JP7003217B2 - Elevator safety control device - Google Patents

Elevator safety control device Download PDF

Info

Publication number
JP7003217B2
JP7003217B2 JP2020504489A JP2020504489A JP7003217B2 JP 7003217 B2 JP7003217 B2 JP 7003217B2 JP 2020504489 A JP2020504489 A JP 2020504489A JP 2020504489 A JP2020504489 A JP 2020504489A JP 7003217 B2 JP7003217 B2 JP 7003217B2
Authority
JP
Japan
Prior art keywords
safety
task
safety control
control
executed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020504489A
Other languages
Japanese (ja)
Other versions
JPWO2019171424A1 (en
Inventor
昭之 鳥谷
雅史 塩
洋平 塚本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2019171424A1 publication Critical patent/JPWO2019171424A1/en
Application granted granted Critical
Publication of JP7003217B2 publication Critical patent/JP7003217B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B5/00Applications of checking, fault-correcting, or safety devices in elevators
    • B66B5/02Applications of checking, fault-correcting, or safety devices in elevators responsive to abnormal operating conditions

Landscapes

  • Maintenance And Inspection Apparatuses For Elevators (AREA)

Description

本発明は、複数の安全制御機能を備えたエレベーターの運転を制御するエレベーター安全制御装置に関するものである。 The present invention relates to an elevator safety control device that controls the operation of an elevator having a plurality of safety control functions.

近年、エレベーターには、種々の安全制御機能が導入されるようになっている。安全制御機能の具体例としては、以下のものが挙げられる。
・終端階強制減速機能(SETS)
・戸開走行保護機能(UCMP)
・自己診断機能(DIAG)
・系統間通信機能(ICOM)
In recent years, various safety control functions have been introduced into elevators. Specific examples of the safety control function include the following.
・ End floor forced deceleration function (SETS)
・ Door open running protection function (UCMP)
・ Self-diagnosis function (DIAG)
・ Inter-system communication function (ICOM)

一方、非安全制御機能の具体例としては、以下のものが挙げられる。
・データロギング機能(DLOG)
・エレベーター運転制御装置とのインターフェース機能(CCIF)
On the other hand, specific examples of the non-safety control function include the following.
-Data logging function (DLOG)
・ Interface function with elevator operation control device (CCIF)

上述したような安全制御機能は、今後、さらに適用範囲の拡大が見込まれる。これらの安全制御機能をそれぞれ実装する場合、安全機能ごとに基板あるいは装置を複数用意しなければならない。このため、装置のコスト、および装置の据付・保守の手間が増大してしまう。 The scope of application of the safety control function as described above is expected to expand further in the future. When implementing each of these safety control functions, a plurality of boards or devices must be prepared for each safety function. Therefore, the cost of the device and the labor of installing and maintaining the device increase.

そこで、この問題を解決するために、複数の安全制御機能を一の基板あるいは一の装置に実装する方法が提案されている(例えば、特許文献1参照)。 Therefore, in order to solve this problem, a method of mounting a plurality of safety control functions on one board or one device has been proposed (see, for example, Patent Document 1).

複数の安全制御機能を一の基板あるいは一の装置に実装する場合、安全制御機能のアプリケーション、あるいは非安全制御機能のアプリケーションが、他の安全制御機能に影響を及ぼさないよう、各制御機能の独立性を確保する必要がある。 When multiple safety control functions are mounted on one board or one device, each control function is independent so that the application of the safety control function or the application of the non-safety control function does not affect the other safety control functions. It is necessary to ensure sex.

そこで、タイム・パーティショニングを用いたタスクスケジューリングによって、安全制御機能関連のアプリケーションを、非安全制御機能関連のアプリケーションから独立させている従来技術がある(例えば、特許文献2参照)。各タイムパーティションは、毎周期固定の大きさであり、それぞれのパーティションで決められたタスク群の中から、タスクがスケジューリングされる。 Therefore, there is a prior art technique in which an application related to a safety control function is made independent from an application related to a non-safety control function by task scheduling using time partitioning (see, for example, Patent Document 2). Each time partition has a fixed size every cycle, and tasks are scheduled from the task group determined by each partition.

特許文献2における図1の例では、タイムパーティションTP1には安全制御機能のタスクST1、タイムパーティションTP2には安全制御機能のタスクST2、タイムパーティションTP3には非安全制御機能のタスクNST1とNST2が、それぞれスケジューリングされている。各TP内でのスケジューリング方法は、自由である。ただし、独立性の確保のため、同一のTP内に安全制御機能関連のアプリケーションのタスクと非安全制御機能関連のアプリケーションのタスクとを混在させることはできない。 In the example of FIG. 1 in Patent Document 2, the time partition TP1 has the task ST1 of the safety control function, the time partition TP2 has the task ST2 of the safety control function, and the time partition TP3 has the tasks NST1 and NST2 of the non-safety control function. Each is scheduled. The scheduling method within each TP is free. However, in order to ensure independence, the task of the application related to the safety control function and the task of the application related to the non-safety control function cannot be mixed in the same TP.

特許第550718号公報Japanese Patent No. 550718 特開2010-271759号公報Japanese Unexamined Patent Publication No. 2010-271759 国際公開第2011/158301号International Publication No. 2011/158301 特開2003-104646号公報Japanese Unexamined Patent Publication No. 2003-104646

しかしながら、従来技術には、以下のような課題がある。
特許文献2で用いられているタイム・パーティショニングでは、毎周期を決まった大きさのパーティションに分割し、かつ、分割されたパーティション内で、決められた種類のアプリケーションのタスクがスケジューリングされる。アプリケーションの処理が完了するまでに要する時間は、条件分岐、バスの競合などの要因によって、変動する。従って、パーティションの大きさは、各アプリケーションの最悪実行時間を考慮して設定する必要がある。
However, the prior art has the following problems.
In the time partitioning used in Patent Document 2, each cycle is divided into partitions of a fixed size, and the tasks of a fixed type of application are scheduled within the divided partitions. The time required to complete the processing of the application varies depending on factors such as conditional branching and bus conflict. Therefore, the partition size needs to be set in consideration of the worst execution time of each application.

ここで、最悪実行時間とは、処理が完了するまでに要する時間が最も長くなるワーストケースの時間を指している。このため、特許文献2では、最悪実行時間を考慮して各パーティションが大きめに設定されており、タスクが早期に終了した場合、パーティション内に空き時間が発生する。 Here, the worst execution time refers to the worst case time that takes the longest time to complete the process. Therefore, in Patent Document 2, each partition is set to be large in consideration of the worst execution time, and when the task is completed early, free time is generated in the partition.

しかしながら、独立性の確保のためには、安全制御機能関連のアプリケーションのタスクと非安全制御機能関連のアプリケーションのタスクとは、必ず別のパーティションにスケジューリングしなければならない。 However, in order to ensure independence, the tasks of the application related to the safety control function and the tasks of the application related to the non-safety control function must be scheduled in different partitions.

したがって、安全制御機能関連のアプリケーションに割り当てられたパーティションに空きが発生したとしても、その空き時間に非安全制御機能関連のアプリケーションのタスクを割り当てることはできない。この結果、特許文献2で用いられているタイム・パーティショニングでは、CPUの利用効率を向上できないという課題がある。 Therefore, even if the partition assigned to the application related to the safety control function becomes free, the task of the application related to the non-safety control function cannot be assigned to the free time. As a result, the time partitioning used in Patent Document 2 has a problem that the utilization efficiency of the CPU cannot be improved.

本発明は、前記のような課題を解決するためになされたものであり、安全制御機能のタスクと非安全制御機能のタスクとの独立性を確保した上で、効率的なタスクスケジューリングを実現するエレベーター安全制御装置を得ることを目的とする。 The present invention has been made to solve the above-mentioned problems, and realizes efficient task scheduling while ensuring independence between the task of the safety control function and the task of the non-safety control function. The purpose is to obtain an elevator safety control device.

本発明に係るエレベーター安全制御装置は、複数の安全制御機能および複数の非安全制御機能を各々独立したプログラムとして記憶するとともに、複数の安全制御機能を各制御周期で実行する際の制御周期ごとのスケジューリングと実行順序があらかじめ規定された安全スケジューリング情報を記憶する記憶部と、安全スケジューリング情報に従って、複数の安全制御機能および複数の非安全制御機能に対応するそれぞれのプログラムを順次実行することにより、エレベーターの制御演算を行うCPUとを備え、CPUは、各制御周期において、安全スケジューリング情報として規定された実行順序に従って安全制御機能を連続して空き時間なしに順次実行し、制御周期内に割り当てられた安全制御機能をすべて実行した後の制御周期内の空き時間で、複数の非安全制御機能を実行するものである。 The elevator safety control device according to the present invention stores a plurality of safety control functions and a plurality of non-safety control functions as independent programs, and for each control cycle when the plurality of safety control functions are executed in each control cycle. An elevator that stores safety scheduling information whose scheduling and execution order are predetermined, and sequentially executes each program corresponding to multiple safety control functions and multiple non-safety control functions according to the safety scheduling information. In each control cycle, the CPU continuously executes the safety control functions in the execution order specified as the safety scheduling information without any free time, and is assigned within the control cycle. A plurality of non-safety control functions are executed in the free time within the control cycle after all the safety control functions are executed.

本発明によれば、安全制御機能のタスクを優先して実行し、安全制御機能の実行が完了した後の空き時間を、各制御周期の後ろにまとめ、空き時間を利用して非安全制御機能を実行することができる構成を備えている。この結果、安全制御機能のタスクと非安全制御機能のタスクとの独立性を確保した上で、効率的なタスクスケジューリングを実現するエレベーター安全制御装置を得ることができる。 According to the present invention, the task of the safety control function is preferentially executed, the free time after the execution of the safety control function is completed is summarized after each control cycle, and the free time is used for the non-safety control function. Has a configuration that can be executed. As a result, it is possible to obtain an elevator safety control device that realizes efficient task scheduling while ensuring independence between the task of the safety control function and the task of the non-safety control function.

本発明の実施の形態1におけるエレベーター安全制御装置の構成図である。It is a block diagram of the elevator safety control device in Embodiment 1 of this invention. 本発明の実施の形態1に係る論理部および独立性保証部において、安全スケジューリング情報および非安全スケジューリング情報に基づいて1回目の制御周期で実行されるタスク処理内容を説明するための図である。It is a figure for demonstrating the task processing content which is executed in the 1st control cycle based on the safety scheduling information and the non-safety scheduling information in the logic part and the independence guarantee part which concerns on Embodiment 1 of this invention. 本発明の実施の形態1に係る論理部および独立性保証部において、安全スケジューリング情報および非安全スケジューリング情報に基づいて2回目の制御周期で実行されるタスク処理内容を説明するための図である。It is a figure for demonstrating the task processing content which is executed in the 2nd control cycle based on the safety scheduling information and the unsafe scheduling information in the logic part and the independence guarantee part which concerns on Embodiment 1 of this invention. 本発明の実施の形態1に係る論理部および独立性保証部により実行される一連のタスク処理をまとめたフローチャートである。It is a flowchart which summarized a series of task processing executed by the logic part and the independence guarantee part which concerns on Embodiment 1 of this invention. 本発明の実施の形態1に係る安全スケジューリング情報および非安全スケジューリング情報の変形例を示した図である。It is a figure which showed the modification of the safety scheduling information and non-safety scheduling information which concerns on Embodiment 1 of this invention. 本発明の実施の形態1において、安全制御機能のタスクを実行中に中断処理が発生した際のエラー処理を説明するための図である。It is a figure for demonstrating the error processing when the interruption processing occurs while executing the task of a safety control function in Embodiment 1 of this invention. 本発明の実施の形態1における変形例5の動作を説明するための図である。It is a figure for demonstrating the operation of the modification 5 in Embodiment 1 of this invention. 本発明の実施の形態1における変形例5の動作を説明するための図である。It is a figure for demonstrating the operation of the modification 5 in Embodiment 1 of this invention. 本発明の実施の形態1における変形例6の動作を説明するための図である。It is a figure for demonstrating the operation of the modification 6 in Embodiment 1 of this invention. 本発明の実施の形態1における変形例6の動作を説明するための図である。It is a figure for demonstrating the operation of the modification 6 in Embodiment 1 of this invention. 本発明の実施の形態1における変形例6の動作を説明するための図である。It is a figure for demonstrating the operation of the modification 6 in Embodiment 1 of this invention. 本発明の実施の形態2に係るエレベーター安全制御装置を適用するエレベーターシステムの全体構成図である。It is an overall block diagram of the elevator system to which the elevator safety control device which concerns on Embodiment 2 of this invention is applied. 本発明の実施の形態2におけるエレベーター安全監視装置の内部構成を詳細に示したブロック図である。It is a block diagram which showed the internal structure of the elevator safety monitoring apparatus in Embodiment 2 of this invention in detail. 本発明の実施の形態2における第1の安全監視系統および第2の安全監視系統に共通の構成図である。It is a block diagram common to the 1st safety monitoring system and the 2nd safety monitoring system in Embodiment 2 of this invention. 本発明の実施の形態2において、安全スケジューリング情報および非安全スケジューリング情報に従った実行計画に相当する実行タイムチャートである。In the second embodiment of the present invention, it is an execution time chart corresponding to an execution plan according to the safe scheduling information and the unsafe scheduling information. 本発明の実施の形態2によるタスク処理を実行した際の実行タイムチャートである。It is an execution time chart when the task process by Embodiment 2 of this invention is executed. 従来技術によるタスク処理を実行した際の実行タイムチャートである。It is an execution time chart when the task processing by the prior art is executed.

以下、本発明のエレベーター安全制御装置の好適な実施の形態につき図面を用いて説明する。 Hereinafter, preferred embodiments of the elevator safety control device of the present invention will be described with reference to the drawings.

実施の形態1.
まず始めに、本発明の説明で用いられる語句として、「タスク」、「規定時間」、「制御周期」、「安全スケジューリング情報」、「非安全スケジューリング情報」、「タスク中断」、「タスク終了」に関する意味内容の説明を、表1にまとめて示す。
Embodiment 1.
First of all, as terms used in the description of the present invention, "task", "specified time", "control cycle", "safe scheduling information", "unsafe scheduling information", "task interruption", "task end" Table 1 summarizes the explanation of the meaning and contents of the above.

Figure 0007003217000001
Figure 0007003217000001

図1は、本発明の実施の形態1におけるエレベーター安全制御装置の構成図である。本実施の形態1に係るエレベーター安全制御装置は、入力部10、論理部20、および独立性保証部30を備えて構成されている。論理部20内のCPU21は、エレベーターの状態に関する信号を入力値として取得するとともに、プログラム40、安全スケジューリング情報50、および非安全スケジューリング情報60を読み込む。 FIG. 1 is a configuration diagram of an elevator safety control device according to the first embodiment of the present invention. The elevator safety control device according to the first embodiment includes an input unit 10, a logic unit 20, and an independence guarantee unit 30. The CPU 21 in the logic unit 20 acquires a signal related to the elevator status as an input value, and reads the program 40, the safety scheduling information 50, and the unsafe scheduling information 60.

ここで、プログラム40、安全スケジューリング情報50、および非安全スケジューリング情報60は、記憶部内に記憶されたデータに相当し、論理部20内のCPU21は、これらのデータを参照して、エレベーター制御に必要な処理を実行することとなる。 Here, the program 40, the safety scheduling information 50, and the unsafe scheduling information 60 correspond to the data stored in the storage unit, and the CPU 21 in the logic unit 20 refers to these data and is necessary for the elevator control. Processing will be executed.

プログラム40は、複数の安全制御機能のタスク41および複数の非安全制御機能のタスク42を有している。 The program 40 has a plurality of safety control function tasks 41 and a plurality of non-safety control function tasks 42.

安全スケジューリング情報50は、複数の安全制御機能のタスク41を、どの制御周期でどのような順序で実行すべきかを規定するスケジューリング情報である。具体的には、安全スケジューリング情報50は、安全制御機能の各タスクの実行順序、タスクの規定時間、および各制御周期の最後に実行される最終安全タスクであることを示す最終フラグが定義された情報である。 The safety scheduling information 50 is scheduling information that defines in which control cycle and in what order the tasks 41 of the plurality of safety control functions should be executed. Specifically, the safety scheduling information 50 is defined with the execution order of each task of the safety control function, the specified time of the task, and the final flag indicating that it is the final safety task to be executed at the end of each control cycle. Information.

図1に示す安全スケジューリング情報50の具体例では、最初の制御周期で、安全制御機能のタスクST1、ST2が順に実行され、次の制御周期で、安全制御機能のタスクST1、ST3が順に実行されるとともに、タスクST1、ST2、ST3のそれぞれが、規定時間T1、T2、T3で監視されることが定義付けされている。 In the specific example of the safety scheduling information 50 shown in FIG. 1, the tasks ST1 and ST2 of the safety control function are executed in order in the first control cycle, and the tasks ST1 and ST3 of the safety control function are executed in order in the next control cycle. At the same time, it is defined that each of the tasks ST1, ST2, and ST3 is monitored at the specified time T1, T2, and T3.

非安全スケジューリング情報60は、複数の非安全制御機能のタスク42の実行順序を規定するスケジューリング情報である。具体的には、非安全スケジューリング情報60は、制御周期には依存せずに、どのような順序で非安全制御機能の各タスクを実行すべきかだけが定義された情報である。 The unsafe scheduling information 60 is scheduling information that defines the execution order of the tasks 42 of the plurality of unsafe control functions. Specifically, the unsafe scheduling information 60 is information that does not depend on the control cycle and only defines in what order each task of the unsafe control function should be executed.

図1に示す非安全スケジューリング情報60の具体例では、非安全制御機能のタスクNST1、NST2、NST3、NST1の順で、順次実行すべきことが定義付けされている。 In the specific example of the unsafe scheduling information 60 shown in FIG. 1, it is defined that the tasks NST1, NST2, NST3, and NST1 of the unsafe control function should be executed in this order.

そして、論理部20内のCPU21は、入力値を用いて、安全スケジューリング情報50でスケジューリングが規定された複数の安全制御機能、および非安全スケジューリング情報60でスケジューリングが規定された複数の非安全制御機能を、各々独立したプログラム40として順次実行することにより、エレベーターの制御演算を行う。 Then, the CPU 21 in the logic unit 20 uses the input value to have a plurality of safety control functions whose scheduling is defined by the safety scheduling information 50 and a plurality of unsafe control functions whose scheduling is defined by the unsafe scheduling information 60. Are sequentially executed as independent programs 40, thereby performing the control calculation of the elevator.

また、論理部20内のCPU21は、必要に応じて、各々独立して実行される各プログラム40の実行状態の情報をコンテキストブロック70に保持させ、実行状態の情報を必要に応じて読み出すことができる。ここで、コンテキストブロック70は、記憶部内に記憶された、読み書き可能なデータに相当する。 Further, the CPU 21 in the logic unit 20 holds the execution state information of each program 40, which is executed independently, in the context block 70, and reads the execution state information as needed. can. Here, the context block 70 corresponds to literate data stored in the storage unit.

独立性保証部30は、複数の安全制御機能のタスク41および複数の非安全制御機能のタスク42からなるすべての制御機能について、ある制御機能が他の制御機能に影響を及ぼさないように、制御機能間の独立性を保証する。独立性保証部30は、規定時間の経過状況を監視する規定時間タイマ31、制御期間の経過状況を監視する制御周期タイマ32、およびメモリ保護機能33を備えて構成されている。 The independence guarantee unit 30 controls all the control functions including the task 41 of the plurality of safety control functions and the task 42 of the plurality of non-safety control functions so that one control function does not affect the other control functions. Guarantee independence between functions. The independence guarantee unit 30 is configured to include a specified time timer 31 for monitoring the elapsed status of a specified time, a control cycle timer 32 for monitoring the elapsed status of a control period, and a memory protection function 33.

本発明は、論理部20と独立性保証部30とが連動して、安全スケジューリング情報50および非安全スケジューリング情報60で規定された各タスクを、各々独立したプログラム40として順次実行することで、結果的に、安全制御機能のタスク41を実行しない空き時間を、各制御周期の後ろにまとめることができる点を技術的特徴としている。 The present invention is a result of the logic unit 20 and the independence guarantee unit 30 interlocking to sequentially execute each task defined by the safety scheduling information 50 and the unsafe scheduling information 60 as independent programs 40. Therefore, the technical feature is that the free time during which the task 41 of the safety control function is not executed can be summarized after each control cycle.

そして、この空き時間は、従来手法と異なり、安全制御機能から独立している。このため、それぞれの制御周期の空き時間に、非安全スケジューリング情報60で実行順序が規定された非安全制御機能のタスク42を順次割り当てることが可能となる。この結果、本発明は、従来手法と比較して、CPU21の利用効率の向上を測ることができる。 And, unlike the conventional method, this free time is independent of the safety control function. Therefore, the task 42 of the unsafe control function whose execution order is defined by the unsafe scheduling information 60 can be sequentially assigned to the free time of each control cycle. As a result, the present invention can measure the improvement in the utilization efficiency of the CPU 21 as compared with the conventional method.

そこで、次に、本実施の形態1に係る論理部20と独立性保証部30により実行されるタスク処理の具体的な動作について、図2A、図2B、図3を用いて詳細に説明する。図2Aは、本発明の実施の形態1に係る論理部20および独立性保証部30において、安全スケジューリング情報50および非安全スケジューリング情報60に基づいて1回目の制御周期で実行されるタスク処理内容を説明するための図である。また、図2Bは、本発明の実施の形態1に係る論理部20および独立性保証部30において、安全スケジューリング情報50および非安全スケジューリング情報60に基づいて2回目の制御周期で実行されるタスク処理内容を説明するための図である。 Therefore, next, the specific operation of the task processing executed by the logic unit 20 and the independence guarantee unit 30 according to the first embodiment will be described in detail with reference to FIGS. 2A, 2B, and 3. FIG. 2A shows the task processing contents executed in the first control cycle based on the safety scheduling information 50 and the unsafe scheduling information 60 in the logic unit 20 and the independence guarantee unit 30 according to the first embodiment of the present invention. It is a figure for demonstrating. Further, FIG. 2B shows a task process executed in the second control cycle based on the safety scheduling information 50 and the unsafe scheduling information 60 in the logic unit 20 and the independence guarantee unit 30 according to the first embodiment of the present invention. It is a figure for demonstrating the content.

図2Aでは、1回目の制御周期が時刻t0~時刻t3の期間として示されており、図2Bでは、2回目の制御周期が時刻t3~時刻t6の期間として示されている。そして、図2A、図2Bは、図1に示した安全スケジューリング情報50および非安全スケジューリング情報60に従って、論理部20と独立性保証部30により実行されたタスク処理結果を示したものを例示している。 In FIG. 2A, the first control cycle is shown as a period from time t0 to time t3, and in FIG. 2B, the second control cycle is shown as a period from time t3 to time t6. 2A and 2B exemplify the task processing results executed by the logic unit 20 and the independence guarantee unit 30 according to the safety scheduling information 50 and the non-safety scheduling information 60 shown in FIG. There is.

まず、図2Aに示した1回目の制御周期においては、安全スケジューリング情報50に従って、安全制御機能のタスクST1、ST2が連続して空き時間なしに順次実行される。さらに、安全制御機能のタスクST1、ST2が実行された後の空き時間において、非安全スケジューリング情報60に従って、非安全制御機能のタスクNST1、NST2、NST3が連続して順次実行される。 First, in the first control cycle shown in FIG. 2A, the tasks ST1 and ST2 of the safety control function are continuously and sequentially executed without any free time according to the safety scheduling information 50. Further, in the free time after the tasks ST1 and ST2 of the safety control function are executed, the tasks NST1, NST2 and NST3 of the non-safety control function are continuously executed in sequence according to the non-safety scheduling information 60.

より具体的には、時刻t1において、タスクST1に対して設定されている規定時間T1が経過する前に、タスクST1の処理が完了している。従って、CPU21は、独立性保証部30内の規定時間タイマ31による割込が発生する前に、時刻t1において、タスクST2の処理を開始する。 More specifically, at time t1, the processing of task ST1 is completed before the predetermined time T1 set for task ST1 elapses. Therefore, the CPU 21 starts the processing of the task ST2 at the time t1 before the interruption by the specified time timer 31 in the independence guarantee unit 30 occurs.

時刻t2は、時刻t1から規定時間T2が経過した後の時刻に相当する。CPU21は、時刻t2において、タスクST2が完了していない状態で、規定時間タイマ31による割込を受け、タスクST2の処理を中断する。 The time t2 corresponds to the time after the specified time T2 has elapsed from the time t1. At time t2, the CPU 21 receives an interruption by the specified time timer 31 in a state where the task ST2 is not completed, and interrupts the processing of the task ST2.

時刻t2~時刻t3の期間は、1回目の制御周期において、タスクST1、ST2を処理した後の空き時間に相当する。そこで、CPU21は、非安全スケジューリング情報60に従って、非安全制御機能のタスクNST1、NST2、NST3を順次実行する。ただし、1回目の制御周期の終了時刻t3においては、タスクNST3の処理が完了しない状態で、制御周期タイマ32による割込が発生している。従って、タスクNST3は、後述する2回目の制御周期の空き時間において、中断された以降の処理が再開されることとなる。 The period from time t2 to time t3 corresponds to the free time after processing the tasks ST1 and ST2 in the first control cycle. Therefore, the CPU 21 sequentially executes the tasks NST1, NST2, and NST3 of the unsafe control function according to the unsafe scheduling information 60. However, at the end time t3 of the first control cycle, an interrupt by the control cycle timer 32 occurs in a state where the processing of the task NST3 is not completed. Therefore, in the task NST3, the processing after the interruption is restarted in the free time of the second control cycle described later.

次に、図2Bに示した2回目の制御周期においては、安全スケジューリング情報50に従って、安全制御機能のタスクST1、ST3が連続して空き時間なしに順次実行される。さらに、安全制御機能のタスクST1、ST3が実行された後の空き時間において、非安全スケジューリング情報60に従って、非安全制御機能のタスクが連続して順次実行される。上述したように、1回目の制御周期において、タスクNST3は、中断されている。従って、2回目の制御周期における空き時間では、タスクNST3の処理を再開するところから開始され、その後、非安全スケジューリング情報60に従ってタスクNST1が実行されることとなる。 Next, in the second control cycle shown in FIG. 2B, the tasks ST1 and ST3 of the safety control function are continuously and sequentially executed without free time according to the safety scheduling information 50. Further, in the free time after the tasks ST1 and ST3 of the safety control function are executed, the tasks of the non-safety control function are continuously and sequentially executed according to the non-safety scheduling information 60. As described above, the task NST3 is interrupted in the first control cycle. Therefore, in the free time in the second control cycle, the process of the task NST3 is restarted, and then the task NST1 is executed according to the unsafe scheduling information 60.

より具体的には、時刻t4は、時刻t3から規定時間T1が経過した時刻に相当する。従って、CPU21は、時刻t4において、タスクST1が完了していない状態で、規定時間タイマ31による割込を受け、タスクST1の処理を中断する。そして、CPU21は、時刻t4において、タスクST3の処理を開始する。 More specifically, the time t4 corresponds to the time when the specified time T1 has elapsed from the time t3. Therefore, at time t4, the CPU 21 is interrupted by the specified time timer 31 in a state where the task ST1 is not completed, and interrupts the processing of the task ST1. Then, the CPU 21 starts the process of the task ST3 at the time t4.

時刻t5において、タスクST3に対して設定されている規定時間T3が経過する前に、タスクST3の処理が完了している。そして、時刻t5~時刻t6の期間は、2回目の制御周期において、タスクST1、ST3を処理した後の空き時間に相当する。従って、CPU21は、独立性保証部30内の規定時間タイマ31による割込が発生する前に、時刻t5において、タスクNST3の継続処理を再開する。
At time t5, the processing of task ST3 is completed before the specified time T3 set for task ST3 elapses. The period from time t5 to time t6 corresponds to the free time after processing the tasks ST1 and ST3 in the second control cycle. Therefore, the CPU 21 restarts the continuation processing of the task NST3 at the time t5 before the interruption by the specified time timer 31 in the independence guarantee unit 30 occurs.

ただし、2回目の制御周期の終了時刻t6においては、タスクNST1の処理が完了しない状態で、制御周期タイマ32による割込が発生している。従って、タスクNST1は、3回目の制御周期の空き時間において、中断された以降の処理が再開されることとなる。 However, at the end time t6 of the second control cycle, an interrupt by the control cycle timer 32 occurs in a state where the processing of the task NST1 is not completed. Therefore, in the free time of the third control cycle, the task NST1 resumes the processing after the interruption.

図3は、本発明の実施の形態1に係る論理部20および独立性保証部30により実行される一連のタスク処理をまとめたフローチャートである。なお、以降の説明では、図1および図2に示した具体的なタスクスケジューリングに基づいて、図3のフローチャートについて説明する。 FIG. 3 is a flowchart summarizing a series of task processes executed by the logic unit 20 and the independence guarantee unit 30 according to the first embodiment of the present invention. In the following description, the flowchart of FIG. 3 will be described based on the specific task scheduling shown in FIGS. 1 and 2.

論理部20は、ステップS301において、初期設定を行った後、ステップS302において、安全スケジューリング情報50に基づいて、1回目の制御周期における安全制御機能のタスクのうちの最初のタスクST1を割り当てる。 After making the initial settings in step S301, the logic unit 20 assigns the first task ST1 of the tasks of the safety control function in the first control cycle based on the safety scheduling information 50 in step S302.

次に、ステップS303において、論理部20は、タスクST1に割り当てられた規定時間T1が経過する前に、すなわち、独立性保証部30内の規定時間タイマ31により割込が発生する前に、タスクST1の終了処理を実行したかを判定する。論理部20は、ステップS303において、Yesと判定した場合にはステップS305に進み、Noと判定した場合にはステップS304に進む。 Next, in step S303, the logic unit 20 performs the task before the specified time T1 assigned to the task ST1 elapses, that is, before the interrupt occurs by the specified time timer 31 in the independence guarantee unit 30. It is determined whether the end processing of ST1 has been executed. In step S303, the logic unit 20 proceeds to step S305 if it is determined to be Yes, and proceeds to step S304 if it is determined to be No.

ステップS304に進んだ場合には、論理部20は、規定時間タイマ31による割込が発生することで、タスクST1を中断し、ステップS305に進む。 When the process proceeds to step S304, the logic unit 20 interrupts the task ST1 due to the interruption by the specified time timer 31, and proceeds to step S305.

ステップS305に進んだ場合には、論理部20は、1回目の制御周期で実行すべき安全制御機能のタスクがまだ残っているかを、最終フラグに基づいて判断する。論理部20は、ステップS303において、Yesと判定した場合にはステップS302に進み、Noと判定した場合にはステップS306に進む。 When the process proceeds to step S305, the logic unit 20 determines based on the final flag whether or not there are still tasks of the safety control function to be executed in the first control cycle. In step S303, the logic unit 20 proceeds to step S302 if it is determined to be Yes, and proceeds to step S306 if it is determined to be No.

図1、図2に示した例では、1回目の制御周期において、安全制御機能のタスクST1の後にタスクST2を処理する必要がある。従って、タスクST2に関して,ステップS302~ステップS305の処理を行った後、ステップS306に進むこととなる。 In the example shown in FIGS. 1 and 2, it is necessary to process the task ST2 after the task ST1 of the safety control function in the first control cycle. Therefore, with respect to task ST2, after performing the processes of steps S302 to S305, the process proceeds to step S306.

ステップS306以降の処理では、論理部20および独立性保証部30は、1回目の制御周期で安全制御機能のタスクST1、ST2を実行した後の空き時間で、非安全制御機能のタスクを順次実行することとなる。 In the processing after step S306, the logic unit 20 and the independence guarantee unit 30 sequentially execute the tasks of the non-safety control function in the free time after executing the tasks ST1 and ST2 of the safety control function in the first control cycle. Will be done.

論理部20は、ステップS306において、非安全スケジューリング情報60に基づいて、1回目の制御周期における空き時間で実行すべき非安全制御機能のタスクがあるか否かを判断する。論理部20は、ステップS306において、Yesと判定した場合にはステップS307に進み、Noと判定した場合にはステップS310に進む。 In step S306, the logic unit 20 determines whether or not there is a task of the unsafe control function to be executed in the free time in the first control cycle based on the unsafe scheduling information 60. In step S306, the logic unit 20 proceeds to step S307 if it is determined to be Yes, and proceeds to step S310 if it is determined to be No.

ステップS307に進んだ場合には、論理部20は、非安全スケジューリング情報60に基づいて、非安全制御機能のタスクのうちの最初のタスクNST1を割り当てる。 If the process proceeds to step S307, the logic unit 20 allocates the first task NST1 among the tasks of the unsafe control function based on the unsafe scheduling information 60.

次に、ステップS308において、論理部20は、制御周期が終了する前に、すなわち、独立性保証部30内の制御周期タイマ32により割込が発生する前に、タスクNST1の終了処理を実行したかを判定する。論理部20は、ステップS308において、Yesと判定した場合にはステップS306に進み、Noと判定した場合にはステップS309に進む。 Next, in step S308, the logic unit 20 executes the end processing of the task NST1 before the control cycle ends, that is, before the interrupt occurs by the control cycle timer 32 in the independence guarantee unit 30. Is determined. In step S308, the logic unit 20 proceeds to step S306 if it is determined to be Yes, and proceeds to step S309 if it is determined to be No.

図1、図2に示した例では、非安全スケジューリング情報60として、タスクNST1以降に、タスクNST2、タスクNST3、タスクNST1、・・・が設定されている。従って、論理部20は、制御周期タイマ32による割込を受信するまでは、ステップS306~ステップS308の処理を繰り返すことで、非安全スケジューリング情報60として設定された非安全制御機能のタスクを連続して順次実行することとなる。 In the example shown in FIGS. 1 and 2, as the unsafe scheduling information 60, task NST2, task NST3, task NST1, ... Are set after task NST1. Therefore, the logic unit 20 continuously performs the tasks of the unsafe control function set as the unsafe scheduling information 60 by repeating the processes of steps S306 to S308 until the interrupt by the control cycle timer 32 is received. Will be executed sequentially.

ステップS309に進んだ場合には、論理部20は、制御周期タイマ32による割込が発生することで、現在実行中の非安全制御機能のタスクを中断し、1回目の制御周期の一連処理を終え、ステップS302に戻ることとなる。図1、図2に示した例では、非安全制御機能のタスクNST3を実行中に、制御周期タイマ32による割込が発生することで、タスクNST3を中断し、1回目の制御周期が完了することとなる。 When the process proceeds to step S309, the logic unit 20 interrupts the task of the unsafe control function currently being executed due to the interruption by the control cycle timer 32, and performs a series of processing of the first control cycle. After finishing, the process returns to step S302. In the example shown in FIGS. 1 and 2, the task NST3 is interrupted and the first control cycle is completed due to the interruption by the control cycle timer 32 while the task NST3 of the unsafe control function is being executed. It will be.

また、先のステップS306からステップS310に進んだ場合には、論理部20は、実行すべき非安全制御機能のタスクがないため、制御周期タイマ32による割込が発生するまで、待機する。そして、ステップS311において、制御周期タイマ32による割込が発生することで、1回目の制御周期の一連処理を終え、ステップS302に戻ることとなる。 Further, when the process proceeds from the previous step S306 to step S310, the logic unit 20 waits until the interrupt by the control cycle timer 32 occurs because there is no task of the unsafe control function to be executed. Then, in step S311, the interruption by the control cycle timer 32 is generated, so that the series of processing of the first control cycle is completed and the process returns to step S302.

図1、図2に示した例では、2回目の制御周期で安全性御機能のタスクST1、ST3を実行すべきことが、安全スケジューリング情報50により規定されている。従って、1回目の制御周期での一連処理を終了した後に、ステップS302に戻った場合には、2回目の制御周期における各タスク処理を連続して順次実行することとなる。 In the example shown in FIGS. 1 and 2, the safety scheduling information 50 stipulates that the tasks ST1 and ST3 of the safety function should be executed in the second control cycle. Therefore, when the process returns to step S302 after the series of processes in the first control cycle is completed, the task processes in the second control cycle are continuously and sequentially executed.

次に、上述したような、空き時間を制御周期の後半に配置する基本的な技術思想を実現するためのいくつかの変形例について、以下に説明する。 Next, some modifications for realizing the basic technical idea of arranging the free time in the latter half of the control cycle as described above will be described below.

[変形例1]
安全スケジューリング情報50および非安全スケジューリング情報60の変形例について説明する。図4は、本発明の実施の形態1に係る安全スケジューリング情報および非安全スケジューリング情報の変形例を示した図である。
[Modification 1]
A modification of the safe scheduling information 50 and the unsafe scheduling information 60 will be described. FIG. 4 is a diagram showing a modified example of the safe scheduling information and the non-safe scheduling information according to the first embodiment of the present invention.

先の図1に示した安全スケジューリング情報50は、すべて安全制御機能のタスクにより構成されていた。これに対して、図4に示した安全スケジューリング情報50aは、1つ以上の非安全制御機能のタスクが含まれて構成されている。 The safety scheduling information 50 shown in FIG. 1 above was all composed of tasks of the safety control function. On the other hand, the safety scheduling information 50a shown in FIG. 4 is configured to include one or more tasks of the non-safety control function.

具体的には、図4に示す安全スケジューリング情報50aは、1回目の制御周期で安全制御機能のタスクST1に続いて非安全制御機能のタスクNST1を実行することが規定されており、2回目の制御周期で安全制御機能のタスクST1に続いて非安全制御機能のタスクNST2を実行することが規定されている。一方、図4に示す非安全スケジューリング情報60aは、安全スケジューリング情報50aには組み込まれていないその他の非安全制御機構のタスクNST3、NST4、NST5が、実行順を規定されて構成されている。 Specifically, the safety scheduling information 50a shown in FIG. 4 is specified to execute the task NST1 of the non-safety control function following the task ST1 of the safety control function in the first control cycle, and the second time. It is stipulated that the task NST2 of the non-safety control function is executed following the task ST1 of the safety control function in the control cycle. On the other hand, the non-safety scheduling information 60a shown in FIG. 4 is configured by the tasks NST3, NST4, and NST5 of other unsafety control mechanisms that are not incorporated in the safety scheduling information 50a, in which the execution order is defined.

このように、1つ以上の非安全制御機能のタスクを含むように構成された安全スケジューリング情報50aを用いることで、非安全制御機能のタスクNST1、NST2のリアルタイム性を確保することが可能となる。 In this way, by using the safety scheduling information 50a configured to include one or more tasks of the non-safety control function, it is possible to secure the real-time performance of the tasks NST1 and NST2 of the non-safety control function. ..

[変形例2]
図1および図4の例では、非安全制御機能のタスクの実行順序は、非安全スケジューリング情報60によって、事前に決定しておく場合について説明した。しかしながら、非安全制御機能のタスクは、必ずしも事前に決定しておく必要はなく、各制御周期において、動的にスケジューリングを行う形態とすることも可能である。
[Modification 2]
In the examples of FIGS. 1 and 4, the case where the execution order of the tasks of the unsafe control function is determined in advance by the unsafe scheduling information 60 has been described. However, the task of the non-safety control function does not necessarily have to be determined in advance, and it is possible to dynamically schedule each control cycle.

[変形例3]
安全制御機能のタスクSTnのうち、中断が許容できないタスクについて、中断発生時にエラー処理を実施する形態としてもよい。例えば、図1、図2に示した例において、安全制御機能のタスクST2が、中断できないタスクであった場合を考える。図5は、本発明の実施の形態1において、安全制御機能のタスクを実行中に中断処理が発生した際のエラー処理を説明するための図である。
[Modification 3]
Among the tasks STn of the safety control function, an error processing may be performed when an interruption occurs for a task whose interruption cannot be tolerated. For example, in the example shown in FIGS. 1 and 2, consider the case where the task ST2 of the safety control function is a task that cannot be interrupted. FIG. 5 is a diagram for explaining error processing when an interruption process occurs while executing a task of a safety control function in the first embodiment of the present invention.

図5に示すように、CPU21は、時刻t2で規定時間タイマ31による割込が発生することで、その後、エラー処理を実行することができる。なお、このようなエラー処理を行うためには、安全制御機能のタスクのうち、中断ができないタスクの特定をあらかじめおこなっておく必要がある。そこで、このような特定を行うためには、中断可否を示す情報を各安全制御機能のタスクと関連付けて、安全スケジューリング情報50として記憶させておくか、あるいはコンテキストブロック70内に記憶させておくことが考えられる。 As shown in FIG. 5, the CPU 21 can execute error processing after the interruption by the specified time timer 31 occurs at the time t2. In order to handle such an error, it is necessary to identify in advance the tasks of the safety control function that cannot be interrupted. Therefore, in order to perform such identification, information indicating whether or not interruption is possible is associated with the task of each safety control function and stored as safety scheduling information 50, or stored in the context block 70. Can be considered.

[変形例4]
CPU21は、各タスクの実行時において、制御周期タイマ32から制御周期タイマ値をリアルタイムに取得し、演算処理に利用することも可能である。
[Modification 4]
The CPU 21 can also acquire the control cycle timer value from the control cycle timer 32 in real time and use it for arithmetic processing when each task is executed.

[変形例5]
変形例4の考え方を利用して、CPU21は、さらに、制御周期の経過回数をカウントしておくことで、複数の制御周期にまたがったタスク処理の経過時間を計測することが可能となる。図6A、図6Bは、本発明の実施の形態1における変形例5の動作を説明するための図である。
[Modification 5]
Using the concept of the modification 4, the CPU 21 can further measure the elapsed time of the task process over a plurality of control cycles by counting the number of elapsed control cycles. 6A and 6B are diagrams for explaining the operation of the modified example 5 in the first embodiment of the present invention.

図6Aの[1]で示した時刻において、CPU21は、制御周期経過回数カウンタがN1の制御周期において、制御周期タイマ32から制御周期タイマ値taを取得する。さらに、図6Bの[2]で示した時刻において、CPU21は、制御周期経過回数カウンタがN2の制御周期において、制御周期タイマ32から制御周期タイマ値tbを取得する。この結果、CPU21は、[1]で示した時刻から[2]で示した時刻までの経過時間を、下式によって算出することができる。
経過時間=(N2-N1)×T+(tb-ta)
At the time shown in [1] of FIG. 6A, the CPU 21 acquires the control cycle timer value ta from the control cycle timer 32 in the control cycle in which the control cycle elapsed number counter is N1. Further, at the time shown in [2] of FIG. 6B, the CPU 21 acquires the control cycle timer value tb from the control cycle timer 32 in the control cycle in which the control cycle elapsed number counter is N2. As a result, the CPU 21 can calculate the elapsed time from the time shown in [1] to the time shown in [2] by the following formula.
Elapsed time = (N2-N1) x T + (tb-ta)

[変形例6]
変形例4および変形例5の考え方を利用して、CPU21は、特定の区間において割り込まれたくないタスクが存在する場合に、割込を回避することも可能である。図7A~図7Cは、本発明の実施の形態1における変形例6の動作を説明するための図である。
[Modification 6]
Using the ideas of the modified example 4 and the modified example 5, the CPU 21 can avoid the interrupt when there is a task that the user does not want to be interrupted in a specific section. 7A to 7C are diagrams for explaining the operation of the modified example 6 in the first embodiment of the present invention.

図7A~図7Cでは、タスクST2が、特定の区間において割り込まれたくないタスクに相当する。図7Aの[1]で示した時刻において、CPU21は、タスクST2の開始時に、制御周期タイマ32から制御周期タイマ値taを読み取る。そして、CPU21は、タスクST1の実行を開始した後、割込を受け付けたくない特定の区間の開始時に相当する[2]で示した時刻において、制御周期タイマ32から制御周期タイマ値tbを読み取る。 In FIGS. 7A to 7C, task ST2 corresponds to a task that is not desired to be interrupted in a specific section. At the time shown in [1] of FIG. 7A, the CPU 21 reads the control cycle timer value ta from the control cycle timer 32 at the start of the task ST2. Then, after starting the execution of the task ST1, the CPU 21 reads the control cycle timer value tb from the control cycle timer 32 at the time indicated by [2] corresponding to the start of a specific section for which interrupts are not desired to be accepted.

ここで、割込を受け付けたくない特定の区間は、最も長く実行時間がかかってしまったことを想定した期間tcとしてあらかじめ規定することができ、内部メモリに相当するメモリ22内に設定しておくことができる。 Here, a specific section for which interruptions are not to be accepted can be specified in advance as a period ct assuming that the execution time has been the longest, and is set in the memory 22 corresponding to the internal memory. be able to.

また、タスクST2の規定周期T2をtdとすると、CPU21は、以下の式(1)の条件が成立するかを、図7Aの[2]で示した時刻において判定する。
td<tb-ta+tc (1)
Further, assuming that the specified period T2 of the task ST2 is td, the CPU 21 determines whether the condition of the following equation (1) is satisfied at the time shown in [2] of FIG. 7A.
td <tb-ta + tc (1)

式(1)の条件が成立する場合には、[2]で示した時刻以降にタスクST2を継続して実行すると、割込を受け付けたくない特定の区間において規定周期タイマによる割込が発生してしまうことが想定される。そこで、CPU21は、式(1)の条件が成立すると判定した場合には、[2]で示した時刻においてタスクST2の実行を中断し、図7Bに示すように、非安全制御機能のタスクNST1の実行を開始する。 If the condition of Eq. (1) is satisfied and the task ST2 is continuously executed after the time shown in [2], an interrupt by the specified cycle timer occurs in a specific section in which the interrupt is not to be accepted. It is expected that it will end up. Therefore, when the CPU 21 determines that the condition of the equation (1) is satisfied, the execution of the task ST2 is interrupted at the time shown in [2], and as shown in FIG. 7B, the task NST1 of the unsafe control function is interrupted. Starts executing.

そして、CPU21は、図7Cに示した2回目の制御周期において、タスクST1を実行した後、[3]で示した時間帯で、中断していたタスクST2の実行を再開する。この結果、図7Aおよび図7Cにおいて編みかけ部分として示したタスクST2の特定の区間における割込の発生を防止することができる。 Then, the CPU 21 executes the task ST1 in the second control cycle shown in FIG. 7C, and then resumes the execution of the suspended task ST2 in the time zone shown in [3]. As a result, it is possible to prevent the occurrence of interruption in a specific section of the task ST2 shown as the braided portion in FIGS. 7A and 7C.

なお、CPU21は、タスクST2の特定の区間の処理を実行する際には、以下のような処理を行うことで、特定の区間において割込が発生した場合の対応を取ることができる。CPU21は、特定の区間を開始した際には開始フラグをセットし、特定の区間の処理が終了した際には終了フラグをセットする、フラグ処理を実行することができる。 When the CPU 21 executes the process of the specific section of the task ST2, the CPU 21 can take measures when an interrupt occurs in the specific section by performing the following process. The CPU 21 can execute flag processing in which a start flag is set when a specific section is started and an end flag is set when the processing of the specific section is completed.

CPU21は、このようなフラグ処理を実行することで、特定の区間が開始した後に、規定時間タイマの割込が発生した際に、開始フラグがセットされており、かつ終了フラグがセットされていないと判定した場合には、特定の区間で割込が発生してしまったと判定できる。そこで、CPU21は、特定の区間で割込が発生したと判断した場合には、例えば、エレベーターの安全動作を実行するなどの対応を取ることができる。 By executing such flag processing, the CPU 21 sets the start flag and does not set the end flag when the interrupt of the specified time timer occurs after the start of a specific section. If it is determined that, it can be determined that an interruption has occurred in a specific section. Therefore, when the CPU 21 determines that an interrupt has occurred in a specific section, the CPU 21 can take measures such as executing a safe operation of the elevator, for example.

以上のように、実施の形態1に係るタスクスケジューリング手法によれば、安全制御機能のタスクを実行しない空き時間を、各制御周期の後ろにまとめることができる。この結果、CPUの利用効率が向上し、安全制御機能のタスクと非安全制御機能のタスクとの独立性を確保した上で、効率的なタスクスケジューリングを実現することができる。 As described above, according to the task scheduling method according to the first embodiment, the free time during which the task of the safety control function is not executed can be summarized after each control cycle. As a result, the utilization efficiency of the CPU is improved, and efficient task scheduling can be realized while ensuring the independence between the task of the safety control function and the task of the non-safety control function.

実施の形態2.
本実施の形態2では、エレベーターシステムの具体的な構成に対して、先の実施の形態1で説明したタスクスケジューリング手法を適用する場合について説明する。
Embodiment 2.
In the second embodiment, a case where the task scheduling method described in the first embodiment is applied to the specific configuration of the elevator system will be described.

従来、かご戸、または乗場戸が戸開した状態でかごが異常走行した場合、かごを急停止させて安全な状態を確保する戸開走行保護装置が考案されている(例えば、特許文献3参照)。 Conventionally, a door-opening running protection device has been devised to ensure a safe state by suddenly stopping the car when the car runs abnormally with the car door or the landing door open (see, for example, Patent Document 3). ).

また、かごが終端階付近で暴走した場合に、かご過速を検出して制動装置を作動させ、バッファ衝突前に安全な速度以下に減速させる終端階強制減速装置が考案されている(例えば、特許文献4参照)。 In addition, when the car runs out of control near the terminal floor, a terminal floor forced deceleration device has been devised that detects the car overspeed and activates the braking device to decelerate to a speed below a safe speed before a buffer collision (for example). See Patent Document 4).

これらの安全装置は、高度な信頼性が要求され、例えば、電子安全装置等のアーキテクチャとして実装される。こうしたアーキテクチャは、機器の二重化構成等により、ハードウェアコストが高くなる傾向があり、なるべく多くの安全機能を同一のハードウェアに実装する形態が望ましい。こうした形態の実現手段として、先の特許文献2では、複数の安全機能プログラムが互い干渉せず、確実に実行できる仕組みが開示されている。 These safety devices are required to have a high degree of reliability, and are implemented as an architecture such as an electronic safety device, for example. In such an architecture, the hardware cost tends to be high due to the duplication of equipment, etc., and it is desirable to implement as many safety functions as possible on the same hardware. As a means for realizing such a form, the above-mentioned Patent Document 2 discloses a mechanism in which a plurality of safety function programs can be reliably executed without interfering with each other.

一方、これらの安全システムにおいても、保守性を高めるために、内部データのロギング、データ出力等の保守機能があった方が望ましい。他方、これらの保守機能は、非安全機能であり、安全機能よりも実行優先度が低くなる。このため、安全機能の実行を阻害せず、保守機能のスループットを向上させるには、安全機能の実行がない時間を効率的に利用して非安全機能を実行させるような、時間効率性を向上させる仕組みが必要となる。 On the other hand, it is desirable that these safety systems also have maintenance functions such as internal data logging and data output in order to improve maintainability. On the other hand, these maintenance functions are non-safety functions and have a lower execution priority than the safety functions. Therefore, in order to improve the throughput of the maintenance function without hindering the execution of the safety function, improve the time efficiency such that the non-safety function is executed by efficiently utilizing the time when the safety function is not executed. A mechanism is needed to make it work.

そこで、先の実施の形態1で説明した手法を、エレベーター安全制御装置に適用する場合について、以下に詳細に説明する。 Therefore, the case where the method described in the first embodiment is applied to the elevator safety control device will be described in detail below.

図8は、本発明の実施の形態2に係るエレベーター安全制御装置を適用するエレベーターシステムの全体構成図である。図8に示したエレベーターシステム200は、エレベーター機構部210、エレベーター駆動装置220、ブレーキ装置230、エレベーター安全回路240、エレベーター運転制御ユニット250、およびエレベーター安全監視ユニット260を含んで構成されている。 FIG. 8 is an overall configuration diagram of an elevator system to which the elevator safety control device according to the second embodiment of the present invention is applied. The elevator system 200 shown in FIG. 8 includes an elevator mechanism unit 210, an elevator drive device 220, a brake device 230, an elevator safety circuit 240, an elevator operation control unit 250, and an elevator safety monitoring unit 260.

エレベーター機構部210は、かご211、おもり212、綱車213、返し車214、ロープ215、および昇降路内機器216を備える。 The elevator mechanism 210 includes a car 211, a weight 212, a sheave 213, a return wheel 214, a rope 215, and a hoistway device 216.

かご211とおもり212は、ロープ215によって連結され、ロープ215は、綱車213と返し車214に懸架される。 The car 211 and the weight 212 are connected by a rope 215, and the rope 215 is suspended by a sheave 213 and a return wheel 214.

昇降路内機器216は、乗場戸スイッチ216a、かご戸スイッチ216b、ドアゾーンプレート216c、ドアゾーンセンサ216d、終点スイッチカム216e、昇降路内の上部基準位置スイッチ216f、昇降路内の下部基準位置スイッチ216g、ガバナシーブ216h、ガバナロープ216i、およびガバナエンコーダ216jを備える。 The hoistway equipment 216 includes a landing door switch 216a, a car door switch 216b, a door zone plate 216c, a door zone sensor 216d, an end point switch cam 216e, an upper reference position switch 216f in the hoistway, and a lower reference position switch in the hoistway. It comprises 216 g, a governor sheave 216h, a governor rope 216i, and a governor encoder 216j.

乗場戸スイッチ216aは、乗場に設置され、乗場戸の戸開状態を検出する。また、かご戸スイッチ216bは、かごに設置され、かご戸の戸開状態を検出する。 The landing door switch 216a is installed at the landing and detects the door open state of the landing door. Further, the car door switch 216b is installed in the car and detects the door open state of the car door.

ドアゾーンプレート216cは、昇降路内の乗場近傍に設置されている。かご211に設置されたドアゾーンセンサ216dは、ドアゾーンプレート216cを検出することで、かご床面が乗場床面から所定距離内にあることを検知する。 The door zone plate 216c is installed near the landing in the hoistway. The door zone sensor 216d installed in the car 211 detects that the car floor surface is within a predetermined distance from the landing floor surface by detecting the door zone plate 216c.

上部基準位置スイッチ216fは、昇降路内の上部に設置され、下部基準位置スイッチ216gは、昇降路内の下部に設置されており、それぞれ、スイッチ接点に連結固定されたローラーを有している。上部基準位置スイッチ216fおよび下部基準位置スイッチ216gは、かごに固定された終点スイッチカム216eにより、ローラーが押されることで、スイッチ接点が検出状態となる。従って、上部基準位置スイッチ216fおよび下部基準位置スイッチ216gは、かごが昇降路内の規定位置にいることを検知できる。 The upper reference position switch 216f is installed in the upper part of the hoistway, and the lower reference position switch 216g is installed in the lower part of the hoistway, and each has a roller connected and fixed to the switch contact. In the upper reference position switch 216f and the lower reference position switch 216g, the switch contacts are in the detection state when the rollers are pushed by the end point switch cam 216e fixed to the car. Therefore, the upper reference position switch 216f and the lower reference position switch 216g can detect that the car is in the specified position in the hoistway.

ガバナシーブ216hは、かご211に連結固定されたガバナロープ216iにより回転する。ガバナエンコーダ216jは、ガバナシーブ216hの回転を検出して、かごの移動量を検知する。 The governor sheave 216h is rotated by a governor rope 216i connected and fixed to the car 211. The governor encoder 216j detects the rotation of the governor sheave 216h and detects the amount of movement of the car.

エレベーター駆動装置220は、商用電源221、インバータ222、モータ223、および商用電源221からインバータ222への給電を遮断する主回路コンタクタ#MCの主接点224を備える。インバータ222は、後述するエレベーター運転制御装置(CC)251からの指令に基づいて、モータ223を回転させて、綱車213を駆動させる。 The elevator drive device 220 includes a commercial power supply 221 and an inverter 222, a motor 223, and a main contact 224 of the main circuit contactor # MC that cuts off the power supply from the commercial power supply 221 to the inverter 222. The inverter 222 rotates the motor 223 to drive the sheave 213 based on a command from the elevator operation control device (CC) 251 described later.

ブレーキ装置230は、綱車213に接触して摩擦により制動トルクを与える第1および第2ブレーキシュー231、ブレーキシューを吸引、落下する第1および第2ブレーキコイル232、エレベーター運転制御装置(CC)251からの指令によりブレーキコイルの電流を制御する第1、および第2ブレーキチョッパ233、およびブレーキ電源からブレーキコイル232への給電を遮断するブレーキ回路リレー(#BK)の主接点234を備える。 The brake device 230 includes first and second brake shoes 231 that come into contact with the rope wheel 213 and apply braking torque by friction, first and second brake coils 232 that suck and drop the brake shoes, and an elevator operation control device (CC). It includes first and second brake choppers 233 that control the current of the brake coil by a command from 251 and a main contact 234 of a brake circuit relay (#BK) that cuts off the power supply from the brake power supply to the brake coil 232.

エレベーター安全回路240は、制御電源に安全リレー#SF1、#SF2の各主接点、およびその他安全スイッチ接点が直列に接続されて構成されている。エレベーター安全回路240内の各接点がすべてオン状態となったときの最終出力により、#MC、#BKコイルの一次側に、コンタクタ/リレー駆動用の電力が供給される。 The elevator safety circuit 240 is configured by connecting the main contacts of the safety relays # SF1 and #SF2 and other safety switch contacts in series to the control power supply. By the final output when all the contacts in the elevator safety circuit 240 are turned on, electric power for driving the contactor / relay is supplied to the primary side of the #MC and #BK coils.

エレベーター運転制御ユニット250は、エレベーター運転制御装置(CC)251、#MC、#BKの各コイル、およびエレベーター運転制御装置(CC)251からの指令を入力して各コイルへの給電をON/OFFするスイッチ半導体252を備える。 The elevator operation control unit 250 inputs commands from the elevator operation control device (CC) 251, #MC, and #BK coils, and the elevator operation control device (CC) 251 to turn on / off the power supply to each coil. The switch semiconductor 252 is provided.

エレベーター運転制御装置(CC)251は、インバータ222と、第1、および第2ブレーキチョッパ233と、#MC、#BKの各スイッチ半導体252に指令を出力して、かご211の運転を制御する。 The elevator operation control device (CC) 251 outputs a command to the inverter 222, the first and second brake choppers 233, and the switch semiconductors 252 of #MC and #BK to control the operation of the car 211.

エレベーター安全監視ユニット260は、エレベーター安全監視装置(SF)261、第1、および第2安全リレーの各コイル、およびエレベーター安全監視装置(SF)261からの指令を入力して各コイルへの給電をON/OFFするスイッチ半導体262を備える。 The elevator safety monitoring unit 260 inputs commands from the elevator safety monitoring device (SF) 261 and the first and second safety relay coils, and the elevator safety monitoring device (SF) 261 to supply power to each coil. A switch semiconductor 262 that turns ON / OFF is provided.

エレベーター安全監視装置(SF)261は、乗場戸スイッチ216a、かご戸スイッチ216b、ドアゾーンセンサ216d、上部基準位置スイッチ216f、下部基準位置スイッチ216g、ガバナエンコーダ216jの各状態を入力する。そして、エレベーター安全監視装置(SF)261は、これらの入力に基づいて、終端階過速、戸開走行、および自ユニット構成機器の故障を含む少なくとも1つ以上の非安全状態を検出した場合には、安全停止シーケンスを実行して、エレベーター運転制御装置(CC)251に停止指令を出力してかご211を停止させるとともに、#SF1、#SF2を遮断して、かご211を制止保持させる。 The elevator safety monitoring device (SF) 261 inputs the states of the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, the upper reference position switch 216f, the lower reference position switch 216g, and the governor encoder 216j. Then, based on these inputs, the elevator safety monitoring device (SF) 261 detects at least one or more unsafe states including overspeed on the terminal floor, open door running, and failure of the own unit constituent equipment. Executes a safe stop sequence, outputs a stop command to the elevator operation control device (CC) 251 to stop the car 211, shuts off # SF1 and #SF2, and holds the car 211 in a restrained state.

図9は、本発明の実施の形態2におけるエレベーター安全監視装置(SF)261の内部構成を詳細に示したブロック図である。エレベーター安全監視装置(SF)261は、同一の機器および機能から構成される2重系統として、第1の安全監視系統140aおよび第2の安全監視系統140bを備える。第1の安全監視系統140aおよび第2の安全監視系統140bのそれぞれは、乗場戸スイッチ216a、かご戸スイッチ216b、ドアゾーンセンサ216d、各基準位置スイッチ216f、216g、およびガバナエンコーダ216jの各状態を入力する。 FIG. 9 is a block diagram showing in detail the internal configuration of the elevator safety monitoring device (SF) 261 according to the second embodiment of the present invention. The elevator safety monitoring device (SF) 261 includes a first safety monitoring system 140a and a second safety monitoring system 140b as a dual system composed of the same equipment and functions. Each of the first safety monitoring system 140a and the second safety monitoring system 140b displays the states of the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, each reference position switch 216f, 216g, and the governor encoder 216j. input.

第1の安全監視系統140aは、これらの入力に基づいて、#SF1のスイッチ半導体262に駆動指令を出力し、エレベーター運転制御装置(CC)251に対して停止指令を出力する。同様に、第2の安全監視系統140bは、これらの入力に基づいて、#SF2のスイッチ半導体262に駆動指令を出力し、エレベーター運転制御装置(CC)251に対して停止指令を出力する。 Based on these inputs, the first safety monitoring system 140a outputs a drive command to the switch semiconductor 262 of # SF1 and outputs a stop command to the elevator operation control device (CC) 251. Similarly, the second safety monitoring system 140b outputs a drive command to the switch semiconductor 262 of # SF2 and outputs a stop command to the elevator operation control device (CC) 251 based on these inputs.

第1の安全監視系統140aおよび第2の安全監視系統140bのそれぞれは、以下の4つの安全制御機能を有している。
・終端階強制減速機能(SETS)
・戸開走行保護機能(UCMP)
・自己診断機能(DIAG)
・系統間通信機能(ICOM)
Each of the first safety monitoring system 140a and the second safety monitoring system 140b has the following four safety control functions.
・ End floor forced deceleration function (SETS)
・ Door open running protection function (UCMP)
・ Self-diagnosis function (DIAG)
・ Inter-system communication function (ICOM)

また、第1の安全監視系統140aおよび第2の安全監視系統140bのそれぞれは、以下の2つの非安全制御機能を、保守機能として有している。
・データロギング機能(DLOG)
・エレベーター運転制御装置とのインターフェース機能(CCIF)
Further, each of the first safety monitoring system 140a and the second safety monitoring system 140b has the following two non-safety control functions as maintenance functions.
-Data logging function (DLOG)
・ Interface function with elevator operation control device (CCIF)

SETSは、各基準位置スイッチ216f、216g、ガバナエンコーダ216jの各状態を入力し、かごの現在速度がかごの現在位置に応じたかご過速監視レベルを超過した場合に、安全停止シーケンスを実行する機能である。 The SETS inputs the states of each reference position switch 216f, 216g, and governor encoder 216j, and executes a safe stop sequence when the current speed of the car exceeds the car overspeed monitoring level according to the current position of the car. It is a function.

UCMPは、乗場戸スイッチ216a、かご戸スイッチ216b、ドアゾーンセンサ216d、ガバナエンコーダ216jの各状態を入力し、乗場戸、またはかご戸が戸開した状態でかごが乗場床面からあらかじめ設定された距離以上移動した場合に、またはかごの現在速度が規定値以上となった場合に、安全停止シーケンスを実行する機能である。 The UCMP inputs the states of the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, and the governor encoder 216j, and the car is preset from the landing floor with the landing door or the car door open. This function executes a safe stop sequence when the vehicle has moved more than a distance or when the current speed of the car exceeds the specified value.

DIAGは、少なくとも電源、クロック、WDT、CPU、メモリ、バス、プログラム、安全リレーを含むユニット構成機器について動作チェックを実施し、故障を検出した場合には、安全停止シーケンスを実行する機能である。 DIAG is a function that performs an operation check on unit components including at least a power supply, a clock, a WDT, a CPU, a memory, a bus, a program, and a safety relay, and executes a safety stop sequence when a failure is detected.

ICOMは、第1の安全監視系統140aおよび第2の安全監視系統140bの系統間で入出力状態、演算状態等のデータを相互に伝送し、不整合を検出した場合には、いずれかの系統で演算不良があったと判断して、両系統にて安全停止シーケンスを実行する機能である。 ICOM mutually transmits data such as input / output status and calculation status between the first safety monitoring system 140a and the second safety monitoring system 140b, and if inconsistency is detected, either system is used. It is a function to determine that there was a calculation error in and execute a safe stop sequence in both systems.

保守機能は、非安全制御機能として、データロギング機能(DLOG)、およびCCインターフェース機能(CCIF)を備え、安全制御機能の実行がない空き時間のタイミングで実行される。具体的には、DLOGにより、入出力状態、演算状態、およびイベント履歴のログを記録してデータをストアし、CCIFにより、エレベーター運転制御装置(CC)251からの要求に応じて、ストアしたデータを伝送する。 The maintenance function includes a data logging function (DLOG) and a CC interface function (CCIF) as non-safety control functions, and is executed at the timing of free time when the safety control function is not executed. Specifically, the data is stored by recording the input / output state, the calculation state, and the event history log by DLOG, and the stored data by CCIF in response to the request from the elevator operation control device (CC) 251. To transmit.

図10は、本発明の実施の形態2における第1の安全監視系統140aおよび第2の安全監視系統140bに共通の構成図である。この図10は、先の実施の形態1における図1の構成図と対応している。すなわち、図10における第1の安全監視系統140aおよび第2の安全監視系統140bに共通の構成は、図1で説明した本発明に係るエレベーター安全制御装置の構成と等価である。そこで、説明を分かりやすくするために、図1に対応する図10中のそれぞれの構成に対しては、図1の符号に100を足した符号を付している。 FIG. 10 is a configuration diagram common to the first safety monitoring system 140a and the second safety monitoring system 140b in the second embodiment of the present invention. FIG. 10 corresponds to the configuration diagram of FIG. 1 in the first embodiment. That is, the configuration common to the first safety monitoring system 140a and the second safety monitoring system 140b in FIG. 10 is equivalent to the configuration of the elevator safety control device according to the present invention described with reference to FIG. Therefore, in order to make the explanation easy to understand, each configuration in FIG. 10 corresponding to FIG. 1 is designated by adding 100 to the reference numeral of FIG.

本実施の形態2に係る第1の安全監視系統140a(第2の安全監視系統140b)は、外部機器I/F110、論理部120、および独立性保証部130を備えて構成されている。論理部120内のCPU121は、エレベーターの状態に関する信号を外部機器I/F110を介した入力値として取得するとともに、安全制御機能のタスク141、非安全制御機能のタスク142、安全スケジューリング情報150、および非安全スケジューリング情報160を読み込む。 The first safety monitoring system 140a (second safety monitoring system 140b) according to the second embodiment includes an external device I / F 110, a logic unit 120, and an independence guarantee unit 130. The CPU 121 in the logic unit 120 acquires a signal related to the elevator status as an input value via the external device I / F 110, and also has a safety control function task 141, a non-safety control function task 142, a safety scheduling information 150, and a safety scheduling information 150. Read the unsafe scheduling information 160.

ここで、安全制御機能のタスク141、非安全制御機能のタスク142、安全スケジューリング情報150、および非安全スケジューリング情報160は、記憶部内に記憶されたデータに相当し、論理部120内のCPU121は、これらのデータを参照して、エレベーター制御に必要な処理を実行することとなる。 Here, the task 141 of the safety control function, the task 142 of the non-safety control function, the safety scheduling information 150, and the non-safety scheduling information 160 correspond to the data stored in the storage unit, and the CPU 121 in the logical unit 120 has the CPU 121. With reference to these data, the processing required for elevator control will be executed.

安全制御機能のタスク141は、SETSタスク、UCMPタスク、DIAGタスク、およびICOMタスクの各安全プログラムで構成されている。以下では、これらのタスクを、「安全タスク」と呼ぶこともある。 The task 141 of the safety control function is composed of a safety program of a SETS task, a UCMP task, a DIAG task, and an ICOM task. Hereinafter, these tasks may be referred to as "safety tasks".

非安全制御機能のタスク142は、DLOGタスク、CCIFタスクの各非安全ロゴラムで構成されている。以下では、これらのタスクを、「非安全タスク」と呼ぶこともある。) The task 142 of the unsafe control function is composed of each unsafe logoram of the DLOG task and the CCIF task. Hereinafter, these tasks may be referred to as "unsafe tasks". )

安全スケジューリング情報150は、各安全タスクの実行順序、実行規定時間、各制御周期における最終安全タスクであることを示す最終フラグ、および各安全タスクの中断可否を示す中断フラグが定義された情報である。 The safety scheduling information 150 is information in which an execution order of each safety task, an execution specified time, a final flag indicating that the safety task is the final safety task in each control cycle, and a suspension flag indicating whether or not each safety task can be interrupted are defined. ..

非安全スケジューリング情報160は、各非安全タスクの実行順序だけが定義された情報である。 The unsafe scheduling information 160 is information in which only the execution order of each unsafe task is defined.

コンテキストブロック170は、SETS実行状態、UCMP実行状態、DIAG実行状態、およびICOM実行状態を格納する。ここで、コンテキストブロック170は、記憶部内に記憶された、読み書き可能なデータに相当する。 The context block 170 stores the SETS execution state, the UCMP execution state, the DIAG execution state, and the ICOM execution state. Here, the context block 170 corresponds to literate data stored in the storage unit.

外部機器I/F110は、乗場戸スイッチ216a、かご戸スイッチ216b、ドアゾーンセンサ216d、基準位置スイッチ216f、216g、およびガバナエンコーダ216jの各信号を入力する際の、あるいは安全リレー#SF1、S#SF2に駆動指令を出力する際のインターフェースである。 The external device I / F110 is used when inputting signals of the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, the reference position switch 216f, 216g, and the governor encoder 216j, or when inputting the safety relays # SF1, S #. This is an interface for outputting a drive command to SF2.

論理部120は、CPU121およびメモリ122を備えている。そして、メモリ122には、各種の安全タスクを実行する際に使用される領域として、SETS領域、UCMP領域、DIAG領域、およびICOM領域が、個別領域として割り付けられている。 The logic unit 120 includes a CPU 121 and a memory 122. Then, in the memory 122, a SETS area, a UCMP area, a DIAG area, and an ICOM area are allocated as individual areas as areas used when executing various safety tasks.

独立性保証部130は、規定時間タイマ131、制御周期タイマ132、およびメモリ保護機能133を備えている。 The independence guarantee unit 130 includes a specified time timer 131, a control cycle timer 132, and a memory protection function 133.

メモリ保護機能133は、安全タスクおよび非安全タスクが実行される際に、他の安全タスクのメモリ領域にアクセスした場合に、同領域のデータを保護するとともに、異常アクセスを検出したことをCPU121に送信し、安全停止シーケンスを実行させる。例えば、SETSタスクがUCMP領域にアクセスした場合が、異常アクセスに相当する。 When the memory protection function 133 accesses the memory area of another safe task when the safe task and the unsafe task are executed, the memory protection function 133 protects the data in the same area and informs the CPU 121 that an abnormal access is detected. Send and have the safe stop sequence executed. For example, when the SETS task accesses the UCMP area, it corresponds to an abnormal access.

CPU121は、第1の安全監視系統140a(第2の安全監視系統140b)の起動後に、安全スケジューリング情報150を参照し、既定の実行順序に従って安全タスクをコールする。これにあわせて、独立性保証部130は、規定時間タイマ131によるタスク実行時間計測を開始する。また、独立性保証部130は、各制御周期の最初のタスクの実行を開始する場合には、制御周期タイマ132をリセットしてからタイマカウントを開始する。 After starting the first safety monitoring system 140a (second safety monitoring system 140b), the CPU 121 refers to the safety scheduling information 150 and calls the safety task according to a predetermined execution order. At the same time, the independence guarantee unit 130 starts the task execution time measurement by the specified time timer 131. Further, when starting the execution of the first task of each control cycle, the independence guarantee unit 130 resets the control cycle timer 132 and then starts the timer count.

CPU121は、安全タスクの実行時間が安全スケジューリング情報で設定された規定時間になるか、または実行中のタスクが自らタスク終了を宣言することで、実行中タスクを終了、または中断して、最終フラグを参照する。 The CPU 121 terminates or interrupts the running task by either the execution time of the safety task reaches the specified time set in the safety scheduling information or the running task declares the end of the task by itself, and the final flag is set. Refer to.

最終フラグがFALSEの場合、CPU121は、次の安全タスクをコールし、あわせて、独立性保証部130は、規定時間タイマ131をリセットして、次タスクの実行時間計測を開始する。 When the final flag is FALSE, the CPU 121 calls the next safety task, and the independence guarantee unit 130 resets the specified time timer 131 and starts measuring the execution time of the next task.

一方、最終フラグがTRUEの場合、CPU121は、非安全スケジューリング情報を参照し、既定の実行順序に従って、非安全タスクをコールする。 On the other hand, when the final flag is TRUE, the CPU 121 refers to the unsafe scheduling information and calls the unsafe task according to the default execution order.

制御周期タイマ132が規定の制御周期になると、CPU121は、実行中の非安全タスクを中断し、次の制御周期の処理に移行する。そして、CPU121は、安全スケジューリング情報を参照して、次の制御周期における最初の安全タスクをコールする。あわせて、独立性保証部130は、規定時間タイマ131および制御周期タイマ132をそれぞれリセットして、それぞれのタイマカウントを開始する。 When the control cycle timer 132 reaches the specified control cycle, the CPU 121 interrupts the unsafe task being executed and shifts to the processing of the next control cycle. Then, the CPU 121 refers to the safety scheduling information and calls the first safety task in the next control cycle. At the same time, the independence guarantee unit 130 resets the specified time timer 131 and the control cycle timer 132, respectively, and starts each timer count.

CPU121は、安全スケジューリング情報の実行順序の最終の安全タスクの実行を終了すると、次の安全タスク実行のタイミングでは、安全スケジューリング情報の実行順序の先頭に戻る。 When the CPU 121 finishes the execution of the final safety task in the execution order of the safety scheduling information, the CPU 121 returns to the beginning of the execution order of the safety scheduling information at the timing of the next safety task execution.

次に、制御周期ごとの各タスクの実行タイムチャートを用いて、本実施の形態2に係るタスク処理の効果について説明する。図11Aは、本発明の実施の形態2において、安全スケジューリング情報150および非安全スケジューリング情報160に従った実行計画に相当する実行タイムチャートである。 Next, the effect of the task processing according to the second embodiment will be described using the execution time chart of each task for each control cycle. FIG. 11A is an execution time chart corresponding to an execution plan according to the safety scheduling information 150 and the unsafe scheduling information 160 in the second embodiment of the present invention.

これに対して、図11Bは、本発明の実施の形態2によるタスク処理を実行した際の実行タイムチャートである。また、図11Cは、従来技術によるタスク処理を実行した際の実行タイムチャートである。 On the other hand, FIG. 11B is an execution time chart when the task processing according to the second embodiment of the present invention is executed. Further, FIG. 11C is an execution time chart when the task process according to the prior art is executed.

図11A~図11Cに示した具体例では、制御周期T=1[ms]を1実行ステップとして、3ステップにより1周期分の安全タスクおよび非安全タスクを実行するものとする。 In the specific examples shown in FIGS. 11A to 11C, it is assumed that the control cycle T = 1 [ms] is set as one execution step, and the safety task and the non-safety task for one cycle are executed by three steps.

図11Aに示すように、安全スケジューリング情報150および非安全スケジューリング情報160による実行計画では、ステップ1(ステップカウンタN=1)、ステップ2(ステップカウンタN=2)、ステップ3(ステップカウンタN=3)において、以下のようなタスク割り当てが行われている。
<ステップ1(ステップカウンタN=1)>
・時間t=0~0.1[ms]で、ICOMタスク
・時間t=0.1~0.4[ms]で、DIAGタスク(1/3)
・時間t=0.4~0.7[ms]で、SETSタスク
・時間t=0.7~1.0[ms]で、非安全タスク
<ステップ2(ステップカウンタN=2)>
・時間t=0~0.1[ms]で、ICOMタスク
・時間t=0.1~0.6[ms]で、DIAGタスク(2/3)
・時間t=0.6~0.8[ms]で、UCMPタスク
・時間t=0.8~1.0[ms]で、非安全タスク
<ステップ3(ステップカウンタN=3)>
・時間t=0~0.1[ms]で、ICOMタスク
・時間t=0.1~0.8[ms]で、DIAGタスク(3/3)
・時間t=0.8~1.0[ms]で、非安全タスク
As shown in FIG. 11A, in the execution plan based on the safety scheduling information 150 and the unsafe scheduling information 160, step 1 (step counter N = 1), step 2 (step counter N = 2), and step 3 (step counter N = 3). ), The following task assignments are made.
<Step 1 (step counter N = 1)>
・ ICOM task at time t = 0 to 0.1 [ms] ・ DIAG task (1/3) at time t = 0.1 to 0.4 [ms]
-Sets task at time t = 0.4 to 0.7 [ms] -Unsafe task at time t = 0.7 to 1.0 [ms] <Step 2 (step counter N = 2)>
・ ICOM task at time t = 0 to 0.1 [ms] ・ DIAG task (2/3) at time t = 0.1 to 0.6 [ms]
-UCMP task at time t = 0.6 to 0.8 [ms] -Unsafe task at time t = 0.8 to 1.0 [ms] <Step 3 (step counter N = 3)>
・ ICOM task at time t = 0 to 0.1 [ms] ・ DIAG task (3/3) at time t = 0.1 to 0.8 [ms]
・ Unsafe task at time t = 0.8 to 1.0 [ms]

図10中の安全スケジューリング情報150における中断フラグで規定されたように、ICOMタスク、SETSタスク、UCMPタスクは、中断不可とし、DIAGタスクは、3/3のみ中断不可とする。そして、中断不可のタスクが規定時間以内に終了しなかった場合には、CPU121は、プログラム異常を検出して安全停止シーケンスを実行するものとする。 As specified by the interruption flag in the safety scheduling information 150 in FIG. 10, the ICOM task, the SETS task, and the UCMP task cannot be interrupted, and the DIAG task cannot be interrupted only on 3/3. Then, if the uninterruptable task is not completed within the specified time, the CPU 121 shall detect the program abnormality and execute the safe stop sequence.

安全スケジューリング情報において各タスクを実行するために割り当てられる規定時間は、タスク処理の条件分岐の組合せの中で処理量が最大となる実行パスに基づいて決定される。安全タスクの場合、正常時では、異常監視処理のみが実行されるため、実際の実行時間は、規定時間よりも短いが、異常時では、追加で安全動作処理も実行されるため、実際の実行時間は、規定時間に近づく。 The specified time allocated to execute each task in the safety scheduling information is determined based on the execution path that maximizes the processing amount in the combination of conditional branches of task processing. In the case of a safety task, in the normal state, only the abnormality monitoring process is executed, so the actual execution time is shorter than the specified time. The time approaches the specified time.

非安全タスクの実行時間は、非安全スケジューリング情報では定義せず、また、規定時間タイマによる監視も実施しない。ただし、図11B、図11Cでは、DLOGタスクの処理時間を0.1[ms]、CCIFタスクの処理時間を1.0[ms]としている。 The execution time of the unsafe task is not defined in the unsafe scheduling information, and monitoring by the specified time timer is not performed. However, in FIGS. 11B and 11C, the processing time of the DLOG task is 0.1 [ms], and the processing time of the CCIF task is 1.0 [ms].

次に、図11Bを用いて、本実施の形態2によるタスク処理を実際に実行した場合について説明する。ステップ1では、t=0~0.1[ms]でICOMタスクが実行され、次に、t=0.1[ms]からDIAGタスク(1/3)が実行される。ここで、DIAGタスク(1/3)の実行規定時間は、0.3[ms]のため、t=0.4[ms]まで実行可能だが、異常検出なく、t=0.3[ms]で終了したとする。 Next, a case where the task processing according to the second embodiment is actually executed will be described with reference to FIG. 11B. In step 1, the ICOM task is executed at t = 0 to 0.1 [ms], and then the DIAG task (1/3) is executed from t = 0.1 [ms]. Here, since the execution specified time of the DIAG task (1/3) is 0.3 [ms], it can be executed up to t = 0.4 [ms], but no abnormality is detected and t = 0.3 [ms]. It is assumed that it ends with.

そこで、CPU121は、t=0.3[ms]の時点で、次の安全タスクであるSETSタスクの実行を開始する。t=0.3~0.6[ms]でSETSタスクが実行可能であるが、こちらも異常検出なく、t=0.5[ms]で終了したとする。 Therefore, the CPU 121 starts executing the next safety task, the SETS task, at the time of t = 0.3 [ms]. It is assumed that the SETS task can be executed at t = 0.3 to 0.6 [ms], but it is also completed at t = 0.5 [ms] without detecting any abnormality.

CPU121は、安全スケジューリング情報150よりSETSタスクの最終フラグがTRUEであるため、このステップでの安全タスクの実行は終了したと判断できる。そこで、CPU121は、t=0.5[ms]からは、非安全スケジューリング情報160に従ってDLOGタスクを実行する。DLOGタスクは、0.1[ms]で完了し、t=0.6[ms]よりCCIFタスクが実行される。 Since the final flag of the SETS task is TRUE from the safety scheduling information 150, the CPU 121 can determine that the execution of the safety task in this step has been completed. Therefore, from t = 0.5 [ms], the CPU 121 executes the DLOG task according to the unsafe scheduling information 160. The DLOG task is completed at 0.1 [ms], and the CCIF task is executed from t = 0.6 [ms].

CCIFタスクは、完了まで1.0[ms]かかるが、t=1.0[ms]にて制御周期タイマ132が制御T=1[ms]となり割込が発生する。このため、CCIFタスクは、0.4[ms]実行したところで中断される。 The CCIF task takes 1.0 [ms] to complete, but at t = 1.0 [ms], the control cycle timer 132 becomes control T = 1 [ms] and an interrupt occurs. Therefore, the CCIF task is interrupted after executing 0.4 [ms].

次のステップ2では、t=0~0.1[ms]でICOMタスクが実行され、次に、t=0.1~0.6[ms]でDIAGタスク(2/3)が実行可能であるが、t=0.45[ms]で終了したとする。この結果、次に、t=0.45~0.65[ms]でUCMPタスクが実行可能であるが、実際にはUCMPタスクがt=0.6[ms]で終了したとする。 In the next step 2, the ICOM task can be executed at t = 0 to 0.1 [ms], and then the DIAG task (2/3) can be executed at t = 0.1 to 0.6 [ms]. However, it is assumed that it ends at t = 0.45 [ms]. As a result, next, it is assumed that the UCMP task can be executed at t = 0.45 to 0.65 [ms], but the UCMP task actually ends at t = 0.6 [ms].

UMCPの最終フラグがTRUEであるため、次に非安全タスクが実行され、t=0.6[ms]から、先のステップ1で中断したCCIFタスクが再開される。CCIFタスクがさらに0.4[ms]実行されたところで、制御周期タイマが制御T=1[ms]となり、CCIFタスクの実行は、再び中断される。 Since the final flag of UMCP is TRUE, the unsafe task is executed next, and the CCIF task interrupted in the previous step 1 is restarted from t = 0.6 [ms]. When the CCIF task is further executed 0.4 [ms], the control cycle timer becomes control T = 1 [ms], and the execution of the CCIF task is interrupted again.

次のステップ3では、t=0~0.1[ms]でICOMタスクが実行され、次に、t=0.1~0.8[ms]でDIAGタスク(3/3)が実行可能であるが、t=0.6[ms]で終了したとする。DIAG(3/3)の最終フラグがTRUEであるため、次に、非安全タスクが実行され、t=0.6[ms]から、先のステップ2で中断したCCIFタスクが再開される。 In the next step 3, the ICOM task can be executed at t = 0 to 0.1 [ms], and then the DIAG task (3/3) can be executed at t = 0.1 to 0.8 [ms]. However, it is assumed that it ends at t = 0.6 [ms]. Since the final flag of DIAG (3/3) is TRUE, the unsafe task is then executed, and from t = 0.6 [ms], the CCIF task interrupted in step 2 above is restarted.

CCIFタスクは、すでにステップ1、2で、合計0.8[ms]実行しているため、残り0.2[ms]の処理が、ステップ3のt=0.6~0.8[ms]で実行される。 Since the CCIF task has already executed 0.8 [ms] in total in steps 1 and 2, the remaining 0.2 [ms] processing is t = 0.6 to 0.8 [ms] in step 3. Is executed by.

CCIFタスクの実行完了後には、次の非安全タスクがないため、t=0.8[ms]以降、ステップ3の終了までは、いずれの処理も実行しない空き時間となる。 After the execution of the CCIF task is completed, since there is no next unsafe task, there is a free time from t = 0.8 [ms] until the end of step 3 in which no processing is executed.

なお、SETSタスクおよびUCMPタスクでは、かご現在速度の演算が必要である。そこで、前回タスク実行時に取得したガバナエンコーダ値x_gov’、および制御周期タイマ値t_gov’と、それぞれの現在値x_gov、t_govと、制御周期Tと、速度正規化係数Kとを用いることにより、CPU121は、下式に従ってかご速度を算出することができる。
かご速度
=K×(x_gov-x_gov’)
/(3×N+t_gov-t_gov’)
In the SETS task and the UCMP task, it is necessary to calculate the current car speed. Therefore, by using the governor encoder value x_gov'and the control cycle timer value t_gov' acquired at the time of the previous task execution, the respective current values x_gov and t_gov, the control cycle T, and the speed normalization coefficient K, the CPU 121 can be used. , The car speed can be calculated according to the following formula.
Basket speed = K × (x_gov-x_gov')
/ (3 × N + t_gov-t_gov')

図11Bに示したように、本発明によるタスク処理では、安全タスクが規定時間より先に完了した場合の空き時間を効率的に利用し、非安全タスクに対してより多くの時間を割り当てることを可能としている。この結果、CPU121の利用効率が向上し、タスク処理の時間効率性を向上させることが可能となる。 As shown in FIG. 11B, in the task processing according to the present invention, the free time when the safe task is completed before the specified time is efficiently used, and more time is allocated to the unsafe task. It is possible. As a result, the utilization efficiency of the CPU 121 is improved, and the time efficiency of task processing can be improved.

一方、従来技術によるタスク割り当て時間を固定する方式を採用して、今回と同様の安全タスク、非安全タスクを実行した場合には、図11Cに示す実行タイムチャートとなる。すなわち、空き時間において、安全タスクの処理が実行されないため、処理時間が1.0[ms]であるCCIFタスクが完了するステップが、ステップ5となってしまっている。すなわち、従来技術では、より多くのステップに渡る分割実行が必要となり、本発明によるタスク処理を実行した場合と比較して、処理時間が増大するケースが想定される。 On the other hand, when the same safe task and non-safety task as this time are executed by adopting the method of fixing the task allocation time by the prior art, the execution time chart shown in FIG. 11C is obtained. That is, since the processing of the safety task is not executed in the free time, the step of completing the CCIF task having the processing time of 1.0 [ms] is the step 5. That is, in the prior art, divisional execution over more steps is required, and it is assumed that the processing time will increase as compared with the case where the task processing according to the present invention is executed.

以上のように、実施の形態2に係るタスクスケジューリング手法によれば、安全制御機能のタスクを実行しない空き時間を、各制御周期の後ろにまとめることができる。この結果、CPUの利用効率が向上し、安全制御機能のタスクと非安全制御機能のタスクとの独立性を確保した上で、効率的なタスクスケジューリングを実現することができる。 As described above, according to the task scheduling method according to the second embodiment, the free time during which the task of the safety control function is not executed can be summarized after each control cycle. As a result, the utilization efficiency of the CPU is improved, and efficient task scheduling can be realized while ensuring the independence between the task of the safety control function and the task of the non-safety control function.

21 CPU、30 独立性保証部、31 規定時間タイマ、32 制御周期タイマ、33 メモリ保護機能、40 プログラム、41 安全制御機能のタスク、42 非安全制御機能のタスク、50、50a 安全スケジューリング情報、60、60a 非安全スケジューリング情報、70 コンテキストブロック、121 CPU、130 独立性保証部、131 規定時間タイマ、132 制御周期タイマ、133 メモリ保護機能、140a、140b 安全監視系統、141 安全制御機能のタスク、142 非安全制御機能のタスク、150 安全スケジューリング情報、160 非安全スケジューリング情報、170 コンテキストブロック。 21 CPU, 30 Independence Guarantee, 31 Specified Time Timer, 32 Control Cycle Timer, 33 Memory Protection Function, 40 Program, 41 Safety Control Function Task, 42 Non-Safety Control Function Task, 50, 50a Safety Scheduling Information, 60 , 60a unsafe scheduling information, 70 context block, 121 CPU, 130 independence guarantee unit, 131 specified time timer, 132 control cycle timer, 133 memory protection function, 140a, 140b safety monitoring system, 141 safety control function task, 142 Unsafe control function tasks, 150 safety scheduling information, 160 unsafe scheduling information, 170 context blocks.

Claims (9)

複数の安全制御機能および複数の非安全制御機能を各々独立したプログラムとして記憶するとともに、前記複数の安全制御機能を各制御周期で実行する際の制御周期ごとのスケジューリングと実行順序があらかじめ規定された安全スケジューリング情報を記憶する記憶部と、
前記安全スケジューリング情報に従って、前記複数の安全制御機能および前記複数の非安全制御機能に対応するそれぞれのプログラムを順次実行することにより、エレベーターの制御演算を行うCPUと
を備え、
前記CPUは、各制御周期において、前記安全スケジューリング情報として規定された前記実行順序に従って前記安全制御機能を連続して空き時間なしに順次実行し、制御周期内に割り当てられた安全制御機能をすべて実行した後の制御周期内の空き時間で、前記複数の非安全制御機能を実行する
エレベーター安全制御装置。
A plurality of safety control functions and a plurality of non-safety control functions are stored as independent programs, and the scheduling and execution order for each control cycle when the plurality of safety control functions are executed in each control cycle are defined in advance. A storage unit that stores safety scheduling information and
A CPU that performs elevator control operations by sequentially executing programs corresponding to the plurality of safety control functions and the plurality of non-safety control functions according to the safety scheduling information is provided.
In each control cycle, the CPU continuously executes the safety control functions in sequence according to the execution order defined as the safety scheduling information, and executes all the safety control functions assigned in the control cycle. An elevator safety control device that executes the plurality of non-safety control functions in the free time within the control cycle after the operation.
エレベーターの状態に関する信号を入力値として取得する入力部と、
前記複数の安全制御機能および複数の非安全制御機能からなるすべての制御機能について、ある制御機能が他の制御機能に影響を及ぼさないように、制御機能間の独立性を保証する独立性保証部と
をさらに有し、
前記安全スケジューリング情報は、前記複数の安全制御機能の実行順と、前記複数の安全制御機能のそれぞれに対応して安全制御機能の演算処理を前記CPUで実行することができる時間を定めた規定時間と、各制御周期中の最後に実行する安全制御機能であるか否かを示す最終フラグと、が対応づけられており、
前記記憶部は、前記非安全制御機能の実行順が規定された非安全スケジューリング情報がさらに記憶されており、
前記独立性保証部は、それぞれの安全制御機能による演算処理時間が前記規定時間を超過したか否かを監視する規定時間タイマ、および各制御周期を監視する制御周期タイマを有し、
前記CPUは、各制御周期において、
最初に、前記安全スケジューリング情報で規定された実行順に従って安全制御機能の演算処理を開始し、前記最終フラグが有効である安全制御機能の演算処理までを実行し、
安全制御機能の演算処理が、演算処理中の安全制御機能に対応づけられている規定時間以前に終了したとき、または前記規定時間に達し前記規定時間タイマによる割込が発生したときに、次の実行順の安全制御機能の演算処理を開始させることで、制御周期中に実行すべき安全制御機能の演算処理を連続して空き時間なしに順次実行し、
制御周期中に実行すべき安全制御機能の演算処理が完了した後に、制御周期の終了までの空き時間において、前記非安全スケジューリング情報で規定された実行順に従って非安全制御機能の演算処理を実行し、
前記制御周期が経過し前記制御周期タイマによる割込が発生したときに、実行中の非安全制御機能を中断して1つの制御周期の演算処理を終了する
請求項1に記載のエレベーター安全制御装置。
An input unit that acquires signals related to the elevator status as input values,
An independence guarantee unit that guarantees the independence between control functions so that one control function does not affect other control functions for all the control functions including the plurality of safety control functions and the plurality of non-safety control functions. And have more,
The safety scheduling information is a specified time that defines the execution order of the plurality of safety control functions and the time during which the arithmetic processing of the safety control function can be executed by the CPU corresponding to each of the plurality of safety control functions. And the final flag indicating whether or not it is the safety control function to be executed at the end of each control cycle are associated with each other.
The storage unit further stores unsafe scheduling information in which the execution order of the unsafe control functions is defined.
The independence guarantee unit has a specified time timer for monitoring whether or not the arithmetic processing time by each safety control function exceeds the specified time, and a control cycle timer for monitoring each control cycle.
The CPU is used in each control cycle.
First, the arithmetic processing of the safety control function is started according to the execution order specified in the safety scheduling information, and the arithmetic processing of the safety control function in which the final flag is valid is executed.
When the arithmetic processing of the safety control function ends before the specified time associated with the safety control function during the arithmetic processing, or when the specified time is reached and the interruption by the specified time timer occurs, the following By starting the calculation processing of the safety control function in the execution order, the calculation processing of the safety control function to be executed during the control cycle is continuously executed without any free time.
After the calculation processing of the safety control function to be executed during the control cycle is completed, the calculation processing of the non-safety control function is executed according to the execution order specified in the non-safety scheduling information in the free time until the end of the control cycle. ,
The elevator safety control device according to claim 1, wherein when the control cycle elapses and an interrupt by the control cycle timer occurs, the unsafe control function being executed is interrupted and the arithmetic processing of one control cycle is terminated. ..
各々独立して実行される各プログラムの実行状態の情報を保持するコンテキストブロックをさらに備え、
前記CPUは、
前記規定時間タイマまたは前記制御周期タイマの割込が発生したときに、演算処理中の制御機能を中断し、中断した制御機能に関するプログラムの実行状態の情報を前記コンテキストブロックに格納し、
中断した制御機能を次回実行する際に、前記コンテキストブロックに格納されたプログラムの実行状態の情報を利用して、中断した状態の制御機能の演算処理を再開可能とする
請求項2に記載のエレベーター安全制御装置。
It also has a context block that holds information about the execution status of each program that runs independently.
The CPU
When the interrupt of the specified time timer or the control cycle timer occurs, the control function during arithmetic processing is interrupted, and the information on the execution state of the program related to the interrupted control function is stored in the context block.
The elevator according to claim 2, wherein when the interrupted control function is executed next time, the arithmetic processing of the interrupted control function can be restarted by using the information of the execution state of the program stored in the context block. Safety control device.
前記CPUは、前記複数の安全制御機能のそれぞれを実行するために使用する領域が個別に割り当てられた内部メモリを有し、
前記独立性保証部は、前記複数の安全制御機能および複数の非安全制御機能からなるすべての制御機能のいずれかの演算処理を実行中に、演算処理中の制御機能が許可された領域以外の前記内部メモリの領域にアクセスした異常アクセス状態の有無を監視し、前記異常アクセス状態を検出した場合には、前記CPUに対して、エレベーターの安全動作を実行させる指令を出力するメモリ保護機能を有する
請求項2または3に記載のエレベーター安全制御装置。
The CPU has an internal memory in which an area used for executing each of the plurality of safety control functions is individually allocated.
The independence guarantee unit is in an area other than the area where the control function during the arithmetic processing is permitted while the arithmetic processing of any of the control functions including the plurality of safety control functions and the plurality of non-safety control functions is being executed. It has a memory protection function that monitors the presence or absence of an abnormal access state that has accessed the area of the internal memory, and outputs a command to the CPU to execute a safe operation of the elevator when the abnormal access state is detected. The elevator safety control device according to claim 2 or 3.
前記安全スケジューリング情報は、安全制御機能が演算処理中に中断可能であるか否かを示す中断可能フラグがさらに関連付けられており、
前記CPUは、前記中断可能フラグが無効である安全制御機能の演算処理中に、前記規定時間タイマの割込が発生した場合には、エレベーターの安全動作を実行する
請求項2から4のいずれか1項に記載のエレベーター安全制御装置。
The safety scheduling information is further associated with a suspendable flag indicating whether or not the safety control function can be interrupted during arithmetic processing.
One of claims 2 to 4, wherein the CPU executes a safe operation of the elevator when an interrupt of the specified time timer occurs during the calculation process of the safety control function in which the suspendable flag is invalid. The elevator safety control device according to item 1.
前記制御周期タイマの値は、前記各々独立したプログラムに対応して固有に設定可能であり、
前記CPUは、演算処理を実行する制御機能に対応するプログラムに設定された前記制御周期タイマの値を利用可能である
請求項2から5のいずれか1項に記載のエレベーター安全制御装置。
The value of the control cycle timer can be set uniquely corresponding to each of the independent programs.
The elevator safety control device according to any one of claims 2 to 5, wherein the CPU can use the value of the control cycle timer set in a program corresponding to a control function for executing arithmetic processing.
前記CPUは、
前記制御周期タイマの経過回数を保持するカウンタを有し、
前回制御周期タイマを取得した際の制御周期タイマの値および経過回数と、今回制御周期タイマを取得した際の制御周期タイマの値および経過回数とを用いて、前回から今回までの経過時間を計測可能とする
請求項6に記載のエレベーター安全制御装置。
The CPU
It has a counter that holds the elapsed number of times of the control cycle timer.
The elapsed time from the previous time to the current time is measured using the value and the number of elapsed time of the control cycle timer when the previous control cycle timer was acquired and the value and the number of elapsed times of the control cycle timer when the current control cycle timer was acquired. The elevator safety control device according to claim 6.
特定の区間のみ前記規定時間タイマによる割込を禁止したい安全制御機能のタスクについて、
前記CPUは、
前記タスクの開始時に制御周期タイマの値taを取得し、
前記特定の区間の開始時に制御周期タイマの値tbを取得し、
前記特定の区間の開始時において、前記特定の区間の時間幅tcと、前記タスクの規定時間タイマの設定値tdから、
td<tb-ta+tc
の関係が成立するか否かを判断し、前記関係が成立する場合には、前記特定の区間の開始時において前記タスクの演算処理を中断して次の実行順へ処理を移行し、前記タスクの前記次の実行順となった際に前記特定の区間の初めの状態から前記タスクの実行を再開することで、前記特定の区間における前記規定時間タイマによる割込を禁止する
請求項6または7に記載のエレベーター安全制御装置。
Regarding the task of the safety control function that wants to prohibit interruption by the specified time timer only in a specific section
The CPU
At the start of the task, the value ta of the control cycle timer is acquired, and the value ta is obtained.
The value tb of the control cycle timer is acquired at the start of the specific section, and the value tb is acquired.
At the start of the specific section, from the time width ct of the specific section and the set value td of the specified time timer of the task.
td <tb-ta + tc
If the relationship is established, the arithmetic processing of the task is interrupted at the start of the specific section, and the processing is shifted to the next execution order, and the task is executed. 6 or 7 for prohibiting interruption by the specified time timer in the specific section by restarting the execution of the task from the initial state of the specific section when the next execution order is reached. Elevator safety control device described in.
前記CPUは、
前記次の実行順において、前記特定の区間が開始した場合には開始フラグをセットし、前記特定の区間が終了した場合には終了フラグをセットし、
前記特定の区間が開始した後に規定時間タイマの割込が発生した際に、前記開始フラグがセットされており、かつ前記終了フラグがセットされていない場合には、エレベーターの安全動作を実行する
請求項8に記載のエレベーター安全制御装置。
The CPU
In the next execution order, the start flag is set when the specific section starts, and the end flag is set when the specific section ends.
When the interrupt of the specified time timer occurs after the specific section starts, if the start flag is set and the end flag is not set, the elevator is safely operated. Item 8 is the elevator safety control device.
JP2020504489A 2018-03-05 2018-03-05 Elevator safety control device Active JP7003217B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/008305 WO2019171424A1 (en) 2018-03-05 2018-03-05 Elevator safety control device

Publications (2)

Publication Number Publication Date
JPWO2019171424A1 JPWO2019171424A1 (en) 2020-07-09
JP7003217B2 true JP7003217B2 (en) 2022-01-20

Family

ID=67846574

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020504489A Active JP7003217B2 (en) 2018-03-05 2018-03-05 Elevator safety control device

Country Status (3)

Country Link
JP (1) JP7003217B2 (en)
CN (1) CN111788140A (en)
WO (1) WO2019171424A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017137183A (en) 2016-02-05 2017-08-10 株式会社日立製作所 Control system
JP2017141114A (en) 2017-03-22 2017-08-17 三菱電機株式会社 Elevator system

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS55156174A (en) * 1979-05-18 1980-12-04 Hitachi Ltd Maintenance device for elevator
JPH0755770B2 (en) * 1986-09-30 1995-06-14 株式会社東芝 Information transmission control method for elevator system
JPH06305647A (en) * 1993-04-23 1994-11-01 Takenaka Komuten Co Ltd Operation schedule determining device for lifting and transporting device
JP5550718B2 (en) * 2010-03-12 2014-07-16 三菱電機株式会社 Elevator safety control device
JP5136695B2 (en) * 2011-01-31 2013-02-06 トヨタ自動車株式会社 SAFETY CONTROL DEVICE AND SAFETY CONTROL METHOD
US20120198464A1 (en) * 2011-01-31 2012-08-02 Toyota Jidosha Kabushiki Kaisha Safety controller and safety control method
JP4894961B1 (en) * 2011-03-15 2012-03-14 オムロン株式会社 PLC CPU unit, PLC system program, and recording medium storing PLC system program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017137183A (en) 2016-02-05 2017-08-10 株式会社日立製作所 Control system
JP2017141114A (en) 2017-03-22 2017-08-17 三菱電機株式会社 Elevator system

Also Published As

Publication number Publication date
CN111788140A (en) 2020-10-16
JPWO2019171424A1 (en) 2020-07-09
WO2019171424A1 (en) 2019-09-12

Similar Documents

Publication Publication Date Title
US9108823B2 (en) Elevator safety control device
JP4907097B2 (en) Elevator equipment
US20120198464A1 (en) Safety controller and safety control method
WO2006106574A1 (en) Elevator apparatus
WO2006033153A1 (en) Elevator apparatus
EP3677532A1 (en) System and method for assigning elevator service based on a detected number of passengers
CN110775743A (en) Capacity transfer between partially overlapping elevator groups
JP2014172714A (en) Elevator system
JP7003217B2 (en) Elevator safety control device
JP2003095555A (en) Control device of elevator
JP6230729B2 (en) Elevator safety control device and elevator safety control method
JP2017061365A (en) Elevator diagnostic system and elevator diagnostic method
WO2014112070A1 (en) Elevator group management control device
CN106414293B (en) Target dispatch covering including carriage positioning monitoring system
CN111788139B (en) Elevator safety control device
JP7396515B2 (en) Elevator safety control device and elevator safety control system
JP2008054028A (en) Control information transmission system
JP6762281B2 (en) Stack overflow detector and vehicle control system
JP2009091101A (en) Emulation device of elevator
JP7409567B2 (en) Automotive computer control method and vehicle electronic control device
JP7279836B1 (en) CONTROL DEVICE, CONTROL METHOD, AND PASSENGER TRANSPORT CONTROL DEVICE
JP2024085627A (en) Computer system and method of handling malfunction
JPS6229355B2 (en)
JPS6242833B2 (en)
JP2024085626A (en) Computer system and method of handling malfunction

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211228

R150 Certificate of patent or registration of utility model

Ref document number: 7003217

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150