明 細 書
エレベータ装置
技術分野
[0001] この発明は、センサ力 の検出信号に基づいてエレベータの異常を検出する電子 安全コントローラを用いたエレベータ装置に関するものである。 背景技術
[0002] 従来のエレベータの安全システムでは、昇降路、機械室及びかごに設けられたバ スノードにセンサ等が接続されており、センサ等力 の情報がバスノード及び通信ネ ットワークバスを介して安全コントローラに送られる(例えば、特許文献 1参照)。
[0003] 特許文献 1 :特表 2002— 538061号公報
発明の開示
発明が解決しょうとする課題
[0004] 上記のような従来のエレベータ装置では、センサ力 安全コントローラへの情報の 入力が通信ネットワークを介して行われて 、るので、安全システムとしての高 、信頼 性を確保するためには、力なり高度な信頼性を持つ通信ネットワークが必要となり、そ れを構成するハードウェアやソフトウェアが複雑で高価になってしまう。
[0005] この発明は、上記のような課題を解決するためになされたものであり、比較的簡単 な構成で安全システムの信頼性を向上させることができるエレベータ装置を得ること を目的とする。
課題を解決するための手段
[0006] この発明によるエレベータ装置は、力ごの運転を制御するエレベータ制御部、及び エレベータの異常を検出し、エレベータを安全な状態に移行させるための指令信号 を発生する電子安全コントローラを備え、電子安全コントローラは、電子安全コント口 ーラ自体の異常を検出可能であり、電子安全コントローラ自体の異常を検出した場 合には、力ごを最寄り階に停止させるための最寄り階停止指令をエレベータ制御部 に出力するとともに、最寄り階停止指令の出力力 予め設定された時間が経過すると 、力ごを非常停止させるための非常停止指令をエレベータ制御部に出力する。
図面の簡単な説明
圆 1]この発明の実施の形態 1によるエレベータ装置を示す構成図である。
[図 2]図 1の調速機及び ETS回路部において設定された過速度のパターンを示すグ ラフである。
[図 3]図 1の電子安全コントローラ、エレベータ制御盤及び各種センサの接続関係を 示すブロック図である。
[図 4]図 1の電子安全コントローラの要部の装置構成を示すブロック図である。
[図 5]図 4のマイクロプロセッサによる演算処理の実行方法を示す説明図である。
[図 6]図 1の電子安全コントローラの要部を示すブロック図である。
圆 7]図 6のクロック異常検出回路の具体的な構成を示す構成図である。
[図 8]図 8は図 1の電子安全コントローラの RAM内の領域区分を示す説明図である。
[図 9]図 1の電子安全コントローラの初期動作を示すフローチャートである。
[図 10]図 1の電子安全コントローラの割り込み演算の流れの第 1例を示すフローチヤ ートである。
[図 11]図 1の電子安全コントローラの要部を示すブロック図である。
[図 12]図 1の電子安全コントローラの要部を示すブロック図である。
圆 13]図 12のチ ック機能回路の具体的な構成の一例を示す回路図である。
[図 14]図 12のチェック機能回路を第 1及び第 2の CPUカ^ードしたときのデータバス の各ビットに関するデータの意味を示す説明図である。
[図 15]図 12の第 1の CPU側の電源電圧監視健全性チェック方法を示すフローチヤ ートである。
[図 16]図 12のエレベータ制御装置にお 、て CPUがリセットされた場合の動作を示す フローチャートである。
圆 17]図 1の ETS回路部の初期設定動作の段階と運転制御部及び安全回路部の動 作との関係を示す説明図である。
圆 18]図 1のエレベータ装置の初期設定運転モードにおける力ごの動きを説明する 説明図である。
圆 19]図 1の電子安全コントローラの接点異常検出部を示す回路図である。
[図 20]図 19の安全リレー主接点の動作試験方法を説明するためのフローチャートで ある。
[図 21]図 1の電子安全コントローラに履歴情報記録部及び健全性診断部を接続した 状態を示すブロック図である。
[図 22]図 22は図 21の履歴情報記録部に格納された情報の一例を示す説明図であ る。
[図 23]図 21の電子安全コントローラの動作を説明するためのフローチャートである。
[図 24]図 1の電子安全コントローラの要部を示すブロック図である。
[図 25]図 24のデータ異常チェック用のデータ比較回路を具体的に示す回路図であ る。
[図 26]図 24のアドレスバス異常チェック用の指定アドレス検出回路を具体的に示す 回路図である。
[図 27]図 24の CPU内の指定アドレス出力ソフトウェアと指定アドレス検出回路による 処理動作を示すフローチャートである。
[図 28]図 24の CPU内のデータバス異常チェックソフトウェアの処理動作を示すフロ 一チャートである。
[図 29]図 1の最寄り階停止指令発生時の電子安全コントローラ及びエレベータ制御 部の動作を示すフローチャートである。
[図 30]図 1の電子安全コントローラ及びエレベータ制御部の要部を示す回路図であ る。
発明を実施するための最良の形態
以下、この発明の好適な実施の形態について図面を参照して説明する。
実施の形態 1.
図 1はこの発明の実施の形態 1によるエレベータ装置を示す構成図である。図にお いて、昇降路 1内には、一対のかごガイドレール 2及び釣合おもりガイドレール(図示 せず)が設置されている。力ご 3は、かごガイドレール 2に案内されて昇降路 1内を昇 降される。釣合おもり 4は、釣合おもりガイドレールに案内されて昇降路 1内を昇降さ れる。
[0009] かご 3の下部には、力ごガイドレール 2に係合してかご 3を非常停止させる非常止め 装置 5が搭載されている。非常止め装置 5は、機械的な操作により動作してかごガイ ドレール 2に押し付けられる一対の制動片 (楔部材) 6を有している。
[0010] 昇降路 1内の上部には、主ロープを介して力ご 3及び釣合おもり 4を昇降させる駆動 装置 (卷上機) 7が設置されている。駆動装置 7は、駆動シーブ 8、駆動シーブ 8を回 転させるモータ部(図示せず)、駆動シーブ 8の回転を制動するブレーキ部 9、及び駆 動シーブ 8の回転に応じた検出信号を発生するモータエンコーダ 10を有している。
[0011] ブレーキ部 9としては、例えば電磁ブレーキ装置が用いられている。電磁ブレーキ 装置においては、制動ばねのばね力によりブレーキシュ一が制動面に押し付けられ て駆動シーブ 8の回転が制動されるとともに、電磁マグネットを励磁することによりブレ 一キシュ一が制動面力 開離され、制動が解除される。
[0012] エレベータ制御盤 11は、例えば昇降路 1内の下部等に配置されている。エレべ一 タ制御盤 11には、駆動装置 7の運転を制御する運転制御部 12と、エレベータの異常 時にかご 3を急停止させるための安全回路部(リレー回路部) 13とが設けられている。 運転制御部 12には、モータエンコーダ 10からの検出信号が入力される。運転制御 部 12は、モータエンコーダ 10からの検出信号に基づいて、かご 3の位置及び速度を 求め、駆動装置 7を制御する。
[0013] 安全回路部 13のリレー回路が開路状態にされると、駆動装置 7のモータ部への通 電が遮断されるとともに、ブレーキ部 9の電磁マグネットへの通電が遮断され、駆動シ ーブ 8が制動される。
[0014] 昇降路 1の上部には、調速機 (機械式調速機) 14が設置されている。調速機 14に は、調速機シーブ 15、過速度検出スィッチ 16、ロープキャッチ 17、及びセンサとして の調速機エンコーダ 18が設けられている。調速機シーブ 15には、調速機ロープ 19 が巻き掛けられている。調速機ロープ 19の両端部は、非常止め装置 5の操作機構に 接続されている。調速機ロープ 19の下端部は、昇降路 1の下部に配置された張り車 20に巻き掛けられている。
[0015] 力ご 3が昇降されると、調速機ロープ 19が循環され、力ご 3の走行速度に応じた回 転速度で調速機シーブ 15が回転される。調速機 14では、力ご 3の走行速度が過速
度に達したことが機械的に検出される。検出する過速度としては、定格速度よりも高
V、第 1の過速度 (OS速度)と、第 1の過速度よりも高!、第 2の過速度 (Trip速度)とが 設定されている。
[0016] 力ご 3の走行速度が第 1の過速度に達すると、過速度検出スィッチ 16が操作される 。過速度検出スィッチ 16が操作されると、安全回路部 13のリレー回路が開路状態と なる。力ご 3の走行速度が第 2の過速度に達すると、ロープキャッチ 17により調速機口 ープ 19が把持され、調速機ロープ 19の循環が停止される。調速機ロープ 19の循環 が停止されると、非常止め装置 5が制動動作する。
[0017] 調速機エンコーダ 18は、調速機シーブ 15の回転に応じた検出信号を発生する。ま た、調速機エンコーダ 18としては、 2系統の検出信号、即ち第 1及び第 2の検出信号 を同時に出力するデュアルセンスタイプのエンコーダが用いられている。
[0018] 調速機エンコーダ 18からの第 1及び第 2の検出信号は、電子安全コントローラ 21に 設けられた終端階強制減速装置 (ETS装置)の ETS回路部 22に入力される。 ETS 回路部 22は、調速機エンコーダ 18からの検出信号に基づいてエレベータの異常を 検出し、エレベータを安全な状態に移行させるための指令信号を出力する。具体的 には、 ETS回路部 22は、調速機エンコーダ 18からの信号により、運転制御部 12とは 独立して、かご 3の走行速度及び位置を求め、終端階付近でのかご 3の走行速度が ETS監視過速度に達したかどうかを監視する。
[0019] また、 ETS回路部 22は、調速機エンコーダ 18からの信号をデジタル信号に変換し 、デジタル演算処理を行うことにより、力ご 3の走行速度が ETS監視過速度に達した カゝどうかを判断する。 ETS回路部 22によりかご 3の走行速度が ETS監視過速度に達 したと判断されると、安全回路部 13のリレー回路が開路状態となる。
[0020] また、 ETS回路部 22は、 ETS回路部 22自体の異常、及び調速機エンコーダ 18の 異常を検出可能である。 ETS回路部 22自体又は調速機エンコーダ 18の異常が検 出された場合、エレベータを安全な状態に移行させるための指令信号としての最寄り 階停止指令信号が ETS回路部 22から運転制御部 12に対して出力される。さらに、 E TS回路部 22と運転制御部 12との間は、双方向に通信可能となって 、る。
[0021] 昇降路 1内の所定の位置には、力ご 3が昇降路 1内の基準位置に位置することを検
出するための第 1一第 4の基準センサ 23— 26が設けられて 、る。基準センサ 23— 2 6としては、上部及び下部終端階スィッチを用いることができる。基準センサ 23— 26 力もの検出信号は、 ETS回路部 22に入力される。 ETS回路部 22では、基準センサ 23— 26からの検出信号に基づいて、 ETS回路部 22内で求めたかご 3の位置の情 報を修正する。
[0022] 昇降路 1の底面とかご 3及び釣合おもり 4の下面との間には、力ご緩衝器 27及び釣 合おもり緩衝器 28が設置されている。ここでは、かご緩衝器 27及び釣合おもり緩衝 器 28は、昇降路 1内の下部に設置されている。かご緩衝器 27は、力ご 3の真下に配 置され、カゝご 3が昇降路 1の底部に衝突する際の衝撃を緩和する。釣合おもり緩衝器 28は、釣合おもり 4の真下に配置され、釣合おもり 4が昇降路 1の底部に衝突する際 の衝撃を緩和する。これらの緩衝器 27, 28としては、例えば油入式又はばね式バッ ファが用いられている。
[0023] 図 2は図 1の調速機 14及び ETS回路部 22において設定された過速度のパターン を示すグラフである。図において、かご 3が下部終端階から上部終端階まで通常速度 (定格速度)で走行する場合、カゝご 3の速度パターンは、通常速度パターン VOとなる 。調速機 14には、機械的な位置調整により第 1及び第 2の過速度パターン VI, V2 が設定されている。 ETS回路部 22には、 ETS監視過速度パターン VEが設定されて いる。
[0024] ETS監視過速度パターン VEは、通常速度パターン VOよりも高く設定されている。
また、 ETS監視過速度パターン VEは、通常速度パターン VOに対して全昇降行程で ほぼ等間隔をおくように設定されている。即ち、 ETS監視過速度パターン VEは、 ご位置に応じて変化している。さらに具体的には、 ETS監視過速度パターン VEは、 中間階付近で一定となるように設定されているが、終端階付近では昇降路 1の終端( 上端及び下端)へ近づくに従って連続的かつ滑らかに低くなるように設定されて 、る 。このように、 ETS回路部 22は、終端階付近だけでなぐ中間階付近 (通常速度バタ ーン VOにおける一定速走行区間)でも力ご 3の走行速度を監視しているが、中間階 付近につ ヽては必ずしも監視しなくてもょ ヽ。
[0025] 第 1の過速度パターン VIは、 ETS監視過速度パターン VEよりも高く設定されてい
る。また、第 2の過速度パターン V2は、第 1の過速度パターン VIよりもさらに高く設定 されている。また、第 1及び第 2過速度パターン VI, V2は、昇降路 1内の全ての高さ で一定である。
[0026] 釣合おもり緩衝器 28のバッファストロークは、 ETS回路部 22によって制限される釣 合おもり 4の釣合おもり緩衝器 28への衝突速度に応じて、調速機 14で制限される衝 突速度に応じて規定されるストロークよりも短く設定されて 、る。かご緩衝器 27のバッ ファストロークは、調速機 14で制限される衝突速度に応じて規定されている。
[0027] 緩衝器 27, 28のノ ッファストロークは、力ご 3や釣合おもり 4が最初に接触したとき の初速度と、力ご 3や釣合おもり 4が停止するまでの許容減速度とによって決まるもの である。従って、かご緩衝器 27のバッファストロークよりも、釣合おもり緩衝器 28のバ ッファストロークの方が短く設定される。即ち、釣合おもり緩衝器 28のノ ッファストロー クは、かご緩衝器 27のバッファストロークよりも短くなつている。
[0028] また、釣合おもり緩衝器 28は、例えば主ロープが破断した場合など、 ETS監視過 速度パターン VEで規定される速度よりも大きな速度で釣合おもり 4が衝突した場合 にも破壊されることがないように、十分な容量に設定されている。このように、釣合おも り緩衝器 28の十分な容量を確保する方法としては、例えば通常よりも大きな容量の 緩衝器を用いる力、又は通常の容量の緩衝器を複数用いる方法などがある。
[0029] 力ご 3が最上階に停止したときのかご 3の上端部と昇降路 1の天井部との間の隙間 寸法は、 ETS回路部 22によって制限される釣合おもり 4の釣合おもり緩衝器 28への 衝突速度に応じて設定されている。即ち、釣合おもり 4が釣合おもり緩衝器 28に衝突 しても、力ご 3が昇降路 1の天井部に衝突しないように、昇降路 1の頂部隙間寸法が 設定されている。
[0030] 図 3は図 1の電子安全コントローラ 21、エレベータ制御盤 11及び各種センサの接 続関係を示すブロック図である。図において、電子安全コントローラ 21には、調速機 エンコーダ 18からの 2系統の検出信号、第 1一第 4基準センサ 23— 26からの検出信 号、及びその他のセンサ (第 1一第 Nのセンサ)からの信号が入力される。また、電子 安全コントローラ 21は、センサ毎に対応した複数の信号入力ポートを有している。即 ち、電子安全コントローラ 21には、各センサからの信号が別々に入力される。これに
より、電子安全コントローラ 21は、各センサの異常を検出可能となっている。
[0031] 電子安全コントローラ 21により何等かの異常 (例えば過速度、センサ故障、電子安 全コントローラ 21自体の異常等)が検出されると、故障や異常の内容を含む故障'異 常内容信号がエレベータ制御盤 11の制御ユニット(図示せず)に入力されるとともに 、故障や異常の内容に応じた停止信号がエレベータ制御盤 11の駆動 ·制動ユニット (図示せず)に入力される。
[0032] 図 4は図 1の電子安全コントローラ 21の要部の装置構成を示すブロック図である。
電子安全コントローラ 21は、第 1の安全プログラムに基づいてエレベータの異常を検 出するための演算処理を実行する第 1のマイクロプロセッサ 31と、第 2の安全プロダラ ムに基づいてエレベータの異常を検出するための演算処理を実行する第 2のマイク 口プロセッサ 32とを含んで!/、る。
[0033] 第 1の安全プログラムは、第 2の安全プログラムと同じ内容のプログラムである。第 1 及び第 2のマイクロプロセッサ 31, 32は、プロセッサ間バス及び 2ポート RAM33を介 して互いに通信可能になっている。また、第 1及び第 2のマイクロプロセッサ 31, 32は 、互いの演算処理結果を比較することにより第 1及び第 2のマイクロプロセッサ 31, 3 2自体の健全性を確認可能になっている。即ち、第 1及び第 2のマイクロプロセッサ 3 1, 32に同一処理を実行させ、処理結果を 2ポート RAM33等を介して通信比較する こと〖こより、マイクロプロセッサ 31, 32の健全性が確認される。
[0034] また、マイクロプロセッサ 31, 32は、マイクロプロセッサ 31, 32自体の異常以外の 電子安全コントローラ 21の異常も演算処理により検出可能である。
[0035] 図 5は図 4のマイクロプロセッサ 31, 32による演算処理の実行方法を示す説明図で ある。マイクロプロセッサ 31, 32は、定周期タイマからの信号に基づく所定の演算周 期(例えば 50msec)で、 ROMに格納されたプログラムに従って、演算処理を繰り返 し実行する。一周期内に実行されるプログラムには、エレベータの異常を検出するた めの安全プログラムと、電子安全コントローラ 21自体や各種センサの故障 ·異常を検 出するための故障 ·異常チェックプログラムとが含まれる。また、故障'異常チェックプ ログラムは、予め設定された条件が満たされたときのみ実行するようにしてもょ 、。
[0036] このようなエレベータ装置では、電子安全コントローラ 21が電子安全コントローラ 21
自体の異常を検出可能であり、電子安全コントローラ 21自体の異常を検出した場合 にも、エレベータを安全な状態に移行させるための指令信号を出力するので、エレ ベータの異常の検出速度や異常に対する処理速度を高めつつ、比較的簡単な構成 で安全システムの信頼性を向上させることができる。
[0037] また、電子安全コントローラ 21は、各種センサの異常も検出可能であり、センサの 異常を検出した場合にも、エレベータを安全な状態に移行させるための指令信号を 出力するので、安全システムの信頼性をさらに向上させることができる。
[0038] さらに、電子安全コントローラ 21は第 1及び第 2のマイクロプロセッサ 31, 32を含み 、第 1及び第 2のマイクロプロセッサ 31, 32は、互いの演算処理結果を比較すること により第 1及び第 2のマイクロプロセッサ 31, 32自体の健全性を確認可能になってい るので、安全システムの信頼性をさらに向上させることができる。
[0039] 以下、電子安全コントローラ 21の構成及び動作の具体例を説明する。
《クロック異常検出》
図 6は図 1の電子安全コントローラ 21の要部を示すブロック図である。電子安全コン トローラ 21には、十分な信頼性を確保するため、二重系の回路構成が採用されてい る。
[0040] 電子安全コントローラ 21では、第 1及び第 2マイクロプロセッサとしての第 1及び第 2 の CPU (処理部) 41, 42が用いられている。第 1の CPU41は、運転制御部 12及び 第 1の出力インタフェース(出力部) 43に制御信号を出力する。第 2の CPU42は、運 転制御部 12及び第 2の出力インタフェース(出力部) 44に制御信号を出力する。
[0041] 運転制御部 12は、第 1及び第 2の CPU41, 42から同様の制御信号を受けたときに 、その制御信号により制御される。第 1及び第 2の出力インタフェース 43, 44は、第 1 及び第 2の CPU41, 42からの制御信号に基づいて、安全回路部 13を開路状態とす るための信号を出力する。
[0042] 第 1及び第 2の CPU41, 42には、両者間のデータ授受を行うための 2ポート RAM 45が接続されている。第 1の CPU41には、第 1ウォッチドッグタイマ 46が接続されて いる。第 2の CPU42には、第 2ウォッチドッグタイマ 47が接続されている。
[0043] 第 1の CPU41には、調速機エンコーダ 18 (図 1)力もの 2系統の信号が入力される
。また、第 2の CPU42にも、調速機エンコーダ 18からの 2系統の信号が入力される。 調速機エンコーダ 18からの信号は、 CPU41, 42で演算処理され、これによりかご 3 ( 図 1)の速度及び位置が求められる。即ち、調速機エンコーダ 18は、速度センサ兼位 置センサとして機能する。また、 CPU41, 42には、図 3で示したような種々のセンサ 力 の信号も入力される。
[0044] 第 1の CPU41には、第 1のクロック 48からの第 1のクロック信号が入力される。第 2 の CPU42は、第 2のクロック 49力らの第 2のクロック信号が入力される。第 1及び第 2 のクロック信号の周波数は互いに等しく設定されて 、る。
[0045] 第 1及び第 2のクロック信号は、クロック異常検出回路 50にも入力される。クロック異 常検出回路 50は、第 1及び第 2のクロック信号のパルス数をカウントし、パルス数の差 から第 1及び第 2のクロック信号の異常を検出する。
[0046] 第 1及び第 2の CPU41, 42は、クロック異常検出回路 50の健全性をチェックするた めのテストモード信号 51, 52をクロック異常検出回路 50に送信する。また、第 1及び 第 2の CPU41, 42は、クロック異常検出を開始するための検出開始指令信号 53, 5 4をクロック異常検出回路 50に送信する。
[0047] また、クロック異常検出回路 50は、クロック異常を検出したときにエラー信号 55, 56 を第 1及び第 2の CPU41, 42に入力する。
[0048] 図 7は図 6のクロック異常検出回路 50の具体的な構成を示す構成図である。クロッ ク異常検出回路 50には、第 1のクロック信号のノ ルスエッジをカウントする第 1の監視 カウンタ 57及び第 1の被監視カウンタ 58と、第 2のクロック信号のパルスエッジをカウ ントする第 2の監視カウンタ 59及び第 2の被監視カウンタ 60とが設けられている。
[0049] 第 1のクロック信号は、第 1のセレクタ 61を介して第 1の被監視カウンタ 58に入力さ れる。第 1のセレクタ 61では、通常回路とテスト回路との切換が可能になっている。通 常回路では、第 1のクロック信号がそのまま第 1の被監視カウンタ 58に入力される。テ スト回路では、第 1のクロック信号が第 1の遁倍回路 62で遁倍された後、第 1の被監 視カウンタ 58に入力される。テスト回路への切換は、第 1の CPU41からのテストモー ド信号 51が第 1のセレクタ 61に入力されることにより行われる。
[0050] 同様に、第 2のクロック信号は、第 2のセレクタ 63を介して第 2の被監視カウンタ 60
に入力される。第 2のセレクタ 63では、通常回路とテスト回路との切換が可能になつ ている。通常回路では、第 2のクロック信号がそのまま第 2の被監視カウンタ 60に入 力される。テスト回路では、第 2のクロック信号が第 2の遁倍回路 64で遁倍された後、 第 2の被監視カウンタ 60に入力される。テスト回路への切換は、第 2の CPU42からの テストモード信号 52が第 2のセレクタ 63に入力されることにより行われる。
[0051] 第 1及び第 2の被監視カウンタ 58, 60からのリップルキャリーアウトプット信号、即ち エラー信号 55, 56は、第 1及び第 2のラッチ部 65, 66でラッチされる。第 1及び第 2 のラッチ部 65, 66は、第 1及び第 2の CPU41, 42力ものラッチ解除信号 67, 68を受 けてラッチ状態を解除する。
[0052] クロック異常検出回路 50からのエラー信号が CPU41, 42に入力されると、 CPU4 1, 42から出力インタフェース 43, 44に異常検出信号が出力される。そして、出カイ ンタフ ース 43, 44から安全回路部 13に作動信号が出力され、安全回路部 13によ りエレベータが安全状態へと移行される。
[0053] なお、電子安全コントローラ 21は、図 6に示した CPU41, 42や ROMを含むコンビ ユータ(マイクロコンピュータ)を含んで!/、る。
[0054] 次に、動作について説明する。調速機エンコーダ 18から出力された 2系統のパル ス信号は、 CPU41, 42〖こ入力される。そして、 CPU41, 42のそれぞれ〖こより、パル ス信号は演算処理され、力ご 3の位置及び速度が求められる。求められた位置及び 速度は、 2ポート RAM45を介して互いに比較された上で、異常を判定するための設 定値 (基準値)、例えば ETS監視過速度と比較される。
[0055] そして、過速度や位置異常などの異常が検出されると、異常の内容に応じて、運転 制御部 12又は安全回路部 13に信号が出力され、エレベータが安全状態へと移行さ れる。安全状態への移行とは、例えばかご 3を急停止させること、又はかご 3を最寄り 階に停止させることである。また、安全状態への移行後、必要に応じて運転制御部 1 2がさらに制御される。
[0056] なお、 CPU41, 42の演算結果が互いに異なっていれば、 CPU41, 42のどちら力 の系に異常があると判断され、やはりエレベータが安全状態へと移行される。
また、求められた位置及び速度に異常がなければ、力ご 3の走行を許可する旨の
制御信号が生成され、運転制御部 12に出力される。
[0057] CPU41, 42では、一定時間内に入力されるパルス信号をカウントすることにより、 力ご速度を求める演算が実行される。そして、その「一定時間」を司るタイマは、クロッ ク 48, 49からのクロック信号により生成されている。従って、クロック信号の周波数は 非常に重要である。
[0058] 特に、周波数が高くなる異常については、かご 3の過速度を監視する上で注意が必 要である。例えば、 10ms毎にパルス信号をカウントしているつもりが、何等かの故障 によりクロック信号の周期が半分になると、実際には 5ms毎にカウントしていることに なってしまう。この場合、 CPU41, 42で求められたかご速度は、実際のかご速度の 半分として誤認識されてしま ヽ、過速度が検出できな 、状態となる。
[0059] これに対して、この例では、第 1及び第 2のクロック 48, 49力らのクロック信号がクロ ック異常検出回路 50に入力され、クロック信号に異常がないかが監視されている。
[0060] 次に、クロック異常監視動作の詳細について説明する。まず、電源リセット時には、 各デバイスが安定し次第、カウンタ 57— 60によりクロックノ ルスのカウントが直ちに開 始される。これにより、エラー信号 55, 56がラッチされるが、 CPU41, 42では、最初 はこのエラー信号 55, 56が無視される。
[0061] この後、検出開始指令信号 53, 54に Highの信号が与えられ、次いでラッチ解除 信号 67, 68が CPU41, 42からクロック異常検出回路 50に送られる。
[0062] 検出開始指令信号 53, 54が Highになって力 最初の監視カウンタ 57, 59からの リップルキャリーアウトプット信号で、各カウンタ 57— 60のプリセットデータ値が各カウ ンタ 57— 60にロードされ、カウントアップが開始される。プリセットデータ値は、カウン タ 57— 60でカウントを開始する際のカウント値である。
[0063] 被監視カウンタ 58, 60のプリセットデータ値としては、例えば 0が予め設定される。
また、監視カウンタ 57, 59のプリセットデータ値としては、クロック異常を判定するため の閾値が予め設定される。監視カウンタ 57, 59のプリセットデータ値は、被監視カウ ンタ 58, 60のプリセットデータ値よりも大きい数値、ここでは 4が設定される。
[0064] 監視カウンタ 57, 59は、被監視カウンタ 58, 60よりも短い範囲でパルス数を繰り返 しカウントし、キャリーオーバーする度に被監視カウンタ 57, 59をリセットする。被監視
カウンタ 58, 60もパルス数を繰り返しカウントしょうとする力 正常時には、被監視カウ ンタ 58, 60がキャリーオーバーする前に監視カウンタ 57, 59がキャリーオーバーし て被監視カウンタ 58, 60がリセットされる。
[0065] このようなプリセットデータ値は、クロック異常検出回路 50を例えば FPGA (field programmable gate array)で構成することにより、任意に設定可能である。
[0066] 2つのクロック 48, 49が正常なときは、被監視カウンタ 58, 60がキャリーオーバーし てリップルキャリーアウトプット信号、即ちエラー信号 55, 56を出力するよりも 4つ手前 のカウンタ値で、監視カウンタ 57, 59のリップルキャリーアウトプット信号によりリセット されるため、エラー信号 55, 56は出力されない。
[0067] これに対して、例えば第 1のクロック 48の周波数が高くなる異常が起きた場合、第 2 の監視カウンタ 59のリップルキャリーアウトプット信号が第 1の被監視カウンタ 58をリ セットする前に、第 1の被監視カウンタ 58のリップルキャリーアウトプット信号、即ちェ ラー信号 55が出力され、ラッチ部 65によりエラー信号 55がラッチされる。
[0068] また、第 2のクロック 49の周波数が高くなる異常が起きた場合は、同様にして第 2の 被監視カウンタ 60からエラー信号 56が出力され、ラッチ部 66によりエラー信号 56が ラッチされる。
[0069] さらに、クロック 48, 49が停止した場合には、クロック異常検出回路 50でも検出可 能である力 ウォッチドッグタイマ 46, 47が効き、強制リセットとなるため、危険状態と なることはない。
[0070] このような構成とすることにより、クロック異常を検出するための専用のクロックを用い る必要がなぐ二重系の CPU41 , 42のために使用しているクロック 48, 49をそのま ま利用してクロック異常を検出することができ、効率的なハードウェア資源の利用が 可能になる。従って、簡単な回路構成で信頼性を向上させることができる。
[0071] また、カウンタ 57— 60のプリセットデータ値を任意に設定できるため、クリティカルな 周波数のずれも検出することができる。これにより、安全回路部 13を駆動 *制御する までの動作遅れ時間を短縮でき、より安全性の高 、設計を実現できる。
[0072] さらに、 4つのカウンタ 57— 60とウォッチドッグタイマ 46, 47とを組み合わせて使用 したので、周波数が高くなる異常がクロック 48, 49のどちらに発生したかを容易に特
定できる。
[0073] 次に、クロック異常検出回路 50の健全性のチェック機能について説明する。例えば 、第 1の CPU41からクロック異常検出回路 50にテストモード信号 51が送信されると、 セレクタ 61により回路がテスト回路に切り換えられ、第 1のクロック信号が第 1遁倍回 路 62で遁倍される。即ち、第 1の被監視カウンタ 58に入力される第 1のクロック信号 が故意に異常状態にされる。このため、クロック異常検出回路 50が正常であれば、第 1の被監視カウンタ 58からエラー信号 55が出力されることになる。
[0074] 従って、 CPU41では、テストモード信号 51の送信に対してエラー信号 55が受信さ れることにより、クロック異常検出回路 50の健全性を確認することができる。同様に、 第 2のクロック 49側も健全性をチェックすることができる。
[0075] このようなクロック異常検出回路 50の健全性チェック機能を付加することにより、例 えばクロック異常検出回路 50の最終出力ピンが正常側に固着する等の故障を検出 することができ、信頼性をさらに向上させることができる。
[0076] なお、この例では、 2個の CPUを用いた二重系の回路構成を示したが、 3個以上の CPUを用いた多重系の回路構成とすることも可能である。
[0077] このように、この例の電子安全コントローラ 21は、エレベータの制御に関する演算を 二重系で行う第 1及び第 2処理部、第 1処理部に第 1クロック信号を送る第 1クロック、 第 2処理部に第 2クロック信号を送る第 2クロック、及び第 1及び第 2クロック信号が入 力され、第 1及び第 2クロック信号の異常を検出するクロック異常検出回路を備え、ク ロック異常検出回路は、第 1及び第 2クロック信号のノ ルス数をカウントし、パルス数 の差から第 1及び第 2クロック信号の異常を検出する。
[0078] また、クロック異常検出回路は、第 1及び第 2クロック信号のいずれか一方のパルス 数をカウントする被監視カウンタと、第 1及び第 2クロック信号のいずれか他方のパル ス数をカウントする監視カウンタとを有し、被監視カウンタでカウントを開始する際の力 ゥント値であるプリセットデータ値は、監視カウンタでカウントを開始する際のカウント 値であるプリセットデータ値よりも大きく設定されており、監視カウンタがキャリーォー バーすると、被監視カウンタのカウント数がリセットされ、被監視カウンタがキャリーォ 一バーすることにより第 1及び第 2クロック信号の異常が検出される。
[0079] さらに、監視カウンタは、第 1クロック信号のパルス数をカウントする第 1の監視カウ ンタと、第 2クロック信号のパルス数をカウントする第 2の監視カウンタとを含み、被監 視カウンタは、第 1クロック信号のパルス数をカウントする第 1被監視カウンタと、第 2ク ロック信号のパルス数をカウントする第 2被監視カウンタとを含む。
[0080] さらにまた、監視カウンタのプリセットデータ値は、任意に設定可能である。また、テ ストモードのときに、被監視カウンタに入力されるクロック信号を故意に異常状態とす ることにより、クロック異常検出回路の健全性を確認することが可能になっている。さら に、クロック異常検出回路は、テストモードのときに被監視カウンタに入力されるクロッ ク信号を遁倍する遁倍回路を有する。
[0081] 《スタック領域の異常検出〉〉
次に、電子安全コントローラ 21に用いられる RAM内のスタック領域の異常検出に ついて説明する。図 8は図 1の電子安全コントローラ 21の RAM内の領域区分を示す 説明図である。 RAMは、 CPUによる演算に必要な情報を記憶するスタック領域を含 んでいる。スタック領域には、例えばサブルーチンコールの戻りアドレス、タイマ割り 込みの戻りアドレス、及びサブルーチンコールの引数等が格納される。
[0082] また、 ROMには、 RAMのスタック領域内の予め設定された監視領域の状態を監 視するためのプログラムが格納されている。即ち、スタック領域監視部は、 CPU及び ROMを有している。
[0083] この例では、 COOOH— FFFFHの領域がスタック領域に設定されて!、る。また、ス タック領域内の DOOOH— D010Hの領域が監視領域に設定されている。
[0084] スタック領域の使用方法はマイコンによって決まる力 一般的にはマイコンが持つス タックポインタにより、アドレスの若い方へデータを積み上げていく使い方をする。図 8 の場合、スタックポインタの初期値を FFFFHとし、 FFFFH→FFFEH→FFFDH→ C001H→COOOHのように使用する。従って、監視領域 DOOOH— D010Hは
、スタック領域の 75%を使用したときに使用される領域である。
[0085] 監視領域の位置は、スタック領域の 50%以上を使用したときに使用される領域が 好ましい。特に、スタック領域の 60%以上を使用したときに使用される領域が好まし い。また、監視領域の位置は、スタック領域の 90%以下を使用したときに使用される
領域が好ましい。特に、スタック領域の 80%以下を使用したときに使用される領域が 好ましい。
[0086] スタック領域は予め 0に設定されており、スタック領域監視部は、監視領域全体が 0 であるかどうかを監視する。そして、監視領域に 0以外のデータが含まれていると、ス タックオーバーが発生したと判断する。
[0087] 図 9は図 1の電子安全コントローラ 21の初期動作を示すフローチャートである。エレ ベータ起動時には、電子安全コントローラ 21の初期設定が実施される。初期設定が 開始された時点では、全ての割り込み演算が禁止される (ステップ Sl)。この後、マイ コンの初期設定が行われ (ステップ S 2)、 RAM領域が 0にされる(ステップ S3)。この 後、割り込み演算が可能な状態となり (ステップ S4)、割り込み待ち状態となる (ステツ プ S5)。割り込み演算は、演算周期時間毎に繰り返し実行される。
[0088] 図 10は図 1の電子安全コントローラ 21の割り込み演算の流れの第 1例を示すフロ 一チャートである。割り込み演算が開始されると、まず監視領域の状態が確認される( ステップ S31)。即ち、監視領域 DOOOH— D010Hの状態力OOOOHであるかどうか が確認される。
[0089] ここで、監視領域が OOOOHでな!/、場合、 RAMにスタックオーバーが発生して!/、る 力 又はスタックオーバーに陥る可能性が高いと判断される。即ち、監視領域の値が 0以外であるということは、割り込み演算の処理時間に余裕がなぐ割り込み演算が演 算周期時間内に終わらずにスタックオーバーが発生して 、ると判断される。このように 、スタックオーバーが検出されると、力ご 3を急停止させるための演算が実行され (ス テツプ S32)、非常停止指令が安全回路部 13に出力される。また、スタックオーバー が検出された場合、エレベータ監視室に異常検出信号が送信される。
[0090] 監視領域に異常がなければ、演算に必要な信号を入力する入力演算が行われ (ス テツプ S33)、カゝご 3の現在位置と現在位置カゝら終端階までの距離とを求めるかご位 置演算 (ステップ S34)、かご 3の移動量力 かご 3の速度を求めるかご速度演算 (ス テツプ S35)、及び終端階までの距離に応じた異常速度の判断基準値 (例えば図 2) を求める判断基準演算 (ステップ S36)が実行される。
[0091] この後、かご速度と判断基準値とから力ご速度の異常を検出するための安全監視
演算が実行される (ステップ S37)。安全監視演算又は急停止演算が実行されると、 エレベータの状態をモニタ表示するためのモニタ演算が実行される (ステップ S38)。 最後に、力ご 3の走行を許可、又は力ご 3を急停止させるために必要な指令信号を出 力するための出力演算が実行される (ステップ S39)。
[0092] このような電子安全コントローラ 21では、スタック領域監視部により監視領域の状態 が監視されており、監視領域に異常があると判断されたときに、カゝご 3が急停止される ので、 RAMのスタックオーバーによりプログラム暴走が生じるのが防止される。これに より、機器の破損が未然に防止される。即ち、コンピュータによる運転制御に関する 演算をより確実に実行することができ、信頼性を向上させることができる。
[0093] ここで、スタックオーバー (スタックの積み上げ)による異常は、原因究明が難しぐ 故障復旧に時間が力かってしまう。スタックオーバーは、マイコンやプログラムの異常 により発生することもあるが、これらに異常がなければ、スタックオーバーの一番の要 因は、割り込み演算が演算周期時間内に終わらないこと (演算時間オーバー)である と考えられる。
[0094] 演算時間オーバーは、通常は発生しないが、例えば呼び釦が多く操作され呼びス キャン演算に長時間を要する場合など、一時的に演算時間が増えることにより発生 する。また、ソフトウェアの改造や改善等を繰り返すうちに演算時間が徐々に増え、 演算時間オーバーが発生することも考えられる。
[0095] 演算時間オーバーが発生すると、スタックオーバーが発生して、スタック領域が不 正に使用され、タイマ割り込み力もの戻りアドレスが壊れる恐れがある。戻りアドレスが 壊れると、プログラム暴走が生じたり、 RAMデータが破壊されてエレベータの制御が 不能になったりする恐れがある。
[0096] これに対して、この例の電子安全コントローラ 21によれば、スタックオーバーをより 早期に検出することができ、プログラム暴走や制御不能の発生を未然に防止すること ができ、信頼性が向上する。
[0097] また、スタック領域監視部は、予め設定された演算周期毎に監視領域の状態を確 認するので、スタックオーバーの有無を常時監視することができ、信頼性をさらに向 上させることができる。
[0098] さらに、監視領域に異常があると判断されたときには、力ご 3を急停止させるので、 より大きな故障にながるのを防止することができる。
[0099] なお、上記の例では、監視領域の異常が検出されるとかご 3を急停止させた力 最 寄り階停止指令を運転制御部 12に出力して力ご 3を最寄り階に停止させてもよぐか ご 3内の乗客をスムーズに乗場に降ろすことができる。
[0100] また、監視領域の異常が検出されたとき、エレベータを安全な状態に移行させるた めの信号を出力するとともに、そのときの電子安全コントローラ 21の状態を履歴として 記録 (履歴演算)してもよい。履歴は、例えば RAMのスタック領域以外の領域に記録 される。これにより、スタックオーバーの発生を未然に防止したり、スタックオーバーの 原因究明に役立てたりすることができる。また、故障復旧時間の短縮を図ることができ る。
[0101] このように、この例における電子安全コントローラ 21は、エレベータの安全を監視す るための演算に必要な情報を記憶するスタック領域が設定されて 、る RAM、及びス タック領域内の予め設定された監視領域の状態を監視するスタック領域監視部を備 え、スタック領域監視部により検出された監視領域の状態に応じてエレベータの運転 を制御する。
[0102] また、スタック領域監視部は、所定の演算周期毎に監視領域の状態を確認する。さ らに、監視領域の状態の確認は、エレベータの安全を監視するための割り込み演算 処理の一部として実行される。
[0103] 《演算処理実行順序の異常検出〉〉
次に、電子安全コントローラ 21における演算処理の実行順序の異常検出方法につ いて説明する。図 11は図 1の電子安全コントローラ 21による割り込み演算の流れの 第 2例を示すフローチャートである。
[0104] 割り込み演算が開始されると、まず RAMに書き込まれた処理情報のパターンが確 認される (ステップ S41)。ここでは、処理情報として、演算処理のタスク (機能単位)毎 に予め設定された数値 (識別値)が用いられる。処理情報は、 RAM内の予め決めら れた領域に設定されたテーブルに書き込まれる。この例では、 7つの演算処理に対し て 1一 7の識別値が割り振られており、対応する TBL[0]— [6]に識別値が書き込ま
れている。 TBL[7]— [9]は、対応する演算処理が存在しないため、 0のままである。
[0105] 処理情報のパターンが正常であれば、 TBL[0]— [9]及びテーブルの格納ポイン タが 0に初期化される (ステップ S42)。この後、演算に必要な信号を入力する入力演 算 (ステップ S43)、力ごの現在位置と現在位置から終端階までの距離とを求めるか ご位置演算 (ステップ S44)、力ごの移動量力もかごの速度を求めるかご速度演算 (ス テツプ S45)、及び終端階までの距離に応じた異常速度の判断基準値 (例えば図 2) を求める判断基準演算 (ステップ S46)が実行される。
[0106] この後、かご速度と判断基準値とから力ご速度の異常を検出するための安全監視 演算が実行される (ステップ S47)。安全監視演算又は急停止演算が実行されると、 エレベータの状態をモニタ表示するためのモニタ演算が実行される (ステップ S48)。 最後に、安全監視演算の結果に応じて、力ごの走行を許可、又は力ごを急停止させ るために必要な指令信号を出力するための出力演算が実行される (ステップ S49)。
[0107] また、それぞれの演算が実行された直後には、対応するテーブルへの識別値の書 き込みが実行される (ステップ S50— 56)。即ち、演算処理と識別値の書き込みとは 交互に実行される。
[0108] 具体的には、最初の演算である入力演算が実行された直後には、 TBL[P]に 1が 書き込まれ、格納ポインタ Pに 1がプラスされる (ステップ S 15)。次に、かご位置演算 が実行された直後には、 TBL[P]に 2が書き込まれ、格納ポインタ Pに 1がプラスされ る (ステップ S16)。このような処理が順次実行され、最後の演算である出力演算が実 行された直後には、 TBL[6]に 7が書き込まれる。
[0109] このように書き込まれた識別値のパターンは、次の割り込み演算の開始時に確認さ れる (ステップ S41)。即ち、識別値のパターンを確認することにより、演算処理の実 行順序が正常であるかどうかが判断される。
[0110] 演算処理の実行順序に異常が検出されると、力ごを急停止させるための急停止演 算が実行される (ステップ S57)。また、演算処理の実行順序に異常が検出された場 合、エレベータ監視室に異常検出信号が送信される。急停止演算が実行されると、 モニタ演算が実行され (ステップ S58)、かごを急停止させるために必要な指令信号 を出力するための出力演算が実行され (ステップ S59)、割り込み演算処理が終了す
る。
[0111] このような電子安全コントローラ 21では、演算処理の実行順序の異常を速やかに検 出することができ、これによりコンピュータによる運転制御に関する演算をより確実に 実行することができ、信頼性を向上させることができる。また、プログラム異常で自己 ループしているような異常も検出することができる。即ち、この発明は、運転制御装置 にも安全装置にも適用できる。
[0112] ここで、演算処理の実行順序の異常は、原因究明が難しぐ故障復旧に時間がか 力つてしまう。演算処理の実行順序の異常は、マイコンやプログラムの異常により発 生することもあるが、これらに異常がなければ、一番の要因は割り込み演算が演算周 期時間内に終わらな 、こと (演算時間オーバー)であると考えられる。
[0113] 演算時間オーバーは、通常は発生しないが、例えば呼び釦が多く操作され呼びス キャン演算に長時間を要する場合など、一時的に演算時間が増えることにより発生 する。また、ソフトウェアの改造や改善等を繰り返すうちに演算時間が徐々に増え、 演算時間オーバーが発生することも考えられる。
[0114] これに対して、この電子安全コントローラ 21によれば、演算処理の実行順序の異常 をより早期に検出することができ、二次的な故障の発生を未然に防止することができ 、信頼性が向上する。
[0115] また、電子安全コントローラ 21は、予め設定された演算周期毎に処理情報のバタ ーンを確認するので、異常の有無を常時監視することができ、信頼性をさらに向上さ せることができる。
[0116] さらに、演算処理の実行順序に異常があると判断されたときには、かごを急停止さ せるので、より大きな故障にながるのを防止することができる。
[0117] なお、上記の例では、演算処理の実行順序に異常があると判断されたときにかご 3 を急停止させたが、最寄り階停止指令を運転制御部 12に出力して力ご 3を最寄り階 に停止させてもよぐ力ご 3内の乗客をスムーズに乗場に降ろすことができる。
[0118] また、演算処理の実行順序に異常が検出されたとき、エレベータを安全な状態に 移行させるための信号を出力するとともに、そのときの電子安全コントローラ 21の状 態を履歴として記録 (履歴演算)してもょ 、。
[0119] さらに、上記の例では、全ての演算処理に処理情報を割り当てた力 必ずしも全て でなくてもよい。即ち、実行順序を監視したい演算処理のみに処理情報を付与しても よい。
[0120] このように、この例における電子安全コントローラ 21は、 RAM、及び安全監視に関 するプログラムが格納されたプログラム記憶部と、プログラムに基づ 、て複数の演算 処理を実行する処理部とを有するコントローラ本体を備え、コントローラ本体は、演算 処理を実行したときにそれぞれの演算処理に対応した処理情報を RAMに書き込む とともに、 RAMに書き込まれた処理情報のパターン力も演算処理の実行順序が正常 であるかどうかを監視する。
[0121] また、処理情報は、演算処理毎に予め設定された数値である。さらに、制御装置本 体は、所定の演算周期毎に処理情報のパターンを確認する。さらにまた、処理情報 の書き込み、及び処理情報のパターンの確認は、エレベータの安全を監視するため の割り込み演算処理の一部として実行される。
[0122] 《電源電圧の異常検出》
次に、電子安全コントローラ 21における電源電圧の異常検出方法について説明す る。図 12は図 1の電子安全コントローラ 21の要部を示すブロック図である。この例で は、信頼性を向上させるため 2系統の指令信号がエレベータ制御盤 11に出力される 。このため、二重系の回路構成が採用されており、第 1及び第 2の CPU (処理部) 41 , 42が用いられている。
[0123] 第 1の CPU41は、第 1の出力インタフェース 43を介してエレベータ制御盤 11に指 令信号を出力する。第 2の CPU42は、第 2の出力インタフェース 44を介してエレべ ータ制御盤 11に指令信号を出力する。エレベータ制御盤 11は、第 1及び第 2の出力 インタフェース 43, 44から指令信号を受けると、エレベータを安全状態へと移行させ る。
[0124] 第 1及び第 2の CPU41, 42には、両者間のデータ授受を行うための 2ポート RAM 45が接続されている。第 1の CPU41には、第 1センサからの信号が入力される。第 2 の CPU42には、第 2センサからの信号が入力される。
[0125] 第 1及び第 2のセンサ力 の信号は、 CPU41, 42で演算処理され、これによりかご
3の速度及び位置が求められる。第 1及び第 2のセンサとしては、例えば調速機ェン コーダ 18が挙げられる。
[0126] CPU41, 42での演算処理の結果データは、 2ポート RAM45を介して CPU41, 4 2により互いに授受される。そして、 CPU41, 42では、互いの結果データとの比較が 行われ、演算結果に有意差が見られたり、過速度 (速度超過)が確認されたりした場 合には、出力インタフェース 43, 44を介してエレベータ制御盤 11に指令信号が出力 され、エレベータが安全状態へと移行される。
[0127] また、このエレベータ制御装置には、 CPU41, 42の電源電圧を監視する + 5V電 源電圧監視回路 71及び + 3. 3V電源電圧監視回路 72が設けられている。電源電 圧監視回路 71, 72は、例えば IC (集積回路)により構成されている。
[0128] 電源電圧監視回路 71, 72は、安定した電源電圧が CPU41, 42に供給されている 力どうかを監視する。 CPU41, 42の定格電圧を外れるような電源電圧異常が発生し た場合、電源電圧監視回路 71, 72からの情報に基づいて CPU41, 42に強制リセッ トがかけられ、フェールセーフ勝手に設計された安全回路部 13によりかご 3が急停止 される。
[0129] + 5V電源電圧監視回路 71には、第 1の監視用電圧入力回路 73から監視用電圧 が入力される。 + 3. 3V電源電圧監視回路 72には、第 2の監視用電圧入力回路 74 カゝら監視用電圧が入力される。
[0130] 電源電圧監視回路 71, 72及び CPU41, 42には、電源電圧監視回路 71, 72の健 全性を監視する電圧監視健全性チェック機能回路 75 (以下、チェック機能回路 75と 略称する)が接続されている。チェック機能回路 75は、例えば FPGA (field programmable gate array)等のプログラマブルなゲート ICで構成されている。また、チ エック機能回路 75は、 ASIC、 CPLD、 PLD又はゲートアレイ等でも実現可能である
[0131] 電源電圧の異常が検出されると、電源電圧監視回路 71, 72からチェック機能回路 75に電圧異常検出信号 81, 82が出力され、チェック機能回路 75から CPU41, 42 にリセット信号 83, 84が出力される。
[0132] また、チェック機能回路 75には、 CPU41, 42からの制御信号 85, 86が入力される
。チェック機能回路 75からは、電源電圧監視回路 71, 72の電圧入力ピンを低電圧 に強制的に変更させるための監視用入力電圧強制変更信号 87, 88が出力される。
[0133] 監視用入力電圧強制変更信号 87, 88が出力されると、監視用入力電圧強制変更 回路 76, 77により、電源電圧監視回路 71, 72の電圧入力ピンが低電圧に強制的に 落とされる。
[0134] また、チェック機能回路 75は、第 1の CPU41用の第 1データバス 78と、第 2の CPU 42用の第 2データバス 79とに接続されている。
[0135] なお、かご 3の位置及び速度を求めるためのプログラム、エレベータの異常を判定 するためのプログラム、及び電源電圧監視回路 71, 72の健全性を確認するための プログラム等は、 CPU41, 42に接続された記憶部である ROMに格納されている。
[0136] 図 13は図 12のチェック機能回路 75の具体的な構成の一例を示す回路図である。
制御信号 85, 86には、選択信号 89, 90、出力許信号 91, 92、及びチップセレクト 信号 93, 94が含まれている。
[0137] 選択信号 89, 90は、どちらの電源電圧監視回路 71, 72の健全性をチェックするか を選択するための 2ビットの信号である。出力許可信号 91, 92は、チェック機能回路 75からの監視用入力電圧強制変更信号 87, 88の出力を許可するとともに、選択信 号 89, 90で選択された内容をラッチするための信号である。即ち、出力許可信号 91 , 92は、ラッチトリガ信号を兼ねている。
[0138] 電源電圧の異常が検出されると、チェック機能回路 75内の電圧異常信号ラッチ回 路 101により電圧異常検出信号 81, 82がラッチされる。電圧異常信号ラッチ回路 10 1でのラッチ状態は、制御信号 85, 86の一部であるラッチ解除信号 95, 96が入力さ れること〖こより解除される。
[0139] 選択信号 89, 90は、第 1及び第 2のセレクタ 102, 103に入力される。第 1及び第 2 のセレクタ 102, 103は、選択信号 89, 90に基づいて、どちらの電源電圧監視回路 7 1, 72の健全性をチェックするかを切り換える。セレクタ 102, 103で選択された内容 は、第 1及び第 2の選択内容ラッチ回路 104, 105によりラッチされる。
[0140] 監視用入力電圧強制変更信号 87, 88の出力の前段には、変更信号出力バッファ 106が入れられている。
[0141] また、チェック機能回路 75には、第 1の CPU41の複数のデータバス出力バッファ 1 07と、第 2の CPU42の複数のデータバス出力バッファ 108とが設けられている。
[0142] ここで、図 14は図 12のチェック機能回路 75を第 1及び第 2の CPU41, 42がリード したときのデータバス 78, 79の各ビットに関するデータの意味を示す説明図である。
[0143] 次に、図 15は図 12の第 1の CPU41側の電源電圧監視健全性チェック方法を示す フローチャートである。電子安全コントローラ 21は、かご 3の過速度等のエレベータの 異常監視のための演算処理を含む割り込み演算を演算周期 (例えば 5msec)毎に 実行する。そして、割り込み演算のメインルーチンを実行した際、電源電圧監視回路 71, 72の健全性チェックを実施するかどうかを判断する (ステップ S 11)。
[0144] 健全性チェックは、予め設定されたタイミングで実施される。即ち、健全性チェック は、力ご 3の停止状態が予め設定された時間経過したときに実施される。具体的には 、利用客の少ない閑散時や夜間運転休止時等に実施される。
[0145] 健全性チェックを実施しなければ、メインルーチンに戻る。健全性チェックを実施す る場合、まずチェック機能回路 75内のエラー信号である電圧異常検出信号 81, 82 のラッチ状態を解除する。即ち、チェック機能回路 75ヘラツチ解除信号 95を出力す る (ステップ S12)。ラッチ解除信号 95は、電圧異常信号ラッチ回路 101に入力され、 電圧異常検出信号 81, 82のラッチ状態が解除される。
[0146] 次に、第 1の CPU41の出力許可信号 91が Highになっていることを確認の上 (ステ ップ S13)、第 2の CPU42に対しても出力許可信号 92を Highにするように 2ポート R AM45を介して要求する(ステップ S 14)。
[0147] この後、どちらの電源電圧監視回路 71, 72の健全性チェックを行うかを選択するセ レクト信号 89をチヱック機能回路 75へ出力しラッチする (ステップ S15)。
[0148] 続いて、第 2の CPU42に対して出力許可信号 92を Lowにするように 2ポート RAM 45を介して要求する (ステップ S6)。出力許可信号 92が Lowになったことが確認され たら、出力許可信号 91を Lowにする (ステップ S7)。これにより、チェック機能回路 75 内では、出力許可信号 91の立ち下がりに同期して、セレクト信号 89が選択内容ラッ チ回路 104によりラッチされる。そして、チェック機能回路 75から電源電圧監視回路 7 1へ監視用入力電圧強制変更信号 87が出力される。
[0149] この結果、電源電圧監視回路 71では電圧異常が検出され、電圧異常検出信号 81 がチェック機能回路 75に入力されることになる。そして、チェック機能回路 75内では 、電圧異常信号ラッチ回路 101により電圧異常検出信号 81がラッチされる。これとと もに、 CPU41, 42には、チェック機能回路 75からのリセット信号 83, 84が入力され( ステップ S8)、これにより CPU41, 42力 Sリセットする。
[0150] このとき、 1回の健全性チェック動作でチェックする電源電圧監視回路は必ず 1つだ けである。引き続き他の電源電圧監視回路の健全性チェックを実施する場合には、 1 つの電源電圧監視回路のチェックが終了してから、他の電源電圧監視回路の健全 性チェックを実施する。 1つの CPUに複数の電圧の異なる複数の電源が供給され、 それに伴 、複数の電源電圧監視回路が設けられて!/、る場合も、各電源電圧監視回 路の健全性チェックをシーケンシャルに 1つずつ実施する。このように、複数の電源 電圧監視回路の健全性チェックをシーケンシャルに実施することは、プログラム (ソフ トウエア)上に予め設定しておくことができる。
[0151] 図 16は図 12のエレベータ制御装置において CPU41, 42がリセットされた場合の 動作を示すフローチャートである。 CPU41, 42のリセットの原因は、勿論、健全性チ エックによるものだけではなぐ真の電源電圧の異常やその他の理由による可能性も ある。
[0152] リセット力 、けられると、 CPU41, 42は、まずソフトウェアのイニシャライズ処理を開 始する (ステップ S19)。次に、イニシャライズ処理の中で、チェック機能回路 75のデ ータをリードする (ステップ S20)。そして、ラッチされている内容力もリセットされる前の 状況を確認し、電源電圧の異常や電源電圧監視回路 71, 72の故障があるかどうか を判断する (ステップ S21)。即ち、そのリセットが健全性チェックのために起きたもの なのか、真の電源電圧異常により起きたものなのかを判断する。
[0153] 例えば、出力許可信号 91, 92の出力を Lowにしていないのに、電圧異常が示され ていれば、真の電源電圧異常が発生したと判断される。また、出力許可信号 91, 92 の出力を Lowにしたにも拘わらず、チェック機能回路 75のデータでは電圧異常が示 されていない場合、電源電圧監視回路 71, 72又はチェック機能回路 75自体の故障 であると判断される。この状態で、監視用入力電圧強制変更信号 87, 88が出力され
ていれば、電源電圧監視回路 71, 72の故障であると判断され、監視用入力電圧強 制変更信号 87, 88が出力されていなければ、チェック機能回路 75自体の故障であ ると判断される。
[0154] チェック機能回路 75のデータリードの結果、異常や故障が検出されなければ、メイ ンルーチンへの移行を許可する (ステップ S22)。但し、ここでは電源電圧に関するリ セットについてのみ述べている力、他の故障検出や他の回路の健全性チェックにより リセットをかけるようにしてもよぐその場合には、全ての異常'故障がないことを確認し た上でメインルーチンへの移行が許可されることになる。
[0155] また、チェック機能回路 75のデータリードの結果、何等かの異常や故障が見つか れば、エレベータ制御盤 11に指令信号を出力し (ステップ S23)、エレベータを安全 状態へと移行させる。
[0156] このような電子安全コントローラ 21では、電源電圧の異常だけなぐ電源電圧監視 回路 71, 72の故障についても健全性を監視することができるので、電源電圧の監視 につ 、て信頼性をより一層向上させることができる。
[0157] また、従来はフェールセーフや安全性の確保のために、各電源電圧監視回路にも 二重系を用いることがあった力 上記の電子安全コントローラ 21ではその必要がない ため、構成が簡単であり、コストの増カロも抑えることができる。し力も、信頼性は、各電 源電圧監視回路を二重系とした場合と同等である。
[0158] さらに、 2つの CPU41, 42を用いた二重系の回路構成とし、 2ポート RAM45を介 して、それぞれの CPU41, 42による健全性チェック動作を互いに確認し合えるように したので、チェック機能回路 75やソフトウェアの故障も検出することができる。
[0159] このように、この例における電子安全コントローラ 21は、エレベータの安全監視に関 する処理を行う処理部と、処理部に供給される電源電圧を監視する電源電圧監視回 路とを備え、電源電圧監視回路に入力される電源電圧を強制的に変更するための 監視用入力電圧強制変更信号を処理部力 の制御信号に応じて出力するとともに、 電源電圧監視回路からの電圧異常検出信号が入力される電圧監視健全性チェック 機能回路をさらに備え、電圧監視健全性チェック機能回路は、処理部及び電源電圧 監視回路との信号の送受信内容の少なくとも一部を保持し、処理部は、電圧監視健
全性チェック機能回路に保持されたデータをリードすることにより電源電圧監視回路 の健全性チェックを行う。
[0160] また、処理部は、第 1及び第 2の CPUを含んでおり、第 1及び第 2の CPUは、 2ポー ト RAMを介して、第 1及び第 2の CPUによる健全性チェック動作を互いに確認し合 えるようになっている。
[0161] さらに、監視用入力電圧強制変更信号の入力により、電源電圧監視回路に入力さ れる電源電圧を強制的に低下させる監視用入力電圧強制変更回路をさらに備えて いる。
[0162] さらにまた、電源電圧監視回路には、電圧の異なる複数の電源の電圧を監視する ための複数の電源電圧監視回路が含まれており、処理部から電圧監視健全性チエツ ク機能回路への制御信号には、複数の電源電圧監視回路のうちのどの回路の健全 性チェックを行うかを選択するための選択信号が含まれている。
[0163] また、処理部は、各電源電圧監視回路の健全性チェックをシーケンシャルに 1つず つ実施可能である。
さらに、電圧監視健全性チェック機能回路は、プログラマブルなゲート ICにより構成 されている。
[0164] 《ETS初期設定》
次に、 ETS回路部 22の初期設定動作について説明する。上述したように、 ETS回 路部 22では、運転制御部 12とは独立して、力ご 3の位置を検出している。このため、 例えばエレベータの起動時には、 ETS回路部 22の初期設定動作 (初期設定運転ス テツプ)が行われる。また、何等かの原因により運転制御部 12におけるかご 3の位置 情報と ETS回路部 22におけるかご 3の位置情報との間にずれが生じてしまった場合 にも、 ETS回路部 22の初期設定動作が行われる。このような初期設定動作を行う際 には、運転制御部 12の運転モードは、初期設定運転モードに切り換えられる。
[0165] 図 17は図 1の ETS回路部 22の初期設定動作の段階と運転制御部 12及び安全回 路部 13の動作との関係を示す説明図である。初期設定動作では、まず速度検出初 期設定が行われ、次に位置検出初期設定が行われる。
[0166] 初期設定動作開始時には、安全回路部 13により駆動装置 7が非常停止状態にさ
れている。即ち、駆動装置 7のモータ電源が遮断され、駆動装置 7のブレーキ部 9が 制動状態にされている。また、 ETS回路部 22から運転制御部 12に運転不可の指令 が出力されている。
[0167] 速度検出初期設定が終了するまでは、安全回路部 13は非常停止状態であり、運 転制御部 12も運転不可のままである。従って、 ETS回路部 22による監視は不能で ある。
[0168] 速度検出初期設定が終了すると、電子安全コントローラ 21から運転制御部 12に低 速運転可能の許可信号が出力される。また、安全回路部 13の非常停止状態が解除 される。この状態で、 ETS回路部 22は、位置検出初期設定動作を行う。
[0169] 位置検出初期設定動作では、力ご 3は、緩衝器 27, 28の衝突許容速度以下の速 度で、昇降路 1の下部から上部まで走行される。そして、 ETS回路部 22では、調速 機エンコーダ 18からの信号と昇降路 1内での力ご 3の位置との関係が設定される。
[0170] 初期設定動作が終了すると、電子安全コントローラ 21から運転制御部 12に高速( 定格速運転)運転可能の許可信号が出力される。また、 ETS回路部 22では、高速監 視が可能となる。
[0171] 次に、図 18は図 1のエレベータ装置の初期設定運転モードにおけるかご 3の動きを 説明する説明図である。初期設定運転モードでは、速度検出初期設定が終了した後 、カゝご 3が昇降路 1の下部の階床書込開始位置まで移動される。階床書込開始位置 は、かご 3が最下階位置 P よりも下方で力ご緩衝器 27よりも上方に位置する位置で
BOT
ある。また、力ご 3が階床書込開始位置に位置するとき、力ご 3 (具体的には、かご 3に 設けられた基準センサ 23— 26の操作プレート)は第 4の基準センサ 26よりも下方に 位置している。
[0172] 昇降路 1内には、運転制御部 12により最下階や最上階の位置を検出するための複 数の終点スィッチ(図示せず)が設けられている。そして、階床書込開始位置へのか ご 3の移動は、運転制御部 12によって制御される。
[0173] この後、階床書込開始位置からかご 3を上昇させながら、調速機エンコーダ 18から の信号に対応したかご 3の仮現在位置 P が求められる。具体的には、階床書 current tmp
込開始位置を 0とする。
P —0
current tmp
そして、以降は、演算周期(例えば 100msec)毎に仮現在位置が更新される。
[0174] ここで、 ETS回路部 22には、調速機エンコーダ 18のエンコーダパルスをカウントす るアップダウンカウンタが設けられており、アップダウンカウンタの演算周期内移動量 を GC1とすると、 N回目の演算周期における仮現在位置 P は、
current tmp
P P +GC1
current tmp N current tmp N - 1
で求められる。具体的には、仮現在位置や演算周期内移動量は、エンコーダパル スのパルス数として求められる。
[0175] このように、力ご 3の上昇に伴い仮現在位置が更新されていくが、操作プレートが基 準センサ 23— 26に進入した位置と、操作プレートが基準センサ 23— 26から脱出し た位置とは、 ETS回路部 22に設けられた記憶部 (メモリ)のテーブルに書き込まれる
[0176] 例えば、 N回目の演算周期で第 4の基準センサ 26への進入が検出されたとすると、 進入位置 P は、
tmp ETSD
P P +GC1-GC2
tmp ETSD current tmp N - 1
で求められる。但し、 GC2は、第 4の基準センサ 26への進入後のアップダウンカウ ンタの移動量である。
他の基準センサ 23, 24, 25への進入位置も同様にテーブルに書き込まれる。
[0177] また、 N回目の演算周期で基準センサ 26からの脱出が検出されたとすると、脱出位 tmp ETSUは、
P P +GC1-GC3
tmp ETSU current tmp N - 1
で求められる。但し、 GC3は、第 4の基準センサ 26から脱出した後のアップダウン力 ゥンタの移動量である。
他の基準センサ 23, 24, 25からの脱出位置も同様にテーブルに書き込まれる。
[0178] このように、全ての進入位置及び脱出位置の書き込みが終わったら、力ご 3は最上 階位置 P に停止される。
TOP
ここで、運転制御部 12には、仮想 0点を基準とした最下階位置 P 及び最上階位
BOT
置 P のデータが設定されている。そして、かご 3が最上階位置 P に停止されたら
、仮想 0点を基準とした最下階位置 P 及び最上階位置 P のデータが運転制御部
BOT TOP
12から電子安全コントローラ 21に伝送される。電子安全コントローラ 21では、仮現在 位置として求められテーブルに書き込まれている位置データ力 運転制御部 12から 伝送された情報に基づいて、仮想 0点を基準としたデータに変換される。これにより、 仮想 0点を基準とした現在位置 P の検出が可能となる。
current
[0179] 現在位置への修正量 δは、
δ =Ρ — Ρ
TOP current tmp N
で求められる。従って、テーブルに書き込まれた位置データに修正量 δを加えれば 、仮想 0点基準の位置データが求められる。修正後の位置データは、電子安全コント ローラ 21の E2PROMに書き込まれ、以降はこのデータが使用される。
[0180] また、最上階停止中には、以下の処理が行われ、位置管理が仮現在位置から現在 位置に変更される。
P — P
current 0 TOP
P P +GC1
current N current N— 1
[0181] この修正が完了し、位置管理が現在位置管理に移行されたら、電子安全コントロー ラ 21から運転制御部 12に高速運転可の指令が出力され、高速自動運転、即ち通常 運転モードの実施が許可される。また、 ETS回路部 22では、通常監視動作が実施さ れる。通常監視動作では、力ご緩衝器 27の上面からの力ご 3の距離 L1と釣合おもり 緩衝器 28の上面力もの釣合おもり 4の距離 L2とが、次の式により演算周期毎に求め られる。
L1 = P 一(P — L )
current N BOT KRB
L2= (P — L )-P
TOP C B current N
[0182] 但し、 L は、かご緩衝器 27の上面力も最下階位置 P までの距離、 L は、最上
KRB BOT CRB
階位置 P から、釣合おもり 4が釣合おもり緩衝器 28に衝突するときの力ご 3の位置(
TOP
図 18の CWT衝突位置)までの距離である。
[0183] このようなエレベータ装置では、初期設定動作が完了するまでは、かご緩衝器 27の 衝突許容速度以下でかご 3を走行させるので、衝突許容速度を超えた速度でかご 3 力 Sかご緩衝器 27に衝突するのをより確実に防止することができ、信頼性を向上させる
ことができる。
[0184] なお、上記の例では、速度検出初期設定及び位置検出初期設定の 2段階で初期 設定動作を行う場合を示したが、 3段階以上で初期設定動作を行い、段階毎に許容 されるかごの走行速度を設定してもよ 、。
また、初期設定動作は、速度検出初期設定及び位置検出初期設定に限定されるも のではない。
[0185] このように、この例におけるエレベータ装置は、かごの運転を制御する運転制御部 と、力ごの走行の異常を検出する監視部 (電子安全コントローラ 21)とを有するエレべ ータ制御装置を備え、監視部の初期設定を行う際、運転制御部は、初期設定の段階 に応じて通常運転時よりも低速でかごを走行させるようになって!/、る。
[0186] また、監視部は、初期設定の段階に応じて、力ごの速度に関する許可信号を運転 制御部に出力する。
さらに、運転制御部は、通常運転モードと、力ごを走行させながら監視部の初期設 定を行うための初期設定運転モードとを含む複数の運転モードを選択的に切り換え てかごの運転を制御するようになっており、運転制御部は、初期設定運転モードでは 、初期設定の段階に応じて通常運転モードよりも低速で力ごを走行させる。
[0187] また、この例におけるエレベータ装置の制御方法は、力ごの走行の異常を検出する 監視部の初期設定を、力ごを走行させながら行う初期設定運転ステップを含み、初 期設定運転ステップでは、初期設定の段階に応じて通常運転よりも低速でかごを走 行させる。
[0188] 《リレー接点の異常検出〉〉
次に、図 19は図 1の電子安全コントローラ 21の接点異常検出部を示す回路図であ る。安全回路部 13は、ブレーキ部 9に電力を供給するためのブレーキ電源コンタクタ コイル 111と、駆動装置 7のモータ部に電力を供給するためのモータ電源コンタクタ コイル 112と、コンタクタコイル 111, 112への電圧の印加を入切するための安全リレ 一主接点 113と、安全リレー主接点 113に対して並列に接続されたバイパスリレー主 接点 114とを有している。
[0189] ブレーキ電源コンタクタコイル 111、モータ電源コンタクタコイル 112及び安全リレー
主接点 113は、電源に対して互いに直列に接続されている。安全リレー主接点 113 は、通常運転時には閉じられている。また、例えばかご 3の走行速度が予め設定され た速度を超えた場合など、エレベータの異常時には、安全リレー主接点 113が開か れる。ノ ィパスリレー主接点 114は、通常運転時には開かれている。
[0190] 電子安全コントローラ 21は、コントローラ本体 115と、安全リレー主接点 113を動作 させる安全リレーコイル 116と、バイパスリレー主接点 114を動作させるバイパスリレ 一コイル 117と、安全リレー主接点 113に機械的に連動して開閉される安全リレーモ ユタ接点 118と、バイパスリレー主接点 114に機械的に連動して開閉されるバイパス リレーモニタ接点 119とを有して 、る。
[0191] 安全リレーコイル 116、バイパスリレーコイル 117、安全リレーモニタ接点 118及び バイパスリレーモニタ接点 119は、コントローラ本体 115に対して互!ヽに並列に接続 されている。
[0192] 安全リレー主接点 113と安全リレーモニタ接点 118とは、リンク機構(図示せず)によ り機械的に連結されている。従って、接点 113, 118のいずれか一方が溶着等により 動作不能となった場合には、他方も動作不能となる。
[0193] ノ ィパスリレー主接点 114とバイパスリレーモニタ接点 119とは、リンク機構(図示せ ず)により機械的に連結されている。従って、接点 114, 119のいずれか一方が溶着 等により動作不能となった場合には、他方も動作不能となる。
[0194] コントローラ本体 115は、処理部 120、記憶部 121、入出力部 122、安全リレーモ- タ接点レシーバ回路 123、バイパスリレーモニタ接点レシーバ回路 124、安全リレー ドライバ回路 125、及びバイパスリレードライバ回路 126を有している。
処理部 120としては、例えば CPUが用いられている。記憶部 121としては、例えば
RAM, ROM及びノヽードディスク装置等が用いられている。記憶部 121には、例え ばエレベータの異常を判断するためのデータや、安全リレー主接点 113の動作試験 を行うためのプログラム等が格納されている。
[0195] 処理部 120は、入出力部 122を介して、運転制御部 12及び各種センサと信号の送 受信を行う。
[0196] 安全リレーモニタ接点レシーバ回路 123は、安全リレーモニタ接点 118に直列に接
続され、安全リレーモニタ接点 1 18の開閉状態を検出する。バイパスリレーモニタ接 点レシーバ回路 124は、バイパスリレーモニタ接点 119に直列に接続され、バイパス リレーモニタ接点 119の開閉状態を検出する。
[0197] 安全リレードライバ回路 125は、安全リレーコイル 1 16に直列に接続され、安全リレ 一コイル 116の励磁'非励磁を切り換える。ノ ィパスリレードライバ回路 126は、バイ バスリレーコイル 117に直列に接続され、バイパスリレーコイル 117の励磁 ·非励磁を 切り換える。
[0198] 安全リレーコイル 116の励磁.非励磁の切換は、処理部 120から安全リレードライバ 回路 125に安全リレー指令信号を出力することにより行われる。また、ノ ィパスリレー コイル 117の励磁 ·非励磁の切換は、処理部 120からバイパスリレードライバ回路 12 6にバイパス指令信号を出力することにより行われる。
[0199] レシーノ 回路 123, 124及びドライノ 回路 125, 126 ίま、処理咅 120【こ対して互!ヽ に並列に接続されている。
[0200] 次に、動作について説明する。エレベータの運転中には、各種センサからの情報 に基づ 、て、コントローラ本体 115によりエレベータの異常の有無が監視されて!、る。 処理部 120によりエレベータの異常が検出されると、安全リレードライバ回路 125によ り安全リレーコイル 116のドライブが止められる。
[0201] これにより、安全リレー主接点 113が開かれ、コンタクタコイル 111 , 112への通電 が遮断される。この結果、ブレーキ部 9により駆動シーブ 8の回転が制動されるととも に、モータ部への通電が遮断され、かご 3が急停止される。
[0202] 次に、安全リレー主接点 113の動作試験方法について説明する。図 20は図 19の 安全リレー主接点 113の動作試験方法を説明するためのフローチャートである。この 実施の形態では、通常運転時にかご 3が停止階に停止する度に動作試験が実施さ れる。従って、通常運転時には、処理部 120は、各種センサ力もの情報によりかご 3 の走行速度が 0になつたがどうかを監視して 、る(停止検出ステップ S61 )。
[0203] 力ご 3の速度が 0になり安全状態になったら、バイパスリレードライバ回路 126により バイパスリレーコイル 117が励磁され、この後、予め設定された時間、ここでは 100m s待機する (ステップ S62)。そして、ノ ィパスリレーモニタ接点 119が閉じられたかどう
かがバイパスリレーモニタ接点レシーバ回路 124により確認される(ステップ S63)。
[0204] バイパスリレーモニタ接点 119が閉じられていなければ、バイパスリレー主接点 114 も閉じられていないことを意味するため、処理部 120によりバイパスリレー故障と判断 され、コントローラ本体 115から運転制御部 12に異常検出信号が出力される (ステツ プ S64)。
[0205] ノ ィパスリレーモニタ接点 119が正常に閉じられていることが確認されたら、安全リ レードライバ回路 125により安全リレーコイル 116が励磁され、この後、予め設定され た時間、ここでは 100ms待機する(試験指令ステップ S65)。そして、安全リレーモ- タ接点 118が開かれたどうかが安全リレーモニタ接点レシーバ回路 123により確認さ れる (異常検出ステップ S66)。
[0206] 安全リレーモニタ接点 118が開かれていなければ、溶着等の原因により安全リレー 主接点 113も開かれて 、な 、ことを意味するため、処理部 120により安全リレー故障 と判断され、コントローラ本体 115から運転制御部 12に異常検出信号が出力される( ステップ S64)。
[0207] 安全リレーモニタ接点 118が正常に開かれたことが確認されたら、今度は安全リレ 一コイル 116が非励磁状態にされ、この後、予め設定された時間、ここでは 100ms待 機する (ステップ S67)。そして、安全リレーモニタ接点 118が閉じられたかどうかが安 全リレーモニタ接点レシーバ回路 123により確認される (ステップ S68)。
[0208] 安全リレーモニタ接点 118が閉じられていなければ、処理部 120により安全リレー 故障と判断され、コントローラ本体 115から運転制御部 12に異常検出信号が出力さ れる(ステップ S 64)。
[0209] 安全リレーモニタ接点 118が正常に閉じられたことが確認されたら、バイパスリレー コイル 117が非励磁状態にされ、この後、予め設定された時間、ここでは 100ms待機 する(ステップ S69)。そして、バイパスリレーモニタ接点 119が開かれたかどうかがバ ィバスリレーモニタ接点レシーバ回路 124により確認される (ステップ S 70)。
[0210] バイパスリレーモニタ接点 119力開かれて!/、なければ、処理部 120によりバイパスリ レー故障と判断され、コントローラ本体 115から運転制御部 12に異常検出信号が出 力される (ステップ S64)。
[0211] このようにして、安全リレー主接点 113及びバイパスリレー主接点 114の開閉動作 の試験が終了したら、力ご 3の走行速度が予め設定された設定値以上になるまで待 機し (ステップ S71)、次にかご 3が停止するまで ETS回路部 22により走行速度が監 視される。そして、力ご 3が停止する度に、上記の動作試験が実施され、安全回路部 13の健全性が確認される。
[0212] このようなエレベータ安全装置では、通常運転時にかごが停止したタイミングを利 用して、安全リレー主接点 113の動作試験を行うようにしたので、通常運転に支障を 来すことなぐ安全リレー主接点 113の異常を検出することができ、信頼性を向上さ せることができる。
[0213] また、動作試験は、力ごが停止する度に行うようにしたので、十分な頻度で安全リレ 一主接点 113の動作を確認することができ、信頼性をさらに向上させることができる。
[0214] さらに、安全リレー主接点 113の動作試験を行う際には、バイパスリレー主接点 114 を閉じるようにしたので、動作試験中に安全回路部 13への通電が遮断されるのを防 止することができ、安全回路部 13を維持したまま、動作試験を実施することができる。
[0215] さらにまた、安全リレー主接点 113及びバイパスリレー主接点 114が正常に元に戻 された力どうかも確認するようにしたので、信頼性をさらに向上させることができる。
[0216] なお、上記の例では、安全リレー主接点 113が開いたときにブレーキ部 9が制動動 作する場合を示したが、逆に、安全リレー主接点が閉じたときにブレーキ部が制動動 作することも可能であり、この場合も安全リレー主接点の動作試験を実施することが できる。
[0217] また、上記の例では、駆動装置 7に設けられたブレーキ部 9を動作させるための安 全リレー主接点について示した力 例えば主ロープを把持してかごを制動するロープ ブレーキや、力ご又は釣合おもりに搭載された非常止め装置を動作させるための安 全リレー主接点に対しても適用できる。
[0218] さらに、上記の例では、力ご 3が停止する度に動作試験を行うようにした力 動作試 験のタイミングはこれに限定されない。例えば、かごの停止回数をカウントするカウン タを検出回路本体に設け、予め設定された停止回数毎に動作試験を実施するように してもよい。また、検出回路本体にタイマを設け、予め設定された時間が経過してか
ら最初にかごが停止したときに動作試験を実施するようにしてもよい。さらに、エレべ ータの通常運転を開始したとき(起動時)のみ、動作試験を実施するようにしてもょ ヽ 。さらにまた、予め設定された階に停止したときのみ、動作試験を実施するようにして ちょい。
[0219] このように、この例における電子安全コントローラ 21は、通常運転時にかごが停止し たとき、ブレーキ部が制動動作する方向へ安全リレー主接点を動作させるための安 全リレー指令信号を発生するとともに、安全リレー指令信号に応じて安全リレー主接 点が動作したかどうかを検出する。
[0220] また、電子安全コントローラ 21には、安全リレー主接点に機械的に連動して開閉さ れる安全リレーモニタ接点が設けられており、電子安全コントローラ 21は、安全リレー モニタ接点の状態力 安全リレー主接点の状態を検出する。
さらに、安全リレー主接点は、通常運転時には閉じられており、かつエレベータの 異常時には開かれるようになっており、安全リレー主接点に対して並列に接続され、 通常運転時には開かれているバイパスリレー主接点が安全回路に設けられており、 電子安全コントローラ 21は、安全リレー指令信号を発生する場合、その前にバイパス リレー主接点を閉じるためのバイパス指令信号を発生する。
[0221] さらにまた、電子安全コントローラ 21には、バイノ スリレー主接点に機械的に連動し て開閉されるバイパスリレーモニタ接点が設けられており、電子安全コントローラ 21は 、 ノィパスリレーモニタ接点の状態からバイパスリレー主接点の状態を検出する。 また、電子安全コントローラ 21は、バイノ ス指令信号に応じてバイノ スリレー主接点 が動作したかどうかを検出する。
さらに、電子安全コントローラ 21は、安全リレー主接点の異常を検出したとき、運転 制御部に異常検出信号を出力する。
[0222] 《動作履歴の記録〉〉
図 21は図 1の電子安全コントローラ 21に履歴情報記録部及び健全性診断部を接 続した状態を示すブロック図である。電子安全コントローラ 21には、電子安全コント口 ーラ 21における判定処理に関する情報の履歴 (処理過程)が記録される履歴情報記 録部 131が接続されている。履歴情報記録部 131としては、エレベータ制御装置の
電源が切断されても情報を保持し続ける不揮発性のメモリが用いられる。このようなメ モリとしては、例えばフラッシュメモリゃノヽードディスク装置等が挙げられる。
[0223] また、電子安全コントローラ 21及び履歴情報記録部 131には、電子安全コントロー ラ 21の健全性を自動的に診断する健全性診断部 132が接続されて ヽる。健全性診 断部 132は、各種センサ及び安全回路部 13等のシステム全体につ 、ての健全性も 診断可能である。健全性診断部 132による診断結果は、履歴情報記録部 131に記 録される。
[0224] 図 22は図 21の履歴情報記録部 131に格納された情報の一例を示す説明図である 。履歴情報としては、時刻、かご位置、かご速度、かご位置に応じて求められた設定 値 (閾値)、判定結果、及び内部変数等の解析データが記録される。
[0225] 履歴情報記録部 131には、かご位置、かご速度、設定値、判定結果及び解析デー タ等のデータの組み合わせ力 対応する時刻毎に分けて蓄積され、図 22に示すよう なデータのテーブルが作成される。
[0226] 図 23は図 21の電子安全コントローラ 21の動作を説明するためのフローチャートで ある。まず、現在時刻のデータが履歴情報記録部 131に出力される (ステップ S81)。 次に、かご 3の位置が検出される (ステップ S82)。検出されたかご位置のデータは、 履歴情報記録部 131に出力される (ステップ S83)。この後、力ご 3の速度が検出され る (ステップ S84)。検出されたかご速度のデータは、履歴情報記録部 131に出力さ れる(ステップ S 85)。
[0227] 次に、かご位置に対応した設定値が算出される (ステップ S86)。設定された設定値 のデータは、履歴情報記録部 131に出力される (ステップ S87)。この後、検出速度 V と設定値 f (x)とが比較され (ステップ S88)、検出速度 Vが設定値 f (x)よりも小さけれ ば、その判定結果は、「異常なし」(Good)として履歴情報記録部 131に出力される( ステップ S89)。力ごの速度に異常がなければ、上記の動作が演算周期毎に繰り返さ れる。
[0228] 比較判定の結果、検出速度 Vが設定値 f (X)以上であれば、安全回路部 13に停止 指令信号が出力される (ステップ S90)。そして、その判定結果は、「異常あり」 (Bad) として履歴情報記録部 131に出力される (ステップ S91)。
[0229] 履歴情報記録部 131では、電子安全コントローラ 21から送られたデータが順次記 録される。
[0230] このようなエレベータ装置によれば、電子安全コントローラ 21からの指令によりかご 3が急停止されたとき、履歴情報記録部 131に記録された履歴を確認することにより 、電子安全コントローラ 21の健全性を確認することができる。例えば、判定結果が「異 常なし」であったにも拘わらず、カゝご 3が急停止された場合、エレベータ制御盤 11側 に故障があることが判断できる。
[0231] 従って、力ご 3が急停止された場合の原因を効率的に判断することができる。これに より、復旧作業の効率ィ匕を図ることができる。
また、定期点検作業において、あらゆる条件の検査信号を実際に入力して設定値 の演算結果や判定結果が正 、かどうかを確認するのに代えて、履歴情報を確認す ることにより一部の検査結果を得たとすることができ、点検作業の簡素化を図ることが できる。履歴情報記録部 131に記録された設定値の計算結果と比較判定結果とを確 認するだけで、一部の定期点検を検査済みとすることができ、検査項目を軽減するこ とがでさる。
[0232] さらに、電子安全コントローラ 21で設定される設定値は、いたずらによる力ご振動等 を考慮して余裕を持たせて設定される。どの程度の余裕を持たせるかは、エレベータ 毎に調整することも可能である。履歴情報記録部 131に記録された判定結果のデー タを解析することにより、実際の運行状況において、どの程度の余裕が必要であるか を確認することができ、余裕を最小限とすることができる。これにより、かご速度を高速 化し、運行効率を向上させることが可能である。また、余裕の調整作業を容易にする ことができる。即ち、通常時の履歴情報を解析することにより、調整作業の作業項目 を軽減することができる。
[0233] 次に、健全性診断部 132による診断内容の具体例は、以下の通りである。
1.センサの故障診断
•時間に対する位置の挙動のチェック (連続性、変化量、ノイズ等の有無) •時間に対する速度の挙動のチェック (連続性、変化量、ノイズ等の有無) 'センサの故障チェック
2.速度監視部の動作の診断
•動作タイミング (動作間隔)のチェック(時刻 tl、 t2から)
•かご位置に対する設定値の演算結果のチェック
•検出速度と設定値との比較判定結果のチェック
•CPU, ROM, RAM等の電子素子の故障診断
3.速度監視部の出力値の診断
•出力値の挙動のチェック (ノイズ等の有無)
•判定結果に対応する安全回路への出力のチェック
4.非常止め装置の自己診断機能の動作チェック
•自己診断の動作チェック (タイミング、診断項目)
•異常検出の履歴チェック
5.かご急停止動作の有無及び動作時の状態診断
•自己診断による非常止め装置の故障検知のチェック
(故障検出箇所、故障要因のチェック)
•誤出力のチェック(出力と論理演算との整合性チェック)
•動作直前の位置や速度の挙動チェック
(異常速度に至った挙動のチェック、 V、たずら等の有無のチェック)
[0234] また、上記のような診断結果の履歴情報を集計する処理を追加し、履歴情報記録 部 131に集計処理結果を記録することにより、履歴情報の確認作業を軽減することも 可能である。記録する集計処理結果の具体例は、以下の通りである。
•動作タイミングの良否
•センサ入力の履歴による入力機能の健全性の良否
•論理演算の健全性の良否
,出力機能の良否
•自己診断動作と結果の良否
,装置異常の有無
[0235] このようなエレベータ装置では、システムの健全性の診断結果を履歴情報記録部 1 31で確認することができるので、電子素子の故障が原因でかご 3が急停止された場
合、原因となった電子素子の特定を効率良く行うことができる。
[0236] また、履歴情報記録部 131に記録された診断結果及びその集計処理結果を確認 することで、定期点検の検査項目を削減することができる。定期点検時に確認する事 項としては、次のものが挙げられる。
•記録されたかご位置や力ご速度から、動作の健全性の確認済み領域 (x、 Vに関す る検査済み範囲)のチェック
•自己診断によって確認済みの点検項目のチェック
•検出速度と設定値との間の余裕をチェック
[0237] このように、例えば CPU、 ROM及び RAM等の電子素子についての健全性の診 断が行われて ヽる場合、履歴情報記録部 131に記録された診断結果を確認すること により、定期点検時の電子素子の点検を省略することができる。
[0238] なお、履歴情報の記録や健全性診断結果の記録に加え、定期点検の実施確認事 項を履歴情報記録部 131に記録可能としてもよぐ点検履歴を履歴情報記録部 131 に保持することができ、定期点検の実施内容を容易に確認することができる。記録す る点検履歴としては、例えば点検実施時期及び点検項目等が挙げられる。
[0239] また、上記の例では、履歴情報記録部 131及び健全性診断部 132を電子安全コン トローラ 21の外部に設けたが、少なくともいずれか一方を電子安全コントローラ 21内 に設けてもよい。
[0240] さらに、上記の例では異常速度の監視について履歴情報を記録したが、例えば主 ロープの損傷や切断の有無を監視するロープ切れ監視についての履歴情報を記録 してもよい。また、卷上機のモータ温度、インバータの温度又は制御盤の温度等を監 視する温度監視につ!、ての履歴情報を記録してもよ 、。
[0241] このように、この例におけるエレベータ装置は、センサからの情報に基づいてエレべ ータの異常の有無を判定し、異常が検出されたときにかごを停止させるための信号を 出力する異常監視部 (電子安全コントローラ 21)、及び異常監視部における判定処 理に関する情報の履歴が記録される履歴情報記録部を備えている。
[0242] 《データバスの異常検出》
次に、図 24は図 1の電子安全コントローラ 21の要部を示すブロック図である。電子
安全コントローラ 21は、メモリデータの異常をチェックするメモリデータ異常チェック回 路 141と、 CPU142と、アドレスバスの異常をチェックする指定アドレス検出回路 143 とを有している。
[0243] メモリデータ異常チェック回路 141は、同一アドレス空間に重ねて割り付けられた並 列構成の主メモリ 141a及び副メモリ 141b (RAM)と、副メモリ 14 lbの出力データの 衝突を回避するためのデータバッファ 141cと、主メモリ 141a及び副メモリ 141bの各 データを比較してデータ異常をチヱックするデータ比較回路 141dとを有している。
[0244] また、ここでは図示を省略するが、メモリデータ異常チヱック回路 141は、従来シス テムと同様に、誤り訂正符号チェック回路も有している。
[0245] CPU142は、データ異常チェック時に指定アドレスを出力するための指定アドレス 出力ソフトウェア 142aと、データバス異常チェック時に実行されるデータバス異常チ エックソフトウェア 142bと、プログラム格納用の ROM (図示せず)とを有している。
[0246] メモリデータ異常チェック回路 141において、主メモリ 141a及び副メモリ 141bは、 それぞれ、アドレスバス BA及びデータバス BDを介して CPU 142に接続され、電子 安全コントローラ 21のデータが CPU142から書き込まれるとともに、 CPU142に読み 出されるようになつている。
[0247] データバス BDは、メモリデータ異常チェック回路 141内で主メモリデータバス BD1 及び副メモリデータバス BD2に分岐されており、主メモリ 141a及び副メモリ 141bは、 それぞれ、主メモリデータバス BD1及び副メモリデータバス BD2を介して、データ比 較回路 141dに接続されている。副メモリデータバス BD2には、データバッファ 141c が介在されている。
[0248] データ比較回路 141dは、メモリデータの異常チェック時に、主メモリデータバス BD 1及び副メモリデータバス BD2を介して入力される各メモリデータを比較し、メモリデ ータに異常有りと判定した場合にはデータ異常信号 EDを出力する。
[0249] 指定アドレス検出回路 143は、アドレスバス BAを介して CPU142に接続されており 、アドレスバス BAの異常チェック時に指定アドレスを検出し、アドレスバス BAに異常 有りと判定した場合にはアドレスバス異常信号 EBAを出力する。
[0250] CPU142内の指定アドレス出力ソフトウェア 142aは、アドレスバス BAの異常チェッ
ク時に動作し、後述するように、指定アドレス検出回路 143に対して周期的に指定ァ ドレスを出力する。 CPU142内のデータバス異常チェックソフトウェア 142bは、デー タバス BDの異常チェック時に動作し、データバス BDに異常有りと判定した場合には データバス異常信号 EBDを出力する。
[0251] 図 25は図 24内のデータ異常チェック用のデータ比較回路 141dを具体的に示して おり、複数の排他的オアゲート 151と、アンドゲート 152と、メモリリード信号 RDを用い た D型ラッチ回路 153とにより構成した場合を示している。
[0252] 図 25において、データ比較回路 141dは、並設された排他的オアゲート 151と、排 他的オアゲート 151の各出力信号の論理積をとるアンドゲート 152と、アンドゲート 15
2の出力信号を D端子入力として H (論理「 1」)レベル信号をデータ異常信号 EDとし て出力する D型ラッチ回路 153とを有している。
[0253] 各排他的オアゲート 151は、主メモリデータバス BD1からのデータを各一方の入力 信号とし、副メモリデータバス BD2からのデータを各一方の入力信号とし、両者が一 致する場合に、それぞれ L (論理「0」)レベル信号を出力し、両者が不一致の場合に
、それぞれ H (論理「1」)レベル信号を出力する。
[0254] アンドゲート 152は、各排他的オアゲート 151からの出力信号の反転信号を取り込 み、各入力信号が全て Hレベル (即ち、排他的オアゲート 151の各出力信号が全て L レベル)の場合に、 H (論理「1」)レベル信号を出力する。
[0255] D型ラッチ回路 153は、メモリリード信号 RDに応答して動作するとともに、 D端子入 力(アンドゲート 152の出力信号)に応答して出力信号 (データ異常信号 ED)のレべ ルを変更し、リセット信号 RSTに応答して初期状態にリセットされる。
[0256] 図 26は図 24内のアドレスバス異常チェック用の指定アドレス検出回路 143を具体 的に示している。
[0257] 図 26において、指定アドレス検出回路 143は、 Hレベル信号を一方の入力信号と する複数の排他的オアゲート 161と、 Lレベル信号を一方の入力信号とする複数の 排他的オアゲート 162と、排他的オアゲート 161の各出力信号及びアドレスストロー ブ信号 STRの論理積をとるナンドゲート 163と、排他的オアゲート 162の各出力信号 及びアドレスストローブ信号 STRの論理積をとるナンドゲート 164と、ナンドゲート 16
3の出力信号をセット端子の入力信号とする D型ラッチ回路 165と、ナンドゲート 164 の出力信号をセット端子の入力信号とする D型ラッチ回路 166と、 D型ラッチ回路 16 5, 166の各出力信号の論理積をとるアンドゲート 167と、指定アドレス検出回路 143 のリセット信号 RST1に応答して動作する D型ラッチ回路 168と、指定アドレス検出回 路 143のマスク信号 MSKに応答して動作する D型ラッチ回路 169と、アンドゲート 16 7の出力信号と D型ラッチ回路 169の出力信号との論理和をとるオアゲート 170とを 有している。
[0258] 並設された排他的オアゲート 161, 162の各他方の入力端子には、それぞれ、アド レスバス BAを介した指定アドレスが入力されて!、る。
[0259] 各排他的オアゲート 161は、アドレスバス BA力 入力される指定アドレスが Hレべ ル信号の場合には、それぞれ Lレベル信号を出力し、指定アドレスが Lレベル信号の 場合には、それぞれ Hレベル信号を出力する。
[0260] 逆に、各排他的オアゲート 162は、アドレスバス BA力 入力される指定アドレスが
Hレベル信号の場合には、それぞれ Hレベル信号を出力し、指定アドレスが Hレベル 信号の場合には、それぞれ Lレベル信号を出力する。
[0261] 各排他的オアゲート 161の出力信号は、アドレスストローブ信号 STRとともに、レべ ル反転されてナンドゲート 163に入力される。同様に、各排他的オアゲート 162の出 力信号は、アドレスストローブ信号 STRとともに、レベル反転されてナンドゲート 164 に入力される。
[0262] 従って、アドレスバス BAが健全であれば、ナンドゲート 163, 164は、アドレススト口 ーブ信号 STRに同期して、アドレスバス BAを介して周期的に入力される指定アドレ ス(「FFFF」、 「0000」)により、一定周期毎に、かつ相補的に Hレベル信号を出力す ることになる。
[0263] D型ラッチ回路 168は、 D入力端子に Lレベル信号が印加され、第 1のリセット信号 RST1により動作する。 D型ラッチ回路 168の出力信号は、 D型ラッチ回路 165, 16 6の各リセット端子に印加されている。 D型ラッチ回路 169は、 D入力端子にデータバ ス BDの 0ビット信号(マスク ON時に「0」、マスク OFF時に「1」となる) BTOが印加さ れるとともに、マスク信号 MSKにより動作する。各 D型ラッチ回路 168, 169は、第 2
のリセット信号 RST2により、それぞれリセットされる。
[0264] オアゲート 170は、アンドゲート 167の出力信号又は D型ラッチ回路 169の出力信 号が Hレベルを示す場合に、アドレスバス異常信号 EBAを出力する。
[0265] 上記のように構成された電子安全コントローラ 21にお 、ては、メモリデータ異常チェ ック回路 141によるデータ異常チェックのみならず、指定アドレス出力ソフトウェア 14 2a及び指定アドレス検出回路 143によるアドレスノ ス BAの異常チェックと、データバ ス異常チェックソフトウェア 142bによるデータバス BDの異常チェックとが実行される
[0266] 次に、図 24—図 28を参照しながら、上記の 3通りの異常チェック動作について、さ らに具体的に説明する。
図 27は図 24の CPU142内の指定アドレス出力ソフトウェア 142aと指定アドレス検 出回路 143とによる処理動作を示すフローチャートであり、アドレスバス BAの異常チ エック時に指定アドレス検出回路 143に指定アドレスを出力するときの動作手順を示 している。
図 28は図 24の CPU142内のデータバス異常チェックソフトウェア 142bの処理動 作を示すフローチャートである。
[0267] まず、図 24及び図 25を参照しながら、メモリデータ異常チェック回路 141によるデ ータ異常チェック動作にっ 、て説明する。
メモリデータ異常チェック回路 141にお 、て、主メモリ 141a及び副メモリ 141bには 、同一のアドレス空間が重ねて割り付けられており、 CPU142が主メモリ 141a及び副 メモリ 141bにデータを書き込んだ場合には、主メモリ 141a及び副メモリ 141bの同じ アドレスに同じデータがそれぞれ書き込まれる。
[0268] 一方、 CPU142が主メモリ 141a及び副メモリ 141bからデータを読み出した場合に は、主メモリ 141aのデータは、主メモリデータバス BD1上に読み出され、データバス BDを介して CPU142に渡される力 gijメモリ 141bのデータは、 gijメモリデータバス B D2上に読み出されるものの、データバッファ 141cにブロックされるので、データバス BDに送出されない。
[0269] 従って、主メモリ 141a及び副メモリ 141bからの 2つのメモリ出力が衝突することはな
ぐ主メモリ 141aのデータのみが CPU142に渡され、正常に書き込みと読み出しとが 実行される。
[0270] この動作と同時に、主メモリデータバス BD1上に読み出された主メモリデータ、及び
、副メモリデータバス BD2上に読み出された副メモリデータは、データ比較回路 141 dに入力されて両者のデータ比較が行われる。
[0271] データ比較回路 141dは、データ異常をチ ックし、異常 (データの不一致)が検出 されれば、データ異常信号 EDを出力する。
[0272] 次に、図 24、図 26及び図 27を参照しながら、 CPU142内の指定アドレス出力ソフ トウエア 142aと指定アドレス検出回路 143とによるアドレスバス BAの異常チェック動 作について説明する。
[0273] CPU142は、アドレスバス BAのうち、メモリシステムに使用される全ビット信号の各 々について、「0」、「1」の両方の場合が確認できるチェック用の指定アドレス(例えば 、 8ビットの場合、「FF」と「00」)を用い、指定アドレス出力ソフトウェア 142aを実行す ることにより、図 27の処理 (ステップ S101— S104)を周期的に繰り返し実行する。ま た、これと同時に、アドレスバス BA上に設置された指定アドレス検出回路 143に指定 アドレスを検出させる。指定アドレス検出回路 143は、全ての指定アドレスを検出する ことができない場合に、アドレスバス BAに異常有りと判定し、アドレスバス異常信号 E BAを出力する。
[0274] 図 27において、まず、 CPU142は、指定アドレス検出回路 143のマスクを ONして( ステップ S101)、指定アドレス検出回路 143内の D型ラッチ回路 169を動作させると ともに、 0ビット信号 BTO ( = 0)を D入力端子に印加する。続いて、第 1のリセット信号 RST1により指定アドレス検出回路 143をリセットし (ステップ S102)、D型ラッチ回路 168を動作させる。
[0275] 次に、アドレスが全て「1」となる最大値のアドレス「FFFF」(又は、アドレスが全て「0 」となる最小値のアドレス「0000」)を読む (ステップ S 103)。最後に、指定アドレス検 出回路 143のマスクを OFFにして(ステップ S104)、 D型ラッチ回路 169の D入力端 子に 0ビット信号 BTO (= 1)を印加し、 D型ラッチ回路 169の動作状態を反転させて 、図 27の処理ルーチンを抜け出る。
[0276] 次に、図 24及び図 28を参照しながら、 CPU142内のデータバス異常チェックソフト ウェア 142bによるデータノ ス BDの異常チェック動作について説明する。
CPU142は、データバス BDのうち、メモリシステムに使用される全ビット信号の各 々について、 「0」、「1」の両方の場合が確認できるチェック用の指定データ (例えば、 8ビットの場合、「AA」及び「55」、又は、「01」、「02」、「04」、「08」、「10」、「20」、「 40」及び「80」などの糸且の値)を用い、図 28の処理 (ステップ S 105— SI 11)によるリ 一ドライトチェック動作を周期的に繰り返し実行する。
[0277] CPU142は、データバス異常チェックソフトウェア 142bによる判定処理において、 全ての指定データが一致しなければ、データバス BDに異常有りと判定し、データバ ス異常信号 EBDを出力する。
[0278] 図 28において、 CPU142は、まず、指定データを特定する変数 Nを「1」に初期設 定し (ステップ S 105)、 N ( = 1)番目の指定データ( =「01」)を RAM (主メモリ 141a 及び畐 liメモリ 141b)内のテストアドレスに書き込む(ステップ S 106)。続いて、ステップ S12で書き込んだ指定データをテストアドレス力も読み出し (ステップ S107)、書き込 み前の指定データと一致するか否かを判定する (ステップ S 108)。
[0279] ステップ S108において、読み出し後の指定データが書き込み前の指定データと一 致しない(即ち、 NO)と判定されれば、 CPU142は、データバス BDに異常有りと見 なし、データバス異常信号 EBDを出力して (ステップ S109)、異常終了する。
[0280] 一方、ステップ S108において、読み出し後の指定データが書き込み前の指定デー タと一致する(即ち、 YES)と判定されれば、変数 Nをインクリメントして (ステップ S 11 0)、変数 Nが「8」以下であるか否かを判定する(ステップ SI 11)。
[0281] ステップ S111において、 N≤8 (即ち、 YES)と判定されれば、指定データの書き込 み処理 (ステップ S 106)に戻り、上記処理ステップ S 107— S 110を繰り返し実行する 。即ち、 2番目の指定データ( =「02」)、 3番目の指定データ(=「02」)、 · · ·、 8番目 の指定データ(=「80」)が、順次 RAM内のテストアドレスに書き込まれ (ステップ S1 06)、それぞれの読み出し後に (ステップ S 107)、一致又は不一致が判定される (ス テツプ S 108)。
[0282] 一方、ステップ S111において、 N> 9 (即ち、 NO)と判定されれば、全ての指定デ
ータ(N= l— 8)についてデータバス異常チェックが実行され、かつ全ての指定デー タが書き込み前後で一致したものと見なし、 CPU142は、図 28の処理ルーチンを正 常終了する。
[0283] このように、従来システムと同様のメモリデータ異常チェック回路 141による処理に カロえて、メモリ書き込み時及び読み出し時に使用するアドレスバス BA及びデータバ ス BDの周期的な異常チェック処理を実行することにより、異常チェックの信頼性を向 上させることができる。
[0284] 特に、上記異常チェックは、エレベータ電子安全装置におけるメモリシステムの健 全性をチェックする際に有効である。
[0285] このように、この例における電子安全コントローラ 21は、指定アドレス出力ソフトゥェ ァ及びデータバス異常チェックソフトウェアを有する CPUと、アドレスバス及びデータ バスを介して CPUに接続された主メモリ及び副メモリと、主メモリ及び副メモリのデー タを比較するメモリデータ異常チェック回路、及びアドレスバスを介して CPUに接続さ れた指定アドレス検出回路とを備え、 CPUは、指定アドレス出力ソフトウェアを実行 するとともに、指定アドレス検出回路を用いて、アドレスバスの異常チェックを周期的 に行い、 CPUは、データノ ス異常チェックソフトウェアを実行するとともに、主メモリ及 び副メモリを用いて、データバスの異常チェックを周期的に行う。
[0286] また、 CPUは、指定アドレス出力ソフトウェアを実行して、アドレスバスのうち、主メ モリ及び副メモリに使用される全ビット信号の各々について、「0」、 「1」の両方の場合 が確認できるチェック用の指定アドレスを指定アドレス検出回路に周期的に出力し、 指定アドレス検出回路は、 CPU力も周期的に出力される複数の指定アドレスを検出 し、複数の指定アドレスの全てを検出できない場合には、アドレスバスの異常と判定 してアドレスバス異常信号を出力する。
[0287] さらに、 CPUは、データバス異常チェックソフトウェアを実行して、データバスのうち 、主メモリ及び副メモリに使用される全ビット信号の各々について、「0」、 「1」の両方 の場合が確認できるチェック用の指定データを周期的に入出力し、 CPU力 周期的 に出力される複数の指定データを、主メモリ及び副メモリにー且書き込んだ後に読み 出して比較し、書き込み前の複数の指定データと読み出し後の複数の指定データと
が全て一致しな 、場合には、データバスの異常と判定してデータバス異常信号を出 力する。
[0288] «最寄り階停止動作の監視 »
次に、図 29は図 1の最寄り階停止指令発生時の電子安全コントローラ 21及びエレ ベータ制御部 11の動作を示すフローチャートである。まず、例えば電子安全コント口 ーラ 21自体の故障など、力ごを最寄り階停止させるべき異常が電子安全コントローラ 21により検出されると (ステップ S121)、電子安全コントローラ 21からエレベータ制御 部 11の運転制御部 12に対して最寄り階停止指令信号が出力される (ステップ S 122 )。これにより、運転制御部 12は、力ごを最寄り階に停止するための処理を実行する( ステップ S 123)。
[0289] また、電子安全コントローラ 21では、最寄り階停止指令信号の出力と同時に、内蔵 の非常停止タイマを起動し、非常停止タイマによるカウントを開始する (ステップ S12 4)。非常停止タイマは、予め設定された時間 (最寄り階停止を完了するのに十分な 時間)が経過するとタイムアップする。非常停止タイマがタイムアップすると、電子安 全コントローラ 21からエレベータ制御部 11の安全回路部 13に対して非常停止指令 が出力される (ステップ S125)。これにより、エレベータ制御部 11は、非常停止動作 を行う(ステップ S 126)。
[0290] 電子安全コントローラ 21からの最寄り階停止指令によりかごが最寄り階に正常に停 止された場合、非常停止タイマのタイムアップ時には、かごは停止しており、駆動装 置 7のブレーキ部 9は制動状態である。従って、非常停止指令が出力されても、実質 的な変化は生じない。これに対して、万一、エレベータ制御部 11側の異常により、電 子安全コントローラ 21からの最寄り階停止指令によりかごが最寄り階に停止されない 場合、非常停止タイマのタイムアップ時にかごは非常停止されることになる。
[0291] 図 30は図 1の電子安全コントローラ 21及びエレベータ制御部 11の要部を示す回 路図である。電子安全コントローラ 21には、上記の非常停止タイマとして機能する非 常停止タイマ回路部 171が設けられている。非常停止タイマ回路部 171は、電子安 全コントローラ 21内のソフトウェアプログラム力も独立したハードウェア回路により構 成されている。
[0292] 最寄り階停止出力ポート 172からの指令は、第 1のトランジスタ 173と、非常停止タ イマ回路部 171とに同時に入力される。第 1のトランジスタ 173に最寄り階停止指令 が入力されると、第 1のリレー部 174がオフにされ、運転制御部 12に最寄り階停止指 令信号が入力される。
[0293] 非常停止タイマ回路部 171に最寄り階停止指令が入力されると、カウントが開始さ れる。非常停止タイマ回路部 171のカウントがタイムアップした場合、又は非常停止 出力ポート 175から非常停止指令が出力された場合、第 2のトランジスタ 176がオフ にされ、第 2のリレー部 177がオフにされ、非常停止指令が安全回路部 13に入力、 即ち安全回路部 13が遮断される。これにより、駆動装置 7の駆動電源コンタクタとブ レーキ電源コンタクタとが落ち、かごが非常停止される。
[0294] このようなエレベータ装置によれば、エレベータ制御部 11による最寄り階停止が万 一正常に実行できない場合にも、電子安全コントローラ 21により異常が検出されたま まかごが運転され続けるのを防止することができる。また、電子安全コントローラ 21の 故障検出時に、直ちに非常停止が実行されるわけではなぐエレベータ制御部 11が 正常であれば最寄り階停止が実行されるため、電子安全コントローラ 21の故障で乗 客がかごに閉じこめられることがない。
[0295] なお、非常停止タイマ回路部 171の健全性のチェックは、周期的かつ自動的に実 施されるのが好適である。非常停止タイマ回路部 171の健全性のチェックは、例えば 1日 1回、所定時間かご呼びが登録されずに自動消灯モードに入ったときに行えばよ い。
健全性チェックの流れとしては、まず、エレベータ制御部 11から健全性チェックの 受け入れ許可を知らせる信号が電子安全コントローラ 21に入力される。この許可信 号を受けて、電子安全コントローラ 21からエレベータ制御部 11に、チェック開始を知 らせる信号が入力され、続いて最寄り階停止指令が入力される。そして、エレベータ 制御部 11から電子安全コントローラ 21に対して、チェック結果の良否を知らせる信号 が戻される。
チェック終了後には、非常停止タイマ回路部 171がハードウェアリセットにより復帰 され、第 2のリレー部 177がオンにされる。