DE102016205119A1 - System zur Steuerung von Stellwerken im Bahnverkehr - Google Patents

System zur Steuerung von Stellwerken im Bahnverkehr Download PDF

Info

Publication number
DE102016205119A1
DE102016205119A1 DE102016205119.9A DE102016205119A DE102016205119A1 DE 102016205119 A1 DE102016205119 A1 DE 102016205119A1 DE 102016205119 A DE102016205119 A DE 102016205119A DE 102016205119 A1 DE102016205119 A1 DE 102016205119A1
Authority
DE
Germany
Prior art keywords
voter
discriminator
voters
majority
replicants
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016205119.9A
Other languages
English (en)
Inventor
Uwe Eckelmann-Wendt
Stefan Gerken
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102016205119.9A priority Critical patent/DE102016205119A1/de
Priority to PCT/EP2017/054863 priority patent/WO2017167537A1/de
Priority to EP17710842.0A priority patent/EP3411279A1/de
Priority to US16/088,859 priority patent/US11161533B2/en
Priority to CN201780020084.7A priority patent/CN109195855B/zh
Publication of DE102016205119A1 publication Critical patent/DE102016205119A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L7/00Remote control of local operating means for points, signals, or track-mounted scotch-blocks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/20Trackside control of safe travel of vehicle or train, e.g. braking curve calculation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • G06F11/185Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality and the voting is itself performed redundantly
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • B61L2019/065Interlocking devices having electrical operation with electronic means

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Ein System (S) zur Steuerung von Stellwerken im Bahnverkehr wird zur Verfügung gestellt, welches mindestens eine Mehrzahl von redundanten Replikanten (R1a, R1b, R1c, R2a, R2b, R2c) zur Erzeugung von redundanten Steuersignalen aufweist. Ferner wird eine Voterstruktur (1), die eine Mehrzahl von Majoritätsvotern (M1, M2) umfasst, zur Verfügung gestellt, wobei jeder Majoritätsvoter (M1, M2) Eingänge, die mit den Ausgängen der Mehrzahl der redundanten Replikanten (R1a, R1b, R1c, R2a, R2b, R2c) verbunden sind, sowie jeweils einen Ausgang aufweist.
Erfindungsgemäß sind die Voterstruktur (1) und die Mehrzahl von redundanten Replikanten (R1a, R1b, R1c, R2a, R2b, R2c) hardwaretechnisch voneinander getrennt und die Ausgänge der Mehrzahl von Majoritätsvoter (M1, M2) mit den Eingängen eines Diskriminatorvoters (D) verbunden, wobei der Ausgang des Diskriminatorvoters (D) ein Steuersignal zur Steuerung von Stellwerken zur Verfügung stellt. Der Diskriminatorvoter (D) gibt nur dann ein Steuersignal aus, wenn sich seine Eingänge nicht widersprechen.

Description

  • Die Erfindung betrifft ein System zur Steuerung von Stellwerken im Bahnverkehr.
  • Im Bahnverkehr müssen Steuersignale zur Steuerung von Stellwerken gewissen Sicherheitsanforderungen entsprechen. Dabei hat man es typischerweise mit verteilten Systemen zu tun, die jeweils Ausgaben bzw. Steuersignale erzeugen. Zur Erhöhung der Sicherheit werden dabei signalerzeugende Hardwareeinrichtungen mehrfach repliziert, welche als sogenannte Replikanten bezeichnet werden. Die Ausgaben dieser sogenannten Replikanten werden auf zentrale Voter gelenkt. Ein solcher Voter ist ein Entscheider, der aus einer gegebenen Anzahl redundanter Eingangsdaten die „richtigen“ Ausgangsdaten erzeugt. Oftmals werden dazu Majoritätsvoter verwendet, die durch einen Mehrheitsentscheid ein Ausgangssignal erzeugen. Die Ausgangssignale, sogenannte gevotete Signale, werden dem Verbraucher zur Verfügung gestellt. Solche gevoteten Signale sind vertrauenswürdig. Bei zentralen Votern existiert jedoch als Schwachpunkt der Voter an sich, denn wenn dieser Voter ausfällt, gibt es auch keine Weiterleitung von gevoteten Signalen zu den Verbrauchern. Bislang werden Voter den Replikanten hardwaretechnisch zugeordnet und bilden mit diesen eine gemeinsame Ausfalleinheit. Dadurch fällt es nicht auf, dass es Voter gibt, denn das Voten wird als Eigenschaft der Geräte angesehen.
  • Die Aufgabe besteht darin, ein alternatives System zur Steuerung von Stellwerken zur Verfügung zu stellen, das ein geringes Ausfallrisiko sowie eine hohe Verfügbarkeit aufweist.
  • Erfindungsgemäß wird ein System zur Steuerung von Stellwerken im Bahnverkehr zur Verfügung gestellt, welches mindestens eine Mehrzahl von redundanten Replikanten zur Erzeugung von redundanten Steuersignalen aufweist. Zusätzlich ist eine Voterstruktur vorgesehen, die eine Mehrzahl von Majoritätsvotern umfasst, wobei jeder Majoritätsvoter Eingänge, die mit den Ausgängen der Mehrzahl der redundanten Replikanten verbunden sind, sowie jeweils einen Ausgang aufweist. Erfindungsgemäß ist die Voterstruktur und die Mehrzahl von redundanten Replikanten hardwaretechnisch voneinander getrennt und die Ausgänge der Mehrzahl von Majoritätsvoter mit den Eingängen eines Diskriminatorvoters verbunden, wobei der Ausgang des Diskriminatorvoters ein Steuersignal zur Steuerung von Stellwerken zur Verfügung stellt. Der Diskriminatorvoter gibt kein Steuersignal aus, wenn sich seine Eingänge widersprechen.
  • Die Erfindung hat den Vorteil, dass sich die Mehrzahl der Replikanten und die Voterstruktur durch die hardwaretechnische Trennung in unterscheidbaren Ausfalleinheiten befinden, was die Lokalisierung von Fehlfunktionen bzw. Ausfällen vereinfacht. Ferner werden die Aufgabengebiete dadurch voneinander getrennt. Zudem kann durch diese Trennung kommerziell übliche Rechenhardware verwendet werden und es muss nicht mehr auf spezielle Hardware mit integrierten Votereinheiten zurückgegriffen werden. Ferner kann vorteilhaft durch den Diskriminatorvoter nur ein Steuersignal ausgegeben werden, wenn sich seine Eingänge nicht widersprechen, wodurch zudem das Abweichen eines vorgeschalteten Majoritätsvoters M1, M2 festgestellt werden kann. Da in der Vorstufe die Majoritätsvoter bereits über Mehrheitsentscheid gevotete Steuersignale an den Diskriminatorvoter übergeben, wird somit eine zusätzliche Sicherheitsstufe eingebracht, die die Wahrscheinlichkeit einer fehlerhaften Signalübertragung verringert. Ein Diskriminatorvoter hat ferner eine weniger komplexe und somit ausfallresistentere Hardware als ein Majoritätsvoter, sodass die Ausfallwahrscheinlichkeit des erfindungsmäßen Systems verringert wird.
  • Vorzugsweise agiert der Diskriminatorvoter als Durchschalter, wenn nur ein Eingangssignal anliegt. Dadurch kann ein Ausfall eines oder mehrerer Majoritätsvoters kompensiert werden, so dass am Ausgang des Diskriminatorvoters weiterhin ein gevotetes Steuersignal ausgegeben wird. Dadurch wird die Verfügbarkeit des Systems erhöht, denn ein Ausfall eines Majoritätsvoters führt dann nicht zu einem Gesamtausfall des Systems.
  • Vorzugsweise wird eine Fehlermeldung ausgegeben, falls der Diskriminatorvoter von einem Majoritätsvoter kein Eingangssignal erhält. Durch eine solche Überwachung kann der betreffende Majoritätsvoter entsprechend identifiziert und infolge überprüft bzw. ausgetauscht werden.
  • Vorteilhafterweise kann eine Mehrzahl von nachgeschalteten Diskriminatorvotern verwendet werden, wobei die Ausgänge der Mehrzahl von Majoritätsvotern mit jedem Eingang jedes Diskriminatorvoters verbunden sind, wobei an jedem Ausgang des jeweiligen Diskriminatorvoters ein Steuersignal zur Steuerung von Stellwerken zur Verfügung gestellt wird. Hierdurch wird eine Redundanz hinsichtlich der Diskriminatorvoter erzielt. Sollte ein Diskriminatorvoter ausfallen, so steht weiterhin ein Steuersignal am Ausgang der übrigen Diskriminatorvoter zur Verfügung. Zudem können die jeweiligen Steuersignale miteinander verglichen werden. Somit kann das System einen Ausfall bzw. eine Fehlfunktion eines Diskriminatorvoters tolerieren.
  • Eine Mehrzahl von Replikanten kann räumlich von einer Mehrzahl von Replikanten getrennt sein und/oder die Mehrzahl von nachgeschalteten Majoritätsvotern und/oder die Mehrzahl von Diskriminatorvotern können räumlich voneinander getrennt sein. In der Praxis hat man es häufig mit räumlich verteilten Systemen zu tun. Beispielsweise kann sich eine Mehrzahl von Replikanten an verschiedenen Orten befinden, die aber pro Ort das gleiche Steuersignal generieren. Auch die Majoritätsvoter oder die Diskriminatorvoter können voneinander getrennt sein. Fällt nun einer dieser „Orte“ aus, beispielsweise durch besondere Ereignisse wie Versorgungsausfälle, Naturkatastrophen etc., so kann dennoch ein gevotetes Steuersignal an einem oder an verschiedenen Orten zur Verfügung gestellt werden. Dadurch wird eine örtliche Redundanz erzeugt, da der Ausfall eines Ortes oder mehrerer Orte toleriert werden kann. Ferner haben ein Ausfall eines Diskriminatorvoters oder zugeordnete Verbindungen einen geringeren Einfluss auf das System, da sie sich auf der Ausfalleinheit des Empfängers bzw. Verbrauchers befinden.
  • Eine Fehlermeldung kann ausgegeben werden, falls nicht alle Eingangssignale an einem Majoritätsvoter gleich sind. Dadurch kann eine Fehlerlokalisierung erzielt werden, was zu einer Überprüfung bzw. Ersetzung eines Replikanten führen kann. Ferner können abweichende Eingänge eines Majoritätsvoters verlässlich gesperrt werden.
  • Das gesamte System kann blockiert werden, falls der Diskriminatorvoter von einem Majoritätsvoter kein Eingangssignal erhält oder falls sich die Eingänge des Diskriminatorvoters widersprechen. Dadurch kann eine sehr hohe Sicherheit erzielt werden.
  • Der nachgeschaltete Diskriminatorvoter oder die Mehrzahl von nachgeschalteten Diskriminatorvotern können ein eigenständiges konfigurierbares Gerät bilden.
  • Bevorzugt ist der nachgeschaltete Diskriminatorvoter oder die Mehrzahl von nachgeschalteten Diskriminatorvotern innerhalb einer Auswerteeinheit integriert. Dadurch befinden sich Auswerteeinheit und Diskriminatorvoter in derselben Ausfalleinheit.
  • Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Es zeigen:
  • 1 System zur Steuerung von Stellwerken nach einer ersten Ausführungsform,
  • 2 System zur Steuerung von Stellwerken nach einer zweiten Ausführungsform,
  • 3 System zur Steuerung von Stellwerken nach einer dritten Ausführungsform und
  • 4 System zur Steuerung von Stellwerken nach einer vierten Ausführungsform.
  • In der 1 ist ein System S zur Steuerung von Stellwerken nach einer ersten Ausführungsform gezeigt. Dabei ist eine originale Hardwareeinrichtung H dargestellt, die mehrfach repliziert wird, d.h. es werden eine Mehrzahl von Replikanten R1a, R1b, R1c, R2a, R2b, R2c zur Redundanzschaffung generiert, die im störfreien Fall das gleiche Steuersignal erzeugen wie die originale Hardwareeinrichtung H. Das System S umfasst die Mehrzahl von Replikanten R1a, R1b, R1c, R2a, R2b, R2c sowie eine zugeordnete Voterstruktur 1. Die Mehrzahl der Replikanten R1a, R1b, R1c, R2a, R2b, R2c erzeugt Steuersignale, die über die Voterstruktur 1 gevotet werden. Als Hardwareeinrichtung H bzw. als Replikanten R1a, R1b, R1c, R2a, R2b, R2c kommen dabei beispielsweise elektrische Schaltungen, logische Schaltungen, Prozessoren, Rechner, Steuergeräte etc. in Frage, wobei die Erfindung nicht auf diese Beispiele beschränkt ist. Das Signal zur Steuerung von Stellwerken kann beispielsweise benutzt werden, um eine Weiche umzustellen, eine Gleissperre zu aktivieren oder beispielsweise ein Schalten einer Ampel von rot auf grün zu gewährleisten, wobei viele weitere zweckmäßige Besteuerungen im Bahnverkehr in Betracht kommen.
  • In dieser Ausführungsform sind beispielhaft sechs Replikanten R1a, R1b, R1c, R2a, R2b, R2c vorgesehen, wobei prinzipiell beliebig viele Replikanten R1a, R1b, R1c, R2a, R2b, R2c vorgesehen sein können. Die Mehrzahl von Replikanten R1a, R1b, R1c, R2a, R2b, R2c sind mit einer Mehrzahl von Majoritätsvotern M1, M2 verbunden, d.h. die Ausgänge der Mehrzahl von Replikanten R1a, R1b, R1c, R2a, R2b, R2c liegen an den Eingängen der Mehrzahl von Majoritätsvotern M1, M2. In diesem Beispiel liegen die Ausgänge der Replikanten R1a, R1b, R1c rein beispielhaft an den Eingängen von M1 und die Ausgänge der Replikanten R2a, R2b, R2c an den Eingängen von M2.
  • Die Majoritätsvoter M1, M2 bilden für deren Ausgangssignal einen Mehrheitsentscheid auf Basis ihrer eingehenden Signale, d.h. weist eine Mehrheit der Eingänge dasselbe Signal auf, so wird dieses ausgegeben. Wenn rein beispielhaft von R1a und R1b ein „High-Pegel“ und von R1c ein „Low-Pegel“ eingeht, dann liegt am Ausgang von M1 ein High-Pegel an. Im Normalfall, das ist der störfreie Fall, liegen an den Eingängen die gleichen Steuersignale an, die dann vom Majoritätsvoter M1 an seinem Ausgang ausgegeben werden. In dem Fall einer Abweichung eines Eingangssignals, z.B. des Replikanten R1c, kann dies zusätzlich zu einer Fehlermeldung führen. Ferner können abweichende Eingänge eines Majoritätsvoters verlässlich gesperrt werden. Die Ausgangssignale der Majoritätsvoter M1, M2 sind damit bereits durch Redundanz gesicherte Steuersignale, sprich gevotete Steuersignale, die vertrauenswürdig sind. Je nach Anzahl der Replikanten R1a, R1b, R1c, R2a, R2b, R2c können auch mehr als zwei Majoritätsvoter M1, M2 eingesetzt werden, oder mehr Eingänge pro Majoritätsvoter M1, M2 vorgesehen werden. Bei fünf Eingängen können die Majoritätsvoter M1, M2 beispielhaft bereits zwei abweichende Steuersignale tolerieren.
  • Die Ausgänge der Mehrzahl von Majoritätsvoter M1, M2 sind erfindungsgemäß mit den Eingängen eines Diskriminatorvoters D verbunden, dessen Ausgangssignal das Steuersignal zur Steuerung von Stellwerken darstellt. Nur falls die Eingänge des Diskriminatorvoters D sich widersprechen, wird von dem Diskriminatorvoter D kein Ausgangssignal erzeugt. Dadurch kann vorteilhaft das Abweichen eines vorgeschalteten Majoritätsvoters M1, M2 festgestellt werden. Da in der Vorstufe die Majoritätsvoter M1, M2 bereits über Mehrheitsentscheid gevotete Steuersignale an den Diskriminatorvoter D übergeben werden, wird somit eine zusätzliche Sicherheitsstufe eingebracht, die die Wahrscheinlichkeit einer fehlerhaften Signalübertragung weiter verringert. Ein Diskriminatorvoter D hat zudem eine weniger komplexe und somit ausfallresistentere Hardware als ein Majoritätsvoter M1, M2, sodass die Ausfallwahrscheinlichkeit des erfindungsmäßen Systems S verringert wird.
  • Die Mehrzahl der Replikanten R1a, R1b, R1c, R2a, R2b, R2c und die Voterstruktur 1 sind hardwaretechnisch voneinander getrennt, wodurch die Aufgabengebiete voneinander separiert sind. Voterstruktur 1 und Replikanten R1a, R1b, R1c, R2a, R2b, R2c bilden dann vorteilhaft unterschiedliche Ausfalleinheiten. Dadurch kann vorteilhaft eine gezielte Lokalisierung einer Ausfallquelle erfolgen. Zudem muss nicht mehr auf spezielle Hardware mit integrierten Votereinheiten zurückgegriffen werden, sondern es kann kommerziell übliche Rechenhardware verwendet werden.
  • Falls nur ein Eingangssignal am Diskriminatorvoter D vorliegt, dann agiert der Diskriminatorvoter D wie ein Durchschalter, d.h. er kann dennoch ein Steuerungssignal als Ausgangssignal erzeugen und zwar genau das Anliegende. Daher kann dieses System einen Ausfall eines Majoritätvoters M1, M2 tolerieren, was den Majoritätsvoter M1, M2 nicht mehr zu einer kritischen Komponente des Systems S macht.
  • In einer höheren Sicherheitsstufe kann das gesamte System S blockiert werden, falls der Diskriminatorvoter D von einem Majoritätsvoter M1, M2 kein Eingangssignal erhält oder falls sich die Eingänge des Diskriminatorvoters D widersprechen.
  • Der nachgeschaltete Diskriminatorvoter D kann ein eigenständiges konfigurierbares Gerät bilden. Der nachgeschaltete Diskriminatorvoter D kann aber auch innerhalb einer Auswerteeinheit integriert sein, womit er eine Ausfalleinheit mit der Auswerteeinheit bildet.
  • Die Anzahl der Replikanten R1a, R1b, R1c, R2a, R2b, R2c und die Anzahl der Majoritätsvoter M1, M2 ist hier nur beispielhaft ausgewählt, die Erfindung ist jedoch nicht darauf beschränkt. Beispielsweise können mehr Replikanten R1a, R1b, R1c, R2a, R2b, R2c und/oder mehr Majoritätsvoter M1, M2 verwendet werden.
  • In den 24 wird jeweils nur auf die Unterschiede zu 1 bzw. untereinander eingegangen.
  • In 2 wird ein System S zur Steuerung von Stellwerken nach einer zweiten Ausführungsform beschrieben. Im Unterschied zu 1 werden zwei Diskriminatorvoter D1, D2 zur Verfügung gestellt, wobei die Eingänge jedes Diskriminatorvoters D1, D2 mit beiden Ausgängen der Majoritätsvoter M1, M2 verbunden sind. Dadurch wird eine Redundanz der Diskriminatorvoter D1, D2 geschaffen. Sollte ein Diskriminatorvoter, beispielsweise D1, ausfallen, kann dann an dem Ausgang von D2 das gevotete Steuersignal weiterhin erhalten werden. Ferner ermöglicht diese Anordnung auch eine örtliche Trennung der Diskriminatorvoter D1, D2, z.B. wenn zwei gevotete Signale an unterschiedlichen Orten zur Verfügung gestellt werden sollen. Es können auch mehr als zwei Diskriminatorvoter D1, D2 zur Verfügung gestellt werden.
  • Die Anzahl der Replikanten R1a, R1b, R1c, R2a, R2b, R2c, die Anzahl der Majoritätsvoter M1, M2 und die Anzahl der Diskriminatorvoter D1, D2 ist auch hier nur beispielhaft ausgewählt, die Erfindung ist jedoch nicht darauf beschränkt. Beispielsweise können mehr Replikanten R1a, R1b, R1c, R2a, R2b, R2c, mehr Majoritätsvoter M1, M2 und/oder mehr Diskriminatorvoter D1, D2 verwendet werden.
  • In 3 wird ein System zur Steuerung von Stellwerken nach einer dritten Ausführungsform beschrieben. Häufig hat man es mit verteilten Systemen zu tun. Im Vergleich zu den 1 und 2 werden daher beispielhaft zwei örtlich bzw. räumlich voneinander getrennte Replikanten R1a, R1b, R1c bzw. R2a, R2b, R2c beschrieben. Eine Mehrzahl von Replikanten R1a, R1b, R1c befindet sich an einem Ort L1 und eine weitere Mehrzahl von Replikanten R2a, R2b, R2c befinden sich an einem weiteren Ort L2, wobei der Ort L2 räumlich vom Ort L1 getrennt ist. Die nachgeschalteten Majoritätsvoter M1, M2 können voneinander örtlich getrennt sein, müssen sie aber nicht. In der konkreten Ausführungsform befindet sich ein Majoritätsvoter M1 am Ort L1 und ein Majoritätsvoter M2 am Ort L2. Der Diskriminatorvoter befindet sich bevorzugt an einem Ort L3, der vom Ort L1 und vom Ort L2 verschieden ist. Sollte nun durch besondere Ereignisse wie beispielsweise Versorgungsausfälle, Naturkatastrophen etc. ein „Ort“ ausfallen, beispielsweise Ort L1, so kann weiterhin durch den anderen Ort L2 über die Replikanten R2a, R2b, R2c mit dem Majoritätsvoter M2 ein gevotetes Steuersignal über den Diskriminatorvoter D ausgegeben werden. Somit wird dadurch eine geographische bzw. örtliche Redundanz für räumlich verteilte Systeme mit sicherungstechnischer Verantwortung erzeugt. Ferner haben ein Ausfall eines Diskriminatorvoters oder zugeordnete Verbindungen vorteilhaft einen geringeren Einfluss auf das senderseitige System, da sie sich auf der Ausfalleinheit des Empfängers bzw. Verbrauchers befinden.
  • Die Anzahl der Replikanten R1a, R1b, R1c, R2a, R2b, R2c, die Anzahl der Majoritätsvoter M1, M2 und die Anzahl der Orte L1, L2 ist auch hier nur beispielhaft ausgewählt, die Erfindung ist jedoch nicht darauf beschränkt. Beispielsweise können mehr Replikanten R1a, R1b, R1c, R2a, R2b, R2c und/oder mehr Majoritätsvoter M1, M2 verwendet werden. Zudem können auch mehrere Orte L1, L2 mit entsprechenden Replikanten R1a, R1b, R1c, R2a, R2b, R2c pro Ort L1, L2 beschrieben werden, um noch mehr geographische bzw. örtliche Redundanz zu schaffen.
  • In 4 wird ein weiteres System S zur Steuerung von Stellwerken nach einer vierten Ausführungsform beschrieben.
  • Im Unterschied zu 3 werden zwei Diskriminatorvoter D1, D2 zur Verfügung gestellt, wobei die Eingänge jedes Diskriminatorvoters D1, D2 mit beiden Ausgängen der Majoritätsvoter M1, M2 verbunden sind. Dadurch wird eine Redundanz der Diskriminatorvoter D1, D2 geschaffen. Sollte ein Diskriminatorvoter, beispielsweise D1, ausfallen, dann kann an dem Ausgang von D2 das gevotete Steuersignal weiterhin erhalten werden. Die Diskriminatorvoter D1, D2 befinden sich in diesem Ausführungsbeispiel an unterschiedlichen Orten L3, L4. Der Diskriminatorvoter D1 befindet sich beispielhaft am Ort L3 und der Diskriminatorvoter D2 befindet sich beispielhaft am Ort L4. Dadurch kann ein örtlicher Ausfall an einem der Orte L3 bzw. L4 durch die örtliche Trennung der Diskriminatorvoter D1, D2 toleriert werden. Somit kann eine geographische bzw. örtliche Redundanz für räumlich verteilte Systeme mit sicherungstechnischer Verantwortung generiert werden. Auch hier können mehr als zwei Diskriminatorvoter D1, D2 zur Verfügung gestellt werden, die sich beispielsweise an mehr als zwei voneinander unterschiedlichen Orten L3, L4 befinden.
  • Die Anzahl der Replikanten R1a, R1b, R1c, R2a, R2b, R2c, die Anzahl der Majoritätsvoter M1, M2, die Anzahl der Orte L1, L2 bzw. L3, L4 und die Anzahl der Diskriminatorvoter D1, D2 ist auch hier nur beispielhaft ausgewählt, die Erfindung ist jedoch nicht darauf beschränkt. Beispielsweise können mehr Replikanten R1a, R1b, R1c, R2a, R2b, R2c, mehr Majoritätsvoter M1, M2 und/oder mehr Diskriminatorvoter D1, D2 verwendet werden.
  • Zusammengefasst wird ein System S zur Steuerung von Stellwerken beschrieben, das bereits durch Majoritätsvoter M1, M2 gevotete Steuersignale mittels eines nachgeschalteten Diskriminatorvoters D, D1, D2 ausgibt. Der Diskriminatorvoter D, D1, D2 gibt dabei nur ein Steuersignal aus, wenn sich dessen Eingänge nicht widersprechen. Es können auch mehrere Diskriminatorvoter D1, D2 nachgeschaltet werden. Zudem können abweichende Majoritätsvoter M1, M2 blockiert werden. Die Erfindung reduziert das Ausfallrisiko und erhöht damit die Verfügbarkeit des Systems S. Zusätzlich kann für örtlich verteilte Systeme eine geographische bzw. räumliche Redundanz erzielt werden, sodass ein örtlicher Ausfall vom System S toleriert werden kann. Die Mehrheit von Replikanten R1a, R1b, R1c, R2a, R2b, R2c und die Voterstruktur 1 sind hardwaretechnisch voneinander getrennt, wodurch die Aufgabengebiete voneinander separiert sind. Voterstruktur 1 und Mehrheit von Replikanten R1a, R1b, R1c, R2a, R2b, R2c bilden dann vorteilhaft unterschiedliche Ausfalleinheiten. Dadurch kann vorteilhaft eine gezieltere Lokalisierung einer Ausfallquelle erfolgen. Zudem muss nicht mehr auf spezielle Hardware mit integrierten Votereinheiten zurückgegriffen werden, sondern es kann kommerziell übliche Rechenhardware verwendet werden.
  • Obwohl die Erfindung im Detail durch bevorzugte Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
  • Bezugszeichenliste
    • 1
    Voterstruktur
    H
    Hardwareeinrichtung
    S
    System
    R1a,
    R1b, R1c, R2a, R2b, R2c Replikant
    M1, M2
    Majoritätsvoter
    D, D1, D2
    Diskriminatorvoter
    L1, L2, L3, L4
    Ort

Claims (9)

  1. System (S) zur Steuerung von Stellwerken im Bahnverkehr umfassend: – eine Mehrzahl von redundanten Replikanten (R1a, R1b, R1c, R2a, R2b, R2c) zur Erzeugung von redundanten Steuersignalen; – eine Voterstruktur (1) zur Ausgabe von Steuersignalen umfassend eine Mehrzahl von Majoritätsvotern (M1, M2), wobei jeder Majoritätsvoter (M1, M2) Eingänge, die mit den Ausgängen der Mehrzahl der redundanten Replikanten (R1a, R1b, R1c, R2a, R2b, R2c) verbunden sind, sowie jeweils einen Ausgang aufweist; dadurch gekennzeichnet, dass die Voterstruktur (1) und die Mehrzahl der redundanten Replikanten (R1a, R1b, R1c, R2a, R2b, R2c) hardwaretechnisch voneinander getrennt ausgebildet sind und die Ausgänge der Mehrzahl von Majoritätsvotern (M1, M2) mit den Eingängen eines Diskriminatorvoters (D) verbunden ausgebildet sind, wobei der Ausgang des Diskriminatorvoters (D) dazu ausgebildet ist, nur dann ein Steuersignal zur Steuerung von Stellwerken zur Verfügung zu stellen, wenn sich die Signale an dessen Eingänge nicht widersprechen.
  2. System (S) nach Anspruch 1, wobei der Diskriminatorvoter (D) dazu ausgebildet ist, als Durchschalter zu agieren, wenn nur ein Eingangssignal anliegt.
  3. System (S) nach Anspruch 1 oder 2, wobei das System (S) dazu ausgebildet ist, eine Fehlermeldung auszugeben, falls der Diskriminatorvoter (D) von einem Majoritätsvoter (M1, M2) kein Eingangssignal erhält.
  4. System (S) nach einem der Ansprüche 1 oder 3, wobei das gesamte System (S) dazu ausgebildet ist zu blockieren, falls der Diskriminatorvoter (D) von einem Majoritätsvoter (M1, M2) kein Eingangssignal erhält oder falls sich die Eingänge des Diskriminatorvoters (D) widersprechen.
  5. System (S) nach einem der vorherigen Ansprüche mit einer Mehrzahl von nachgeschalteten Diskriminatorvotern (D1, D2), wobei die Ausgänge der Mehrzahl von Majoritätsvotern (M1, M2) mit jedem Eingang jedes Diskriminatorvoters (D1, D2) verbunden sind, wobei an jedem Ausgang des jeweiligen Diskriminatorvoters (D1, D2) ein Steuersignal zur Steuerung von Stellwerken zur Verfügung gestellt wird.
  6. System (S) nach einem der vorherigen Ansprüche, wobei eine Mehrzahl von Replikanten (R1a, R1b, R1c) räumlich von einer Mehrzahl von Replikanten (R2a, R2b, R2c) getrennt ist und/oder die Mehrzahl von nachgeschalteten Majoritätsvotern (M1, M2) und/oder Diskriminatorvotern (D1, D2) räumlich voneinander getrennt sind.
  7. System (S) nach einem der vorherigen Ansprüche, wobei das System (S) dazu ausgebildet ist, eine Fehlermeldung auszugeben, falls nicht alle Eingangssignale an einem Majoritätsvoter (M1, M2) gleich sind.
  8. System (S) nach einem der vorherigen Ansprüche, wobei der nachgeschaltete Diskriminatorvoter (D) oder die Mehrzahl von nachgeschalteten Diskriminatorvotern (D1, D2) ein eigenständiges konfigurierbares Gerät bilden.
  9. System (S) nach einem der vorherigen Ansprüche, wobei der nachgeschaltete Diskriminatorvoter (D) oder die Mehrzahl von nachgeschalteten Diskriminatorvotern (D1, D2) innerhalb einer Auswerteeinheit integriert sind.
DE102016205119.9A 2016-03-29 2016-03-29 System zur Steuerung von Stellwerken im Bahnverkehr Withdrawn DE102016205119A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102016205119.9A DE102016205119A1 (de) 2016-03-29 2016-03-29 System zur Steuerung von Stellwerken im Bahnverkehr
PCT/EP2017/054863 WO2017167537A1 (de) 2016-03-29 2017-03-02 System, insbesondere zur steuerung von stellwerken im bahnverkehr
EP17710842.0A EP3411279A1 (de) 2016-03-29 2017-03-02 System, insbesondere zur steuerung von stellwerken im bahnverkehr
US16/088,859 US11161533B2 (en) 2016-03-29 2017-03-02 System, in particular for controlling signal towers in rail traffic
CN201780020084.7A CN109195855B (zh) 2016-03-29 2017-03-02 特别是用于控制铁路交通中的集控站的系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016205119.9A DE102016205119A1 (de) 2016-03-29 2016-03-29 System zur Steuerung von Stellwerken im Bahnverkehr

Publications (1)

Publication Number Publication Date
DE102016205119A1 true DE102016205119A1 (de) 2017-10-05

Family

ID=58314163

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016205119.9A Withdrawn DE102016205119A1 (de) 2016-03-29 2016-03-29 System zur Steuerung von Stellwerken im Bahnverkehr

Country Status (5)

Country Link
US (1) US11161533B2 (de)
EP (1) EP3411279A1 (de)
CN (1) CN109195855B (de)
DE (1) DE102016205119A1 (de)
WO (1) WO2017167537A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3525057A1 (de) * 2018-02-09 2019-08-14 Yokogawa Electric Corporation Diagnose eines redundanten steuerungssystems

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016205119A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft System zur Steuerung von Stellwerken im Bahnverkehr

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0935198A1 (de) * 1998-02-05 1999-08-11 Siemens Schweiz AG (Siemens Suisse SA) (Siemens Svizzera SA) Siemens Switzerland Ltd) Verfahren zur sicheren Datenverarbeitung sowie ein Rechnersystem
DE102012211273A1 (de) * 2012-06-29 2014-01-02 Siemens Aktiengesellschaft Verfahren und Anordnung zum Steuern einer technischen Anlage
EP2691819B1 (de) * 2011-03-30 2016-12-14 Vestas Wind Systems A/S Verteiltes fehlertolerantes steuer-und schutzsystem

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2295456T3 (es) * 2001-12-11 2008-04-16 CONTINENTAL TEVES AG & CO. OHG Sistemas de ordenadores de control redundante, conjunto de ordenadores para aplicaciones criticas en vehiculos automoviles, asi como su uso.
DE102008012416A1 (de) * 2008-02-29 2009-09-10 Siemens Aktiengesellschaft Verfahren zur signaltechnischen Sicherung schienengebundener Fahrzeuge und diesbezügliches Sicherungssystem
CN101254790B (zh) 2008-03-26 2010-12-22 北京和利时系统工程有限公司 一种计算机联锁控制系统
DE102010023891A1 (de) * 2010-06-11 2011-12-15 Siemens Aktiengesellschaft Verfahren und Einrichtung zum Erkennen einer fehlerhaften Darstellung von Bilddaten auf einer Anzeigeeinheit
US8972772B2 (en) * 2011-02-24 2015-03-03 The Charles Stark Draper Laboratory, Inc. System and method for duplexed replicated computing
US8668170B2 (en) * 2011-06-27 2014-03-11 Thales Canada Inc. Railway signaling system with redundant controllers
DE102013218814A1 (de) * 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Verfahren zum Betreiben eines sicherheitskritischen Systems
ES2696604T3 (es) * 2013-12-13 2019-01-17 Thales Sa Arquitectura de marco tolerante a fallos con triple redundancia de software
CN105279049A (zh) 2015-06-16 2016-01-27 康宇星科技(北京)有限公司 一种故障自主恢复三模冗余容错计算机ip核的设计方法
DE102016205121A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft Verfahren zum Voting mit verketteten Signaturen
DE102016205122A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft Verfahren zum Austausch von Nachrichten zwischen sicherheitsrelevanten Vorrichtungen
DE102016205119A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft System zur Steuerung von Stellwerken im Bahnverkehr
DE102016211286A1 (de) * 2016-06-23 2017-12-28 Siemens Aktiengesellschaft Verfahren zum synchronisierten Betrieb von Mehrkernprozessoren
DE102016215345A1 (de) * 2016-08-17 2018-02-22 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur redundanten Datenverarbeitung

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0935198A1 (de) * 1998-02-05 1999-08-11 Siemens Schweiz AG (Siemens Suisse SA) (Siemens Svizzera SA) Siemens Switzerland Ltd) Verfahren zur sicheren Datenverarbeitung sowie ein Rechnersystem
EP2691819B1 (de) * 2011-03-30 2016-12-14 Vestas Wind Systems A/S Verteiltes fehlertolerantes steuer-und schutzsystem
DE102012211273A1 (de) * 2012-06-29 2014-01-02 Siemens Aktiengesellschaft Verfahren und Anordnung zum Steuern einer technischen Anlage

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3525057A1 (de) * 2018-02-09 2019-08-14 Yokogawa Electric Corporation Diagnose eines redundanten steuerungssystems
CN110134000A (zh) * 2018-02-09 2019-08-16 横河电机株式会社 控制系统、诊断装置、诊断方法、以及存储有诊断程序的计算机可读介质

Also Published As

Publication number Publication date
WO2017167537A1 (de) 2017-10-05
CN109195855B (zh) 2021-07-16
CN109195855A (zh) 2019-01-11
US20190106134A1 (en) 2019-04-11
US11161533B2 (en) 2021-11-02
EP3411279A1 (de) 2018-12-12

Similar Documents

Publication Publication Date Title
EP1374052B1 (de) Verfahren zum betrieb eines verteilten computersystems
DE3751231T2 (de) Symmetriebildung für redundante Kanäle.
CH701344A1 (de) Stellwerksteuerung.
DE102016205119A1 (de) System zur Steuerung von Stellwerken im Bahnverkehr
DE4113959A1 (de) Ueberwachungseinrichtung
EP3052369A1 (de) Verfahren und vorrichtung zur erhöhung der verfügbarkeit einer gleisfreimeldeanlage
EP3201774B1 (de) Verteiltes echtzeitcomputersystem und zeitgesteuerte verteilereinheit
EP3448735B1 (de) Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems
DE102014201551A1 (de) Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem
DE102005030073A1 (de) Fehlertolerantes Datenübertragungssystem in einem Passagierflugzeug
DE102004033263B4 (de) Steuer-und Regeleinheit
DE1937259C3 (de) Selbstprüf ende Fehlererkennungsschaltung
EP1843929B1 (de) Leitsystem für die steuerung und/oder überwachung von objekten
DE102007009141B4 (de) Sicherheitsvorrichtung und Sicherheitsverfahren mit mehreren Verarbeitungsstufen
DE19850672A1 (de) Leitungsfehlerprüfschaltung für ein elektrisches Datenübertragungssystem
DE2502764A1 (de) Steuervorrichtung
DE102019209009A1 (de) Filter, Anordnung und Betriebsverfahren für eine Anordnung
EP3703333B1 (de) Verfahren, vorrichtung und anlage zur verarbeitung wenigstens einer information in einer sicherheitstechnischen anlage
DE10128762A1 (de) Verfahren zur Erhöhung der Verfügbarkeit von dezentralen Achszähl- und Gleisfreimeldesystemen
DE3239434C1 (de) Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems
DE10103951B4 (de) Energieversorgungseinrichtung für bordnetzgestützte, sicherheitsrelevante Systemkomponenten von Fahrzeugen
EP4127934A1 (de) Verfahren und sicherheitsgerichtetes system zum ausführen von sicherheitsfunktionen
DE19531923B4 (de) Einrichtung zur Realisierung von safe-life-Funktionen
DE4100751A1 (de) Porterweiterungsanordnung
WO2020249341A1 (de) Vorrichtungen und verfahren zum betreiben einer rechenanlage mit datenrelais

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee