fixed period timer 3b and the monitoring timer 4b of the slave system b are set to the main system a. Fixed-cycle timer 3a and monitoring timer 4
A synchronization process for matching with a is performed.

【0032】以下、この同期化処理について説明する。The synchronization process will be described below.

【0033】2重系a,bが運転を継続しているとき、
従系bのカウンタ5bは、自系(従系b)の定周期タイ
マ3bからのステータス信号(図2の参照)と他系
(主系a)からのステータス信号(図2の参照)が共
にHのときカウントを行う。したがって、2つの系のス
テータス信号が完全に一致しているとき、カウント値N
は、N=1/2×T(T:1周期の時間)となる。ま
た、2つのステータス信号にズレが生じた場合、カウン
ト値Nは、N=1/2×(T−t1 )(t1 :ズレの時
間)となる。ここで2つのステータス信号のズレの許容
時間をt0 とすれば、今、カウント値Nが、N=1/2
×(T−t1 )≧(1/2)×T−t0 なら、ズレが許
容時間内であるため、従系は自系の定周期タイマ3b及
び監視タイマ4bの再設定は行わず、そのまま運転が継
続される(図3のS110、S112肯定、S114肯
定、S120。図4の(ロ)参照。)。When the dual systems a and b continue to operate,
The counter 5b of the slave system b receives both the status signal (see FIG. 2) from the fixed cycle timer 3b of the self system (slave system b) and the status signal (see FIG. 2) from the other system (master system a). When H, counts. Therefore, when the status signals of the two systems completely match, the count value N
Is N = 1/2 × T (T: time of one cycle). Further, when the two status signals are deviated, the count value N becomes N = 1/2 × (T-t1) (t1: deviation time). Assuming that the time allowed for deviation between the two status signals is t0, the count value N is now N = 1/2.
If × (T-t1) ≧ (1/2) × T-t0, the deviation is within the allowable time, so the subordinate system does not reset the fixed cycle timer 3b and the monitoring timer 4b of its own system, and operates as it is. Is continued (S110, S112 affirmative, S114 affirmative, S120 in FIG. 3; see (B) in FIG. 4).

【0034】ところが、カウンタ5bのカウント値がN
=1/2×(T−t1 )<1/2×(T−t0 )となっ
たとき(S114否定。図4の(ハ)参照。)は、許容
時間を越えたズレが生じたことを意味するので、主系a
の定周期タイマ3aのステータス信号(図2の参照)
がHからLに変化したことを以て、従系は自系の定周期
タイマ3b及び監視タイマ4bの再設定を行う。その結
果、両系a,bの定周期タイマ割込の同期化が行われる
(図3のS116、S118。図4の(ニ)参照。)。However, the count value of the counter 5b is N
= 1/2 x (T-t1) <1/2 x (T-t0) (No in S114; see (c) in Fig. 4), it is determined that a deviation exceeding the allowable time has occurred. Because it means the main system a
Status signal of the fixed cycle timer 3a (see FIG. 2)
Is changed from H to L, the subordinate system resets the fixed period timer 3b and the monitoring timer 4b of its own system. As a result, the fixed-cycle timer interrupts of both systems a and b are synchronized (S116 and S118 in FIG. 3; see (D) in FIG. 4).

【0035】以上にように、本実施例装置は、両系a,
bのステータス信号に所定以上のズレが生じたときに、
従系bの定周期タイマ3b及び監視タイマ4bを主系a
の定周期タイマ3a及び監視タイマ4aに合わせるよう
にしたので、両系a,bは、常時、同期状態を維持する
ことが可能となる。As described above, the apparatus of this embodiment is compatible with both systems a,
When the status signal of b has deviated more than a predetermined amount,
The fixed cycle timer 3b and the monitoring timer 4b of the slave system b are connected to the master system a.
Since the constant period timer 3a and the monitoring timer 4a are matched with each other, both systems a and b can always maintain the synchronized state.

【0036】次に、図5のタイムチャート及び図6のフ
ローチャートを用いて本実施例装置の入力回路TR´
a,TR´bの制御動作を説明する。外部条件の入力処理
は定周期割込で起動される。この定周期割込は、上記同
期化手段によって同期化されるため、2つの系a,bは
同時に入力処理が起動される。したがって、照査信号、
読取タイミング信号は両系同時に出力される(図5
(c),(d))。また、各系が照査出力“0”と
“1”で読取られたデータ(S200、S300)は、
系間インターフェースia,ibを介して相互に交換さ
れる(S202〜S206、S302〜S306)。入
力回路の制御動作は、1周期内に照査信号が“0”のと
きの入力回路の危険側故障診断(診断モード)と、照査
信号が“1”のときの外部条件入力(入力モード)とを
一対として定周期に行われる(図5(c),(d)参
照)。Next, referring to the time chart of FIG. 5 and the flow chart of FIG. 6, the input circuit TR 'of the apparatus of this embodiment is shown.
The control operation of a and TR'b will be described. The external condition input process is activated by a periodic interrupt. Since this fixed-cycle interrupt is synchronized by the synchronizing means, the input processing is activated for the two systems a and b at the same time. Therefore, the verification signal,
The read timing signal is output simultaneously for both systems (Fig. 5).
(C), (d)). In addition, the data (S200, S300) read by each system with the verification outputs “0” and “1” are
They are mutually exchanged via the intersystem interfaces ia and ib (S202 to S206, S302 to S306). The control operation of the input circuit includes the dangerous failure diagnosis of the input circuit (diagnosis mode) when the verification signal is "0" and the external condition input (input mode) when the verification signal is "1" within one cycle. Are performed at regular intervals as a pair (see FIGS. 5C and 5D).

【0037】入力制御動作は、入力回路TR´a,TR
´bに対して、図5(c)に示されるような、“0”,
“1”と交互に変化する照査信号が両MPUボードM
a,Mbから送出される。照査信号は、軌道リレーTR
のON(動作)又はOFF(復旧)時に少なくとも1回
以上“0”,“1”が実施できるよう入力処理周期が決
定される(図4(a),(b)参照)。なお、軌道リレ
ーTRのONは、その軌道リレーTRに係るレール上に
“列車なし”を意味し、軌道リレーTRのOFFは、そ
のレール上に“列車あり”を意味している。The input control operation is performed by the input circuits TR'a, TR.
′ B, as shown in FIG. 5 (c), “0”,
The verification signal that alternates with "1" is displayed on both MPU boards M.
a, Mb. The check signal is the track relay TR
The input processing cycle is determined so that “0” and “1” can be performed at least once at the time of ON (operation) or OFF (restoration) (see FIGS. 4A and 4B). Note that ON of the track relay TR means "no train" on the rail related to the track relay TR, and OFF of the track relay TR means "with train" on the rail.

【0038】各入力回路TR´a,TR´bに照査信号が
送出されたときの入力回路TR´a,TR´bからの出力
信号は、再び両MPUボードMa,Mbに読取られる。
MPUボードMa,Mbは、その出力信号を読取った
後、図5(d)に示されるように、反転した照査信号を
出力して次の読取りに備える。各MPUボードMa,M
bは、自系の入力回路(MaならTR´a、MbならT
R´b)から読取ったデータから列車の有無及び入力回
路の故障判定が行われる(S206、S306)。Output signals from the input circuits TR'a, TR'b when the check signals are sent to the respective input circuits TR'a, TR'b are read again by both MPU boards Ma, Mb.
After reading the output signals, the MPU boards Ma and Mb output inverted verification signals as shown in FIG. 5D to prepare for the next reading. Each MPU board Ma, M
b is the input circuit of its own system (TR'a for Ma, T for Mb
The presence / absence of a train and the failure determination of the input circuit are determined from the data read from R'b) (S206, S306).

【0039】次に、列車の有無及び入力の故障判定につ
いて、ここでは主系aに故障が発生した場合について説
明する。Next, the presence / absence of a train and the failure determination of the input will be described here in the case where a failure occurs in the main system a.

【0040】図5のは、“列車なし”のとき、両系
a,bの入力回路TR´a,TR´bがともに正常なケー
スであり、図5のは、“列車あり”のとき、両系a,
bの入力回路TR´a,TR´bがともに正常なケースで
ある。このときは、両系a,bの入力回路TR´a,T
R´bからの読取データは、照査モード及び入力モード
でともに一致しているので、図5のでは、“列車なし
で自系入力回路TR´a,TR´b正常”と判定する。図
5のでは、“列車ありで入力回路TR´a,TR´b正
常”と判定する。FIG. 5 shows a case in which both input circuits TR'a and TR'b of both systems a and b are normal when "no train", and FIG. Both systems a,
This is a case where both the input circuits TR'a and TR'b of b are normal. At this time, the input circuits TR'a, T of both systems a, b
Since the read data from R'b are the same in both the checking mode and the input mode, it is determined in FIG. 5 that "the system input circuits TR'a and TR'b are normal without train". In FIG. 5, it is determined that "there are trains and the input circuits TR'a and TR'b are normal".

【0041】図5のは、“列車なし”のとき、主系a
に安全側の故障が発生したケースである。この場合、主
系aでは入力モードでデータ“0”となり、2つの系の
入力回路TR´a,TR´bからの読取データに不一致が
生じる。このときは、自系の読取データが(照査モー
ド、入力モード)=(0、0)で、他系の読取データが
(照査モード、入力モード)=(0、1)なら、“列車
なしで自系入力回路TR´a安全側故障”と判定する。
また、自系の読取データが(照査モード、入力モード)
=(0、1)で、他系の読取データが(照査モード、入
力モード)=(0、0)なら、“列車なしで他系入力回
路TR´b安全側故障”と判定する。その判定理由は、
ともに照査モードでデータが“0”であることから、入
力回路に危険側故障がないことが保障されるからであ
る。FIG. 5 shows the main system a when "without train"
This is a case where a safety failure has occurred. In this case, in the main system a, the data becomes "0" in the input mode, and the read data from the input circuits TR'a and TR'b of the two systems do not match. At this time, if the read data of the own system is (checking mode, input mode) = (0, 0) and the read data of the other system is (checking mode, input mode) = (0, 1), "without train It is determined that the own system input circuit TR'a is on the safe side.
Also, the read data of your own system (check mode, input mode)
= (0,1) and the read data of the other system is (checking mode, input mode) = (0,0), it is determined as "other system input circuit TR'b safety side failure without train". The reason for that decision is
This is because the data is "0" in the verification mode, and it is guaranteed that the input circuit has no dangerous side failure.

【0042】図5のは、“列車なし”のとき、主系a
に危険側の故障が発生したケースであり、図5のは、
“列車あり”のとき、主系aに危険側の故障が発生した
ケースである。照査モードでは、回路構成上、データ
“0”でなければならないにもかかわらず、“1”であ
ることから、入力回路に危険側故障が発生していること
を意味する。したがって、図5のでは、主系aは従系
bの入力データを採用し、“列車なしで自系入力回路T
R´a危険側故障”と判定する。また、従系bは、“列
車なしで自系入力回路TR´b正常”と判定する。図5
のでは、主系aは従系bの入力データを採用し、“列
車ありで自系入力回路TR´b危険側故障”と判定す
る。また、従系bは、“列車ありで自系入力回路TR´
b正常”と判定する。FIG. 5 shows the main system a when there is no train.
This is a case in which a dangerous failure has occurred.
This is a case where a dangerous failure occurs in the main system a when "with train". In the checking mode, the data is "0" in the circuit configuration, but it is "1", which means that a dangerous failure has occurred in the input circuit. Therefore, in FIG. 5, the master system a adopts the input data of the slave system b, and the "self system input circuit T without train" is used.
R'a dangerous side failure "is determined, and the slave b is determined to be" normal system input circuit TR'b normal without train ".
Then, the master system a adopts the input data of the slave system b, and determines that “there is a train-side input circuit TR′b dangerous side failure with train”. In addition, the subordinate system “b” is “an own system input circuit TR ′ with a train.
b Normal ”.

【0043】このように、故障が発見された入力ボード
Ea(又はEb)は、系から外され、正常な入力ボード
Eb(又はEa)によって運転が継続される。そして、
この故障発生の旨が係員に通知される。上述の説明は、
主系aに故障が発生した場合であるが、従系bに故障が
発生した場合も同様に判定される。すなわち、図5の
(e)と(f)を置換えた場合がこれに相当する。In this way, the input board Ea (or Eb) in which a failure is found is removed from the system, and the operation is continued by the normal input board Eb (or Ea). And
The person in charge is notified of the occurrence of this failure. The above description
This is the case where a failure occurs in the main system a, but the same determination is made when a failure occurs in the slave system b. That is, this corresponds to the case where (e) and (f) in FIG. 5 are replaced.

【0044】以上のように、入力回路TR´a,TR´b
の故障検出は、両MPUボードMa,Mbが同期して運
転され、さらに両系a,bが結合されているので、それ
ぞれが、例えば軌道リレーTR入力の場合、動作接点を
入力するだけで、危険側の故障だけでなく、安全側の故
障をも検出することができる。このことは、従来、安全
側の故障を検出するため、動作接点と復旧接点を入力し
ていたのに比べ、入力回路を半分にすることができる。As described above, the input circuits TR'a, TR'b
In the failure detection of, since both MPU boards Ma and Mb are operated in synchronization and both systems a and b are connected, if each is, for example, an orbital relay TR input, simply input an operating contact, Not only dangerous failures but also safety failures can be detected. This means that the input circuit can be halved in comparison with the case where the operation contact and the recovery contact are conventionally input because the failure on the safety side is detected.

【0045】次に、図7のタイムチャートを用いて出力
回路Oa′,Ob′の自己診断動作について説明する。Next, the self-diagnosis operation of the output circuits Oa 'and Ob' will be described with reference to the time chart of FIG.

【0046】出力回路Oa′,Ob′の自己診断につい
て説明する前に、出力回路Oa′,Ob′の負荷リレー
Rの駆動制御について説明すると、両出力回路Oa′,
Ob′は、同期化処理されている両MPUボードMa,
Mbによって負荷リレーRを同時にON又はOFFする
ように制御される。Before explaining the self-diagnosis of the output circuits Oa 'and Ob', the drive control of the load relay R of the output circuits Oa 'and Ob' will be explained.
Ob 'indicates both MPU boards Ma, which are synchronized.
The load relay R is controlled to be turned on or off at the same time by Mb.

【0047】ところで、負荷リレーRをON制御する場
合について考察してみると、いずれか一方の系a(又は
系b)の出力回路Oa′(又はOb′)がオープン故障
していても、他方の系b(又は系a)の出力回路Ob′
によって負荷リレーRがONされるため、負荷リレーR
のON,OFFを検出するだけでは、両出力回路O
a′,Ob′の故障を検出することができない。また、
スイッチ素子Sa,Sbの特性のバラツキや、わずかな
ON制御タイミングのズレによって、両出力回路O
a′,Ob′を流れる電流が1:1になることは必ずし
も期待できず、一方の入力回路Oa′(又はOb′)が
多くの負荷電流を背負ってしまい、他方の出力回路O
b′(又はOa′)には、わずかな電流しか流れないこ
とが発生する。したがって、わずかな電流しか流れない
出力回路の方は、オープン故障と誤検知されてしまう可
能性がある。Now, considering the case where the load relay R is ON-controlled, even if the output circuit Oa '(or Ob') of either one of the system a (or system b) is open-circuited, the other Output circuit Ob 'of system b (or system a) of
Since the load relay R is turned on by the
Both output circuits O
The failure of a'and Ob 'cannot be detected. Also,
Due to variations in the characteristics of the switch elements Sa and Sb and slight deviations in the ON control timing, both output circuits O
It cannot always be expected that the current flowing through a ', Ob' will be 1: 1 and one of the input circuits Oa '(or Ob') bears a large load current and the other output circuit O '.
It occurs that only a small current flows through b '(or Oa'). Therefore, there is a possibility that an output circuit that only flows a small amount of current may be erroneously detected as an open failure.

【0048】そこで、本実施例装置においては、図7に
示されるように、負荷リレーRがON制御時は、一方の
出力回路Ob′(又はOa′)を強制的にOFF状態に
保ち、この状態で各出力回路Oa′,Ob′の状態を監
視することにより診断するようにしている。負荷リレー
RのON制御時に強制的にOFFするタイミングは、両
MPUボードMa,Mbに設けられた図示しないソフト
カウンタ値によって決められる。ソフトカウンタは、両
系a,bの同期した定周期タイマ割込にて更新され、例
えば0から7のサイクリックカウンタで構成される。Therefore, in the apparatus of this embodiment, as shown in FIG. 7, when the load relay R is ON-controlled, one of the output circuits Ob '(or Oa') is forcibly kept in the OFF state. In this state, the state of each output circuit Oa ', Ob' is monitored to make a diagnosis. The timing at which the load relay R is forcibly turned off during ON control is determined by a not-shown soft counter value provided on both MPU boards Ma and Mb. The soft counter is updated by a synchronized fixed cycle timer interrupt of both systems a and b, and is composed of, for example, a cyclic counter of 0 to 7.

【0049】すなわち、両系の出力回路Oa′,Ob′
がともにOFFとならないタイミングで、例えば主系a
はソフトカウンタが1のときに、従系bはソフトカウン
タが5のときに強制的にOFFとなるように制御される
(図7(d),(e)参照)。そして、いずれか一方の
出力回路Oa′(又はOb′)がOFFの時に、各出力
回路Oa′,Ob′のセンサAa,Abの状態を読取っ
て、つまり、負荷リレーRの駆動電流が流れているとき
は“1”、その電流が流れていないときは“0”を検出
して出力回路Oa′,Ob′の自己診断が行われる。ま
た、強制的にOFFした状態は、センサAa,Abの出
力を読出した後、直ちに正規な状態に戻す制御が行われ
る。That is, the output circuits Oa 'and Ob' of both systems.
At the timing when both are not turned off, for example, main system a
Is controlled so that when the soft counter is 1, the slave system b is forcibly turned off when the soft counter is 5 (see FIGS. 7D and 7E). When one of the output circuits Oa '(or Ob') is OFF, the state of the sensor Aa, Ab of each output circuit Oa ', Ob' is read, that is, the drive current of the load relay R flows. When it is present, "1" is detected, and when the current is not flowing, "0" is detected, and the output circuits Oa 'and Ob' are self-diagnosed. In the forcibly turned-off state, the output of the sensors Aa and Ab is read out, and then the control is immediately returned to the normal state.

【0050】負荷リレーRのON制御時、出力回路O
a′,Ob′及びセンサAa,Abがすべて正常である
ときは、強制的にOFFした出力回路Oa′(又はO
b′)のセンサAa(又はAb)の出力データは“0”
に、また、一方のセンサAb(又はAa)の出力は
“1”となるはずである(図8の参照)。During ON control of the load relay R, the output circuit O
When a ', Ob' and the sensors Aa, Ab are all normal, the output circuit Oa '(or O
The output data of the sensor Aa (or Ab) of b ') is "0".
In addition, the output of one sensor Ab (or Aa) should be "1" (see FIG. 8).

【0051】これに対し、出力回路Oa′のスイッチ素
子Saがオープン故障しているときは、ソフトカウンタ
値が5のときセンサ出力が“0”となり(図8の参
照)、また、センサAaの出力が“0”側に故障してい
るときもセンサ出力が“0”となり(図8の参照)、
故障を検出することができる。そして、センサAaの出
力が“1”に故障した場合、ソフトカウンタ値が1でセ
ンサAaの出力が“1”となることから検出することが
できる(図8の参照)。また、出力回路Oa′のスイ
ッチ素子Saがショート故障の場合、出力回路Oa′と
Ob′がともにONとなることから、2つのセンサA
a,Abの出力は(1、0)、(0、1)、(1、1)
の3つの組合わせのいずれかが現れる。このうち組合わ
せ(1、0)と(1、1)は、直ちに故障と判定できる
が、(0、1)は正常時と同じ結果のため故障と判定で
きず、後述する負荷リレーRのOFF時の診断で検出す
ることになる。On the other hand, when the switch element Sa of the output circuit Oa 'has an open circuit failure, the sensor output becomes "0" when the soft counter value is 5 (see FIG. 8), and the sensor Aa has the same output. The sensor output becomes "0" even when the output has a failure on the "0" side (see FIG. 8),
A failure can be detected. Then, when the output of the sensor Aa fails to "1", it can be detected because the soft counter value is 1 and the output of the sensor Aa becomes "1" (see FIG. 8). Further, when the switch element Sa of the output circuit Oa 'is short-circuited, both the output circuits Oa' and Ob 'are turned on.
The outputs of a and Ab are (1, 0), (0, 1), (1, 1)
One of the three combinations will appear. Of these combinations, the combinations (1, 0) and (1, 1) can be immediately determined to be faulty, but (0, 1) cannot be determined to be faulty due to the same result as in the normal state, and the load relay R to be described later is turned off. It will be detected by the time diagnosis.

【0052】次に、負荷リレーRのOFF制御時の出力
回路Oa′とOb′の自己診断について説明する。Next, the self-diagnosis of the output circuits Oa 'and Ob' during the OFF control of the load relay R will be described.

【0053】図7(a)に示されるように、負荷リレー
RがOFF制御時は、所定時間毎にセンサAa,Abの
出力データを読出し、いずれかのセンサAa(又はA
b)が“1”を示すときは、そのセンサAa(又はA
b)に係わる出力回路Oa′のスイッチ素子Sa(又は
Ob′のスイッチ素子Sb)にショート故障、又はセン
サAa(又はAb)に出力を“1”とする故障が発生し
たと判定する。なお、前記のON制御時にスイッチ素子
Saがショート故障を起こしているにもかかわらず、セ
ンサAa,Abの出力が(0、1)となるときでも、負
荷リレーRの制御をONからOFFに切替えたとき検出
することができる(図9の参照)。As shown in FIG. 7A, when the load relay R is OFF-controlled, the output data of the sensors Aa and Ab are read out every predetermined time, and either sensor Aa (or A
When b) indicates "1", the sensor Aa (or A
It is determined that a short circuit failure has occurred in the switch element Sa (or the switch element Sb of Ob ') of the output circuit Oa ′ related to b) or a failure in which the output is “1” has occurred in the sensor Aa (or Ab). Even when the outputs of the sensors Aa and Ab are (0, 1) despite the short-circuit failure of the switch element Sa during the ON control, the control of the load relay R is switched from ON to OFF. Can be detected (see FIG. 9).

【0054】また、負荷リレーRのOFF制御時、a系
ではソフトカウンタが3のとき、b系ではソフトカウン
タが7のとき、診断のためのON制御を行い、そのとき
のセンサAa(又はAb)の出力から、センサ出力が
“1”とならなければセンサ又は出力回路故障と診断す
る。なお、このときのON制御時間は、負荷リレーRが
ONしない短い時間であり、センサ出力を読出した後、
診断のためのON制御は直ちにOFF制御に戻される。During OFF control of the load relay R, when the soft counter is 3 in the a system and when the soft counter is 7 in the b system, ON control for diagnosis is performed, and the sensor Aa (or Ab) at that time is controlled. If the sensor output does not become "1" from the output of 1), it is diagnosed as a sensor or output circuit failure. Note that the ON control time at this time is a short time during which the load relay R does not turn ON, and after reading the sensor output,
The ON control for diagnosis is immediately returned to the OFF control.

【0055】いずれかの出力回路Oa′(又はOb′)
が故障を起こしたときは、その出力回路Oa′(又はO
b′)は切離リレーCTa(又はCTb)を復旧させ、
系から外され、残りの正常な出力回路Ob′(又はO
a′)を用いて運転が継続されるとともに、その故障の
旨が係員に報知される。Any output circuit Oa '(or Ob')
When a fault occurs, the output circuit Oa '(or O
b ') restores the disconnection relay CTa (or CTb),
The remaining normal output circuit Ob '(or O
While the operation is continued using a '), the operator is informed of the failure.

【0056】[0056]

【発明の効果】本発明に係る2重系装置は、各系のMP
Uの動作の同期化を行う同期化手段と、前記各系のシス
テムバス間に設けられ、その各系間のデータの授受を行
う系間インターフェース手段と、前記各系のシステムバ
スにそれぞれ接続され、かつそれぞれの出力回路の出力
側が他装置とワイヤードオアに接続された出力手段と、
前記各出力回路のそれぞれの出力状態を検知するセンサ
と、他装置への駆動出力が行われているときに、前記い
ずれか一方の出力回路の出力を交互に所定時間停止させ
る停止手段と、その停止手段が停止している出力回路に
係る前記センサの出力データが“1”のときに、又はそ
の停止手段の停止していない出力回路に係るそのセンサ
の出力データが“0”のときに、その出力回路に故障が
発生したと診断する出力回路診断手段とからなるので、
出力回路側がワイヤードオア結合されていて出力中であ
っても、各出力回路の故障を確実に検出することができ
る。The dual system device according to the present invention is provided with the MP of each system.
U-system interfacing means provided between the synchronizing means for synchronizing the operation of the U and the system buses of the respective systems and for exchanging data between the respective systems, and the system bus of the respective systems are respectively connected. , And output means in which the output side of each output circuit is connected to another device and the wired OR,
A sensor that detects the output state of each of the output circuits, and a stop unit that alternately stops the output of one of the output circuits for a predetermined time when a drive output to another device is being performed, and When the output data of the sensor related to the output circuit in which the stopping means is stopped is "1", or when the output data of the sensor related to the output circuit in which the stopping means is not stopped is "0", Since it consists of output circuit diagnosis means for diagnosing that a failure has occurred in the output circuit,
Even if the output circuit side is wired-OR coupled and is outputting, the failure of each output circuit can be reliably detected.

【0057】また、前記出力回路診断手段は、前記他装
置への駆動出力が行われていないとき、所定時間毎に検
出したセンサの出力データが“1”のときに、そのセン
サに係る出力回路に故障が発生したと診断するようにし
たときは、出力回路が出力していないときでも、各出力
回路の故障を確実に検出することができる。The output circuit diagnosing means outputs the output circuit of the sensor when the output data of the sensor detected at every predetermined time is "1" when the drive output to the other device is not performed. When it is diagnosed that a failure has occurred, it is possible to reliably detect the failure of each output circuit even when the output circuit is not outputting.

【図面の簡単な説明】[Brief description of drawings]

【図1】本発明の一実施例装置の概略構成を示すブロッ
ク図である。FIG. 1 is a block diagram showing a schematic configuration of a device according to an embodiment of the present invention.

【図2】MPUボードの詳細を示すブロック図である。FIG. 2 is a block diagram showing details of an MPU board.

【図3】同期化制御動作を示すフローチャートである。FIG. 3 is a flowchart showing a synchronization control operation.

【図4】同期化制御動作を示すタイムチャートである。FIG. 4 is a time chart showing a synchronization control operation.

【図5】入力回路の故障診断動作を説明するためのタイ
ムチャートである。FIG. 5 is a time chart for explaining a failure diagnosis operation of the input circuit.

【図6】入力回路の入力処理手段を示すフローチャート
である。FIG. 6 is a flowchart showing an input processing means of an input circuit.

【図7】出力回路の故障診断動作を説明するためのタイ
ムチャートである。FIG. 7 is a time chart for explaining a failure diagnosis operation of the output circuit.

【図8】出力回路の故障診断動作を説明するためのタイ
ムチャートである。FIG. 8 is a time chart for explaining a failure diagnosis operation of the output circuit.

【図9】出力回路の故障診断動作を説明するためのタイ
ムチャートである。FIG. 9 is a time chart for explaining a failure diagnosis operation of the output circuit.

【図10】従来の診断回路の説明図である。FIG. 10 is an explanatory diagram of a conventional diagnostic circuit.

【図11】従来の他の診断回路の説明図である。FIG. 11 is an explanatory diagram of another conventional diagnostic circuit.

【符号の説明】[Explanation of symbols]

a 主系装置(主系) b 従系装置(従系) Ma,Mb MPUボード Ba,Bb システムバス Ea,Eb 入力ボード Oa,Ob 出力ボード Oa′,Ob′ 出力回路 TR 軌道回路リレー CTa,CTb 切離リレー TR´a,TR´b 入力回路 Sa,Sb スイッチ素子 Aa,Ab センサ 1a,1b 基本クロック 2a,2b MPU(マイクロプロセッサユニッ
ト) 3a,3b 定周期タイマ 4a,4b 監視タイマ 5a,5b カウンタa Main system device (master system) b Slave system device (slave system) Ma, Mb MPU board Ba, Bb System bus Ea, Eb Input board Oa, Ob Output board Oa ', Ob' Output circuit TR Track circuit relay CTa, CTb Isolation relay TR'a, TR'b Input circuit Sa, Sb Switch element Aa, Ab Sensor 1a, 1b Basic clock 2a, 2b MPU (microprocessor unit) 3a, 3b Fixed-cycle timer 4a, 4b Monitoring timer 5a, 5b Counter

───────────────────────────────────────────────────── フロントページの続き (58)調査した分野(Int.Cl.7,DB名) G06F 11/16 - 11/20 G06F 15/16 - 15/177 G05B 9/03 B61L 19/06 ─────────────────────────────────────────────────── ─── Continuation of front page (58) Fields surveyed (Int.Cl. 7 , DB name) G06F 11/16-11/20 G06F 15/16-15/177 G05B 9/03 B61L 19/06

Claims (2)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】 主系装置及び従系装置にそれぞれ共通の
所定のプログラムで動作するマイクロプロセッサユニッ
トを備えた2重系装置において、 前記各系装置のマイクロプロセッサユニットの動作の同
期化を行う同期化手段と、 前記各系装置のシステムバス間に設けられ、その各系装
置間のデータの授受を行う系間インターフェース手段
と、 前記各系装置のシステムバスにそれぞれ接続され、かつ
それぞれの出力回路の出力側が他装置とワイヤードオア
に接続された出力手段と、 前記各出力回路のそれぞれの出力状態を検知するセンサ
と、 前記他装置への駆動出力が行われているときに、前記い
ずれか一方の出力回路の出力をソフトウェアカウンタを
用いて交互に所定時間停止させる停止手段と、 前記停止手段が停止している出力回路に係る前記センサ
の出力データが論理値“1”のときに、又はその停止手
段の停止していない出力回路に係るそのセンサの出力デ
ータが論理値“0”のときに、その出力回路に故障が発
生したと診断する出力回路診断手段と、 を有することを特徴とする2重系装置。1. A dual system device comprising a microprocessor unit that operates by a predetermined program common to a master device and a slave device, and a synchronization for synchronizing the operation of the microprocessor unit of each system device. Conversion means and an intersystem interface means provided between the system buses of the system devices for exchanging data between the system devices, and output circuits connected to the system buses of the system devices, respectively. An output unit whose output side is connected to another device and a wired OR, a sensor for detecting an output state of each of the output circuits, and a drive output to the other device, when any one of the And a stop means for alternately stopping the output of the output circuit using a software counter for a predetermined time, and an output circuit in which the stop means is stopped. When the output data of the sensor is a logical value "1" or when the output data of the sensor related to the output circuit of the stopping means which is not stopped is a logical value "0", the output circuit has a failure. An output circuit diagnosing means for diagnosing an occurrence, and a dual system device. 【請求項2】 出力回路診断手段は、他装置への駆動出
力が行われていないときに、所定時間毎に検出したセン
サの出力データが論理値“1”のとき、又はソフトウェ
アカウンタを用いていずれか一方の出力回路のみに駆動
出力を与えそのセンサの出力データが論理値“0”のと
き、そのセンサに係る出力回路に故障が発生したと診断
することを特徴とする請求項1記載の2重系装置。2. The output circuit diagnosing means uses a software counter or when the output data of the sensor detected at every predetermined time is a logical value “1” when the drive output to another device is not performed. 2. A drive output is provided to only one of the output circuits, and when the output data of the sensor has a logical value "0", it is diagnosed that a failure has occurred in the output circuit related to the sensor. Dual system device.
JP2002345132A 2002-11-28 2002-11-28 Double system equipment Expired - Fee Related JP3497855B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002345132A JP3497855B2 (en) 2002-11-28 2002-11-28 Double system equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002345132A JP3497855B2 (en) 2002-11-28 2002-11-28 Double system equipment

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP09367094A Division JP3392938B2 (en) 1994-04-07 1994-04-07 Double system equipment

Publications (2)

Publication Number Publication Date
JP2003216451A JP2003216451A (en) 2003-07-31
JP3497855B2 true JP3497855B2 (en) 2004-02-16

Family

ID=27655868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002345132A Expired - Fee Related JP3497855B2 (en) 2002-11-28 2002-11-28 Double system equipment

Country Status (1)

Country Link
JP (1) JP3497855B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5116736B2 (en) * 2009-08-21 2013-01-09 株式会社京三製作所 Contact input control device and contact input control method
JP6721553B2 (en) * 2017-09-08 2020-07-15 株式会社三工社 Alarm sound generator and alarm sound generation method
JP7186679B2 (en) * 2019-08-23 2022-12-09 三菱電機株式会社 digital output device
JP7303282B2 (en) * 2021-12-08 2023-07-04 株式会社京三製作所 Contact input controller

Also Published As

Publication number Publication date
JP2003216451A (en) 2003-07-31

Similar Documents

Publication Publication Date Title
ES2400369T3 (en) Input device of a security unit
CN104423374A (en) Controller for automobile, automobile with controller and monitoring method
JP2011198205A (en) Redundant system control system
CN113791937B (en) Data synchronous redundancy system and control method thereof
JP3497855B2 (en) Double system equipment
CN113485185B (en) Method for N times redundancy control system
JP3392938B2 (en) Double system equipment
KR100279204B1 (en) Dual Controlling Method of Local Controller for An Automatic Control System and an Equipment thereof
JP3302499B2 (en) Double system equipment
JPH10232727A (en) Power supply system
CN111755763B (en) BMS function safety control system and control method
JP4432354B2 (en) Watchdog timer circuit status monitoring system
JP3813909B2 (en) Electronic interlocking device
JP3261014B2 (en) Module replacement method and self-diagnosis method in data processing system
JP2557990B2 (en) Dual system switching device
JP2006344023A (en) Control unit
JPS59224938A (en) Network system
JP3231743B2 (en) Control method and method of power control device
JP2706027B2 (en) Programmable controller
JPH0726762Y2 (en) Bus mismatch circuit
JPH0454747A (en) Data transfer system
JPH085380B2 (en) Parallel multiple electronic interlocking device
JPS61208137A (en) Automatic fault recovery bus control system
JPH079465Y2 (en) LAN interface
JPH07302208A (en) Protective relay device

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071128

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081128

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081128

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091128

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091128

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101128

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111128

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121128

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees