JP2012224448A - エレベータの安全保護装置 - Google Patents
エレベータの安全保護装置 Download PDFInfo
- Publication number
- JP2012224448A JP2012224448A JP2011094262A JP2011094262A JP2012224448A JP 2012224448 A JP2012224448 A JP 2012224448A JP 2011094262 A JP2011094262 A JP 2011094262A JP 2011094262 A JP2011094262 A JP 2011094262A JP 2012224448 A JP2012224448 A JP 2012224448A
- Authority
- JP
- Japan
- Prior art keywords
- safety
- elevator
- control signal
- software
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Indicating And Signalling Devices For Elevators (AREA)
- Maintenance And Inspection Apparatuses For Elevators (AREA)
Abstract
【課題】エレベータに対する安全性及び信頼性を確実に維持することができるエレベータの安全保護装置を提供する。
【解決手段】エレベータの安全装置に関わる機器に対する制御信号をソフトウエアに基づいて出力する処理手段2と、処理手段2の機能及び機器の機能に関する定期点検が一定期間実施されていない場合又はソフトウエアが改ざんされた場合に、機器の動作が安全側故障時の動作となるように制御信号の出力状態を制御する制御手段4と、安全側故障時の動作となるように制御信号の出力状態を制御する制御手段4を監視する監視手段4と、を備えた。
【選択図】図1
【解決手段】エレベータの安全装置に関わる機器に対する制御信号をソフトウエアに基づいて出力する処理手段2と、処理手段2の機能及び機器の機能に関する定期点検が一定期間実施されていない場合又はソフトウエアが改ざんされた場合に、機器の動作が安全側故障時の動作となるように制御信号の出力状態を制御する制御手段4と、安全側故障時の動作となるように制御信号の出力状態を制御する制御手段4を監視する監視手段4と、を備えた。
【選択図】図1
Description
この発明は、エレベータの安全保護装置に関するものである。
近年のエレベータには、電子系機器で構成された電子安全装置が設けられる。この電子安全装置は、基板等の装置を見ただけでは、どの部分が故障しているのかが分かり難い。その上、電子安全装置においては、故障が潜在化する可能性が機械系安全装置よりも高い。
そのため、IEC61508という「電気・電子・プログラマル電子安全関連系の機能安全」に関する国際規格が制定されている。この規格では、設計から保守、廃棄に至るプロセスや考え方まで細かく規定されている。
IEC61508においては、電子安全装置は、安全度水準という基準で1〜4の水準にランク分けされる。これらの水準を維持するためには、定期的な保守や自己診断による電子安全装置の機能試験(機能確認)が必要であることも規定されている。
また、電子安全装置は、マイコンを使用することが前提である。このため、認証時と違うソフトウエアで電子安全装置を動作させてはならないという規定もある。
これに対し、メンテナンス装置を利用して制御盤から各種メンテナンス情報を読み出す際に、通信許可フラグを設定することでセキュリティを確保するものが提案されている(例えば、特許文献1参照)。
これらの情報に基づいて、エレベータの制御用ソフトウエアの書き換え等、定期的な点検が行われる。この点検により、エレベータに対する安全性及び信頼性が維持される。
しかしながら、定期的な点検を怠ると、特に電子安全装置においては、エレベータに対する安全性及び信頼性が低下する。
この発明は、上述のような課題を解決するためになされたもので、その目的は、エレベータに対する安全性及び信頼性を確実に維持することができるエレベータの安全保護装置を提供することである。
この発明に係るエレベータの安全保護装置は、エレベータの安全装置に関わる機器に対する制御信号をソフトウエアに基づいて出力する処理手段と、前記処理手段の機能及び前記機器の機能に関する定期点検が一定期間実施されていない場合又は前記ソフトウエアが改ざんされた場合に、前記機器の動作が安全側故障時の動作となるように前記制御信号の出力状態を制御する制御手段と、安全側故障時の動作となるように前記制御信号の出力状態を制御する前記制御手段を監視する監視手段と、を備えたものである。
この発明によれば、エレベータに対する安全性及び信頼性を確実に維持することができる。
この発明を実施するための形態について添付の図面に従って説明する。なお、各図中、同一又は相当する部分には同一の符号を付しており、その重複説明は適宜に簡略化ないし省略する。
実施の形態1.
図1はこの発明の実施の形態1におけるエレベータの安全保護装置の構成図である。
図1はこの発明の実施の形態1におけるエレベータの安全保護装置の構成図である。
エレベータには、安全保護装置を含んだ電子安全装置が設けられる。電子安全装置は、入力部1、メインCPU2、出力部3、監視CPU4を備える。入力部1には、エレベータの各センサからのセンサ信号等の各種外部信号が入力される。メインCPU2は、処理手段として、ソフトウエアを用いて、各種外部信号に基づいて、エレベータの機器(図示せず)に対する制御信号を生成する。出力部3は、制御信号をエレベータの機器に対して出力する。
本実施の形態においては、電子安全装置の安全度水準維持や機能維持に関する点検が正しく実施された場合、メインCPU2の内部又は外部のメモリ(図示せず)に、正しく点検されたという保守情報が時刻とともに記憶される。メインCPU2は、通信ラインやデュアルポートRAM等を介して監視CPU4に保守情報を出力する。
監視CPU4は、監視手段として、保守情報とソフトウエアのCRC情報を常時監視する。監視CPU4は、前回の点検時から今回の点検時までの期間データ及びCRC情報を内部で蓄積する。この際、監視CPU4は、前回の点検から一定期間継続して保守情報が入力されない場合や異なったCRC情報を受信した場合は、強制的にメインCPU2のソフトウエアを消去する。
この場合、メインCPU2は、外部ウォッチドッグタイマIC(図示せず)等のリセットICにより継続的にリセット状態が保持される。このため、メインCPU2は、出力部3に制御信号を出力しない。
ここで、電子安全装置は、フェールセーフの考え方で設計される。このため、出力部3から制御信号が出力されていない場合、対応した機器は、安全側故障として動作する。このため、エレベータは、安全状態を維持する。
以上で説明した実施の形態1によれば、なんらかの理由で、電子安全装置の機能等に関する定期点検が一定期間実施されていない場合や保守契約を結んでいない場合に、制御信号を生成する際に利用されるソフトウエアが消去される。これにより、制御信号が出力されなくなる。このため、対応した機器の動作は安全側故障時の動作となる。すなわち、万が一、正しく定期点検が実施されなかったとしても、エレベータが不安全状態に至ることはない。これにより、エレベータに対する安全性及び信頼性を維持することができる。
実施の形態2.
図2はこの発明の実施の形態2におけるエレベータの安全保護装置の構成図である。なお、実施の形態1と同一又は相当部分には同一符号を付して説明を省略する。
図2はこの発明の実施の形態2におけるエレベータの安全保護装置の構成図である。なお、実施の形態1と同一又は相当部分には同一符号を付して説明を省略する。
図2において、電子安全装置は、基板(図示せず)上に設けられる。5はメモリである。メモリ5は、メインCPU2の各種データを保存する機能を備える。メモリ5は、バスライン6を介してメインCPU2に接続される。7は絶縁型バッファである。絶縁型バッファ7は、メインCPU2との間で信号を絶縁して送受信する機能を備える。
8はFPGA(Field−Programmable Gate Array)である。FPGA8は、カスタムICとして、絶縁型バッファ7を介してメインCPU2と通信する機能を備える。9は電源である。電源9の出力の一つは、FPGA8に接続される。
10はレギュレータ10である。レギュレータ10の入力は、電源9の出力の一つと接続される。レギュレータ10の出力の一方は、メインCPU2に接続される。レギュレータ10の出力の他方は、メモリ5に接続される。11はトランジスタである。トランジスタ11は、電源9とレギュレータ10との間に接続される。トランジスタ11の制御端子は、FPGA8の出力に接続される。
12はリレーコイルである。リレーコイル12の一端は、レギュレータ10とトランジスタ11との間の配線に接続される。リレーコイル12の他端は、基板のグランド13に接続される。14はリレーコイル12のメーク接点である。メーク接点14は、電源9の出力と基板のグランド15との間に接続される。16はトランジスタである。トランジスタ16は、リレーコイル12と基板のグランド13との間に接続される。
本実施の形態においては、定期的な機能点検が正しく実施された場合、メインCPU2から点検実施に関する情報がFPGA8に送信される。当該情報は、FPGA8内部又は外部メモリ(図示せず)に記録される。この後、FPGA8は、当該情報に基づいて機能点検の実施状況を内部で判断する。
万が一、定期的な機能点検が実施されなかった場合は、FPGA8は、トランジスタ11へOFF指令を出力する。このOFF指令により、トランジスタ11がOFF状態となる。これにより、電源9とレギュレータ10とが切り離される。これにより、レギュレータ10への電力供給が遮断される。
この遮断により、レギュレータ10からメインCPU2への電力供給が遮断される。これにより、出力部3からの制御信号の出力が遮断される。これにより、実施の形態1と同様に、対応した機器は、安全側故障として動作する。このため、エレベータは、安全状態を維持する。
次に、違法な流用品や模造品等が電子安全装置に接続された場合を考える。この場合、模造品等は、基板の認証IC(図示せず)やIDデータの通信(図示せず)等で検出される。この検出結果は、メインCPU2からFPGA8に送信される。このとき、FPGA8は、トランジスタ16へON指令を出力する。
このON指令により、トランジスタ16がON状態となる。これにより、リレーコイル12が励磁される。この励磁により、メーク接点14がONとなる。これにより、電源9の出力が短絡する。この短絡により、基板が破壊される。この破壊により、基板は物理的に使用できない状態となる。
以上で説明した実施の形態2によれば、電子安全装置の機能点検が一定期間継続して実施されていない場合に、メインCPU2への電力供給が遮断される。この遮断により、制御信号が出力されなくなる。これにより、機器の動作は安全側故障時の動作となる。このため、エレベータに対する安全性及び信頼性を維持することができる。
また、模造品等が電子安全装置に接続された場合は、基板が破壊される。これにより、基板は二度と使えなくなる。このため、悪質な模造品対策にもなり得る。
また、カスタムICの処理によって、エレベータに対する安全性及び信頼性が維持される。このため、万が一、カスタムICが模造された場合、エレベータに対する安全性及び信頼性を維持する機能も模造される。すなわち、模造品においても、正規品と同等に、エレベータに対する安全性及び信頼性を維持することができる。
なお、カスタムICをFPGA8に限定する必要はない。例えば、カスタムICとして、ASIC(Application Specific Integrated Circuit)やCPLD(Comlex Programmable Logic Device)を利用してもよい。
実施の形態3.
図3はこの発明の実施の形態3におけるエレベータの安全保護装置の構成図である。なお、実施の形態1又は2と同一又は相当部分には同一符号を付して説明を省略する。
図3はこの発明の実施の形態3におけるエレベータの安全保護装置の構成図である。なお、実施の形態1又は2と同一又は相当部分には同一符号を付して説明を省略する。
図3において、17a、17bは過電圧保護用のダイオードである。ダイオード17aは、電源とCPU2との間に接続される。ダイオード17bは、電源とメモリ5との間に接続される。18はCPLD(Comlex Programmable Logic Device)である。CPLD18は、フォトカプラ19を介してメインCPU2からの信号を受信する機能を備える。
20はリレーコイルである。リレーコイル20は、電源21と基板のグランド22との間に接続される。23はFET(Field Effect Transistor)である。FET23は、リレーコイル20とグランド22との間に接続される。FET23の制御端子は、CPLD18に接続される。
24はセーフティリレーである。セーフティリレー24は、電源21と基板のグランド25との間に接続される。26はFET(Field Effect Transistor)である。FET26は、セーフティリレー24とグランド25との間に接続される。FET26の制御端子は、CPLD18に接続される。
27はリレーコイル20の接点である。接点27の一方は、セーフティリレー24と並列に接続される。接点27の他方は、接点27の一方よりもメインCPU2とメモリ5側で、電源21とメインCPU2及びメモリ5とを接続する配線上に設けられる。
28はセーフティリレー24の接点である。これらの接点28においては、メーク接点とクローズ接点とが強制ガイドで接続される。29はフォトカプラである。フォトカプラ29の一側には、発光ダイオードが配置される。発光ダイオードは、両接点28間に接続される。フォトカプラ29は、メインCPU2から出力部3をドライブするための信号を絶縁する機能を備える。
本実施の形態においては、正常時は、セーフティリレー24は無励磁である。このため、接点28のブレーク接点は閉じている。これに対し、接点28のメーク接点は開いている。このため、図3に示すように、フォトカプラ29の発光ダイオードにアノード側には、電源が接続される。これに対し、フォトカプラ29の発光ダイオードのカソード側には、メインCPU2からのドライブ信号線が接続される。
一方、電子安全装置に関する定期的な機能点検が実施されなかった場合や模造品等が本電子安全装置に接続された場合は、基板の認証IC(図示せず)やIDデータの通信(図示せず)等により検出される。また、ソフトウエアの改ざんが検出される場合もある。
これらの場合、メインCPU2は、フォトカプラ19を介してCPLD18に通信信号を出力する。この場合、CPLD18は、FET26にON指令を出力する。このON指令により、FET26がON状態となる。これにより、セーフティリレー24が励磁される。この励磁により、接点28が動作する。
この際、接点28は、強制ガイドにより連動する。この連動により、接点28のブレーク接点は開く。これに対し、接点28のメーク接点は閉じる。その結果、フォトカプラ29のダイオードのカソード側は、メインCPU2のドライブ信号から切り離され、電源に接続される。これに対し、フォトカプラ29のアノード側は、電源から切り離され、グランドと接続される。
このため、フォトカプラ29のダイオードに強制的に過剰な逆電圧がかかる。この逆電圧により、フォトカプラ29のダイオードが破壊する。この破壊により、フォトカプラ19は、メインCPU2からドライブすることができなくなる。すなわち、出力部3は、制御信号を出力しなくなる。このため、エレベータは、安全状態を維持する。
なお、セーフティリレー24への励磁は、継続的にする必要はない。すなわち、セーフティリレー24は、一瞬励磁された後すぐに無励磁状態に戻される。
一方、CPLD18がFET23にON指令を出力した場合は、FET23がON状態となる。これにより、リレーコイル20が励磁される。この励磁により、接点27が閉じる。これにより、メインCPU2やメモリ5の電源ピンにのみ、過電圧であるコイル励磁用の電源21が接続される。この接続により、メインCPU2やメモリ5が破壊される。この破壊により、出力部3には、制御信号が出力されなくなる。この場合も、エレベータは、安全状態を維持する。
この状態で、CPLD18がFET26をONにすれば、強制的に電源21が短絡する。この短絡により、基板全体が破壊される。
以上で説明した実施の形態3によれば、電子安全装置の機能点検が一定期間継続して実施されていない場合等に、メインCPU2等、特定のデバイスのみが破壊される。これにより、制御信号が出力されなくなる。このため、機器の動作は安全側故障時の動作となる。このため、エレベータに対する安全性及び信頼性を維持することができる。
なお、実施の形態1〜3においては、メインCPU2は単一系であった。しかしながら、メインCPU2を二重系で相互監視するようにしてもよい。この場合、エレベータに対する安全性及び信頼性をより確実に維持することができる。
1 入力部
2 メインCPU
3 出力部
4 監視CPU
5 メモリ
6 バスライン
7 絶縁型バッファ
8 FPGA
9 電源
10 レギュレータ
11 トランジスタ
12 リレーコイル
13 グランド
14 メーク接点
15 グランド
16 トランジスタ
17a、17b ダイオード
18 CPLD
19 フォトカプラ
20 リレーコイル
21 電源
22 グランド
23 FET
24 セーフティリレー
25 グランド
26 FET
27 接点
28 接点
29 フォトカプラ
2 メインCPU
3 出力部
4 監視CPU
5 メモリ
6 バスライン
7 絶縁型バッファ
8 FPGA
9 電源
10 レギュレータ
11 トランジスタ
12 リレーコイル
13 グランド
14 メーク接点
15 グランド
16 トランジスタ
17a、17b ダイオード
18 CPLD
19 フォトカプラ
20 リレーコイル
21 電源
22 グランド
23 FET
24 セーフティリレー
25 グランド
26 FET
27 接点
28 接点
29 フォトカプラ
Claims (7)
- エレベータの安全装置に関わる機器に対する制御信号をソフトウエアに基づいて出力する処理手段と、
前記処理手段の機能及び前記機器の機能に関する定期点検が一定期間実施されていない場合又は前記ソフトウエアが改ざんされた場合に、前記機器の動作が安全側故障時の動作となるように前記制御信号の出力状態を制御する制御手段と、
安全側故障時の動作となるように前記制御信号の出力状態を制御する前記制御手段を監視する監視手段と、
を備えたことを特徴とするエレベータの安全保護装置。 - 前記処理手段は、前記ソフトウエアが消去された場合に前記機器の動作が安全側故障時の動作となる制御信号を前記機器に対して出力するように設けられ、
前記監視手段は、前記点検が一定期間継続して実施されていない場合に、前記ソフトウエアを消去することを特徴とする請求項1記載のエレベータの安全保護装置。 - 前記処理手段に電力を供給する電源、
を備え、
前記処理手段は、前記電源から切り離された場合に前記機器の動作が安全側故障時の動作となる制御信号を前記機器に対して出力するように設けられ、
前記監視手段は、前記点検が一定期間継続して実施されていない場合又は前記ソフトウエアが改ざんされた場合に、前記電源から前記処理手段を切り離すことを特徴とする請求項1記載のエレベータの安全保護装置。 - 前記処理手段に電力を供給する電源と、
前記処理手段と前記電源とが搭載された基板と、
を備え、
前記処理手段は、前記基板を破壊した場合に前記機器の動作が安全側故障時の動作となる制御信号を前記機器に対して出力するように設けられ、
前記監視手段は、前記点検が一定期間継続して実施されていない場合又は前記ソフトウエアが改ざんされた場合に、前記電源の出力を前記基板に短絡して前記基板を破壊することを特徴とする請求項1記載のエレベータの安全保護装置。 - 前記処理手段は、破壊した場合に前記機器の動作が安全側故障時の動作となる制御信号を前記機器に対して出力するように設けられ、
前記監視手段は、前記機器の機能に関する点検が一定期間継続して実施されていない場合又は前記ソフトウエアが改ざんされた場合に、前記処理手段を破壊することを特徴とする請求項1記載のエレベータの安全保護装置。 - 前記制御信号の出力状態に影響を及ぼすデバイス、
を備え、
前記処理手段は、前記デバイスを破壊した場合に前記機器の動作が安全側故障時の動作となる制御信号を前記機器に対して出力するように設けられ、
前記監視手段は、前記機器の機能に関する点検が一定期間継続して実施されていない場合又は前記ソフトウエアが改ざんされた場合に、前記デバイスを破壊することを特徴とする請求項1記載のエレベータの安全保護装置。 - 前記処理手段は、二重系の相互監視を行うように設けられたことを特徴とする請求項1〜請求項6のいずれかに記載のエレベータの安全保護装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011094262A JP2012224448A (ja) | 2011-04-20 | 2011-04-20 | エレベータの安全保護装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011094262A JP2012224448A (ja) | 2011-04-20 | 2011-04-20 | エレベータの安全保護装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012224448A true JP2012224448A (ja) | 2012-11-15 |
Family
ID=47275072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011094262A Withdrawn JP2012224448A (ja) | 2011-04-20 | 2011-04-20 | エレベータの安全保護装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012224448A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015057192A1 (en) * | 2013-10-15 | 2015-04-23 | Otis Elevator Company | Management of safety and non-safety software in an elevator system |
| CN109890738A (zh) * | 2018-09-21 | 2019-06-14 | 广东卓梅尼技术股份有限公司 | 第一安全控制单元、操作第一安全控制单元的方法、第二安全控制单元、操作第二控制单元的方法以及电梯系统 |
| CN111661725A (zh) * | 2020-05-29 | 2020-09-15 | 苏州益耕科技有限公司 | 一种用于电梯的电动车阻入方法及阻入系统 |
-
2011
- 2011-04-20 JP JP2011094262A patent/JP2012224448A/ja not_active Withdrawn
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015057192A1 (en) * | 2013-10-15 | 2015-04-23 | Otis Elevator Company | Management of safety and non-safety software in an elevator system |
| CN105636891A (zh) * | 2013-10-15 | 2016-06-01 | 奥的斯电梯公司 | 电梯系统中的安全和非安全软件的管理 |
| CN109890738A (zh) * | 2018-09-21 | 2019-06-14 | 广东卓梅尼技术股份有限公司 | 第一安全控制单元、操作第一安全控制单元的方法、第二安全控制单元、操作第二控制单元的方法以及电梯系统 |
| CN111661725A (zh) * | 2020-05-29 | 2020-09-15 | 苏州益耕科技有限公司 | 一种用于电梯的电动车阻入方法及阻入系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8285402B2 (en) | Method and system for safety monitored terminal block | |
| JP6025219B2 (ja) | 安全回路アセンブリ | |
| US10528484B2 (en) | Device and method for protecting a security module from manipulation attempts in a field device | |
| CN108367891B (zh) | 用于人员运送设备的监控装置、检查方法以及人员运送设备 | |
| CN104803251B (zh) | 电梯困人的检测方法及系统 | |
| CN105829232B (zh) | 用于电梯设备的安全系统 | |
| CN102509673B (zh) | 具有通用信号输入的安全性切换设备 | |
| JP4658931B2 (ja) | 相対移動可能な2つの部分の閉位置を監視する装置および方法 | |
| CN105765470A (zh) | 具有可配置输入的安全控制系统 | |
| US9334686B2 (en) | Integrated security barrier control system | |
| CN103081052A (zh) | 用于以故障安全的方式接通或断开危险的设备的安全电路装置 | |
| EP3506143A1 (en) | Interface for a hardware security module | |
| JP2012224448A (ja) | エレベータの安全保護装置 | |
| US8154302B2 (en) | Device for detecting the failure of an electrical power supply for a logic unit | |
| RU2510972C2 (ru) | Способ эксплуатации сенсорного устройства и сенсорное устройство | |
| JP5227072B2 (ja) | 信号出力装置 | |
| CN106992095A (zh) | 继电器电路和执行继电器电路自测试的方法 | |
| JP2019515303A (ja) | 安全装置を監視する監視装置および安全装置を監視する方法 | |
| CN114184992A (zh) | 用于验证电源监测的方法、装置和计算机程序 | |
| CN109586552B (zh) | 功率单元、sto方法、用户接口控制装置和sto信号处理方法 | |
| EP2320284B1 (en) | Reteachable non-contact switching circuit | |
| CN213276370U (zh) | 一种安全保护系统及自动导引运输车 | |
| KR101347244B1 (ko) | 열차 안전운행을 위한 다중 제어장치 | |
| JP2010231490A (ja) | Cpuリセットによる故障移信出力制御回路基板 | |
| JP2004138444A (ja) | ガスメータ及びガスメータ制御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Withdrawal of application because of no request for examination |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20140701 |