CZ2003601A3 - Electronic alarm device - Google Patents
Electronic alarm device Download PDFInfo
- Publication number
- CZ2003601A3 CZ2003601A3 CZ2003601A CZ2003601A CZ2003601A3 CZ 2003601 A3 CZ2003601 A3 CZ 2003601A3 CZ 2003601 A CZ2003601 A CZ 2003601A CZ 2003601 A CZ2003601 A CZ 2003601A CZ 2003601 A3 CZ2003601 A3 CZ 2003601A3
- Authority
- CZ
- Czechia
- Prior art keywords
- branch
- computer
- control
- execution
- block
- Prior art date
Links
- 238000005516 engineering process Methods 0.000 claims description 71
- 230000005540 biological transmission Effects 0.000 claims description 22
- 241000412626 Penetes Species 0.000 claims description 19
- 101100508810 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) INP53 gene Proteins 0.000 claims description 12
- 101100366621 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SRO77 gene Proteins 0.000 claims description 12
- 101100217143 Schizosaccharomyces pombe (strain 972 / ATCC 24843) arc1 gene Proteins 0.000 claims description 12
- 101150083500 sop-2 gene Proteins 0.000 claims description 12
- 238000011144 upstream manufacturing Methods 0.000 claims description 9
- 230000011664 signaling Effects 0.000 claims description 7
- SNKAWJBJQDLSFF-NVKMUCNASA-N 1,2-dioleoyl-sn-glycero-3-phosphocholine Chemical compound CCCCCCCC\C=C/CCCCCCCC(=O)OC[C@H](COP([O-])(=O)OCC[N+](C)(C)C)OC(=O)CCCCCCC\C=C/CCCCCCCC SNKAWJBJQDLSFF-NVKMUCNASA-N 0.000 claims description 5
- 235000013405 beer Nutrition 0.000 claims description 5
- 238000004891 communication Methods 0.000 description 29
- 230000000694 effects Effects 0.000 description 12
- 238000001514 detection method Methods 0.000 description 8
- 101150004026 SOP1 gene Proteins 0.000 description 7
- 101100366622 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SRO7 gene Proteins 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000013461 design Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000000034 method Methods 0.000 description 3
- 230000000712 assembly Effects 0.000 description 2
- 238000000429 assembly Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004900 laundering Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Landscapes
- Hardware Redundancy (AREA)
Abstract
Description
Oblast technikyTechnical field
Vynález se týká elektronického zabezpečovacího zařízení, zahrnujícího tři hlavní části, a to řídící část, prováděcí část a zadávací část. Řídící část obsahuje hlavní a záložní technologické počítače a rozbočovače.The invention relates to an electronic security device comprising three main parts, a control part, an execution part and an input part. The control part contains main and backup technological computers and hubs.
Dosavadní stav technikyBACKGROUND OF THE INVENTION
V České republice se v současné době pro zabezpečení dopravy na železničních tratích a v železničních stanicích používají jednak reléová zabezpečovací zařízení a elektronická zabezpečovací zařízení s reléovými výstupy. Reléová zabezpečovací zařízení v současné době již neplní všechny požadované funkce. Logické obvody reléových zabezpečovacích zařízení jsou tvořeny pevně určenými obvodovými vazbami sestavenými zejména ze speciálních zabezpečovacích relé první skupiny bezpečnostní funkce. Tato zařízení jsou pro každou jednotlivou aplikaci individuálně vyrobena a je obtížné je vyrábět pro každou aplikaci zvlášť. Také je obtížné tato zařízení ve fázi výroby a při uvádění do provozu testovat na případné výrobní a projekční závady. Reléová zařízení není snadné přizpůsobit nově formulovaným požadavkům na činnost zabezpečovacího zařízení a změnám v kolejišti. Tato reléová zabezpečovací zařízení zabírají velký zastavěný prostor. Také je známo, že tato zabezpečovací zařízení neposkytují požadovaný komfort pro obsluhující a udržující pracovníky. Reléová zabezpečovací zařízení se nemohou jednoduše připojit na systém dálkového ovládání a také možnost jejich propojení s nadřazenými systémy určenými pro podporu řízení dopravních procesů je nedostatečná.In the Czech Republic, relay security devices and electronic security devices with relay outputs are currently used to provide traffic on railway lines and at railway stations. At present, relay protection devices no longer fulfill all the required functions. The logic circuits of the relay interlocking devices consist of fixed circuit circuits composed mainly of special interlocking relays of the first group of the safety function. These devices are individually manufactured for each application and are difficult to manufacture separately for each application. It is also difficult to test these devices during production and commissioning for possible manufacturing and design defects. Relay devices are not easy to adapt to the newly formulated requirements for the operation of the signaling equipment and changes in the track. These relay protection devices occupy a large built-in space. It is also known that these security devices do not provide the required comfort for the operators and maintenance staff. Relay interlocking devices cannot easily be connected to the remote control system and the possibility of interconnecting them with higher-level systems designed to support the control of transport processes is insufficient.
Jsou známa elektronická zabezpečovací zařízení, která některé nedostatky reléových zabezpečovacích zařízení odstraňují.Electronic security devices are known which eliminate some of the shortcomings of the relay security devices.
Například je známo elektronické stavědlo s reléovými výstupy K-2000 české firmy Starmon, které pracuje jako systém s redundantní bezpečností v systému 2 ze 2.For example, the electronic interlocking with relay outputs K-2000 of the Czech company Starmon is known, which works as a system with redundant security in system 2 of 2.
Je známo též programovatelné zabezpečovací zařízení pro vlaky a posunující díly, zejména pro vlečky a důlní dráhy, české firmy C-MODUL, které rovněž pracuje jako systém s redundantní bezpečností v systému 2 ze 2 a používá reléové výstupy.Also known is the programmable safety device for trains and shunting parts, especially for sidings and mining tracks, of the Czech company C-MODUL, which also works as a system with redundant safety in system 2 of 2 and uses relay outputs.
Dále je známo procesorové zabezpečovací zařízení pro dálkové řízení navazujících železničních zabezpečovacích reléových a/nebo elektronických zařízení české firmy ARGO. Toto zařízení také pracuje v systému 2 ze 2.Further, there is known a processor interlocking device for remote control of related railway interlocking relay and / or electronic devices of the Czech company ARGO. This device also works in system 2 of 2.
V zahraničí jsou využívána jak reléová zabezpečovací zařízení, tak i elektronická zabezpečovací zařízení různých provedení. .Abroad, both relay protection devices and electronic security devices of various designs are used. .
Například zabezpečovací zařízení firmy SIEMENS se skládá ze speciální procesorové stavebnice SIMIS určené pro aplikace v zabezpečovacím zařízení. Zařízení pracuje v systému 2 ze 2 nebo 2 ze 3 s identickými HW kanály vybavenými identickým SW.SIEMENS security equipment, for example, consists of a special processor kit SIMIS designed for applications in security equipment. The device works in the system 2 of 2 or 2 of 3 with identical HW channels equipped with identical SW.
Dále je známo zabezpečovací zařízení firmy Bombardier, které pracuje v zálohovaném zdvojeném systému 2 ze 2 s identickými HW kanály s odlišným programovým vybavením.It is also known Bombardier security device, which operates in a back-up doubled system 2 of 2 with identical HW channels with different software.
Dále je znám mikroprocesorový bezpečnostní systém zejména pro železniční dopravu firmy CSEE-TRANSPORT, který je složen ze dvou paralelně uspořádaných mikroprocesorů, jejichž vstupy jsou napojeny přes analogově-číslicový převodník na výstup analogových vstupních čidel.Furthermore, a microprocessor-based safety system is known, in particular for railway transport by CSEE-TRANSPORT, which is composed of two parallel arranged microprocessors whose inputs are connected via an analog-to-digital converter to the output of analog input sensors.
Také je známo zabezpečovací zařízení firmy ALCATEL Austria, které pracuje v některých svých částech v systému 2 ze 2 a v dalších svých částech v systému 2 ze 3.ALCATEL Austria security equipment is also known, which works in some of its parts in system 2 of 2 and in other parts in system 2 of 3.
Nejbližším řešením je zabezpečovací zařízení typu ESA firmy AZD Praha s.r.o., Praha, Česká republika, podle českého patentu CZ 282 967. Toto zabezpečovací zařízení pracuje v systému 2 ze 2 se zálohou některých částí. Zabezpečovací zařízení sestává z řídící a prováděcí části. Řídící část sestává z hlavního rozbočovače, spojeného se zadávacím ' 2 *· · * počítačem, s hlavními technologickými počítači a se záložním rozbočovačem, který je spojen se záložním zadávacím počítačem a se záložními technologickými počítači. Technologické počítače jsou spojeny s prováděcí částí, přičemž prováděcí část je tvořena nejméně jedním panelem prováděcích počítačů. Panel prováděcích počítačů sestává z prováděcích počítačů, které spolupracují jednak navzájem a jednak dále s blokem nezabezpečených povelů, s blokem zabezpečených povelů, blokem indikací a. s bloky kontroly indikací. Řídící část může být doplněna též počítačem pro údržbu, který může být připojen přes redundantní tranceiver. Řídící část může být v odůvodněných případech doplněna o nadřízený systém, připojený hlavním mostem, případně i záložním mostem. Na základě vstupních údajů připojených zařízení na základě požadavků obsluhujících pracovníků ovládá připojená zařízení bezpečným způsobem. Zařízení zobrazuje pracovníkům obsluhy vybrané informace. Toto zebezpečovací zařízení bylo úspěšně realizováno na několika desítkách instalací v České republice a v zahraničí.The closest solution is the ESA security device of AZD Praha s.r.o., Prague, Czech Republic, according to the Czech patent CZ 282 967. This security device works in the system 2 of 2 with backup of some parts. The signaling equipment consists of a control and execution part. The control section consists of a main hub connected to the input computer, the main technology computers, and a backup hub that is connected to the backup input computer and the backup technology computers. Technological computers are connected to the execution part, the execution part consisting of at least one panel of execution computers. The execution computer panel consists of execution computers that cooperate with each other and on the other hand with a block of insecure commands, a block of secure commands, an indication block, and an indication control block. The control part can also be equipped with a maintenance computer, which can be connected via a redundant tranceiver. In justified cases, the control part can be supplemented by a superior system, connected by a main bridge or possibly a backup bridge. Based on the input data of the connected equipment, based on the requirements of the operating staff, it controls the connected equipment safely. The device displays selected information to operators. This security device has been successfully implemented in several dozen installations in the Czech Republic and abroad.
Během více jak šestiletého provozu tohoto zabezpečovacího zařízení se ukázaly některé nevýhody. V tomto řešení byla řídící část provedena tak, aby byla umožněna spolehlivá funkce zabezpečovacího zařízení při poruše hlavních technologických počítačů a rozbočovačů atp. Ukázalo se, že při poruše hlavních technologických počítačů a rozbočovačů nebyla vždy zaručena spolehlivá funkce, která se občas projevovala tak, že záložní počítače nedokázaly plně přebrat původní funkce hlavních technologických počítačů. Zabezpečovací zařízení podle CZ 282 967 nemělo vyřešeno detašování prováděcí části.During the more than six years of operation of this security device, some disadvantages have been shown. In this solution, the control part was designed to allow reliable function of the security device in case of failure of the main technological computers and hubs, etc. It turned out that in the event of failure of the main technology computers and hubs, reliable function was not always guaranteed, which sometimes resulted in the failure of backup computers to fully take over the original functions of the main technology computers. The security device according to CZ 282 967 has not solved the detachment of the execution part.
Elektronická zabezpečovací zařízení používaná v České republice vyžadují v případě poruchy zásah obsluhujícího pracovníka pro obnovení činnosti po poruše. Zahraniční zabezpečovací zařízení nejsou přizpůsobena funkčním požadavkům, které jsou pro tato zabezpečovací zařízeni v České republice stanovena.In the event of a breakdown, electronic security devices used in the Czech Republic require the intervention of the operator to restore operation after the failure. Foreign interlocking devices are not adapted to the functional requirements set for these interlocking devices in the Czech Republic.
Podstata vynálezuSUMMARY OF THE INVENTION
Úkolem tohoto vynálezu je nalézt procesorové elektronické zabezpečovací zařízení, které splňuje funkční požadavky kladené na tato zařízení v České republice a které lze snadno upravit pro požadavky jiných železničních provozovatelů.SUMMARY OF THE INVENTION It is an object of the present invention to provide a processor-based electronic signaling device which fulfills the functional requirements imposed on such devices in the Czech Republic and which can be easily adapted to the requirements of other railway operators.
Tento cíl splňuje elektronické zabezpečovací zařízení, zahrnující tři hlavní části a to řídící Část , prováděcí část a zadávací část, určené pro řízení navazujících zařízení, podle tohoto vynálezu, jehož podstata spočívá v tom, že řídící část sestává ze čtyřech technologických počítačů, které jsou prostřednictvím rozbovačů bezpečné datové sítě zapojeny do bezpečné datové sítě a prostřednictvím rozbočovačů řídící datové sítě zapojeny do řídící datové sítě. Přitom hlavní technologický počítač první větve a hlavní technologický počítač druhé větve jsou propojeny s hlavním rozbočovačem bezpečné datové sítě a hlavním rozbočovačem řídicí datové sítě. Záložní technologický počítač první větve a záložní technologický počítač druhé větve jsou propojeny se záložním rozbočovačem bezpečné datové sítě a záložním rozbočovačem řídící datové sítě. Hlavní rozbočovač bezpečné datové sítě je propojen se záložním rozbočovačem bezpečné datové sítě, hlavní rozbočovač řídící datové sítě je propojen se záložním rozbočovačem řídící datové sítě. Hlavní technologický počítač první větve a záložní technologický počítač první větve jsou propojeny s prováděcí část’ která sestává alespoň z jednoho vykonávacího zařízení. Hlavní technologický počítač druhé větve a záložní technologický počítač druhé větve jsou propojeny sfpróvaděčf částí. Hlavní rozbočovač bezpečné datové sítě je spojen alespoň s jednou sestavou ovládacích počítačů, která sestává alespoň z jednoho ovládacího počítače a případně alespoň jednoho pasivního ovládacího počítače.Záložní rozbočovač bezpečné datové sítě je případně spojen alespoň s jednou sestavou ovládacích počítačů, která sestává alespoň z jednoho ovládacího počítače a případně alespoň jednoho pasivního ovládacího počítače.This object is achieved by an electronic security device comprising three main parts, namely the control part, the execution part and the input part, intended to control the downstream devices according to the invention, which consists in that the control part consists of four technology computers which are secure data network splitters connected to a secure data network and connected to the control data network via hubs of the control data network. The main branch computer of the first branch and the main branch computer of the second branch are connected to the main hub of the secure data network and the main hub of the control data network. The backup branch computer of the first branch and the backup branch computer of the second branch are connected to the backup hub of the secure data network and the backup hub of the control data network. The master hub of the secure data network is connected to the backup hub of the secure data network, the master hub of the control data network is connected to the backup hub of the control data network. The first branch main processing computer and the first branch backup processing computer are connected to an execution portion that consists of at least one execution device. The second branch main processing computer and the second branch backup processing computer are interconnected with the part controller. The secure data network master hub is connected to at least one control computer assembly that consists of at least one control computer and possibly at least one passive control computer. The backup secure data network hub is optionally connected to at least one control computer assembly that comprises at least one control computer. a computer and optionally at least one passive control computer.
Toto elektronické zabezpečovací zařízení umožňuje rozčlenění řídicí části na dvě spolehlivostní části a dvě bezpečnostní větve, a to v následujícím uspořádání. Hlavní technologický počítač první větve, hlavní technologický počítač druhé větve, hlavní rozbočovač bezpečné datové sítě a hlavní rozbočovač řídící datové sítě tvoří první spolehlivostní část řídící části. Záložní technologický počítač pivní větve, záložní technologický počítač druhé větve, záložní rozbočovač bezpečné datové sítě a záložní rozbočovač řídicí datové sítě tvoří druhou spolehlivostní část řídicí části. Hlavní technologický počítač první větve a záložní technologický počítač první větve tvoří první bezpečnostní větev řídící části. Hlavní technologický počítač druhé větve a záložní technologický počítač druhé větve tvoří druhou bezpečnostní větev řídicí části.This electronic interlocking device allows the control part to be divided into two reliability parts and two safety branches in the following configuration. The first branch main technology computer, the second branch main technology computer, the secure data network main hub, and the master data network main hub form the first reliability portion of the control portion. The backup branch computer of the beer branch, the backup branch computer of the second branch, the backup hub of the secure data network and the backup hub of the control data network form the second reliability part of the control part. The main branch computer of the first branch and the backup branch computer of the first branch form the first safety branch of the control part. The second branch main technology computer and the second branch backup technology computer form the second security branch of the control portion.
Hlavní předností tohoto procesorového elektronického zabezpečovacího zařízení podle tohoto vynálezu je dosažení ekonomicky efektivní konfigurace s využitím možnosti jeho dálkového ovládání a detašování. Elektronické zabezpečovací zařízení podle tohoto vynálezu umožňuje úpravu svých funkcí podle požadavků libovolného provozovatele.The main advantage of this processor electronic security device according to the invention is the achievement of an economically efficient configuration using the possibility of its remote control and detachment. The electronic security device according to the present invention allows to adapt its functions according to the requirements of any operator.
Zabezpečovací zařízení podle tohoto vynálezu je ve svých rozhodujících částech zálohováno takovým způsobem, aby případná ztráta funkce zálohované části nezpůsobila žádné funkční omezení. Toto zabezpečovací zařízení pracuje bezpečným způsobem dle české normy ČSN 34 2600 a také v souladu s platnými evropskými normami EN 50 126/EN 50 159-1 a s připravovanou EN 50 129.The security device according to the invention is backed up in its critical parts in such a way that any loss of function of the backed up part will not cause any functional limitations. This safety device works in a safe way according to Czech standard ČSN 34 2600 and also in accordance with valid European standards EN 50 126 / EN 50 159-1 and with prepared EN 50 129.
Elektronické zabezpečovací zařízení podle tohoto vynálezu umožňuje spolupráci s navazujícími systémy sloužícími k podpoře řízení dopravy.The electronic security device according to the invention enables cooperation with downstream systems serving to support traffic management.
Za účelem výhodného uspořádání vykonávacího zařízení, které je určeno pro vydávání nezabezpečených povelů, zabezpečených reléových povelů, zabezpečených elektronických povelů, čtení vstupních indikací a bezpečných analogových vstupů , které komunikuje s hlavními technologickými počítači , řídící části nebo se záložními technologickými počítači řídící části, je vykonávací zařízení sestaveno z prováděcího počítače první větve, prováděcího počítače druhé větve, bloku nezabezpečených výstupů, bloku napájení, bloku bezpečných reléových výstupů, bloku vstupních indikací, bloku bezpečných elektronických výstupů, bloku analogových vstupů první větve, bloku analogových vstupů druhé větve, bloku kontroly vstupních indikací první větve, bloku kontroly vstupních indikací druhé větve, bloku kontroly bezpečných elektronických výstupů první větve a bloku kontroly bezpečných elektronických výstupů druhé větve. Prováděcí počítač první větve je spojen s řídící částí, blokem nezabezpečených výstupů, blokem napájení, blokem bezpečných reléových výstupů, blokem analogových vstupů první větve, blokem kontroly vstupních indikací první větve, blokem kontroly bezpečných elektronických výstupů první větve a prováděcím počítačem druhé větve. Prováděcí počítač druhé větve je dále spojen s řídicí částí , blokem nezabezpečených výstupů, blokem napájení, blokem bezpečných reléových výstupů, blokem analogových vstupů druhé větve, blokem kontroly vstupních indikací druhé větve a blokem kontroly bezpečných elektronických výstupů druhé větve. Blok vstupních indikací je spojen s blokem bezpečných reléových výstupů, blokem bezpečných elektronických výstupů, blokem kontroly vstupních indikací první větve a blokem kontroly vstupních indikací druhé větve. Blok bezpečných elektronických výstupů je dále spojen s blokem kontroly bezpečných elektronických výstupů první větve a blokem kontroly bezpečných elektronických výstupů druhé větve. Blok analogových vstupů první větve je dále spojen s blokem analogových vstupů druhé větve.In order to advantageously arrange an execution device that is intended for issuing unsecured commands, secure relay commands, secure electronic commands, reading of input indications and secure analog inputs, which communicates with the main technology computers, the control part or the backup technology computers of the control part, the device consists of a first branch execution computer, a second branch execution computer, a non-secure output block, a power block, a safe relay output block, an input indication block, a safe electronic output block, a first branch analog input block, a second branch analog input block the first branch, the second branch input indication control block, the first branch secure electronic output control block, and the secure control block electronic outputs of the second branch. The first branch execution computer is coupled to a control portion, a non-secure output block, a power block, a safe relay output block, a first branch analog input block, a first branch input control block, a first branch secure electronic output block, and a second branch execution computer. The second branch execution computer is further coupled to the control portion, the unsecured output block, the power block, the safe relay output block, the second branch analog input block, the second branch input indication block, and the second branch secure electronic output block. The input indication block is coupled to a safe relay output block, a safe electronic output block, a first branch input control block, and a second branch input control block. The secure electronic output block is further coupled to the secure electronic output control block of the first branch and the secure electronic output control block of the second branch. The analog input block of the first branch is further coupled to the analog input block of the second branch.
Pro dálkové ovládání elektronického zabezpečovacího zařízení se záložním propojením nadřazené a řídicí části, které zajišťuje vysokou spolehlivost systému, je k řídící části připojena nadřazená část, která sestává z mostu nadřazené části a nadřazeného systému, přičemž most nadřazené části je jednak spojen s hlavním a záložním rozbočovačem bezpečné datové sítě řídící části a jednak s nadřazeným systémem.To remotely control an electronic security device with a back-up master and control link that provides high system reliability, a master part is connected to the master part, which consists of a master bridge and master system, the master bridge being connected to the master and backup hubs secure data networks of the control part and also with the superior system.
V některých případech, kdy z provozních důvodů není vyžadováno záložní propojení nadřazené a řídicí části, je postačující, když elektronické zabezpečovací zařízení má k řídící části připojenu nadřazenou část, která sestává z mostu nadřazené části a nadřazeného systému, s tím, že most nadřazené části je jednak spojen s hlavním rozbočovačem^bezpečné datové sítě řídicí části a jednak s nadřazeným systémem.In some cases, when back-up of the master and control part is not required for operational reasons, it is sufficient that the electronic security device has a master part connected to the control part, which consists of the parent part bridge and the master system, with the parent part bridge being on the one hand, it is connected to the master hub of the secure data network of the control part, and on the other hand to the master system.
Optimální uspořádání nadřazené části je kupř. takové, kdy nadřazená část je připojena k nejméně jedné řídicí části, s tím, že most nadřazené části je tvořen nejméně jedním mostem směru, přičemž most každého směru je spojen jednak s každou odpovídající řídící částí nejméně jedním datovým spojem, jednak s nadřazeným systémem odpovídajícím dalším datovým spojem. Nadřazený systém sestává alespoň z jednoho rozbočovače dispečerské bezpečné datové sítě a alespoň jedné dispečerské sestavy ovládacích pracovišť, přičemž dispečerská sestava ovládacích pracovišť sestává alespoň z jednoho dispečerského ovládacího počítače, případně alespoň z jednoho dispečerského pasivního ovládacího počítače. Dispečerský ovládací počítač plní všechny funkce ovládacího počítače, avšak pro všechny připojené řídící části. Dispečerský pasivní ovládací počítač plní všechny funkce pasivního ovládacího počítače, avšak pro všechny připojené řídící Části. Pro vyšší podporu řízení dopravy může být použita graficko-technologická nadstavba a případně alespoň jedno rozhraní k informačnímu systému.The optimal arrangement of the upstream part is e.g. such that the upstream part is connected to the at least one control part, wherein the upstream bridge is formed by at least one direction bridge, wherein the bridge of each direction is connected to each corresponding control part by at least one data link, and to the upstream system corresponding to the other data link. The master system consists of at least one dispatching secure data network hub and at least one dispatching control station assembly, wherein the dispatching control station assembly consists of at least one dispatching control computer or at least one dispatching passive control computer. The dispatching control computer performs all functions of the control computer, but for all connected control parts. The passive control computer fulfills all functions of the passive control computer, but for all connected control parts. For higher support of traffic management it is possible to use a graphic-technological extension and possibly at least one interface to the information system.
V případě, že je potřeba vzdálit prováděcí část nebo i jen její část, má s výhodou elektronické zabezpečovací zařízení mezi řídicí část a prováděcí část vloženu přenosovou část, zahrnující přenosové zařízení, přičemž technologické počítače první větve a technologické počítače druhé větve jsou spojeny s přenosovým zařízením přenosové části a přenosové zařízení je spojeno s prováděcí částí.If the execution part or even part thereof needs to be removed, the electronic security device preferably has a transmission part including a transmission device interposed between the control part and the execution part, wherein the first branch technology computers and the second branch technology computers are connected to the transmission device. the transmission part and the transmission device being connected to the execution part.
Pokud je žádáno, aby vykonávací zařízení bylo určeno pro vydávání nezabezpečených povelů, zabezpečených reléových povelů, čtení vstupních indikací a bezpečných analogových vstupů, které komunikuje s hlavními technologickými počítači řídící části nebo se záložními technologickými počítači řídící části, je vykonávací zařízení tvořeno druhým panelem prováděcích počítačů. Druhý panel prováděcích počítačů z důvodu, že nejsou požadovány funkce prvního panelu prováděcích počítačů, tudíž neobsahuje, ve srovnání s prvním panelem prováděcích počítačů, blok bezpečných elektronických výstupů, blok kontroly bezpečných elektronických výstupů první větve a blok kontroly bezpečných elektronických výstupů druhé větve,If it is desired that the execution device is intended for issuing unsecured commands, secure relay commands, reading of input indications and secure analog inputs, which communicates with the master technology computers of the control part or with the backup technology computers of the control part, the execution device consists of a second panel of the execution computers. . Accordingly, the second execution computer panel, because the functions of the first execution computer panel are not required, does not contain, compared to the first execution computer panel, a secure electronic output block, a first branch secure electronic output block and a second branch secure electronic output block,
V některých případech je výhodné, když vykonávací zařízení je určeno pro vydávání nezabezpečených povelů, zabezpečených reléových povelů a čtení vstupních indikací, které komunikuje s hlavními technologickými počítači řídicí části nebo se záložními technologickými počítači řídící části. Takové vykonávací zařízení je tvořeno třetím panelem prováděcích počítačů. Třetí panel prováděcích počítačů neobsahuje oproti druhému panelu prováděcích počítačů blok analogových vstupů první větve a blok analogových vstupů druhé větve, jejichž funkce u třetího panelu prováděcích počítačů nejsou vyžadovány.In some cases, it is preferred that the execution device is intended to issue non-secure commands, secure relay commands, and read input signals that communicate with the master technology computers of the control part or the backup technology computers of the control part. Such an execution device comprises a third panel of execution computers. The third panel of executing computers does not contain, compared to the second panel of executing computers, the analog input block of the first branch and the analog input block of the second branch, whose functions are not required in the third panel of executing computers.
Vykonávací zařízení, určené pro vydávání zabezpečených elektronických povelů, čtení vstupních indikací a bezpečných analogových vstupů, které komunikuje s hlavními technologickými počítači řídicí části nebo se záložními technologickými počítači řídící části, je tvořeno čtvrtým panelem prováděcích počítačů. Čtvrtý panel prováděcích počítačů neobsahuje oproti prvnímu panelu prováděcích počítačů blok nezabezpečených výstupů a blok bezpečných reléových výstupů, jejichž funkce není u čtvrtého panelu prováděcích počítačů vyžadována.An execution device for issuing secure electronic commands, reading input indications, and secure analogue inputs, which communicates with the main technology computers of the control part or with the backup technological computers of the control part, consists of a fourth panel of the execution computers. The fourth panel of execution computers does not contain a block of insecure outputs and a block of safe relay outputs whose function is not required for the fourth panel of execution computers.
Vykonávací zařízení, určené pro vydávání zabezpečených elektronických povelů a čtení vstupních indikací, které komunikuje s hlavními technologickými počítači, řídící části nebo se záložními technologickými počítači řídící části, je tvořeno pátým panelem prováděcích počítačů.The execution device, intended for issuing secure electronic commands and reading the input indications, which communicates with the main technology computers, the control part or the backup technology computers of the control part, consists of a fifth panel of the execution computers.
·— 5 —· - 5 -
Pátý panel prováděcích počítačů neobsahuje oproti čtvrtému panelu blok analogových vstupů první větve a blok analogových vstupů druhé větve, protože nejsou požadovány jejich funkce pro pátý panel prováděcích počítačů.The fifth panel of the execution computers does not include the analogue input block of the first branch and the analogue input block of the second branch, as their functions are not required for the fifth panel of the execution computers.
Přenosové zařízení ve výhodném odzkoušeném provedení sestává ze vstupního modemu PENET první větve, který je připojen jednak k hlavním technologickým počítačům řídící části a dále je spojen výstupním modemem PENET první větve. Výstupní modem PENET první větve je dále spojen s vykonávacím zařízením prováděcí části. Vstupní modem PENET druhé větve je připojen jednak k hlavním technologickým počítačům řídící části a dále je spojen s výstupním modemem PENET druhé větve. Výstupní modem PENET druhé větve je dále spojen s vykonávacím zařízením prováděcí části.The transmission device in the preferred tested embodiment consists of the first branch PENET input modem, which is connected both to the main technological computers of the control part and further connected to the first branch PENET output modem. The PENET output modem of the first branch is further connected to the execution device of the execution part. The second branch PENET input modem is connected to the main technology computers of the control part and is connected to the second branch PENET output modem. The PENET output modem of the second branch is further connected to the execution device of the execution part.
Přehled obrázků na výkresechBRIEF DESCRIPTION OF THE DRAWINGS
Vynález je podrobně popsán na příkladných provedeních, z nichž představuje v blokovém schematickém znázornění obr. 1 základní uspořádání zabezpečovacího zařízení, sestávajícího ze tří základních částí, a to z řídící části, prováděcí části a ovládací části, obr. 2 alternativní uspořádání elektronického zabezpečovacího zařízení z obr. 1, s pouze jednou připojenou sestavou ovládacích počítačů, obr. 3 příklad provedení vykonávacího zařízení z obr. 1 prostřednictvím prvního panelu prováděcích počítačů, obr. 4 alternativní uspořádání elektronického zabezpečovacího zařízení z obr. 1 s připojením nadřazené části, obr. 5 alternativní uspořádání elektronického zabezpečovacího zařízení z obr. 4 s připojením nadřazené části bez spolehlivostní zálohy, obr. 6 příklad provedení nadřazené části z obr. 4, obr. 7 alternativní uspořádání elektronického zabezpečovacího zařízení z obr. 1 se vzdáleným připojením prováděcí části prostřednictvím přenosové části, obr. 8 alternativní uspořádání vykonávacího zařízení z obr. 1 prostřednictvím druhého panelu prováděcích počítačů, obr. 9 alternativní uspořádání vykonávacího zařízení z obr. 1 prostřednictvím třetího panelu prováděcích počítačů, obr. 10 alternativní uspořádání vykonávacího zařízení z obr. 1 prostřednictvím čtvrtému panelu prováděcích počítačů, obr. 11 alternativní uspořádání vykonávacího zařízení z obr. 1 prostřednictvím pátého panelu prováděcích počítačů, obr. 12 - příklad provedení přenosové části z obr. 7 prostřednictvím modemů PENET.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENT OF THE INVENTION The invention is described in detail by way of example, in which, in block diagrammatic representation, FIG. 1 represents a basic arrangement of a security device comprising three basic parts, namely a control part, an execution part and a control part; Fig. 1, with only one control computer assembly connected; Fig. 3 an exemplary embodiment of the execution device of Fig. 1 by means of a first panel of executing computers; Fig. 4 an alternative arrangement of the electronic security device of Fig. Fig. 6 shows an embodiment of the electronic signaling device of Fig. 4 with connection of the upstream part without a reliable backup, Fig. 6 Fig. 8 shows an alternative arrangement of the execution device of Fig. 1 by means of a second panel of execution computers; Fig. 9 an alternative arrangement of the execution device of Fig. 1 by means of a third panel of execution computers; 10 shows an alternative arrangement of the execution device of FIG. 1 by means of a fourth panel of execution computers; FIG. 11 an alternative arrangement of the execution device of FIG. 1 by means of a fifth panel of execution computers; FIG.
Příklady provedení vynálezuDETAILED DESCRIPTION OF THE INVENTION
Zabezpečovací zařízení na obrázcích je možné dělit ve dvou myšlených rovinách^a to v rovině spolehlivostní a bezpečnostní.The security device in the figures can be divided in two imaginary planes - reliability and security.
Spolehlivostní rovina zahrnuje část hlavní, jejíž součástí jsou v dalším textu a na obrázcích bez číselného indexu a část záložní jejíž součásti jsou označeny indexem 1.The reliability plane includes the main part, which are included in the following text and figures without a numerical index, and the backup part, whose parts are marked with index 1.
Bezpečnostní rovina se skládá ze dvou větví, přičemž v dalším textu a na obrázcích jsou označeny součásti první větve indexem A a součásti druhé větve indexem B.The safety plane consists of two branches, where in the following and in the figures the components of the first branch are marked with the index A and the components of the second branch are marked with the index B.
Typické provedení je popsáno v příkladu 1 podle obr. 14 », 6 ·°·A typical embodiment is described in Example 1 of Fig. 14 », 6 · ° ·
Příklad 1Example 1
Elektronické zabezpečovací zařízení podle obr. 1 sestává ze tří podstatných částí, a to z řídící části I, prováděcí části II a zadávací části III.The electronic security device according to FIG. 1 consists of three essential parts, namely the control part I, the execution part II and the award part III.
Zabezpečovací zařízení na obrázcích je možné dělit ve dvou myšlených rovinách, a to v rovině spolehlivostní a bezpečnostní, Spolehlivostní rovina zahrnuje část hlavní, jejíž součástí jsou v dalším textu a na obrázcích bez číselného indexu a část záložní, jejíž součásti jsou označeny indexem 1, Bezpečnostní rovina se skládá ze dvou větví, přičemž v dalším textu a na obrázcích jsou označeny součásti první větve indexem A a součásti druhé větve indexem B.The safety device in the figures can be divided in two imaginary planes, namely the reliability and safety level. The reliability level comprises the main part, which are included in the following text and figures without a numerical index and the backup part, whose components are marked with index 1. the plane consists of two branches, with the components of the first branch denoted by the index A and the components of the second branch by the index B.
Hlavní technologický počítač TCa první větve a hlavní technologický počítač TCg druhé větve jsou zapojeny do první spolehlivostní větve bezpečné datové sítě prostřednictvím hlavního rozbočovače HUBĚ bezpečné datové sítě. Hlavní rozbočovač HUBĚ bezpečné datové sítě je spojen prvním datovým spojem a s hlavním technologickým počítačem TCa první větve, druhým datovým spojem b s hlavním technologickým počítačem TCg druhé větve, třetím datovým spojem c se záložním rozbočovačem HUBEi bezpečné datové sítě. Do první spolehlivostní větve bezpečné datové sítě je připojena dále první sestava SOPI ovládacích počítačů tak, že hlavní rozbočovač HUBĚ bezpečné datové sítě je spojen čtvrtým datovým spojem d s ovládacím počítačem OPC a s pasivním ovládacím počítač POP, které jsou součástí první sestavy SOPI ovládacích počítačů.The first branch computer TCa of the first branch and the main branch computer TCg of the second branch are connected to the first reliability branch of the secure data network via the hub of the SHUB secure data network. The hub of the secure data network HUBE is connected by a first data link and to the main branch computer TCa of the first branch, the second data link b to the main branch computer TCg of the second branch, the third data link c to the backup hub of the secure data network. In addition, the first SOPI control computer assembly is connected to the first reliability branch of the secure data network so that the main hub of the secure data network hub is connected by a fourth data link d to the OPC control computer and the passive POP control computer.
Záložní technologický počítač TCai první větve a záložní technologický počítač TCbi druhé větve jsou zapojeny do druhé spolehlivostní větve bezpečné datové sítě prostřednictvím záložního rozbočovače HUBEj_bezpečné datové sítě tak, že záložní rozbočovač HUBEi bezpečné datové sítě je spojen pátým datovým spojem ai se záložním technologickým počítačem TCai první větve, šestým datovým spojem tg se záložním technologickým počítačem TCri druhé větve. Do druhé spolehlivostní větve bezpečné datové sítě je připojena druhá sestava SOP2 ovládacích počítačů tak, že záložní rozbočovač HUBEi bezpečné datové sítě je spojen sedmým datovým spojem di s ovládacím počítačem OPC a s pasivním ovládacím počítačem POP, které jsou součástí druhé sestavy SOP2 ovládacích počítačů.The TCB of the first branch and the TCB of the second branch are connected to the second secure branch of the secure data network via the HUBEi backup of the secure data network so that the backup of the secure data network HUBEi of the secure data network is connected by the fifth data link. , by the sixth data link tg to the back-up computer TCri of the second branch. A second set of SOP2 control computers is connected to the second reliability branch of the secure data network so that the backup data hub HUBEi of the secure data network is connected by the seventh data link di to the OPC control computer and the passive POP control computer.
Hlavní technologický počítač TCa první větve a hlavní technologický počítač TCg druhé větve jsou zapojeny do hlavního rozbočovače HUBC řídící datové sítě tak, že hlavní technologický počítač TCa první větve je spojen osmým datovým spojem e s hlavním rozbočovačem HUBC řídící datové sítě, který je spojen devátým datovým spojem f s hlavním technologickým počítačem TCr_ druhé větve a desátým datovým spojem g se záložním rozbočovačem HUBCi řídicí datové sítě, který je spojen jedenáctým datovým spojem ej se záložním technologickým počítačem TCaj_ první větve a dvanáctým datovým spojem fi se záložním technologickým počítačem TCgi. druhé větve.The TCB of the first branch and the TCC of the second branch are connected to the HUBC master of the control data network so that the TCa of the first branch is connected by the eighth data link to the Master of the control data network HUBC which is connected by the ninth data link. f with the main branch computer TCr_ of the second branch and the tenth data link g with the backup hub HUBCi of the control data network which is connected by the eleventh data link ej with the backup branch computer TCa1 of the first branch and the twelfth data link fi with the backup branch computer TCgi. second branch.
Hlavní technologický počítač TCa první větve a záložní technologický počítač TCai první větve jsou spojeny třináctým datovým spojem h^ svykonávacím zařízením EE prováděcí části II . Hlavní technologický počítač TCg druhé větve a záložní technologický počítač TCgi druhé větve jsou spojeny čtrnáctým datovým spojem hg svykonávacím zařízením EE prováděcí části Π.The first branch computer TCa of the first branch and the backup branch computer TCa of the first branch are connected by a thirteenth data link h1 to the execution device EE of the execution part II. The second branch main technology computer TCg and the second branch backup technology computer TCgi are connected by the fourteenth data link hg to the execution device EE of the execution part Π.
Zadávací část ΙΠ je tvořena dvěma sestavami ovládacích počítačů, a to první sestavou SOPI ovládacích počítačů a druhou sestavou SOP2 ovládacích počítačů. Každá sestava ovládacích počítačů, tedy první sestava SOPI ovládacích počítačů i druhá sestava SOP2 ovládacích počítačů, je tvořena alespoň jedním ovládacím počítačem OPC a žádným, jedním nebo více pasivními ovládacími počítači POP. V tomto konkrétním příkladném provedení podle obr. 1 je tvořena první sestava SOPI ovládacích počítačů jedním ovládacím počítačem OPC a jedním pasivním ovládacím počítačem POP. Jsou-li použity alespoň dva ovládací počítače OPC, jsou rozděleny co nejvíce symetricky do dvou sestav ovládacích počítačů, tedy do první sestavy SOP1 ovládacích počítačů a do druhé sestavy SOP2 ovládacích počítačů. Jsou-li použity alespoň dva pasivní ovládací počítače POP, jsou rozděleny co nejvíce symetricky do dvou sestav ovládacích počítačů, tedy do první sestavy SOP1 ovládacích počítačů a do druhé sestavy SOP2 ovládacích počítačů.The input part ΙΠ consists of two sets of control computers, the first set of SOPI control computers and the second set of SOP2 control computers. Each control computer assembly, i.e., the first SOPI control computer assembly and the second SOP2 control computer assembly, is comprised of at least one OPC control computer and no, one or more passive POP control computers. In this particular exemplary embodiment of FIG. 1, the first SOPI control computer assembly is formed by one OPC control computer and one passive POP control computer. If at least two OPC control computers are used, they are divided as symmetrically as possible into two control computer assemblies, that is, the first control computer SOP1 assembly and the second control computer SOP2 assembly. If at least two passive POP control computers are used, they are divided as symmetrically as possible into two control computer assemblies, that is, the first SOP1 control computer assembly and the second SOP2 control computer assembly.
Pasivní ovládací počítač POP zobrazuje obsluhujícím pracovníkům pouze bezpečnostně irelevantní informace. Tato vlastnost je umožněna komunikací v bezpečné datové síti v řídící části I mezi pasivním ovládacím počítačem POP zadávací části III a hlavním technologickým počítačem TCA první větve, hlavním technologickým počítačem TCg druhé větve, záložním technologickým počítačem TCAi první větve a záložním technologickým počítačem TCgi druhé větve.The passive POP control computer displays only irrelevant information for the operator. This feature is made possible by communication in the vital data network in the control in Part I between passive control computer POP specifications Part III and the main vital computer TC A first branch, the main vital computer TCG second branch, standby vital computer TC and the first branch and back-up vital computer TCgi second branch.
Řídící část I pracuje následovně.The control part I operates as follows.
Každý ovládací počítač OPC přijímá od obsluhujících pracovníků zadání bezpečnostně irelevantních obslužných úkonů, dále zobrazuje obsluhujícím pracovníkům bezpečnostně irelevantní informace, v předepsaných případech přijímá od obsluhujících pracovníků zadání bezpečnostně relevantních obslužných úkonů a také zobrazuje obsluhujícím pracovníkům bezpečnostně relevantní informace. Tyto vlastnosti jsou umožněny komunikací mezi ovládacím počítačem OPC první sestavy SOP1 ovládacích počítačů a/nebo druhé sestavy SOP2 ovládacích počítačů ovládací části III, hlavním technologickým počítačem TCa první větve, hlavním technologickým počítačem TCr druhé větve, záložním technologickým počítačem TCAi první větve a záložním technologickým počítačem TCgi druhé větve, na straně druhé v bezpečné datové síti v řídící části I.Each OPC control computer receives security-irrelevant service operations from the operators, further displays security-irrelevant information to operators, and, in prescribed cases, receives security-related operations from operators, and also displays security-relevant information to operators. These characteristics are enabled by communication between the control computer OPC first assembly SOP1 control computers and / or second assembly SOP2 control computers control part III, the main vital computer TCa first branch, the main vital computer TCR second branch, standby vital computer TC and the first branch and back technology computer TCgi of the second branch, on the other hand in the secure data network in the control part I.
Hlavní technologický počítač TCa první větve komunikuje s vykonávacím zařízením EE prováděcí části II prostřednictvím třináctého datového spoje hA takovým způsobem, že do vykonávacího zařízení EE předává požadavky na vydávání nezabezpečených výstupů, bezpečných reléových výstupů a bezpečných elektronických výstupů a z vykonávacího zařízení EE přijímá informace o stavu vstupních indikací a o stavu analogových zabezpečených vstupů v rozsahu, který vykonávací zařízení EE umožňuje a dále zpracovává zadání obslužných úkonů prostřednictvím bezpečné datové sítě, a to jak bezpečnostně irelevantních obslužných úkonů, tak i bezpečnostně relevantních obslužných úkonů od každého ovládacího počítače OPC první sestavy SOP1 ovládacích počítačů nebo od každého ovládacího počítače druhé sestavy SOP2 ovládacích počítačů. Hlavní technologický počítač TCa první větve komunikuje s hlavním technologickým počítačem TCg druhé větve, se kterým si prostřednictvím řídící datové sítě navzájem vyměňuje data potřebná k případné detekci první poruchy hlavního technologického počítače TCa první větve nebo hlavního technologického počítače TCg druhé větve. Pro zajištění spolehlivé činnosti při poruše hlavního technologického počítače TCa první větve nebo při poruše hlavního technologického počítače TCg druhé větve předává hlavní technologický počítač TCa první větve prostřednictvím řídící datové sítě záložnímu technologickému počítači TC/u první větve data, která slouží k opakovanému nastavování proměnných záložního technologického počítače TCaj první větve v určených časových intervalech tak, aby jejich hodnoty odpovídaly hodnotám odpovídajících proměnných hlavního technologického počítače TCa první větve.The TCB of the first branch communicates with the Execution Part II Execution Device II via a thirteenth data link h A in such a way that it transmits requests to the Execution EE for unsecured outputs, secure relay outputs and secure electronic outputs and receives status information from the Execution EE. of input indications and the status of analog secured inputs to the extent that the EE executing device allows and further processes the assignment of servicing operations through a secure data network, both safety-irrelevant servicing operations and safety-relevant servicing operations from each OPC control computer of the first SOP1 control computer assembly or from each control computer of the second SOP2 control computer assembly. The TCB of the first branch communicates with the TCB of the second branch, with which it exchanges through the control data network the data necessary for eventual detection of the first failure of the TCB of the first branch or the TCB of the second branch. To ensure reliable operation in the case of a TCB failure of the first branch or a TCB failure of the second branch TCa of the first branch, the TCB of the first branch transmits data to the backup TC computer / u of the first branch via the data network. the TCa of the first branch at specified time intervals such that their values correspond to the values of the corresponding variables of the TC of the first branch.
Hlavní technologický počítač TCg druhé větve komunikuje s vykonávacím zařízením EE prováděcí části II prostřednictvím čtrnáctého datového spoje hg takovým způsobem, že do vykonávacího zařízení EE a předává požadavky na vydávání nezabezpečených výstupů, bezpečených reléových výstupů a bezpečných elektronických výstupů a z prováděcí části II přijímá informace o stavu vstupních indikací a o stavuThe TCG of the second branch communicates with the Execution Part II Execution Device EE via the fourteenth data link hg in such a way that it transmits to the Execution EE and transmits non-secure outputs, secure relay outputs and secure electronic outputs requests and receives status information from Execution II input indications and status
Μ. 8 *· analogových zabezpečených vstupů v rozsahu, který vykonávací zařízení umožňuje a dále zpracovává zadání obslužných úkonů prostřednictvím bezpečné datové sítě, a to jak bezpečnostně irelevantních, tak i bezpečnostně relevantních obslužných úkonů od každého ovládacího počítače OPC první sestavy SOP1 v určeném časovém intervalu ovládacích počítačů nebo od každého ovládacího počítače OPC druhé sestavy SOP2 ovládacích počítačů.Μ. 8 * · Analog Secure Inputs to the extent that the Executing Device allows and further handles service assignments via a secure data network, both security-irrelevant and security-relevant service operations from each OPC control computer of the first SOP1 assembly at a specified time interval of the control computers or from each OPC control computer of the second SOP2 control computer assembly.
Pro zajištění spolehlivé činnosti při poruše hlavního technologického počítače TCa první větve nebo při poruše hlavního technologického počítače TCr_ druhé větve předává hlavní technologický počítač TCg druhé větve prostřednictvím řídící datové sítě záložnímu technologickému počítači TCgi druhé větve data, která slouží k opakovanému nastavování proměnných záložního technologického počítače TCgi diuhé větve v určených časových intervalech tak, aby jejich hodnoty odpovídaly hodnotám odpovídajících proměnných hlavního technologického počítače TCr druhé větve.To ensure reliable operation in the case of a TCB failure of the first branch or a TCB failure of the second branch, the TCB of the second branch transmits data via the control network to the TCB of the second leg to reconfigure the TCB variables. the circular branches at specified time intervals so that their values correspond to the values of the corresponding variables of the TCB of the second branch.
Záložní technologický počítač TC/u první větve komunikuje se záložním technologickým počítačem TCri_ druhé větve, se kterým si prostřednictvím řídící datové sítě navzájem vyměňuje data potřebná k případné detekci první poruchy záložního technologického počítače TCai první větve nebo záložního technologického počítače TCr druhé větve.The back-up computer TC1 of the first branch communicates with the back-up computer TC1 of the second branch, with which it exchanges through the control data network the data necessary for eventual detection of the first failure of the back-up computer TCa1 or the back-up computer TCr of the second branch.
Zapojení alespoň jednoho ovládacího počítače OPC první sestavy SOP1 ovládacích počítačů, hlavního technologického počítače TCa první větve a hlavního technologického počítače TCr druhé větve do hlavního rozbočovače HUBĚ bezpečné datové sítě a zároveň zapojení alespoň jednoho dalšího ovládacího počítače OPC druhé sestavy SOP2 ovládacích počítačů, záložního technologického počítače TCai první větve a záložního technologického počítače TCri_ druhé větve do záložního rozbočovače HUBEi bezpečné datové sítě, zajišťuje provozuschopnost zabezpečovacího zařízení při jakékoliv poruše prvního ovládacího počítače OPC první sestavy SOP1 ovládacích počítačů, a/nebo druhého ovládacího počítače OPC2 druhé sestavy SOP2 ovládacích počítačů, a/nebo hlavního technologického počítače TCa první větve, a/nebo hlavního technologického počítače TCr druhé větve, a/nebo záložního technologického počítače TCai první větve, a/nebo záložního technologického počítače TCbi druhé větve, a/nebo hlavního rozbočovače HUBĚ bezpečné datové sítě, a/nebo záložního rozbočovače HUBEi_bezpečné datové sítě a/nebo kteréhokoliv datového spoje spojujícího výše uvedené prvky navzájem.Connecting at least one OPC control computer of the first set of SOP1 control computers, the TCC of the first branch and the TCC of the second branch to the hub of the HUBE secure data network, and at least one OPC control computer of the second SOP2 of the control computers, the backup technological computer TCai of the first branch and the backup computer TCri_ of the second branch to the backup hub of the HUBEi secure data network ensures the operability of the security device in any failure of the first OPC control computer of the first SOP1 control computer assembly and / or the second OPC2 control computer of the second SOP2 control computer assembly; or the TCB of the first branch, and / or the TCB of the second branch, and / or the backup o the TC1 of the first branch, and / or the TCB of the second branch, and / or the HUB of the secure data network, and / or the HUBEi of the secure data network and / or any data link linking the above elements to each other.
Aby byla zajištěna plná funkčnost řídící části I, tj._záíožního technologického počítače TCai první větve a záložního technologického počítače TCri druhé větve, při poruše hlavního technologického počítače TCa první větve, a/nebo poruše hlavního technologického počítače TCr druhé větve, a/nebo poruše hlavního rozbočovače HUBĚ bezpečné datové sítě* kopíruje v předepsaných časových intervalech záložní technologický počítač TCai první větve prostřednictvím řídicí datové sítě potřebné vnitřní proměnné hlavního technologického počítače TCa první větve a záložní technologický počítač TCbi druhé větve kopíruje prostřednictvím řídící datové sítě potřebné vnitřní proměnné hlavního technologického počítače TCr druhé větve. Ke spolehlivému propojení všech technologických počítačů TCa. TCr. TCai, TCbi slouží vzájemně propojené rozbočovače HUBĚ a HUBEi řídicí datové sítě a to hlavní HUBĚ a záložní HUBE1.In order to ensure full functionality of the control part I, i.e. the backup branch computer TCa1 of the first branch and the backup branch computer TC1 of the second branch, in the event of failure of the main branch computer TCa of the first branch, and / or Hubs of a secure data network * copy the TCB of the first branch via the control data network at the prescribed time intervals, the necessary internal variables of the TCB of the first branch and the TCB of the second branch copy the necessary internal variables of the TCB of the second branch branches. For reliable interconnection of all TCa technology computers. TCr. TCai, TCbi serve interconnected hubs HUBE and HUBEi control data network namely main hub and backup HUBE1.
Nutnou podmínkou elektronického zabezpečovacího zařízení pro zajištění jeho spolehlivé činnosti je zajištění synchronizace. Synchronizace musí být zajištěna synchronizovanou činností technologických počítačů TCa, TCr, TCai. TCri řídící části I a vykonávacího zařízení EE prováděcí části II a jejich všech komunikací.A necessary condition of an electronic security device to ensure its reliable operation is to ensure synchronization. The synchronization must be ensured by the synchronized operation of the TCa, TCr, TCai technology computers. TCri of the control part I and the executive device EE of the executive part II and all their communications.
Synchronizace je zajištěna realizací kvazisynchronního režimu, kde hlavní technologický počítač TCa první větve je v určených Časových intervalech zdrojem synchronizační značky v bezpečné datové síti a řídící datové síti pro hlavní technologický počítač TCr druhé větve, pro záložní technologický počítač TCai první větve a pro záložníThe synchronization is ensured by realization of quasi-synchronous mode, where the TCB of the first branch is at the specified time intervals the source of the synchronization mark in the secure data network and control data network for the TCB of the second branch, for the TCB of the first branch and
«£$* technologický počítač TCgi_ druhé větve a dále prostřednictvím komunikace třináctým datovým spojem hA pro vykonávací zařízení EE prováděcí části Π.The technology branch TCgi_ of the second branch and further via communication via the thirteenth data link hA for the execution device EE of the execution part Π.
Při poruše hlavního technologického počítače TCa první větve přebírá jeho funkci zdroje synchronizační značky do všech uvedených datových sítí záložní technologický počítač TCai_ první větve.In the event of a failure of the TCB of the first branch, its function of the synchronization tag source takes over the backup TCC_ of the first branch into all said data networks.
Hlavní technologický počítač TPCa první větve, nebo v případě jeho poruchy záložní technologický počítač TPCai druhé větve provádí příslušné funkce, které jsou vyvolány zadáním obslužných úkonů prostřednictvím některého z ovládacích počítačů OPC, dále provádí automaticky všechny příslušné dopravní funkce a zajišťuje zpracování a přenos čísel vlaků.The TPCa main branch computer of the first branch, or in the event of its failure, the TPCa backup branch computer of the second branch performs the appropriate functions that are invoked by entering service operations through one of the OPC control computers, automatically performs all relevant transport functions and ensures train number processing.
Hlavní technologický počítač TPCr, druhé větve, nebo v případě poruchy záložní technologický počítač TPCpi druhé větve provádí příslušné funkce, které jsou vyvolány zadáním obslužných úkonů prostřednictvím některého z ovládacích počítačů OPC, dále provádí automaticky všechny příslušné dopravní funkce.The TPCr main branch computer, the second branch, or in the event of a failure, the TPCpi backup branch computer of the second branch performs the appropriate functions that are invoked by entering service operations through one of the OPC control computers, and automatically performs all the relevant transport functions.
Bezpečného účinku ve smyslu ČSN 34 2600 a návrhu EN 50 129 je dosaženo jednak použitím systému 2 ze 2 jako systému s redundantní bezpečností s dostatečně včasnou detekcí tzv. první chyby, která sama o sobě nemůže způsobit nebezpečný účinek, avšak mohla by způsobit nebezpečný účinek v kombinaci s další chybou. Po detekci první chyby následuje bezpečná reakce, která prokazatelně znemožní výskyt, případně projev další poruchy. Detekce první chyby a bezpečná reakce nastane prokazatelně v čase kratším než lze s předepsanou pravděpodobností předpokládat vznik druhé chyby, která by v kombinaci s první chybou mohla způsobit nebezpečný účinek. Pro zajištění bezpečného účinku jsou dále hlavní technologický počítač TCa první větve a záložní technologický počítač TCai první větve vybaveny odlišným programovým vybavením oproti hlavnímu technologickému počítači TCg druhé větve a záložnímu technologickému počítači TCri_ druhé větve, přičemž programové vybavení jak hlavního technologického počítače TCa první větve a záložního technologického počítače TCai první větve ,tak hlavního technologického počítače TCg druhé větve a záložního technologického počítače TCbi druhé větve, je zpracováno podle společného zadání.Safe effect according to CSN 34 2600 and design EN 50 129 is achieved by using system 2 of 2 as a system with redundant safety with early detection of the so-called first error, which in itself cannot cause a dangerous effect, but could cause a dangerous effect in combined with another error. Detection of the first error is followed by a safe reaction that demonstrably prevents the occurrence or manifestation of another failure. Detection of the first error and safe reaction will be proven to occur in less than the presumed probability that a second error may occur, which, in combination with the first error, could cause a dangerous effect. In addition, to ensure a secure effect, the first branch computer TCa of the first branch and the backup branch computer TCa of the first branch are equipped with different software from the main branch computer TCg of the second branch and the backup branch computer TCri_ of the second branch. The first branch computer technology TCai, the second branch computer technology TCg, and the second branch computer backup technology TCi1 are processed according to a common assignment.
Příklad 2 (Ob.r.2)Example 2 (Fig. 2)
Alternativní uspořádání elektronického zabezpečovacího zařízení podle obr. 2 se liší odThe alternative arrangement of the electronic security device of FIG
1. příkladného provedení podle obr. 1 tím, že není použita druhá sestava SOP2 ovládacích počítačů. Toto uspořádání je vhodné v případech, kdy není požadováno záložní ovládací pracoviště.1 of the exemplary embodiment of FIG. 1 in that a second SOP2 control computer assembly is not used. This arrangement is suitable in cases where a backup control station is not required.
Příklad 3 ®E3)Example 3 ®E3)
Příklad uspořádání vykonávacího zařízení EE, které je tvořeno jedním prvním panelem Pl prováděcích počítačů EC^ ECg , je uveden na obr. 3.An example of an arrangement of the execution device EE, which consists of one first panel P1 of the execution computers EC1 EC2, is shown in FIG. 3.
Prováděcí počítač ECa první větve je spojen třináctým datovým spojem hA s neznázorněným hlavním technologickým počítačem TCa první větve a se záložním technologickým počítačem TCai první větve a dále je spojen patnáctým datovým spojem c[a s blokem AIa bezpečných analogových vstupů první větve, který je spojen šestnáctým datovým spojem r s blokem Alg bezpečných analogových vstupů druhé větve.The first branch execution computer ECa is connected by a thirteenth data link hA to a first branch computer TCa and a backup branch computer TCa1 of the first branch not shown, and further connected by a fifteenth data link c [a] and a first analogue secure analog input block AIa connected by a sixteenth data link. by link r with block Alg of safe analog inputs of the second branch.
Prováděcí počítač ECr druhé větve je spojen čtrnáctým datovým spojem hg s neznázorněným hlavním technologickým počítačem TCr druhé větve a se záložním technologickým počítačem TCgi_druhé větve a dále je spojen sedmnáctým datovým spojem tThe execution branch computer ECr of the second branch is connected by a fourteenth data link hg to the second branch computer TCr of the second branch and to the backup branch computer TCgi_ of the second branch and is further connected to the seventeenth data link t
w- 10 “· s prováděcím počítačem ECa první větve a osmnáctým datovým spojem fln s blokem AIr bezpečných analogových vstupů druhé větve.w-10 “· with the execution branch ECa of the first branch and an eighteenth data link fln with the AIr block of secure analogue inputs of the second branch.
Prováděcí počítač ECa první větve je dále spojen prvním elektrickým propojením Ía s blokem NO nezabezpečených výstupů, který je dále spojen druhým elektrickým propojením ig s prováděcím počítačem ECg druhé větve. Prováděcí počítač ECa první větve je dále spojen třetím elektrickým propojením ]a s blokem VRO reléových výstupů, který je dále spojen čtvrtým elektrickým propojením jg s prováděcím počítačem ECg druhé větve a dále pátým elektrickým propojením k s blokem ΓΝ vstupních indikací.The first branch execution computer ECa is further connected by a first electrical connection Ia to the unsecured output block NO, which is further connected by a second electrical connection ig to the second branch execution computer ECg. The first branch execution computer ECa is further connected by a third electrical connection] and a relay output block VRO, which is further connected by a fourth electrical connection jg to the second branch execution computer ECg and further by a fifth electrical connection to the input indication block.
Prováděcí počítač ECa první větve je ještě spojen šestým elektrickým propojením 1a s blokem CIa kontroly vstupních indikací první větve, který je spojen s blokem IN vstupních indikací sedmým elektrickým propojením πια.The first branch execution computer ECa is still connected by the sixth electrical connection 1a to the first branch input indication control block CIa, which is connected to the input indication block IN by the seventh electrical connection πια.
Prováděcí počítač ECa první větve je ještě spojen šestým elektrickým propojením 1a s blokem CIa kontroly vstupních indikací první větve, který je spojen s blokem IN vstupních indikací sedmým elektrickým propojením πια s tím, že blok IN vstupních indikací je dále spojen devátým elektrickým propojením mg s blokem Clg kontroly vstupních indikací druhé větve, který je spojen osmým elektrickým propojením lg s prováděcím počítačem ECg druhé větve. Blok IN vstupních indikací spojen čtrnáctým elektrickým propojením p s blokem VEO bezpečných elektronických výstupů, který je propojen jednak jedenáctým elektrickým propojením oa s blokem CVEOa kontroly bezpečných elektronických výstupů první větve a dále třináctým elektrickým propojením ob s blokem CVEOg kontroly bezpečných elektronických výstupů druhé větve. Blok CVEOa kontroly bezpečných elektronických výstupů první větve je propojen desátým elektrickým propojením πα s prováděcím počítačem ECa první větve a blok CVEOg kontroly bezpečných elektronických výstupů druhé větve je propojen dvanáctým elektrickým propojením ng s prováděcím počítačem ECg druhé větve. Prováděcí počítač ECa první větve je ještě spojen patnáctým elektrickým propojením sa s blokem P napájení, který je ještě spojen šestnáctým elektrickým propojením sg s prováděcí počítač ECg druhé větve.The execution branch ECa of the first branch is still connected by the sixth electrical connection 1a to the first branch input control block CIa, which is connected to the IN input block by the seventh electrical connection πια, with the IN input block being further connected by the ninth electrical connection mg to block C1g of the second branch input indication control, which is connected by the eighth electrical connection lg to the second branch execution computer ECg. The input indication block IN is connected by a fourteenth electrical connection p to a VEO block of safe electronic outputs, which is interconnected by an eleventh electrical connection oa to a CVEOa block of safe electronic outputs of the first branch, and a thirteenth electrical connection ob with the CVEOg block. The first branch safe electronic output control CVEOa is connected by the 10th electrical connection πα to the first branch ECa execution computer, and the second branch safe electronic output control CVEOg second link is connected by the twelfth electrical connection ng to the second branch execution ECg. The execution branch ECa of the first branch is still connected to the execution branch ECg of the second branch by a fifteenth electrical connection s and to the power block P which is still linked by the sixteenth electrical connection sg to the execution computer ECg.
Vykonávací zařízení EE tvořené jedním prvním panelem PÍ prováděcích počítačů ECa, ECg pracuje následovně.The execution device EE formed by one first panel P1 of the execution computers ECa, ECg operates as follows.
Prováděcí počítač ECa první větve a prováděcí počítač ECg druhé větve komunikují s řídící částí I prostřednictvím třináctého datového spoje ]a a čtrnáctého datového spoje jg.The first branch execution computer ECa and the second branch execution computer ECg communicate with the control part I via the thirteenth data link 1 and the fourteenth data link jg.
Prováděcí počítač ECa první větve prostřednictvím třináctého datového spoje ]a přijímá telegramy od hlavního technologického počítače TCa první větve nebo od záložního technologického počítače TCai první větve, které obsahují zejména požadavky na vydávání výstupů,The first branch execution computer ECa via a thirteenth data link] and receives telegrams from the first branch computer TCa of the first branch or from the backup branch computer TCa of the first branch, which in particular include requirements for outputting,
Prováděcí počítač ECa první větve odpovídá svými telegramy, které obsahují zejména vstupní indikace načtené prostřednictvím bloku IN vstupních indikací a analogové vstupy načtené blokem AIa bezpečných analogových vstupů první větve.The execution branch ECa of the first branch corresponds with its telegrams, which include, in particular, input indications read by the input indication block IN and analog inputs read by the AI1 block of the safe analogue inputs of the first branch.
Prováděcí počítač ECr druhé větve prostřednictvím čtrnáctého datového spoje jg přijímá telegramy od hlavního technologického počítače TCg druhé větve nebo od záložního technologického počítače TCgi_ druhé větve, které obsahují zejména požadavky na vydávání výstupů.The executing computer ECr of the second branch via the fourteenth data link jg receives telegrams from the second processing computer TCg of the second branch or from the second processing computer TCg1 of the second branch, which in particular contain requests for outputting.
Prováděcí počítač ECr druhé větve odpovídá svými telegramy, které obsahují zejména vstupní indikace načtené prostřednictvím bloku IN vstupních indikací a analogové vstupy načtené blokem Alg bezpečných analogových vstupů druhé větve.The execution branch ECr of the second branch corresponds with its telegrams, which in particular comprise input indications read by the input indications block IN and analog inputs read by the Alg block of the safe analog inputs of the second branch.
Pro dosažení optimální provozní spolehlivosti jsou v prováděcím počítači ECa první větve hodnoty vstupních indikací načtených blokem IN vstupních indikací a načtené analogové vstupy načtené blokem AIa bezpečných analogových vstupů první větve •í.hili upraveny předepsaným algoritmem podle příslušných hodnot, které prováděcímu počítači ECa první větve předá v komunikaci sedmnáctým datovým ΐ spojem prováděcí počítač ECb druhé větve.In order to achieve optimum operational reliability in the first branch execution computer ECa, the values of the input indications read by the IN input block block and the read analog inputs read by the AIa safe analogue input block of the first branch are modified according to the appropriate algorithm. in the seventeenth data link communication, the execution computer ECb of the second branch.
V prováděcím počítači ECg druhé větve jsou hodnoty vstupních indikací načtených blokem IN vstupních indikací a načtené analogové vstupy načtené blokem Alg bezpečných analogových vstupů druhé větve upraveny předepsaným algoritmem podle příslušných hodnot, které prováděcímu počítači ECr druhé větve předá v komunikaci sedmnáctým datovým spojem t prováděcí počítač ECa první větve. Z důvodu zajištění bezpečnosti je blok IN vstupních indikací testován na schopnost načítat indikace v logické hodnotě 0, a to prováděcím počítačem ECa první větve prostřednictvím bloku CIa kontroly vstupních indikací první větve, který je spojen jednak šestým elektrickým propojením 1a spojen s prováděcím počítačem ECa první větve a dále sedmým elektrickým propojením m^ s blokem IN vstupních indikací a prováděcím počítačem ECg druhé větve prostřednictvím bloku CIg kontroly vstupních indikací druhé větve, který je spojen jednak osmým elektrickým propojením lg s prováděcím počítačem ECg druhé větve a dále devátým elektrickým propojením mg s blokem IN vstupních indikací.In the execution branch ECg of the second branch, the values of the input indications read by the input indication block IN and the read analog inputs read by the Alg block of the secure analog inputs of the second branch are adjusted according to the appropriate algorithm. first branches. In order to ensure safety, the IN input block is tested for the ability to read the indications at logic 0 by the first branch execution computer ECa through the first branch input indication control block C1a connected by the sixth electrical connection 1a connected to the first branch ECa execution computer. and a seventh electrical junction m1 with the input indication block IN and the second branch execution computer ECg via the second branch input indication control block C1g connected by the eighth electrical junction 1g with the second branch execution computer ECg and the ninth electrical connection mg with the IN block input indications.
Požadavky na vydávání nezabezpečených výstupů, které prováděcí počítač ECa první větve přijímá v komunikaci od hlavního technologického počítače TCa první větve nebo od záložního technologického počítače TCai první větve, a které prováděcí počítač ECr druhé větve přijímá v komunikaci od hlavního technologického počítače TCg druhé větve nebo od záložního technologického počítače TCbi druhé větve, jsou vydávány do navazující technologie prostřednictvím bloku NO nezabezpečených výstupů.Requirements for issuing unsecured outputs that the first branch execution computer ECa receives in communication from the first branch TCa or the first branch backup technology computer TCa and which the second branch execution computer ECr receives in communication from the second branch main technology computer TCg or from The TCB backup branch of the second branch is delivered to the downstream technology via the NO unsecured outputs block.
Požadavky na vydávání bezpečných reléových výstupů, které prováděcí počítač ECa první větve přijímá v komunikaci prostřednictvím třináctého datového spoje ja od hlavního technologického počítače TCa první větve nebo od záložního technologického počítače TCai první větve, a které prováděcí počítač ECg druhé větve přijímá v komunikaci od hlavního technologického počítače TCg druhé větve nebo od záložního technologického počítače TCbi druhé větve, jsou předávány do VRO bezpečných reléových výstupů. Jako jeden z prostředků pro dosažení požadované bezpečnosti jsou v prováděcím počítači ECa první větve bezpečné reléové výstupy vydávány pouze v případě, že prováděcí počítač ECg druhé větve předal v komunikaci sedmnáctým datovým spojem t prováděcímu počítači ECa první větve informace o tom, že přijal v komunikaci prostřednictvím čtrnáctého datového spoje jg od hlavního technologického počítače TCg druhé větve nebo od záložního technologického počítače TCbi druhé větve požadavky na vydávání shodných bezpečných reléových výstupů.Requirements for issuing safe relay outputs that the first branch execution computer ECa receives in communication via the thirteenth data link as from the first branch TCa technology computer or the first branch backup TCa1 computer and which the second branch execution computer ECg receives in communication from the main technology branch the TCg of the second branch or from the TCB of the second branch are passed to the NROs of the safe relay outputs. As one means of achieving the required safety, safe relay outputs are provided in the first branch execution computer ECa of the first branch only if the second branch execution computer ECg communicates in communication via the seventeenth data link t to the first branch execution computer ECa that it has received in communication via The 14th data link jg from the TCG of the second branch or the TCB of the second branch requests the release of the same safe relay outputs.
Požadavky na vydávání bezpečných reléových výstupů, které prováděcí počítač ECg druhé větve přijímá v komunikaci prostřednictvím Čtrnáctého datového spoje jg od hlavního technologického počítače TCg druhé větve nebo od záložního technologického počítače TCbi druhé větve, a které prováděcí počítač ECa první větve přijímá v komunikaci od hlavního technologického počítače TCa první větve nebo od záložního technologického počítače TCai první větve, jsou předávány do bloku VRO bezpečných reléových výstupů. Jako jeden z prostředků pro dosažení požadované bezpečnosti jsou v prováděcím počítači ECg druhé větve bezpečné reléové výstupy vydávány pouze v případě, že prováděcí počítač ECa první větve předal v komunikaci sedmnáctým datovým spojem t prováděcímu počítači ECg druhé větve informace o tom, že přijal v komunikaci prostřednictvím čtrnáctého datového spoje Ja od hlavního technologického počítače TCa první větve nebo od záložního technologického počítače TCai Prvn‘ větve požadavky na vydávání shodných bezpečných reléových výstupů.Requirements for issuing safe relay outputs that the second branch execution computer ECg receives in communication via the Fourteenth Data Link jg from the second branch computer technology TCg or the second branch backup computer TCbi, and which the first branch execution computer ECa receives in communication from the main technology The TCa of the first branch, or from the TCB of the first branch, are passed to the VRO block of the safe relay outputs. As one of the means to achieve the required safety, safe relay outputs are output in the second branch execution computer ECg only if the first branch execution computer ECa has communicated in communication via the seventh data link t to the second branch execution computer ECg that it has received in communication via The fourteenth data link Ja from the TCB of the first branch, or the TCB of the first branch, requests to deliver the same safe relay outputs.
Každý bezpečný reléový výstup je z důvodu dosažení požadované bezpečnosti vydáván do navazující technologie prostřednictvím bloku VRO bezpečných reléových výstupů jen v tom případě, když do bloku VRO bezpečných reléových výstupů je předáván požadavek naEach safe relay output is delivered to the downstream technology via the Safe Relay Output NRO block to achieve the required safety only when a request is made to the Safe Relay Output NRO block.
-Λ«μ 12 jeho vydávání současně s dovolenou časovou tolerancí z prováděcího počítače ECa první větve a z prováděcího počítače ECr druhé větve.Λ μ jeho 12 is given simultaneously with the allowable time tolerance from the execution computer ECa of the first branch and from the execution computer ECr of the second branch.
Jako další opatření pro zajištění bezpečnosti jsou stavy bezpečných reléových výstupů kontrolovány v prováděcím počítači ECa první větve a v prováděcím počítači ECr druhé větve prostřednictvím bloku IN vstupních indikací, se kterým je blok VRO bezpečných reléových výstupů spojen pátým elektrickým propojením k.As a further safety measure, the states of the safe relay outputs are checked in the execution computer ECa of the first branch and in the execution computer ECr of the second branch by means of an input indication block IN with which the safe relay output block NRO is connected by a fifth electrical connection k.
Požadavky na vydávání bezpečných elektronických výstupů, které prováděcí počítač ECa první větve přijímá v komunikaci prostřednictvím třináctého datového spoje Ja od hlavního technologického počítače TCa první větve nebo od záložního technologického počítače TC/u_první větve, a které prováděcí počítač ECr druhé větve přijímá v komunikaci prostřednictvím čtrnáctého datového spoje jg od hlavního technologického počítače TCr druhé větve nebo od záložního technologického počítače TCggdmhé větve, jsou předávány do bloku VEO bezpečných elektronických výstupů.Requirements for issuing secure electronic outputs received by the first branch execution computer ECa in communication via the thirteenth data link Ja from the first branch computer TCa or from the backup branch computer TCa1 of the first branch and received by the second branch execution computer ECr in communication via the fourteenth The data link jg from the TC technology of the second branch or the backup TC computer of the long branch are transmitted to the VEO block of safe electronic outputs.
Pro dosažení požadované bezpečnosti jsou v prováděcím počítači ECa první větve bezpečné elektronické výstupy vydávány pouze v případě, že prováděcí počítač ECr druhé větve předal v komunikaci sedmnáctým datovým spojem t prováděcímu počítači ECa první větve informace o tom, že přijal v komunikaci prostřednictvím čtrnáctého datového spoje jg od hlavního technologického počítače TCr druhé větve nebo od záložního technologického počítače TCgi druhé větve požadavky na vydávání shodných bezpečných elektronických výstupů. V prováděcím počítači ECa první větve a současně v hlavním technologickém počítači TCa první větve nebo záložním technologickém počítači TCai první větve je kladně otestován správný průběh předepsané sekvenční činnosti v komunikaci mezi hlavním technologickým počítačem TCa první větve nebo záložním technologickým počítačem TCai první větve na jedné straně a prováděcím počítačem ECa na straně druhé.To achieve the required security, safe electronic outputs are output in the first branch execution computer ECa of the first branch only if the second branch execution computer ECr has communicated in the communication via the 17th data link t information to the first branch execution computer ECa that it has received the 14th data link in communication. from the TCB of the second branch or from the TCB of the second branch, to request the same secure electronic outputs. In the first branch execution computer ECa and at the same time in the main branch computer TCa of the first branch or the backup branch computer TCa of the first branch, the correct sequence of prescribed sequence activity in communication between the first branch computer TCa or the backup branch computer TCa1 is tested. on the other hand.
Za účelem dosažení požadované bezpečnosti jsou v prováděcím počítači ECr druhé větve bezpečné elektronické výstupy vydávány pouze v případě, že prováděcí počítač ECa první větve předal v komunikaci sedmnáctým datovým spojem t prováděcímu počítači ECg druhé větve informace o tom, že přijal v komunikaci prostřednictvím třináctého datového spoje Ia od hlavního technologického počítače TCa první větve nebo od záložního technologického počítače TCaj první větve požadavky na vydávání shodných bezpečných elektronických výstupů. V prováděcím počítači ECr druhé větve a současně v hlavním technologickém počítači TCr druhé větve nebo záložním technologickém počítači TCri druhé větve je kladně otestován správný průběh předepsané sekvenční činnosti v komunikaci mezi hlavním technologickým počítačem TCr druhé větve nebo záložním technologickým počítačem TCgi druhé větve na jedné straně a prováděcím počítačem ECr na straně druhé.In order to achieve the required security, secure electronic outputs are output in the second branch execution computer ECr only if the first branch execution computer ECa has communicated in the communication via the seventh data link t to the second branch execution computer ECg that it has received in the communication via the thirteenth data link. Ia from the TCB of the first branch, or from the TCB of the first branch, to request the same secure electronic outputs. In the second branch execution computer ECr and at the same time in the main branch computer TCr of the second branch or the backup branch computer TCri of the second branch, the correct sequence of prescribed sequence activity in communication between the second branch computer TCr or the second branch computer TCgi is tested. on the other hand.
Jako další opatření pro zajištění bezpečnosti jsou stavy bezpečných elektronických výstupů v prováděcím počítači ECa první větve a v prováděcím počítači ECr druhé větve kontrolovány prostřednictvím bloku IN vstupních indikací. Blok IN vstupních indikací je spojen s blokem VEO bezpečných elektronických výstupů čtrnáctým elektrickým propojením p. Dále se kontrolují stavy bezpečných elektronických výstupů v prováděcím počítači ECa první větve prostřednictvím bloku CVEOa kontroly bezpečných elektronických výstupů první větve, který je jednak spojen s prováděcím počítačem ECa ρητή větve desátým elektrickým propojením Πα a současně je spojen s blokem VEO bezpečných elektronických výstupů jedenáctým elektrickým propojením oa. Dále se kontrolují stavy bezpečných elektronických výstupů v prováděcím počítači ECg druhé větve prostřednictvím bloku CVEOr kontroly bezpečných elektronických výstupů druhé větve, který je jednak spojen s prováděcím počítačem ECr druhé větve dvanáctým elektrickým propojením ng a současně je spojen s blokem VEO bezpečných elektronických výstupů třináctým elektrickým propojením og.As further security measures, the states of the safe electronic outputs in the execution branch ECa of the first branch and in the execution branch ECr of the second branch are checked by means of an IN block of input indications. The IN input block is connected to the VEO block of safe electronic outputs by a fourteenth electrical connection p. Next, the safe electronic outputs states in the first branch execution computer ECa are checked by the first branch safe electronic output control CVEOa which is connected to the branch execution computer ECa. the 10th electrical connection Πα and at the same time it is connected to the VEO block of safe electronic outputs by the 11th electrical connection oa. Furthermore, the states of the safe electronic outputs in the second branch execution computer ECg are checked by means of the CVEOr block of the second branch safe electronic outputs control, which is connected to the second branch execution computer ECr by a twelfth electrical connection ng and simultaneously connected to the VEO block of the safe electronic outputs by a thirteenth electrical connection. og.
Blok Ρ napájení, který je jednak spojen prvním elektrickým propojením Ía s prováděcím počítačem ECa první větve a jednak druhým elektrickým propojením ig s prováděcím počítačem ECg druhé větve, zajišťuje připojení a odpojení napájení prvního panelu Pl prováděcích počítačů ECa, ECr_ podle řídících povelů prováděcího počítače ECa první větve a prováděcího počítače ECg druhé větve s tím, že pro připojení napájení je třeba souhlasných řídících signálů pro připojení napájení z obou prováděcích počítačů, tedy současně z prováděcího počítače ECa první větve a prováděcího počítače ECg drahé větve. Bezpečného účinku ve smyslu ČSN 34 2600 a návrhu EN 50 129 je dosaženo jednak použitím systému 2 ze 2 jako systému s redundantní bezpečností s dostatečně včasnou detekcí tzv. praní chyby, která sama o sobě nemůže způsobit nebezpečný účinek, avšak mohla by způsobit nebezpečný účinek v kombinaci s další chybou. Po detekci první chyby následuje bezpečná reakce, která prokazatelně znemožní výskyt případně projev další poruchy. Detekce první chyby a bezpečná reakce nastane prokazatelně v čase kratším než lze s předepsanou pravděpodobností předpokládat vznik druhé chyby, která by v kombinaci s první chybou mohla způsobit nebezpečný účinek. Pro zajištění bezpečného účinku jsou dále prováděcí počítač ECa první větve vybaven odlišným programovým vybavením oproti prováděcímu počítači ECg drahé větve, přičemž programové vybavení jak prováděcího počítače ECa první větve, tak prováděcího počítače ECg druhé větve je zpracováno podle společného zadání.The power supply block, which is connected by the first electrical connection Ia to the execution computer ECa of the first branch and secondly, the second electrical connection ig to the execution computer ECg of the second branch, provides connection and disconnection of the power of the first panel P1 of the execution computers ECa, ECr. the first branch and the execution branch ECg of the second branch, with the concurrence of power supply requiring common control signals to connect the power from both execution computers, i.e. simultaneously from the execution branch ECa of the first branch and the execution branch ECg of the expensive branch. Safe effect according to ČSN 34 2600 and design EN 50 129 is achieved by using system 2 of 2 as a system with redundant safety with sufficiently early detection of so-called laundering, which in itself cannot cause dangerous effect, but could cause dangerous effect in combined with another error. Detection of the first error is followed by a safe reaction that demonstrably prevents the occurrence or manifestation of another failure. Detection of the first error and safe reaction will be proven to occur in less than the presumed probability that a second error may occur, which, in combination with the first error, could cause a dangerous effect. Further, to ensure a safe effect, the first branch execution computer ECa is provided with different software from the expensive branch execution computer ECg, wherein the software of both the first branch execution computer ECa and the second branch execution computer ECg is processed according to a common assignment.
Příklad 4Example 4
Alternativní uspořádání elektronického zabezpečovacího zařízení podle obr. 4 se liší odThe alternative arrangement of the electronic security device of FIG
1. příkladného provedení podle obr. 1 tím, že k řídící části I je připojena nadřazená část IV(a to tak, že most B nadřazené části je jednak spojen devatenáctým datovým spojem u s hlavním rozbočovačem HUBĚ bezpečné datové sítě., dvacátým datovým spojem uj se záložním rozbočovačem HUBEi bezpečné datové sítě a dvacátým prvním datovým spojem v s nadřazeným systémem HS. Toto uspořádání je určeno pro dálkové ovládání a řízení dopravy.1 of the embodiment of FIG. 1 by connecting the master part IV to the control part I ( such that the bridge B of the master part is connected on the one hand by a nineteenth data link with the main hub of the HUB of a secure data network. a backup HUBEi secure data network hub and the twenty-first data link with a superior HS system, designed for remote control and traffic control.
Příklad 5Example 5
OTn 5)OTn 5)
Alternativní uspořádání elektronického zabezpečovacího zařízení podle obr. 5 se liší odThe alternative arrangement of the electronic security device of FIG. 5 differs from that of FIG
4. příkladného provedení podle obr. 4 tím, že k řídící části I je připojena nadřazená část IV takovým způsobem, že most B nadřazené části je spojen devatenáctým datovým spojem u s hlavním rozbočovačem HUBĚ bezpečné datové sítě a dvacátým prvním datovým spojem v s nadřazeným systémem HS. Toto uspořádání je určeno pro dálkové ovládání a řízení dopravy v případě, že není požadováno záložní připojení nadřazené části IV .4. of the exemplary embodiment of FIG. 4 by connecting upstream part IV to control portion I in such a way that upstream bridge B is connected by a nineteenth data link u to a hub of a secure data network HUB and a twenty-first data link v with a master system HS. This arrangement is intended for remote control and traffic control in case no back-up connection of parent part IV is required.
Příklad 6Example 6
Příklad uspořádání nadřazené části IV je podle obr. 6 v tomto příkladném provedení určen pro připojení tří řídících částí I se záložním připojením nadřazené části IV, která odpovídá příkladnému provedení 4 dle obr. 4.An example of the arrangement of the parent part IV according to FIG. 6 in this exemplary embodiment is intended to connect three control parts I with a backup connection of the parent part IV, which corresponds to the exemplary embodiment 4 of FIG. 4.
Nadřazená část IV se skládá z nadřazeného systému HS, který je spojen s mostem B nadřazené části. Nadřazený systém HS se skládá z rozbočovače HUBD dispečerské bezpečné datové sítě a z dispečerské sestavy SDOP ovládacích pracovišť.The parent part IV consists of the parent HS system which is connected to the bridge B of the parent part. The HS superior system consists of the HUBD hub of the dispatching secure data network and the dispatching set of SDOP control stations.
Dispečerská sestava SDOP ovládacích pracovišť se skládá alespoň z jednoho dispečerského ovládacího počítače DOPC. případně nejméně jednoho dispečerskéhoThe SDOP of the control workstations consists of at least one DOPC control computer. eventually at least one dispatcher
pasivního ovládacího počítače DPOP, z graficko-technologické nadstavby GTN a rozhraní IFIS k informačnímu systému.passive control computer DPOP, from the graphic-technological superstructure GTN and interface IFIS to the information system.
Most B nadřazené části se skládá z mostu B’ prvního směru, z mostu B” druhého směru a z mostu B”’ třetího směru.The parent bridge B consists of bridge B 'first direction, bridge B' second direction and bridge B '' third direction.
Rozbočovač HUBD dispečerské bezpečné datové sítě je spojen dvacátým pátým datovým spojem w alespoň s jedním dispečerským ovládacím počítačem DOPC. dvacátým šestým datovým spojem x, a případně s nejméně jedním dispečerským pasivním ovládacím počítačem DPOP, dvacátým sedmým datovým spojem y s graficko-technologickou nadstavbou GTN, která je spojena dvacátým osmým datovým spojem z s rozhraním IFIS k informačnímu systému. Rozbočovač HUBD dispečerské bezpečné datové sítě je dále spojen dvacátým druhým datovým spojem yl s mostem B’ prvního směru, dvacátým třetím datovým spojem v” s mostem B” druhého směru a dvacátým čtvrtým datovým spojem v”’ s mostem B’” třetího směru.The HUBD of the dispatching secure data network is connected by the twenty-fifth data link w to at least one DOPC dispatching control computer. the twenty-six data link x, and optionally at least one dispatching passive control computer DPOP, the twenty-seventh data link y with the GTN graphic connection, which is connected by the twenty-eight data link from the IFIS interface to the information system. The HUBD of the dispatching secure data network is further connected by a twenty-second data link to the B-direction of the first direction, a twenty-third data link in the B-direction of the second direction and a twenty-fourth data link in the B-direction.
Most Bl prvního směru je spojen dvacátým devátým datovým spojem ď s hlavním rozbočovačem HUBĚ' bezpečné datové sítě první řídící Části Γ a třicátým datovým spojem Uil se záložním rozbočovačem HUBE/_bezpečné datové sítě první řídící části I\The bridge B1 of the first direction is connected by the twenty-ninth data link ï to the main hub HUBE 'of the secure data network of the first control part Γ and the thirty data link Uil with the backup hub of the HUBE / secure data network of the first control part I \
Most B” druhého směru je spojen třicátým prvním datovým spojem u” s hlavním rozbočovačem HUBĚ bezpečné datové sítě druhé řídící části Γ1 a třicátým druhým datovým spojem uill se záložním rozbočovačem HUBĚ/' bezpečné datové sítě druhé řídící části I”.The second direction bridge B is connected by the thirty-first data link u 'to the hub of the hub of the secure data network of the second control part Γ1 and the thirty-second data link uill with the backup hub of the hub /' secure data network of the second control part I '.
u’” s hlavnímu 's main
Most B’” třetího směru je spojen třicátým třetím datovým spojem rozbočovačem HUBĚ bezpečné datové sítě třetí řídící části Γ” a třicátým čtvrtým datovým spojem u/H se záložním rozbočovačem HUBEN' '_bezpečné datové sítě třetí řídící části Γ”.The third direction bridge B '' is connected by the thirty-three data link through the hub of the third-party secure data network části ”and the thirty-fourth u / H data link to the back-up hub of the third-party secure data network.”.
Nadřazená část IV pracuje následovně.Parent part IV works as follows.
Každý dispečerský ovládací počítač DOPC přijímá od obsluhujících pracovníků zadání bezpečnostně irelevantních obslužných úkonů a zobrazuje obsluhujícím pracovníkům bezpečnostně irelevantní informace a v předepsaných případech přijímá od obsluhujících pracovníků zadání bezpečnostně relevantních obslužných úkonů a zobrazuje obsluhujícím pracovníkům bezpečnostně relevantní informace. Tyto vlastnosti jsou umožněny komunikací mezi dispečerským ovládacím počítačem DOPC dispečerské sestavy ovládacích počítačů SDOP nadřazeného systému HS nadřazené části IV na jedné straně a hlavním technologickým počítačem TCa pivní větve, hlavním technologickým počítačem TCg druhé větve, záložním technologickým počítačem TCai první větve a záložním technologickým počítačem TCbi druhé větve v bezpečné datové síti v první řídící části Γ a dále hlavním technologickým počítačem TCa první větve, hlavním technologickým počítačem TCr druhé větve, záložním technologickým počítačem TCai Pívn’ větve a záložním technologickým počítačem TCgi druhé větve, na straně druhé v bezpečné datové síti v druhé řídící části I” a dále hlavním technologickým počítačem TCa první větve, hlavním technologickým počítačem TCg druhé větve, záložním technologickým počítačem TCai první větve a záložním technologickým počítačem TCgg druhé větve v bezpečné datové síti v třetí řídicí části Γ” na straně druhé.Each DOPC dispatching control computer receives safety-relevant operations from operators and displays safety-relevant information to operators and, in prescribed cases, receives safety-related operations from operators and displays safety-relevant information to operators. These features are made possible by communication between the DOPC dispatching control computer of the superior computer system HSOP of the master part IV on one side and the TCB of the beer branch, TCB of the second branch, TCB of the first branch and TCB of the TCB. second branch in the secure data network in the first control part Γ and further by the main technology computer TCa of the first branch, the main technology computer TCr of the second branch, the backup technology computer TCai Strange and the backup technology computer TCgi of the second branch. in the second control part I ”and then the main technological computer TCa of the first branch, the main technological computer TCg of the second branch, the backup technological computer TCa ai the first branch and the backup computer TCgg of the second branch in the secure data network in the third control part Γ ”on the other side.
Dispečerský pasivní ovládací počítač DPOP zobrazuje obsluhujícím pracovníkům pouze bezpečnostně irelevantní informace. Tato vlastnost je umožněna komunikací mezi dispečerským pasivním ovládacím počítačem DPOP dispečerské sestavy ovládacích počítačů SDOP nadřazeného systému HS nadřazené části IV na jedné straně a hlavním technologickým počítačem TCa první větve, hlavním technologickým počítačem TCg druhé větve, záložním technologickým počítačem TCai větve a záložním technologickým počítačem TCbi druhé větve v bezpečné datové síti v první řídící části Γ a dále hlavním technologickým počítačem TCa první větve, hlavním technologickým počítačem TCg drahé větve, záložním technologickým počítačem TCaj první větve a záložním technologickým počítačem TCgi drahé větve, na straně druhé v bezpečné datové síti v druhé řídící části Iý a dále hlavním technologickým počítačem TCa první větve, hlavním technologickým počítačem TCr druhé větve, záložním technologickým počítačem TCa_i pivní větve a záložním technologickým počítačem TCri_ drahé větve v bezpečné datové síti v třetí řídící části Γ” na straně druhé.The DPOP dispatching control computer displays only irrelevant information for the operator. This feature is made possible by communication between the dispatching passive control computer DPOP of the dispatching assembly of the control computers of the SDOP of the master system of the parent part IV on one side and the main technology computer TCa of the first branch, the main technology computer TCg of the second branch, the backup technology computer TCai of the branch. second branch in the secure data network in the first control part Γ and then the main computer TCa of the first branch, the main computer TCg of the expensive branch, the backup computer TCa of the first branch and the backup computer TCg of the expensive branch and the main technological computer TCa of the first branch, the main technological computer TCr of the second branch, the backup technological computer TCa_i. beer branches and backup technology computer TCri_ expensive branches in a secure data network in the third control part Γ ”on the other side.
Graficko-technologická nadstavba prostřednictvím rozbočovače HUBD dispečerské bezpečné datové sítě, do kterého je připojená dvacátým sedmým datovým spojem, jednosměrně komunikuje (pouze přijímá data) s hlavním technologickým počítačem TCa první větve, hlavním technologickým počítačem TCr drahé větve, záložním technologickým počítačem TCg první větve a záložním technologickým počítačem TCgi druhé větve v bezpečné datové síti v první řídící části Γ a dále hlavním technologickým počítačem TCa první, větve, hlavním technologickým počítačem TCg druhé větve, záložním technologickým počítačem TCai první větve a záložním technologickým počítačem TCgi_ druhé větve, na straně druhé v bezpečné datové síti v druhé řídicí části Γ/ a dále hlavním technologickým počítačem TCa první větve, hlavním technologickým počítačem TCg druhé větve, záložním technologickým počítačem TCai první větve a záložním technologickým počítačem TCgi drahé větve v bezpečné datové síti v třetí řídící části Γ” a na základě takto získaných informací a dále na základě vlastních dat, informací získaných komunikací přes rozhraní k informačnímu systému a informací zpracovává plánovaný grafikon vlakové dopravy, realizovaný grafikon vlakové dopravy a elektronický záznam dopravní dokumentace.The graphic-technological extension via the HUBD hub of the dispatching secure data network, to which it is connected by the 27th data link, communicates (only receives data) with the TCB of the first branch, TCB of the expensive branch, TCB of the first branch and the backup branch computer TCgi of the second branch in the secure data network in the first control part Γ and then the main branch computer TCa of the first branch, the main branch computer TCg of the second branch, the backup branch computer TCai of the first branch and secure data network in the second control part Γ / and then the main technological computer TCa of the first branch, the main technological computer TCg of the second branch, what TCai of the first branch and back-up technology computer TCgi of the expensive branch in a secure data network in the third control part a ”and based on the information obtained and further on the basis of its own data, information obtained by communication through the information system interface and information, processes realized graphic of train transport and electronic record of transport documentation.
Most B’ prvního směru slouží k oddělení komunikace mezi nadřazeným systémem a první řídící částí Γ, most B druhého směru slouží k oddělení komunikace mezi nadřazeným systémem a druhou řídící částí 1/. a most.]?»/' třetího směru slouží k oddělení komunikace mezi nadřazeným systémem a třetí řídící částí Γ”.Bridge B 'of the first direction serves to separate the communication between the master system and the first control part Γ, Bridge B' of the second direction serves to separate the communication between the master system and the second control part 1 /. and the bridge.]? »/ 'is used to separate the communication between the master system and the third control part řídící”.
Příklad 7 raoExample 7 rao
Alternativní uspořádání elektronického zabezpečovacího zařízení podle obr. 7 se liší odThe alternative arrangement of the electronic security device of FIG
4. příkladného provedení podle obr. 4 tím, že mezi řídící část I je vložena přenosová část V, která je tvořena přenosovým zařízením TE . Hlavní technologický počítač TCa první větve a záložní technologický počítač TCaj první větve jsou spojeny třináctým datovým spojem 1¼ s přenosovým zařízením TE přenosové části V. Hlavní technologický počítač TCg druhé větve a záložní technologický počítač TCgi_ druhé větve jsou spojeny čtrnáctým datovým spojem hg s s přenosovým zařízením TE přenosové části V . Přenosové zařízení TE přenosové části V je jednak spojeno třicátým pátým datovým spojem h^l a dále třicátým šestým datovým spojem hgl s vykonávacím zařízením EE prováděcí části II. Toto alternativní uspořádání je určeno pro případ, kdy je potřeba vzdálit prováděcí část II nebo její část od řídící části I.4. An exemplary embodiment according to FIG. 4 by inserting a transmission part V between the control part I, which is formed by a transmission device TE. The TCB of the first branch and the TCB of the first branch are connected by a thirteenth data link 1¼ to the transmission device TE of the transmission part V. The TCB of the second branch and the TCB of the second branch are connected by the fourteenth data link hg to the transmission device TE. transmission part. The transmission device TE of the transmission part V is connected by the thirty-fifth data link h1 and the thirty-sixth data link hg1 to the execution device EE of the execution part II. This alternative arrangement is intended for cases where it is necessary to move the execution part II or part thereof from the control part I.
Příklad 8 ®S8)Example 8 ®S8)
Alternativní uspořádání vykonávacího zařízení EE podle obr. 8 je tvořeno jedním, a to drahým panelem P2 prováděcích počítačů ECa. ECg , který se odlišuje od 3. příkladného provedení podle obr. 3 tím, že neobsahuje blok VEO bezpečných elektronických výstupů, blok CVEOa kontroly bezpečných elektronických výstupů první větve a blok CVEOg kontroly bezpečných elektronických výstupů druhé větve. Předmětné alternativní uspořádání vykonávacího zařízení EE je určeno pro vydávání nezabezpečených povelů, zabezpečených reléových povelů, čtení vstupních indikací a bezpečných analogových vstupůAn alternative arrangement of the execution device EE according to FIG. 8 is formed by one expensive panel P2 of the execution computers ECa. ECg, which differs from the exemplary embodiment of FIG. 3 in that it does not include a VEO block of safe electronic outputs, a CVEOa block of safe electronic outputs of the first branch and a CVEOg block of safe electronic outputs of the second branch. The present alternative arrangement of the EE execution device is intended for issuing unsecured commands, secured relay commands, reading of input indications and secure analog inputs.
WP>·WP> ·
Příklad 9Example 9
Alternativní uspořádání vykonávacího zařízení EE podle obr. 9 je tvořeno jedním, a to třetím panelem P3 prováděcích počítačů EC^ ECr_ který se odlišuje od 3. příkladného provedení podle obr. 3 tím, že neobsahuje blok VEO bezpečných elektronických výstupů, blok CVEOa kontroly bezpečných elektronických výstupů první větve , blok CVEOr kontroly bezpečných elektronických výstupů druhé větve , blok AIa bezpečných analogových vstupů první větve a blok AIr bezpečných analogových vstupů druhé větve. Vykonávací zařízení EE podle tohoto příkladného provedení je vhodné k vydávání nezabezpečených povelů, zabezpečených reléových povelů a čtení vstupních indikací.An alternative arrangement of the execution device EE of FIG. 9 consists of one, third panel P3 of the execution computer EC1 ECr which differs from the third embodiment of FIG. 3 in that it does not include a VEO block of safe electronic outputs, a CVEOa block of secure electronic the first branch outputs, the CVEOr block of the safe electronic outputs of the second branch, the block A1a of the secure analog inputs of the first branch, and the block AIr of the secure analog inputs of the second branch. The execution device EE according to this exemplary embodiment is suitable for issuing unsecured commands, secure relay commands, and reading of input indications.
Alternativní uspořádání vykonávacího zařízení EE podle obr. 10 je tvořeno jedním, a to čtvrtým panelem P4 prováděcích počítačů ECa,ECb, který se odlišuje od příkladu 3 tím, že neobsahuje blok NO nezabezpečných výstupů a blok VRO bezpečných reléových výstupů. Alternativní uspořádání tohoto vykonávacího zařízení EE je vhodné pro vydávání zabezpečených elektronických povelů, čtení vstupních indikací a bezpečných analogových vstupů.An alternative arrangement of the execution device EE of FIG. 10 is constituted by one, the fourth panel P4 of the execution computers ECa, ECb, which differs from Example 3 in that it does not include the NO block of the non-safe outputs and the block VRO of the safe relay outputs. An alternative arrangement of this execution device EE is suitable for issuing secure electronic commands, reading of input indications and secure analog inputs.
Příklad 11Example 11
Alternativní uspořádání vykonávacího zařízení EE podle obr. 11 je tvořeno jedním, a to pátým panelem P5 prováděcích počítačů ECa, ECr , který se odlišuje od 3. příkladného provedení podle obr. 3 tím, že neobsahuje blok NO nezabezpečných výstupů, blok VRO bezpečných reléových výstupů, blok AIa bezpečných analogových vstupů první větve a blok AIr bezpečných analogových vstupů druhé větve. Toto alternativní uspořádání vykonávacího zařízení EE je vhodné pro vydávání zabezpečených elektronických povelů a čtení vstupních indikací.An alternative arrangement of the execution device EE according to FIG. 11 is formed by one, the fifth panel P5 of the execution computers ECa, ECr, which differs from the third embodiment according to FIG. 3 in that it does not contain the NO block of unsafe outputs. , the first analog branch secure analog input block AIa and the second branch secure analog input block AIr. This alternative arrangement of the execution device EE is suitable for issuing secure electronic commands and reading the input indications.
Příklad 12Example 12
W 12)W 12)
Příklad řešení přenosového zařízení TE dle obr. 12 je vhodné pro příkladné řešení 7 dle obr. 7.The exemplary solution of the TE transmission device of FIG. 12 is suitable for the exemplary solution 7 of FIG. 7.
Přenosové zařízení TE je tvořeno v první bezpečnostní větvi vstupním modemem PENET MP1 a první větve a výstupním modemem PENET MP2a první větve a v druhé bezpečnostní větvi vstupním modemem PENET MPIr druhé větve a výstupním modemem PENET MP2r druhé větve.The TE transmission device is formed in the first security branch by the input modem PENET MP1 and the first branch and the output modem PENET MP2a of the first branch and in the second security branch by the input modem PENET MPIr of the second branch and the output modem PENET MP2r of the second branch.
Vstupní modem PENET MPIa první větve je připojen jednak třináctým datovým spojem hA s neznázorněným hlavním technologickým počítačem TCa první větve a s neznázorněným záložním technologickým počítačem TCaii první větve a jednak třicátým sedmým datovým spojem H’a s výstupním modemem PENET MP2a první větve, který je dále spojen třicátým pátým datovým spojem ITa s vykonávacím zařízením EE prováděcí části II.The first branch PENET MPIa input modem is connected by a thirteenth data link hA with the first branch computer TCa (not shown) and a first branch back-up computer TCaii (not shown) and by the thirty-seventh data link H'a with the first branch output PENET MP2a the 35th ITa data link to the Implementing Part EE implementation device.
Vstupní modem PENET MPIr druhé větve je připojen jednak čtrnáctým datovým spojem hg s neznázorněným hlavním technologickým počítačem TCr drahé větve a s neznázorněným záložním technologickým počítačem TCbi drahé větve a jednak třicátým osmým datovým spojem H’r s výstupním modemem PENET MP2r druhé větve, který je dále spojen třicátým šestým datovým spojem lťg s vykonávacím zařízením EE prováděcí části II.The PENET MPIr second branch input modem is connected by the 14th data link hg to the expensive main branch computer TCr (not shown) and the TCbi expensive branch computer (not shown) and the 38th data link H'r to the second branch output PENET MP2r thirty-sixth data link 17g to the execution device EE of implementation part II.
—-
Uvedené příklady provedení nejsou vyčerpávající. Jsou možné i jiné alternativy a různé aplikační konfigurace v rámci rozsahu myšlenky tohoto vynálezu.The examples are not exhaustive. Other alternatives and different application configurations are possible within the scope of the invention.
Průmyslová využitelnostIndustrial applicability
Řešení je určeno pro řízení navazujících zařízení, která se podílejí na zajištění dopravní cesty železničních vozidel.The solution is designed for the control of related equipment, which are involved in ensuring the transport route of railway vehicles.
Claims (13)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CZ2003601A CZ2003601A3 (en) | 2003-02-28 | 2003-02-28 | Electronic alarm device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CZ2003601A CZ2003601A3 (en) | 2003-02-28 | 2003-02-28 | Electronic alarm device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CZ293635B6 CZ293635B6 (en) | 2004-06-16 |
| CZ2003601A3 true CZ2003601A3 (en) | 2004-06-16 |
Family
ID=32400130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CZ2003601A CZ2003601A3 (en) | 2003-02-28 | 2003-02-28 | Electronic alarm device |
Country Status (1)
| Country | Link |
|---|---|
| CZ (1) | CZ2003601A3 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CZ2007224A3 (en) * | 2007-03-26 | 2009-02-11 | Ažd Praha S. R. O. | Electronic sysdtem of railway interlocked installation |
| CN107992382B (en) | 2017-10-24 | 2020-12-29 | 北京全路通信信号研究设计院集团有限公司 | Computer interlocking system and redundancy switching method thereof |
-
2003
- 2003-02-28 CZ CZ2003601A patent/CZ2003601A3/en not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| CZ293635B6 (en) | 2004-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6308117B1 (en) | Interlocking for a railway system | |
| EP1750988B1 (en) | Railway signalling system, method and interlocking | |
| WO2006051355A1 (en) | A control system, a method to operate a control system, a computer data signal and a graphical user interface for rail-borne vehicles | |
| EP2139745B1 (en) | Electronic railway interlocking equipment system | |
| CN111806523A (en) | FZL300 type full-automatic operation system | |
| CN106301842A (en) | Municipal rail train controls and diagnostic system communication network redundancy structure | |
| EP1814768A2 (en) | Level crossing safety system | |
| CZ2003601A3 (en) | Electronic alarm device | |
| EP2990296A1 (en) | A decommissioning system for decommissioning a railway track section, as well as interface means for connecting a decommissioning system to a train safety system of the railway track | |
| CN108170120A (en) | A kind of framework and main/standby switching method of high ferro row control fail-safe computer | |
| JP2000198440A (en) | Electronic interlocking device | |
| DE102005043305A1 (en) | System architecture for controlling and monitoring components of a railway safety system | |
| DK2804798T3 (en) | A method for controlling, securing and / or monitor the rail-traffic and operations management | |
| ES2919925T3 (en) | Train traffic control system and method for carrying out safety-critical operations within a train traffic control system | |
| Ciriello et al. | Safety and Operational I&C: Interface Management | |
| CZ292895A3 (en) | Safety device | |
| Wang et al. | An approach to eliminate train route setting errors through application of parallel monitoring | |
| Kantz et al. | Communication in train control | |
| CZ295947B6 (en) | Processor safety device | |
| CN212462883U (en) | Double-loop main-standby isolation type coal mine safety monitoring system | |
| CN217305726U (en) | Hot standby safety module, local control device and electrical control system | |
| CZ256295A3 (en) | Programmable safety device for a crossing | |
| KR102446481B1 (en) | Method and apparatus for power controlling of urban railway | |
| CN116009436A (en) | Target controller of railway transponder | |
| JP4277991B2 (en) | Signal transmission device and train control device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MK4A | Patent expired |
Effective date: 20230228 |