WO2019171424A1 - Elevator safety control device - Google Patents

Elevator safety control device Download PDF

Info

Publication number
WO2019171424A1
WO2019171424A1 PCT/JP2018/008305 JP2018008305W WO2019171424A1 WO 2019171424 A1 WO2019171424 A1 WO 2019171424A1 JP 2018008305 W JP2018008305 W JP 2018008305W WO 2019171424 A1 WO2019171424 A1 WO 2019171424A1
Authority
WO
WIPO (PCT)
Prior art keywords
safety
task
safety control
time
control cycle
Prior art date
Application number
PCT/JP2018/008305
Other languages
French (fr)
Japanese (ja)
Inventor
昭之 鳥谷
雅史 塩
洋平 塚本
Original Assignee
三菱電機株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機株式会社 filed Critical 三菱電機株式会社
Priority to PCT/JP2018/008305 priority Critical patent/WO2019171424A1/en
Priority to CN201880089881.5A priority patent/CN111788140A/en
Priority to JP2020504489A priority patent/JP7003217B2/en
Publication of WO2019171424A1 publication Critical patent/WO2019171424A1/en

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B5/00Applications of checking, fault-correcting, or safety devices in elevators
    • B66B5/02Applications of checking, fault-correcting, or safety devices in elevators responsive to abnormal operating conditions

Definitions

  • the present invention relates to an elevator safety control device that controls the operation of an elevator having a plurality of safety control functions.
  • non-safety control function includes the following. ⁇ Data logging function (DLOG) ⁇ Interface function (CCIF) with elevator operation control device
  • the safety control function as described above is expected to expand further in the future.
  • a plurality of boards or devices must be prepared for each safety function. For this reason, the cost of an apparatus and the effort of installation and maintenance of an apparatus will increase.
  • each control function is independent so that applications of safety control functions or non-safety control functions do not affect other safety control functions. It is necessary to ensure sex.
  • the time partition TP1 includes a safety control function task ST1
  • the time partition TP2 includes a safety control function task ST2
  • the time partition TP3 includes a non-safety control function tasks NST1 and NST2.
  • Each is scheduled.
  • the scheduling method in each TP is free. However, in order to ensure independence, it is not possible to mix the task of the application related to the safety control function and the task of the application related to the non-safety control function in the same TP.
  • the worst execution time indicates the worst case time that takes the longest time to complete the processing. For this reason, in Patent Document 2, each partition is set to be larger in consideration of the worst execution time, and when the task is completed early, a free time occurs in the partition.
  • the present invention has been made to solve the above-described problems, and achieves efficient task scheduling while ensuring the independence of the safety control function task and the non-safety control function task.
  • the purpose is to obtain an elevator safety control device.
  • the elevator safety control device stores a plurality of safety control functions and a plurality of non-safety control functions as independent programs, and each control cycle when the plurality of safety control functions are executed in each control cycle.
  • a storage unit that stores safety scheduling information in which scheduling and execution order are defined in advance, and by sequentially executing each program corresponding to a plurality of safety control functions and a plurality of non-safety control functions according to the safety scheduling information, the elevator
  • the CPU performs a control operation of the control, and in each control cycle, the CPU sequentially executes the safety control function without any free time in accordance with the execution order defined as the safety scheduling information, and is assigned within the control cycle.
  • Within the control cycle after executing all safety control functions In came time, and executes a plurality of non-safety control functions.
  • the safety control function task is preferentially executed, and the vacant time after the execution of the safety control function is completed is summarized after each control cycle, and the vacant time is used to make the non-safety control function. It has a configuration that can execute. As a result, it is possible to obtain an elevator safety control device that realizes efficient task scheduling while ensuring the independence of the safety control function task and the non-safety control function task.
  • Embodiment 1 of this invention It is a block diagram of the elevator safety control apparatus in Embodiment 1 of this invention. It is a figure for demonstrating the task processing content performed in the control period of the 1st time based on safe scheduling information and non-safety scheduling information in the logic part and independence guarantee part which concern on Embodiment 1 of this invention. It is a figure for demonstrating the task processing content performed in the control period of the 2nd time based on safe scheduling information and non-safety scheduling information in the logic part and independence guarantee part which concern on Embodiment 1 of this invention. 4 is a flowchart summarizing a series of task processes executed by a logic unit and an independence assurance unit according to Embodiment 1 of the present invention.
  • Embodiment 1 of this invention it is a figure for demonstrating the error process at the time of the interruption process generate
  • Embodiment 2 of this invention It is a figure for demonstrating operation
  • Embodiment 1 FIG. First, the terms used in the description of the present invention include “task”, “specified time”, “control cycle”, “safe scheduling information”, “non-safe scheduling information”, “task suspension”, and “task termination”. Table 1 summarizes the meanings of the meaning contents.
  • FIG. 1 is a configuration diagram of an elevator safety control device according to Embodiment 1 of the present invention.
  • the elevator safety control device according to the first embodiment includes an input unit 10, a logic unit 20, and an independence assurance unit 30.
  • the CPU 21 in the logic unit 20 acquires a signal related to the state of the elevator as an input value, and reads the program 40, the safety scheduling information 50, and the non-safety scheduling information 60.
  • the program 40, the safety scheduling information 50, and the non-safety scheduling information 60 correspond to data stored in the storage unit, and the CPU 21 in the logic unit 20 refers to these data and is necessary for elevator control. Will be executed.
  • the program 40 has a plurality of safety control function tasks 41 and a plurality of non-safety control function tasks 42.
  • the safety scheduling information 50 is scheduling information that defines in what control cycle the tasks 41 of a plurality of safety control functions should be executed in what order. Specifically, the safety scheduling information 50 is defined with an execution order of each task of the safety control function, a prescribed time of the task, and a final flag indicating that it is a final safety task executed at the end of each control cycle. Information.
  • the safety control function tasks ST1 and ST2 are sequentially executed in the first control cycle, and the safety control function tasks ST1 and ST3 are sequentially executed in the next control cycle.
  • each of the tasks ST1, ST2, and ST3 is monitored at specified times T1, T2, and T3.
  • Non-safety scheduling information 60 is scheduling information that defines the execution order of tasks 42 of a plurality of non-safety control functions. Specifically, the non-safety scheduling information 60 is information that defines only in what order the tasks of the non-safety control function should be executed without depending on the control cycle.
  • non-safety scheduling information 60 shown in FIG. 1 it is defined that the non-safety control function tasks NST1, NST2, NST3, and NST1 should be executed sequentially.
  • the CPU 21 in the logic unit 20 uses the input value, and a plurality of safety control functions whose scheduling is defined by the safety scheduling information 50 and a plurality of non-safety control functions whose scheduling is defined by the non-safety scheduling information 60 Are sequentially executed as independent programs 40 to perform elevator control calculation.
  • the CPU 21 in the logic unit 20 can cause the context block 70 to store information on the execution state of each program 40 that is independently executed, and read out the information on the execution state as necessary. it can.
  • the context block 70 corresponds to readable / writable data stored in the storage unit.
  • the independence assurance unit 30 controls all the control functions including a plurality of safety control function tasks 41 and a plurality of non-safety control function tasks 42 so that a certain control function does not affect other control functions. Ensures independence between functions.
  • the independence assurance unit 30 includes a specified time timer 31 that monitors the progress of a specified time, a control cycle timer 32 that monitors the progress of a control period, and a memory protection function 33.
  • the logic unit 20 and the independence assurance unit 30 work together to execute each task specified by the safety scheduling information 50 and the non-safety scheduling information 60 sequentially as an independent program 40.
  • the technical feature is that the idle time during which the task 41 of the safety control function is not executed can be collected after each control cycle.
  • this idle time is independent of the safety control function, unlike the conventional method. For this reason, it becomes possible to sequentially assign the tasks 42 of the non-safety control function whose execution order is defined by the non-safety scheduling information 60 to the idle time of each control cycle. As a result, the present invention can measure the improvement in the utilization efficiency of the CPU 21 as compared with the conventional method.
  • FIG. 2A shows the task processing contents executed in the first control cycle based on the safety scheduling information 50 and the non-safety scheduling information 60 in the logic unit 20 and the independence assurance unit 30 according to Embodiment 1 of the present invention. It is a figure for demonstrating.
  • 2B shows task processing executed in the second control cycle based on the safety scheduling information 50 and the non-safety scheduling information 60 in the logic unit 20 and the independence assurance unit 30 according to Embodiment 1 of the present invention. It is a figure for demonstrating the content.
  • the first control cycle is shown as a period from time t0 to time t3, and in FIG. 2B, the second control cycle is shown as a period from time t3 to time t6.
  • 2A and 2B illustrate examples of task processing results executed by the logic unit 20 and the independence assurance unit 30 in accordance with the safety scheduling information 50 and the non-safety scheduling information 60 shown in FIG. Yes.
  • the tasks ST1 and ST2 of the safety control function are sequentially executed without any free time. Further, in the idle time after the safety control function tasks ST1 and ST2 are executed, the non-safety control function tasks NST1, NST2, and NST3 are successively executed in sequence according to the non-safety scheduling information 60.
  • the processing of task ST1 is completed before the specified time T1 set for task ST1 elapses. Therefore, the CPU 21 starts processing of the task ST2 at time t1 before the interruption by the specified time timer 31 in the independence assurance unit 30 occurs.
  • Time t2 corresponds to the time after the specified time T2 has elapsed from time t1.
  • the CPU 21 receives an interrupt from the specified time timer 31 in a state where the task ST2 is not completed, and interrupts the processing of the task ST2.
  • the period from time t2 to time t3 corresponds to the idle time after processing the tasks ST1 and ST2 in the first control cycle. Therefore, the CPU 21 sequentially executes the non-safety control function tasks NST1, NST2, and NST3 in accordance with the non-safety scheduling information 60. However, at the end time t3 of the first control cycle, an interrupt is generated by the control cycle timer 32 in a state where the processing of the task NST3 is not completed. Therefore, the task NST3 resumes the processing after being interrupted in the idle time of the second control cycle described later.
  • the tasks ST1 and ST3 of the safety control function are sequentially executed without any free time. Further, in the idle time after the safety control function tasks ST1 and ST3 are executed, the non-safety control function tasks are successively and sequentially executed according to the non-safety scheduling information 60. As described above, the task NST3 is suspended in the first control cycle. Therefore, in the idle time in the second control cycle, the process starts from the point where the processing of the task NST3 is resumed, and then the task NST1 is executed according to the non-safety scheduling information 60.
  • time t4 corresponds to the time when the specified time T1 has elapsed from time t3. Accordingly, at time t4, the CPU 21 receives an interrupt from the specified time timer 31 in a state where the task ST1 is not completed, and interrupts the processing of the task ST1. Then, the CPU 21 starts processing of the task ST3 at time t4.
  • the processing of task ST3 is completed before the specified time T3 set for task ST3 has elapsed.
  • the period from time t5 to time t6 corresponds to the idle time after processing the tasks ST1 and ST3 in the second control cycle. Accordingly, the CPU 21 resumes the continuation processing of the task NST3 at time t5 before the interruption by the specified time timer 31 in the independence assurance unit 30 occurs.
  • FIG. 3 is a flowchart summarizing a series of task processes executed by the logic unit 20 and the independence assurance unit 30 according to the first embodiment of the present invention. In the following description, the flowchart of FIG. 3 will be described based on the specific task scheduling shown in FIGS. 1 and 2.
  • the logic unit 20 performs initial setting in step S301, and then assigns the first task ST1 among the tasks of the safety control function in the first control cycle based on the safety scheduling information 50 in step S302.
  • step S303 the logic unit 20 executes the task before the specified time T1 assigned to the task ST1 elapses, that is, before the interrupt is generated by the specified time timer 31 in the independence assurance unit 30. It is determined whether the termination process of ST1 has been executed. The logic unit 20 proceeds to step S305 if it determines Yes in step S303, and proceeds to step S304 if it determines No.
  • step S304 the logic unit 20 interrupts the task ST1 due to an interrupt generated by the specified time timer 31, and proceeds to step S305.
  • step S305 the logic unit 20 determines based on the final flag whether there are still safety control function tasks to be executed in the first control cycle.
  • step S303 the logic unit 20 proceeds to step S302 if it determines Yes, and proceeds to step S306 if it determines No.
  • step S302 it is necessary to process task ST2 after task ST1 of the safety control function in the first control cycle. Therefore, after the processing of step S302 to step S305 is performed for task ST2, the process proceeds to step S306.
  • step S306 the logic unit 20 and the independence assurance unit 30 sequentially execute the non-safety control function tasks in the idle time after executing the safety control function tasks ST1 and ST2 in the first control cycle. Will be.
  • step S306 the logic unit 20 determines whether there is a non-safety control function task to be executed in the idle time in the first control cycle based on the non-safety scheduling information 60. The logic unit 20 proceeds to step S307 if it determines Yes in step S306, and proceeds to step S310 if it determines No.
  • the logic unit 20 assigns the first task NST1 among the tasks of the non-safety control function based on the non-safety scheduling information 60.
  • step S308 the logic unit 20 executes the end process of the task NST1 before the control cycle ends, that is, before an interrupt is generated by the control cycle timer 32 in the independence assurance unit 30. Determine whether.
  • the logic unit 20 proceeds to step S306 if it is determined Yes in step S308, and proceeds to step S309 if it is determined No.
  • the logic unit 20 repeats the processes of Steps S306 to S308 until the interrupt of the control cycle timer 32 is received, thereby continuing the tasks of the non-safety control function set as the non-safety scheduling information 60. Will be executed sequentially.
  • step S309 the logic unit 20 interrupts the task of the non-safety control function currently being executed and generates a series of processing for the first control cycle when an interrupt is generated by the control cycle timer 32.
  • the process returns to step S302.
  • the task NST3 is interrupted and the first control cycle is completed when an interrupt is generated by the control cycle timer 32 while the task NST3 of the non-safety control function is being executed. It will be.
  • step S310 the logic unit 20 waits until an interrupt is generated by the control cycle timer 32 because there is no non-safety control function task to be executed.
  • step S311 the interruption by the control cycle timer 32 is generated, so that the series of processes for the first control cycle is completed, and the process returns to step S302.
  • the safety scheduling information 50 stipulates that the tasks ST1 and ST3 of the safety control function should be executed in the second control cycle. Accordingly, when the process returns to step S302 after completing the series of processes in the first control cycle, the respective task processes in the second control cycle are successively executed.
  • FIG. 4 is a diagram showing a modified example of the safe scheduling information and the non-safe scheduling information according to Embodiment 1 of the present invention.
  • the safety scheduling information 50 shown in FIG. 1 is composed of safety control function tasks.
  • the safety scheduling information 50a shown in FIG. 4 includes one or more non-safety control function tasks.
  • the safety scheduling information 50a shown in FIG. 4 stipulates that the task NST1 of the non-safety control function is executed following the task ST1 of the safety control function in the first control cycle. It is defined that the non-safety control function task NST2 is executed following the safety control function task ST1 in the control cycle.
  • the non-safety scheduling information 60a shown in FIG. 4 is configured such that tasks NST3, NST4, and NST5 of other non-safety control mechanisms that are not incorporated in the safe scheduling information 50a are defined in order of execution.
  • the safety scheduling information 50a configured to include one or more non-safety control function tasks, it is possible to ensure the real-time property of the non-safety control function tasks NST1 and NST2. .
  • FIG. 5 is a diagram for explaining error processing when interruption processing occurs during execution of a safety control function task in the first embodiment of the present invention.
  • the CPU 21 can execute an error process after the interruption by the specified time timer 31 at time t2.
  • error processing it is necessary to specify in advance a task that cannot be interrupted among the tasks of the safety control function. Therefore, in order to perform such identification, information indicating whether or not to interrupt can be associated with each safety control function task and stored as safety scheduling information 50 or stored in the context block 70. Can be considered.
  • the CPU 21 can also acquire the control cycle timer value from the control cycle timer 32 in real time during execution of each task and use it for arithmetic processing.
  • Modification 5 Using the idea of the modification 4, the CPU 21 can further measure the elapsed time of task processing over a plurality of control cycles by counting the number of times the control cycle has elapsed.
  • 6A and 6B are diagrams for explaining the operation of the fifth modification example in the first embodiment of the present invention.
  • task ST2 corresponds to a task that is not desired to be interrupted in a specific section.
  • the CPU 21 reads the control cycle timer value ta from the control cycle timer 32 at the start of the task ST2. Then, after starting the execution of the task ST1, the CPU 21 reads the control cycle timer value tb from the control cycle timer 32 at the time indicated by [2] corresponding to the start of a specific section in which interrupt is not accepted.
  • the specific section in which the interrupt is not accepted can be defined in advance as a period tc that assumes the longest execution time, and is set in the memory 22 corresponding to the internal memory. be able to.
  • the CPU 21 determines whether the condition of the following expression (1) is satisfied at the time indicated by [2] in FIG. 7A. td ⁇ tb ⁇ ta + tc (1)
  • the CPU 21 can take a countermeasure when an interrupt occurs in the specific section by performing the following process.
  • the CPU 21 can execute a flag process that sets a start flag when a specific section is started and sets an end flag when the process of the specific section is completed.
  • the CPU 21 By executing such flag processing, the CPU 21 sets a start flag and does not set an end flag when a specified time timer interrupt occurs after a specific section starts. It can be determined that an interrupt has occurred in a specific section. Therefore, when the CPU 21 determines that an interrupt has occurred in a specific section, the CPU 21 can take measures such as executing a safe operation of the elevator, for example.
  • the idle time during which the safety control function task is not executed can be collected after each control cycle.
  • the utilization efficiency of the CPU is improved, and efficient task scheduling can be realized while ensuring the independence of the safety control function task and the non-safety control function task.
  • Embodiment 2 a case where the task scheduling method described in the first embodiment is applied to a specific configuration of the elevator system will be described.
  • a terminal floor forced reduction device that detects the car overspeed and activates the braking device to decelerate to a safe speed or less before the buffer collision (for example, (See Patent Document 4).
  • these safety systems also have maintenance functions such as internal data logging and data output in order to improve maintainability.
  • these maintenance functions are non-safety functions and have lower execution priority than the safety functions. For this reason, in order to improve the throughput of maintenance functions without hindering the execution of safety functions, improve the time efficiency by using the time when safety functions are not executed efficiently and executing non-safety functions. A mechanism to make it necessary.
  • FIG. 8 is an overall configuration diagram of an elevator system to which the elevator safety control device according to Embodiment 2 of the present invention is applied.
  • the elevator system 200 shown in FIG. 8 includes an elevator mechanism unit 210, an elevator driving device 220, a brake device 230, an elevator safety circuit 240, an elevator operation control unit 250, and an elevator safety monitoring unit 260.
  • the elevator mechanism unit 210 includes a car 211, a weight 212, a sheave 213, a return wheel 214, a rope 215, and a device 216 in the hoistway.
  • the car 211 and the weight 212 are connected by a rope 215, and the rope 215 is suspended from a sheave 213 and a return wheel 214.
  • the hoistway device 216 includes a landing door switch 216a, a car door switch 216b, a door zone plate 216c, a door zone sensor 216d, an end point switch cam 216e, an upper reference position switch 216f in the hoistway, and a lower reference position switch in the hoistway. 216g, a governor sheave 216h, a governor rope 216i, and a governor encoder 216j.
  • the landing door switch 216a is installed at the landing and detects the open state of the landing door.
  • the car door switch 216b is installed in the car and detects the open state of the car door.
  • the door zone plate 216c is installed near the landing in the hoistway.
  • the door zone sensor 216d installed in the car 211 detects that the car floor is within a predetermined distance from the landing floor by detecting the door zone plate 216c.
  • the upper reference position switch 216f is installed in the upper part of the hoistway
  • the lower reference position switch 216g is installed in the lower part of the hoistway, and each has a roller connected and fixed to the switch contact.
  • the roller contacts are pressed by the end point switch cam 216e fixed to the car, so that the switch contact is in the detection state. Therefore, the upper reference position switch 216f and the lower reference position switch 216g can detect that the car is at a specified position in the hoistway.
  • the governor sheave 216h is rotated by a governor rope 216i connected and fixed to the car 211.
  • the governor encoder 216j detects the amount of movement of the car by detecting the rotation of the governor sheave 216h.
  • the elevator driving device 220 includes a commercial power source 221, an inverter 222, a motor 223, and a main contact 224 of the main circuit contactor #MC that cuts off power supply from the commercial power source 221 to the inverter 222.
  • the inverter 222 rotates the motor 223 and drives the sheave 213 based on a command from an elevator operation control device (CC) 251 described later.
  • CC elevator operation control device
  • the brake device 230 is a first and second brake shoe 231 that contacts the sheave 213 and applies a braking torque by friction, a first and second brake coil 232 that sucks and drops the brake shoe, and an elevator operation control device (CC).
  • First and second brake choppers 233 for controlling the current of the brake coil according to a command from 251, and a main contact 234 for a brake circuit relay (#BK) for cutting off the power supply from the brake power source to the brake coil 232.
  • the elevator safety circuit 240 is configured by connecting the main contacts of safety relays # SF1 and # SF2 and other safety switch contacts in series to a control power source. By the final output when all the contacts in the elevator safety circuit 240 are turned on, the contactor / relay driving power is supplied to the primary side of the #MC and #BK coils.
  • the elevator operation control unit 250 inputs commands from the elevator operation control device (CC) 251, #MC, #BK, and the elevator operation control device (CC) 251, and turns on / off the power supply to each coil.
  • the switch semiconductor 252 is provided.
  • the elevator operation control device (CC) 251 outputs commands to the inverter 222, the first and second brake choppers 233, and the #MC and #BK switch semiconductors 252 to control the operation of the car 211.
  • the elevator safety monitoring unit 260 inputs commands from the elevator safety monitoring device (SF) 261, the first and second safety relays, and the elevator safety monitoring device (SF) 261 to supply power to each coil.
  • a switch semiconductor 262 that is turned ON / OFF is provided.
  • the elevator safety monitoring device (SF) 261 inputs the states of the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, the upper reference position switch 216f, the lower reference position switch 216g, and the governor encoder 216j.
  • the elevator safety monitoring device (SF) 261 detects at least one or more non-safety states including the terminal floor overspeed, the door open running, and the failure of the own unit component device based on these inputs.
  • Executes a safety stop sequence outputs a stop command to the elevator operation control device (CC) 251 to stop the car 211, shuts down # SF1 and # SF2, and stops and holds the car 211.
  • FIG. 9 is a block diagram showing in detail the internal configuration of the elevator safety monitoring device (SF) 261 according to Embodiment 2 of the present invention.
  • the elevator safety monitoring device (SF) 261 includes a first safety monitoring system 140a and a second safety monitoring system 140b as a dual system composed of the same devices and functions.
  • Each of the first safety monitoring system 140a and the second safety monitoring system 140b has the states of the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, the reference position switches 216f and 216g, and the governor encoder 216j. input.
  • the first safety monitoring system 140a Based on these inputs, the first safety monitoring system 140a outputs a drive command to the switch semiconductor 262 of # SF1 and outputs a stop command to the elevator operation control device (CC) 251. Similarly, based on these inputs, the second safety monitoring system 140b outputs a drive command to the switch semiconductor 262 of # SF2 and outputs a stop command to the elevator operation control device (CC) 251.
  • Each of the first safety monitoring system 140a and the second safety monitoring system 140b has the following four safety control functions.
  • ⁇ Terminal floor forced deceleration function (SETS) ⁇ Open door protection function (UCMP) ⁇ Self-diagnosis function (DIAG) ⁇ Intersystem communication function (ICOM)
  • Each of the first safety monitoring system 140a and the second safety monitoring system 140b has the following two non-safety control functions as maintenance functions.
  • ⁇ Data logging function (DLOG) ⁇ Interface function (CCIF) with elevator operation control device
  • the SETS inputs each state of each reference position switch 216f, 216g, and governor encoder 216j, and executes a safety stop sequence when the current speed of the car exceeds the car overspeed monitoring level according to the current position of the car. It is a function.
  • UCMP inputs each state of the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, and the governor encoder 216j, and the car is set in advance from the landing floor in a state where the landing door or the car door is opened.
  • This function executes a safety stop sequence when the vehicle moves more than the distance or when the current speed of the car exceeds a specified value.
  • DIAG is a function that performs an operation check on unit configuration devices including at least a power supply, a clock, a WDT, a CPU, a memory, a bus, a program, and a safety relay, and executes a safety stop sequence when a failure is detected.
  • the ICOM transmits data such as an input / output state and an operation state between the first safety monitoring system 140a and the second safety monitoring system 140b to each other, and when any mismatch is detected, In this function, it is determined that there has been a calculation failure and the safety stop sequence is executed in both systems.
  • the maintenance function includes a data logging function (DLOG) and a CC interface function (CCIF) as a non-safety control function, and is executed at the timing of the idle time when the safety control function is not executed.
  • DLOG data logging function
  • CCIF CC interface function
  • the ILOG records the I / O status, calculation status, and event history log to store the data
  • the CCIF stores the data in response to a request from the elevator operation control device (CC) 251. Is transmitted.
  • FIG. 10 is a configuration diagram common to the first safety monitoring system 140a and the second safety monitoring system 140b in Embodiment 2 of the present invention.
  • FIG. 10 corresponds to the configuration diagram of FIG. 1 in the first embodiment. That is, the configuration common to the first safety monitoring system 140a and the second safety monitoring system 140b in FIG. 10 is equivalent to the configuration of the elevator safety control device according to the present invention described in FIG. Therefore, in order to make the explanation easy to understand, the reference numerals obtained by adding 100 to the reference numerals in FIG.
  • the first safety monitoring system 140a (second safety monitoring system 140b) according to the second embodiment includes an external device I / F 110, a logic unit 120, and an independence assurance unit 130.
  • the CPU 121 in the logic unit 120 acquires a signal related to the state of the elevator as an input value via the external device I / F 110, a safety control function task 141, a non-safety control function task 142, safety scheduling information 150, and The non-safe scheduling information 160 is read.
  • the safety control function task 141, the non-safety control function task 142, the safe scheduling information 150, and the non-safety scheduling information 160 correspond to data stored in the storage unit, and the CPU 121 in the logic unit 120 With reference to these data, processing necessary for elevator control is executed.
  • the safety control function task 141 is composed of safety programs of a SETS task, a UCMP task, a DIAG task, and an ICOM task. Hereinafter, these tasks may be referred to as “safety tasks”.
  • the task 142 of the non-safety control function is composed of the non-safety logos of the DLOG task and the CCIF task. Hereinafter, these tasks may be referred to as “non-safety tasks”.
  • the safety scheduling information 150 is information in which an execution order of each safety task, a specified execution time, a final flag indicating the final safety task in each control cycle, and an interruption flag indicating whether or not each safety task can be interrupted are defined. .
  • the non-safety scheduling information 160 is information in which only the execution order of each non-safety task is defined.
  • the context block 170 stores a SETS execution state, a UCMP execution state, a DIAG execution state, and an ICOM execution state.
  • the context block 170 corresponds to readable / writable data stored in the storage unit.
  • the external device I / F 110 inputs signals from the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, the reference position switches 216f and 216g, and the governor encoder 216j, or safety relays # SF1 and S #. This is an interface for outputting a drive command to SF2.
  • the logic unit 120 includes a CPU 121 and a memory 122.
  • a SETS area, a UCMP area, a DIAG area, and an ICOM area are allocated as individual areas as areas used when executing various safety tasks.
  • the independence assurance unit 130 includes a specified time timer 131, a control cycle timer 132, and a memory protection function 133.
  • the memory protection function 133 protects the data in the same area and accesses the CPU 121 to detect that an abnormal access has been detected. Send and execute the safety stop sequence. For example, the case where the SETS task accesses the UCMP area corresponds to an abnormal access.
  • the CPU 121 refers to the safety scheduling information 150 after the activation of the first safety monitoring system 140a (second safety monitoring system 140b), and calls a safety task according to a predetermined execution order.
  • the independence assurance unit 130 starts task execution time measurement by the specified time timer 131. Further, when starting the execution of the first task in each control cycle, the independence assurance unit 130 resets the control cycle timer 132 and starts timer counting.
  • the CPU 121 terminates or interrupts the running task when the execution time of the safety task reaches the specified time set in the safety scheduling information, or the task being executed declares task termination by itself.
  • the CPU 121 calls the next safety task, and at the same time, the independence assurance unit 130 resets the specified time timer 131 and starts measuring the execution time of the next task.
  • the CPU 121 refers to the non-safety scheduling information and calls the non-safety task according to a predetermined execution order.
  • the CPU 121 interrupts the non-safety task being executed and shifts to the processing of the next control cycle. Then, the CPU 121 refers to the safety scheduling information and calls the first safety task in the next control cycle. At the same time, the independence assurance unit 130 resets the specified time timer 131 and the control cycle timer 132, respectively, and starts each timer count.
  • the CPU 121 finishes executing the final safety task in the safety scheduling information execution order, the CPU 121 returns to the top of the safety scheduling information execution order at the next safety task execution timing.
  • FIG. 11A is an execution time chart corresponding to an execution plan according to the safe scheduling information 150 and the non-safe scheduling information 160 in Embodiment 2 of the present invention.
  • FIG. 11B is an execution time chart when the task processing according to the second embodiment of the present invention is executed.
  • FIG. 11C is an execution time chart when the task processing according to the prior art is executed.
  • control cycle T 1 [ms] is one execution step, and the safety task and the non-safety task for one cycle are executed in three steps.
  • the ICOM task, the SETS task, and the UCMP task cannot be interrupted, and the DIAG task cannot be interrupted only for 3/3. If a task that cannot be interrupted does not end within the specified time, the CPU 121 detects a program abnormality and executes a safe stop sequence.
  • the specified time allocated to execute each task in the safety scheduling information is determined based on the execution path that maximizes the processing amount among the combination of conditional branches of task processing.
  • the abnormality monitoring process is executed in the normal state, so the actual execution time is shorter than the specified time, but in the abnormal state, the additional safe operation process is also executed. Time approaches the specified time.
  • ⁇ Non-safety task execution time is not defined by non-safety scheduling information, and is not monitored by a specified time timer.
  • the processing time of the DLOG task is 0.1 [ms]
  • the processing time of the CCIF task is 1.0 [ms].
  • the specified execution time of the DIAG task (1/3) is 0.3 [ms]
  • t 0.3 [ms]
  • the execution of the CCIF task is interrupted again.
  • step 3 t 0.6 to 0.8 [ms]. Is executed.
  • the current car speed In the SETS task and the UCMP task, the current car speed must be calculated. Therefore, by using the governor encoder value x_gov ′ and the control cycle timer value t_gov ′ acquired at the previous task execution, the respective current values x_gov and t_gov, the control cycle T, and the speed normalization coefficient K, the CPU 121
  • the idle time when the safety task is completed before the specified time is efficiently used, and more time is allocated to the non-safety task. It is possible. As a result, the utilization efficiency of the CPU 121 is improved, and the time efficiency of task processing can be improved.
  • the idle time during which the safety control function task is not executed can be collected after each control cycle.
  • the utilization efficiency of the CPU is improved, and efficient task scheduling can be realized while ensuring the independence of the safety control function task and the non-safety control function task.

Landscapes

  • Maintenance And Inspection Apparatuses For Elevators (AREA)

Abstract

This elevator safety control device comprises: a storage unit to store each of a plurality of safety control functions and a plurality of non-safety control functions as independent programs and to store safety scheduling information; and a CPU to perform control calculations for an elevator by way of sequentially executing programs, corresponding to each of the plurality of safety control functions and the plurality of non-safety control functions, according to the safety scheduling information. The CPU sequentially executes the safety control functions continuously with no idle time according to the safety scheduling information during each control cycle and executes the plurality of non-safety control functions during idle time in the control cycle after all safety control functions have been executed.

Description

エレベーター安全制御装置Elevator safety control device
 本発明は、複数の安全制御機能を備えたエレベーターの運転を制御するエレベーター安全制御装置に関するものである。 The present invention relates to an elevator safety control device that controls the operation of an elevator having a plurality of safety control functions.
 近年、エレベーターには、種々の安全制御機能が導入されるようになっている。安全制御機能の具体例としては、以下のものが挙げられる。
 ・終端階強制減速機能(SETS)
 ・戸開走行保護機能(UCMP)
 ・自己診断機能(DIAG)
 ・系統間通信機能(ICOM) In recent years, various safety control functions have been introduced into elevators. Specific examples of the safety control function include the following.
・ Terminal floor forced deceleration function (SETS)
・ Open door protection function (UCMP)
・ Self-diagnosis function (DIAG)
・ Intersystem communication function (ICOM)
 一方、非安全制御機能の具体例としては、以下のものが挙げられる。
 ・データロギング機能(DLOG)
 ・エレベーター運転制御装置とのインターフェース機能(CCIF) On the other hand, specific examples of the non-safety control function include the following.
・ Data logging function (DLOG)
・ Interface function (CCIF) with elevator operation control device
 上述したような安全制御機能は、今後、さらに適用範囲の拡大が見込まれる。これらの安全制御機能をそれぞれ実装する場合、安全機能ごとに基板あるいは装置を複数用意しなければならない。このため、装置のコスト、および装置の据付・保守の手間が増大してしまう。 安全 The safety control function as described above is expected to expand further in the future. When implementing each of these safety control functions, a plurality of boards or devices must be prepared for each safety function. For this reason, the cost of an apparatus and the effort of installation and maintenance of an apparatus will increase.
 そこで、この問題を解決するために、複数の安全制御機能を一の基板あるいは一の装置に実装する方法が提案されている(例えば、特許文献1参照)。 Therefore, in order to solve this problem, a method of mounting a plurality of safety control functions on one board or one apparatus has been proposed (for example, see Patent Document 1).
 複数の安全制御機能を一の基板あるいは一の装置に実装する場合、安全制御機能のアプリケーション、あるいは非安全制御機能のアプリケーションが、他の安全制御機能に影響を及ぼさないよう、各制御機能の独立性を確保する必要がある。 When multiple safety control functions are mounted on one board or device, each control function is independent so that applications of safety control functions or non-safety control functions do not affect other safety control functions. It is necessary to ensure sex.
 そこで、タイム・パーティショニングを用いたタスクスケジューリングによって、安全制御機能関連のアプリケーションを、非安全制御機能関連のアプリケーションから独立させている従来技術がある(例えば、特許文献2参照)。各タイムパーティションは、毎周期固定の大きさであり、それぞれのパーティションで決められたタスク群の中から、タスクがスケジューリングされる。 Therefore, there is a conventional technique in which an application related to a safety control function is made independent of an application related to a non-safety control function by task scheduling using time partitioning (see, for example, Patent Document 2). Each time partition has a fixed size for each period, and tasks are scheduled from a group of tasks determined by each partition.
 特許文献2における図1の例では、タイムパーティションTP1には安全制御機能のタスクST1、タイムパーティションTP2には安全制御機能のタスクST2、タイムパーティションTP3には非安全制御機能のタスクNST1とNST2が、それぞれスケジューリングされている。各TP内でのスケジューリング方法は、自由である。ただし、独立性の確保のため、同一のTP内に安全制御機能関連のアプリケーションのタスクと非安全制御機能関連のアプリケーションのタスクとを混在させることはできない。 In the example of FIG. 1 in Patent Document 2, the time partition TP1 includes a safety control function task ST1, the time partition TP2 includes a safety control function task ST2, and the time partition TP3 includes a non-safety control function tasks NST1 and NST2. Each is scheduled. The scheduling method in each TP is free. However, in order to ensure independence, it is not possible to mix the task of the application related to the safety control function and the task of the application related to the non-safety control function in the same TP.
特許第550718号公報Japanese Patent No. 550718 特開2010-271759号公報JP 2010-271759 A 国際公開第2011/158301号International Publication No. 2011/158301 特開2003-104646号公報JP 2003-104646 A
 しかしながら、従来技術には、以下のような課題がある。
 特許文献2で用いられているタイム・パーティショニングでは、毎周期を決まった大きさのパーティションに分割し、かつ、分割されたパーティション内で、決められた種類のアプリケーションのタスクがスケジューリングされる。アプリケーションの処理が完了するまでに要する時間は、条件分岐、バスの競合などの要因によって、変動する。従って、パーティションの大きさは、各アプリケーションの最悪実行時間を考慮して設定する必要がある。 However, the prior art has the following problems.
In the time partitioning used in Patent Document 2, each period is divided into partitions of a fixed size, and tasks of a predetermined type of application are scheduled in the divided partitions. The time required to complete application processing varies depending on factors such as conditional branching and bus contention. Therefore, the size of the partition needs to be set in consideration of the worst execution time of each application.
 ここで、最悪実行時間とは、処理が完了するまでに要する時間が最も長くなるワーストケースの時間を指している。このため、特許文献2では、最悪実行時間を考慮して各パーティションが大きめに設定されており、タスクが早期に終了した場合、パーティション内に空き時間が発生する。 Here, the worst execution time indicates the worst case time that takes the longest time to complete the processing. For this reason, in Patent Document 2, each partition is set to be larger in consideration of the worst execution time, and when the task is completed early, a free time occurs in the partition.
 しかしながら、独立性の確保のためには、安全制御機能関連のアプリケーションのタスクと非安全制御機能関連のアプリケーションのタスクとは、必ず別のパーティションにスケジューリングしなければならない。 However, in order to ensure independence, the task of the application related to the safety control function and the task of the application related to the non-safety control function must be scheduled in different partitions without fail.
 したがって、安全制御機能関連のアプリケーションに割り当てられたパーティションに空きが発生したとしても、その空き時間に非安全制御機能関連のアプリケーションのタスクを割り当てることはできない。この結果、特許文献2で用いられているタイム・パーティショニングでは、CPUの利用効率を向上できないという課題がある。 Therefore, even if the partition assigned to the safety control function related application is vacant, the task of the non-safety control function related application cannot be assigned to the free time. As a result, the time partitioning used in Patent Document 2 has a problem that the utilization efficiency of the CPU cannot be improved.
 本発明は、前記のような課題を解決するためになされたものであり、安全制御機能のタスクと非安全制御機能のタスクとの独立性を確保した上で、効率的なタスクスケジューリングを実現するエレベーター安全制御装置を得ることを目的とする。 The present invention has been made to solve the above-described problems, and achieves efficient task scheduling while ensuring the independence of the safety control function task and the non-safety control function task. The purpose is to obtain an elevator safety control device.
 本発明に係るエレベーター安全制御装置は、複数の安全制御機能および複数の非安全制御機能を各々独立したプログラムとして記憶するとともに、複数の安全制御機能を各制御周期で実行する際の制御周期ごとのスケジューリングと実行順序があらかじめ規定された安全スケジューリング情報を記憶する記憶部と、安全スケジューリング情報に従って、複数の安全制御機能および複数の非安全制御機能に対応するそれぞれのプログラムを順次実行することにより、エレベーターの制御演算を行うCPUとを備え、CPUは、各制御周期において、安全スケジューリング情報として規定された実行順序に従って安全制御機能を連続して空き時間なしに順次実行し、制御周期内に割り当てられた安全制御機能をすべて実行した後の制御周期内の空き時間で、複数の非安全制御機能を実行するものである。 The elevator safety control device according to the present invention stores a plurality of safety control functions and a plurality of non-safety control functions as independent programs, and each control cycle when the plurality of safety control functions are executed in each control cycle. A storage unit that stores safety scheduling information in which scheduling and execution order are defined in advance, and by sequentially executing each program corresponding to a plurality of safety control functions and a plurality of non-safety control functions according to the safety scheduling information, the elevator The CPU performs a control operation of the control, and in each control cycle, the CPU sequentially executes the safety control function without any free time in accordance with the execution order defined as the safety scheduling information, and is assigned within the control cycle. Within the control cycle after executing all safety control functions In came time, and executes a plurality of non-safety control functions.
 本発明によれば、安全制御機能のタスクを優先して実行し、安全制御機能の実行が完了した後の空き時間を、各制御周期の後ろにまとめ、空き時間を利用して非安全制御機能を実行することができる構成を備えている。この結果、安全制御機能のタスクと非安全制御機能のタスクとの独立性を確保した上で、効率的なタスクスケジューリングを実現するエレベーター安全制御装置を得ることができる。 According to the present invention, the safety control function task is preferentially executed, and the vacant time after the execution of the safety control function is completed is summarized after each control cycle, and the vacant time is used to make the non-safety control function. It has a configuration that can execute. As a result, it is possible to obtain an elevator safety control device that realizes efficient task scheduling while ensuring the independence of the safety control function task and the non-safety control function task.
本発明の実施の形態1におけるエレベーター安全制御装置の構成図である。It is a block diagram of the elevator safety control apparatus in Embodiment 1 of this invention. 本発明の実施の形態1に係る論理部および独立性保証部において、安全スケジューリング情報および非安全スケジューリング情報に基づいて1回目の制御周期で実行されるタスク処理内容を説明するための図である。It is a figure for demonstrating the task processing content performed in the control period of the 1st time based on safe scheduling information and non-safety scheduling information in the logic part and independence guarantee part which concern on Embodiment 1 of this invention. 本発明の実施の形態1に係る論理部および独立性保証部において、安全スケジューリング情報および非安全スケジューリング情報に基づいて2回目の制御周期で実行されるタスク処理内容を説明するための図である。It is a figure for demonstrating the task processing content performed in the control period of the 2nd time based on safe scheduling information and non-safety scheduling information in the logic part and independence guarantee part which concern on Embodiment 1 of this invention. 本発明の実施の形態1に係る論理部および独立性保証部により実行される一連のタスク処理をまとめたフローチャートである。4 is a flowchart summarizing a series of task processes executed by a logic unit and an independence assurance unit according to Embodiment 1 of the present invention. 本発明の実施の形態1に係る安全スケジューリング情報および非安全スケジューリング情報の変形例を示した図である。It is the figure which showed the modification of the safe scheduling information which concerns on Embodiment 1 of this invention, and non-secure scheduling information. 本発明の実施の形態1において、安全制御機能のタスクを実行中に中断処理が発生した際のエラー処理を説明するための図である。In Embodiment 1 of this invention, it is a figure for demonstrating the error process at the time of the interruption process generate | occur | producing during performing the task of a safety control function. 本発明の実施の形態1における変形例5の動作を説明するための図である。It is a figure for demonstrating operation | movement of the modification 5 in Embodiment 1 of this invention. 本発明の実施の形態1における変形例5の動作を説明するための図である。It is a figure for demonstrating operation | movement of the modification 5 in Embodiment 1 of this invention. 本発明の実施の形態1における変形例6の動作を説明するための図である。It is a figure for demonstrating operation | movement of the modification 6 in Embodiment 1 of this invention. 本発明の実施の形態1における変形例6の動作を説明するための図である。It is a figure for demonstrating operation | movement of the modification 6 in Embodiment 1 of this invention. 本発明の実施の形態1における変形例6の動作を説明するための図である。It is a figure for demonstrating operation | movement of the modification 6 in Embodiment 1 of this invention. 本発明の実施の形態2に係るエレベーター安全制御装置を適用するエレベーターシステムの全体構成図である。It is a whole block diagram of the elevator system which applies the elevator safety control apparatus which concerns on Embodiment 2 of this invention. 本発明の実施の形態2におけるエレベーター安全監視装置の内部構成を詳細に示したブロック図である。It is the block diagram which showed the internal structure of the elevator safety monitoring apparatus in Embodiment 2 of this invention in detail. 本発明の実施の形態2における第1の安全監視系統および第2の安全監視系統に共通の構成図である。It is a block diagram common to the 1st safety monitoring system and the 2nd safety monitoring system in Embodiment 2 of this invention. 本発明の実施の形態2において、安全スケジューリング情報および非安全スケジューリング情報に従った実行計画に相当する実行タイムチャートである。In Embodiment 2 of this invention, it is an execution time chart equivalent to the execution plan according to safe scheduling information and non-safety scheduling information. 本発明の実施の形態2によるタスク処理を実行した際の実行タイムチャートである。It is an execution time chart at the time of performing the task processing by Embodiment 2 of this invention. 従来技術によるタスク処理を実行した際の実行タイムチャートである。It is an execution time chart at the time of performing the task processing by a prior art.
 以下、本発明のエレベーター安全制御装置の好適な実施の形態につき図面を用いて説明する。 Hereinafter, preferred embodiments of the elevator safety control device of the present invention will be described with reference to the drawings.
 実施の形態1.
 まず始めに、本発明の説明で用いられる語句として、「タスク」、「規定時間」、「制御周期」、「安全スケジューリング情報」、「非安全スケジューリング情報」、「タスク中断」、「タスク終了」に関する意味内容の説明を、表1にまとめて示す。 Embodiment 1 FIG.
First, the terms used in the description of the present invention include “task”, “specified time”, “control cycle”, “safe scheduling information”, “non-safe scheduling information”, “task suspension”, and “task termination”. Table 1 summarizes the meanings of the meaning contents.
Figure JPOXMLDOC01-appb-T000001
Figure JPOXMLDOC01-appb-T000001
 図1は、本発明の実施の形態1におけるエレベーター安全制御装置の構成図である。本実施の形態1に係るエレベーター安全制御装置は、入力部10、論理部20、および独立性保証部30を備えて構成されている。論理部20内のCPU21は、エレベーターの状態に関する信号を入力値として取得するとともに、プログラム40、安全スケジューリング情報50、および非安全スケジューリング情報60を読み込む。 FIG. 1 is a configuration diagram of an elevator safety control device according to Embodiment 1 of the present invention. The elevator safety control device according to the first embodiment includes an input unit 10, a logic unit 20, and an independence assurance unit 30. The CPU 21 in the logic unit 20 acquires a signal related to the state of the elevator as an input value, and reads the program 40, the safety scheduling information 50, and the non-safety scheduling information 60.
 ここで、プログラム40、安全スケジューリング情報50、および非安全スケジューリング情報60は、記憶部内に記憶されたデータに相当し、論理部20内のCPU21は、これらのデータを参照して、エレベーター制御に必要な処理を実行することとなる。 Here, the program 40, the safety scheduling information 50, and the non-safety scheduling information 60 correspond to data stored in the storage unit, and the CPU 21 in the logic unit 20 refers to these data and is necessary for elevator control. Will be executed.
 プログラム40は、複数の安全制御機能のタスク41および複数の非安全制御機能のタスク42を有している。 The program 40 has a plurality of safety control function tasks 41 and a plurality of non-safety control function tasks 42.
 安全スケジューリング情報50は、複数の安全制御機能のタスク41を、どの制御周期でどのような順序で実行すべきかを規定するスケジューリング情報である。具体的には、安全スケジューリング情報50は、安全制御機能の各タスクの実行順序、タスクの規定時間、および各制御周期の最後に実行される最終安全タスクであることを示す最終フラグが定義された情報である。 The safety scheduling information 50 is scheduling information that defines in what control cycle the tasks 41 of a plurality of safety control functions should be executed in what order. Specifically, the safety scheduling information 50 is defined with an execution order of each task of the safety control function, a prescribed time of the task, and a final flag indicating that it is a final safety task executed at the end of each control cycle. Information.
 図1に示す安全スケジューリング情報50の具体例では、最初の制御周期で、安全制御機能のタスクST1、ST2が順に実行され、次の制御周期で、安全制御機能のタスクST1、ST3が順に実行されるとともに、タスクST1、ST2、ST3のそれぞれが、規定時間T1、T2、T3で監視されることが定義付けされている。 In the specific example of the safety scheduling information 50 shown in FIG. 1, the safety control function tasks ST1 and ST2 are sequentially executed in the first control cycle, and the safety control function tasks ST1 and ST3 are sequentially executed in the next control cycle. In addition, it is defined that each of the tasks ST1, ST2, and ST3 is monitored at specified times T1, T2, and T3.
 非安全スケジューリング情報60は、複数の非安全制御機能のタスク42の実行順序を規定するスケジューリング情報である。具体的には、非安全スケジューリング情報60は、制御周期には依存せずに、どのような順序で非安全制御機能の各タスクを実行すべきかだけが定義された情報である。 Non-safety scheduling information 60 is scheduling information that defines the execution order of tasks 42 of a plurality of non-safety control functions. Specifically, the non-safety scheduling information 60 is information that defines only in what order the tasks of the non-safety control function should be executed without depending on the control cycle.
 図1に示す非安全スケジューリング情報60の具体例では、非安全制御機能のタスクNST1、NST2、NST3、NST1の順で、順次実行すべきことが定義付けされている。 In the specific example of the non-safety scheduling information 60 shown in FIG. 1, it is defined that the non-safety control function tasks NST1, NST2, NST3, and NST1 should be executed sequentially.
 そして、論理部20内のCPU21は、入力値を用いて、安全スケジューリング情報50でスケジューリングが規定された複数の安全制御機能、および非安全スケジューリング情報60でスケジューリングが規定された複数の非安全制御機能を、各々独立したプログラム40として順次実行することにより、エレベーターの制御演算を行う。 Then, the CPU 21 in the logic unit 20 uses the input value, and a plurality of safety control functions whose scheduling is defined by the safety scheduling information 50 and a plurality of non-safety control functions whose scheduling is defined by the non-safety scheduling information 60 Are sequentially executed as independent programs 40 to perform elevator control calculation.
 また、論理部20内のCPU21は、必要に応じて、各々独立して実行される各プログラム40の実行状態の情報をコンテキストブロック70に保持させ、実行状態の情報を必要に応じて読み出すことができる。ここで、コンテキストブロック70は、記憶部内に記憶された、読み書き可能なデータに相当する。 In addition, the CPU 21 in the logic unit 20 can cause the context block 70 to store information on the execution state of each program 40 that is independently executed, and read out the information on the execution state as necessary. it can. Here, the context block 70 corresponds to readable / writable data stored in the storage unit.
 独立性保証部30は、複数の安全制御機能のタスク41および複数の非安全制御機能のタスク42からなるすべての制御機能について、ある制御機能が他の制御機能に影響を及ぼさないように、制御機能間の独立性を保証する。独立性保証部30は、規定時間の経過状況を監視する規定時間タイマ31、制御期間の経過状況を監視する制御周期タイマ32、およびメモリ保護機能33を備えて構成されている。 The independence assurance unit 30 controls all the control functions including a plurality of safety control function tasks 41 and a plurality of non-safety control function tasks 42 so that a certain control function does not affect other control functions. Ensures independence between functions. The independence assurance unit 30 includes a specified time timer 31 that monitors the progress of a specified time, a control cycle timer 32 that monitors the progress of a control period, and a memory protection function 33.
 本発明は、論理部20と独立性保証部30とが連動して、安全スケジューリング情報50および非安全スケジューリング情報60で規定された各タスクを、各々独立したプログラム40として順次実行することで、結果的に、安全制御機能のタスク41を実行しない空き時間を、各制御周期の後ろにまとめることができる点を技術的特徴としている。 In the present invention, the logic unit 20 and the independence assurance unit 30 work together to execute each task specified by the safety scheduling information 50 and the non-safety scheduling information 60 sequentially as an independent program 40. In particular, the technical feature is that the idle time during which the task 41 of the safety control function is not executed can be collected after each control cycle.
 そして、この空き時間は、従来手法と異なり、安全制御機能から独立している。このため、それぞれの制御周期の空き時間に、非安全スケジューリング情報60で実行順序が規定された非安全制御機能のタスク42を順次割り当てることが可能となる。この結果、本発明は、従来手法と比較して、CPU21の利用効率の向上を測ることができる。 And this idle time is independent of the safety control function, unlike the conventional method. For this reason, it becomes possible to sequentially assign the tasks 42 of the non-safety control function whose execution order is defined by the non-safety scheduling information 60 to the idle time of each control cycle. As a result, the present invention can measure the improvement in the utilization efficiency of the CPU 21 as compared with the conventional method.
 そこで、次に、本実施の形態1に係る論理部20と独立性保証部30により実行されるタスク処理の具体的な動作について、図2A、図2B、図3を用いて詳細に説明する。図2Aは、本発明の実施の形態1に係る論理部20および独立性保証部30において、安全スケジューリング情報50および非安全スケジューリング情報60に基づいて1回目の制御周期で実行されるタスク処理内容を説明するための図である。また、図2Bは、本発明の実施の形態1に係る論理部20および独立性保証部30において、安全スケジューリング情報50および非安全スケジューリング情報60に基づいて2回目の制御周期で実行されるタスク処理内容を説明するための図である。 Therefore, specific operations of the task processing executed by the logic unit 20 and the independence assurance unit 30 according to the first embodiment will be described in detail with reference to FIGS. 2A, 2B, and 3. FIG. 2A shows the task processing contents executed in the first control cycle based on the safety scheduling information 50 and the non-safety scheduling information 60 in the logic unit 20 and the independence assurance unit 30 according to Embodiment 1 of the present invention. It is a figure for demonstrating. 2B shows task processing executed in the second control cycle based on the safety scheduling information 50 and the non-safety scheduling information 60 in the logic unit 20 and the independence assurance unit 30 according to Embodiment 1 of the present invention. It is a figure for demonstrating the content.
 図2Aでは、1回目の制御周期が時刻t0~時刻t3の期間として示されており、図2Bでは、2回目の制御周期が時刻t3~時刻t6の期間として示されている。そして、図2A、図2Bは、図1に示した安全スケジューリング情報50および非安全スケジューリング情報60に従って、論理部20と独立性保証部30により実行されたタスク処理結果を示したものを例示している。 2A, the first control cycle is shown as a period from time t0 to time t3, and in FIG. 2B, the second control cycle is shown as a period from time t3 to time t6. 2A and 2B illustrate examples of task processing results executed by the logic unit 20 and the independence assurance unit 30 in accordance with the safety scheduling information 50 and the non-safety scheduling information 60 shown in FIG. Yes.
 まず、図2Aに示した1回目の制御周期においては、安全スケジューリング情報50に従って、安全制御機能のタスクST1、ST2が連続して空き時間なしに順次実行される。さらに、安全制御機能のタスクST1、ST2が実行された後の空き時間において、非安全スケジューリング情報60に従って、非安全制御機能のタスクNST1、NST2、NST3が連続して順次実行される。 First, in the first control cycle shown in FIG. 2A, according to the safety scheduling information 50, the tasks ST1 and ST2 of the safety control function are sequentially executed without any free time. Further, in the idle time after the safety control function tasks ST1 and ST2 are executed, the non-safety control function tasks NST1, NST2, and NST3 are successively executed in sequence according to the non-safety scheduling information 60.
 より具体的には、時刻t1において、タスクST1に対して設定されている規定時間T1が経過する前に、タスクST1の処理が完了している。従って、CPU21は、独立性保証部30内の規定時間タイマ31による割込が発生する前に、時刻t1において、タスクST2の処理を開始する。 More specifically, at time t1, the processing of task ST1 is completed before the specified time T1 set for task ST1 elapses. Therefore, the CPU 21 starts processing of the task ST2 at time t1 before the interruption by the specified time timer 31 in the independence assurance unit 30 occurs.
 時刻t2は、時刻t1から規定時間T2が経過した後の時刻に相当する。CPU21は、時刻t2において、タスクST2が完了していない状態で、規定時間タイマ31による割込を受け、タスクST2の処理を中断する。 Time t2 corresponds to the time after the specified time T2 has elapsed from time t1. At time t2, the CPU 21 receives an interrupt from the specified time timer 31 in a state where the task ST2 is not completed, and interrupts the processing of the task ST2.
 時刻t2~時刻t3の期間は、1回目の制御周期において、タスクST1、ST2を処理した後の空き時間に相当する。そこで、CPU21は、非安全スケジューリング情報60に従って、非安全制御機能のタスクNST1、NST2、NST3を順次実行する。ただし、1回目の制御周期の終了時刻t3においては、タスクNST3の処理が完了しない状態で、制御周期タイマ32による割込が発生している。従って、タスクNST3は、後述する2回目の制御周期の空き時間において、中断された以降の処理が再開されることとなる。 The period from time t2 to time t3 corresponds to the idle time after processing the tasks ST1 and ST2 in the first control cycle. Therefore, the CPU 21 sequentially executes the non-safety control function tasks NST1, NST2, and NST3 in accordance with the non-safety scheduling information 60. However, at the end time t3 of the first control cycle, an interrupt is generated by the control cycle timer 32 in a state where the processing of the task NST3 is not completed. Therefore, the task NST3 resumes the processing after being interrupted in the idle time of the second control cycle described later.
 次に、図2Bに示した2回目の制御周期においては、安全スケジューリング情報50に従って、安全制御機能のタスクST1、ST3が連続して空き時間なしに順次実行される。さらに、安全制御機能のタスクST1、ST3が実行された後の空き時間において、非安全スケジューリング情報60に従って、非安全制御機能のタスクが連続して順次実行される。上述したように、1回目の制御周期において、タスクNST3は、中断されている。従って、2回目の制御周期における空き時間では、タスクNST3の処理を再開するところから開始され、その後、非安全スケジューリング情報60に従ってタスクNST1が実行されることとなる。 Next, in the second control cycle shown in FIG. 2B, according to the safety scheduling information 50, the tasks ST1 and ST3 of the safety control function are sequentially executed without any free time. Further, in the idle time after the safety control function tasks ST1 and ST3 are executed, the non-safety control function tasks are successively and sequentially executed according to the non-safety scheduling information 60. As described above, the task NST3 is suspended in the first control cycle. Therefore, in the idle time in the second control cycle, the process starts from the point where the processing of the task NST3 is resumed, and then the task NST1 is executed according to the non-safety scheduling information 60.
 より具体的には、時刻t4は、時刻t3から規定時間T1が経過した時刻に相当する。従って、CPU21は、時刻t4において、タスクST1が完了していない状態で、規定時間タイマ31による割込を受け、タスクST1の処理を中断する。そして、CPU21は、時刻t4において、タスクST3の処理を開始する。 More specifically, time t4 corresponds to the time when the specified time T1 has elapsed from time t3. Accordingly, at time t4, the CPU 21 receives an interrupt from the specified time timer 31 in a state where the task ST1 is not completed, and interrupts the processing of the task ST1. Then, the CPU 21 starts processing of the task ST3 at time t4.
 時刻t5において、タスクST3に対して設定されている規定時間T3が経過する前に、タスクST3の処理が完了している。そして、時刻t5~時刻t6の期間は、2回目の制御周期において、タスクST1、ST3を処理した後の空き時間に相当する。従って、CPU21は、独立性保証部30内の規定時間タイマ31による割込が発生する前に、時刻t5において、タスクNST3の継続処理を再開する。
At time t5, the processing of task ST3 is completed before the specified time T3 set for task ST3 has elapsed. The period from time t5 to time t6 corresponds to the idle time after processing the tasks ST1 and ST3 in the second control cycle. Accordingly, the CPU 21 resumes the continuation processing of the task NST3 at time t5 before the interruption by the specified time timer 31 in the independence assurance unit 30 occurs.
 ただし、2回目の制御周期の終了時刻t6においては、タスクNST1の処理が完了しない状態で、制御周期タイマ32による割込が発生している。従って、タスクNST1は、3回目の制御周期の空き時間において、中断された以降の処理が再開されることとなる。 However, at the end time t6 of the second control cycle, an interrupt is generated by the control cycle timer 32 in a state where the processing of the task NST1 is not completed. Accordingly, the task NST1 resumes the processing after being interrupted in the free time of the third control cycle.
 図3は、本発明の実施の形態1に係る論理部20および独立性保証部30により実行される一連のタスク処理をまとめたフローチャートである。なお、以降の説明では、図1および図2に示した具体的なタスクスケジューリングに基づいて、図3のフローチャートについて説明する。 FIG. 3 is a flowchart summarizing a series of task processes executed by the logic unit 20 and the independence assurance unit 30 according to the first embodiment of the present invention. In the following description, the flowchart of FIG. 3 will be described based on the specific task scheduling shown in FIGS. 1 and 2.
 論理部20は、ステップS301において、初期設定を行った後、ステップS302において、安全スケジューリング情報50に基づいて、1回目の制御周期における安全制御機能のタスクのうちの最初のタスクST1を割り当てる。 The logic unit 20 performs initial setting in step S301, and then assigns the first task ST1 among the tasks of the safety control function in the first control cycle based on the safety scheduling information 50 in step S302.
 次に、ステップS303において、論理部20は、タスクST1に割り当てられた規定時間T1が経過する前に、すなわち、独立性保証部30内の規定時間タイマ31により割込が発生する前に、タスクST1の終了処理を実行したかを判定する。論理部20は、ステップS303において、Yesと判定した場合にはステップS305に進み、Noと判定した場合にはステップS304に進む。 Next, in step S303, the logic unit 20 executes the task before the specified time T1 assigned to the task ST1 elapses, that is, before the interrupt is generated by the specified time timer 31 in the independence assurance unit 30. It is determined whether the termination process of ST1 has been executed. The logic unit 20 proceeds to step S305 if it determines Yes in step S303, and proceeds to step S304 if it determines No.
 ステップS304に進んだ場合には、論理部20は、規定時間タイマ31による割込が発生することで、タスクST1を中断し、ステップS305に進む。 When the process proceeds to step S304, the logic unit 20 interrupts the task ST1 due to an interrupt generated by the specified time timer 31, and proceeds to step S305.
 ステップS305に進んだ場合には、論理部20は、1回目の制御周期で実行すべき安全制御機能のタスクがまだ残っているかを、最終フラグに基づいて判断する。論理部20は、ステップS303において、Yesと判定した場合にはステップS302に進み、Noと判定した場合にはステップS306に進む。 When the process proceeds to step S305, the logic unit 20 determines based on the final flag whether there are still safety control function tasks to be executed in the first control cycle. In step S303, the logic unit 20 proceeds to step S302 if it determines Yes, and proceeds to step S306 if it determines No.
 図1、図2に示した例では、1回目の制御周期において、安全制御機能のタスクST1の後にタスクST2を処理する必要がある。従って、タスクST2に関して,ステップS302~ステップS305の処理を行った後、ステップS306に進むこととなる。 In the example shown in FIGS. 1 and 2, it is necessary to process task ST2 after task ST1 of the safety control function in the first control cycle. Therefore, after the processing of step S302 to step S305 is performed for task ST2, the process proceeds to step S306.
 ステップS306以降の処理では、論理部20および独立性保証部30は、1回目の制御周期で安全制御機能のタスクST1、ST2を実行した後の空き時間で、非安全制御機能のタスクを順次実行することとなる。 In the processing after step S306, the logic unit 20 and the independence assurance unit 30 sequentially execute the non-safety control function tasks in the idle time after executing the safety control function tasks ST1 and ST2 in the first control cycle. Will be.
 論理部20は、ステップS306において、非安全スケジューリング情報60に基づいて、1回目の制御周期における空き時間で実行すべき非安全制御機能のタスクがあるか否かを判断する。論理部20は、ステップS306において、Yesと判定した場合にはステップS307に進み、Noと判定した場合にはステップS310に進む。 In step S306, the logic unit 20 determines whether there is a non-safety control function task to be executed in the idle time in the first control cycle based on the non-safety scheduling information 60. The logic unit 20 proceeds to step S307 if it determines Yes in step S306, and proceeds to step S310 if it determines No.
 ステップS307に進んだ場合には、論理部20は、非安全スケジューリング情報60に基づいて、非安全制御機能のタスクのうちの最初のタスクNST1を割り当てる。 When the processing proceeds to step S307, the logic unit 20 assigns the first task NST1 among the tasks of the non-safety control function based on the non-safety scheduling information 60.
 次に、ステップS308において、論理部20は、制御周期が終了する前に、すなわち、独立性保証部30内の制御周期タイマ32により割込が発生する前に、タスクNST1の終了処理を実行したかを判定する。論理部20は、ステップS308において、Yesと判定した場合にはステップS306に進み、Noと判定した場合にはステップS309に進む。 Next, in step S308, the logic unit 20 executes the end process of the task NST1 before the control cycle ends, that is, before an interrupt is generated by the control cycle timer 32 in the independence assurance unit 30. Determine whether. The logic unit 20 proceeds to step S306 if it is determined Yes in step S308, and proceeds to step S309 if it is determined No.
 図1、図2に示した例では、非安全スケジューリング情報60として、タスクNST1以降に、タスクNST2、タスクNST3、タスクNST1、・・・が設定されている。従って、論理部20は、制御周期タイマ32による割込を受信するまでは、ステップS306~ステップS308の処理を繰り返すことで、非安全スケジューリング情報60として設定された非安全制御機能のタスクを連続して順次実行することとなる。 In the example shown in FIGS. 1 and 2, as the non-safe scheduling information 60, task NST2, task NST3, task NST1,... Are set after task NST1. Accordingly, the logic unit 20 repeats the processes of Steps S306 to S308 until the interrupt of the control cycle timer 32 is received, thereby continuing the tasks of the non-safety control function set as the non-safety scheduling information 60. Will be executed sequentially.
 ステップS309に進んだ場合には、論理部20は、制御周期タイマ32による割込が発生することで、現在実行中の非安全制御機能のタスクを中断し、1回目の制御周期の一連処理を終え、ステップS302に戻ることとなる。図1、図2に示した例では、非安全制御機能のタスクNST3を実行中に、制御周期タイマ32による割込が発生することで、タスクNST3を中断し、1回目の制御周期が完了することとなる。 When the processing proceeds to step S309, the logic unit 20 interrupts the task of the non-safety control function currently being executed and generates a series of processing for the first control cycle when an interrupt is generated by the control cycle timer 32. When finished, the process returns to step S302. In the example shown in FIG. 1 and FIG. 2, the task NST3 is interrupted and the first control cycle is completed when an interrupt is generated by the control cycle timer 32 while the task NST3 of the non-safety control function is being executed. It will be.
 また、先のステップS306からステップS310に進んだ場合には、論理部20は、実行すべき非安全制御機能のタスクがないため、制御周期タイマ32による割込が発生するまで、待機する。そして、ステップS311において、制御周期タイマ32による割込が発生することで、1回目の制御周期の一連処理を終え、ステップS302に戻ることとなる。 If the process proceeds from step S306 to step S310, the logic unit 20 waits until an interrupt is generated by the control cycle timer 32 because there is no non-safety control function task to be executed. In step S311, the interruption by the control cycle timer 32 is generated, so that the series of processes for the first control cycle is completed, and the process returns to step S302.
 図1、図2に示した例では、2回目の制御周期で安全性御機能のタスクST1、ST3を実行すべきことが、安全スケジューリング情報50により規定されている。従って、1回目の制御周期での一連処理を終了した後に、ステップS302に戻った場合には、2回目の制御周期における各タスク処理を連続して順次実行することとなる。 In the example shown in FIGS. 1 and 2, the safety scheduling information 50 stipulates that the tasks ST1 and ST3 of the safety control function should be executed in the second control cycle. Accordingly, when the process returns to step S302 after completing the series of processes in the first control cycle, the respective task processes in the second control cycle are successively executed.
 次に、上述したような、空き時間を制御周期の後半に配置する基本的な技術思想を実現するためのいくつかの変形例について、以下に説明する。 Next, some modifications for realizing the basic technical idea of arranging the idle time in the latter half of the control cycle as described above will be described below.
[変形例1]
 安全スケジューリング情報50および非安全スケジューリング情報60の変形例について説明する。図4は、本発明の実施の形態1に係る安全スケジューリング情報および非安全スケジューリング情報の変形例を示した図である。 [Modification 1]
A modified example of the safe scheduling information 50 and the non-secure scheduling information 60 will be described. FIG. 4 is a diagram showing a modified example of the safe scheduling information and the non-safe scheduling information according to Embodiment 1 of the present invention.
 先の図1に示した安全スケジューリング情報50は、すべて安全制御機能のタスクにより構成されていた。これに対して、図4に示した安全スケジューリング情報50aは、1つ以上の非安全制御機能のタスクが含まれて構成されている。 The safety scheduling information 50 shown in FIG. 1 is composed of safety control function tasks. On the other hand, the safety scheduling information 50a shown in FIG. 4 includes one or more non-safety control function tasks.
 具体的には、図4に示す安全スケジューリング情報50aは、1回目の制御周期で安全制御機能のタスクST1に続いて非安全制御機能のタスクNST1を実行することが規定されており、2回目の制御周期で安全制御機能のタスクST1に続いて非安全制御機能のタスクNST2を実行することが規定されている。一方、図4に示す非安全スケジューリング情報60aは、安全スケジューリング情報50aには組み込まれていないその他の非安全制御機構のタスクNST3、NST4、NST5が、実行順を規定されて構成されている。 Specifically, the safety scheduling information 50a shown in FIG. 4 stipulates that the task NST1 of the non-safety control function is executed following the task ST1 of the safety control function in the first control cycle. It is defined that the non-safety control function task NST2 is executed following the safety control function task ST1 in the control cycle. On the other hand, the non-safety scheduling information 60a shown in FIG. 4 is configured such that tasks NST3, NST4, and NST5 of other non-safety control mechanisms that are not incorporated in the safe scheduling information 50a are defined in order of execution.
 このように、1つ以上の非安全制御機能のタスクを含むように構成された安全スケジューリング情報50aを用いることで、非安全制御機能のタスクNST1、NST2のリアルタイム性を確保することが可能となる。 As described above, by using the safety scheduling information 50a configured to include one or more non-safety control function tasks, it is possible to ensure the real-time property of the non-safety control function tasks NST1 and NST2. .
[変形例2]
 図1および図4の例では、非安全制御機能のタスクの実行順序は、非安全スケジューリング情報60によって、事前に決定しておく場合について説明した。しかしながら、非安全制御機能のタスクは、必ずしも事前に決定しておく必要はなく、各制御周期において、動的にスケジューリングを行う形態とすることも可能である。 [Modification 2]
In the example of FIGS. 1 and 4, the case where the execution order of the tasks of the non-safety control function is determined in advance by the non-safety scheduling information 60 has been described. However, the task of the non-safety control function does not necessarily have to be determined in advance, and can be configured to dynamically schedule in each control cycle.
[変形例3]
 安全制御機能のタスクSTnのうち、中断が許容できないタスクについて、中断発生時にエラー処理を実施する形態としてもよい。例えば、図1、図2に示した例において、安全制御機能のタスクST2が、中断できないタスクであった場合を考える。図5は、本発明の実施の形態1において、安全制御機能のタスクを実行中に中断処理が発生した際のエラー処理を説明するための図である。 [Modification 3]
Of the tasks STn of the safety control function, a task that cannot be interrupted may be subjected to error processing when the interruption occurs. For example, let us consider a case where the task ST2 of the safety control function is a task that cannot be interrupted in the examples shown in FIGS. FIG. 5 is a diagram for explaining error processing when interruption processing occurs during execution of a safety control function task in the first embodiment of the present invention.
 図5に示すように、CPU21は、時刻t2で規定時間タイマ31による割込が発生することで、その後、エラー処理を実行することができる。なお、このようなエラー処理を行うためには、安全制御機能のタスクのうち、中断ができないタスクの特定をあらかじめおこなっておく必要がある。そこで、このような特定を行うためには、中断可否を示す情報を各安全制御機能のタスクと関連付けて、安全スケジューリング情報50として記憶させておくか、あるいはコンテキストブロック70内に記憶させておくことが考えられる。 As shown in FIG. 5, the CPU 21 can execute an error process after the interruption by the specified time timer 31 at time t2. In order to perform such error processing, it is necessary to specify in advance a task that cannot be interrupted among the tasks of the safety control function. Therefore, in order to perform such identification, information indicating whether or not to interrupt can be associated with each safety control function task and stored as safety scheduling information 50 or stored in the context block 70. Can be considered.
[変形例4]
 CPU21は、各タスクの実行時において、制御周期タイマ32から制御周期タイマ値をリアルタイムに取得し、演算処理に利用することも可能である。 [Modification 4]
The CPU 21 can also acquire the control cycle timer value from the control cycle timer 32 in real time during execution of each task and use it for arithmetic processing.
[変形例5]
 変形例4の考え方を利用して、CPU21は、さらに、制御周期の経過回数をカウントしておくことで、複数の制御周期にまたがったタスク処理の経過時間を計測することが可能となる。図6A、図6Bは、本発明の実施の形態1における変形例5の動作を説明するための図である。 [Modification 5]
Using the idea of the modification 4, the CPU 21 can further measure the elapsed time of task processing over a plurality of control cycles by counting the number of times the control cycle has elapsed. 6A and 6B are diagrams for explaining the operation of the fifth modification example in the first embodiment of the present invention.
 図6Aの[1]で示した時刻において、CPU21は、制御周期経過回数カウンタがN1の制御周期において、制御周期タイマ32から制御周期タイマ値taを取得する。さらに、図6Bの[2]で示した時刻において、CPU21は、制御周期経過回数カウンタがN2の制御周期において、制御周期タイマ32から制御周期タイマ値tbを取得する。この結果、CPU21は、[1]で示した時刻から[2]で示した時刻までの経過時間を、下式によって算出することができる。
  経過時間=(N2-N1)×T+(tb-ta) At the time indicated by [1] in FIG. 6A, the CPU 21 acquires the control cycle timer value ta from the control cycle timer 32 in the control cycle in which the control cycle elapsed number counter is N1. Furthermore, at the time indicated by [2] in FIG. 6B, the CPU 21 acquires the control cycle timer value tb from the control cycle timer 32 in the control cycle in which the control cycle elapsed number counter is N2. As a result, the CPU 21 can calculate the elapsed time from the time indicated by [1] to the time indicated by [2] by the following equation.
Elapsed time = (N2−N1) × T + (tb−ta)
[変形例6]
 変形例4および変形例5の考え方を利用して、CPU21は、特定の区間において割り込まれたくないタスクが存在する場合に、割込を回避することも可能である。図7A~図7Cは、本発明の実施の形態1における変形例6の動作を説明するための図である。 [Modification 6]
Using the ideas of the modification examples 4 and 5, the CPU 21 can also avoid an interrupt when there is a task that is not desired to be interrupted in a specific section. 7A to 7C are diagrams for explaining the operation of the modification 6 according to the first embodiment of the present invention.
 図7A~図7Cでは、タスクST2が、特定の区間において割り込まれたくないタスクに相当する。図7Aの[1]で示した時刻において、CPU21は、タスクST2の開始時に、制御周期タイマ32から制御周期タイマ値taを読み取る。そして、CPU21は、タスクST1の実行を開始した後、割込を受け付けたくない特定の区間の開始時に相当する[2]で示した時刻において、制御周期タイマ32から制御周期タイマ値tbを読み取る。 7A to 7C, task ST2 corresponds to a task that is not desired to be interrupted in a specific section. At the time indicated by [1] in FIG. 7A, the CPU 21 reads the control cycle timer value ta from the control cycle timer 32 at the start of the task ST2. Then, after starting the execution of the task ST1, the CPU 21 reads the control cycle timer value tb from the control cycle timer 32 at the time indicated by [2] corresponding to the start of a specific section in which interrupt is not accepted.
 ここで、割込を受け付けたくない特定の区間は、最も長く実行時間がかかってしまったことを想定した期間tcとしてあらかじめ規定することができ、内部メモリに相当するメモリ22内に設定しておくことができる。 Here, the specific section in which the interrupt is not accepted can be defined in advance as a period tc that assumes the longest execution time, and is set in the memory 22 corresponding to the internal memory. be able to.
 また、タスクST2の規定周期T2をtdとすると、CPU21は、以下の式(1)の条件が成立するかを、図7Aの[2]で示した時刻において判定する。
  td<tb-ta+tc  (1) Also, assuming that the prescribed period T2 of the task ST2 is td, the CPU 21 determines whether the condition of the following expression (1) is satisfied at the time indicated by [2] in FIG. 7A.
td <tb−ta + tc (1)
 式(1)の条件が成立する場合には、[2]で示した時刻以降にタスクST2を継続して実行すると、割込を受け付けたくない特定の区間において規定周期タイマによる割込が発生してしまうことが想定される。そこで、CPU21は、式(1)の条件が成立すると判定した場合には、[2]で示した時刻においてタスクST2の実行を中断し、図7Bに示すように、非安全制御機能のタスクNST1の実行を開始する。 If the condition of Expression (1) is satisfied, if the task ST2 is continuously executed after the time indicated by [2], an interruption by the specified period timer occurs in a specific section where the interruption is not accepted. It is assumed that Therefore, when it is determined that the condition of Expression (1) is satisfied, the CPU 21 interrupts the execution of the task ST2 at the time indicated by [2], and as illustrated in FIG. 7B, the task NST1 of the non-safety control function. Start running.
 そして、CPU21は、図7Cに示した2回目の制御周期において、タスクST1を実行した後、[3]で示した時間帯で、中断していたタスクST2の実行を再開する。この結果、図7Aおよび図7Cにおいて編みかけ部分として示したタスクST2の特定の区間における割込の発生を防止することができる。 Then, after executing the task ST1 in the second control cycle shown in FIG. 7C, the CPU 21 resumes the execution of the suspended task ST2 in the time period indicated by [3]. As a result, it is possible to prevent the occurrence of an interrupt in a specific section of the task ST2 shown as the knitting portion in FIGS. 7A and 7C.
 なお、CPU21は、タスクST2の特定の区間の処理を実行する際には、以下のような処理を行うことで、特定の区間において割込が発生した場合の対応を取ることができる。CPU21は、特定の区間を開始した際には開始フラグをセットし、特定の区間の処理が終了した際には終了フラグをセットする、フラグ処理を実行することができる。 In addition, when executing the process of the specific section of the task ST2, the CPU 21 can take a countermeasure when an interrupt occurs in the specific section by performing the following process. The CPU 21 can execute a flag process that sets a start flag when a specific section is started and sets an end flag when the process of the specific section is completed.
 CPU21は、このようなフラグ処理を実行することで、特定の区間が開始した後に、規定時間タイマの割込が発生した際に、開始フラグがセットされており、かつ終了フラグがセットされていないと判定した場合には、特定の区間で割込が発生してしまったと判定できる。そこで、CPU21は、特定の区間で割込が発生したと判断した場合には、例えば、エレベーターの安全動作を実行するなどの対応を取ることができる。 By executing such flag processing, the CPU 21 sets a start flag and does not set an end flag when a specified time timer interrupt occurs after a specific section starts. It can be determined that an interrupt has occurred in a specific section. Therefore, when the CPU 21 determines that an interrupt has occurred in a specific section, the CPU 21 can take measures such as executing a safe operation of the elevator, for example.
 以上のように、実施の形態1に係るタスクスケジューリング手法によれば、安全制御機能のタスクを実行しない空き時間を、各制御周期の後ろにまとめることができる。この結果、CPUの利用効率が向上し、安全制御機能のタスクと非安全制御機能のタスクとの独立性を確保した上で、効率的なタスクスケジューリングを実現することができる。 As described above, according to the task scheduling method according to the first embodiment, the idle time during which the safety control function task is not executed can be collected after each control cycle. As a result, the utilization efficiency of the CPU is improved, and efficient task scheduling can be realized while ensuring the independence of the safety control function task and the non-safety control function task.
 実施の形態2.
 本実施の形態2では、エレベーターシステムの具体的な構成に対して、先の実施の形態1で説明したタスクスケジューリング手法を適用する場合について説明する。 Embodiment 2. FIG.
In the second embodiment, a case where the task scheduling method described in the first embodiment is applied to a specific configuration of the elevator system will be described.
 従来、かご戸、または乗場戸が戸開した状態でかごが異常走行した場合、かごを急停止させて安全な状態を確保する戸開走行保護装置が考案されている(例えば、特許文献3参照)。 2. Description of the Related Art Conventionally, a door-opening travel protection device has been devised that secures a safe state by suddenly stopping a car when the car or the car is abnormally run with the landing door open (see, for example, Patent Document 3). ).
 また、かごが終端階付近で暴走した場合に、かご過速を検出して制動装置を作動させ、バッファ衝突前に安全な速度以下に減速させる終端階強制減速装置が考案されている(例えば、特許文献4参照)。 In addition, when the car runs out of the vicinity of the terminal floor, a terminal floor forced reduction device has been devised that detects the car overspeed and activates the braking device to decelerate to a safe speed or less before the buffer collision (for example, (See Patent Document 4).
 これらの安全装置は、高度な信頼性が要求され、例えば、電子安全装置等のアーキテクチャとして実装される。こうしたアーキテクチャは、機器の二重化構成等により、ハードウェアコストが高くなる傾向があり、なるべく多くの安全機能を同一のハードウェアに実装する形態が望ましい。こうした形態の実現手段として、先の特許文献2では、複数の安全機能プログラムが互い干渉せず、確実に実行できる仕組みが開示されている。 These safety devices are required to have a high degree of reliability, and are implemented as, for example, an architecture such as an electronic safety device. Such an architecture tends to increase the hardware cost due to, for example, a duplex configuration of devices, and a form in which as many safety functions as possible are mounted on the same hardware is desirable. As a means for realizing such a form, the above-described Patent Document 2 discloses a mechanism that allows a plurality of safety function programs to be reliably executed without interfering with each other.
 一方、これらの安全システムにおいても、保守性を高めるために、内部データのロギング、データ出力等の保守機能があった方が望ましい。他方、これらの保守機能は、非安全機能であり、安全機能よりも実行優先度が低くなる。このため、安全機能の実行を阻害せず、保守機能のスループットを向上させるには、安全機能の実行がない時間を効率的に利用して非安全機能を実行させるような、時間効率性を向上させる仕組みが必要となる。 On the other hand, it is desirable that these safety systems also have maintenance functions such as internal data logging and data output in order to improve maintainability. On the other hand, these maintenance functions are non-safety functions and have lower execution priority than the safety functions. For this reason, in order to improve the throughput of maintenance functions without hindering the execution of safety functions, improve the time efficiency by using the time when safety functions are not executed efficiently and executing non-safety functions. A mechanism to make it necessary.
 そこで、先の実施の形態1で説明した手法を、エレベーター安全制御装置に適用する場合について、以下に詳細に説明する。 Therefore, the case where the technique described in the first embodiment is applied to an elevator safety control device will be described in detail below.
 図8は、本発明の実施の形態2に係るエレベーター安全制御装置を適用するエレベーターシステムの全体構成図である。図8に示したエレベーターシステム200は、エレベーター機構部210、エレベーター駆動装置220、ブレーキ装置230、エレベーター安全回路240、エレベーター運転制御ユニット250、およびエレベーター安全監視ユニット260を含んで構成されている。 FIG. 8 is an overall configuration diagram of an elevator system to which the elevator safety control device according to Embodiment 2 of the present invention is applied. The elevator system 200 shown in FIG. 8 includes an elevator mechanism unit 210, an elevator driving device 220, a brake device 230, an elevator safety circuit 240, an elevator operation control unit 250, and an elevator safety monitoring unit 260.
 エレベーター機構部210は、かご211、おもり212、綱車213、返し車214、ロープ215、および昇降路内機器216を備える。 The elevator mechanism unit 210 includes a car 211, a weight 212, a sheave 213, a return wheel 214, a rope 215, and a device 216 in the hoistway.
 かご211とおもり212は、ロープ215によって連結され、ロープ215は、綱車213と返し車214に懸架される。 The car 211 and the weight 212 are connected by a rope 215, and the rope 215 is suspended from a sheave 213 and a return wheel 214.
 昇降路内機器216は、乗場戸スイッチ216a、かご戸スイッチ216b、ドアゾーンプレート216c、ドアゾーンセンサ216d、終点スイッチカム216e、昇降路内の上部基準位置スイッチ216f、昇降路内の下部基準位置スイッチ216g、ガバナシーブ216h、ガバナロープ216i、およびガバナエンコーダ216jを備える。 The hoistway device 216 includes a landing door switch 216a, a car door switch 216b, a door zone plate 216c, a door zone sensor 216d, an end point switch cam 216e, an upper reference position switch 216f in the hoistway, and a lower reference position switch in the hoistway. 216g, a governor sheave 216h, a governor rope 216i, and a governor encoder 216j.
 乗場戸スイッチ216aは、乗場に設置され、乗場戸の戸開状態を検出する。また、かご戸スイッチ216bは、かごに設置され、かご戸の戸開状態を検出する。 The landing door switch 216a is installed at the landing and detects the open state of the landing door. The car door switch 216b is installed in the car and detects the open state of the car door.
 ドアゾーンプレート216cは、昇降路内の乗場近傍に設置されている。かご211に設置されたドアゾーンセンサ216dは、ドアゾーンプレート216cを検出することで、かご床面が乗場床面から所定距離内にあることを検知する。 The door zone plate 216c is installed near the landing in the hoistway. The door zone sensor 216d installed in the car 211 detects that the car floor is within a predetermined distance from the landing floor by detecting the door zone plate 216c.
 上部基準位置スイッチ216fは、昇降路内の上部に設置され、下部基準位置スイッチ216gは、昇降路内の下部に設置されており、それぞれ、スイッチ接点に連結固定されたローラーを有している。上部基準位置スイッチ216fおよび下部基準位置スイッチ216gは、かごに固定された終点スイッチカム216eにより、ローラーが押されることで、スイッチ接点が検出状態となる。従って、上部基準位置スイッチ216fおよび下部基準位置スイッチ216gは、かごが昇降路内の規定位置にいることを検知できる。 The upper reference position switch 216f is installed in the upper part of the hoistway, and the lower reference position switch 216g is installed in the lower part of the hoistway, and each has a roller connected and fixed to the switch contact. In the upper reference position switch 216f and the lower reference position switch 216g, the roller contacts are pressed by the end point switch cam 216e fixed to the car, so that the switch contact is in the detection state. Therefore, the upper reference position switch 216f and the lower reference position switch 216g can detect that the car is at a specified position in the hoistway.
 ガバナシーブ216hは、かご211に連結固定されたガバナロープ216iにより回転する。ガバナエンコーダ216jは、ガバナシーブ216hの回転を検出して、かごの移動量を検知する。 The governor sheave 216h is rotated by a governor rope 216i connected and fixed to the car 211. The governor encoder 216j detects the amount of movement of the car by detecting the rotation of the governor sheave 216h.
 エレベーター駆動装置220は、商用電源221、インバータ222、モータ223、および商用電源221からインバータ222への給電を遮断する主回路コンタクタ#MCの主接点224を備える。インバータ222は、後述するエレベーター運転制御装置(CC)251からの指令に基づいて、モータ223を回転させて、綱車213を駆動させる。 The elevator driving device 220 includes a commercial power source 221, an inverter 222, a motor 223, and a main contact 224 of the main circuit contactor #MC that cuts off power supply from the commercial power source 221 to the inverter 222. The inverter 222 rotates the motor 223 and drives the sheave 213 based on a command from an elevator operation control device (CC) 251 described later.
 ブレーキ装置230は、綱車213に接触して摩擦により制動トルクを与える第1および第2ブレーキシュー231、ブレーキシューを吸引、落下する第1および第2ブレーキコイル232、エレベーター運転制御装置(CC)251からの指令によりブレーキコイルの電流を制御する第1、および第2ブレーキチョッパ233、およびブレーキ電源からブレーキコイル232への給電を遮断するブレーキ回路リレー(#BK)の主接点234を備える。 The brake device 230 is a first and second brake shoe 231 that contacts the sheave 213 and applies a braking torque by friction, a first and second brake coil 232 that sucks and drops the brake shoe, and an elevator operation control device (CC). First and second brake choppers 233 for controlling the current of the brake coil according to a command from 251, and a main contact 234 for a brake circuit relay (#BK) for cutting off the power supply from the brake power source to the brake coil 232.
 エレベーター安全回路240は、制御電源に安全リレー#SF1、#SF2の各主接点、およびその他安全スイッチ接点が直列に接続されて構成されている。エレベーター安全回路240内の各接点がすべてオン状態となったときの最終出力により、#MC、#BKコイルの一次側に、コンタクタ/リレー駆動用の電力が供給される。 The elevator safety circuit 240 is configured by connecting the main contacts of safety relays # SF1 and # SF2 and other safety switch contacts in series to a control power source. By the final output when all the contacts in the elevator safety circuit 240 are turned on, the contactor / relay driving power is supplied to the primary side of the #MC and #BK coils.
 エレベーター運転制御ユニット250は、エレベーター運転制御装置(CC)251、#MC、#BKの各コイル、およびエレベーター運転制御装置(CC)251からの指令を入力して各コイルへの給電をON/OFFするスイッチ半導体252を備える。 The elevator operation control unit 250 inputs commands from the elevator operation control device (CC) 251, #MC, #BK, and the elevator operation control device (CC) 251, and turns on / off the power supply to each coil. The switch semiconductor 252 is provided.
 エレベーター運転制御装置(CC)251は、インバータ222と、第1、および第2ブレーキチョッパ233と、#MC、#BKの各スイッチ半導体252に指令を出力して、かご211の運転を制御する。 The elevator operation control device (CC) 251 outputs commands to the inverter 222, the first and second brake choppers 233, and the #MC and #BK switch semiconductors 252 to control the operation of the car 211.
 エレベーター安全監視ユニット260は、エレベーター安全監視装置(SF)261、第1、および第2安全リレーの各コイル、およびエレベーター安全監視装置(SF)261からの指令を入力して各コイルへの給電をON/OFFするスイッチ半導体262を備える。 The elevator safety monitoring unit 260 inputs commands from the elevator safety monitoring device (SF) 261, the first and second safety relays, and the elevator safety monitoring device (SF) 261 to supply power to each coil. A switch semiconductor 262 that is turned ON / OFF is provided.
 エレベーター安全監視装置(SF)261は、乗場戸スイッチ216a、かご戸スイッチ216b、ドアゾーンセンサ216d、上部基準位置スイッチ216f、下部基準位置スイッチ216g、ガバナエンコーダ216jの各状態を入力する。そして、エレベーター安全監視装置(SF)261は、これらの入力に基づいて、終端階過速、戸開走行、および自ユニット構成機器の故障を含む少なくとも1つ以上の非安全状態を検出した場合には、安全停止シーケンスを実行して、エレベーター運転制御装置(CC)251に停止指令を出力してかご211を停止させるとともに、#SF1、#SF2を遮断して、かご211を制止保持させる。 The elevator safety monitoring device (SF) 261 inputs the states of the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, the upper reference position switch 216f, the lower reference position switch 216g, and the governor encoder 216j. When the elevator safety monitoring device (SF) 261 detects at least one or more non-safety states including the terminal floor overspeed, the door open running, and the failure of the own unit component device based on these inputs. Executes a safety stop sequence, outputs a stop command to the elevator operation control device (CC) 251 to stop the car 211, shuts down # SF1 and # SF2, and stops and holds the car 211.
 図9は、本発明の実施の形態2におけるエレベーター安全監視装置(SF)261の内部構成を詳細に示したブロック図である。エレベーター安全監視装置(SF)261は、同一の機器および機能から構成される2重系統として、第1の安全監視系統140aおよび第2の安全監視系統140bを備える。第1の安全監視系統140aおよび第2の安全監視系統140bのそれぞれは、乗場戸スイッチ216a、かご戸スイッチ216b、ドアゾーンセンサ216d、各基準位置スイッチ216f、216g、およびガバナエンコーダ216jの各状態を入力する。 FIG. 9 is a block diagram showing in detail the internal configuration of the elevator safety monitoring device (SF) 261 according to Embodiment 2 of the present invention. The elevator safety monitoring device (SF) 261 includes a first safety monitoring system 140a and a second safety monitoring system 140b as a dual system composed of the same devices and functions. Each of the first safety monitoring system 140a and the second safety monitoring system 140b has the states of the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, the reference position switches 216f and 216g, and the governor encoder 216j. input.
 第1の安全監視系統140aは、これらの入力に基づいて、#SF1のスイッチ半導体262に駆動指令を出力し、エレベーター運転制御装置(CC)251に対して停止指令を出力する。同様に、第2の安全監視系統140bは、これらの入力に基づいて、#SF2のスイッチ半導体262に駆動指令を出力し、エレベーター運転制御装置(CC)251に対して停止指令を出力する。 Based on these inputs, the first safety monitoring system 140a outputs a drive command to the switch semiconductor 262 of # SF1 and outputs a stop command to the elevator operation control device (CC) 251. Similarly, based on these inputs, the second safety monitoring system 140b outputs a drive command to the switch semiconductor 262 of # SF2 and outputs a stop command to the elevator operation control device (CC) 251.
 第1の安全監視系統140aおよび第2の安全監視系統140bのそれぞれは、以下の4つの安全制御機能を有している。
 ・終端階強制減速機能(SETS)
 ・戸開走行保護機能(UCMP)
 ・自己診断機能(DIAG)
 ・系統間通信機能(ICOM) Each of the first safety monitoring system 140a and the second safety monitoring system 140b has the following four safety control functions.
・ Terminal floor forced deceleration function (SETS)
・ Open door protection function (UCMP)
・ Self-diagnosis function (DIAG)
・ Intersystem communication function (ICOM)
 また、第1の安全監視系統140aおよび第2の安全監視系統140bのそれぞれは、以下の2つの非安全制御機能を、保守機能として有している。
 ・データロギング機能(DLOG)
 ・エレベーター運転制御装置とのインターフェース機能(CCIF) Each of the first safety monitoring system 140a and the second safety monitoring system 140b has the following two non-safety control functions as maintenance functions.
・ Data logging function (DLOG)
・ Interface function (CCIF) with elevator operation control device
 SETSは、各基準位置スイッチ216f、216g、ガバナエンコーダ216jの各状態を入力し、かごの現在速度がかごの現在位置に応じたかご過速監視レベルを超過した場合に、安全停止シーケンスを実行する機能である。 The SETS inputs each state of each reference position switch 216f, 216g, and governor encoder 216j, and executes a safety stop sequence when the current speed of the car exceeds the car overspeed monitoring level according to the current position of the car. It is a function.
 UCMPは、乗場戸スイッチ216a、かご戸スイッチ216b、ドアゾーンセンサ216d、ガバナエンコーダ216jの各状態を入力し、乗場戸、またはかご戸が戸開した状態でかごが乗場床面からあらかじめ設定された距離以上移動した場合に、またはかごの現在速度が規定値以上となった場合に、安全停止シーケンスを実行する機能である。 UCMP inputs each state of the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, and the governor encoder 216j, and the car is set in advance from the landing floor in a state where the landing door or the car door is opened. This function executes a safety stop sequence when the vehicle moves more than the distance or when the current speed of the car exceeds a specified value.
 DIAGは、少なくとも電源、クロック、WDT、CPU、メモリ、バス、プログラム、安全リレーを含むユニット構成機器について動作チェックを実施し、故障を検出した場合には、安全停止シーケンスを実行する機能である。 DIAG is a function that performs an operation check on unit configuration devices including at least a power supply, a clock, a WDT, a CPU, a memory, a bus, a program, and a safety relay, and executes a safety stop sequence when a failure is detected.
 ICOMは、第1の安全監視系統140aおよび第2の安全監視系統140bの系統間で入出力状態、演算状態等のデータを相互に伝送し、不整合を検出した場合には、いずれかの系統で演算不良があったと判断して、両系統にて安全停止シーケンスを実行する機能である。 The ICOM transmits data such as an input / output state and an operation state between the first safety monitoring system 140a and the second safety monitoring system 140b to each other, and when any mismatch is detected, In this function, it is determined that there has been a calculation failure and the safety stop sequence is executed in both systems.
 保守機能は、非安全制御機能として、データロギング機能(DLOG)、およびCCインターフェース機能(CCIF)を備え、安全制御機能の実行がない空き時間のタイミングで実行される。具体的には、DLOGにより、入出力状態、演算状態、およびイベント履歴のログを記録してデータをストアし、CCIFにより、エレベーター運転制御装置(CC)251からの要求に応じて、ストアしたデータを伝送する。 The maintenance function includes a data logging function (DLOG) and a CC interface function (CCIF) as a non-safety control function, and is executed at the timing of the idle time when the safety control function is not executed. Specifically, the ILOG records the I / O status, calculation status, and event history log to store the data, and the CCIF stores the data in response to a request from the elevator operation control device (CC) 251. Is transmitted.
 図10は、本発明の実施の形態2における第1の安全監視系統140aおよび第2の安全監視系統140bに共通の構成図である。この図10は、先の実施の形態1における図1の構成図と対応している。すなわち、図10における第1の安全監視系統140aおよび第2の安全監視系統140bに共通の構成は、図1で説明した本発明に係るエレベーター安全制御装置の構成と等価である。そこで、説明を分かりやすくするために、図1に対応する図10中のそれぞれの構成に対しては、図1の符号に100を足した符号を付している。 FIG. 10 is a configuration diagram common to the first safety monitoring system 140a and the second safety monitoring system 140b in Embodiment 2 of the present invention. FIG. 10 corresponds to the configuration diagram of FIG. 1 in the first embodiment. That is, the configuration common to the first safety monitoring system 140a and the second safety monitoring system 140b in FIG. 10 is equivalent to the configuration of the elevator safety control device according to the present invention described in FIG. Therefore, in order to make the explanation easy to understand, the reference numerals obtained by adding 100 to the reference numerals in FIG.
 本実施の形態2に係る第1の安全監視系統140a(第2の安全監視系統140b)は、外部機器I/F110、論理部120、および独立性保証部130を備えて構成されている。論理部120内のCPU121は、エレベーターの状態に関する信号を外部機器I/F110を介した入力値として取得するとともに、安全制御機能のタスク141、非安全制御機能のタスク142、安全スケジューリング情報150、および非安全スケジューリング情報160を読み込む。 The first safety monitoring system 140a (second safety monitoring system 140b) according to the second embodiment includes an external device I / F 110, a logic unit 120, and an independence assurance unit 130. The CPU 121 in the logic unit 120 acquires a signal related to the state of the elevator as an input value via the external device I / F 110, a safety control function task 141, a non-safety control function task 142, safety scheduling information 150, and The non-safe scheduling information 160 is read.
 ここで、安全制御機能のタスク141、非安全制御機能のタスク142、安全スケジューリング情報150、および非安全スケジューリング情報160は、記憶部内に記憶されたデータに相当し、論理部120内のCPU121は、これらのデータを参照して、エレベーター制御に必要な処理を実行することとなる。 Here, the safety control function task 141, the non-safety control function task 142, the safe scheduling information 150, and the non-safety scheduling information 160 correspond to data stored in the storage unit, and the CPU 121 in the logic unit 120 With reference to these data, processing necessary for elevator control is executed.
 安全制御機能のタスク141は、SETSタスク、UCMPタスク、DIAGタスク、およびICOMタスクの各安全プログラムで構成されている。以下では、これらのタスクを、「安全タスク」と呼ぶこともある。 The safety control function task 141 is composed of safety programs of a SETS task, a UCMP task, a DIAG task, and an ICOM task. Hereinafter, these tasks may be referred to as “safety tasks”.
 非安全制御機能のタスク142は、DLOGタスク、CCIFタスクの各非安全ロゴラムで構成されている。以下では、これらのタスクを、「非安全タスク」と呼ぶこともある。) The task 142 of the non-safety control function is composed of the non-safety logos of the DLOG task and the CCIF task. Hereinafter, these tasks may be referred to as “non-safety tasks”. )
 安全スケジューリング情報150は、各安全タスクの実行順序、実行規定時間、各制御周期における最終安全タスクであることを示す最終フラグ、および各安全タスクの中断可否を示す中断フラグが定義された情報である。 The safety scheduling information 150 is information in which an execution order of each safety task, a specified execution time, a final flag indicating the final safety task in each control cycle, and an interruption flag indicating whether or not each safety task can be interrupted are defined. .
 非安全スケジューリング情報160は、各非安全タスクの実行順序だけが定義された情報である。 The non-safety scheduling information 160 is information in which only the execution order of each non-safety task is defined.
 コンテキストブロック170は、SETS実行状態、UCMP実行状態、DIAG実行状態、およびICOM実行状態を格納する。ここで、コンテキストブロック170は、記憶部内に記憶された、読み書き可能なデータに相当する。 The context block 170 stores a SETS execution state, a UCMP execution state, a DIAG execution state, and an ICOM execution state. Here, the context block 170 corresponds to readable / writable data stored in the storage unit.
 外部機器I/F110は、乗場戸スイッチ216a、かご戸スイッチ216b、ドアゾーンセンサ216d、基準位置スイッチ216f、216g、およびガバナエンコーダ216jの各信号を入力する際の、あるいは安全リレー#SF1、S#SF2に駆動指令を出力する際のインターフェースである。 The external device I / F 110 inputs signals from the landing door switch 216a, the car door switch 216b, the door zone sensor 216d, the reference position switches 216f and 216g, and the governor encoder 216j, or safety relays # SF1 and S #. This is an interface for outputting a drive command to SF2.
 論理部120は、CPU121およびメモリ122を備えている。そして、メモリ122には、各種の安全タスクを実行する際に使用される領域として、SETS領域、UCMP領域、DIAG領域、およびICOM領域が、個別領域として割り付けられている。 The logic unit 120 includes a CPU 121 and a memory 122. In the memory 122, a SETS area, a UCMP area, a DIAG area, and an ICOM area are allocated as individual areas as areas used when executing various safety tasks.
 独立性保証部130は、規定時間タイマ131、制御周期タイマ132、およびメモリ保護機能133を備えている。 The independence assurance unit 130 includes a specified time timer 131, a control cycle timer 132, and a memory protection function 133.
 メモリ保護機能133は、安全タスクおよび非安全タスクが実行される際に、他の安全タスクのメモリ領域にアクセスした場合に、同領域のデータを保護するとともに、異常アクセスを検出したことをCPU121に送信し、安全停止シーケンスを実行させる。例えば、SETSタスクがUCMP領域にアクセスした場合が、異常アクセスに相当する。 When the safety task and the non-safety task are executed, the memory protection function 133 protects the data in the same area and accesses the CPU 121 to detect that an abnormal access has been detected. Send and execute the safety stop sequence. For example, the case where the SETS task accesses the UCMP area corresponds to an abnormal access.
 CPU121は、第1の安全監視系統140a(第2の安全監視系統140b)の起動後に、安全スケジューリング情報150を参照し、既定の実行順序に従って安全タスクをコールする。これにあわせて、独立性保証部130は、規定時間タイマ131によるタスク実行時間計測を開始する。また、独立性保証部130は、各制御周期の最初のタスクの実行を開始する場合には、制御周期タイマ132をリセットしてからタイマカウントを開始する。 The CPU 121 refers to the safety scheduling information 150 after the activation of the first safety monitoring system 140a (second safety monitoring system 140b), and calls a safety task according to a predetermined execution order. At the same time, the independence assurance unit 130 starts task execution time measurement by the specified time timer 131. Further, when starting the execution of the first task in each control cycle, the independence assurance unit 130 resets the control cycle timer 132 and starts timer counting.
 CPU121は、安全タスクの実行時間が安全スケジューリング情報で設定された規定時間になるか、または実行中のタスクが自らタスク終了を宣言することで、実行中タスクを終了、または中断して、最終フラグを参照する。 The CPU 121 terminates or interrupts the running task when the execution time of the safety task reaches the specified time set in the safety scheduling information, or the task being executed declares task termination by itself. Refer to
 最終フラグがFALSEの場合、CPU121は、次の安全タスクをコールし、あわせて、独立性保証部130は、規定時間タイマ131をリセットして、次タスクの実行時間計測を開始する。 When the final flag is FALSE, the CPU 121 calls the next safety task, and at the same time, the independence assurance unit 130 resets the specified time timer 131 and starts measuring the execution time of the next task.
 一方、最終フラグがTRUEの場合、CPU121は、非安全スケジューリング情報を参照し、既定の実行順序に従って、非安全タスクをコールする。 On the other hand, when the final flag is TRUE, the CPU 121 refers to the non-safety scheduling information and calls the non-safety task according to a predetermined execution order.
 制御周期タイマ132が規定の制御周期になると、CPU121は、実行中の非安全タスクを中断し、次の制御周期の処理に移行する。そして、CPU121は、安全スケジューリング情報を参照して、次の制御周期における最初の安全タスクをコールする。あわせて、独立性保証部130は、規定時間タイマ131および制御周期タイマ132をそれぞれリセットして、それぞれのタイマカウントを開始する。 When the control cycle timer 132 reaches the specified control cycle, the CPU 121 interrupts the non-safety task being executed and shifts to the processing of the next control cycle. Then, the CPU 121 refers to the safety scheduling information and calls the first safety task in the next control cycle. At the same time, the independence assurance unit 130 resets the specified time timer 131 and the control cycle timer 132, respectively, and starts each timer count.
 CPU121は、安全スケジューリング情報の実行順序の最終の安全タスクの実行を終了すると、次の安全タスク実行のタイミングでは、安全スケジューリング情報の実行順序の先頭に戻る。 When the CPU 121 finishes executing the final safety task in the safety scheduling information execution order, the CPU 121 returns to the top of the safety scheduling information execution order at the next safety task execution timing.
 次に、制御周期ごとの各タスクの実行タイムチャートを用いて、本実施の形態2に係るタスク処理の効果について説明する。図11Aは、本発明の実施の形態2において、安全スケジューリング情報150および非安全スケジューリング情報160に従った実行計画に相当する実行タイムチャートである。 Next, the effect of task processing according to the second embodiment will be described using an execution time chart of each task for each control cycle. FIG. 11A is an execution time chart corresponding to an execution plan according to the safe scheduling information 150 and the non-safe scheduling information 160 in Embodiment 2 of the present invention.
 これに対して、図11Bは、本発明の実施の形態2によるタスク処理を実行した際の実行タイムチャートである。また、図11Cは、従来技術によるタスク処理を実行した際の実行タイムチャートである。 On the other hand, FIG. 11B is an execution time chart when the task processing according to the second embodiment of the present invention is executed. FIG. 11C is an execution time chart when the task processing according to the prior art is executed.
 図11A~図11Cに示した具体例では、制御周期T=1[ms]を1実行ステップとして、3ステップにより1周期分の安全タスクおよび非安全タスクを実行するものとする。 In the specific examples shown in FIGS. 11A to 11C, the control cycle T = 1 [ms] is one execution step, and the safety task and the non-safety task for one cycle are executed in three steps.
 図11Aに示すように、安全スケジューリング情報150および非安全スケジューリング情報160による実行計画では、ステップ1(ステップカウンタN=1)、ステップ2(ステップカウンタN=2)、ステップ3(ステップカウンタN=3)において、以下のようなタスク割り当てが行われている。
<ステップ1(ステップカウンタN=1)>
 ・時間t=0~0.1[ms]で、ICOMタスク
 ・時間t=0.1~0.4[ms]で、DIAGタスク(1/3)
 ・時間t=0.4~0.7[ms]で、SETSタスク
 ・時間t=0.7~1.0[ms]で、非安全タスク
<ステップ2(ステップカウンタN=2)>
 ・時間t=0~0.1[ms]で、ICOMタスク
 ・時間t=0.1~0.6[ms]で、DIAGタスク(2/3)
 ・時間t=0.6~0.8[ms]で、UCMPタスク
 ・時間t=0.8~1.0[ms]で、非安全タスク
<ステップ3(ステップカウンタN=3)>
 ・時間t=0~0.1[ms]で、ICOMタスク
 ・時間t=0.1~0.8[ms]で、DIAGタスク(3/3)
 ・時間t=0.8~1.0[ms]で、非安全タスク As shown in FIG. 11A, in the execution plan based on the safe scheduling information 150 and the non-safe scheduling information 160, step 1 (step counter N = 1), step 2 (step counter N = 2), step 3 (step counter N = 3). ), The following task assignment is performed.
<Step 1 (Step Counter N = 1)>
・ ICOM task at time t = 0 to 0.1 [ms] ・ DIAG task at time t = 0.1 to 0.4 [ms] (1/3)
・ SETS task at time t = 0.4 to 0.7 [ms] ・ Non-safety task <step 2 (step counter N = 2)> at time t = 0.7 to 1.0 [ms]
・ ICOM task at time t = 0 to 0.1 [ms] ・ DIAG task at time t = 0.1 to 0.6 [ms] (2/3)
・ UCMP task at time t = 0.6 to 0.8 [ms] ・ Non-safety task at time t = 0.8 to 1.0 [ms] <Step 3 (step counter N = 3)>
・ ICOM task at time t = 0 to 0.1 [ms] ・ DIAG task at time t = 0.1 to 0.8 [ms] (3/3)
・ Non-safety task at time t = 0.8 to 1.0 [ms]
 図10中の安全スケジューリング情報150における中断フラグで規定されたように、ICOMタスク、SETSタスク、UCMPタスクは、中断不可とし、DIAGタスクは、3/3のみ中断不可とする。そして、中断不可のタスクが規定時間以内に終了しなかった場合には、CPU121は、プログラム異常を検出して安全停止シーケンスを実行するものとする。 As defined by the interruption flag in the safety scheduling information 150 in FIG. 10, the ICOM task, the SETS task, and the UCMP task cannot be interrupted, and the DIAG task cannot be interrupted only for 3/3. If a task that cannot be interrupted does not end within the specified time, the CPU 121 detects a program abnormality and executes a safe stop sequence.
 安全スケジューリング情報において各タスクを実行するために割り当てられる規定時間は、タスク処理の条件分岐の組合せの中で処理量が最大となる実行パスに基づいて決定される。安全タスクの場合、正常時では、異常監視処理のみが実行されるため、実際の実行時間は、規定時間よりも短いが、異常時では、追加で安全動作処理も実行されるため、実際の実行時間は、規定時間に近づく。 The specified time allocated to execute each task in the safety scheduling information is determined based on the execution path that maximizes the processing amount among the combination of conditional branches of task processing. In the case of a safety task, only the abnormality monitoring process is executed in the normal state, so the actual execution time is shorter than the specified time, but in the abnormal state, the additional safe operation process is also executed. Time approaches the specified time.
 非安全タスクの実行時間は、非安全スケジューリング情報では定義せず、また、規定時間タイマによる監視も実施しない。ただし、図11B、図11Cでは、DLOGタスクの処理時間を0.1[ms]、CCIFタスクの処理時間を1.0[ms]としている。 ¡Non-safety task execution time is not defined by non-safety scheduling information, and is not monitored by a specified time timer. However, in FIGS. 11B and 11C, the processing time of the DLOG task is 0.1 [ms], and the processing time of the CCIF task is 1.0 [ms].
 次に、図11Bを用いて、本実施の形態2によるタスク処理を実際に実行した場合について説明する。ステップ1では、t=0~0.1[ms]でICOMタスクが実行され、次に、t=0.1[ms]からDIAGタスク(1/3)が実行される。ここで、DIAGタスク(1/3)の実行規定時間は、0.3[ms]のため、t=0.4[ms]まで実行可能だが、異常検出なく、t=0.3[ms]で終了したとする。 Next, a case where task processing according to the second embodiment is actually executed will be described with reference to FIG. 11B. In step 1, the ICOM task is executed at t = 0 to 0.1 [ms], and then the DIAG task (1/3) is executed from t = 0.1 [ms]. Here, since the specified execution time of the DIAG task (1/3) is 0.3 [ms], it can be executed up to t = 0.4 [ms], but no abnormality is detected, and t = 0.3 [ms] Suppose that
 そこで、CPU121は、t=0.3[ms]の時点で、次の安全タスクであるSETSタスクの実行を開始する。t=0.3~0.6[ms]でSETSタスクが実行可能であるが、こちらも異常検出なく、t=0.5[ms]で終了したとする。 Therefore, the CPU 121 starts executing the SETS task, which is the next safety task, at time t = 0.3 [ms]. It is assumed that the SETS task can be executed at t = 0.3 to 0.6 [ms], but this is also detected without abnormality and terminated at t = 0.5 [ms].
 CPU121は、安全スケジューリング情報150よりSETSタスクの最終フラグがTRUEであるため、このステップでの安全タスクの実行は終了したと判断できる。そこで、CPU121は、t=0.5[ms]からは、非安全スケジューリング情報160に従ってDLOGタスクを実行する。DLOGタスクは、0.1[ms]で完了し、t=0.6[ms]よりCCIFタスクが実行される。 Since the final flag of the SETS task is TRUE from the safety scheduling information 150, the CPU 121 can determine that the execution of the safety task at this step has ended. Therefore, the CPU 121 executes the DLOG task according to the non-safety scheduling information 160 from t = 0.5 [ms]. The DLOG task is completed in 0.1 [ms], and the CCIF task is executed from t = 0.6 [ms].
 CCIFタスクは、完了まで1.0[ms]かかるが、t=1.0[ms]にて制御周期タイマ132が制御T=1[ms]となり割込が発生する。このため、CCIFタスクは、0.4[ms]実行したところで中断される。 The CCIF task takes 1.0 [ms] to complete, but at t = 1.0 [ms], the control cycle timer 132 becomes control T = 1 [ms] and an interrupt occurs. For this reason, the CCIF task is interrupted when 0.4 [ms] is executed.
 次のステップ2では、t=0~0.1[ms]でICOMタスクが実行され、次に、t=0.1~0.6[ms]でDIAGタスク(2/3)が実行可能であるが、t=0.45[ms]で終了したとする。この結果、次に、t=0.45~0.65[ms]でUCMPタスクが実行可能であるが、実際にはUCMPタスクがt=0.6[ms]で終了したとする。 In the next step 2, the ICOM task is executed at t = 0 to 0.1 [ms], and then the DIAG task (2/3) can be executed at t = 0.1 to 0.6 [ms]. It is assumed that the process ends at t = 0.45 [ms]. As a result, the UCMP task can be executed next at t = 0.45 to 0.65 [ms], but it is assumed that the UCMP task actually ends at t = 0.6 [ms].
 UMCPの最終フラグがTRUEであるため、次に非安全タスクが実行され、t=0.6[ms]から、先のステップ1で中断したCCIFタスクが再開される。CCIFタスクがさらに0.4[ms]実行されたところで、制御周期タイマが制御T=1[ms]となり、CCIFタスクの実行は、再び中断される。 Since the final flag of UMCP is TRUE, the non-safety task is executed next, and the CCIF task suspended in the previous step 1 is resumed from t = 0.6 [ms]. When the CCIF task is further executed for 0.4 [ms], the control cycle timer becomes control T = 1 [ms], and the execution of the CCIF task is interrupted again.
 次のステップ3では、t=0~0.1[ms]でICOMタスクが実行され、次に、t=0.1~0.8[ms]でDIAGタスク(3/3)が実行可能であるが、t=0.6[ms]で終了したとする。DIAG(3/3)の最終フラグがTRUEであるため、次に、非安全タスクが実行され、t=0.6[ms]から、先のステップ2で中断したCCIFタスクが再開される。 In the next step 3, the ICOM task is executed at t = 0 to 0.1 [ms], and then the DIAG task (3/3) can be executed at t = 0.1 to 0.8 [ms]. Suppose that the process ends at t = 0.6 [ms]. Since the final flag of DIAG (3/3) is TRUE, the non-safety task is executed next, and the CCIF task suspended in the previous step 2 is resumed from t = 0.6 [ms].
 CCIFタスクは、すでにステップ1、2で、合計0.8[ms]実行しているため、残り0.2[ms]の処理が、ステップ3のt=0.6~0.8[ms]で実行される。 Since the CCIF task has already been executed in steps 1 and 2 for a total of 0.8 [ms], the remaining 0.2 [ms] processing is performed in step 3 t = 0.6 to 0.8 [ms]. Is executed.
 CCIFタスクの実行完了後には、次の非安全タスクがないため、t=0.8[ms]以降、ステップ3の終了までは、いずれの処理も実行しない空き時間となる。 After the execution of the CCIF task is completed, there is no next non-safety task. Therefore, after t = 0.8 [ms], there is a free time during which no processing is executed until the end of step 3.
 なお、SETSタスクおよびUCMPタスクでは、かご現在速度の演算が必要である。そこで、前回タスク実行時に取得したガバナエンコーダ値x_gov’、および制御周期タイマ値t_gov’と、それぞれの現在値x_gov、t_govと、制御周期Tと、速度正規化係数Kとを用いることにより、CPU121は、下式に従ってかご速度を算出することができる。
  かご速度
   =K×(x_gov-x_gov’)
    /(3×N+t_gov-t_gov’) In the SETS task and the UCMP task, the current car speed must be calculated. Therefore, by using the governor encoder value x_gov ′ and the control cycle timer value t_gov ′ acquired at the previous task execution, the respective current values x_gov and t_gov, the control cycle T, and the speed normalization coefficient K, the CPU 121 The car speed can be calculated according to the following formula.
Car speed = K × (x_gov−x_gov ′)
/ (3 × N + t_gov−t_gov ′)
 図11Bに示したように、本発明によるタスク処理では、安全タスクが規定時間より先に完了した場合の空き時間を効率的に利用し、非安全タスクに対してより多くの時間を割り当てることを可能としている。この結果、CPU121の利用効率が向上し、タスク処理の時間効率性を向上させることが可能となる。 As shown in FIG. 11B, in the task processing according to the present invention, the idle time when the safety task is completed before the specified time is efficiently used, and more time is allocated to the non-safety task. It is possible. As a result, the utilization efficiency of the CPU 121 is improved, and the time efficiency of task processing can be improved.
 一方、従来技術によるタスク割り当て時間を固定する方式を採用して、今回と同様の安全タスク、非安全タスクを実行した場合には、図11Cに示す実行タイムチャートとなる。すなわち、空き時間において、安全タスクの処理が実行されないため、処理時間が1.0[ms]であるCCIFタスクが完了するステップが、ステップ5となってしまっている。すなわち、従来技術では、より多くのステップに渡る分割実行が必要となり、本発明によるタスク処理を実行した場合と比較して、処理時間が増大するケースが想定される。 On the other hand, when a safety task and a non-safety task similar to this time are executed by adopting a method for fixing the task allocation time according to the conventional technology, an execution time chart shown in FIG. 11C is obtained. That is, since the process of the safety task is not executed in the free time, the step of completing the CCIF task whose processing time is 1.0 [ms] is Step 5. That is, according to the conventional technique, it is necessary to perform divided execution over more steps, and it is assumed that the processing time increases as compared with the case where the task processing according to the present invention is executed.
 以上のように、実施の形態2に係るタスクスケジューリング手法によれば、安全制御機能のタスクを実行しない空き時間を、各制御周期の後ろにまとめることができる。この結果、CPUの利用効率が向上し、安全制御機能のタスクと非安全制御機能のタスクとの独立性を確保した上で、効率的なタスクスケジューリングを実現することができる。 As described above, according to the task scheduling method according to the second embodiment, the idle time during which the safety control function task is not executed can be collected after each control cycle. As a result, the utilization efficiency of the CPU is improved, and efficient task scheduling can be realized while ensuring the independence of the safety control function task and the non-safety control function task.
 21 CPU、30 独立性保証部、31 規定時間タイマ、32 制御周期タイマ、33 メモリ保護機能、40 プログラム、41 安全制御機能のタスク、42 非安全制御機能のタスク、50、50a 安全スケジューリング情報、60、60a 非安全スケジューリング情報、70 コンテキストブロック、121 CPU、130 独立性保証部、131 規定時間タイマ、132 制御周期タイマ、133 メモリ保護機能、140a、140b 安全監視系統、141 安全制御機能のタスク、142 非安全制御機能のタスク、150 安全スケジューリング情報、160 非安全スケジューリング情報、170 コンテキストブロック。 21 CPU, 30 Independence assurance unit, 31 Specified time timer, 32 Control cycle timer, 33 Memory protection function, 40 program, 41 Safety control function task, 42 Non-safety control function task, 50, 50a Safe scheduling information, 60 , 60a non-safety scheduling information, 70 context blocks, 121 CPU, 130 independence guarantee unit, 131 specified time timer, 132 control cycle timer, 133 memory protection function, 140a, 140b safety monitoring system, 141 safety control function task, 142 Non-safety control function tasks, 150 safe scheduling information, 160 non-safety scheduling information, 170 context blocks.

Claims (9)

  1.  複数の安全制御機能および複数の非安全制御機能を各々独立したプログラムとして記憶するとともに、前記複数の安全制御機能を各制御周期で実行する際の制御周期ごとのスケジューリングと実行順序があらかじめ規定された安全スケジューリング情報を記憶する記憶部と、
     前記安全スケジューリング情報に従って、前記複数の安全制御機能および前記複数の非安全制御機能に対応するそれぞれのプログラムを順次実行することにより、エレベーターの制御演算を行うCPUと
     を備え、
     前記CPUは、各制御周期において、前記安全スケジューリング情報として規定された前記実行順序に従って前記安全制御機能を連続して空き時間なしに順次実行し、制御周期内に割り当てられた安全制御機能をすべて実行した後の制御周期内の空き時間で、前記複数の非安全制御機能を実行する
     エレベーター安全制御装置。     A plurality of safety control functions and a plurality of non-safety control functions are stored as independent programs, and scheduling and execution order for each control cycle when the plurality of safety control functions are executed in each control cycle are defined in advance. A storage unit for storing safety scheduling information;
    A CPU for performing an elevator control calculation by sequentially executing the respective programs corresponding to the plurality of safety control functions and the plurality of non-safety control functions according to the safety scheduling information, and
    In each control cycle, the CPU sequentially executes the safety control functions sequentially without empty time in accordance with the execution order defined as the safety scheduling information, and executes all safety control functions assigned within the control cycle. An elevator safety control device that executes the plurality of non-safety control functions in a free time within a control cycle after being performed.
  2.  エレベーターの状態に関する信号を入力値として取得する入力部と、
     前記複数の安全制御機能および複数の非安全制御機能からなるすべての制御機能について、ある制御機能が他の制御機能に影響を及ぼさないように、制御機能間の独立性を保証する独立性保証部と
     をさらに有し、
     前記安全スケジューリング情報は、前記複数の安全制御機能の実行順と、前記複数の安全制御機能のそれぞれに対応して安全制御機能の演算処理を前記CPUで実行することができる時間を定めた規定時間と、各制御周期中の最後に実行する安全制御機能であるか否かを示す最終フラグと、が対応づけられており、
     前記記憶部は、前記非安全制御機能の実行順が規定された非安全スケジューリング情報がさらに記憶されており、
     前記独立性保証部は、それぞれの安全制御機能による演算処理時間が前記規定時間を超過したか否かを監視する規定時間タイマ、および各制御周期を監視する制御周期タイマを有し、
     前記CPUは、各制御周期において、
      最初に、前記安全スケジューリング情報で規定された実行順に従って安全制御機能の演算処理を開始し、前記最終フラグが有効である安全制御機能の演算処理までを実行し、
      安全制御機能の演算処理が、演算処理中の安全制御機能に対応づけられている規定時間以前に終了したとき、または前記規定時間に達し前記規定時間タイマによる割込が発生したときに、次の実行順の安全制御機能の演算処理を開始させることで、制御周期中に実行すべき安全制御機能の演算処理を連続して空き時間なしに順次実行し、
      制御周期中に実行すべき安全制御機能の演算処理が完了した後に、制御周期の終了までの空き時間において、前記非安全スケジューリング情報で規定された実行順に従って非安全制御機能の演算処理を実行し、
     前記制御周期が経過し前記制御周期タイマによる割込が発生したときに、実行中の非安全制御機能を中断して1つの制御周期の演算処理を終了する
     請求項1に記載のエレベーター安全制御装置。     An input unit for acquiring signals relating to the state of the elevator as input values;
    An independence assurance unit that guarantees independence between control functions for all control functions including the plurality of safety control functions and the plurality of non-safety control functions so that a certain control function does not affect other control functions. And
    The safety scheduling information includes a predetermined time that defines an order of execution of the plurality of safety control functions and a time during which the CPU can execute a calculation process of the safety control function corresponding to each of the plurality of safety control functions. And a final flag indicating whether or not the safety control function is executed at the end of each control cycle.
    The storage unit further stores non-safety scheduling information in which an execution order of the non-safety control functions is defined,
    The independence assurance unit has a specified time timer that monitors whether the calculation processing time by each safety control function exceeds the specified time, and a control cycle timer that monitors each control cycle,
    In each control cycle, the CPU
    First, start the arithmetic processing of the safety control function according to the execution order defined in the safety scheduling information, and execute until the arithmetic processing of the safety control function in which the final flag is valid,
    When the calculation process of the safety control function ends before the specified time associated with the safety control function being calculated, or when the specified time is reached and an interrupt is generated by the specified time timer, By starting the calculation process of the safety control function in the execution order, the calculation process of the safety control function to be executed during the control cycle is continuously executed without any free time,
    After the calculation process of the safety control function to be executed during the control cycle is completed, the calculation process of the non-safety control function is executed according to the execution order defined in the non-safety scheduling information in the idle time until the end of the control cycle. ,
    The elevator safety control device according to claim 1, wherein when the control cycle elapses and an interrupt is generated by the control cycle timer, the non-safety control function being executed is interrupted and the calculation process of one control cycle is terminated. .
  3.  各々独立して実行される各プログラムの実行状態の情報を保持するコンテキストブロックをさらに備え、
     前記CPUは、
      前記規定時間タイマまたは前記制御周期タイマの割込が発生したときに、演算処理中の制御機能を中断し、中断した制御機能に関するプログラムの実行状態の情報を前記コンテキストブロックに格納し、
      中断した制御機能を次回実行する際に、前記コンテキストブロックに格納されたプログラムの実行状態の情報を利用して、中断した状態の制御機能の演算処理を再開可能とする
     請求項2に記載のエレベーター安全制御装置。     A context block for holding information on the execution state of each program executed independently;
    The CPU
    When an interruption of the specified time timer or the control cycle timer occurs, the control function being processed is interrupted, and information on the execution state of the program related to the interrupted control function is stored in the context block,
    The elevator according to claim 2, wherein when the suspended control function is executed next time, the computation processing of the suspended control function can be resumed using information on the execution state of the program stored in the context block. Safety control device.
  4.  前記CPUは、前記複数の安全制御機能のそれぞれを実行するために使用する領域が個別に割り当てられた内部メモリを有し、
     前記独立性保証部は、前記複数の安全制御機能および複数の非安全制御機能からなるすべての制御機能のいずれかの演算処理を実行中に、演算処理中の制御機能が許可された領域以外の前記内部メモリの領域にアクセスした異常アクセス状態の有無を監視し、前記異常アクセス状態を検出した場合には、前記CPUに対して、エレベーターの安全動作を実行させる指令を出力するメモリ保護機能を有する
     請求項2または3に記載のエレベーター安全制御装置。     The CPU has an internal memory to which an area to be used for executing each of the plurality of safety control functions is individually assigned,
    The independence assurance unit is executing an arithmetic process of any of the control functions including the plurality of safety control functions and the plurality of non-safety control functions, and the area other than the area where the control function during the arithmetic process is permitted. It has a memory protection function for monitoring the presence or absence of an abnormal access state accessing the area of the internal memory, and outputting a command to execute a safe operation of the elevator to the CPU when the abnormal access state is detected The elevator safety control device according to claim 2 or 3.
  5.  前記安全スケジューリング情報は、安全制御機能が演算処理中に中断可能であるか否かを示す中断可能フラグがさらに関連付けられており、
     前記CPUは、前記中断可能フラグが無効である安全制御機能の演算処理中に、前記規定時間タイマの割込が発生した場合には、エレベーターの安全動作を実行する
     請求項2から4のいずれか1項に記載のエレベーター安全制御装置。     The safety scheduling information is further associated with an interruptible flag indicating whether or not the safety control function can be interrupted during the arithmetic processing,
    5. The elevator performs a safety operation of an elevator when an interruption of the specified time timer occurs during a calculation process of a safety control function in which the interruptible flag is invalid. 5. The elevator safety control device according to item 1.
  6.  前記制御周期タイマの値は、前記各々独立したプログラムに対応して固有に設定可能であり、
     前記CPUは、演算処理を実行する制御機能に対応するプログラムに設定された前記制御周期タイマの値を利用可能である
     請求項2から5のいずれか1項に記載のエレベーター安全制御装置。     The value of the control cycle timer can be uniquely set corresponding to each independent program,
    The elevator safety control device according to any one of claims 2 to 5, wherein the CPU can use a value of the control cycle timer set in a program corresponding to a control function that executes arithmetic processing.
  7.  前記CPUは、
      前記制御周期タイマの経過回数を保持するカウンタを有し、
      前回制御周期タイマを取得した際の制御周期タイマの値および経過回数と、今回制御周期タイマを取得した際の制御周期タイマの値および経過回数とを用いて、前回から今回までの経過時間を計測可能とする
     請求項6に記載のエレベーター安全制御装置。     The CPU
    A counter that holds the number of elapsed times of the control cycle timer;
    Measure the elapsed time from the previous time to the current time using the value and elapsed time of the control cycle timer when the previous control cycle timer was acquired and the value and elapsed time of the control cycle timer when the current control cycle timer was acquired The elevator safety control device according to claim 6.
  8.  特定の区間のみ前記規定時間タイマによる割込を禁止したい安全制御機能のタスクについて、
     前記CPUは、
      前記タスクの開始時に制御周期タイマの値taを取得し、
      前記特定の区間の開始時に制御周期タイマの値tbを取得し、
      前記特定の区間の開始時において、前記特定の区間の時間幅tcと、前記タスクの規定時間タイマの設定値tdから、
      td<tb-ta+tc
    の関係が成立するか否かを判断し、前記関係が成立する場合には、前記特定の区間の開始時において前記タスクの演算処理を中断して次の実行順へ処理を移行し、前記タスクの前記次の実行順となった際に前記特定の区間の初めの状態から前記タスクの実行を再開することで、前記特定の区間における前記規定時間タイマによる割込を禁止する
     請求項6または7に記載のエレベーター安全制御装置。     For the task of the safety control function that wants to prohibit interruption by the specified time timer only in a specific section,
    The CPU
    Obtain the value ta of the control cycle timer at the start of the task,
    Obtaining the value tb of the control cycle timer at the start of the specific section;
    At the start of the specific section, from the time width tc of the specific section and the set value td of the specified time timer of the task,
    td <tb-ta + tc
    If the relationship is established, the task calculation processing is interrupted at the start of the specific section, and the process proceeds to the next execution order. The interrupt by the specified time timer in the specific section is prohibited by resuming the execution of the task from the initial state of the specific section when the next execution order is reached. The elevator safety control device described in 1.
  9.  前記CPUは、
      前記次の実行順において、前記特定の区間が開始した場合には開始フラグをセットし、前記特定の区間が終了した場合には終了フラグをセットし、
     前記特定の区間が開始した後に規定時間タイマの割込が発生した際に、前記開始フラグがセットされており、かつ前記終了フラグがセットされていない場合には、エレベーターの安全動作を実行する
     請求項8に記載のエレベーター安全制御装置。     The CPU
    In the next execution order, a start flag is set when the specific section starts, an end flag is set when the specific section ends,
    If the start flag is set and the end flag is not set when an interruption of a specified time timer occurs after the specific section starts, an elevator safety operation is executed. Item 9. The elevator safety control device according to Item 8.
PCT/JP2018/008305 2018-03-05 2018-03-05 Elevator safety control device WO2019171424A1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
PCT/JP2018/008305 WO2019171424A1 (en) 2018-03-05 2018-03-05 Elevator safety control device
CN201880089881.5A CN111788140A (en) 2018-03-05 2018-03-05 Elevator safety control device
JP2020504489A JP7003217B2 (en) 2018-03-05 2018-03-05 Elevator safety control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/008305 WO2019171424A1 (en) 2018-03-05 2018-03-05 Elevator safety control device

Publications (1)

Publication Number Publication Date
WO2019171424A1 true WO2019171424A1 (en) 2019-09-12

Family

ID=67846574

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2018/008305 WO2019171424A1 (en) 2018-03-05 2018-03-05 Elevator safety control device

Country Status (3)

Country Link
JP (1) JP7003217B2 (en)
CN (1) CN111788140A (en)
WO (1) WO2019171424A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS55156174A (en) * 1979-05-18 1980-12-04 Hitachi Ltd Maintenance device for elevator
JPS6387435A (en) * 1986-09-30 1988-04-18 Toshiba Corp Information transmission control method for elevator system
JPH06305647A (en) * 1993-04-23 1994-11-01 Takenaka Komuten Co Ltd Operation schedule determining device for lifting and transporting device
JP2017137183A (en) * 2016-02-05 2017-08-10 株式会社日立製作所 Control system
JP2017141114A (en) * 2017-03-22 2017-08-17 三菱電機株式会社 Elevator system

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101366955B1 (en) * 2010-03-12 2014-02-24 미쓰비시덴키 가부시키가이샤 Elevator safety control device
EP2672341B1 (en) * 2011-01-31 2015-09-09 Toyota Jidosha Kabushiki Kaisha Safety control device and safety control method
WO2012104896A1 (en) * 2011-01-31 2012-08-09 トヨタ自動車株式会社 Safety control device and safety control method
JP4894961B1 (en) * 2011-03-15 2012-03-14 オムロン株式会社 PLC CPU unit, PLC system program, and recording medium storing PLC system program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS55156174A (en) * 1979-05-18 1980-12-04 Hitachi Ltd Maintenance device for elevator
JPS6387435A (en) * 1986-09-30 1988-04-18 Toshiba Corp Information transmission control method for elevator system
JPH06305647A (en) * 1993-04-23 1994-11-01 Takenaka Komuten Co Ltd Operation schedule determining device for lifting and transporting device
JP2017137183A (en) * 2016-02-05 2017-08-10 株式会社日立製作所 Control system
JP2017141114A (en) * 2017-03-22 2017-08-17 三菱電機株式会社 Elevator system

Also Published As

Publication number Publication date
CN111788140A (en) 2020-10-16
JP7003217B2 (en) 2022-01-20
JPWO2019171424A1 (en) 2020-07-09

Similar Documents

Publication Publication Date Title
US9108823B2 (en) Elevator safety control device
US7819228B2 (en) Collison prevention in hoistway with two elevator cars
JP2006298538A (en) Elevator device
EP3210920B1 (en) Elevator system including dynamic elevator car call scheduling
CN101027238A (en) Elevator apparatus
CN112327799A (en) Train network controller and system
JP4985662B2 (en) Program and control device
JP2014172714A (en) Elevator system
JP6007677B2 (en) Safety control system and processor of safety control system
WO2019171424A1 (en) Elevator safety control device
JP6230729B2 (en) Elevator safety control device and elevator safety control method
JPH0774070B2 (en) Group management control method for elevators
CN111788139B (en) Elevator safety control device
JP7409567B2 (en) Automotive computer control method and vehicle electronic control device
JP2008054028A (en) Control information transmission system
JP7396515B2 (en) Elevator safety control device and elevator safety control system
JP2012103802A (en) Information processor and electronic control unit
JPS6351954B2 (en)
JPS6236282A (en) Controller for elevator
JPS6242833B2 (en)
JPS6229355B2 (en)
JP2024085627A (en) Computer system and method of handling malfunction
JPS63112382A (en) Group controller for elevator
JPH0789677A (en) Group management control for elevator
JPS6129304B2 (en)

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18908856

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2020504489

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18908856

Country of ref document: EP

Kind code of ref document: A1