JP5905697B2 - Fail-safe device - Google Patents

Fail-safe device Download PDF

Info

Publication number
JP5905697B2
JP5905697B2 JP2011221498A JP2011221498A JP5905697B2 JP 5905697 B2 JP5905697 B2 JP 5905697B2 JP 2011221498 A JP2011221498 A JP 2011221498A JP 2011221498 A JP2011221498 A JP 2011221498A JP 5905697 B2 JP5905697 B2 JP 5905697B2
Authority
JP
Japan
Prior art keywords
data
data exchange
fail
written
exchange unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011221498A
Other languages
Japanese (ja)
Other versions
JP2013085318A (en
Inventor
毅 頼重
毅 頼重
佐藤 究
究 佐藤
潤 小池
潤 小池
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2011221498A priority Critical patent/JP5905697B2/en
Publication of JP2013085318A publication Critical patent/JP2013085318A/en
Application granted granted Critical
Publication of JP5905697B2 publication Critical patent/JP5905697B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、移動体の位置を演算し、地上からの制御情報に基づいて算出した制限速度と移動体速度との速度照査を行ない、制限速度を超過した場合にブレーキ出力を行う移動体でのフェールセーフ技術に関する。   The present invention calculates the position of a moving body, performs a speed check between the speed limit calculated based on control information from the ground and the speed of the moving body, and outputs a brake when the speed limit is exceeded. It relates to fail-safe technology.

従来のATC(Automatic Train Control)装置は、特許文献1に示すように、軌道側から送信される周波数変調されたATC信号を受信し、この信号の表わすATC制御速度を判別するATC受信部と、この制限速度と速度発電機で検出された車両速度とを比較し、車両速度が制限速度を超過した際にATCブレーキ指令を発する速度照査部から構成する。受信部、速度照査部共に非同期方式2重系により、演算結果の比較照合を実施することでフェールセーフ装置を実現してきた。   As shown in Patent Document 1, a conventional ATC (Automatic Train Control) device receives a frequency-modulated ATC signal transmitted from the orbit side, and determines an ATC control speed represented by this signal; This speed limit is compared with the vehicle speed detected by the speed generator, and the speed check unit is configured to issue an ATC brake command when the vehicle speed exceeds the speed limit. A fail-safe device has been realized by performing comparison and collation of calculation results by using an asynchronous dual system in both the receiving unit and the speed checking unit.

さらにデジタルATCでは、地上から車上へ送信する信号をデジタル情報とする事で、停止する軌道回路を地上システムから列車に送信することを可能とする。デジタルATCの車上制御装置では、デジタル信号を受信可能としたATC受信部と速度照査部に加え、車両性能や路線条件をもとに停止点に停止する一段階のブレーキ曲線を作成するフェールセーフ演算部を設けることで、列車の時隔短縮や乗り心地向上を図ってきた。このフェールセーフ演算部におけるソフトウェア処理には高信頼化・高安全化が求められており、フェールセーフ演算部に出力照合方式の2重系構成を採用することで、ソフトウェア演算の信頼性を上げている。その技術の1つとして、特許文献1に記載のものがある。   Further, in the digital ATC, a signal to be transmitted from the ground to the vehicle is used as digital information, so that the track circuit to be stopped can be transmitted from the ground system to the train. In the on-board controller of digital ATC, in addition to the ATC receiver and speed checker that can receive digital signals, a fail-safe that creates a one-step brake curve that stops at a stop point based on vehicle performance and route conditions By providing a calculation unit, we have tried to shorten the time interval of trains and improve riding comfort. Software processing in this fail-safe computing unit is required to be highly reliable and secure, and by adopting a dual system configuration of output collation method in the fail-safe computing unit, the reliability of software computation is increased. Yes. One of the techniques is described in Patent Document 1.

特公平4―46044号公報Japanese Patent Publication No. 4-46044

出力照合方式の2重系CPUで構成した列車制御装置向けのフェールセーフ装置において、2重化したCPUがそれぞれ取り込んだ速度パルス信号の1カウントの相違によって、出力照合不一致となり故障と判断する。そのため、ブレーキ出力を行い列車停止に至ることで、稼働率が低下してしまうという課題がある。   In a fail-safe device for train control devices configured with a dual CPU of output collation method, output collation is inconsistent due to a difference of 1 count of speed pulse signals taken by the duplicated CPUs, and a failure is determined. Therefore, there is a problem that the operation rate is reduced by performing brake output and stopping the train.

さらに、CPUがそれぞれ取り込んだ速度パルス信号のカウント相違があっても、フェールセーフ装置自体が故障している場合には、出力照合結果が一致と判断してしまう可能性がある。本来は、ブレーキ出力により列車を停止する必要があるのにそれが行われないという課題もある。本発明の目的は、列車等の移動体の速度制御を安全に実施し、かつ稼働率を低下させないフェールセーフ装置を提供することにある。   Furthermore, even if there is a difference in the counts of the speed pulse signals captured by the CPUs, there is a possibility that the output collation results will be determined to match if the fail-safe device itself has failed. Originally, there is a problem that it is not possible to stop the train by brake output. An object of the present invention is to provide a fail-safe device that safely performs speed control of a moving body such as a train and that does not reduce the operation rate.

上記目的を達成するために、多重系での出力照合方式によるフェールセーフ装置において、パルスカウントの外部データを取り込む受信部と、各系がデータ交換するためのデータ交換部と、各系それぞれに前記データ交換部へデータを書き込む、ないしデータを読み出すための演算部とを設け、各系が、それぞれ、自系が書き込むデータと、該データのデータ交換エリアを全ビットにわたり反転させた、他系が書き込むデータとを記憶し、自系が前記データ交換部に書き込んだデータと、自系が前記データ交換部から読み出した結果とを比較して第1の健全性を確認し、他系が前記データ交換部に書き込んだデータと、自系が前記データ交換部から読み出したデータのデータ交換エリアを全ビットにわたり反転させた結果とを比較して第2の健全性を確認し、前記第1の健全性確認および前記第2の健全性確認を系毎に実行して前記データ交換部の健全性が確認できた場合に、自系自身が前記受信部より取り込んだ外部データを、前記データ交換部に書き込むデータとし、他系自身が前記受信部より取り込んだ外部データを、前記データ交換部に書き込むデータとし、自系が前記データ交換部に書き込んだデータを読み出すとともに、他系が前記データ交換部に書き込んだデータを読み出して両者のデータ比較による差が予め設定した閾値以内であれば、当該多重系の健全性が保持されていると判断することにある。 In order to achieve the above object, in a fail-safe device using an output collation method in a multiplex system, a receiving unit that captures external data of a pulse count, a data exchanging unit for exchanging data between the systems, and each of the systems An operation unit for writing data to or reading data from the data exchange unit is provided, and each system inverts the data exchange area of the data and the data exchange area of the data over all bits. The data to be written is stored, and the first system confirms the first soundness by comparing the data written by the own system into the data exchange unit and the result read by the own system from the data exchange unit. Compare the data written in the exchange unit with the result of inverting the data exchange area of the data read from the data exchange unit by the local system over all bits, Ensure all sex, when the soundness of the data exchange unit the confirmation of the first health check and the second health run for each system was confirmed, the own system itself the receiving The external data captured from the communication unit is the data to be written to the data exchange unit, the external data captured by the other system itself from the reception unit is the data to be written to the data exchange unit, and the local system has written to the data exchange unit Reading the data and reading the data written by the other system to the data exchange unit, and determining that the soundness of the multiplex system is maintained if the difference between the two data comparisons is within a preset threshold value It is in.

また、上述した多重系での出力照合方式によるフェールセーフ装置において、データ交換部または多重系の健全性が確認できない場合に、異常検知信号ないし制御信号をフェールセーフ装置の外部に出力することにある。
Further, in the fail-safe device based on the output verification method in the multiplex system described above , when the soundness of the data exchange unit or the multiplex system cannot be confirmed, an abnormality detection signal or a control signal is output to the outside of the fail-safe device. .

本発明では、多重系での出力照合方式によるフェールセーフ装置を列車に搭載し、列車の速度制御を行う場合、演算部のデータを交換するデータ交換部の健全性チェックを行うことで、誤りなくデータ交換を行い、システムの安全性を確保することを可能とする。
また、速度信号の取り込みタイミングの相違によるパルスカウント値の不整合を防止することで、不要な速度差検知による故障検知に伴ってブレーキが出力することを防ぎ、不要な列車の稼働率低下を防ぐことができる。 In the present invention, when a fail-safe device based on an output verification method in a multiplex system is mounted on a train and the speed control of the train is performed, the data exchange unit exchanging the data of the arithmetic unit performs a soundness check, so that there is no error. It is possible to exchange data and ensure the safety of the system.
In addition, by preventing inconsistencies in the pulse count value due to differences in the timing at which speed signals are captured, it is possible to prevent the brake from being output when a failure is detected due to unnecessary speed difference detection, and to prevent unnecessary train operation rate declines. be able to.

本発明のフェールセーフ装置を備えた車上装置のシステム構成図である。1 is a system configuration diagram of an on-board device provided with a fail-safe device of the present invention. 本発明のフェールセーフ装置の全体構成図である。It is a whole block diagram of the fail safe apparatus of this invention. フェールセーフ装置のデータ交換レジスタの健全性チェック方法を説明する図である。It is a figure explaining the soundness check method of the data exchange register of a fail safe apparatus. データ交換レジスタを用いてパルスカウント値の健全性チェック方法を説明する図である。It is a figure explaining the soundness check method of a pulse count value using a data exchange register. フェールセーフ装置全体の初期チェック方法のフローチャート図である。It is a flowchart figure of the initial check method of the whole fail safe apparatus. 列車運行時の異常検知方法のフローチャート図である。It is a flowchart figure of the abnormality detection method at the time of train operation.

本発明を実施するための最良の形態例を説明する。   The best mode for carrying out the present invention will be described.

本発明の第1の実施例であるフェールセーフ装置を図1から図6で説明する。なお、本実施例では、移動体を列車と設定し、系多重度を2、すなわち2重系(それぞれの系をA系とB系と呼称する)として説明する。   A fail-safe device according to a first embodiment of the present invention will be described with reference to FIGS. In the present embodiment, the moving body is set as a train, and the system multiplicity is 2, that is, a double system (respective systems are referred to as A system and B system).

まず、図1と図2で全体構成を説明する。図1は、本発明のフェールセーフ装置を備えた車上装置のシステム構成図である。図2は本発明のフェールセーフ装置の全体構成図である。図1の12が列車本体で、軌道回路(線路)18上を走行する。走行時にATC送信部11より送信されるATC信号111を列車12の受電器19を経由して列車12内部のATC受信部13で受信される。ATC受信部13は、図2に示すようにA系/B系それぞれのDSP(Digital Signal Processor)を有し、入力されたATC信号191はDSP_A130a、DSP_B130bでそれぞれ信号変換処理され、列車の制限速度や在線情報などの列車制御情報131a、131bとしてフェールセーフ演算部14に入力される。   First, the overall configuration will be described with reference to FIGS. FIG. 1 is a system configuration diagram of an on-board device provided with the fail-safe device of the present invention. FIG. 2 is an overall configuration diagram of the fail-safe device of the present invention. Reference numeral 12 in FIG. 1 denotes a train body, which runs on a track circuit (track) 18. The ATC signal 111 transmitted from the ATC transmitter 11 during traveling is received by the ATC receiver 13 inside the train 12 via the power receiver 19 of the train 12. As shown in FIG. 2, the ATC receiver 13 has A / B DSPs (Digital Signal Processors), and the input ATC signal 191 is subjected to signal conversion processing by the DSP_A 130a and DSP_B 130b, respectively, and the train speed limit And train control information 131a and 131b such as standing line information are input to the failsafe calculation unit 14.

フェールセーフ演算部14には、変換処理されたATC信号以外に、車輪17に備えられた速度発電機16により速度パルス信号161を取り込む。フェールセーフ演算部14は、図2のように演算部であるCPU_A207aとCPU_B207b、速度パルス信号161のカウントと時刻を計測するタイマ_A205a、タイマ_B205b、記憶部であるRAM_A206aとRAM_B206b、それらを接続するバス_A204a、バス_B204bをA系とB系それぞれに設ける。さらに、CPU_A207aとCPU_B207bがアクセスしデータの交換を行うデータ交換レジスタ210とバス_A204aとバス_B204bの状態を監視するバス照合回路208を設ける。   In addition to the converted ATC signal, the fail safe calculation unit 14 takes in the speed pulse signal 161 by the speed generator 16 provided in the wheel 17. As shown in FIG. 2, the fail safe arithmetic unit 14 includes CPU_A 207a and CPU_B 207b which are arithmetic units, timer_A 205a and timer_B 205b which measure the count and time of the speed pulse signal 161, RAM_A 206a and RAM_B 206b which are storage units, and a bus connecting them. _A 204a and bus_B 204b are provided in each of the A system and the B system. Further, a data exchange register 210 for accessing and exchanging data by the CPU_A 207a and the CPU_B 207b, and a bus verification circuit 208 for monitoring the states of the bus_A 204a and the bus_B 204b are provided.

バス照合回路208は、速度照査部15に制限速度情報141を出力し、バス状態の監視で異常が発見された場合はエラー信号2081をCPU_A207aとCPU_B207bへ、故障検知信号142を列車12内の他の機能部分や地上装置などの外部に出力する。なお、バス照合回路208は図3に図示される接続サイド確認レジスタ_A面212aと接続サイド確認レジスタ_B面212bを有し、CPU_A207aとCPU_B207bがどちらの系(A系かB系)に接続される(属している)かの判別をできるようにしている。また、データ交換レジスタ210も、A系のデータ交換レジスタ_A面210aとB系のデータ交換レジスタ_B面210bを持つ。   The bus verification circuit 208 outputs the speed limit information 141 to the speed check unit 15, and when an abnormality is detected by monitoring the bus state, the error signal 2081 is sent to the CPU_A 207 a and CPU_B 207 b, and the failure detection signal 142 is sent to the other in the train 12. Output to the outside of the functional part of the system and ground equipment. The bus verification circuit 208 has a connection side confirmation register_A surface 212a and a connection side confirmation register_B surface 212b shown in FIG. 3, and the CPU_A 207a and the CPU_B 207b are connected to either system (A system or B system). It is possible to determine whether it belongs. The data exchange register 210 also has an A-system data exchange register_A surface 210a and a B-system data exchange register_B surface 210b.

また、速度照査部15は速度照査回路152を有し、速度パルス信号161から算出した列車12の速度と、ATC信号191の列車制御情報の1つである制限速度情報141とを比較する。現行の速度が制限速度を超えている場合には、ブレーキ出力151で減速を行う。   The speed checking unit 15 includes a speed checking circuit 152 that compares the speed of the train 12 calculated from the speed pulse signal 161 with the speed limit information 141 that is one of the train control information of the ATC signal 191. When the current speed exceeds the speed limit, the brake output 151 decelerates.

次に、動作について説明する。2重系CPUとその間に有するデータ交換レジスタ210によって、読み込みタイミングの違いによるパルスカウントのカウント誤差が閾値以内であれば健全と判断し、タイマ_A205a、タイマ_B205bやパルス入力回路の故障検知とデータ交換レジスタ210の故障検知を各CPUやバス照合回路208で行い列車の稼働率と安全性を向上させるものである。より具体的には、各CPUが列車の速度・位置・制限速度の算出を行い、列車の実速度が制限速度を超過している場合においては、ブレーキ出力を行う。   Next, the operation will be described. If the count error of the pulse count due to the difference in reading timing is within the threshold value by the dual CPU and the data exchange register 210 between them, it is judged that it is healthy, and the failure detection and data exchange of the timer_A 205a, the timer_B 205b and the pulse input circuit are determined. The failure detection of the register 210 is performed by each CPU and the bus verification circuit 208 to improve the operation rate and safety of the train. More specifically, each CPU calculates the speed, position, and speed limit of the train, and if the actual speed of the train exceeds the speed limit, the CPU outputs a brake.

また、出力照合式の2重系構成では、バス照合回路にてA系/B系の出力結果を照合し、A系/B系の出力結果が不一致となる場合においては、故障と判断しブレーキ出力を行い、列車を停止させることでシステムの安全性を確保する。一方で、A系/B系のタイマで行うパルスカウントの読み込みは、速度パルス信号の読み込みタイミングによっては、A系/B系で読み込みカウント値に1カウント以上の誤差が発生する。この違いが顕在したまま各々の系の演算結果の出力照合を実施すると出力照合不一致に伴う故障となり、列車停止となり稼働率低下を招くこととなる。   In the dual system configuration of the output verification type, the bus verification circuit verifies the output results of the A system / B system. If the output results of the A system / B system do not match, it is determined that there is a failure and the brake The system is secured by outputting power and stopping the train. On the other hand, when the pulse count is read by the A / B timer, an error of 1 count or more occurs in the read count value in the A / B system depending on the reading timing of the speed pulse signal. If the output verification of the calculation results of each system is carried out with this difference apparent, a failure due to the output verification mismatch results in a train stop and a reduction in operating rate.

したがって、出力照合を行う前に、A系/B系CPUが取り込んだ各々のパルスカウント値をデータ交換レジスタで交換し、A系/B系での取り込み値に2カウント以上のカウント誤差があるかチェックを行う。1カウントの誤差は許容する。2カウント以上のカウント差が有る場合においては、タイマもしくは入力段回路の故障と判断し、装置全体を故障とする。このチェック処理において、2重化されたパルスカウント読み込み部分の健全性チェックを行う。この処理において問題がなければ、A系/B系CPUは、それぞれA系で取り込んだパルスカウント値を以降の制御処理に使用することとする(B系で取り込んだパルスカウント値を使用してもかまわない)。   Therefore, before the output verification, each pulse count value captured by the A / B CPU is exchanged by the data exchange register, and whether the captured value in the A / B system has a count error of 2 counts or more. Check. An error of 1 count is allowed. When there is a count difference of 2 counts or more, it is determined that the timer or the input stage circuit has failed, and the entire apparatus is determined to be defective. In this check processing, the soundness of the duplicated pulse count reading portion is checked. If there is no problem in this processing, the A system / B system CPU uses the pulse count value acquired in the A system for the subsequent control processing (even if the pulse count value acquired in the B system is used). It doesn't matter)

以上の処理によって、A系/B系における読み込みタイミングの違いによるパルスカウントの1カウントの相違においては、出力照合不一致とはせず、また、パルスカウントに2カウント以上の差異が発生した場合においては、故障としブレーキ出力することによって、稼働率を確保しつつ、安全性を確保することが可能となる。前記説明では2カウント以上を故障と判断したが、予め設定した閾値を用いることも可能である。   As a result of the above processing, a difference of 1 count in the pulse count due to a difference in reading timing in the A system / B system does not result in an output collation mismatch, and when a difference of 2 counts or more occurs in the pulse count. By outputting the brake as a failure, it is possible to ensure safety while ensuring the operating rate. In the above description, it has been determined that a failure is 2 counts or more, but a preset threshold value can also be used.

なお、上記処理で使用するデータ交換レジスタ210は、A系/B系CPUからアクセス可能な共通部である。そのため、データ交換レジスタのデータ交換動作の確認を行ない、データ交換レジスタに潜在故障がないことを、予め(例えば、列車運行開始前)診断する必要がある。そこで、データ交換レジスタを利用したパルスカウントのデータ交換を実施する前に(例えば、装置立ち上げ時の処理において)、データ交換レジスタの全ビットを変化させるような特殊値のデータ交換を行うことにより、故障有無を確認する。すなわち、A系のCPU_A207aがデータ交換レジスタに書き込むデータAと、B系のCPU_B207bがデータ交換レジスタに書き込むデータは全ビット排他的とし、そのデータをA系のCPU_A207aとB系のCPU_B207bが読み出して比較して、一致することを確認する。   The data exchange register 210 used in the above process is a common unit accessible from the A / B CPU. Therefore, it is necessary to confirm the data exchange operation of the data exchange register and diagnose in advance (for example, before starting train operation) that there is no potential failure in the data exchange register. Therefore, before exchanging pulse count data using the data exchange register (for example, at the time of starting up the apparatus), by exchanging special value data that changes all the bits of the data exchange register Check for failure. That is, the data A written by the A system CPU_A 207a to the data exchange register and the data written by the B system CPU_B 207b to the data exchange register are all bit exclusive, and the A system CPU_A 207a and the B system CPU_B 207b read and compare the data. And confirm that they match.

その詳細な動作を図3と図5で説明する。図3は、フェールセーフ装置のデータ交換レジスタの健全性チェック方法を説明する図である。図5は、フェールセーフ装置全体の初期チェック方法のフローチャート図である。   The detailed operation will be described with reference to FIGS. FIG. 3 is a diagram for explaining the soundness check method of the data exchange register of the fail-safe device. FIG. 5 is a flowchart of an initial check method for the entire fail-safe device.

列車の運行前にフェールセーフ演算部の初期チェックを実施する。最初に、CPU自身が自己の内部の自己診断を実施する(S1000)。健全であれば(S1001のYesに分岐)、次にRAMチェック(S1002)、カウンタ(タイマ)チェック(S1003)、DSPチェック(S1004)、バス照合回路チェック(S1005)を実施し、全て健全か確認する(S1006)。健全であれば(S1006のYesに分岐)、図3で図示したデータ交換レジスタのチェックを実施する(S1007)。データ交換レジスタも健全(S1008のYesに分岐)であれば、フェールセーフ演算部は全て健全であると判断し初期チェックを終了する。   An initial check of the fail-safe calculation unit is performed before the train operation. First, the CPU itself performs self-diagnosis inside itself (S1000). If it is sound (branch to Yes in S1001), then RAM check (S1002), counter (timer) check (S1003), DSP check (S1004), bus verification circuit check (S1005) are performed, and all are checked (S1006). If it is healthy (branch to Yes in S1006), the data exchange register shown in FIG. 3 is checked (S1007). If the data exchange register is also sound (branch to Yes in S1008), the fail-safe operation unit determines that all are sound and ends the initial check.

もし、CPUが不健全(S1001でNoに分岐)か、RAM/カウンタ/DSP/バス照合回路のいずれか1個以上が不健全(S1006でNoに分岐)か、データ交換レジスタが不健全(S1008のNoに分岐)であれば、フェールセーフ演算部が故障していると判断し異常通知(S9000)を実施し、初期チェックを停止する。   If the CPU is unhealthy (branch to No in S1001), one or more of the RAM / counter / DSP / bus verification circuit is unhealthy (branch to No in S1006), or the data exchange register is unhealthy (S1008) Branch to No), it is determined that the fail-safe operation unit is out of order, an abnormality notification (S9000) is performed, and the initial check is stopped.

次に、データ交換レジスタの健全性チェックをより詳細に説明する。まず、CPUは自身が、A系なのかB系なのかを接続サイド確認レジスタで認識する。次に、A系/B系CPUがそれぞれ、A系/B系で異なるチェックデータをデータ交換レジスタのA面とB面に書き込む。さらにA系/B系CPUは、データ交換レジスタのA面/B面を指定しアクセスした上で、両系のデータ交換レジスタを交互に読み込み、お互いの系のデータを交換し取得できることを確認する。   Next, the soundness check of the data exchange register will be described in more detail. First, the CPU recognizes whether it is the A system or the B system by using the connection side confirmation register. Next, the A system / B system CPU writes different check data in the A system / B system to the A and B surfaces of the data exchange register. Further, the A system / B system CPU designates and accesses the A / B side of the data exchange register, and then alternately reads the data exchange registers of both systems to confirm that the data of each system can be exchanged and acquired. .

ここでチェックに使用する特殊値は、データ交換エリアの全ビットを0/1変化させたチェック用データを交換することによって、データ交換エリアに固定故障がないことを確認する。本処理をもって、データ交換レジスタの健全性の確認が出来る。また、本処理が終わった後のみに、パルスカウント値のデータ交換を許可することによって、誤ったデータ交換による速度認識の誤りを防ぐことが可能となる。   The special value used for the check here confirms that there is no fixed failure in the data exchange area by exchanging check data in which all bits of the data exchange area are changed by 0/1. With this processing, the soundness of the data exchange register can be confirmed. Further, by allowing the data exchange of the pulse count value only after this processing is completed, it becomes possible to prevent speed recognition errors due to erroneous data exchange.

より具体的には
(S01)各CPU207a、207bは、接続サイド確認レジスタのA面212a、B面212bで自身の系を認識する。(2071a、2071b)
(S02)接続サイド確認レジスタがA系212aである場合、つまり自身がA系CPU207aだと認識した場合、(0x5A5A5A5A)のデータをデータ交換レジスタのA面210aに書き込む。(2072a)
(S03)接続サイド確認レジスタがB系212bである場合、つまり自身がB系CPU207bだと認識した場合、(0xA5A5A5A5)のデータをデータ交換レジスタのB面210bに書き込む。(2072b)
(S04)各CPU207a、207bは、データ交換レジスタのA面210aを指定し格納されたデータを読出す。ここでは、データ交換レジスタのA面210aから読出した結果は、(0x5A5A5A5A)である。(2073a、2073b)
(S05)各CPU207a、207bは、データ交換レジスタのB面210bを指定し格納されたデータを読出す。ここでは、データ交換レジスタのB面210bから読出した結果は、(0xA5A5A5A5)である。(2074a、2074b)
(S06)CPU207aは、データ交換レジスタのA面210aを指定し読み出した値(0x5A5A5A5A)が、予め認識しているA系用チェックデータ(0x5A5A5A5A)と一致することを確認する。(2075a)
(S07)CPU207bは、データ交換レジスタのB面210aを指定し読み出した値(0xA5A5A5A5)が、予め認識しているB系用チェックデータ(0xA5A5A5A5)と一致することを確認する。(2075b)
(S08)CPU207aは、データ交換レジスタのB面210bを指定し読み出した値(0xA5A5A5A5)が、予め認識しているA系用チェックデータ(0x5A5A5A5A)の反転と一致することを確認する。(2076a)
(S09)CPU207bは、データ交換レジスタのA面210aを指定し読み出した値(0x5A5A5A5A)が、予め認識しているB系用チェックデータ(0xA5A5A5A5)の反転と一致することを確認する。(2076b)
上記処理において、データ交換レジスタ210の全ビットを0と1に変化させチェックするので、故障を確実に検知できる。 More specifically (S01) Each of the CPUs 207a and 207b recognizes its own system on the A side 212a and the B side 212b of the connection side confirmation register. (2071a, 2071b)
(S02) When the connection side confirmation register is the A system 212a, that is, when it is recognized that it is the A system CPU 207a, the data of (0x5A5A5A5A) is written to the A side 210a of the data exchange register. (2072a)
(S03) When the connection side confirmation register is the B system 212b, that is, when it recognizes that it is the B system CPU 207b, the data of (0xA5A5A5A5) is written to the B surface 210b of the data exchange register. (2072b)
(S04) Each CPU 207a, 207b designates the A side 210a of the data exchange register and reads the stored data. Here, the result read from the A side 210a of the data exchange register is (0x5A5A5A5A). (2073a, 2073b)
(S05) Each of the CPUs 207a and 207b designates the B side 210b of the data exchange register and reads the stored data. Here, the result read from the B surface 210b of the data exchange register is (0xA5A5A5A5). (2074a, 2074b)
(S06) The CPU 207a confirms that the value (0x5A5A5A5A) designated and read out from the A-side 210a of the data exchange register matches the A-system check data (0x5A5A5A5A) recognized in advance. (2075a)
(S07) The CPU 207b confirms that the value (0xA5A5A5A5) read by designating the B surface 210a of the data exchange register matches the B system check data (0xA5A5A5A5) recognized in advance. (2075b)
(S08) The CPU 207a confirms that the value (0xA5A5A5A5) read by designating the B surface 210b of the data exchange register matches the inversion of the A system check data (0x5A5A5A5A) recognized in advance. (2076a)
(S09) The CPU 207b confirms that the value (0x5A5A5A5A) read by designating the A side 210a of the data exchange register matches the inversion of the B system check data (0xA5A5A5A5) recognized in advance. (2076b)
In the above processing, since all the bits of the data exchange register 210 are changed to 0 and 1 and checked, a failure can be detected reliably.

次に、図4を用いて速度パルス信号の取り込みにおけるパルスカウントデータの健全性チェックを説明する。
(S11)A系/B系CPU207a、207bは、それぞれ自系のタイマ_A205a、タイマ_B205bから、パルスカウント値TCLKA_AとTCLKA_Bを取得する。(2171a、2171b)
(S12)CPU207aはデータ交換レジスタ210のA面(210a)に、CPU207bはデータ交換レジスタ210のB面(210b)に自系で取り込んだパルスカウント値の書き込みを行う。(2172a、2172b)
(S13)CPU207a、CPU207bはデータ交換レジスタ210のA面(210a)を指定し読み出すことで、A系タイマ205aのパルスカウント値TCLKA_Aを取得する。(2173a、2173b)
(S14)CPU207a、CPU207bはデータ交換レジスタ210のB面(210b)を指定し読み出すことで、B系タイマ210bのパルスカウント値TCLKA_Bを取得する。(2174a、2174b)
(S15)CPU207a、207bは、(S13)、(S14)で読み出したA系タイマ205aのパルスカウント値TCLKA_Aと、B系タイマ205bのパルスカウント値TCLKA_Bの差が閾値以内であることを確認する(パルス差監視処理)。(2175a、2175b)
(S16)CPU207a、207bは、(S15)のパルス差監視処理の異常がなければ、A系タイマ205aで取り込んだパルスカウント値TCLKA_Aを列車速度の演算に使用し、列車制御処理を行う。
もし、(S15)でのパルスカウント差が閾値より大きい場合には、入力段回路やタイマの異常と見なし、列車に故障検知信号とブレーキの出力で減速や停止を行う。そのため、列車システムとして安全動作が可能となる。 Next, the soundness check of the pulse count data in taking in the speed pulse signal will be described with reference to FIG.
(S11) The A-system / B-system CPUs 207a and 207b obtain the pulse count values TCLKA_A and TCLKA_B from their own system timer_A 205a and timer_B 205b, respectively. (2171a, 2171b)
(S12) The CPU 207a writes the pulse count value captured in its own system to the A side (210a) of the data exchange register 210 and the CPU 207b to the B side (210b) of the data exchange register 210. (2172a, 2172b)
(S13) The CPU 207a and the CPU 207b designate and read the A side (210a) of the data exchange register 210, thereby acquiring the pulse count value TCLKA_A of the A-system timer 205a. (2173a, 2173b)
(S14) The CPU 207a and the CPU 207b designate and read the B side (210b) of the data exchange register 210, thereby acquiring the pulse count value TCLKA_B of the B-system timer 210b. (2174a, 2174b)
(S15) The CPUs 207a and 207b confirm that the difference between the pulse count value TCLKA_A of the A-system timer 205a read in (S13) and (S14) and the pulse count value TCLKA_B of the B-system timer 205b is within a threshold ( Pulse difference monitoring process). (2175a, 2175b)
(S16) If there is no abnormality in the pulse difference monitoring process in (S15), the CPUs 207a and 207b use the pulse count value TCLKA_A captured by the A-system timer 205a for the calculation of the train speed, and perform the train control process.
If the pulse count difference in (S15) is larger than the threshold value, it is considered that the input stage circuit or timer is abnormal, and the train is decelerated or stopped by the failure detection signal and the brake output. Therefore, safe operation is possible as a train system.

なお、本実施例ではデータ交換レジスタ210の1番地を使用し説明した。しかしながら、データ交換レジスタ210は、複数ビット長(複数バイト)であるレジスタを複数個有するので、レジスタを順次変えて使用することによるチェックも可能である。   In this embodiment, the description has been made using the address 1 of the data exchange register 210. However, since the data exchange register 210 includes a plurality of registers having a plurality of bits (a plurality of bytes), it is possible to check by sequentially changing the registers.

図6は列車運行時の異常検知方法のフローチャート図である。本図ではフェールセーフ演算部14で重要な機能部であるデータ交換レジスタ210の健全性を初期チェック時だけでなく、運行時のパルスカウント値チェック(前述のS11からS16)に加えて行うものである。まず、タイマ205aないし205bより時刻情報を取得(S2000)し、その情報がチェック時刻に達したら(S2001のYesに分岐)、データ交換レジスタのチェック(S2100、前述のS01からS09)を実施し健全か否かを判断する(S2101)。   FIG. 6 is a flowchart of an abnormality detection method during train operation. In this figure, the health of the data exchange register 210, which is an important functional unit in the fail-safe calculation unit 14, is performed in addition to the pulse count value check during operation (S11 to S16 described above) in addition to the initial check. is there. First, time information is acquired from the timers 205a to 205b (S2000), and when the information reaches the check time (branch to Yes in S2001), the data exchange register is checked (S2100, S01 to S09 described above) to be sound. Whether or not (S2101).

健全であれば(S2101のYesに分岐)、パルスカウント値チェック(S2002)を実施し健全性をチェックする。健全であれば(S2003のYesに分岐)、バス照合回路208のチェックを行う(S2005)。健全であれば(S2005のYesに分岐)、再度同様な処理を繰り返す。もし、S2101、S2003、S2005のいずれかで不健全(Noに分岐)の場合には、故障と判断し、異常通知S9000(列車に故障検知信号とブレーキの出力)を実行する。   If it is sound (branch to Yes in S2101), the pulse count value check (S2002) is performed to check the soundness. If it is healthy (branch to Yes in S2003), the bus verification circuit 208 is checked (S2005). If it is healthy (branch to Yes in S2005), the same processing is repeated again. If any of S2101, S2003, and S2005 is unhealthy (branch to No), it is determined that there is a failure, and an abnormality notification S9000 (failure detection signal and brake output to train) is executed.

なお、主チェックはS2000からS2005であり、S2100とS2101は従チェックである。そこで、例えば主チェックは10msec毎に1回と細かく健全性を確認し、従チェックは100sec毎に1回と健全性を確認する。このような方法で詳細にフォールセーフ装置全体をチェックすることにより、更なる健全性向上が図れる。以上の実施例の説明では、移動体の一例として列車を用いたが列車以外の移動体、例えば、自動車等でも本発明を適応できることは言うまでもない。   The main check is from S2000 to S2005, and S2100 and S2101 are subordinate checks. Therefore, for example, the main check confirms the soundness finely once every 10 msec, and the sub-check confirms the soundness once every 100 sec. By checking the entire fall-safe device in detail by such a method, the soundness can be further improved. In the above description of the embodiment, a train is used as an example of a moving body, but it goes without saying that the present invention can be applied to a moving body other than a train, such as an automobile.

鉄道における列車制御を行なうフェールセーフ装置に適用できる。また、鉄道以外の高信頼性・安全性の求められる計算機やその他移動体にも適用可能である。   It can be applied to a fail-safe device that performs train control in railways. It can also be applied to computers other than railways that require high reliability and safety and other mobile objects.

11 ATC送信部
12 列車
13 ATC受信部
14 フェールセーフ演算部
15 速度照査部
16 速度発電機
17 車輪
18 軌道回路
19 受電器
111 ATC信号
130a DSP_A
130b DSP_B
141 制限速度情報
142 故障検知信号
151 ブレーキ出力
152 速度照査回路
161 速度パルス信号
191 ATC信号
204a バス_A
204b バス_B
205a タイマ_A
205b タイマ_B
206a RAM_A
206b RAM_B
207a CPU_A
207b CPU_B
208 バス照合回路
2081 エラー信号
210 データ交換レジスタ
210a データ交換レジスタ_A面
210b データ交換レジスタ_B面
212a 接続サイド確認レジスタ_A面
212b 接続サイド確認レジスタ_B面 11 ATC transmission unit 12 Train 13 ATC reception unit 14 Fail-safe operation unit 15 Speed check unit 16 Speed generator 17 Wheel 18 Track circuit 19 Power receiver 111 ATC signal 130a DSP_A
130b DSP_B
141 Speed limit information 142 Failure detection signal 151 Brake output 152 Speed check circuit 161 Speed pulse signal 191 ATC signal 204a Bus_A
204b Bus_B
205a Timer_A
205b Timer_B
206a RAM_A
206b RAM_B
207a CPU_A
207b CPU_B
208 Bus verification circuit 2081 Error signal 210 Data exchange register 210a Data exchange register_A surface 210b Data exchange register_B surface 212a Connection side confirmation register_A surface 212b Connection side confirmation register_B surface

Claims (3)

多重系での出力照合方式によるフェールセーフ装置において、
パルスカウントの外部データを取り込む受信部と、
各系がデータ交換するためのデータ交換部と、
各系それぞれに前記データ交換部へデータを書き込む、ないしデータを読み出すための演算部とを設け、
各系が、それぞれ、自系が書き込むデータと、該データのデータ交換エリアを全ビットにわたり反転させた、他系が書き込むデータとを記憶し、
自系が前記データ交換部に書き込んだデータと、自系が前記データ交換部から読み出した結果とを比較して第1の健全性を確認し、
他系が前記データ交換部に書き込んだデータと、自系が前記データ交換部から読み出したデータのデータ交換エリアを全ビットにわたり反転させた結果とを比較して第2の健全性を確認し、
前記第1の健全性確認および前記第2の健全性確認を系毎に実行して前記データ交換部の健全性が確認できた場合に、
自系自身が前記受信部より取り込んだ外部データを、前記データ交換部に書き込むデータとし、
他系自身が前記受信部より取り込んだ外部データを、前記データ交換部に書き込むデータとし、
自系が前記データ交換部に書き込んだデータを読み出すとともに、他系が前記データ交換部に書き込んだデータを読み出して、両者のデータ比較による差が予め設定した閾値以内であれば、当該多重系の健全性が保持されていると判断する
ことを特徴とするフェールセーフ装置。 In fail-safe equipment with output verification method in multiplex system,
A receiver that captures external data of the pulse count ;
A data exchange section for each system to exchange data;
An operation unit for writing data to the data exchange unit in each system or reading data is provided,
Each system stores the data to be written by the own system and the data to be written by other systems, in which the data exchange area of the data is inverted over all bits,
Compare the data written by the own system to the data exchange unit and the result read by the own system from the data exchange unit to confirm the first soundness,
Compare the data written by the other system to the data exchange unit and the result of inverting the data exchange area of the data read from the data exchange unit by the own system over all bits, and confirm the second soundness,
If the integrity of the data exchange unit the confirmation of the first health check and the second health run for each system was confirmed,
External data taken by the own system from the receiving unit is data to be written to the data exchange unit,
External data taken by the other system itself from the receiving unit as data to be written to the data exchange unit,
When the local system reads the data written to the data exchange unit and the other system reads the data written to the data exchange unit, and the difference between the two data comparison is within a preset threshold, the multiplexing system A fail-safe device characterized in that soundness is maintained . 請求項1に記載のフェールセーフ装置において、前記データ交換部または前記多重系の健全性が確認できない場合に、異常検知信号ないし制御信号を当該フェールセーフ装置の外部に出力する
ことを特徴とするフェールセーフ装置。 2. The fail-safe device according to claim 1, wherein when a soundness of the data exchange unit or the multiplexing system cannot be confirmed, an abnormality detection signal or a control signal is output to the outside of the fail-safe device. Safe device. 請求項1に記載のフェールセーフ装置において、前記受信部で取り込む外部データが、移動体の速度情報である
ことを特徴とするフェールセーフ装置。 The fail-safe device according to claim 1 , wherein the external data captured by the receiving unit is speed information of a moving body .
JP2011221498A 2011-10-06 2011-10-06 Fail-safe device Active JP5905697B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011221498A JP5905697B2 (en) 2011-10-06 2011-10-06 Fail-safe device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011221498A JP5905697B2 (en) 2011-10-06 2011-10-06 Fail-safe device

Publications (2)

Publication Number Publication Date
JP2013085318A JP2013085318A (en) 2013-05-09
JP5905697B2 true JP5905697B2 (en) 2016-04-20

Family

ID=48529969

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011221498A Active JP5905697B2 (en) 2011-10-06 2011-10-06 Fail-safe device

Country Status (1)

Country Link
JP (1) JP5905697B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6169436B2 (en) * 2013-08-09 2017-07-26 日本信号株式会社 Dual system verification device
WO2015132944A1 (en) * 2014-03-07 2015-09-11 株式会社日立製作所 Vehicle coupling control system, vehicle coupling control method, and vehicle control system fault detection device
WO2022224897A1 (en) * 2021-04-20 2022-10-27 株式会社日立製作所 Digital output apparatus and method for generating digital output

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01116801A (en) * 1987-10-30 1989-05-09 Mitsubishi Electric Corp Dual system switching method
JPH07295844A (en) * 1994-04-28 1995-11-10 Hitachi Ltd Fail-safe controller and train controller
JPH09286332A (en) * 1996-04-24 1997-11-04 Mitsubishi Electric Corp Double system electronic device for railroad
JP4427205B2 (en) * 2001-04-05 2010-03-03 東日本旅客鉄道株式会社 Multiplex system
JP4164628B2 (en) * 2001-07-02 2008-10-15 株式会社日立製作所 Fail-safe information processing device
JP4195336B2 (en) * 2003-06-10 2008-12-10 株式会社東芝 Fail-safe CPU processing device for electric cars
JP2005018446A (en) * 2003-06-26 2005-01-20 Toshiba Corp Multiple system controller and method for matching internal data for use therewith
JP5254261B2 (en) * 2010-02-09 2013-08-07 株式会社日立製作所 On-board control device

Also Published As

Publication number Publication date
JP2013085318A (en) 2013-05-09

Similar Documents

Publication Publication Date Title
JP6381678B2 (en) Method, apparatus, monitoring system and computer program for monitoring a system of a vehicle performing at least a semi-automated driving function
JP5068436B2 (en) Method and apparatus for bus coupling of safety related processes
KR19990036222A (en) Microprocessor Systems for Critical Safety Control Systems
ITMI20082068A1 (en) ELECTRONIC SYSTEM FOR DETECTION OF FAILURE
US11420662B2 (en) Device and method for the safe management of vital communications in the railway environment
JP5905697B2 (en) Fail-safe device
RU2644809C2 (en) Standstill determination in rail vehicle
BR102014008488B1 (en) TRAIN CONTROL SYSTEM
CN110758489A (en) Automatic protection system of train
JP7206410B2 (en) Safety systems and methods of operating safety systems
JP6272455B2 (en) Vehicle merge control system, vehicle merge control method, and failure detection apparatus for vehicle control system
JP5467925B2 (en) Security device equipped with parallel bus sanity check function
JP4475593B2 (en) Elevator control device
CN113895481A (en) Train positioning and tracking management method, equipment and medium based on pattern recognition
KR100945854B1 (en) Fault detection circuit of railroad signal controller
JP5025402B2 (en) High safety control device
JP6441380B2 (en) In-vehicle transmission control device
CN112109770B (en) Axle counting fault detection method and device, electronic equipment and storage medium
GB2547985A (en) Vehicle subsystem communication arbitration
JPH07295844A (en) Fail-safe controller and train controller
JP3210833B2 (en) Error checking method and device
KR101793310B1 (en) Apparatus for detecting tag reader failure of railway vehicle
JP4357373B2 (en) High reliability control device
JP2003146214A (en) Railway signal transmission device
RU2652363C1 (en) Device for traffic control at a railway crossing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141202

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150714

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150911

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160308

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160317

R150 Certificate of patent or registration of utility model

Ref document number: 5905697

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150