CN101070074B - 用于通过多样化实现安全的系统的控制系统 - Google Patents

用于通过多样化实现安全的系统的控制系统 Download PDF

Info

Publication number
CN101070074B
CN101070074B CN2007100885310A CN200710088531A CN101070074B CN 101070074 B CN101070074 B CN 101070074B CN 2007100885310 A CN2007100885310 A CN 2007100885310A CN 200710088531 A CN200710088531 A CN 200710088531A CN 101070074 B CN101070074 B CN 101070074B
Authority
CN
China
Prior art keywords
treater
sequence
automatic system
control system
different
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2007100885310A
Other languages
English (en)
Other versions
CN101070074A (zh
Inventor
西里尔·布戈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alstom Transport Technologies SAS
Original Assignee
Alstom Transport SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alstom Transport SA filed Critical Alstom Transport SA
Publication of CN101070074A publication Critical patent/CN101070074A/zh
Application granted granted Critical
Publication of CN101070074B publication Critical patent/CN101070074B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Advance Control (AREA)
  • Programmable Controllers (AREA)
  • Stored Programmes (AREA)
  • Devices For Executing Special Programs (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

本控制系统(2)用于通过多样化实现安全的系统,包括:一组处理器(4、6、8)处理铁路命令,其并行布置,每个都能接收不同的指令集合,用于选择命令的组件(34),其从处理器(4、6、8)输出的数据中挑选命令。模块化应用自动系统(46、48、50、52)对于所有的指令集来说都是同样的,与处理器(4、6、8)相关的每组指令集(16、18、20)以特定的序列为模块化应用自动系统(46、48、50、52)的序列赋活创建分开的定序器(54、56、58)。

Description

用于通过多样化实现安全的系统的控制系统
技术领域
本发明涉及系统的控制系统,具体涉及通过多样化而得以安全的铁路系统,它包括:
-一组至少两个处理铁路系统命令的处理器,并行布置以在相应的输入端接收相同的输入数据E,
每个处理器能够接收两组不同的指令集,通过该两组指令集各该处理器可以计算并且在不同的输出端输出与同-输入数据E相关的相同的输出数据S(P1)、S(P2)、S(P3),
-具有至少两个输入端和一命令输出端的命令选择组件,,每个输入与处理器的输出端相连,根据预定条件命令选择组件能够发送自处理器的输出数据中选出的命令信号。
背景技术
铁路系统包括连接到平交道口系统的开关系统和给出道口护栏关闭的警告的系统。
出于安全的原因,铁路系统的控制系统可以具有不同的计算电路配置的处理分支的形式多样化。在相同的输入数据的基础上,每个处理分支执行相同的应用或应用算法,但使用不同的计算形式。
在每个分支都正确工作的情况下,每个分支发出相同的命令作为输出。
如果其中一个分支的电路失效就会生成不同的命令。
在多个分支同时失效的情况下,由于具有不同计算电路配置的分支间缺少故障相关,同样会产生不同的命令。当使用复杂算法时这种传统的结果更有优势。
从物理观点看,这种安全控制系统的一个公知简单实现,包括在每个分支提供相同架构的处理器。
在该公知实现中,每个处理器运行一组不同的指令或者对象程序,它们来源于依赖于不同的相关编译器的语言的不同源程序,每个不同的源程序仿真相同应用,该应用由相同的输入、相同的输出和相同的应用算法定义。
这种实现从物理观点看简单,但是从软件观点看依然复杂,需要依照所用不同语言或编译器的规模开发许多软件组件。
这种通过多样化达到安全目标的传统控制系统的问题是使用多种编译语言开发软件组件的复杂性。
因此,本发明的目标是提供一种通过多样化解决安全问题控制系统,其就软件组件开发而言需要少的负担。
发明内容
基于所述目标,本发明涉及通过多样化达到安全目标的铁路控制系统,其包括:
-一组至少两个处理铁路系统命令的处理器,并行布置以在相应的输入端接收相同的输入数据E,
每个处理器能够接收两组不同的指令集,通过该两组指令集各该处理器可以计算并且在不同的输出端输出与同一输入数据E相关的相同的输出数据S(P1)、S(P2)、S(P3),
-具有至少两个输入和一命令输出端的命令选择组件,每个输入端与处理器的输出端相连,根据预定条件准则,命令选择组件能够发送从处理器输出的数据中选出的命令信号,其特征为:
-与处理器相关的每个指令集可以在至少两个模块应用自动系统上运行,该模块应用自动系统对于所有指令集来说都是相同的,
-与处理器相关的每个指令集具体为模块应用自动系统以相关序列创建随后的赋活定序器(sequencer),
-而且其中每个定序器通过其特定的相关序列与其它定序器都不同。
根据特定实施例,该通过多样化达到安全目标的控制系统包括一个或多个如下特性:
-每个定序器具体根据运行模块应用自动系统的不同的循环序列赋活并排序模块应用自动系统,这些不同循环序列拥有相同的循环和不同的循环起始或路径方向,
-每个定序器具体根据运行模块应用自动系统的不同的循环序列赋活并排序模块应用自动系统,这些不同循环序列拥有在相同方向上的相同的循环路径,
-每个定序器具体根据不同的定序器序列赋活并排序模块应用自动系统,该不同的定序器序列由模块应用自动系统的局部序列的接序形成,这些局部序列被分组成分割该控制系统中的该组模块应用自动系统的子组,
-自动系统的子组对于所有处理器来说都是相同的,
-每个模块应用自动系统包括自动系统输入端和自动系统输出端,
当自动系统输入端能从控制系统接收输入数据的可变项时,其是外部自动系统输入端,
当自动系统输出端能从控制系统发送输出数据的可变项时,其是外部自动系统输出端,
当给定自动系统或者两个不同的自动系统的输入端和输出端能够互相连接且交换给定的内部可变数据项时,它们是内部的输入端和输出端,
自动系统的输入和输出数据的可变集形成控制系统的状态向量,
对于每个处理器,控制系统包括工作内存,包括:
-当运行自动系统序列时的起始状态寄存器,其包含自动系统序列运行前的状态变量集的值,
-当运行自动系统序列时的结束状态寄存器,其包含运行自动系统序列后获取的状态向量的状态变量集的值,
-对于每个处理器,在序列运行时,该处理器只能读取起始状态寄存器,且只能写入结束状态寄存器,
-对于每个处理器,当该序列运行后,序列的起始状态寄存器只能由出现在序列结束寄存器中的状态变量的值写入与更新。
每个处理器能够重复运行自动系统序列,直到至少两个相关的状态寄存器中的值一致为止。
-每个处理器包括:
包含一组处理器指令的程序数据库,该组处理器指令能被加载至处理器中,并且能以与处理器相关的定序器指定的序列运行应用自动系统的序列,
-每个程序数据库包括使用相同编译器得到的一指令集,
-命令选择组件是根据从所有处理器得到的输出数据的多数表决而做出决定的组件,该组件能够比较从每个处理器得到的各个输出,并且,基于预定的多数标准,在与该组处理器相关的多数基础上传送共同输出数据,以及
-命令选择组件在全体一致的基础上方式做出决定。
本发明还涉及通过多样化达到安全目的的控制系统,包括如下步骤:
-在至少两个处理器上加载从程序数据库得到的与之相关的不同指令集,
-通过各个输入端,为并行排列的处理器提供相同的输入数据,
-使每个处理器运行与之相关的不同指令集,这样其可以基于相同的输入数据E计算并在各自的输出端传送相同的输出数据,处理器运行指令集包括如下步骤:
-以特定序列运行至少两个模块应用自动系统,对于每个指令集来说模块应用自动系统都是相同的,该至少两个模块应用自动系统的运行序列与其它指令集的运行序列不同,
-运行该序列后提取得到的输出数据,
-将输出数据发送到命令选择组件,以及
-根据特定标准,从处理器中得到的输出数据中选出命令信号。
根据特定实施例,安全控制系统包括一个或多个如下特性:
-根据选择标准,对接收到的多个输出数据发出的命令进行验证或相应地禁止传输,和
-在禁止时,发出在至少一个处理器中存在故障的信号。
附图说明
通过以下仅为示例目的描述并参考附图能够更好的理解本发明,其中:
图1是通过多样化达到安全目标的控制系统的示意图,
图2A、2B、2C是图1中示出的程序数据库的第一实施例中各个框图,
图3A、3B、3C是与图2A、2B、2C中的各个程序数据库相关的各个序列,
图4A是与图2A、2B、2C中的各个自动系统相关的输入和输出的示意图,
图4B和4C是与任意工作内存中的序列起始寄存器和序列结束寄存器相关的状态向量数据结构的示意图,
图5是根据程序数据库的第一实施例多样化控制设备实现的控制过程的流程图,以及
图6A、6B、6C、6D、6E是程序数据库的第二实施例的序列。
具体实施方式
图1示出通过多样化达到安全目标的控制系统2,其包括三个计算或处理系统,每个系统分别包括第一处理器4或P1,第二处理器6或P2和第三处理器8或P3。
每个处理器4、6、8通过相关的输入10、12、14接收来自预定的铁路系统9的相同输入数据。
每个处理器4、6、8具体运行从相关的与之分别相连的程序数据库16、18、20中加载的计算程序或一组指令。
每个处理器4、6、8可以与相关的工作数据库22、24、26交换工作数据。
为每个处理器4、6、8提供了相关的输出28、30、32,在处理结束后能够给出输出数据S(P1)、S(P2)、S(P3)。
安全控制系统2还包括命令选择组件34,其在该实施例中包括三个输入36、38、40。每个输入36、38、40能够接收来自每个处理器4、6、8或(P1、P2、P3)的输出信号S(P1)、S(P2)、S(P3)。
命令选择组件34包括连接到命令接收终端44的输出42。
与每个处理器4、6、8相关的每个程序数据库16、18、20的第一实施例的结构内容分别示出在图2A、2B、2C中。
与第一处理器P1相关的第一程序数据库16包括自动系统的序列46、48、50、52或以第一序列A、B、C、D的序列排序的A、B、C、D以及第一定序器54或Seq1,其以该序列控制自动系统的排序。
与第二处理器P2相关的第二程序数据库18包括相同的自动系统,按照不同的第二序列50、52、46、48或C、D、A、B排序,还包括第二定序器56或Seq2,其以该序列控制自动系统。
与第三处理器P3相关的第三程序数据库20包括按照不同的第三序列D、C、B、A排序的自动系统A、B、C、D以及第三定序器58或Seq3,其以该序列控制自动系统。
只要是由相同的代码和相同的编译器生成的,每个程序数据库中相应的给定应用的自动系统都是相同的。
每个数据库中的所有自动系统都由使用相同的编译器生成。
由定序器Seq1、Seq2和Seq3实现的第一、第二和第三序列分别示出在图3A、3B、3C中。每个序列60、70、78从给定的包括序列起始64、72、80的循环62中形成,其在图3A中为A,在图3B中为C,在图3C中为D。该序列60、70、78以66、76、82所示方向运行,在图3A中为顺时针方向66,在图3B中为顺时针方向74,在图3C中为逆时针方向82。每个序列60、70、78分别从起始点64、72、80开始的路径结束于68、76、84的序列结束点中。
图4A展示了一组用于模块应用的自动系统。其中自动系统A模拟路线模型,自动系统B用于模拟平交道口模型,自动系统C模拟广播模型,自动系统D重现开关模型。
自动系统A在两个输入86、88接收来自铁路系统的两个输入信号E1、E2,在输出端90提供第一内部信号I1。
自动系统B有两个输入92、94,分别从铁路系统中接收第一内部信号I1和第一输入信号E1。自动系统B还具有输出96、98,其可以生成第二内部信号I2和第一外部输出信号S1。
自动系统C从两个输入100、102分别接收第二内部信号I2和第一外部输入信号E1。自动系统C在输出104传送第二外部输出信号S2。
自动系统D从两个输入106、108接收第一外部输入信号E1和第二外部输入信号E2。自动系统D在单一输出110传送第三外部输出信号S3。
其中第一外部输入信号E1是当前时间,第二外部输入信号E2指示铁路地点标记已经被越过。其中第一内部变量I1表示平交道口的预期穿越时间,第二内部变量I2表示计算出的广播命令时间。
第一外部输出信号S1是控制在平交道口降低护栏的命令,第二外部输出信号S2是广播平交道口关闭的命令,第三外部输出信号S3是开关命令。
与处理器(P1、P2、P3)相关的每个工作内存22、24、26包括序列起始状态寄存器112和序列结束状态寄存器113,其对处理器(P1、P2、P3)是共同的,分别示出在图4B和4C中。
图4B和4C中示出的每个寄存器由相应的状态向量表示。图4B中的序列起始寄存器112的状态向量包括七个内存位置114、116、118、120、122、124、126,被分成三个内存区域,第一区114、116可以在内存中存放两个外部输入E1、E2,第二区为I(Pi)(118、120)可以在内存中放两个内部变量I1(Pi),I2(Pi),第三区为S(Pi)(122、124、126)可以在内存中放外部输出数据S1(Pi)、S2(Pi)和S3(Pi)。
序列结束状态寄存器113包括类似于序列起始状态寄存器112中的状态向量114、116、118、120、122、124、126的结构130、132、134、136、138、140、142。
通过多样化达到安全目标的控制系统的操作显示在图5的流程图中,其由处理器P1、P2和P3实现。
在第一阶段144中,铁路系统以共同的方式给每个处理器P1、P2和P3发送相同的输入数据E,这样它们可以执行相应的处理过程146、148和150。在第一阶段152中,第一处理器P1初始化在图5中显示的状态向量V1-ds代表的序列起始状态寄存器112。然后根据与第一处理器P1对应的在图3A中展示的第一序列,它运行第一自动系统154,在此为A,然后是第二自动系统156,在此为B,然后是第三自动系统158,在此为C,然后是第四自动系统160,在此为D。
在序列结束时,从每个自动系统A、B、C、D处获得的输出数据在162形成与序列结束状态寄存器113相应的状态向量V1-fs。
在接着的测试阶段164中,序列起始状态寄存器V1-ds的状态向量与序列结束状态寄存器V1-fs进行比较。
如果状态向量V1-ds和V1-fs不同,在序列起始记录112被先前序列结束状态寄存器113中的状态向量V1-fs刷新后,第一序列A、B、C、D再次运行。如果在测试阶段164中的状态寄存器V1-ds与V1-fs相同,输出数据就在阶段170被提取。
第二处理器P2执行的处理过程148与第一处理器P1的处理过程类似,除了自动系统的序列不同。因此在处理过程开始时,任务172初始化序列起始状态寄存器,在此为V2-ds。但是,运行序列顺序不同,因为接着的是在图3B中展示的第二序列C、D、A、B。
测试176同样比较起始记录V2-ds中的状态向量和序列结束记录V2-fs,如果测试结果为否则刷新178序列起始记录。
如果测试结果为真,第二处理器处理的输出数据S(P2)在阶段180处被提取。
同样的,在第三处理器P3中的处理过程150与第一和第二处理器P1、P2中的处理过程类似,除了序列顺序不同。
阶段182同样执行初始化序列起始状态寄存器112。自动系统的运行序列是在图3C中展示的第三序列D、C、B、A。
同样的,从自动系统得到的输出数据S(P3)在阶段184提供给序列结束状态寄存器。执行类似的测试186比较序列起始状态寄存器112中的状态向量V3-ds和序列结束状态寄存器中的状态向量V3-fs。该序列被重复执行直到测试结果为真。
如果测试结果为否,在188序列结束状态寄存器刷新序列起始寄存器112。如果测试为真则在186第三处理器的输出数据S(P3)被提取,发送到命令选择组件34中。从每个处理器S(P1)、S(P2)、S(P3)得到的输出被发送到命令选择组件34中。在命令选择阶段192,每个处理器的输出值被比较。
如果输出的值都相同,输出命令C就等于得到验证的每个输出值S(P1)、S(P2)、S(P3),其在阶段194中被传输到铁路系统控制的接收终端44。
如果这些数据中有一个不一样,那么在阶段196给出在通过多样化达到安全目标的控制系统中的错误警告。
作为变型,所述程序数据库的第二实施例中的一组自动系统198、200、202、204、206、208、210、212、214、216形成的序列在图6A、6B、6C、6D和6E中进行描述。
在图6A中,这些自动系统用P、Q、R、S、T、U、V、W、X、Y、Z标识和指代。
自动系统组198、200、202、204、206、208、210、212、214、216被分成三个子组218、220、222或SG1、SG2、SG3,第一子组218或SG1包括自动系统P、Q、R,第二子组220或SG2包括自动系统S、T、V、W、第三子组222或SG3包括自动系统X、Y、Z。
图6B显示的子组序列224基于由序列SG1、SG2、SG3形成的子组循环226、序列起始228(在此为SG1)、路径方向230(在此为顺时针方向)子组232序列结束242(在此为SG3)进行描述。
图6C描述第一子组SG1序列240。第一子组240的序列由循环236形成,在此为P、Q、R,其中序列起始为238(在此为Q),运行方向为240(在此为顺时针方向),序列结束242是自动系统P。
图6D描述基于循环246的第二子组SG2序列244,循环246在此为S、T、V、W,此序列起始248是自动系统S,循环250以顺时针方向运行,序列结束252由自动系统W提供。
最后第三子组SG3基于循环256形成,其在此为X、Y、Z,序列起始258包括自动系统Z,循环260以方向260运行,在此为逆时针方向,序列结束262由自动系统X决定。由此得到的自动系统序列根据子组SG1、SG2、SG3的序列,通过连接局部序列234、244、254形成。
因此同该组图所描述的自动系统序列是Q、R、P、S、T、V、W、Z、Y、X。
因此,由不同的模块应用自动系统序列形成的不同指令集使得能够在拥有相同架构的每个处理器中使用不同的电路赋活序列,序列结合通用处理器架构定义。
因此获得的不同指令集,首先满足了铁路安全限制对控制系统上的多样化需求。
此外,处理这些不同指令集的过程容易得到实现,因为可以只使用一种软件开发平台。
实际上,使用简单编译器可以减少应用模块的开发,因为应用模块能够有利的从一个处理分支到另一个分支实现重用。
在替代的实施例中,以上描述的控制系统能够不加以重大修改而在飞行器或航天飞船的机载系统中使用,或在核设施中用于保护或紧急停止系统。
作为一种选择,以上描述的控制系统能在所有通过关键安全软件设计达到安全目标的系统中操作。

Claims (15)

1.通过多样化实现安全的控制系统(2)包括:
-一组至少两个处理器(4、6、8)处理用于铁路系统的命令,它们并行布置以在相应的输入端(10、12、14)接收相同的输入数据E,
每个处理器(4、6、8)能够接收两组不同的指令集,通过该两组指令集各该处理器可以计算并且在不同的输出端(28、30、32)输出与所述同一输入数据E相关的相同输出数据(S(P1)、S(P2)、S(P3)),
-具有至少两个输入端(36、38、40)和一命令输出端(42)的命令选择组件(34),每个输入端(36、38、40)与处理器(4、6、8)的所述输出端(28、30、32)相连,根据预定标准,该命令选择组件(34)能够发送自处理器(4、6、8)的输出数据中选出的命令信号,其特征为:
-与处理器(4、6、8)相关的每个指令集可以在至少两个模块应用自动系统(46、48、50、52)上运行,所述模块应用自动系统(46、48、50、52)对于所有指令集来说都是相同的,
-与处理器(4、6、8)相关的每个指令集(16、18、20)具体为模块应用自动系统(46、48、50、52)以相关的序列(60、70、78)创建随后的赋活定序器(54、56、58),
-而且其中每个定序器(54、56、58)通过其特定的相关序列(60、70、78)与其它定序器(56、58;54、58;54、56)都不同。
2.根据权利要求1的通过多样化实现安全的控制系统(2),其特征为:
每个定序器(54、56、58)具体根据运行所述模块应用自动系统(46、48、50、52)的不同的循环序列(60、70、78)赋活并排序所述模块应用自动系统(46、48、50、52),这些不同循环序列(60、70、78)拥有相同的循环(62)和不同的循环起始(64、72)或路径方向(66、82)。
3.根据权利要求2的通过多样化实现安全的控制系统(2),其特征为:
每个定序器(54、56、58)具体根据运行所述模块应用自动系统(46、48、50、52)的不同的循环序列(60、70、78)赋活并排序所述模块应用自动系统(46、48、50、52),这些不同的循环序列(60、70、78)拥有在相同的方向上的相同的循环(62)路径。
4.根据权利要求1的通过多样化实现安全的控制系统(2),其特征为:
每个定序器具体根据不同的定序器序列排序所述模块应用自动系统,该不同的定序器序列由所述模块应用自动系统(198、200、202、204、206、208、210、212、214、216)的局部序列(234、244、254)的接序(224)形成,这些局部序列(234、244、254)被分组成分割该控制系统(2)中的该组模块应用自动系统的子组。
5.根据权利要求4的通过多样化实现安全的控制系统,其特征为:
自动系统的所述子组(218、220、222)对于所有所述处理器(4、6、8)来说都是相同的。
6.根据权利要求1至5中的任意一项的通过多样化实现安全的控制系统,其特征为:
每个模块应用自动系统(46、48、50、52)包括自动系统输入端和自动系统输出端(90、96、98、104、110),
当自动系统输入端能从所述控制系统(2)接收输入数据的变量项(E1、E2)时,其是外部自动系统输入端,
当自动系统输出端能从所述控制系统(2)发送输出数据的变量项(S1、S2、S3)时,其是外部自动系统输出端,
当同一自动系统或两个不同的自动系统的输入端和输出端能够互相连接且交换数据的给定可变内部项(I1、I2)时,它们是内部的输入端和输出端,
所述自动系统的数据的可变输入项集(86、88、92、94、100、102、106、108)和输出数据集(90、96、98、104、110)形成所述控制系统(2)的状态向量(114、116、118、120、122、124、126),
对于每个处理器(4,6,8),所述控制系统(2)包括工作内存(22、24、26),包括:
-当运行自动系统序列时的起始状态寄存器(112),其包含自动系统序列运行前的状态变量集的值(E1、E2、I1、I2、S1、S2、S3),
-当运行自动系统序列时的结束状态寄存器(113),其包含运行自动系统序列后获取的状态向量的状态变量集的值。
7.根据权利要求6的通过多样化实现安全的控制系统(2),其特征为,对于每个处理器(4、6、8),在序列(60、70、78)运行时,该处理器只能读取起始状态寄存器(112),且只能写入结束状态寄存器(113)。
8.根据权利要求7的通过多样化实现安全的控制系统(2),其特征为:
对于每个处理器(4、6、8),当该序列运行后,序列的所述起始状态寄存器(112)只能由出现在所述序列结束寄存器(113)中的状态变量的值写入与刷新,
以及,每个处理器(4、6、8)能够重复运行自动系统序列,直到至少两个相关的状态寄存器(112、113)中的状态变量值一致为止。
9.根据权利要求1至5中的任意一项的通过多样化实现安全的控制系统(2),其特征在于每个处理器(4、6、8)包括:
包含一组处理器指令的程序数据库(16、18、20),该组处理器指令能被加载至所述处理器(4、6、8)中,并且能以与所述处理器相关的定序器(54、56、58)指定的序列运行所述应用自动系统(46、48、50、52)的序列。
10.根据权利要求9的通过多样化实现安全的控制系统(2),其特征为:
每个程序数据库(16、18、20)包括使用相同编译器得到的一指令集。
11.根据权利要求1至5中的任意一项的通过多样化实现安全的控制系统,其特征为:
命令选择组件(34)是根据从发自所有处理器(4、6、8)的输出数据(S(P1)、S(P2)、S(P3))的多数表决而做出决定的组件,该组件(34)能够比较发自每个处理器(4、6、8)的各个输出端的输出数据,并且,基于预定的多数标准,在与该组处理器相关的多数基础上传送共同输出数据。
12.根据权利要求11的通过多样化实现安全的控制系统(2),其特征为:
所述命令选择组件(34)在全体一致的基础上做出决定。
13.根据权利要求1至5中的任意一项的通过多样化实现安全的控制系统(2),其特征为,其能够控制实现安全类型的铁路系统。
14.用于系统的安全控制方法(143),包括如下阶段:
-在至少两个处理器(4、6、8)上加载从程序数据库(16、18、20)得到的与之相关的不同指令集,
-通过各个输入端(10、12、14),为并行排列的所述处理器(4、6、8)提供相同的输入数据(E),
-使每个处理器(4、6、8)运行与之相关的不同指令集,这样各处理器可以基于相同的输入数据E计算并在各自的输出端(28、30、32)传送相同的输出数据(S(P1)、S(P2)、S(P3)),处理器(4、6、8)运行指令集包括如下阶段:
·以特定序列运行至少两个模块应用自动系统(46、48、50、52),对于每个指令集来说所述模块应用自动系统都是相同的,该至少两个模块应用自动系统的运行序列与其它指令集的运行序列不同,
·运行该序列后提取得到的输出数据(S(P1)、S(P2)、S(P3)),
·将该输出数据发送(170、180、190)到命令选择组件,
-根据特定标准,从发自处理器(4、6、8)的输出数据中选出命令信号。
15.根据权利要求14的安全控制方法(143),其特征在于,进一步包括如下阶段:
-根据该选择标准,对自接收到的多个输出数据(S(P1)、S(P2)、S(P3))发出的命令进行验证或相应地禁止传输,
-在禁止时,发出(196)在至少一个处理器(4、6、8)中存在故障的信号。
CN2007100885310A 2006-03-17 2007-03-16 用于通过多样化实现安全的系统的控制系统 Expired - Fee Related CN101070074B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0602390A FR2898706B1 (fr) 2006-03-17 2006-03-17 Dispositif de commande securise a diversification d'un systeme ferroviaire
FR0602390 2006-03-17

Publications (2)

Publication Number Publication Date
CN101070074A CN101070074A (zh) 2007-11-14
CN101070074B true CN101070074B (zh) 2011-11-09

Family

ID=37194299

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007100885310A Expired - Fee Related CN101070074B (zh) 2006-03-17 2007-03-16 用于通过多样化实现安全的系统的控制系统

Country Status (13)

Country Link
US (1) US7631113B2 (zh)
EP (1) EP1834857B1 (zh)
JP (1) JP2007249976A (zh)
CN (1) CN101070074B (zh)
AU (1) AU2007201007B2 (zh)
BR (1) BRPI0700955B8 (zh)
CA (1) CA2581391C (zh)
DK (1) DK1834857T3 (zh)
ES (1) ES2652412T3 (zh)
FR (1) FR2898706B1 (zh)
NO (1) NO341655B1 (zh)
RU (1) RU2454345C2 (zh)
ZA (1) ZA200701907B (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090004266A (ko) * 2007-07-06 2009-01-12 한국전자통신연구원 자체 제어 기능을 갖는 기능 모듈 및 이의 동작 제어방법과, 이를 이용한 시스템
DE102007054304A1 (de) * 2007-11-08 2009-05-14 Siemens Ag Rechnerarchitektur
DE202011111062U1 (de) 2010-01-25 2019-02-19 Newvaluexchange Ltd. Vorrichtung und System für eine Digitalkonversationsmanagementplattform
KR101502713B1 (ko) * 2010-12-16 2015-03-13 미쓰비시덴키 가부시키가이샤 시퀀서 시스템 및 그 제어 방법
CN103959236B (zh) * 2011-11-30 2016-12-07 英特尔公司 用于提供向量横向多数表决功能的处理器、设备和处理系统
JP2014091370A (ja) * 2012-11-01 2014-05-19 Mitsubishi Electric Corp 電子連動装置
US10520928B2 (en) * 2017-05-15 2019-12-31 Rockwell Automation Technologies, Inc. Safety industrial controller providing diversity in single multicore processor
RU2709068C1 (ru) * 2017-11-20 2019-12-13 Открытое акционерное общество "Объединенные электротехнические заводы" ОАО "ЭЛТЕЗА" Микропроцессорная система централизации мпц-эл
IT201800007412A1 (it) * 2018-07-23 2020-01-23 Sistema elettronico modulare per la verifica della corretta esecuzione di operazioni eseguite dal sistema stesso
RU2692739C1 (ru) * 2018-08-14 2019-06-26 Открытое акционерное общество "Объединенные электротехнические заводы" (ОАО "ЭЛТЕЗА") Микропроцессорная система централизации МПЦ-ЭЛ
RU2694709C1 (ru) * 2018-11-06 2019-07-16 Федеральное государственное бюджетное образовательное учреждение высшего образования "Петербургский государственный университет путей сообщения Императора Александра I" Система микропроцессорной централизации
CN109866752B (zh) * 2019-03-29 2020-06-05 合肥工业大学 基于预测控制的双模式并行车辆轨迹跟踪行驶系统的方法
RU2710502C1 (ru) * 2019-04-22 2019-12-26 Игорь Давидович Долгий Унифицированный логический контроллер
US11618553B2 (en) * 2019-11-19 2023-04-04 Ge Aviation Systems Limited Method and process of creating qualifiable parameter data item (PDI) to define the function of a power system controller
RU2726243C1 (ru) * 2020-02-05 2020-07-10 Ефим Наумович Розенберг Двухканальная система для регулирования движения железнодорожных транспортных средств

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU8135U1 (ru) * 1998-01-22 1998-10-16 Алексей Геннадьевич Окуличев Многопроцессорный вычислитель для управления объектами в реальном времени
GB2348034A (en) 1999-03-17 2000-09-20 Westinghouse Brake & Signal An interlocking for a railway system
DE19942981A1 (de) * 1999-09-09 2001-03-22 Alcatel Sa Programmodul und Verfahren zum Erhöhen der Sicherheit eines softwaregesteuerten Systems
DE10053023C1 (de) * 2000-10-13 2002-09-05 Siemens Ag Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
US6751749B2 (en) * 2001-02-22 2004-06-15 International Business Machines Corporation Method and apparatus for computer system reliability
FR2832685A1 (fr) * 2001-11-23 2003-05-30 Conception & Dev Michelin Sa Direction electrique pour vehicule, a redondance triple
DE10158317B4 (de) * 2001-11-28 2009-06-18 Siemens Ag Verfahren zur Generierung und Ausführung eines diversitären Programmablaufs
ITSV20020009A1 (it) * 2002-02-22 2003-08-22 Alstom Transp Spa Metodo per la generazione di unita' logiche di comando degli apparatidi stazione a computer vitale, cioe' nelle unita' centrali di comando
RU34482U1 (ru) * 2003-08-06 2003-12-10 Долгий Игорь Давидович Централизованная диспетчерская система с распределенными контролируемыми пунктами
RU44625U1 (ru) * 2004-10-18 2005-03-27 Грачев Гаврил Николаевич Устройство для управления системами железнодорожной автоматики и телемеханики
DE202005016151U1 (de) * 2005-10-09 2006-02-09 Elpro Gmbh Berlin -Industrieholding- Einrichtung zur Fernsteuerung eines Relais-Stellwerks unter Verwendung von hochverfügbaren diversitären Steuerungen

Also Published As

Publication number Publication date
FR2898706A1 (fr) 2007-09-21
DK1834857T3 (en) 2017-12-04
RU2454345C2 (ru) 2012-06-27
EP1834857B1 (fr) 2017-11-01
RU2007109723A (ru) 2008-09-27
JP2007249976A (ja) 2007-09-27
CA2581391C (fr) 2015-11-03
ES2652412T3 (es) 2018-02-02
US7631113B2 (en) 2009-12-08
AU2007201007A1 (en) 2007-10-04
NO341655B1 (no) 2017-12-18
BRPI0700955B1 (pt) 2018-08-07
BRPI0700955B8 (pt) 2018-11-21
AU2007201007B2 (en) 2012-06-14
FR2898706B1 (fr) 2008-06-13
US20070260773A1 (en) 2007-11-08
CN101070074A (zh) 2007-11-14
CA2581391A1 (fr) 2007-09-17
ZA200701907B (en) 2008-07-30
EP1834857A3 (fr) 2009-08-19
NO20071423L (no) 2007-09-18
BRPI0700955A (pt) 2007-11-13
EP1834857A2 (fr) 2007-09-19

Similar Documents

Publication Publication Date Title
CN101070074B (zh) 用于通过多样化实现安全的系统的控制系统
AU2020201520B2 (en) General-purpose parallel computing architecture
CN100468321C (zh) 直接从内存执行自身指令的微处理器的装置和方法
JPH0769842B2 (ja) 資源の相互排他制御方法及びシステム
JPH0368060A (ja) デジタル処理装置および直列命令コードをコンパイルする方法
WO1997042571A2 (en) Adaptive process modelling and control of rule-based agents
US5291427A (en) Method for assisting the development of a set of communicating automata
CN104350504A (zh) 用于软件操作中的程序流的方法和装置
KR102471141B1 (ko) 전기 시설, 특히 핵 시설을 제어하기 위한 프로그래밍가능 논리 회로, 연관된 제어 디바이스 및 방법
CN106716348A (zh) 用于执行多个线程的数据处理设备中的共享资源
JP2020510268A (ja) 産業用プログラマブルロジックコントローラの、回復力を有しているフェイルオーバー
CN107875632A (zh) 实现人工智能行为的方法、系统及人工智能行为编辑器
CN109298865A (zh) 实现游戏技能可编程化的方法及装置
CN112464497A (zh) 基于分布式系统的故障演练方法、装置、设备及介质
CN104615412B (zh) 基于触发指令结构的执行控制流的方法及系统
CN109999497B (zh) 虚拟对象的控制方法和装置、存储介质和电子装置
Giua et al. GRAFCET and Petri nets in manufacturing
CN110377332B (zh) 安全计算机平台软件程序在线换装方法
CN107038086A (zh) 安全计算机平台热备控制逻辑安全分析方法
Kleijn et al. A process algebra based verification of a production system
RU2487383C1 (ru) Устройство ввода дискретных сигналов в резервированную систему управления для стендовых испытаний ракетно-космической техники
EP4137939A1 (en) Pre-staged instruction registers for variable length instruction set machine
US3444524A (en) Method and system for coordinating binary information whereby to transmit control commands
US3157862A (en) Controller for a computer apparatus
JPH06168157A (ja) プログラムテスト装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: ALSTOM TRANSPORT TECHNOLOGY CO., LTD.

Free format text: FORMER OWNER: ALSTOM TRANSP S. A.

Effective date: 20150506

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20150506

Address after: French Levallois Perret

Patentee after: ALSTOM TRANSPORT TECHNOLOGIES

Address before: French Levallois Perret

Patentee before: Alstom Transport S.A.

CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: The French Saint Ouen

Patentee after: ALSTOM TRANSPORT TECHNOLOGIES

Address before: French Levallois Perret

Patentee before: ALSTOM TRANSPORT TECHNOLOGIES

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20111109

CF01 Termination of patent right due to non-payment of annual fee