CZ2007224A3 - Elektronický systém železnicního zabezpecovacího zarízení - Google Patents

Abstract

Elektronický systém železnicního zabezpecovacího zarízení sestává ze trí podstatných úrovní, a to ze zadávací úrovne (COML), z rídící úrovne (CONL), a z provádecí úrovne (EL), kde zadávací úroven (COML) je tvorena alespon jednou sestavou (AOC1, AOC2) zadávacího pocítace, obsahující aktivní zadávacípocítac (ACC), a prípadne žádný nebo nejméne jeden pasivní zadávací pocítac (PCC) pro zobrazení pouze bezpecnostne irelevantní informace. Každá sestava (AOC1, AOC2) zadávacího pocítace je datove napojena na rídící úroven (CONL) prostrednictvím rozbocovace (HUB, HUB.sub.1.n.) napojeného na technologický pocítac (VC.sub.A.n., VC.sub.B.n.) príslušné vetve A, B pro vytvorení bezpecného jádra rídící úrovne (CONL). Pro zvýšení dostupnosti elektronického systému zabezpecovacího zarízení muže rídící úroven (CONL) obsahovat další záložní technologické pocítace (VCA.sub.1.n., VC.sub.B1.n.) príslušné vetve A, B. Rídící úroven (CONL) je spojena nejméne jedním externím datovým spojem (EDL.sub.A.n., EDL.sub.B.n.) s provádecí úrovní (EL), provádecí úroven (EL) obsahuje alespon jedno vykonávací zarízení (ED) a každé vykonávací zarízení (ED) má tri základní cásti, a to rídící cást (CP) tvorenou nejméne jedním rídícím pocítacem (CC), výkonnou cást (EP) tvorenou nejméne jednou výkonnou složkou (EC) a napájecí cástí (SP) tvorenou nejméne jedním zdrojem (S). Rídící cást (CP), výkonná cást (EP) a napájecí cást (SP) jsou vzájemne propojeny alespon nejméne jedním interním datovým spojem (IDL.sub.A.n., IDL.sub.B.n.) vykonávacího zarízení (ED).

Description

Elektronický systém železničního zabezpečovacího zařízení

Oblast techniky (0001] Vynález se týká elektronického systému železničního zabezpečovacího zařízení, které sestává ze tří podstatných úrovni, a to ze zadávací úrovně, z řídící úrovně a z prováděcí úrovně. Zadávací úroveň je tvořena alespoň jednou sestavou zadávacího počítače, která obsahuje aktivní zadávací počítač a žádný nebo nejméně jeden pasivní zadávací počítač pro zobrazení pouze bezpečnostně irelevantní informace. Každá sestava zadávacího počítače je datově napojena na řídící úroveň prostřednictvím rozbočovače, napojeného na technologický počítač příslušné větve pro vytvoření bezpečného jádra řídící úrovně. Pro zvýšení dostupnosti elektronického systému zabezpečovacího zařízení, může řídící úroveň obsahovat další záložní technologické počítače příslušné větve, přičemž prováděcí úroveň sestává alespoň z jednoho vykonávacího zařízení.

Dosavadní stav techniky (00021 V České republice se v současné době pro zabezpečení dopravy na železničních tratích a v železničních stanicích používají jednak reléová zabezpečovací zařízení a elektronická zabezpečovací zařízení s reléovými výstupy. Reléová zabezpečovací zařízení v současné době již neplní všechny požadované funkce. Logické obvody reléových zabezpečovacích zařízení jsou tvořeny pevně určenými obvodovými vazbami sestavenými zejména ze speciálních zabezpečovacích relé 1. skupiny bezpečnostní funkce. Tato zařízení jsou pro každou jednotlivou aplikaci individuálně vyrobená a je obtížné je vyrábět pro každou aplikaci zvlášť. Také je obtížné tato zařízení ve fázi výroby a při uvádění do provozu testovat na případné výrobní a projekční závady. Reléová zařízení není snadné přizpůsobit nově formulovaným požadavkům na činnost zabezpečovacího zařízení a změnám v kolejišti. l ato reléová zabezpečovací zařízení zabírají velký zastavěný prostor. Také je známo, že tato zabezpečovací zařízení neposkytují požadovaný komfort pro obsluhující a udržující pracovníky. Reléová zabezpečovací zařízení se nemohou jednoduše připojit na systém dálkového ovládání a také možnost jejich propojení s nadřazenými systémy určenými pro podporu řízení dopravních procesů je nedostatečná. Jsou známa elektronická zabezpečovací zařízení, která některé nedostatky reléových zabezpečovacích zařízení odstraňují.

(00031 Například je známo elektronické stavědlo s reléovými výstupy známé s obchodním názvem K-2000 české firmy Stannou s.r.o., Choceň, CZ které pracuje jako systém s redundantní bezpečností v systému 2 ze 2.

t (0004) Je známo též programovatelné zabezpečovací zařízení pro vlaky a posunovací jtíly, zejména pro vlečky a důlní dráhy, české firmy C-MODUL, spol, sr.o., Slušovice, CZ. které rovněž pracuje jako systém s redundantní bezpečností v systému 2 ze 2 a používá reléové výstupy.

(0005( Dále je známo procesorové zabezpečovací zařízení pro dálkové řízení navazujících železničních zabezpečovacích reléových a/nebo elektronických zařízení české firmy ARGO. Toto zařízení také pracuje v systému 2 ze 2.

|«006] V zahraničí jsou využívána, jak reléová zabezpečovací zařízení, tak i elektronická zabezpečovací zařízení různých provedení.

|0007] Například zabezpečovací zařízení firmy SIEMENS AG. DE se skládá ze speciální procesorové stavebnice S1MIS určené pro aplikace v zabezpečovacím zařízení. Zařízení pracuje v systému 2 ze 2 nebo 2 ze 3 s identickými HW kanály vybavenými identickým SW.

(0008} Dále je známo zabezpečovací zařízení firmy Bombardier ATV, které pracuje v zálohovaném (/dvojeném) systému 2 ze 2 s identickými HW kanály s odlišným programovým vybavením, [OOOOJ Dále je znám mikroprocesorový bezpečnostní systém zejména pro železniční dopravu firmy CSEE-TRANSPORT, který'je složen ze dvou paralelné uspořádaných mikroprocesorů, jejichž, vstupy jsou napojeny přes analogové-číslicový převodník na výstup analogových vstupních čidel.

[0010) t aké jc známo zabezpečovací zařízení firmy ALCATEL AT, které pracuje v některých svých částech v systému 2 ze 2 a v dalších svých částech v systému 2 ze 3.

|0011| Nejbližším řešením je zabezpečovací zařízení typu ESA II firmy AŽD Praha s.r.o.. Praha. Česká republika, podle českého patentu č. 293 635. Toto zabezpečovací zařízení pracuje v systému 2 ze 2 se zálohou některých částí. Zabezpečovací zařízení se sestává z řídicí a prováděcí části.

|()0121 Řídící část se sestává ze čtyř technologických počítačů, které jsou prostřednictvím rozbočovačň bezpečné datové sítě zapojeny do bezpečné datové sítě a prostřednictvím rozbočovačů řídící datové sítě zapojeny do řídící datové sítě. Přitom hlavní technologický počítač větve A a hlavní technologický počítač větve B jsou propojeny s hlavním rozbočovačem bezpečné datové sítě a hlavním rozbočovačem řídící datové sítě. Záložní technologický počítač větve A a záložní technologický počítač 1, větve B jsou propojeny se záložním rozbočovačem bezpečné datové sítě a záložním rozbočovačem řídící datové sítě. Hlavní rozbočovač bezpečné datové sítě je propojen se záložním rozbočovačem bezpečné datové sítě, hlavní rozbočovač řídící datové sítě je propojen sc záložním rozbočovačem řídící datové sítě. Hlavní technologický počítač větve A a záložní technologický počítač větve A jsou propojeny s prováděcí částí, která sestává alespoň z jednoho vykonávaeího zařízeni. Hlavní technologický počítač větve B a záložní technologický počítač větve B jsou propojeny s prováděcí částí. Hlavní rozbočovač bezpečné datové sítě je spojen alespoň sjednotí sestavou ovládacích počítačů, která sestává alespoň z jednoho ovládacího počítače a případné alespoň jednoho pasivního ovládacího počítače.Záložní rozbočovač bezpečné datové sítě je případně spojen alespoň s jednotí sestavou ovládacích počítačů, která sestává alespoň z jednoho ovládacího počítače a případně alespoň jednoho pasivního ovládacího počítače. Řídící Část může být doplněna též počítačem pro údržbu, který může být připojen přes redundantní vysílač/přijímač. Řídící část může být v odůvodněných případech doplněna o nadřízený systém, připojený hlavním mostem, případně i záložním mostem. Na základě vstupních údajů připojených zařízení na základě požadavků obsluhujících pracovníků ovládá připojená zařízení bezpečným způsobem. Zařízeni zobrazuje pracovníkům obsluhy vyhrané informace. Toto zabezpečovací zařízení bylo úspěšně realizováno na několika desítkách instalací v České republice a v zahraničí (0013] Prováděcí část se sestává z prováděcího počítače větve A, prováděcího počítače větve B. bloku nezabezpečených výstupů, bloku napájení, bloku bezpečných reléových výstupů, bloku vstupních indikací, bloku bezpečných elektronických výstupů, bloku analogových vstupů větve A, bloku analogových vstupů větve B, bloku kontroly vstupních indikací větve A, bloku kontroly vstupních indikací větve B, bloku kontroly bezpečných elektronických výstupů větve A a bloku kontroly bezpečných elektronických výstupů větve B. Prováděcí počítač větve A je spojen s řídící částí, blokem nezabezpečených výstupů, blokem napájení, blokem bezpečných reléových výstupů, blokem analogových vstupů větve A, blokem kontroly vstupních indikaci větve A, blokem kontroly bezpečných elektronických výstupu větve A a prováděcím počítačem větve B. Prováděcí počítač větve B je dále spojen s řídící části , blokem nezabezpečených výstupů, blokem napájení, blokem bezpečných reléových výstupů, blokem analogových vstupů větve B, blokem kontroly vstupních indikací větve B a blokem kontroly bezpečných elektronických výstupů 2.větve. Blok vstupních indikací je spojen s blokem bezpečných reléových výstupů, blokem bezpečných elektronických výstupů, blokem kontroly vstupních indikací větve A a blokem kontroly vstupních indikací větve B. Blok bezpečných elektronických výstupů je dále spojen s blokem kontroly bezpečných elektronických výstupů včtve A a blokem kontroly bezpečných elektronických výstupů větve B. Blok analogových vstupů větve A je dále spojen s blokem analogových vstupů větve B. Prováděcí úroveň může být detašována za použití prostředků dálkového přenosu dat.

• · · · » ««·*»«* II I •·· »» I 11*1 *·· ·* ·· fr MM [0014] Předností tohoto vynálezu je založení elektronické konfigurace s využitím možnosti dálkového ovládáni a detašování. Zařízení umožňuje úpravu svých funkcí podle požadavků provozovatele. Toto zabezpečovací zařízení je ve své zadávací a prováděcí části zálohováno takovým způsobem, aby případná ztráta funkce zálohovaných částí nezpůsobila funkční omezení.

(0015) Béhctn několikaletého provozu tohoto zabezpečovacího zařízení se ukázaly některé nevýhody. Nevýhodou je použití až čtyř rozbočovačů v řídící části. Poruchou kteréhokoliv z nich pak nemůže řídící část pracovat v záložním režimu. Při poruše prováděcí části dochází k odstavení z provozu velké části vnějších technologických zařízení, které může vést až k značnému omezení železniční dopravy. Další nevýhodou je nemožnost zálohování a slučování komunikačních línek propojujících řídící a prováděcí část, což se pak projevuje zejména nároky na počet prostředků dálkového přenosu dat, Použitá koncepce architektury prováděcí úrovně neumožňuje dodatečně rychlou reakci na požadavek připojení dalších typů vnějších technologických zařízeni včetně adaptace na požadavky jiných železničních provozovatelů. V neposlední řade je nevýhodou značná robustnost prováděcí úrovně a nedostatečná eliminace relé 1. bezpečnostní třídy.

[0016| C ílem tohoto vynálezu je nalézt procesorový elektronický systém železničního zabezpečovacího zařízení, který splňuje funkční požadavky kladené na tato zařízení v České republice, a který lze snadno upravit pro požadavky jiných železničních provozovatelů a přitom eliminuje nedostatky a uvedené nevýhody řešení podle českého patentu č. 293 635.

Podstata vynálezu [00171 Tento cli splňuje elektronický systém železničního zabezpečovacího zařízení podle tohoto vynálezu, zahrnující tři hlavní úrovně, a to prováděcí úroveň, řídící úroveň a zadávací úroveň. Zadávací úroveň je tvořena alespoň jednou sestavou zadávacího počítače, obsahující aktivní zadávací počítač, a případně žádný nebo nejméně jeden pasivní zadávací počítač pro zobrazení pouze bezpečnostně irelevantní informace. Každá sestava zadávacího počítače je datově napojena na řídící úroveň prostřednictvím rozbočovače napojeného na technologický počítač příslušné větve A, B pro vytvoření bezpečného jádra řídící úrovně. Pro zvýšení dostupnosti elektronického systému zabezpečovacího zařízení může řídící úroveň obsahovat další záložní technologické počítače příslušné větve A, B. Prováděcí úroveň se sestává alespoň z jednoho vykonávacílio zařízení.

(0018) Podstata tohoto vynálezu spočívá v tom, že řídící úroveň je spojena nejméně jedním externím datovým spojem s prováděcí úrovní, kde prováděcí úroveň obsahuje alespoň jedno vykouávací zařízení, a každé vykonávací zařízení má tři základní části, a to jednak řídící Část tvořenou nejméně jedním řídícím počítačem, dále výkonnou část tvořenou nejméně jednou výkonnou složkou a napájecí část tvořenou nejméně jedním zdrojem. Řídící část, výkonná část a napájecí část jsou vzájemně propojeny alespoň nejméně jedním interním datovým spojem vykonávacílio zařízení.

(0019) Řídicí úroveň má přímo datově obousměrně propojeny:

každý technologický počítač větve A je propojen s technologickým počítačem větve B a záložním technologickým počítačem větve A;

každý technologický počítač větve B je propojen s lechnologíekým počítačem větve A a záložním technologickým počítačem větve B;

každý záložní technologický počítač větve Λ je propojen s technologickým počítačem větve A a záložním technologickým počítačem větve B; a každý záložní technologický počítač větve B je propojen s technologickým počítačem větve B a záložním technologickým počítačem větve A.

[0020) Technologický počítač větve A a záložní technologický počítač větve A jsou spojeny datovým spojením s vykonávactm zařízením prováděcí úrovně. Technologický počítač větve B a záložní technologický počítač větve B jsou spojeny datovým spojením s vykonávacím zařízením prováděcí úrovně.

e·· ♦♦ • · · * »·* ·· » ·· ·« [0021] Řídící počítač řídící části je spojen jednak s alespoň jedním záložním řídícím počítačem a jednak s alespoň jedním interním datovým spojem a dále též s nejméně jedním interním datovým spojem.

[0022| Každá výkonná složka výkonné části je spojena prostřednictvím alespoň jednoho interního datového spoje s řídícím počítačem, případné s alespoň jedním záložním řídícím počítačem.

[0023] Každý zdroj napájecí části je spojen alespoň jedním interním datovým spojem s řídícím počítačem, případně s alespoň jedním záložním řídícím počítačem.

[0024| Řídící počítač se skládá ze dvou řídících počítačů, které jsou vzájemně propojeny interním datovým spojem. Řídící počítač větve A je napojen obousměrně na rozhraní externí komunikace větve A, na rozhraní interní komunikace větve A, a dále je napojen na bezpečný zdroj a na dohiedové rozhraní, navazující na interní datový spoj řídící části vykonávacího zařízení. Řídící počítač větve B je napojen obousměrně na rozhraní externí komunikace větve B, na rozhraní interní komunikace větve B, a dále je spojen na bezpečný zdroj a na dohiedové rozhraní, navazující na interní datový spoj řídící části vykonávacího zařízení. Bezpečný zdroj je spojen dohledovým rozhraním a se všemi čtyřmi rozhraními, navazujícími na datové spoje. Případně řídící počítač větve A a řídící počítač větve B jsou napojeny na diagnostický počítač.

[0025| Výkonná složka může obsahovat první funkční část, spojenou s nejméně jednou další funkční částí, a lo s druhou funkční část. s třetí funkční částí, se čtvrtou funkční částí, s pátou funkční částí, se šestou funkční částí, se sedmou funkční částí, s osmou funkční částí a s devátou funkční Část, vždy prostřednictvím výkonného počítače větve A a výkonného počítače větve B, připadne navíc prostřednictvím bezpečného zdroje.

[0026[ První funkční část se s výhodou skládá zc dvou výkonných počítačů, které jsou vzájemně propojeny interním datovým spojem. Výkonný počítač větve A jc napojen obousměrné na rozhraní interní komunikace větve A a dále jc napojen na bezpečný zdroj.Výkonný počítač větve B je napojen

31) obousměrně na rozhraní interní komunikace větve B a dále je napojen na bezpečný zdroj. Bezpečný zdroj je napojen na dvě rozhraní interní komunikace, navazujícími na interní datové spoje vykonávacího zařízení.

[0(l27[ Druhá funkční část je s výhodou tvořena bezpečnými kontaktními výstupy, dohledy bezpečných kontaktních výstupů větve a dohledy bezpečných kontaktních výstupů větve B. Bezpečné kontaktní výstupy jsou spojeny s dohledy kontaktních výstupů příslušných včtví A,B, dále s bezpečným zdrojem a též s výkonnými počítači příslušných včtví A,B. Dohledy kontaktních výstupů příslušných včtví jsou dále spojeny s výkonnými počítači příslušných větví A,B.

[0028] Třetí funkční část je s výhodou tvořena bezpečnými logickými výstupy, dohledy bezpečných logických výstupů větve A a dohledy bezpečných logických výstupů větve B. Bezpečné logické výstupy jsou spojeny s dohledy logických výstupů příslušných včtví A,B, dále s bezpečným zdrojem (VS) a též s výkonnými počítači příslušných větví A,B. Dohledy logických výstupů příslušných včtví A,B jsou dále spojeny s výkonnými počítači příslušných včtví A,B.

|0029[ Čtvrtá funkční část jc s výhodou tvořena bezpečnými logickými kódovanými výstupy, dohledy bezpečných logických kódovaných výstupů větve A a dohledy bezpečných logických kódovaných výstupů větve B, Bezpečné logické kódované výstupy jsou spojeny s dohledy logických kódovaných výstupů příslušných větví A,B, dále s bezpečným zdrojem a též s výkonnými počítači příslušných větví A.B.Dohledy logických kódovaných výstupů příslušných větví A,B jsou dále spojeny s výkonnými počítači příslušných včtví A.B.

[0«30| Pátá funkční část jc $ výhodou tvořena bezpečnými analogovými výstupy, dohledy bezpečných analogových výstupů větve A a dohledy bezpečných analogových výstupů větve B.

Bezpečné analogové výstupy jsou spojeny s dohledy analogových výstupů příslušných větví A,B, dále s bezpečným zdrojem a též s výkonnými počítači příslušných větví A.B. Dohledy analogových výstupů příslušných větví A,B jsou dále spojeny s výkonnými počítači příslušných větví A,B.

|00311 Šestá funkční část je s výhodou tvořena nezabezpečenými výstupy, které jsou spojeny s výkonnými počítači příslušných větví A,B, [0032] Sedmá funkční část je s výhodou tvořena logickými vstupy, které jsou spojeny s výkonnými počítači příslušných větví A.B.

[0033] Osmá funkční část je s výhodou tvořena analogovými vstupy, které jsou spojeny s výkonnými počítači příslušných větví A.B.

[0034] Devátá funkční část je s výhodou tvořena bezpečným datovým rozhraním, které je připojeno k bezpečnému zdroji a též k výkonným počítačům příslušných větví A.B.

[0035| Zdroj se skládá ze dvou zdrojů, a to jednak ze zdroje pro napájení větve A řídící části a výkonné části a jednak ze zdroje pro napájení větve řídící části a výkonné části. Oba zdroje jsou spojeny s řídícími obvody měřicími obvody. Řídící obvody a měřicí obvody sou propojeny s rozhraním interní komunikace, připojeným na alespoň nejméně jeden interní datový spoj vykonávaeího zařízení.

[0036] K řídící úrovni může být připojena nejméně jedna nadřazená dálková úroveň, sestávající se z mostu a nadřízeného systému. Most je spojen jednak s rozbočovaěem a jednak se záložním rozbočovačem řídící úrovně.

|0037] Mezi řídící úroveň a prováděcí úroveň je s výhodou zařazena komunikační úroveň, tvořená přenosovým zařízením. Komunikační úroveň je napojena jednak na řídící úroveň alespoň jedním externím datovým spojem, jednak na prováděcí úroveň nejméně jedním externím datovým spojem.

[0038] Podstata tohoto vynálezu spočívá v nové skladbě těchto úrovní, zejména prováděcí a řídící úrovně a též v alternativním celkovém novém propojení těchto úrovní. Podrobněji dále.

[0039] Prováděcí úroveň zabezpečovacího zařízení se skládá alespoň z.jednoho vykonávaeího zařízení. Za účelem výhodného uspořádání vykonávaeího zařízení, které je určeno:

pro vydávání nezabezpečených povelů

- zabezpečených kontaktních povelů zabezpečených logických povelů zabezpečených kódovaných logických povelů zabezpečených elektronických povelů pro čtení

- vstupních logických indikací analogových vstupů pro bezpečnou komunikaci s dalšími zařízeními zabezpečovací techniky a které komunikuje s technologickými počítači řídící části nebo se záložními technologickými počítači řídící části, je vykonávací zařízení sestaveno ze tří základních částí:

- řídící části vykonávaeího zařízení výkonná část vykonávaeího zařízení napájecí část vykonávaeího zařízení [0040] Řídící část vykonávaeího zařízení a výkonná část vykonávaeího zařízení jsou samostatně pracující zařízení pracující bezpečným způsobem dle české normy ČSN 34 2600 a také v souladu s platnými evropskými normami EN 50 126. EN 50 128. 50 129. ΕΝ 159-1 a ΕΝ 159-2.

|0041] Řídící část vykonávaeího zařízení je propojena pomocí dvou komunikačních kanálů s řídící úrovní zabezpečovacího zařízení, řídící část vykonávaeího zařízení je propojena pomocí dalších komunikačních kanálů s výkonnou částí vykonávaeího zařízení a řídící část vykonávaeího zařízení je propojena pomocí alespoň jednoho komunikačního kanálu s napájecí částí vykonávaeího zařízení.

^5 ** ··«»·· e * * * · » « * « · ·· * »« ·· )01)42) Řídící část vykonávacího zařízení je tvořena jedním nebo dvěmi vzájemně propojenými řídícími počítači vykonávací části, přičemž jeden z nich je záložní.

(0043] Řídicí počítač vykonávacího zařízení pracuje v režimu dva ze dvou a je tvořen řídícím počítačem větve A. řídícím počítačem větve B. rozhraním externí komunikace větve A, rozhraním externí komunikace větve B, rozhraním interní komunikace větve A, rozhraním interní komunikace větve B. zdrojem bezpečného napětí a dohledovým rozhraním. V některých případech je účelné doplnit tuto sestavu ještě o diagnostický počítač. Řídící počítač větve A jc spojen s rozhraním externí komunikace větve A. řídící počítač větve A je spojen s rozhraním interní komunikace větve A, řídící počítač větve A je spojen s diagnostickým počítačem, řídící počítač větve A je spojen s řídícím počítačem větve B, řídící počítač větve A je spojen se zdrojem bezpečného napětí a řídící počítač větve A je spojen s dohledovým rozhraním. Řídící počítač větve B je spojen s rozhraním externí komunikace větve B. řídící počítač větve B je spojen s rozhraním interní komunikace větve B, řídící počítač větve B je spojen s diagnostickým počítačem, řídící počítač větve B je spojen s řídícím počítačem větve A, řídící počítač větve B jc spojen se zdrojem bezpečného napětí a řídící počítač větve B je spojen s dohledovým rozhraním. Zdroj bezpečného napětí je spojen s řídícím počítačem větve A. s řídícím počítačem větve B, rozhraním externí komunikace větve A, s rozhraním externí komunikace větve B, s rozhraním interní komunikace větve Λ, s rozhraním interní komunikace větve Bas dohledovým rozhraním, Uohledovč rozhraní je spojeno s řídícím počítačem větve A, s řídícím počítačem větve B, sc zdrojem bezpečného napětí a je spojeno s dohledovým rozhraním záložního řídícího počítače vykonávací části.

(0044)Výkonná část vykonávacího zařízení se skládá alespoň zjedné výkonné složky. Výkonná složka je tvořena celkem devíti funkčními částmi, |0045) I. funkční část pracuje v režimu dva ze dvou a je tvořena výkonným počítačem vétve A, výkonným počítačem větve B, rozhraním interní komunikace větve A, rozhraním interní komunikace větve B, zdrojem bezpečného napětí. Výkonný počítač větve A je spojen s rozhraním interní komunikace větve A. výkonný počítač větve A je spojen s výkonným počítačem větve B, výkonný počítač větve A je spojen se zdrojem bezpečného napětí. Výkonný počítač větve B je spojen s rozhraním interní komunikace větve B, výkonný počítač větve B je spojen s výkonným počítačem větve A a výkonný počítač větve B je spojen se zdrojem bezpečného napětí.

(0046) 2. funkční část je tvořena bezpečnými kontaktními výstupy, dohledy kontaktních výstupů větve

A a dohledy kontaktních výstupů větve B. Bezpečné kontaktní výstupy jsou spojeny s výkonným počítačem větve A a s výkonným počítačem větve Β I. funkční části. Dohledy kontaktních výstupů větve A jsou spojeny s bezpečnými kontaktními výstupy a s výkonným počítačem větve A I. funkční části. Dohledy kontaktních výstupů větve B jsou spojeny s bezpečnými kontaktními výstupy a s výkonným počítačem větve Β I. funkční části.

[0047) 3. funkční část je tvořena bezpečnými logickými výstupy, dohledy logických výstupů větve A a dohledy logických výstupů větve B. Bezpečné logické výstupy jsou spojeny s výkonným počítačem větve A a s výkonným počítačem včtve B 1. funkční části. Dohledy logických výstupů větve A jsou spojeny s bezpečnými logickými výstupy a s výkonným počítačem větve A 1. funkční části, Dohledy logických výstupů větve B jsou spojeny s bezpečnými logickými výstupy a s výkonným počítačem včtve B 1. funkční části.

100481 4. funkční část je tvořena bezpečnými kódovanými logickými výstupy, dohledy kódovaných logických výstupů větve A a dohledy kódovaných logických výstupů větve B. Bezpečné kódované logické výstupy jsou spojeny s výkonným počítačem větve A a s výkonným počítačem větve Β 1. funkční části. Dohledy kódovaných logických výstupů větve A jsou spojeny s bezpečnými kódovanými logickými výstupy a s výkonným počítačem větve A I. funkční části. Dohledy kódovanými logických výstupů včtve B jsou spojeny s bezpečnými kódovanými logickými výstupy a s výkonným počítačem větve Β 1. funkční části.

* β «99 9 I · · · 9 ·· 9 9* *· (00491 5. funkční část jc tvořena bezpečnými elektronickými výstupy, dohledy elektronických výstupů větve A a dohledy elektronických výstupů větve B. Bezpečné elektronické výstupy jsou spojeny s výkonným počítačem větve A a s výkonným počítačem větve B 1. funkční části. Dohledy elektronických výstupů větve A jsou spojeny s bezpečnými elektronickými výstupy a s výkonným počítačem větve A I. funkční části. Dohledy elektronických výstupů větve B jsou spojeny s bezpečnými elektronickými výstupy a s výkonným počítačem větve B 1. funkční části, |0050| 6. funkční část je tvořena nezabezpečenými výstupy. Nezabezpečené výstupy jsou spojeny s výkonným počítačem větve A a s výkonným počítačem větve Β I. funkční části.

|0051] 7. funkční část je tvořena logickými vstupy. Logické vstupy jsou spojeny s výkonným počítačem větve A a s výkonným počítačem větve Β 1. funkční části.

(0052 j 8. funkční část je tvořena analogovými vstupy. Analogové vstupy jsou spojeny s výkonným počítačem větve A a s výkonným počítačem větve Β I, funkční částí.

10053) 9. funkční část je tvořena bezpečným datovým rozhraním. Bezpečné datové rozhraní jsou spojeny s výkonným počítačem větve A a s výkonným počítačem větve B 1. funkční části.

[0054| Pro výkonnou část vykonávacího zařízení je vždy povinná I. funkční část a příslušná kombinace ostatních funkčních částí v závislosti na ovládaném vnějším technologickém zařízení.

[0055] Napájecí část vykonávacího zařízení je tvořena jedním nebo dvěmi zdroji, přičemž jeden z. nich je záložní.

[00561 Každý zdroj je tvořen dvěmi dílčími zdroji, a to zdrojem pro větve A, zdrojem pro větve B, řídícími obvody, měřícími obvody a rozhraním interní komunikace. Řídící obvody jsou spojeny sc zdrojem pro větve A, se zdrojem pro větve B a s rozhraním interní komunikace. Měřící obvody jsou spojeny se zdrojem pro větve A, se zdrojem pro větve B a s rozhraním interní komunikace, |0057| Řídící úroveň zabezpečovacího zařízení sestává ze čtyřech technologických počítačů, které jsou vzájemně propojeny do dvou sítí, a to do bezpečné datové sítě a do řídící sítě. Zapojení do bezpečné datové sítě je dosaženo použitím rozbočovaěů. a zapojení do řídící sítě je dosaženo přímým propojením technologických počítačů.

(00581 Technologický počítač větve A a technologický počítač větve B jsou propojeny s rozbočovačem bezpečné datové sítě. Záložní technologický počítač větve A a záložní technologický počítač větve B jsou propojeny se záložním rozbočovačem bezpečné datové sítě. Rozbočovač bezpečné datové sítě je propojen se záložním rozbočovačem bezpečné datové sítě. Technologický počítač větve A je přímo spojen s technologickým počítačem větve B a dále je technologický počítač větve B přímo spojen se záložním technologickým počítačem větve B. Technologický počítač větve A a záložní technologický počítač větve A jsou propojeny s prováděcí částí, která se sestává z alespoň z jednoho vykonávacího zařízení. Technologický počítač větve B a záložní technologický počítač větve B jsou propojeny s prováděcí částí. Rozbočovač bezpečné datové sítě je spojen alespoň sjednou sestavou zadávacích počítačů, která se sestává alespoň z jednoho aktivního zadávacího počítače a případně z alespoň jednoho pasivního zadávacího počítače. Záložní rozbočovač bezpečné datové sítě je případně spojen alespoň s jednou sestavou zadávacích počítačů, která se sestává alespoň z jednoho aktivního zadávacího počítače a případně z alespoň jednoho pasivního zadávacího počítače.

[00591 Toto elektronické zabezpečovací zařízení umožňuje rozčlenění řídící úrovně zabezpečovacího zařízení na dvě spolehlivostní části a dvě bezpečnostní větve, a to v následujícím uspořádání. Technologický počítač větve A, technologický počítač větve B, rozbočovač bezpečné datové sítě a přímé propojení technologického počítače větve A s technologickým počítačem větve B tvoří první spolehlivostní část řídící úrovně. Záložní technologický počítač větve A, záložní technologický počítač větve B, záložní rozbočovač bezpečné datové sítě a přímé propojení záložního • · · · · · *»·* ·· ·· ·* · ·· ·· technologického počítače větve A se záložním technologickým počítačem větve B tvoří druhou spolehlivostní část řídící úrovně. Technologický počítač větve A přímo propojený se záložním technologickým počítačem větve A tvoří první bezpečnostní větev řídící úrovně. Technologický počítač větve B přímo propojený se záložním technologickým počítačem větve B tvoří druhou bezpečnostní větev řídící úrovně.

(0060] Zadávací úroveň zabezpečovacího zařízení se sestává alespoň z jednoho zadávacího pracoviště, Zadávací pracoviště je tvořeno aktivním a pasivním zadávacím počítačem, které jsou připojeny k řídící úrovni zabezpečovacího zařízení prostřednictvím rozbočovače, který je součástí řídící úrovně zabezpečovacího zařízení.

(0061] Hlavní předností tohoto procesorového elektronického systému zabezpečovacího železničního zařízeni podle tohoto vynálezu, je dosaženi ekonomicky efektivní konfigurace se sníženým počtem aktivních prvků (rozboěovačů) s využitím možnosti jeho dálkového ovládání a detašování. Elektronické zabezpečovací zařízení podle tohoto vynálezu umožňuje úpravu svých funkcí podle požadavků libovolného provozovatele.

|0062| Elektronický systém zabezpečovacího zařízení podle tohoto vynálezu je ve svých rozhodujících částech zálohován takovým způsobem včetně zálohování komunikačních větví, aby případná ztráta funkce zálohované části nezpůsobila žádné funkční omezení. Elektronický systém tohoto zabezpečovací zařízení pracuje bezpečným způsobem dle české normy ČSN 34 2600 a také v souladu s platnými evropskými normami EN 50 126, EN 50 128, EN 50 129, EN 159-1 a EN 159-2.

[0063| Elektronické zabezpečovací zařízení podle tohoto vynálezu umožňuje spolupráci s navazujícími systémy sloužícími k podpoře řízení dopravy.

Přehled obrázků na výkresech [0064] Vynález je podrobně popsán na příkladných provedeních, z nichž představuje v blokovém schematickém znázornění:

obr. I základní uspořádání elektronického systému zabezpečovacího zařízení, sestávajícího ze tří základních úrovní, a to z prováděcí, řídící a zadávací úrovně , obr. 2 základní uspořádání vykonávacího zařízení prováděcí úrovně, sestávajícího ze tří základních částí, a to řídící. výkonné a napájecí části, obr. 3 základní uspořádání řídícího počítače řídící části vykonávacího zařízení, obr, 4 základní uspořádání výkonné složky výkonné části, sestávající se z devíti funkčních částí, obr. 5 základní uspořádání zdroje napájecí Části vykonávacího zařízení,, obr.6 alternativní uspořádání elektronického zabezpečovacího zařízení z obr. I s připojením nadřazené Části, obr. 7 alternativní uspořádání elektronického zabezpečovacího zařízení zobr. I se vzdáleným vykonávacím zařízením, obr. 8 alternativní uspořádání výkonné složky z obr. 4 pro snímání logických vstupů, obr. 9 alternativní uspořádání výkonné složky z obr. 4 pro kontaktní ovládání, obr. 10 alternativní uspořádání výkonné složky z obr. 4 pro logické výstupy, obr. 11 alternativní uspořádání výkonné složky z obr. 4 pro dodatečné kódování, obr. 12 alternativní uspořádání výkonné složky zobr. 4 pro ovládání návěstidel nebo motorů přestavníků snímání logických vstupů a obr. 13 alternativní uspořádání výkonné složky zobr. 4 pro datové ovládání řídící stanice přejezdu, počítače náprav, |0065| Elektronický systém zabezpečovacího zařízení na obrázcích je možné dělit vc dvou myšlených rovinách, a to v rovině spolehlivostní a bezpečnostní. Spolehlivostní rovina zahrnuje část hlavní, jejíž součástí jsou v dalším textu a na obrázcích bez číselného indexu a část záložní, jejíž

4 4 4 · 4 »

4· «4 4 · * «φ 4 · součásti jsou označeny dolním indexem 1. Bezpečnostní rovina se skládá ze dvou větvi, přičemž v dalším textu a na obrázcích jsou rozlišeny dolním indexem A a dolním indexem B.

Příklady provedení vynálezu

Přiklad 1 (Obr. i) (0066] Elektronický systém železničního zabezpečovacího zařízení sc podle obr. 1 sestává ze tří podstatných úrovní, a to z prováděcí úrovně EL, řídící úrovně CONL a zadávací úrovně COML.

[0067J Zadávací COML úroveň zabezpečovacího zařízení je tvořena dvěma sestavami zadávacích počítačů, a to první sestavou AQC1 zadávacích počítačů a druhou sestavou AOC2 zadávacích počítačů. Každá sestava zadávacích počítačů, tedy první sestava AOC1 zadávacích počítačů i druhá sestava AOC2 zadávacích počítačů, je tvořena alespoň jedním aktivním zadávacím počítačem ACC a žádným, jedním nebo více pasivními zadávacími počítači PCC. V tomto konkrétním příkladném provedení je tvořena první sestava AOCI zadávacích počítačů jedním aktivním zadávacím počítačem

ACC a jedním pasivním zadávacím počítačem PCC. Jsou-li použity alespoň dva aktivní zadávací počítače ACC, jsou rozděleny co nejvíce symetricky do dvou sestav zadávacích počítačů, tedy do první sestavy AOCI zadávacích počítačů a do druhé sestavy AOC2 zadávacích počítačů. Jsou-li použity alespoň dva pasivní ovládací počítače PCC. jsou rozděleny co nejvíce symetricky do dvou sestav zadávacích počítačů, tedy do první sestavy AOCI zadávacích počítačů a do druhé sestavy

AOC2 zadávacích počítačů.

(00681 Pasivní zadávací počítač PCC zobrazuje obsluhujícím pracovníkům pouze bezpečnostně irelevantní informace. Tato vlastnost je umožněna komunikací v bezpečné datové síti v řídící úrovni CONL zabezpečovacího zařízení mezi pasivním zadávacím počítačem PCC zadávací úrovně COML a technologickým počítačem VCa větve A, technologickým počítačem VC_B větve B, záložním technologickým počítačem VC,_M větve A a záložním technologickým počítačem VCin větve B.

[0069| Technologický počítač VCa větve A a technologický počítač VCr větve B jsou zapojeny do I. spolehlivostní větve bezpečné datové sítě prostřednictvím rozbočovače HUB bezpečné datové sítě.

Rozbočovač HUB bezpečné datové sítě je spojen datovým spojem s technologickým počítačem VCa větve A, dalším datovým spojem s technologickým počítačem VCjj větve B, dalším datovým spojem se záložním rozbočovačem HlJBj bezpečné datové sítě. Do spolehlivostní větve A bezpečné datové sítě je připojena dále první sestava AOC 1 zadávacích počítačů tak, že rozbočovač HUB bezpečné datové sítě jc spojen datovým spojem s aktivním zadávacím počítačem ACC a s pasivním zadávacím počítačem PCC, které jsou součástí první sestavy AOCI zadávacích počítačů .

(0070( Záložní technologický počítač VC/j větve A a záložní technologický počítač VC.m větve B jsou zapojeny do 2. spolehlivostní větve bezpečné datové sítě prostřednictvím záložního rozbočovače HUB_Lbezpeěné datové sítě tak, že záložní rozbočovač HUB, bezpečné datové sítě je spojen datovým spojem se záložním technologickým počítačem VC_Ai větve A, dalším datovým spojeni sc záložním technologickým počítačem VCm větve B. Do 2. spolehlivostní větve bezpečné datové sítě jc připojena druhá sestava AOC2 zadávacích počítačů tak, že záložní rozbočovač HUBi bezpečné datové sítě je spojen datovým spojem s aktivním zadávacím počítačem ACC a s pasivním zadávacím počítačem PCC, které jsou součástí druhé sestavy AOC2 zadávacích počítačů.

[00711 Řídící datová síť je vytvořena přímým spojením technologického počítač VCa větve A interním datovým spojem 1DLCL řídící úrovně s technologickým počítačem VC_B větve B, přímým spojením technologického počítače VCa větve A interním datovým spojem IDLCI.a řídící úrovně větve A se záložním technologickým počítačem VC_Ai větve A, a přímým spojením technologického počítač VCii větve B interním datovým spojem IDLCLj, řídící úrovně větve B se záložním technologickým počítačem VCui větve B.

• · • «9 · 9 «9«*

999·» 9· 9 «9 *10 ]0072| rechnologický počítač VCa vétve A a záložní technologický počítač VC_Ai větve A, jsou spojeny dalším externím datovým spojem EPLa větve A, s prováděcí úrovní EL zabezpečovacího zařízení. Technologický počítač VCu větve B a záložní technologický počítač V Cm větve B, jsou spojeny dalším externím datovým spojem EDI.· větve B, s prováděcí úrovní EL zabezpečovacího zařízení.

[0073J Řídící úroveň CONL elektronického systému železničního zabezpečovacího zařízení pracuje následovně.

10074) Každý aktivní zadávací počítač ACC přijímá od obsluhujících pracovníků zadání bezpečnostně irelevantních obslužných úkonů, dále zobrazuje obsluhujícím pracovníkům bezpečnostně irelevantní informace, v předepsaných případech přijímá od obsluhujících pracovníků zadání bezpečnostně relevantních obslužných úkonů a také zobrazuje obsluhujícím pracovníkům bezpečnostně relevantní informace. Tyto vlastnosti jsou umožněny komunikací mezi aktivním zadávacím počítačem ACC první sestavy AOCI zadávacích počítačů a/nebo druhé sestavy AOC2 zadávacích počítačů zadávací úrovně COML, s technologickým počítačem VCa větve A. technologickým počítačem VCh větve B, záložním technologickým počítačem VCm vétve A a záložním technologickým počítačem VCjq vétve

B, na straně druhé v bezpečné datové sítí v řídící úrovně CONL.

10075] Technologický počítač VCa větve A komunikuje s vykonávacím zařízením LP prováděcí úrovně EL prostřednictvím externího datového spoje EDLa větve A takovým způsobem, že do vykonávacího zařízení LP předává požadavky na vydávání nezabezpečených povelů, zabezpečených kontaktních povelů, zabezpečených logických povelů, zabezpečených kódovaných logických povelů, zabezpečených elektronických povelů a z vykonávacího zařízení EP přijímá informace o stavu vstupních logických indikací, analogových bezpečných vstupů v rozsahu, který vykonávací zařízení EP umožňuje. Předávané požadavky z technologického počítače VCa větve A jsou před jejich předáním do vykonávacího zařízením LP upraveny předepsaným algoritmem podle příslušných hodnot, které technologickému počítač VCa větve A předá technologický počítač VCr větve B prostřednictvím interního datového spoje IPLCL řídící úrovně. Takto upravené požadavky jsou zabezpečeny redundancí vytvořenou technologickým počítačem VCa větve A, tak i redundancí vytvořenou technologickým počítačem VCr větve B. Způsob vytváření a vzniklá redundance vytvářená technologickým počítačem větve VCa vétve A a redundace vytvářená technologickým počítačem větve VCr větve B jsou rozdílné. Redundanci vytvořenou technologickým počítačem VCV větve B předává tento do technologického počítače VCa větve A prostřednictvím interního datové spoje IPLCL řídící úrovně.

[00761 Technologický počítač VCa větve A, prostřednictvím externího datového spoje EDLa větve

A, přijímá datagramy od větve A vykonávacího zařízení LP, které obsahují indikace z vykonávacího zařízení EP. Datagramy přijaté technologickým počítačem VCa větve A jsou, po kontrole identity a autenticity technologickým počítačem VCa větve A, předány interním datovým spojem IPLCL řídící úrovně technologickému počítači VCr_ větve B. Tyto datagramy předané tímto interním datovým spojem IPLCL technologický počítač VCu větve B kontroluje na identitu a autenticitu podle svých algoritmů.

[00771 Technologický počítač VCV větve A dále zpracovává zadání obslužných úkonů prostřednictvím bezpečné datové sítě, a to jak bezpečnostně irelevantních obslužných úkonů, tak i bezpečnostně relevantních obslužných úkonů od každého aktivního zadávacího počítače ACC první sestavy AOCI zadávacích počítačů nebo od každého aktivního zadávacího počítače ACC druhé sestavy AOC2 zadávacích počítačů, rechnologický počítač VC-a větve A komunikuje s technologickým počítačem VCr větve B, se kterými si interním datovým spojem IPLCL řídící úrovně navzájem vyměňuje data potřebná k případné detekcí 1. poruchy technologického počítače VC_A větve A, nebo technologického počítače VCr větve B. Pro zajištění spolehlivé činnosti, při poruše technologického počítače VCa větve A nebo při poruše technologického počítače VCr větve B, předává technologický počítač VCa větve A prostřednictvím interního datového spoje IPLCLa řídící úrovně větve A řídící datové sítě záložnímu technologickému počítači VCai větve A data, která slouží *10 • « • »· ··

- -- v » » • · · · ···* »· · ·» «· k opakovanému nastavování proměnných záložního technologického počítače VCa, větve A v určených časových intervalech tak, aby jejich hodnoty odpovídaly hodnotám odpovídajících proměnných technologického počítače VC_A větve A.

[0078] Technologický počítač VCg větve B komunikuje s vykonávacím zařízením Et) prováděcí úrovně EL prostřednictvím externího datového spoje EDLn větve B takovým způsobem, že do vykonávacího zařízení ED předává požadavky na vydávání nezabezpečených povelů, zabezpečených kontaktních povelů, zabezpečených logických povelů, zabezpečených kódovaných logických povelů, zabezpečených elektronických povelů a z vykonávacího zařízení ED přijímá informace o stavu vstupních logických indikací, analogových bezpečných vstupů v rozsahu, který vykonávací zařízení ED umožňuje. Předávané požadavky z technologického počítače V Cg větve R jsou před jejích odesláním do vykonávacího zařízením ED upraveny předepsaným algoritmem podle příslušných hodnot, které technologickému počítač VCg větve B předá technologický počítač VC_A větve A prostřednictvím interního datové spoje IDLCE řídící úrovně. Takto upravené požadavky jsou zabezpečeny redundancí vytvořenou technologickým počítačem VC_fl větve B, tak i redundancí vytvořenou technologickým počítačem VC_A větve A. Způsob vytváření a vzniklá redundance, vytvářená technologickým počítačem větve VCh větve B, a redundace vytvářená technologickým počítačem větve VC_A větve A, jsou rozdílné. Redundanci, vytvořenou technologickým počítačem VCa větve A, předává tento do technologického počítače VCh větve B, prostřednictvím interního datové spoje IDLCE řídicí úrovně.

[00791 Technologický počítač VCyj větve B prostřednictvím datového spoje EDEr větve B přijímá datagramy od větve B vykonávacího zařízení ED. které obsahují indikace z vykonávacího zařízení ED. Datagramy přijaté řídícím počítačem CC~ jsou. po kontrole identity a autenticity, předány technologickým počítačem VCnvětve B interním datovým spojem 1DLCL řídící úrovně technologickému počítači VC_A větve A. Tyto datagramy, předané interním datovým spojem 1DECL řídicí úrovně, technologický počítač VC_A větve A rovněž kontroluje na identitu a autenticitu podle svých algoritmů, )0080( Technologický počítač VC_P větve B dále zpracovává zadání obslužných úkonů prostřednictvím bezpečné datové sítě, a to jak bezpečnostně irelevantních obslužných úkonů, tak i bezpečnostně relevantních obslužných úkonů od každého aktivního zadávacího počítače ACC první sestavy AQC1 zadávacích počítačů nebo od každého aktivního zadávacího počítače druhé sestavy AOC2 zadávacích počítačů. Technologický počítač VC₆ větve B komunikuje s technologickým počítačem _VC_A větve A, se kterým si interním datovým spojem IDLCE řídící úrovně navzájem vyměňuje data, potřebná k případné detekci 1. poruchy technologického počítače VCr větve B nebo technologického počítače VCa větve A. Pro zajištění spolehlivé činnosti, při poruše technologického počítače VCh větve B nebo při poruše technologického počítače VC_A větve A, předává technologický počítač VC₂ větve B prostřednictvím interního datového spoje IDLCLn řídicí úrovně větve B řídící datové sítě záložnímu technologickému počítači VCw větve B data, která slouží k opakovanému nastavování proměnných záložního technologického počítače VCm větve B v určených časových intervalech tak, aby jejich hodnoty odpovídaly hodnotám, odpovídajících proměnných technologického počítače VC_B větve B.

[0081 (Záložní technologický počítač VCai větve A komunikuje se záložním technologickým počítačem VCm větve B, se kterým si prostřednictvím interního datového spoje IDLCI.i řídící datové sítě navzájem vyměňuje data potřebná k případné detekci i. poruchy záložního technologického počítače VCai větve A nebo záložního technologického počítače VCh větve B.

[00821 Zapojení alespoň jednoho aktivního zadávacího počítače ACC první sestavy AOC1 zadávacích počítačů, technologického počítače VCa větve A a technologického počítače VC_a větve B do rozbočovače ílUB bezpečné datové sítě a zároveň zapojení alespoň jednoho dalšího aktivního zadávacího počítače ACC druhé sestavy AQC2 zadávacích počítačů, záložního technologického počítače VCai větve A a záložního technologického počítače VCm větve B do záložního rozbočovače HUBi bezpečné datové sítě, zajišťuje provozuschopnost zabezpečovacího zařízení při jakékoliv poruše prvního aktivního zadávacího počítače ACC první sestavy AOC1 zadávacích počítačů, a/nebo druhého aktivního zadávacího počítače ACC'2 druhé sestavy AOC2 zadávacích počítačů, a/nebo technologického počítače VC_A větve A, a/nebo technologického počítače VCh větve B, a/nebo * 4·· 44 záložního technologického počítače VC-ai větve A, a/nebo záložního technologického počítače VCm větve B a/nebo kteréhokoliv datového spoje spojujícího výše uvedené prvky navzájem.

(0083] Aby byla zajištěna plná funkčnost řídící úrovně CONL, tj. záložního technologického počítače VCai větve A a záložního technologického počítače VC_Bj_větvc B, při poruše technologického počítače VC_A větve A, a/nebo poruše technologického počítače VCA větve B, a/nebo poruše rozbočovače HUB bezpečné datové sítě, kopíruje v předepsaných časových intervalech záložní technologický počítač VCAi_vělve A, prostřednictvím interního datového spoje IDLCLa řídicí úrovně větve A řídící datové sítě. potřebné vnitřní proměnné technologického počítače VC,·, větve A: a přičemž záložní technologický počítač VCiu větve B kopíruje, prostřednictvím interního datového spoje IDUCLij řídící úrovně větve B, potřebné vnitřní proměnné technologického počítače VC_Li větve B.

(1)084} Nutnou podmínkou elektronického zabezpečovacího zařízení pro zajištění jeho spolehlivé činnosti je zajištění synchronizace. Synchronizace musí být zajištěna synchronizovanou činností technologických počítačů VCa, VC_b, VCai, VC_B1_řídící úrovně CONL a vykonávacího zařízení El) prováděcí úrovně EL . a jejich všech komunikací.

J0085J Synchronizace je zajištěna realizací synchronního režimu, kde technologický počítač VCa větve A je v určených časových intervalech zdrojem synchronizační značky v bezpečné datové síti a řídící datové síti pro technologický počítač VC_B větve B, pro záložní technologický počítač VCm větve A a pro záložní technologický počítač VCm větve B a dále pro vykonávacího zařízení ED prováděcí úrovně EL.

[0086] Při poruše technologického počítače VCa větve A přebírá jeho funkci zdroje synchronizační značky do všech uvedených datových sítí záložní technologický počítač VCm větve A.

|0087] Technologický počítač VCa větve A, nebo v případě jeho poruchy záložní technologický počítač Vm větve A, provádí příslušné funkce, které jsou vyvolány zadáním obslužných úkonů prostřednictvím některého z aktivních zadávacích počítačů ACC a dále provádí automaticky všechny příslušné dopravní funkce a zajišťuje zpracování a přenos čísel vlaků.

(0()88} Technologický počítač VC_B, větve B, nebo v případě poruchy záložní technologický počítač VCm větve B, provádí příslušné funkce, které jsou vyvolány zadáním obslužných úkonů prostřednictvím některého z aktivních zadávacích počítačů ACC, dále provádí automaticky všechny příslušné dopravní funkce.

[0089] Bezpečného účinku ve smyslu ČSN 34 2600 a návrhu ON 50 129 jc dosaženo jednak použitím systému 2 ze 2 jako systému s redundantní bezpečností s dostatečně včasnou detekcí tzv. 1. chyby, která sama o sobě nemůže způsobit nebezpečný účinek, avšak mohla by způsobit nebezpečný účinek v kombinaci s další chybou. Po detekci 1, chyby následuje bezpečná reakce, která prokazatelně znemožní výskyt, případně projev, další poruchy. Detekce 1. chyby a bezpečná reakce nastane prokazatelně v čase kratším než. lze s předepsanou pravděpodobností předpokládat vznik 2. chyby, která by v kombinaci s chybou 1. mohla způsobit nebezpečný účinek. Pro zajištění bezpečného účinku, jsou dále technologický počítač VCA větve A a záložní technologický počítač VC_Ai větve A vybaveny odlišným programovým vybavením oproti technologickému počítači VCu větve B a záložnímu technologickému počítači VC._t_větve B, přičemž programové vybavení, jak technologického počítače VCa větve A a záložního technologického počítače VC_Ai větve A, tak technologického počítače VCjj větve B a záložního technologického počítače VCm větve B, je zpracováno podle společného zadání.

Příklad 2 (Obr. 2) [0090] Uspořádání vykonávacího zařízení LÍD ze kterého se vytváří prováděcí úroveň EL zabez pečovaeího zařízení je uvedeno na obr. 2, t * » · · · ·«·· • 4· · ♦ · · 9 99 99

100911 Vykonávací zařízení ED je tvořeno řídící částí CP, výkonnou částí EP a napájecí částí SP.

[00921 Vykonávací zařízení ED je k řídící úrovni CONL připojeno propojením řídící Částí CP externím datovým spojem EDLa větve A s řídící úrovní CONE a externím datovým propojením EDLu větve B s řídící úrovní CONL podle obr. I.

[0093] Řídící část CP jc tvořena řídícím počítačem CC a záložním řídícím počítačem CCL Řídící počítač CC je spojen se záložním řídícím počítačem CC_L interním datovýmspojem IDLCP. Záložní řídící počítač CCj není nezbytný a používá se pro zvýšení spolehlivosti řídící části CP.

[0094| Výkonná část EP je tvořena alespoň jednou výkonnou složkou EC.

[0095] Napájecí část SP jc tvořena zdrojem S a záložním zdrojem Sj. Záložní zdroj S| není nezbytný a používá se pro zvýšení spolehlivosti napájecí část SP.

[0096] Řídící počítač CC, záložní řídící počítač CCj a výkonná složka EC jsou propojeny interními datovými spoji IDLa a 101.,,¾obou větví A,B.

(0097( Řídící část CP a napájecí část SP jsou propojeny externím datovým spojem EDL^větve A.

nebo externím datovým spojem EDU větve R .

{0098] Řídící počítač CC. záložní řídící počítač CCj_a každá výkonná složka EC jsou samostatně pracující zařízení, která pracují bezpečným způsobem dle české normy ČSN 34 2600 a také v souladu s platnými evropskými normami EN 50 126. EN 50 128, EN 50 129, ΕΝ 159-1 a ΕΝ 159-2.

Příklad 3 (Obr. 3) (0099] Uspořádání řídícího počítače CC řídící části CP vykonávacího zařízení ED je znázorněno na obr. 3, z něhož je patrné základní uspořádání řídícího počítače CC řídící části CP vykonávacíbo zařízení ED, sestávajícího z následujících základních částí, a to z řídícího počítače CCa větve A, řídícího počítače CCj, větve B, diagnostického počítače DC, bezpečného zdroje VS , dohledového rozhraní Wl, rozhraní ECIa externí komunikace větve A, rozhraní ECL externí komunikace větve B, rozhraní ICI_A interní komunikace větve A a rozhraní ICln interní komunikace větve B.

[0100] Řídicí počítač CCa větve A komunikuje, prostřednictvím rozhraní ECL externí komunikace větve A a pomocí externího datového spoje EDL_A větve A, s řídící úrovní CONL; dále komunikuje prostřednictvím rozhraní ICŘvětve A interní komunikace a pomocí interního datového spoje 1_DLa větve A s výkonnými složkami EC tvořícími výkonnou část EP vykonávacíbo zařízení ED podle obr, 2

10101] Řídící počítač CC» větve B komunikuje, prostřednictvím rozhraní ECL větve B externí komunikace a pomocí externího datového spoje EDLr větve B s řídící úrovní CONL; dále prostřednictvím rozhraní ICL větve B interní komunikace a pomocí interního datového spoje IDL_B větve B s výkonnými složkami EC tvořícími výkonnou část EP vykonávacího zařízení ED podle obr.

[0102] Interním datovým spojem 1DLCC mezi řídícím počítačem CCa větve A a řídícím počítačem

CC» větve B spolu oba tyto řídící počítače CCa a CCr vzájemně komunikuji.

[0103| Bezpečný zdroj VS je spojen s řídícím počítačem CCa větve A a řídícím počítačem CCr větve B, s rozhraním ECIa externí komunikace větve A, s rozhraním EC1_B externí komunikace větve B, s rozhraním ICIa interní komunikace, s rozhraním ICL interní komunikace příslušných větví A, B a sdohledovým rozhraním WI, Bezpečný zdroj VS je obvod s vnitřní bezpečností a s protiopakovací funkcí, generující bezpečné napětí pro napájení rozhraní ECL externí komunikace, rozhraní ECL • v ··· »· » · » · * « * ·· · tt tt externí komunikace, rozhraní ICL. interní komunikace a rozhraní ICln interní komunikace příslušných větví A, B, a také pro dohledové rozhraní WI. Činnost bezpečného zdroje VS je řízena dynamickými signály řídícího počítače CC_A větve A a řídícího počítače CC» větve B.

(0104] Dohledové rozhraní WI je spojeno s řídícím počítačem CCA větve A a s řídicím počítačem

CC» větve B. Přímé propojení řídícího počítače CC a záložního řídícího počítače CC| podle obr.2 je provedeno propojením dohledového rozhraním WI řídícího počítače CC s dohledovým rozhraním WI záložního řídícího počítače CC_r Toto propojeni dohledového rozhraní WI řídícího počítače CC s dohledovým rozhraním WI záložního řídícího počítače CCi umožňuje režim horkých záloh v řídící části CP vykonávacího zařízení.

10105] Zařízení může výhodně obsahovat diagnostický počítač DC, který je spojen datovým spojem s řídícím počítačem CCA větve A a dále je diagnostický počítač DC je spojen datovým spojem s řídícím počítačem CC» větve B.

v (0106) Řídící počítač CC pracuje následovně.

[0107] Řídící počítač CCA větve A a řídící počítač C'CA větve B komunikují, s řídící úrovní CONL zabezpečovacího zařízení, prostřednictvím externího datového spoje EDL_A větve A a externího datového spoje EDI,» větve B [0108] Řídící počítač CC_A větve A, prostřednictvím rozhraní ECI_A externí komunikace větve A a externího datového spoje EDL_A větve A, přijímá datagramy od technologického počítače VG větve A nebo záložního technologického počítače VCAi větve A řídící úrovně CONL zabezpečovacího zařízení. Datagramy obsahují požadavky na vydávání výstupů výkonné části EP vykonávacího zařízení ED. Datagramy přijaté řídícím počítačem CCA větve A jsou, po kontrole identity a autenticity, předány interním datovým spojem IDLCC řídícího počítače řídícímu počítači CC_fl větve B.

Tylo datagramy předané interním datovým spojem IDLCC řídícího počítače, řídící počítač CCn větve B rovněž kontroluje na identitu a autenticitu podle svých algoritmů.

[0109] Řídící počítač CC_A větve A odpovídá, technologickému počítači VC_A větve A nebo záložnímu technologickému počítači VC/o větve A řídící úrovně CONL zabezpečovacího zařízení, datagramy, obsahujícími indikace načtené výkonnou částí EP vykonávacího zařízení ED. Tyto datagramy jsou zabezpečeny redundancí vytvořenou řídícím počítačem CCA větve A, tak i redundancí vytvořenou řídícím počítačem CC» větve B, Způsob vytváření a vzniklá redundance, vytvářená řídícím počítačem CC_A větve A a redtmdaee vytvářená řídícím počítačem větve CCA větve B, jsou rozdílné. Redundance vytvořená řídícím počítačem CC_A větve Aje interním datovým spojem IDLCC předána řídícímu počítači CC[j_větve B.

10110] Řídící počítač CC|j větve B, prostřednictvím rozhraní LCD externí komunikace větve B a externího datového spoje EDL» větve B, přijímá datagramy od technologického počítače VCn nebo záložního technologického počítače VCm_větvc B řídící úrovně CONL zabezpečovacího zařízení.

které obsahují požadavky na vydávání výstupů výkonné části EP vykonávacího zařízení ED. Přijaté datagramy řídícím počítačem CC» větve B jsou po kontrole identity a autenticity předány interním datovým spojem IDLCC řídícímu počítači CC_A větve A. Tyto datagramy. předané interním datovým spojem IDLCC, řídící počítač CC_A větve A rovněž kontroluje na identitu a autenticitu podle svých algoritmů.

|0111| Řídící počítač CCA větve B odpovídá, technologickému počítací VCA větve B nebo záložnímu technologickému počítači VCm větve B řídící úrovně CONL zabezpečovacího zařízení, datagramy, obsahujícím indikace načtené výkonnou částí LP vykonávacího zařízení ED. Tyto datagramy jsou zabezpečeny redundancí, vytvořenou řídícím počítačem CCA větve B, tak i, redundancí vytvořenou řídícím počítačem CCA větve A. Způsob vytváření a vzniklá redundance, vytvářená řídícím počítačem větve CC_A větve A a redundace vytvářená technologickým počítačem větve CCA větve B, jsou rozdílné.

• « • * ··· ·« (0112J Redundance vytvořená řídím počítačem CC.·, větve A je interním datovým spojem IDLCC předána řídícímu počítači CCT_větvc B.

(0113( Řídící počítač CCa větve A přijatý datagram od řídící úrovně CONL podle daných algoritmů zpracuje a vytvoří datagramy pro jednotlivé výkonné složky EC výkonné části EP. Tyto datagramy jsou zabezpečeny redundancí vytvořenou řídícím počítačem CCa větve A, tak i redundancí vytvořenou řídícím počítačem CCT. Způsob vytváření a vzniklá redundance, vytvářená řídícím počítačem větve CCa větve A a redundace vytvářená technologickým počítačem větve CC^větve B, jsou rozdílné. Redundance vytvořená řídím počítačem CCn je interním datovým spojem IDLCC předána řídícímu počítači CCa [0114| Řídící počítač CCy přijatý datagram od řídící úrovně CONL podle daných algoritmů zpracuje a vytvoří datagramy pro jednotlivé výkonné složky EC výkonné části EP. Tyto datagramy jsou zabezpečeny redundancí vytvořenou řídícím počítačem CCT, větve B, lak i redundancí vytvořenou řídícím počítačem CCa větve A. Způsob vytváření a vzniklá redundance, vytvářená řídícím počítačem větve CCa, větve A a redundace vytvářená řídícím počítačem větve CCn větve B, jsou rozdílné. Redundance vytvořená řídícím počítačem CCa větve A je interním datovým spojem IDLCC předána řídícímu počítači CCT větve B.

(0115] Řídící počítač CCa větve A, po vyslání datagramu prostřednictvím rozhraní 1CIa_ interní komunikace větve A a interního datového spoje IDLa větve A k jednotlivým výkonným složkám EC výkonné části EP. přijímá datagramy obsahující indikace načtené výkonnými složkami EC. Řídící počítač CC_A větve A přijaté datagramy od všech výkonných složek EC výkonné části EP podle algoritmů zpracuje do výsledného datagramu určeného pro technologický počítač VCa větve A nebo pro záložní technologický počítač VCai větve A řídící úrovně CONL. Při tvorbě těchto datagramu sc uplatňuje vzájemná výměna dat pomocí interního datového spoje IDLCC mezi řídícím počítačem CCT větve A a řídícím počítačem CCT větve B. Takto vzniklé datagramy jsou zabezpečeny redundancí, vytvořenou řídícím počítačem CCT větve A , tak i redundancí vytvořenou řídícím počítačem CC^větve B. Způsob vytváření a vzniklá redundance, vytvářená řídícím počítačem větve CCa větve A a redundace vytvářená řídícím počítačem větve CCT větve B, jsou rozdílné. Redundance vytvořená řídícím počítačem CCn větve B je interním datovým spojeni IDLCC předána řídícímu počítači CCa větve A, [0116| Řídící počítač CCn větve B, po vysláni datagramu prostřednictvím rozhraní ICln větve B interní komunikace a interního datového spoje IpLj) větve B k jednotlivým výkonným složkám EC výkonné části EIL přijímá datagramy obsahující indikace načtené výkonnými složkami EC. Řídící počítač CCT větve B přijaté datagramy od všech výkonných složek EC výkonné části EP podle algoritmů zpracuje do výsledného datagramu určeného pro technologický počítač VCT větve B nebo pro záložní technologický počítač VCrj větve B řídící úrovně CONL. Při tvorbě těchto datagramu se uplatňuje vzájemná výměna dat pomocí interního datového spoje IDLCC mezi řídícím počítačem CCa větve A a řídícím počítačem CCr větve B. Takto vzniklé datagramy jsou zabezpečeny redundancí vytvořenou řídícím počítačem CCn větve B, tak i redundancí vytvořenou řídícím počítačem CCa větve A. Způsob vytváření a vzniklá redundance, vytvářená řídícím počítačem CCa vetve A a redundace vytvářená řídícím počítačem větve CCn větve B, jsou rozdílné. Redundance vytvořená řídícím počítačem CCT větve A je interním datovým spojem IDLCC předána řídícímu počítači CCr větve B.

IO117| Zálohování řídící části CP vykonávacího zařízení ED se provádí následovně.

10118] Řídicí část CP vykonávacího zařízení ED zajišťuje komunikaci mezi řídící úrovní zabezpečovacího zařízení CONL a vykonávacím zařízením ED podle obr.1 a rovněž zabezpečuje řízení činností výkonné části EP vykonávacího zařízení ED podle obr.2. Porucha řídící části CP vykonávacího zařízení ED znamená poruchu celého vykonávacího zařízení ED. Je tedy velmi výhodné zálohoval řídící část CP vykonávacího zařízení ED. Princip zálohování spočívá ve vlastnostech • Β · Β · Β Β « ·

ΒΒΒΒ* ·· Β ΒΒ · dohledového rozhraní WJ· Aktivní řídící počítač CC a záložní řídící počítač CCi mají vzájemně spojeny doliledová rozhraní WI interním spojem 1DLCP řídící části vykonávacího zařízení podle obr.2. Bezpečný zdroj VS řídícího počítače CC a bezpečný zdroj VS záložního řídícího počítače CC] při bezporuchovém stavu generují bezpečným způsobem napětí, které je kromě jiného přivedeno na dohledové rozhraní WI. Propojením dohledovýeh rozhraní Wi řídícího počítače CC s dohledovým rozhraním WI záložního řídícího počítače CCi, má řídící počítač CC informaci o existenci záložního řídícího počítače CC i a záložní řídící počítač CC] informaci o existenci řídícího počítače CC.

[0119] Aktivace řídícího počítače CC a záložního řídícího počítače CC, se provádí postupně. Pokud při aktivaci řídícího počítače CC není dohledovým rozhraním WI detekován jiný řídící počítač CC, řídící počítač CC přechází do aktivního stavu. Následně po aktivaci záložního řídícího počítače CC] jeho dohledovým rozhraním WI je detekována existence jiného řídící počítače CC a záložní řídící počítač CC] přechází do horko-zá ložního režimu, kde očekává nezbytné údaje od řídícího počítače CC. Řídící počítač CC detekuje prostřednictvím svého dohledového rozhraní WI existenci záložního řídícího počítače CC] a předá mu nezbytné údaje pro řádnou činnost horké zálohy. V další činnosti záložní řídící počítač CCi monitoruje provoz na interních datových spojích ID_La, LP.Lh a na externích datových spojích EDI.a EDI.» příslušných větví A.B, a provádí veškeré činnosti podle algoritmů shodných s algoritmy řídícího počítače CC mimo vysílání datagramů do výkonné části LP a do řídící úrovně CONL. V případě poruchy řídícího počítače CC zaniká napětí z jeho bezpečného zdroje VS a dohledové rozhraní WI záložního řídícího počítače CCj tento zánik vyhodnotí a záložní řídící počítač CC] přechází do aktivního stavu, tj. stává se řídícím počítačem CC.

[0120| Bezpečnost řídícího počítače CC se zajišťuje následovně.

[01211 Bezpečnost řídícího počítače CC je založena na obvodu bezpečného zdroje VS, který je řešen jako obvod s vnitřní bezpečností a protiopakovací funkcí. Pokud není řídícím počítačem CC_A větve A detekována porucha, vytváří řídící počítač CC_A větve A dynamický signál pro bezpečný zdroj VS.

Pokud není řídícím počítačem CC» větve B detekována porucha, vytváří řídící počítač CC» větve B dynamický signál pro bezpečný zdroj VS. Pouze během aktivace řídícího počítače CC, tj. během řízeného připnutí na výstupní napětí VA.VB příslušných větví A,B zdroje S za současného dynamického signálu řídícího počítače CC_A větve A a dynamického signálu řídícího počítače CC» větve B, vytváří bezpečný zdroj VS bezpečné napájecí napětí pro rozhraní EC1_A externí komunikace, pro rozhraní LCI» externí komunikace, pro rozhraní ICIa interní komunikace, pro rozhraní 1C1» interní komunikace příslušných větví A, B a pro dohledové rozhraní WI. Při detekci první poruchy řídící počítač CCa větve A přestává vykonávat program, a tedy, i generovat dynamický signál pro bezpečný zdroj VS, následkem čehož bezpečný zdroj VS přestává generovat bezpečné napětí pro rozhraní LCD externí komunikace, pro rozhraní ECIn externí komunikace, pro rozhraní ICIa interní komunikace, pro rozhraní ICIp interní komunikace příslušných větví A, B a pro dohledové rozhraní WI. Řídící počítač CCa větve A přestává komunikovat interním datovým spojem 1DLCC s řídícím počítačem CC^větve B. Řídící počítač CC» větve B v důsledku přerušené komunikace interním datovým spojem IDLCC přestává též vykonávat program, a tedy, i generovat dynamický signál pro bezpečný zdroj VS. Na případnou následnou poruchu, při které by sc obnovil dynamický signál, již bezpečný zdroj VS nereaguje a k obnovení bezpečného napájecího napětí nedochází. Řídící počítač CC je v bezpečném stavu a nevratně odepnut od okolí. Při detekci první poruchy řídící počítač CC» větve B přestává vykonávat program, a tedy, i generovat dynamický signál pro bezpečný zdroj VS, následkem čehož bezpečný zdroj VS přestává generovat bezpečné napětí pro roztíraní ECI_A externí komunikace, pro rozhraní LCD externí komunikace, pro rozhraní ICI_A interní komunikace, pro rozhraníJCI_A interní komunikace ICI₀ příslušných větví A, B a pro dohledové rozhraní WI. Řídící počítač CC’» větve B přestává komunikovat interním datovým spojem IDLCC s řídícím počítačem CC_A větve A. Řídící počítač CC^větve A v důsledku přerušené komunikace interním datovým spojem IDLCC přestává též vykonávat program, a tedy, i generovat dynamický signál pro bezpečný zdroj VS. Na případnou následnou poruchu, při které by se obnovil dynamický signál, již bezpečný zdroj VS nereaguje a k obnovení bezpečného napájecího napětí nedochází. Řídící počítač CC je v bezpečném stavu a jc nevratně odepnut od okolí.

• · ··· ·· * · · · · · * · ·· · ·· ·· |0122| Vzájemné zálohování externích datových spojů EDLa a EDL_R příslušných větví A,B se provádí následovně.

J0123] Uživatelská data uložená v datagramech předávaných mezi řídící úrovní CONL a vykonávacím zařízením ED mají ve větvi A i větvi B shodnou hodnotu získanou příslušnými algoritmy harmonizace dat mezi větvemi.

[0124] Datagramy předávané technologickým počítačem VCa větve A do vykonávaeího zařízení ED jsou zabezpečeny redundancí vytvořenou technologickým počítačem VCa větve A, tak i redundancí vytvořenou technologickým počítačem VCr větve B. Způsob vytváření a vzniklá redundance, vytvářená technologickým počítačem větve VCa větve A a redundaee vytvářená technologickým počítačem větve VCr větve B, jsou rozdílné. Řídící počítač CCA větve A tyto datagramy po přijetí kontroluje na identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. Po úspěšné kontrole jsou datagramy předávány interním datovým spojem 1DLCC řídícímu počítači CCV větve B. U těchto datagramů řídící počítač CCA větve B rovněž kontroluje identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. Datagramy předávané technologickým počítačem VCr větve B do vykonávaeího zařízením ED jsou zabezpečeny redundancí vytvořenou technologickým počítačem VC» větve B, tak i redundancí vytvořenou technologickým počítačem VCa větve A, Způsob vytváření a vzniklá redundance, vytvářená technologickým počítačem větve VCr větve B a redundaee vytvářená technologickým počítačem větve VCa větve A, jsou rozdílné. Řídící počítač CC» větve B tyto datagramy po přijetí kontroluje na identitu a autenticitu podle algoritmů zabezpečení, jak větve B, tak i větve A. Po úspěšné kontrole jsou datagramy předávány interním datovým spojeni

1DLCC řídicímu počítači CC\_větve A. U těchto datagramů řídící počítač CCA větve A rovněž kontroluje identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. Došlo-li k výpadku či poškození datagramu ve větvi A má, jak řídící počítač CC^větve A, tak i řídící počítač CCA větve B, k dipozici datagram z větve B. Došlo-li k výpadku či poškození datagramu ve větvi B má, jak řídící počítač CCq větve B, tak i řídící počítač CCA větve B, k dipozici datagram z větve A.

|0125] V obráceném směru předávání datagramů, tj. ve směru předání datagramů z vykonávaeího zařízením ED do řídící úrovně CONL, je situace analogická. Datagramy předávané řídícím počítačem CCa větve A do řídící úrovně CONL jsou zabezpečeny redundancí vytvořenou, jak řídícím počítačem CCa větve A, tak i redundancí vytvořenou řídícím počítačem CCr větve B. Způsob vytváření a vzniklá redundance, vytvářená řídícím počítačem CCa větve A a redundaee vytvářená řídícím počítačem CCA větve B, jsou rozdílné, leclmologický počítače VCa větve A tyto datagramy po přijetí kontroluje na identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. Po úspěšné kontrole jsou datagramy předávány interním datovým spojem IDLCL řídící úrovně technologickému počítači VCA větve B. U těchto datagramů technologický počítač VCr větve Brovněž kontroluje identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. Datagramy předávané řídicím počítačem CCr větve B do řídící úrovně CONL jsou zabezpečeny redundancí vytvořenou, jak řídícím počítačem CCr větve B, tak i redundancí vytvořenou řídícím počítačem CCA větve A. Způsob vytváření a vzniklá redundance, vytvářená řídícím počítačem CCr větve B a redundaee vytvářená řídícím počítačem CCa větve A, jsou rozdílné. Technologický počítače VCr větve B tyto

-15 datagramy po přijetí kontroluje na identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. Po úspěšné kontrole jsou datagramy předávány interním datovým spojem IDLCL řídící úrovně echnologickému počítači VC^větve A. U těchto datagramů technologický počítač VCa větve A rovněž kontroluje identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. Došlo-li k výpadku či poškození datagramu vc větvi A, má jak technologický počítač VC^větve A, tak i technologický počítač VCr větve B, k dipozici datagram z větve B. Došlo-li k výpadku či poškození datagramu ve větvi B. má jak technologický počítač VCr větve B, tak i technologický počítač VC\ větve A, k dispozici datagram z větve A.

[0126| T ím, že způsob vytváření a výsledné redundaee větve A a větve B jsou nezávislé, lze pro přenos použít jedno společné médium.

* · · · ··»«» • · · · ♦ · · · »t 4 « [0127| Pro zajištění předávání diagnostických údajů slouží diagnostický počítač DC, který shromažďuje, ukládá a třídí provozní a funkční stavy vykonávacího zařízení ED, které jsou mu předávány z řídícího počítače CC\ větve A a z řídícího počítače CCh větve B |0128| Bezpečného účinku ve smyslu ČSN 34 2600 a návrhu EN 50 129 je dosaženo jednak použitím systému 2 ze 2 jako systému s redundantní bezpečností a s dostatečně včasnou detekcí tzv. 1. chyby, která sama o sobě nemůže způsobit nebezpečný účinek, avšak mohla by způsobit nebezpečný účinek v kombinaci s další chybou. Po detekci I. chyby následuje bezpečná reakce, která prokazatelně znemožní výskyt, případně projev další poruchy. Detekce i. chyby a bezpečná reakce nastane prokazatelně v čase kratším než lze s předepsanou pravděpodobností předpokládat vznik 2. chyby, která by v kombinaci s chybou 1. mohla způsobit nebezpečný účinek, |0129] Pro zajištění bezpečného účinku řídícího počítače CC je dále řídící počítač CCa větve A vybaven odlišným programovým vybavením oproti řídícímu počítači CCn větve B, přičemž programové vybavení, jak řídícího počítače CCa větve Λ, tak řídícího počítače CCr větve A zpracováno podle společného zadání. Pro zajištění bezpečného účinku záložního řídícího počítače CC i znázorněného na obr. 2 platí obdobně programové vybavení.

Příklad 4 (Obr. 4) [0130] U spořádání výkonné složky EC, ze které sc vytváří výkonná část EP , je znázorněno na obr. 4.

[0131| Výkonná siožka EC se sestává z devíti funkčních částí Ei’l, EP2, až FP9. Pro řádnou činnost výkonné složky EC je vždy nezbytná první funkční Část FPI a některá z druhé fíunkční části EP2 až deváté funkční části FP9 nebo jejich kombinace.

[0132] Výkonná složka EC obsahuje tedy vždy první funkční část FP_L, spojenou s nejméně jednou další funkční částí FPI až FP9, vždy prostřednictvím výkonného počítače EC\ větve A a výkonnnélio počítače ECj, větve B, případně navíc prostřednictvím bezpečného zdroje VS.

|0133] První funkční část EP1 se skládá ze dvou výkonných počítačů ECA, ECr, které jsou vzájemné propojeny interním datovým spojem 1DLEC. Výkonný počítač ECa větve Aje napojen obousměrně na rozhraní ICIa interní komunikace větve A a dále je napojen na bezpečný zdroj VS. Výkonný počítač EC_n větve B je napojen obousměrně na rozhraní ICl_B interní komunikace větve B a dále je napojen na bezpečny zdroj VS. Bezpečný zdroj VS je napojen na dvě rozhraní ICL, ICf, interní komunikace příslušných větví A,B, navazujícími na interní datové spoje IDL_A , 1DL_R příslušných větví A, B vykonávacího zařízení ED.

[0134] Druhá funkční část EP2 je tvořena bezpečnými kontaktními výstupy VCQ, dohledy WVCQa bezpečných kontaktních výstupů větve A a dohledy WVCQh bezpečných kontaktních výstupů větve B. Bezpečné kontaktní výstupy VCQ jsou spojeny s dohledy WVCQa, WVCOh kontaktních výstupů příslušných větví A,B, dále s bezpečným zdrojem VS a též s výkonnými počítači ECa . ECn příslušných větvi A,B. Dohledy WVCQa. WVCOh kontaktních výstupů příslušných větví A,B jsou dále spojeny s výkonnými počítači ECa , ECA příslušných větví A,B.

[0135] Třetí funkční část II’.· je tvořena bezpečnými logickými výstupy V LQ, dohledy WVLOa bezpečných logických výstupů větve A a dohledy WVLOr bezpečných logických výstupů větve B.

Bezpečné logické výstupy Vl.O jsou spojeny s dohledy WVLOa, WVLOh logických výstupů příslušných větví A.B, dále s bezpečným zdrojem VS a též s výkonnými počítači ECa a EC» příslušných větvi A,B. Dohledy WVLOa. WVLOh logických výstupů příslušných větví A.B jsou dále spojeny s výkonnými počítači ECA a ECr příslušných větví A, B.

|0136] Č tvrtá funkční část FP4 je tvořena bezpečnými logickými kódovanými výstupy VCLO, dohledy WVCLOa bezpečných logických kódovaných výstupů větve A a dohledy WVCLOn bezpečných logických kódovaných výstupů větve B. Bezpečné logické kódované výstupy VCLO jsou *·« ** ♦ * φ ·« · spojeny s dohledy WVCLOa WVCLOr logických kódovaných výstupů příslušných větví A, B, dále s bezpečným zdrojem VS a též s výkonnými počítači FC\a EC» příslušných větví A, B. Dohledy WVCLOa WVCLOr logických kódovaných výstupů příslušných větví A,tí jsou dále spojeny s výkonnými počítači ECa a ECr příslušných větví A,B.

[0137] Pátá funkční část EP5 je tvořena bezpečnými analogovými výstupy VAO, dohledy WVAOa bezpečných analogových výstupů větve A a dohledy WVAQr bezpečných analogových výstupů větve B. Bezpečné analogové výstupy VAO jsou spojeny s dohledy WVAOa, WVAQr analogových výstupů příslušných větví A, B, dále s bezpečným zdrojem VS a též s výkonnými počítači ECa ECr příslušných větví A, B. Dohledy WVAOa. WVAOn analogových výstupů příslušných větví A, B jsou dále spojeny s výkonnými počítači ECa, ECr příslušných větví A,B.

|t)138] Šestá funkční část FP6 je tvořena nezabezpečenými výstupy NO, které jsou spojeny s výkonnými počítači EC_A. ECr příslušných větví A , B.

[0139] Sedmá funkční část FP7 je tvořena logickými vstupy El, které jsou spojeny s výkonnými počítači ECa a EC'» příslušných větví Λ, B.

[0140] Osmá funkční část FP8 jc tvořena analogovými vstupy Aj, které jsou spojeny s výkonnými počítači ECV a ECr příslušných větví A, B.

[0141] Devátá funkční část EP9 je tvořena bezpečným datovým rozhraním VD1. které je připojeno k bezpečnému zdroji VS a téžk výkonným počítačům ECR a ECr příslušných větví A,B.

10142] Výkonný počítač ECa větve A komunikuje, prostřednictvím rozhraní ICL interní komunikace větve A a pomocí interního datového spoje IDLa , s větví A řídící částí CFfpodle obr.2.

[0I43| Výkonný počítač ECr větve B komunikuje, prostřednictvím rozhraní ICIr interní komunikace větve B a pomocí interního datového spoje IDLr větve B,_ s větví B řídící částí CP podle obr.2.

[0144] Interním datovým spojem 1DLEC, mezi výkoným počítačem ECa větve A a výkonným počítačem ECr větve B, spolu oba výkonné počítače ECa a ECr obou větví A,B, vzájemné komunikují.

[0145] Bezpečný zdroj VS je spojen s výkonným počítačem ECa a ECr příslušné větve Λ,Β, s rozhraním interní komunikace ICC a ICIr příslušné větve A,B s bezpečnými kontaktními výstupy VCO, bezpečnými logickými výstupy VL.O, bezpečnými logickými kódovanými výstupy VCLQ, bezpečnými analogovými výstupy VAO a bezpečným datovým rozhraním VDI. Bezpečný zdroj VS je obvod s vnitřní bezpečností a s protiopakovací funkcí generující bezpečné napětí pro napájení rozhraní

ICk interní komunikace větve A, rozhraní ICIr interní komunikace větve B, bezpečné kontaktní výstupy VCO. bezpečné logické výstupy V LQ, bezpečné logické kódované výstupy VCLQ, bezpečné analogové výstupy VAO a bezpečné datové rozhraní VDI. Činnost bezpečného zdroje VS je řízena dynamickými signály výkonných počítačů ECa a ECr příslušných větví A,B.

[0146] Výkonná složka EC výkonné části EP vykonávacího zařízení ED pracuje následovně.

[01471 Výkonný počítač ECA větve A a výkonný počítač ECr větve B komunikují s řídící částí CP vykonávacího zařízení ED prostřednictvím interního datového spoje IDL_A větve A a interního datového spoje IDLr větve B [0148] Výkonný počítač ECa větve A prostřednictvím rozhraní ICÍ_A interní komunikace větve A a interního datového spoje IDLa větve A přijímá datagramy od větve A řídícího počítače CC nebo od větve A záložního řídícího počítače CCai řídící části CP vykonávacího zařízení ED podle obr.2, které obsahují požadavky na vydávání výstupů nebo požadavky na přenos nasnímaných indikací výkonnou složkou EC. Datagramy přijaté výkonným počítačem ECa větve A jsou po kontrole identity a » 19 autenticity předány interním datovým spojem iDLEC výkonnému počítací EC_a větve B. Tyto datagramy předané interním datovým spojem IDLEC výkonný počítač EC» větve B rovněž kontroluje na identitu a autenticitu podle svých algoritmů.

[0149) Výkonný počítač ECa větve A odpovídá vétvi A řídícího počítače CC a větvi A záložního řídícího počítače CCai větve A,pokud je záložní řídicí počítač CC] osazen, datagramy obsahujícími indikace načtené výkonnou složkou EC. Tyto datagramy jsou zabezpečeny redundancí vytvořenou výkonným počítačem ECa větve A, tak i redundancí vytvořenou výkonným počítačem EC» větve B. Způsob vytváření a vzniklá redundance, vytvářená výkonným počítačem ECa větve A a redundace vytvářená výkonným počítačem EC» větve B, jsou rozdílné. Redundance, vytvořená výkonným počítačem ECa větve A, je interním datovým spojem IDLEC výkonných počítačů, předána výkonnému počítači EC» větve B.

J0l50| Výkonný počítač ECn větve B prostřednictvím rozhraní ICTn interní komunikace větve B a interního datového spoje IDÍ.» větve B přijímá datagramy od větve B řídícího počítače CC nebo od větve B záložního řídícího počítače CC»|_ větve B řídící části CP vykonávacílio zařízení, Datagramy obsahují požadavky na vydávání výstupů nebo požadavky na přenos nesnímaných indikací výkonnou složkou EC, Přijaté datagramy výkonným počítačem EC» větve B jsou, po kontrole identity a autenticity, předány interním datovým spojem IDLEC výkonných počítačů výkonnému počítači ECa větve A. Tyto datagramy předané datovým spojem IDLEC výkonný počítač ECA větve A rovněž kontroluje na identitu a autenticitu podle svých algoritmů.

|0151 Výkonný počítač EC» větve B odpovídá větvi B řídícího počítače CC a větvi B záložního řídícího počítače CCim větve B, pokud je záložní řídící počítač CC, osazen, datagramy obsahující indikace načtené výkonnou složkou EC. Tyto datagramy jsou zabezpečeny redundancí vytvořenou výkonným počítačem EC» větve B, tak i redundancí vytvořené výkonným počítačem ECa větve A. Způsob vytváření a vzniklá redundance, vytvářená výkonným počítačem větve EC» větve B a redundace vytvářená výkonným počítačem větve ECa větve A, jsou rozdílné. Redundance vytvořená výkonným počítačem EC» větve B je interním datovým spojem IDLEC předána výkonnému počítači

EC_AvčtveA.

[0)52) Ve větvi A. výkonný počítač ECa větve A přijatý datagram od řídící části CP vykonávacího zařízení ED podle daných algoritmů zpracuje, a pro vydání bezpečných kontaktních povelů řídi výkonný počítač Eí\ větve A bezpečné kontaktní výstupy VCO; pro vydání bezpečných logických povelů řídí výkonný počítač ECa větve A bezpečné logické výstupy VLQ; pro vydání bezpečných kódovaných logických povelů řídí výkonný počítač EC_Avětve A bezpečné logické kódované výstupy VCTO pro vydání bezpečných analogových povelů řídí výkonný počítač ECa větve A bezpečné analogové výstupy VAO a pro vydání nezabezpečených povelů řídí výkonný počítač ECa větve A nezabezpečené výstupy NO. Kontrolu činnosti bezpečných kontaktních výstupů VCO provádí výkonný počítač ECa větve A prostřednictvím dohledů WVCOa bezpečných kontaktních výstupů větve A. Kontrolu činnosti bezpečných logických výstupů VLO provádí výkonný počítač ECa větve A prostřednictvím dohledů WVLOa bezpečných logických výstupů větve A. Kontrolu činnosti bezpečných logických kódovaných výstupů VCLO provádí výkonný počítač ECa větve A prostřednictvím dohledů WVCLOa bezpečných logických kódovaných výstupů větve A. Kontrolu činnosti bezpečných analogových výstupů VAO provádí výkonný počítač ECa větve A prostřednictvím WVAOa dohledů bezpečných analogových výstupů větve A.

|0153 Ve větvi B výkonný počítač EC» větve B přijatý datagram od řídící části CR vykonávacího zařízení ED podle daných algoritmů zpracuje a pro vydání bezpečných kontaktních povelů řídí výkonný počítač ECn větve B bezpečné kontaktní výstupy VCO. Pro vydání bezpečných logických povelů řídi výkonný počítač EC» větve B bezpečné logické výstupy VLO. Pro vydání bezpečných kódovaných logických povelů řídí výkonný počítač EC» větve B bezpečné logické kódované výstupy VCLO. Pro vydání bezpečných analogových povelů řídí výkonný počítač EC'» větve B bezpečné analogové výstupy VAO. Pro vydání nezabezpečených povelů řídí výkonný počítač EC» větve B nezabezpečené výstupy NO. Kontrolu činnosti bezpečných kontaktních výstupů VCO provádí výkonný počítač EiCj, větve B prostřednictvím dohledů WVCO» bezpečných kontaktních výstupů větve B. Kontrolu činností bezpečných logických výstupů VLO provádí výkonný počítač EC» větve ··· · · 9 « 4 * · ·*· 99 «· 9 >9 9*

Β prostřednictvím dohledu WVLOn bezpečných logických výstupů větve B. Kontrolu činnosti bezpečných kódovaných kontaktních výstupů VCLO provádí výkonný počítač ECp_ větve B prostřednictvím dohledů WVCLOr bezpečných kódovaných logických výstupů větve B. Kontrolu činnosti bezpečných analogových výstupů VAO provádí výkonný počítač EC„ větve B prostřednictvím dohledů WVAOn bezpečných analogových výstupů větve B.

[0154| Pro dosažení požadované bezpečnosti bezpečných kontaktních povelů jsou tyto vydávány pouze v případě, že výkonný počítač EC_a větve A a výkonný počítač EC_B větve B provádí shodné povelování bezpečných kontaktních výstupů VCO. Dohled WVCOa bezpečných kontaktních výstupů větve A slouží výkonnému počítači ECa větve A ke kontrole vydávaných bezpečných kontaktních výstupů VCQ výkonným počítačem ECa větve A a ke kontrole vydávaných bezpečných kontaktních výstupů VCQ výkonným počítačem EC_P větve B. Dohled WVCO_B bezpečných kontaktních výstupů větve B slouží výkonnému počítači ECA větve B ke kontrole vydávaných bezpečných kontaktních výstupů výkonným počítačem !·,(’:< větve B a ke kontrole vydávaných bezpečných kontaktních výstupů výkonným počítačem ECA větve A Jakákoliv detekovaná neshoda při kontrolách vydávaných bezpečných kontaktních výstupů vyvolá bezpečnou reakci.

[01551 Pro dosažení požadované bezpečnosti bezpečných logických povelů jsou tyto vydávány pouze v případě, že výkonný počítač ECa větve A a výkonný počítač ECA větve B provádí shodné povelování logických kontaktních výstupů VLQ. Dohled WVLO_a bezpečných logických výstupů větve A slouží výkonnému počítači ECa větve A ke kontrole vydávaných bezpečných logických výstupů výkonným počítačem EC^větve A a ke kontrole vydávaných bezpečných logických výstupů výkonným počítačem ECA větve B. Dohled WVLO_B bezpečných logických výstupů větve B slouží výkonnému počítači EC_B větve B ke kontrole vydávaných bezpečných logických výstupů výkonným počítačem ECA větve B a ke kontrole vydávaných bezpečných logických výstupů výkonným počítačem EC^větve A Jakákoliv detekovaná neshoda při kontrolách vydávaných bezpečných kontaktních výstupů vyvolá bezpečnou reakcí.

[0156] Pro dosažení požadované bezpečnosti bezpečných kódovaných logických povelů jsou tyto vydávány pouze v případě, že výkonný počítač ECA větve A a výkonný počítač EC_B větve B provádí shodné povelování bezpečných logických kódovaných výstupů VCLO. Dohled WVCL()_A bezpečných kódovaných logických výstupů větve A slouží výkonnému počítači ECa větve A ke kontrole vydávaných bezpečných kódovaných logických výstupů výkonným počítačem ECa větve A a ke kontrole vydávaných bezpečných kódovaných logických výstupů výkonným počítačem EC_P větve B.

Dohled WVCLOn bezpečných kódovaných logických výstupů větve R slouží výkonnému počítací LCjj větve B ke kontrole vydávaných bezpečných kódovaných logických výstupů výkonným počítačem EC^větve B a ke kontrole vydávaných bezpečných kódovaných logických výstupů výkonným počítačem EC^větve A Jakákoliv detekovaná neshoda při kontrolách vydávaných bezpečných kontaktních výstupů vyvolá bezpečnou reakci, |0157] Pro dosažení požadované bezpečností bezpečných analogových povelů jsou tyto vydávány pouze v případě, že výkonný počítač ECa větve A a výkonný počítač ECA větve B provádí shodné povelování bezpečných analogových výstupů VAO. Dohled WVAO_a bezpečných analogových výstupů větve A slouží výkonnému počítači ECa větve A ke kontrole vydávaných bezpečných analogových výstupů výkonným počítačem ECA větve A a ke kontrole vydávaných bezpečných analogových výstupů výkonným počítačem EC^vétve B. Dohled WVAQr bezpečných analogových výstupů větve B slouží výkonnému počítači ECA větve B ke kontrole vydávaných bezpečných analogových výstupů výkonným počítačem EC_P větve B a kc kontrole vydávaných bezpečných analogových výstupů výkonným počítačem EC_a větve A Jakákoliv detekovaná neshoda při kontrolách vydávaných bezpečných kontaktních výstupů vyvolá bezpečnou reakci.

[0158] Pro dosažení požadované bezpečnosti bezpečných snímání logických indikací jsou nasnímané hodnoty logických vstupů LI vzájemně porovnávány výkonným počítačem ECa větve A a výkonným počítačem ECA větve B Pro přenos nasnímanýcli indikací mezi výkonným počítačem ECA větve A a výkonným počítačem ECA větve B se využívá interního datového spoje IDLEC výkonných počítačů. Navíc jsou všechny vstupy testovány na schopnost jejich řízeného přechodu do základního stavu. Neshoda vyvolá bezpečnou reakci, ··· ·· · · * · * ··· »♦ ·♦ * «· ·· |0159] Pro dosažení požadované bezpečnosti bezpečných snímáni analogových indikací jsou nasnímané hodnoty analogových vstupů Al vzájemně porovnávány výkonným počítačem ECa včtve A a výkonným počítačem EC_B větve B Pro přenos nasnímaných indikací mezi výkonným počítačem

ECa větve A a výkonným počítačem ECp větve B se využívá interního datového spoje IDLEC výkonných počítačů. Neshoda vyvolá bezpečnou reakci.

|0160) Devátá funkční část FP9 tvořená bezpečným datovým rozhraním VDI, slouží k zabezpečenému nebo nezabezpečenému datovému připojení některých zabezpečovacích zařízení a převádí data , ve spolupráci s výkonným počítačem ECa větve A a výkonným počítačem ECb větve B, z/do připojeného zabezpečovacího zařízení na vhodnou strukturu a vykonává příslušné algoritmy.

[0161] Bezpečnost výkonné složky EC se zajišťuje následovně.

[0162] Bezpečnost výkonné složky EC je založena na obvodu bezpečného zdroje VS, který je řešen jako obvod $ vnitřní bezpečností a protiopakovací funkcí. Pokud není výkonným počítačem ECa větve A detekována porucha, vytváří výkonný počítač ECa větve A dynamický signál pro bezpečný zdroj

VS. Pokud není výkonným počítačem ECj větve B detekována porucha vytváří výkonný počítač ECn větve B dynamický signál pro bezpečný zdroj VS. Pouze během aktivace výkonné složky EC, tj. řízeného připnutí na výstupní napětí VA, VB větví A,B zdroje S a dynamického signálu výkonného počítače ECN větve A a dynamického signálu výkonného počítače ECn větve B, vytváří bezpečný zdroj VS napájecí bezpečné napětí pro napájení rozhraní ICL interní komunikace větve A, pro rozhraní

ICL interní komunikace větve B, bezpečné kontaktní výstupy VCQ. bezpečné logické výstupy V LQ, bezpečné logické kódované výstupy V CLO, bezpečné analogové výstupy VAO a bezpečné datové rozhraní VDI. Při detekci první poruchy výkonným počítač LC_Á větve A přestává vykonávat program, a tedy, generovat dynamický signál pro bezpečný zdroj VS, následkem čehož bezpečný zdroj VS přestává generovat bezpečné napětí pro napájení rozhraní ICL interní komunikace větve A, pro rozhraní ICL interní komunikace větve B. pro bezpečné kontaktní výstupy VCQ. pro bezpečné logické výstupy VLO, pro bezpečné logické kódované výstupy VCLO, pro bezpečné analogové výstupy VAO. a pro bezpečné datové rozhraní VDI, které přecházejí do bezpečného stavu. Výkonným počítač ECa větve A přestává komunikovat interním datovým spojem IDLEC s výkonným počítačem bCn_včtve B. Výkonný počítač EC» větve B, v důsledku přerušené komunikace interním datovým spojem IDLEC výkonných počítačů, přestává též vykonávat program, a tedy i generovat dynamický signál pro bezpečný zdroj VS. Na případnou následnou poruchu, při které by sc obnovil dynamický signál, již bezpečný zdroj VS nereaguje a k obnovení bezpečného napájecího napětí nedochází. Výkonná složka EC je v bezpečném stavu a nevratně odepnuta od okolí. Při detekci první poruchy výkonným počítač ECb větve B přestává vykonávat program, a tedy i generovat dynamický signál pro bezpečný zdroj VS. následkem čehož bezpečný zdroj VS přestává generovat bezpečné napětí pro napájení rozhraní ICL interní komunikace včtve A, pro rozhraní ICL interní komunikace včtve B, pro bezpečné kontaktní výstupy VCQ, bezpečné logické výstupy VI,Q, bezpečné logické kódované výstupy VCLO. bezpečné analogové výstupy VAO a bezpečné datové rozhraní VDI, které přecházejí do bezpečného stavu. Výkonný počítač ECb větve B přestává komunikovat interním datovým spojem

IDLEC s výkonným počítačem EC^větve A. Výkonný počítač ECa větve A, v důsledku přerušené komunikace interním datovým spojem IDLEC výkonných počítačů, přestává též. vykonávat program a tedy i generovat dynamický signál pro bezpečný zdroj VS. Na případnou následnou poruchu, při které by se obnovil dynamický signál, již bezpečný zdroj VS nereaguje a k obnovení bezpečného napájecího napětí nedochází. Výkonná složka EC je v bezpečném stavu a nevratně odepnuta od okolí.

)0163] Vzájemné zálohování interních datových spojů IDEa a IDLb větví A,B vykonávacího zařízení ED se provádí následujícím postupem, [01641 Uživatelská data uložená v datagramech předávaných mezi řídící částí CP a výkonnou částí EP mají ve větvi A i větvi B shodnou hodnotu získanou příslušnými algoritmy harmonizace dat mezi větvemi A,B.

TT ··· ·· ·· |0164] Datagramy, předávané řídícím počítačem CC_A větve A do výkonné částí EP, jsou zabezpečeny redundancí vytvořenou řídícím počítačem CCa větve A, tak i redundancí vytvořenou řídícím počítačem CCu větve B, Způsob vytváření a vzniklá redundance, vytvářená řídícím počítačem CCa větve A a redundace vytvářená řídícím počítačem CC.b větve B, jsou rozdílné, Výkonný počítač EC_A větve A tylo datagramy po přijetí kontroluje na identitu a autenticitu podle algoritmů zabezpečení, jak větve A. tak i větve B. Po úspěšné kontrole jsou datagramy předávány interním datovým spojem IDLEC výkonnému počítač ECp větve B. 1) těchto datagramů výkonný počítač ECT větve B rovněž kontroluje identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. Datagramy předávané řídícím počítačem CCu větve B do výkonné částí EP jsou zabezpečeny redundancí vytvořenou řídícím počítačem CC_n větve B. tak i redundancí vytvořenou řídícím počítačem CCa větve A, Způsob vytváření a vzniklá redundance, vytvářená řídícím počítačem CC» větve B a redundace vytvářená řídícím počítačem CC_A větve A, jsou rozdílné. Výkonný počítač ELu tyto datagramy po přijetí kontroluje na identitu a autenticitu podle algoritmů zabezpečení, jak větve B, tak i větve A. Po úspěšné kontrole jsou datagramy předávány interním datovým spojem IDLEC výkonnému počítači EC_a větve A. U těchto datagramů výkonný počítač ECa větve A rovněž kontroluje identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. Došlo-li k výpadku či poškození datagramů ve větvi A, má jak výkonný počítač EC_A, tak i výkonný počítač ECT větve B k dispozici datagram z větve B. Došlo-li k výpadku či poškozeni datagramů ve větvi B má, jak výkonný počítač

EG větve A, tak i výkonný počítač EC'h větve B. k dispozici datagram z větve A.

|0165| V obráceném směru předávání datagramů, tj. ve směru předání datagramů z výkonné částí EP do řídící části CP, je situace analogická. Datagramy předávané výkonným počítačem EC_A větve A do řídící části CP jsou zabezpečeny, jak redundancí vytvořenou výkonným počítačem EG větve A, tak i redundancí vytvořenou výkonným počítačem EC_a větve B. Způsob vytváření a vzniklá redundance, vytvářená výkonným počítačem EG větve A a redundace vytvářená výkonným počítačem ECh větve B. jsou rozdílné. Řídící počítač CCA větve A tyto datagramy po přijetí kontroluje na identitu a autenticitu podie algoritmů zabezpečení, jak větve A tak i větve B. Po úspěšné kontrole jsou datagramy předávány interním datovým spojem 1DLCC řídícího počítače řídícímu počítači CG větve

B. U těchto datagramů řídící počítač CCaVČlve B rovněž kontroluje identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. Datagramy předávané výkonným počítačem ECr větve B do řídící části CP jsou zabezpečeny, jak redundancí vytvořenou výkonným počítačem ECb větve B, tak i redundanci vytvořenou výkonným počítačem ECa větve A. Způsob vytváření a vzniklá redundance, vytvářená výkonným počítačem ECr větve B a redundace vytvářená výkonným počítačem ECa větve A, jsou rozdílné. Řídící počítač CCr větve B tyto datagramy po přijetí kontroluje na identitu a autenticitu podle algoritmů zabezpečení jak větve B, tak i větve A. Po úspěšné kontrole jsou datagramy předávány interním datovým spojem 1DI.CC řídícímu počítači CC^vělve A. LI těchto datagramů řídící počítač CC\ větve A rovněž kontroluje identitu a autenticitu podle algoritmů zabezpečení, jak větve A, tak i větve B. DoŠlo-li k výpadku či poškození datagramů ve větvi A má jak řídící počítač CCa větve A tak i řídící počítač CCr větve B, k dipozici datagram z větve B. Došlo-li k výpadku či poškození datagramů ve větvi A, má jak řídící počítač CCa větve A. tak i řídící počítač CCjj větve B k dispozici datagram z větve B. Došlo-li k výpadku či poškození datagramů Ve větvi A, má jak výkonný počítač EG větve A tak i výkonný počítač ECb větve B k dispozici datagram z větve B.

]0166] Tím, že způsob vytváření a výsledné redundace větve A a větve B jsou nezávislé, lze pro přenos použít jedno společné médium.

|0167] Bezpečného účinku ve smyslu CSN 34 2600 a návrhu EN 50 129 je dosaženo jednak použitím systému 2 ze 2 jako systému s redundantní bezpečností s dostatečně včasnou detekcí tzv. 1.chyby, která sama o sobě nemůže způsobit nebezpečný účinek, avšak mohla by způsobit nebezpečný účinek v kombinaci s další chybou. Po detekci I. chyby následuje bezpečná reakce, která prokazatelné znemožní výskyt, případně projev, další poruchy. Detekce L chyby a bezpečná reakce nastane prokazatelně v čase kratším než lze s předepsanou pravděpodobností předpokládat vznik 2. chyby, která by v kombinaci s chybou 1. mohla způsobit nebezpečný účinek. Pro zajištění bezpečného účinku je dále výkonný počítač EQ větve A vybaven odlišným programovým vybavením oproti výkonnému ··· · počítači ECT větve B, přičemž programové vybavení, jak výkonného počítače EC^větve A. tak i výkonného počítače EC_B větve B, je zpracováno podle společného zadání,

Příklad 5 (Obr. 5) [0168J Uspořádání zdroje S napájecí části SP vykonávacího zařízení ED je znázorněno na obr. 5, z něhož je patrné, že sestává z následujících základních částí, a to ze zdroje SA, ze zdroje SB, měřících obvodů MC. řídících obvodů CONC a rozhraní ICI interní komunikace.

f0169| Zdroj SA na svém výstupu generuje výstupní napětí V A určené pro napájení větve A řídící části CP vykonávacího zařízení ED a větve A výkonné části EP vykonávacího zařízení ED, zdroj SB na svém výstupu generuje výstupní napětí VB určené pro napájení větve B řídící části CP vykonávacího zařízení ED a větve A výkonné části EP vykonávacího zařízení ED. Řídící obvody CONC slouží k řízení úrovně výstupního napájecího napětí V A zdroje SA a k řízení úrovně výstupního napájecího napětí VB zdroje SB. Měřící obvody MC slouží k měření výstupního napětí a proudu zdroje SA a k měření výstupního napětí a proudu zdroje SB. Rozhraní ICI interního interface slouží kc komunikaci zdroje S s řídící částí CP vykonávacího zařízení ED.

10170] Zdroj SA a zdroj SB jsou vzájemně nezávislé a jsou napájené napětím SV. Výstupní obvody zdroje SA i SB jsou za účelem možnosti zálohování doplněny o obvody proti zpětnému proudil.

[01711 Zálohování napájecí části SP vykonávacího zařízení ED se provádí následovně.

[0172] Jednou z nejvíce namáhaných částí vykonávacího zařízení je jeho napájecí část SP. Je velmi výhodné napájecí část SP zálohovat. Princip zálohování napájecí části SP vychází z jedné ze základních vlastností řídící části CP a výkonné části EP vykonávacího zařízení ED, která spočívá v rozšířené toleranci jejich výstupních napětí V A a VB a dále vychází z obvodového řešení zdroje S. Oba vzájemně nezávislé zdroje SA a SB zdroje S mají schopnost na základě činnosti řídících obvodů dodávat na výstupu dvě hladiny napětí, tj. základní výstupní napětí nebo snížené výstupní napětí, Tyto dvě možné hladiny výstupního napětí jsou v rozsahu výstupních napětí V A a VB řídící části CP a výkonné Část EP vykonávacího zařízení ED.

[0173] V záložním režimu napájecí části SP vykonávacího zařízení ED podle obr. 2 jeden zdroj S , tj. oba jeho zdroje SA a SB . pracují se základním výstupním napětí V A a VB, a druhý zdroj S,, tj. oba jeho zdroje SA a SB, se sníženým výstupním napětí V A a VB. Prostřednictvím měřících obvodů MC zdroje S a záložního zdroje Si, interního komunikačního rozhraním ICI zdroje S a záložního zdroje S|, získává řídící část CP vykonávacího zařízení ED informace o proudovém zatížení zdroje S a záložního S|. V tomto stavu napájení zajišťuje zdroj S, neboť jeho výstupní napětí V A a VB jsou vyšší než výstupní napětí záložního zdroje S], Výstupní proud zdroje S , tedy obou jeho dílčích zdrojů SA a SB, je nenulový a výstupní proud záložního zdroje S|. tedy obou jeho dílčích zdrojů SAj a SBj, jc nulový nebo blízký nule. V případě poruchy aktivního zdroje S zabezpečuje dodávání energie záložní zdroj S| a tedy vzroste jím dodávaný proud. Za takovéto situace vydává řídící část CP vykonávacího zařízení ED pomocí interního komunikačního rozhraní ICU nebo IC1_B, interního datového spoje IDLa nebo 1DL„ komunikačního rozhraním ICI zdroje povel řídícím obvodům záložního zdroje Sj na přechod ze snížené výstupní úrovně výstupních napětí V A a VB na základní výstupní úroveň výstupních napětí

V A a VB. Informace o poruše zdroje S je zaznamenána do diagnostického počítače DC řídící část vykonávacího zařízení ED. Uvedené řešení umožňuje v průběhu času vzájemně střídal záložní režim na oba zdroje zálohované napájecí části SP vykonávacího zařízení, a tím odhalit poruchu zdroje S_t, který je v záložním režimu.

• ·

4 « · 4 · • * · 4 * · · · • 4 · 4

4 4 4

Příklad 6 (Obr. 6) |0174| Alternativní uspořádání elektronického zabezpečovacího zařízení podle obr. 6 se liší od

I. příkladu provedení podle obr. 1 tím, že k zadávací úrovni COML zabezpečovacího zařízení je připojena nadřazená dálková úroveň RCL, a to tak. že most B nadřazené části je spojen datovým spojem s rozbočovačem H1JB bezpečné datové sítě, dalším datovým spojem se záložním rozbočovačem HUB^ bezpečné datové sítě a dalším datovým spojem s nadřazeným systémem SS. Toto uspořádání je určeno pro dálkové ovládání a řízení dopravy.

0175) Propojení mostu B datovým spojem se záložním rozbočovačem HUB, bezpečné datové sítě se neprovádí, pokud není požadováno záložní připojení dálkové úrovně RCL.

Příklad 7 (Obr. 7) [0176] Alternativní uspořádání elektronického zabezpečovacího zařízení se vzdáleným vykonávacím zařízením podle obr. 7 se liší od I. příkladu provedení podle obr. 1 tím. že mezi řídící úroveň CONL a prováděcí úroveň LI, je vložena komunikační úroveň CL tvořená přenosovým zařízením CE. Technologický počítač VG a záložní technologický počítač VCai větve A jsou spojeny externím datovým spojem EDI,a větve B s přenosovým zařízením CE přenosové úrovně CL. Technologický počítač VCii větve B a záložní technologický počítač VCm větve B jsou spojeny externím datovým spojem F.DLn větve B s přenosovým zařízením CE přenosové úrovně CL. Přenosové zařízení CE přenosové úrovně CL je spojeno dalším externím datovým spojem EDL/ a dalším externím datovým spojem EDLV větve B s vykonávacím zařízením LP vykonávací úrovně LL Toto alternativní uspořádání je určeno pro případ, kdy je potřeba vzdálit vykonávám' úroveň EL nebo její část od řídící úrovně CONL.

P ř í k i a d 8 (Obr. 8) (0177] Zobrazení na obr. 8 představuje alternativní uspořádání výkonné složky EC jako jednotky Sil, která je určena k čtení vstupních logických informací. Toto alternativní konkrétní uspořádání s jednotkou Stl obsahuje první funkční část FP1, napojenou na sedmou funkční část LP7. První funkční část LP] a sedmá funkční část FP7 jsou podrobně popsány v příkladu provedení 4.

[0178 Obr.8 se odlišuje od 4. příkladného provedení podle obr. 4 tím, že neobsahuje druhou funkční část PP2, třetí funkční část FP3, čtvrtou funkční část LP4, pátou funkční část LP5, šestou funkční část FP6, osmou funkční část FP8 a devátou funkční část LP9.

Příklad 9 (Obr. 9) [0179 Zobrazení na obr. 9 představuje alternativní uspořádání výkonné složky LC jako jednotky SCI, která je určena k vydávání zabezpečených kontaktních povelů. Toto konkrétní alternativní uspořádání s jednotkou SCI obsahuje první funkční část LP i a druhou funkční část FP2, obě podrobně popsané v 4. příkladu provedení. Obr, 9 se odlišuje od 4. příkladu provedení podle obr. 4 tím, žc neobsahuje třetí funkční čásl FP3 a další funkční části, čtvrtou funkční část PP4 až devátou funkční část LP9 .

Příklad 10 (Obr, 10) |0180) Zobrazení na obr. 10 představuje alternativní uspořádání výkonné složky EC jako jednotky SOL která je určena k vydávání zabezpečených a nezabezpečených logických povelů. Toto další «•25 • 9 ·

• 9 ·

• > · · · · · konkrétní alternativní uspořádání představuje kombinaci první funkční část EPI. třetí funkční část ÍP3 a šestou funkční část FP6, které jsou obě popsané podrobněji ve 4. příkladu provedení.

10181] Obr. 10 se odlišuje od 4, příkladu provedení podle obr. 4 tím. že neobsahuje druhou funkční 5 část EP2, čtvrtou funkční část FP4, pátou funkční část FP5 a další funkční části sedmou JFP7 až devátou FF9.

Příklad 11 (Obr. 11) (0182] Zobrazení na obr. 11 představuje alternativní uspořádání výkonné složky EC jako jednotky TCI, která je určena k zjišťováni obsazeností kolejového obvodu, přepínání výstroje kolejového obvodu a ke generováni kmitočtu dodatečného kódování. Toto alternativní uspořádání jednotky TCI obsahuje první funkční část FPI v kombinaci s třetí funkční částí FP3, čtvrtou funkční částí FP4 a sedmou funkční částí FP7.

[0183] Obr.l 1 se odlišuje od 4, příkladu provedení podle obr. 4 tím, že neobsahuje druhou funkční Část FP2, pátou funkční část FP5, šestou funkční část FP6 , osmou funkční část FP8 a devátou funkční část FP9.

Příklad 12 (Obr. 12) (0184] Zobrazení na obr. 12 představuje alternativní uspořádání výkonné složky EC jako jednotky SLI, která je určena k ovládání světel návěstidla nebo přestavníku. Alternativní uspořádání jednotky SLI obsahuje první složku FPI v kombinaci spálou funkční složkou FP5 a osmou funkční složkou EPS.

|0185] Obr. 12 se odlišuje od 4. příkladu provedení podle obr. 4 tím, že neobsahuje druhou funkční část IT2 až čtvrtou funkční část FP4, šestou funkční část FP6. sedmou funkční část FP7 a devátou funkční část FP9.

Příklad 13 (Obr. 13) [0186| Zobrazení na obr. 13 představuje alternativní uspořádání výkonné složky EC jako jednotky 1(1 SPI, která je určena k bezpečné komunikaci a řízení zabezpečovacích zařízení, jako je řídící stanice přejezdů, počítač náprav, ald. Alternativní uspořádání jednotky SPI obsahuje první funkční složku

FPI napojenou na devátou funkční složku FP9.

(0187] Obr, 13 se odlišuje od 4. příkladu provedení podle obr. 4 tím, že neobsahuje druhou funkční 45 funkční část FP2 až osmou funkční část EPS.

[0188] Uvedená provedení jsou příkladná provedení a jejich rozsah není vyčerpávající. Jsou možná další příkladná provedení a jejich kombinace v rámci rozsahu patentových nároků podle předloženého vviiálezu.

Průmyslová využitelnost (0189] Řešení je určeno pro řízení navazujících zařízení, kupř. návěstidel, výhybek, přejezdů, počítačů náprav, kolejových obvodů, atp., které se podílejí na zajištění dopravní cesty železničních vozidel.

Claims (15)

1. PATENTOVÉ N Á ROK Y

   5 1.Elektronický systém železničního zabezpečovacího zařízení, sestávající ze tří podstatných úrovní, a to ze zadávací úrovně (COML), z řídící úrovně (CONL), a z prováděcí úrovně (EL), kde zadávací úroveň (COML) je tvořena alespoň jednou sestavou (AOCI, A0C2) zadávacího počítače, obsahující aktivní zadávací počítač (ACC), a případné žádný nebo nejméně jeden pasivní zadávací počítač (PCC) pro zobrazení pouze bezpečnostně irelevantní informace,

   10 přitom každá sestava (AOC’1, AOC2) zadávacího počítače je datové napojena na řídící úroveň (CONL) prostřednictvím rozbočovače (HIJB. HUB|) napojeného na technologický počítač (VC_A VC») příslušné větve A, B pro vytvoření bezpečného jádra řídící úrovně (CONL), a pro zvýšení dostupnosti elektronického systému zabezpečovacího zařízení může řídící úroveň (CONL) obsahoval další založilí technologické počítače (VCA,,VCjj,) přílušné větve A, B

   15 přičemž prováděcí úroveň (EL) se sestává alespoň z jednoho vykonávacího zařízení (ED), vyznačující se tím, že

   - řídící úroveň (CONL) je spojena nejméně jedním externím datovým spojem (EDI._A, BDI.,,) s prováděcí úrovní (EL),

   - prováděcí úroveň (EL) obsahuje alespoň jedno vykonávací zařízení (ED), každé vykonávací

   20 zařízení (ED) má tři základní části, a to

   - řídící část (CP) tvořenou nejméně jedním řídícím počítačem (C’C),

   - výkonnou část (EP) tvořenou nejméně jednou výkonnou složkou (EC) a

   - napájecí částí (SP) tvořenou nejméně jedním zdrojem (S),

   -přičemž řídící část (CP), výkonná část (EP) a napájecí část (SP) jsou vzájemné propojeny alespoň

   25 nejméně jedním interním datovým spojem (IDL_A, IDL„) vykonávacího zařízení (ED).
2. 2. Elektronický systém podle nároku 1 , vyznačující se tím, že řídící úroveň (CONL) má přímo datově obousměrně propojen

   30 - každý technologický počítač (VC_A) větve A s technologickým počítačem (VCA) větve B a záložním technologickým počítačem (VC,_M) větve A,

   - každý technologický počítač (VC_B) větve B s technologickým počítačem (VC\) větve A a záložním technologickým počítačem (VCa,) větve B,

   - každý záložní technologický počítač (VC_AJ) větve A s technologickým počítačem (VC_A) větve A

   35 a záložním technologickým počítačem (VCm) větve B,

   - každý záložní technologický počítač (VC_ni) větve B s technologickým počítačem (VC_B) větve B a záložním technologickým počítačem (VC'_A1) větve A.

   40
3. 3. Elektronický systém podle nároku 1, vyznačující se tím, že

   - technologický počítač (VC_A) větve A a záložní technologický počítač (VC_Ai) větve A jsou spojeny datovým spojením s vykonávacím zařízením (ED) prováděcí úrovně (EL) a

   - technologický počítač (VC_B) větve B a záložní technologický počítač (VCm) větve B jsou spojeny datovým spojením s vykonávacím zařízením (ED) prováděcí úrovně (EL).
4. 4. Elektronický systém podle nároku 1, vyznačující se tím, že řídící počítač (CC) řídící části (CP) je spojen jednak s alespoň jedním záložním řídícím počítačem (CC¹,) a jednak s alespoň jedním interním datovým spojem (ÍDE_A, IDL_B ) vykonávacího zařízení

   50 příslušných větví A,B a dále těž s nejméně jedním interním datovým spojem (IDLCP) řídící části vykonávacího za řízen í.
5. 5, Elektronicky systém podle nároku 1, vyznačující sc tím, že

   55 každá výkonná složka (EC) výkonné části (EP) je spojena prostřednictvím alespoň jednoho interního datového spoje (IDI,_A, IDE,,) vykonávacího zařízení příslušných větví A,B s řídícím počítačem (CC). případné s alespoň jedním záložním řídícím počítačem (CC_t).

   • *» • · • «
6. 6. Elektronický systém podle nároku 1, vyznačující se tím, že každý zdroj (S) napájecí části (SP) je spojen alespoň jedním interním datovým spojem (IDI,_A, IDL_}J) vykonávacího zařízení příslušných větvi A.B s řídícím počítačem (CC), případně s alespoň jedním záložním řídícím počítačem (CCj).
7. 7. Elektronický systém podle nároku 1, vyznačující se tím, že

   - řídící počítač (CC) sc skládá ze dvou řídících počítačů (CC_A, CCr) příslušných větví A,B, které jsou vzájemně propojeny interním datovým spojem (IDLCC) řídícího počítače, kde

   - řídící počítač (CC_A) větve A je napojen obousměrně na rozhraní (EC1_A) externí komunikace větve A . na rozhraní (1CI_A) interní komunikace větve A, a dále je napojen na bezpečný zdroj (VS) a na dohledové rozhraní (Wl), navazující na interní datový spoj (IDLCP) řídící části (CP) vykonávacího zařízení (ED)a

   - řídící počítač (CCj}) větve B jc napojen obousměrně na rozhraní (EG») externí komunikace větve B, na rozhraní (IClu) interní komunikace větve B, a dále je spojen na bezpečný zdroj (VS) a na dohledové rozhraní (Wl), navazující na interní datový spoj (IDLCP) řídící části (CP) vykonávacího zařízení (ED).

   - přitom bezpečný zdroj (VS) je spojen dohledovým rozhraním (Wí) a se všemi čtyřmi rozhraními (EC1_A, ECIr. 1C1_a. IClu) větví A,B , navazujícími na datové spoje (EDL_A, EDL_B, IDL_A, IDL_B) větví A,B

   - případně řídící počítač (CC_A) větve A a řídící počítač (CC_B) větve B jsou napojeny na diagnostický počítač (DC).
8. 8. Elektronický systém podle nároku 1, vyznačující se tím, že

   - výkonná složka (EC) obsahuje první funkční část (FP1) spojenou s nejméně jednou další funkční částí (FP2 - FP9), a to s druhou funkční část (FP2). s třetí funkční částí (FP3), se čtvrtou funkční částí (FP4), s pátou funkční částí (FP5), se šestou funkční částí (FP6), se sedmou funkční částí (FP7), s osmou funkční částí (FP8) a s devátou funkční Část (FP9), vždy prostřednictvím výkonného počítače (EC_A) větve A a výkonného počítače (EC_B) větve B, případně navíc prostřednictvím bezpečného zdroje (VS),

   - přičemž první funkční část (PPI) se skládá ze dvou výkonných počítačů (EC_A, ECjj) příslušných větví A,B, kterc jsou vzájemně propojeny interním datovým spojem (IDl.EC) výkonných počítačů,

   - přitom výkonný počítač (EC_A) větve A je napojen obousměrně na rozhraní (1C'Í_A) interní komunikace větve A a dále je napo jen na bezpečný zdroj (VS)

   - a výkonný počítač (EC_B) větve B je napojen obousměrné na rozhraní (IC1_B)) interní komunikace větve B a dále je napojen na bezpečný zdroj (VS),

   - přičemž bezpečný zdroj (VS) je napojen na dvě rozhraní (IC1_A, ICIr) interní komunikace příslušných větví A,B, navazujícími na interní datové spoje (1DE_A, IDL_rí) příslušných větví A,B vykonávacího zařízení (ED).
9. 9. Elektronický systém podle nároku 8 , vyznačující se tím, že

   - druhá funkční část (FP2) je tvořena bezpečnými kontaktními výstupy (VCO), dohledy (WVCO_A) bezpečných kontaktních výstupů větve A a dohledy (WVCO_t!) bezpečných kontaktních výstupů větve B,

   - kde bezpečné kontaktní výstupy (VCO) jsou spojeny s dohledy (WVCO·, WVCO_B) kontaktních výstupů příslušných větví A,B, dále s bezpečným zdrojem (VS) a též s výkonnými počítači (EC_A. EC|)) příslušných větví A.B,

   - přičemž dohledy (WVCO_A, WVCOb) kontaktních výstupů příslušných větví A.B jsou dále spojeny s výkonnými počítači (EC_A EC_B) příslušných větví A.B.
10. 10. Elektronický systém podle nároku 8, vyznačující se tím, že

    -třetí funkční část (FP3) je tvořena bezpečnými logickými výstupy (VLO), dohledy (WV1,O_A) bezpečných logických výstupů větve A a dohledy (WVLOu) bezpečných logických výstupů větve B,

    9 ·· • · • •99

    9 9 ·

    9 · »9

    - kde bezpečné logické výstupy (VLO) jsou spojeny s dohledy (WVLO_A WVLO_B) logických výstupů příslušných větví A, B, dále s bezpečným zdrojem (VS) a též s výkonnými počítači ( EC_Aa EC_B) příslušných větví A,B,

    - přičemž dohledy (WVLO_a, WVLO») logických výstupů příslušných větví A, B jsou dále spojeny s výkonnými počítači ( EC_Aa EC_B ) příslušných větví A,B.
11. 11, Elektronický systém podle nároku 8, vyznačující se tím, že

    -čtvrtá funkční část (FP4) je tvořena bezpečnými logickými kódovanými výstupy (VCLO),

    10 dohledy (WVCLO_A)bezpečných logických kódovaných výstupů větve A a dohledy (WVCI,0_B) bezpečných logických kódovaných výstupů větve B,

    - kde bezpečné logické kódované výstupy (VCLO) jsou spojeny s dohledy (WVCLO_A, WVCEO_B) logických kódovaných výstupů příslušných větví A.B, dále s bezpečným zdrojem (VS) a též s výkonnými počítači ( EC_Aa EC_B ) příslušných větví A.B,

    15 - přičemž dohledy (WVCLO_A. WVCEO_B) logických kódovaných výstupů příslušných větví A,B jsou dále spojeny s výkonnými počítači ( CC_Aa ECb ) příslušných větví A.B.
12. 12. Elektronický systém podle nároku 8, vyznačující se tím, že

    20 -pátá funkční část (FP5)jc tvořena bezpečnými analogovými výstupy (VAO), dohledy (WVAO_a) bezpečných analogových výstupů větve A a dohledy (WVAO_h) bezpečných analogových výstupů větve B,

    - kde bezpečné analogové výstupy (VAO) jsou spojeny s dohledy (WVAO_a. WVAO„) analogových výstupů příslušných větví A.B, dále s bezpečným zdrojem (VS) a též s výkonnými počítači { EC_Aa

    25 EC_b ) příslušných větví A,B,

    - přičemž dohledy (WVAO_A, WVAO_B) analogových výstupů příslušných větvi A,B jsou dále spojeny s výkonnými počítači ( EC_Aa ECb ) příslušných větví A,B.

    30
13. 13 Elektronický systém podle nároku 8, vyznačující se tím, Že šestá funkční část (FP6) je tvořena nezabezpečenými výstupy (NO), které jsou spojeny s výkonnými počítači ( P.C_Aa EC_B) příslušných větví A.B.

    35
14. 14, Elektronický systém podle nároku 8, vyznačující se tím, ze sedmá funkční část (EP7) je tvořena logickými vstupy (Li), které jsou spojeny s výkonnými počítači ( EC_Aa EC_B ) příslušných větví A.B,

    40 15. Elektronický systém podle nároku 8, vyznačující se tím, že osmá funkční část (FP8) je tvořena analogovými vstupy (Al), které jsou spojeny s výkonnými počítači ( EC_Aa EC_B ) příslušných větví A,B.

    45 16. Elektronický systém podle nároku 8, vyznačující se tím, že devátá funkční část (FP9) je tvořena bezpečným datovým rozhraním (V Dl), které je připojeno k bezpečnému zdroji (VS) a též k výkonným počítačům ( EC_AaEC_B ) příslušných větví A.B.

    50 17. Elektronický systém podle nároku I , vyznačující se tím, že

    -zdroj (S) se skládá ze dvou zdrojů, a to jednak ze zdroje (SA) pro napájení větve A řídící části (CP) a výkonné části (EP) a jednak ze zdroje (SB) pro napájení větve B řídící části (CP) a výkonné části (EP.

    - kde oba zdroje (SA, SB) příslušných větví A.B jsou spojeny s řídícími obvody (CONC) a měřicími

    55 obvody (MC) a

    - přitom řídící obvody (CONC) a měřicí obvody (MC) jsou propojeny s rozhraním (ICI) interní komunikace, připojeným na alespoň nejméně jeden interní datový spoj (IDL_A, IDLh) příslušných « « • · · větví Λ,Β vykonávacího zařízení (ED).

    18. Elektronický systém podle nároku 1 . vyznačující se tím, že 5 -k řídící úrovně (CONL) je připojena nejméně jedna nadřazená dálková úroveň (RCL), sestávající se z mostu (B) a nadřízeného systému (SS),

    - přičemž most (B) je spojen jednak s rozbočovačem (HUB) a jednak se záložním rozbočovačem (HUB|) řídící úrovně (CONL).

    19, Elektronický systém podle nároku I , vyznačující se tím, že

    - mezi řídící úroveň (CONL) a prováděcí úroveň (EL) je zařazena komunikační úroveň (C’L). tvořená přenosovým zařízením (CE),

    - přičemž komunikační úroveň (CL) je napojena jednak na řídící úroveň (CONL) alespoň jedním
15. 15 externím datovým spojem (EDL_A. EDL») příslušných větví A.B . jednak na prováděcí úroveň (EL) nejméně jedním externím datovým spojem (EDLA , EDLA) příslušných větví A,B.