JP3813909B2 - Electronic interlocking device - Google Patents

Electronic interlocking device Download PDF

Info

Publication number
JP3813909B2
JP3813909B2 JP2002218442A JP2002218442A JP3813909B2 JP 3813909 B2 JP3813909 B2 JP 3813909B2 JP 2002218442 A JP2002218442 A JP 2002218442A JP 2002218442 A JP2002218442 A JP 2002218442A JP 3813909 B2 JP3813909 B2 JP 3813909B2
Authority
JP
Japan
Prior art keywords
state
systems
processing
slave
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002218442A
Other languages
Japanese (ja)
Other versions
JP2004058793A (en
Inventor
洋一 村上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyosan Electric Manufacturing Co Ltd
Original Assignee
Kyosan Electric Manufacturing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyosan Electric Manufacturing Co Ltd filed Critical Kyosan Electric Manufacturing Co Ltd
Priority to JP2002218442A priority Critical patent/JP3813909B2/en
Publication of JP2004058793A publication Critical patent/JP2004058793A/en
Application granted granted Critical
Publication of JP3813909B2 publication Critical patent/JP3813909B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、転てつ機や信号機などの現場機器を制御して鉄道車両の進路を安全に確保する電子連動装置に関する。
【0002】
【従来の技術】
鉄道の駅構内では、線路が複雑に集合し、分岐する場所では、転てつ機,信号機,および標識等のような、進路を開通させたり、進路への侵入の可否を表示させたりする機器が多数設けられている。それらを列車や保守用車両等の到着,出発,通過等に合わせて切り替えて列車等が要求する進路を安全かつ迅速に開通させるための装置として電子連動装置が採用されている。
【0003】
電子連動装置は、信頼性を高めるために、連動処理を実行する論理部を2重系で構成する場合がある。かかる場合に、完全独立な並列2重系論理部(単純に同一機能の論理部2台を並列に設けた構成)で実現すると、処理結果が不一致の状態で両系が外部制御を継続してしまう状態が生じ得るので、列車や車両の動きに応じて定められた順序制御を行うという電子連動装置としての機能をシステム的に保証できなくなる。このため、従来の電子連動装置では、片系のみが外部制御を行い、当該系に故障が発生すると、それまでスタンバイ状態であった他方の系に直ちに切換えて処理を続行する、待機2重系方式が採用されている。
【0004】
【発明が解決しようとする課題】
従来の電子連動装置で採用されてきた、待機2重系方式では、常時は、一方の系を実際の使用状態ではない待機状態にしておくので、待機系の潜在故障を検知できない可能性がある。また待機2重系の機能を実現するために必要な系切換回路は、その性質上、1重系構成(もしくは1重系部分の素子が内在する構成)とせざるを得ないので、当該1重系部分の信頼性がシステム全体の信頼性に影響を与えやすいという問題があった。
【0005】
本発明は、このような従来の技術が有する問題点に着目してなされたもので、2重系で構成された論理部を有し、通常は両系が完全な稼働状態になる2重系運転をし、かつ1重系部分を有さずに2重系運転から片系運転に切換え可能な電子連動装置を提供することを目的としている。
【0006】
【課題を解決するための手段】
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
[1]転てつ機や信号機などの現場機器を制御して鉄道車両の進路を安全に確保する電子連動装置において、
電子連動論理部(10)を同一構成で同一機能とした2系統設けるとともに系間を伝送路で接続し、
前記電子連動論理部(10)は前記2系統にそれぞれ、系間伝送手段(90、92)と、連動処理手段(50)と、処理結果比較手段(60)と、動作状態管理手段(70)と、周辺故障検知手段(40)とを備え、
前記2系統の系間伝送手段(90、92)は、自系の状態を表す情報と自系における連動処理の結果を他系に伝送し、
前記2系統の連動処理手段(50)は、現場機器を制御するための連動処理を行い、
前記2系統の処理結果比較手段(60)は、連動処理の結果が両系で一致しているか否かを判定し、
前記2系統の周辺故障検知手段(40)は、外部との入出力にかかわる周辺故障の有無を検知し、
前記2系統の動作状態管理手段(70)は、常時は自系を外部機器への制御出力を行い得る制御状態に設定し、自系をマスタに設定するかスレーブに設定するかを自系の状態と他系の状態とに基づいて排他的に決定し、自系がスレーブであって連動処理の結果が両系で一致しないとき自系を外部機器への制御出力を抑止する待機状態にするとともに、自系がマスタのときに周辺故障が検知された場合には、他系が制御状態であることを条件に自系をスレーブの待機状態にし、自系がスレーブの時に周辺故障が検知された場合は自系を待機状態にし、自系がスレーブの制御状態にあって他系が待機状態のとき自系をマスタの制御状態とする
ことを特徴とする電子連動装置。
【0008】
[2]前記電子連動論理部(10)はそれぞれ、入力データ交換統合手段(30)をさらに備え、
前記入力データ交換統合手段(30)は、自系の入力を前記系間伝送手段(90、92)を用いて他系に伝送するとともに、自系の入力と他系から伝送されてきた入力とを統合して機能的に健全となる確定入力を作成し、
前記連動処理手段(50)は、前記入力データ交換統合手段(30)の作成した確定入力に基づいて前記連動処理を行う
ことを特徴とする[1]に記載の電子連動装置。
【0009】
[3]前記電子連動論理部(10)は、処理を周期的に行うとともに、両系で前記処理の開始タイミングが一致するように両系を同期させた
ことを特徴とする[1]または[2]に記載の電子連動装置。
【0010】
前記本発明は次のように作用する。
2系統設けられた電子連動論理部(10)は、伝送路によって系間が接続されている。電子連動論理部(10)はそれぞれ、系間伝送手段(90、92)と、連動処理手段(50)と、処理結果比較手段(60)と、動作状態管理手段(70)とを備えている。各電子連動論理部(10)の連動処理手段(50)は、それぞれ現場機器を制御するための連動処理を行い、各系における連動処理の結果は、系間伝送手段(90、92)によって系間で交換される。
【0011】
処理結果比較手段(60)は、連動処理の結果が両系で一致しているか否かを判定する。各系の動作状態管理手段(70)は、常時は自系を外部機器への制御出力を行い得る制御状態に設定している。またマスタ、スレーブという関係を導入し、自系をマスタに設定するかスレーブに設定するかを自系の状態と他系の状態とに基づいて排他的に決定する。そして、自系がスレーブであって連動処理の結果が両系で一致しないとき、スレーブ系の自系外部機器への制御出力を抑止する待機状態に移行させる。
【0012】
このように、常時は両系を制御状態にするので、待機2重系のように潜在故障の内在する可能性が無い。また系間で連動処理の結果を交換し、連動処理の結果が両系で一致しているか否かを電子連動論理部(10)自体で判定し、かつ不一致の場合に一方の系が自律的に待機状態になるので、2重系運転から片系運転への切換えを1重系回路を設けることなく行うことができ、システムの信頼性を高めることができる。また系切換回路を別途設ける必要がないので、システムの価格低減と省スペース化を図ることができる。
【0013】
さらに制御状態、待機状態という概念とは別にマスタ・スレーブの関係を導入し、両系の状態に応じてマスタとスレーブを排他的に決定しておくので、連動処理の結果に応じて待機状態に入るべき系をいずれにすべきかの選択を明確かつ簡易なロジックで行うことが可能になっている。その結果、連動処理結果の一致不一致をスレーブだけが行えば充分となり、スレーブからマスタへの情報の伝送量を軽減するなど処理を軽減することが可能になる。
【0014】
また外部との入出力にかかわる周辺故障の有無を検知する周辺故障検知手段(40)をそれぞれの電子連動論理部(10)に設け、自系がマスタのときに周辺故障が検知されたときは他系が制御状態であることを条件に自系をスレーブの待機状態にし、自系がスレーブのときに周辺故障が検知されたとき自系を待機状態にし、自系がスレーブの制御状態であって他系が待機状態のとき自系をマスタの制御状態にする。このように構成したものでは、周辺故障のない正常な系をマスタにしつつ、両系がともにスレーブになってしまうことが防止される。
【0015】
また、各系への入力を系間で交換し、各系で、自系の入力と他系から伝送されてきた入力とを統合して機能的に健全側となる確定入力を入力データ統合手段によって作成し、当該確定入力に基づいて各系で連動処理を行う。このように、入力を系間で交換し、両系の入力を統合して機能的に健全側となる確定入力を各系で作成し、当該確定入力に基づいて連動処理を行うことで、列車が適切に運行される状態をより高い信頼性で確保することができる。
【0016】
たとえば、連動処理におけるすべての入出力条件(1ビットごと)の安全側値を“0”(“0”で列車を停止制御する側)、“1”を危険側値とする場合に、両系の入力を論理OR(“1”が優先される)することによって確定入力を作成すると、入力として安全側値と危険側値とが混在するときに危険側値が優先される(危険側値の入力に基づいて出力が制御される)ので、より機能的に健全なサイド(列車が通常運行できる側)の確定入力を作成することができる。
【0017】
電子連動論理部(10)が処理を周期的に行うように構成するとともに、この処理の開始タイミングが一致するように両系を同期させたものでは、各系を自律的に動作させても、同一の入力情報に対して各系で行われた連動処理の結果同士が対比されることや、同一のタイミングで自系の状態と他系の状態とが対比されることを保証することができる。
【0018】
【発明の実施の形態】
以下、図面に基づき本発明の一実施の形態を説明する。
図1は、2重系で構成された電子連動論理部10を、図2は本実施の形態にかかる電子連動装置1とその周辺装置を示している。電子連動装置1は、電子連動論理部10を中核とする装置である。電子連動論理部10には、図示省略の表示制御盤を制御する表示制御盤自動制御部2や電子端末3、CTC(Centralized Traffic Control)やPRC(Programmed Route Control)などの上位システム4、その他の処理部や装置5等が接続される。信号機や転てつ機などの現場機器6は、電子端末3を介して電子連動論理部10に接続される。
【0019】
電子連動論理部10は、第1系10aとこれと同一構成で完全に同一機能の第2系10bとの2重系で構成されている。電子連動論理部10は、CPU(中央処理装置)と、ROM(リード・オンリ・メモリ)と、RAM(ランダム・アクセス・メモリ)とを主要部とした単体でフェールセーフな特性を有するフェールセーフマイコンで構成され、所定のプログラムを実行することでその機能が実現される。
【0020】
電子連動論理部10の各系はそれぞれ、外部入出力部20と、入力データ交換統合部30と、周辺故障検知部40と、連動処理部50と、処理結果比較交換部60と、動作状態管理部70と、処理周期管理部80と、系間伝送手段の1つとしての専用シリアル通信部90と系間伝送手段の他の1つである系間I/O92とを有している。
【0021】
外部入出力部20は、電子連動論理部10と外部との間で入出力を行う機能を有する。また外部入出力部20は、入出力時に発生したエラーや故障の検知を行う機能を有している。ここで“外部”とは、電子端末3、上位システム4など電子連動論理部10に接続される他の処理部の総称である。電子連動論理部10は、動作状態として制御状態と待機状態を備えており、外部入出力部20は、自系が待機状態の場合には、外部への出力を抑止するようになっている。
【0022】
入力データ交換統合部30は、図3に示すように、外部入出力部20によって外部から入力したデータを、専用シリアル通信部90による高速系間伝送を介して自系と他系との間で交換する機能と、交換により入力した他系データと、元々自系が外部から入力した自系データとを統合して機能的に健全側となる確定入力を作成する機能を有している。作成した確定入力はそれぞれの系の連動処理部50に渡される。なお図3では、入力データ交換統合部30以外の機能部分を破線で示してある。
【0023】
ここでは、他系データと自系データとの論理ORをとることで確定入力を作成している。連動処理においては、すべての入出力条件(1ビットごと)の安全側値を“0”(“0”で列車を停止制御する側)に、危険側値を“1”としている。したがって、両系の入力を論理ORすることで確定入力を作成することにより、入力として安全側値と危険側値とが混在する場合に危険側値が優先され(危険側値の入力に基づいて出力が制御される)、より機能的に健全なサイド(列車が通常運行できる側)の確定入力が作成される。
【0024】
連動処理部50は、入力データ交換統合部30の作成した確定入力に基づいて連動処理を実行する部分である。処理結果比較交換部60は、図4に示すように、自系の連動処理部50による連動処理の結果を、専用シリアル通信部90による高速系間伝送を介して自系と他系との間で交換する機能と、交換により入力した他系における連動処理の結果(他系処理結果)と、自系における連動処理の結果(自系処理結果)とを比較する機能を有する。比較結果は、自系の動作状態管理部70に渡される。なお図4では、処理結果比較交換部60以外の機能部分を破線で示してある。
【0025】
周辺故障検知部40は、図5に示すように、外部との入出力処理において検知する入出力時エラーや故障状態をもとに周辺故障の有無を判定する機能を有している。判定結果は、後述する動作状態管理部70のマスタ/スレーブ管理部72に渡される。なお図5では、第1系10aの周辺故障検知部40を示してある。また周辺故障検知部40以外の機能部分は破線で示してある。
【0026】
ここで、周辺故障とは、CPU周辺素子の故障など本体故障とは異なる故障であり、外部との入出力に関する故障や伝送エラーを指し、特に外部との入出力に関する故障や伝送エラーのうち、▲1▼外部出力不能故障、▲2▼第1系10aと第2系10bの処理結果不一致を引き起こす故障を、指す。
【0027】
処理結果不一致を引き起こす故障とは、言い換えると,一方の系が正常入力できている情報の一部、または全部を、別系だけが正常入力できない故障である。たとえば、片系において発生すると両系の処理結果が不一致になる故障として、外部からの入力全断や、入力の一部断等がある。周辺故障検知部40は、各部との入出力において、周辺故障が発生しているか否かをチェックし、入出力において、いずれか1つでも周辺故障が発生している場合には、当該系において“周辺故障あり”と判定するようになっている。
【0028】
動作状態管理部70は、第1系10aと第2系10bの動作状態を管理する機能を果たす部分であり、図6に示すように、自系を制御状態とするか待機状態とするかを管理する制御/待機管理部71と、両系が排他的にマスタとスレーブに分かれるように管理するマスタ/スレーブ管理部72とを有している。動作状態管理部70は、通常動作時は、第1系10aと第2系10bが共に外部への制御権を有して完全に並列で動作する2重系運転がなされるように動作状態を管理する。また片系において故障が発生した場合は、正常系での片系運転モードに移行し、故障系が外部への制御出力を行わないように管理する。さらに両系の処理結果を常時比較し、両系ともに故障(周辺故障)の発生していない状態で処理結果に不一致が発生したとき、片系運転モードに移行し、片系は外部への制御出力を行わないように動作状態を管理する機能を有している。処理結果の不一致が発生した際に、片系運転モードに移行することで、その後の大幅な処理結果の不一致を事前に防止するようになっている。
【0029】
マスタ/スレーブ管理部72は、片系運転モードに移行した場合に2重系のうち継続運転する系(マスタ系)と外部出力を停止する系(スレーブ系)とをあらかじめ決定する機能を有している。マスタ/スレーブ管理部72には、周辺故障の有無、他系が制御状態にあるか否か等の情報が入力され、これらに基づいて自系をマスタとするかスレーブとするかを判定し、その判定結果を制御/待機管理部71に渡すようになっている。
【0030】
図7は、マスタ/スレーブ管理における状態遷移を示している。スレーブからマスタへの遷移aは、連動処理の結果が一致している状態で他系が制御状態でない(待機または停止状態)のときに生じる。マスタからスレーブへの遷移bは、自系に周辺故障があり、かつ他系が制御状態であるときに生じる。このほか、スレーブからマスタへの遷移は、処理結果が不一致の状態で他系が制御状態でない(待機または停止状態)のときに、イニシャルスタートへ遷移し(遷移c)、イニシャルスタートの完了によってマスタへ遷移することによっても生じる。またマスタ・スレーブいずれの状態からも電源断によって自系がダウンした場合には、停止状態に遷移し、電源をオンして立上げたときは、停止状態からスレーブへと遷移するようになっている。
【0031】
制御/待機管理部71は、自系を、外部出力が可能な状態(制御状態)にすべきか、外部出力を抑止すべき状態(待機状態)にすべきかを判定する機能を果たす部分である。図6に示すように、制御/待機管理部71は、他系が制御状態にあるか否かを示す情報、自系がマスタとスレーブのいずれであるかを示す情報、周辺故障の有無、連動処理結果の比較結果等の情報が入力される。制御/待機管理部71は、これらに基づいて自系を制御状態とするか待機状態とするかを判定するとともに、判定結果を他系に伝送するようになっている。
【0032】
図8は、制御/待機管理部71が自系の状態を判定する際の条件を表した制御/待機判定条件表110である。自系がマスタで周辺故障がないときは、他系の状態および連動処理結果の比較結果にかかわらず、制御状態が選択される。また自系がマスタで自系に周辺故障があり、かつ他系が制御状態のときは、自系はマスタからスレーブに遷移することになる。自系がマスタで自系に周辺故障があり、かつ他系が待機状態ならば、制御状態が選択される。すなわち、両系が共に待機状態になることを防止すべく、この場合には周辺故障があってもマスタ系は制御状態を維持するようになっている。
【0033】
自系がスレーブで自系に周辺故障がなく他系が制御状態でかつ連動処理の結果が一致する場合には、制御状態が選択される。また自系がスレーブの場合には、他系が待機状態となるケースは存在しない。これは、他系が待機状態になった時点で、マスタ系に切り替わるためである。自系がスレーブで周辺故障がありかつ他系が制御状態の場合には、連動処理結果の比較結果によらず待機状態が選択される。
【0034】
電子連動論理部10では、処理が周期的に繰り返し行われるようになっており、処理周期管理部80は、第1系10aと第2系10bにおける処理の開始タイミングの同期をとる機能を果たすものである。実際には、図9に示すように、マスタ系から処理の開始タイミングをスレーブ系に通知し、スレーブ系がマスタ系の処理タイミングに同期させて自系の処理を行うようになっている。
【0035】
専用シリアル通信部90は、系間のおける入力データの交換や処理結果の交換をシリアル通信によって行うものである。系間I/O92は、自系が制御状態であるか待機状態にあるかを他系に伝送するものである。制御状態を“1”、待機状態を“0”として系間で状態情報が交換される。当該情報を交換する信号ラインには、フェールセーフマイコンの正常動作条件を挿入し、ある系が動作停止した(正常動作状態でなくなった)場合に、もう一方の系において“他系が制御中でない”状態として認識されるようになっている。
【0036】
次に、単系における動作状態の遷移について図10を参照して説明する。
図10に示す状態遷移は、マスタ/スレーブ管理部72と制御/待機管理部71とにより、総合的に実現される。図中、太実線で示す楕円はマスタ状態を示している。太破線で示す楕円はスレーブ状態を示している。細実線で示す楕円は各種の動作状態を示している。矢印は状態遷移を示している。暗色の部分は外部への制御出力を行う状態を示している。また図中、“制御”の文字は外部への制御出力を行う状態を、“待機”は外部への制御出力を抑止する状態を示している。さらに図中のa〜iは状態遷移の要因を示し、a:周辺故障あり、b:周辺故障なし、c:他系が制御状態、d:他系が制御状態でない(待機または停止状態)、f:処理結果不一致、g:処理結果一致(周辺故障なし)、h:処理結果一致(周辺故障あり)、i:電源オフや動作停止、になっている。
【0037】
ここで、図10に示した状態遷移の特徴的な部分を説明する。マスタのときは連動処理結果の一致不一致を検査せず、スレーブのときだけ検査するようになっている。このように一方の系だけで処理結果の一致不一致を検査するのは、処理結果が不一致の場合にマスタとスレーブの双方が制御権を有する状態を回避すれば良いという観点からである。言い換えると、「機能的に健全な系をマスタ系とし、不一致が発生した場合はその時点でのスレーブ系を待機状態に遷移させる」という考え方になっている。
【0038】
またマスタのときは、自系に周辺故障が生じた場合でも、他系がその時点で制御状態になければ自系をマスタの制御状態に維持するようになっている。すなわち、他系が周辺故障や処理結果不一致によって待機状態にあるときは、当該他系をマスタの制御状態にしても仕方がないし、自系がスレーブの待機状態に遷移すると両系が共にスレーブになってしまうので、他系がマスタに遷移可能な制御状態にない場合には、たとえ周辺故障が生じた場合でも、そのままマスタの制御状態を維持するようになっている。
【0039】
スレーブのときは、処理結果が一致しかつ周辺故障がない場合にはスレーブの正常状態となり、周辺故障の発生によってスレーブの待機状態への遷移aが生じる。また不一致の発生によりスレーブの待機状態への遷移fが生じる。またスレーブは処理結果が一致しかつ周辺故障なくなると、待機状態から制御状態への遷移bもしくは遷移gが生じる。すなわち、スレーブ系においては、周辺故障の有無や処理結果の一致不一致に応じて、制御状態と待機状態との間で状態遷移が生じるようになっている。
【0040】
図11は、上記単系における動作状態の遷移を2重系で動作させた場合の総合的な状態遷移を示した表である。図中、“不一致”は連動処理結果の不一致を示している。“周辺故障”は周辺装置ごとに規定されるインターフェイスに関する故障がいずれかの周辺装置において発生している状態を示している。“ダウン”は電源断、動作停止等の状態を示している。“M/S切換”はマスタ/スレーブ状態を切換える動作を示している。暗色の部分は、制御状態にあることを示している。また升目内の横棒は、当該イベントが発生し得ないことを表している。空白の升目では、当該イベントの発生により系管理状態が影響を受けないことを示している。“( )”等を付した箇所では、マスタ/スレーブ切換えが行われないことを示している。
【0041】
図中の“*1”は、周辺故障時不一致未見地または同時回復の場合である。“*2”は、周辺故障時不一致を検知していて、周辺故障回復後も不一致が回復しない場合である。“*3”は、後立上げ系が正常に他系データを取り込むことができ、潜在的な故障がない場合である。“*4”は、後立上げ系が正常に他系データを取り込むことができないか、その他の理由で不一致が回復しない場合である。“*5”は、立上げ系に潜在的な故障がある場合である。“*6”は、立上げ系に潜在的な故障がない場合である。
【0042】
次に全体の動作を説明する。
第1系10aと第2系10bは、電源の立上げタイミングをずらしてあり、先に立ち上げられた系に周辺故障等がない場合には、他系がまだ制御状態になっていないので、自系がマスタの制御状態になる。一方、後から立上げた系は、他系が既に制御状態になっているので、自系をスレーブの制御状態に設定する。このようにして、両系は、マスタとスレーブに分かれ、それぞれ正常な場合には、共に制御状態になる。
【0043】
その後は、図9に示すように、スレーブ系がマスタ系の処理タイミングに合わせて処理を行うことで、両系は、互いに同期して処理を周期的に行う。
【0044】
各周期の処理において、外部からの入力データが外部入出力部20によって取り込まれる。また自系の取り込んだ入力データが入力データ交換統合部30によって専用シリアル通信部90を通じて他系に伝送され、系間で入力データが交換される。入力データ交換統合部30は、自系の取り込んだ入力データ(自系データ)と他系から伝送されてきた入力データ(他系データ)とを論理OR処理によって統合して確定入力を作成し、これを連動処理部50に引き渡す。連動処理部50は、確定入力に基づいて連動処理を実行する。
【0045】
このように、両系で入力データを交換し、両系の入力を統合して機能的に健全側となる確定入力を作成し、当該確定入力に基づいて連動処理を行うので、列車が適切に運行される状態をより高い信頼性で確保することができる。
【0046】
連動処理部50による処理結果は処理結果比較交換部60によって専用シリアル通信部90を通じて他系に伝送され、系間で処理結果が交換される。スレーブ系の処理結果比較交換部60は、自系の連動処理部50による処理結果と他系から伝送されてきた処理結果とを比較し、比較結果を自系の動作状態管理部70に引き渡す。連動処理の結果が不一致の場合に一方の系が待機状態に遷移すれば十分なので、機能的に健全側の系として位置付けているマスタ系では、連動処理結果の比較は行わない。
【0047】
各系の周辺故障検知部40は、周辺故障の有無を検知し、その結果を自系の動作状態管理部70に通知する。動作状態管理部70は、自系の動作状態(制御/待機)を系間I/O92によって他系に通知する。動作状態管理部70は、周辺故障検知部40から得た周辺故障の有無に関する情報と、スレーブの場合には自系の処理結果比較交換部60による処理結果の比較結果と、他系から伝送されてきた動作状態と、現時点での自系の状態(制御/待機とマスタ/スレーブの状態)とから、図10あるいは図11に示す状態遷移に従って自系の状態を決定し、必要な場合には状態を遷移させる。
【0048】
電子連動装置1では、通常、両系に周辺故障がなくかつ連動処理結果が一致する正常な状態にあるので、常時は第1系10aと第2系10bの両系が共に制御状態となる。これにより、待機2重系のように待機中の系に潜在故障の内在する可能性が無い。また系間で連動処理の結果を交換し、連動処理の結果が両系で一致しているか否かを電子連動論理部自体で判定しかつ不一致の場合に一方の系が自律的に待機状態になるので、2重系運転から片系運転への切換えを1重系回路を設けることなく行うことができ、高い信頼性を得ることができる。また系切換回路を別途設ける必要がないので、システムの価格低減と省スペース化が図られる。さらに系間の情報伝送をシリアル通信で行うことにより、系間に伝送路を2本設けるだけで良く、ハードウェア構成が簡略化されている。
【0049】
このように電子連動装置1は、2重系が完全に独立稼働するのではなく,処理周期の同期,入力データ交換,処理結果交換/比較,といった機能的連携関係を有している。また故障が内在しない(潜在故障が無い)、系切換機構など1重系部分が不要など、デュアルシステムの特徴を実現する一方、連動装置の特徴的機能を実現するためにダイナミックな2重系運転/1重系運転(片系が待機状態)の切替機能を有している。
【0050】
以上、本発明の実施形態を図面によって説明してきたが、具体的な構成はこれら実施の形態に限られるものではなく、本発明の要旨を逸脱しない範囲における変更や追加があっても本発明に含まれる。例えば実施の形態では入力データの統合を、両系の入力データの論理ORをとることによって行ったが、統合処理は、1/0で表されるビット情報以外に列車番号などの数値情報を扱う場合には、単純な論理ORでなく数値情報に情報の正当性を示すフラグを付加し、仮に一方の系から正常情報が、他方の系から非正常情報が入力された場合に、正常側を選択する処理等であってもよい。
【0051】
また実施の形態では、マスタ/スレーブの関係を導入し、両系に周辺故障等がない状態で連動処理の結果が不一致となった場合に、スレーブ系が待機状態に遷移するように定めたが、処理結果が不一致の場合にどちらの系を待機状態にするかの選択は他の手法で行ってもよい。たとえば、両系に周辺故障等がない状態で処理結果が不一致となった際に待機状態へ遷移する系を予め固定的に定めてもよい。
【0052】
なお、実施の形態に示した電子連動装置1は、1重系単独でフェールセーフ特性を保証するようになっているが、当該フェールセーフ特性を確保した上でさらに入力データ交換統合を行うことで、より機能的に健全な制御が確保される。このような入力データ交換統合処理は必ずしも設ける必要は無いが、当該機能を設けることにより、入力データの不一致に起因して連動処理結果の不一致が生じることを回避することができる。また入力データに不一致が生じたことを検出し、オペレータや上位システムに対し、その旨の警報や警告を発生するように構成してもよい。
【0053】
【発明の効果】
本発明にかかる電子連動装置によれば、系間で連動処理の結果等のデータ交換を行い、この交換により自系と他系の状態等を認識した各系が、それぞれ自律的に判断して自系の状態を遷移させることによって、2重系運転と片系運転との切換えが行われるように構成したので、常時は、両系を制御状態にすることができ、待機2重系のように潜在故障の内在する可能性が無い。
【0054】
また2重系運転から片系運転への切換えを1重系回路を設けることなく行うことができるので、システムの信頼性を高めることができる。さらに系切換回路を別途設ける必要がないので、システムの価格低減と省スペース化を図ることができる。
【0055】
さらに制御状態、待機状態という概念とは別にマスタ・スレーブの関係を導入し、両系の状態に応じてマスタとスレーブを排他的に決定することにより、連動処理の結果に応じて待機状態に入るべき系をいずれにすべきかの選択を明確かつ簡易なロジックで行うことが可能になり、スレーブからマスタへの情報の伝送量を軽減したり、待機状態になる一方の系を動的に選定する処理の簡略化が可能になる。
【0056】
さらに外部との入出力にかかわる周辺故障の有無を検知する周辺故障検知手段をそれぞれの電子連動論理部に設け、自系がマスタのときに周辺故障が検知されたときは他系が制御状態であることを条件に自系をスレーブの待機状態にし、自系がスレーブのときに周辺故障が検知されたとき自系を待機状態にし、自系がスレーブの制御状態であって他系が待機状態のとき自系をマスタの制御状態にするように構成したものでは、周辺故障のない正常な系をマスタにしつつ、両系がともにスレーブになってしまうことが防止される。
【0057】
各系への入力を系間で交換し、両系の入力を統合して機能的に健全側となる確定入力を各系で作成し、当該確定入力に基づいて連動処理を行うように構成したものでは、列車が適切に運行される状態をより高い信頼性で確保することができる。
【0058】
電子連動論理部が処理を周期的に行うように構成するとともに、この処理の開始タイミングが一致するように両系を同期させたものでは、各系を自律的に動作させても、同一の入力情報に対する連動処理の結果が対比されることや、同一のタイミングで自系の状態と他系の状態とが対比されることを保証することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係る電子連動装置の有する2重系で構成された電子連動論理部の機能構成を示す説明図である。
【図2】本発明の実施の形態に係る電子連動装置とその周辺装置との接続状態の一例を示すブロック図である。
【図3】本発明の実施の形態に係る電子連動装置の電子連動論理部が有する入力データ交換統合部の処理内容を示す説明図である。
【図4】本発明の実施の形態に係る電子連動装置の電子連動論理部が有する処理結果比較交換部の処理内容を示す説明図である。
【図5】本発明の実施の形態に係る電子連動装置の電子連動論理部が有する周辺故障検知部の処理内容を示す説明図である。
【図6】本発明の実施の形態に係る電子連動装置の電子連動論理部が有する動作状態管理部の処理内容を示す説明図である。
【図7】マスタ/スレーブ管理部が行うマスタ/スレーブ管理処理における状態遷移を示す説明図である。
【図8】制御/待機管理部が行う制御/待機状態管理を行う際の条件の制御/待機判定条件表である。
【図9】本発明の実施の形態に係る電子連動装置の有する2重系で構成された電子連動論理部が両系で処理タイミングの同期をとる様子を表す説明図である。
【図10】本発明の実施の形態に係る電子連動装置の電子連動論理部が有する動作状態管理部の単系における動作状態の遷移を示す説明図である。
【図11】本発明の実施の形態に係る電子連動装置の電子連動論理部が有する動作状態管理部の2重系における動作状態の遷移を一覧で示す遷移表である。
【符号の説明】
1…電子連動装置
2…表示制御盤自動制御部
3…電子端末
4…上位システム
5…その他の処理部や装置
6…現場機器
10…電子連動論理部
10a…第1系
10b…第2系
20…外部入出力部
30…入力データ交換統合部
40…周辺故障検知部
50…連動処理部
60…処理結果比較交換部
70…動作状態管理部
71…制御/待機管理部
72…マスタ/スレーブ管理部
80…処理周期管理部
90…専用シリアル通信部
92…系間I/O
110…制御/待機判定条件表[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an electronic interlocking device that secures the course of a railway vehicle by controlling field devices such as a switch and a traffic light.
[0002]
[Prior art]
In railway stations, equipment that opens the route or displays the possibility of intrusion into the route, such as a turning point, a traffic light, a sign, etc. Many are provided. An electronic interlocking device is adopted as a device for switching them according to arrival, departure, passage, etc. of a train or a maintenance vehicle, etc. and opening a route required by the train etc. safely and quickly.
[0003]
In the electronic interlocking device, in order to improve reliability, a logic unit that executes interlocking processing may be configured in a double system. In such a case, if it is realized by a completely independent parallel dual system logic unit (a configuration in which two logic units having the same function are simply provided in parallel), both systems continue external control with the processing results inconsistent. Therefore, the function as an electronic interlocking device that performs sequence control determined according to the movement of the train or the vehicle cannot be systematically guaranteed. For this reason, in the conventional electronic interlocking device, only one system performs external control, and when a failure occurs in that system, the system is immediately switched to the other system that has been in a standby state until then, and the process continues. The method is adopted.
[0004]
[Problems to be solved by the invention]
In the standby dual system, which has been adopted in the conventional electronic interlocking device, since one system is always in a standby state that is not an actual use state, there is a possibility that a potential failure in the standby system cannot be detected. . In addition, the system switching circuit necessary for realizing the standby dual system function has a single system configuration (or a configuration in which the elements of the single system part are inherent) because of its nature. There is a problem that the reliability of the system part tends to affect the reliability of the entire system.
[0005]
The present invention has been made paying attention to such problems of the prior art, and has a logic unit composed of a dual system, and usually a dual system in which both systems are in a complete operating state. An object of the present invention is to provide an electronic interlocking device which can be operated and can be switched from a double system operation to a single system operation without having a single system part.
[0006]
[Means for Solving the Problems]
The gist of the present invention for achieving the object lies in the inventions of the following items.
[1] In an electronic interlocking device that secures the course of a railway vehicle by controlling field devices such as turning machines and traffic lights,
The electronic interlocking logic unit (10) is provided with two systems having the same configuration and the same function, and the systems are connected by a transmission line.
The electronic interlocking logic unit (10) includes intersystem transmission means (90, 92), interlocking processing means (50), processing result comparison means (60), and operation state management means (70) for the two systems. And peripheral failure detection means (40),
The two-system inter-system transmission means (90, 92) transmits information representing the state of the own system and the result of the interlocking process in the own system to another system,
The two systems of interlock processing means (50) perform interlock processing for controlling field equipment,
The two systems of processing result comparison means (60) determine whether or not the results of the interlock processing match in both systems,
The two-system peripheral fault detection means (40) detects the presence or absence of peripheral faults related to input / output with the outside,
The operation status management means (70) of the two systems always sets the own system to a control state in which control output to an external device can be performed, and determines whether the own system is set as a master or a slave. It is determined exclusively based on the status and the status of the other system, and when the own system is a slave and the result of the linkage processing does not match in both systems, the own system is put into a standby state that suppresses control output to external devices At the same time, if a peripheral failure is detected when the local system is the master, the local system is set to the slave standby state on the condition that the other system is in the control state, and a peripheral failure is detected when the local system is the slave. If the system is in the standby state, and the system is in the slave control state and the other system is in the standby state, the system is set to the master control state.
An electronic interlocking device characterized by that.
[0008]
[2] Each of the electronic interlocking logic units (10) further includes input data exchange integration means (30),
The input data exchange integration means (30) transmits its own system input to the other system using the inter-system transmission means (90, 92), and also inputs the own system input and the input transmitted from the other system. To create a definitive input that is functionally sound,
The interlock processing means (50) performs the interlock processing based on the confirmed input created by the input data exchange integration means (30).
[1] The electronic interlocking device according to [1].
[0009]
[3] The electronic interlocking logic unit (10) periodically performs processing, and synchronizes both systems so that the start timings of the processing match in both systems.
The electronic interlocking device according to [1] or [2], wherein
[0010]
The present invention operates as follows.
Two systems of electronic interlocking logic units (10) are connected to each other by a transmission path. Each of the electronic interlocking logic units (10) includes intersystem transmission means (90, 92), interlocking processing means (50), processing result comparison means (60), and operation state management means (70). . The interlocking processing means (50) of each electronic interlocking logic unit (10) performs interlocking processing for controlling the field equipment, and the result of the interlocking processing in each system is performed by the intersystem transmission means (90, 92). Exchanged between.
[0011]
The processing result comparison means (60) determines whether or not the result of the interlocking processing is the same in both systems. The operation state management means (70) of each system always sets its own system to a control state in which control output to an external device can be performed. In addition, a relationship of master and slave is introduced, and whether to set the own system as the master or the slave is exclusively determined based on the status of the own system and the status of the other system. When the own system is a slave and the result of the interlocking process does not match between the two systems, a transition is made to a standby state in which control output to the slave system's own external device is suppressed.
[0012]
Thus, since both systems are always in the control state, there is no possibility that a latent failure is inherent unlike the standby dual system. In addition, the result of the interlocking process is exchanged between the systems, the electronic interlocking logic unit (10) itself determines whether the result of the interlocking process is the same in both systems, and one system is autonomous in the case of a mismatch. Therefore, the switching from the double operation to the single operation can be performed without providing a single circuit, and the reliability of the system can be improved. In addition, since it is not necessary to provide a separate system switching circuit, the cost of the system can be reduced and the space can be saved.
[0013]
In addition to the concept of control state and standby state, a master / slave relationship is introduced, and the master and slave are determined exclusively according to the state of both systems, so the standby state is set according to the result of the interlocking process. It is possible to select which system should be entered with clear and simple logic. As a result, it is sufficient that only the slave performs matching / mismatching of the interlock processing results, and it becomes possible to reduce processing such as reducing the amount of information transmitted from the slave to the master.
[0014]
Also, peripheral fault detection means (40) for detecting the presence or absence of peripheral faults related to external input / output is provided in each electronic interlocking logic unit (10), and when a peripheral fault is detected when the own system is the master On the condition that the other system is in the control state, the own system is set to the standby state of the slave, and when the local system is a slave, when the peripheral fault is detected, the own system is set to the standby state, and the own system is in the control state of the slave. When the other system is in the standby state, set the own system to the master control state. With such a configuration, it is possible to prevent both systems from becoming slaves while making a normal system without peripheral failures as a master.
[0015]
Also, the input to each system is exchanged between the systems, and in each system, the input of the own system and the input transmitted from the other system are integrated, and the definite input that is functionally sound is input data integration means And linked processing is performed in each system based on the determined input. In this way, by exchanging inputs between the systems, integrating the inputs of both systems and creating a confirmed input that is functionally sound in each system, and performing interlock processing based on the confirmed input, train It is possible to secure a state where the vehicle is properly operated with higher reliability.
[0016]
For example, if the safety side value of all input / output conditions (one bit) in the interlocking process is “0” (the side that stops the train with “0”) and “1” is the dangerous side value, both systems If a definite input is created by performing a logical OR (“1” is given priority), the dangerous value is given priority when the safe value and the dangerous value are mixed. Since the output is controlled based on the input), it is possible to create a definite input of a more functionally sound side (side on which the train can normally operate).
[0017]
The electronic interlocking logic unit (10) is configured to perform processing periodically, and in the case where both systems are synchronized so that the start timing of this processing matches, even if each system is operated autonomously, It is possible to guarantee that the results of the interlocking processing performed in each system for the same input information are compared, and that the state of the own system and the state of the other system are compared at the same timing. .
[0018]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 shows an electronic interlocking logic unit 10 composed of a double system, and FIG. 2 shows an electronic interlocking device 1 and its peripheral devices according to this embodiment. The electronic interlocking device 1 is a device having the electronic interlocking logic unit 10 as a core. The electronic interlocking logic unit 10 includes a display control panel automatic control unit 2 and an electronic terminal 3 that control a display control panel (not shown), a host system 4 such as CTC (Centralized Traffic Control) and PRC (Programmed Route Control), and the like. The processing unit, the device 5 and the like are connected. A field device 6 such as a traffic light or a switch is connected to the electronic interlocking logic unit 10 via the electronic terminal 3.
[0019]
The electronic interlocking logic unit 10 is composed of a double system of a first system 10a and a second system 10b having the same configuration and the same function. The electronic interlocking logic unit 10 is a fail-safe microcomputer having a fail-safe characteristic with a CPU (Central Processing Unit), ROM (Read Only Memory), and RAM (Random Access Memory) as main parts. The function is realized by executing a predetermined program.
[0020]
Each system of the electronic interlocking logic unit 10 includes an external input / output unit 20, an input data exchange integration unit 30, a peripheral failure detection unit 40, an interlock processing unit 50, a processing result comparison / exchange unit 60, and an operation state management. Section 70, processing cycle management section 80, dedicated serial communication section 90 as one of the intersystem transmission means, and intersystem I / O 92 which is another intersystem transmission means.
[0021]
The external input / output unit 20 has a function of performing input / output between the electronic interlocking logic unit 10 and the outside. Further, the external input / output unit 20 has a function of detecting an error or failure that has occurred during input / output. Here, “external” is a generic term for other processing units connected to the electronic interlocking logic unit 10 such as the electronic terminal 3 and the host system 4. The electronic interlocking logic unit 10 includes a control state and a standby state as operation states, and the external input / output unit 20 is configured to suppress output to the outside when the own system is in a standby state.
[0022]
As shown in FIG. 3, the input data exchange integration unit 30 transfers data input from the outside by the external input / output unit 20 between the own system and another system via high-speed intersystem transmission by the dedicated serial communication unit 90. It has a function of exchanging, a function of creating a definite input that is functionally sound by integrating the other system data input by the exchange and the own system data originally input from the outside by the own system. The created confirmation input is transferred to the interlocking processing unit 50 of each system. In FIG. 3, functional parts other than the input data exchange integration unit 30 are indicated by broken lines.
[0023]
Here, the deterministic input is created by taking a logical OR of the other system data and the own system data. In the interlocking process, the safe side value of all input / output conditions (one bit at a time) is set to “0” (the side on which the train is stopped and controlled by “0”), and the dangerous side value is set to “1”. Therefore, by creating a deterministic input by logically ORing the inputs of both systems, the dangerous value is given priority when the safe value and the dangerous value are mixed as inputs (based on the input of the dangerous value). The output is controlled), and a definitive input for the more functionally sound side (the side on which the train can normally operate) is created.
[0024]
The interlocking processing unit 50 is a part that executes interlocking processing based on the confirmed input created by the input data exchange integration unit 30. As shown in FIG. 4, the processing result comparison / exchange unit 60 transmits the result of the interlocking process by the own system interlocking processing unit 50 between the own system and the other system via high-speed intersystem transmission by the dedicated serial communication unit 90. And the function of comparing the result of the interlocking process in the other system (the result of the other system process) input by the replacement with the result of the interlocking process in the host system (the result of the own system process). The comparison result is passed to the own operation state management unit 70. In FIG. 4, functional parts other than the processing result comparison / exchange unit 60 are indicated by broken lines.
[0025]
As shown in FIG. 5, the peripheral failure detection unit 40 has a function of determining the presence or absence of a peripheral failure based on an input / output error or a failure state detected in input / output processing with the outside. The determination result is passed to the master / slave management unit 72 of the operation state management unit 70 described later. In FIG. 5, the peripheral failure detection unit 40 of the first system 10a is shown. Functional parts other than the peripheral failure detection unit 40 are indicated by broken lines.
[0026]
Here, the peripheral failure is a failure different from the main body failure, such as a failure of a CPU peripheral element, and refers to a failure or transmission error related to external input / output. (1) A failure that disables external output. (2) A failure that causes a mismatch in processing results between the first system 10a and the second system 10b.
[0027]
In other words, a failure that causes a mismatch in processing results is a failure in which only one system can normally input part or all of information that can be normally input by one system. For example, when a failure occurs in one system, the processing results of both systems do not coincide with each other. The peripheral fault detection unit 40 checks whether or not a peripheral fault has occurred in the input / output with each unit. If any one of the peripheral faults has occurred in the input / output, the peripheral fault detection unit 40 It is determined that there is a peripheral failure.
[0028]
The operation state management unit 70 is a part that performs the function of managing the operation states of the first system 10a and the second system 10b. As shown in FIG. 6, the operation state management unit 70 determines whether the own system is in a control state or a standby state. It has a control / standby management unit 71 that manages, and a master / slave management unit 72 that manages so that both systems are exclusively divided into a master and a slave. During normal operation, the operation state management unit 70 sets the operation state so that both the first system 10a and the second system 10b have a control right to the outside and are operated in a completely parallel system. to manage. Further, when a failure occurs in one system, the system is shifted to the one-system operation mode in the normal system and managed so that the failure system does not perform control output to the outside. Furthermore, the processing results of both systems are constantly compared, and if there is a mismatch between the processing results in the absence of a failure (peripheral failure) in both systems, the system shifts to one-system operation mode and one system is controlled externally. It has a function of managing the operation state so as not to output. When a mismatch in processing results occurs, the process shifts to the one-system operation mode, thereby preventing a subsequent significant mismatch in processing results.
[0029]
The master / slave management unit 72 has a function of predetermining a system that continuously operates (master system) and a system that stops external output (slave system) among the dual systems when the system shifts to the single system operation mode. ing. The master / slave management unit 72 is input with information such as the presence or absence of a peripheral failure and whether or not the other system is in the control state, and based on these, it is determined whether the own system is set as a master or a slave, The determination result is passed to the control / standby management unit 71.
[0030]
FIG. 7 shows a state transition in the master / slave management. The transition a from the slave to the master occurs when the result of the interlocking process is the same and the other system is not in the control state (standby or stopped state). The transition b from the master to the slave occurs when there is a peripheral fault in the own system and the other system is in the control state. In addition, the transition from the slave to the master transitions to the initial start (transition c) when the processing result is inconsistent and the other system is not in the control state (standby or stopped state), and the master starts upon completion of the initial start. It also occurs by transitioning to. In addition, when the power supply is shut down from either the master or slave state, the system transitions to the stopped state, and when the power is turned on and started up, the system transitions from the stopped state to the slave. Yes.
[0031]
The control / standby management unit 71 is a part that performs a function of determining whether the own system should be in a state in which external output is possible (control state) or a state in which external output should be suppressed (standby state). As shown in FIG. 6, the control / standby management unit 71 includes information indicating whether or not the other system is in the control state, information indicating whether the own system is a master or a slave, presence / absence of a peripheral failure, linkage Information such as comparison results of processing results is input. Based on these, the control / standby management unit 71 determines whether to set the own system to the control state or the standby state, and transmits the determination result to the other system.
[0032]
FIG. 8 is a control / standby determination condition table 110 showing conditions when the control / standby management unit 71 determines the state of the own system. When the own system is the master and there is no peripheral failure, the control state is selected regardless of the state of the other system and the comparison result of the interlock processing result. When the own system is the master and there is a peripheral fault in the own system and the other system is in the control state, the own system transitions from the master to the slave. If the own system is the master and there is a peripheral fault in the own system and the other system is in the standby state, the control state is selected. That is, in order to prevent both systems from entering a standby state, in this case, the master system maintains the control state even if there is a peripheral failure.
[0033]
When the own system is a slave and there is no peripheral fault in the own system, the other system is in the control state and the result of the interlocking process matches, the control state is selected. When the own system is a slave, there is no case where the other system is in a standby state. This is because the master system is switched to when the other system enters the standby state. When the own system is a slave and there is a peripheral failure and the other system is in the control state, the standby state is selected regardless of the comparison result of the interlock processing results.
[0034]
In the electronic interlocking logic unit 10, the processing is periodically repeated. The processing cycle management unit 80 functions to synchronize the processing start timings in the first system 10a and the second system 10b. It is. In practice, as shown in FIG. 9, the master system notifies the slave system of the processing start timing, and the slave system performs the processing of its own system in synchronization with the processing timing of the master system.
[0035]
The dedicated serial communication unit 90 performs exchange of input data and exchange of processing results between systems by serial communication. The inter-system I / O 92 transmits to the other system whether the own system is in the control state or the standby state. State information is exchanged between systems with the control state set to “1” and the standby state set to “0”. When a normal operating condition of a fail-safe microcomputer is inserted into the signal line for exchanging the information, and one system stops operating (it is no longer in a normal operating state), “the other system is not in control” in the other system “It is recognized as a state.
[0036]
Next, the transition of the operation state in the single system will be described with reference to FIG.
The state transition shown in FIG. 10 is comprehensively realized by the master / slave management unit 72 and the control / standby management unit 71. In the figure, an ellipse indicated by a thick solid line indicates a master state. An ellipse indicated by a thick broken line indicates a slave state. Ellipses indicated by thin solid lines indicate various operating states. Arrows indicate state transitions. A dark color portion indicates a state in which control output to the outside is performed. In the figure, “control” indicates a state in which control output to the outside is performed, and “standby” indicates a state in which control output to the outside is suppressed. Further, a to i in the figure indicate the cause of state transition, a: peripheral failure, b: no peripheral failure, c: other system is in control state, d: other system is not in control state (standby or stop state), f: processing result mismatch, g: processing result matching (no peripheral failure), h: processing result matching (with peripheral failure), i: power off or operation stop.
[0037]
Here, the characteristic part of the state transition shown in FIG. 10 will be described. When the master is a master, the matching process result is not checked for coincidence, but only when the slave is a slave. The reason for checking whether the processing results match or not by using only one system in this way is that it is only necessary to avoid a state in which both the master and the slave have control authority when the processing results do not match. In other words, the concept is “a functionally sound system is set as a master system, and when a mismatch occurs, a slave system at that time is shifted to a standby state”.
[0038]
In the case of the master, even if a peripheral failure occurs in the own system, the own system is maintained in the control state of the master if the other system is not in the control state at that time. In other words, when the other system is in a standby state due to a peripheral fault or processing result mismatch, there is no way to set the other system to the master control state, and both systems become slaves when the local system transitions to the slave standby state. Therefore, when the other system is not in a control state in which it can be transferred to the master, even if a peripheral failure occurs, the control state of the master is maintained as it is.
[0039]
In the case of a slave, if the processing results match and there is no peripheral failure, the slave enters a normal state, and a transition a to the standby state of the slave occurs due to the occurrence of a peripheral failure. Moreover, the transition f to the standby state of the slave occurs due to the occurrence of mismatch. In addition, when the processing results of the slaves coincide with each other and no peripheral failure occurs, transition b or transition g from the standby state to the control state occurs. That is, in the slave system, a state transition occurs between the control state and the standby state in accordance with the presence / absence of a peripheral failure and the coincidence / mismatch of the processing results.
[0040]
FIG. 11 is a table showing overall state transitions when operating state transitions in the single system are operated in a double system. In the figure, “mismatch” indicates a mismatch of the interlock processing results. “Peripheral failure” indicates a state in which a failure related to an interface defined for each peripheral device occurs in any of the peripheral devices. “Down” indicates a state such as power interruption or operation stop. “M / S switching” indicates an operation of switching the master / slave state. The dark color portion indicates that it is in the control state. A horizontal bar in the grid indicates that the event cannot occur. A blank cell indicates that the system management state is not affected by the occurrence of the event. A part marked with “()” indicates that master / slave switching is not performed.
[0041]
“* 1” in the figure is the case of unmatched failure at the time of peripheral failure or simultaneous recovery. “* 2” is a case where a mismatch at the time of a peripheral failure is detected and the mismatch is not recovered after the recovery from the peripheral failure. “* 3” is a case where the post-startup system can normally capture other system data and there is no potential failure. “* 4” is a case where the post-startup system cannot normally capture the other system data, or the mismatch does not recover for other reasons. “* 5” is when there is a potential failure in the startup system. “* 6” is a case where there is no potential failure in the startup system.
[0042]
Next, the overall operation will be described.
The first system 10a and the second system 10b are shifted in the power-on timing, and when there is no peripheral failure or the like in the system that was started up earlier, the other system is not yet in the control state. The local system enters the master control state. On the other hand, the system started up later sets the own system to the slave control state because the other system is already in the control state. In this way, both systems are divided into a master and a slave, and when both are normal, both are in a control state.
[0043]
Thereafter, as shown in FIG. 9, the slave system performs processing in accordance with the processing timing of the master system, so that both systems perform processing periodically in synchronization with each other.
[0044]
In each cycle, external input data is taken in by the external input / output unit 20. Also, the input data captured by the own system is transmitted to the other system through the dedicated serial communication unit 90 by the input data exchange integration unit 30, and the input data is exchanged between the systems. The input data exchange integration unit 30 integrates the input data acquired by the own system (own system data) and the input data transmitted from the other system (other system data) by a logical OR process to create a definite input, This is handed over to the interlocking processing unit 50. The interlocking processing unit 50 executes interlocking processing based on the confirmed input.
[0045]
In this way, the input data is exchanged between the two systems, the inputs of both systems are integrated to create a definite input that is functionally sound, and the interlocking process is performed based on the deterministic input. The operating state can be ensured with higher reliability.
[0046]
The processing result by the interlock processing unit 50 is transmitted to another system through the dedicated serial communication unit 90 by the processing result comparison / exchange unit 60, and the processing result is exchanged between the systems. The slave processing result comparison / exchange unit 60 compares the processing result of the own system interlocking processing unit 50 with the processing result transmitted from the other system, and delivers the comparison result to the operating state management unit 70 of the own system. Since it is sufficient for one system to transition to the standby state when the results of the interlocking process do not match, the master system functionally positioned as a healthy system does not compare the interlocking process results.
[0047]
The peripheral failure detection unit 40 of each system detects the presence or absence of a peripheral failure and notifies the operation status management unit 70 of the own system of the result. The operation state management unit 70 notifies the other system of the operation state (control / standby) of the own system through the intersystem I / O 92. The operating state management unit 70 transmits information about the presence or absence of the peripheral fault obtained from the peripheral fault detection unit 40, the comparison result of the processing result by the processing result comparison / exchange unit 60 of the own system in the case of the slave, and the transmission from the other system. The local state is determined according to the state transition shown in FIG. 10 or FIG. 11 based on the operating state and the current state of the local system (control / standby and master / slave state). Transition state.
[0048]
Since the electronic interlocking device 1 is normally in a normal state where there is no peripheral failure in both systems and the interlocking processing results match, both the first system 10a and the second system 10b are always in the control state. As a result, there is no possibility of a potential failure inherent in the standby system as in the standby dual system. Also, the result of the interlocking process is exchanged between the systems, and the electronic interlocking logic unit itself determines whether or not the result of the interlocking process is the same in both systems. Therefore, switching from the double system operation to the single system operation can be performed without providing a single system circuit, and high reliability can be obtained. In addition, since it is not necessary to provide a separate system switching circuit, the system can be reduced in cost and space. Further, by performing information transmission between the systems by serial communication, it is only necessary to provide two transmission paths between the systems, and the hardware configuration is simplified.
[0049]
As described above, the electronic interlocking device 1 does not operate the duplex system completely independently, but has a functional linkage such as processing cycle synchronization, input data exchange, and processing result exchange / comparison. In addition, while realizing the dual system features such as no inherent failure (no latent failure) and no need for a single system part such as a system switching mechanism, dynamic dual system operation to realize the characteristic functions of the interlocking device / Single system operation (one system is in standby state).
[0050]
The embodiments of the present invention have been described with reference to the drawings. However, the specific configuration is not limited to these embodiments, and the present invention can be modified or added without departing from the scope of the present invention. included. For example, in the embodiment, the input data is integrated by taking a logical OR of the input data of both systems. However, the integration process handles numerical information such as a train number in addition to the bit information represented by 1/0. In this case, a flag indicating the validity of the information is added to the numerical information instead of a simple logical OR. If normal information is input from one system and abnormal information is input from the other system, the normal side is Processing to select may be used.
[0051]
In the embodiment, the master / slave relationship is introduced, and it is determined that the slave system transitions to the standby state when the result of the interlocking process is inconsistent when there is no peripheral failure in both systems. The selection of which system is set to the standby state when the processing results do not match may be performed by another method. For example, a system that transitions to a standby state when processing results do not match in a state where there is no peripheral failure or the like in both systems may be fixed in advance.
[0052]
In addition, although the electronic interlocking device 1 shown in the embodiment guarantees fail-safe characteristics by a single system alone, it further performs input data exchange integration after ensuring the fail-safe characteristics. More functionally sound control is ensured. Such an input data exchange integration process is not necessarily provided, but by providing this function, it is possible to avoid a mismatch in the results of the interlocking process due to a mismatch in input data. Further, it may be configured to detect that a mismatch occurs in the input data and generate an alarm or warning to that effect to the operator or the host system.
[0053]
【The invention's effect】
According to the electronic interlocking device according to the present invention, data such as the result of interlocking processing is exchanged between the systems, and each system that recognizes the status of the own system and the other system by this exchange autonomously judges each. Since switching between the dual system operation and the single system operation is performed by transitioning the state of the own system, both systems can be in the control state at all times, like a standby dual system There is no possibility of latent faults inherent in
[0054]
In addition, since the switching from the dual system operation to the single system operation can be performed without providing a single system circuit, the reliability of the system can be improved. Furthermore, since it is not necessary to provide a separate system switching circuit, it is possible to reduce the system price and save space.
[0055]
In addition to the concept of control state and standby state, a master / slave relationship is introduced, and the master and slave are exclusively determined according to the state of both systems, so that the standby state is entered according to the result of the interlocking process. It becomes possible to select the power system to be clear with simple and simple logic, reduce the amount of information transmitted from the slave to the master, or dynamically select one system that is in the standby state Processing can be simplified.
[0056]
In addition, peripheral fault detection means for detecting the presence or absence of peripheral faults related to external input / output is provided in each electronic interlocking logic unit, and when a peripheral fault is detected when the local system is the master, the other system is in the controlled state. On the condition that the local system is in the standby state of the slave, the local system is in the standby state when a peripheral fault is detected when the local system is a slave, the local system is in the slave control state, and the other system is in the standby state In this case, the system configured to bring the own system into the control state of the master can prevent both systems from becoming slaves while making a normal system without peripheral failures as a master.
[0057]
The system is configured to exchange inputs to each system, create inputs that are functionally sound by integrating the inputs of both systems, and perform linked processing based on the determined inputs. In the thing, the state by which a train is appropriately operated can be ensured with higher reliability.
[0058]
When the electronic interlocking logic unit is configured so that processing is performed periodically, and both systems are synchronized so that the start timing of this processing matches, the same input is possible even if each system is operated autonomously. It can be ensured that the result of the interlocking process for the information is compared, and that the state of the own system and the state of the other system are compared at the same timing.
[Brief description of the drawings]
FIG. 1 is an explanatory diagram showing a functional configuration of an electronic interlocking logic unit configured by a dual system included in an electronic interlocking device according to an embodiment of the present invention;
FIG. 2 is a block diagram showing an example of a connection state between the electronic interlocking device and its peripheral devices according to the embodiment of the present invention.
FIG. 3 is an explanatory diagram showing processing contents of an input data exchange integration unit included in an electronic interlocking logic unit of the electronic interlocking device according to the embodiment of the present invention.
FIG. 4 is an explanatory diagram illustrating processing contents of a processing result comparison / exchange unit included in the electronic interlocking logic unit of the electronic interlocking device according to the embodiment of the present invention.
FIG. 5 is an explanatory diagram showing processing contents of a peripheral fault detection unit included in the electronic interlocking logic unit of the electronic interlocking device according to the embodiment of the present invention.
FIG. 6 is an explanatory diagram illustrating processing contents of an operation state management unit included in the electronic interlocking logic unit of the electronic interlocking device according to the embodiment of the present invention.
FIG. 7 is an explanatory diagram showing state transition in a master / slave management process performed by a master / slave management unit;
FIG. 8 is a control / standby determination condition table of conditions when performing control / standby state management performed by a control / standby management unit;
FIG. 9 is an explanatory diagram illustrating a state in which an electronic interlocking logic unit configured by a dual system included in the electronic interlocking device according to the embodiment of the present invention synchronizes processing timings in both systems.
FIG. 10 is an explanatory diagram showing transition of operation states in a single system of the operation state management unit included in the electronic interlocking logic unit of the electronic interlocking device according to the embodiment of the present invention.
FIG. 11 is a transition table showing a list of operation state transitions in a dual system of the operation state management unit included in the electronic interlocking logic unit of the electronic interlocking device according to the embodiment of the present invention.
[Explanation of symbols]
1 ... Electronic interlocking device
2 ... Display control panel automatic control section
3 ... Electronic terminal
4 ... Host system
5. Other processing units and devices
6 ... Field equipment
10 ... Electronic interlocking logic part
10a ... 1st system
10b 2nd system
20 ... External input / output unit
30. Input data exchange integration unit
40. Peripheral failure detection unit
50. Interlocking processing unit
60 ... Processing result comparison / exchange section
70: Operating state management unit
71 ... Control / standby management unit
72. Master / slave management unit
80 ... Processing cycle management unit
90 ... Dedicated serial communication unit
92 ... Intersystem I / O
110 ... Control / standby judgment condition table

Claims (3)

転てつ機や信号機などの現場機器を制御して鉄道車両の進路を安全に確保する電子連動装置において、
電子連動論理部を同一構成で同一機能とした2系統設けるとともに系間を伝送路で接続し、
前記電子連動論理部は前記2系統にそれぞれ、系間伝送手段と、連動処理手段と、処理結果比較手段と、動作状態管理手段と、周辺故障検知手段とを備え、
前記2系統の系間伝送手段は、自系の状態を表す情報と自系における連動処理の結果を他系に伝送し、
前記2系統の連動処理手段は、現場機器を制御するための連動処理を行い、
前記2系統の処理結果比較手段は、連動処理の結果が両系で一致しているか否かを判定し、
前記2系統の周辺故障検知手段は、外部との入出力にかかわる周辺故障の有無を検知し、
前記2系統の動作状態管理手段は、常時は自系を外部機器への制御出力を行い得る制御状態に設定し、自系をマスタに設定するかスレーブに設定するかを自系の状態と他系の状態とに基づいて排他的に決定し、自系がスレーブであって連動処理の結果が両系で一致しないとき自系を外部機器への制御出力を抑止する待機状態にするとともに、自系がマスタのときに周辺故障が検知された場合には、他系が制御状態であることを条件に自系をスレーブの待機状態にし、自系がスレーブの時に周辺故障が検知された場合は自系を待機状態にし、自系がスレーブの制御状態にあって他系が待機状態のとき自系をマスタの制御状態とする
ことを特徴とする電子連動装置。In an electronic interlocking device that secures the course of railway vehicles by controlling field devices such as turning machines and traffic lights,
Two systems with the same function and the same function as the electronic interlocking logic unit are installed, and the systems are connected by a transmission line.
The electronic interlocking logic unit includes intersystem transmission means, interlocking processing means, processing result comparison means, operation state management means, and peripheral failure detection means for the two systems,
The transmission system between the two systems transmits information indicating the status of the own system and the result of the interlocking process in the own system to the other system,
The two systems of interlocking processing means perform interlocking processing for controlling field equipment,
The two systems of processing result comparison means determine whether or not the results of the interlock processing match in both systems,
The peripheral fault detection means of the two systems detect the presence or absence of peripheral faults related to external input / output,
The operation status management means of the two systems always sets the own system to a control state capable of performing control output to an external device, and determines whether the own system is set as a master or a slave and other states. exclusively determined on the basis of the state of the system, together with its own system is in a standby state to suppress a control output of the own system when the result of the link process a slave does not match with both systems to an external device, self When a peripheral failure is detected when the system is the master, if the local system is in the slave standby state on the condition that the other system is in the controlled state, and a peripheral failure is detected when the local system is the slave An electronic interlocking device , wherein the own system is set in a standby state, and when the own system is in a slave control state and the other system is in a standby state, the own system is set in a master control state . 前記電子連動論理部はそれぞれ、入力データ交換統合手段をさらに備え、
前記入力データ交換統合手段は、自系の入力を前記系間伝送手段を用いて他系に伝送するとともに、自系の入力と他系から伝送されてきた入力とを統合して機能的に健全となる確定入力を作成し、
前記連動処理手段は、前記入力データ交換統合手段の作成した確定入力に基づいて前記連動処理を行う
ことを特徴とする請求項に記載の電子連動装置。Each of the electronic interlocking logic units further comprises input data exchange integration means,
The input data exchange integration unit transmits the own system input to the other system using the inter-system transmission unit, and integrates the input of the own system and the input transmitted from the other system and is functionally sound. Create a finalized input that becomes
The electronic interlocking device according to claim 1 , wherein the interlocking processing unit performs the interlocking processing based on a confirmed input created by the input data exchange integration unit. 前記電子連動論理部は、処理を周期的に行うとともに、両系で前記処理の開始タイミングが一致するように両系を同期させた
ことを特徴とする請求項1または2に記載の電子連動装置。 3. The electronic interlocking device according to claim 1, wherein the electronic interlocking logic unit periodically performs processing, and synchronizes both systems so that the start timings of the processing match in both systems. .
JP2002218442A 2002-07-26 2002-07-26 Electronic interlocking device Expired - Lifetime JP3813909B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002218442A JP3813909B2 (en) 2002-07-26 2002-07-26 Electronic interlocking device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002218442A JP3813909B2 (en) 2002-07-26 2002-07-26 Electronic interlocking device

Publications (2)

Publication Number Publication Date
JP2004058793A JP2004058793A (en) 2004-02-26
JP3813909B2 true JP3813909B2 (en) 2006-08-23

Family

ID=31939632

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002218442A Expired - Lifetime JP3813909B2 (en) 2002-07-26 2002-07-26 Electronic interlocking device

Country Status (1)

Country Link
JP (1) JP3813909B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7313845B2 (en) * 2019-03-06 2023-07-25 日本信号株式会社 railway control system
JP7209611B2 (en) * 2019-10-17 2023-01-20 公益財団法人鉄道総合技術研究所 electronic interlocking device
CN110968021A (en) * 2019-12-20 2020-04-07 上海亨钧科技股份有限公司 Interlocking machine dual-system switching system and control method
CN114407975B (en) * 2021-12-21 2024-04-19 合肥工大高科信息科技股份有限公司 Hot standby method of execution unit of all-electronic interlocking system and hot standby interlocking system

Also Published As

Publication number Publication date
JP2004058793A (en) 2004-02-26

Similar Documents

Publication Publication Date Title
CN105187248B (en) A kind of redundancy switching system
CN103647781A (en) Mixed redundancy programmable control system based on equipment redundancy and network redundancy
JP2003502981A (en) Safety-related automation bus systems
CA1138970A (en) Railway control signal dynamic input interlocking systems
WO2020143243A1 (en) Dual-system hot backup switching method and system applied to automatic running system of train
CN108008624A (en) Rob power logic control element
CN113867129A (en) Redundancy control method, device and system, computer equipment and storage medium
JP3668632B2 (en) Railway safety control device and security control system
CN113682348A (en) Novel interlocking dual-computer switching method based on communication
JP3813909B2 (en) Electronic interlocking device
JPH04307633A (en) Multiplex controller
JP3302499B2 (en) Double system equipment
JP3652232B2 (en) Microcomputer error detection method, error detection circuit, and microcomputer system
JP3255934B2 (en) Basic processing unit and highly reliable computer system
CN113885392B (en) Fuse-free discrete output safety state escape protection system for safety output
JPH0371237A (en) Parallel double system processor and its operating method
KR100205031B1 (en) Synchronous controlling system of dual control system
JPH05265594A (en) Uninterruptive computer
JPH085380B2 (en) Parallel multiple electronic interlocking device
JPH11168502A (en) Communication fault processor and communication fault processing method
KR940010206B1 (en) Unit(1:1) circuit of data transmission device
JPS5929890B2 (en) Preliminary switching control method
JPH10240555A (en) Fault-tolerant data processing system and its method
JPH06103444B2 (en) Standby dual programmable controller switching method
JPS60214048A (en) Data processor quaranteed in signal technology

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051026

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060314

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060320

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060523

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060601

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3813909

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100609

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100609

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110609

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110609

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120609

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120609

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130609

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130609

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130609

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term