BR112016024009B1 - Sistema de controle para um sistema de aplicação crítico de segurança de ferrovia, sistema de aplicação crítico de segurança de ferrovia, sistema de ferrovia e método para controlar um sistema de controle de aplicação crítico de segurança de ferrovia - Google Patents
Sistema de controle para um sistema de aplicação crítico de segurança de ferrovia, sistema de aplicação crítico de segurança de ferrovia, sistema de ferrovia e método para controlar um sistema de controle de aplicação crítico de segurança de ferrovia Download PDFInfo
- Publication number
- BR112016024009B1 BR112016024009B1 BR112016024009-0A BR112016024009A BR112016024009B1 BR 112016024009 B1 BR112016024009 B1 BR 112016024009B1 BR 112016024009 A BR112016024009 A BR 112016024009A BR 112016024009 B1 BR112016024009 B1 BR 112016024009B1
- Authority
- BR
- Brazil
- Prior art keywords
- critical
- task
- safety
- systems
- tasks
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 14
- 238000004891 communication Methods 0.000 claims abstract description 43
- 230000008569 process Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims 1
- 238000012545 processing Methods 0.000 abstract description 8
- 238000013461 design Methods 0.000 description 13
- 239000000047 product Substances 0.000 description 11
- 238000010200 validation analysis Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 101100072644 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) INO2 gene Proteins 0.000 description 6
- 101100454372 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) LCB2 gene Proteins 0.000 description 6
- 101100489624 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) RTS1 gene Proteins 0.000 description 6
- 238000012795 verification Methods 0.000 description 5
- 230000003137 locomotive effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012797 qualification Methods 0.000 description 2
- 101150080315 SCS2 gene Proteins 0.000 description 1
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000002146 bilateral effect Effects 0.000 description 1
- 239000007795 chemical reaction product Substances 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0063—Multiple on-board control systems, e.g. "2 out of 3"-systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/30—Trackside multiple control systems, e.g. switch-over between different systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
- G06F11/1487—Generic software techniques for error detection or fault masking using N-version programming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1637—Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1654—Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L2201/00—Control methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Safety Devices In Control Systems (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Hardware Redundancy (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
Abstract
SISTEMA DE CONTROLE E MÉTODO PARA UM SISTEMA DE APLICAÇÃO CRÍTICO DE SEGURANÇA DE FERROVIA, SISTEMAS DE APLICAÇÃO E DE TREM, E TREM DE FERROVIA. A presente invenção refere-se a um sistema de aplicação crítico de segurança de ferrovia, que substitui um hardware e/ou software comercial de prateleira (COTS) para componentes de produtos específicos de domínio de ferrovia, porém é validado para conformar a padrões livres de falhas de sistema crítico de segurança de ferrovia. O sistema crítico de segurança utiliza um par de tarefas executadas em um controlador de um computador pessoal COTS ou dentro de um ambiente virtual com capacidade de comunicações assimétricas. Ambas as tarefas recebem e verificam dados de mensagem de entrada de sistemas críticos de segurança e integridade de código de segurança e separadamente geram dados de saída responsivos à mensagem de entrada. A primeira tarefa tem a única capacidade de enviar mensagens de saída de sistema crítico de segurança completas, mas somente a segunda tarefa tem a capacidade de gerar o código de segurança de saída. Uma falha de qualquer um do hardware, software ou capacidade de processamento dos sistemas resulta em uma falha de transmitir uma mensagem de saída de sistema (...).
Description
[0001] A presente invenção refere-se a sistemas críticos de segurança de controle de ferrovia. Mais especificamente, a presente invenção refere-se a sistemas de controle em sistema de aplicação crítico de segurança de ferrovias com baixas taxas de risco, como é necessário na indústria de ferrovia. Os sistemas de aplicação críticos de segurança de ferrovias ("sistemas críticos de segurança") incluem como exemplo não limitante, sistemas de gerenciamento de trem, servidor de retaguarda, unidades embarcadas para intervenção automática se um trem exceder limites de velocidade de segurança, registradores de dados que registram informações operacionais, equipamento de determinação de velocidade e posição de trem, controle de freio e acelerador, status e diagnósticos de subsistemas, comunicações de dados sem fio trocados entre o lado de pista/lado de terra e lado de trem (por exemplo, através de comunicações de rádio sem fio) e comunicações de tripulação de trem. Como aqui utilizado, o termo "trem" é uma locomotiva sozinha, uma locomotiva com vagões, ou um veículo de lo- comotiva/vagão integrado (por exemplo, veículo leve sobre trilhos ou metrô).
[0002] Os trens de ferrovia estão equipados com sistemas críticos de segurança que são requeridos terem alta disponibilidade e baixas taxas de risco (um "risco" é comumente compreendido como "situação física com um potencial para ferimentos humanos e/ou danos ao ambiente" (IEC 62278)). ("Operadores de ferrovia e agências regulatórias governamentais frequentemente requerem taxas de risco excessivamente baixas que satisfazem a sua alta demanda por segurança operacional"). Os sistemas críticos de segurança são tipicamente operados com sistemas de controle eletrônicos. Ao longo do tempo estes sistemas estão gravitando para sistemas eletrônicos digitais operados por processador ou controlador que comunicam uns com os outros sobre um ou mais barramentos de dados de comunicações.
[0003] De modo a atender os objetivos de segurança de ferrovia, o hardware de sistema de controle é frequentemente de projeto dedicado de propriedade com teste e validação documentados. Os sistemas de operação de controlador eletrônico digital e software de aplicação são também validados. As comunicações de dados eletrônicos utilizam código de seguranças validados para verificações de integridade de dados, tal como códigos hash ou anexos criptográficos, de modo a assegurar a integridade de dados quando da transmissão entre os sistemas. Os processos de validação requerem tempo e despesa. Dado a demanda e volumes de vendas relativamente limitados de sistemas críticos de segurança de ferrovia, se comparado com a demanda para eletrônica comercial e de consumidor geral (por exemplo, hardware de computador pessoal, software e sistemas de operação), os controladores de sistemas críticos de segurança de ferrovia e equipamento relativo são dispendiosos para fabricar e têm ciclos de vida de produto mais longos do que aqueles vendidos nos campos de aplicações ele-trônicas gerais.
[0004] No entanto, os computadores pessoais (PC's) de consumidor e comerciais não podem ser diretamente substituídos por sistemas de controle de sistemas críticos de segurança de ferrovia existentes. PC's estão frequentemente somente tendo taxa de falha de dados de não mais do que 10-4 por hora operacional, o que é insuficiente para atender o risco requerido de sistemas de ferrovia. Além disso, o software de sistema de operação comercial de PC não é validado para utilização em sistemas críticos de segurança de ferrovia.
[0005] Existe uma necessidade na indústria de ferrovia de substituir o hardware de sistema de controle de sistema crítico de segurança de projeto de propriedade específico de domínio de ferrovia e software de sistema de operação por produtos de prateleira comerciais de uso geral ("COTS"), mais prontamente disponíveis, onde factível. A substituição de subsistemas COTS para subsistemas de projeto de propriedade específicos de domínio de ferrovia potencialmente pode simplificar o projeto de sistema total, encurtar os ciclos de projeto de sistema, e permitir que o fornecedor principal de sistema crítico de segurança de ferrovia focalize seus esforços em problemas de aplicação e integração de sistema gerais, onde este tem maior qualificação do que o consumidor geral ou revendedores de eletrônica COTS.
[0006] Existe também uma necessidade na indústria de ferrovia reduzir os custos de aquisição de sistema de controle de sistema crítico de segurança e aumentar o número de revendedores qualificados substituindo os produtos COTS por produtos específicos de domínio de ferrovia, quando a validação dos substitutos é econômica. O cliente de ferrovia e o fornecedor principal de sistema crítico de segurança podem também se beneficiar de projeto e fabricação de terceiros de componentes de subsistema para os revendedores os quais podem ter uma qualificação de projeto mais ampla para seus respectivos componentes comerciais.
[0007] Existe uma necessidade adicional na indústria de ferrovia para otimizar as linhas de tempo de aquisição de sistema crítico de segurança simplificando e agregando procedimentos de validação. Por exemplo, se componentes de hardware e software de sistema de con-trole de prateleira comercial (COTS) já atenderem padrões de validação de confiabilidade reconhecidos e documentados; pode não haver necessidade de revalidar estes mesmos produtos para aplicações de sistema crítico de ferrovia. Ao invés, a validação de sistema crítico de segurança pode ser consolidada e simplificada por um processo de validação de sistema geral que inclui contribuições de produtos de prateleira comerciais já validados, por meio disto otimizando as linhas de tempo de aquisição e processos.
[0008] Consequentemente, um objetivo da presente invenção é simplificar o projeto total de sistemas críticos de segurança de ferrovia substituindo hardware de sistema de controle de sistema crítico de segurança e software de sistema de operação de projeto de propriedade por produtos comerciais não de propriedade mais prontamente disponíveis.
[0009] É também um objetivo da presente invenção reduzir os cus tos de aquisição de sistema de controle de sistema crítico de segurança e aumentar o número de revendedores qualificados os quais podem ter uma qualificação de projeto mais ampla em suas respectivas linhas de produtos comerciais substituindo produtos não de propriedade para produtos de propriedade quando a validação para os substitutos for econômica.
[0010] Um objetivo adicional da presente invenção é otimizar os custos de aquisição e linhas de tempo de validação de sistema de controle de sistema crítico de segurança, assim como aumentar o número de fornecedores qualificados simplificando e agregando os procedimentos de validação.
[0011] Estes e outros objetivos são conseguidos de acordo com a presente invenção por um sistema de controle para um sistema de aplicação crítico de segurança de ferrovia ("sistema crítico de segu- rança") e método para operar este sistema de controle que substitui um hardware de prateleira comercial e software de sistema de operação para componentes de produto de propriedade específico de domínio de ferrovia, porém pode ser validado como em conformidade com os padrões de sistema crítico de segurança de ferrovia. Por exemplo, um computador pessoal comercial ou um ambiente de computador virtual com um ou mais computadores pessoais e sistemas de operação podem ser substituídos para ambiente de ferrovia específico de domínio de ferrovia de propriedade com duas tarefas, encadeamentos ou nodos, e estão configurados para comunicação assimétrica com outros sistemas críticos de segurança. Ambas as tarefas recebem e verificam dados de mensagem de sistemas críticos de segurança de entrada e integridade código de segurança e separadamente geram dados de saída responsivos à mensagem de entrada. Com uma arquitetura de comunicação assimétrica, a primeira tarefa tem a única capacidade de enviar mensagens de saída de sistema crítico de segurança incluindo os dados de saída, mas sem código de segurança de saída, e somente a segunda tarefa tem a capacidade de gerar o código de segurança de saída necessário. Devido à redundância e arquitetura de comunicações assimétrica, uma falha de cada ou ambas as tarefas, software ou capacidade de processamento resulta na falha para transmitir uma mensagem de saída de sistema crítico de segurança ou uma mensagem de saída que não pode ser verificada (e assim não utilizada ou confiada) por outros sistemas críticos de segurança que recebem estas mensagens não verificadas.
[0012] A presente invenção apresenta um sistema de controle para um sistema de aplicação crítico de segurança de ferrovia ("sistema crítico de segurança"). O sistema de controle tem pelo menos um controlador que executa uma primeira e segunda tarefas. A primeira tarefa tem uma interface de comunicações bilaterais externa capaz de enviar e receber uma mensagem de sistemas críticos de segurança que é gerada dentro de um sistema de aplicação crítico de segurança de ferrovia. Esta mensagem inclui um código de segurança e dados críticos de segurança. A segunda tarefa tem uma interface de comunicações externa capaz de receber, mas incapaz de enviar uma mensagem de sistemas críticos de segurança que é gerada dentro da segunda tarefa. A segunda tarefa tem um gerador de código de segurança. O sistema de controle tem um percurso de comunicações intertarefas que acopla as primeira e segunda tarefas. Quando operando o sistema de controle da presente invenção as primeira e segunda tarefas respectivamente recebem uma mensagem de sistemas críticos de segurança de entrada que inclui dados de sistemas críticos de segurança de entrada e um código de segurança de entrada. Estas ambas verificam a integridade de mensagem de entrada e geram os dados de sistemas críticos de segurança de saída. A segunda tarefa gera um código de segurança de saída e envia-o para a primeira tarefa. Então a primeira tarefa envia uma mensagem de sistemas críticos de segurança de saída incluindo os dados de sistemas críticos de segurança de saída e o código de segurança de saída da segunda tarefa para utilização dentro do sistema de aplicação crítico de segurança de ferrovia.
[0013] A presente invenção também apresenta um sistema de ferrovia que compreende uma pluralidade de sistemas de controle para controlar os sistemas críticos de segurança de ferrovia. Os sistemas de controle estão comunicativamente acoplados uns nos outros para recepção e transmissão de mensagens de sistemas críticos de segurança respectivamente tendo dados críticos de segurança e um código de segurança. Pelo menos alguns dos respectivos sistemas de controle cada um tem pelo menos um controlador que executa uma primeira e segunda tarefas. A primeira tarefa tem uma interface de comunicações bilaterais externa capaz de enviar e receber uma mensagem de sistemas críticos de segurança que é gerada dentro de outro sistema conectado. A segunda tarefa tem uma interface de comunicações externa capaz de receber mas incapaz de enviar uma mensagem de sistemas críticos de segurança que é gerada dentro desta segunda tarefa. A segunda tarefa tem um gerador de código de segurança. Um percurso de comunicações intertarefas acopla as primeira e segunda tarefas. Em operação destes respectivos sistemas de controle as primeira e segunda tarefas respectivamente recebem uma mensagem de sistemas críticos de segurança de entrada que inclui dados de sistemas críticos de segurança de entrada e um código de segurança de entrada; verificam a integridade de mensagem de entrada e geram os dados de sistemas críticos de segurança de saída. A segunda tarefa gera um código de segurança de saída e envia-o para a primeira tarefa, e a primeira tarefa envia uma mensagem de sistemas críticos de segurança de saída que inclui os dados de sistemas críticos de segurança de saída e o código de segurança de saída da segunda tarefa, for use dentro do sistema conectado.
[0014] A presente invenção além disso apresenta um método para controlar os sistemas de controle de ferrovia críticos de segurança (tal como sistemas de intertravamento ou sistemas de controle de trem). O método compreende receber com respectivas primeira e segunda tarefas que são executadas em pelo menos um controlador uma mensagem de sistemas críticos de segurança de entrada que é gerada dentro de um trem de ferrovia que inclui um código de segurança e dados críticos de segurança, e independentemente verificar a integridade de mensagem de entrada. A seguir cada uma das tarefas independentemente gera dados de sistemas críticos de segurança de saída em response à mensagem de entrada. A segunda tarefa gera um código de segurança de saída que é enviado para a primeira tarefa, a qual é por sua vez responsável para montar, verificar e enviar uma mensagem de sistemas críticos de segurança de saída que inclui os dados de sistemas críticos de segurança de saída e o código de segurança de saída da segunda tarefa.
[0015] Os objetivos e características da presente invenção podem ser aplicados juntamente ou separadamente em qualquer combinação ou subcombinação por aqueles versados na técnica.
[0016] Os ensinamentos da presente invenção podem ser prontamente compreendidos considerando a descrição detalhada seguinte em conjunto com os desenhos acompanhantes nos quais:
[0017] Figura 1 é um desenho esquemático geral de sistema de controle de trem a bordo que mostra a interação de sistemas críticos de segurança de trem da presente invenção;
[0018] Figura 2 é um esquema de um computador ou controlador do tipo utilizado em sistemas de controle de sistema crítico de segurança de trem da presente invenção;
[0019] Figura 3 é um formato de mensagem de sistemas críticos de segurança exemplar utilizada nos sistemas de controle de sistema crítico de segurança da presente invenção;
[0020] Figura 4 é um diagrama de blocos que mostra interação de comunicações entre os sistemas de controle de sistema crítico de segurança da presente invenção;
[0021] Figura 5 é um diagrama de tempo que mostra as etapas de processamento executadas por uma modalidade exemplar dos sistemas de controle de sistema crítico de segurança da presente invenção; e
[0022] Figura 6 é um diagrama de tempo que mostra as etapas de processamento executadas por outra modalidade exemplar dos sistemas de controle de sistema crítico de segurança da presente invenção.
[0023] Para facilitar a compreensão, números de referência idênti- cos foram utilizados, onde possível, para designar elementos idênticos que são comuns nas figuras.
[0024] Após considerar a descrição seguinte, aqueles versados na técnica claramente perceberão que os ensinamentos da presente invenção podem ser prontamente utilizados em um sistema crítico de segurança de ferrovia que substitui hardware comercial e/ou software de sistema de operação para componentes de produto de propriedade, porém é validado para conformar padrões de sistema crítico de segurança de ferrovia. Em algumas modalidades da presente invenção o sistema crítico de segurança utiliza um ambiente de computador virtual com um ou mais computadores pessoais, com duas tarefas e sistemas de operação independentes, ou outros controladores e sistemas de operação comercialmente disponíveis. Cada computador, sistema de operação, linguagem de software e compilador podem diferir para uma adicional diversidade. Ambas as tarefas recebem e verificam dados de mensagem de sistemas críticos de segurança de entrada e integridade de código de segurança e separadamente geram dados de saída res- ponsivos à mensagem de entrada. As tarefas em par separadas comunicam assimetricamente. A primeira tarefa tem a única capacidade de enviar mensagens de saída de sistema crítico de segurança, incluindo os dados de saída e um código de segurança de saída, mas somente a segunda tarefa tem a capacidade de gerar o código de segurança de saída. Uma falha de qualquer hardware de computador, software ou capacidade de processamento resulta em uma falha em transmitir uma mensagem de saída de sistema crítico de segurança ou transmite uma mensagem de saída que não pode ser verificada (e assim não utilizada ou confiada) por outros sistemas críticos de segurança que recebem estas mensagens não verificadas.
[0025] A Figura 1 mostra geralmente um sistema de ferrovia com trilhos fixos 10 e um ou mais trens 40. A descrição geral aqui referente a comunicações de trem, interações de sistemas de trem incluindo sistemas críticos de segurança ou similares, é de uma natureza geral para ajudar na compreensão de como a presente invenção pode ser utilizada em um trem de ferrovia. Redes de trem e sistemas de trem individuais podem variar da descrição exemplar geral aqui apresentada. O trem 40 inclui sistema de dados/comunicações sem fio 42 que é capaz de transmitir e receber dados sem fio, o qual está em comunicação com o sistema de comunicações de rede de estação de controle de trem de trilho sem fio (não mostrado).
[0026] O sistema crítico de segurança de comunicações de transmissor e receptor de trem 42 está comunicativamente acoplado diretamente ou indiretamente a outros sistemas críticos de segurança, incluindo o sistema de gerenciamento de trem a bordo (TMS) 50 e uma unidade a bordo (OBU) 51 que intervém no controle de velocidade de trem e frenagem no caso em que o operador de trem falha em seguir os mandados de velocidade de trilho e parada locais. Tipicamente, trem 40 também tem um sistema de registro de dados a bordo (DRS) 60 de projeto conhecido, com um gravador 62 e um ou mais dispositivos de armazenamento de memória associados 64, para entre outras coisas adquirir, processar, organizar, formatar e registrar dados de incidente. Como com qualquer outro sistema crítico de segurança, a função do DRS 60 pode ser incorporada como um subsistema dentro de outro sistema vital a bordo do trem, tal como o sistema de gerenciamento de trem (TMS) 50, ao invés de como um dispositivo separado independente.
[0027] Como também mostrado na Figura 1, o trem 40 geralmente tem outros subsistemas críticos de segurança, incluindo o sistema de acionamento 72 que provê força de acionamento para um ou mais va gões, e sistema de freio 74 para alterar a velocidade do trem. O sistema de gerenciamento de trem a bordo (TMS) 50 é o principal dispositivo de controle eletrônico para todos outros subsistemas de trem controlados, incluindo o sistema de posição de navegação (NPS) 82A com um sistema de detecção de localização de trem 82B que provê as informações de posição e velocidade do trem. Outros subsistemas incluem o controle de acelerador que faz com que o sistema de acionamento 72 (por exemplo, mais ou menos velocidade acelerada) e recebe comandos do TMS 50. O sistema de freio 74 faz com que os freios freiem o trem 40. O sistema de freio 74 também recebe comandos do TMS 50. Outros vagões de trem e/ou locomotivas em tandem 40' opci-onalmente podem estar em comunicação com o TMS 50 ou outros subsistemas no trem 40, tal como para coordenação de controle de frenagem e aceleração. O trem 40 também tem uma interface homem- máquina (HMI) 90 de tripulação de trem que tem uma tela de display eletrônica 91 e controles de freio B e acelerador T atuados por operador (um ou ambos os quais são utilizados pelo operador dependendo das condições de operação do trem), de modo que o operador de trem pode dirigir o trem. A HMI 90 comunica com o TMS 50 através de um barramento de dados de comunicações 92, apesar de que outros percursos de comunicações conhecidos podem ser substituídos para o barramento de dados quando implementando outras arquiteturas de sistema de controle conhecidas. A HMI 90 comunica ao operador de trem respectivos comandos de controle de acelerador T e freio B para o respectivo controle de motor 72 e o sistema de freio 74.
[0028] Nesta modalidade exemplar da Figura 1, cada um do sistema de controle de trem TMS 50, a OBU 51, o sistema de registro de dados (DRS) 60 e a HMI 90 têm plataformas de computa- dor/controlador internas 100 de projeto conhecido que comunicam uns com os outros através do barramento de dados 92. No entanto o nú- mero de controladores de computador, sua localização e suas funções distribuídas podem ser alterados conforme a escolha de projeto. Nesta modalidade exemplar, o controle geral de subsistemas de trem 40 é executado pelo TMS 50 e a plataforma de controlador 100 no mesmo; as funções de intervenção são executadas pela OBU 51 e a plataforma de controlador 100 nesta; as funções de registro de dados são executadas pelo sistema de registro de dados 60 e a plataforma de controlador 100 neste; e as funções de HMI são executadas pela HMI 90 e a plataforma de controlador 100 nesta, apesar de quaisquer destes sistemas 50, 51, 60, 90 poderem ser combinados em parte ou no todo.
[0029] Referindo à Figura 2, uma plataforma de controlador física ou virtual 100 inclui um processador 110 e um barramento de controlador 120 em comunicação com este. O processador 110 está acoplado a um ou mais dispositivos de memória internos ou externos 130 que incluem nos mesmos um sistema de operação 140 e conjuntos de instruções de módulo de software de programa de aplicação 150 que são acessados e executados pelo processador, e fazem com que seu respectivo dispositivo de controle (por exemplo, TMS 50, OBU 51, DRS 60 ou HMI 90, etc.) executem as operações de controle sobre seus respectivos subsistemas críticos de segurança associados.
[0030] Apesar de referência a uma arquitetura de plataforma de controlador exemplar 100 e implementação por módulos de software executados pelo processador 110, deve também ser compreendido que a presente invenção pode ser implementada em várias formas de hardware, software, firmware, processadores de uso especial, ou uma sua combinação. De preferência, os aspectos da presente invenção são implementados em software como um programa tangivelmente incorporado em um dispositivo de armazenamento de programa. The programa pode ser carregado para, e executado por, uma máquina que compreende qualquer arquitetura adequada. De preferência, a máquina é implementada em uma plataforma de computador que tem um hardware tal como uma ou mais unidades de processamento central (CPU), uma memória de acesso randômico (RAM), e interface(s) de entrada/saída (I/O). A plataforma de computador 100 também inclui um sistema de operação e código de microinstrução. Os vários processos e funções aqui descritos podem ser ou parte do código de mi- croinstrução ou parte do programa (ou sua combinação) o qual é executado através do sistema de operação. Além disso, vários outros dispositivos periféricos podem estar conectados no computa- dor/plataforma de controlador 100.
[0031] Deve ser compreendido que, como alguns dos componentes de sistema constituintes e etapas de método apresentados nas figuras acompanhantes são de preferência implementados em software, as conexões reais entre os componentes de sistema (ou as etapas de processo) podem diferir dependendo do modo no qual a presente invenção está programada. Especificamente, qualquer uma das plataformas de computador ou dispositivos podem ser interconectados utilizando qualquer tecnologia de rede existente ou posteriormente descoberta e podem também todos serem conectados através de um sistema de rede maior, tal como uma rede corporativa, rede metropolitana ou uma rede global, tal como a Internet.
[0032] Um computador/plataforma de controlador 100 recebe comunicações de entrada de um ou mais dispositivos de entrada I através de respectivos percursos de comunicações I' através da interface de entrada 160, que por sua vez pode distribuir as informações de entrada através do barramento de controlador 120. A interface de saída 180 facilita a comunicação com um ou mais dispositivos de saída O através de percursos de comunicações associados O'. A plataforma de controlador 100 também tem uma interface de comunicações 170 para comunicação com outros controladores em um barramento de dados externo compartilhado, tal como o barramento de dados 92 que foi anteriormente descrito.
[0033] Referindo às Figuras 2-4, as comunicações entre computa- dor/plataformas de controlador 100 e seus respectivos sistemas críticos de segurança (SCS1-SCSn) são executadas através de uma mensagem de sistemas críticos de segurança (SCSM) 200 carregada no barramento de dados 92. Cada SCSM 200 é formatada e transmitida de acordo com um protocolo conhecido que é aprovado para integridade de dados críticos de segurança em sistemas críticos de ferrovia, incluindo um código de segurança conhecido gerado por protocolos conhecidos CHECK-SUM, HASH, etc. A SCSM exemplar 200 mostrada na Figura 3 inclui uma estampa de tempo 210, e se requerido um número de sequência e identificadores de fonte e destino (não mostrado), dados de sistema crítico de segurança (dados SCS) 220 e um código de segurança (SC) 230. Para facilidade de descrição aqui, uma mensagem de sistemas críticos de segurança de entrada (SCSMI) ou que entra compreende dados de entrada críticos de segurança (DI) e um código de segurança de entrada (SI). Similarmente, uma mensagem de sistemas críticos de segurança de saída (SCSMO) ou que sai compreende dados de saída críticos de segurança (DO) e um código de segurança de saída (SO). Quando um sistema crítico de segurança SCS1-SCSn recebe uma SCSMI seus integridade de dados são verificados com um módulo de análise de SCI 240 dentro das tarefas (T1, T2) que é implementado em hardware, firmware, software ou qualquer sua combinação. Se a integridade de dados de SCSMI for verificada os DI são utilizados pelas tarefas para preparar uma mensagem de saída de SCSMO responsiva incluindo os dados de saída DO e um código de segurança de saída gerado no módulo de geração de SCO 250. Como com o módulo de SCI 240 a função de geração de módulo de SCO 250 é implementada em hardware, firmware, software ou qualquer sua combinação. O SCSMO subsequentemente gerado é comunicado para uma ou mais plataformas de controlador de SCS de recebedor pretendido que por sua vez trata a mensagem como uma SCSMI.
[0034] Na Figura 4 as tarefas de sistema crítico de segurança SCS1 e SCS2 respectivamente compreendem um conjunto em par de tarefas T1 300 e T2 320 que estão em comunicação bilateral uma com a outra através de uma interface de dados de intercontrolador 330. As tarefas 300, 320 estão executando em dispositivos industriais comerciais ou de consumidor, tal como, por exemplo, controladores lógicos programáveis industriais, placas-mãe de computador/controlador separadas ou unificadas, ou computadores pessoais/placas-mãe comerciais de prateleira. Como um exemplo adicional se as tarefas 300, 320 forem executadas literalmente ou virtualmente em computadores pessoais, estas podem ser executadas no mesmo ou separados controladores 100, em um ou mais computadores alojados em dispositivos se-parados, combinadas em um alojamento de dispositivo comum, placas separadas em um rack de servidor, etc. Cada um dos um ou mais computadores pode compreender um diferente hardware incluindo plataformas de controlador separadas ou comuns 100, e/ou processadores 110 e/ou sistemas de operação 140 e/ou programas de aplicação 150 armazenados neste que são executados pelo(s) processador(es) para executar sua respectiva função de sistema crítico de segurança dedicada. Os componentes e software utilizados em cada respectiva tarefa 300, 320 podem ser obtidos de diferentes fornecedores. Por exemplo, cada tarefa 300, 320 pode utilizar diferentes modelos de fornecedor, versões ou tipos de processadores 110, sistemas de opera- ção 140 e software de aplicação 150, de modo a reduzir o potencial de um componente de amplitude de fornecedor generalizado ou falha de software. Em outra modalidade exemplar ou implementação de configuração das tarefas separadas T1 e T2, ambas são executadas simultaneamente e virtualmente em tempo real em um processador de computador comum 100, com as respectivas subtarefas SCI 240 e SCO 250 também implementadas virtualmente.
[0035] A tarefa T1 300 é capaz de comunicação bilateral com o barramento de dados de sistema crítico 92 através do percurso de comunicações 340, o qual pode compreender uma porta de comunicações habilitada na interface de comunicações 170 da plataforma de tarefa 100. A tarefa 300 tem um módulo de verificação de código de segurança que entra 240 que a permite verificar a integridade de dados de uma SCSMI, mas não tem a capacidade de gerar um código de segurança SCO de SCSMO que sai.
[0036] A tarefa T2 320 tem um gerador de SCO de código de segurança que sai 250 habilitado, mas é incapaz de transmitir um SCO e dados de saída críticos diretamente para a interface de dados de sistema crítico 92. A tarefa 320 é somente capaz de transmitir o SCO para a tarefa 300 através da interface de dados interna 330: esta é somente capaz de receber uma SCSMI através de um percurso de comunicações que entram, unilateral 350 e pode verificar a integridade de dados com o módulo de verificação SCI 240. Em outras palavras, a tarefa T2 320 é incapaz de transmitir diretamente SCSMO para o bar- ramento de dados 92.
[0037] Como pode ser compreendido com referência às Figuras 5 e 6, as respectivas tarefa T1 300 e tarefa T2 320 em SCS1 estão em uma relação em par, mutuamente dependente com implementações de comunicações assimétricas. A primeira tarefa T1 300 é capaz de receber uma SCSMI e enviar uma SCSMO responsiva, mas esta não pode criar a mensagem responsiva até esta receber o SCO da segunda tarefa T2 320. A tarefa T2 não é capaz de comunicação externa com o barramento de dados de sistema crítico 92, e deve se basear na tarefa T1 para enviar quaisquer mensagens.
[0038] Na Figura 5, um dos sistemas críticos de segurança SCS2-SCSn está enviando uma SCSMI na etapa 400, compreendendo um DI e uma SCI para SCS1 no tempo t1, onde esta é recebida tanto por T1 quanto T2. Em t2, tanto T1 quanto T2 verificam a integridade de dados de SCSMI na etapa 410 e na etapa 420 ambas geram dados de DO (t3) em resposta aos dados de entrada DI. Na etapa 430 T2 gera o código de segurança de saída SCO no tempo t4 e envia-o para T1 na etapa 440. Na etapa 450 (t5), T1 agora monta e opcionalmente verifica o DO (provido por T2 na etapa anterior) com o seu próprio DO gerado antes de transmitir a SCSMO através do barramento de dados de sistemas críticos 92 na etapa 460 (t6) para outros sistemas críticos de segurança. Se os DO não corroborarem um ao outro durante a etapa 450 (isto é, os dados de saída são suspeitos) esta não transmitirá a SCS- MO. Alternativamente, se T1 não for habilitado para verificar o DO ou se T1 e/ou T2 estiverem funcionando mal, este pode transmitir uma SCSMO corrompida, mas a corrupção será identificada quando a mensagem for recebida por outro sistema crítico de segurança.
[0039] A modalidade da Figura 6 tem todas as etapas e processos que a modalidade da Figura 5, mas adiciona uma etapa de verificação de comparar SCSMI 415, onde T1 e T2 verificam os respectivos resultados de verificação um do outro. Se os resultados comparados não forem os mesmos o SCS1 sinaliza uma falta. Esta modalidade também adiciona uma etapa de comparar dados de saída DO 425 antes de T2 gerar o código de saída de segurança SCO na etapa 430. Novamente, se os resultados comparados não forem os mesmos SCS1 sinaliza uma falta.
[0040] A redundância de software e características de gera- ção/transmissão de código de segurança de saída de comunicação assimétrica do sistema de controle de ferrovia da presente invenção para sistemas críticos de segurança assegura um nível de segurança mais alto do que qualquer par de processamentos individual ou independentemente paralelo de controladores ou computadores pessoais comerciais de prateleira. Um único computador é susceptível a múltiplas formas de falha que necessariamente não seriam detectadas por outros sistemas críticos de segurança que recebem SCSMOs do computador que falha. Duas execuções de tarefa independentes, paralelas T1 e T2, se implementadas em uma ou múltiplas plataformas de computador, alimentando SCSMOs idênticas para outros sistemas críticos de segurança ou que corroboram mensagem de saída antes da transmissão podem ambos estar gerando mensagens de saída incorretas idênticas. Tais erros de transmissão de modo de falha não são possíveis com o sistema de controle da presente invenção.
[0041] Quando analisando possíveis de modos de falha do sistema de controle de sistemas críticos de segurança da presente invenção SCS1, se T1 calcular um DO e T2 calcular um DO e SCO corretos, então durante a etapa de verificação 450 T1 sinalizará um desca- samento entre seu próprio DO e o DO e sinaliza um erro. Se T1 não verificar a SCSMO na etapa 450 outros sistemas críticos de segurança que recebem esta mensagem sinalizarão o erro quando estes verificarem a mensagem recebida. O contrário se o DO de T1 for correto mas ou o DO ou SCO de T2 forem incorretos, T2 ou outro SCS que recebe a SCSMO identificará o erro. Se tanto T1 quanto T2 funcionarem mal e gerarem um DO e/ou SCO defeituoso o descasamento DO e SCO será notado por outros sistemas críticos que subsequentemente recebem a mensagem corrompida.
[0042] Apesar das várias modalidades, as quais incorporam os ensinamentos da presente invenção, foram aqui mostradas e descritas em detalhes, aqueles versados na técnica podem prontamente imaginar muitas outras variadas modalidades que ainda incorporam estes ensinamentos.
Claims (14)
1. Sistema de controle para um sistema de aplicação crítico de segurança de ferrovia, que compreende pelo menos um controlador, que compreende um processador de computador e é configurado para executar primeira e segunda tarefas; a primeira tarefa capaz de estar em comunicação bilateral com a segunda tarefa e capaz de enviar e receber uma mensagem de sistemas críticos de segurança dentro de um sistema de aplicação crítico de segurança de ferrovia, a mensagem incluindo um código de segurança e dados críticos de segurança; a segunda tarefa capaz de estar em comunicação bilateral com a primeira tarefa e capaz de receber uma mensagem de sistemas críticos de segurança, mas incapaz de enviar a mensagem de sistemas críticos de segurança ao sistema de aplicação crítico de segurança de ferrovia, a segunda tarefa tendo um gerador de código de segurança; o sistema de controle compreendendo ainda um percurso de comunicações intertarefa que acopla as primeira e segunda tarefas; sendo que as primeira e segunda tarefas são, cada uma, configuradas para receber uma mensagem de sistemas críticos de segurança de entrada que inclui dados de sistemas críticos de segurança de entrada e um código de segurança de entrada, verificar independentemente a integridade de mensagem de entrada, e gerar independentemente dados de sistemas críticos de segurança de saída, a segunda tarefa é configurada para gerar um código de segurança de saída e para enviá-lo para a primeira tarefa, e a primeira tarefa é configurada para montar e enviar uma mensagem de sistemas críticos de segurança de saída que inclui os dados de sistemas críticos de segurança de saída e o código de segurança de saída da segunda tarefa para utilização dentro do sistema de aplicação crítico de segurança de ferrovia, caracterizado pelo fato de que o dito processador de computador é configurado para executar a dita primeira tarefa e a dita segunda tarefa simultaneamente, virtualmente e em tempo real no dito processador de computador.
2. Sistema de acordo com a reivindicação 1, caracterizado pelo fato de que as primeira e segunda tarefas comparam as suas respectivas verificações de integridade de mensagem de entrada antes de gerar os respectivos dados de sistemas críticos de segurança de saída.
3. Sistema de acordo com a reivindicação 2, caracterizado pelo fato de que as primeira e segunda tarefas comparam os seus respectivos dados de sistemas críticos de segurança de saída, em particular antes da geração do código de segurança de saída.
4. Sistema de acordo com a reivindicação 1, caracterizado pelo fato de que a primeira tarefa verifica integridade de dados de sistemas críticos de segurança de saída antes de enviar a mensagem de sistemas críticos de segurança de saída.
5. Sistema de acordo com a reivindicação 1, caracterizado pelo fato de que as primeira e segunda tarefas são executadas em pelo menos um computador pessoal, as tarefas ainda executadas por pelo menos um dentre diferentes sistemas de operação ou conjuntos de instruções de software.
6. Sistema de aplicação crítico de segurança de ferrovia, caracterizado por compreender um sistema de controle, como definido em qualquer uma das reivindicações 1 a 5.
7. Sistema de ferrovia, caracterizado por compreender uma pluralidade de sistemas de controle, como definidos em qualquer uma das reivindicações 1 a 5.
8. Sistema de ferrovia de acordo com a reivindicação 7, ca-racterizado pelo fato de que as primeira e segunda tarefas comparam suas respectivas verificações de integridade de mensagem de entrada antes de gerar os respectivos dados de sistemas críticos de segurança de saída.
9. Sistema de ferrovia de acordo com a reivindicação 8, ca-racterizado pelo fato de que as primeira e segunda tarefas comparam seus respectivos dados de sistemas críticos de segurança de saída, em particular antes de gerar o código de segurança de saída.
10. Sistema de ferrovia de acordo com a reivindicação 7, caracterizado pelo fato de que a primeira tarefa verifica integridade de dados de sistemas críticos de segurança de saída antes de enviar a mensagem de sistemas críticos de segurança de saída.
11. Sistema de ferrovia de acordo com a reivindicação 7, caracterizado pelo fato de que, dentro de cada respectivo sistema de controle, as primeira e segunda tarefas são executadas em pelo menos um computador pessoal, as tarefas ainda executadas por pelo menos um dentre diferentes sistemas de operação ou conjuntos de instruções de software, em particular sendo que por dentro de cada respectivo sistema de controle as primeira e segunda tarefas são executadas em computadores que têm uma diferente construção de hardware e diferentes sistemas de operação.
12. Método para controlar um sistema de controle de aplicação crítico de segurança de ferrovia, caracterizado pelo fato de que compreende receber com respectivas primeira e segunda tarefas que são executadas em pelo menos um controlador, que compreende um processador de computador, uma mensagem de entrada de sistemas críticos de segurança que é gerada dentro de um sistema de aplicação crítico de segurança de ferrovia que inclui um código de segurança e dados críticos de segurança, e independentemente verificar a integridade de mensagem de entrada; gerar independentemente dados de sistemas críticos de segurança de saída em resposta à mensagem de entrada com as respectivas primeira e segunda tarefas; gerar um código de segurança de saída com a segunda tarefa e enviar o código de segurança de saída gerado para a primeira tarefa; e montar e enviar uma mensagem de sistemas críticos de segurança de saída que inclui os dados de sistemas críticos de segurança de saída e o código de segurança de saída da segunda tarefa com a primeira tarefa; sendo que a dita primeira tarefa e a dita segunda tarefa são executadas simultaneamente, virtualmente e em tempo real no processador de computador.
13. Método de acordo com a reivindicação 12, caracterizado pelo fato de que compreende ainda comparar respectivas verificações de integridade de mensagem de entrada das primeira e segunda tarefas antes de gerar respectivos dados de sistemas críticos de segurança de saída.
14. Método de acordo com a reivindicação 13, caracterizado pelo fato de que compreende ainda comparar respectivos dados de sistemas críticos de segurança de saída das primeira e segunda tarefas, em particular antes de gerar o código de segurança de saída.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/254,332 | 2014-04-16 | ||
| US14/254,332 US9233698B2 (en) | 2012-09-10 | 2014-04-16 | Railway safety critical systems with task redundancy and asymmetric communications capability |
| PCT/US2015/025022 WO2015160603A1 (en) | 2014-04-16 | 2015-04-09 | Railway safety critical systems with task redundancy and asymmetric communications capability |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| BR112016024009A2 BR112016024009A2 (pt) | 2017-08-15 |
| BR112016024009A8 BR112016024009A8 (pt) | 2021-05-25 |
| BR112016024009B1 true BR112016024009B1 (pt) | 2022-10-18 |
Family
ID=52992019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BR112016024009-0A BR112016024009B1 (pt) | 2014-04-16 | 2015-04-09 | Sistema de controle para um sistema de aplicação crítico de segurança de ferrovia, sistema de aplicação crítico de segurança de ferrovia, sistema de ferrovia e método para controlar um sistema de controle de aplicação crítico de segurança de ferrovia |
Country Status (8)
| Country | Link |
|---|---|
| EP (1) | EP3131804B1 (pt) |
| JP (1) | JP2017513756A (pt) |
| CN (1) | CN106414214A (pt) |
| AU (2) | AU2015248019A1 (pt) |
| BR (1) | BR112016024009B1 (pt) |
| CA (1) | CA2946004C (pt) |
| ES (1) | ES2780902T3 (pt) |
| WO (1) | WO2015160603A1 (pt) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107985348B (zh) * | 2017-10-20 | 2021-01-26 | 北京全路通信信号研究设计院集团有限公司 | 一种控制方法和列车运行控制系统 |
| IT202000029450A1 (it) * | 2020-12-02 | 2022-06-02 | Hitachi Rail Sts S P A | Apparato e metodo per il controllo di un sistema critico |
| EP4101727A1 (en) * | 2021-06-11 | 2022-12-14 | ALSTOM Transport Technologies | Smart object controller for railway tracks |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5511749A (en) * | 1994-04-01 | 1996-04-30 | Canac International, Inc. | Remote control system for a locomotive |
| JPH09286332A (ja) * | 1996-04-24 | 1997-11-04 | Mitsubishi Electric Corp | 鉄道用二重系電子装置 |
| WO1998034825A1 (en) * | 1997-02-07 | 1998-08-13 | Ge-Harris Railway Electronics, L.L.C. | A system and method for automatic train operation |
| US7966126B2 (en) * | 2008-02-15 | 2011-06-21 | Ansaldo Sts Usa, Inc. | Vital system for determining location and location uncertainty of a railroad vehicle with respect to a predetermined track map using a global positioning system and other diverse sensors |
| US8886994B2 (en) * | 2009-12-07 | 2014-11-11 | Space Micro, Inc. | Radiation hard and fault tolerant multicore processor and method for ionizing radiation environment |
| CN102316020B (zh) * | 2011-05-16 | 2014-06-25 | 铁道部运输局 | 应答器报文实时生成与发送方法、列控中心设备和系统 |
| US8714494B2 (en) * | 2012-09-10 | 2014-05-06 | Siemens Industry, Inc. | Railway train critical systems having control system redundancy and asymmetric communications capability |
-
2015
- 2015-04-09 ES ES15717773T patent/ES2780902T3/es active Active
- 2015-04-09 BR BR112016024009-0A patent/BR112016024009B1/pt active IP Right Grant
- 2015-04-09 CN CN201580032105.8A patent/CN106414214A/zh active Pending
- 2015-04-09 CA CA2946004A patent/CA2946004C/en active Active
- 2015-04-09 EP EP15717773.4A patent/EP3131804B1/en active Active
- 2015-04-09 WO PCT/US2015/025022 patent/WO2015160603A1/en active Application Filing
- 2015-04-09 JP JP2016562762A patent/JP2017513756A/ja active Pending
- 2015-04-09 AU AU2015248019A patent/AU2015248019A1/en not_active Abandoned
-
2018
- 2018-04-27 AU AU2018202939A patent/AU2018202939A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| CA2946004C (en) | 2018-03-27 |
| ES2780902T3 (es) | 2020-08-27 |
| AU2018202939A1 (en) | 2018-05-17 |
| EP3131804B1 (en) | 2020-01-22 |
| EP3131804A1 (en) | 2017-02-22 |
| JP2017513756A (ja) | 2017-06-01 |
| AU2015248019A1 (en) | 2016-11-10 |
| WO2015160603A1 (en) | 2015-10-22 |
| BR112016024009A8 (pt) | 2021-05-25 |
| CN106414214A (zh) | 2017-02-15 |
| CN106414214A8 (zh) | 2017-07-04 |
| CA2946004A1 (en) | 2015-10-22 |
| BR112016024009A2 (pt) | 2017-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10589765B2 (en) | Railway safety critical systems with task redundancy and asymmetric communications capability | |
| US8714494B2 (en) | Railway train critical systems having control system redundancy and asymmetric communications capability | |
| US20210349443A1 (en) | Method and apparatus for the computer-aided creation and execution of a control function | |
| RU2758229C2 (ru) | Система управления с тройной избыточностью для летательного аппарата и способ управления этой системой (варианты) | |
| EP3997528B1 (en) | System, device and method for testing autonomous vehicles | |
| CA2952045C (en) | System, method, and apparatus for generating vital messages on an on-board system of a vehicle | |
| AU2018202939A1 (en) | Railway safety critical systems with task redundancy and asymmetric communications capability | |
| CN108572638B (zh) | 用于安全系统的fpga不匹配数据包的停止 | |
| US11650585B1 (en) | Fault tolerant autonomous vehicle platform | |
| US11762761B2 (en) | Generating synthetic test cases for network fuzz testing | |
| CA2801679C (en) | High-integrity data transmission system | |
| CN113682347B (zh) | 一种列车控制与管理系统及列车系统 | |
| JP4102306B2 (ja) | 安全性の要求される鉄道運転プロセスの制御方法およびこの方法を実施するための装置 | |
| CN108572893A (zh) | 用于安全系统的端到端fpga诊断 | |
| JP5612995B2 (ja) | 入力バイパス型のフェイルセーフ装置及びフェイルセーフ用プログラム | |
| CN118642884A (zh) | 用于检查有用数据处理的方法 | |
| JP2015230575A (ja) | 制御システム及び鉄道信号システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B06U | Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette] | ||
| B350 | Update of information on the portal [chapter 15.35 patent gazette] | ||
| B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
| B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 09/04/2015, OBSERVADAS AS CONDICOES LEGAIS |