WO2022224897A1 - デジタル出力装置およびデジタル出力の生成方法 - Google Patents

デジタル出力装置およびデジタル出力の生成方法 Download PDF

Info

Publication number
WO2022224897A1
WO2022224897A1 PCT/JP2022/017771 JP2022017771W WO2022224897A1 WO 2022224897 A1 WO2022224897 A1 WO 2022224897A1 JP 2022017771 W JP2022017771 W JP 2022017771W WO 2022224897 A1 WO2022224897 A1 WO 2022224897A1
Authority
WO
WIPO (PCT)
Prior art keywords
output
alternating
units
alternating signal
digital output
Prior art date
Application number
PCT/JP2022/017771
Other languages
English (en)
French (fr)
Inventor
将行 宮路
和貴 森田
Original Assignee
株式会社日立製作所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立製作所 filed Critical 株式会社日立製作所
Priority to EP22791671.5A priority Critical patent/EP4328676A1/en
Priority to JP2023515440A priority patent/JPWO2022224897A1/ja
Publication of WO2022224897A1 publication Critical patent/WO2022224897A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/88Monitoring involving counting

Definitions

  • one typical digital output device includes two arithmetic units, a matching unit for collating the arithmetic results of the two arithmetic units, and the two arithmetic units. and two output conversion units that respectively receive output instructions based on the calculation results of, the matching unit outputs a first alternating signal if the respective calculation results match, and each of the two output conversion units: If the output instruction is an alternating output instruction, a second alternating signal is output, and if the output instruction is an alternating stop instruction, a non-alternating signal is output.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Abstract

フェールセーフCPUでの交番信号生成のためのCPU処理負荷を軽減するため、従来の構成と安全性を確保しつつ、ソフトウェア処理とは異なる交番信号を生成するデジタル出力装置を提供するために、デジタル出力装置として、2つの演算器と、2つの演算器それぞれの演算結果を照合する照合部と、2つの演算器それぞれの演算結果に基づく出力指示をそれぞれ受ける2つの出力変換部とを備え、照合部は、それぞれの演算結果が一致していれば第1の交番信号を出力し、2つの出力変換部それぞれは、出力指示が交番出力指示であれば第2の交番信号を出力し、出力指示が交番停止指示であれば非交番信号を出力する。

Description

デジタル出力装置およびデジタル出力の生成方法
 本発明は、フェールセーフ技術に関連したデジタル出力装置およびデジタル出力の生成方法に関し、特に、鉄道車両を安全側に制御するための鉄道保安装置等に好適である。
 鉄道保安装置には、常に高い安全性が求められ、保安装置自身や周辺機器に異常や故障が発生した場合においても、鉄道車両を安全側に制御するためのフェールセーフ性が要求される。
 既存のシステムにおいては、同一の演算器(CPU)を複数備え、これら演算器の動作を照合部で比較・照合することにより、安全性を担保する構成が採られてきた。これら演算器の演算結果は、演算周期ごとに照合部により比較および照合され、演算結果に不一致が生じた場合、演算器は動作を停止し、システムを安全側に遷移させる。このような機能を持つCPUをフェールセーフCPUと呼び、既存のシステムに用いられてきた。
 また、演算器からの出力としては、フェールセーフ性を持たせるために、周期的に変化する信号である交番信号が用いられる。フェールセーフCPUが備える演算器は、それぞれ交番信号を出力する出力部を有する。この交番信号として、従来、電気的にH(ハイ)またはL(ロー)の2つの状態を周期的に変化させるデジタル信号が用いられてきた。
 同様に、照合部は、演算器の照合結果が正しい正常な場合には、照合結果として交番信号を出力し、照合結果が不一致である異常な場合には、交番信号が停止し固定信号を出力する。
 以上の二つの演算器から出力される交番信号と照合部から出力される照合結果による交番信号とは、さらにフェールセーフANDに入力される。フェールセーフANDは、入力される交番信号の論理積をとり、すべての入力が交番状態である場合にのみ交番信号を出力する。フェールセーフANDから出力された交番信号は、交流アンプで整流および増幅され、リレーを駆動する。
 以上の構成により、演算器からの出力および照合部からの出力が、すべて交番状態である場合にのみ、リレーが駆動されることで、外部に信号が出力される。演算器の異常、照合結果の不一致または回路自体の異常により、交番信号が周期的な変化を停止した場合、最終段のリレーが解放され、システムの外部出力は安全側となる。これにより、フェールセーフな構成を形成している。
 図4は、既存のシステムの概略構成を示すブロック図である。
 車上保安装置1は、内部に演算器AおよびB(3および4)と照合部5を有するフェールセーフCPU2、出力部AおよびB(13および14)、フェールセーフAND10、交流アンプ11並びにリレー12を備える。本構成では、演算器AおよびBがそれぞれ交番信号を発生させ、出力部AおよびBそれぞれは、演算器AおよびBそれぞれからの交番信号を基にして、フェールセーフAND10に対して交番信号を出力する。
 なお、図4の構成では、演算器AおよびBからの0/1の書き込み指示を基にして、出力部AおよびBが外部へ交番信号を電圧に変換してフェールセーフAND10に出力するが、演算器自体が電気的な信号で交番信号を出力する場合もある。
 図5は、図4に示す既存のシステムを構成する各構成要素における信号の出力状態をタイミングチャートで示す図である。
 図4に示す構成では、フェールセーフAND10に出力する交番信号の生成を演算器AおよびBが実施している。具体的な手法の一例として、演算器AおよびBは、内部にタイマ(図示せず)を持ち、これに従い一定の周期で外部出力を発生させるためのトリガを生成する(501)。トリガが発生した場合、演算器AおよびBは、割込み処理に従い外部出力を生成する処理を実行する(505)。この時、演算器AおよびBは、例えば、外部出力部内に実装したレジスタ(図示せず)への0/1の指示を切り替えることで、演算器AおよびBは、交流アンプ11のチャージに必要な周波数で交番信号を生成する(502)。この処理は、タイマ割込みにより動作し、交番信号を出力する場合は、0/1の切り替えを、交番信号を停止する場合はどちらか一方の値を出力部に対して指示する。出力部AおよびBは、演算器AおよびBから入力された0/1の信号を電気的な信号に変換してフェールセーフAND10に出力する(503)。一方で、交番信号の出力を停止する場合は、割り込み処理は常時発生し、常に0もしくは1を書き込み続ける(504)。
 以上のように、既存のシステムでは、交流アンプ11に電荷を充電するために交番信号の入力が必要であり、さらに、交番信号の変化周期は、交流アンプ11の特性に応じた規定の周波数とする必要がある。フェールセーフAND10は、交番信号の状態に応じて出力を出すのみで、周波数を変化させる機能を有さず、また、照合部5からの出力は、演算器AおよびBの動作周波数に依存することから、交流アンプ11に充電するための規定の周波数を、演算器AおよびBからの出力により生成する必要があった。
 また、既存のシステムでは、演算器AおよびBそれぞれからの交番信号は、ソフトウェアの操作により生成される一定の周波数に従った交番信号とするため、一定間隔での割り込み処理により、出力信号に対してソフトウェアにて0と1とを交互に操作することで交番信号を生成していた。出力変換部AおよびBそれぞれが、この0と1との信号をフェールセーフAND10に必要な電圧に変換することで、電気的な信号に変換される。
 よって、既存のシステムでは、演算器内部でタイマによる割込みを実施し、交流アンプに電荷をチャージするために必要な一定周波数の交番信号を生成するには、タイマによるカウント処理および割り込みを受けた場合の出力生成処理が演算器AおよびBそれぞれに処理負荷として加わることとなる。
 このように既存システムで採用する方式においては、一定周期で割込み信号を生成する処理および割込みに応じた0/1の処理が、演算器の負荷として存在する。ここで、一般的なマイコンでは、パルス出力を生成するチャネルを持つものがあるが、このようなチャネルはカウンタが必要な上、マイコン当たりのパルス出力生成可能なポート数が少ないという制約がある。
 また、特許文献1には、周波数出力を演算器とは別の部所が実施することでCPUの演算の処理負荷を軽減する手法を実現しているが、OSおよびミドルウェアとアプリケーションとの分離によるアプリケーションの生産性向上を目的としているため、処理負荷の軽減には至っていない。
特開2000-39902号公報
 先に述べた既存のシステムでは、システムの演算規模が小さく、CPUの演算処理に余裕があり、この処理負荷が問題となることはなかった。
 しかし近年、車上保安装置と地上装置や他装置との通信における情報量が増加し、また、保安装置に求められる機能が複雑化し高機能化してきたことにより、CPUの処理負荷が増加する傾向にある。その結果、ソフトウェア処理による交番信号の生成が他のCPU処理を圧迫するという課題が生じている。
 そこで、本発明の目的は、交番信号生成のためのCPU処理負荷を軽減するため、従来の構成を維持し安全性を確保しつつ、ソフトウェア処理とは異なる交番信号を生成するデジタル出力装置を提供することである。
 上記の課題を解決するために、代表的な本発明に係るデジタル出力装置の一つは、2つの演算器と、2つの演算器それぞれの演算結果を照合する照合部と、2つの演算器それぞれの演算結果に基づく出力指示をそれぞれ受ける2つの出力変換部とを備え、照合部は、それぞれの演算結果が一致していれば第1の交番信号を出力し、2つの出力変換部それぞれは、出力指示が交番出力指示であれば第2の交番信号を出力し、出力指示が交番停止指示であれば非交番信号を出力するものである。
 本発明によれば、演算器からの出力指示を基に一定の周波数で交番出力をする出力変換部を設けることで、既存のシステム構成を変更することなくCPUの処理負荷を軽減することができる。また、出力変換部からの周波数出力を監視するチェック部を設けることで、CPUが出力変換部の故障を検知すると共にシステムが非安全側の動作となることを防ぎ、従来と同等の安全性を確保することができる。
 上記した以外の課題、構成および効果は、以下の発明を実施するための形態における説明により明らかにされる。
本発明の実施例に係る車上保安装置の概略構成を示すブロック図である。 車上保安装置を構成する各構成要素における信号の出力状態をタイミングチャートで示す図である。 車上保安装置を構成する各構成要素における信号の出力状態として、異常が発生した場合の挙動をタイミングチャートで示す図である。 既存のシステムの概略構成を示すブロック図である。 既存のシステムを構成する各構成要素における信号の出力状態をタイミングチャートで示す図である。 車上保安装置を構成する各構成要素における信号の出力状態に加えて、チェック部の動作状態を、タイミングチャートで示す図である。
 以下、本発明を実施するための形態として、実施例について図を参照しながら詳細に説明する。ここで、図面の記載では、同一部分には同一の符号を付して示している。
 図1は、本発明の実施例に係る車上保安装置の概略構成を示すブロック図である。
 車上保安装置1は、フェールセーフCPU2を有し、このフェールセーフCPU2は、2つの演算器3および4とそれぞれの演算器の演算結果を照合する照合部5とを有する。ここで、2つの演算器3および4を、それぞれ演算器Aおよび演算器Bとし、それぞれの演算器AおよびBそれぞれに対応する出力チャネル(図1では図示せず)を、それぞれチャネルAおよびチャネルB、と称する。
 また、車上保安装置1は、安全性に関わる出力を行う構成として、演算器3および4それぞれからの信号を受け、一定周波数の交番信号または非交番信号を出力する出力変換部6および7、出力変換部6および7から出力された交番信号を受信するチェック部8および9を有する。ここで、2つの出力変換部6および7を、それぞれ出力変換部Aおよび出力変換部Bとし、それぞれの出力変換部AおよびBに対応するチェック部8および9を、それぞれチェック部Aおよびチェック部B、と称する。
 すなわち、本発明は、演算器A(3)および演算器B(4)と照合部5とを有するフェールセーフCPU2と、出力変換部A(6)および出力変換部B(7)と、チェック部A(8)およびチェック部B(9)とを備えるデジタル出力装置を特徴とする。
 更に、車上保安装置1は、デジタル出力装置の出力変換部AおよびBからの信号並びに照合部からの信号を論理合成して入力されるすべての信号が交番状態である場合にのみ交番信号を出力するフェールセーフAND10、フェールセーフAND10からの出力を整流および増幅してリレー12を駆動させる交流アンプ11および外部に制御信号を出力するリレー12を有する。
 図2は、車上保安装置を構成する各構成要素における信号の出力状態をタイミングチャートで示す図である。
 演算器Aおよび演算器Bは、それぞれの演算結果(251もしくは252)に基づき、交番出力指示(201)もしくは交番停止指示(202)を出力変換部AおよびBに対して出力する。
 出力変換部AおよびBは、演算器AおよびBからの指示値を基に、交番出力指示(201)を受けている場合には、交流アンプ11にてリレー12のコイルに電荷を蓄えるための必要な周波数を持った交番信号を出力する(203)。一方、演算器AおよびBから交番停止指示202を受けている場合には、出力変換部AおよびBは交番信号ではなく非交番信号を出力する(204)。
 交番信号の停止状態が周期的な信号変化をしていない限り、停止状態下の信号レベルの状態(電気的にHかLか)はシステムに影響を与えない。
 また、照合部5は、演算器AおよびBの演算結果を照合し、この2つの演算器AおよびBの動作が同一である場合に、交番信号を出力する(205)。この交番信号205は、照合部5による照合結果であり、演算器AおよびBにおける演算自体に影響を与えない。
 出力変換部AおよびBからの交番信号出力並びに照合部5からの交番信号出力は、フェールセーフAND10に入力される。このフェールセーフAND10は、具体的にはフリップフロップなどにより構成される回路である。フェールセーフAND10に入力される信号が、互いの信号のクロック源となることで、すべての信号が交番状態であるときのみ、フェールセーフAND10の出力は交番信号となる(206)。
 この交番信号は、交流アンプ11により整流かつ増幅され、フェールセーフAND10が一定の周波数による交番信号を出力する場合にのみ、リレー12のコイルが加圧状態となる(208)。これにより、外部へは、出力変換部AおよびBからの出力並びに照合部5からの出力がすべて交番状態にあるときのみ、出力状態(リレー12のコイルが加圧され接点が閉じた状態)となる(210)。
 演算器AおよびBが交番停止指示を出力した場合、フェールセーフAND10への交番入力が停止し、これによりフェールセーフAND10からの交番信号が停止する(207)。これにより、交流アンプ11からの電荷供給が停止されることでリレー12のコイルの電荷が釈放され(209)、外部に制御信号を出力するリレー12の接点が開いた状態となる(211)。
 ここで、交流アンプ11に入力される交番信号には、電荷を蓄えるために必要なハードウェア規定の周波数を使用する必要がある。フェールセーフAND10からの交番信号が、一定の周波数である場合にのみ、リレー12のコイルに電荷が蓄えられる。この一定の周波数は、出力変換部AもしくはBの内部で生成される。
 図3は、図2と同様に車上保安装置を構成する各構成要素における信号の出力状態として、異常が発生した場合の挙動をタイミングチャートで示す図である。
 照合部5が演算器Aおよび演算器Bの演算結果に不一致を検出した場合や、少なくとも2つの演算器AおよびBのいずれかが異常を検知し動作を停止させた場合(301)など、フェールセーフCPU2が異常を検知した際には照合部5からの交番信号が停止する(302)。
 これにより、出力変換部AおよびBからの信号が交番状態であっても、照合部5からの交番信号が停止することで、フェールセーフAND10での論理合成により、フェールセーフAND10から出力される交番信号が停止する(207)。
 このように、少なくとも2つの演算器AおよびBのいずれかが故障を検知した場合や、ハードウェアや演算器の異常により二つの演算器AおよびBの演算結果が不整合となり、照合部5がこれを検知し交番信号を停止させた場合、または、経路に異常があり少なくとも出力変換部AおよびBのいずれかからの交番信号が停止した場合、フェールセーフAND10からの交番信号が停止し(207)、交流アンプ11からの電荷の供給が途絶えることで(209)、リレー12の接点が解放される(211)。
 以上のとおり、本発明の実施例に係る車上保安装置の構成は、異常発生時に対するフェールセーフ性を持つ。
 また、図4に示す既存のシステムの構成と比較して、図1に示す本発明の実施例に係る構成では、演算器AおよびBそれぞれは、交番出力または交番停止のいずれかの状態を出力変換部AおよびBそれぞれに対して指示すればよいことになる。よって、タイマによるカウント処理および出力の生成処理による周波数の生成を出力変換部で実施することにより、演算器での処理負荷が軽減化されることになる。
 次に、出力変換部AまたはBに故障が発生する場合があり、この故障により、意図せぬ交番信号を出力し続けるケースが発生し、フェールセーフAND10も、この意図せぬ交番信号に応じて交番信号を出力し続けることになる。
 正常なケースにおいては、演算器AまたはBからの交番停止指示により、出力変換部AまたはBからの交番信号が停止し、フェールセーフAND10からの交番信号が停止することで、外部出力は安全側になる。
 ところが、演算器AまたはBからの停止指示を受けているにも拘わらず、出力変換部AおよびBが交番信号を出力し続ける場合、システムを安全側に制御できない状態となる。
 このため、図1に示す構成では、演算器AおよびBそれぞれが出力変換部AおよびBそれぞれの状態を監視できるように、出力変換部AおよびBそれぞれの交番信号を受けることでそれぞれの出力状態を監視するチェック部AおよびBを設けている。
 図6は、図2や図3に示す車上保安装置を構成する各構成要素における信号の出力状態に加えて、チェック部AおよびBの動作状態を、タイミングチャートで示す図である。演算器AおよびB、照合部5、フェールセーフAND10、交流アンプ11およびリレー12の動作状態は、図2や図3と同様である。
 チェック部AおよびBそれぞれは、演算器AおよびBそれぞれの出力ラインに設けられ、出力変換部AおよびBそれぞれからの交番信号を受信し、それぞれの交番信号のパルス数をカウントする(601)。図6に示す例では、チェック部AおよびBそれぞれは、交番信号のパルスの立ち上がりおよび立下りのエッジをカウントする。演算器AおよびBそれぞれは、一定の時間間隔でチェック部AおよびBそれぞれにアクセスすることで、チェック部AおよびBそれぞれがカウントした交番信号の値を取得する(602、603、606および609)。
 演算器AおよびBそれぞれは、チェック部AおよびBそれぞれから取得したカウント値と、前回のアクセス時に取得したカウント値とを比較し、一定のアクセス時間間隔から出力変換部AおよびBそれぞれからの交番信号の出力有無および周波数を検知する。演算器AおよびBそれぞれは、自身に対応する出力変換部AおよびBそれぞれへの出力状態と、チェック部AおよびBそれぞれから得られる交番信号のカウント値とを比較する(604、605、607および610)。
 比較の結果、自身の出力とカウント値とが不一致であるケースとして、交番出力指示である状態で交番信号の停止または異常値が検知される場合、もしくは、交番停止指示である状態で交番信号の出力がカウント値として検知される場合、それを検知した演算器AまたはBは、自身に対応する出力変換部AまたはBが異常であると判断する(図6では、610)。
 異常を判断した場合、対応する演算器は動作を停止し、出力が非安全側となることを防ぐ。既存の構成(図4に示す構成))と比較すると、交番出力生成の処理が減る代わりに出力状態のチェックの処理が加わることになるが、出力生成の処理と比較してチェックの処理の周期は、カウントをある程度長くすることができるため、演算器の演算実行が圧迫されることはない。
 図6から、上記した異常判断の具体例を説明する。図6では、演算器Bから出力停止指示が出されているにも拘わらず、出力変換部Bからの出力が停止しない場合を示す。
 演算器Aにおいて、最初のカウント値チェックにより得られるカウント値は8であり(602)、2回目に得られるカウント値は11である(603)。図に示す周期において1回目では一定のカウント値が得られており、2回目では既定のカウント値を下回る値が得られているため、交番出力指示の状態において出力変換部Aが正常に交番信号を停止していることが分かる。
 一方で、演算器Bにおいては、演算器Bからの交番停止指示にも拘わらず出力変換部Bから交番信号が出力され続ける(608)。そうすると、最初のカウント値チェックにより得られるカウント値は8であるが(606)、2回目に得られるカウント値は16となり(609)、本来得られないはずのカウント値が規定値で得られることになる。その結果、演算部Bは、出力変換部Bから交番信号が出力されている状態と判断し、出力変換部Bの異常として検知する。
 これにより、演算器Bが出力変換部Bの異常検知をすることにより、照合部5からの交番信号出力が停止し、出力が非安全側となることを防ぐことができる。
 また、交番出力指示や交番停止指示のタイミングにより交番信号が過渡的な数値として取得される場合があるため、カウント値のチェックは1回のみではなく、一定期間に複数回チェックすることで、異常値が継続する場合を異常検知とするなどの手法を用いてもよい。
 以上のように、演算器AおよびBそれぞれは、チェック部AおよびBそれぞれのカウント値を周期的にチェックすることで出力変換部AおよびBそれぞれからの出力の状態を確認することができる。
 次に、別の異常ケースとして、出力変換部AまたはBからの出力が停止状態でこの出力変換部AまたはBが故障した場合、演算器AまたはBからの交番出力指示がない状態においては、チェック値が常に0となり正常と判断されることになり、故障が潜在化する場合が想定される。
 この場合の異常ケースは、システムとしては安全側の状態であるため、システムのフェールセーフ性に影響はしない。しかし、例えば、ブレーキを解除しようとした場合に初めて異常が顕在化するなど、運用に支障をきたすことが想定され、ブレーキ指令をかけて始めて故障が顕在化するなどの問題が生じる。これに対処するためには、保守作業の際にこのような故障を検知する機構を備えることが望ましい。
 図1に示す車上保安装置の構成においては、電源投入後のシステム初期化時に、演算器AおよびBそれぞれから模擬的に一定間隔の交番信号を出力し、演算器AおよびBそれぞれからの出力の結果、チェック部AおよびBそれぞれのカウント値が0でないことを確認する。これにより、出力変換部AおよびBそれぞれおよびチェック部AおよびBそれぞれの健全性のチェックを実施することができる。
 この時、演算器AおよびBそれぞれによるカウント値の判断基準を、一定の出力間隔に応じたカウント値とすることで出力周波数のチェックを実施してもよい。チェック結果により、例えば、カウント値が0である場合や異常な値を示す場合、演算器AまたはBは故障と判断し、故障を通知することで異常の潜在化を防ぐことができる。
 ただし、上記した動作態様を追加した場合は、模擬的な出力として交番信号が発生するため、一時的な出力がされないような機構部を設けることが望ましい。
 また、出力変換部AおよびBおよびチェック部AおよびBの経路上の異常は、上述した方法にて検知可能であるが、それぞれの演算器AおよびBが得たカウント値や結果を2つの演算器同士が照合し、その照合の結果に差分が生じた場合に、演算器AおよびBが自らの異常を検知する方式を用いてもよい。すなわち、カウント値により算出した結果を相互に照合することで、2つの演算器同士の演算結果の誤りを検出することができる。
 更には、出力変換部AおよびB並びにチェック部AおよびBは、ロジックICで構成可能であるが、FPGAなどのプログラム可能なデバイスで構成してもよい。この構成の場合、単一故障による非安全側動作を避けるために、出力変換部AおよびBそれぞれは、対応する演算器AおよびBそれぞれにつき1つの個別のプログラマブルデバイスで構成することが望ましい。また、チェック部AおよびBそれぞれについても、対応する同一チャネルの出力変換部AおよびBそれぞれとは個別のデバイスで構成することが望ましい。
 以上、本発明の実施例について説明したが、本発明は、上述した実施例に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。
1 車上保安装置、2 フェールセーフCPU、
3,4 演算器、5 照合部、6,7 出力変換部、
8,9 チェック部、10 フェールセーフAND、
11 交流アンプ、12 リレー、13,14 出力部
201,202 演算器から出力変換部への指示
203,204 演算器から出力変換部への指示に応じた交番信号出力の変化
205 照合部からの照合結果の信号
206,207 フェールセーフANDからの出力信号
208,209 フェールセーフANDからの出力信号の状態に応じた交流アンプの状態変化
210,211 交流アンプの状態に応じたリレーの状態変化
251,252 演算器の演算処理
301 フェールセーフCPUでの異常検知
302 異常検知による照合結果の交番信号の停止
501 演算器内部での交番信号生成のための割り込み信号
502 演算器から出力部に対する出力指示
503 出力部からの出力状態
504 出力部からの交番信号停止
505 演算器内部での出力信号生成処理
601 チェック部で検知する交番信号
602,603,606,609 演算器が取得するチェック部のカウント値
604,605,607,610 演算器によるカウント値取得および確認
608 演算部からの指示と出力変換部からの出力が不一致となる場合
611 演算器内部のチェック部における確認処理の起動タイミング

Claims (9)

  1.  2つの演算器と、
     前記2つの演算器それぞれの演算結果を照合する照合部と、
     前記2つの演算器それぞれの演算結果に基づく出力指示をそれぞれ受ける2つの出力変換部と
    を備え、
     前記照合部は、前記2つの演算器それぞれの演算結果が一致していれば第1の交番信号を出力し、
     前記2つの出力変換部それぞれは、前記出力指示が交番出力指示であれば、第2の交番信号を出力し、前記出力指示が交番停止指示であれば、非交番信号を出力する
    ことを特徴とするデジタル出力装置。
  2.  請求項1に記載のデジタル出力装置であって、
     前記2つの出力変換部それぞれが出力する前記第2の交番信号をそれぞれカウントする2つのチェック部を備え、
     前記2つの演算器それぞれは、対応する前記2つのチェック部それぞれからのカウント値を取得し、当該カウント値から、前記交番出力指示の状態で前記2つの出力変換部それぞれが前記第2の交番信号を出力しているか、および、前記交番停止指示の状態で前記2つの出力変換部それぞれが前記非交番信号を出力しているか、を判断する、
    ことを特徴とするデジタル出力装置。
  3.  請求項2に記載のデジタル出力装置であって、
     前記2つの演算器それぞれは、前記2つのチェック部それぞれから取得する前記カウント値を一定時間に複数回チェックする
    ことを特徴とするデジタル出力装置。
  4.  請求項2または3に記載のデジタル出力装置であって、
     当該デジタル出力装置の初期化時に、前記2つの演算器それぞれは、模擬的に前記交番出力指示を出力することで前記2つのチェック部それぞれから取得する前記カウント値に基づいて、前記2つの出力変換部および前記2つのチェック部の健全性を確認する
    ことを特徴とするデジタル出力装置。
  5.  請求項2から4のいずれか1項に記載のデジタル出力装置であって、
     前記2つの演算器それぞれは、対応する前記2つのチェック部それぞれから取得した前記カウント値を相互に照合して自らの異常を検知する
    ことを特徴とするデジタル出力装置。
  6.  請求項2から4のいずれか1項に記載のデジタル出力装置であって、
     前記2つの出力変換部および前記2つのチェック部をロジックICまたはFPGAで構成する
    ことを特徴とするデジタル出力装置。
  7.  請求項1から6のいずれか1項に記載のデジタル出力装置であって、
     外部出力部を更に備え、
     前記外部出力部は、前記第1の交番信号および2つの前記第2の交番信号の論理積を取って外部出力信号を生成する
    ことを特徴とするデジタル出力装置。
  8.  2つの演算器それぞれの演算結果を照合し、照合結果が一致していれば第1の交番信号を出力する第1のステップと、
     前記2つの演算器それぞれの演算結果に基づいて、交番出力を指示する場合は、第2の交番信号を出力し、交番停止を指示する場合は、非交番信号を出力する第2のステップと
    を有するデジタル出力の生成方法。
  9.  請求項8に記載のデジタル出力の生成方法であって、
     前記第2の交番信号をカウントしたカウント値から、前記交番出力の指示状態で前記第2の交番信号が出力されているか、および、前記交番停止の指示状態で前記非交番信号が出力されているか、を判断する第3のステップ
    を更に有するデジタル出力の生成方法。
PCT/JP2022/017771 2021-04-20 2022-04-14 デジタル出力装置およびデジタル出力の生成方法 WO2022224897A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP22791671.5A EP4328676A1 (en) 2021-04-20 2022-04-14 Digital output apparatus and method for generating digital output
JP2023515440A JPWO2022224897A1 (ja) 2021-04-20 2022-04-14

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2021-071043 2021-04-20
JP2021071043 2021-04-20

Publications (1)

Publication Number Publication Date
WO2022224897A1 true WO2022224897A1 (ja) 2022-10-27

Family

ID=83723001

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2022/017771 WO2022224897A1 (ja) 2021-04-20 2022-04-14 デジタル出力装置およびデジタル出力の生成方法

Country Status (3)

Country Link
EP (1) EP4328676A1 (ja)
JP (1) JPWO2022224897A1 (ja)
WO (1) WO2022224897A1 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10133900A (ja) * 1996-10-29 1998-05-22 Hitachi Ltd 冗長システム
JP2000039902A (ja) 1998-07-23 2000-02-08 Hitachi Ltd フェールセーフコントローラ
JP2000276202A (ja) * 1999-03-29 2000-10-06 Hitachi Ltd フェールセーフコントローラ
JP2005006376A (ja) * 2003-06-10 2005-01-06 Toshiba Corp 電気車のフェールセーフcpu処理装置
JP2012103882A (ja) * 2010-11-10 2012-05-31 Nippon Signal Co Ltd:The 2重系演算処理装置の監視装置
JP2013085318A (ja) * 2011-10-06 2013-05-09 Hitachi Ltd フェールセーフ装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10133900A (ja) * 1996-10-29 1998-05-22 Hitachi Ltd 冗長システム
JP2000039902A (ja) 1998-07-23 2000-02-08 Hitachi Ltd フェールセーフコントローラ
JP2000276202A (ja) * 1999-03-29 2000-10-06 Hitachi Ltd フェールセーフコントローラ
JP2005006376A (ja) * 2003-06-10 2005-01-06 Toshiba Corp 電気車のフェールセーフcpu処理装置
JP2012103882A (ja) * 2010-11-10 2012-05-31 Nippon Signal Co Ltd:The 2重系演算処理装置の監視装置
JP2013085318A (ja) * 2011-10-06 2013-05-09 Hitachi Ltd フェールセーフ装置

Also Published As

Publication number Publication date
EP4328676A1 (en) 2024-02-28
JPWO2022224897A1 (ja) 2022-10-27

Similar Documents

Publication Publication Date Title
US7877627B1 (en) Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology
US8010846B1 (en) Scalable self-checking processing platform including processors executing both coupled and uncoupled applications within a frame
CA1228655A (en) Digital fail operational automatic flight control system utilizing redundant dissimilar data processing
US10576990B2 (en) Method and device for handling safety critical errors
US7047440B1 (en) Dual/triple redundant computer system
US9453881B2 (en) Oscillation circuit, integrated circuit, and abnormality detection method
JP2001063492A (ja) 車両安全制御装置の電子制御装置
JP5682323B2 (ja) 安全制御システム
WO2006080227A1 (ja) 情報処理装置および情報処理方法
US20120150492A1 (en) Method and Device for Monitoring a Device Equipped with a Microprocessor
JP2011198205A (ja) 二重系制御システム
RU2703681C1 (ru) Модуль центрального процессора промышленного контроллера
US20120166880A1 (en) Independently based diagnostic monitoring
WO2022224897A1 (ja) デジタル出力装置およびデジタル出力の生成方法
US10120742B2 (en) Power supply controller system and semiconductor device
KR101448013B1 (ko) 항공기용 다중 컴퓨터의 고장 허용 장치 및 방법
JP3529994B2 (ja) 照合回路
RU2536990C1 (ru) Двухканальная система для регулирования движения поездов
JP6584055B2 (ja) システム復帰回路及びシステム復帰方法
US20230001939A1 (en) Vehicle mounted electronic control apparatus
Akita et al. Safety and fault-tolerance in computer-controlled railway signalling systems
JPS6091415A (ja) デイジタル制御装置
JP6660818B2 (ja) 制御装置
EP1684157A1 (en) Circuit for controlling power supply to electronic processing circuits, and especially electronic processing circuits having a redundant architecture
JPS58178451A (ja) マイクロコンピユ−タ制御装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22791671

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2023515440

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 2022791671

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2022791671

Country of ref document: EP

Effective date: 20231120