专利名称:具有失效保护功能的控制器及其自动列车控制器和系统的利记博彩app
本申请是1995年12月28日提交的申请号为95120944.2的专利申请的分案申请。
另一方面,这些交通工具必须安全运行,强烈要求控制器具有可靠性及失效保护(当故障发生时,必须危险方无输出)。
例如,通过例如ATC(自动列车控制)装置和ATS装置之类的高级保安系统可确保列车运行的安全性。
如用于超高速列车保安系统的ATP装置的例子所示,在国内、外,其可靠性和失效保护均获好评。
列车的ATP装置和ATS装置包括以具有自检功能的LSI为主体的控制电路和继电器。用于这些装置的主信号是其中逻辑电平交替变为“H”或“L”的频率信号(以后称为交变信号)。
控制电路比较和处理来自地面的ATP速度指令信号和接收该ATP信号时的列车实际速度信号,由速度控制信号(即,根据ATC信号和实际速度信号的差的制动指令信号)控制制动力,并控制列车速度。
用于产生这种交变信号的装置已在公开号为57-62702的日本专利申请中加以描述。
近来,正在建设中央控制指令室和列车之间传送列车运行信息(例如,列车速度和位置)和列车之间交换信息的系统,以改进运输服务,因而要求高密度列车运行及高速度列车运行的控制。
为了响应这些要求,仅靠目前使用的控制器及其使用的LSI,在处理速度和数据存储容量方面显得不足,为了弥补其缺陷,必须增加许多外围电路,从而该控制器变得复杂。
由于近来半导体技术的显著进步并已实现了高集成度及高处理速度,具有各种功能的控制电路已能包括在一块LSI芯片中。
但是,在这样构成的LSI中,存在一个问题由于内部形成的布线间的混合接触,输出错误的控制信号或输出经发生断线故障的布线及与其邻近布线间的分布电容而产生的信号,这时,尽管LSI本身已产生故障,但控制信号仍会被认为正常而加以输出。
何况,对于列车控制,LSI的使用环境与LSI用于公共福利时的使用环境相比是极其恶劣的。
当由于LSI制造过程中内部混合接触或断线或由于使用期间内部混合接触或断线而输出错误信号或作为速度控制关键的制动指令信号不输出时,产生一系列问题,引起一系列意外。
必须以与未来各种控制相应的LSI构成控制电路,它满足与这些控制相应的功能,改进检测LSI自身故障的自检功能且当故障产生时满足用于在安全侧进行控制的失效保护控制。
本发明包括把ATP指令速度信号转换成频率的指令速度频率转换装置;把所述指令速度频率转换装置的输出信号转换成数字数据的第一数据转换装置;把电动机车的实际速度转换成频率的速度频率转换装置;把所述速度频率转换装置的输出信号转换成数字数据的第二数据转换装置;根据所述第一数据转换装置的输出数据和所述第二数据转换装置的输出数据间的差,输出制动指令信号的制动指令输出装置;把制动指令输出装置双重化为LSI内部的系统A和系统B的装置;把相应于ATC指令速度信号的第一数据和相应于电动机车实际速度的第二数据同时输入至双重化LSI的系统A和系统B的电路的装置;产生第一控制数据和第二控制数据的装置,第一控制数据在第一数据的基础上附加当把生成多项式设成G0(X)时的CRC数据,第二控制数据在第一数据的基础上附加当把生成多项式设成G1(X)时的CRC数据;选择第一控制数据和第二控制数据之一的切换装置;用相应于生成多项式G0(X)且并联连接的第一故障检测器和相应于生成多项式G1(X)的第二故障检测器校验切换装置的输出信号错误的装置;比较系统A的第一故障检测器的输出和第二故障检测器输出的比较装置;比较系统B的第一故障检测器输出和第二故障检测器输出的比较装置;用系统A的比较装置的输出信号控制系统B的切换装置并选择第一控制数据或第二控制数据的装置;使系统B的比较装置输出信号的符号反转的符号反转装置;用系统B的符号反转装置的输出信号控制系统A的切换装置并选择第一控制数据或第二控制数据的装置。
本发明还包括使双重化电路的系统A和系统B相互分开的装配和布线装置;拓宽系统A的比较装置的输出信号和系统B的比较装置的输出信号配置间隔及布线间隔的装置。
系统A和系统B的第一控制数据由第一故障检测器判定为正常,其输出信号为“L”,反之,由第二故障检测器判定为异常,则其输出信号为“H”。第二控制数据由第一故障检测器判定为异常,其输出信号为“H”,反之由第二故障检测器判定为正常,则其输出信号为“L”。
在动作开始时,在系统A中,选择第一控制数据,在系统B中,选择第二控制数据。
因而,系统A的第一控制数据由第一故障检测器和第二故障检测器校验,第一故障检测器的输出信号“L”和第二故障检测器的输出信号“H”由系统A的比较装置比较;系统B的切换装置由上述条件下获得的比较输出信号“H”控制,并将第二控制数据切换至第一控制数据。
当第二控制数据切换至第一控制数据时,第一故障检测器的输出信号“L”和第二故障检测器的输出信号“H”,由系统B的比较装置比较,在该条件下获得的比较输出信号“H”由符号反转装置将符号反转变为“L”;控制系统A的切换装置,并将第一控制数据切换为第二控制数据。
当第一控制数据切换为第二控制数据时,第一故障检测器的输出信号“H”和第二故障检测器的输出信号“L”,由系统A的比较装置比较;系统B的切换装置由在该条件下获得的比较输出信号“L”控制,并将第一控制数据切换成第二控制数据。
当第一控制数据切换成第二控制数据时,第一故障检测器的输出信号“H”和第二故障检测器的输出信号“L”由系统B的比较装置比较,且在该条件下获得的比较输出信号“L”由符号反转装置将符号反转变为“H”;控制系统A的切换装置,并将第二控制数据切换成第一控制数据。
当第二控制数据切换为第一控制数据时,第一故障检测器的输出信号“L”和第二故障检测器的输出信号“H”,由系统A的比较装置比较;系统B的切换装置由在该条件下获得的比较输出信号“H”控制,并将第二控制数据切换为第一控制数据。
当第二控制数据切换为第一控制数据时,第一故障检测器的输出信号“L”和第二故障检测器的输出信号“H”由系统B的比较装置比较;该条件下获得的比较输出信号“H”的符号由符号反转装置反转变为“L”;控制系统A的切换装置,并将第二控制数据切换为第一控制数据。
如上所述,通过由系统自身的动作而获得的信号,控制对立系统的切换装置。因而,若控制数据、故障检测器、比较装置和切换装置正常,系统A和系统B的切换装置的输出信号以固定周期交替变化。但是,若其中之一产生故障,系统A和系统B的切换装置的交变信号停止。
监测切换装置的交变信号的变化。
当双重化电路的系统A和系统B相互分开配置和布线且加宽用于比较系统A的比较装置的输出信号和系统B的比较装置的输出信号的另一比较装置的设置间隔和布线间隔时,能防止例如系统A的故障影响系统B(它们工作得似乎是正常的),或应输出的制动指令信号不输出,而输出不要求输出的制动指令信号。
图1是本发明实施例的示意图;图2是本发明控制器实施例的示意图;图3是数据配置图;图4是频率比较操作的概念图;图5示意操作序号和故障信号波形;图6是频率核对器的示意图;图7是频率核对器的时间图;图8是本发明另一实施例的示意图;图9是各个存储器的数据配置图;图10是故障检测信号和存储器切换运行的说明图;图11是频率变换器的示意图;图12是频率变换操作的说明图;图13是频率比较器的示意图;图14是频率比较操作的时间图;图15是多重频率比较操作的说明图;图16是本发明另一实施例的示意图;图17是本发明另一实施例的示意图;图18是本发明又一实施例的示意图;图19是本发明大规模集成电路(LSI)布局的说明图;图20是本发明另一实施例的示意图;图21是本发明另一实施例的示意图;图22是本发明另一实施例的示意图;图23是本发明另一实施例的示意图24是本发明又一实施例的示意图;图25是本发明一编程实例的示意图。
ATP根据地面送来的ATP指令速度信号与当时列车(此后称为电动机车)行驶速度之间的偏差,给列车以制动作用,控制电动机车行驶速度低于该指令速度。
图1是利用本发明ATP系统的框图。
图1中,标号1表示其上面有电动机车行驶的路轨,23表示电动机车的车身,2表示电动机车的轮子,3表示加装在轮子2的轴上、检测速度的速度发生器,4表示对速度发生器3的输出电压波形整形并输出与电动机车的速度成正比的速度频率信号5的波形整形器(或信号变换器),6表示接收地面来的调频ATP指令速度信号的天线,7表示对天线6接收到的调频ATP指令速度信号进行解调、随后对该波形整形放大的车载接收机,8表示作为车载接收机7输出信号的ATP指令速度信号,9表示根据ATP指令速度信号和电动机车的实际速度来控制电动机车速度的ATP设备。还有,22表示从ATP设备接收制动指令信号21并向电动机车提供实际制动作用的制动设备。
利用此构成,电动机车的速度便得到控制,从而消除ATP指令速度与电动机车实际速度之间的偏差,或防止电动机车的实际速度超过ATP指令速度。
下面参照图2说明前面提及的ATP设备控制器的故障保护技术。
标号1800表示一控制器,1810表示输入处理第一输入数据、输出第一输出数据1860和第一检测信号1880的第一处理器,1820表示输入处理第二输入数据、输出第二输出数据1870和反相的第二检测信号1890的第二处理器,1830表示将第二处理器处理的检测信号反相的信号反相器,1900表示将第一处理器1810输出的第一检测信号1880发送至第二处理器1820的第一发送器,1910表示将第二处理器输出的第二检测信号1890通过信号反相器1830发送至第一处理器1810的第二发送器。
第一输入数据和第二输入数据均为微型计算机产生和提供的,或是从存储器读出的数据。
就第一输入数据而言,有时它有处理第一输出数据用的数据和校验上述数据的校验数据,有时它没有校验数据,校验数据通过第一处理器的处理产生,而且还产生第一检测信号。
就第二输入数据而言,有时数据内容与第一输入数据的内容相同,有时此内容不同于第一输入数据。
就第二输入数据而言,有时它具有与前面提及的第一输入数据相同方式的校验数据,有时则没有校验数据。当第二输入数据没有校验数据时,有时校验数据由第二处理器以与前面提及的第一输入数据相同的方式产生,有时甚至第二处理器也不产生校验数据。
而且,本实施例中第一输入数据和第二输入数据是互相独立的。但任一输入数据都可以很方便地输入两处理器。
第一处理器和第二处理器对串行处理型环处理器顺序输入的第一或第二输入数据进行处理,或在微机中并行读取这两种数据,执行并行处理。
第一和第二检测信号指示第一处理器和第二处理器运行是否正常。当有规定周期的交变信号输出时,该检测信号表明处理器运行正常。
这些检测信号还可以用作指示输入数据内容的校验结果是否正确的检测信号。
另一设备则由第一输出数据和第二输出数据控制。
输出至另一设备之前,由一检测第一输出数据与第二输出数据之间符合或输出利用第一或第二检测信号的最终输出数据的输出部,对所要控制的另一设备进行控制。
具有上述构成的控制器的处理过程叙述如下该处理过程的第一个例子是一种先将第一检测信号输出,再通过重复使此信号反相来产生交变信号的情形。
第一输入数据经第一处理器输入处理之后,输出第一输出数据和第一检测信号。第一检测信号输入至第二处理器,与第二输入数据一起处理,产生和输出第二输出数据和第二检测信号。
第二检测信号由信号反相器反相,输入至第一处理器。当第一处理器处理的第一检测信号为高(此后记为H)电平信号时,第二处理器处理的第二检测信号也变成H电平信号,而当第一处理器的第一检测信号为低(此后记为L)电平信号时,第二处理器处理的第二检测信号也变成L电平信号。
H电平的第二检测信号由信号反相器反相,所得的L电平的检测信号输入至第一处理器。
因而,当第一处理器处理的第一检测信号为L电平信号时,L电平信号就输入至第二处理器,第二处理器的检测信号就变成L电平信号。但因为该信号由信号反相器反相,所以是H电平的第二检测信号输入至第一处理器,只要第一处理器和第二处理器正常运行,第一和第二检测信号就变成H、L、H、......电平的交变信号。
第一或第二处理器检测信号的上述处理过程是输出一与输入信号相同电平的信号。也就是说,当从第一处理器先输出H或L电平的第一检测信号,只要第一和第二处理器运行正常,第一和第二检测信号此后就变成交变信号。
处理过程的第二个例子是一种在第一处理器输出的第一检测信号与第二输入数据的校验数据(或是由第二输入数据产生的校验数据)之间进行逻辑运算,从第二处理器输出检测信号的情形。
这样,本发明不仅检测第一或第二处理器是否运行正常,而且还能检查第一或第二输入数据是否正常。
也就是说,当第一检测信号与第二输入数据的校验数据不符合时,是不同于第一检测信号电平的信号从第二处理器输出作为检测信号。这样,经过信号反相器的第二检测信号就变成与第一检测信号相同电平的信号,从而没有交变信号输出。
对于第一处理器的第二检测信号和第一输入数据的校验数据也是同样如此。在此处理过程的例子中采用一具有逻辑单元的构成来执行逻辑运算。
接下来说明图1所示的ATP设备9的构成,它具有自动机车控制系统控制器的上述特性。
ATP设备9包括将ATP指令速度信号8变换成第一微机控制数据12的第一微机10;通过执行与第一微机相同的处理、将ATP指令速度信号8变换成第二微机控制数据13的第二微机11;在第一微机10的控制数据12与速度频率信号5之间进行逻辑运算、输出A系统逻辑输出信号17的A系统逻辑电路15;在第二微机11的控制数据13与速度频率信号5之间进行逻辑运算、输出B系统逻辑输出信号18的B系统逻辑电路16;以及,具有A系统逻辑电路15和B系统逻辑电路16双重逻辑构成的控制器14。
A系统逻辑电路15包括将第一微机的控制数据12变换成ATP指令速度频率(信号)151的频率变换器150;将ATP指令速度频率信号2150送至第三处理器2030的第二发送器;将第三检测信号2160送至第四处理器2040的第三发送器2200;以及,将第四处理器2040输出的第四检测信号2170经过一符号反转器2050送至第一处理器2010的第四发送器2210。
第一输入数据2060、第二输入数据2070、第三输入数据2080、和第四输入数据2090均为微机产生和提供的,或是从存储器读出的数据。
就第一输入数据2060而言,有时它有处理第一输出数据2100用的数据和校验上述数据的校验数据,有时它没有校验数据,校验数据通过第一处理器2010的处理产生,而且还产生第一检测信号2140。
就第二输入数据2070而言,有时它有处理第二输出数据2110用的数据和校验上述数据的校验数据,有时它没有校验数据,校验数据通过第二处理器2020的处理产生,而且还产生第二检测信号2150。
就第三输入数据2080而言,有时它有处理第三输出数据2120用的数据和校验上述数据的校验数据,有时它没有校验数据,校验数据通过第三处理器2030的处理产生,而且还产生第三检测信号2160。
就第四输入数据2090而言,有时它有处理第四输出数据2130用的数据和校验上述数据的校验数据,有时它没有校验数据,校验数据通过第四处理器2040的处理产生,而且还产生第四检测信号2170。
第一处理器2010对专用的串行处理型环处理器顺序输入的第一输入数据2060进行处理,或在微机中并行读取此数据,执行并行处理。
第二处理器2020也对专用的串行处理型环处理器顺序输入的第二输入数据2070进行处理,或在微机中并行读取此数据,执行并行处理。
第三处理器2030也对专用的串行处理型环处理器顺序输入的第三输入数据2080进行处理,或在微机中并行读取此数据,执行并行处理。
第四处理器2040也对专用的串行处理型环处理器顺序输入的第四输入数据2090进行处理,或在微机中并行读取此数据,执行并行处理。
第一检测信号2140指示第一处理器2010是否运行正常,第二检测信号2150指示第二处理器2020是否运行正常,第三检测信号2160指示第三处理器2030是否运行正常,第四检测信号2170指示第四处理器2040是否运行正常。它们分别是按规定周期交替的交变信号。
这些检测信号还可以用作表明输入数据内容的校验结果是否正确的信号。
也就是说,第一处理器2010输出用于校验输入数据2060内容的处理结果作为检测信号2140,第二处理器2020输出用于校验输入数据2070内容的处理结果作为检测信号2150,第三处理器2030输出用于校验输入数据2080内容的处理结果作为检测信号2160,第四处理器2040输出用于校验输入数据2090内容的处理结果作为检测信号2170。
第一处理器2010的输出数据2100、第二处理器2020的输出数据2110、第三处理器2030的输出数据212、和第四处理器2040的输出数据2130均输出至另一设备,来对它进行控制。
输出至另一设备之前,由一例如检测第一输出数据2100、第二输出数据2110、第三输出数据2120与第四输出数据2130之间符合,检测第一输出数据2100与第二输出数据2110之间符合,检测第三输出数据2120与第四输出数据2130之间符合,或进而输出利用第一检测信号2140、第二检测信号2150、第三检测信号2160和第四检测信号2170的最终输出数据的输出部,对所要控制的另一设备进行控制。
具有上述构成的控制器2000的处理过程叙述如下第一输入数据2060输入至第一处理器2010,第二输入数据2070输入至第二处理器2020,第三输入数据2080输入至第三处理器2030,第四输入数据2090输入至第四处理器2040,分别执行运算。
第一输出数据2100和第一检测信号2140从第一处理器2010输出。
第一检测信号2140输入至第二处理器2020,与第二输入数据2070一起处理,产生第二输出数据2110和第二检测信号2150。第二检测信号2150输入至第三处理器2030,与第三输入数据2080一起处理,产生第三输出数据2120和第三检测信号2160。第三检测信号2160输入至第四处理器2040,与第四输入数据2090一起处理,产生第四输出数据2130和第四检测信号2170。第四检测信号2170则由符号反转器2050将其符号反转,输入至第一处理器2010。
当第一处理器2010的第一检测信号2140为H电平信号时,第二处理器2020的第二检测信号2150也变成H电平信号,而当第一检测信号2140为L电平信号时,第二处理器2020的第二检测信号2150也变成L电平信号。
假定所有的处理器的检测信号输出起先都是L电平。因而,第四处理器2040的第四检测信号2170的符号反转信号2210变成H电平信号,输入至第一处理器2010。
结果,经第一处理器2010的处理,第一检测信号2140的输出电平变成H,再经第二处理器2020的处理,第二检测信号2150的输出电平变成H,接下来经第三处理器2030的处理,第三检测信号2160的输出电平变成H,接着经第四处理器2040的处理,第四检测信号2170的输出电平变成H。
因为第四检测信号2170输出的符号经符号反转器2050反转,所以符号反转信号2210的输出电平从H变为L。
因而,第一处理器2010的第一检测信号2140的输出电平从H变为L,第二处理器2020的第二检测信号2150的输出电平从H变为L,接下来第三处理器2030的第三检测信号2160的输出电平从H变为L,最后第四处理器2040的第四检测信号2170的输出电平从H变为L。
因为,第四检测信号2170输出的符号经符号反转器2050反转,故而符号反转信号2210的输出电平从H变为L,回到初始状态。
检测信号如上所述从第一处理器至第四处理器连接成环,因而第一输入数据至第四输入数据和第一处理器至第四处理器都是正常的。它们运行正确时,第一检测信号2140至第四检测信号2170成为按固定周期交替的交变信号,而当某一处理器发生故障时,该相应检测信号就固定为H或L,构成循环的检测信号便停止交变。
因而,需要对循环的故障检测信号进行监视,并在交变停止时采取应急动作。若对所有的故障检测信号进行监视,就可以知道出故障的处理器,并且可以更为简明地对故障作分析。
图20中说明的是具有四个处理器的实施例。不过,即便是有任意个数的处理器,也可以以相同方式连接故障检测信号,对处理器个数没有限制。
图21是本发明另一实施例的示意图。图21示出的是共享处理器的实施例,其中输入部包含一时分操作型的并串行变换器,输出部则包含一时分操作型的串并行变换器。
控制器3000包括一包含时分操作型并串行变换器3020、第一处理器3030、和时分操作型串并行变换器3040在内的第一控制电路3010;一包含时分操作型并串行变换器3210、第二处理器3220、和时分操作型串并行变换器3230在内的第二控制电路3200。第一控制电路3010的故障检测信号3130输入至第二控制电路3200的并串行变换器3210,第二控制电路3200的故障检测信号3320由符号反转器3330将其符号反转,所得的符号反转信号3340输入至第一控制电路3010的并串行变换器3020。
第一输入数据3050,第二输入数据3060,和第三输入数据3070均输入至第一控制电路3010的并串行变换器3020,第四输入数据3240,第五输入数据3250,和第六输入数据3260均输入至第二控制电路3200的并串行变换器3210。
假定第一控制电路3010的故障检测信号3130和第二控制电路3200的故障检测信号3320其输出电平起先为L。
第一输入数据3050由第一控制电路3010的并串行变换器3020变换成串行信号3080,经第一处理器3030的处理,输出一串行输出信号3090,接着由串并行变换器3040变换成并行信号,再作为输出信号3100输出。
第四输入数据3240则由第二控制电路3200的并串行变换器3210变换成串行信号3270,经第二处理器3220的处理,输出一串行输出信号3280,接着由串并行变换器3230变换成并行信号,再作为输出信号3290输出。
同样,第二输入数据3060输入至第一控制电路3010,经第一处理器3030的处理,输出一输出信号3110。第五输入数据3250输入至第二控制电路3200,经第二处理器3220的处理,输出一输出信号3300。第三输入数据3070输入至第一控制电路3010,经第一处理器3030的处理,输出一输出信号3120。第六输入数据3260输入至第二控制电路3200,经第二处理器3220的处理,输出一输出信号3310。
接着,第二控制电路3200的故障检测信号3320由符号反转器3330将其符号反转,H电平的该符号反转信号3340输入至第一控制电路3010的并串行变换器3020,这时按上面提及的相同动作输出H电平的故障检测信号3130。
第一控制电路3010的H电平的故障检测信号3130输入至第二控制电路3200的并串行变换器3210,因而,按上面提及的相同动作输出H电平的故障检测信号3320。
这H电平的故障检测信号3320由符号反转器3330将其符号反转,所得L电平的故障检测信号输入至第一控制电路3010的并串行变换器3020,因而,按上面提及的相同动作输出H电平的故障检测信号3130。
因此,只要第一控制电路3010和输入数据以及第二控制电路3200和输入数据正常,第一控制电路3010的故障检测信号3130和第二控制电路3200的故障检测信号3320就变成为按固定周期交替的交变信号。
图21中,第一处理器3020和第二处理器3210可以采用微机。在这种情况下,可以由程序选定各种方法。例如,可以通过在输入数据处理之后执行故障检测处理这种方法,或并行执行输入数据处理和故障检测处理这种方法,来实现上面提及的相同动作。
不用说,当然可以由复接器和分接器来替换并串行变换器和串并行变换器,实现上面提及的相同动作。
图22是本发明另一实施例的示意图。差异在于,图20所示的实施例中的符号反转器2050在图22所示的实施例中是一1位加法器2220。除此之外全部相同,故而省略其动作说明,仅仅对图22示出的加法器2220的动作进行说明。
假定构成控制器2000的第一处理器2010、第二处理器2020、第三处理器2030和第四处理器2040均正常,第一检测信号2140、第二检测信号2150、第三检测信号2160和第四检测信号2170其输出电平均为L。
第一输入数据2060输入后经第一处理器2010的处理,输出L电平的第一检测信号2140。第一检测信号2140输入至第二处理器2020,与第二输入数据2070一起处理,输出L电平的第二检测信号2150。第二检测信号2150输入至第三处理器2030,与第三输入数据2080一起处理,输出L电平的第三检测信号2160。第三检测信号2160输入至第四处理器2040,与第四输入数据2090一起处理,输出L电平的第四检测信号2170。
第四检测信号2170输入至加法器2220,与H电平数据相加,因而,其输出信号2210的输出电平变为H,该信号输入至第一处理器2010。
此H电平输出信号2210与第一输入数据2060一起处理,第一检测信号2140变为H电平信号,此后由相同的动作,第二处理器2020的第二检测信号2150变为H电平信号,第三处理器2030的第三检测信号2160变为H电平信号,第四处理器2040的第四检测信号2170变为H电平信号。
此第四检测信号2170输入至加法器2220,与H电平数据相加时,其输出信号2210的输出电平变为L。此输出信号2210输入至第一处理器2010,与第一输入数据一起处理。也就是说,又回到初始状态。
因而,只要控制器2000各单元正常,构成循环的第一检测信号2140、第二检测信号2150、第三检测信号2160、和第四检测信号2170均成为H或L电平按固定周期交替的交变信号,从而可以期望提供一种对任一这些信号监视,当交变停止时执行应急控制的构成。
如同图20,图22说明的是四个处理器的例子。但即便是有任意个数的处理器,也可以按相同方法将它们连接,对处理器个数没有限制。
图23是本发明另一实施例的示意图。与图20不同之处在于,图23所示的实施例中,是2位数据“0”“1”(表示十进制1)与处理器的2位检测信号相加,加法器输出信号输入至下一个处理器,与输入至该处理器的信号一起处理。
图23中,第一处理器2010、第二处理器2020、第三处理器2030、和第四处理器2040,以及第一加法器2220、第二加法器2230、第三加法器2240、以及第一减法器2250分别正常,表明状态的第一检测信号2140的输出为2位长度“0”“0”(表示十进制0),第二检测信号2150的输出也是“0”“0”,第三检测信号2160的输出也是“0”“0”,第四检测信号2170的输出也是“0”“0”。
第一输入数据2060输入后,经第一处理器的处理,输出第一输出数据2100和第一检测信号2140的“0”“0”。
第一检测信号2140的输出“0”“0”由第一加法器2220与2位数据“0”“1”(表示十进制1)相加,因而加法器输出2260变成“0”“1”。
加法器输出2260的“0”“1”输入至第二处理器2020,与第二输入数据2070一起处理,输出第二输出数据2110和第二检测信号2150的“0”“1”。
第二检测信号2150的输出“0”“1”由第二加法器2230与数据“0”“1”相加,因而加法器输出2270变成“1”“0”(表示十进制2)。
加法器输出2270的“1”“0”输入至第三处理器2030,与第三输入数据2080一起处理,输出第三输出数据2120和第三检测信号2160的“1”“0”。
第三检测信号2160的输出“1”“0”由第三加法器2240与数据“0”“1”相加,因而加法器输出2280变成“1”“1”(表示十进制3)。
加法器输出2280的“1”“1”输入至第四处理器2040,与第四输入数据2090一起处理,输出第四输出数据2130和第四检测信号2170的“1”“1”。
第四检测信号2170的“1”“1”输入至第一减法器2250,从数据“1”“1”减去数据“1”“0”(表示十进制2),因而减法器输出2290变成“0”“1”。
减法器输出2290的“0”“1”输入至第一处理器2010,与第一输入数据2060一起处理,输出第一输出数据2100和第一检测信号2140的“0”“1”。
第一检测信号2140的“0”“1”由第一加法器2220与数据“0”“1”相加,因而加法器输出2260变成“1”“0”(表示十进制2)。
加法器输出2260的“1”“0”输入至第二处理器2020,与第二输入数据2070一起处理,输出第二输出数据2110和第二检测信号2150的“1”“0”。
第二检测信号2150的“1”“0”由第二加法器2230与数据“0”“1”相加,因而加法器输出2270变成“1”“1”(表示十进制3)。
加法器输出2270的“1”“1”输入至第三处理器2030,与第三输入数据2080一起处理,输出第三输出数据2120和第三检测信号2160的“1”“1”。
第三检测信号2160的“1”“1”由第三加法器2240与数据“0”“1”相加,因而加法器输出2280变成“0”“0”(表示十进制0)。
加法器输出2280的“0”“0”输入至第四处理器2040,与第四输入数据2090一起处理,输出第四输出数据2130和第四检测信号2170的“0”“0”。
第四检测信号2170的“0”“0”输入至第一减法器2250,减去数据“1”“0”,因而减法器输出2290变成“1”“0”(表示十进制2)。
减法器输出2290的“1”“0”输入至第一处理器2010,与第一输入数据2060一起处理,输出第一输出数据2100和第一检测信号2140的“1”“0”。
第一检测信号2140的“1”“0”由第一加法器2220与数据“0”“1”相加,因而加法器输出2260变成“1”“1”(表示十进制3)。
加法器输出2260的“1”“1”输入至第二处理器2020,与第二输入数据2070一起处理,输出第二输出数据2110和第二检测信号2150的“1”“1”。
第二检测信号2150的“1”“1”由第二加法器2230与数据“0”“1”相加,因而加法器输出2270变成“0”“0”(表示十进制0)。
加法器输出2270的“0”“0”输入至第三处理器2030,与第三输入数据2080一起处理,输出第三输出数据2120和第三检测信号2160的“0”“0”。
第三检测信号2160的“0”“0”由第三加法器2240与数据“0”“1”相加,因而加法器输出2280变成“0”“1”(表示十进制1)。
加法器输出2280的“0”“1”输入至第四处理器2040,与第四输入数据2090一起处理,输出第四输出数据2130和第四检测信号2170的“0”“1”。
第四检测信号2170的“0”“1”输入至第一减法器2250,减去数据“1”“0”,因而减法器输出2290变成“0”“0”(表示十进制0)。
减法器输出2290的“0”“0”输入至第一处理器2010,与第一输入数据2090一起处理,输出第一输出数据2100和第一检测信号2140的“0”“0”。
当控制器2000构成为,使“0”“1”(十进制1)与第一处理器的第一故障检测信号的输出信号相加并将加法信号输入至第二处理器;使“0”“1”(十进制1)与第二故障检测信号的输出信号相加并将加法信号输入至第三处理器;使“0”“1”(十进制1)与第三故障检测信号的输出信号相加并将加法信号输入至第四处理器;从第四故障检测信号的输出信号减去“1”“0”(十进制2)并将减法信号输入至第一处理器,这样的话,只要控制器2000的各个单元正常,各个处理器的故障检测信号就成为按固定周期交替的交变信号。
如同图22,图23说明的是四个处理器的例子。但即便是有任意个数的处理器,也可以按相同方法将它们连接,对处理器个数没有限制。
图24示出本发明另一实施例。图24在第二检测信号的处理方法上与图21有所不同。
具体来说,图24中第一输入数据3050全部输入至第一控制电路3010后再输入第二输入数据3060,第二输入数据3060全部输入后再输入第三输入数据3070,第三输入数据3070全部输入后,再通过第一加法器3150输入校验数据用的CRC数据3140,作为故障检测信号3160。
这些数据由并串行变换器3020顺序变换成串行信号3080,输入至第一处理器3030后按规定进行处理,输出一串行信号3090。此串行信号3090由串并行变换器3040变换输出互相并行的输出信号3100、输出信号3110和输出信号3120,从而对另一设备进行控制,并且输出故障检测信号3130,将它输入至第二加法器3340。
当第四输入数据3240以相同方法全部输入至第二控制电路3200后再输入第五输入数据3250,第五输入数据3250全部输入后再输入第六输入数据3260,第六输入数据3260全部输入后再通过第二加法器3340输入校验数据用的CRC数据3330,作为故障检测信号3350。
这些数据由并串行变换器3210顺序变换成串行信号3270,输入至第二处理器3220后按规定进行处理,输出一串行信号3280。此串行信号3280由串并行变换器3230变换输出互相并行的输出信号3290、输出信号3300和输出信号3310,从而对另一设备进行控制,并且输出故障检测信号3320,由符号反相器3350使之符号反转后,输入至第一加法器3150一符号反转故障检测信号3360。
假定在初始状态第一控制电路3010的故障检测信号3130和第二控制电路3200的故障检测信号3320其输出电平均为L。
第一控制电路3010的L电平故障检测信号3130输入至第二控制电路3200的第二加法器3340,但CRC数据3330并不会受损。换句话说,输入至第二串并行变换器3210的是正常的CRC数据3350。
另一方面,第二控制电路3200的故障检测信号3320其符号反转信号3370的输出电平为H。H电平的符号反转信号3370输入至第一加法器3150,使CRC数据3140破坏。
已破坏的CRC数据3160输入至第一并串行变换器3020,从而经第一处理器3030处理后,通过第一串并行变换器3040输出H电平的故障检测信号3130。
此H电平的故障检测信号3130输入至第二加法器3340,使CRC数据3330破坏。
已破坏的CRC数据3350输入至第二并串行变换器3210,从而经第二处理器3220处理后,通过第二串并行变换器3230输出H电平的故障检测信号3320。
此H电平的故障检测信号3110由符号反相器3360反转其符号后,输入至第一加法器3150一L电平信号。
也就是说,CRC数据3140未被第一加法器3150破坏,因而输入至第一并串行变换器的是正常的CRC数据。即回到初始状态,受到控制。
如上所述,只要控制器3000的全部单元正常,故障检测信号3130和故障检测信号3320就按固定周期交替变化。
图25是一程序实例,此时图21和图24示出的第一处理器和第二处理器分别包括一微机。在执行输入处理后执行数据处理,并根据此结果执行输出处理。此处理结束,检测故障的诊断处理便开始。也就是说,故障诊断处理是在执行用以检测故障的输入处理之后,并且此处理结束执行输出处理时执行的。也就是说,只要正常,就没有信号输出。然而,当异常时,有输出信号,执行应急处理。
综上所述,根据本发明,当然可以检测包括多个处理器或逻辑单元的控制器的正常运行和异常运行。
各个处理器处理的输入数据内容均可以得到校验,因而不仅可以检测硬件的运行是否正常,而且可以检测软件的运行是否正常。
将本发明应用于ATP设备时,从ATP指令速度信号产生两系统的控制数据,ATP设备中的各个逻辑单元均为双份,从而对各自的控制数据进行处理,各系统至少具有两套校验控制数据用的CRC数据。通过改变各个逻辑单元的对立CRC数据,或根据各个双份逻辑单元来的故障检测信号的内容两套CRC数据中选其一,可以实现对控制数据的校验和对各个逻辑单元运行的校验。
ATP设备包括对ATP指令速度频率151与速度频率5进行比较的频率比较器152;根据B系统的故障检测信号,校验第一微机控制数据12的内容和逻辑电路15的状态,并输出A系统故障检测信号154的故障检测器153。
B系统的逻辑电路16包括将第二处理器的控制数据13变换成ATP指令速度频率(信号)161的频率变换器160;对ATP指令速度频率151与速度频率5进行比较的频率比较器162;根据A系统的故障检测信号,校验第二微机控制数据13的内容和逻辑电路16的状态,并输出B系统故障检测信号164的故障检测器163。
标号19表示一逻辑电路,它产生一与B系统故障检测信号164的符号相反的符号反转信号165,并将它输入至A系统故障检测器153。例如可以是一反相电路。此符号反转逻辑电路19连接至A系统故障检测器153输出端与B系统故障检测器163输入端之间。因而,A系统的故障检测信号154的符号可以被反转。
ATP指令速度是根据轨道状况等和路轨1的流量,按调频信号预置的限速。
ATP指令速度由行驶的电动机车的接收天线6接收,并同时由车载接收机7解调、放大和整形,然后再检出。
通过波形整形器4对直接连接在电动机车轮轴上的速度发生器3的输出电压进行整形,对正比于电动机车速度的速度频率进行检测。
车载接收机7的ATP指令速度信号8分别输入至ATP设备9的第一微机10和第二微机11,变换为控制数据或加以处理。
具体来说,假定与ATP指令速度信号对应的数据长度为1字,n种ATP指令速度信号便变换为n字数据。
通过微机10和11变换处理而产生的控制数据被存储在内置于微机10和11中的存储器,并顺序作为控制数据12和13输出。
保存控制数据12和13的存储器可以是内置于微机10和11的存储器,或是内置于逻辑电路15和逻辑电路16的存储器或微机(未图示),或是与ATP设备分立安装的存储器。
可以用同一存储器或不同的存储器来保存控制数据12和13。
图1示出一上述存储器内置于各个微机的例子。
上述各个存储器可以是包含高速缓冲存储器在内的存储器件。
图3中的(1)由第一微机10产生,数据DI0至DIx-1存储在存储器地址AI0至AIx-1处。同样,图3中的(2)由第二微机11产生,数据DI0至DIx-1存储在存储器地址AI0至AIx-1处。
在第一微机10的数据DI0至DIx-1的末尾加有1字长度的CRC数据DCRC1来检测故障。地址为AI0至AIn的数据DI0至DIx-1和DCRC1,从低次位至高次位串行输出。输出的串行数据作为第一微机的控制数据12输入至A系统的逻辑电路15。
同样,在第二微机11的数据DI0至DIx-1的末尾加有1字长度的CRC数据DCRC2来检测故障。地址为AI0至AIn的数据DI0至DIx-1和DCRC1,从低次位至高次位串行输出。输出的串行数据作为第二微机的控制数据13输入至B系统的逻辑电路16。
在这种情况下,合意的是A系统和B系统两者的数据DI0至DIx-1相同,而本实施例示出这种数据相同的情况。
在A系统的逻辑电路15中,由串行操作型频率变换器150(后面说明的环形算术电路)根据ATP指令速度信号将控制数据12变换成n种ATP指令速度频率151,并以串行方式输出。
串行输出的信号输入至频率比较器152(后面说明)。
同样,在B系统的逻辑电路16中,由串行操作型频率变换器160(后面说明的环形算术电路)根据ATP指令速度信号将控制数据13变换成n种ATP指令速度频率161,并以串行方式输出。
串行输出的信号输入至频率比较器162(后面说明)。
在这种情况下,A系统的DCRC1和B系统的DCRC2分别具有至少两个不同生成多项式产生的CRC数据,也就是说,A系统有DCRC10和DCRC11,B系统有DCRC20和DCRC21。至于这些CRC数据,可以从一套CRC数据产生两套CRC数据。
这些CRC数据不由频率变换器150和160进行频率变换。
速度频率5输入至A系统另一频率比较器152,与ATP指令速度频率151比较,以串行方式将比较结果作为输出信号17输出。
同样,速度频率5输入至B系统另一频率比较器162,与ATP指令速度频率161比较,以串行方式将比较结果作为输出信号18输出。
核对器20将逻辑电路15的输出信号17和逻辑电路16的输出信号18进行比较对照后,输出核对相符信号至制动设备22,作为制动指令21。
图4是频率比较操作的概念图。这时电动机车停止于规定位置。接下来说明ATP指令速度频率、电动机车速度频率、以及制动指令之间的关系。
图4中,纵轴表示ATP指令速度频率fATP,横轴表示时间t,符号fV表示电动机车的速度频率。
在时刻t0,ATP指令速度频率fATP0与电动机车速度频率fV之间关系是fATP0>fV。在时刻t0至t1这段时间内,既没有行驶指令也没有制动指令提供给电动机车,电动机车处于靠惯性滑行开始减速的状态。
假定在此状态下ATP指令速度频率fATP0在时刻t1改变为fATP1,且fATP1于fV,那么,附图中示出的B1便作为制动指令信号21从符合器20输出,提供给制动设备22。
由制动设备22将与该指令对应的制动作用提供给电动机车,电动机车便开始减速。
假定ATP指令速度频率fATP1在时刻t2改变为fATP2,且fATP2低于fV,那么核对器20的制动指令信号21就变成图中所示的B2,电动机车进一步减速。
假定ATP指令速度频率以同样方法在时刻t3至t5时改变为fATP3至fATP5,那么图中所示的B3至B5便作为核对器20的制动指令信号21以串行方式输出。此制动指令信号21便输入至制动设备22,由制动设备22向电动机车提供规定的制动作用。
图1中,制动指令信号21B1至B5如图3所示从符合器20以串行方式输出,制动设备22便对它们译码,使制动设备22控制成具有图4所示的制动作用。
如上所述,ATP设备是一种保安设备,按地面来的ATP指令速度信号向电动机车提供制动作用,对电动机车的速度进行控制,使电动机车停靠于规定站点。
具体来说,当构成ATP设备的微机10和11、逻辑电路15和16,以及核对器20等单元中的某一个发生故障,而无法输出规定的制动指令时,就会造成严重的事故,因而,在检测出上述电路和设备其中之一出现故障时,必须确保使电动机车停下。
下文说明这方面的故障检测功能。
输入至A系统逻辑电路15的控制数据12由故障检测器153校验,其输出信号154输入至B系统的故障检测器。
输入至B系统逻辑电路16的控制数据13由故障检测器163校验,其输出信号164由反相器19进行符号反转,并作为符号反转故障检测信号165输入至A系统故障检测器153。
在这种情况下,假定电路不工作的信号电平为L,电路工作的信号电平为H。
当输入至A和B系统逻辑电路15和16的控制数据12和13均正常,故障检测器153和163其输出信号154和164就变为L。B系统故障检测器163的输出信号164由反相器19进行符号反转,因而符号反转故障检测信号165变为H。
至于输入至逻辑电路15的故障检测器153的CRC数据,是按逻辑电路16的H电平的符号反转故障检测信号来选择两套CRC数据DCRC10和DCRC11其中之一的,并输入至故障检测器153,或将原先输入的CRC数据改为另一CRC数据。例如,通过控制使DCRC10改变为DCRC11。
合意的是各CRC数据含有的数据在各个系统A和B中相同。本实施例中,其前提是全部数据均相同。也就是说,数据DI0至DIx-1、各个CRC数据DCRC10、DCRC11、DCRC20、DCRC21均相同。
另一方面,输入至逻辑电路16故障检测器163的CRC数据未改为其它CRC数据,这是因为故障检测信号154处于L状态。
于是,从此状态开始进行处理。
在此例子中,假定各个故障检测器一开始选定的控制数据12和13的CRC数据在A系统中是DCRC10,在B系统中是DCRC20。
图5描述的是操作次数、故障检测器153的输出信号和故障检测器163的输出信号164之间的操作波形的关系。
通过第一次操作,从微计算机10得到的控制数据12被提供至系统A的逻辑电路15,ATM指令速度信号由逻辑电路15变换成预定的指令速度频率fATPn,并作为输出信号17输出。
对于该控制数据12的CRC数据来说,通过系统B的H电平符号反转故障检测信号165,为故障检测器153来选择出错的CRC数据(DCRC11)。因此,在故障检测器153内测出故障,故障检测信号154变为H。
另外,控制数据13从微计算机11提供至系统B的逻辑电路16,ATM指令速度信号由逻辑电路16变换成预定指令速度频率fATPn,并作为输出信号18输出。由于系统A的故障检测信号154处于先前的状态(即L),所以该控制数据13的CRC数据保持不变。因此,故障检测器163的故障检测信号164保持L不变,而符号反转故障检测信号165进入H。
即,在第一次操作的结束时,系统A的故障检测信号154变为H,故障检测信号164变为L。
第二次操作时,ATM指令速率信号被变换成预定指令速度频率fATPn,输出信号17和18保持不变。然而,对于要输入到系统A的逻辑电路15的控制数据12的CRC数据来说,DCRC11是由系统B的H电平符号反转故障检测信号165来选择的,逻辑电路15的故障检测信号154如上所述被保持在H状态。
另一方面,对于要输入到系统B的逻辑电路16的控制数据13的CRC数据来说,DCRC21是由故障检测信号154来选择的,该信号处于H状态,而该H状态是系统A第一次操作的最终状态。
因此,在故障检测器163中测出故障,并且故障检测信号164从L变化到H,而符号反转故障检测信号165从H变为L。
即,在第二次操作结束时,系统A的故障检测信号154变为H,故障检测信号164也变为H。
第三次操作时,ATP指令速率信号被变换为预定指令速度频率fATPn,输出信号17和18保持不变。然而,由于系统B的符号反转检测信号165为L,系统A的CRC数据从DCRC11变为DCRC10。
因此,逻辑电路15的故障检测信号154从H变为L。
另一方面,对于要输入到系统B的逻辑电路16的控制数据13的CRC数据来说,DCRC21是由故障检测信号154来选择的,该信号处于H状态,该状态是系统A第二次操作的最终状态。
因此,在故障检测器163中测出故障,故障检测信号164在H状态保持不变,符号反转故障检测信号165在L状态也保持不变。
即,在第三次操作结束时,系统A的故障检测信号154变为L,故障检测信号164变为H。
在第四次操作时,ATP指令速率信号变换成预定指令速度频率fATPn,输出信号17和18保持不变。然而,由于要输入到逻辑电路15的系统B的符号反转检测信号165为L,CRC数据保持不变,为DCRC10。
所以,逻辑电路15的故障检测信号154在L保持不变。
另一方面,对于要输入到系统B的逻辑电路16的控制数据13的CRC数据来说,因为系统A的故障检测信号154为L状态,而该L状态为第三次操作的最终状态,所以选择DCRC20。
即,故障检测信号164从H变为L,符号反转故障检测信号165从L变为H。
也即,在第四次操作结束时,系统A的故障检测信号154变为L,而故障检测信号164变为L。
通过第五次操作,ATM指令速率信号被变换成预定指令速度频率fATPn,而输出信号17和18保持不变。然而,因为要输出到系统A的逻辑电路15的系统B符号反转故障检测信号为H,所以CRC数据选择DCRC11。
因此,逻辑电路15的故障检测信号154从L变为H。
另一方面,对于要输入到系统B的逻辑电路16的控制数据13的CRC数据来说,因为系统A的故障检测信号154处于状态L,而该状态是第四次操作的最终状态,所以选择DCRC20。结果,故障检测器163的故障检测信号164保持在L状态,而符号反转状态检测信号165也保持在H状态。
处理过程返回到第一次操作状态,并随后重复上述操作。
在上述例子中,对其施行控制,从而,当故障检测信号154和符号反转故障检测信号165处在L状态时,在系统A中选择DCRC10,在系统B中选择DCRC20,而当该二检测信号处于H状态时,在系统A中选择DCRC11,在系统B中选择DCRC21。故障检测信号和CRC数据选择控制之间的关系可因具体应用而异。
尽管上文中假设了系统A中的DCRC10和系统B中的DCRC20是CRC数据的正确数据,而系统A中的DCRC11和系统B中的DCRC21为CRC数据的出错数据,但是也可以反过来假设。这时,正确和出错包括CRC检验码生成多项式不同。
如上所述,系统B的CRC数据DCRC2是由系统A的逻辑电路15的故障检测信号154来控制的,而系统A的CRC数据DCRC1是由系统B的逻辑电路16的故障检测信号164的符号反转故障检测信号165来控制的。
因此,当所有的电路(如微计算机10和11,逻辑电路15和16)以及控制数据是正常的时候;故障检测信号154和164以固定的周期交替。
另外,逻辑电路15、故障检测信号154、逻辑电路16以及故障检测信号164构成一故障检测环路,从而可以采用监测故障检测信号154和164中的一个的方法来检测该环路中的故障。
然而,无法检测该故障检测环路以外的部分中的故障。为了防止由于该故障检测环路以外的部分出现故障而输入不正确的信号,或者正确的信号却没有输入,由核对器20来将系统A的故障检测信号154和系统B的故障检测信号164进行对照。
图4描述的是电动机车停止在预定位置上以及由制动指令B5停止在预定位置上的情况,图中示出不加制动时的制动指令21和制动作用,用来起动例如系统A的逻辑电路15并施加制动。
若系统A的故障检测信号154和系统B的故障检测信号164停止交替变换,则故障检测核对输出信号24的交替变换停止。结果,紧急制动信号EB从制动装置21输出,从而将最大制动作用施加到电动机车上。
该紧急制动信号EB如图4中所示,在其他制动指令B1至B5之前运作。
通过监测故障检测信号154和164中的一个,可以验证系统A和系统B中哪一个出故障,并可以容易地分析故障,从而可以有效地构筑一个工作可靠的系统。
图6描述一种1位失效保护核对器,图7描述的是其操作波形。
图6中,标号100表示符号反转器,10表示第一触发器,102为第二触发器,103为“异或”门,104为核对输出信号,154为图1所示逻辑电路15的故障检测信号,164为图1中所示逻辑电路16的故障检测信号。
由于故障检测信号154和164按固定周期交替出现,故障检测信号154被输入到第一触发器101的时钟端CK1。
当故障检测信号164由反相器100使其符号反转并输入到第二触发器102的时钟端CK2时,第一触发器101的Q1输出和第二触发器102的负(反转)输出Q2如图6所示。
当第一触发器101的Q1输出和第二触发器102的Q2负输出如图6所示被输入至“异”门103时,可以获得“异”运算输出信号104。
当停止故障检测信号154和164交变的一个或者触发器中的一个停止并且其输出端固定在H或L时,“异”门103的输出信号104的交替变化就停止。
由于核对器准确地对二信号进行核对,所以其输出始终在正常状态下交替变化。因此,通过监测输出信号104,不仅对系统A的环路,而且对整个ATP装置都可判定是否处在正常状态。反过来说,仅监测这一输出信号104就可令人满意。
图6描述的是一种用来核对1位输出的失效保护核对器。为了失效保护中核对多个二进制位,最好仅制备图6中所示的电路勘校。图1中的核对器20与图6中的电路等效,内含多个二进制位。
因此,最好用来从ATP装置接收输出信号的控制器或系统具有输出紧急控制信号的结构,这是由于核对器20的交替变化信号输出停止,并且可以通过这一结构来构造可靠实现失效保护的系统。
上面描述的是一个实施例,其中,核对器20的制动指令是串行输出的。然而,也可以并行分别将制动指令21输出至制动装置22。换言之,最好将核对器20做得使指令成为制动装置22必需的信号。
如上所述,当保持控制数据的存储器不构筑在微计算机内,而构筑在ATP装置内的,或者独立安装的时候,专用存储读出信号线、写入信号控制电路以及地址信号生成电路是作为控制器14的逻辑元件所必需的单元。然而,可以使微计算机和控制器仅通过存储器发送和接收信息,并且微计算机可用作其他控制处理,从而可以提高微计算机的使用效率。
本实施例中,给出了一例有两个提供给一套逻辑电路的CRC数据,并且它们是由来自另一逻辑电路的故障检测信号来切换的。然而如图18中所述,可以方便地实现不检验数据的内容,而只产生交变信号,并输出逻辑电路是否正常运行的信息。
下面参见图8描述另一实施例。
如图1一样,在图8中,同一电路安装在一个芯片上,作为系统A和B而双重化。如上所述,ATP装置是一种使电动列车安全行驶所必须的保安装置,并且始终不会允许由于ATP装置中的故障而输出不正确的信号或者不输出预定信号。因此,图8中所示实施例中的故障检测功能进一步加强。
图8中,每一个图1中所示相同的编号,其功能也分别相同,因而描述从略。
图8中,标号30表示系统A的逻辑电路15中安装的第一存储器,31为第二存储器,32为第一存储器30中存储的控制数据120的CRC数据,33为第二存储器31中存储的控制数据121的CRC数据,34为第一存储器30和第二存储器31的切换电路,35为存储器切换电路34的输出信号,36为第一存储器30中存储的控制数据的第一CRC检验电路,37为第二存储器31中存储的控制数据121的第二CRC检验电路,38为将切换电路34的输出信号35和第二CRC检验电路37的输出信号相加的第一“或”门电路,39为将第一CRC检验电路36的输出信号和相应于电动列车行驶速度的速度频率5相加的第二“或”门电路。
标号40表示系统B的逻辑电路16中安装的第一存储器,41为第二存储器,42为第一存储器40中存储的控制数据的CRC数据,43为第二存储器41中存储的控制数据131的CRC数据,44为第一存储器40和第二存储器41的切换电路,45为存储器切换电路的输出信号,46为第一存储器40中存储的控制数据130的第一CRC检验电路,47为第二存储器41中存储的控制数据131的第二CRC检验电路,48为将切换电路44的输出信号45与第二CRC检验电路47的输出信号相加的第一“或”门电路,49为将第一CRC检验电路46的输出信号与相应于电动列车的行驶速度的速度频率5相加的第二“或”门电路。
ATP指令速度信号8是由微计算机10和11来处理的,各控制数据输入到单片逻辑单元14的系统A和B的逻辑电路。
即,来自微计算机10的第一控制数据120被存储在系统A的第一存储器30内,第二控制数据121被存储在系统A的第二存储器31内,而来自微计算机11的第三控制数据130被存储在系统B的第一存储器40,第二控制数据131被储存在系统B的第二存储器41内。
图9描述的是从微计算机10和11存储到存储器30、31、40和41内的数据。
微计算机10将ATP指令速度信号5转换成n定数据D0X至D14X,当同时将生成多项式设置为G0(X)时,处理并得到数据D0X至D14X的CRC数据32(即DCRCX1),并将该数据存储到图9中所示的(1)中,其中,CRC数据32(即DCRCX1)在第一存储器30的地址A0S至A15S处被加到数据D0X至D14X上。
当生成多项式被设置为G1(X)时,微计算机10处理并得到数据D0X至D14X的CRC数据33(即DCRCX2),并将该数据存储到图9中所示的(2)中,其中,CRC数据33(即DCRCX2)在第二存储器31的地址A0T至A15T处被加到数据D0X至D14X。
微计算机11将ATP指令速度信号5转换为n字数据D0Y至D14Y,当同时将生成多项式设定为G2(X)时,处理并得到数据D0Y至D14Y的CRC数据42(即DCRCY1),并将该数据存储在图9中所示的(3)中,其中,CRC数据42(即DCRCY1)在第一存储器40的地址A0U至A15U处被加到数据D0Y至D14Y上。
当生成多项式被设定为G3(X)时,微计算机11处理并得到数据D0Y至D14Y的CRC数据43(即DCRCY2),并将数据存储到图9中所示的(4)中,其中,CRC数据43(即DCRCY2)在第二存储器41的地址A0V至A15V处,被加到数据D0Y至D14Y上。
系统A的第一存储器30的地址A0S至A15S以及第二存储器31的地址A0T至A15T处存储的数据从并行变换成串行,从低次位至高次位依次读取,并输入到切换电路34。
以同样的方式,系统B的第一存储器40的地址A0U至A15U以及第二存储器41的地址A0V至A15V处存储的数据从并行变换成串行,从低次位至高次位被依次读取,并输入至切换电路17。
从读取地址A0n至A15n到由频率比较器152和162进行处理的时间间隔是一个处理周期。
系统A的第一CRC检验电路36是与生成多项式G0(X)对应的电路,而第二CRC检验电路37是与生成多项式G1(X)对应的电路。
系统B的第三CRC检验电路46是与生成多项式G2(X)对应的电路,而第四CRC检验电路是与生成多项式G3(X)对应的电路。
假设系统A的故障检测信号154和系统B的故障检测信号164首先处于L状态。于是,系统B的符号反转故障检测信号165为H。
通过系统B的H状态符号反转信号165,系统A的切换电路34切换至读取第一存储器30的数据一端,系统B的切换电路通过系统A的L状态符号反转信号154切换至读取第二存储器41的数据一端,并假设所有数据和内部电路正常。
系统A的第一存储器30的地址A0S至A14S处的数据D0X至D14X以及第二存储器31的地址A0T至A14T处的数据D0X至D14X通过切换电路34和第一逻辑电路38输入到频率转换器150,并变换成相应于各数据的ATP指令速度频率frn,而地址A0S至A14S以及A0T至A14T处的数据D0X至D14X输入到第一CRC检验电路36和第二CRC检验电路37,并在地址A15S和A15T处用CRC数据DCRCX1和DCRCX2进行检验。
因此,构筑成在地址A15S和A15T处的CRC数据DCRCX1和DCRCX2全部读取和检验之前,第一检验电路36和第二检验电路37的中间检验结果不输出。
地址A15S和A15T处的CRC数据DCRCX1和DCRCX2构筑成不进行频率转换。
以同样的方式,系统B的第一存储器40的地址A0U至A14U处的数据D0Y至D14Y以及第二存储器41的地址A0V至A14V处的数据D0Y至D14Y通过切换电路44和第一逻辑电路48输入到频率转换器160,并变换成与各数据对应的ATP指令速度频率frn,而地址A0U至A14U以及A0V至A14V处的数据D0Y至D14Y输入到第一CRC检验电路46和第二CRC检验电路47,并在地址A15U和A15V处,用CRC数据DCRCY1进行检验。
因此,构筑成在地址A15U和A15V处的CRC数据DCRCY1和DCRCY2全部读取和检验之前,第一检验电路46和第二检验电路47的中间检验结果不输出。
地址A15U和15V处的CRC数据DCRCY1和DCRCY2构筑成不进行频率转换。
首先,系统A的第一存储器30的地址A0S处的1字数据通过“或”门电路输入到频率转换器150,并转换成与1字数据对应的ATP指令速度频率fr0。
另一方面,由于第一CRC检验电路36和第二CRC检验电路37在检验数据,所以其输出为L。
随后,地址A1S处的1字数据通过“或”门电路38输入至频率转换器150,并转换成与地址A1S处的1字数据对应的ATP指令速度频率fr1。另外,作为“或”门电路39输出的输入频率fi1为L。
以后,以同样的方式,每个1字数据转换成与地址A14S处的数据对应的ATP速度频率fr14。
最后地址A15S处的1字CRC数据DCRCX1(生成多项式G0(X)生成的数据)由第一检验电路36(与生成多项式G0(X)对应的电路)判定为正常,从而其输出为L。然而,由于1字CRC数据DCRCX1由第二CRC检验电路37(与生成多项式G1(X)对应的电路)判定为异常,所以,其输出为H。
该第二CRC检验电路的输出通过“或”门电路38输入到频率转换器150,作为最大数据,并转换成最大频率fr15。
另外,作为“或”门电路39输出的输入频率fi15是L。
频率比较器152将以这种方式获得的与每一地址处的数据对应的频率frn与输入频率fin进行比较。
在频率比较器152中,当ATP指令速度频率frn和加入的频率fin之间的关系为frn>fin时,内部计数器(未图示)值加1,而当该关系为frn<fin时,计数器值减1,当frn=fin时,计数器值既没有加上也未减去任何值。
在第一个处理周期中,与地址A0S至A14S对应的计数器值加1。在第二个处理周期中,再次从地址A0S处读取数据,以上述同样的操作使频率比较器152的计数值递增。
在第四个处理周期过去以后并且频率比较器152的计数值达到4时,就获得了相应于A0S至A15S中每一地址的输出信号。
图10描述的是由系统A的地址A15S处的CRC检验结果而产生的频率比较器152的计数器操作、由系统B的地址A15U处的CRC检验结果而产生的频率比较器162的计数器操作以及使故障检测信号164的符号反转的符号反转信号165之间的关系。
当计数器值由借助递增计数脉冲达到4时,就获得了频率比较器的输出信号17。由于这一输出信号17是串行输出的,所以频率比较器152检测相应于与定时信号(未图示)同步的地址A15S的H状态故障检测信号154,并将其输入至系统B的存储器切换电路44。
切换电路44在与下一处理周期开始精确同步的时刻,将存储器41切换至存储器40,从而在第六个处理周期的开始处使系统B的存储器实际得到切换。
存储器40的地址A0U至A14U处存储的数据精确地与存储器41的地址A0V至A14V处存储的数据相同,从而即使存储器41被切换至存储器40,ATP指令速度频率frn也不会改变,输入频率fin也不会改变。
因此,频率转换器160的输出频率不会改变。只有地址A15U处存储的CRC数据42(DCRCY1)和地址A15V处存储的CRC数据43(DCRCY2)是不同的,所以下面仅描述读取地址A15U和A15V处的数据时的操作。
当存储器41被切换至存储器40时,CRC数据42(由生成多项式生成的数据)被读取。由于第一CRC检验电路46(对应于生成多项式G2(X)的电路)判定CRC数据42正常,所以其输出为L。然而,因为第二CRC检验电路47(与生成多项式G3(X)对应的电路)判定该数据异常,所以其输出为H。
因为第一CRC检验电路46的输出是L,所以“或”门电路49的输出也为L,输入频率fi15也为L。
另外,第二CRC检验电路47的H状态输出通过“或”门电路48输入到频率转换器160,并转换成最大频率fr15。
这一最大频率fr15和输入频率fi15输入到频率比较器16并进行比较。因为最大频率fr15和输入频率fi15之间的关系为fr15>fi15,所以频率比较器162的计数值递增1。
随后,通过系统A的同一操作,频率比较器162的计数值递增1,并且当计数值达到4时,就得到了与地址A0U至A15U中每一地址对应的输出信号18。
频率比较器162检测与同步于定时信号(未图示)的输出信号18的地址A15U对应的H状态故障检测信号164,并将由反相器19进行符号反转的L状态符号反转信号165加到系统A的存储器切换电路34上。
当输入符号反转信号165时,系统A的存储器开关电路34从紧接的第11个周期起,将存储器30切换至存储器31。
在存储器30和存储器31之间,只有地址A15S处存储的CRC数据32(DCRCX1)和地址A15T处存储的CRC数据33(DCRCX2)是不同的,从而当如上所述切换存储器时,频率是不改变的。
由于存储器31的CRC数据是生成多项式G1(X)的数据,所以它由CRC检验电路36判定为异常,该电路的输出信号变为H。这一输出信号通过第二“或”门电路39输入到频率转换器152,作为最大频率fi15。
另一方面,由于存储器31的CRC数据33是由生成多项式G1(X)生成的数据,所以由CRC检验电路37判定为正常,该电路的输出信号变成L,“或”门电路38的输出信号也变为L,频率转换器150的参考频率fr15也变成L。
因此,参考频率fr15和输入频率fi15之间的关系变成fr15<fi15,并给出递减计数脉冲,从而频率比较器152的计数值减1,计数值从4变为3。
当频率比较器152的计数值变为0时,频率比较器152的输出信号17变为L,与地址A15T对应的故障检测信号154也变为L。
随后通过相同的操作,由自身系统的频率比较器的故障检测信号来交替地切换对立系统的存储器。
当如上所述,系统A的存储器30和31及其读出数据、二CRC检验电路36和37、系统B的存储器40和41及其读出数据以及二CRC检验电路46和47为正常时,无论存储器是否改变,故障检测信号154和164均交替地改变为H或L。
例如,当系统A的存储器30中的数据出现差错时,会出现下述情况。CRC检验电路36测出存储器30中的数据差错,其输出信号变为H。
另一方面,CRC检验电路37一开始就输入由另一生成多项式生成的CRC数据,从而其输出信号也变为H。即,由于二检验电路的输出信号变为H,所以频率比较器152的计数值和输出均不会改变。
因此,用来将系统B的存储器41切换到存储器40的故障检测信号固定在出现故障的H或L状态,存储器不会从41切换到40。
结果,频率比较器162的计数值将不会递增,故障检测信号固定在L状态。因此,符号反转故障检测信号165固定在H,系统A的存储器30不会切换到存储器31,CRC检测电路36和37的输出信号固定在H。
上面是数据中出现差错的一个例子。然而,当电路中的一个出现故障时,将使得频率比较器152和162的计数值固定,故障检测信号154和164的交替变换停止,因而最好监测故障检测信号154和164的交替变化。
当将这种产生信号的方法应用于列车ATP装置时,如果故障检测信号154和164的交替变化停止,可以用作指令紧急制动的手段。
当这一电路包含一LSI并与包括外围电路的一块芯片组合在一起时,可以实现微型化以及批量生产,并具有ATP装置所保持的可靠性。
由于如上所述该ATP装置构成一个带有故障检测信号154和故障检测信号164的故障检测环路,所以通过监测故障检测信号154和164中的一个,尽管该故障检测环路以外处的故障无法检测,也可以检测环路中的故障。为了防止由于该故障检测环路以外的某一点中的故障而使不正确的信号输出,或者正确的信号却不输出,通过核对器20来核对故障检测信号154和164,并且当核对相符时,核对器20输出一信号,而当出现不相符时,核对器20输出一紧急控制信号。
核对器20比较系统A的频率比较器152的输出信号17以及系统B的频率比较器162的输出信号18。如上所述,因为输出信号17和输出信号18以地址信号的顺序依次输出,核对器20比较分别与每一地址对应的信号,并且仅输出核对相符信号。当出现不相符时,核对器20会输出紧急控制信号,或者将其显示在显示单元上。
因此,通过这一结构,可以构成失效保护系统。
如上所述,本发明提供了一个数据分别采用不同的生成多项式而得的两个CRC数据,并产生了加入了CRC数据的两种系统的控制数据,提供了与不同的生成多项式对应的两种检验电路。
这种方法用来将两种系统的控制数据同时输入到两种检测电路,并用比较两种检验电路的输出而得到的结果来切换两种系统的数据。
因此,不仅在数据中而且在检测电路中均可以检测差错,并且进一步核对输出,仅当核对相符时才输出。其优点还在于,可以采用其中每一电路都包含一LSI芯片来更加可靠地构筑失效保护系统。
下面描述图1和图8中所示频率转换器150(160)的运行。
图11描述了将数字数据转换成频率的频率转换器,而图12是该频率转换器运行的流程图。
图11中,标号50表示存储器,51为时钟信号CN,52为数据寄存器,53为数据寄存器52的输出信号,54为1位全加器,55为全加器54的全加输出,56为时钟信号CP,57为处理移位寄存器,58为移位寄存器57的输出信号,59为定时调整用的第一触发器,60为该触发器59的输出信号,61为全加器54的进位输出信号,62为保持进位输出信号61的第二触发器,63为触发器62的输出信号,64为定时信号,65为从进位输出信号61中去除预定输出信号的“与”电路,66为频率转换器的输出信号。
为了使操作的描述简单,假定数据长度为4位,从存储器50中周期性地读出同值的数据,数据寄存器52和移位寄存器57的数据沿图中上方所示的箭头方向移位。
时钟信号CN51和时钟信号CP56是如图12中(1)和(2)所示的具有90度相位差的时钟信号。
在初始状态时,数据寄存器52和移位寄存器57的初始值为02(这就意味着二进制的数据值是0)。
假定在时钟信号CP56的上升沿,从存储器50读取图12中(3)所示的数据值82(二进制的数据值是8)。由于这一数据是在时钟信号CN51的上升沿处在数据寄存器52中设置的,所以最高有效位DR3至最低有效位DR0的设置如图12中的(4)所示。
当图12中(4)所示的数据在时钟信号CN51的上升沿移位四次时,数据寄存器52的最低有效位DR0的值设值成如图12中(7)所示,并作为输出信号53加到全加器54的输入端A上。
本例中,第一触发器59的输出信号60和第二触发器62的输出信号不加到全加器54的输入端B和C上,因而全加器54的全加输出端∑处的输出信号如图12中(8)所示变成H,并加到移位寄存器57上。全加器54的进位输出端Cr处的输出信号61如图12所示变成L。
因为在如图12中(2)所示的时钟信号CP56的上升沿处,全加器54的输出信号55置入移位寄存器57,所以移位寄存器57的最低位SR0设置成如图12中(9)中那样。
数据82(十进制中为8)是在同一时钟信号CP56的上升沿处从存储器50中读取的,并且是在时钟信号CN51的上升沿处在数据寄存器52上移位的。
另一方面,移位寄存器57的最低有效位SR0的数据是在时钟信号CP56的上升沿处在移位寄存器57上移位的,并且最高有效位SR3在第7次移位时变成H,移位寄存器57的输出信号58变成H。
因为输出信号58在时钟信号CP56的上升沿处置入第一触发器59,所以其输出信号在图12中(13)所示的第8次移位时变成H,并输入到全加器54的输入端B处。
另一方面,数据寄存器52的最低有效位DR0在第8次移位时也变成H,并输入到全加器54的输入端A。
结果,尽管进位输出端Cr的输出信号61变成H,全加器54的全加输出端∑处的输出信号55变成L。在下一时钟信号CN51的上升沿处将输出信号61置入第二触发器中,并且将图12中(15)中所示的输出信号63输入到全加器54的输入端C。
因此,全加器54的全加输出端∑处的输出信号变成H,并在移位寄存器57上移位。
由于上述操作是周期性重复的,所以图12中所示的数据在数据寄存器52和移位寄存器57中循环。通过将这时产生的全加器54的进位输出信号61加到“与”门上,并通过定时信号64来析取,可以得到图12中(16)中所示周期固定的输出信号。
上面描述的是将数字数据变换成频率的操作情况。为了获取两种频率,从存储器50中交替地读取并处理不同的数据。因此,最好将移位寄存器57的位数加倍成8位,并制备两个“与”门和一个定时信号,以便从全加器54的进位输出信号61取出预定的频率。通过如此改变移位寄存器57的位长度,图10中所示的频率转换器可以产生多种频率。
下面描述图1和图8所示的频率比较操作。频率比较器如图13所示,其操作时序图如图14所示。图13中,标号70至73表示触发器,74至79表示“与”门,P和M为要比较的输入频率信号,80为频率比较结果的输出信号。
例如,当输入P信号时,它使触发器70至73中最靠近输入端的一个触发器反相并动作而成Q=H,而当相反输入M信号时,它使触发器70至73中Q=H并且最靠近输入端的一个反相并动作,而成Q=L。
当如图14所示连续输入输入信号P时,触发器70与信号P的第一脉冲P1的下降沿同步动作,Q0变成H,而当第二脉冲P2输入时,触发器70与“与”门74的输出的下降沿同步动作,Q1变成H,而当第三脉冲P3输入时,触发器72与“与”门76的输出下降沿同步动作,Q2变成H,而当信号P的第四脉冲P4输入时,触发器73与“与”门78的输出下降沿同步动作,Q3变成H。
当输入信号M连续输入时,触发器70与信号M的第一脉冲M1的下降沿同步动作,Q0从H变成L,当第二脉冲M2输入时,触发器71与“与”门75的下降沿同步地动作,Q1从H变为L,当第三脉冲M3输入时,触发器72与“与”门77的下降沿同步地动作,Q2从H变成L,而当第四脉冲M4输入时,触发器73与“与”门79的下降沿同步地动作,Q3从H变为L。
如上所述,当脉冲数增多时,能将后续级触发器的输出状态反相,而当P>M时,触发器FF3的Q3变为H,即,频率比较结果的输出信号80变成H。当P<M时,输出信号80变成L。
当比较多个频率时,采用图15中所示的结构。图15中,标号90表示移位寄存器,其具有的位数为4,与图13中所示触发器70至73的4位长度相等,91表示加法器,其具有的功能使得移位寄存器90上的数据可以进行如图13中所示触发器70至73的反相那样的相同的操作。
符号In代表一时隙,其中编入4位数据,该时隙将信号P输入到加法器91的+A端,并将信号M输入到-C端。假设P>M。
频率比较操作比较某一脉冲的存在或不存在,因而在该状态下P=H,并且M=L。由于M的符号反转信号H输入到-C端并求和,所以进位输出Cr变为H,并且将这一值加到移位寄存器90的I0时隙。
这一I0时隙的数据在移位寄存器处循环,在下一周期的I0时隙内被输入到加法器91的+B端,并与P输入和M输入加在一起,从而在这种情况下加法器的进位输出Cr也变为H,与前一数据具有相同值的数据在移位寄存器90上循环。
当P<M时,加入使P=L以及M=H的符号反转的信号L,从进位输出Cr变为L,即相减,并且该值被加到移位寄存器90的I0时隙。这就是说,L在移位寄存器90上循环。
当P=M=H时,加入使P=L以及M=H的符号反转的信号L。然而,进位输出Cr的值随I0时隙内在移位寄存器90上循环的数据而变化。当I0时隙的数据为L时,该输出Cr也变成L,当I0时隙的数据为H时,该输出Cr变为H。这就是说,在移位寄存器90上循环的I0时隙的数据不会改变。
当P=M=L时,加入使P=L以及M=H的符号反转的信号H。同样在这种情况下,进位输出Cr的值随着移位寄存器90上循环的I0时隙的数据而变化。当I0时隙的数据为L时,该输出Cr变成L,而当I0时隙的数据为H时,该输出变为H。这就是说,在移位寄存器90上循环的I0时隙的数据不会改变。
频率比较操作就是通过这种方式来进行的。
图16描述的是本发明的另一个实施例。按照图8中所示的实施例,系统A在逻辑电路15中具有两个存储器30和31的电路,并且输出数据35是采用通过切换电路34选择各存储器输出数据的方法而获得的。同样,系统B在逻辑电路16中具有两个存储器40和41的电路,并且输出数据是采用通过切换电路44选择各存储器输出数据的方法而获得的。
图16所示的本实施例与图8所示的实施例的不同点在于,系统A和系统B的逻辑电路15和16中的各存储器包含一个电路,分配在每一存储器的最后地址上的CRC数据存储在另一区域内,并由上述故障检测信号来切换。
即,采用上述同一方法由微计算机10计算的CRC数据DCRCX1存储在系统A的存储器32内,DCRCX2存储在存储器33内,由微计算机11计算的DCRCY1存储在系统B的存储器42内,DCRCY2存储在存储器43内。
在系统A中,从存储器30读取的数据由逻辑电路200加到CRC数据32中,从存储器30读取的数据由逻辑电路201加到CRC数据33上,然后将所得二数据输入到切换电路34。
在系统B中,从存储器40读取的数据由逻辑电路202加到CRC数据42上,从存储器40读取的数据由逻辑电路203加到CRC数据43上,然后将所得二数据输入到切换电路44。用于切换电路34和44的切换定时与上述相同。
在如图16所示的本发明的另一个实施例中,需要最大门电路数的存储器数可以减少一半,不仅可以极大改进可靠性,而且对减小LSI的功耗具有很大的影响。
图17是本发明的另一种实施例。图17所描述的例子中,每一内部存储器包含一个电路。图8和图17之间的差异在于,尽管每一存储器的输出是由图8中的切换电路切换的,但在图17中切换CRC数据。采用如上所述的方法由微计算机10计算的CRC数据DCRCX1存储在系统A的存储器32内,而DCRCX2存储在存储器32后的存储器33内。微计算机11计算的DCRCY1存储在系统B的存储器42内,DCRCY2存储在存储器42后的存储器43内。
CRC数据是用故障检测信号154以及符号反转故障检测信号由切换电路204和205来切换的。同时在图17所示本发明的另一种实施例中,需要最大门电路数的存储器数可以减少一半,从而不仅极大提高了可靠性,而且对减少LSI的功耗具有很大的影响。
图18描述的是本发明的另一个实施例。图18描述的例子中,每一内部存储器还包含一个电路。与图17的差别在于,CRC数据由每一切换电路来切换,而随后每一存储器的输出信号和每一切换电路的输出信号由加法器相加在一起。
系统A的切换电路34用符号反转故障检测信号165来切换CRC数据32和CRC数据33,系统B的切换电路44用故障检测信号154来切换CRC数据42和CRC数据43。同时,在图18所示本发明的另一个实施例中,需要最大门电路数的存储器数可以减少一半,并且加法器数可以进一步减少一半,从而不仅极大提高了可靠性,而且对减少LSI的功耗具有很大影响。
图19是图8中本发明另一实施例的示意平面图。标号300表示从微计算机10接收数据并将数据发送到微计算机10的总线接口,301和302表示用来存储数据的存储器,303表示诸如存储器切换电路、频率转换器以及频率比较器之类的处理器,304表示将数据发送到微型计算机11以及从微型计算机11接收数据的总线接口,305和306表示存储数据的存储器,307代表诸如存储器切换电路、频率转换器以及频率比较器之类的处理器,而308代表核对系统A的处理器303的输出信号和系统B的处理器307的输出信号用的核对器。
当系统A和B双重化并相互分开排列时,可以防止一系统的故障对另一系统的影响,例如虽然一个系统出故障,但仍然输出信号,就好象不出故障一样。
当构成核对器单元的电路相互隔开放置而且导线间隔增大时,可以防止一个核对器的故障对其他核对器的影响,不会输出指令信号。
本发明的另一个实施例如图20所示,其描述如下。图20描述的实施例中,配置了多个与图2中相同的处理器。
标号2000表示控制器,2010代表用来输入并处理第一输入数据并输出第一输出数据2100和第一检测信号2140的第一处理器,2020代表用来输出第二输出数据2110和第二检测信号2150的第二处理器,2030代表用来输出第三输出数据2120和第三检测信号2160的第三处理器,2040代表用来输出第四输出数据2130和第四检测信号2170的第四处理器,2180代表发送从第一处理器2010输出到第二处理器2020的第一检测信号2140的第一发送器,2190为发送从第二处理器2020输出到第三处理器2030的第二检测信号的第二发送器,2200为发送从第三处理器2030输出到第四处理器2040的第三检测信号2160的第三发送器。
通过采用分别使用各故障检测信号的双重化结构,来切换相应检测器的CRC数据,仅当所有的数据电路以及元件运行正常时,才输出控制受控对象的输出信号,并且当测出某一部件故障时,不会输出输出信号。因此,当发生故障时,可起失效保护作用,以便在非失效端进行控制。
如上所述,按照本发明,可以实现具有极高失效保护性能的控制器以及采用这种控制器的系统。
权利要求
1.一种自动列车保护(ATP)装置,其特征在于,包括第一逻辑单元,该逻辑单元包含第一故障检测器,用其中一种CRC数据,根据指令电动机车速度的ATP指令速度信号,校验至少包含两种CRC数据的第一控制数据,并输出第一故障检测信号;将所述第一控制数据变换为第一ATP指令速度频率信号的第一频率变换器;第一频率比较器,用于比较与所述电动机车的所述检测出的速度成正比的速度频率信号和所述第一ATP指令速度频率信号,并根据所述速度频率信号和所述第一ATP指令速度频率信号之间偏差,输出一第一输出信号,该ATP装置还包括第二逻辑单元,该逻辑单元包含第二故障检测器,用其中一种CRC数据,根据所述ATP指令速度信号,校验至少包含两种CRC数据的第二控制数据,并输出第二故障检测信号;将所述第二控制数据变换为第二ATP指令速度频率信号的第二频率变换器;第二频率比较器,用于比较所述速度频率信号和所述第二ATP指令速度频率信号,并根据所述速度频率信号和所述第二ATC指令速度频率信号之间偏差,输出一第二输出信号,该ATP装置还包括一核对器,将所述第一输出信号与所述第二输出信号进行对照,并输出交变信号,该ATP装置用所述第一故障检测信号改变或控制所述第二故障检测器的所述CRC数据,并用所述第二故障检测信号改变或控制所述第一故障检测器的所述CRC数据。
2.如权利要求1所述的ATP装置,其特征在于,可进一步包括连接在所述第一故障检测器输出端和所述第二故障检测器输入端之间的第一信号线,用于发送一由所述第一故障检测信号改变所述第二故障检测器的所述CRC数据的信号;连接在所述第二故障检测器输出端和所述第一故障检测器输入端之间的第二信号线,用于发送一由所述第二故障检测信号改变所述第一故障检测器的所述CRC数据的信号。
3.如权利要求2所述的ATP装置,其特征在于,所述第一信号线和所述第二信号线其中之一具有一逻辑电路,用于使所述第一或第二故障检测信号反相。
4.如权利要求1所述的ATP装置,其特征在于,进一步包括被输入一指令电动列车速度的ATP指令速度信号并产生至少包含两种CRC数据的第一控制数据的第一微型计算机;被输入所述ATP指令速度信号并产生至少包含两种CRC数据的第二控制数据的第二微型计算机;第一故障检测器,用其中一种所述CRC数据校验从所述第一微型计算机输入的所述第一控制数据,并输出第一故障检测信号;第二故障检测器,用其中一种所述CRC数据校验从所述第二微型计算机输入的所述第二控制数据,并输出第二故障检测信号;用所述第一故障检测信号改变或控制所述第二控制数据的所述CRC数据,并用所述第二故障检测信号改变或控制所述第一控制数据的所述CRC数据。
5.如权利要求4所述的ATP装置,其特征在于,进一步包括一连接在所述第一故障检测器输出端和所述第二故障检测器输入端之间的第一信号线,用于发送一根据所述第一故障检测信号改变所述第二故障检测器的所述CRC数据的信号;一连接在所述第二故障检测器输出端和所述第一故障检测器输入端之间的第二信号线,用于发送一根据所述第二故障检测信号改变所述第一故障检测器的所述CRC数据的信号。
6.如权利要求5所述的ATP装置,其特征在于,所述第一信号线和所述第二信号线其中之一具有一逻辑电路,用于使所述第一或第二故障检测信号反相。
7.如权利要求4所述的ATP装置,其特征在于,进一步包括一安装在电动机车外侧的信号发生器,用于产生一指令所述电动机车速度的ATP指令速度信号;安装在所述电动机车内侧的接收机,用于接收来自所述信号发生器的所述ATP指令速度信号;一安装在所述电动机车内侧的速度检测器,用于检测所述电动机车速度并产生与所述速度成正比的速度频率信号;该安装在所述电动机车内侧的ATP装置,用于根据所述ATP指令速度信号和所述速度频率信号控制所述电动机车的速度,其中,第一微型计算机被输入所述接收机输出的所述ATP指令速度信号并产生至少包含两种CRC数据的第一控制数据;第二微型计算机被输入所述接收机输出的所述ATP指令速度信号并产生至少包含两种CRC数据的第二控制数据;第一故障检测器用其中一种所述CRC数据校验从所述第一微型计算机输入的所述第一控制数据,并输出第一故障检测信号;第二故障检测器用其中一种所述CRC数据校验从所述第二微型计算机输入的所述第二控制数据,并输出第二故障检测信号;核对装置被输入所述第一故障检测信号、所述第一输出信号、所述第二故障检测信号和所述第二输出信号,根据所述第一和第二故障检测信号,将所述第一与第二输出信号进行对照,并输出交变信号,该交变信号中所述第一和第二输出信号交替出现,还包括一安装在所述电动机车内侧的制动装置,用于输入所述交变信号,控制制动力,驱动制动器。8.如权利要求7所述的ATP装置,其特征在于,进一步包括一连接在所述第一故障检测器输出端和所述第二故障检测器输入端之间的第一信号线,用于发送一根据所述第一故障检测信号改变所述第二故障检测器的所述CRC数据的信号;一连接在所述第二故障检测器输出端和所述第一故障检测器输入端之间的第二信号线,用于发送一根据所述第二故障检测信号改变所述第一故障检测器的所述CRC数据的信号。
9.如权利要求8所述的ATP装置,其特征在于,所述第一信号线和所述第二信号线其中之一具有一逻辑电路,用于使所述第一或第二故障检测信号反相。
10.如权利要求1所述的ATP装置,其特征在于,进一步包括第一微型计算机,被输入指令电动机车速度的ATP指令速度信号,并产生叠加有第一CRC数据的第一控制数据和叠加有第二CRC数据的第二控制数据;第二微型计算机,用于产生叠加有第三CRC数据的第三控制数据和叠加有第四CRC数据的第四控制数据,第一逻辑单元进一步包含存储第一微型计算机输出的所述第一控制数据的第一存储器;存储所述第二控制数据的第二存储器;对所述第一存储器和第二存储器进行切换的第一切换电路;对所述第一切换电路的输出数据进行校验的第一故障检测器和第二故障检测器;用于将所述第一切换电路的所述输出数据和所述第二故障检测器的输出信号相加的第一加法器;用于将与所述电动机车速度成正比的速度频率信号与所述第一故障检测器的输出信号相加的第二加法器;第一频率变换器将所述第一加法器的输出信号变换为ATP指令速度频率信号;第一频率比较器比较所述第二加法器的输出信号和所述第一频率变换器的输出信号,并根据两者之间的偏差,输出第一输出信号和第一故障检测信号;第二逻辑单元进一步包含存储所述第二微型计算机输出的所述第三控制数据的第三存储器;存储所述第四控制数据的第四存储器;对所述第三存储器和第四存储器进行切换的第二切换电路;校验所述第二切换电路的输出数据的第三和第四故障检测器;用于将所述第二切换电路的所述输出数据与所述第四故障检测器的输出信号相加的第三加法器;用于将与所述电动机车速度成正比的速度频率信号和所述第三故障检测器的输出信号相加的第四加法器;第二频率变换器将所述第三加法器的输出信号变换成ATP指令速度频率信号;第二频率比较器比较所述第四加法器的输出信号和所述第二频率变换器的输出信号,并根据两者之间的偏差,输出第二输出信号和第二故障检测信号;核对器分别将所述第一逻辑单元的所述第一输出信号与所述第二逻辑单元的所述第二输出信号、所述第一故障检测信号与所述第二故障检测信号进行对照,并输出交变信号;所述第一故障检测信号控制所述第二切换电路并切换所述第三控制数据和所述第四控制数据;所述第二故障检测信号控制所述第一切换电路并切换所述第一控制数据和所述第二控制数据。
11.如权利要求10所述的ATP装置,其特征在于,所述装置具有一使得用于控制所述第一切换电路的所述第二故障检测信号其中之一的极性和用于控制所述第二切换电路的所述第一故障检测信号其中之一的极性相反的逻辑电路。
12.如权利要求10所述的ATP装置,其特征在于,所述第一微型计算机输入指令电动机车速度的所述ATP指令速度信号时产生所述第一控制数据、用于所述第一控制数据的所述第一CRC数据和所述第二CRC数据;所述第二微型计算机输入指令电动机车速度的所述ATP指令速度信号时产生所述第二控制数据、用于该第二控制数据的所述第三CRC数据和所述第四CRC数据;一第五加法器将所述第一控制数据和所述第一CRC数据相加的输出信号,以及一第六加法器将所述第一控制数据和所述第二CRC数据相加的输出信号均输入到所述第一切换电路;一第七加法器将所述第二控制数据和所述第三CRC数据相加的输出信号,以及一第八加法器将所述第二控制数据和所述第四CRC数据相加的输出信号均输入到所述第二切换电路。
13.如权利要求10所述的ATP装置,其特征在于,所述第一微型计算机输入指令电动机车速度的所述ATP指令速度信号时产生叠加有所述第一CRC数据和第二CRC数据的所述第一控制数据;所述第二微型计算机输入指令电动机车速度的所述ATP指令速度信号时产生叠加有所述第三CRC数据和所述第四CRC数据的所述第二控制数据;所述第一微型计算机输出的所述第一控制数据存储到所述第一存储器中;所述第一存储器的输出信号输入到所述第一故障检测器、所述第二故障检测器和所述第一加法器;所述第二微型计算机输出的所述第二控制数据存储到所述第二存储器中;所述第二存储器的输出信号输入到所述第三故障检测器、所述第四故障检测器和所述第三加法器;所述第二切换电路由所述第一故障检测信号对所述第三CRC数据和所述第四CRC数据进行切换;所述第一切换电路由所述第二故障检测信号对所述第一CRC数据和所述第二CRC数据进行切换。
14.如权利要求10所述的ATP装置,其特征在于,所述第一微型计算机输入指令电动机车速度的ATP指令速度信号时产生第一控制数据、所述第一CRC数据和所述第二CRC数据;所述第二微型计算机输入指令电动机车速度的ATP指令速度信号时产生第二控制数据、所述第三CRC数据和所述第四CRC数据;所述第一CRC数据和所述第二CRC数据输入到所述第一切换电路;所述第一切换电路的输出信号和所述第一控制数据加到第五加法器;所述第三CRC数据和第四CRC数据输入到所述第二切换电路;所述第二切换电路的输出信号和所述第二控制数据加到第六加法器;所述第五加法器的输出信号输入到所述第一加法器、所述第一故障检测器和所述第二故障检测器;所述第六加法器的输出信号输入到所述第三加法器、所述第三故障检测器和所述第四故障检测器。
15.如权利要求1至14中任一项所述的ATP装置,其特征在于,在处理并行输入信号后定期执行故障诊断处理操作。
16.如权利要求1至14中任一项所述的ATP装置,其特征在于,当所述多个处理器均正常时,所述输入信号、所述输出信号和所述故障检测信号为交替变化的交变信号。
17.如权利要求4、7和10中任一项所述的ATP装置,其特征在于,所述核对器将所述第一输出信号、所述第二输信号、所述第一故障检测信号和所述第二故障检测信号进行对照,并当所述第一和第二输出信号核对彼此不符,而且所述第一和第二故障检测信号核对彼此不符时,终止交替,当所述第一和第二故障检测信号核对彼此不符时通过该交替的停止向所述电动机车输出一紧急制动信号。
全文摘要
一种具有高可靠性失效保护功能的控制器和系统。其中,ATP装置根据ATP指令速度信号产生用于两系统的控制数据,使所含逻辑单元双重化以处理各控制数据,并提供至少两种CRC数据校验各系统的控制数据。根据各逻辑单元故障检测信号的内容,改变其CRC数据,或从中选择一逻辑单元。可检验各逻辑电路操作和控制数据,仅当所有数据、电路和元件工作正常时输出信号,进行所需控制。当某部分检测到故障时输出制动信号。
文档编号G06F11/16GK1446724SQ02140558
公开日2003年10月8日 申请日期2002年7月1日 优先权日1994年12月28日
发明者佐藤宽, 金川信康, 能见诚, 田代维史 申请人:株式会社日立制作所