CN100549972C - 列车控制系统 - Google Patents

列车控制系统 Download PDF

Info

Publication number
CN100549972C
CN100549972C CN 200680016205 CN200680016205A CN100549972C CN 100549972 C CN100549972 C CN 100549972C CN 200680016205 CN200680016205 CN 200680016205 CN 200680016205 A CN200680016205 A CN 200680016205A CN 100549972 C CN100549972 C CN 100549972C
Authority
CN
China
Prior art keywords
vehicular computer
computer
redundancy manager
vehicular
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN 200680016205
Other languages
English (en)
Other versions
CN101176070A (zh
Inventor
迈克尔·温格
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN101176070A publication Critical patent/CN101176070A/zh
Application granted granted Critical
Publication of CN100549972C publication Critical patent/CN100549972C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0063Multiple on-board control systems, e.g. "2 out of 3"-systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Hardware Redundancy (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

本发明涉及一种列车控制系统,其具有多台非冗余安全车用计算机(A,B),所述车用计算机相互独立地生成安全技术上的输出,例如驱动装置打开或锁止或门打开或锁止,用于这类列车控制系统的一种简单且安全的体系结构的特征在于,所述车用计算机(A,B)与冗余管理器相连,该冗余管理器设计为安全计算机,并且比较所述输出并根据逻辑准则向所述车用计算机(A,B)再确认或不再确认。

Description

列车控制系统
技术领域
本发明涉及一种列车控制系统。在已知的系统中采用多通道的尤其是2v3类型的计算机,例如具有多台安全的且冗余的车用计算机。在这种情况下同步的计算机通道执行全部的数据处理,其中每个处理步骤都按照时间片方法(Zeitscheibenverfahren)来表决。这种近乎持续表决的多通道系统虽然满足高安全性的要求,但是在硬件和软件方面的成本高。
背景技术
也可以设想采用更简单的系统,在该系统中采用两台安全的、非冗余的车用计算机来生成安全技术上的输出。原则上通常可以假设,在“行驶”状态驱动装置在安全技术上必须是打开的而门电动机在安全技术上必须已锁止。相反在“发车”状态驱动装置在安全技术上必须锁止,而门电动机则被释放运行。在该前提下采用独立的安全车用计算机可能会产生一些问题,这将在下文借助具体例子作阐述。如果例如一台车用计算机还处于“发车”的运行状态,因为状态机由于失效没有识别出门已处于关闭状态以及所属的继电器触点近乎错误地向车用计算机通报信息,则该车用计算机监控列车的静止状态并将门释放。如果其他计算机已经处于“行驶”状态,因为其状态机是无故障的并且已告知门是关闭的,则该另一台车用计算机准许行驶并将门锁止。这两个输出的叠加导致出现危险的状态,即准许行驶的同时也准许将门打开。
发明内容
本发明要解决的技术问题在于,设计一种系统体系结构,其一方面能够实现极高的安全标准,另一方面又可以不需要同步多通道计算机。
上述技术问题通过本发明的列车控制系统得以解决。按照本发明的列车控制系统具有两台非冗余安全车用计算机,所述车用计算机相互独立地生成安全技术上的输出,其中,两台车用计算机与冗余管理器相连并且该两台车用计算机相互之间没有了解和连接,该冗余管理器设计为安全计算机并比较所述输出和根据逻辑准则向所述车用计算机再确认或不再确认。所述冗余管理器作为任务集成到车用计算机中,其中,两个冗余管理器中只有一个在无故障的状态下承担管理任务并起主导作用,而另一车用计算机中的冗余管理器仅是其的从属。冗余管理器用于,仅当两台车用计算机的与安全关系重大的输出一致时,才准许对该输出进行后续处理。冗余管理器设计为安全计算机,因为在上文已举例阐述其错误行为可能导致两台车用计算机不同的运行状态或者导致由一台车用计算机向另一台车用计算机加载错误数据。在此考虑冗余管理器的特定逻辑准则。例如可以实现下列算法:
-仅当两台车用计算机都已事先通报了门电动机为锁止并且两台车用计算机都已要求释放列车驱动装置时,冗余管理器才为该两台车用计算机释放驱动装置。
-当一台车用计算机事先通报了门电动机为锁止并要求释放驱动装置且另一台车用计算机的空转安全终止时,冗余管理器才为这台车用计算机释放驱动装置,在此空转表征可调节的、在车用计算机与冗余管理器之间不存在连接的时间或路段,在此在空转时始终置于“门锁止”和“驱动装置锁止”的安全状态。
-当两台车用计算机都事先通报了驱动装置为锁止并且两台车用计算机都要求了释放门电动机时,冗余管理器才为两台车用计算机释放门电动机。
-当一台车用计算机事先通报了驱动装置为锁止并要求释放门电动机且另一台车用计算机的空转安全终止时,冗余管理器才为这台车用计算机释放门电动机。
-如果在经过一段固定的时间后或走过一段行程后第二车用计算机的“释放要求”状态未到达第一车用计算机,则冗余管理器取消该第一车用计算机的空转。在达到空转值后或者在通过该第一车用计算机应答该取消后冗余管理器才满足第二计算机的释放要求。
-当已停止空转的第一车用计算机例如通报正确的状态,例如向另一台计算机通报可能真实的位置数据以及通报向车用计算机提供输入数据的状态机的相一致的参数,并且该系统假设处于稳定的状态时,使该第一车用计算机再次空转。将第二计算机的系统特有的确定状态加载到第一计算机中。这例如涉及在最高速度下的待监控的危险点和第二计算机的运行状态、如“发车”或“行驶”。
这些算法和逻辑准则可以特定于系统地通过其他措施补充。例如可能合理的是,在一台车用计算机处于与第二台车用计算机相同的运行状态时或者当对于该台计算机已超越空转时,才由冗余管理器向该台车用计算机发出行驶任务。该规则例如可以均衡驶过一个定位点的由车用计算机的两个定位系统同时检测到的通常不同的时刻。
冗余管理器仅用于,实施所需要的逻辑准则。它不具有本身系统特有的功能。在这种意义上冗余管理器为不同实施的列车控制系统提供一种通用的平台。该通用平台是特定于系统配置的并且可以相应地扩展。系统功能仅由车用计算机提供,其提供系统特有的服务,这些服务对冗余管理器进行表决并根据逻辑准则进行判断。
列车控制系统的体系结构基本上与硬件无关。该具有冗余管理器的系统原则上可以移植到任意硬件平台上,而不会丧失功能。
与具有多个同步的计算机通道的安全及冗余的计算机核的体系结构相比,通过冗余管理器的数据处理具有性能优点。其原因在于,由车用计算机并行地完成数据处理、例如时间和计算集中的定位功能。接下来,冗余管理器仅对结果进行表决,而在利用同步计算机进行多通道数据处理时需要进行近乎持续地按照时间片方法的表决。
按照本发明,冗余管理器作为固有的计算机安置在机车上。在这种情况下冗余的、安全冗余管理器的硬件可以相对较少花费地从现有的用于行程计算机(Streckenrechner)的系统获得,为此仅将核心部件适用于机车地与通讯部件匹配即可。这尤其涉及到紧凑性、环境条件等要求。可以将原有行程计算机的非冗余的综合的专用部件用于控制外围设备。不必重新开发系统软件。
按照本发明,冗余管理器也可以集成在行程计算机中。取消使硬件适用于机车的要求。不需要新的运行软件。与车用计算机相反,行程计算机在已知的应用中已经作为冗余系统存在。因此冗余管理器的冗余的实现集中在行程计算机上。车用计算机与行程计算机之间的通讯在这种情况下须通过气隙电文(Luftspalttelegramme)实现。
而按照本发明,冗余管理器也可以作为任务集成在行程计算机中。在这种情况下仅需要最少量的硬件。两个冗余管理器中只有第一个在无故障的状态下承担管理任务并起主导作用,而另一车用计算机中的第二冗余管理器仅是其的从属。第二冗余管理器仅须持续地同步运行,以便能够处于当前运行状态。第一车用计算机的停机导致所述作为任务设置的主冗余管理器也可能停机。在这种情况下第二冗余管理器投入运行。然后该第二冗余管理器将所有现有的任务分配给必须正面确认这些要求的第二车用计算机。从属的冗余管理器到第一车用计算机的通讯连接不是一定需要的。在这种体系结构的变形中要准确地确定,通过何种反应向仍完好的计算机通报主冗余管理器的停机。例如可以设想第一车用计算机的安全输出,该第一车用计算机映射主冗余计算机的状态并由两台车用计算机询问。
按照本发明,冗余管理器也为车用计算机分配特殊任务、批准车用计算机的请求以及将一台车用计算机的数据加载到另一台车用计算机中。除了处理源自状态机的输入数据外可能系统本身还要求车用计算机的其他行为,其通过冗余管理器承担批准职能并由冗余管理器授权。为此例如采用在ETCS(EuropeanTrain Control System)中的列车数据输入、用于切断驱动装置的模态转换或列车指令。每个车用计算机可以由冗余管理器通过行使特定的功能来授权。这例如可以涉及对列车时刻表一致性显示无须再确认(nichtrueckbestaetigungspflichtige)的控制。当取消车用计算机的空转时,授权是自动进行的。
车用计算机也可以应用在非冗余的系统中,其中必须将软件实施为可以实施须经批准的确定行为。当冗余管理器始终作为任务在各车用计算机上运行时也是这样的情况。这样非冗余的系统如其中车用计算机停止运行的冗余系统那样工作。
附图说明
下面借助附图对本发明予以详细阐述。
图1表示用于列车控制系统的系统体系结构。
具体实施方式
图1中示出了一个系统列车/路段,其中该分系统列车具有两个安全技术上的任务,亦即门电动机打开或锁止以及车用驱动装置打开或锁止,在此对应于每个任务设置一台用于产生所需要的输入信息的状态机,所述状态机加载有两台独立的安全车用计算机A和B。该系统可以根据应用扩展。两台车用计算机A和B通过空气接口与一台在行程计算机中作为软件模块的冗余管理器连接。但是该冗余管理器也可以作为固有的计算机安置在机车上或作为任务安置在所述两台车用计算机A和B中。对于后一种情况在无故障状态下一台车用计算机A或B的冗余管理器为主而另一台冗余管理器为从。原则上必须要保证,在运行时能够实现车用计算机A和B与冗余管理器之间的连续通信连接。在列车内这两台车用计算机A和B相互之间没有了解和连接。在该示例中每台计算机A和B具有两个任务,即对门电动机和驱动装置控制能量释放。若在无故障状态下也仅有一台车用计算机A或B控制一个触点处于“闭合”状态,则释放控制能量。当两台车用计算机A和B分别控制触点断开时,则才要中断控制能量。每台车用计算机A和B通过自身的双向通讯连接与冗余管理器连接。状态机不一定产生“门打开”和“驱动装置打开”的状态。在这些状态变换时预先选择对应的任务,即“触点闭合”。但是在进行输出前,需要冗余管理器通过通信连接进行批准(Zustimmung)。“门锁止”以及“驱动装置锁止”的状态不一定通过状态机产生。因此在变换成该状态时必须马上终止对应的输出,即断开相应的触点。将该状态通报给冗余管理器。
只要一台车用计算机A或B在一段可调节的时间内或在一段预选的路程内不再具有与冗余管理器的连接,即处于空转状态,该台车用计算机A或B就将两个触点置于断开的状态。接下来通过该计算机A或B进行位置确定。当通过冗余管理器给车用计算机A或B加载了其状态机似乎达到加载值并且该车用计算机被重新分配空转的当前状态时,继续保持空转。
本发明并不局限于上面所描述的具体实施例。相反还可以设想一些利用本发明特征的其他完全不同的设计方案。

Claims (4)

1.一种列车控制系统,具有两台非冗余安全车用计算机(A,B),所述车用计算机相互独立地生成安全技术上的输出,其特征在于,所述两台车用计算机(A,B)与冗余管理器相连并且该两台车用计算机(A,B)相互之间没有了解和连接,该冗余管理器设计为安全计算机并比较所述输出和根据逻辑准则向所述车用计算机(A,B)再确认或不再确认,所述冗余管理器作为任务分别集成到该两台车用计算机(A,B)中,其中,该两个作为任务分别集成到车用计算机(A,B)中的冗余管理器中只有一个在无故障的状态下承担管理任务并起主导作用,而集成在另一车用计算机中的冗余管理器仅是其的从属。
2.如权利要求1所述的列车控制系统,其特征在于,所述安全技术上的输出是驱动装置打开或锁止以及门打开或锁止。
3.如权利要求1或2所述的列车控制系统,其特征在于,所述冗余管理器提供不必再确认的任务。
4.如权利要求3所述的列车控制系统,其特征在于,所述不必再确认的任务是对列车时刻表一致性显示的控制和/或批准所述车用计算机(A,B)的申请和/或从一台车用计算机(A,B)向另一台车用计算机(A,B)加载数据。
CN 200680016205 2005-05-12 2006-05-05 列车控制系统 Expired - Fee Related CN100549972C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE200510023296 DE102005023296B4 (de) 2005-05-12 2005-05-12 Zugbeeinflussungssystem
DE102005023296.5 2005-05-12

Publications (2)

Publication Number Publication Date
CN101176070A CN101176070A (zh) 2008-05-07
CN100549972C true CN100549972C (zh) 2009-10-14

Family

ID=36685566

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 200680016205 Expired - Fee Related CN100549972C (zh) 2005-05-12 2006-05-05 列车控制系统

Country Status (4)

Country Link
CN (1) CN100549972C (zh)
DE (1) DE102005023296B4 (zh)
HK (1) HK1112653A1 (zh)
WO (1) WO2006120165A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4645667B2 (ja) * 2008-03-24 2011-03-09 株式会社日立製作所 列車制御装置
CN101700783B (zh) * 2009-11-11 2012-08-29 北京全路通信信号研究设计院有限公司 一种列控中心系统平台
DE102012206316B4 (de) 2012-04-17 2018-05-17 Siemens Aktiengesellschaft Steuerungssystem zur Steuerung eines Schienenfahrzeugs
CN102910157B (zh) * 2012-09-28 2014-12-10 中南大学 Ccbii制动机的epcu后备转换装置
DE102013218814A1 (de) * 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Verfahren zum Betreiben eines sicherheitskritischen Systems
DE102015211587A1 (de) * 2015-06-23 2016-12-29 Siemens Aktiengesellschaft Steueranordnung für ein Fahrzeug
DE102021209038A1 (de) * 2021-08-18 2023-02-23 Siemens Mobility GmbH Verfahren zum automatischen Erkennen und Korrigieren von Speicherfehlern in einem sicheren mehrkanaligen Rechner

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2303828A1 (de) * 1973-01-26 1974-08-01 Standard Elektrik Lorenz Ag Steuerverfahren mit drei parallel betriebenen rechnern
DD229878A1 (de) * 1984-12-18 1985-11-20 Verkehrswesen Forsch Inst Einrichtung zur automatisation der zugaufsicht und zugsteuerung eines nahverkehrssystems
GB9101227D0 (en) * 1991-01-19 1991-02-27 Lucas Ind Plc Method of and apparatus for arbitrating between a plurality of controllers,and control system
FR2704329B1 (fr) * 1993-04-21 1995-07-13 Csee Transport Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires.
DE19501993C2 (de) * 1995-01-11 1997-09-04 Elpro Ag Verfahren und Einrichtung zur sicherheitsrelevanten Erfassung und Verarbeitung von Zustandsinformationen dezentraler oder zentraler Steuereinrichtungen von Fahrwegelementen entlang eines Fahrwegs auf Triebfahrzeugen
FR2784475B1 (fr) * 1998-10-12 2000-12-29 Centre Nat Etd Spatiales Procede de traitement d'un systeme electronique soumis a des contraintes d'erreurs transitoires

Also Published As

Publication number Publication date
HK1112653A1 (en) 2008-09-12
DE102005023296B4 (de) 2007-07-12
DE102005023296A1 (de) 2006-11-16
CN101176070A (zh) 2008-05-07
WO2006120165A1 (de) 2006-11-16

Similar Documents

Publication Publication Date Title
CN100549972C (zh) 列车控制系统
CA2458221C (en) Situation-dependent reaction in the case of a fault in the region of a door of a lift system
CN107428247B (zh) 用于具有附条件自动的驾驶辅助系统的架构
CN101142063B (zh) 作业人员安全管理系统
Vanderhaegen A non-probabilistic prospective and retrospective human reliability analysis method—application to railway system
US8405937B2 (en) Controller for platform doors
US20090177356A1 (en) Methods and systems for vital bus architecture
CN110017082A (zh) 列车开关门控制方法、装置和系统
Schmid et al. A safety argumentation for fail-operational automotive systems in compliance with iso 26262
Efanov et al. Principles of safety signalling and traffic control systems synthesis on railways
Kilian et al. Safety-related availability in the power supply domain
Shkolnik et al. Development of an automated remote control system and ensuring the reliability of vertical passenger transport vehicles
Luchetta et al. As built design, commissioning and integration of the SPIDER and NBTF central safety systems
Inagaki Situation-adaptive responsibility allocation for human-centered automation
Ozerov et al. Safety model construction for a complex automatic transportation system
Koopman et al. Transportation CPS safety challenges
Wu et al. The safety design suggestions of autonomous mine transportation system
KR102624433B1 (ko) 전동차 출입문용 통합형 출입문 제어장치
Johansson Dependability characteristics and safety criteria for an embedded distributed brake control system in railway freight trains
KR102536023B1 (ko) 열차 운행 제어 시스템 및 열차 운행 제어 시스템 내에서 필수 안전 작동을 수행하는 방법
KR102446481B1 (ko) 도시철도의 전력 관제 방법 및 장치
CN221352126U (zh) 一种用于车场作业人员防护的电路系统
Carr et al. An open on-board CBTC controller based on N-version programming
CN102460322A (zh) 用于关键任务的检验过的一类数据处理部件
Nakamura et al. Study on a New Train Control System in the IoT Era: From the Viewpoint of Safety2. 0

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1112653

Country of ref document: HK

C14 Grant of patent or utility model
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: GR

Ref document number: 1112653

Country of ref document: HK

C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20091014

Termination date: 20100505