电梯安全控制装置的制作方法

本发明涉及控制具备多个安全控制功能的电梯的运行的电梯安全控制装置。

背景技术：

近年来，在电梯中引入了各种安全控制功能。作为安全控制功能的具体示例，可以列举出以下的例子。

·终端楼层强制减速功能(sets)

·开门行驶保护功能(ucmp)

·自我诊断功能(diag)

·系统间通信功能(icom)

另一方面，作为非安全控制功能的具体示例，可以列举出以下的例子。

·数据录入功能(dlog)

·与电梯运行控制装置之间的接口功能(ccif)

如上所述的安全控制功能的应用范围有望在将来进一步扩大。在分别安装这些安全控制功能的情况下，必须针对每个安全功能而准备多个基板或装置。因此，装置成本以及装置的安装、维护所需的时间和精力增加。

因此，为了解决该问题，提出了将多个安全控制功能安装于一个基板或一个装置中的方法(例如，参照专利文献1)。

在将多个安全控制功能安装于一个基板或一个装置中的情况下，需要确保各控制功能的独立性，以使安全控制功能的应用或非安全控制功能的应用不会对其它安全控制功能造成影响。

因此，存在如下的现有技术：通过使用了时间区分(timepartitioning)的任务调度(taskscheduling)，使与安全控制功能相关联的应用独立于与非安全控制功能相关联的应用(例如，参照专利文献2)。各时间区分的大小针对每个周期是固定的，从由各个时间区分所决定的任务组中调度任务。

在专利文献2的图1的例子中调度为，安全控制功能的任务st1在时间区分tp1中，安全控制功能的任务st2在时间区分tp2中，非安全控制功能的任务nst1和nst2在时间区分tp3中。各tp内的调度方法是自由的。但是，为了确保独立性，在同一tp内，不能使与安全控制功能相关联的应用的任务和与非安全控制功能相关联的应用的任务混在一起。

现有技术文献

专利文献

专利文献1：日本特许第550718号公报

专利文献2：日本特开2010-271759号公报

专利文献3：国际公开第2011/158301号

专利文献4：日本特开2003-104646号公报

技术实现要素：

发明要解决的课题

然而，在现有技术中存在以下的课题。

关于专利文献2中使用的时间区分，是将每个周期分割为既定大小的区分，并且在分割后的区分内被调度了既定种类的应用的任务。至应用的处理完成为止所需的时间会根据条件分支、总线竞争等原因而变动。因此，需要考虑各应用的最差执行时间来设定区分的大小。

在此，最差执行时间是指至处理完成为止所需的时间最长的最坏情形的时间。因此，在专利文献2中，考虑到最差执行时间而将各区分设定得较大，在任务提前结束的情况下，在区分内会产生空闲时间。

然而，为了确保独立性，必须将与安全控制功能相关联的应用的任务和与非安全控制功能相关联的应用的任务调度到不同的区分中。

因此，即使在分配给与安全控制功能相关联的应用的区分中产生了空闲，也不能对该空闲时间分配与非安全控制功能相关联的应用的任务。其结果是，专利文献2中使用的时间区分存在无法提高cpu的利用效率的课题。

本发明是为了解决上述那样的课题而作出的，目的在于得到在确保安全控制功能的任务与非安全控制功能的任务之间的独立性的基础上、实现高效的任务调度的电梯安全控制装置。

用于解决课题的手段

本发明的电梯安全控制装置具备：存储部，其将多个安全控制功能以及多个非安全控制功能作为各自独立的程序进行存储，并且存储安全调度信息，该安全调度信息预先规定了在各控制周期中执行所述多个安全控制功能时的、每个控制周期的调度和执行顺序；以及cpu，其依照所述安全调度信息，依次执行与所述多个安全控制功能以及所述多个非安全控制功能对应的各个程序，由此进行电梯的控制运算，所述cpu在各控制周期中，依照作为所述安全调度信息而规定的所述执行顺序来连续且无空闲时间地依次执行所述安全控制功能，在全部执行了控制周期内所分配的安全控制功能后的控制周期内的空闲时间中执行所述多个非安全控制功能。

发明效果

根据本发明，具备如下结构：能够优先执行安全控制功能的任务，将安全控制功能的执行完成后的空闲时间汇总到各控制周期之后，利用空闲时间来执行非安全控制功能。其结果是，能够得到在确保安全控制功能的任务与非安全控制功能的任务之间的独立性的基础上、实现高效的任务调度的电梯安全控制装置。

附图说明

图1是本发明的实施方式1的电梯安全控制装置的结构图。

图2a是用于说明在本发明的实施方式1的逻辑部以及独立性保证部中，根据安全调度信息以及非安全调度信息在第1次控制周期中执行的任务处理内容的图。

图2b是用于说明在本发明的实施方式1的逻辑部以及独立性保证部中，根据安全调度信息以及非安全调度信息在第2次控制周期中执行的任务处理内容的图。

图3是汇总了由本发明的实施方式1的逻辑部以及独立性保证部执行的一系列的任务处理的流程图。

图4是示出本发明的实施方式1的安全调度信息以及非安全调度信息的变形例的图。

图5是用于说明在本发明的实施方式1中，在执行安全控制功能的任务的过程中发生中断处理时的错误处理的图。

图6a是用于说明本发明的实施方式1的变形例5的动作的图。

图6b是用于说明本发明的实施方式1的变形例5的动作的图。

图7a是用于说明本发明的实施方式1的变形例6的动作的图。

图7b是用于说明本发明的实施方式1的变形例6的动作的图。

图7c是用于说明本发明的实施方式1的变形例6的动作的图。

图8是应用了本发明的实施方式2的电梯安全控制装置的电梯系统的整体结构图。

图9是详细地示出本发明的实施方式2的电梯安全监视装置的内部结构的框图。

图10是本发明的实施方式2的第1安全监视系统以及第2安全监视系统共同的结构图。

图11a是在本发明的实施方式2中，相当于依照安全调度信息以及非安全调度信息的执行计划的执行时序图。

图11b是执行本发明的实施方式2的任务处理时的执行时序图。

图11c是执行现有技术的任务处理时的执行时序图。

具体实施方式

以下，使用附图对本发明的电梯安全控制装置的优选实施方式进行说明。

实施方式1

首先，作为在本发明的说明中使用的语句，在表1中，汇总示出与“任务”、“规定时间”、“控制周期”、“安全调度信息”、“非安全调度信息”、“任务中断”、“任务结束”有关的含义内容的说明。

[表1]

表1语句的说明

图1是本发明的实施方式1的电梯安全控制装置的结构图。本实施方式1的电梯安全控制装置构成为具备输入部10、逻辑部20以及独立性保证部30。逻辑部20内的cpu21取得与电梯的状态有关的信号作为输入值，并且读入程序40、安全调度信息50以及非安全调度信息60。

这里，程序40、安全调度信息50以及非安全调度信息60相当于存储在存储部内的数据，逻辑部20内的cpu21参照这些数据来执行电梯控制所需的处理。

程序40具有多个安全控制功能的任务41以及多个非安全控制功能的任务42。

安全调度信息50是如下的调度信息，该调度信息规定了应在哪个控制周期中以怎样的顺序来执行多个安全控制功能的任务41。具体而言，安全调度信息50是如下的信息，该信息定义了安全控制功能的各任务的执行顺序、任务的规定时间以及最终标志，所述最终标志示出是在各控制周期的最后执行的最终安全任务。

在图1所示的安全调度信息50的具体例中，定义了如下内容：在最初的控制周期中依次执行安全控制功能的任务st1、st2，在下一个控制周期中依次执行安全控制功能的任务st1、st3，并且在规定时间t1、t2、t3分别监视任务st1、st2、st3。

非安全调度信息60是如下的调度信息，该调度信息规定了多个非安全控制功能的任务42的执行顺序。具体而言，非安全调度信息60是如下的信息，该信息不依赖于控制周期，而仅定义了应以怎样的顺序来执行非安全控制功能的各任务。

在图1所示的非安全调度信息60的具体例中，定义了应按照非安全控制功能的任务nst1、nst2、nst3、nst1的顺序来依次执行。

并且，逻辑部20内的cpu21通过使用输入值，将由安全调度信息50规定了调度的多个安全控制功能、以及由非安全调度信息60规定了调度的多个非安全控制功能作为各自独立的程序40而依次执行，由此进行电梯的控制运算。

此外，逻辑部20内的cpu21根据需要，将各自独立地执行的各程序40的执行状态的信息保持在上下文块70中，可以根据需要读出执行状态信息。这里，上下文块70相当于存储在存储部内的可读写的数据。

独立性保证部30针对由多个安全控制功能的任务41以及多个非安全控制功能的任务42构成的全部控制功能，保证控制功能间的独立性，以使得某个控制功能不会对其它控制功能产生影响。独立性保证部30构成为具备监视规定时间的经过状况的规定时间定时器31、监视控制期间的经过状况的控制周期定时器32以及存储器保护功能33。

本发明的技术特征在于，逻辑部20和独立性保证部30进行联动，将由安全调度信息50以及非安全调度信息60规定的各任务作为各自独立的程序40而依次执行，其结果是，能够将不执行安全控制功能的任务41的空闲时间汇总到各控制周期之后。

并且，该空闲时间与现有方法不同，是与安全控制功能独立的。因此，能够对各个控制周期的空闲时间依次分配由非安全调度信息60规定了执行顺序的非安全控制功能的任务42。其结果是，本发明与现有方法相比较，能够提高cpu21的利用效率。

接下来，使用图2a、图2b、图3，对由本实施方式1的逻辑部20和独立性保证部30执行的任务处理的具体动作详细地进行说明。图2a是用于说明在本发明的实施方式1的逻辑部20以及独立性保证部30中，根据安全调度信息50以及非安全调度信息60在第1次控制周期中执行的任务处理内容的图。此外，图2b是用于说明在本发明的实施方式1的逻辑部20以及独立性保证部30中，根据安全调度信息50以及非安全调度信息60在第2次控制周期中执行的任务处理内容的图。

在图2a中，第1次控制周期作为时刻t0～时刻t3的期间而示出，在图2b中，第2次控制周期作为时刻t3～时刻t6的期间而示出。并且，图2a、图2b例示了依照图1所示的安全调度信息50以及非安全调度信息60示出由逻辑部20和独立性保证部30执行的任务处理结果的图。

首先，在图2a所示的第1次控制周期中，依照安全调度信息50，连续且无空闲时间地依次执行安全控制功能的任务st1、st2。此外，在执行安全控制功能的任务st1、st2后的空闲时间中，依照非安全调度信息60，连续地依次执行非安全控制功能的任务nst1、nst2、nst3。

更具体来说，在时刻t1，在经过对任务st1设定的规定时间t1之前，任务st1的处理已完成。因此，cpu21在独立性保证部30内的规定时间定时器31的中断发生之前，在时刻t1开始任务st2的处理。

时刻t2相当于从时刻t1经过了规定时间t2后的时刻。cpu21在时刻t2，在任务st2未完成的状态下，接受规定时间定时器31的中断而中断任务st2的处理。

时刻t2～时刻t3的期间相当于在第1次控制周期中处理任务st1、st2后的空闲时间。因此，cpu21依照非安全调度信息60来依次执行非安全控制功能的任务nst1、nst2、nst3。但是，在第1次控制周期的结束时刻t3，在任务nst3的处理未完成的状态下，发生了控制周期定时器32的中断。因此，任务nst3在后述的第2次控制周期的空闲时间中，再次开始被中断以后的处理。

接下来，在图2b所示的第2次控制周期中，依照安全调度信息50，连续且无空闲时间地依次执行安全控制功能的任务st1、st3。进而，在执行安全控制功能的任务st1、st3后的空闲时间中，依照非安全调度信息60，连续地依次执行非安全控制功能的任务。如上所述，在第1次控制周期中，任务nst3被中断。因此，在第2次控制周期中的空闲时间中，任务nst3的处理从再次开始处开始，然后依照非安全调度信息60来执行任务nst1。

更具体来说，时刻t4相当于从时刻t3经过了规定时间t1的时刻。因此，cpu21在时刻t4，在任务st1未完成的状态下，接受规定时间定时器31的中断而中断任务st1的处理。然后，cpu21在时刻t4开始任务st3的处理。

在时刻t5，在经过对任务st3设定的规定时间t3之前，任务st3的处理已完成。然后，时刻t5～时刻t6的期间相当于在第2次控制周期中处理任务st1、st3后的空闲时间。因此，cpu21在独立性保证部30内的规定时间定时器31的中断发生之前，在时刻t5再次开始任务nst3的继续处理。

但是，在第2次控制周期的结束时刻t6，在任务nst1的处理未完成的状态下，发生了控制周期定时器32的中断。因此，任务nst1在第3次控制周期的空闲时间中，再次开始被中断以后的处理。

图3是汇总了由本发明的实施方式1的逻辑部20以及独立性保证部30执行的一系列的任务处理的流程图。另外，在以后的说明中，根据图1以及图2所示的具体的任务调度，对图3的流程图进行说明。

逻辑部20在步骤s301中进行了初始设定之后，在步骤s302中，根据安全调度信息50来分配第1次控制周期中的安全控制功能的任务中的最初的任务st1。

接下来，在步骤s303中，逻辑部20在分配给任务st1的规定时间t1经过之前，即，在通过独立性保证部30内的规定时间定时器31发生中断之前，判定是否执行了任务st1的结束处理。当逻辑部20在步骤s303中判定为“是”的情况下，进入步骤s305，在判定为“否”的情况下，进入步骤s304。

在进入了步骤s304的情况下，逻辑部20通过规定时间定时器31的中断的发生而中断任务st1，进入步骤s305。

在进入了步骤s305的情况下，逻辑部20根据最终标志来判断是否还留有应在第1次控制周期中执行的安全控制功能的任务。当逻辑部20在步骤s303中判定为“是”的情况下，进入步骤s302，在判定为“否”的情况下，进入步骤s306。

在图1、图2所示的例子中，在第1次控制周期中，需要在安全控制功能的任务st1之后处理任务st2。因此，关于任务st2，在进行了步骤s302～步骤s305的处理之后，进入步骤s306。

在步骤s306以后的处理中，逻辑部20以及独立性保证部30在第1次控制周期中执行安全控制功能的任务st1、st2后的空闲时间中，依次执行非安全控制功能的任务。

逻辑部20在步骤s306中，根据非安全调度信息60来判断是否存在应在第1次控制周期中的空闲时间中执行的非安全控制功能的任务。当逻辑部20在步骤s306中判定为“是”的情况下，进入步骤s307，在判定为“否”的情况下，进入步骤s310。

在进入了步骤s307的情况下，逻辑部20根据非安全调度信息60来分配非安全控制功能的任务中的最初的任务nst1。

接下来，在步骤s308中，逻辑部20判定在控制周期结束之前，即，在通过独立性保证部30内的控制周期定时器31发生中断之前是否执行了任务nst1的结束处理。当逻辑部20在步骤s308中判定为“是”的情况下，进入步骤s306，在判定为“否”的情况下，进入步骤s309。

在图1、图2所示的例子中，作为非安全调度信息60，在任务nst1以后设定有任务nst2、任务nst3、任务nst1、···。因此，逻辑部20至接收到控制周期定时器32的中断为止，反复进行步骤s306～步骤s308的处理，由此连续地依次执行被设定为非安全调度信息60的非安全控制功能的任务。

在进入了步骤s309的情况下，逻辑部20通过控制周期定时器32的中断的发生而中断当前正在执行的非安全控制功能的任务，结束第1次控制周期的一系列处理，返回到步骤s302。在图1、图2所示的例子中，在执行非安全控制功能的任务nst3的过程中，通过控制周期定时器32的中断的发生而中断任务nst3，第1次控制周期完成。

此外，在从前面的步骤s306进入步骤s310的情况下，由于不存在应执行的非安全控制功能的任务，因此，逻辑部20待机直至发生控制周期定时器32的中断为止。然后，在步骤s311中，通过控制周期定时器32的中断的发生而结束第1次控制周期的一系列处理，返回到步骤s302。

在图1、图2所示的例子中，通过安全调度信息50规定了应在第2次控制周期中执行安全性控制功能的任务st1、st3。因此，在结束了第1次控制周期中的一系列处理之后返回到步骤s302的情况下，连续地依次执行第2次控制周期中的各任务处理。

接下来，以下，对如上所述的用于实现将空闲时间配置在控制周期的后一半的基本技术思想的几个变形例进行说明。

[变形例1]

对安全调度信息50以及非安全调度信息60的变形例进行说明。图4是示出本发明的实施方式1的安全调度信息以及非安全调度信息的变形例的图。

前面的图1所示的安全调度信息50全部由安全控制功能的任务构成。与此相对，图4所示的安全调度信息50a构成为包含1个以上的非安全控制功能的任务。

具体而言，图4所示的安全调度信息50a规定了在第1次控制周期中接在安全控制功能的任务st1之后执行非安全控制功能的任务nst1，并且，规定了在第2次控制周期中接在安全控制功能的任务st1之后执行非安全控制功能的任务nst2。另一方面，图4所示的非安全调度信息60a构成为对未编入安全调度信息50a中的其它非安全控制机构的任务nst3、nst4、nst5规定了执行顺序。

这样，通过使用构成为包含1个以上的非安全控制功能的任务的安全调度信息50a，能够确保非安全控制功能的任务nst1、nst2的实时性。

[变形例2]

在图1以及图4的例子中，对利用非安全调度信息60事先决定非安全控制功能的任务的执行顺序进行了说明。然而，非安全控制功能的任务不一定需要事先决定，也可以设为在各控制周期中动态地进行调度的方式。

[变形例3]

对于安全控制功能的任务stn中的不能容许中断的任务，也可以设为在中断发生时实施错误处理的方式。例如，在图1、图2所示的例子中，考虑安全控制功能的任务st2是不能中断的任务的情况。图5是用于说明在本发明的实施方式1中，在执行安全控制功能的任务的过程中发生中断处理时的错误处理的图。

如图5所示，在时刻t2发生规定时间定时器31的中断，由此，然后cpu21能够执行错误处理。另外，为了进行这样的错误处理，需要预先进行安全控制功能的任务中不能中断的任务的确定。因此，为了进行这样的确定，考虑将示出可否中断的信息与各安全控制功能的任务关联起来，作为安全调度信息50进行存储、或者存储在上下文块70内。

[变形例4]

cpu21在执行各任务时，还能够从控制周期定时器32实时地取得控制周期定时器值，将其用于运算处理。

[变形例5]

利用变形例4的想法，cpu21进一步对控制周期的经过次数进行计数，由此能够计测跨越多个控制周期的任务处理的经过时间。图6a、图6b是用于说明本发明的实施方式1中的变形例5的动作的图。

在图6a的[1]中所示的时刻，cpu21在控制周期经过次数计数器为n1的控制周期中，从控制周期定时器32取得控制周期定时器值ta。进而，在图6b的[2]中所示的时刻，cpu21在控制周期经过次数计数器为n2的控制周期中，从控制周期定时器32取得控制周期定时器值tb。其结果是，cpu21能够通过下式计算出从在[1]中所示的时刻到在[2]中所示的时刻的经过时间。

经过时间＝(n2-n1)×t+(tb-ta)

[变形例6]

利用变形例4以及变形例5的想法，cpu21还能够在特定的区间中存在不想被中断的任务的情况下，避免中断。图7a～图7b是用于说明本发明的实施方式1中的变形例6的动作的图。

在图7a～图7c中，任务st2相当于在特定的区间中不想被中断的任务。在图7a的[1]中所示的时刻，cpu21在任务st2开始时，从控制周期定时器32读取控制周期定时器值ta。然后，cpu21在开始任务st1的执行之后，在相当于不想受理中断的特定区间开始时的[2]中所示的时刻，从控制周期定时器32读取控制周期定时器值tb。

这里，不想受理中断的特定区间可以预先规定为设想所花费的执行时间最长的期间tc，可以预先设定在相当于内部存储器的存储器22内。

此外，当设任务st2的规定周期t2为td时，cpu21在图7a的[2]中所示的时刻判定以下的式(1)的条件是否成立。

td<tb-ta+tc(1)

在式(1)的条件成立的情况下，当在[2]中所示的时刻以后继续执行任务st2时，设想在不想受理中断的特定区间中发生规定周期定时器的中断的情况。在cpu21判定为式(1)的条件成立的情况下，在在[2]中所示的时刻中断任务st2的执行，如图7b所示，开始执行非安全控制功能的任务nst1。

然后，cpu21在图7c所示的第2次控制周期中，在执行了任务st1之后，在[3]中所示的时间段中，再次开始已中断的任务st2的执行。其结果是，能够防止在图7a和图7c中示出为网格部分的任务st2的特定区间中的中断的发生。

另外，cpu21在执行任务st2的特定区间的处理时，通过进行如下的处理，能够采取在特定区间中发生了中断时的应对。cpu21能够执行如下标志处理：在开始特定区间时设置开始标志，在特定区间的处理结束时设置结束标志。

cpu21通过执行这样的标志处理，在判定为在特定区间开始之后规定时间定时器的中断发生时，即开始标志已设置、并且结束标志未设置的情况下，能够判定为在特定区间中发生了中断。而cpu21在判断为在特定区间中发生了中断的情况下，例如，能够采取执行电梯的安全动作等的应对。

如上所述，根据实施方式1的任务调度方法，能够将不执行安全控制功能的任务的空闲时间汇总到各控制周期之后。其结果是，cpu的利用效率提高，能够在确保安全控制功能的任务与非安全控制功能的任务之间的独立性的基础上，实现高效的任务调度。

实施方式2.

在本实施方式2中，说明对电梯系统的具体结构应用在前面的实施方式1中所说明的任务调度方法的情况。

以往，提出了一种开门行驶保护装置，该开门行驶保护装置在轿厢门或者层站门开门的状态下轿厢异常行驶的情况下，使轿厢紧急停止以确保安全的状态(例如，参照专利文献3)。

此外，提出了一种终端楼层强制减速装置，该终端楼层强制减速装置在轿厢在终端楼层附近失控的情况下，检测出轿厢超速而使制动装置动作，在与缓冲器碰撞前使轿厢减速到安全的速度以下(例如，参照专利文献4)。

这些安全装置要求高度的可靠性，例如作为电子安全装置等结构来安装。这种结构由于设备的双重结构等而具有硬件成本增加的倾向，期望将尽可能多的安全功能安装于同一硬件中的方式。作为实现这种方式的手段，在前面的专利文献2中，公开了多个安全功能程序能够彼此不发生干扰地可靠地执行的机制。

另一方面，在这些安全系统中，也优选具有内部数据录入、数据输出等维护功能，以提高维护性。另一方面，这些维护功能是非安全功能，执行优先级比安全功能低。因此，为了在不妨碍安全功能的执行的情况下提高维护功能的吞吐量，需要高效地利用不执行安全功能的时间来执行非安全功能那样的提高时间效率的机制。

因此，以下，对将前面的实施方式1中所说明的方法应用于电梯安全控制装置时的情况详细地进行说明。

图8是应用了本发明的实施方式2的电梯安全控制装置的电梯系统的整体结构图。图8所示的电梯系统200构成为包含电梯机构部210、电梯驱动装置220、制动装置230、电梯安全电路240、电梯运行控制单元250以及电梯安全监视单元260。

电梯机构部210具备轿厢211、对重212、绳轮213、反绳轮214、绳索215以及井道内设备216。

轿厢211和对重212通过绳索215相连结，绳索215悬挂在绳轮213和反绳轮214上。

井道内设备216具备层站门开关216a、轿厢门开关216b、门区板216c、门区传感器216d、终点开关凸轮216e、井道内的上部基准位置开关216f、井道内的下部基准位置开关216g、限速器绳轮216h、限速器绳索216i以及限速器编码器216j。

层站门开关216a设置于层站，用于检测层站门的开门状态。此外，轿厢门开关216b设置于轿厢，用于检测轿厢门的开门状态。

门区板216c设置在井道内的层站附近。设置于轿厢211的门区传感器216d通过检测门区域板216c来检测轿厢地面位于距层站地面规定距离内的情况。

上部基准位置开关216f设置在井道内的上部，下部基准位置开关216g设置在井道内的下部，分别具有连结固定于开关触点的辊。上部基准位置开关216f以及下部基准位置开关216g通过利用固定于轿厢的终点开关凸轮216e按压辊，而使开关触点成为检出状态。因此，上部基准位置开关216f以及下部基准位置开关216g能够检测出轿厢位于井道内的规定位置的情况。

限速器绳轮216h通过连结固定于轿厢211的限速器绳216i而旋转。限速器编码器216j对限速器绳轮216h的旋转进行检测，从而检测出轿厢的移动量。

电梯驱动装置220具备商用电源221、逆变器222、电机223以及切断从商用电源221向逆变器222的供电的主电路接触器#mc的主触点224。逆变器222根据来自后述的电梯运行控制装置(cc)251的指令使电机223旋转，以驱动绳轮213。

制动装置230具备第1及第2制动靴231、第1及第2制动线圈232、第1及第2制动斩波器(brakechopper)233以及制动电路继电器(#bk)的主触点234，其中，所述第1及第2制动靴231通过与绳轮213接触而利用摩擦来施加制动转矩，所述第1及第2制动线圈232吸引制动靴而使制动靴落下，所述第1及第2制动斩波器233根据来自电梯运行控制装置(cc)251的指令来控制制动线圈的电流，所述制动电路继电器(#bk)的主触点234切断从制动电源向制动线圈232的供电。

电梯安全电路240构成为，安全继电器#sf1、#sf2的各主触点以及其它安全开关触点与控制电源串联连接。根据电梯安全电路240内的各个触点全部成为接通状态时的最终输出，向#mc、#bk线圈的初级侧供给驱动接触器/继电器用电力。

电梯运行控制单元250具备电梯运行控制装置(cc)251、以及开关半导体252，其中，所述开关半导体252输入来自#mc、#bk的各线圈以及电梯运行控制装置(cc)251的指令，以接通/断开对各线圈的供电。

电梯运行控制装置(cc)251向逆变器222、第1及第2制动斩波器233、#mc、#bk的各开关半导体252输出指令，控制轿厢211的运行。

电梯安全监视单元260具备电梯安全监视装置(sf)261和开关半导体262，其中，所述开关半导体262输入来自第1及第2安全继电器的各线圈以及电梯安全监视装置(sf)261的指令，以接通/断开对各线圈的供电。

电梯安全监视装置(sf)261输入层站门开关216a、轿厢门开关216b、门区传感器216d、上部基准位置开关216f、下部基准位置开关216g以及限速器编码器216j的各状态。然后，电梯安全监视装置(sf)261根据这些输入，在检测出包含终端楼层超速、开门行驶以及本单元构成设备的故障在内的至少1个以上的非安全状态的情况下，执行安全停止序列，向电梯运行控制装置(cc)251输出停止指令以使轿厢211停止，并且切断#sf1、#sf2以将轿厢211保持为静止。

图9是详细地示出本发明的实施方式2的电梯安全监视装置(sf)261的内部结构的框图。电梯安全监视装置(sf)261作为由同一设备及功能构成的双重系统，具备第1安全监视系统140a以及第2安全监视系统140b。第1安全监视系统140a以及第2安全监视系统140b分别输入层站门开关216a、轿厢门开关216b、门区传感器216d、各基准位置开关216f、216g以及限速器编码器216j的各状态。

第1安全监视系统140a根据这些输入，向#sf1的开关半导体262输出驱动指令，并对电梯运行控制装置(cc)251输出停止指令。同样地，第2安全监视系统140b根据这些输入，向#sf2的开关半导体262输出驱动指令，并对电梯运行控制装置(cc)251输出停止指令。

第1安全监视系统140a以及第2安全监视系统140b分别具有以下4个安全控制功能。

·终端楼层强制减速功能(sets)

·开门行驶保护功能(ucmp)

·自我诊断功能(diag)

·系统间通信功能(icom)

此外，第1安全监视系统140a以及第2安全监视系统140b分别具有以下两个非安全控制功能作为维护功能。

·数据录入功能(dlog)

·与电梯运行控制装置之间的接口功能(ccif)

sets是如下功能：输入各基准位置开关216f、216g以及限速器编码器216j的各状态，在轿厢的当前速度超过了与轿厢的当前位置对应的轿厢超速监视水平的情况下，执行安全停止序列。

ucmp是如下功能：输入层站门开关216a、轿厢门开关216b、门区传感器216d、限速器编码器216j的各状态，当在层站门或者轿厢门开门的状态下轿厢从层站地面起移动了预先设定的距离以上的情况下，或者在轿厢的当前速度达到规定值以上的情况下，执行安全停止序列。

diag是如下功能：对至少包含电源、时钟、wdt、cpu、存储器、总线、程序、安全继电器的单元构成设备实施动作检查，在检测出故障的情况下，执行安全停止序列。

icom是如下功能：在第1安全监视系统140a以及第2安全监视系统140b的系统间相互传输输入输出状态、运算状态等数据，在检测出不匹配的情况下，判断为在某个系统中存在运算不良，从而在两个系统中执行安全停止序列。

维护功能作为非安全控制功能，具备数据录入功能(dlog)以及cc接口功能(ccif)，是在不执行安全控制功能的空闲时间的定时执行的。具体而言，通过dlog记录输入输出状态、运算状态以及事件历史记录的日志并存储数据，通过ccif根据来自电梯运行控制装置(cc)251的请求来传输所存储的数据。

图10是本发明的实施方式2的第1安全监视系统140a以及第2安全监视系统140b共同的结构图。该图10与前面的实施方式1的图1的结构图对应。即，图10中的第1安全监视系统140a以及第2安全监视系统140b共同的结构与图1中所说明的本发明的电梯安全控制装置的结构等价。因此，为了使说明易于理解，对与图1对应的图10中的各个结构标注在图1的标号上加上100后的标号。

本实施方式2的第1安全监视系统140a(第2安全监视系统140b)构成为具备外部设备i/f110、逻辑部120以及独立性保证部130。逻辑部120内的cpu121取得与电梯的状态相关的信号作为经外部设备i/f110输入的输入值，并且读入安全控制功能的任务141、非安全控制功能的任务142、安全调度信息150以及非安全调度信息160。

这里，安全控制功能的任务141、非安全控制功能的任务142、安全调度信息150以及非安全调度信息160相当于存储在存储部内的数据，逻辑部120内的cpu121参照这些数据来执行电梯控制所需的处理。

安全控制功能的任务141由sets任务、ucmp任务、diag任务以及icom任务的各安全程序构成。在以下内容中，这些任务也有时被称为“安全任务”。

非安全控制功能的任务142由dlog任务、ccif任务的各非安全程序构成。在以下内容中，这些任务也有时被称为“非安全任务”。

安全调度信息150是如下信息，该信息定义了各安全任务的执行顺序、执行规定时间、最终标志以及中断标志，其中，所述最终标志示出是各控制周期中的最终安全任务的情况，所述中断标志示出可否中断各安全任务。

非安全调度信息160是仅定义了各非安全任务的执行顺序的信息。

上下文块170用于存储sets执行状态、ucmp执行状态、diag执行状态以及icom执行状态。这里，上下文块170相当于存储在存储部内的可读写数据。

外部设备i/f110是输入层站门开关216a、轿厢门开关216b、门区传感器216d、基准位置开关216f、216g以及限速器编码器216j的各信号时、或者向安全继电器#sf1、s#sf2输出驱动指令时的接口。

逻辑部120具备cpu121以及存储器122。并且，在存储器122中，作为在执行各种安全任务时使用的区域，将sets区域、ucmp区域、diag区域以及icom区域作为独立区域进行了分配。

独立性保证部130具备规定时间定时器131、控制周期定时器132以及存储器保护功能133。

存储器保护功能133在安全任务以及非安全任务被执行时访问了其它安全任务的存储器区域的情况下，保护该区域的数据，并且将检测出异常访问的情况发送给cpu121，使其执行安全停止序列。例如，sets任务访问ucmp区域的情况相当于异常访问。

cpu121在第1安全监视系统140a(第2安全监视系统140b)启动后，参照安全调度信息150，依照既定的执行顺序调用安全任务。与此相对应，独立性保证部130开始规定时间定时器131进行的任务执行时间计测。此外，独立性保证部130在开始各控制周期的最初的任务的执行的情况下，将控制周期定时器132复位之后再开始定时器计数。

cpu121通过安全任务的执行时间达到在安全调度信息中所设定的规定时间、或者正在执行的任务自己声明任务结束，来结束或者中断正在执行的任务，并参照最终标志。

在最终标志为false的情况下，cpu121调用下一个安全任务，与此对应，独立性保证部130将规定时间定时器131复位，并开始计测下一个任务的执行时间。

另一方面，在最终标志为true的情况下，cpu121参照非安全调度信息，依照既定的执行顺序来调用非安全任务。

当控制周期定时器132达到规定的控制周期时，cpu121中断正在执行的非安全任务，转移到下一个控制周期的处理。然后，cpu121参照安全调度信息来调用下一个控制周期中的最初的安全任务。与此对应，独立性保证部130将规定时间定时器131以及控制周期定时器132分别复位，并开始各自的定时器计数。

cpu121当结束安全调度信息的执行顺序的最终的安全任务的执行时，在下一个安全任务执行的定时，返回到安全调度信息的执行顺序的起始。

接下来，使用每个控制周期的各任务的执行时序图，对本实施方式2的任务处理的效果进行说明。图11a是在本发明的实施方式2中，与依照安全调度信息150以及非安全调度信息160的执行计划相当的执行时序图。

与此相对，图11b是执行根据本发明的实施方式2的任务处理时的执行时序图。此外，图11c是执行现有技术的任务处理时的执行时序图。

在图11a～图11c所示的具体例中，将控制周期t＝1[ms]作为1个执行步骤，设通过3个步骤来执行1个周期的安全任务以及非安全任务。

如图11a所示，在基于安全调度信息150以及非安全调度信息160的执行计划中，在步骤1(步骤计数器n＝1)、步骤2(步骤计数器n＝2)、步骤3(步骤计数器n＝3)中，进行了如下那样的任务分配。

<步骤1(步骤计数器n＝1)>

·在时间t＝0～0.1[ms]，icom任务

·在时间t＝0.1～0.4[ms]，diag任务(1/3)

·在时间t＝0.4～0.7[ms]，sets任务

·在时间t＝0.7～1.0[ms]，非安全任务

<步骤2(步骤计数器n＝2)>

·在时间t＝0～0.1[ms]，icom任务

·在时间t＝0.1～0.6[ms]，diag任务(2/3)

·在时间t＝0.6～0.8[ms]，ucmp任务

·时间t＝0.8～1.0[ms]，非安全任务

<步骤3(步骤计数器n＝3)>

·在时间t＝0～0.1[ms]，icom任务

·在时间t＝0.1～0.8[ms]，diag任务(3/3)

·在时间t＝0.8～1.0[ms]，非安全任务

如由图10中的安全调度信息150中的中断标志所规定的那样，将icom任务、sets任务、ucmp任务设为不可中断，将diag任务设为只有3/3不可中断。然后，设在不可中断的任务在规定时间以内未结束的情况下，cpu121检测出程序异常而执行安全停止序列。

根据在任务处理的条件分支组合中处理量最大的执行路径来决定在安全调度信息中为了执行各任务而分配的规定时间。在安全任务的情况下，在正常时，仅执行异常监视处理，因此，实际的执行时间比规定时间短，但是在异常时，还追加执行安全动作处理，因此实际的执行时间接近规定时间。

非安全任务的执行时间在非安全调度信息中没有定义，此外，也不实施基于规定时间定时器的监视。其中，在图11b、图11c中，设dlog任务的处理时间为0.1[ms]，ccif任务的处理时间为1.0[ms]。

接下来，使用图11b对实际执行本实施方式2的任务处理的情况进行说明。在步骤1中，在t＝0～0.1[ms]，执行icom任务，接下来，从t＝0.1ms起执行diag任务(1/3)。这里，diag任务(1/3)的执行规定时间为0.3[ms]，因此，虽然能够执行到t＝0.4[ms]为止，但是没有检测出异常而在t＝0.3[ms]结束。

因此，cpu121在t＝0.3[ms]的时刻，开始执行下一个安全任务即sets任务。在t＝0.3～0.6[ms]，虽然能够执行sets任务，但是这也没有检测出异常而在t＝0.5[ms]结束。

根据安全调度信息150，sets任务的最终标志为true，因此，cpu121能够判断为该步骤中的安全任务的执行已结束。因此，从t＝0.5[ms]起，cpu121依照非安全调度信息160来执行dlog任务。dlog任务在0.1[ms]完成，从t＝0.6[ms]起执行ccif任务。

虽然ccif任务至完成为止要花费1.0[ms]，但是，在t＝1.0[ms]，控制周期定时器132达到控制t＝1[ms]，发生中断。因此，ccif任务在执行了0.4[ms]处被中断。

在接下来的步骤2中，设在t＝0～0.1[ms]执行icom任务，接下来，虽然在t＝0.1～0.6[ms]能够执行diag任务(2/3)，但是在t＝0.45[ms]结束。其结果是，接下来，虽然在t＝0.45～0.65[ms]能够执行ucmp任务，但是实际上，ucmp任务在t＝0.6[ms]结束。

由于umcp的最终标志为true，因此，接下来执行非安全任务，从t＝0.6[ms]起，再次开始在前面的步骤1中中断了的ccif任务。在ccif任务进一步执行了0.4[ms]处，控制周期定时器达到控制t＝1[ms]，ccif任务的执行再次被中断。

设在接下来的步骤3中，在t＝0～0.1[ms]执行icom任务，接下来，虽然在t＝0.1～0.8[ms]能够执行diag任务(3/3)，但是，在t＝0.6[ms]结束。由于diag任务(3/3)的最终标志为true，因此，接下来执行非安全任务，从t＝0.6[ms]起，再次开始在前面的步骤2中中断了的ccif任务。

由于ccif任务已经在步骤1、2中执行了共计0.8[ms]，因此，剩余0.2[ms]的处理在步骤3的t＝0.6～0.8[ms]中执行。

在ccif任务的执行完成后，由于不存在下一个非安全任务，因此，在t＝0.8[ms]以后，至步骤3结束为止，为不执行任何处理的空闲时间。

另外，在sets任务以及ucmp任务中，需要运算轿厢当前速度。因此，通过使用在上一次执行任务时所取得的限速器编码器值x_gov'以及控制周期定时器值t_gov'、各自的当前值x_gov、t_gov、控制周期t以及速度标准化系数k，cpu121能够根据下式计算出轿厢速度。

轿厢速度＝k×(x_gov-x_gov')/(3×n+t_gov-t_gov')

如图11b所示，在根据本发明的任务处理中，能够高效地利用在规定时间之前完成安全任务时的空闲时间，从而能够对非安全任务分配更多的时间。其结果是，cpu121的利用效率提高，能够提高任务处理的时间效率。

另一方面，在采用根据现有技术的固定任务分配时间的方式来执行了与本次同样的安全任务、非安全任务的情况下，成为图11c所示的执行时序图。即，在空闲时间中，由于不执行安全任务的处理，因此，完成处理时间为1.0[ms]的ccif任务的步骤成为步骤5。即，在现有技术中，需要分割执行更多的步骤，可以设想到与执行根据本发明的任务处理的情况相比较、处理时间增加的情况。

如上所述，根据实施方式2的任务调度方法，能够将不执行安全控制功能的任务的空闲时间汇总到各控制周期之后。其结果是，cpu的利用效率提高，能够在确保安全控制功能的任务与非安全控制功能的任务之间的独立性的基础上，实现高效的任务调度。

标号说明

21：cpu；30：独立性保证部；31：规定时间定时器；32：控制周期定时器；33：存储器保护功能；40：程序；41：安全控制功能的任务；42：非安全控制功能的任务；50、50a：安全调度信息；60、60a：非安全调度信息；70：上下文块；121：cpu；130：独立性保证部；131：规定时间定时器；132：控制周期定时器；133：存储器保护功能；140a、140b：安全监视系统；141：安全控制功能的任务；142：非安全控制功能的任务；150：安全调度信息；160：非安全调度信息；170：上下文块。