JP3802895B2 - Parallel output type electronic interlocking device with a fail-safe majority logic circuit - Google Patents

Parallel output type electronic interlocking device with a fail-safe majority logic circuit Download PDF

Info

Publication number
JP3802895B2
JP3802895B2 JP2003343270A JP2003343270A JP3802895B2 JP 3802895 B2 JP3802895 B2 JP 3802895B2 JP 2003343270 A JP2003343270 A JP 2003343270A JP 2003343270 A JP2003343270 A JP 2003343270A JP 3802895 B2 JP3802895 B2 JP 3802895B2
Authority
JP
Japan
Prior art keywords
circuit
output
fail
failure
logic circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003343270A
Other languages
Japanese (ja)
Other versions
JP2004042906A (en
Inventor
敦 川端
維史 田代
道雄 藤原
斉 柳
茂 桑名
常信 菊地
福井  聡
浩 斎藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
East Japan Railway Co
Original Assignee
Hitachi Ltd
East Japan Railway Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, East Japan Railway Co filed Critical Hitachi Ltd
Priority to JP2003343270A priority Critical patent/JP3802895B2/en
Publication of JP2004042906A publication Critical patent/JP2004042906A/en
Application granted granted Critical
Publication of JP3802895B2 publication Critical patent/JP3802895B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Logic Circuits (AREA)
  • Safety Devices In Control Systems (AREA)

Description

本発明は、本発明は、安全な制御を行うために、全く同一のハードウェアを複数準備し、全く同じ演算を実行し、それぞれの出力を入力し、照合を取り、出力が一致しなかった場合には、多数決を行い、最終的な制御出力を決定する多数決論理回路に係り、特に誤出力の発生を防止するために、回路の構成部品の中で1個だけが故障した場合、つまり単一故障の場合には、危険側に出力される可能性が全く無い、フエール・セーフ多数決論理回路を備えたパラレル出力型電子連動装置に関する。   In the present invention, in order to perform safe control, the present invention prepared a plurality of identical hardware, executed exactly the same operation, input each output, collated, and the output did not match In this case, it is related to a majority voting logic circuit that performs majority voting and determines the final control output. In particular, in order to prevent the occurrence of erroneous output, if only one of the circuit components fails, namely, The present invention relates to a parallel output type electronic interlocking device having a fail-safe majority logic circuit that has no possibility of being output to a dangerous side in the event of a single failure.

従来、信号機や転てつ器を直接駆動する、または、それらの機器を駆動するリレーを制御する電子連動装置は、連動の論理計算を行い、転てつ器あるいは信号機などを制御するための信号線をパラレルに出力する3組の処理装置と、それらの出力の照合を各ライン毎に行うフェール・セーフ多数決回路とから構成されている。   Conventionally, an electronic interlocking device that directly drives a traffic light or a switch or controls a relay that drives those devices performs a logical calculation of the interlock, and a signal for controlling the switch or the signal device. It consists of three sets of processing devices that output lines in parallel and a fail-safe majority circuit that collates their outputs for each line.

従来のフェール・セーフ多数決論理回路は、通常、図5に示すように、3個の並列入力のうち2つの示した値を正しいとして出力する回路が採用されている。   As shown in FIG. 5, a conventional fail-safe majority logic circuit normally employs a circuit that outputs two indicated values as correct among three parallel inputs.

図5において、101〜103は3個の並列入力であって、111〜113はそれぞれAND回路、121はOR回路、131は出力である。   In FIG. 5, 101 to 103 are three parallel inputs, 111 to 113 are AND circuits, 121 is an OR circuit, and 131 is an output.

この場合、例えば、入力101、102が「1」で、入力103が「0」であれば、AND回路111、113の出力は「0」、AND回路112の出力は「1」となり、出力131は「1」となる。   In this case, for example, if the inputs 101 and 102 are “1” and the input 103 is “0”, the outputs of the AND circuits 111 and 113 are “0”, the output of the AND circuit 112 is “1”, and the output 131 Becomes “1”.

しかし、入力101のみ「1」で、入力102、103が「0」であれば、AND回路111〜113のいずれの出力も「0」となり、出力131は「0」となる。   However, if only the input 101 is “1” and the inputs 102 and 103 are “0”, all the outputs of the AND circuits 111 to 113 are “0”, and the output 131 is “0”.

このため、入力101〜103に同一の論理演算を別々の回路で行わせた結果を入力として加えたとき、そのうちの1個が誤動作しても、出力131にはその誤動作の影響は現れないという、信頼性を高める回路となっている。   For this reason, when the result of having the same logic operation performed by different circuits is added to the inputs 101 to 103 as an input, even if one of them malfunctions, the output 131 does not affect the malfunction. It is a circuit that increases reliability.

ここで論理積を記号「・」、論理和を記号「+」で示し、3個の入力の論理値を101〜103で示すと、この回路の論理式は、以下の(数1)となる。   Here, when the logical product is represented by the symbol “·”, the logical sum is represented by the symbol “+”, and the logical values of the three inputs are represented by 101 to 103, the logical expression of this circuit is expressed by the following (Equation 1). .

101・102+102・103+103・101 ……(数1)       101 · 102 + 102 · 103 + 103 · 101 (Equation 1)

しかし、この場合、多数決論理回路自体が損傷したとき、例えば、OR回路121またはAND回路111が損傷すれば、誤出力を引き起こす。この点を考慮して、従来技術では、図6に示す様な回路によって、フェール・セーフ多数決回路自体が損傷した場合の対策を施している(例えば、特許文献1参照)。   However, in this case, when the majority logic circuit itself is damaged, for example, if the OR circuit 121 or the AND circuit 111 is damaged, an erroneous output is caused. In consideration of this point, in the conventional technique, a countermeasure is taken when the fail-safe majority circuit itself is damaged by a circuit as shown in FIG. 6 (see, for example, Patent Document 1).

図6において、201〜203は3個の並列入力であり、「1」、「0」の論理値が入力される。211〜216はトランジスタであり、2個ずつ並列に接続されたAND回路を構成する。221〜226はダイオードであり、2個を直列接続した回路を並列に接続しOR回路を構成している。231〜239は抵抗である。   In FIG. 6, reference numerals 201 to 203 denote three parallel inputs, and logical values “1” and “0” are input. Reference numerals 211 to 216 denote transistors, which constitute AND circuits connected in parallel two by two. Reference numerals 221 to 226 denote diodes, and two circuits connected in series are connected in parallel to form an OR circuit. Reference numerals 231 to 239 denote resistors.

241〜243は+の電位を持っている電源端子である。251〜253は零電位の電源端子である。261は本回路の論理出力である。本回路では、例えば、ダイオード221が導通故障を起こしても、回路自体の動作には全く影響を与えないことが保証されている。   Reference numerals 241 to 243 denote power supply terminals having a positive potential. Reference numerals 251 to 253 denote zero potential power supply terminals. Reference numeral 261 denotes a logic output of this circuit. In this circuit, for example, it is guaranteed that the operation of the circuit itself is not affected at all even if the diode 221 causes a conduction failure.

ところが、本回路構成では、損傷したダイオードを検出する手段がない。そのため、故障が分からずに運転を継続し、2番目の故障が発生して、誤出力を引き起こす可能性がある。
特開昭52−112250号公報 However, in this circuit configuration, there is no means for detecting a damaged diode. For this reason, there is a possibility that the operation is continued without knowing the failure, and a second failure occurs, causing an erroneous output.
JP 52-112250 A

本発明では上で述べた従来技術の欠点に鑑み、次の(1)〜(4)のという条件を満たす、フエール・セーフ多数決論理回路を実現することにある。   In view of the drawbacks of the prior art described above, the present invention is to realize a fail-safe majority logic circuit that satisfies the following conditions (1) to (4).

(1) 3個の論理入力の多数決をとる。   (1) Take the majority of three logical inputs.

(2) 1個の部品が故障した場合には、危険側の錯誤出力を行わない。   (2) If one component fails, do not perform dangerous output.

(3) 故障が内在した場合にも、必ず故障検出が可能である。   (3) Even if a failure is inherent, failure detection is always possible.

(4) 故障検出結果に基づき、3個の論理入力条件を変更する。   (4) Change the three logical input conditions based on the failure detection result.

なお、ここで上記の危険側とは、ON制御側のことを指す。例えば、鉄道では、転てつ器を転換するために、転てつ器転換用モータの制御を行うが、錯誤により転換が行われなかった場合は、そのことにより直接人命などに関係する重大事故に繋がる可能性は少ない。   Here, the above danger side means the ON control side. For example, in a railway, the switch motor is controlled to switch the switch, but if the switch is not performed due to mistakes, a serious accident related directly to human life, etc. Is less likely to lead to

ところが、錯誤により転換が行われた場合には、転てつ器上を通過中の列車が脱線する可能性もあるから、極めて危険な錯誤と言える。そこで、ここでは装置を動かす側、つまり、ON制御側の故障を危険側故障としている。   However, if a change is made by mistake, there is a possibility that the train passing over the switch will derail, so it can be said that this is a very dangerous mistake. Therefore, here, a failure on the side where the apparatus is moved, that is, a failure on the ON control side is defined as a dangerous failure.

本発明は上記の課題を解決するために次のような手段を採用した。すなわち、連動の論理計算を行ない、信号機あるいは転てつ器を直接駆動するための論理値「1」と論理値「0」をとる信号、またはそれらの機器を駆動するリレーを制御するための論理値「1」と論理値「0」をとる信号の少なくとも一方の信号をパラレルに出力する3組の処理装置と、これら3組の処理装置から出力される3個の論理値のうちの2個ずつを入力とする3個のOR回路及びこれら3個のOR回路の出力を入力とする3入力AND回路により多数決演算を行うフェール・セーフ多数決論理回路を備えたパラレル出力型電子連動装置において、前記3入力AND回路は、単一故障では危険側の出力にならないフェール・セーフ性を有する回路で構成され、前記フェール・セーフ多数決論理回路に制御モードと故障検出モードを設定し、故障検出モード時に、前記3個の論理入力に故障検出用のパターンを与え、出力を観測することにより、フェール・セーフ多数決論理回路を構成している部品の故障を検出するようにした。   The present invention employs the following means in order to solve the above problems. That is, the logic for performing the interlocking logic calculation and taking the logic value “1” and the logic value “0” for directly driving the traffic light or the switch, or the logic for controlling the relay for driving those devices. Three sets of processing devices that output in parallel at least one of the signals having the value “1” and the logical value “0”, and two of the three logical values output from these three sets of processing devices In a parallel output type electronic interlocking device provided with a fail-safe majority logic circuit that performs a majority operation by three OR circuits each having inputs as inputs and a three-input AND circuit having outputs from these three OR circuits as inputs, The 3-input AND circuit is configured with a fail-safe circuit that does not become a dangerous output in the case of a single failure. The fail-safe majority logic circuit has a control mode and a failure detection mode. In the failure detection mode, a failure detection pattern is given to the three logic inputs, and the output is observed to detect a failure of the parts constituting the fail-safe majority logic circuit. .

このときフェール・セーフ多数決論理回路には制御モードと故障検出モードを設定し、故障検出モード時に、前記3個の論理入力に故障検出用のパターンを与え、出力を観測することにより、フェール・セーフ多数決論理回路を構成している部品の故障検出を可能としている。   At this time, the fail-safe majority logic circuit is set with a control mode and a failure detection mode, and in the failure detection mode, a pattern for failure detection is given to the three logic inputs, and the output is observed, thereby fail-safe. It is possible to detect a failure of parts constituting the majority logic circuit.

また、上記故障検出モード時、部品の短絡故障を検知した場合には、3個ある入力の内の1個を、フェール・セーフ多数決論理回路の出力が危険側に出力することのないように強制的に変更している。   Also, when a short circuit failure is detected in the failure detection mode, one of the three inputs is forced so that the output of the fail-safe majority logic circuit is not output to the dangerous side. Has changed.

さらに、前記フェール・セーフ多数決論理回路をパラレル出力型電子連動装置に適用することにより、電子連動装置の安全性を高めている。   Furthermore, the safety of the electronic interlocking device is enhanced by applying the fail-safe majority logic circuit to the parallel output type electronic interlocking device.

本発明によれば、フェール・セーフ多数決論理回路の3個の並列入力が一致しなかった場合に、多数決を行い、最終的な制御出力の安全性を高めることができる。   According to the present invention, when the three parallel inputs of the fail-safe majority logic circuit do not coincide with each other, a majority decision can be made and the safety of the final control output can be improved.

さらに、本発明のフェール・セーフ多数決論理回路は、部品の単一故障が危険側出力を引き起こす可能性は全く無く、内在する単一故障は診断パルスによって確実に検出が可能であり、フェール・セーフ特性を有する多数決論理回路を備えたパラレル出力型電子連動装置を実現することが可能となる。   Furthermore, the fail-safe majority logic circuit of the present invention has no possibility that a single failure of a component will cause a dangerous output, and an inherent single failure can be reliably detected by a diagnostic pulse. It is possible to realize a parallel output type electronic interlocking device having a majority logic circuit having characteristics.

また、単一故障が発生した場合でも論理入力条件を変更することにより危険側出力を出力することなく、電子連動装置の運転を継続できる。   Further, even when a single failure occurs, the operation of the electronic interlocking device can be continued without changing the logic input condition without outputting a dangerous output.

本発明のフェール・セーフ多数決論理回路の原理は次の論理式に基づく。   The principle of the fail-safe majority logic circuit of the present invention is based on the following logical expression.

フェール・セーフ多数決論理回路の3入力をA、B、Cとすると、本回路の論理式は次の(数2)となる。   Assuming that the three inputs of the fail-safe majority logic circuit are A, B, and C, the logical expression of this circuit is the following (Equation 2).

(A+B)・(B+C)・(C+A) ……(数2)     (A + B), (B + C), (C + A) (Equation 2)

本発明では、この論理式を用いることにより、単一故障の場合には、危険側誤出力の可能性は全く無くなり、また3個の入力に適当な入力パターンを与えることにより、確実に故障検出が可能なフエール・セーフ多数決論理回路が実現できる。   In the present invention, by using this logical expression, in the case of a single failure, there is no possibility of dangerous side erroneous output, and by providing appropriate input patterns to the three inputs, failure detection is ensured. Can realize a fail-safe majority logic circuit.

本発明の具体的な実施形態を説明する前に、本発明のフェール・セーフ多数決論理回路の基本回路について、図1により説明する。   Before describing specific embodiments of the present invention, the basic circuit of the fail-safe majority logic circuit of the present invention will be described with reference to FIG.

図1のものは、通常用いられている図5に示すフェール・セーフ多数決論理回路と異なった構成となっている。   The configuration shown in FIG. 1 is different from the commonly used fail-safe majority logic circuit shown in FIG.

図1において、301〜303は3個の並列論理入力であって、311〜313はそれぞれOR回路、321はAND回路、331は出力である。表1に、論理入力301〜303の全ての入力パターンと出力331の論理値を示す。表1から分かるように、図1は多数決論理回路を構成している。

Figure 0003802895
本発明は、図1に示す多数決論理回路を、図2に示す具体的な回路で実現したものであり、以下、本発明の実施形態を図2を用いて詳細に説明する。 In FIG. 1, 301 to 303 are three parallel logic inputs, 311 to 313 are OR circuits, 321 is an AND circuit, and 331 is an output. Table 1 shows all input patterns of the logical inputs 301 to 303 and logical values of the output 331. As can be seen from Table 1, FIG. 1 constitutes a majority logic circuit.
Figure 0003802895
 The majority logic circuit shown in FIG. 1 is realized by the specific circuit shown in FIG. 2 according to the present invention. Hereinafter, an embodiment of the present invention will be described in detail with reference to FIG.

図2において、401〜403は3個の並列論理入力であって、411〜416はダイオード、421〜423はフォト・モス・リレーを示している。431〜433は零あるいは負電位の電源端子であり、441、442は出力端子である。   In FIG. 2, 401 to 403 are three parallel logic inputs, 411 to 416 are diodes, and 421 to 423 are photo-moss relays. 431 to 433 are zero or negative potential power supply terminals, and 441 and 442 are output terminals.

論理値「1」の時に441、442間は導通し、論理値「0」の時に441、442間は非導通となる。ここで、導通側は危険側、非導通側は安全側とする。なお、図示していないが、フォト・モス・リレー421〜423は、励磁コイルと接点からなるリレーに置換することも可能である。   When the logic value is “1”, 441 and 442 are conductive, and when the logic value is “0”, 441 and 442 are non-conductive. Here, the conduction side is the danger side, and the non-conduction side is the safety side. Although not shown, the photo-moss relays 421 to 423 can be replaced with relays each composed of an excitation coil and a contact.

図2の多数決論理回路において、入力401が「1」、入力402と403が「0」の時にはフォト・モス・リレー421と422はONとなるが、423がOFFとなるため、441、442間は非導通となる。入力401と402が「1」、入力403が「0」の時にはフォト・モス・リレー421〜423は全てONするため、441、442間は導通となる。この場合の入力と出力の関係は表1と全く等しくなる。   In the majority logic circuit of FIG. 2, when the input 401 is “1” and the inputs 402 and 403 are “0”, the photo MOS relays 421 and 422 are turned on, but 423 is turned off. Is non-conductive. When the inputs 401 and 402 are “1” and the input 403 is “0”, the photo-moss relays 421 to 423 are all turned on, so that the connection between 441 and 442 is conducted. In this case, the relationship between input and output is exactly the same as in Table 1.

次に、本発明の多数決論理回路の構成部品の単一故障について簡単に説明する。まず、この単一故障とは構成部品が唯一個だけ壊れている状態である。複数の部品が同時に故障したように思える現象も、初めに単一故障が発生し、その後2個目、3個目の故障が発生したと考えることができる。   Next, a single failure of the components of the majority logic circuit of the present invention will be briefly described. First, this single failure is a state in which only one component is broken. A phenomenon that seems to have caused the failure of a plurality of parts at the same time can be considered as a single failure first and then a second and third failure.

したがって、単一故障を確実に検出し、2個目の故障が発生する前に、単一故障を修理することができるのであれば、故障モードとして単一故障のみを考慮すればよいことになる。   Therefore, if a single failure can be reliably detected and the single failure can be repaired before the second failure occurs, only a single failure needs to be considered as a failure mode. .

なお、本実施形態で考慮する故障には2種類ある。第1は、本多数決論理回路に論理値を入力する、図示していない3個の処理系の誤動作が考えられる。この処理系が誤動作する場合には、本多数決論理回路に入力される3個の並列入力の論理値が同一でなくなる。   There are two types of failures to be considered in this embodiment. First, a malfunction of three processing systems (not shown) that inputs a logical value to the majority logic circuit can be considered. When this processing system malfunctions, the logical values of the three parallel inputs inputted to the majority logic circuit are not the same.

第2は、本多数決論理回路を構成しているダイオードやフォト・モス・リレーの短絡故障、またはオープン故障が考えられる。   Secondly, a short circuit failure or an open failure of the diode or the photo MOS relay constituting the majority logic circuit can be considered.

したがって、本発明では、単一故障とは、多数決論理回路の全素子は故障していないが、並列入力の論理値が同一でないこと、または、並列入力の論理値は同一であるが、多数決論理回路を構成している素子のどれか1個が短絡故障、あるいはオープン故障を起こしていることと定義できる。   Therefore, in the present invention, a single failure means that all elements of the majority logic circuit have not failed, but the logic values of the parallel inputs are not the same, or the logic values of the parallel inputs are the same, but the majority logic It can be defined that any one of the elements constituting the circuit has a short circuit fault or an open fault.

次に、本発明による実施形態では、単一故障の場合には決して危険側出力が出力しないことを説明する。   Next, in the embodiment according to the present invention, it will be described that a dangerous output is never output in the case of a single failure.

前述のように、多数決論理回路の全素子は故障していないが、並列入力の論理値が同一でない場合、この場合にも単一故障の考え方を用いると、図示していない3個の処理系のどれか1系が故障した場合を考慮すれば十分である。   As described above, all elements of the majority logic circuit have not failed, but when the logical values of the parallel inputs are not the same, in this case also, using the concept of single failure, three processing systems not shown It is sufficient to consider the case where one of the systems fails.

すなわち、ただ1系のみが故障し、誤出力を出力するのであるから、多数決を実行すればこの場合、誤出力する可能性はない。   That is, since only one system fails and an erroneous output is output, if a majority vote is executed, there is no possibility of erroneous output in this case.

同じく、前述のように、並列入力の論理値は同一であるが、フェール・セーフ多数決論理回路を構成している部品が1個だけ故障した場合、並列入力の論理値が同一であると、1個のダイオードが短絡故障、オープン故障を起こしても、誤出力する可能性はない。   Similarly, as described above, the logical values of the parallel inputs are the same. However, if only one part constituting the fail-safe majority logic circuit fails, the logical values of the parallel inputs are the same as 1 Even if a single diode causes a short-circuit failure or an open failure, there is no possibility of erroneous output.

また、1個のフォト・モス・リレーが短絡故障を起こした場合もダイオードの場合と同様であり、誤出力する可能性は無い。   Also, when one photo-moss relay causes a short-circuit failure, it is the same as in the case of a diode, and there is no possibility of erroneous output.

1個のフォト・モス・リレーがオープン故障した場合には、3個のフォト・モス・リレーが直列に接続されているため、論理出力441〜442はOFF固定の誤出力を出す。この場合の故障は、安全側故障と考えられる。   When one photo moss relay has an open failure, since the three photo moss relays are connected in series, the logic outputs 441 to 442 output an error output fixed at OFF. The failure in this case is considered a safety-side failure.

次に、図3を用いて、本実施形態における、故障を検出する手法を説明する。   Next, a method for detecting a failure in this embodiment will be described with reference to FIG.

図3は、多数決論理回路の故障検出を考慮した回路である。501は故障を検出するための外部機器を駆動する電源である。511は制御対象となっている装置であり、例えば転てつ器を転換するモータなどを示している。   FIG. 3 is a circuit that considers the failure detection of the majority logic circuit. Reference numeral 501 denotes a power source that drives an external device for detecting a failure. Reference numeral 511 denotes a device to be controlled, which shows, for example, a motor that changes a switch.

521は本フェール・セーフ多数決論理回路が出力している論理値を監視する端子であり、図示していない3個の処理系によってモニタされる。ここで、制御対象511はある程度大きな時定数を持っており、検出用パルスの信号では、制御対象511は動作しないものと仮定する。   Reference numeral 521 denotes a terminal for monitoring a logical value output from the fail-safe majority logic circuit, and is monitored by three processing systems (not shown). Here, it is assumed that the control target 511 has a certain time constant, and the control target 511 does not operate with a detection pulse signal.

故障検出を行うには3個の並列論理入力401〜403から、検出用パルスの様々な論理値の組み合わせを与え、検出用パルスの論理入力により監視端子521がどのような出力を出すかを観測することにより、制御対象511を誤動作させずに、故障検出が可能となる。   In order to perform fault detection, combinations of various logic values of detection pulses are given from the three parallel logic inputs 401 to 403, and the output of the monitoring terminal 521 is observed by the logic input of the detection pulses. By doing so, it is possible to detect a failure without causing the control target 511 to malfunction.

ダイオード411がオープン故障した場合の、並列論理入力401〜403と監視端子521の論理値のパターンを表2に示す。表2の色付けした行が表1と異なっており、このことによりフェール・セーフ多数決論理回路内に故障が発生したことを検知できる。

Figure 0003802895
ダイオード411が短絡故障した場合の、並列論理入力401〜403と監視端子521の論理値のパターンを表3に示す。表3の色付けした行が表1と異なっており、このことによりフェール・セーフ多数決論理回路内に故障が発生したことを検知できる。他のダイオードが故障した場合にも全く同様にして故障を検出できる。
Figure 0003802895
 フォト・モス・リレー421がオープン故障した場合には、先にも述べた通り、出力がOFF固定となり、容易に故障検出が可能である。 Table 2 shows the logic value patterns of the parallel logic inputs 401 to 403 and the monitoring terminal 521 when the diode 411 has an open failure. The colored rows in Table 2 are different from Table 1, so that it can be detected that a failure has occurred in the fail-safe majority logic circuit.
Figure 0003802895
 Table 3 shows the logic value patterns of the parallel logic inputs 401 to 403 and the monitoring terminal 521 when the diode 411 has a short circuit failure. The colored rows in Table 3 are different from Table 1, so that it can be detected that a failure has occurred in the fail-safe majority logic circuit. When other diodes fail, the failure can be detected in exactly the same manner.
Figure 0003802895
 When the photo MOS relay 421 has an open failure, as described above, the output is fixed to OFF and the failure can be easily detected.

フォト・モス・リレー421が短絡故障した場合は、並列論理入力401〜403と監視端子521の論理値パターンを表4に示す。表4の色付けした行が表1と異なっており、このことによりフェール・セーフ多数決論理回路内に故障が発生したことを検知できる。

Figure 0003802895
表2で観測されたようなオープン単一故障が発生した場合には、表2の1行目、8行目の制御モードにおいて使用される部分が、正しく出力され、安全上問題のないことが解かる。また、第2番目の故障が発生しても、錯誤による危険側出力の可能性が全くないことも証明が可能である。 Table 4 shows the logic value patterns of the parallel logic inputs 401 to 403 and the monitoring terminal 521 when the photo MOS relay 421 has a short circuit failure. The colored rows in Table 4 are different from Table 1, so that it can be detected that a failure has occurred in the fail-safe majority logic circuit.
Figure 0003802895
 When an open single fault as observed in Table 2 occurs, the part used in the control mode of the first and eighth lines in Table 2 is output correctly, and there is no safety problem. I understand. It is also possible to prove that there is no possibility of dangerous output due to mistakes even if the second failure occurs.

表3、表4で観測されたような短絡単一故障が発生した場合には、いずれの表においても、1行目、8行目の値が安全上問題のないことを示している。   In the case where a single short-circuit failure as observed in Tables 3 and 4 occurs, the values in the first and eighth rows indicate that there is no safety problem in both tables.

次に、フェール・セーフ多数決論理回路に単一故障が発生している場合でも、危険側出力を出力することなく、フェール・セーフ多数決論理回路の運転を継続できる場合について説明する。   Next, a case where the operation of the fail-safe majority logic circuit can be continued without outputting a dangerous output even when a single failure occurs in the fail-safe majority logic circuit will be described.

図3に示すフェール・セーフ多数決論理回路において、単一故障、例えば、ダイオード411が短絡故障している場合、すなわち表3の状態の場合、フェール・セーフ多数決論理回路の運転を継続していると、次に並列論理入力403に入力を与える図示していない処理系が故障して、誤って「1」を出力した場合には、フェール・セーフ多数決論理回路は危険側誤出力を出力してしまう。   In the fail-safe majority logic circuit shown in FIG. 3, when the single failure, for example, the diode 411 has a short-circuit fault, that is, in the state of Table 3, the fail-safe majority logic circuit continues to operate. Next, when a processing system (not shown) that gives an input to the parallel logic input 403 fails and erroneously outputs “1”, the fail-safe majority logic circuit outputs a dangerous-side erroneous output. .

したがって、このような場合、本発明では、この危険側出力を避けるために、例えば表3に示すような出力結果が観測された時点で、並列論理入力403を強制的に「0」に固定する処理を行う。これにより、第2番目の故障が発生しても、表5に示されるように、錯誤による危険側出力が出力しないことが分かる。

Figure 0003802895
次に、図4に、フェール・セーフ多数決論理回路を備えた電子連動装置のブロック図を示す。 Therefore, in such a case, the present invention forcibly fixes the parallel logic input 403 to “0” when an output result as shown in Table 3 is observed, for example, in order to avoid this dangerous output. Process. As a result, it can be seen that even if the second failure occurs, the danger side output due to mistakes is not output as shown in Table 5.
Figure 0003802895
 Next, FIG. 4 shows a block diagram of an electronic interlocking device provided with a fail-safe majority logic circuit.

601〜603は連動論理の演算を行う処理装置であり、制御要求情報を入力し、さらに転てつ器あるいは信号機などを制御するための信号をパラレル出力し、またフェール・セーフ多数決論理回路の出力をパラレルに入力し、さらには転てつ器あるいは信号機などの表示情報や軌道リレーからの情報をパラレルに入力している。   Reference numerals 601 to 603 are processing devices that perform interlocking logic operations, input control request information, and further output signals for controlling a switch or a traffic light in parallel, and also output fail-safe majority logic circuits. In addition, display information such as a switch or a traffic light or information from a track relay is input in parallel.

611は図3で示したフェール・セーフ多数決論理回路であり、処理装置601〜603から入力されるパラレル信号線の数だけ並んだ構成を持つ。621は制御要求情報を伝達する回線であり、処理装置601〜603に接続されている。   Reference numeral 611 denotes the fail-safe majority logic circuit shown in FIG. 3, which has a configuration in which the same number of parallel signal lines input from the processing devices 601 to 603 are arranged. A line 621 transmits control request information, and is connected to the processing devices 601 to 603.

631〜633は処理装置601〜603間でデータを交換するためのラインである。641〜643はパラレルラインであり、転てつ器あるいは信号機などを制御するための信号が流れる。651は転てつ器または信号機などに直接または中継リレーなどを介して間接的に接続されるラインである。   Reference numerals 631 to 633 denote lines for exchanging data between the processing apparatuses 601 to 603. Reference numerals 641 to 643 denote parallel lines through which signals for controlling a switch or a traffic light flow. Reference numeral 651 denotes a line that is directly or indirectly connected to a switch or a traffic light via a relay relay or the like.

661はフェール・セーフ多数決論理回路611が出力した情報を処理装置601〜603にフィードバックするラインであり、処理装置601〜603に並列に接続されている。671は、転てつ器あるいは信号機などからの表示情報や軌道リレーからの情報を処理装置601〜603に伝達するラインである。   Reference numeral 661 denotes a line that feeds back the information output from the fail-safe majority logic circuit 611 to the processing devices 601 to 603, and is connected in parallel to the processing devices 601 to 603. Reference numeral 671 denotes a line for transmitting display information from a switch or a traffic light or information from a track relay to the processing devices 601 to 603.

次にフェール・セーフ多数決論理回路を備えた電子連動装置の動作について説明する。 進路設定を行う場合には図示していない上位のシステムが621を介して、処理装置601〜603に同時に進路要求情報を伝送する。   Next, the operation of the electronic interlocking device having the fail-safe majority logic circuit will be described. When performing route setting, a host system (not shown) simultaneously transmits route request information to the processing devices 601 to 603 via 621.

3系の処理装置601〜603は全く同じ処理を同時に行い、処理結果を641〜643に同時に出力する。さらに、3系の処理装置601〜603は631〜633を通じて、適当な間隔でお互いに監視データを交換し合い、故障検出を行う。   The three processing devices 601 to 603 simultaneously perform exactly the same processing, and simultaneously output the processing results to 641 to 643. Further, the three processing devices 601 to 603 exchange monitoring data with each other at appropriate intervals through 631 to 633, and perform failure detection.

フェール・セーフ多数決論理回路611は641〜643を介して得られた制御情報の多数決を行い、結果を651に出力し、転てつ器などの制御対象に制御信号を出力する。また、その制御信号は661を介して3系の処理装置601〜603にフィードバックされる。   The fail-safe majority logic circuit 611 performs a majority decision on the control information obtained via 641 to 643, outputs the result to 651, and outputs a control signal to a control target such as a switch. Further, the control signal is fed back to the three processing devices 601 to 603 via 661.

フェール・セーフ多数決論理回路611の故障検出を行うためには、3系の処理装置601〜603は、定期的に故障診断モードに入り、631〜633を介して情報を交換しながら641〜643に故障診断用のテストパターンを出力する。   In order to detect a failure of the fail-safe majority logic circuit 611, the three processing devices 601 to 603 periodically enter a failure diagnosis mode, and exchange information through 631 to 633 to 641 to 643. Output a test pattern for fault diagnosis.

本発明によるフェール・セーフ多数決論理回路の基本回路図である。1 is a basic circuit diagram of a fail-safe majority logic circuit according to the present invention. FIG. 本発明によるフェール・セーフ多数決論理回路の具体的な回路図である。FIG. 4 is a specific circuit diagram of a fail-safe majority logic circuit according to the present invention. 本発明によるフェール・セーフ多数決論理回路の故障検出を考慮した回路図である。FIG. 5 is a circuit diagram considering failure detection of a fail-safe majority logic circuit according to the present invention. 本発明におけるフェール・セーフ多数決論理回路を用いた電子連動装置の構成図である。It is a block diagram of the electronic interlocking device using the fail safe majority logic circuit in this invention. 従来技術によるフェール・セーフ多数決論理回路図である。It is a fail-safe majority logic circuit diagram according to the prior art. 従来技術によるフェール・セーフ多数決論理回路の具体的な回路図である。It is a specific circuit diagram of a fail-safe majority logic circuit according to the prior art.

符号の説明Explanation of symbols

101〜103:並列論理入力
111〜113:AND回路
121:OR回路
131:論理出力
201〜203:並列論理入力
211〜216:トランジスタ
221〜226:ダイオード
231〜239:抵抗
241〜243:正電位電源端子
251〜253:零電位電源端子
261:論理出力
301〜303:並列論理入力
311〜313:OR回路
321:AND回路
331:論理出力
401〜403:並列論理入力
411〜416:ダイオード
421〜423:フォト・モス・リレー
431〜433:零電位電源端子
441〜442:出力端子
501:故障検出用電源
511:制御対象
521:故障検出用端子
601〜603:処理装置
611:フェール・セーフ多数決論理回路 101 to 103: parallel logic inputs 111 to 113: AND circuit 121: OR circuit 131: logic outputs 201 to 203: parallel logic inputs 211 to 216: transistors 221 to 226: diodes 231 to 239: resistors 241 to 243: positive potential power supply Terminals 251 to 253: Zero potential power supply terminal 261: Logic outputs 301 to 303: Parallel logic inputs 311 to 313: OR circuit 321: AND circuit 331: Logic outputs 401 to 403: Parallel logic inputs 411 to 416: Diodes 421 to 423: Photo MOS relays 431 to 433: Zero potential power supply terminals 441 to 442: Output terminal 501: Fault detection power supply 511: Control target 521: Fault detection terminals 601 to 603: Processing device 611: Fail-safe majority logic circuit

Claims (1)

連動の論理計算を行ない、信号機あるいは転てつ器を直接駆動するための論理値「1」と論理値「0」をとる信号、またはそれらの機器を駆動するリレーを制御するための論理値「1」と論理値「0」をとる信号の少なくとも一方の信号をパラレルに出力する3組の処理装置と、これら3組の処理装置から出力される3個の論理値のうちの2個ずつを入力とする3個のOR回路及びこれら3個のOR回路の出力を入力とする3入力AND回路により多数決演算を行うフェール・セーフ多数決論理回路を備えたパラレル出力型電子連動装置において、
前記3入力AND回路は、単一故障では危険側の出力にならないフェール・セーフ性を有する回路で構成され、
前記フェール・セーフ多数決論理回路に制御モードと故障検出モードを設定し、故障検出モード時に、前記3個の論理入力に故障検出用のパターンを与え、出力を観測することにより、フェール・セーフ多数決論理回路を構成している部品の故障を検出する際、前記故障検出モードにおいて、部品の短絡故障を検知した場合に、3個ある入力の中の1個を、フェール・セーフ多数決論理回路の出力が危険側に出力しないように変更することを特徴とするパラレル出力型電子連動装置。 Interlocking logic calculation is performed, a signal having a logic value “1” and a logic value “0” for directly driving a traffic light or a switch, or a logic value “for controlling a relay for driving those devices” 3 sets of processing devices that output in parallel at least one of the signals having a logical value of “1” and “0”, and two of the three logical values output from these three sets of processing devices. In a parallel output type electronic interlocking device having a fail-safe majority logic circuit that performs a majority operation by three OR circuits as inputs and a three-input AND circuit that receives the outputs of these three OR circuits as inputs,
The 3-input AND circuit is composed of a circuit having fail-safety that does not become a dangerous output in a single failure,
By setting a control mode and a failure detection mode in the fail-safe majority logic circuit, giving a pattern for failure detection to the three logic inputs in the failure detection mode, and observing the output, the fail-safe majority logic When detecting a failure of a component constituting the circuit, when a short circuit failure of the component is detected in the failure detection mode, one of the three inputs is output from the fail-safe majority logic circuit. A parallel output type electronic interlocking device which is changed so as not to output to the dangerous side .
JP2003343270A 1995-07-21 2003-10-01 Parallel output type electronic interlocking device with a fail-safe majority logic circuit Expired - Lifetime JP3802895B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003343270A JP3802895B2 (en) 1995-07-21 2003-10-01 Parallel output type electronic interlocking device with a fail-safe majority logic circuit

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP18526195 1995-07-21
JP2003343270A JP3802895B2 (en) 1995-07-21 2003-10-01 Parallel output type electronic interlocking device with a fail-safe majority logic circuit

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP18965296A Division JPH0998081A (en) 1995-07-21 1996-07-18 Fail-safe majority logic circuit and parallel output type electronic interlocking device using this circuit

Publications (2)

Publication Number Publication Date
JP2004042906A JP2004042906A (en) 2004-02-12
JP3802895B2 true JP3802895B2 (en) 2006-07-26

Family

ID=31719098

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003343270A Expired - Lifetime JP3802895B2 (en) 1995-07-21 2003-10-01 Parallel output type electronic interlocking device with a fail-safe majority logic circuit

Country Status (1)

Country Link
JP (1) JP3802895B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4739732B2 (en) * 2004-11-11 2011-08-03 株式会社東芝 Vehicle traffic control system

Also Published As

Publication number Publication date
JP2004042906A (en) 2004-02-12

Similar Documents

Publication Publication Date Title
US4583224A (en) Fault tolerable redundancy control
JPH02501244A (en) Fault tolerant output circuit
US4926281A (en) Fail-safe and fault-tolerant alternating current output circuit
US4270715A (en) Railway control signal interlocking systems
US7719255B2 (en) Safe input circuit with one-channel peripheral connection for the input of a bus participant
US7149925B2 (en) Peripheral component with high error protection for stored programmable controls
JP3668632B2 (en) Railway safety control device and security control system
JP3802895B2 (en) Parallel output type electronic interlocking device with a fail-safe majority logic circuit
JPS6128142B2 (en)
JP6738438B2 (en) Monitoring device for monitoring safety device and method for monitoring safety device
JPH0998081A (en) Fail-safe majority logic circuit and parallel output type electronic interlocking device using this circuit
JP3751746B2 (en) Fail-safe output device
WO2017056552A1 (en) Contact input control device
JP2008226619A (en) Fail safe output circuit having relay failure detection function
JP3630824B2 (en) Auxiliary relay drive circuit
EP4177680A1 (en) Redundant control system fault protection using only two controllers
JP2005343602A (en) Elevator controller
JPS60214048A (en) Data processor quaranteed in signal technology
Akita et al. Safety and fault-tolerance in computer-controlled railway signalling systems
EP0618679A1 (en) High reliable integrated circuit structure for MOS power devices
JP3395288B2 (en) Information processing apparatus and information processing method
JP6356325B1 (en) Relay control device
JP3392938B2 (en) Double system equipment
JPH0443305B2 (en)
KR0186119B1 (en) Vital input circuit for interface of a railway signalling system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060131

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060425

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060428

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100512

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110512

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110512

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120512

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130512

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130512

Year of fee payment: 7

EXPY Cancellation because of completion of term