CN103313902A - 可重配置的多单元车辆的引导系统的安全保护方法和安全化引导系统 - Google Patents
可重配置的多单元车辆的引导系统的安全保护方法和安全化引导系统 Download PDFInfo
- Publication number
- CN103313902A CN103313902A CN2011800495719A CN201180049571A CN103313902A CN 103313902 A CN103313902 A CN 103313902A CN 2011800495719 A CN2011800495719 A CN 2011800495719A CN 201180049571 A CN201180049571 A CN 201180049571A CN 103313902 A CN103313902 A CN 103313902A
- Authority
- CN
- China
- Prior art keywords
- unit
- computing machine
- unit vehicle
- generating apparatus
- composition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or vehicle train for signalling purposes ; On-board control or communication systems
- B61L15/0072—On-board train data handling
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or vehicle train for signalling purposes ; On-board control or communication systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or vehicle train for signalling purposes ; On-board control or communication systems
- B61L15/0018—Communication with or on the vehicle or vehicle train
- B61L15/0036—Conductor-based, e.g. using CAN-Bus, train-line or optical fibres
Abstract
本发明描述一种多单元车辆的引导系统的安全保护方法以及所述多单元车辆的安全化引导系统。所述引导系统的特征在于包括:测定多单元车辆的组成的测定装置,能够自主地测定多单元车辆的组成并生成与所述多单元车辆的组成相关的组成数据;至少一个计算机(5),所述计算机(5)用于配备给多单元车辆的至少一个单元(1,2,3),每个计算机(5)可通过至少一个连接和通过一个网络一方面与用于给一或多个单元配备的输入/输出模块(91)的一组输入/输出连接,另一方面与多单元车辆的组成的所述测定装置连接,以与每个输入/输出模块(91)交换单元(1,2,3)和/或多单元车辆的运行数据,和用以从所述测定装置获取所述多单元车辆的组成数据;对每个计算机与所述一组输入/输出的所述专用连接进行动态安全化的至少一个动态安全化模块(6),所述安全化模块用于配备给至少一个计算机(5),所述安全化模块(6)能够从所述组成数据确定所述一组输入/输出的有效性,并周期性地或足够频繁地监控在每个计算机(5)与所述一组输入/输出的每个连接之间的一致性。
Description
根据权利要求1和7的前序部分,本发明涉及多单元车辆的引导系统的安全保护方法和所述多单元车辆的安全化引导系统。
特别地,本发明涉及可重配置的多单元车辆的领域,即,能够由多个单元组成并且所述多单元车辆的所述单元的配置或组成是可变的,或换句话说,能够被修正或重配置。优选地,本发明涉及多单元车辆,车辆的引导系统,尤其是自动引导系统的运行与多单元车辆的组成是相关的。
所述多单元车辆特别地归属铁路领域。这例如涉及可由多个单元形成的列车,例如相互相继接合或挂接并组成所述列车的第一车列多个车厢和/或机车。所述列车的组成以及因而所述第一车列的组成从而可通过所述第一车列的分开或接合变化,以形成由所述第一车列的至少一部分单元组成的第二车列,其它的单元可与所述至少一部分单元挂接。因此,多单元车辆的组成可根据形成所述多单元车辆的所述单元的布置或分布的更改,以及分别地通过把至少一单元添加到所述多单元车辆和/或从所述多单元车辆去除进行变化。
为了确保由按照形成顺序布置的多个单元组成的这类多单元车辆的安全性,特别地需要使得可以从用于引导所述多单元车辆的引导系统得知所述多单元车辆的组成数据,例如组成多单元车辆的单元数,所述单元的特征,在这些单元之间的关系,与一或两个其它单元的接合或挂接。该引导系统通常包括计算机,所述计算机与输入/输出模块相连接,特别是允许与多单元车辆的引导相关的运行数据的采集和传输。计算机从而能够通过输入/输出模块特别是根据自动模式或根据手动模式引导所述多单元车辆,在所述手动模式中引导系统从而计算机能够由司机或监控中心进行监控。实际上,运行数据特别地通过输入/输出模块在所述计算机和在组成所述多单元车辆的至少一部分单元中所包含的装置之间进行交换,以保证其运行。所述运行数据的交换可例如在计算机和所述装置之间,经过所述输入/输出模块,通过使用双向连接来实施。以所述多单元车辆的组成数据和与至少一部分所述单元的所述装置可交换的与引导相关的运行数据为基础,计算机和输入/输出模块从而用于允许和保证对多单元车辆的引导,或换句话说其正确运行(移动、停车、车门的开启,...)。在所述多单元车辆的配置更改时(与其它单元分开,接合)时,所述组成数据应被更新,以使得引导系统,特别地其计算机被通知所述配置更改,和能够使所述多单元车辆的组成更改与和引导相关的运行数据的更改相关联。实际上,如果计算机没有被通知多单元车辆的组成更改,具有这样的风险:将从多单元车辆上摘钩的单元(从而不再能够传输与引导相关的运行数据)的运行数据的拒收解译为对于所述多单元车辆的安全风险,可自此产生自多单元车辆的安全保护程序的激活,例如紧急制动。
多单元车辆的引导系统的特征特别是在于高运行安全度,以避免可能对所述多单元车辆或乘客或由所述多单元车辆运输的货物造成损害的各种事件。这类引导系统的安全性以安全标准为特征。特别地,IEC61508标准规定SIL(Safety Integrity Level安全完整性等级),即系统应具有的以保证在所述系统运行时对会突然发生的风险进行适当保护的安全完整性水平。SIL的值越高,风险降低越大。例如,SIL4安全系统在连续操作模式下提供在108到109之间的风险降低,而对于SIL1系统,这种风险降低仅仅在105到106之间。
为了能够在安全方面保证对多重导向车辆进行引导,需要能够保证使得引导系统的计算机精确地知晓所述多单元车辆的组成和配置(例如,哪些是组成一列车的单元和单元根据何种形成顺序排序,或换句话说,单元按何种顺序接合或挂接),以使得计算机能够与多单元车辆的单元交换引导所述多单元车辆的所需的所有运行数据。
此外,在例如当列车被分为多个部分时更改多单元车辆的组成的情形中,引导系统的计算机应被快速地通知所述组成更改,例如以允许不再取用在分开时已从列车摘钩的单元的运行数据,以及不陷入这样安全状态——作为结果多单元车辆网络的监测中心报警或甚至安全化程序激活,如所述多单元车辆的紧急制动。
不幸的是,本领域专业人员所周知的安全保护(SIL4)引导系统,无论是自动的或手动的,主要基于“封闭式”计算机,对于“封闭式”计算机,输入/输出设备外围不可重配置,即计算机与输入/输出模块的固定的一组输入/输出相连接,这些输入/输出设备固定地将计算机与通过所述计算机进行管理的单元的某些功能装置相连接,从而在更改多单元车辆的配置时不可重配的。通过功能装置,参照与引导系统相互作用的各种装置,以允许对所述多单元车辆进行引导。这例如涉及制动装置,车门开启装置,允许或监测所述多单元车辆的移动的装置等。自此,对多单元车辆的管理通常实施多个计算机,每个计算机管理多单元车辆的一部分,每个计算机与输入/输出设备相连接,将输入/输出设备固定地与计算机所管理的多个该单元的某些功能装置相连接。尽管通过来自每个计算机的信息校验而获知多单元车辆的组成,然而引导系统的这种设计具有这样的缺点:应管理在不同计算机上分布的功能,特别是需要所述计算机的同步算法,同步算法的复杂性随着组成多单元车辆的单元数增大。
现今,多单元车辆的组成或构成从而通常从在所述车辆的不同计算机之间交换的多个应用性信息的校验进行推断。这些应用性信息是来自多单元车辆的其它装置的信息,这些装置都不具有对所述多重导向车辆的组成进行测定的首要任务。这例如涉及多单元车辆的车头和车尾的定位数据(所述定位数据通过车载定位装置或地面定位装置被传输到计算机),或单元的挂接状态的数据,或多单元车辆的列表,该列表通过在所述多单元车辆中的非车载的地面自动驾驶仪传输到计算机上。这些应用性信息的校验具有复杂和缓慢的缺点,而且从而降低所述多单元车辆的引导性能。实际上,在计算机之间的应用性信息的交换的复杂性引起引导系统的性能损失,以及更大的所述引导系统的实施复杂性,和因此更大的显示和保持所述引导系统的安全性的难度。此外,这些应用性信息对于一个项目到另一项目可是不同的,这损害算法的通用性。
本发明的一个目的在于提出一种可重配置的多单元车辆的引导系统的安全保护方法和一种安全化引导系统,所述方法和系统简易、安全、可靠和有效,能够进行多单元车辆的组成的自动和自主更新,同时具有SIL4安全保护能力。实际上,本发明的对象在于独立于应用性信息,对多单元车辆的组成的测定和自动更新,以在安全上对多单元车辆的引导系统进行保证。
为此,通过权利要求1、7和12的内容提出引导系统的安全保护方法、安全化的引导系统和对多单元车辆的组成的测定进行辅助的辅助装置。一组子权利要求也具有本发明的优点。
本发明提出用于配备给可重配置的多单元车辆并对其进行引导的的引导系统的安全保护方法,所述多单元车辆特别地包括其中一个可与另一相继挂接的至少两个单元,所述方法的特征在于,所述方法包括:
-利用测定多单元车辆的组成的装置,优选地所述测定装置,自主地测定——优选地自动地并且自主的测定——所述多单元车辆的与所述多单元车辆的组成数据的生成相关联的组成;
-把所述组成数据传输到——优选地自动地并且自主地传输到——所述引导系统的一组元件,所述一组元件的至少一个元件是所述引导系统的计算机;
-通过所述计算机和通过所述组成数据确定用于配备给多单元车辆的至少一个输入/输出模块的一组输入/输出——优选地周期性地和自动地,所述输入/输出模块例如配备给所述多单元车辆的单元和允许在计算机和所述单元的功能装置之间的数据通信和交换,特别是用于对功能装置进行监控和保证其正确运行;
-所述一组元件的每个元件和从而所述计算机与所述一组输入/输出的连接,特别地所述一组元件的每个元件与所述一组输入/输出的每个输入/输出是可连接的。
本发明还提出可重配置的多单元车辆的安全化引导系统——优选地是自动的引导系统,所述多单元车辆例如包括其中一个可与另一个相继挂接的至少两个单元,其特征在于,所述系统包括:
-多单元车辆的组成的测定装置,能够自主地测定多单元车辆的所述组成,和生成与所述多单元车辆的所述组成相关的组成数据,所述测定特别是自主的并且特征在于所述测定独立于各种应用性信息;
-包括至少一个安全化模块的至少一个计算机,所述计算机用于配备给多单元车辆的至少一个单元,每个计算机通过至少一个连接并经由网络而能够一方面与用于配备给一个或多个单元的输入/输出模块的一组输入/输出连接,另一方面与多单元车辆的组成的所述测定装置连接,以便经由每个输入/输出模块交换单元和/或多单元车辆的运行数据并从所述测定装置获取所述多单元车辆的组成数据,所述网络特别是用于允许在每个识别身份生成装置和每个计算机之间、在每个计算机和每个输入/输出模块之间和在计算机之间进行通信;
–对每个计算机与所述一组输入/输出的所述连接进行动态安全化的动态安全化模块,所述安全化模块用于配备给至少一个计算机,和能够从所述组成数据确定可能连接到每个计算机的所述一组输入/输出,将每个计算机连接到所述一组输入/输出,特别是连接到所述一组输入/输出的每个输入/输出,和周期性或足够频繁地(例如,以每小于或等于100毫秒的时隙进行至少一次监控)监控在每个计算机与所述一组输入输出的每个连接之间的一致性,特别是在每个计算机与所述一组输入/输出的每个输入/输出的每个连接和所述组成数据之间的一致性。特别地,每个计算机可包括根据本发明的安全化模块。
换句话说,根据本发明的方法是多单元车辆的引导系统的安全保护方法——优选地是自动的并且特别地是SIL4安全保护方法,所述方法能够在任何时刻和可靠地测定多单元车辆的组成,并且在任何时刻通过至少一个计算机与和多单元车辆的所述组成相关联的所述一组输入/输出的联合,保证在多单元车辆的组成和多单元车辆的引导系统的运行数据之间的一致性。有利地,根据本发明的方法的特征特别是在于一种周期性检验,特别是按照随机或固定频率,不过在所有情形中是足够频繁的检验(例如,以每小于或等于100毫秒的时隙进行至少一次校验),特别是通过安全化模块检验在所述一组元件的每个元件与所述一组输入/输出的连接和所述组成数据之间的一致性。
特别地,本发明的特征在于,所述一组元件包括或是能够分布在所述多单元车辆的每个单元中的一组计算机。换句话说,根据本发明的引导系统优选地包括所述一组计算机,所述一组计算机可由相同的多个计算机组成,每个计算机可特别是分布在多单元车辆的一单元中,以使得能够用至少一个计算机配备每个单元。有利地,根据本发明的安全化模块特别地能够将连接专用地把所述一组输入/输出,特别是分配到所述一组输入/输出的每个输入/输出,分配给所述一组计算机的单个计算机,而所述一组计算机的其它计算机从所述连接被排除,或换句话说,禁止访问所述一组输入/输出。为此,根据本发明的方法能够包括所述一组计算机的至少一个计算机与所述一组输入/输出的连接的安全化和优先化机制,能够专用地将与所述一组输入/输出的所述连接分配到所述计算机。所选中的专用于访问所述一组输入输出的计算机被称之为主计算机。有利地,所述一组计算机的至少另一计算机特别地可与主计算机是可联合作为所述主计算机的冗余计算机。根据本发明的引导系统特别是能够不仅是在一组计算机之间选择主计算机,也能够在一组计算机之间指定冗余计算机。出于引导系统的检验和安全化的目的,冗余计算机能够执行与主计算机相同的操作,获取与主计算机相同的组成和运行数据。在主计算机出现故障的情形中,冗余计算机能够替代所述主计算机和能够重新指定冗余计算机。
优选地,所述安全化和优先化机制包括生成编码绑定令牌,编码绑定令牌能够将所述一组计算机的至少一个计算机与所述一组输入/输出的所述连接锁定,以及生成解锁密钥,解锁密钥能够将所述一组计算机的至少一个计算机与所述一组输入/输出的所述连接解锁。为此,引导系统的至少一个计算机特别是可配备有安全化模块,所述安全化模块包括能够将计算机与所述一组输入/输出的每个输入/输出的每个连接锁定的锁定模块。锁定模块特别是包括编码绑定令牌生成器,一方面能够特别是周期性地生成所述编码绑定令牌,以将所述计算机与所述一组输入/输出的每个输入/输出设备的每个连接锁定,另一方面生成所述解锁密钥,解锁密钥能够将所述计算机与所述一组输入/输出的至少一个输入/输出的至少一个连接解锁。
此外,根据本发明的方法的特征特别是在于,所述自主测定包括根据所述多单元车辆的组成顺序将所述多单元车辆的每个单元的至少一个识别数据相继地和有序地添加到列表,以使得在所述列表中所包含的识别数据的序列顺序与所述多单元车辆的单元的组成顺序相关联,每个识别数据对于多单元车辆的特定单元是特有的,并且所述列表能够被封装在所述组成数据中。特别地,识别数据包括至少一个时间数据、单元的识别码、编码常数和所述单元的设备的至少一个识别码。
优选地,根据本发明的引导系统的特征特别是在于,多单元车辆的组成的测定装置包括至少一个识别身份生成装置,测定装置的每个识别身份生成装置用于配备给多单元车辆的单元,以使得每个单元能够被配备有特定的识别身份生成装置,每个识别身份生成装置能够生成其被配备到的单元的识别数据。同样地,根据本发明的方法的特征从而特别在于,用相同的所述识别身份生成装置——能够生成用于测定所述多单元车辆的组成的所述识别身份数据——配备所述多单元车辆的每个单元,以使得多单元车辆的每个单元能够包括相同的识别身份生成装置,每个识别身份生成装置与至少另一识别身份生成装置是可连接的或可耦合的,以形一系列成识别身份生成装置——每个配备给所述多单元车辆的一个单元而且相继地相互耦合。
特别地,所述识别身份生成装置一方面用于允许对包括至少一个单元的多单元车辆的组成的测定,和另一方面能够配备给所述多单元车辆的所述引导系统,其特征在于,所述识别身份生成装置包括:
-识别数据生成器,能够生成识别身份生成装置配备给的单元的所述识别数据,所述识别数据用于允许对所述单元进行识别;
-连接探测器,所述连接探测器能够探测所述识别身份生成装置与至少另一识别身份生成装置是否存在耦合;
-列表生成器,所述列表生成器能够创建用于包括能够被排序和相继添加的要素的要素列表;
-串行化元件,所述串行化元件能够将另一要素添加到所述列表,其或者接续在要被所述识别身份生成装置接收的所述要素列表的可相继排序的最后一个要素之后,或者作为能够由所述列表生成器创建的所述要素列表的第一个要素,所述另一要素包括所述识别数据;
-列表发送器,在把所述要素列表封装在所述多单元车辆的组成数据中之后,所述列表发送器能够将包括所述另一要素的所述要素列表传输到另一识别身份生成装置,或至少一个计算机,该计算机特别是包括多单元车辆的引导系统的所述安全化模块。
优选地,多单元车辆的组成的所述测定通过所述识别身份生成装置根据以下步骤实施:
-通过多单元车辆的每个单元的每个识别身份生成装置生成所述识别数据,所述识别数据用于允许对所述生成装置配备给的单元进行识别,所述生成能够通过所述识别数据生成器实施;
-对于每个识别身份生成装置,通过所述连接探测器探测所述识别身份生成装置与至少另一识别身份生成装置是否存在耦合;
-在对于所述多单元车辆的至少一个识别身份生成装置,探测存在与能够与之联接的特定的另一识别身份生成装置的耦合的情形下,根据本发明的所述方法包括以下的子步骤:
a.通过所述识别身份生成装置的所述列表生成器——以存在与特定的另一识别身份生成装置的耦合为特征——创建用于包括可相继排序的要素的要素列表,所述列表包括第一要素,所述第一要素包括用于由所述识别身份生成装置——以存在与特定的另一识别身份生成装置的耦合作为特征——配备的单元的所述识别数据,所述第一要素是通过列表生成器创建的列表的第一要素,在进行创建后通过识别身份生成装置——以存在与特定的另一识别身份生成装置的耦合作为特征——将所述列表传输到所述另一识别身份生成装置;
b.对于每个识别身份生成装置——对此所述探测能够探测存在与两个其它识别身份生成装置的耦合,接收可通过两个其它识别身份生成装置中的一个传输的所述列表,在所述列表的最后一要素之后将另一要素添加到所述列表和将所述列表传输到两个其它识别身份生成装置的另一识别身份生成装置,所述另一要素包括单元——由所述识别身份生成装置配备——的识别数据,对此,所述探测能够探测存在与两个其它识别身份生成装置的耦合;
c.以及对于通过识别身份生成装置对所述列表的每次接收——对此,所述探测能够探测存在与唯一的另一识别身份生成装置的耦合,在接收之后把一最新要素添加到所述列表的最后一个要素之后,继而把所述列表封装在所述组成数据中;
-在对于识别身份生成装置,探测所述的不存在与另一识别身份生成装置的耦合的情形中,根据本发明的所述方法包括,通过所述识别身份生成装置——以所述的不存在与另一识别身份生成装置的耦合作为特征——的列表生成器创建用于包括可相继排序的要素的一要素列表,所述列表包括第一要素,所述第一要素包括用于通过所述识别身份生成装置——以所述的不存在与另一识别身份生成装置的耦合作为特征——进行配备的单元的所述识别码,所述第一要素是通过列表生成器创建的列表的第一要素,所述创建跟随有所述列表在所述组成数据中的封装。
因此,可以通过引导系统的内部装置,即独立于将用于获取所述应用性信息的引导系统外的其它外部装置,借助多单元车辆的组成的测定装置的该识别身份生成装置或多个识别身份生成装置,来实现对多单元车辆的组成的测定。配备给多单元车辆的每个单元的每个识别身份生成装置从而是可与一个识别身份生成装置或相同的两个识别身份生成装置连接的,以形成识别身份生成装置的系列——这样的系列能够连续地传输所述列表。特别地,每个识别身份生成装置包括至少两个连接器,分别地第一和第二连接器,每个连接器用于所述识别身份生成装置与另一识别身份生成装置——即在所述识别身份生成装置系列中的相邻的识别身份生成装置之一——的耦合。
从多单元车辆包括多于两个单元开始,可通过位于所述系列的端部的两个识别身份生成装置中的一个甚至两个识别身份生成装置创建所述列表。所述组成的测定装置从而包括与多单元车辆所包括的单元相当的识别身份生成装置。每个这些识别身份生成装置能够生成其所配备给的单元的识别数据,和在所述列表被其相邻的一个识别身份生成装置——相应地相邻识别身份生成装置中的另一个——传输后,将所述识别列表传输到其相邻的识别身份生成装置中的另一个——相应地相邻识别身份生成装置中的一个。仅仅是位于系列端部的和具有唯一相邻的识别身份生成装置的识别身份生成装置,即对此探测存在与特定的另一识别身份生成装置的耦合的识别身份生成装置,被允许生成列表和/或将从其唯一的相邻识别身份生成装置接收的列表封装在所述识别数据中,以使得在系列末端将所述列表通过所述组成数据传输到引导系统的至少一个计算机的至少一个安全化模块。
有利地,所述列表生成器特别地能够周期性地创建所述列表。优选地,所述列表生成器能够在当所述连接探测器探测到所述识别身份生成装置与特定的另一识别身份生成装置或任何其它识别身份生成装置存在耦合时创建所述列表。因此,考虑到自所述列表经过整个识别身份生成装置系列起,所述列表可通过所述组成数据被相继地传输到计算机,通过位于系列端部的至少一个识别身份生成装置的列表生成器创建所述列表,允许当多单元车辆由至少两个单元组成时,对多单元车辆的组成进行监控和连续更新。同样地,通过与任何其它识别身份生成装置耦合的识别身份生成装置的列表生成器创建所述列表,允许当多单元车辆由单一单元组成时,对多单元车辆的组成进行所述监控和连续更新。此外,所述识别数据生成器特别地能够生成极化数据,所述极化数据能够允许通过所述识别身份生成装置的两个连接器中的单个连接器传输所述要素列表,以使得所述列表根据通过所述极化可规定的优先化方向经过所述识别身份生成装置系列。
根据本发明,包括所述引导系统的每个单元可以是独立的,即能够进行移动,以独立于所述单元外的各种其它引导系统管理移动和运行。此外,可与独立单元联合的引导系统能够监控和管理其它单元——这些单元可与该单元挂接或接合——的移动,无论这些其它单元包括至少另一独立单元和/或至少另一非独立单元。非独立单元,与所述独立单元相对,是这样的单元:其仅仅包括引导系统的一部分,特别地至少一个识别身份生成装置,每个这些装置与所述单元的网络是可连接的,所述单元的网络本身与能够与之接合或挂接的其它单元的网络可连接以形成多单元车辆的网络。因此,在接下来的文献中,独立单元将能够将根据本发明的所述引导系统装在列车上,而非独立单元将参照不具有车载的引导系统的整体性的单元。
多单元车辆从而能够通过可与一个或多个独立或非独立的单元接合或不接合的至少一个独立单元形成。在所有的情形中,独立单元中的一个的计算机特别地将负责对多单元车辆的引导和运行进行管理。优选地,独立单元中的一个的主计算机用于引导多单元车辆。可根据例如多单元车辆的形成顺序来实现用于引导所述多单元车辆的主计算机的自动指示,该形成顺序能够通过可由每个单元的每个计算机获取组成数据推导得到。所述形成顺序是可从所述组成数据。引导系统的安全化模块一方面能够将每个计算机连接到所述一组输入/输出以允许运行数据在每个计算机和多单元车辆的单元的功能装置之间的交换,以及另一方面允许使自动指示的所述主计算机与所述一组输入/输出的连接优先化,并使之与一冗余计算机相关联。通过优先化,尤其可参照与所述一组输入/输出对于一个计算机——优选地与单个计算机,例如所述主计算机,或甚至所述主计算机与其冗余计算机——的连接的专用分配。安全化引导系统的输入/输出模块的一组输入/输出允许将多单元车辆的每个计算机与所述多单元车辆的功能装置通过多单元车辆的网络连接,所述网络是多单元车辆的所有计算机公共的。因此,组成和运行数据可容易地和快速地通过所述网络向同一计算机,即所述主计算机集中来进行处理,这具有保证处理的快捷性的优点。
因此,对于包括多个独立单元的多单元车辆,根据本发明的引导系统能够在所述车辆的网络上分布的所有计算机中选择至少一个计算机,以使得其用作用于通过与所述一组输入/输出的连接直接与所述车辆的输入/输出模块关联的主计算机来进行例如是自动地引导。当计算机作为主计算机作用来引导所述车辆时,所述车辆的其它计算机特别地可处于待命状态,以使得仅仅由安全化模块选择作为主计算机的计算机监控对所述车辆的行驶。
借助于以下附图提供的实施和应用例的辅助将更好地理解本发明。在附图中:
图1是根据本发明的安全化引导系统的实施例。
图2是根据本发明的识别身份生成装置的实施例。
图3是根据本发明的安全化和优先化模块的安全化机制示例。
图4是根据本发明的多单元车辆的单元的自动接合/分开的实施例。
作为示例,图1示出适于对可重配置的多单元车辆进行引导的安全化引导系统,所述多单元车辆包括三个单元1,2,3。引导系统包括至少一个识别身份生成装置4,每个识别身份生成装置4用于配备给单元1,2,3。因此,每个单元1,2,3能够包括所述识别身份生成装置4。每个识别身份生成装置4与其相邻的识别身份生成装置是可连接的,以形成识别身份生成装置的串接。所述一个可以接在另一个后面的识别身份生成装置的串接形成所述根据本发明的多单元车辆的组成的测定装置。所述安全化引导系统此外包括用于配备给多单元车辆的每个独立单元1,2的至少一个计算机5,至少一个输入/输出模块91,并且所述安全化引导系统的至少一个所述计算机5包括至少一个安全化模块6,需要的话该模块内置在计算机5中。特别地,多个计算机5分布在多个独立单元1,2中并且多个输入/输出模块91分布在多个单元中,无论是独立的或是非独立的。多单元车辆的网络8允许使计算机5,安全化模块6,多单元车辆的组成的测定装置,输入/输出模块91和每个单元的功能装置7相连接,以使得这些装置或模块能够相互通信和交换信息,例如组成数据和运行数据。特别地,引导系统的输入/输出模块91允许计算机与一组输入/输出通过网络8进行连接,每个输入/输出设备能够将至少一个功能装置7与至少一个计算机5连接。每个计算机5特别地在由多单元车辆的组成的测定装置所提供的组成数据的基础上是动态地可重配置的,以实时保持和与所述多单元车辆的组成相一致的所述输入/输出设备的连接。
图2示出根据本发明的识别身份生成装置4的实施例。每个识别身份生成装置4特别是通过低速率的串行双向差动连接可与至少另一个相同的识别身份生成装置4a,4b连接的,特别地是可与如在图2上所示的相同的两个其它识别身份生成装置4a,4b连接。每个识别身份生成装置4,4a,4b包括识别数据生成器41,连接探测器42,列表生成器43,串行化元件44,列表发送器45和至少两连接器,分别为第一连接器46a和第二连接器46b,用于列表的采集和传输。第三连接器47可特别地将识别身份生成装置连接到单元或多单元车辆的网络。
此外,识别身份生成装置的连接探测器的特征特别在于,连接探测器能够在安全方面保证在第一连接器46a或分别地第二连接器46b的输入端提供并用于通过所述识别身份生成装置采集的列表,不会遭受邻道干扰或在第二连接器46b或分别地第一连接器46a上的各种其它耦合。为此,可与所述连接器46b,46a耦合的连接探测器特别地可包括至少一个电绝缘差动缓冲器422,特别是与第一连接器可连接的第一缓冲器422和与第二连接器可连接的第二缓冲器,以及光耦合接收器,特别是与第一连接器可连接的第一光耦合接收器,和与第二连接器可连接的第二光耦合接收器421。如有可能,对干扰和过压的保护元件可被添加到所述探测装置和滤波器,以在安全方面保证在第一和第二连接器46a,46b之间的绝缘。
优选地,所述串行化元件44可包括两个不同的数字元件441,442,例如FPGA(Field Programmable Gate Array现场可编程逻辑门阵列),能够实施所述列表的要素的串行化和去串行化的功能,以及在所述列表的最后一个要素之后添加另一要素的功能,特别是用以在安全方面保证列表不会通过连接器46a的识别身份生成装置去往连接器46b,或相反地,不向列表添加所述识别身份生成装置的识别数据。
此外,识别数据生成器41特别地能够生成极化信息,所述极化信息如有需要允许将包括所述识别数据的列表仅向所述第一或第二连接器46a或46b之一并且其中的唯一一个传递。最后,所述识别数据有利地可包括多种信息,允许对其所配备的单元进行识别,例如其所配备的单元的设备号或单元号。列表发送器45能够用作在多单元车辆的网络,例如以太网IP网络和识别身份生成装置之间的界面。为此,如有需要可包括数字元件,如可编程的FPGA逻辑电路。
在包括n个单元的多单元车辆的情形中——根据所述单元车辆的形成顺序连续地从1编号到n,标记1构成定位在多单元车辆的一端部的单元的特征,和标记n构成定位在另一端部上的单元的特征,能够通过相继地添加识别数据——构成组成所述多单元车辆的每个单元的特征——建立的列表示例由以下公式给出:
列表=H1·τ2n+1+τ2n·Id1+τ2n-1·Id2+…+τ2(n-i+1)·Idi+…+τ2·Idn
其中Idi=poli+Datai/τ,i=1,…,n
以及其中,
H1是构成列表创建的特征的时间数据;
τ是例如以48信息位表示的足够大的值的编码常数以保证SIL4安全性目标,从而τi具有伪随机的分布;
Idi是多单元车辆的单元i的识别数据;
poli是构成单元i的极性的特征的数据,极性简易地指示单元i是否在前进或后退方面与单元i-1挂接;
Datai是构成单元i的至少一个设备的特征的数据或单元i的识别号。
根据本发明的引导系统从而能够保证使得,至少一个计算机,优选地主计算机,以一致的方式与多单元车辆的功能装置的全体相连接,以保证对所述多单元车辆的引导。多单元车辆的组成的测定装置允许通过所述列表从组成所述多单元车辆的一个单元到另一个单元的传递来得知所述组成。在能够封装所述列表的组成数据的基础上,安全化模块优选地以排他方式将与分布在所述多单元车辆的网络上的一组输入/输出的连接与计算机关联,特别地与主计算机相关联,所述输入/输出用于将所述计算机与组成所述多单元车辆的单元的功能装置相连接。优选地,每个计算机与根据本发明的安全化模块相耦合,并且根据本发明的每个安全化模块能够根据所述组成数据进入活跃模式或拒动模式,以使得仅特定的安全化模块对于多单元车辆是活跃的。特别地,在每个所述安全化模块中可预规定的至少一个条件允许每个安全化模块确定其自有的运行模式,即要么所述活跃模式,要么所述拒动模式。所述可预规定的条件例如可与配备有包括所述安全化模块的计算机的单元在多单元车辆中的位置相关联。
图3示出根据本发明的引导系统的至少一个计算机与用于配备给多单元车辆的输入/输出模块的一组输入/输出的关联的安全化机制示例。一旦多车辆单元的组成数据被创建,根据本发明的方法的特征在于,安全化模块例如根据所述组成数据进行选择,以使得一个计算机或一组计算机,例如主计算机和其冗余计算机与输入/输出模块的一组输入/输出的连接安全化。为此,安全化模块特别地包括编码绑定令牌生成器,能够生成特别是包括被允许与所述输入/输出模块的输入/输出进行连接的计算机或计算机组的专有识别码的编码绑定令牌。安全化模块的锁定模块特别地能够将所述令牌传输到其输入/输出应与所述计算机或计算机组相连接的一组输入/输出模块,以保持与多单元车辆的所述组成数据相一致,并允许通过计算机或计算机组监控多单元车辆的功能装置。所述组成数据特别地允许安全化模块确定哪些输入/输出模块的哪些输入/输出应通过计算机或计算机组进行监控以保证多单元车辆的运行,从而确定哪些输入/输出应被连接到所述计算机或计算机组。
接收所述编码绑定令牌的每个输入/输出模块特别地在响应阶段能够定期地或足够频繁地发出确认消息,所述确认消息能够确认所述计算机与所述输入/输出模块的输入/输出的连接,和将所述确认消息传输到所述计算机,特别地传输到安全化引导系统的所述计算机的所述安全化模块。所述确认消息例如可定期地按照发送周期进行发送,其时间值,即持续时间可被预定。有利地,在响应阶段之前,可以有允许确认消息的生成和初始化的初始化阶段1。该初始化阶段的时间特别地大于所述发送周期的时间,以在另一计算机或另一计算机组有时间连接到所述输入/输出之前,在安全方面保证使得安全化机制有时间检测预先连接到输入/输出模块的输入/输出的计算机或计算机组失去与所述输入/输出的所述连接。大于发送周期的初始化阶段的持续时间可例如通过伪随机生成器进行保证,所述生成器被规定在确认消息的所述初始化阶段中持续地运行。
因此,在初始化阶段1结束时,通过输入/输出模块生成初始化的确认消息2。在接收3由引导系统的安全化模块传输的编码绑定令牌时,输入/输出模块能够在绑定阶段4期间使所述编码绑定令牌与初始化的所述确认消息相关联。在该绑定阶段结束时,所述确认消息5准备用于被定期地传输到安全化模块。有利地,在所述绑定阶段之后,该确认消息一方面包括计算机或计算机组的所述识别数据,以及另一方面包括与所述计算机或计算机组连接的输入/输出模块的输入/输出的识别以及时间数据,以验证确认消息的实时性。确认消息继而在响应阶段6,特别是周期性地被至少发送到已发送编码绑定令牌的所述安全化模块。所述安全化模块的锁定模块特别地能够给确认消息解码,以进行监控使得所述输入/输出模块的输入/输出与所述计算机或所述计算机组相连接,或使得不与其它计算机相连接。
有利地,当输入/输出模块通过其输入/输出设备与计算机或计算机组连接时,所述输入/输出模块特别是周期性地按所述发送周期生成所述确认消息和没有任何其它计算机能够与之连接。为了将输入/输出模块从与计算机或计算机组的连接解除,所述锁定模块的绑定令牌生成器能够生成解锁密钥,所述解锁密钥用于通过锁定模块被传输到其与计算机或计算机组的连接应被切断的一组输入/输出模块。在接收这类解锁密钥7时,输入/输出模块特别地能够使编码绑定令牌从初始化的确认消息分离,以修复所述初始化的确认消息。
在出现故障9时,例如在失去与安全化模块或计算机的连接或通信的情况下,通过回到确认消息的初始化阶段,输入/输出模块能够再初始化,以例如允许另一计算机的编码绑定令牌能够与所述初始化的确认消息相关联。
响应阶段6允许特别是周期性地通过所述确认消息将确认发送到安全化模块,所述确认消息确认所述输入/输出模块的输入/输出设备是相连接的并且通过计算机进行监控,例如主计算机,或通过计算机组,例如主计算机和其冗余计算机。所述安全化模块从而特别是能够持续地校验计算机与每个输入/输出模块的连接的一致性,对此,安全化模块接收所述确认消息和所述组成数据,从而在安全方面保证计算机与所述一组输入/输出的连接。
图4描述第一多单元车辆1与每个包括根据本发明的安全化引导系统的第二多单元车辆2的自动接合,以形成新的多单元车辆。在接合前,两多单元车辆,例如包括三个车厢的第一列车和包括两个车厢的第二列车,每个列车包括其本有的分布式安全化引导系统,每个多单元车辆的所述安全化引导系统相独立。第一多单元车辆1特别地包括三个单元,第二多单元车辆2包括两个单元。
第一多单元车辆1的引导系统特别地包括至少三个计算机51,52,53和至少三个输入/输出模块91,92,93,分别地通过第一网络81,例如以太网,CPL(Computer Program Library计算机程序库),Wifi接通。相似地,第二多单元车辆2特别地包括至少两计算机54,55和至少两输入/输出模块94,95——通过第二网络82接通。对于两多单元车辆的每个,安全化引导系统的至少一个计算机和至少一个输入/输出模块用于配备给一个单元,以使得每个单元包括至少一个计算机和至少一个输入/输出模块。因此,在该示例中,每个单元是一个独立单元。然而,所述第一和第二多单元车辆也可包括一个或多个非独立单元,每个非独立单元例如包括至少一个输入/输出模块和一个识别身份生成装置。
第一多单元车辆1的计算机51,52,53之一被选择用作第一多单元车辆1的主计算机,例如能够定位在所述第一多单元车辆1的一端部的计算机51,和如有需要第一多单元车辆1的计算机51,52,53的另一被选择用作冗余计算机,例如可定位在第一多单元车辆1的另一端部上的计算机53。相似地,第二多单元车辆2的计算机54,55之一被选择用作第二多单元车辆2的主计算机,例如在第二多单元车辆2的一端部上是可定位的计算机54,和如有需要第二多单元车辆2的计算机54,55中的另一个被选择作为冗余计算机,例如可定位在第二多单元车辆2的另一端部上的计算机55。一般性地,总是优选地是,安全化引导系统特别地包括可定位在——特别是在一独立单元中——多单元车辆的一端部上的主计算机,和所述主计算机的一个冗余计算机,即其冗余计算机,所述冗余计算机可定位在——特别是在一独立单元中——所述多单元车辆的另一端部上,以允许所述多单元车辆的有效分开。
第一多单元车辆1的其它计算机,相应地第二多单元车辆2的其它计算机,处于拒动状态,例如,第一多单元车辆1的计算机52。一般性地,对主计算机和冗余计算机的选择可基于使用编号的选择算法,例如IP地址或计算机号,或计算机在多单元车辆中的位置的确定,所述位置例如是多单元车辆的中心位置、车头或车尾位置,可从所述组成数据推导计算机的位置。优选地,对于第一和第二多单元车辆的每个引导系统,引导系统的计算机的安全化模块的至少一个安全化和优先化机制能够选择所述主计算机和其冗余计算机,并由此允许主计算机的优先化,或换句话说,主计算机与多单元车辆的输入/输出模块的输入/输出的排他连接,以使得仅仅主计算机能够监控用于配备给所述多单元车辆的输入/输出模块的输入/输出。冗余计算机能够在主计算机出现故障的情形下采取对所述输入/输出的监控。对于每个多单元车辆,能够实施所述安全化和优先化机制的所述安全化模块如有需要可根据用于每个所述多单元车辆的所述组成数据自动地进行选择。优选地,安全化模块能够通过其安全化和优先化机制选择用于为其配备的计算机作为主计算机。因此,安全化模块能够优选地使为其配备的计算机优先化。
因此,第一多单元车辆1的安全化模块6能够选择所述计算机51作为主计算机,以允许所述计算机通过第一网络81监控输入/输出模块91,92的输入/输出。相似地,第二多单元车辆2的安全化模块6能够选择所述计算机54作为主计算机,以允许其通过第二网络82监控第二多单元车辆2的输入/输出模块94,95的输入/输出。
有利地,根据本发明的每个计算机,当其是主计算机的冗余计算机时,特别是能够校验其背景与所述主计算机的背景的同步状态。优选地,主计算机和其冗余计算机,当冗余计算机的背景被校验与主计算机的背景同步时,能够与其可与之相连的输入/输出模块的输入/输出进行连接。特别地,主计算机的安全化模块6能够通过编码绑定令牌锁定所述主计算机和其冗余计算机与所述输入/输出设备的连接。优选地,当主计算机和其冗余计算机通过锁定连接而被连接至一组输入/输出时,仅仅主计算机被允许监控多单元车辆的功能装置,而冗余计算机能够校验由主计算机执行的操作和在主计算机出现故障时替代所述主计算机。
第一多单元车辆1的引导系统的特征还在于,所述引导系统包括至少一个识别身份生成装置,特别地,三个识别身份生成装置41,42,43,每个用于配备给第一多单元车辆1的一个单元。同样地,第二多单元车辆的引导系统包括两识别身份生成装置,每个用于配备给所述第二多单元车辆2的一个单元。因此,第一识别身份生成装置41,第二识别身份生成装置42和第三识别身份生成装置43的每个配备给第一多单元车辆1的一个单元,而第一识别身份生成装置44和第二识别身份生成装置配备给所述第二多单元车辆。第一多单元车辆1的识别身份生成装置41,42,43——相应地第二多单元车辆2的识别身份生成装置——中的一个可以与另一个相继连接以形成——相应地形成第二识别身份生成装置系列——第一识别身份生成装置系列,每个所述系列换句话说是根据本发明的多单元车辆的组成的第一测定装置及相应地第二测定装置。每个识别身份生成装置能够与一个或多个相邻的识别身份生成装置通信和交换数据,特别是根据本发明的所述列表。同样,对于第一或第二多单元车辆的引导系统,可从识别身份生成装置系列的一端部到另一端部,或换句话说,从多单元车辆的一端部到另一端部建立通信,即在从多单元车辆的车头到车尾的第一方向上,例如从位于多单元车辆车头的识别身份生成装置41到位于所述多单元车辆车尾的识别身份生成装置43,或相反地,从多单元车辆的车尾到车头,例如从位于车尾的识别身份生成装置43到位于车头的识别身份生成装置41,或甚至,同时在两方向上进行。对于第二多单元车辆的识别身份生成装置44,45也是如此。
有利地,第一多单元车辆1——相应地第二多单元车辆2——的识别身份生成装置41,42,43中的至少一个,特别地位于第一系列的端部,相应地位于第二系列的端部,能够使根据本发明的所述列表初始化,例如用于第一多单元车辆1的引导系统的第一列表,和用于第二多单元车辆2的第二列表。这些列表的每个优选地包括时间数据,例如日期,和允许对已针对其生成了列表的多单元车辆的组成进行编码。因此,对于第一多单元车辆1,第一列表将能够通过识别身份生成装置之一被初始化,和将允许对所述第一多单元车辆1的组成进行编码,而对于第二多单元车辆2,第二列表将能够通过识别身份生成装置之一被初始化,并且也将允许对其组成进行编码。对于第一和第二多单元车辆的每个引导系统,一旦第一列表,相应地第二列表,在所述第一系列,相应地在所述第二系列的一端部被初始化,所述第一列表,相应地所述第二列表在所述第一系列,相应地在所述第二系列的另一端部的方向上被传输到另一识别身份生成装置,以使得列表经过整个所述第一识别身份生成装置系列,相应地经过所述第二识别身份生成装置系列。第一多单元车辆1的每个识别身份生成装置41,42,43,相应地第二多单元车辆2的每个识别身份生成装置44,45能够在所述第一列表,相应地在所述第二列表中积聚或添加识别数据——在通过前一识别身份生成装置添加到所述第一列表,相应地所述第二列表中的最后一个要素之后(例如在最后的识别数据之后)。位于所述第一系列,相应地所述第二系列的另一端部上——即位于系列末端——的识别身份生成装置,特别地能够在第一多单元车辆1的情形中尤其以周期性的方式通过所述第一网络81把在组成数据中封装的所述第一列表,相应地所述第二列表传输到主计算机51和其冗余计算机53,以及在第二多单元车辆2的情形中,通过所述第二网络82传输到主计算机54和其冗余计算机55。
特别地,在通过位于系列端部的每个识别身份生成装置对所述列表初始化的情形中,即在系列的一端部对第一列表的第一初始化,和在系列的另一端部对第二列表的第二初始化,和两列表的每个在所述识别身份生成装置系列中在相反的方向上进行传播,能够通过其连接器之一接收第一列表和通过其连接器另一接收第二列表的识别身份生成装置特别地能够创建包括第一列表的要素的新列表,在第一列表的要素上首先添加通过能够接收第一和第二列表的所述生成装置创建的识别数据,继而创建包括第二列表的要素的新列表。新列表从而包括组成多单元车辆的所有单元的识别数据。作为选择,能够通过其连接器之一接收第一列表和通过其另一连接器接收第二列表的识别身份生成装置能够选择要么第一列表,要么第二列表,即两列表之一,以向位于系列端部的识别身份生成装置传输该列表。因此,尽管生成两个列表,两个列表中的一个并且仅一个能够向位于系列端部的一个并且仅一个识别身份生成装置传播,所述识别身份生成装置用于承担组成多单元车辆的所有单元的识别数据的完整列表的创建。优选地,已创建所述新列表的识别身份生成装置此外能够在所述组成数据中封装所述新列表,以使得其特别是周期性地被传输到至少一个计算机,例如给每个多单元车辆配备的所有计算机,或优选地主计算机51和其冗余计算机53。
当第一多单元车辆1和第二多单元车辆2相接合,以形成新的多单元车辆3时——包括在第一多单元车辆1的单元之后挂接的第二多单元车辆2的单元,新的多单元车辆3的引导系统的自动重配置程序可以自动实施。
实际上,在两多单元车辆相接合时,识别身份生成装置是完全相同的和可相连接的,继而使得第一多单元车辆1的识别身份生成装置41,42,43与第二多单元车辆2的识别身份生成装置44,45是可连接的,以形成由第一系列与第二系列连接组成的新的识别身份生成装置系列,以及从而形成新的多单元车辆3的组成的新的测定装置。新的多单元车辆3的组成的这种新的测定装置能够自动地测定新的多单元车辆3的组成,和生成对新的多单元车辆3的所述组成进行编码的组成数据。相同地,在第一多单元车辆1与第二多单元车辆2接合时,第一网络81和第二网络82是可相连接的,以形成新的网络83,所述新的网络83是第一网络81和第二网络82的联合。
由第一和第二多单元车辆的识别身份生成装置形成的新的多单元车辆3的组成的新的测定装置,能够通过所述新的网络83将新的多单元车辆3的所述组成数据传输到新的多单元车辆3的全部计算机,特别是用以使得至少一个安全化模块接收所述组成数据。特别地,一旦由新的多单元车辆3的计算机41到45和由输入/输出模块91到95通过所述新的网络83采集到该组成数据,第一多单元车辆1的主计算机51和其冗余计算机53,以及第二多单元车辆2的主计算机54和其冗余计算机55能够通过其安全化模块从输入/输出模块的输入/输出——即当第一和第二多单元车辆不是相接合的时(即相独立时)与之连接的输入/输出模块的输入/输出——断开。有利地,自探测到所述组成数据变化起,根据本发明的每个引导系统借助其各自的安全化模块传输的所述解锁密钥——能够断开其计算机中的至少一个,特别地全部计算机,与所述一组输入/输出的连接。特别地,根据本发明的引导系统的安全化模块能够探测组成数据的所述变化,和断开至少一个计算机与所述一组输入/输出的连接,特别地主计算机和其冗余计算机与所述一组输入/输出的连接,以允许新的主计算机和其冗余计算机采取对其所连接的所述输入/输出的监控。
优选地,新的安全化模块6——例如根据新的多单元车辆3的组成数据进行选择——确定所述新的主计算机和其冗余计算机。优选地,新的主计算机位于新的多单元车辆3的一端部,例如计算机51,和其冗余计算机位于另一端部,例如计算机55。新的多单元车辆3的其它计算机52,53,54优选地处于拒动状态。
新的多单元车辆3的引导系统的新的安全化模块6继而以所述组成数据为基础,能够将至少一个计算机,特别地所述新的主计算机和其冗余计算机连接到新的多单元车辆3的输入/输出模块91到95的一组输入/输出。自安全化模块6能够使在与计算机相关联的输入/输出和组成数据之间的一致性生效起,新的多单元车辆3的引导系统能够采取对所述输入/输出的监控,以监控新的多单元车辆的功能装置,允许对其进行管控。
因此图4允许阐释配备有根据本发明的一安全化引导系统的多单元车辆的分开。在多单元车辆,例如所述新的多单元车辆3分为两或多个其它多单元车辆时,例如分为第一多单元车辆1和第二多单元车辆2,由识别身份生成装置41到45形成的所述新的多单元车辆的所述新的识别身份生成装置系列被解除,分为两部分,例如分为第一多单元车辆1的所述识别身份生成装置41到43的第一系列,和第二多单元车辆2的所述识别身份生成装置44,45的第二系列。同样地,新的多单元车辆3的网络83被分为第一多单元车辆1的第一网络81和所述第二多单元车辆2的第二网络82。
在分开后,新的多单元车辆3的识别身份生成装置系列的两部分的每个能够自主地和自动地生成新的组成数据——分别地构成第一多单元车辆1和第二多单元车辆2的特征。如前文以两多单元车辆接合所述,新的组成数据特别地能够通过至少一个安全化模块引起解锁密钥的生成,允许每个计算机与在所述新的多单元车辆3的配置中预先与之连接的输入/输出断开。有利地,所述解锁密钥能够被传输到根据本发明的安全化引导系统的每个安全化模块,以使得每个安全化模块能够在所述分开时把计算机与至少一个输入/输出的连接断开。特别地,主计算机51和其冗余计算机55与输入/输出模块91到95的输入/输出的连接能够通过所述解锁密钥被断开,所述解锁密钥能够通过安全化模块进行提供,即在分开时探测到组成数据变化的所述探测时,或在向所述新的多单元车辆的所述引导系统通知分开的预先进程时。
在另一附图情形中,特别是当所述分开没有被通知到所述新的多单元系统3的所述引导系统时,和如果安全化模块6在探测到所述组成数据的所述变化之前,探测到主计算机与在分开前与之预先连接的该或多个输入/输出模块的输入/输出的失去连接,这种失去连接可通过所述安全化模块和输入/输出模块被解译为特别是能够产生确认消息的再初始化的一种故障。确认消息的这种再初始化使得对于第一和第二多单元车辆的每个在分开后所选择的新的主计算机与给其单元配备的输入/输出模块的输入/输出的连接是可能的。
相对于现有技术——在探测到与已摘钩的单元的输入/输出模块的一部分输入/输出失去连接时主计算机会陷入安全环路状态,本发明在分开或接合时允许自动地使多单元车辆的新的组成与应由主计算机考虑的一组输入/输出相关联,以使得主计算机与其输入/输出当中的一部分失去连接不引起引导系统的紧急程序的激活。
对于包括多个独立单元的多单元车辆,在所述车辆的网络上分布的全部计算机中的至少一个计算机能够作为主计算机进行作用,以引导所述车辆,和以通过与所述一组输入/输出的连接直接地连接到所述车辆的输入/输出模块。当计算机作为主计算机进行作用来引导所述车辆时,所述车辆的其它计算机可特别地处于待命状态,以使得仅仅是由安全化模块识别为主计算机的计算机对所述车辆的引导进行监控,优选地,安全化模块识别其所配备的计算机作为主计算机。
最后,本发明允许描述安全化引导系统,所述安全化引导系统能够自主地发现例如列车的多单元车辆的组成,和在安全方面验证引导系统的至少一个计算机与在所述多单元车辆的网络上分布的输入/输出模块的一组输入/输出的正确连接。
安全化引导系统的安全化特别是,通过尤其是周期性地对在能够被与所述计算机连接和锁定的一组输入/输出和从由多单元车辆的组成的所述测定装置提供的组成数据推断的多单元车辆的组成之间的一致性进行监控来实施。特别地,能够描述可能组成所述多单元车辆的单元的一组特征的所述多单元车辆的组成数据和所述多单元车辆的一组可能配置,可用作对在能够与所述计算机连接和锁定的一组输入/输出和多单元车辆的组成之间的一致性的监控——特别是周期性的监控——的参照。
有利地,借助于直接访问多单元车辆的输入/输出组件和在单一计算机上集中与引导系统的安全化相关的软件处理的可能性,本发明允许多单元车辆的整体性的生效自由使用应用性等级的信息(例如定位)并提供更强大的处理适用性。
总而言之,根据本发明的引导系统的安全化方法和系统相对于已存的引导方法和系统具有许多优点,这样的优点在于:
-所述方法和系统允许多单元车辆的组成的测定的安全化的自主性:对组成的测定独立于由用于自动引导的计算机具有的应用性软件;
-所述方法和系统允许对列车的组成的动态修改,而不中断对所述多单元车辆的组成在安全方面的监控;
-所述方法和系统允许分布式的和可动态地重配置的安全化引导系统在SIL4安全性方面的使用;
-安全化和优先化机制允许一组输入/输出与至少一个计算机——特别地单一计算机——的连接的专用分配,和允许在安全方面直接将主计算机与安全输出端关联。这允许实现一种可动态重配置的分布式结构,和从而运行数据的集中化和在调度上的更大灵活性;
-所述方法和系统允许持续地获知多单元车辆的组成和输入/输出设备与主计算机的锁定状态。特别是,组成数据的更新与用于更新与主计算机连接的输入/输出的确认消息的发送周期是相兼容的;
-信息向一个计算机的集中允许简化自动引导系统的复杂性和从而降低安全分析的复杂性。通过输入/输出模块由一个计算机对多单元车辆的引导从而被安全化;
-所述方法和系统允许将单元添加到多单元车辆或相应地从多单元车辆自动取消单元。
Claims (15)
1.一种用于配备给多单元车辆并对所述多单元车辆进行引导的引导系统的安全保护方法,其特征在于,所述方法包括:
-利用测定所述多单元车辆的组成的测定装置自主地测定所述多单元车辆的与所述多单元车辆的组成数据的生成相关联的组成;
-把所述组成数据传输到所述引导系统的一组元件,所述一组元件的至少一个元件是所述引导系统的计算机(5);
-通过所述计算机(5)并借助所述组成数据确定用于配备给所述多单元车辆的至少一个输入/输出模块(91)的一组输入/输出;
-把所述一组元件的每个元件连接到所述一组输入/输出。
2.根据权利要求1所述的方法,其特征在于,所述一组元件包括一组计算机。
3.根据权利要求2所述的方法,其特征在于所述一组计算机的至少一个计算机(5)与所述一组输入/输出的连接的安全保护和优先化机制。
4.根据权利要求3所述的方法,其特征在于,所述安全保护和优先化机制包括生成编码绑定令牌和解锁密钥,所述编码绑定令牌能够将所述一组计算机的至少一个计算机(5)与所述一组输入/输出的所述连接锁定,所述解锁密钥能够将所述一组计算机的至少一个计算机(5)与所述一组输入/输出的所述连接解锁。
5.根据权利要求1到4中任一项所述的方法,其特征在于,对在所述一组元件的每个元件与所述一组输入/输出的连接和所述组成数据之间的一致性,进行周期性的或足够频繁的检验。
6.根据权利要求1到5中任一项所述的方法,其特征在于,所述自主测定包括根据所述多单元车辆的组成顺序将所述多单元车辆的每个单元(1,2,3)的至少一个识别数据相继地和有序地添加到列表,以使得所述列表中所包含的识别数据的序列顺序与所述多单元车辆的单元(1,2,3)的组成顺序相关联,每个识别数据为所述多单元车辆中的特定单元(1,2,3)所特有,并且所述列表能够被封装在所述组成数据中。
7.一种多单元车辆的安全化引导系统,其特征在于,所述系统包括:
-测定所述多单元车辆的组成的测定装置,能够自主地测定所述多单元车辆的所述组成,并生成与所述多单元车辆的所述组成相关的组成数据;
-包括至少一个安全化模块(6)的至少一个计算机(5),所述计算机(5)用于配备给多单元车辆的至少一个单元(1,2,3),借助至少一个连接并经由网络(8),每个计算机能够一方面与用于配备给一个或多个单元(1,2,3)的输入/输出模块(91)的一组输入/输出连接,另一方面与测定所述多单元车辆的组成的所述测定装置连接,以便经由每个输入/输出模块(91)交换单元(1,2,3)和/或所述多单元车辆的运行数据并从所述测定装置获取所述多单元车辆的组成数据;
-对每个计算机(5)与所述一组输入/输出的所述连接进行动态安全化的所述安全化模块(6),所述安全化模块(6)能够从所述组成数据确定可能连接到每个计算机(5)的所述一组输入/输出,将每个计算机(5)连接到所述一组输入/输出,并监控在每个计算机(5)到所述一组输入输出的每个连接之间的一致性。
8.根据权利要求7所述的引导系统,其特征在于,所述引导系统包括一组计算机,以及所述安全化模块(6)能够使所述一组计算机中的单个计算机(5)与所述一组输入/输出的连接优先化。
9.根据权利要求7或8所述的引导系统,其特征在于,所述安全化模块(6)包括能够将所述计算机(5)与所述一组输入/输出的每个输入/输出的每个连接锁定的锁定模块。
10.根据权利要求8所述的引导系统,其特征在于,所述锁定模块包括编码绑定令牌的生成器,其能够生成编码绑定令牌和解锁密钥,所述编码绑定令牌能够将所述计算机(5)与所述一组输入/输出的每个输入/输出的每个连接锁定,所述解锁密钥能够将所述计算机(5)与所述一组输入/输出的至少一个输入/输出的至少一个连接解锁。
11.根据权利要求7到10中任一项所述的引导系统,其特征在于,测定所述多单元车辆的组成的所述测定装置包括至少一个识别身份生成装置(4),所述测定装置的每个识别身份生成装置(4)用于配备给所述多单元车辆的一个单元,每个识别身份生成装置(4)能够生成所配备单元(1,2,3)的识别数据。
12.一种允许对包括至少一个单元(1,2,3)的多单元车辆的组成进行测定的识别身份生成装置(4),所述识别身份生成装置(4)用于配备给所述多单元车辆的单元(1,2,3),其特征在于,所述识别身份生成装置包括:
-识别数据生成器,能够生成所述识别身份生成装置配备到的所述单元(1,2,3)的识别数据,所述识别数据用于允许对所述单元(1,2,3)进行识别;
-连接探测器,能够探测所述识别身份生成装置(4)与至少另一个识别身份生成装置(4)是否存在耦合;
-列表生成器,能够创建用于包括能够被排序并相继添加的要素的要素列表;
-串行化元件,能够将另一要素添加到所述要素列表,该另一要素或者接续在要被所述识别身份生成装置接收的相继排序的要素列表的最后一个要素之后,或者作为能够由所述列表生成器创建的所述要素列表的第一个要素,所述另一要素包括所述识别数据;
-列表发送器,在把所述要素列表封装在所述多单元车辆的组成数据中之后,所述列表发送器能够将包括所述另一要素的所述要素列表传输到另一识别身份生成装置(4)或者所述多单元车辆的至少一个计算机(5)。
13.根据权利要求12所述的装置,其特征在于,所述列表生成器能够周期性地或足够频繁地创建所述列表。
14.根据权利要求12到13中任一项所述的装置,其特征在于,所述识别身份生成装置(4)包括分别为第一连接器和第二连接器的至少两个连接器,每个连接器用于将所述识别身份生成装置(4)与另一识别身份生成装置(4)耦合。
15.根据权利要求14所述的装置,其特征在于,所述识别数据生成器能够生成极化数据,所述极化数据能够允许通过所述两个连接器中的单个连接器传输所述要素列表。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP10290624 | 2010-11-23 | ||
EP10290624.5 | 2010-11-23 | ||
PCT/EP2011/066032 WO2012069223A1 (fr) | 2010-11-23 | 2011-09-15 | Méthode de sécurisation d'un système de pilotage d'un véhicule multi-unité reconfigurable et système de pilotage sécurisé |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103313902A true CN103313902A (zh) | 2013-09-18 |
Family
ID=44651808
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011800495719A Pending CN103313902A (zh) | 2010-11-23 | 2011-09-15 | 可重配置的多单元车辆的引导系统的安全保护方法和安全化引导系统 |
Country Status (9)
Country | Link |
---|---|
US (1) | US8755957B2 (zh) |
EP (1) | EP2643198B1 (zh) |
KR (1) | KR20130140743A (zh) |
CN (1) | CN103313902A (zh) |
BR (1) | BR112013012848B1 (zh) |
CA (1) | CA2818605A1 (zh) |
ES (1) | ES2658184T3 (zh) |
HU (1) | HUE037885T2 (zh) |
WO (1) | WO2012069223A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109441280A (zh) * | 2018-09-12 | 2019-03-08 | 南京康尼机电股份有限公司 | 一种sil4安全级轨道车辆门控器的安全电路及其控制方法 |
CN113194472A (zh) * | 2021-03-31 | 2021-07-30 | 新华三技术有限公司成都分公司 | Agv无线接入方法及车载设备、网络设备、存储介质 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2992620B1 (fr) * | 2012-06-27 | 2014-08-15 | Alstom Transport Sa | Train et procede de determination de la composition d'un tel train en securite |
AT515454A3 (de) * | 2013-03-14 | 2018-07-15 | Fts Computertechnik Gmbh | Verfahren zur Behandlung von Fehlern in einem zentralen Steuergerät sowie Steuergerät |
CN108163012B (zh) * | 2017-12-27 | 2019-12-03 | 卡斯柯信号有限公司 | 一种支持列车动态连挂和解编的控制方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6144900A (en) * | 1998-04-17 | 2000-11-07 | General Electric Company | Automatic serialization of an array of wireless nodes based on coupled oscillator model |
DE19929644C2 (de) * | 1999-06-28 | 2002-02-21 | Deutsche Bahn Ag | System zur Initialisierung von Zügen auf Basis eines Datenkommunikationssystems, bei dem allen Kommunikationsteilnehmern die Informationen in der Initialisierungsphase zugänglich sind |
US8037204B2 (en) * | 2005-02-11 | 2011-10-11 | Cisco Technology, Inc. | Method and system for IP train inauguration |
DE102006018163B4 (de) | 2006-04-19 | 2008-12-24 | Siemens Ag | Verfahren zur automatischen Adressvergabe |
KR101110497B1 (ko) | 2007-11-30 | 2012-02-08 | 미쓰비시덴키 가부시키가이샤 | 열차 편성 인식 시스템 및 열차 편성 인식 장치 |
GB2461386B (en) * | 2007-12-21 | 2010-06-09 | Nomad Spectrum Ltd | Establishing a wireless connection between component vehicles where order/orientation information is used to issue instructions to components |
-
2011
- 2011-09-15 EP EP11757325.3A patent/EP2643198B1/fr active Active
- 2011-09-15 HU HUE11757325A patent/HUE037885T2/hu unknown
- 2011-09-15 BR BR112013012848-8A patent/BR112013012848B1/pt active IP Right Grant
- 2011-09-15 CA CA2818605A patent/CA2818605A1/en not_active Abandoned
- 2011-09-15 KR KR1020137013107A patent/KR20130140743A/ko not_active Application Discontinuation
- 2011-09-15 CN CN2011800495719A patent/CN103313902A/zh active Pending
- 2011-09-15 US US13/989,300 patent/US8755957B2/en active Active
- 2011-09-15 WO PCT/EP2011/066032 patent/WO2012069223A1/fr active Application Filing
- 2011-09-15 ES ES11757325.3T patent/ES2658184T3/es active Active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109441280A (zh) * | 2018-09-12 | 2019-03-08 | 南京康尼机电股份有限公司 | 一种sil4安全级轨道车辆门控器的安全电路及其控制方法 |
CN113194472A (zh) * | 2021-03-31 | 2021-07-30 | 新华三技术有限公司成都分公司 | Agv无线接入方法及车载设备、网络设备、存储介质 |
CN113194472B (zh) * | 2021-03-31 | 2023-03-31 | 新华三技术有限公司成都分公司 | Agv无线接入方法及车载设备、网络设备、存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CA2818605A1 (en) | 2012-05-31 |
ES2658184T3 (es) | 2018-03-08 |
KR20130140743A (ko) | 2013-12-24 |
EP2643198A1 (fr) | 2013-10-02 |
US8755957B2 (en) | 2014-06-17 |
HUE037885T2 (hu) | 2018-09-28 |
BR112013012848B1 (pt) | 2020-10-20 |
WO2012069223A1 (fr) | 2012-05-31 |
EP2643198B1 (fr) | 2017-11-01 |
US20130245865A1 (en) | 2013-09-19 |
BR112013012848A2 (pt) | 2016-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103313902A (zh) | 可重配置的多单元车辆的引导系统的安全保护方法和安全化引导系统 | |
CN205068381U (zh) | 一种用于轨道交通的安全计算机平台 | |
CN110376876B (zh) | 一种双系同步的安全计算机平台 | |
CN102238231B (zh) | Ctcs-3级无线闭塞中心设备及系统 | |
EP1769996A2 (en) | Railway control and protection system | |
CN109436025B (zh) | 一种磁悬浮列车的智能道岔控制系统和方法 | |
RU2577936C1 (ru) | Комплексное устройство безопасного информационного обмена и контроля локомотивных и стационарных устройств безопасности на железнодорожном транспорте | |
CN102740449B (zh) | 利用gsm-r网络的ctcs-3级列控系统车载无线传输系统 | |
CN106716275A (zh) | 控制和数据传输系统、网关模块、输入/输出模块和过程控制方法 | |
CN110435723A (zh) | 一种分布式区域计算机联锁系统 | |
CN105555638A (zh) | 双重安全关键的分布式系统中的非关键部件的软件更新 | |
KR20120125514A (ko) | 차상 트랜스폰더 장치 및 그 건전성 확인 방법 | |
CN104583049A (zh) | 铁路轨道设施的部件的本地操作 | |
KR101791918B1 (ko) | 가상 디바이스 인터페이스를 가지는 모듈형 열차 제어 시스템 | |
CN104317219B (zh) | 一种基于北斗定位的机车车载终端 | |
CN101003279A (zh) | 铁路车站多方向接发车进路防错办提示控制系统 | |
Bezzateev et al. | Joint safety and security analysis for complex systems | |
CN208173251U (zh) | 一种辐射监测系统及核电站 | |
Oh et al. | Design of train integrity monitoring system for radio based train control system | |
Sambamurthy et al. | Prevention of train accidents using wireless sensor networks | |
KR100414031B1 (ko) | 다중계 처리장치 및 다중계 처리장치에 접속된 콘트롤러및 다중계 처리시스템 | |
WO2020007532A1 (de) | Verfahren zum sicheren austausch und zur sicheren anzeige von zustandsdaten von sicherheitstechnischen komponenten | |
CN106414214A (zh) | 具有任务冗余和非对称通信能力的铁路安全关键系统 | |
JP6505525B2 (ja) | 踏切制御装置 | |
JP4102306B2 (ja) | 安全性の要求される鉄道運転プロセスの制御方法およびこの方法を実施するための装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130918 |