JP4243742B2 - Fail-safe controller - Google Patents

Fail-safe controller Download PDF

Info

Publication number
JP4243742B2
JP4243742B2 JP20730398A JP20730398A JP4243742B2 JP 4243742 B2 JP4243742 B2 JP 4243742B2 JP 20730398 A JP20730398 A JP 20730398A JP 20730398 A JP20730398 A JP 20730398A JP 4243742 B2 JP4243742 B2 JP 4243742B2
Authority
JP
Japan
Prior art keywords
output
control
alternating signal
unit
alternating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP20730398A
Other languages
Japanese (ja)
Other versions
JP2000039902A (en
Inventor
剛 竹原
伸一朗 山口
直人 宮崎
道雄 藤原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP20730398A priority Critical patent/JP4243742B2/en
Priority to EP99929892A priority patent/EP1132788B1/en
Priority to DE69911992T priority patent/DE69911992T2/en
Priority to PCT/JP1999/003871 priority patent/WO2000005630A1/en
Publication of JP2000039902A publication Critical patent/JP2000039902A/en
Application granted granted Critical
Publication of JP4243742B2 publication Critical patent/JP4243742B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Safety Devices In Control Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はフェールセーフコントローラに係り、特に、制御対象を制御するための制御出力として、交番信号を用いたフェールセーフコントローラに関する。
【0002】
【従来の技術】
信号機や踏切の制御装置においては、制御装置の故障が発生してシステムを停止せざるを得ない場合に、システムとして安全な状態で(例えば信号機を赤にする、踏切を閉じた状態にする)停止させる必要がある。
【0003】
システムの安全性を高めるための手法として、鉄道分野のように制御周期の長い制御システムでは制御出力として交番信号(交流信号のようなもの)を用いる手法がある。以下、この手法について図9を用いて説明する。
【0004】
フェールセーフコントローラ1は、制御対象6の状態を入力3として取り込み、制御演算処理を実行する。フェールセーフコントローラ1は、演算処理の結果を一定周期の交番信号または固定値信号に変換して制御出力2として出力する。制御出力2は整流回路4に入力され、整流回路4は、一定周期の交番信号が入力されたときのみ論理値1を出力し、それ以外の信号が入力された場合には論理値0を出力する。制御対象6は、整流回路4の出力が論理値0のときに安全な状態に駆動され、整流回路4の出力が論理値1のときに危険が伴う状態に駆動される。したがって、コントローラ1の出力2は、交番信号であるときに危険側出力と定義され、固定値信号であるときに安全側出力と定義される。
【0005】
コントローラ1に異常が発生した場合、制御出力2としては論理値1または論理値0として固定されることが多いが、固定値信号は安全側出力とみなされるので、制御対象6が危険側に駆動されることはなく、システムを安全な状態に保つことができる。
【0006】
この交番信号を生成する方法としては、図10に示すように、制御演算処理プログラム中に、交番信号周期毎に交番信号を生成する交番出力処理ルーチンを埋め込む手法がある(これは、通常、シングルスレッド構造と呼ばれている)。交番出力処理は、その制御周期の間の出力が危険側出力であるならば、出力の値の反転出力(1の場合に0に、0の場合に1にする)を繰り返し、制御周期の間の出力が安全側であるならば、出力の値を制御周期の間一定にする。システムに異常が発生し、制御演算処理が停止すると、交番出力処理も同時に停止し、出力は固定値となり安全側出力が出続けるので、システムの安全性は保たれる。
【0007】
【発明が解決しようとする課題】
しかしながら、図10に示した手法では、制御演算処理プログラムを作成した後に、交番信号周期毎にプログラムを分割し、交番出力処理ルーチンを埋め込む必要がある。またプログラムの変更をする場合において、交番信号周期がずれないように、再度プログラムの分割を行う必要が生じる。
【0008】
このように従来の技術では、制御周期や制御演算処理内容の一部の変更であっても、プログラム分割が必要となるため、プログラムの生産効率が非常に悪くなってしまう。また、交番信号の周期は、制御演算周期に比べ十分小さいことが要求されるため、制御演算処理に交番出力処理を埋め込むためには、多大な労力が必要とされる。
【0009】
また、フェールセーフコントローラにおいても低価格化の要求が高まっており、開発費や開発期間の削減が重要である。このため、システムの共通化が必須となっている。共通化を実現するためには、各応用への展開が容易に可能となるようなシステム構成が必要である。そのためにも、交番信号出力処理を容易にする方法が望まれている。
【0010】
本発明の目的は、演算処理プログラムの作成・変更を容易に行うことができ、システムの生産性向上を図ることが可能なフェールセーフコントローラを提供することである。
【0011】
【課題を解決するための手段】
上記目的を達成するために、請求項1に記載の発明は、制御対象の状態入力を取り込んで演算処理を行い、その演算処理結果を交番信号に変換するとともに、その交番信号に基づいてシステムを安全側に制御するフェールセーフコントローラにおいて、予め設定された制御周期毎に発生される制御周期開始トリガに応答して前記状態入力を取り込んで演算処理を行その演算処理結果を出力するとともに前記制御周期開始トリガを出力する制御演算部と、前記制御周期開始トリガが入力されたときに前記演算処理結果を取り込んで保持するレジスタと、タイマ割込みによって前記レジスタに保持された前記演算処理結果を取り込んで交番信号に変換し、その交番信号を前記制御対象を制御するための制御出力として出力する交番信号出力部と、前記交番信号を監視して、前記制御演算部に異常が発生していることが分かったときは交番信号の出力を抑止する出力監視部とを備えたことを特徴としている。
【0012】
上記構成によれば、交番信号の出力処理を行う出力部が制御演算部から分離されるため、制御演算部は交番信号の出力処理を意識することなく演算処理プログラムの作成・変更を容易に行うことができ、演算処理系の生産性が向上する。
【0013】
上記構成のように制御演算部から交番信号出力部を分離すると、制御演算部で異常が発生し、交番信号を発生させる指令が制御演算部から交番信号出力部に対して出続けた場合、フェールセーフコントローラは危険側出力を出力し続ける可能性がある。ところが、請求項1に記載の発明では、出力監視部が交番信号を監視して、制御演算部に異常が発生していることが分かったときは交番信号の出力を抑止するので、システムの安全性を保つことができる。
【0014】
交番信号の出力処理のタイミングを合わせるために、前記制御演算部は、前交番信号出力部に対して、交番信号に変換する処理の開始を指示する制御周期開始トリガを送るように構成されている。
【0015】
また、前記交番信号出力部には、交番信号の周期を設定するタイマからタイマ割込みが送信される
【0016】
交番信号を監視して交番信号の出力を抑止するには請求項のように構成することができる。すなわち、請求項に記載の発明は、前記出力監視は、前記交番信号出力部が出力した交番信号の交番回数を計測する計測手段と、交番回数の上限値を設定する上限値設定手段と、前記計測手段で計測した交番回数が前記上限値設定手段で設定された交番回数の上限値に達したときに、前記制御出力の出力を停止する出力制御手段とを有することを特徴としている。
【0017】
なお、前記上限値設定手段を、設定した交番回数の上限値を変更できるよう構成することもできる。また前記出力制御手段を、前記計測手段で計測した交番回数が前記上限値設定手段で設定された交番回数の上限値に達したとき、その旨を外部に通達するように構成することもできる
【0018】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照しながら説明する。
図1は本発明に係るフェールセーフコントローラの全体構成を示している。図において、フェールセーフコントローラ1は制御対象の状態入力3を取り込んで制御演算処理を実行し、その演算処理結果を交番信号または固定値信号に変換して制御出力2として出力する。このようなフェールセーフコントローラ1は、例えば踏切制御システムでは、踏切への列車の接近を踏切制御装置に通達する踏切制御子や、踏切装置に故障が発生した場合に踏切故障を通達する踏切故障検出器などの入力装置からの入力情報に合わせて、列車の接近・通過を光と音で警報する踏切警報機や、道路の通行を遮断する踏切遮断機等を制御するために設置される。
【0019】
フェールセーフコントローラ1は、制御演算部10と出力部11とから構成されている。制御演算部10は制御演算処理を実行して演算出力12を出力するとともに、制御周期のはじめに、制御周期開始トリガ13としてパルス信号を出力し、出力部2に制御周期の開始を通達する。制御周期開始トリガ13は、出力部11内の交番信号出力部111と出力監視部112にそれぞれ入力される。
【0020】
出力部11は、交番信号の周期を設定するタイマ110と、演算出力12を基に交番信号を生成する交番信号出力部111と、交番信号出力部111からの交番出力114を監視して制御出力2の出力/停止を制御する出力監視部112とから構成されている。
【0021】
タイマ110は、交番信号の周期毎にタイマ割込み113を出力する。従来のシングルスレッド構造では、制御演算部の処理の流れにより交番信号周期を管理しているため、制御演算部と交番出力処理部を独立に動作させることができなかった。本実施の形態では、交番信号の周期はタイマ110により管理されるため、出力部11は、タイマ割込み113により、制御演算部10での演算処理とは非同期に交番信号を出力することが可能となる。
【0022】
交番信号出力部111は、演算出力12の値を制御周期開始トリガ13が入力される毎に取り込む。また交番信号出力部111は、タイマ割込み113が入力される毎に、取り込んだ演算結果が論理値1の場合には、タイマ割込み113が入力される以前の出力の値を反転し(1を0に、0を1にする)、論理値0の場合には、タイマ割込み113が入力される以前の出力の値を維持して、交番出力114として出力する。
【0023】
出力監視部112は、制御周期開始トリガ13により交番出力114の観測を開始し、実際に制御対象に渡される制御出力2の出力を制御する。
【0024】
制御演算部10は、出力部11に対して演算出力12と制御周期開始トリガ13を受け渡すだけで、出力部11からの干渉は受けない。また、出力部11は、タイマ110からのタイマ割込み113により交番信号生成処理を実行する。このため、制御演算部10は、出力の信号変換を意識する必要はなくなり、制御演算部10と出力部11とを非同期に動作させることができる。
【0025】
図2は、図1に示した制御演算部10及び出力部11の動作のタイムチャートである。制御演算部10は、制御周期のはじめに制御周期開始トリガ13を出力する。次に、制御演算を行うために、制御対象の状態入力3を取り込む。取り込んだ値を基にして制御演算が実行され、演算が終了すると演算出力12を出力する。次の制御周期に遷移する時には、制御周期開始トリガ13が出力され、以降では同様の処理が繰り返される。
【0026】
出力部11は、制御周期開始トリガ13が入力されると、前制御周期の演算出力12を取り込む。そして、出力部11は、タイマ割込み113によって、取り込んだ演算結果の値を交番信号に変換する処理が起動される。
このように、同一の制御周期の間は、制御演算部10と出力部11は互いに干渉することなく、それぞれ独立に動作する。
【0027】
図3は、図1に示した交番信号出力部111の構成図である。交番信号出力部111は、図3に示すように、演算出力12の値を保持するレジスタ1110と、交番信号を生成して交番出力1114を出力する交番出力生成部1111と、出力された交番出力1114を保持する出力レジスタ1112とから構成されている。
【0028】
レジスタ1110は、制御周期開始トリガ13が入力されたときに、演算出力12の値を取り込む。そしてレジスタ1110は、取り込んだ演算出力12の値を、再度、制御周期開始トリガ13が入力されるまで保持する。すなわち、一つの制御周期の間は、レジスタ1110の値は変化せず、次の制御周期へ遷移する場合においてのみレジスタ1110の値が変化する。
出力レジスタ1112は、出力レジスタ1112への交番出力1114が変化するまで交番出力114の値を保持する。
【0029】
交番出力生成部1111は、タイマ割込み113により動作が起動する。以下図4のフローチャートを参照して交番出力生成部1111の動作を説明する。交番出力生成部1111は、ステップ11110において、レジスタ1110からの出力1113の値が論理値1か、または論理値0かを判断する。論理値1である場合には、ステップ11111において、出力レジスタ1112に保持されている値を反転(論理値1のとき論理値0に、論理値0のとき論理値1に)する。論理値0である場合には、出力レジスタ1112に保持されている値を変化させず、出力レジスタ1112へ入力する。以上の処理が実行された後、割り込み処理が終了する。このようにして、交番出力生成部1111は、レジスタに保持された演算結果を交番信号または固定値信号に変換することができる。
【0030】
出力レジスタ1112への入力値の変化は、タイマ割り込み113により交番出力生成部1111の動作が起動したときであるので、交番出力114の信号周期は、タイマ割り込み113の発生間隔により決定される。
【0031】
図5は、図1に示した出力監視部112の構成図である。出力監視部112は、交番出力114の交番回数を計測するカウンタ1121と、予め設定された交番回数の上限値1124を保持する設定レジスタ1120と、カウンタ1121からの値1125と予め設定されたカウンタ上限値1124とを比較する大小比較器1122と、交番信号の出力/停止を制御する出力制御部1123とから構成されている。なお、ここでは、カウンタ1121は計測手段を、設定レジスタ1120は上限値設定手段を、大小比較器1122と出力制御部1123は出力制御手段をそれぞれ構成している。
【0032】
カウンタ1121は、交番出力114が出力されている場合に、交番出力114の立ち上がりを見て、交番信号の出力回数を計測する。カウンタ1121は、制御周期開始トリガ13が1パルス入力されると値がリセットされる。大小比較器1122は、カウンタ1121からの値1125が、設定レジスタ1120からの上限値1124よりも大きくなった場合に、出力停止信号1126を論理値1として出力する。
【0033】
出力停止信号1126は出力制御部11に入力され、出力制御部11は、出力停止信号1126が論理値1となると、制御出力2として交番信号が出力されることを抑止する。このとき、カウンタ1121は計測動作を継続しており、カウンタ1121からの値1125はカウンタ上限値1124よりも大きい状態を維持し続ける。このため、大小比較器1122は出力停止信号1126を論理値1として出力し続け、これによって、制御出力2は固定値を、すなわち安全側出力として出力され続ける。
【0034】
カウンタ1121からの値1125がカウンタ上限値1124よりも大きくなるのは、制御周期以上の時間が経過しても制御周期開始トリガ13からパルス信号が出力されず、カウンタ1121がリセットされない状態である。この状態を、制御演算部10に異常が発生した状態と見なすことにより、システムの安全性を確保することができる。
【0035】
ここで、カウンタ上限値1124が小さいと、制御周期の途中でカウンタ1121の値1125がカウンタ上限値1124より大きくなり、システムに異常がないにも関わらず出力が停止される可能性がある。そこで、制御周期をTc、交番信号周期をTxとし、カウンタ上限値をNrとすると、
Nr>(Tc/Tx)
の条件を満たすようにNrを設定することにより、制御周期の間の交番信号出力が保証される。
【0036】
また、出力停止信号1126を、外部に送信することにより、出力監視部112で検出した異常を上位の制御装置に通達したり、システムの電源を遮断したりするように構成することも可能である。
【0037】
図6は、図5に示したカウンタ1121の動作と、出力に関する各信号を時系列で表したタイムチャートである。図6において、T1のタイミングで制御周期開始トリガ13の立ち下がりを見て、カウンタ1121の値がリセットされる。T1で演算出力14の値が1であるので、交番出力114は交番信号が出力される。カウンタ1121は、交番出力114の交番回数を計測する。T2のタイミングまでに、カウンタの値は設定値に達しないため、T2まで制御出力2は交番信号を出力し続ける。
【0038】
T2で制御周期開始トリガ13の立ち下がりを検出すると、カウンタ1121の値は再びリセットされる。T2で演算出力14の値が0であるので、交番出力114は固定した値(図では0固定)が出力される。カウンタ1121は、交番出力114の信号変化がないために計測を行わず、カウンタ1121の値は増加しない。
【0039】
次に、T3のタイミングからT1のタイミングと同様にカウンタ1121の値の増加が開始するが、ここで制御演算部10において異常が発生し、演算処理が停止すると、制御周期が経過しても制御周期開始トリガ13が現れず、カウンタ1121が計測を続ける。
【0040】
そして、T4のタイミングでカウンタ1121からの値1125が設定値1124よりも大きくなると、T4以降は出力停止信号1126に論理値1が出力される。制御出力2は、T4まで交番信号を出力しているが、出力停止信号1126によりT4以降の制御出力2は論理値0を出力し続け、システムは安全側に保たれる。
【0041】
最も単純な応用例としては、システム自身の健全性を交番信号で出力する事が考えられる。この場合は、特別な制御演算は必要なく、演算出力14は常に論理値1であり、制御演算部10は制御周期毎に制御周期開始トリガ13としてパルス信号を出力するだけでよい。これにより交番出力部11は交番信号を出力し続ける。システムに異常が発生し、制御演算部10の処理が停止すると、制御周期開始トリガ13が出力されなくなるため、出力監視部112により交番信号出力が抑止される。したがって、交番信号の出力の有無で、システムの健全性を知ることができる。
【0042】
以上の説明では本発明をハードウェア的に実施した例を示したが、図7のように各構成要素をソフトウェアとして実現することも可能である。この場合、アプリケーションプログラム70の一部に制御演算部700を、OS/ミドルウェア71の一部に交番出力部710と出力監視部711とを、ハードウェア72の一部にタイマ720をそれぞれ割り当てる。アプリケーションプログラム70は状態入力75に基づいて一定制御周期で処理を実行しており、ハードウェア72内部のタイマ720により交番周期毎にタイマ割込み76が発生し、割込み処理として、演算出力73を参照して交番出力処理が実行される。OS/ミドルウェア71は、割込み処理の実行回数を計測することにより、出力監視処理が実行され、出力74の出力/停止を制御することが可能である。
【0043】
図8は、図7に示したシステム構成における制御演算部700と交番出力部710の動作のタイムチャートである。制御演算部700の実行中に、交番信号周期毎のタイマ割込み76により、交番出力部710に処理が移行する。交番出力部710の処理が終了すると制御演算部700に処理が復帰する。交番信号周期はタイマ割込み76によって管理されるため、制御演算部700は、交番周期毎の出力処理を意識する必要はない。したがって、タイマ割込み76を用いることにより、制御演算部700と交番出力部710とは、互いに非同期に動作することが可能である。
【0044】
【発明の効果】
以上説明したように、本発明によれば、交番信号の出力処理を行う出力部が制御演算部から分離されるため、制御演算部は交番信号の出力処理を意識することなく演算処理プログラムの作成・変更を行うことができ、システムの生産性向上を図ることが可能となる。
【0045】
また、出力部は交番出力を監視して、制御演算部に異常が発生していると分かったときには交番出力を停止するので、システムの安全性を確保することが可能となる。
【図面の簡単な説明】
【図1】本発明に係るフェールセーフコントローラの全体構成図である。
【図2】図1に示した制御演算部及び出力部の動作のタイムチャートである。
【図3】図1に示した交番出力部の詳細構成図である。
【図4】図3に示した交番出力生成部での交番信号生成のフローチャートである。
【図5】図1に示した出力監視部の詳細構成図である。
【図6】図5に示したカウンタの動作及び信号のタイムチャートである。
【図7】本発明をソフトウェアとして実施した場合の一例を示した図である。
【図8】図7に示した制御演算部及び交番出力部の動作のタイムチャートである。
【図9】交番信号出力を用いてシステムを安全側に制御する一例を示した図である。
【図10】従来の交番信号出力方法(シングルスレッド構造)を示した図である。
【符号の説明】
1 フェールセーフコントローラ
2 制御出力
3 状態入力
6 制御対象
10 制御演算部
11 出力部
12 演算出力
13 制御周期開始トリガ
110 タイマ
111 交番信号出力部
112 出力監視部
113 タイマ割込み
114 交番出力
1110 レジスタ
1111 交番出力生成部
1112 出力レジスタ
1120 設定レジスタ
1121 カウンタ
1122 大小比較器
1123 出力制御部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a fail-safe controller, and more particularly to a fail-safe controller that uses an alternating signal as a control output for controlling a controlled object.
[0002]
[Prior art]
In a traffic light or level crossing control device, when the control device fails and the system must be stopped, the system is in a safe state (for example, the traffic light is turned red or the level crossing is closed). It needs to be stopped.
[0003]
As a method for improving the safety of the system, there is a method of using an alternating signal (such as an AC signal) as a control output in a control system having a long control cycle as in the railway field. Hereinafter, this method will be described with reference to FIG.
[0004]
The fail safe controller 1 takes in the state of the controlled object 6 as an input 3 and executes a control calculation process. The fail safe controller 1 converts the result of the arithmetic processing into an alternating signal or a fixed value signal having a constant period, and outputs it as a control output 2. The control output 2 is input to the rectifier circuit 4. The rectifier circuit 4 outputs a logical value 1 only when an alternating signal having a fixed period is input, and outputs a logical value 0 when other signals are input. To do. The control target 6 is driven to a safe state when the output of the rectifier circuit 4 is a logical value 0, and is driven to a state involving danger when the output of the rectifier circuit 4 is a logical value 1. Therefore, the output 2 of the controller 1 is defined as a dangerous output when it is an alternating signal, and is defined as a safe output when it is a fixed value signal.
[0005]
When an abnormality occurs in the controller 1, the control output 2 is often fixed as a logical value 1 or a logical value 0. However, since the fixed value signal is regarded as a safe output, the controlled object 6 is driven to the dangerous side. It is never done and the system can be kept safe.
[0006]
As a method for generating this alternating signal, as shown in FIG. 10, there is a method of embedding an alternating output processing routine for generating an alternating signal every alternating signal period in the control arithmetic processing program (this is usually a single signal). Called thread structure). In the alternating output process, if the output during the control cycle is a dangerous output, the output value is inverted (0 when 1 and 1 when 0) during the control cycle. If the output is safe, the output value is kept constant during the control cycle. When an abnormality occurs in the system and the control calculation process stops, the alternating output process also stops at the same time, the output becomes a fixed value and the safe side output continues to be output, so that the safety of the system is maintained.
[0007]
[Problems to be solved by the invention]
However, in the method shown in FIG. 10, after creating the control calculation processing program, it is necessary to divide the program every alternating signal cycle and embed an alternating output processing routine. Further, when changing the program, it is necessary to divide the program again so that the alternating signal cycle does not shift.
[0008]
As described above, according to the conventional technique, even if the control cycle and the contents of the control calculation processing are partially changed, the program is required to be divided, so that the production efficiency of the program is extremely deteriorated. Further, since the cycle of the alternating signal is required to be sufficiently smaller than the control computation cycle, a great deal of labor is required to embed the alternating output processing in the control computation processing.
[0009]
In addition, there is an increasing demand for lower prices in fail-safe controllers, and it is important to reduce development costs and development periods. For this reason, system sharing is essential. In order to realize commonality, a system configuration that enables easy application to each application is required. Therefore, a method for facilitating the alternating signal output process is desired.
[0010]
An object of the present invention is to provide a fail-safe controller capable of easily creating / changing an arithmetic processing program and capable of improving system productivity.
[0011]
[Means for Solving the Problems]
In order to achieve the above object, the invention described in claim 1 takes in the state input of the controlled object and performs arithmetic processing, converts the arithmetic processing result into an alternating signal, and converts the system based on the alternating signal. in the fail-safe controller for controlling the safety side, the control outputs of the row have the operation result of the arithmetic processing takes in the state input in response to a control cycle start trigger is generated to a preset control for each cycle a control arithmetic unit for outputting a cycle start trigger, a register for holding captures the operation result when the control period start trigger is input, captures the operation result held in said register by a timer interrupt It converted to alternating signals, the alternating signal output unit for outputting the alternating signal as a control output for controlling the control target And monitoring said alternating signal when an abnormality in the control arithmetic unit has found to be generated is characterized in that an output monitoring part for preventing the output of the alternating signal.
[0012]
According to the above configuration, since the output unit that performs the output process of the alternating signal is separated from the control arithmetic unit, the control arithmetic unit can easily create and change the arithmetic processing program without being aware of the output process of the alternating signal. This can improve the productivity of the arithmetic processing system.
[0013]
When the alternating signal output unit is separated from the control calculation unit as in the above configuration, if an abnormality occurs in the control calculation unit and a command to generate an alternating signal continues to be output from the control calculation unit to the alternating signal output unit, The safe controller may continue to output dangerous output. However, in the first aspect of the invention, the output monitoring unit monitors the alternating signal and suppresses the output of the alternating signal when it is found that an abnormality has occurred in the control arithmetic unit. Can keep sex.
[0014]
In order to match the timing of the output processing of the alternating signal, the control arithmetic unit, to the pre-Symbol alternating signal output unit, configured to send the control cycle start trigger for instructing the start of processing for converting the alternating signal Yes.
[0015]
Further, the alternating signal output unit, a timer interrupt is sent from the timer to set the period of the exchange numbering signal.
[0016]
In order to suppress the output of the alternating signal by monitoring the alternating signal, it can be configured as in claim 3 . That is, according to the invention described in claim 3 , the output monitoring unit includes a measuring unit that measures the number of alternations of the alternation signal output from the alternation signal output unit, and an upper limit value setting unit that sets an upper limit value of the alternation number of times. And an output control means for stopping the output of the control output when the number of alternating times measured by the measuring means reaches the upper limit value of the alternating number of times set by the upper limit value setting means.
[0017]
Incidentally, the upper limit setting unit may be configured so that can change the upper limit of the number of alternations was set boss. The said output control means, when the number of alternations measured in the previous SL measuring means has reached the upper limit value of alternating count set by said upper limit setting unit may be configured to notice that to the outside .
[0018]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 shows the overall configuration of a fail-safe controller according to the present invention. In the figure, the fail safe controller 1 takes in a state input 3 to be controlled and executes control arithmetic processing, converts the arithmetic processing result into an alternating signal or a fixed value signal, and outputs it as a control output 2. Such a fail-safe controller 1 is, for example, in a crossing control system, a crossing controller that notifies the crossing control device of the approach of the train to the crossing, or a crossing failure detection that notifies a crossing failure when a failure occurs in the crossing device. It is installed to control railroad crossing alarms that warn and approach trains with light and sound, and railroad crossing barriers that block road traffic, etc.
[0019]
The fail safe controller 1 includes a control calculation unit 10 and an output unit 11. The control calculation unit 10 executes a control calculation process and outputs a calculation output 12 and outputs a pulse signal as a control cycle start trigger 13 at the beginning of the control cycle, and notifies the output unit 2 of the start of the control cycle. The control cycle start trigger 13 is input to the alternating signal output unit 111 and the output monitoring unit 112 in the output unit 11, respectively.
[0020]
The output unit 11 monitors and controls the timer 110 that sets the cycle of the alternating signal, the alternating signal output unit 111 that generates the alternating signal based on the calculation output 12, and the alternating output 114 from the alternating signal output unit 111. 2 and an output monitoring unit 112 that controls output / stop.
[0021]
The timer 110 outputs a timer interrupt 113 for each cycle of the alternating signal. In the conventional single thread structure, since the alternating signal period is managed by the processing flow of the control arithmetic unit, the control arithmetic unit and the alternating output processing unit cannot be operated independently. In this embodiment, since the cycle of the alternating signal is managed by the timer 110, the output unit 11 can output the alternating signal asynchronously with the arithmetic processing in the control arithmetic unit 10 by the timer interrupt 113. Become.
[0022]
The alternating signal output unit 111 takes in the value of the calculation output 12 every time the control cycle start trigger 13 is input. Further, every time the timer interrupt 113 is input, the alternating signal output unit 111 inverts the value of the output before the timer interrupt 113 is input (1 is changed to 0) when the fetched calculation result is a logical value 1. When the logical value is 0, the output value before the timer interrupt 113 is input is maintained and output as the alternating output 114.
[0023]
The output monitoring unit 112 starts observing the alternating output 114 by the control cycle start trigger 13 and controls the output of the control output 2 that is actually passed to the control target.
[0024]
The control calculation unit 10 simply passes the calculation output 12 and the control cycle start trigger 13 to the output unit 11, and does not receive interference from the output unit 11. Further, the output unit 11 executes an alternating signal generation process by a timer interrupt 113 from the timer 110. For this reason, it is not necessary for the control calculation unit 10 to be aware of the signal conversion of the output, and the control calculation unit 10 and the output unit 11 can be operated asynchronously.
[0025]
FIG. 2 is a time chart of operations of the control calculation unit 10 and the output unit 11 shown in FIG. The control calculation unit 10 outputs a control cycle start trigger 13 at the beginning of the control cycle. Next, in order to perform the control calculation, the state input 3 to be controlled is fetched. A control calculation is executed based on the fetched value, and a calculation output 12 is output when the calculation ends. When transitioning to the next control cycle, the control cycle start trigger 13 is output, and thereafter the same processing is repeated.
[0026]
When the control cycle start trigger 13 is input, the output unit 11 takes in the calculation output 12 of the previous control cycle. Then, the output unit 11 is activated by the timer interrupt 113 to convert the fetched operation result value into an alternating signal.
Thus, during the same control cycle, the control calculation unit 10 and the output unit 11 operate independently without interfering with each other.
[0027]
FIG. 3 is a block diagram of the alternating signal output unit 111 shown in FIG. As shown in FIG. 3, the alternating signal output unit 111 includes a register 1110 that holds the value of the operation output 12, an alternating output generation unit 1111 that generates an alternating signal and outputs the alternating output 1114, and the output alternating output And an output register 1112 that holds 1114.
[0028]
The register 1110 takes in the value of the calculation output 12 when the control cycle start trigger 13 is input. The register 1110 holds the fetched value of the calculation output 12 until the control cycle start trigger 13 is input again. That is, the value of the register 1110 does not change during one control cycle, and the value of the register 1110 changes only when transitioning to the next control cycle.
The output register 1112 holds the value of the alternating output 114 until the alternating output 1114 to the output register 1112 changes.
[0029]
The alternating output generation unit 1111 is activated by a timer interrupt 113. The operation of the alternating output generation unit 1111 will be described below with reference to the flowchart of FIG. In step 11110, the alternating output generation unit 1111 determines whether the value of the output 1113 from the register 1110 is a logical value 1 or a logical value 0. If the logical value is 1, in step 11111, the value held in the output register 1112 is inverted (the logical value is 0 when the logical value is 1, and the logical value is 1 when the logical value is 0). If the logical value is 0, the value held in the output register 1112 is not changed and is input to the output register 1112. After the above processing is executed, the interrupt processing ends. In this way, the alternating output generation unit 1111 can convert the calculation result held in the register into an alternating signal or a fixed value signal.
[0030]
Since the change of the input value to the output register 1112 is when the operation of the alternating output generation unit 1111 is started by the timer interrupt 113, the signal cycle of the alternating output 114 is determined by the generation interval of the timer interrupt 113.
[0031]
FIG. 5 is a configuration diagram of the output monitoring unit 112 shown in FIG. The output monitoring unit 112 includes a counter 1121 that measures the number of alternations of the alternation output 114, a setting register 1120 that holds a preset upper limit value 1124 of the number of alternations, a value 1125 from the counter 1121, and a preset counter upper limit. It comprises a magnitude comparator 1122 that compares the value 1124 and an output control unit 1123 that controls the output / stop of the alternating signal. Here, the counter 1121 constitutes a measuring means, the setting register 1120 constitutes an upper limit value setting means, and the magnitude comparator 1122 and the output control unit 1123 constitute an output control means.
[0032]
When the alternating output 114 is output, the counter 1121 observes the rising of the alternating output 114 and measures the number of output of the alternating signal. The value of the counter 1121 is reset when one pulse of the control cycle start trigger 13 is input. The magnitude comparator 1122 outputs the output stop signal 1126 as a logical value 1 when the value 1125 from the counter 1121 becomes larger than the upper limit value 1124 from the setting register 1120.
[0033]
The output stop signal 1126 is input to the output control unit 11, and the output control unit 11 suppresses the output of the alternating signal as the control output 2 when the output stop signal 1126 becomes a logical value 1. At this time, the counter 1121 continues the measurement operation, and the value 1125 from the counter 1121 continues to be kept larger than the counter upper limit value 1124. For this reason, the magnitude comparator 1122 continues to output the output stop signal 1126 as a logical value 1, whereby the control output 2 continues to be output as a fixed value, that is, as a safe side output.
[0034]
The value 1125 from the counter 1121 becomes larger than the counter upper limit value 1124 in a state where the pulse signal is not output from the control cycle start trigger 13 and the counter 1121 is not reset even when a time longer than the control cycle has elapsed. By regarding this state as a state in which an abnormality has occurred in the control calculation unit 10, the safety of the system can be ensured.
[0035]
Here, if the counter upper limit value 1124 is small, the value 1125 of the counter 1121 becomes larger than the counter upper limit value 1124 in the middle of the control cycle, and there is a possibility that the output is stopped although there is no abnormality in the system. Therefore, if the control cycle is Tc, the alternating signal cycle is Tx, and the counter upper limit value is Nr,
Nr> (Tc / Tx)
By setting Nr so as to satisfy the following condition, an alternating signal output during the control period is guaranteed.
[0036]
Further, by transmitting the output stop signal 1126 to the outside, it is possible to notify an abnormality detected by the output monitoring unit 112 to a higher-level control device or to shut off the system power. .
[0037]
FIG. 6 is a time chart showing the operation of the counter 1121 shown in FIG. 5 and each signal related to the output in time series. In FIG. 6, the value of the counter 1121 is reset when the falling of the control cycle start trigger 13 is observed at the timing of T1. Since the value of the calculation output 14 is 1 at T1, an alternating signal is output from the alternating output 114. The counter 1121 measures the number of alternations of the alternation output 114. Since the counter value does not reach the set value by the timing of T2, the control output 2 continues to output the alternating signal until T2.
[0038]
When the falling edge of the control cycle start trigger 13 is detected at T2, the value of the counter 1121 is reset again. Since the value of the calculation output 14 is 0 at T2, the alternating output 114 is output with a fixed value (fixed to 0 in the figure). The counter 1121 does not perform measurement because there is no signal change in the alternating output 114, and the value of the counter 1121 does not increase.
[0039]
Next, the value of the counter 1121 starts increasing from the timing T3 in the same manner as the timing T1, but when an abnormality occurs in the control calculation unit 10 and the calculation processing is stopped, the control is continued even if the control cycle elapses. The cycle start trigger 13 does not appear and the counter 1121 continues to measure.
[0040]
When the value 1125 from the counter 1121 becomes larger than the set value 1124 at the timing of T4, a logical value 1 is output to the output stop signal 1126 after T4. The control output 2 outputs an alternating signal until T4, but the control output 2 after T4 continues to output the logical value 0 by the output stop signal 1126, and the system is kept on the safe side.
[0041]
As the simplest application example, it is conceivable to output the soundness of the system itself as an alternating signal. In this case, no special control calculation is required, the calculation output 14 is always the logical value 1, and the control calculation unit 10 only needs to output a pulse signal as the control cycle start trigger 13 for each control cycle. Thereby, the alternating output unit 11 continues to output the alternating signal. When an abnormality occurs in the system and the processing of the control calculation unit 10 is stopped, the control cycle start trigger 13 is not output, so that the output monitoring unit 112 suppresses the alternating signal output. Therefore, the soundness of the system can be known from the presence or absence of the output of the alternating signal.
[0042]
In the above description, an example in which the present invention is implemented in hardware is shown, but each component can be realized as software as shown in FIG. In this case, the control arithmetic unit 700 is assigned to a part of the application program 70, the alternating output unit 710 and the output monitoring unit 711 are assigned to a part of the OS / middleware 71, and the timer 720 is assigned to a part of the hardware 72. The application program 70 executes processing at a constant control cycle based on the state input 75, and a timer interrupt 76 is generated at every alternating cycle by the timer 720 inside the hardware 72, and the arithmetic output 73 is referred to as interrupt processing. The alternate output process is executed. The OS / middleware 71 can control the output / stop of the output 74 by executing the output monitoring process by measuring the number of execution times of the interrupt process.
[0043]
FIG. 8 is a time chart of operations of the control calculation unit 700 and the alternating output unit 710 in the system configuration shown in FIG. During the execution of the control arithmetic unit 700, the processing shifts to the alternating output unit 710 by the timer interrupt 76 for every alternating signal cycle. When the process of the alternating output unit 710 ends, the process returns to the control calculation unit 700. Since the alternating signal cycle is managed by the timer interrupt 76, the control calculation unit 700 does not need to be aware of the output processing for each alternating cycle. Therefore, by using the timer interrupt 76, the control arithmetic unit 700 and the alternating output unit 710 can operate asynchronously with each other.
[0044]
【The invention's effect】
As described above, according to the present invention, since the output unit that performs the output processing of the alternating signal is separated from the control arithmetic unit, the control arithmetic unit creates the arithmetic processing program without being aware of the output processing of the alternating signal.・ Changes can be made and system productivity can be improved.
[0045]
Further, the output unit monitors the alternating output and stops the alternating output when it is found that an abnormality has occurred in the control arithmetic unit, so that the safety of the system can be ensured.
[Brief description of the drawings]
FIG. 1 is an overall configuration diagram of a fail-safe controller according to the present invention.
FIG. 2 is a time chart of operations of a control calculation unit and an output unit shown in FIG.
FIG. 3 is a detailed configuration diagram of an alternating output unit shown in FIG. 1;
4 is a flowchart of alternating signal generation in the alternating output generation unit shown in FIG. 3;
FIG. 5 is a detailed configuration diagram of an output monitoring unit shown in FIG. 1;
6 is a time chart of the operation and signals of the counter shown in FIG.
FIG. 7 is a diagram showing an example when the present invention is implemented as software.
8 is a time chart of operations of a control calculation unit and an alternating output unit shown in FIG.
FIG. 9 is a diagram showing an example of controlling the system to the safe side using an alternating signal output.
FIG. 10 is a diagram showing a conventional alternating signal output method (single thread structure).
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 Fail safe controller 2 Control output 3 State input 6 Control object 10 Control operation part 11 Output part 12 Operation output 13 Control period start trigger 110 Timer 111 Alternate signal output part 112 Output monitoring part 113 Timer interrupt 114 Alternate output 1110 Register 1111 Alternate output Generation unit 1112 Output register 1120 Setting register 1121 Counter 1122 Size comparator 1123 Output control unit

Claims (3)

制御対象の状態入力を取り込んで演算処理を行い、その演算処理結果を交番信号に変換するとともに、その交番信号に基づいてシステムを安全側に制御するフェールセーフコントローラにおいて、
予め設定された制御周期毎に発生される制御周期開始トリガに応答して前記状態入力を取り込んで演算処理を行その演算処理結果を出力するとともに前記制御周期開始トリガを出力する制御演算部と、
前記制御周期開始トリガが入力されたときに前記演算処理結果を取り込んで保持するレジスタと、
タイマ割込みによって前記レジスタに保持された前記演算処理結果を取り込んで交番信号に変換し、その交番信号を前記制御対象を制御するための制御出力として出力する交番信号出力部と、
前記交番信号を監視して、前記制御演算部に異常が発生していることが分かったときは交番信号の出力を抑止する出力監視部と、を備えたことを特徴とするフェールセーフコントローラ。In the fail-safe controller that takes in the state input of the control target, performs arithmetic processing, converts the arithmetic processing result into an alternating signal, and controls the system to the safe side based on the alternating signal.
There row arithmetic processing takes in the state input in response to a control cycle start trigger is generated to a preset control for each cycle and a control arithmetic unit which outputs the control period starting trigger outputs the calculation result ,
A register that captures and holds the calculation processing result when the control cycle start trigger is input ;
An alternating signal output unit that takes in the arithmetic processing result held in the register by a timer interrupt and converts it into an alternating signal, and outputs the alternating signal as a control output for controlling the control target ;
A fail-safe controller, comprising: an output monitoring unit that monitors the alternating signal and suppresses the output of the alternating signal when it is found that an abnormality has occurred in the control arithmetic unit. 請求項1に記載のフェールセーフコントローラにおいて、前記交番信号出力部は、前記演算処理結果が前記システムの危険側のとき交番信号に変換し、その交番信号を前記制御対象を制御するための制御出力として出力し、前記演算処理結果が前記システムの安全側のとき前記演算処理結果を前記制御対象を制御するための制御出力としてそのまま出力し、前記出力監視部は前記交番信号が前記制御周期を越えて継続したとき、前記制御演算部に異常が発生していると判断して前記交番信号の出力を抑止することを特徴とするフェールセーフコントローラ。2. The fail safe controller according to claim 1, wherein the alternating signal output unit converts the alternating signal into an alternating signal when the calculation processing result is a dangerous side of the system, and controls the alternating signal to control the control target. When the calculation processing result is on the safe side of the system, the calculation processing result is output as it is as a control output for controlling the control object, and the output monitoring unit causes the alternating signal to exceed the control cycle. When the operation is continued, it is determined that an abnormality has occurred in the control calculation unit, and the output of the alternating signal is suppressed . 請求項1又は2に記載のフェールセーフコントローラにおいて、前記出力監視部は、前記交番信号の交番回数を計測する計測手段と、交番回数の上限値を設定する上限値設定手段と、前記計測手段で計測した交番回数が前記上限値設定手段で設定された交番回数の上限値に達したときに、前記交番信号の出力を停止する出力制御手段とを有することを特徴とするフェールセーフコントローラ。The fail safe controller according to claim 1 or 2 , wherein the output monitoring unit includes a measuring unit that measures the number of alternations of the alternating signal, an upper limit value setting unit that sets an upper limit value of the alternation number, and the measurement unit. A fail-safe controller comprising: output control means for stopping the output of the alternating signal when the measured number of alternating times reaches the upper limit value of the alternating number of times set by the upper limit value setting means .
JP20730398A 1998-07-23 1998-07-23 Fail-safe controller Expired - Fee Related JP4243742B2 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP20730398A JP4243742B2 (en) 1998-07-23 1998-07-23 Fail-safe controller
EP99929892A EP1132788B1 (en) 1998-07-23 1999-07-16 Fail-safe controller
DE69911992T DE69911992T2 (en) 1998-07-23 1999-07-16 Fail-safe control
PCT/JP1999/003871 WO2000005630A1 (en) 1998-07-23 1999-07-16 Fail-safe controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP20730398A JP4243742B2 (en) 1998-07-23 1998-07-23 Fail-safe controller

Publications (2)

Publication Number Publication Date
JP2000039902A JP2000039902A (en) 2000-02-08
JP4243742B2 true JP4243742B2 (en) 2009-03-25

Family

ID=16537551

Family Applications (1)

Application Number Title Priority Date Filing Date
JP20730398A Expired - Fee Related JP4243742B2 (en) 1998-07-23 1998-07-23 Fail-safe controller

Country Status (1)

Country Link
JP (1) JP4243742B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7758042B2 (en) 2006-02-03 2010-07-20 Canon Kabushiki Kaisha Sheet feeding apparatus and image forming apparatus

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009088880A (en) * 2007-09-28 2009-04-23 Hitachi Ltd Communication disconnecting circuit in failure time of wide area network communication device
JP5694806B2 (en) * 2011-02-24 2015-04-01 株式会社日立製作所 Control device, train control device, and train control system
WO2022224897A1 (en) 2021-04-20 2022-10-27 株式会社日立製作所 Digital output apparatus and method for generating digital output

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04324598A (en) * 1991-04-25 1992-11-13 Mitsubishi Electric Corp Abnormality annunciator
JPH05100701A (en) * 1991-10-03 1993-04-23 Tashiro Giken:Kk Power controller
JP2994959B2 (en) * 1994-06-17 1999-12-27 株式会社日立製作所 Plant safety protection equipment
JPH09139957A (en) * 1995-11-14 1997-05-27 Mitsubishi Electric Corp Graphic display device
JP3356635B2 (en) * 1996-10-28 2002-12-16 日本信号株式会社 Computer system for vehicle control

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7758042B2 (en) 2006-02-03 2010-07-20 Canon Kabushiki Kaisha Sheet feeding apparatus and image forming apparatus
US8342514B2 (en) 2006-02-03 2013-01-01 Canon Kabushiki Kaisha Sheet feeding apparatus and image forming apparatus

Also Published As

Publication number Publication date
JP2000039902A (en) 2000-02-08

Similar Documents

Publication Publication Date Title
US8476860B2 (en) Electric power converter
JP4243742B2 (en) Fail-safe controller
JP2006031727A (en) Fail-safe controller
KR102644538B1 (en) System monitoring computational procedure of pwm duty for controlling motor
EP1132788B1 (en) Fail-safe controller
JP2000276202A (en) Fail-safe controller
JP7338418B2 (en) Inverter shutdown device
JPWO2005080249A1 (en) Elevator control device and elevator control method
JP2014154043A (en) Electronic control device and information processor
JP3230471B2 (en) PWM control device and PWM control method
US20190094903A1 (en) Security control and method for operating a security control
JP2017187860A (en) Controller control device
JP5788022B2 (en) Fail-safe electronic control unit
JP2005025397A (en) Clock control system in temperature abnormality/restoration detection
JP2018195128A (en) Diagnostic system
JP6609058B2 (en) Power converter
CN117631683A (en) Equipment shutdown method, device, system and computer storage medium
JPH1165986A (en) System and method for detecting fault of timer and recording medium recording program for executing the same
JPH0740845Y2 (en) Combustion control device safety circuit
JP2004038555A (en) Programmable controller
JPH03296831A (en) Failure diagnostic system for fail safe circuit
JPH0573362A (en) Detection circuit for abnormal operation of microcomputer
JP2012005205A (en) Power generating system
JPS63123138A (en) Detection circuit for out-of-control of microcomputer
JPS59139872A (en) Gate signal generator for power converter

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050721

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080520

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080722

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081202

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081218

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120116

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130116

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140116

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees