电梯装置的制作方法

专利名称：电梯装置的制作方法
技术领域：
本发明涉及使用了根据来自传感器的检测信号来检测电梯的异常的电子安全控制器的电梯装置。
背景技术：
在以往的电梯的安全系统中，在设于井道、机房和轿厢的总线节点连接有传感器等，来自传感器等的信息通过总线节点和通信网络总线发送给安全控制器(例如参照专利文献1)。
专利文献1日本特表2002-538061号公报发明内容在上述以往的电梯装置中，通过通信网络进行从传感器向安全控制器的信息输入，所以为了确保作为安全系统的高可靠性，需要具有相当高的可靠性的通信网络，构成这种网络的硬件和软件复杂且昂贵。
本发明就是为了解决上述问题而提出的，其目的在于，实现一种能够利用比较简单的结构提高安全系统的可靠性的电梯装置。
本发明的电梯装置具有产生用于检测电梯状态的检测信号的传感器、和电子安全控制器，其根据来自传感器的检测信号来检测电梯的异常，输出用于使电梯过渡为安全状态的指令信号，电子安全控制器可以检测电子安全控制器自身的异常，即使在检测到电子安全控制器自身的异常时，也输出用于使电梯过渡为安全状态的指令信号。


图1是表示本发明的实施方式1涉及的电梯装置的结构图。
图2是表示在图1所示调速机和ETS电路部设定的过速(overspeed)类型的曲线图。
图3是表示图1所示电子安全控制器、电梯控制盘和各种传感器的连接关系的方框图。
图4是表示图1所示电子安全控制器的主要部分的装置结构的方框图。
图5是表示图4所示微处理器的运算处理的执行方法的说明图。
图6是表示图1所示电子安全控制器的主要部分的方框图。
图7是表示图6所示时钟异常检测电路的具体结构的结构图。
图8是表示图1所示电子安全控制器的RAM内的区域划分的说明图。
图9是表示图1所示电子安全控制器的初始动作的流程图。
图10是表示图1所示电子安全控制器的中断运算流程的第1例的流程图。
图11是表示图1所示电子安全控制器的主要部分的方框图。
图12是表示图1所示电子安全控制器的主要部分的方框图。
图13是表示图12所示检查功能电路的具体结构的一例的电路图。
图14是表示第1和第2CPU读出图12所示检查功能电路时的数据总线的各位的相关数据的意义的说明图。
图15是表示图12所示第1CPU侧的电源电压监视完好性检查方法的流程图。
图16是表示在图12所示的电梯控制装置中CPU被重新设定时的动作的流程图。
图17是表示图1所示ETS电路部的初始设定动作的步骤与运转控制部及安全电路部的动作的关系的说明图。
图18是说明图1所示电梯装置的初始设定运转模式下的轿厢的动作的说明图。
图19是表示图1所示电子安全控制器的触点异常检测部的电路图。
图20是用于说明图19所示安全继电器主触点的动作试验方法的流程图。
图21是表示向图1所示电子安全控制器连接履历信息记录部和完好性诊断部时的状态的方框图。
图22是表示在图21所示的履历信息记录部中存储的信息的一例的说明图。
图23是用于说明图21所示电子安全控制器的动作的流程图。
图24是表示图1所示电子安全控制器的主要部分的方框图。
图25是具体表示图24所示数据异常检查用的数据比较电路的电路图。
图26是具体表示图24所示地址总线异常检查用的指定地址检测电路的电路图。
图27是表示图24所示CPU内的指定地址输出软件和指定地址检测电路的处理动作的流程图。
图28是表示图24所示CPU内的数据总线异常检查软件的处理动作的流程图。
具体实施例方式
以下，参照

本发明的优选实施方式。
实施方式1图1是表示本发明的实施方式1涉及的电梯装置的结构图。在图中，在井道1内设置一对轿厢导轨2和对重导轨(未图示)。轿厢3由轿厢导轨2引导着在井道1内升降。对重4由对重导轨引导着在井道1内升降。
在轿厢3的下部安装着紧急停止装置5，其卡合在轿厢导轨2上，用于使轿厢3紧急停止。紧急停止装置5具有根据机械操作而动作并被按压在轿厢导轨2上的一对制动片(楔部件)6。
在井道1内的上部设有通过主绳索使轿厢3和对重4升降的驱动装置(卷扬机)7。驱动装置7具有驱动绳轮8，使驱动绳轮8旋转的电机部(未图示)，制动驱动绳轮8的旋转的制动部9，和产生对应驱动绳轮8的旋转的检测信号的电机编码器10。
作为制动部9，例如使用电磁制动装置。在电磁制动装置中，制动蹄(brake shoe)借助于制动弹簧的弹力被按压在制动面上，驱动绳轮8旋转被制动，并且通过激励电磁铁，制动蹄从制动面离开，制动被解除。
电梯控制盘11例如配置在井道1内的下部等。在电梯控制盘11设有控制驱动装置7的运转的运转控制部12，和在电梯异常时使轿厢3紧急停止用的安全电路部(继电器电路部)13。运转控制部12被输入来自电机编码器10的检测信号。运转控制部12根据来自电机编码器10的检测信号，求出轿厢3的位置和速度，控制驱动装置7。
在安全电路部13的继电器电路处于开路状态时，对驱动装置7的电机部的通电被切断，对制动部9的电磁铁的通电被切断，驱动绳轮8被制动。
在井道1的上部设有调速机(机械式调速机)14。在调速机14设有调速机绳轮15、过速检测开关16、绳索夹紧器17、和作为传感器的调速机编码器18。在调速机绳轮15上卷绕着调速机绳索19。调速机绳索19的两端部连接紧急停止装置5的操作机构。调速机绳索19的下端部卷绕在配置于井道1下部的张紧轮20上。
在轿厢3升降时，调速机绳索19循环，调速机绳轮15以对应轿厢3的行进速度的旋转速度旋转。调速机14机械地检测轿厢3的行进速度达到过速。作为将要检测的过速，设定有大于额定速度的第1过速(OS速度)、和大于第1过速的第2过速(Trip速度)。
在轿厢3的行进速度达到第1过速时，过速检测开关16被操作。在过速检测开关16被操作时，安全电路部13的继电器电路处于开路状态。在轿厢3的行进速度达到第2过速时，调速机绳索19被绳索夹紧器17把持，调速机绳索19的循环停止。在调速机绳索19的循环停止时，紧急停止装置5进行制动动作。
调速机编码器18产生对应调速机绳轮15的旋转的检测信号。并且，作为调速机编码器18，使用同时输出两系统的检测信号、即第1和第2检测信号的双传感式编码器。
来自调速机编码器18的第1和第2检测信号被输入设于电子安全控制器21的末端楼层强制减速装置(ETS装置)的ETS电路部22。ETS电路部22根据来自调速机编码器18的检测信号检测电梯的异常，输出用于使电梯转入安全状态的指令信号。具体讲，ETS电路部22根据来自调速机编码器18的信号，求出与运转控制部12分别独立的轿厢3的行进速度和位置，监视轿厢3在末端楼层附近的行进速度是否达到ETS监视过速。
并且，ETS电路部22把来自调速机编码器18的信号转换为数字信号，并进行数字运算处理，从而判断轿厢3的行进速度是否达到ETS监视过速。在通过ETS电路部22判断为轿厢3的行进速度达到ETS监视过速时，安全电路部13的继电器电路处于开路状态。
并且，ETS电路部22可以检测ETS电路部22自身的异常及调速机编码器18的异常。在检测到ETS电路部22自身或调速机编码器18的异常时，作为用于使电梯转入安全状态的指令信号的停靠最近楼层指令信号被从ETS电路部22输出给运转控制部12。另外，在ETS电路部22和运转控制部12之间可以进行双向通信。
在井道1内的规定位置设有检测轿厢3位于井道1内的基准位置用的第1～第4基准传感器23～26。基准传感器23～26可以使用上部和下部末端楼层开关。来自基准传感器23～26的检测信号被输入ETS电路部22。在ETS电路部22中，根据来自基准传感器23～26的检测信号，修改在ETS电路部22中求得的轿厢3的位置信息。
在井道1的底面和轿厢3及对重4的下面之间配置有轿厢缓冲器27和对重缓冲器28。此处，轿厢缓冲器27和对重缓冲器28设置在井道1内的下部。轿厢缓冲器27配置在轿厢3的正下方，缓和轿厢3冲击井道1的底部时的冲击。对重缓冲器28配置在对重4的正下方，缓和对重4冲击井道1的底部时的冲击。作为这些缓冲器27、28，例如可以使用液压式或弹簧式缓冲器。
图2是表示在图1所示调速机14和ETS电路部22设定的过速的类型的曲线图。在图中，在轿厢3以正常速度(额定速度)从下部末端楼层行进到上部末端楼层时，轿厢3的速度类型为正常速度类型V0。调速机14通过机械的位置调整，设定有第1和第2过速类型V1、V2。ETS电路部22设定有ETS监视过速类型VE。
ETS监视过速类型VE被设定得高于正常速度类型V0。并且，ETS监视过速类型VE被设定得相对于正常速度类型V0在整个升降行程中大致隔开相等间隔。即，ETS监视过速类型VE根据轿厢位置而变化。更加具体地讲，ETS监视过速类型VE被设定为在中间楼层附近达到恒定，但随着在末端楼层附近接近井道1的末端(上端和下端)连续且平滑地降低。这样，ETS电路部22不仅在末端楼层附近，在中间楼层附近(正常速度类型V0中的恒速行进区间)也监视轿厢3的行进速度，但对于中间楼层附近未必一定要进行监视。
第1过速类型V1被设定得高于ETS监视过速类型VE。并且，第2过速类型V2设定得比第1过速类型V1还要高。此外，第1和第2过速类型V1、V2在井道1内的所有高度处恒定。
对重缓冲器28的缓冲行程根据由ETS电路部22限制的对重4冲向对重缓冲器28的冲击速度，被设定为短于根据由调速机14限制的冲击速度规定的行程。轿厢缓冲器27的缓冲行程根据由调速机14限制的冲击速度来规定。
缓冲器27、28的缓冲行程根据轿厢3或对重4最初接触时的初速度、和截止到轿厢3或对重4停止时的允许减速度确定。因此，相比于轿厢缓冲器27的缓冲行程，对重缓冲器28的缓冲行程被设定得较短。即，对重缓冲器28的缓冲行程短于轿厢缓冲器27的缓冲行程。
并且，对重缓冲器28被设定为充足的容量，以便例如在主绳索断裂时等，对重4以比根据ETS监视过速类型VE规定的速度大的速度冲击时，也不会损坏。这样，作为确保对重缓冲器28的充足容量的方法，例如有使用比正常时大的容量的缓冲器，或使用多个正常容量的缓冲器的方法等。
轿厢3停止在顶层时的轿厢3的上端部和井道1的顶棚部之间的间隙尺寸，根据由ETS电路部22限制的对重4冲向对重缓冲器28的冲击速度来设定。即，井道1的顶部间隙尺寸被设定为即使对重4冲击对重缓冲器28时，轿厢3也不会冲击井道1的顶棚部。
图3是表示图1所示电子安全控制器21、电梯控制盘11和各种传感器的连接关系的方框图。在图中，电子安全控制器21被输入来自调速机编码器18的两系统的检测信号、来自第1～第4基准传感器23～26的检测信号、和来自其他传感器(第1～第N传感器)的信号。并且，电子安全控制器21具有对应每个传感器的多个信号输入端口。即，电子安全控制器21分别被输入来自各个传感器的信号。由此，电子安全控制器21可以检测各个传感器的异常。
在通过电子安全控制器21检测到某种异常(例如过速、传感器故障、电子安全控制器21自身的异常等)时，包括故障和异常内容的故障及异常内容信号被输入电梯控制盘11的控制单元(未图示)，并且对应故障和异常内容的停止信号被输入电梯控制盘11的驱动及制动单元(未图示)。
图4是表示图1所示电子安全控制器21的主要部分的装置结构的方框图。电子安全控制器21包括根据第1安全程序执行用于检测电梯的异常的运算处理的第1微处理器31，和根据第2安全程序执行用于检测电梯的异常的运算处理的第2微处理器32。
第1安全程序是内容与第2安全程序相同的程序。第1和第2微处理器31、32可以通过微处理器之间总线和两端口RAM33相互通信。并且，第1和第2微处理器31、32通过比较彼此之间的运算处理结果，可以确认第1和第2微处理器31、32自身的完好性。即，通过使第1和第2微处理器31、32执行相同处理，并通过两端口RAM33等进行通信以比较处理结果，可以确认微处理器31、32的完好性。
并且，微处理器31、32通过运算处理可以检测微处理器31、32自身的异常之外电子安全控制器21的异常。
图5是表示图4所示微处理器31、32的运算处理的执行方法的说明图。微处理器31、32以基于来自恒定周期定时器的信号的规定的运算周期(例如50msec)，按照存储在ROM中的程序重复执行运算处理。在一个周期内执行的程序中，包括用于检测电梯的异常的安全程序、用于检测电子安全控制器21自身和各种传感器的故障、异常的故障及异常检查程序。故障及异常检查程序可以仅在满足预先设定的条件时执行。
在这种电梯装置中，电子安全控制器21可以检测电子安全控制器21自身的异常，在检测到电子安全控制器21自身的异常时，也仍输出使电梯转入安全状态用的指令信号，所以能够提高电梯的异常检测速度及应对异常的处理速度，并能够以比较简单的结构提高安全系统的可靠性。
并且，电子安全控制器21也可以检测各种传感器的异常，在检测到传感器的异常时，也仍输出使电梯转入安全状态的指令信号，所以能够进一步提高安全系统的可靠性。
另外，电子安全控制器21包括第1和第2微处理器31、32，第1和第2微处理器31、32比较彼此之间的运算处理结果，从而可以确认第1和第2微处理器31、32自身的完好性，所以能够进一步提高安全系统的可靠性。
以下，说明电子安全控制器21的结构和动作的具体示例。
《时钟异常检测》图6是表示图1所示电子安全控制器21的主要部分的方框图。电子安全控制器21为了充分确保可靠性，采用双重系统的电路结构。
在电子安全控制器21中使用作为第1和第2微处理器的第1和第2CPU(处理部)41、42。第1 CPU41向运转控制部12和第1输出接口(输出部)43输出控制信号。第2 CPU42向运转控制部12和第2输出接口(输出部)44输出控制信号。
运转控制部12在从第1和第2 CPU41、42接收了相同的控制信号时，按照该控制信号得到控制。第1和第2输出接口43、44根据来自第1和第2 CPU41、42的控制信号，输出使安全电路部13处于开路状态的信号。
在第1和第2 CPU 41、42连接着用于进行两者之间的数据授受的两端口RAM45。在第1 CPU41连接着第1监视定时器46。在第2 CPU42连接着第2监视定时器47。
第1 CPU41被输入来自调速机编码器18(图1)的两系统的信号。此外，第2 CPU42也被输入来自调速机编码器18的两系统的信号。来自调速机编码器18的信号在CPU41、42中进行运算处理，从而求出轿厢3(图1)的速度和位置。即，调速机编码器18发挥速度传感器兼位置传感器的作用。并且，CPU41、42也被输入来自图3所示的各种传感器的信号。
第1 CPU41被输入来自第1时钟48的第1时钟信号。第2 CPU42被输入来自第2时钟49的第2时钟信号。第1和第2时钟信号的频率被设定得彼此相同。
第1和第2时钟信号还输入给时钟异常检测电路50。时钟异常检测电路50对第1和第2时钟信号的脉冲数进行计数，根据脉冲数差异检测第1和第2时钟信号的异常。
第1和第2 CPU41、42把用于检查时钟异常检测电路50的完好性的测试模式信号51、52发送给时钟异常检测电路50。此外，第1和第2CPU41、42把用于开始时钟异常检测的检测开始指令信号53、54发送给时钟异常检测电路50。
并且，时钟异常检测电路50在检测到时钟异常时，向第1和第2CPU41、42输入错误信号55、56。
图7是表示图6所示时钟异常检测电路50的具体结构的结构图。在时钟异常检测电路50中设有对第1时钟信号的脉冲边缘进行计数的第1监视计数器57和第1被监视计数器58；对第2时钟信号的脉冲边缘进行计数的第2监视计数器59和第2被监视计数器60。
第1时钟信号通过第1选择器61输入给第1被监视计数器58。在第1选择器61中可以进行正常电路和测试电路之间的切换。在正常电路中，第1时钟信号直接输入给第1被监视计数器58。在测试电路中，第1时钟信号在第1倍增电路62中倍增后输入给第1被监视计数器58。向测试电路的切换，通过向第1选择器61输入来自第1 CPU41的测试模式信号51来进行。
同样，第2时钟信号通过第2选择器63输入给第2被监视计数器60。在第2选择器63中可以进行正常电路和测试电路之间的切换。在正常电路中，第2时钟信号直接输入给第2被监视计数器60。在测试电路中，第2时钟信号在第2倍增电路64中倍增后输入给第2被监视计数器60。向测试电路的切换，通过向第2选择器63输入来自第2 CPU42的测试模式信号52来进行。
来自第1、第2被监视计数器58、60的波进位输出信号(ripple carrysignal)、即错误信号55、56，在第1和第2锁定部65、66被锁定。第1和第2锁定部65、66接收来自第1和第2 CPU41、42的锁定解除信号67、68，解除锁定状态。
来自时钟异常检测电路50的错误信号被输入给CPU41、42后，从CPU41、42向输出接口43、44输出异常检测信号。并且，从输出接口43、44向安全电路部13输出动作信号，利用安全电路部13使电梯转入安全状态。
另外，电子安全控制器21包括含有图6所示的CPU41、42和ROM的计算机(微计算机)。
下面说明动作。从调速机编码器18输出的两系统的脉冲信号输入CPU41、42。并且，分别通过CPU41、42对脉冲信号进行运算处理，求出轿厢3的位置和速度。所求出的位置和速度通过两端口RAM45进行相互比较，然后与用于判定异常的设定值(基准值)、例如ETS监视过速比较。
并且，在检测到过速和位置异常等异常时，根据异常内容，向运转控制部12或安全电路部13输出信号，电梯转入安全状态。所说转入安全状态是指，例如使轿厢3紧急停止，或者使轿厢3停靠在最近的楼层。并且，在转入安全状态后，根据需要进一步控制运转控制部12。
另外，如果CPU41、42的运算结果彼此不同，则判断为CPU41、42的任何一方系统都存在异常，仍然使电梯转入安全状态。
并且，如果所求出的位置和速度没有异常，则生成允许轿厢3行进的控制信号，输出给运转控制部12。
在CPU41、42中，通过对在一定时间内输入的脉冲信号进行计数，执行求出轿厢速度的运算。并且，掌管该“一定时间”的定时器，利用来自时钟48、49的时钟信号生成。因此，时钟信号的频率非常重要。
特别是关于频率升高的异常，需要注意监视轿厢3的过速。例如，虽然计划每隔10ms对脉冲信号进行计数，但由于某种故障，时钟信号的周期成为一半时，实际上每隔5ms计数。该情况时，通过CPU41、42求出的轿厢速度被错误认为是实际轿厢速度的一半，处于不能检测过速的状态。
对此，在该示例中，来自第1和第2时钟48、49的时钟信号被输入时钟异常检测电路50，监视时钟信号有无异常。
下面，具体说明时钟异常监视动作。首先，在重新设定电源时，在各个装置稳定后马上通过计数器57～60开始时钟脉冲的计数。因此，虽然错误信号55、56被锁定，但在CPU41、42中，该错误信号55、56最初被忽略。
然后，检测开始指令信号53、54被赋予了高电平信号，然后，锁定解除信号67、68被从CPU41、42发送给时钟异常检测电路50。
在检测开始指令信号53、54变为高电平后，根据来自监视计数器57、59的最初的波进位输出信号，各个计数器57～60的预设数据值被赋值给各个计数器57～60，开始向上计数。预设数据值是开始利用计数器57～60计数时的计数值。
作为被监视计数器58、60的预设数据值，例如预先设定0。并且，作为监视计数器57、59的预设数据值，预先设定用于判定时钟异常的阈值。监视计数器57、59的预设数据值是比被监视计数器58、60的预设数据值大的数值，此处设定4。
监视计数器57、59在比被监视计数器58、60短的范围内重复计数脉冲数，每当进位时重新设定被监视计数器57、59。虽然被监视计数器58、60也想要重复计数脉冲数，但在正常时，在被监视计数器58、60进位之前，监视计数器57、59进行进位，被监视计数器58、60被重新设定。
这种预设数据值通过利用例如FPGA(field programmable gatearray)构成时钟异常检测电路50，可以任意设定。
在两个时钟48、49正常时，被监视计数器58、60在进位而输出波进位输出信号、即错误信号55、56之前的第4个计数值时，通过监视计数器57、59的波进位输出信号被重新设定，所以不会输出错误信号55、56。
对此，例如在产生第1时钟48的频率升高的异常时，在第2监视计数器59的波进位输出信号将第1被监视计数器58重新设定之前，输出第1被监视计数器58的波进位输出信号即错误信号55，通过锁定部65锁定错误信号55。
并且，在产生第2时钟49的频率升高的异常时，同样从第2被监视计数器60输出错误信号56，通过锁定部66锁定错误信号56。
另外，在时钟48、49停止时，虽然也可以利用时钟异常检测电路50来进行检测，但由于监视定时器46、47有效，所以被强制重新设定，因此不会形成危险状态。
通过形成这种结构，不需要使用检测时钟异常用的专用时钟，直接使用双重系统的CPU41、42中所使用的时钟48、49，即可检测时钟异常，可以有效利用硬件资源。因此，可以利用简单的电路结构提高可靠性。
并且，由于可以任意设定计数器57～60的预设数据值，所以也可以检测临界频率的偏移。由此，可以缩短驱动、控制安全电路部13之前的动作延迟时间，可以进一步实现安全性较高的设计。
另外，由于组合使用了4个计数器57～60和监视定时器46、47，所以能够容易确定频率升高的异常产生于时钟48、49中的哪一方。
下面，说明时钟异常检测电路50的完好性的检查功能。例如，在从第1 CPU41向时钟异常检测电路50发送测试模式信号51时，通过选择器61将电路切换为测试电路，第1时钟信号通过第1倍增电路62倍增。即，输入第1被监视计数器58的第1时钟信号故意处于异常状态。因此，如果时钟异常检测电路50正常，则从第1被监视计数器58输出错误信号55。
因此，在CPU41中，通过对应于测试模式信号51的发送而接收错误信号55，可以确认时钟异常检测电路50的完好性。同样，也可以检查第2时钟49侧的完好性。
通过附加这种时钟异常检测电路50的完好性检查功能，例如可以检测时钟异常检测电路50的最终输出管脚固定在正常侧等故障，可以进一步提高可靠性。
另外，在该示例中表示使用了两个CPU的双重系统的电路结构，但也可以形成为使用了3个以上的CPU的多重系统的电路结构。
这样，该示例的电子安全控制器21具有利用双重系统进行有关电梯控制的运算的第1和第2处理部；向第1处理部发送第1时钟信号的第1时钟；向第2处理部发送第2时钟信号的第2时钟；以及时钟异常检测电路，其被输入第1和第2时钟信号，检测第1和第2时钟信号的异常，时钟异常检测电路计数第1和第2时钟信号的脉冲数，根据脉冲数的差异检测第1和第2时钟信号的异常。
并且，时钟异常检测电路具有计数第1和第2时钟信号中的任一方的脉冲数的被监视计数器、和计数第1和第2时钟信号中的另一方的脉冲数的监视计数器，利用被监视计数器开始计数时的计数值即预设数据值，被设定得大于利用监视计数器开始计数时的计数值即预设数据值，在监视计数器进位时，被监视计数器的计数数值被重新设定，被监视计数器进位，从而检测出第1和第2时钟信号的异常。
另外，监视计数器包括计数第1时钟信号的脉冲数的第1监视计数器、和计数第2时钟信号的脉冲数的第2监视计数器，被监视计数器包括计数第1时钟信号的脉冲数的第1被监视计数器、和计数第2时钟信号的脉冲数的第2被监视计数器。
另外，监视计数器的预设数据值可以任意设定。此外，在测试模式时，通过将输入被监视计数器的时钟信号故意设为异常状态，可以确认时钟异常检测电路的完好性。另外，时钟异常检测电路具有使测试模式时输入被监视计数器的时钟信号倍增的倍增电路。
《堆栈(stack)区域的异常检测》下面，说明电子安全控制器21中使用的RAM内的堆栈区域的异常检测。图8是表示图1所示电子安全控制器21的RAM内的区域划分的说明图。RAM包括存储CPU的运算所需要的信息的堆栈区域。在堆栈区域中存储有例如子程序调用的返回地址、定时器中断的返回地址、和子程序调用的变量等。
并且，在ROM中存储有用于监视RAM的堆栈区域内预先设定的监视区域的状态的程序。即，堆栈区域监视部具有CPU和ROM。
在该示例中，C000H～FFFFH的区域被设定为堆栈区域。并且，堆栈区域内的D000H～D0101H的区域被设定为监视区域。
堆栈区域的使用方法由微计算机确定，但是一般采取利用微计算机具有的堆栈指针向地址较小的一方堆积数据的方法。在图8中，把堆栈指针的初始值设为FFFFH，按照FFFFH→FFFEH→FFFDH→…→C001H→C000H的方式使用。因此，监视区域D000H～D010H是使用了堆栈区域的75％时使用的区域。
监视区域的位置优选使用了堆栈区域的50％以上时使用的区域。特别优选使用了堆栈区域的60％以上时使用的区域。并且，监视区域的位置优选使用了堆栈区域的90％以下时使用的区域。特别优选使用了堆栈区域的80％以下时使用的区域。
堆栈区域被预先设定为0，堆栈区域监视部监视整个监视区域是否为0。并且，在监视区域中含有0以外的数据时，判断为产生了堆栈溢出(stack over)。
图9是表示图1所示电子安全控制器21的初始动作的流程图。在电梯起动时，执行电子安全控制器21的初始设定。在已开始初始设定的时刻，所有中断运算被禁止(步骤S1)。然后，进行微计算机的初始设定(步骤S2)，RAM区域被设为0(步骤S3)。然后，处于可以进行中断运算的状态(步骤S4)，并处于等待中断的状态(步骤S5)。中断运算按照每个运算周期时间来重复执行。
图10是表示图1所示电子安全控制器21的中断运算流程的第1例的流程图。在中断运算开始后，首先确认监视区域的状态(步骤S31)。即，确认监视区域D000H～D010H的状态是否为0000H。
此处，在监视状态不是0000H时，判断为RAM产生堆栈溢出或陷入堆栈溢出的可能性较大。即，监视区域的值为0以外时，中断运算的处理时间没有富余，中断运算不会在运算周期时间内结束，判断为产生堆栈溢出。这样，在检测到堆栈溢出时，执行使轿厢3紧急停止的运算(步骤S32)，向安全电路部13输出紧急停止指令。并且，在检测到堆栈溢出时，向电梯监视室发送异常检测信号。
如果监视区域没有异常，则进行输入运算所需要的信号的输入运算(步骤S33)，并执行以下运算求出轿厢3的当前位置和从当前位置到末端楼层的距离的轿厢位置运算(步骤S34)，根据轿厢3的移动量求出轿厢3的速度的轿厢速度运算(步骤S35)，求出对应距末端楼层的距离的异常速度的判断基准值(例如图2)的判断基准值运算(步骤S36)。
然后，执行根据轿厢速度和判断基准值检测轿厢速度的异常用的安全监视运算(步骤S37)。在执行安全监视运算或紧急停止运算后，执行监视显示电梯的状态的监视运算(步骤S38)。最后，执行输出允许轿厢3行进或使轿厢3紧急停止所需要的指令信号用的输出运算(步骤S39)。
在这种电子安全控制器21中，监视区域的状态被堆栈区域监视部监视，在判断为监视区域有异常时，轿厢3被紧急停止，所以防止由于RAM的堆栈溢出而产生程序失控。由此，将设备损坏防患于未然。即，可以更加可靠地执行与计算机的运转控制相关的运算，可以提高可靠性。
此处，堆栈溢出(堆栈的堆积)的异常的原因难以查明，故障解除需要时间。堆栈溢出有时也因微计算机或程序的异常而产生，但如果它们没有异常，则堆栈溢出的最主要原因被认为是中断运算未能在运算周期时间内结束(运算时间超出)。
运算时间超出通常不会产生，但是在例如呼叫按钮被多次操作、呼叫删除运算需要较长时间的情况下等，会因运算时间一时增加而产生。并且，在重复软件的改进和改善等过程中，运算时间逐渐增加，被认为也会产生运算时间超出。
在产生运算时间超出时，有可能产生堆栈溢出，使得堆栈区域被不正当使用，来自定时器中断的返回地址被破坏。在返回地址被破坏时，有可能产生程序失控，致使RAM数据破坏，不能进行电梯的控制。
对此，根据该示例的电子安全控制器21，可以更早期地检测堆栈溢出，可以将程序失控和不能控制情况的产生防患于未然，可靠性提高。
并且，堆栈区域监视部每隔预先设定的运算周期确认监视区域的状态，所以能够始终监视有无堆栈溢出，可以进一步提高可靠性。
另外，在判断为监视区域有异常时，使轿厢3紧急停止，所以能够防止引发更大的故障。
另外，在上述示例中，在检测到监视区域的异常时，使轿厢3紧急停止，但也可以向运转控制部12输出停靠最近楼层的指令，使轿厢3停靠在最近楼层，将轿厢3内的乘客顺利放置在乘梯口上。
并且，在检测到监视区域的异常时，也可以输出用于使电梯转入安全状态的信号，并且记录此时的电子安全控制器21的状态作为履历(履历运算)。履历例如被记录在RAM的堆栈区域之外的区域。由此，可以将堆栈溢出的产生防患于未然，有助于查明堆栈溢出的原因。并且，能够缩短故障解除时间。
这样，该示例的电子安全控制器21具有RAM，其设定有存储用于监视电梯的安全的运算所需要的信息的堆栈区域；堆栈区域监视部，其监视堆栈区域内预先设定的监视区域的状态，根据通过堆栈区域监视部检测的监视区域的状态，控制电梯的运转。
并且，堆栈区域监视部每隔规定的运算周期确认监视区域的状态。另外，监视区域的状态确认作为监视电梯的安全用的中断运算处理的一部分执行。
《运算处理执行步骤的异常检测》下面，说明电子安全控制器21的运算处理的执行步骤的异常检测方法。图11是表示图1所示电子安全控制器21的中断运算流程的第2例的流程图。
在中断运算开始后，首先确认写入RAM的处理信息的类型(步骤S41)。此处，作为处理信息，使用对运算处理的每个任务(功能电位)预先设定的数值(识别值)。处理信息被写入对RAM内的预先确定的区域所设定的表中。在该示例中，对7个运算处理分配1～7的识别值，识别值被写入对应的TBL
～[6]中。TBL[7]～[9]不存在对应的运算处理，所以仍保持为0。
如果处理信息的类型正常，则TBL
～[9]和表中的存储指针被初始化为0(步骤S42)。然后，执行以下运算输入运算所需要的信号的输入运算(步骤S43)，求出轿厢的当前位置和从当前位置到末端楼层的距离的轿厢位置运算(步骤S44)，根据轿厢的移动量求出轿厢的速度的轿厢速度运算(步骤S45)，求出对应距末端楼层的距离的异常速度的判断基准值(例如图2)的判断基准值运算(步骤S46)。
然后，执行根据轿厢速度和判断基准值检测轿厢速度的异常用的安全监视运算(步骤S47)。在执行安全监视运算或紧急停止运算后，执行用于监视显示电梯的状态的监视运算(步骤S48)。最后，执行根据安全监视运算的结果，用于输出允许轿厢行进或使轿厢紧急停止所需要的指令信号的输出运算(步骤S49)。
并且，在执行各种运算后，向对应的表中写入识别值(步骤S50～56)。即，运算处理和识别值的写入交替执行。
具体讲，在执行第一个运算即输入运算后，TBL[P]被写入1，存储指针P被加1(步骤S15)。然后，在执行轿厢位置运算后，TBL[P]被写入2，存储指针P被加1(步骤S16)。依次执行这种处理，在执行了最后的运算即输出运算后，TBL[6]被写入7。
这样写入的识别值的类型，在下一次中断运算开始时被确认(步骤S41)。即，通过确认识别值的类型，判断运算处理的执行步骤是否正常。
在检测到运算处理的执行步骤异常时，执行使轿厢紧急停止的紧急停止运算(步骤S57)。并且，在检测到运算处理的执行步骤异常时，向电梯监视室发送异常检测信号。在执行紧急停止运算后，执行监视运算(步骤S58)，执行输出使轿厢紧急停止所需要的指令信号的输出运算(步骤S59)，结束中断运算处理。
在这种电子安全控制器21中，可以迅速地检测运算处理的执行步骤的异常，由此能够更加可靠地执行与通过计算机进行的运转控制相关的运算，可以提高可靠性。并且，也能够检测由于程序异常而自己循环的异常。即，本发明还可以适用于运转控制装置及安全装置。
此处，运算处理的执行步骤的异常难以查明原因，故障解除需要时间。运算处理的执行步骤的异常有时也因微计算机或程序的异常而产生，但如果它们没有异常，则最主要原因被认为是中断运算未能在运算周期时间内结束(运算时间超出)。
运算时间超出通常不会产生，但是在例如呼叫按钮被多次操作、呼叫删除运算需要较长时间的情况下等，会因运算时间一时增加而产生。并且，在重复进行软件的改进和改善等过程中，运算时间逐渐增加，被认为也会产生运算时间超出。
对此，根据该电子安全控制器21，可以更早期地检测运算处理的执行步骤的异常，可以将二次故障的产生防患于未然，可靠性提高。
并且，电子安全控制器21每隔预先设定的运算周期确认处理信息的类型，所以能够始终监视有无异常，可以进一步提高可靠性。
另外，在判断为运算处理的执行步骤有异常时，使轿厢紧急停止，所以能够防止引发更大的故障。
另外，在上述示例中，在检测到运算处理的执行步骤有异常时，使轿厢3紧急停止，但也可以向运转控制部12输出停靠最近楼层的指令，使轿厢3停靠在最近楼层，将轿厢3内的乘客顺利放置在乘梯口上。
并且，在检测到运算处理的执行步骤有异常时，也可以输出使电梯转入安全状态的信号，并且记录此时的电子安全控制器21的状态作为履历(履历运算)。
另外，在上述示例中，对所有的运算处理分配了处理信息，但未必一定全部分配。即，也可以只对想要监视执行步骤的运算处理赋予处理信息。
这样，该示例的电子安全控制器21具有RAM和控制器主体，控制器主体具有存储有与安全监视相关的程序的程序存储部、和根据程序执行多个运算处理的处理部，控制器主体在执行运算处理时，向RAM写入对应各个运算处理的处理信息，并且根据写入RAM的处理信息的类型监视运算处理的执行步骤是否正常。
并且，处理信息是对每个运算处理预先设定的数值。另外，控制器主体在每个规定的运算周期确认处理信息的类型。另外，处理信息的写入和处理信息的类型确认，作为用于监视电梯的安全的中断运算处理的一部分而执行。
《电源电压的异常检测》下面，说明电子安全控制器21的电源电压的异常检测方法。图12是表示图1所示电子安全控制器21的主要部分的方框图。在该示例中，为了提高可靠性，两系统的指令信号输出给电梯控制盘11。因此，采用双重系统的电路结构，使用第1和第2 CPU(处理部)41、42。
第1 CPU41通过第1输出接口43向电梯控制盘11输出指令信号。第2 CPU42通过第2输出接口44向电梯控制盘11输出指令信号。电梯控制盘11从第1和第2输出接口43、44接收指令信号后，使电梯转入安全状态。
在第1和第2 CPU41、42连接着用于进行两者之间的数据授受的两端口RAM45。第1 CPU41被输入来自第1传感器的信号。第2 CPU42被输入来自第2传感器的信号。
来自第1和第2传感器的信号在CPU41、42中进行运算处理，由此求出轿厢3的速度和位置。作为第1和第2传感器，例如可以列举调速机编码器18。
在CPU41、42中的运算处理的结果数据，通过两端口RAM45被CPU41、42互相授受。并且，在CPU41、42中进行与彼此的结果数据之间的比较，在运算结果中发现明显误差或确认到过速(速度超过)的情况下，通过输出接口43、44向电梯控制盘11输出指令信号，电梯转入安全状态。
并且，在该电梯控制装置设有监视CPU41、42的电源电压的+5V电源电压监视电路71和+3.3V电源电压监视电路72。电源电压监视电路71、72例如利用IC(集成电路)构成。
电源电压监视电路71、72监视是否向CPU41、42提供了稳定的电源电压。在产生了偏离CPU41、42的额定电压的电源电压异常时，根据来自电源电压监视电路71、72的信息，对CPU41、42强制施加重新设定，利用为了便于失效保护而设计的安全电路部13使轿厢3紧急停止。
从第1监视用电压输入电路73向+5V电源电压监视电路71输入监视用电压。从第2监视用电压输入电路74向+3.3V电源电压监视电路72输入监视用电压。
在电源电压监视电路71、72和CPU41、42连接着电压监视完好性检查功能电路75(以下简称为检查功能电路75)，用于监视电源电压监视电路71、72的完好性。检查功能电路75例如利用FPGA(fieldprogrammable gate array)等可编程的门IC构成。并且，检查功能电路75也可以利用ASIC、CPLD、PLD或门阵列等实现。
在检测到电源电压的异常时，从电源电压监视电路71、72向检查功能电路75输出电压异常检测信号81、82，从检查功能电路75向CPU41、42输出重新设定信号83、84。
并且，检查功能电路75被输入来自CPU41、42的控制信号85、86。从检查功能电路75输出监视用输入电压强制变更信号87、88，用于将电源电压监视电路71、72的电压输入管脚强制变更为低电压。
在输出监视用输入电压强制变更信号87、88后，通过监视用输入电压强制变更电路76、77，强制地使电源电压监视电路71、72的电压输入管脚降低为低电压。
并且，检查功能电路75连接第1 CPU41用的第1数据总线78、和第2 CPU42用的第2数据总线79。
另外，用于求出轿厢3的位置和速度的程序、用于判定电梯的异常的程序、及用于确认电源电压监视电路71、72的完好性的程序等，存储在与CPU41、42连接的存储部即ROM中。
图13是表示图12所示检查功能电路75的具体结构的一例的电路图。控制信号85、86包含选择信号89、90、输出许可信号91、92、和片选信号93、94。
选择信号89、90是选择检查哪个电源电压监视电路71、72的完好性的2比特信号。输出许可信号91、92是允许来自检查功能电路75的监视用输入电压强制变更信号87、88的输出，并且锁定根据选择信号89、90选择的内容的信号。即，输出许可信号91、92兼备锁定触发信号。
在检测到电源电压的异常时，利用检查功能电路75的电压异常信号锁定电路101，将电压异常检测信号81、82锁定。电压异常信号锁定电路101的锁定状态，通过输入作为控制信号85、86的一部分的锁定解除信号95、96而被解除。
选择信号89、90被输入第1和第2选择器102、103。第1和第2选择器102、103根据选择信号89、90，切换检查哪个电源电压监视电路71、72的完好性。由选择器102、103选择的内容，通过第1和第2选择内容锁定电路104、105被锁定。
在监视用输入电压强制变更信号87、88的输出的前级设有变更信号输出缓冲器106。
并且，在检查功能电路75设有第1 CPU41的多个数据总线输出缓冲器107、和第2 CPU42的多个数据总线输出缓冲器108。
此处，图14是表示第1和第2 CPU41、42读出图12所示检查功能电路75时的数据总线78、79的各比特的相关数据的意义的说明图。
下面，图15是表示图12所示第1 CPU41侧的电源电压监视完好性检查方法的流程图。电子安全控制器21在每个运算周期(例如5msec)，执行包括轿厢3的过速等电梯的异常监视用的运算处理的中断运算。并且，在执行中断运算的主程序时，判断是否实施电源电压监视电路71、72的完好性检查(步骤S11)。
完好性检查按照预先设定的定时实施。即，完好性检查在轿厢3的停止状态经过预先设定的时间间隔时实施。具体讲，在使用乘客较少的空闲时和夜间运转停止时等实施。
如果不实施完好性检查，则返回主程序。在实施完好性检查时，首先解除检查功能电路75内的错误信号即电压异常检测信号81、82的锁定状态。即，向检查功能电路75输出锁定解除信号95(步骤S12)。锁定解除信号95被输入电压异常信号锁定电路101，电压异常检测信号81、82的锁定状态被解除。
然后，在确认第1 CPU41的输出许可信号91成为高电平后(步骤S13)，通过两端口RAM45请求第2 CPU42使输出许可信号92也成为高电平(步骤S14)。
然后，向检查功能电路75输出选择进行哪个电源电压监视电路71、72的完好性检查的选择信号89，并锁定(步骤S15)。
然后，通过两端口RAM45请求第2 CPU42使输出许可信号92成为低电平(步骤S6)。在确认输出许可信号92成为低电平后，使输出许可信号91成为低电平(步骤S7)。由此，在检查功能电路75中，与输出许可信号91的下降沿同步，选择信号89通过选择内容锁定电路104被锁定。并且，从检查功能电路75向电源电压监视电路71输出监视用输入电压强制变更信号87。
其结果为，在电源电压监视电路71中检测到电压异常，电压异常检测信号81被输入检查功能电路75。并且，在检查功能电路75中，电压异常检测信号81通过电压异常信号锁定电路101被锁定。与此同时，CPU41、42被输入来自检查功能电路75的重新设定信号83、84(步骤S8)，从而CPU41、42被重新设定。
此时，在一次的完好性检查动作中检查的电源电压监视电路一定只是一个。然后，在实施其他电源电压监视电路的完好性检查时，在一个电源电压监视电路的检查结束后，实施其他电源电压监视电路的完好性检查。在向一个CPU提供多个电压不同的多个电源，并相应地设有多个电源电压监视电路的情况下，也在程序上逐个地实施各个电源电压监视电路的完好性检查。这样，按照程序实施多个电源电压监视电路的完好性检查，可以通过在程序(软件)上预先设定来实现。
图16是表示在图12所示的电梯控制装置中使CPU41、42重新设定时的动作的流程图。CPU41、42的重新设定原因当然不仅有基于完好性检查的理由，也有可能有真正的电源电压异常和其他理由。
在实施重新设定时，CPU41、42首先开始软件的初始化处理(步骤S19)。然后，在初始化处理中，读出检查功能电路75的数据(步骤S20)。并且，根据被锁定的内容确认重新设定前的状况，判断是否存在电源电压异常和电源电压监视电路71、72的故障(步骤S21)。即，判断该重新设定是由于完好性检查而进行的还是起因于真正的电源电压异常。
例如，如果未把输出许可信号91、92的输出设为低电平，但却显示出电压异常，则判断为产生了真正的电源电压异常。并且，在尽管把输出许可信号91、92的输出设为了低电平，但在检查功能电路75的数据中没有显示电压异常的情况下，判断为电源电压监视电路71、72或检查功能电路75自身的故障。在该状态下，如果输出了监视用输入电压强制变更信号87、88，则判断为电源电压监视电路71、72的故障，如果没有输出监视用输入电压强制变更信号87、88，则判断为检查功能电路75自身的故障。
如果检查功能电路75的数据读出的结果为没有检测到异常或故障，则允许转入主程序(步骤S22)。但是，此处虽然只叙述了有关电源电压的重新设定，但也可以通过其他故障检测和其他电路的完好性检查来实施重新设定，在该情况下，在确认全部没有异常和故障后，允许转入主程序。
并且，如果检查功能电路75的数据读出的结果发现某种异常和故障，则向电梯控制盘11输出指令信号(步骤S23)，使电梯转入安全状态。
在这种电子安全控制器21中，不仅电源电压的异常，对电源电压监视电路71、72的故障，也能够监视其完好性，所以能够进一步提高电源电压监视的可靠性。
并且，以往为了确保失效保护和安全性，各个电源电压监视电路有时也采用双重系统，但在上述的电子安全控制器21中没有这种必要，所以结构简单，也能够抑制成本的增加。而且，可靠性与把各个电源电压监视电路设计为双重系统时相同。
另外，由于形成为使用了两个CPU41、42的双重系统的电路结构，并通过两端口RAM45相互确认各个CPU41、42的完好性检查动作，所以也能够检测检查功能电路75或软件的故障。
这样，该示例的电子安全控制器21具有进行与电梯的安全监视相关的处理的处理部、和监视提供给处理部的电源电压的电源电压监视电路，还具有电压监视完好性检查功能电路，其根据来自处理部的控制信号，输出强制变更输入电源电压监视电路的电源电压用的监视用输入电压强制变更信号，并且被输入了来自电源电压监视电路的电压异常检测信号，电压监视完好性检查功能电路保持处理部和电源电压监视电路之间的信号的收发内容的至少一部分，处理部通过读出保持在电压监视完好性检查功能电路中的数据，进行电源电压监视电路的完好性检查。
并且，处理部包括第1和第2 CPU，第1和第2 CPU通过两端口RAM相互确认通过第1和第2 CPU进行的完好性检查动作。
另外，还具有监视用输入电压强制变更电路，其通过输入监视用输入电压强制变更信号，强制降低输入电源电压监视电路的电源电压。
另外，电源电压监视电路包括多个用于监视电压不同的多个电源电压的电源电压监视电路，从处理部输入电压监视完好性检查功能电路的控制信号中，包含用于选择进行多个电源电压监视电路中的哪个电路的完好性检查的选择信号。
并且，处理部可以按照程序逐个地实施各个电源电压监视电路的完好性检查。
另外，电压监视完好性检查功能电路利用可编程的门IC构成。
《ETS初始设定》下面，说明ETS电路部22的初始设定动作。如上所述，在ETS电路部22中与运转控制部12独立地检测轿厢3的位置。因此，例如在电梯起动时，进行ETS电路部22的初始设定动作(初始设定运转步骤)。并且，在由于某种原因使得运转控制部12中的轿厢3的位置信息和ETS电路部22中的轿厢3的位置信息之间产生偏差时，进行ETS电路部22的初始设定动作。在进行这种初始设定动作时，运转控制部12的运转模式被切换为初始设定运转模式。
图17是表示图1所示ETS电路部22的初始设定动作的步骤与运转控制部12及安全电路部13的动作的关系的说明图。在初始设定动作中，首先进行速度检测初始设定，然后进行位置检测初始设定。
在初始设定动作开始时，通过安全电路部13使驱动装置7处于紧急停止状态。即，驱动装置7的电机电源被切断，驱动装置7的制动部9处于制动状态。并且，从ETS电路部22向运转控制部12输出不能运转的指令。
在速度检测初始设定结束之前，安全电路部13为紧急停止状态，运转控制部12也保持不能运转状态。因此，不能进行基于ETS电路部22的监视。
在速度检测初始设定结束后，从电子安全控制器21向运转控制部12输出可以低速运转的许可信号。并且，安全电路部13的紧急停止状态被解除。在该状态下，ETS电路部22进行位置检测初始设定动作。
在位置检测初始设定动作中，轿厢3以小于缓冲器27、28的允许冲击速度的速度，从井道1的下部行进到上部。并且，在ETS电路部22中，设定来自调速机编码器18的信号与轿厢3在井道1内的位置的关系。
在初始设定动作结束后，从电子安全控制器21向运转控制部12输出可以高速(额定速度运转)运转的许可信号。并且，在ETS电路部22中可以进行高速监视。
下面，图18是说明图1所示电梯装置的初始设定运转模式下的轿厢3的动作的说明图。在初始设定运转模式下，在速度检测初始设定结束后，轿厢3移动到井道1下部的楼层写入开始位置。楼层写入开始位置是指轿厢3位于底层楼层位置PBOT下方而且在轿厢缓冲器27上方的位置。并且，在轿厢3位于楼层写入开始位置时，轿厢3(具体讲是设在轿厢3的基准传感器23～26的操作板)位于第4基准传感器26下方。
在井道1内设有多个终点开关(未图示)，用于通过运转控制部12检测底层楼层和顶层楼层的位置。轿厢3向楼层写入开始位置的移动由运转控制部12控制。
然后，使轿厢3从楼层写入开始位置上升，求出对应于来自调速机编码器18的信号的轿厢3的临时当前位置Pcurrent tmp。具体讲，把楼层写入开始位置设为0。
Pcurrent tmp←0并且，以后在每个运算周期(例如100msec)，临时当前位置被更新。
此处，在ETS电路部22设有计数调速机编码器18的编码器脉冲的增减计数器，把增减计数器的运算周期内移动量设为GC1时，第N次运算周期的临时当前位置Pcurrent tmp根据以下方法求出。
Pcurrent tmp N←Pcurrent tmp N-1+GC1具体讲，临时当前位置和运算周期内移动量作为编码器脉冲的脉冲数被求出。
这样，伴随轿厢3的上升，临时当前位置被更新，操作板进入基准传感器23～26的位置、和操作板从基准传感器23～26离开的位置，被写入设于ETS电路部22的存储部(存储器)的表中。
例如，假设在第N次的运算周期检测到进入第4基准传感器26时，进入位置Ptmp ETSD根据以下方法求出。
Ptmp ETSD←Pcurrent tmp N-1+GC1-GC2其中，GC2是进入第4基准传感器26后的增减计数器的移动量。
相对其他基准传感器23、24、25的进入位置同样也被写入表中。
并且，假设在第N次的运算周期检测到从基准传感器26离开时，离开位置Ptmp ETSU根据以下方法求出。
Ptmp ETSU←Pcurrent tmp N-1+GC1-GC3其中，GC3是从第4基准传感器26离开后的增减计数器的移动量。
从其他基准传感器23、24、25离开的位置同样也被写入表中。
这样，在所有进入位置和离开位置的写入结束后，轿厢3停止于顶层位置PTOP。
此处，对运转控制部12设定了把假想0点作为基准的底层位置PBOT和顶层位置PTOP的数据。并且，在轿厢3停止于顶层位置PTOP后，以假想0点为基准的底层位置PBOT和顶层位置PTOP的数据被从运转控制部12传送给电子安全控制器21。在电子安全控制器21中，作为临时当前位置被求出并写入表中的位置数据，根据从运转控制部12传送的信息被转换为以假想0点为基准的数据。由此，可以进行以假想0点为基准的当前位置Pcurrent的检测。
相对当前位置的修正量δ根据下述算式求出。
δ＝PTOP-Pcurrent tmp N因此，如果向被写入表中的位置数据加上修正量δ，则可以求出假想0点基准的位置数据。修正后的位置数据被写入电子安全控制器21的E2PROM中，以后使用该数据。
并且，在停止于顶层时进行以下处理，位置管理从临时当前位置变更为当前位置。
Pcurrent O←PTOPPcurrent N←Pcurrent N-1+GC1在该修正结束、位置管理转入当前位置管理后，从电子安全控制器21向运转控制部12输出可以高速运转的指令，允许进行高速自动运转、即正常运转模式。并且，在ETS电路部22中进行正常监视动作。在正常监视动作中，在每个运算周期，根据下述算式求出轿厢3距轿厢缓冲器27上面的距离L1、和对重4距对重缓冲器28上面的距离L2。
L1＝Pcurrent N-(PBOT-LKRB)L2＝(PTOP-LCRB)-Pcurrent N其中，LKRB表示从轿厢缓冲器27上面到底层位置PBOT的距离，LCRB表示从顶层位置PTOP到对重4冲击对重缓冲器28时的轿厢3的位置(图18中的CWT冲击位置)的距离。
在这种电梯装置中，在完成初始设定动作之前，使轿厢3以小于轿厢缓冲器27的允许冲击速度的速度行进，所以能够更加可靠地防止轿厢3以超过允许冲击速度的速度冲击轿厢缓冲器27，可以提高可靠性。
另外，在上述示例中，表示按照速度检测初始设定和位置检测初始设定这两个步骤进行初始设定动作的情况，但也可以按照3个以上的步骤进行初始设定动作，对每个步骤设定所允许的轿厢行进速度。
并且，初始设定动作不限于速度检测初始设定和位置检测初始设定。
这样，该示例的电梯装置具有电梯控制装置，其具有控制轿厢的运转的运转控制部、和检测轿厢的行进异常的监视部(电子安全控制器21)，在进行监视部的初始设定时，运转控制部根据初始设定步骤使轿厢以低于正常运转时的速度行进。
并且，监视部根据初始设定步骤，向运转控制部输出有关轿厢速度的许可信号。
另外，运转控制部选择性地切换多个运转模式，来控制轿厢的运转，这些运转模式包括正常运转模式、和使轿厢行进着进行监视部的初始设定的初始设定运转模式，运转控制部在初始设定运转模式下，根据初始设定步骤使轿厢以低于正常运转时的速度行进。
并且，该示例的电梯装置的控制方法包括初始设定运转步骤，使轿厢行进着进行检测轿厢的行进异常的监视部的初始设定，在初始设定运转步骤中，根据初始设定步骤使轿厢以低于正常运转时的速度行进。
《继电器触点的异常检测》下面，图19是表示图1所示电子安全控制器21的触点异常检测部的电路图。安全电路部13具有用于向制动部9提供电力的制动电源触点线圈111；用于向驱动装置7的电机部提供电力的电机电源触点线圈112；用于接通及切断施加给触点线圈111、112的电压的安全继电器主触点113；与安全继电器主触点113并联连接的旁路继电器主触点114。
制动电源触点线圈111、电机电源触点线圈112和安全继电器主触点113相对电源相互串联连接。安全继电器主触点113在正常运转时闭合。并且，例如在轿厢3的行进速度超过预先设定的速度时等，在电梯异常时，安全继电器主触点113开放。旁路继电器主触点114在正常运转时开放。
电子安全控制器21具有控制器主体15；使安全继电器主触点113动作的安全继电器线圈116；使旁路继电器主触点114动作的旁路继电器线圈117；与安全继电器主触点113机械地连动开闭的安全继电器监视触点118；与旁路继电器主触点114机械地连动开闭的旁路继电器监视触点119。
安全继电器线圈116、旁路继电器线圈117、安全继电器监视触点118和旁路继电器监视触点119，相对控制器主体115相互并联连接。
安全继电器主触点113和安全继电器监视触点118通过联接机构(未图示)机械地连接。因此，在触点113、118中任一方因熔接等不能动作时，另一方也不能动作。
旁路继电器主触点114和旁路继电器监视触点119通过联接机构(未图示)机械地连接。因此，在触点114、119中任一方因熔接等不能动作时，另一方也不能动作。
控制器主体115具有处理部120、存储部121、输入输出部122、安全继电器监视触点接收电路123、旁路继电器监视触点接收电路124、安全继电器驱动电路125和旁路继电器驱动电路126。
作为处理部120，例如使用CPU。作为存储部121，例如使用RAM、ROM和硬盘装置等。在存储部121中存储有例如判断电梯异常用的数据、进行安全继电器主触点113的动作试验用的程序等。
处理部120通过输入输出部122与运转控制部12和各种传感器进行信号的收发。
安全继电器监视触点接收电路123与安全继电器监视触点118串联连接，检测安全继电器监视触点118的开闭状态。旁路继电器监视触点接收电路124与旁路继电器监视触点119串联连接，检测旁路继电器监视触点119的开闭状态。
安全继电器驱动电路125与安全继电器线圈116串联连接，切换安全继电器线圈116的励磁和不励磁。旁路继电器驱动电路126与旁路继电器线圈117串联连接，切换旁路继电器线圈117的励磁和不励磁。
安全继电器线圈116的励磁和不励磁的切换，通过从处理部120向安全继电器驱动电路125输出安全继电器指令信号来进行。并且，旁路继电器线圈117的励磁和不励磁的切换，通过从处理部120向旁路继电器驱动电路126输出旁路指令信号来进行。
接收电路123、124和驱动电路125、126相对处理部120相互并联连接。
下面说明动作。在电梯运转中，根据来自各种传感器的信息，通过控制器主体115监视电梯有无异常。在通过处理部120检测到电梯的异常时，通过安全继电器驱动电路125停止安全继电器线圈116的驱动。
由此，安全继电器主触点113开放，对于触点线圈111、112的通电被切断。其结果为，通过制动部9制动驱动绳轮8的旋转，并且切断对电机部的通电，轿厢3紧急停止。
下面，说明安全继电器主触点113的动作试验方法。图20是用于说明图19所示安全继电器主触点113的动作试验方法的流程图。在该实施方式中，在正常运转时每当轿厢3停止于停止楼层时进行动作试验。因此，在正常运转时，处理部120根据来自各种传感器的信息监视轿厢3的行进速度是否为0(停止检测步骤S61)。
在轿厢3的速度为0并处于安全状态时，通过旁路继电器驱动电路126将旁路继电器线圈117励磁，然后等待预先设定的时间，此处为等待100ms(步骤S62)。并且，通过旁路继电器监视触点接收电路124确认旁路继电器监视触点119是否已闭合(步骤S63)。
如果旁路继电器监视触点119没有闭合，则意味着旁路继电器主触点114也没有闭合，所以处理部120判断为旁路继电器故障，从控制器主体115向运转控制部12输出异常检测信号(步骤S64)。
在确认旁路继电器监视触点119正常闭合后，通过安全继电器驱动电路125将安全继电器线圈116励磁，然后等待预先设定的时间，此处为等待100ms(试验指令步骤S65)。并且，通过安全继电器监视触点接收电路123确认安全继电器监视触点118是否已开放(异常检测步骤S66)。
如果安全继电器监视触点118没有开放，则意味着由于熔接等原因，安全继电器主触点113也没有开放，所以处理部120判断为安全继电器故障，从控制器主体115向运转控制部12输出异常检测信号(步骤S64)。
在确认安全继电器监视触点118正常开放后，此次使安全继电器线圈116处于不励磁状态，然后等待预先设定的时间，此处为等待100ms(步骤S67)。并且，通过安全继电器监视触点接收电路123确认安全继电器监视触点118是否已闭合(步骤S68)。
如果安全继电器监视触点118没有闭合，则由处理部120判断为安全继电器故障，从控制器主体115向运转控制部12输出异常检测信号(步骤S64)。
如果确认安全继电器监视触点118正常闭合，则旁路继电器线圈117处于不励磁状态，然后等待预先设定的时间，此处为等待100ms(步骤S69)。并且，通过旁路继电器监视触点接收电路124确认旁路继电器监视触点119是否已开放(步骤S70)。
如果旁路继电器监视触点119没有开放，则由处理部120判断为旁路继电器故障，从控制器主体115向运转控制部12输出异常检测信号(步骤S64)。
这样，在安全继电器主触点113和旁路继电器主触点114的开闭动作试验结束后，等待直到轿厢3的行进速度达到预先设定的设定值以上(步骤S71)，然后通过ETS电路部22监视行进速度直到轿厢3停止。并且，在每当轿厢3停止时，实施上述的动作试验，确认安全电路部13的完好性。
在这种电梯安全装置中，利用在正常运转时轿厢停止的定时，进行安全继电器主触点113的动作试验，所以不会给正常运转带来妨碍，可以检测安全继电器主触点113的异常，可以提高可靠性。
并且，动作试验是在每次轿厢停止时进行的，所以能够以充足的频次确认安全继电器主触点113的动作，可以进一步提高可靠性。
另外，在进行安全继电器主触点113的动作试验时，将旁路继电器主触点114闭合，所以能够防止在动作试验中对安全电路部13的通电被切断，可以在保持安全电路部13的状态下实施动作试验。
另外，由于也确认安全继电器主触点113和旁路继电器主触点114是否已正常恢复原状，所以能够进一步提高可靠性。
另外，在上述示例中，表示在安全继电器主触点113开放时制动部9进行制动动作的情况，但是也可以反之，在安全继电器主触点闭合时制动部进行制动动作，该情况时也能够实施安全继电器主触点的动作试验。
并且，在上述示例中，表示使设于驱动装置7的制动部9动作的安全继电器主触点，但是，例如也可以适用于使把持主绳索并制动轿厢的绳索制动器、或安装在轿厢或对重上的紧急停止装置动作的安全继电器主触点。
另外，在上述示例中，在每当轿厢3停止时进行动作试验，但动作试验的定时不限于此。例如，也可以对检测电路主体设定计数轿厢的停止次数的计数器，在针对每个预先设定的停止次数实施动作试验。并且，也可以对检测电路主体设置定时器，在经过预先设定的时间后轿厢第一次停止时实施动作试验。还可以只在开始电梯的正常运转时(起动时)实施动作试验。并且，也可以只在停止于预先设定的楼层时实施动作试验。
这样，该示例的电子安全控制器21在正常运转时轿厢停止时，产生用于使安全继电器主触点向制动部进行制动动作的方向动作的安全继电器指令信号，并且根据安全继电器指令信号检测安全继电器主触点是否已动作。
并且，电子安全控制器21设有与安全继电器主触点机械地连动开闭的安全继电器监视触点，电子安全控制器21根据安全继电器监视触点的状态检测安全继电器主触点的状态。
另外，安全继电器主触点在正常运转时闭合，而且在电梯异常时开放，相对安全继电器主触点并联连接的、在正常运转时开放的旁路继电器主触点设在安全电路中，电子安全控制器21在产生安全继电器指令信号时，产生使旁路继电器主触点在此之前闭合的旁路指令信号。
另外，在电子安全控制器21中设有与旁路继电器主触点机械地连动开闭的旁路继电器监视触点，电子安全控制器21根据旁路继电器监视触点的状态检测旁路继电器主触点的状态。
并且，电子安全控制器21根据旁路指令信号检测旁路继电器主触点是否已动作。
另外，电子安全控制器21在检测到安全继电器主触点的异常时，向运转控制部输出异常检测信号。
《动作履历的记录》图21是表示向图1所示电子安全控制器21连接履历信息记录部和完好性诊断部时的状态的方框图。在电子安全控制器21连接着记录有与电子安全控制器21的判定处理相关的信息的履历(处理过程)的履历信息记录部131。作为履历信息记录部131，使用即使电梯控制装置的电源被切断时仍持续保持信息的非易失性存储器。作为这种存储器，例如可以列举闪存和硬盘装置等。
并且，在电子安全控制器21和履历信息记录部131连接着自动诊断电子安全控制器21的完好性的完好性诊断部132。完好性诊断部132也可以诊断各种传感器和安全电路部13等整个系统的完好性。完好性诊断部132的诊断结果记录在履历信息记录部131中。
图22是表示在图21所示的履历信息记录部131中存储的信息的一例的说明图。作为履历信息，记录有时间、轿厢位置、轿厢速度、根据轿厢位置求出的设定值(阈值)、判定结果、和内部变量等分析数据。
在履历信息记录部131中，按照对应的时刻区分存储轿厢位置、轿厢速度、设定值、判定结果和分析数据等的数据组合，生成图22所示的数据表。
图23是用于说明图21所示电子安全控制器21的动作的流程图。首先，当前时刻的数据被输出给履历信息记录部131(步骤S81)。然后，检测轿厢3的位置(步骤S82)。所检测的轿厢位置的数据被输出给履历信息记录部131(步骤S83)。然后，检测轿厢3的速度(步骤S84)。所检测的轿厢速度的数据被输出给履历信息记录部131(步骤S85)。
然后，计算对应轿厢位置的设定值(步骤S86)。所设定的设定值数据被输出给履历信息记录部131(步骤S87)。然后，比较检测速度v和设定值f(x)(步骤S88)，如果检测速度v小于设定值f(x)，则该判定结果为“没有异常”(Good)，并输出给履历信息记录部131(步骤S89)。如果轿厢速度有异常，则按照每个运算周期重复上述动作。
如果比较判定的结果为检测速度v是设定值f(x)以上，则向安全电路部13输出停止指令信号(步骤S90)。并且该判定结果为“有异常”(Bad)，并输出给履历信息记录部131(步骤S91)。
在履历信息记录部131中依次记录从电子安全控制器21发送的数据。
根据这种电梯装置，在根据来自电子安全控制器21的指令使轿厢3紧急停止时，通过确认记录在履历信息记录部131中的履历，可以确认电子安全控制器21的完好性。例如，在尽管判定结果为“没有异常”但轿厢3紧急停止的情况下，可以判断为电梯控制盘11侧出现故障。
因此，可以有效判断轿厢3紧急停止时的原因。从而可以实现恢复作业的效率化。
并且，在定期维修作业中，实际输入所有条件的检查信号，确认设定值的计算结果和判定结果是否正确，但也可以取而代之，通过确认履历信息获得一部分检查结果，可以使维修作业变简单。只确认记录在履历信息记录部131中的设定值的计算结果和比较判定结果，即可将一部分定期维修视为已检查，可以减少检查项目。
另外，在电子安全控制器21中设定的设定值，考虑到由于恶作剧造成的轿厢振动等设定得具有富余。使具有何种程度的富余，可以根据每个电梯进行调整。通过分析记录在履历信息记录部131中的判定结果的数据，可以确认在实际运行状况中是否需要某种程度的富余，可以把富余量设为最小限度。由此，使轿厢速度高速化，可以提高运行效率。并且，可以使富余量的调整作业容易进行。即，通过分析正常时的履历信息，可以减少调整作业的作业项目。
下面，完好性诊断部132的诊断内容的具体示例如下。
1.传感器的故障诊断·相对时间的位置状态的检查(连续性、变化量、有无噪声等)·相对时间的速度状态的检查(连续性、变化量、有无噪声等)·传感器的故障检查2.速度监视部的动作诊断·动作定时(动作间隔)的检查(根据时间t1、t2)·相对轿厢位置的设定值的计算结果的检查·检测速度和设定值的比较判定结果的检查·CPU、ROM、RAM等电子元件的故障诊断3.速度监视部的输出值的诊断·输出值的状态检查(有无噪声等)·对于与判定结果对应的安全电路输出的检查4.紧急停止装置的自己诊断功能的动作检查·自己诊断的动作检查(定时、诊断项目)·异常检测的履历检查5.有无轿厢紧急停止动作及动作时的状态诊断
·基于自己诊断的紧急停止装置的故障检测的检查(故障检测部位、故障原因的检查)·错误输出的检查(输出和逻辑计算的匹配性检查)·动作之前的位置和速度的状态检查(导致异常速度的状态检查、有无恶作剧等的检查)并且，通过追加统计上述的诊断结果的履历信息的处理，并在履历信息记录部131中记录统计处理结果，可以减少履历信息的确认作业。需要记录的统计处理结果的具体示例如下。
·动作定时良与否·基于传感器输入的履历的输入功能的完好性良与否·逻辑计算的完好性良与否·输出功能良与否·自己诊断动作和结果良与否·有无装置异常在这种电梯装置中，可以通过履历信息记录部131确认系统的完好性的诊断结果，所以在轿厢3因电子元件故障的原因而紧急停止时，能够有效确定成为原因的电子元件。
并且，通过确认记录在履历信息记录部131中的诊断结果及其统计处理结果，可以减少定期维修的检查项目。作为定期维修时确认的事项可以列举如下。
·根据所记录的轿厢位置和轿厢速度，检查动作的完好性的已确认区域(与x、v相关的已检查范围)·通过自己诊断检查已确认的维修项目·检查检测速度和设定值之间的富余量这样，例如在进行了有关CPU、ROM和RAM等电子元件的完好性诊断时，通过确认记录在履历信息记录部131中的诊断结果，可以省略定期维修时的电子元件的维修。
另外，除履历信息的记录和完好性诊断结果的记录外，也可以在履历信息记录部131中记录定期维修的实施确认事项，将维修履历保持在履历信息记录部131中，可以容易确认定期维修的实施内容。作为要记录的维修履历，例如可以列举维修实施期间和维修项目等。
并且，在上述示例中，在电子安全控制器21的外部设置履历信息记录部131和完好性诊断部132，但也可以在电子安全控制器21内设置至少一方。
另外，在上述示例中，关于异常速度的监视，记录了履历信息，但是例如也可以记录监视主绳索有无损伤和切断的与绳索断裂监视相关的履历信息。并且，还可以记录监视卷扬机的电机温度、倒相器的温度或控制盘的温度等与温度监视相关的履历信息。
这样，该示例的电梯装置具有异常监视部(电子安全控制器21)，其根据来自传感器的信息判定电梯有无异常，在检测到异常时输出使轿厢停止的信号；和履历信息记录部，其记录异常监视部中的与判定处理相关的信息的履历。
《数据总线的异常检测》下面，图24是表示图1所示电子安全控制器21的主要部分的方框图。电子安全控制器21具有检查存储器数据的异常的存储器数据异常检查电路141、CPU142、和检查地址总线的异常的指定地址检测电路143。
存储器数据异常检查电路141具有在同一地址空间中重叠分配的并列结构的主存储器141a和副存储器141b(RAM)；用于避免副存储器141b的输出数据的冲击的数据缓冲器141c；比较主存储器141和副存储器141b的各自数据并检查数据异常的数据比较电路141d。
并且，此处省略了图示，但存储器数据异常检查电路141与以往的系统相同，也具有纠错码检查电路。
CPU142具有用于在检查到数据异常时输出指定地址的指定地址输出软件142a、在检查到数据总线异常时执行的数据总线异常检查软件142b、和存储程序用的ROM(未图示)。
在存储器数据异常检查电路141中，主存储器141a和副存储器141b分别通过地址总线BA和数据总线BD连接CPU142，电子安全控制器21的数据由CPU142写入，并且被CPU142读出。
数据总线BD在存储器数据异常检查电路141内划分为主存储器数据总线BD1和副存储器数据总线BD2，主存储器141a和副存储器141b分别通过主存储器数据总线BD1和副存储器数据总线BD2，连接数据比较电路141d。在副存储器数据总线BD2中设有数据缓冲器141c。
数据比较电路141d在进行存储器数据的异常检查时，比较通过主存储器数据总线BD1和副存储器数据总线BD2输入的各个存储器数据，在判定为存储器数据有异常时，输出数据异常信号ED。
指定地址检测电路143通过地址总线BA连接CPU142，在进行地址总线BA的异常检查时检测指定地址，在判定为地址总线BA有异常时输出地址总线异常信号EBA。
CPU142内的指定地址输出软件142a在进行地址总线BA的异常检查时动作。如后面所述，周期地向指定地址检测电路143输出指定地址。CPU142内的数据总线异常检查软件142b在进行数据总线BD的异常检查时动作，在判定为数据总线BD有异常时输出数据总线异常信号EBD。
图25具体表示图24所示数据异常检查用的数据比较电路141d，表示利用多个异或门151、与门152、和使用了存储器读出信号RD的D型锁定电路153构成的情况。
在图25中，数据比较电路141d具有并列设置的异或门151，获取异或门151的各个输出信号的逻辑积的与门152，把与门152的输出信号作为D端子输入、把H(逻辑“1”)电平信号作为数据异常信号ED输出的D型锁定电路153。
各个异或门151把来自主存储器数据总线BD1的数据分别作为一方的输入信号，把来自副存储器数据总线BD2的数据分别作为一方的输入信号，在两者一致时，分别输出L(逻辑“0”)电平信号，在两者不一致时，分别输出H(逻辑“1”)电平信号。
与门152取入来自各个异或门151的输出信号的反转信号，在各个输入信号全部为H电平时(即异或门151的各个输出信号全部为L电平时)，输出H(逻辑“1”)电平信号。
D型锁定电路153响应存储器读出信号RD而动作，并且响应D端子输入(与门152的输出信号)变更输出信号(数据异常信号ED)的电平，响应重新设定信号RST重新设定为初始状态。
图26具体表示了图24所示地址总线异常检查用的指定地址检测电路143。
在图26中，指定地址检测电路143具有把H电平信号作为一方的输入信号的多个异或门161；把L电平信号作为一方的输入信号的多个异或门162；获取异或门161的各个输出信号和地址选通信号STR的逻辑积的与非门163；获取异或门162的各个输出信号和地址选通信号STR的逻辑积的与非门164；把与非门163的输出信号作为设定端子的输入信号的D型锁定电路165；把与非门164的输出信号作为设定端子的输入信号的D型锁定电路166；获取D型锁定电路165、166的各个输出信号的逻辑积的与门167；响应指定地址检测电路143的重新设定信号RST1而动作的D型锁定电路168；响应指定地址检测电路143的掩码信号MSK而动作的D型锁定电路169；获取与门167的输出信号和D型锁定电路169的输出信号的逻辑和的或门170。
在并列设置的异或门161、162的各自另一方输入端子，分别通过地址总线BA输入指定地址。
各个异或门161在从地址总线BA输入的指定地址为H电平信号时，分别输出L电平信号，在指定地址为L电平信号时，分别输出H电平信号。
相反，各个异或门162在从地址总线BA输入的指定地址为H电平信号时，分别输出H电平信号，在指定地址为H电平信号时，分别输出L电平信号。
各个异或门161的输出信号与地址选通信号STR一起进行电平反转，输入与非门163。同样，各个异或门162的输出信号与地址选通信号STR一起进行电平反转，输入与非门164。
因此，只要地址总线BA完好，则与非门163、164与地址选通信号STR同步，在每个一定周期按照通过地址总线BA周期地输入的指定地址(“FFFF”、“0000”)，而且相辅地输出H电平信号。
D型锁定电路168的D输入端子被施加L电平信号，根据第1重新设定信号RST1动作。D型锁定电路168的输出信号被施加给D型锁定电路165、166的各个重新设定端子。D型锁定电路169的D输入端子被施加了数据总线BD的0比特信号(在掩码有效时为“0”，在掩码无效时为“1”)BTO，并且根据掩码信号MSK动作。各个D型锁定电路168、169根据第2重新设定信号RST2分别重新设定。
或门170在与门167的输出信号或D型锁定电路169的输出信号表示H电平时，输出地址总线异常信号EBA。
在按上面所述构成的电子安全控制器21中，不仅执行存储器数据异常检查电路141的数据异常检查，也执行指定地址输出软件142a和指定地址检测电路143的地址总线BA的异常检查、数据总线异常检查软件142b的数据总线BD的异常检查。
下面，参照图24～图28更加具体地说明上述三种异常检查动作。
图27是表示图24所示CPU142内的指定地址输出软件142a和指定地址检测电路143的处理动作的流程图，表示在进行地址总线BA的异常检查时向指定地址检测电路143输出指定地址时的动作步骤。
图28是表示图24所示CPU142内的数据总线异常检查软件142b的处理动作的流程图。
首先，参照图24和图25，说明存储器数据异常检查电路141的数据异常检查动作。
在存储器数据异常检查电路141中，主存储器141a和副存储器141b被重叠分配了相同的地址空间，CPU142向主存储器141a和副存储器141b写入数据时，分别向主存储器141a和副存储器141b的相同地址写入相同数据。
另一方面，CPU142从主存储器141a和副存储器141b读出数据时，主存储器141a的数据被读出到主存储器数据总线BD1上，并通过数据总线BD转发给CPU142，副存储器141b的数据被读出到副存储器数据总线BD2上，但由于被数据缓冲器141c阻挡，所以不发送到数据总线BD上。
因此，来自主存储器141a和副存储器141b的两个存储器输出不会冲突，只有主存储器141a的数据被转发给CPU142，并执行正常的写入和读出。
与该动作同时，被读出到主存储器数据总线BD1上的主存储器数据、和被读出到副存储器数据总线BD2上的副存储器数据，输入数据比较电路141d，并进行两者的数据比较。
数据比较电路141d检查数据异常，如果检测到异常(数据的不一致)，则输出数据异常信号ED。
下面，参照图24、图26和图27，说明CPU142内的指定地址输出软件142a和指定地址检测电路143的地址总线BA的异常检查动作。
CPU142对地址总线BA中在存储器系统中使用的所有比特信号，分别使用可以确认“0”、“1”双方的检查用指定地址(例如8比特时使用“FF”和“00”)，执行指定地址输出软件142a，从而周期地重复执行图27所示的处理(步骤S101～S104)。并且，与此同时，使设在地址总线BA上的指定地址检测电路143检测指定地址。指定地址检测电路143在不能检测所有指定地址时，判定地址总线BA有异常，输出地址总线异常信号EBA。
在图27中，首先，CPU142使指定地址检测电路143的掩码有效(步骤S101)，使指定地址检测电路143内的D型锁定电路169动作，并且向D输入端子施加0比特信号BT0(＝0)。然后，根据第1重新设定信号RST1，重新设定指定地址检测电路143(步骤S102)，使D型锁定电路168动作。
然后，读出地址全部为“1”的最大值的地址“FFFF”(或地址全部为“0”的最小值的地址“0000”)(步骤S103)。最后，使指定地址检测电路143的掩码无效(步骤S104)，向D型锁定电路169的D输入端子施加0比特信号BTO(＝1)，使D型锁定电路169的动作状态反转，退出图27所示的处理程序。
下面，参照图24和图28，说明CPU142内的数据总线异常检查软件142b的数据总线BD的异常检查动作。
CPU142对数据总线BD中在存储器系统中使用的所有比特信号，分别使用可以确认“0”、“1”双方的检查用指定数据(例如8比特时使用“AA”和“55”、或“01”、“02”、“04”、“08”、“10”、“20”、“40”和“80”等的组的值)，周期地重复执行图28所示处理(步骤S105～S111)的读出写入检查动作。
CPU142在数据总线异常检查软件142b的判定处理中，如果所有指定数据不一致，则判定为数据总线BD有异常，输出数据总线异常信号EBD。
在图28中，CPU142首先把用于确定指定数据的变量N初始设定为“1”(步骤S105)，将第N(＝1)个指定数据(＝“01”)写入RAM(主存储器141a和副存储器141b)内的测试地址中(步骤S106)。然后，从测试地址读出在步骤S12写入的指定数据(步骤S107)，判定是否与写入前的指定数据一致(步骤S108)。
在步骤S108中，如果判定为读出后的指定数据与写入前的指定数据不一致(即“否”)，则CPU142视为数据总线BD有异常，输出数据总线异常信号EBD(步骤S109)，异常结束。
另一方面，在步骤S108中，如果判定为读出后的指定数据与写入前的指定数据一致(即“是”)，则增加变量N(步骤S110)，判定变量N是否为“8”以下(步骤S111)。
在步骤S111中，如果判定为N≤8(即“是”)，则返回指定数据的写入处理(步骤S106)，重复执行上述处理步骤S107～S110。即，第2个指定数据(＝“02”)、第3个指定数据(＝“02”)、…、第8个指定数据(＝“80”)被依次写入RAM内的测试地址中(步骤S106)，并在分别被读出后(步骤S107)，判定一致或不一致(步骤S108)。
另一方面，在步骤S111中，如果判定为N＞9(即“否”)，则对所有的指定数据(N＝1～8)执行数据总线异常检查，而且视为所有指定数据在写入前后一致，CPU142正常结束图28所示的处理程序。
这样，除与以往的系统相同的存储器数据异常检查电路141的处理外，还执行在存储器写入时和读出时使用的地址总线BA和数据总线BD的周期性异常检查处理，从而可以提高异常检查的可靠性。
特别是上述异常检查在检查电梯电子安全装置的存储器系统的完好性时有效。
这样，该示例的电子安全控制器21包括具有指定地址输出软件和数据总线异常检查软件的CPU；通过地址总线和数据总线连接CPU的主存储器和副存储器；比较主存储器和副存储器的数据的存储器数据异常检查电路；通过地址总线连接CPU的指定地址检测电路，CPU执行指定地址输出软件，并且使用指定地址检测电路周期地进行地址总线的异常检查，CPU执行数据总线异常检查软件，并且使用主存储器和副存储器周期地进行数据总线的异常检查。
并且，CPU执行指定地址输出软件，对地址总线中的主存储器和副存储器使用的所有比特信号，分别向指定地址检测电路周期地输出可以确认“0”、“1”双方的检查用指定地址，指定地址检测电路检测从CPU周期地输出的多个指定地址，在未能全部检测到多个指定地址时，判定为地址总线异常，输出地址总线异常信号。
另外，CPU执行数据总线异常检查软件，对数据总线中的主存储器和副存储器使用的所有比特信号，分别周期地输入输出可以确认“0”、“1”双方的检查用指定数据，将从CPU周期地输出的多个指定数据暂且写入主存储器和副存储器，然后读出并比较，在写入前的多个指定数据和读出后的多个指定数据全部不一致时，判定为数据总线异常，输出数据总线异常信号。
权利要求
1.一种电梯装置，该电梯装置具有产生用于检测电梯状态的检测信号的传感器；以及电子安全控制器，其根据来自上述传感器的检测信号来检测电梯的异常，输出用于使电梯过渡为安全状态的指令信号，上述电子安全控制器可以检测上述电子安全控制器自身的异常，即使在检测到上述电子安全控制器自身的异常时，也仍输出用于使电梯过渡为安全状态的指令信号。
2.根据权利要求1所述的电梯装置，其中，上述电子安全控制器可以检测上述传感器的异常，即使在检测到上述传感器的异常时，也仍输出用于使电梯过渡为安全状态的指令信号。
3.根据权利要求1所述的电梯装置，其中，上述电子安全控制器包括执行用于检测电梯异常的运算处理的微处理器，上述微处理器周期地执行用于检测上述电子安全控制器自身的异常的运算处理。
4.根据权利要求1所述的电梯装置，其中，上述电子安全控制器包括执行用于检测电梯异常的运算处理的微处理器，上述微处理器在满足预先设定的条件时，执行用于检测上述电子安全控制器自身的异常的运算处理。
5.根据权利要求1所述的电梯装置，其中，上述电子安全控制器包括第1微处理器，其根据第1安全程序执行用于检测电梯异常的运算处理；以及第2微处理器，其根据第2安全程序执行用于检测电梯异常的运算处理，上述第1和第2微处理器可以通过处理器间总线相互进行通信，而且通过比较彼此的运算处理结果，可以确认上述第1和第2微处理器自身的完好性。
全文摘要
本发明提供一种电梯装置，其中，电子安全控制器根据来自传感器的检测信号检测电梯的异常，输出使电梯过渡为安全状态的指令信号。电子安全控制器可以检测电子安全控制器自身的异常，在检测到电子安全控制器自身的异常时，也仍输出使电梯过渡为安全状态的指令信号。
文档编号B66B3/00GK101027238SQ20048004405
公开日2007年8月29日 申请日期2004年9月24日 优先权日2004年9月24日
发明者松冈达雄 申请人:三菱电机株式会社