以下、この発明の好適な実施の形態について図面を参照して説明する。
実施の形態1.
図1はこの発明の実施の形態1によるエレベータ装置を示す構成図である。図において、昇降路1内には、一対のかごガイドレール2及び釣合おもりガイドレール(図示せず)が設置されている。かご3は、かごガイドレール2に案内されて昇降路1内を昇降される。釣合おもり4は、釣合おもりガイドレールに案内されて昇降路1内を昇降される。
かご3の下部には、かごガイドレール2に係合してかご3を非常停止させる非常止め装置5が搭載されている。非常止め装置5は、機械的な操作により動作してかごガイドレール2に押し付けられる一対の制動片(楔部材)6を有している。
昇降路1内の上部には、主ロープを介してかご3及び釣合おもり4を昇降させる駆動装置(巻上機)7が設置されている。駆動装置7は、駆動シーブ8、駆動シーブ8を回転させるモータ部(図示せず)、駆動シーブ8の回転を制動するブレーキ部9、及び駆動シーブ8の回転に応じた検出信号を発生するモータエンコーダ10を有している。
ブレーキ部9としては、例えば電磁ブレーキ装置が用いられている。電磁ブレーキ装置においては、制動ばねのばね力によりブレーキシューが制動面に押し付けられて駆動シーブ8の回転が制動されるとともに、電磁マグネットを励磁することによりブレーキシューが制動面から開離され、制動が解除される。
エレベータ制御盤11は、例えば昇降路1内の下部等に配置されている。エレベータ制御盤11には、駆動装置7の運転を制御する運転制御部12と、エレベータの異常時にかご3を急停止させるための安全回路部(リレー回路部)13とが設けられている。運転制御部12には、モータエンコーダ10からの検出信号が入力される。運転制御部12は、モータエンコーダ10からの検出信号に基づいて、かご3の位置及び速度を求め、駆動装置7を制御する。
安全回路部13のリレー回路が開路状態にされると、駆動装置7のモータ部への通電が遮断されるとともに、ブレーキ部9の電磁マグネットへの通電が遮断され、駆動シーブ8が制動される。
昇降路1の上部には、調速機(機械式調速機)14が設置されている。調速機14には、調速機シーブ15、過速度検出スイッチ16、ロープキャッチ17、及びセンサとしての調速機エンコーダ18が設けられている。調速機シーブ15には、調速機ロープ19が巻き掛けられている。調速機ロープ19の両端部は、非常止め装置5の操作機構に接続されている。調速機ロープ19の下端部は、昇降路1の下部に配置された張り車20に巻き掛けられている。
かご3が昇降されると、調速機ロープ19が循環され、かご3の走行速度に応じた回転速度で調速機シーブ15が回転される。調速機14では、かご3の走行速度が過速度に達したことが機械的に検出される。検出する過速度としては、定格速度よりも高い第1の過速度(OS速度)と、第1の過速度よりも高い第2の過速度(Trip速度)とが設定されている。
かご3の走行速度が第1の過速度に達すると、過速度検出スイッチ16が操作される。過速度検出スイッチ16が操作されると、安全回路部13のリレー回路が開路状態となる。かご3の走行速度が第2の過速度に達すると、ロープキャッチ17により調速機ロープ19が把持され、調速機ロープ19の循環が停止される。調速機ロープ19の循環が停止されると、非常止め装置5が制動動作する。
調速機エンコーダ18は、調速機シーブ15の回転に応じた検出信号を発生する。また、調速機エンコーダ18としては、2系統の検出信号、即ち第1及び第2の検出信号を同時に出力するデュアルセンスタイプのエンコーダが用いられている。
調速機エンコーダ18からの第1及び第2の検出信号は、電子安全コントローラ21に設けられた終端階強制減速装置(ETS装置)のETS回路部22に入力される。ETS回路部22は、調速機エンコーダ18からの検出信号に基づいてエレベータの異常を検出し、エレベータを安全な状態に移行させるための指令信号を出力する。具体的には、ETS回路部22は、調速機エンコーダ18からの信号により、運転制御部12とは独立して、かご3の走行速度及び位置を求め、終端階付近でのかご3の走行速度がETS監視過速度に達したかどうかを監視する。
また、ETS回路部22は、調速機エンコーダ18からの信号をデジタル信号に変換し、デジタル演算処理を行うことにより、かご3の走行速度がETS監視過速度に達したかどうかを判断する。ETS回路部22によりかご3の走行速度がETS監視過速度に達したと判断されると、安全回路部13のリレー回路が開路状態となる。
また、ETS回路部22は、ETS回路部22自体の異常、及び調速機エンコーダ18の異常を検出可能である。ETS回路部22自体又は調速機エンコーダ18の異常が検出された場合、エレベータを安全な状態に移行させるための指令信号としての最寄り階停止指令信号がETS回路部22から運転制御部12に対して出力される。さらに、ETS回路部22と運転制御部12との間は、双方向に通信可能となっている。
昇降路1内の所定の位置には、かご3が昇降路1内の基準位置に位置することを検出するための第1〜第4の基準センサ23〜26が設けられている。基準センサ23〜26としては、上部及び下部終端階スイッチを用いることができる。基準センサ23〜26からの検出信号は、ETS回路部22に入力される。ETS回路部22では、基準センサ23〜26からの検出信号に基づいて、ETS回路部22内で求めたかご3の位置の情報を修正する。
昇降路1の底面とかご3及び釣合おもり4の下面との間には、かご緩衝器27及び釣合おもり緩衝器28が設置されている。ここでは、かご緩衝器27及び釣合おもり緩衝器28は、昇降路1内の下部に設置されている。かご緩衝器27は、かご3の真下に配置され、かご3が昇降路1の底部に衝突する際の衝撃を緩和する。釣合おもり緩衝器28は、釣合おもり4の真下に配置され、釣合おもり4が昇降路1の底部に衝突する際の衝撃を緩和する。これらの緩衝器27,28としては、例えば油入式又はばね式バッファが用いられている。
図2は図1の調速機14及びETS回路部22において設定された過速度のパターンを示すグラフである。図において、かご3が下部終端階から上部終端階まで通常速度(定格速度)で走行する場合、かご3の速度パターンは、通常速度パターンV0となる。調速機14には、機械的な位置調整により第1及び第2の過速度パターンV1,V2が設定されている。ETS回路部22には、ETS監視過速度パターンVEが設定されている。
ETS監視過速度パターンVEは、通常速度パターンV0よりも高く設定されている。また、ETS監視過速度パターンVEは、通常速度パターンV0に対して全昇降行程でほぼ等間隔をおくように設定されている。即ち、ETS監視過速度パターンVEは、かご位置に応じて変化している。さらに具体的には、ETS監視過速度パターンVEは、中間階付近で一定となるように設定されているが、終端階付近では昇降路1の終端(上端及び下端)へ近づくに従って連続的かつ滑らかに低くなるように設定されている。このように、ETS回路部22は、終端階付近だけでなく、中間階付近(通常速度パターンV0における一定速走行区間)でもかご3の走行速度を監視しているが、中間階付近については必ずしも監視しなくてもよい。
第1の過速度パターンV1は、ETS監視過速度パターンVEよりも高く設定されている。また、第2の過速度パターンV2は、第1の過速度パターンV1よりもさらに高く設定されている。また、第1及び第2過速度パターンV1,V2は、昇降路1内の全ての高さで一定である。
釣合おもり緩衝器28のバッファストロークは、ETS回路部22によって制限される釣合おもり4の釣合おもり緩衝器28への衝突速度に応じて、調速機14で制限される衝突速度に応じて規定されるストロークよりも短く設定されている。かご緩衝器27のバッファストロークは、調速機14で制限される衝突速度に応じて規定されている。
緩衝器27,28のバッファストロークは、かご3や釣合おもり4が最初に接触したときの初速度と、かご3や釣合おもり4が停止するまでの許容減速度とによって決まるものである。従って、かご緩衝器27のバッファストロークよりも、釣合おもり緩衝器28のバッファストロークの方が短く設定される。即ち、釣合おもり緩衝器28のバッファストロークは、かご緩衝器27のバッファストロークよりも短くなっている。
また、釣合おもり緩衝器28は、例えば主ロープが破断した場合など、ETS監視過速度パターンVEで規定される速度よりも大きな速度で釣合おもり4が衝突した場合にも破壊されることがないように、十分な容量に設定されている。このように、釣合おもり緩衝器28の十分な容量を確保する方法としては、例えば通常よりも大きな容量の緩衝器を用いるか、又は通常の容量の緩衝器を複数用いる方法などがある。
かご3が最上階に停止したときのかご3の上端部と昇降路1の天井部との間の隙間寸法は、ETS回路部22によって制限される釣合おもり4の釣合おもり緩衝器28への衝突速度に応じて設定されている。即ち、釣合おもり4が釣合おもり緩衝器28に衝突しても、かご3が昇降路1の天井部に衝突しないように、昇降路1の頂部隙間寸法が設定されている。
図3は図1の電子安全コントローラ21、エレベータ制御盤11及び各種センサの接続関係を示すブロック図である。図において、電子安全コントローラ21には、調速機エンコーダ18からの2系統の検出信号、第1〜第4基準センサ23〜26からの検出信号、及びその他のセンサ(第1〜第Nのセンサ)からの信号が入力される。また、電子安全コントローラ21は、センサ毎に対応した複数の信号入力ポートを有している。即ち、電子安全コントローラ21には、各センサからの信号が別々に入力される。これにより、電子安全コントローラ21は、各センサの異常を検出可能となっている。
電子安全コントローラ21により何等かの異常(例えば過速度、センサ故障、電子安全コントローラ21自体の異常等)が検出されると、故障や異常の内容を含む故障・異常内容信号がエレベータ制御盤11の制御ユニット(図示せず)に入力されるとともに、故障や異常の内容に応じた停止信号がエレベータ制御盤11の駆動・制動ユニット(図示せず)に入力される。
図4は図1の電子安全コントローラ21の要部の装置構成を示すブロック図である。電子安全コントローラ21は、第1の安全プログラムに基づいてエレベータの異常を検出するための演算処理を実行する第1のマイクロプロセッサ31と、第2の安全プログラムに基づいてエレベータの異常を検出するための演算処理を実行する第2のマイクロプロセッサ32とを含んでいる。
第1の安全プログラムは、第2の安全プログラムと同じ内容のプログラムである。第1及び第2のマイクロプロセッサ31,32は、プロセッサ間バス及び2ポートRAM33を介して互いに通信可能になっている。また、第1及び第2のマイクロプロセッサ31,32は、互いの演算処理結果を比較することにより第1及び第2のマイクロプロセッサ31,32自体の健全性を確認可能になっている。即ち、第1及び第2のマイクロプロセッサ31,32に同一処理を実行させ、処理結果を2ポートRAM33等を介して通信比較することにより、マイクロプロセッサ31,32の健全性が確認される。
また、マイクロプロセッサ31,32は、マイクロプロセッサ31,32自体の異常以外の電子安全コントローラ21の異常も演算処理により検出可能である。
図5は図4のマイクロプロセッサ31,32による演算処理の実行方法を示す説明図である。マイクロプロセッサ31,32は、定周期タイマからの信号に基づく所定の演算周期(例えば50msec)で、ROMに格納されたプログラムに従って、演算処理を繰り返し実行する。一周期内に実行されるプログラムには、エレベータの異常を検出するための安全プログラムと、電子安全コントローラ21自体や各種センサの故障・異常を検出するための故障・異常チェックプログラムとが含まれる。また、故障・異常チェックプログラムは、予め設定された条件が満たされたときのみ実行するようにしてもよい。
このようなエレベータ装置では、電子安全コントローラ21が電子安全コントローラ21自体の異常を検出可能であり、電子安全コントローラ21自体の異常を検出した場合にも、エレベータを安全な状態に移行させるための指令信号を出力するので、エレベータの異常の検出速度や異常に対する処理速度を高めつつ、比較的簡単な構成で安全システムの信頼性を向上させることができる。
また、電子安全コントローラ21は、各種センサの異常も検出可能であり、センサの異常を検出した場合にも、エレベータを安全な状態に移行させるための指令信号を出力するので、安全システムの信頼性をさらに向上させることができる。
さらに、電子安全コントローラ21は第1及び第2のマイクロプロセッサ31,32を含み、第1及び第2のマイクロプロセッサ31,32は、互いの演算処理結果を比較することにより第1及び第2のマイクロプロセッサ31,32自体の健全性を確認可能になっているので、安全システムの信頼性をさらに向上させることができる。
以下、電子安全コントローラ21の構成及び動作の具体例を説明する。
≪クロック異常検出≫
図6は図1の電子安全コントローラ21の要部を示すブロック図である。電子安全コントローラ21には、十分な信頼性を確保するため、二重系の回路構成が採用されている。
電子安全コントローラ21では、第1及び第2マイクロプロセッサとしての第1及び第2のCPU(処理部)41,42が用いられている。第1のCPU41は、運転制御部12及び第1の出力インタフェース(出力部)43に制御信号を出力する。第2のCPU42は、運転制御部12及び第2の出力インタフェース(出力部)44に制御信号を出力する。
運転制御部12は、第1及び第2のCPU41,42から同様の制御信号を受けたときに、その制御信号により制御される。第1及び第2の出力インタフェース43,44は、第1及び第2のCPU41,42からの制御信号に基づいて、安全回路部13を開路状態とするための信号を出力する。
第1及び第2のCPU41,42には、両者間のデータ授受を行うための2ポートRAM45が接続されている。第1のCPU41には、第1ウォッチドッグタイマ46が接続されている。第2のCPU42には、第2ウォッチドッグタイマ47が接続されている。
第1のCPU41には、調速機エンコーダ18(図1)からの2系統の信号が入力される。また、第2のCPU42にも、調速機エンコーダ18からの2系統の信号が入力される。調速機エンコーダ18からの信号は、CPU41,42で演算処理され、これによりかご3(図1)の速度及び位置が求められる。即ち、調速機エンコーダ18は、速度センサ兼位置センサとして機能する。また、CPU41,42には、図3で示したような種々のセンサからの信号も入力される。
第1のCPU41には、第1のクロック48からの第1のクロック信号が入力される。第2のCPU42は、第2のクロック49からの第2のクロック信号が入力される。第1及び第2のクロック信号の周波数は互いに等しく設定されている。
第1及び第2のクロック信号は、クロック異常検出回路50にも入力される。クロック異常検出回路50は、第1及び第2のクロック信号のパルス数をカウントし、パルス数の差から第1及び第2のクロック信号の異常を検出する。
第1及び第2のCPU41,42は、クロック異常検出回路50の健全性をチェックするためのテストモード信号51,52をクロック異常検出回路50に送信する。また、第1及び第2のCPU41,42は、クロック異常検出を開始するための検出開始指令信号53,54をクロック異常検出回路50に送信する。
また、クロック異常検出回路50は、クロック異常を検出したときにエラー信号55,56を第1及び第2のCPU41,42に入力する。
図7は図6のクロック異常検出回路50の具体的な構成を示す構成図である。クロック異常検出回路50には、第1のクロック信号のパルスエッジをカウントする第1の監視カウンタ57及び第1の被監視カウンタ58と、第2のクロック信号のパルスエッジをカウントする第2の監視カウンタ59及び第2の被監視カウンタ60とが設けられている。
第1のクロック信号は、第1のセレクタ61を介して第1の被監視カウンタ58に入力される。第1のセレクタ61では、通常回路とテスト回路との切換が可能になっている。通常回路では、第1のクロック信号がそのまま第1の被監視カウンタ58に入力される。テスト回路では、第1のクロック信号が第1の逓倍回路62で逓倍された後、第1の被監視カウンタ58に入力される。テスト回路への切換は、第1のCPU41からのテストモード信号51が第1のセレクタ61に入力されることにより行われる。
同様に、第2のクロック信号は、第2のセレクタ63を介して第2の被監視カウンタ60に入力される。第2のセレクタ63では、通常回路とテスト回路との切換が可能になっている。通常回路では、第2のクロック信号がそのまま第2の被監視カウンタ60に入力される。テスト回路では、第2のクロック信号が第2の逓倍回路64で逓倍された後、第2の被監視カウンタ60に入力される。テスト回路への切換は、第2のCPU42からのテストモード信号52が第2のセレクタ63に入力されることにより行われる。
第1及び第2の被監視カウンタ58,60からのリップルキャリーアウトプット信号、即ちエラー信号55,56は、第1及び第2のラッチ部65,66でラッチされる。第1及び第2のラッチ部65,66は、第1及び第2のCPU41,42からのラッチ解除信号67,68を受けてラッチ状態を解除する。
クロック異常検出回路50からのエラー信号がCPU41,42に入力されると、CPU41,42から出力インタフェース43,44に異常検出信号が出力される。そして、出力インタフェース43,44から安全回路部13に作動信号が出力され、安全回路部13によりエレベータが安全状態へと移行される。
なお、電子安全コントローラ21は、図6に示したCPU41,42やROMを含むコンピュータ(マイクロコンピュータ)を含んでいる。
次に、動作について説明する。調速機エンコーダ18から出力された2系統のパルス信号は、CPU41,42に入力される。そして、CPU41,42のそれぞれにより、パルス信号は演算処理され、かご3の位置及び速度が求められる。求められた位置及び速度は、2ポートRAM45を介して互いに比較された上で、異常を判定するための設定値(基準値)、例えばETS監視過速度と比較される。
そして、過速度や位置異常などの異常が検出されると、異常の内容に応じて、運転制御部12又は安全回路部13に信号が出力され、エレベータが安全状態へと移行される。安全状態への移行とは、例えばかご3を急停止させること、又はかご3を最寄り階に停止させることである。また、安全状態への移行後、必要に応じて運転制御部12がさらに制御される。
なお、CPU41,42の演算結果が互いに異なっていれば、CPU41,42のどちらかの系に異常があると判断され、やはりエレベータが安全状態へと移行される。
また、求められた位置及び速度に異常がなければ、かご3の走行を許可する旨の制御信号が生成され、運転制御部12に出力される。
CPU41,42では、一定時間内に入力されるパルス信号をカウントすることにより、かご速度を求める演算が実行される。そして、その「一定時間」を司るタイマは、クロック48,49からのクロック信号により生成されている。従って、クロック信号の周波数は非常に重要である。
特に、周波数が高くなる異常については、かご3の過速度を監視する上で注意が必要である。例えば、10ms毎にパルス信号をカウントしているつもりが、何等かの故障によりクロック信号の周期が半分になると、実際には5ms毎にカウントしていることになってしまう。この場合、CPU41,42で求められたかご速度は、実際のかご速度の半分として誤認識されてしまい、過速度が検出できない状態となる。
これに対して、この例では、第1及び第2のクロック48,49からのクロック信号がクロック異常検出回路50に入力され、クロック信号に異常がないかが監視されている。
次に、クロック異常監視動作の詳細について説明する。まず、電源リセット時には、各デバイスが安定し次第、カウンタ57〜60によりクロックパルスのカウントが直ちに開始される。これにより、エラー信号55,56がラッチされるが、CPU41,42では、最初はこのエラー信号55,56が無視される。
この後、検出開始指令信号53,54にHighの信号が与えられ、次いでラッチ解除信号67,68がCPU41,42からクロック異常検出回路50に送られる。
検出開始指令信号53,54がHighになってから最初の監視カウンタ57,59からのリップルキャリーアウトプット信号で、各カウンタ57〜60のプリセットデータ値が各カウンタ57〜60にロードされ、カウントアップが開始される。プリセットデータ値は、カウンタ57〜60でカウントを開始する際のカウント値である。
被監視カウンタ58,60のプリセットデータ値としては、例えば0が予め設定される。また、監視カウンタ57,59のプリセットデータ値としては、クロック異常を判定するための閾値が予め設定される。監視カウンタ57,59のプリセットデータ値は、被監視カウンタ58,60のプリセットデータ値よりも大きい数値、ここでは4が設定される。
監視カウンタ57,59は、被監視カウンタ58,60よりも短い範囲でパルス数を繰り返しカウントし、キャリーオーバーする度に被監視カウンタ57,59をリセットする。被監視カウンタ58,60もパルス数を繰り返しカウントしようとするが、正常時には、被監視カウンタ58,60がキャリーオーバーする前に監視カウンタ57,59がキャリーオーバーして被監視カウンタ58,60がリセットされる。
このようなプリセットデータ値は、クロック異常検出回路50を例えばFPGA(field programmable gate array)で構成することにより、任意に設定可能である。
2つのクロック48,49が正常なときは、被監視カウンタ58,60がキャリーオーバーしてリップルキャリーアウトプット信号、即ちエラー信号55,56を出力するよりも4つ手前のカウンタ値で、監視カウンタ57,59のリップルキャリーアウトプット信号によりリセットされるため、エラー信号55,56は出力されない。
これに対して、例えば第1のクロック48の周波数が高くなる異常が起きた場合、第2の監視カウンタ59のリップルキャリーアウトプット信号が第1の被監視カウンタ58をリセットする前に、第1の被監視カウンタ58のリップルキャリーアウトプット信号、即ちエラー信号55が出力され、ラッチ部65によりエラー信号55がラッチされる。
また、第2のクロック49の周波数が高くなる異常が起きた場合は、同様にして第2の被監視カウンタ60からエラー信号56が出力され、ラッチ部66によりエラー信号56がラッチされる。
さらに、クロック48,49が停止した場合には、クロック異常検出回路50でも検出可能であるが、ウォッチドッグタイマ46,47が効き、強制リセットとなるため、危険状態となることはない。
このような構成とすることにより、クロック異常を検出するための専用のクロックを用いる必要がなく、二重系のCPU41,42のために使用しているクロック48,49をそのまま利用してクロック異常を検出することができ、効率的なハードウエア資源の利用が可能になる。従って、簡単な回路構成で信頼性を向上させることができる。
また、カウンタ57〜60のプリセットデータ値を任意に設定できるため、クリティカルな周波数のずれも検出することができる。これにより、安全回路部13を駆動・制御するまでの動作遅れ時間を短縮でき、より安全性の高い設計を実現できる。
さらに、4つのカウンタ57〜60とウォッチドッグタイマ46,47とを組み合わせて使用したので、周波数が高くなる異常がクロック48,49のどちらに発生したかを容易に特定できる。
次に、クロック異常検出回路50の健全性のチェック機能について説明する。例えば、第1のCPU41からクロック異常検出回路50にテストモード信号51が送信されると、セレクタ61により回路がテスト回路に切り換えられ、第1のクロック信号が第1逓倍回路62で逓倍される。即ち、第1の被監視カウンタ58に入力される第1のクロック信号が故意に異常状態にされる。このため、クロック異常検出回路50が正常であれば、第1の被監視カウンタ58からエラー信号55が出力されることになる。
従って、CPU41では、テストモード信号51の送信に対してエラー信号55が受信されることにより、クロック異常検出回路50の健全性を確認することができる。同様に、第2のクロック49側も健全性をチェックすることができる。
このようなクロック異常検出回路50の健全性チェック機能を付加することにより、例えばクロック異常検出回路50の最終出力ピンが正常側に固着する等の故障を検出することができ、信頼性をさらに向上させることができる。
なお、この例では、2個のCPUを用いた二重系の回路構成を示したが、3個以上のCPUを用いた多重系の回路構成とすることも可能である。
このように、この例の電子安全コントローラ21は、エレベータの制御に関する演算を二重系で行う第1及び第2処理部、第1処理部に第1クロック信号を送る第1クロック、第2処理部に第2クロック信号を送る第2クロック、及び第1及び第2クロック信号が入力され、第1及び第2クロック信号の異常を検出するクロック異常検出回路を備え、クロック異常検出回路は、第1及び第2クロック信号のパルス数をカウントし、パルス数の差から第1及び第2クロック信号の異常を検出する。
また、クロック異常検出回路は、第1及び第2クロック信号のいずれか一方のパルス数をカウントする被監視カウンタと、第1及び第2クロック信号のいずれか他方のパルス数をカウントする監視カウンタとを有し、被監視カウンタでカウントを開始する際のカウント値であるプリセットデータ値は、監視カウンタでカウントを開始する際のカウント値であるプリセットデータ値よりも大きく設定されており、監視カウンタがキャリーオーバーすると、被監視カウンタのカウント数がリセットされ、被監視カウンタがキャリーオーバーすることにより第1及び第2クロック信号の異常が検出される。
さらに、監視カウンタは、第1クロック信号のパルス数をカウントする第1の監視カウンタと、第2クロック信号のパルス数をカウントする第2の監視カウンタとを含み、被監視カウンタは、第1クロック信号のパルス数をカウントする第1被監視カウンタと、第2クロック信号のパルス数をカウントする第2被監視カウンタとを含む。
さらにまた、監視カウンタのプリセットデータ値は、任意に設定可能である。また、テストモードのときに、被監視カウンタに入力されるクロック信号を故意に異常状態とすることにより、クロック異常検出回路の健全性を確認することが可能になっている。さらに、クロック異常検出回路は、テストモードのときに被監視カウンタに入力されるクロック信号を逓倍する逓倍回路を有する。
≪スタック領域の異常検出≫
次に、電子安全コントローラ21に用いられるRAM内のスタック領域の異常検出について説明する。図8は図1の電子安全コントローラ21のRAM内の領域区分を示す説明図である。RAMは、CPUによる演算に必要な情報を記憶するスタック領域を含んでいる。スタック領域には、例えばサブルーチンコールの戻りアドレス、タイマ割り込みの戻りアドレス、及びサブルーチンコールの引数等が格納される。
また、ROMには、RAMのスタック領域内の予め設定された監視領域の状態を監視するためのプログラムが格納されている。即ち、スタック領域監視部は、CPU及びROMを有している。
この例では、C000H〜FFFFHの領域がスタック領域に設定されている。また、スタック領域内のD000H〜D010Hの領域が監視領域に設定されている。
スタック領域の使用方法はマイコンによって決まるが、一般的にはマイコンが持つスタックポインタにより、アドレスの若い方へデータを積み上げていく使い方をする。図8の場合、スタックポインタの初期値をFFFFHとし、FFFFH→FFFEH→FFFDH→・・・→C001H→C000Hのように使用する。従って、監視領域D000H〜D010Hは、スタック領域の75%を使用したときに使用される領域である。
監視領域の位置は、スタック領域の50%以上を使用したときに使用される領域が好ましい。特に、スタック領域の60%以上を使用したときに使用される領域が好ましい。また、監視領域の位置は、スタック領域の90%以下を使用したときに使用される領域が好ましい。特に、スタック領域の80%以下を使用したときに使用される領域が好ましい。
スタック領域は予め0に設定されており、スタック領域監視部は、監視領域全体が0であるかどうかを監視する。そして、監視領域に0以外のデータが含まれていると、スタックオーバーが発生したと判断する。
図9は図1の電子安全コントローラ21の初期動作を示すフローチャートである。エレベータ起動時には、電子安全コントローラ21の初期設定が実施される。初期設定が開始された時点では、全ての割り込み演算が禁止される(ステップS1)。この後、マイコンの初期設定が行われ(ステップS2)、RAM領域が0にされる(ステップS3)。この後、割り込み演算が可能な状態となり(ステップS4)、割り込み待ち状態となる(ステップS5)。割り込み演算は、演算周期時間毎に繰り返し実行される。
図10は図1の電子安全コントローラ21の割り込み演算の流れの第1例を示すフローチャートである。割り込み演算が開始されると、まず監視領域の状態が確認される(ステップS31)。即ち、監視領域D000H〜D010Hの状態が0000Hであるかどうかが確認される。
ここで、監視領域が0000Hでない場合、RAMにスタックオーバーが発生しているか、又はスタックオーバーに陥る可能性が高いと判断される。即ち、監視領域の値が0以外であるということは、割り込み演算の処理時間に余裕がなく、割り込み演算が演算周期時間内に終わらずにスタックオーバーが発生していると判断される。このように、スタックオーバーが検出されると、かご3を急停止させるための演算が実行され(ステップS32)、非常停止指令が安全回路部13に出力される。また、スタックオーバーが検出された場合、エレベータ監視室に異常検出信号が送信される。
監視領域に異常がなければ、演算に必要な信号を入力する入力演算が行われ(ステップS33)、かご3の現在位置と現在位置から終端階までの距離とを求めるかご位置演算(ステップS34)、かご3の移動量からかご3の速度を求めるかご速度演算(ステップS35)、及び終端階までの距離に応じた異常速度の判断基準値(例えば図2)を求める判断基準演算(ステップS36)が実行される。
この後、かご速度と判断基準値とからかご速度の異常を検出するための安全監視演算が実行される(ステップS37)。安全監視演算又は急停止演算が実行されると、エレベータの状態をモニタ表示するためのモニタ演算が実行される(ステップS38)。最後に、かご3の走行を許可、又はかご3を急停止させるために必要な指令信号を出力するための出力演算が実行される(ステップS39)。
このような電子安全コントローラ21では、スタック領域監視部により監視領域の状態が監視されており、監視領域に異常があると判断されたときに、かご3が急停止されるので、RAMのスタックオーバーによりプログラム暴走が生じるのが防止される。これにより、機器の破損が未然に防止される。即ち、コンピュータによる運転制御に関する演算をより確実に実行することができ、信頼性を向上させることができる。
ここで、スタックオーバー(スタックの積み上げ)による異常は、原因究明が難しく、故障復旧に時間がかかってしまう。スタックオーバーは、マイコンやプログラムの異常により発生することもあるが、これらに異常がなければ、スタックオーバーの一番の要因は、割り込み演算が演算周期時間内に終わらないこと(演算時間オーバー)であると考えられる。
演算時間オーバーは、通常は発生しないが、例えば呼び釦が多く操作され呼びスキャン演算に長時間を要する場合など、一時的に演算時間が増えることにより発生する。また、ソフトウエアの改造や改善等を繰り返すうちに演算時間が徐々に増え、演算時間オーバーが発生することも考えられる。
演算時間オーバーが発生すると、スタックオーバーが発生して、スタック領域が不正に使用され、タイマ割り込みからの戻りアドレスが壊れる恐れがある。戻りアドレスが壊れると、プログラム暴走が生じたり、RAMデータが破壊されてエレベータの制御が不能になったりする恐れがある。
これに対して、この例の電子安全コントローラ21によれば、スタックオーバーをより早期に検出することができ、プログラム暴走や制御不能の発生を未然に防止することができ、信頼性が向上する。
また、スタック領域監視部は、予め設定された演算周期毎に監視領域の状態を確認するので、スタックオーバーの有無を常時監視することができ、信頼性をさらに向上させることができる。
さらに、監視領域に異常があると判断されたときには、かご3を急停止させるので、より大きな故障にながるのを防止することができる。
なお、上記の例では、監視領域の異常が検出されるとかご3を急停止させたが、最寄り階停止指令を運転制御部12に出力してかご3を最寄り階に停止させてもよく、かご3内の乗客をスムーズに乗場に降ろすことができる。
また、監視領域の異常が検出されたとき、エレベータを安全な状態に移行させるための信号を出力するとともに、そのときの電子安全コントローラ21の状態を履歴として記録(履歴演算)してもよい。履歴は、例えばRAMのスタック領域以外の領域に記録される。これにより、スタックオーバーの発生を未然に防止したり、スタックオーバーの原因究明に役立てたりすることができる。また、故障復旧時間の短縮を図ることができる。
このように、この例における電子安全コントローラ21は、エレベータの安全を監視するための演算に必要な情報を記憶するスタック領域が設定されているRAM、及びスタック領域内の予め設定された監視領域の状態を監視するスタック領域監視部を備え、スタック領域監視部により検出された監視領域の状態に応じてエレベータの運転を制御する。
また、スタック領域監視部は、所定の演算周期毎に監視領域の状態を確認する。さらに、監視領域の状態の確認は、エレベータの安全を監視するための割り込み演算処理の一部として実行される。
≪演算処理実行順序の異常検出≫
次に、電子安全コントローラ21における演算処理の実行順序の異常検出方法について説明する。図11は図1の電子安全コントローラ21による割り込み演算の流れの第2例を示すフローチャートである。
割り込み演算が開始されると、まずRAMに書き込まれた処理情報のパターンが確認される(ステップS41)。ここでは、処理情報として、演算処理のタスク(機能単位)毎に予め設定された数値(識別値)が用いられる。処理情報は、RAM内の予め決められた領域に設定されたテーブルに書き込まれる。この例では、7つの演算処理に対して1〜7の識別値が割り振られており、対応するTBL[0]〜[6]に識別値が書き込まれている。TBL[7]〜[9]は、対応する演算処理が存在しないため、0のままである。
処理情報のパターンが正常であれば、TBL[0]〜[9]及びテーブルの格納ポインタが0に初期化される(ステップS42)。この後、演算に必要な信号を入力する入力演算(ステップS43)、かごの現在位置と現在位置から終端階までの距離とを求めるかご位置演算(ステップS44)、かごの移動量からかごの速度を求めるかご速度演算(ステップS45)、及び終端階までの距離に応じた異常速度の判断基準値(例えば図2)を求める判断基準演算(ステップS46)が実行される。
この後、かご速度と判断基準値とからかご速度の異常を検出するための安全監視演算が実行される(ステップS47)。安全監視演算又は急停止演算が実行されると、エレベータの状態をモニタ表示するためのモニタ演算が実行される(ステップS48)。最後に、安全監視演算の結果に応じて、かごの走行を許可、又はかごを急停止させるために必要な指令信号を出力するための出力演算が実行される(ステップS49)。
また、それぞれの演算が実行された直後には、対応するテーブルへの識別値の書き込みが実行される(ステップS50〜56)。即ち、演算処理と識別値の書き込みとは交互に実行される。
具体的には、最初の演算である入力演算が実行された直後には、TBL[P]に1が書き込まれ、格納ポインタPに1がプラスされる(ステップS15)。次に、かご位置演算が実行された直後には、TBL[P]に2が書き込まれ、格納ポインタPに1がプラスされる(ステップS16)。このような処理が順次実行され、最後の演算である出力演算が実行された直後には、TBL[6]に7が書き込まれる。
このように書き込まれた識別値のパターンは、次の割り込み演算の開始時に確認される(ステップS41)。即ち、識別値のパターンを確認することにより、演算処理の実行順序が正常であるかどうかが判断される。
演算処理の実行順序に異常が検出されると、かごを急停止させるための急停止演算が実行される(ステップS57)。また、演算処理の実行順序に異常が検出された場合、エレベータ監視室に異常検出信号が送信される。急停止演算が実行されると、モニタ演算が実行され(ステップS58)、かごを急停止させるために必要な指令信号を出力するための出力演算が実行され(ステップS59)、割り込み演算処理が終了する。
このような電子安全コントローラ21では、演算処理の実行順序の異常を速やかに検出することができ、これによりコンピュータによる運転制御に関する演算をより確実に実行することができ、信頼性を向上させることができる。また、プログラム異常で自己ループしているような異常も検出することができる。即ち、この発明は、運転制御装置にも安全装置にも適用できる。
ここで、演算処理の実行順序の異常は、原因究明が難しく、故障復旧に時間がかかってしまう。演算処理の実行順序の異常は、マイコンやプログラムの異常により発生することもあるが、これらに異常がなければ、一番の要因は割り込み演算が演算周期時間内に終わらないこと(演算時間オーバー)であると考えられる。
演算時間オーバーは、通常は発生しないが、例えば呼び釦が多く操作され呼びスキャン演算に長時間を要する場合など、一時的に演算時間が増えることにより発生する。また、ソフトウエアの改造や改善等を繰り返すうちに演算時間が徐々に増え、演算時間オーバーが発生することも考えられる。
これに対して、この電子安全コントローラ21によれば、演算処理の実行順序の異常をより早期に検出することができ、二次的な故障の発生を未然に防止することができ、信頼性が向上する。
また、電子安全コントローラ21は、予め設定された演算周期毎に処理情報のパターンを確認するので、異常の有無を常時監視することができ、信頼性をさらに向上させることができる。
さらに、演算処理の実行順序に異常があると判断されたときには、かごを急停止させるので、より大きな故障にながるのを防止することができる。
なお、上記の例では、演算処理の実行順序に異常があると判断されたときにかご3を急停止させたが、最寄り階停止指令を運転制御部12に出力してかご3を最寄り階に停止させてもよく、かご3内の乗客をスムーズに乗場に降ろすことができる。
また、演算処理の実行順序に異常が検出されたとき、エレベータを安全な状態に移行させるための信号を出力するとともに、そのときの電子安全コントローラ21の状態を履歴として記録(履歴演算)してもよい。
さらに、上記の例では、全ての演算処理に処理情報を割り当てたが、必ずしも全てでなくてもよい。即ち、実行順序を監視したい演算処理のみに処理情報を付与してもよい。
このように、この例における電子安全コントローラ21は、RAM、及び安全監視に関するプログラムが格納されたプログラム記憶部と、プログラムに基づいて複数の演算処理を実行する処理部とを有するコントローラ本体を備え、コントローラ本体は、演算処理を実行したときにそれぞれの演算処理に対応した処理情報をRAMに書き込むとともに、RAMに書き込まれた処理情報のパターンから演算処理の実行順序が正常であるかどうかを監視する。
また、処理情報は、演算処理毎に予め設定された数値である。さらに、制御装置本体は、所定の演算周期毎に処理情報のパターンを確認する。さらにまた、処理情報の書き込み、及び処理情報のパターンの確認は、エレベータの安全を監視するための割り込み演算処理の一部として実行される。
≪電源電圧の異常検出≫
次に、電子安全コントローラ21における電源電圧の異常検出方法について説明する。図12は図1の電子安全コントローラ21の要部を示すブロック図である。この例では、信頼性を向上させるため2系統の指令信号がエレベータ制御盤11に出力される。このため、二重系の回路構成が採用されており、第1及び第2のCPU(処理部)41,42が用いられている。
第1のCPU41は、第1の出力インタフェース43を介してエレベータ制御盤11に指令信号を出力する。第2のCPU42は、第2の出力インタフェース44を介してエレベータ制御盤11に指令信号を出力する。エレベータ制御盤11は、第1及び第2の出力インタフェース43,44から指令信号を受けると、エレベータを安全状態へと移行させる。
第1及び第2のCPU41,42には、両者間のデータ授受を行うための2ポートRAM45が接続されている。第1のCPU41には、第1センサからの信号が入力される。第2のCPU42には、第2センサからの信号が入力される。
第1及び第2のセンサからの信号は、CPU41,42で演算処理され、これによりかご3の速度及び位置が求められる。第1及び第2のセンサとしては、例えば調速機エンコーダ18が挙げられる。
CPU41,42での演算処理の結果データは、2ポートRAM45を介してCPU41,42により互いに授受される。そして、CPU41,42では、互いの結果データとの比較が行われ、演算結果に有意差が見られたり、過速度(速度超過)が確認されたりした場合には、出力インタフェース43,44を介してエレベータ制御盤11に指令信号が出力され、エレベータが安全状態へと移行される。
また、このエレベータ制御装置には、CPU41,42の電源電圧を監視する+5V電源電圧監視回路71及び+3.3V電源電圧監視回路72が設けられている。電源電圧監視回路71,72は、例えばIC(集積回路)により構成されている。
電源電圧監視回路71,72は、安定した電源電圧がCPU41,42に供給されているかどうかを監視する。CPU41,42の定格電圧を外れるような電源電圧異常が発生した場合、電源電圧監視回路71,72からの情報に基づいてCPU41,42に強制リセットがかけられ、フェールセーフ勝手に設計された安全回路部13によりかご3が急停止される。
+5V電源電圧監視回路71には、第1の監視用電圧入力回路73から監視用電圧が入力される。+3.3V電源電圧監視回路72には、第2の監視用電圧入力回路74から監視用電圧が入力される。
電源電圧監視回路71,72及びCPU41,42には、電源電圧監視回路71,72の健全性を監視する電圧監視健全性チェック機能回路75(以下、チェック機能回路75と略称する)が接続されている。チェック機能回路75は、例えばFPGA(field programmable gate array)等のプログラマブルなゲートICで構成されている。また、チェック機能回路75は、ASIC、CPLD、PLD又はゲートアレイ等でも実現可能である。
電源電圧の異常が検出されると、電源電圧監視回路71,72からチェック機能回路75に電圧異常検出信号81,82が出力され、チェック機能回路75からCPU41,42にリセット信号83,84が出力される。
また、チェック機能回路75には、CPU41,42からの制御信号85,86が入力される。チェック機能回路75からは、電源電圧監視回路71,72の電圧入力ピンを低電圧に強制的に変更させるための監視用入力電圧強制変更信号87,88が出力される。
監視用入力電圧強制変更信号87,88が出力されると、監視用入力電圧強制変更回路76,77により、電源電圧監視回路71,72の電圧入力ピンが低電圧に強制的に落とされる。
また、チェック機能回路75は、第1のCPU41用の第1データバス78と、第2のCPU42用の第2データバス79とに接続されている。
なお、かご3の位置及び速度を求めるためのプログラム、エレベータの異常を判定するためのプログラム、及び電源電圧監視回路71,72の健全性を確認するためのプログラム等は、CPU41,42に接続された記憶部であるROMに格納されている。
図13は図12のチェック機能回路75の具体的な構成の一例を示す回路図である。制御信号85,86には、選択信号89,90、出力許信号91,92、及びチップセレクト信号93,94が含まれている。
選択信号89,90は、どちらの電源電圧監視回路71,72の健全性をチェックするかを選択するための2ビットの信号である。出力許可信号91,92は、チェック機能回路75からの監視用入力電圧強制変更信号87,88の出力を許可するとともに、選択信号89,90で選択された内容をラッチするための信号である。即ち、出力許可信号91,92は、ラッチトリガ信号を兼ねている。
電源電圧の異常が検出されると、チェック機能回路75内の電圧異常信号ラッチ回路101により電圧異常検出信号81,82がラッチされる。電圧異常信号ラッチ回路101でのラッチ状態は、制御信号85,86の一部であるラッチ解除信号95,96が入力されることにより解除される。
選択信号89,90は、第1及び第2のセレクタ102,103に入力される。第1及び第2のセレクタ102,103は、選択信号89,90に基づいて、どちらの電源電圧監視回路71,72の健全性をチェックするかを切り換える。セレクタ102,103で選択された内容は、第1及び第2の選択内容ラッチ回路104,105によりラッチされる。
監視用入力電圧強制変更信号87,88の出力の前段には、変更信号出力バッファ106が入れられている。
また、チェック機能回路75には、第1のCPU41の複数のデータバス出力バッファ107と、第2のCPU42の複数のデータバス出力バッファ108とが設けられている。
ここで、図14は図12のチェック機能回路75を第1及び第2のCPU41,42がリードしたときのデータバス78,79の各ビットに関するデータの意味を示す説明図である。
次に、図15は図12の第1のCPU41側の電源電圧監視健全性チェック方法を示すフローチャートである。電子安全コントローラ21は、かご3の過速度等のエレベータの異常監視のための演算処理を含む割り込み演算を演算周期(例えば5msec)毎に実行する。そして、割り込み演算のメインルーチンを実行した際、電源電圧監視回路71,72の健全性チェックを実施するかどうかを判断する(ステップS11)。
健全性チェックは、予め設定されたタイミングで実施される。即ち、健全性チェックは、かご3の停止状態が予め設定された時間経過したときに実施される。具体的には、利用客の少ない閑散時や夜間運転休止時等に実施される。
健全性チェックを実施しなければ、メインルーチンに戻る。健全性チェックを実施する場合、まずチェック機能回路75内のエラー信号である電圧異常検出信号81,82のラッチ状態を解除する。即ち、チェック機能回路75へラッチ解除信号95を出力する(ステップS12)。ラッチ解除信号95は、電圧異常信号ラッチ回路101に入力され、電圧異常検出信号81,82のラッチ状態が解除される。
次に、第1のCPU41の出力許可信号91がHighになっていることを確認の上(ステップS13)、第2のCPU42に対しても出力許可信号92をHighにするように2ポートRAM45を介して要求する(ステップS14)。
この後、どちらの電源電圧監視回路71,72の健全性チェックを行うかを選択するセレクト信号89をチェック機能回路75へ出力しラッチする(ステップS15)。
続いて、第2のCPU42に対して出力許可信号92をLowにするように2ポートRAM45を介して要求する(ステップS6)。出力許可信号92がLowになったことが確認されたら、出力許可信号91をLowにする(ステップS7)。これにより、チェック機能回路75内では、出力許可信号91の立ち下がりに同期して、セレクト信号89が選択内容ラッチ回路104によりラッチされる。そして、チェック機能回路75から電源電圧監視回路71へ監視用入力電圧強制変更信号87が出力される。
この結果、電源電圧監視回路71では電圧異常が検出され、電圧異常検出信号81がチェック機能回路75に入力されることになる。そして、チェック機能回路75内では、電圧異常信号ラッチ回路101により電圧異常検出信号81がラッチされる。これとともに、CPU41,42には、チェック機能回路75からのリセット信号83,84が入力され(ステップS8)、これによりCPU41,42がリセットする。
このとき、1回の健全性チェック動作でチェックする電源電圧監視回路は必ず1つだけである。引き続き他の電源電圧監視回路の健全性チェックを実施する場合には、1つの電源電圧監視回路のチェックが終了してから、他の電源電圧監視回路の健全性チェックを実施する。1つのCPUに複数の電圧の異なる複数の電源が供給され、それに伴い複数の電源電圧監視回路が設けられている場合も、各電源電圧監視回路の健全性チェックをシーケンシャルに1つずつ実施する。このように、複数の電源電圧監視回路の健全性チェックをシーケンシャルに実施することは、プログラム(ソフトウエア)上に予め設定しておくことができる。
図16は図12のエレベータ制御装置においてCPU41,42がリセットされた場合の動作を示すフローチャートである。CPU41,42のリセットの原因は、勿論、健全性チェックによるものだけではなく、真の電源電圧の異常やその他の理由による可能性もある。
リセットがかけられると、CPU41,42は、まずソフトウエアのイニシャライズ処理を開始する(ステップS19)。次に、イニシャライズ処理の中で、チェック機能回路75のデータをリードする(ステップS20)。そして、ラッチされている内容からリセットされる前の状況を確認し、電源電圧の異常や電源電圧監視回路71,72の故障があるかどうかを判断する(ステップS21)。即ち、そのリセットが健全性チェックのために起きたものなのか、真の電源電圧異常により起きたものなのかを判断する。
例えば、出力許可信号91,92の出力をLowにしていないのに、電圧異常が示されていれば、真の電源電圧異常が発生したと判断される。また、出力許可信号91,92の出力をLowにしたにも拘わらず、チェック機能回路75のデータでは電圧異常が示されていない場合、電源電圧監視回路71,72又はチェック機能回路75自体の故障であると判断される。この状態で、監視用入力電圧強制変更信号87,88が出力されていれば、電源電圧監視回路71,72の故障であると判断され、監視用入力電圧強制変更信号87,88が出力されていなければ、チェック機能回路75自体の故障であると判断される。
チェック機能回路75のデータリードの結果、異常や故障が検出されなければ、メインルーチンへの移行を許可する(ステップS22)。但し、ここでは電源電圧に関するリセットについてのみ述べているが、他の故障検出や他の回路の健全性チェックによりリセットをかけるようにしてもよく、その場合には、全ての異常・故障がないことを確認した上でメインルーチンへの移行が許可されることになる。
また、チェック機能回路75のデータリードの結果、何等かの異常や故障が見つかれば、エレベータ制御盤11に指令信号を出力し(ステップS23)、エレベータを安全状態へと移行させる。
このような電子安全コントローラ21では、電源電圧の異常だけなく、電源電圧監視回路71,72の故障についても健全性を監視することができるので、電源電圧の監視について信頼性をより一層向上させることができる。
また、従来はフェールセーフや安全性の確保のために、各電源電圧監視回路にも二重系を用いることがあったが、上記の電子安全コントローラ21ではその必要がないため、構成が簡単であり、コストの増加も抑えることができる。しかも、信頼性は、各電源電圧監視回路を二重系とした場合と同等である。
さらに、2つのCPU41,42を用いた二重系の回路構成とし、2ポートRAM45を介して、それぞれのCPU41,42による健全性チェック動作を互いに確認し合えるようにしたので、チェック機能回路75やソフトウエアの故障も検出することができる。
このように、この例における電子安全コントローラ21は、エレベータの安全監視に関する処理を行う処理部と、処理部に供給される電源電圧を監視する電源電圧監視回路とを備え、電源電圧監視回路に入力される電源電圧を強制的に変更するための監視用入力電圧強制変更信号を処理部からの制御信号に応じて出力するとともに、電源電圧監視回路からの電圧異常検出信号が入力される電圧監視健全性チェック機能回路をさらに備え、電圧監視健全性チェック機能回路は、処理部及び電源電圧監視回路との信号の送受信内容の少なくとも一部を保持し、処理部は、電圧監視健全性チェック機能回路に保持されたデータをリードすることにより電源電圧監視回路の健全性チェックを行う。
また、処理部は、第1及び第2のCPUを含んでおり、第1及び第2のCPUは、2ポートRAMを介して、第1及び第2のCPUによる健全性チェック動作を互いに確認し合えるようになっている。
さらに、監視用入力電圧強制変更信号の入力により、電源電圧監視回路に入力される電源電圧を強制的に低下させる監視用入力電圧強制変更回路をさらに備えている。
さらにまた、電源電圧監視回路には、電圧の異なる複数の電源の電圧を監視するための複数の電源電圧監視回路が含まれており、処理部から電圧監視健全性チェック機能回路への制御信号には、複数の電源電圧監視回路のうちのどの回路の健全性チェックを行うかを選択するための選択信号が含まれている。
また、処理部は、各電源電圧監視回路の健全性チェックをシーケンシャルに1つずつ実施可能である。
さらに、電圧監視健全性チェック機能回路は、プログラマブルなゲートICにより構成されている。
≪ETS初期設定≫
次に、ETS回路部22の初期設定動作について説明する。上述したように、ETS回路部22では、運転制御部12とは独立して、かご3の位置を検出している。このため、例えばエレベータの起動時には、ETS回路部22の初期設定動作(初期設定運転ステップ)が行われる。また、何等かの原因により運転制御部12におけるかご3の位置情報とETS回路部22におけるかご3の位置情報との間にずれが生じてしまった場合にも、ETS回路部22の初期設定動作が行われる。このような初期設定動作を行う際には、運転制御部12の運転モードは、初期設定運転モードに切り換えられる。
図17は図1のETS回路部22の初期設定動作の段階と運転制御部12及び安全回路部13の動作との関係を示す説明図である。初期設定動作では、まず速度検出初期設定が行われ、次に位置検出初期設定が行われる。
初期設定動作開始時には、安全回路部13により駆動装置7が非常停止状態にされている。即ち、駆動装置7のモータ電源が遮断され、駆動装置7のブレーキ部9が制動状態にされている。また、ETS回路部22から運転制御部12に運転不可の指令が出力されている。
速度検出初期設定が終了するまでは、安全回路部13は非常停止状態であり、運転制御部12も運転不可のままである。従って、ETS回路部22による監視は不能である。
速度検出初期設定が終了すると、電子安全コントローラ21から運転制御部12に低速運転可能の許可信号が出力される。また、安全回路部13の非常停止状態が解除される。この状態で、ETS回路部22は、位置検出初期設定動作を行う。
位置検出初期設定動作では、かご3は、緩衝器27,28の衝突許容速度以下の速度で、昇降路1の下部から上部まで走行される。そして、ETS回路部22では、調速機エンコーダ18からの信号と昇降路1内でのかご3の位置との関係が設定される。
初期設定動作が終了すると、電子安全コントローラ21から運転制御部12に高速(定格速運転)運転可能の許可信号が出力される。また、ETS回路部22では、高速監視が可能となる。
次に、図18は図1のエレベータ装置の初期設定運転モードにおけるかご3の動きを説明する説明図である。初期設定運転モードでは、速度検出初期設定が終了した後、かご3が昇降路1の下部の階床書込開始位置まで移動される。階床書込開始位置は、かご3が最下階位置PBOTよりも下方でかご緩衝器27よりも上方に位置する位置である。また、かご3が階床書込開始位置に位置するとき、かご3(具体的には、かご3に設けられた基準センサ23〜26の操作プレート)は第4の基準センサ26よりも下方に位置している。
昇降路1内には、運転制御部12により最下階や最上階の位置を検出するための複数の終点スイッチ(図示せず)が設けられている。そして、階床書込開始位置へのかご3の移動は、運転制御部12によって制御される。
この後、階床書込開始位置からかご3を上昇させながら、調速機エンコーダ18からの信号に対応したかご3の仮現在位置Pcurrent tmpが求められる。具体的には、階床書込開始位置を0とする。
Pcurrent tmp←0
そして、以降は、演算周期(例えば100msec)毎に仮現在位置が更新される。
ここで、ETS回路部22には、調速機エンコーダ18のエンコーダパルスをカウントするアップダウンカウンタが設けられており、アップダウンカウンタの演算周期内移動量をGC1とすると、N回目の演算周期における仮現在位置Pcurrent tmpは、
Pcurrent tmp N←Pcurrent tmp N-1+GC1
で求められる。具体的には、仮現在位置や演算周期内移動量は、エンコーダパルスのパルス数として求められる。
このように、かご3の上昇に伴い仮現在位置が更新されていくが、操作プレートが基準センサ23〜26に進入した位置と、操作プレートが基準センサ23〜26から脱出した位置とは、ETS回路部22に設けられた記憶部(メモリ)のテーブルに書き込まれる。
例えば、N回目の演算周期で第4の基準センサ26への進入が検出されたとすると、進入位置Ptmp ETSDは、
Ptmp ETSD←Pcurrent tmp N-1+GC1−GC2
で求められる。但し、GC2は、第4の基準センサ26への進入後のアップダウンカウンタの移動量である。
他の基準センサ23,24,25への進入位置も同様にテーブルに書き込まれる。
また、N回目の演算周期で基準センサ26からの脱出が検出されたとすると、脱出位置Ptmp ETSUは、
Ptmp ETSU←Pcurrent tmp N-1+GC1−GC3
で求められる。但し、GC3は、第4の基準センサ26から脱出した後のアップダウンカウンタの移動量である。
他の基準センサ23,24,25からの脱出位置も同様にテーブルに書き込まれる。
このように、全ての進入位置及び脱出位置の書き込みが終わったら、かご3は最上階位置PTOPに停止される。
ここで、運転制御部12には、仮想0点を基準とした最下階位置PBOT及び最上階位置PTOPのデータが設定されている。そして、かご3が最上階位置PTOPに停止されたら、仮想0点を基準とした最下階位置PBOT及び最上階位置PTOPのデータが運転制御部12から電子安全コントローラ21に伝送される。電子安全コントローラ21では、仮現在位置として求められテーブルに書き込まれている位置データが、運転制御部12から伝送された情報に基づいて、仮想0点を基準としたデータに変換される。これにより、仮想0点を基準とした現在位置Pcurrentの検出が可能となる。
現在位置への修正量δは、
δ=PTOP−Pcurrent tmp N
で求められる。従って、テーブルに書き込まれた位置データに修正量δを加えれば、仮想0点基準の位置データが求められる。修正後の位置データは、電子安全コントローラ21のE2PROMに書き込まれ、以降はこのデータが使用される。
また、最上階停止中には、以下の処理が行われ、位置管理が仮現在位置から現在位置に変更される。
Pcurrent 0←PTOP
Pcurrent N←Pcurrent N-1+GC1
この修正が完了し、位置管理が現在位置管理に移行されたら、電子安全コントローラ21から運転制御部12に高速運転可の指令が出力され、高速自動運転、即ち通常運転モードの実施が許可される。また、ETS回路部22では、通常監視動作が実施される。通常監視動作では、かご緩衝器27の上面からのかご3の距離L1と釣合おもり緩衝器28の上面からの釣合おもり4の距離L2とが、次の式により演算周期毎に求められる。
L1=Pcurrent N−(PBOT−LKRB)
L2=(PTOP−LCRB)−Pcurrent N
但し、LKRBは、かご緩衝器27の上面から最下階位置PBOTまでの距離、LCRBは、最上階位置PTOPから、釣合おもり4が釣合おもり緩衝器28に衝突するときのかご3の位置(図18のCWT衝突位置)までの距離である。
このようなエレベータ装置では、初期設定動作が完了するまでは、かご緩衝器27の衝突許容速度以下でかご3を走行させるので、衝突許容速度を超えた速度でかご3がかご緩衝器27に衝突するのをより確実に防止することができ、信頼性を向上させることができる。
なお、上記の例では、速度検出初期設定及び位置検出初期設定の2段階で初期設定動作を行う場合を示したが、3段階以上で初期設定動作を行い、段階毎に許容されるかごの走行速度を設定してもよい。
また、初期設定動作は、速度検出初期設定及び位置検出初期設定に限定されるものではない。
このように、この例におけるエレベータ装置は、かごの運転を制御する運転制御部と、かごの走行の異常を検出する監視部(電子安全コントローラ21)とを有するエレベータ制御装置を備え、監視部の初期設定を行う際、運転制御部は、初期設定の段階に応じて通常運転時よりも低速でかごを走行させるようになっている。
また、監視部は、初期設定の段階に応じて、かごの速度に関する許可信号を運転制御部に出力する。
さらに、運転制御部は、通常運転モードと、かごを走行させながら監視部の初期設定を行うための初期設定運転モードとを含む複数の運転モードを選択的に切り換えてかごの運転を制御するようになっており、運転制御部は、初期設定運転モードでは、初期設定の段階に応じて通常運転モードよりも低速でかごを走行させる。
また、この例におけるエレベータ装置の制御方法は、かごの走行の異常を検出する監視部の初期設定を、かごを走行させながら行う初期設定運転ステップを含み、初期設定運転ステップでは、初期設定の段階に応じて通常運転よりも低速でかごを走行させる。
≪リレー接点の異常検出≫
次に、図19は図1の電子安全コントローラ21の接点異常検出部を示す回路図である。安全回路部13は、ブレーキ部9に電力を供給するためのブレーキ電源コンタクタコイル111と、駆動装置7のモータ部に電力を供給するためのモータ電源コンタクタコイル112と、コンタクタコイル111,112への電圧の印加を入切するための安全リレー主接点113と、安全リレー主接点113に対して並列に接続されたバイパスリレー主接点114とを有している。
ブレーキ電源コンタクタコイル111、モータ電源コンタクタコイル112及び安全リレー主接点113は、電源に対して互いに直列に接続されている。安全リレー主接点113は、通常運転時には閉じられている。また、例えばかご3の走行速度が予め設定された速度を超えた場合など、エレベータの異常時には、安全リレー主接点113が開かれる。バイパスリレー主接点114は、通常運転時には開かれている。
電子安全コントローラ21は、コントローラ本体115と、安全リレー主接点113を動作させる安全リレーコイル116と、バイパスリレー主接点114を動作させるバイパスリレーコイル117と、安全リレー主接点113に機械的に連動して開閉される安全リレーモニタ接点118と、バイパスリレー主接点114に機械的に連動して開閉されるバイパスリレーモニタ接点119とを有している。
安全リレーコイル116、バイパスリレーコイル117、安全リレーモニタ接点118及びバイパスリレーモニタ接点119は、コントローラ本体115に対して互いに並列に接続されている。
安全リレー主接点113と安全リレーモニタ接点118とは、リンク機構(図示せず)により機械的に連結されている。従って、接点113,118のいずれか一方が溶着等により動作不能となった場合には、他方も動作不能となる。
バイパスリレー主接点114とバイパスリレーモニタ接点119とは、リンク機構(図示せず)により機械的に連結されている。従って、接点114,119のいずれか一方が溶着等により動作不能となった場合には、他方も動作不能となる。
コントローラ本体115は、処理部120、記憶部121、入出力部122、安全リレーモニタ接点レシーバ回路123、バイパスリレーモニタ接点レシーバ回路124、安全リレードライバ回路125、及びバイパスリレードライバ回路126を有している。
処理部120としては、例えばCPUが用いられている。記憶部121としては、例えばRAM、ROM及びハードディスク装置等が用いられている。記憶部121には、例えばエレベータの異常を判断するためのデータや、安全リレー主接点113の動作試験を行うためのプログラム等が格納されている。
処理部120は、入出力部122を介して、運転制御部12及び各種センサと信号の送受信を行う。
安全リレーモニタ接点レシーバ回路123は、安全リレーモニタ接点118に直列に接続され、安全リレーモニタ接点118の開閉状態を検出する。バイパスリレーモニタ接点レシーバ回路124は、バイパスリレーモニタ接点119に直列に接続され、バイパスリレーモニタ接点119の開閉状態を検出する。
安全リレードライバ回路125は、安全リレーコイル116に直列に接続され、安全リレーコイル116の励磁・非励磁を切り換える。バイパスリレードライバ回路126は、バイパスリレーコイル117に直列に接続され、バイパスリレーコイル117の励磁・非励磁を切り換える。
安全リレーコイル116の励磁・非励磁の切換は、処理部120から安全リレードライバ回路125に安全リレー指令信号を出力することにより行われる。また、バイパスリレーコイル117の励磁・非励磁の切換は、処理部120からバイパスリレードライバ回路126にバイパス指令信号を出力することにより行われる。
レシーバ回路123,124及びドライバ回路125,126は、処理部120に対して互いに並列に接続されている。
次に、動作について説明する。エレベータの運転中には、各種センサからの情報に基づいて、コントローラ本体115によりエレベータの異常の有無が監視されている。処理部120によりエレベータの異常が検出されると、安全リレードライバ回路125により安全リレーコイル116のドライブが止められる。
これにより、安全リレー主接点113が開かれ、コンタクタコイル111,112への通電が遮断される。この結果、ブレーキ部9により駆動シーブ8の回転が制動されるとともに、モータ部への通電が遮断され、かご3が急停止される。
次に、安全リレー主接点113の動作試験方法について説明する。図20は図19の安全リレー主接点113の動作試験方法を説明するためのフローチャートである。この実施の形態では、通常運転時にかご3が停止階に停止する度に動作試験が実施される。従って、通常運転時には、処理部120は、各種センサからの情報によりかご3の走行速度が0になったがどうかを監視している(停止検出ステップS61)。
かご3の速度が0になり安全状態になったら、バイパスリレードライバ回路126によりバイパスリレーコイル117が励磁され、この後、予め設定された時間、ここでは100ms待機する(ステップS62)。そして、バイパスリレーモニタ接点119が閉じられたかどうかがバイパスリレーモニタ接点レシーバ回路124により確認される(ステップS63)。
バイパスリレーモニタ接点119が閉じられていなければ、バイパスリレー主接点114も閉じられていないことを意味するため、処理部120によりバイパスリレー故障と判断され、コントローラ本体115から運転制御部12に異常検出信号が出力される(ステップS64)。
バイパスリレーモニタ接点119が正常に閉じられていることが確認されたら、安全リレードライバ回路125により安全リレーコイル116が励磁され、この後、予め設定された時間、ここでは100ms待機する(試験指令ステップS65)。そして、安全リレーモニタ接点118が開かれたどうかが安全リレーモニタ接点レシーバ回路123により確認される(異常検出ステップS66)。
安全リレーモニタ接点118が開かれていなければ、溶着等の原因により安全リレー主接点113も開かれていないことを意味するため、処理部120により安全リレー故障と判断され、コントローラ本体115から運転制御部12に異常検出信号が出力される(ステップS64)。
安全リレーモニタ接点118が正常に開かれたことが確認されたら、今度は安全リレーコイル116が非励磁状態にされ、この後、予め設定された時間、ここでは100ms待機する(ステップS67)。そして、安全リレーモニタ接点118が閉じられたかどうかが安全リレーモニタ接点レシーバ回路123により確認される(ステップS68)。
安全リレーモニタ接点118が閉じられていなければ、処理部120により安全リレー故障と判断され、コントローラ本体115から運転制御部12に異常検出信号が出力される(ステップS64)。
安全リレーモニタ接点118が正常に閉じられたことが確認されたら、バイパスリレーコイル117が非励磁状態にされ、この後、予め設定された時間、ここでは100ms待機する(ステップS69)。そして、バイパスリレーモニタ接点119が開かれたかどうかがバイパスリレーモニタ接点レシーバ回路124により確認される(ステップS70)。
バイパスリレーモニタ接点119が開かれていなければ、処理部120によりバイパスリレー故障と判断され、コントローラ本体115から運転制御部12に異常検出信号が出力される(ステップS64)。
このようにして、安全リレー主接点113及びバイパスリレー主接点114の開閉動作の試験が終了したら、かご3の走行速度が予め設定された設定値以上になるまで待機し(ステップS71)、次にかご3が停止するまでETS回路部22により走行速度が監視される。そして、かご3が停止する度に、上記の動作試験が実施され、安全回路部13の健全性が確認される。
このようなエレベータ安全装置では、通常運転時にかごが停止したタイミングを利用して、安全リレー主接点113の動作試験を行うようにしたので、通常運転に支障を来すことなく、安全リレー主接点113の異常を検出することができ、信頼性を向上させることができる。
また、動作試験は、かごが停止する度に行うようにしたので、十分な頻度で安全リレー主接点113の動作を確認することができ、信頼性をさらに向上させることができる。
さらに、安全リレー主接点113の動作試験を行う際には、バイパスリレー主接点114を閉じるようにしたので、動作試験中に安全回路部13への通電が遮断されるのを防止することができ、安全回路部13を維持したまま、動作試験を実施することができる。
さらにまた、安全リレー主接点113及びバイパスリレー主接点114が正常に元に戻されたかどうかも確認するようにしたので、信頼性をさらに向上させることができる。
なお、上記の例では、安全リレー主接点113が開いたときにブレーキ部9が制動動作する場合を示したが、逆に、安全リレー主接点が閉じたときにブレーキ部が制動動作することも可能であり、この場合も安全リレー主接点の動作試験を実施することができる。
また、上記の例では、駆動装置7に設けられたブレーキ部9を動作させるための安全リレー主接点について示したが、例えば主ロープを把持してかごを制動するロープブレーキや、かご又は釣合おもりに搭載された非常止め装置を動作させるための安全リレー主接点に対しても適用できる。
さらに、上記の例では、かご3が停止する度に動作試験を行うようにしたが、動作試験のタイミングはこれに限定されない。例えば、かごの停止回数をカウントするカウンタを検出回路本体に設け、予め設定された停止回数毎に動作試験を実施するようにしてもよい。また、検出回路本体にタイマを設け、予め設定された時間が経過してから最初にかごが停止したときに動作試験を実施するようにしてもよい。さらに、エレベータの通常運転を開始したとき(起動時)のみ、動作試験を実施するようにしてもよい。さらにまた、予め設定された階に停止したときのみ、動作試験を実施するようにしてもよい。
このように、この例における電子安全コントローラ21は、通常運転時にかごが停止したとき、ブレーキ部が制動動作する方向へ安全リレー主接点を動作させるための安全リレー指令信号を発生するとともに、安全リレー指令信号に応じて安全リレー主接点が動作したかどうかを検出する。
また、電子安全コントローラ21には、安全リレー主接点に機械的に連動して開閉される安全リレーモニタ接点が設けられており、電子安全コントローラ21は、安全リレーモニタ接点の状態から安全リレー主接点の状態を検出する。
さらに、安全リレー主接点は、通常運転時には閉じられており、かつエレベータの異常時には開かれるようになっており、安全リレー主接点に対して並列に接続され、通常運転時には開かれているバイパスリレー主接点が安全回路に設けられており、電子安全コントローラ21は、安全リレー指令信号を発生する場合、その前にバイパスリレー主接点を閉じるためのバイパス指令信号を発生する。
さらにまた、電子安全コントローラ21には、バイパスリレー主接点に機械的に連動して開閉されるバイパスリレーモニタ接点が設けられており、電子安全コントローラ21は、バイパスリレーモニタ接点の状態からバイパスリレー主接点の状態を検出する。
また、電子安全コントローラ21は、バイパス指令信号に応じてバイパスリレー主接点が動作したかどうかを検出する。
さらに、電子安全コントローラ21は、安全リレー主接点の異常を検出したとき、運転制御部に異常検出信号を出力する。
≪動作履歴の記録≫
図21は図1の電子安全コントローラ21に履歴情報記録部及び健全性診断部を接続した状態を示すブロック図である。電子安全コントローラ21には、電子安全コントローラ21における判定処理に関する情報の履歴(処理過程)が記録される履歴情報記録部131が接続されている。履歴情報記録部131としては、エレベータ制御装置の電源が切断されても情報を保持し続ける不揮発性のメモリが用いられる。このようなメモリとしては、例えばフラッシュメモリやハードディスク装置等が挙げられる。
また、電子安全コントローラ21及び履歴情報記録部131には、電子安全コントローラ21の健全性を自動的に診断する健全性診断部132が接続されている。健全性診断部132は、各種センサ及び安全回路部13等のシステム全体についての健全性も診断可能である。健全性診断部132による診断結果は、履歴情報記録部131に記録される。
図22は図21の履歴情報記録部131に格納された情報の一例を示す説明図である。履歴情報としては、時刻、かご位置、かご速度、かご位置に応じて求められた設定値(閾値)、判定結果、及び内部変数等の解析データが記録される。
履歴情報記録部131には、かご位置、かご速度、設定値、判定結果及び解析データ等のデータの組み合わせが、対応する時刻毎に分けて蓄積され、図22に示すようなデータのテーブルが作成される。
図23は図21の電子安全コントローラ21の動作を説明するためのフローチャートである。まず、現在時刻のデータが履歴情報記録部131に出力される(ステップS81)。次に、かご3の位置が検出される(ステップS82)。検出されたかご位置のデータは、履歴情報記録部131に出力される(ステップS83)。この後、かご3の速度が検出される(ステップS84)。検出されたかご速度のデータは、履歴情報記録部131に出力される(ステップS85)。
次に、かご位置に対応した設定値が算出される(ステップS86)。設定された設定値のデータは、履歴情報記録部131に出力される(ステップS87)。この後、検出速度vと設定値f(x)とが比較され(ステップS88)、検出速度vが設定値f(x)よりも小さければ、その判定結果は、「異常なし」(Good)として履歴情報記録部131に出力される(ステップS89)。かごの速度に異常がなければ、上記の動作が演算周期毎に繰り返される。
比較判定の結果、検出速度vが設定値f(x)以上であれば、安全回路部13に停止指令信号が出力される(ステップS90)。そして、その判定結果は、「異常あり」(Bad)として履歴情報記録部131に出力される(ステップS91)。
履歴情報記録部131では、電子安全コントローラ21から送られたデータが順次記録される。
このようなエレベータ装置によれば、電子安全コントローラ21からの指令によりかご3が急停止されたとき、履歴情報記録部131に記録された履歴を確認することにより、電子安全コントローラ21の健全性を確認することができる。例えば、判定結果が「異常なし」であったにも拘わらず、かご3が急停止された場合、エレベータ制御盤11側に故障があることが判断できる。
従って、かご3が急停止された場合の原因を効率的に判断することができる。これにより、復旧作業の効率化を図ることができる。
また、定期点検作業において、あらゆる条件の検査信号を実際に入力して設定値の演算結果や判定結果が正しいかどうかを確認するのに代えて、履歴情報を確認することにより一部の検査結果を得たとすることができ、点検作業の簡素化を図ることができる。履歴情報記録部131に記録された設定値の計算結果と比較判定結果とを確認するだけで、一部の定期点検を検査済みとすることができ、検査項目を軽減することができる。
さらに、電子安全コントローラ21で設定される設定値は、いたずらによるかご振動等を考慮して余裕を持たせて設定される。どの程度の余裕を持たせるかは、エレベータ毎に調整することも可能である。履歴情報記録部131に記録された判定結果のデータを解析することにより、実際の運行状況において、どの程度の余裕が必要であるかを確認することができ、余裕を最小限とすることができる。これにより、かご速度を高速化し、運行効率を向上させることが可能である。また、余裕の調整作業を容易にすることができる。即ち、通常時の履歴情報を解析することにより、調整作業の作業項目を軽減することができる。
次に、健全性診断部132による診断内容の具体例は、以下の通りである。
1.センサの故障診断
・時間に対する位置の挙動のチェック(連続性、変化量、ノイズ等の有無)
・時間に対する速度の挙動のチェック(連続性、変化量、ノイズ等の有無)
・センサの故障チェック
2.速度監視部の動作の診断
・動作タイミング(動作間隔)のチェック(時刻t1、t2から)
・かご位置に対する設定値の演算結果のチェック
・検出速度と設定値との比較判定結果のチェック
・CPU、ROM、RAM等の電子素子の故障診断
3.速度監視部の出力値の診断
・出力値の挙動のチェック(ノイズ等の有無)
・判定結果に対応する安全回路への出力のチェック
4.非常止め装置の自己診断機能の動作チェック
・自己診断の動作チェック(タイミング、診断項目)
・異常検出の履歴チェック
5.かご急停止動作の有無及び動作時の状態診断
・自己診断による非常止め装置の故障検知のチェック
(故障検出箇所、故障要因のチェック)
・誤出力のチェック(出力と論理演算との整合性チェック)
・動作直前の位置や速度の挙動チェック
(異常速度に至った挙動のチェック、いたずら等の有無のチェック)
また、上記のような診断結果の履歴情報を集計する処理を追加し、履歴情報記録部131に集計処理結果を記録することにより、履歴情報の確認作業を軽減することも可能である。記録する集計処理結果の具体例は、以下の通りである。
・動作タイミングの良否
・センサ入力の履歴による入力機能の健全性の良否
・論理演算の健全性の良否
・出力機能の良否
・自己診断動作と結果の良否
・装置異常の有無
このようなエレベータ装置では、システムの健全性の診断結果を履歴情報記録部131で確認することができるので、電子素子の故障が原因でかご3が急停止された場合、原因となった電子素子の特定を効率良く行うことができる。
また、履歴情報記録部131に記録された診断結果及びその集計処理結果を確認することで、定期点検の検査項目を削減することができる。定期点検時に確認する事項としては、次のものが挙げられる。
・記録されたかご位置やかご速度から、動作の健全性の確認済み領域(x、vに関する検査済み範囲)のチェック
・自己診断によって確認済みの点検項目のチェック
・検出速度と設定値との間の余裕をチェック
このように、例えばCPU、ROM及びRAM等の電子素子についての健全性の診断が行われている場合、履歴情報記録部131に記録された診断結果を確認することにより、定期点検時の電子素子の点検を省略することができる。
なお、履歴情報の記録や健全性診断結果の記録に加え、定期点検の実施確認事項を履歴情報記録部131に記録可能としてもよく、点検履歴を履歴情報記録部131に保持することができ、定期点検の実施内容を容易に確認することができる。記録する点検履歴としては、例えば点検実施時期及び点検項目等が挙げられる。
また、上記の例では、履歴情報記録部131及び健全性診断部132を電子安全コントローラ21の外部に設けたが、少なくともいずれか一方を電子安全コントローラ21内に設けてもよい。
さらに、上記の例では異常速度の監視について履歴情報を記録したが、例えば主ロープの損傷や切断の有無を監視するロープ切れ監視についての履歴情報を記録してもよい。また、巻上機のモータ温度、インバータの温度又は制御盤の温度等を監視する温度監視についての履歴情報を記録してもよい。
このように、この例におけるエレベータ装置は、センサからの情報に基づいてエレベータの異常の有無を判定し、異常が検出されたときにかごを停止させるための信号を出力する異常監視部(電子安全コントローラ21)、及び異常監視部における判定処理に関する情報の履歴が記録される履歴情報記録部を備えている。
≪データバスの異常検出≫
次に、図24は図1の電子安全コントローラ21の要部を示すブロック図である。電子安全コントローラ21は、メモリデータの異常をチェックするメモリデータ異常チェック回路141と、CPU142と、アドレスバスの異常をチェックする指定アドレス検出回路143とを有している。
メモリデータ異常チェック回路141は、同一アドレス空間に重ねて割り付けられた並列構成の主メモリ141a及び副メモリ141b(RAM)と、副メモリ141bの出力データの衝突を回避するためのデータバッファ141cと、主メモリ141a及び副メモリ141bの各データを比較してデータ異常をチェックするデータ比較回路141dとを有している。
また、ここでは図示を省略するが、メモリデータ異常チェック回路141は、従来システムと同様に、誤り訂正符号チェック回路も有している。
CPU142は、データ異常チェック時に指定アドレスを出力するための指定アドレス出力ソフトウエア142aと、データバス異常チェック時に実行されるデータバス異常チェックソフトウエア142bと、プログラム格納用のROM(図示せず)とを有している。
メモリデータ異常チェック回路141において、主メモリ141a及び副メモリ141bは、それぞれ、アドレスバスBA及びデータバスBDを介してCPU142に接続され、電子安全コントローラ21のデータがCPU142から書き込まれるとともに、CPU142に読み出されるようになっている。
データバスBDは、メモリデータ異常チェック回路141内で主メモリデータバスBD1及び副メモリデータバスBD2に分岐されており、主メモリ141a及び副メモリ141bは、それぞれ、主メモリデータバスBD1及び副メモリデータバスBD2を介して、データ比較回路141dに接続されている。副メモリデータバスBD2には、データバッファ141cが介在されている。
データ比較回路141dは、メモリデータの異常チェック時に、主メモリデータバスBD1及び副メモリデータバスBD2を介して入力される各メモリデータを比較し、メモリデータに異常有りと判定した場合にはデータ異常信号EDを出力する。
指定アドレス検出回路143は、アドレスバスBAを介してCPU142に接続されており、アドレスバスBAの異常チェック時に指定アドレスを検出し、アドレスバスBAに異常有りと判定した場合にはアドレスバス異常信号EBAを出力する。
CPU142内の指定アドレス出力ソフトウエア142aは、アドレスバスBAの異常チェック時に動作し、後述するように、指定アドレス検出回路143に対して周期的に指定アドレスを出力する。CPU142内のデータバス異常チェックソフトウエア142bは、データバスBDの異常チェック時に動作し、データバスBDに異常有りと判定した場合にはデータバス異常信号EBDを出力する。
図25は図24内のデータ異常チェック用のデータ比較回路141dを具体的に示しており、複数の排他的オアゲート151と、アンドゲート152と、メモリリード信号RDを用いたD型ラッチ回路153とにより構成した場合を示している。
図25において、データ比較回路141dは、並設された排他的オアゲート151と、排他的オアゲート151の各出力信号の論理積をとるアンドゲート152と、アンドゲート152の出力信号をD端子入力としてH(論理「1」)レベル信号をデータ異常信号EDとして出力するD型ラッチ回路153とを有している。
各排他的オアゲート151は、主メモリデータバスBD1からのデータを各一方の入力信号とし、副メモリデータバスBD2からのデータを各一方の入力信号とし、両者が一致する場合に、それぞれL(論理「0」)レベル信号を出力し、両者が不一致の場合に、それぞれH(論理「1」)レベル信号を出力する。
アンドゲート152は、各排他的オアゲート151からの出力信号の反転信号を取り込み、各入力信号が全てHレベル(即ち、排他的オアゲート151の各出力信号が全てLレベル)の場合に、H(論理「1」)レベル信号を出力する。
D型ラッチ回路153は、メモリリード信号RDに応答して動作するとともに、D端子入力(アンドゲート152の出力信号)に応答して出力信号(データ異常信号ED)のレベルを変更し、リセット信号RSTに応答して初期状態にリセットされる。
図26は図24内のアドレスバス異常チェック用の指定アドレス検出回路143を具体的に示している。
図26において、指定アドレス検出回路143は、Hレベル信号を一方の入力信号とする複数の排他的オアゲート161と、Lレベル信号を一方の入力信号とする複数の排他的オアゲート162と、排他的オアゲート161の各出力信号及びアドレスストローブ信号STRの論理積をとるナンドゲート163と、排他的オアゲート162の各出力信号及びアドレスストローブ信号STRの論理積をとるナンドゲート164と、ナンドゲート163の出力信号をセット端子の入力信号とするD型ラッチ回路165と、ナンドゲート164の出力信号をセット端子の入力信号とするD型ラッチ回路166と、D型ラッチ回路165,166の各出力信号の論理積をとるアンドゲート167と、指定アドレス検出回路143のリセット信号RST1に応答して動作するD型ラッチ回路168と、指定アドレス検出回路143のマスク信号MSKに応答して動作するD型ラッチ回路169と、アンドゲート167の出力信号とD型ラッチ回路169の出力信号との論理和をとるオアゲート170とを有している。
並設された排他的オアゲート161,162の各他方の入力端子には、それぞれ、アドレスバスBAを介した指定アドレスが入力されている。
各排他的オアゲート161は、アドレスバスBAから入力される指定アドレスがHレベル信号の場合には、それぞれLレベル信号を出力し、指定アドレスがLレベル信号の場合には、それぞれHレベル信号を出力する。
逆に、各排他的オアゲート162は、アドレスバスBAから入力される指定アドレスがHレベル信号の場合には、それぞれHレベル信号を出力し、指定アドレスがHレベル信号の場合には、それぞれLレベル信号を出力する。
各排他的オアゲート161の出力信号は、アドレスストローブ信号STRとともに、レベル反転されてナンドゲート163に入力される。同様に、各排他的オアゲート162の出力信号は、アドレスストローブ信号STRとともに、レベル反転されてナンドゲート164に入力される。
従って、アドレスバスBAが健全であれば、ナンドゲート163,164は、アドレスストローブ信号STRに同期して、アドレスバスBAを介して周期的に入力される指定アドレス(「FFFF」、「0000」)により、一定周期毎に、かつ相補的にHレベル信号を出力することになる。
D型ラッチ回路168は、D入力端子にLレベル信号が印加され、第1のリセット信号RST1により動作する。D型ラッチ回路168の出力信号は、D型ラッチ回路165,166の各リセット端子に印加されている。D型ラッチ回路169は、D入力端子にデータバスBDの0ビット信号(マスクON時に「0」、マスクOFF時に「1」となる)BTOが印加されるとともに、マスク信号MSKにより動作する。各D型ラッチ回路168,169は、第2のリセット信号RST2により、それぞれリセットされる。
オアゲート170は、アンドゲート167の出力信号又はD型ラッチ回路169の出力信号がHレベルを示す場合に、アドレスバス異常信号EBAを出力する。
上記のように構成された電子安全コントローラ21においては、メモリデータ異常チェック回路141によるデータ異常チェックのみならず、指定アドレス出力ソフトウエア142a及び指定アドレス検出回路143によるアドレスバスBAの異常チェックと、データバス異常チェックソフトウエア142bによるデータバスBDの異常チェックとが実行される。
次に、図24〜図28を参照しながら、上記の3通りの異常チェック動作について、さらに具体的に説明する。
図27は図24のCPU142内の指定アドレス出力ソフトウエア142aと指定アドレス検出回路143とによる処理動作を示すフローチャートであり、アドレスバスBAの異常チェック時に指定アドレス検出回路143に指定アドレスを出力するときの動作手順を示している。
図28は図24のCPU142内のデータバス異常チェックソフトウエア142bの処理動作を示すフローチャートである。
まず、図24及び図25を参照しながら、メモリデータ異常チェック回路141によるデータ異常チェック動作について説明する。
メモリデータ異常チェック回路141において、主メモリ141a及び副メモリ141bには、同一のアドレス空間が重ねて割り付けられており、CPU142が主メモリ141a及び副メモリ141bにデータを書き込んだ場合には、主メモリ141a及び副メモリ141bの同じアドレスに同じデータがそれぞれ書き込まれる。
一方、CPU142が主メモリ141a及び副メモリ141bからデータを読み出した場合には、主メモリ141aのデータは、主メモリデータバスBD1上に読み出され、データバスBDを介してCPU142に渡されるが、副メモリ141bのデータは、副メモリデータバスBD2上に読み出されるものの、データバッファ141cにブロックされるので、データバスBDに送出されない。
従って、主メモリ141a及び副メモリ141bからの2つのメモリ出力が衝突することはなく、主メモリ141aのデータのみがCPU142に渡され、正常に書き込みと読み出しとが実行される。
この動作と同時に、主メモリデータバスBD1上に読み出された主メモリデータ、及び、副メモリデータバスBD2上に読み出された副メモリデータは、データ比較回路141dに入力されて両者のデータ比較が行われる。
データ比較回路141dは、データ異常をチェックし、異常(データの不一致)が検出されれば、データ異常信号EDを出力する。
次に、図24、図26及び図27を参照しながら、CPU142内の指定アドレス出力ソフトウエア142aと指定アドレス検出回路143とによるアドレスバスBAの異常チェック動作について説明する。
CPU142は、アドレスバスBAのうち、メモリシステムに使用される全ビット信号の各々について、「0」、「1」の両方の場合が確認できるチェック用の指定アドレス(例えば、8ビットの場合、「FF」と「00」)を用い、指定アドレス出力ソフトウエア142aを実行することにより、図27の処理(ステップS101〜S104)を周期的に繰り返し実行する。また、これと同時に、アドレスバスBA上に設置された指定アドレス検出回路143に指定アドレスを検出させる。指定アドレス検出回路143は、全ての指定アドレスを検出することができない場合に、アドレスバスBAに異常有りと判定し、アドレスバス異常信号EBAを出力する。
図27において、まず、CPU142は、指定アドレス検出回路143のマスクをONして(ステップS101)、指定アドレス検出回路143内のD型ラッチ回路169を動作させるとともに、0ビット信号BTO(=0)をD入力端子に印加する。続いて、第1のリセット信号RST1により指定アドレス検出回路143をリセットし(ステップS102)、D型ラッチ回路168を動作させる。
次に、アドレスが全て「1」となる最大値のアドレス「FFFF」(又は、アドレスが全て「0」となる最小値のアドレス「0000」)を読む(ステップS103)。最後に、指定アドレス検出回路143のマスクをOFFにして(ステップS104)、D型ラッチ回路169のD入力端子に0ビット信号BTO(=1)を印加し、D型ラッチ回路169の動作状態を反転させて、図27の処理ルーチンを抜け出る。
次に、図24及び図28を参照しながら、CPU142内のデータバス異常チェックソフトウエア142bによるデータバスBDの異常チェック動作について説明する。
CPU142は、データバスBDのうち、メモリシステムに使用される全ビット信号の各々について、「0」、「1」の両方の場合が確認できるチェック用の指定データ(例えば、8ビットの場合、「AA」及び「55」、又は、「01」、「02」、「04」、「08」、「10」、「20」、「40」及び「80」などの組の値)を用い、図28の処理(ステップS105〜S111)によるリードライトチェック動作を周期的に繰り返し実行する。
CPU142は、データバス異常チェックソフトウエア142bによる判定処理において、全ての指定データが一致しなければ、データバスBDに異常有りと判定し、データバス異常信号EBDを出力する。
図28において、CPU142は、まず、指定データを特定する変数Nを「1」に初期設定し(ステップS105)、N(=1)番目の指定データ(=「01」)をRAM(主メモリ141a及び副メモリ141b)内のテストアドレスに書き込む(ステップS106)。続いて、ステップS12で書き込んだ指定データをテストアドレスから読み出し(ステップS107)、書き込み前の指定データと一致するか否かを判定する(ステップS108)。
ステップS108において、読み出し後の指定データが書き込み前の指定データと一致しない(即ち、NO)と判定されれば、CPU142は、データバスBDに異常有りと見なし、データバス異常信号EBDを出力して(ステップS109)、異常終了する。
一方、ステップS108において、読み出し後の指定データが書き込み前の指定データと一致する(即ち、YES)と判定されれば、変数Nをインクリメントして(ステップS110)、変数Nが「8」以下であるか否かを判定する(ステップS111)。
ステップS111において、N≦8(即ち、YES)と判定されれば、指定データの書き込み処理(ステップS106)に戻り、上記処理ステップS107〜S110を繰り返し実行する。即ち、2番目の指定データ(=「02」)、3番目の指定データ(=「02」)、・・・、8番目の指定データ(=「80」)が、順次RAM内のテストアドレスに書き込まれ(ステップS106)、それぞれの読み出し後に(ステップS107)、一致又は不一致が判定される(ステップS108)。
一方、ステップS111において、N>9(即ち、NO)と判定されれば、全ての指定データ(N=1〜8)についてデータバス異常チェックが実行され、かつ全ての指定データが書き込み前後で一致したものと見なし、CPU142は、図28の処理ルーチンを正常終了する。
このように、従来システムと同様のメモリデータ異常チェック回路141による処理に加えて、メモリ書き込み時及び読み出し時に使用するアドレスバスBA及びデータバスBDの周期的な異常チェック処理を実行することにより、異常チェックの信頼性を向上させることができる。
特に、上記異常チェックは、エレベータ電子安全装置におけるメモリシステムの健全性をチェックする際に有効である。
このように、この例における電子安全コントローラ21は、指定アドレス出力ソフトウエア及びデータバス異常チェックソフトウエアを有するCPUと、アドレスバス及びデータバスを介してCPUに接続された主メモリ及び副メモリと、主メモリ及び副メモリのデータを比較するメモリデータ異常チェック回路、及びアドレスバスを介してCPUに接続された指定アドレス検出回路とを備え、CPUは、指定アドレス出力ソフトウエアを実行するとともに、指定アドレス検出回路を用いて、アドレスバスの異常チェックを周期的に行い、CPUは、データバス異常チェックソフトウエアを実行するとともに、主メモリ及び副メモリを用いて、データバスの異常チェックを周期的に行う。
また、CPUは、指定アドレス出力ソフトウエアを実行して、アドレスバスのうち、主メモリ及び副メモリに使用される全ビット信号の各々について、「0」、「1」の両方の場合が確認できるチェック用の指定アドレスを指定アドレス検出回路に周期的に出力し、指定アドレス検出回路は、CPUから周期的に出力される複数の指定アドレスを検出し、複数の指定アドレスの全てを検出できない場合には、アドレスバスの異常と判定してアドレスバス異常信号を出力する。
さらに、CPUは、データバス異常チェックソフトウエアを実行して、データバスのうち、主メモリ及び副メモリに使用される全ビット信号の各々について、「0」、「1」の両方の場合が確認できるチェック用の指定データを周期的に入出力し、CPUから周期的に出力される複数の指定データを、主メモリ及び副メモリに一旦書き込んだ後に読み出して比較し、書き込み前の複数の指定データと読み出し後の複数の指定データとが全て一致しない場合には、データバスの異常と判定してデータバス異常信号を出力する。
≪最寄り階停止動作の監視≫
次に、図29は図1の最寄り階停止指令発生時の電子安全コントローラ21及びエレベータ制御部11の動作を示すフローチャートである。まず、例えば電子安全コントローラ21自体の故障など、かごを最寄り階停止させるべき異常が電子安全コントローラ21により検出されると(ステップS121)、電子安全コントローラ21からエレベータ制御部11の運転制御部12に対して最寄り階停止指令信号が出力される(ステップS122)。これにより、運転制御部12は、かごを最寄り階に停止するための処理を実行する(ステップS123)。
また、電子安全コントローラ21では、最寄り階停止指令信号の出力と同時に、内蔵の非常停止タイマを起動し、非常停止タイマによるカウントを開始する(ステップS124)。非常停止タイマは、予め設定された時間(最寄り階停止を完了するのに十分な時間)が経過するとタイムアップする。非常停止タイマがタイムアップすると、電子安全コントローラ21からエレベータ制御部11の安全回路部13に対して非常停止指令が出力される(ステップS125)。これにより、エレベータ制御部11は、非常停止動作を行う(ステップS126)。
電子安全コントローラ21からの最寄り階停止指令によりかごが最寄り階に正常に停止された場合、非常停止タイマのタイムアップ時には、かごは停止しており、駆動装置7のブレーキ部9は制動状態である。従って、非常停止指令が出力されても、実質的な変化は生じない。これに対して、万一、エレベータ制御部11側の異常により、電子安全コントローラ21からの最寄り階停止指令によりかごが最寄り階に停止されない場合、非常停止タイマのタイムアップ時にかごは非常停止されることになる。
図30は図1の電子安全コントローラ21及びエレベータ制御部11の要部を示す回路図である。電子安全コントローラ21には、上記の非常停止タイマとして機能する非常停止タイマ回路部171が設けられている。非常停止タイマ回路部171は、電子安全コントローラ21内のソフトウエアプログラムから独立したハードウエア回路により構成されている。
最寄り階停止出力ポート172からの指令は、第1のトランジスタ173と、非常停止タイマ回路部171とに同時に入力される。第1のトランジスタ173に最寄り階停止指令が入力されると、第1のリレー部174がオフにされ、運転制御部12に最寄り階停止指令信号が入力される。
非常停止タイマ回路部171に最寄り階停止指令が入力されると、カウントが開始される。非常停止タイマ回路部171のカウントがタイムアップした場合、又は非常停止出力ポート175から非常停止指令が出力された場合、第2のトランジスタ176がオフにされ、第2のリレー部177がオフにされ、非常停止指令が安全回路部13に入力、即ち安全回路部13が遮断される。これにより、駆動装置7の駆動電源コンタクタとブレーキ電源コンタクタとが落ち、かごが非常停止される。
このようなエレベータ装置によれば、エレベータ制御部11による最寄り階停止が万一正常に実行できない場合にも、電子安全コントローラ21により異常が検出されたままかごが運転され続けるのを防止することができる。また、電子安全コントローラ21の故障検出時に、直ちに非常停止が実行されるわけではなく、エレベータ制御部11が正常であれば最寄り階停止が実行されるため、電子安全コントローラ21の故障で乗客がかごに閉じこめられることがない。
なお、非常停止タイマ回路部171の健全性のチェックは、周期的かつ自動的に実施されるのが好適である。非常停止タイマ回路部171の健全性のチェックは、例えば1日1回、所定時間かご呼びが登録されずに自動消灯モードに入ったときに行えばよい。
健全性チェックの流れとしては、まず、エレベータ制御部11から健全性チェックの受け入れ許可を知らせる信号が電子安全コントローラ21に入力される。この許可信号を受けて、電子安全コントローラ21からエレベータ制御部11に、チェック開始を知らせる信号が入力され、続いて最寄り階停止指令が入力される。そして、エレベータ制御部11から電子安全コントローラ21に対して、チェック結果の良否を知らせる信号が戻される。
チェック終了後には、非常停止タイマ回路部171がハードウエアリセットにより復帰され、第2のリレー部177がオンにされる。