DE202005020802U1 - Steuersystem für Schienenfahrzeuge - Google Patents

Steuersystem für Schienenfahrzeuge Download PDF

Info

Publication number
DE202005020802U1
DE202005020802U1 DE202005020802U DE202005020802U DE202005020802U1 DE 202005020802 U1 DE202005020802 U1 DE 202005020802U1 DE 202005020802 U DE202005020802 U DE 202005020802U DE 202005020802 U DE202005020802 U DE 202005020802U DE 202005020802 U1 DE202005020802 U1 DE 202005020802U1
Authority
DE
Germany
Prior art keywords
plc
signal
communication
devices
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202005020802U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB AS Norway
Original Assignee
ABB AS Norway
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB AS Norway filed Critical ABB AS Norway
Publication of DE202005020802U1 publication Critical patent/DE202005020802U1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/06Vehicle-on-line indication; Monitoring locking and release of the route
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14133Each plc is different from others
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2012Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant and using different communication protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2015Redundant power supplies

Abstract

Steuersystem für Eisenbahnfahrzeuge mit einer Vielzahl von programmierbaren Steuervorrichtungen, die zum Steuern von Signalen für eine Eisenbahnsignalgabe angeordnet sind, wo zwei der PLC-Vorrichtungen (4, 5) jeweils in einem Verriegelungssystem (1b) angeordnet sind, um ein Signal zum Steuern einer Signaloperation auf wenigstens einen Teil von einer oder mehreren Eisenbahnspuren (100) zu liefern, welche PLC-Vorrichtungen mit wenigstens einer Kommunikationseinheit (87) verbunden sind, dadurch gekennzeichnet, dass es ein Verriegelungssystem aufweist, das mit einer redundanten sicherheitskritischen PLC-Vorrichtung (4, 5) angeordnet ist, der eine redundante Energieversorgung zugeführt wird und die durch redundante Computerprogramme gesteuert wird.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung betrifft ein Steuersystem für Schienenfahrzeuge. Insbesondere ist sie ein Steuersystem, das eine Schienensignalgabe für eine oder mehrere Schienenspuren zur Verfügung stellt.
  • HINTERGRUND
  • Es ist bekannt, eine industrielle Steuerung, eine programmierbare Logiksteuerung (PLC), zum Steuern eines nicht sicherheitskritischen Teils eines Schienensignalgabesystems zu verwenden. 1983 ersetzten The Norwegian Railways (NSB) (= die norwegischen Eisenbahnen) einen nicht kritischen Teil eines auf einem Relais basierenden Verriegelungssystems, das NSI-63 genannt wird, durch eine industrielle PLC am Koppang-Bahnhof (2-spurig). Die PLC empfing Anordnungen von einem lokalen Manövrier- bzw. Bewegungs(steuerungs-)pult oder einem Steuerpult von Signalgabe-Menschen und sendete Anzeigen zu diesem. Ein schwedisches Patent SE 503 697 mit dem Titel "control system for traffic control comprising a "diverse" micro-computer system" für Novotec AB beschreibt ein Steuersystem mit einem ersten und einem zweiten Mikrocomputer, die parallel arbeiten und die beide dieselben Operationen durchführen. Wenn ein Mikrocomputer erfasst, dass der andere Mikrocomputer einen Fehler hat, stellt er die Signale auf einen vorbestimmten Sicherheitszustand ein.
  • Eine spätere Entwicklung, die als NSB-94 bekannt ist, enthält kritische Funktionen (Verriegelung). Dieses Sicherheitssystem basierte auf drei PLCs, nämlich A&B&C. Die Verriegelung wird durch die PLC A&B in einer dualen Konfiguration und mit einer individuellen Operation gesteuert. Die PLC C betätigt ein lokales Bewegungspult und/oder eine CTC (zentrale Zugsteuerung = Central Train Control) (E-CTC oder PLC-CTC). NSB-94 wurde am 1. November 1995 in Betrieb genommen und arbeitet in Norwegen bei 11 Installationen. Die Hardware kann eine Grenze von 57 lokalen I/O-Modulen oder maximal vier Spuren handhaben. Jedoch ist die Softwarearchitektur nicht auf mehr als drei Spuren anwendbar, und sie kann Softwareteile in unterschiedlichen physikalischen Installationen aufweisen, die nicht zu den Softwareteilen in anderen Installationen identisch sind.
  • Eine weitere technische Herausforderung bei bekannten Signalgabeinstallationen besteht darin, dass die über einen großen Bereich ausgebreitete Ausrüstung eine extensive und teure Verkabelung, und zwar sowohl eine Energieverkabelung als auch eine Datenverkabelung, fordert, von welchen Kabeln einige aus Ersatz- oder Sicherheitsgründen dupliziert sein müssen. Die Verschiedenheit von Ausrüstungen auf der Spurseite bedeutet, dass herkömmliche Signalgabe- und Verkehrssteuerungsinstallationen eine Verschiedenheit von unterschiedlichen Wartungsoperationen, Programmen bzw. Routinen und Vorgehensweisen erfordern, die Sicherheitsregeln entsprechen müssen.
  • Eine Patentanmeldung JP2003-182577 mit dem Titel "Interlocking device" für Nippon Signal beschreibt ein Verriegelungssteuersystem für einen Schienenverkehr, welches eine Verwendung einer PLC zum Steuern eines nicht vitalen Teils eines Systems enthält, das weiterhin mit einer CTC und mit einer Verriegelungsvorrichtung verbunden ist, die einen Mikrocomputer zur Steuerung von einem oder mehreren vitalen Teilen des Systems enthält. Die Verriegelungsvorrichtung ist einfacher und kompakter als frühere Systeme, weil die nicht vitalen Funktionen zu einer PLC bewegt worden sind. Der Mikrocomputer führt Diagnosetests bei sich selbst und bei ankommenden/abgehenden Signalen gemäß der Beschreibung durch. Jedoch kann es schwierig und/oder teuer sein, eine ausreichend hohe Zuverlässigkeit für einen einzigen Mikroprozessor zu garantieren.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Das Ziel der vorliegenden Erfindung besteht im Abmildern von einem oder mehreren der Probleme des Standes der Technik einer Schienensignalgabe. Dies wird durch ein System erhalten, wie sie in den beigefügten unabhängigen Ansprüchen definiert sind.
  • Ein erster Aspekt der Erfindung weist ein Steuersystem für eine Schienensignalgabe auf. Es sorgt für sicherheitskritische Signaloperationen sowie eine nicht sicherheitskritische Signalgabe für eine oder mehrere Schienenspuren.
  • Ein zweiter Aspekt der Erfindung weist ein Steuersystem für eine Schienensignalgabe für eine Vielzahl von Schienenspuren auf, und zwar bis zu 10 Spuren oder darüber. Es sorgt für sicherheitskritische Signaloperationen sowie für eine nicht sicherheitskritische Signalgabe für die Schienenspuren.
  • Ein dritter Aspekt der Erfindung weist ein Steuersystem für eine Schienensignalgabe auf, wobei eine einzige Objekt-Steuereinrichtung, eine I/O-Karte, zum Steuern einer Vielzahl und Mehrheit von Geräten oder eines Typs von Objekten, wie beispielsweise ein Hauptsignal, ein winziges Signal, eine Stellenmaschine, einen Leitungsblock, etc., ohne irgendeine Notwendigkeit für eine Hardwarekonfiguration verwendet wird.
  • Die Konfiguration wird bei der Rückwandleiterplatte TU832 durchgeführt, die mit einem festen Drahtbrückendraht bzw. Jumperdraht zusammengeschaltet wird, was sagen soll, dass der Jumperdraht mit unterschiedlichen Jumper-Anschlüssen an der Rückwandleiterplatte verbunden werden kann, um den Eingangstyp oder den Ausgangssignaltyp zu konfigurieren, wie es erforderlich ist.
  • Gemäß einem Ausführungsbeispiel der Erfindung weist das Verriegelungssystem eine redundante sicherheitskritische PLC-Vorrichtung (4, 5) auf, die durch eine redundante Energieversorgung versorgt wird und die durch redundante Computerprogramme gesteuert wird.
  • Gemäß einem bevorzugten Ausführungsbeispiel der Erfindung wird bei dem Verriegelungssystem eine erste sicherheitskritische PLC-Vorrichtung PLC durch eine erste Softwareanwendung gesteuert und wird eine zweite sicherheitskritische PLC durch eine zweite und andere Softwareanwendung gesteuert.
  • Gemäß einem Ausführungsbeispiel der Erfindung weist das Verriegelungssystem wenigstens eine Kommunikationseinheit von denjenigen auf, die mit einer sicherheitskritischen PLC verbunden und zum Bereitstellen einer lokalen Verbindung und/oder einer entfernten Verbindung konfigurierbar angeordnet sind. Vorzugsweise weist die Kommunikationseinheit eine Objektsteuereinheit mit einer Einrichtung zum Handhaben einer Kommunikation mittels irgendwelcher Kommunikationsprotokolle aus einer Liste von Ethernet, Modulbus, Profibus, RS232-seriell, auf.
  • Das Steuersystem der vorliegenden Erfindung weist drei Untersysteme auf. Jedes derartige Untersystem ist als eine PLC definiert, die aus einer CPU, einer Energieversorgung, I/O-Modulen, etc. besteht. Das Verriegelungssystem gemäß der Erfindung, wie es angegeben ist, weist drei unterschiedliche PLC-Systeme in einer spezifischen Konfiguration auf. Das Steuersystem ist als 3 PLCs gruppiert, d.h. PLC A, PLC B und PLC C. PLC A und PLC B dienen für einen sicherheitskritischen Teil und sind mit Außeneinrichtungen (Hauptsignalen, winzigen Signalen, Stellen, Schaltern, etc.) mittels I/O-Hardware verbunden. Die dritte PLC, nämlich die PLC C, ist nicht sicherheitskritisch. PLC C ist mit einem Fernbedienungszentrum oder CTC, einem lokalen Steuerzentrum und den Verriegelungssystemen (PLC A und PLC B) verbunden.
  • Um die erforderliche Sicherheitsleistung und die Verfügbarkeit oder das Zeitgemäße zu erhalten, wird ein Prinzip einer Wahl von 1 aus 2 mit Grenze und einer Redundanz verwendet. Beide sicherheitskritische PLC-Systeme sind physikalisch und elektrisch völlig getrennt, aber sie führen dieselben Operationen aus. Es gibt auch eine Trennung oder eine Verschiedenheit von Software zwischen den Anwendungsprogrammen in jeder von PLC A und PLC B. Dies bedeutet, dass beide PLC-Systeme gemäß dem Prinzip eines Wählens von 1 aus 2 in sowohl der Hardware als auch in der Software arbeiten. Jedes PLC-System verhält sich wie eine wechselseitige Grenze, um einen Fehler in einem der Systeme zu vermeiden, der das Signalgabesystem in einen gefährlichen Zustand versetzen würde. Ein Beispiel für einen gefährlichen Zustand ist, wenn ein falsches Grün, ein Signal zum Gehen, signalisiert werden würde, wenn der Abschnitt unter einer Steuerung nicht als sicher zum Eintreten bestimmt worden ist.
  • Um die Objekte wie Schalter, Hauptsignale, winzige Signale, etc. zu betätigen bzw. zu betreiben, wird eine neue Objektsteuereinheit, die manchmal I/O-Karte genannt wird, verwendet, die eine Schnittstelle hat, die mit bei Schienensystemen existierenden Ausrüstungsobjekten, wie Schaltern, Hauptsignalen, winzigen Signalen, Leitungsblock, etc. kompatibel ist und auf diese eingestellt ist. Die I/O- Karte weist Sicherheitsrelaisausgänge, Strommessungs- und interne Eingangskontakte auf. Die Objektsteuerkarte, die zusammengefasst auch I/O-Karte genannt wird, wird für die Mehrheit von Objekttypen, wie beispielsweise ein Hauptsignal, ein winziges Signal, eine Stellenmaschine, einen Leitungsblock, etc. ohne irgendeine Notwendigkeit für eine Hardwarekonfiguration verwendet. Die Konfiguration wird an der Rückwandleiterplatte TU832 durchgeführt, die mit einem festen Jumperdraht zusammengeschaltet wird. Dies hat die weiteren Vorteile eines Verleihens einer vereinfachten Installation und von Wartungs- und/oder Einheitenaustauschoperationen.
  • Das Signalgabesystem wird normalerweise mit Energie von sowohl einem lokalen Energienetz (220 V, 50 Hz) als auch von einem Eisenbahn-Energienetz (220 V, 16 2/3 Hz) durch einen nicht unterbrechbaren statischen Wandler versorgt. Es ist eine separate Energieversorgung von 220 V, 50 (95) Hz für Signale, die "Erlaubnis zum Gehen" (Grünlichtschaltungen, Spursignalschaltungen und ATC (automatische Zugsteuerung)) zuteilen, und für Signale, die "Stoppanweisungen/Warte-Stoppanweisungen" (Rotlicht/Gelblichtschaltungen) zuteilen.
  • Bei einem weiteren Aspekt der Erfindung wird ein Computerprogramm zum Ausführen des Betriebs eines Steuersystems gemäß der Erfindung beschrieben. Bei einem weiteren Aspekt der Erfindung wird ein Computerprogrammprodukt mit einem Computerprogramm zum Ausführen des Betriebs eines Steuersystems gemäß der Erfindung beschrieben. Bei einem weiteren Aspekt der Erfindung wird ein in einer Trägerwelle verkörpertes Computer-Datensignal beschrieben. Bei einem weiteren Aspekt der Erfindung wird eine grafische Anwenderschnittstelle zum Anzeigen einer Konfiguration für das Steuersystem und/oder die Signalvorrichtung und/oder Stellen und Schalter und/oder Betriebsdaten für eines oder mehrere der Signale, die so gesteuert werden, beschrieben.
  • Der Hauptvorteil der Erfindung besteht darin, dass ein sicheres und gesichertes Steuersystem für eine Eisenbahnsignalgabe unter Verwendung einer Kombination von industriellen Komponenten erreicht wird, von welchen eine Hauptkomponente, nämlich die PLC, ein standardmäßiges industrielles Hardwareprodukt ist. Dies bedeutet, dass die Zuverlässigkeitsleistungs- und Wartungsanforderungen von Anfang an wohl bekannt und dokumentiert sind. Eine Verwendung von ausgewählten Standardkomponenten stellt ein System mit einer hohen THR (tolerierbaren Risikorate) zur Verfügung. Es kann angenommen werden, dass die Erfindung im Laufe der Zeit in einem geplanten und optimierten Betrieb ist, weil existierende Systeme und Kombinationen, wie beispielsweise eine alte Relaisausrüstung, mit der neuen Technologie kombiniert und durch diese gesteuert werden können. Die Lieferzeit kann unter Verwendung von Standardkomponenten kürzer und vorhersagbarer als dann sein, wenn Einzel- oder kundenangepasste Kombinationen einer Ausrüstung verwendet werden. Die Verwendung einer standardmäßigen Feldbustechnologie zusammen mit der neuen Technologie der Erfindung macht das System, mit einer Kommunikationsentwicklung einer offenen Architektur, sehr gut skalierbar. Die Schnittstellen werden auf einfache Weise an verschiedene Ausrüstungen angepasst. Gleichermaßen bedeutet die Verwendung einer Standard-I/O-Karte als eine Standard-Objektsteuereinheit, das eine betriebsmäßige Vorhersagbarkeit für installierte Systeme und neue Systeme oder Systeme eines neuen Teils erhöht wird. Dies ist insbesondere der Fall in Bezug auf beispielsweise ein herkömmliches elektromechanisches (Relais-)Gerät, das unterschiedliche Kennlinien bzw. Charakteristiken und Reaktionszeiten im Vergleich mit modernen Relais haben kann. Jedoch sorgen die Schnittstellen, eine offene Kommunikationsentwicklung und Standard-Objektsteuereinheiten für unterschiedliche Parametereinstellungen zur Anpassung der verschiedenen Typen von Außengeräten zum Ausführen derselben Funktionen.
  • Die Erfindung kann auch mit sehr kurzen Kabelläufen implementiert werden, was ein technischer Vorteil ist, weil induktive und kapazitive Lasten in Systemschaltungen sich mit variierender Kabellänge und variierenden Kabeltypen ändern.
  • Ein weiterer Vorteil besteht darin, dass das Steuersystem im kritischen Teil verschiedenartige Anwendungssoftware mit objektbasierender und geografischer Programmstruktur laufen lässt. Zusätzlich soll jede Funktion ein bestimmter Programmblock sein, so dass eine Softwareentwicklung zu allen Typen von Stationen passen soll. Softwareänderungen sollen einfach sein und zu minimalen Änderungen in anderen Programmblöcken führen. Dies lässt zu, dass die Software für eine neue Installation aus existierenden Bibliotheksfunktionen und Funktionsblöcken gebildet wird. Systeme nach dem Stand der Technik neigten dazu, etwas an kundenangepasster Programmierung und/oder an kundenangepassten Anwendungen bei unterschiedlichen Installationen und in unterschiedlichen Teilen einer einzigen Installation zu enthalten. Die Verwendung von standardmäßigen Funktionsblöcken ergibt den Vorteil einer größeren Vorhersagbarkeit und Zuverlässigkeit für einen Teil von irgendeiner gegebenen Systeminstallation und die Möglichkeiten bei der Verwendung von Simulationswerkzeugen (System für richtige Reaktion). Parallel zu der Verwendung von Standardhardware wird auch die Effizienz durch Bereitstellen von Installationen erhöht, die mit einer Software laufen, die identische Teile hat. Zukünftige Entwicklungen aufgrund eines Umbildens/Umprogrammierens sollen in der Fabrik getestet werden, um die Ausfallzeit zu reduzieren. Ein weiterer technischer Vorteil der Verwendung von Standardsoftware und Funktionsblöcken besteht darin, dass eine Zertifizierung auf Sicherheitsstandards für sowohl den Systembetreiber als auch Untersuchungs- und Autorisierungsautoritäten bzw. -behörden einfacher gemacht wird, weil die Erfindung eines oder mehrere einen Sicherheitsfall generierende Produkte aufweisen kann – und sich somit für eine Querakzeptanz qualifizieren kann.
  • Ein weiterer Vorteil besteht darin, dass die Erfindung eine Mensch/Maschinen-Schnittstelle unterstützen kann, die sich auch mit anderen lokalen und/oder entfernten Eisenbahnsystemen integriert. Die Mensch/Maschinen-Schnittstelle enthält eine Unterstützung für wenigstens drei unterschiedliche Jobkategorien, die das Verriegelungssystem betreiben. Die unterschiedlichen Job- und Aufgabenkategorien haben einen Zugriff auf einen unterschiedlichen Teil des Systems, wie beispielsweise auf ein lokales Bewegungspult oder ein Pult von einem Menschen, auf eine technische Workstation für nur einen autorisierten Zugriff und auf eine CTC. Normalerweise ist ein Fernbedienungs-Betreiber bei dem Zugbetreiberzentrum angeordnet und betreibt das Verriegelungssystem durch die CTC (zentralisierte Zugsteuerung). Die lokale Zugsteuerung betreibt die Station manuell von einem lokalen Bewegungspult/Signalgabemenschpult. Autorisierte Spezialisten können eine Störungssuche mit einer Verwendung einer technischen Workstation durchführen, um einen Zugriff auf Daten von der Protokollierungseinheit/dem Protokollierungs-PC zu erlangen.
  • Redundanzaspekte enthalten eine duale PLC-Architektur (eine Wahl von 1 aus 2) mit architektonischer Redundanz, redundante (Sicherungs-)PLCs und Kommunikationen (I/O) mit sowohl einer Überwachung als auch einer Redundanz. Eine Systemsoftware ist in der Form einer verschiedenartigen bzw. diversen Anwendungssoftware mit objektbasierender und geografischer Programmstruktur und ist dazu entwickelt, auch gemäß CENELEC EN50126, EN50128, EN50129 zu sein und eine Sicherheitsintegritätsstufe 4 (SIL4) zu erfüllen.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Ein vollständigeres Verstehen des Systems der vorliegenden Erfindung kann durch Bezugnahme auf die folgenden Zeichnungen erhalten werden, wenn sie in Zusammenhang mit der detaillierten Beschreibung genommen werden:
  • 1 zeigt ein schematisches Diagramm für eine Systemkonfiguration für ein Steuersystem gemäß einem Ausführungsbeispiel der Erfindung,
  • 2 zeigt ein schematisches Diagramm für einen elektronischen Eisenbahn-Verriegelungsteil des Steuersystems,
  • 3 zeigt ein schematisches Diagramm des Verriegelungsteils des Steuersystems mit einem Schema für eine Wahl eines Anschlusses von 1 aus 2 für grünes Licht, und
  • 4 zeigt ein Schema für eine Wahl eines Anschlusses von 1 aus 2 für rotes Licht,
  • 5 ist eine schematische Anordnung für eine Mensch/Maschinen-Schnittstelle des Steuersystems gemäß einem weiteren Ausführungsbeispiel,
  • 6 zeigt ein schematisches Blockdiagramm für Innenraum-Schnittstellen eines Verriegelungsteils des Steuersystems, und
  • 7 zeigt ein Blockdiagramm für Außen-Schnittstellen,
  • 8 zeigt ein schematisches Diagramm für eine der zwei PLCs in einem Verriegelungsteil eines Steuersystems mit Anschlüssen und redundanten Anschlüssen für eine Vielzahl von Datennetzwerken oder Feldbussen gemäß einem bevorzugten Ausführungsbeispiel der Erfindung, und
  • 9 zeigt ein schematisches Blockdiagramm zur Sicherheitsprüfung und zur Grenzaktion, die durch jede der zwei sicherheitskritischen PLCs übereinander ausgeführt wird, gemäß einem bevorzugten Ausführungsbeispiel der Erfindung.
  • BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUGNSBEISPIELE
  • 1 zeigt eine Konfiguration für ein Steuersystem zum Steuern einer Eisenbahnsignalgabe und eines Verkehrs. Das Steuersystem enthält ein Verriegelungssystem, das wenigstens zwei programmierbare Logiksteuerungen (PLCs) aufweist. Die Figur zeigt das Steuersystem derart, dass es einen nicht kritischen Teil und einen (Sicherheits-)kritischen Teil hat. PLC A (4) und PLC B (3), die im sicherheitskritischen Teil 1b sind, sind mit einer Außenausrüstung (Hauptsignalen, Schaltern, etc., Spurabschnittsrelaiskontakten, Leitungsblockrelais, Schaltern, Verriegelung-Verriegelung, Kontakten zum Bekommen einer Rückkopplung von der Position der Schalter, etc.) mit IO mittels Eingabe/Ausgabe-Vorrichtungen (hauptsächlich I/O-Karten) verbunden. PLC C (3) ist nicht sicherheitskritisch. Diese PLC C ist mit einem Fernbedienungszentrum, einem lokalen Steuerzentrum und den Verriegelungssystemen (PLC A und PLC B) verbunden, wie es in 1 gezeigt ist.
  • Um die Sicherheit und die Verfügbarkeit zur Verfügung zu stellen, wird ein Prinzip einer Wahl von 1 aus 2 verwendet, eine Grenze und eine Redundanz. Um die Objekte wie Schalter, Hauptsignale, winzige Signale, etc. zu betreiben, wird eine Objektsteuereinheit (die hier zusammengefasst I/O-Karte genannt wird) verwendet, die eine Schnittstelle hat, die auf bei Eisenbahnsystemen existierende Objekte, wie Schalter, Hauptsignale, winzige Signale, Leitungsblock, etc., eingestellt ist. Die I/O-Karte weist Sicherheits-Relaisausgänge, Strommessungs- und innere Eingangskontakte auf. Ein PLC-System weist eine PLC auf, die aus einer CPU, einer Energieversorgung, IO-Modulen, etc. besteht. Das Verriegelungssystem, wie es oben angegeben ist, besteht aus drei unterschiedlichen PLC-Systemen in einer spezifischen Konfiguration. Das Steuersystem ist als 3 PLCs gruppiert, nämlich PLC A, PLC B und PLC C.
  • 2 zeigt schematisch einen Entwurf bzw. ein Aussehen eines Steuersystems und einer Eisenbahnspur mit Signallampen. Das Steuersystem ist wie zuvor in einem nicht sicherheitskritischen Teil 1a und einem kritischen Teil 1b angeordnet. Der nicht kritische Teil weist PLC C und ein lokales Bewegungspult 9 auf. Die nicht kritische PLC C (3) ist mit wenigstens zwei PLCs in dem sicherheitskritischen Teil 1b, nämlich mit PLC A und PLC B, verbunden. Jede oder irgendeine der PLCs kann mit einer Sicherungs-CPU angeordnet sein (die in der Praxis eine andere PLC sein kann, wie beispielsweise 4r, angeordnet mit PLC A, siehe auch 8). Eine Eisenbahnspuranordnung 100 ist mit einer oder mehreren Spuren 110, Eisenbahnsignalen 102, 103, 105 mit Kreisen, die Signallampen darstellen, gezeigt. Die Signallampen sind in der Anordnung quer gestrichelt mit horizontalen Linien, um ein grünes Licht darzustellen, mit vertikalen Linien, um ein rotes Licht darzustellen, und mit diagonalen Linien, um ein gelbes Licht darzustellen, gezeigt. Die Eisenbahnanordnung zeigt, dass auf eine Anzahl von anderen Eisenbahnspuren, von 2–10 Spuren, von einer ersten Spur 110 aus zugegriffen werden kann, die eine Hauptspur oder eine Durchgangsspur sein kann.
  • 3 zeigt den Anschluss für grünes Licht in einem Verriegelungsteil des Steuersystems 1. Beide sicherheitskritischen PLC-Systeme A und B sind insgesamt physikalisch und elektrisch getrennt, aber sie führen dieselben Operationen aus. Es gibt auch eine Softwareverschiedenheit zwischen den Anwendungsprogrammen in sowohl der PLC A als auch der PLC B. Dies bedeutet, dass beide Systeme gemäß dem Prinzip einer Auswahl von 1 aus 2 in sowohl Hardware als auch Software arbeiten. Jedes System verhält sich dann wie eine wechselseitige Grenze, um den Zustand zu vermeiden, dass ein Fehler in einem der PLC-Systeme das Signalgabesystem in einen gefährlichen Zustand versetzen kann.
  • Eine Hardwaretrennung ist in dem Steuersystem vorgesehen, wobei beide Systeme A und B dieselben Hardwaremodule haben. Der Spannungspegel für die Eingangsmodule in der PLC A, B und C ist unterschiedlich. Das Spannungspotential für die Eingänge in der PLC A, der PLC B und der PLC C ist nicht vermischt, und zwar auch nicht mit den Spannungen, die durch Sender erzeugt werden. Eingänge und Ausgänge sind mit wenigstens 2 kV von der Umgebung galvanisch getrennt. Externe Kommunikationsanschlüsse (serielle Kanäle, Busse, etc.) sind mit wenigstens 2 kV getrennt. Das Steuersystem führt Energie von 220 V, 50 (95) Hz separat für Signale zu, die eine "Zulassung zum Gehen" angeben (Grünlichtschaltungen, Spursignalschaltungen und eine ATC (automatische Zugsteuerung)), und Signale, die "Stoppanweisungen/Warten auf Stoppanweisungen" angeben (Rotlicht-/Gelblichtschaltungen). Das Signalgabesystem wird normalerweise mit Energie von sowohl einem lokalen Energienetz (220 V, 50 Hz) als auch von dem Eisenbahnenergienetz (220 V, 16 2/3 Hz) durch einen nicht unterbrechbaren statischen Wandler versorgt. Diese Energieversorgungsredundanz sorgt für eine Sicherheit bei einer Versorgung zu dem Signalgabesystem.
  • Die Steuersystemhardware ist mit einer Trennung und einer Redundanz angeordnet. Es gibt eine Redundanz von CPUs in der form von zwei PLCs, einer Energieversorgung und einer Kommunikation. Die duale PLC-Architektur (Auswahl von 1 aus 2) mit architektonischer Redundanz hat (I/O-)Kommunikationen mit einer Überwachung und einer Redundanz.
  • Wie es oben angegeben ist, weist die Objektsteuereinheits-I/O-Karte Sicherheitsrelaisausgänge, Strommessungs- und interne Eingangskontakte auf. Diese I/O-Karte ist in den Kommunikationseinheiten in den lokalen und entfernten Gruppen bzw. Clustern angeordnet (siehe 3c, 4c in 2 und 87, 84, 85, 89, 90 in 8). Sie ist mit wenigstens sowohl einem Modulbus als auch einem Profibus kompatibel. Die I/O-Karte weist folgendes auf:
    TÜV-geprüfte Sicherheitsrelais zum Steuern von Stellen und Signalen,
    digitale Eingänge zum Prüfen der Position von Relaiskontakten,
    einen Stromtransformator zum Messen der Stromintensität in den Signallampenschaltungen,
    eine Eigendiagnostik, die eine Abdeckung von besser als 90 ergibt,
    eine Verdrahtung in einem zentralen Relaisgehäuse – über einen lokalen Modulbus, und eine Verdrahtung nahe Objekten – über einen verteilten Profibus.
  • Das Steuersystem weist auch eine Softwaretrennung auf. Die Anwendungssoftware ist mit den Programmierwerkzeugen, wie beispielsweise einem Werkzeug, das Steuerungsbilder genannt wird, entwickelt. Die ausfallsichere Anwendungssoftware (in PLC A und PLC B) wird vorzugsweise durch 2 unabhängige Programmierteams jeweils für PLC A und PLC B entwickelt. Die Anwendungssoftwareteile werden separat ausgeführt und arbeiten auf verschiedene Weise. Beide PLC-Programme erfüllen dieselben Funktionsspezifikationen, aber in zwei unterschiedlichen Programmiersprachen. Die Software, die in den PLCs läuft, soll vorzugsweise folgende sein:
    eine objektbasierende und geografische Programmstruktur, wobei jede Funktion ein bestimmter Programmblock sein soll, wo Zugwege Objekt für Objekt freigegeben werden können, Softwareänderungen können einfach sein und sollten zu minimalen Änderungen in anderen Programmblöcken führen, eine Softwareentwicklung soll derart entworfen sein, dass sie zu allen Typen von Stationen passt, mit Möglichkeiten für die Verwendung von Simulationswerkzeugen (System für eine richtige Reaktion) und wo Änderungen aufgrund eines erneuten Bildens von Software in der Fabrik getestet werden können, um die Ablaufzeit zur Implementierung bei einer gegebenen Spurinstallation zu reduzieren. Somit wird eine Software für jede gegebene Installation vorzugsweise aus denselben Bibliotheksfunktionen, generischen Bibliotheksprogrammen oder Funktionsblöcken, die Schalter, Hauptleitungssignale, winzige Signale und so weiter darstellen, gebildet.
  • 3 zeigt das Verriegelungs-Steuersystem 1 mit einer nicht kritischen PLC C und zwei sicherheitskritischen PLCs A und B. Beide PLCs A und B sind mit einem Ausgangsrelais 6', 6'' und einem Strommodul 7', 7'' verbunden. Der Anschluss des Steuersystems 1g für das Leuchten der grünen Lampe 10g ist gezeigt. 4 zeigt das Anschlussschema 1r zum Erleuchten eines Signals für rotes Licht.
  • Die Mensch/Maschinen-Schnittstelle für das Steuersystem ist in 5 schematisch diagrammmäßig gezeigt. Die Figur zeigt, dass es normalerweise drei unterschiedliche Jobkategorien gibt, die das Verriegelungssystem betreiben. Sie haben Zugriff auf unterschiedliche Teile des Systems, wie es gezeigt ist.
  • Ein Fernbedienungs-Betreiber 71 ist bei der Zugbetreiberzentrale angeordnet und betreibt das Verriegelungssystem durch die CTC 70 (zentralisierte Zugsteuerung). Die lokale Zugsteuerung 54 betreibt die Station manuell von einem lokalen Bewegungspult/Signalgabemenschpult 9 aus. Autorisierte Spezialisten können eine Störungssuche mit einer Verwendung einer technischen Workstation 56 durchführen, um Daten von der Protokolliereinheit/dem Protokollier-PC 57 zu erlangen.
  • Die CTC ist ein System, das die Züge elektronisch überwacht. Im zentralisierten Steueramt bekommt der entfernte Zugbetreiber 71 – der den Zug auf einem Weg langer Entfernung, d.h. über mehrere Stationen bzw. Bahnhöfe, überwacht – die Information über die genaue Position des Zugs. Der entfernte Steuerbetreiber gibt Anordnungen zum Steuern des Zugs beispielsweise bei einer spezifischen Station. Aber das Verriegelungssystem bei dieser spezifischen Station handhabt nach der ausfallsicheren Funktionalität und sendet eine Rückkopplung zu der CTC, dass die Anordnungen ausgeführt worden sind. Eine lokale Zugbetriebssteuerung wird mittels einem lokalen Bewegungspult 9 ausgeführt, die physikalisch in einem vorderen Raum 52 des Relaishauses 51 angeordnet ist, das bei der Station platziert ist. Die Zugsteuerung 54 kann den Zug bei dieser bestimmten Station betreiben, nachdem die Station für eine manuelle Steuerung freigegeben ist. Ebenso handhabt das Verriegelungssystem in dieser Situation die ausfallsichere Funktionalität bei dieser Station und sendet eine Rückkopplung zu einem lokalen Bewegungspult, dass die Anordnungen ausgeführt worden sind.
  • Eine technische Workstation 56 und ein Protokollier-PC 57 sind physikalisch im Innenraum 53 des Relaishauses 51 platziert. Nur Spezialisten 55 haben eine Erlaubnis zum Entriegeln des Raums mit einem Schlüssel. Von der technischen Workstation können sowohl eine Korrektur von Fehlern als auch Änderungen bezüglich der Anwendungssoftware durchgeführt werden. Um einen Zugriff auf die technische Workstation zu haben, benötigt man auch ein Passwort. Es kann drei unterschiedliche Ebenen geben, um diesen Zugriff zu erlangen:
    eine Störungssuche, ein Herunterladen einer Softwaresicherung, Änderungen bezüglich der Software.
  • Der Protokollier-PC überwacht die Verriegelungsinstallation und speichert alle Alarme und Ereignisse, beispielsweise auf einer oder mehreren Festplatten. Weder der Protokollierer noch das Verriegelungssystem kann von diesem PC manipuliert werden. Der Protokollier-PC ist durch ein Passwort geschützt.
  • 6 zeigt auf eine schematische Art die unterschiedlichen Teile der normalerweise drei PLCS in einem Verriegelungsteil des Steuersystems. Insbesondere zeigt sie die internen Schnittstellen und externen Schnittstellen des Verriegelungssystems. Eine interne Systemschnittstelle kann als die Schnittstelle innerhalb des Relaishauses definiert werden, wie es gezeigt ist. Schnittstellen, die nicht lokal untergebracht sind, z.B. nicht im Relaisgehäuse angeordnet sind, sind in Kästen angezeigt, die mit einer gestrichelten Linie angeordnet sind, wie beispielsweise für CTC 70 und eine GPS-Einheit 67. 6 zeigt die Kommunikation zwischen internen Schnittstellen:
    • – die drei PLCs, nämlich PLC A, B und C, sind mit demselben Ethernet 2 verbunden. Die Kommunikation kann redundant oder "nicht redundant" sein;
    • – jede CPU und I/O der PLCs, wo die lokale I/O auf einem Modulbus kommuniziert. Die entfernte I/O kommuniziert auf einem Profibus oder einem verteilten Profibus. Die Kommunikation kann redundant sein (siehe 8) oder "nicht redundant" (siehe 6), und die Figur zeigt entfernte I/O-Einheiten 89, 90 für die PLC A über einen redundanten Anschluss eines Profibusses 83r verbunden (siehe auch dieselben Bezugszeichen, die dieselben Vorrichtungen/Funktionen in 8 bezeichnen);
    • – die PLCs und die technische Workstation, wo die technische Workstation 56 mit der PLC A, B und C auf einem Ethernet 2'' kommuniziert;
    • – die PLCs und der Protokollier-PC, wobei PLC A, B und C Alarme und Ereignisse zu dem Protokollier-PC 57 auf einer RS232-Leitung, wie beispielsweise 65a–c, sendet;
    • – die PLC C und das lokale Bewegungspult, wobei das lokale Bewegungspult 9 mit der PLC C auf einer I/O oder jeweils einem Ethernet 2'' kommuniziert (wie es in 2 gezeigt ist).
  • Eine externe Systemschnittstelle kann als Schnittstelle beschrieben werden, die außerhalb des Relaisgehäuses angeordnet ist. 6 zeigt eine Kommunikation zwischen dem Verriegelungsteil des Steuersystems und externen (äußeren) Schnittstellen, wie beispielsweise:
    • – I/O-Einheiten und einer Außenausrüstung, was Spurabschnitts-Relaiskontakte, Leitungsblockrelais, Schalter, eine Schalterverriegelung, Kontakte zum Bekommen einer Rückkopplung von der Position der Schalter, etc. bedeutet;
    • – eine Kommunikation zwischen der PLC C (3) und der CTC 70 auf dem Ethernet, RS232 oder mit IO (einer Schnittstelle zu einem anderen Typ einer Unterstation;
    • – PLC C und GPS 67, wobei die PLC C Signale von einer GPS-Antenne auf RS232 empfängt, um den Takt zu synchronisieren;
    • – eine Kommunikation mit anderen Verriegelungssystemen (Nachbarstationen) wird unter Verwendung von Verdrahtungsverbindungen mit dem Leitungsblock ausgeführt, aber in der Zukunft hat das Steuersystem eingebaute Möglichkeiten zum Verwenden eines elektronischen Leitungsblockanschlusses auf einem Bus oder auf einer Funkverbindung. Die Kommunikation wird überwacht und im Falle eines Kommunikationsfehlers wird das Steuersystem zu einem sicheren Mode geschaltet, bis der Kommunikationsfehler repariert worden ist.
  • 7 zeigt eine Übersicht für Außenschnittstellen eines lokalen Verriegelungs-Steuersystems und eine Beziehung zu anderen Steuersystemen für einen Abschnitt einer Eisenbahn. Die Figur zeigt ein Verriegelungssystem 1, das mit einem oder mehreren anderen Verriegelungssystemen 1', mit Außenobjekten wie z.B. 100 (und wie beispielsweise der I/O und einer Außenausrüstung, was Spurabschnitts-Relaiskontakte, Leitungsblockrelais, Schalter, Verriegelung-Verriegelung, Kontakte zum Bekommen einer Rückkopplung von der Position der Schalter, etc., die oben angegeben sind, bedeutet) und mit einem CTC-70-System verbunden. Das CTC-System 70 ist mit anderen CTC-Systemen 70', mit einer Eisenbahn-Fahrplan- bzw. -Zeitplan-Datenbank 170, mit Informationssystemen (PUB) 180 und mit technischen Energiesystemen 190 verbunden. Der Verriegelungsteil des Systems kann auch in Kommunikation mit einem rollenden Gerät 300 (einem Zug) oder einem Maschinen- bzw. Motorantrieb sein.
  • Bei der besten Verwendung der Erfindung ist die Objektsteuereinheit oder I/O-Karte vorzugsweise ein Typ, wie beispielsweise das als DO822 oder später bekannte ABB-Produkt, und die Kommunikationseinheit ist vorzugsweise die ABB-Einheit vom AC-800M-Typ oder einem neueren Typ.
  • 8 zeigt ein Verriegelungs-Steuersystem mit drei PLCs und mit Modulen und Gruppen bzw. Clustern, die durch Datennetzwerke und/oder Feldbusse verbunden sind, gemäß einem bevorzugten Ausführungsbeispiel der Erfindung. 8 ist eingerichtet, um eine Anordnung für nur eine PLC im Detail zu zeigen, und das Beispiel ist nummeriert worden, um der Einfachheit halber Anschlüsse für nur die PLC A zu zeigen; die Anordnung für B kann identisch sein, und dies könnte auch für die Anordnung für die nicht kritische PLC C so sein. 8 zeigt eine redundante Konfiguration von zwei PLCs, nämlich von der PLC A 4 und von einer redundanten PLC für A mit einem Bezugszeichen 4r (siehe auch 2). Ein redundanter Bus 80 zwischen den Haupt- und Sicherungs-PLCs, der ein CEX-(zyklisch ausführender)-Bus sein kann, ist die PLC A 4 und die Sicherungs-PLC 4r verbindend gezeigt. Ebenso ist ein erster Busanschluss, ein redundanter Profibusanschluss 83r, zwischen den zwei PLCs 4, 4r gezeigt. Die PLC A 4 ist mit einem Ethernet-Netzwerk 2 (wie beispielsweise Ethernet-TCP/IP, 10 Mbps) verbunden, wie es auch die redundante oder Sicherungs-PLC 4r ist. Eine redundante Profibus-Master-Schnittstelleneinheit 86 ist derart angeordnet gezeigt, dass sie mit beiden PLCs 4 und 4r verbunden ist. Die PLC A ist auch schematisch derart angeordnet, dass sie über einen Modulbus 82 mit einem Cluster 87 von I/O-Kommunikationseinheiten verbunden ist, welches Cluster jeweils bis zu 12 Kommunikationseinheiten enthalten kann. Der Modulbus 82 kann auch mit einem redundanten CEX-Bus 81 angeordnet sein, wie es gezeigt ist.
  • Entfernte I/O-Kommunikationen zwischen der PLC A und externen Objekten sind als Profibus-Feldbus 83 mit Verbindungen zu entfernten I/O-Stationen 90, 89 angeordnet gezeigt. Ein Cluster einer entfernten I/O-Station kann bis zu 24 Kommunikationseinheiten enthalten. Bei der gezeigten Anordnung können bis zu 99 solche entfernten I/O-Stationen auf diese Weise durch denselben Feldbus verbunden sind. Ebenso sind lokale I/O-Cluster 84, 85 gezeigt, die mittels eines Feldbusses oder eines Datenbusses, wie beispielsweise eines Modulbusses, mit der PLC A verbunden sind. Die gezeigte Anordnung kann bis zu 12 Kommunikationseinheiten pro lokalem I/O-Cluster und bis zu 7 separaten I/O-Cluster, die auf einer Modulbusleitung mit der PLC A verbunden sein können, unterstützen. Somit können bei der in 8 gezeigten Anordnung bis zu 15.000 I/O-Kanäle durch eine PLC gesteuert werden. Die Kommunikationseinheiten-I/O-Karte kann beispielsweise unter Verwendung desselben Typs eines Softwarewerkzeugs wie einem Steuerungsbilder, der oben angegeben ist, so konfiguriert sein.
  • Auf jedes Verriegelungssystem kann mittels entweder einer direkten seriellen Datenverbindung 65 oder mittels eines Computers, der an ein Netzwerk angeschlossen ist, das an eines oder mehrere der Feldbus-Netzwerke angeschlossen ist, unter Verwendung eines eingeloggten bzw. protokollierten und autorisierten Computers in der Nähe oder in der Ferne zugegriffen werden. Es ist auch der Fall, dass die Verriegelungssysteme über irgendein Datennetzwerk (60/50), einschließlich über das Internet, mittels einer oder einer anderen von Ethernet- oder Feldbusdatenverbindungen konfiguriert sein können, vorausgesetzt, dass der eingeloggte Anwender die nötige Autorität und/oder Passwörter hat.
  • Eine Konfiguration kann auch unter Verwendung einer drahtlosen Einrichtung, wie beispielsweise eines mit IR oder mit Bluetooth ausgestatteten Computers, eines Mobilfunktelefons oder eines PDA oder einer anderen mobilen Computervorrichtung, ausgeführt werden. Ein drahtloser Knoten (nicht gezeigt) kann mit einem Datenport oder mit dem Feldbusnetzwerk verbunden sein, mit welchem die programmierbaren Steuervorrichtungen verbunden sind. Mittels des drahtlosen Knotens, der indirekt mit der programmierbaren Steuerung verbunden ist, kann die Vorrichtung drahtlos unter Verwendung derselben Vorgehensweise konfiguriert werden, wie sie hierin beschrieben sind. Irgendein drahtloses Protokoll, das zu einem Bereitstellen von zuverlässigen Übertragungen in einer Eisenbahn oder einer Umgebung vom industriellen Typ fähig ist, kann verwendet werden, einschließlich Standards oder Protokollen, wie beispielsweise Bluetooth, Wireless LAN (WLAN). Für die Kommunikation kann es weitere Anforderungen geben, die durch die Feldbusse oder andere Teile des Steuersystems auferlegt sind. Bei einem bevorzugten Ausführungsbeispiel der Erfindung basiert die verwendete Kommunikationstechnologie auf dem Bluetoothsystem. Die Tatsache, dass der Bereich einer Bluetoothvorrichtung auf ungefähr 10 m begrenzt ist, kann in Umgebungen mit vielen Funkvorrichtungen oder Bereichen, wo es sehr wichtig ist, die Funkstörpegel so niedrig wie möglich zu halten, vorteilhaft sein.
  • Die Kommunikationen von den Relais und/oder den PLCs weisen auch ein Computerdatensignal auf. Das Datensignal kann gemäß einem oder mehreren austauschbaren Formaten sein, wie beispielsweise intern formatiert als XML oder ähnliche Datei, und enthält Mittel zum Identifizieren der sendenden programmierbaren Steuerung und des Typs von Daten, wie beispielsweise eine Anzahl von Ereignissen, Alarmen, konfigurierten Schutzmaßnahmen, etc., für die programmierbare Steuerung.
  • Der Mikroprozessor (oder die Prozessoren) einer PLC oder einer anderen programmierbaren Steuerung oder einer programmierbaren Logiksteuerung (PLC) weist wenigstens eine zentrale Verarbeitungseinheit CPU auf, die Schritte zur Realisierung der Erfindung durchführt. Dies wird mit der Hilfe von einem oder mehreren Computerprogrammen durchgeführt, die wenigstens zu einem Teil in einem Speicher gespeichert sind, auf den durch den Prozessor zugegriffen werden kann. Es ist zu verstehen, dass irgendeines der Computerprogramme auf einer industriellen Steuerung oder auf einem oder mehreren industriellen Mikroprozessoren oder Computern für allgemeine Zwecke laufen gelassen werden kann, anstelle von einem oder mehreren speziell angepassten Computern oder Prozessoren, FPGAs (feldprogrammierbaren Gatearrays) oder ASICs (anwendungsspezifische integrierte Schaltungen oder andere Vorrichtungen, wie beispielsweise einfache programmierbare Logikvorrichtungen (SPLDs), komplexe programmierbare Logikvorrichtungen (CPLDs), feldprogrammierbare Systemchips (FPSCs).
  • Das Computerprogramm oder die Computerprogramme, wie beispielsweise die erste Softwareanwendung oder die zweite Softwareanwendung weist Computerprogramm-Codeelemente oder Softwarecodeteile auf, die veranlassen, dass der Computer, die CPU oder der Prozessor Schritte zur Realisierung der Erfindung unter Verwendung von Gleichungen, Algorithmen, Daten und Berechnungen durchführt. Ein Teil eines Programms kann in einem Prozessor gespeichert sein, wie oben, aber auch in einem ROM, einem RAM, einem PROM, einem EPROM oder einem EEPROM-Chip oder einer ähnlichen Speichereinrichtung. Das oder ein Programm kann teilweise oder insgesamt auch auf oder in einem anderen geeigneten computerlesbaren Medium gespeichert sein, wie beispielsweise einer Magnetplatte, einem CD-ROM oder einer DVD-Platte, einer Festplatte, einer magnetooptischen Speicherungseinrichtung, in einem flüchtigen Speicher, in einem Flash-Speicher, als Firmware, oder auf einem Datenserver gespeichert sein. Entfernbare Speichermedien, wie beispielsweise entfernbare Festplatten, Blasenspeichervorrichtungen, Flashspeichervorrichtungen und kommerziell erhältliche entfernbare Medien eines Einzelunternehmens, wie beispielsweise der Memorystick von Sony und Speicherkarten für digitale Kameras, Videokameras und ähnliches, können auch vorhanden sein und in einem Teil des Steuersystems verwendet werden.
  • Bei einem weiteren Ausführungsbeispiel der Erfindung kann die grafische Anwenderschnittstelle oder eine andere HMI, wie beispielsweise ein lokales Bewegungspult 9 und/oder lokale 56 oder entfernte 70 Anschlüsse, wenigstens teilweise als Berührungsbildschirm verkörpert sein. In diesem Fall können Textzeilen oder Bilder, die in der Anzeige eines bevorzugten Ausführungsbeispiels enthalten sind, und Einrichtungen, wie beispielsweise Auswahl- oder Navigationstasten und jedes Verriegelungssystem oder I/O-Anschlüsse pro Verriegelungssystem als Bilder auf einem Berührungsbildschirm verkörpert sein. Ein Betrieb kann gemäß dem obigen Vorgehen ausgeführt werden, aber mittels von Berührungsteilen des Bildschirms anstelle von Drucktasten oder durch Klicken mit einer Computermaus oder einer andere Zeige-/Auswahlvorrichtung ausgeführt werden.
  • Eine oder mehrere der Client-Anwendungen der HMI kann als schlanker Client unter Verwendung eines strukturierten Textdokuments oder einer Datei implementiert sein, um irgendetwas von CIM/XML-Information, Argumenten, Variablen, Adressen, Verbindungen, abbildbaren Objekten, ausführbaren Anwendungen oder Applets oder beispielsweise einem auf HTML oder einem anderen WWW, basierend auf einem HTML-Ableitungsprotokoll oder einem XML-Protokoll implementiert sein. Das strukturierte Textdokument oder das Dateiformat berücksichtigt ein Handhaben einer grafischen Anwenderanzeige und von Aktivierungsfunktionen des HMI-Clients. Aktivierungsfunktionen beziehen sich auf Funktionen in der Web-Seite oder der Web-Client-Anzeige, die durch ausführbare Anwendungen oder Applets ausgeführt wird, die als JavaTM oder ähnliches implementiert sein können. Mittels einer solchen schlanken Client-Version der HMI mit einer Architektur, wie sie beispielsweise oben beschrieben ist, kann ein Anwender oder ein Techniker einen Status oder Daten untersuchen, einen Parameter konfigurieren, Einstellstellen ändern und/oder Befehle ausgeben, und zwar entfernt von irgendeinem Objekt, für welches er/sie eine Autorität hat, um dieses über die HMI-Schnittstelle durchzuführen.
  • Es sollte beachtet werden, dass, während das Obige beispielhafte Ausführungsbeispiele der Erfindung beschreibt, es mehrere Variationen und Modifikationen gibt, die an der offenbarten Lösung durchgeführt werden können, ohne vom Schutzumfang der vorliegenden Erfindung abzuweichen, wie er in den beigefügten Ansprüchen definiert ist.
  • Bei einem Ausführungsbeispiel sind zwei zusätzliche Sicherheitsgrenzen in einem Steuersystem der drei PLCs zum Überwachen der sicheren Operation der sicherheitskritischen PLCs PLC A und B umfasst. Gegensätzlich zu dem früheren Verriegelungssystem, das NSB-94 genannt wird, werden zwei zusätzliche Sicherheitsrelais verwendet, die als zusätzliche Grenzen zum Verhindern einer fehlerhaften Operation arbeiten, wie beispielsweise dafür, dass kein unrichtiges grünes Licht auftritt. Das Sicherheitsrelais und eine dynamische Überwachung sind in 9 gezeigt.
  • 9 zeigt bei diesem Beispiel für die PLC A Funktionen 92, 92' für eine dynamische Überwachung und zusätzliche zwei Sicherheitsrelais 95, 96, die in Reihe geschaltet sind. Eine Ausgabe 19 von der PLC A wird bei DO 810 überwacht. Eine Anwendungsfunktion, die WD.COM.A(B) genannt wird, überwacht, dass die CPU der PLCs eine richtige Kommunikation mit den I/O-Modulen hat. Eine zweite Funktion, die WD.ACKNOW.A(B) genannt wird, überwacht, dass die Rückkopplung der Bestätigungskontakte der Ausgänge der Sicherheitsrelais in Übereinstimmung mit dem Relaisprogrammstatus ist. Die Relais 93, 94 sind aufgrund einer Zulassung eines einzelnen Fehlers gemäß einer verfügbaren Priorität parallel geschaltet (d.h. mit dem Prinzip einer Auswahl von 1 aus 2). 9 zeigt aktive Stromspulen. Wenn das System fehlerlos ist, sendet die CPU der PLC A Pulse 99 über DO810 zu der Überwachungseinheit EBW-AZ aus. Die Standardrelais 93, 94 in EBW-AZ sind NO/NE. Dies bedeutet einen Betriebskontakt und die Spule ist normalerweise mit Strom aktiv. Der Betriebskontakt und die Spule haben normalerweise einen Kontakt. Die Kontakte der Sicherheitsrelais 95, 96 sind auch NO/NE.
  • Wenn ein Frequenzpuls in EBW-AZ erfasst wird, berechnet die Einheit, dass das System ok ist, die Spule mit Strom aktiv ist und der Kontakt in EBW-AZ hergestellt ist, wie es gezeigt ist. Die Sicherheitsrelaisspule ist nun mit Strom aktiv und die Kontakte führen Strom. Energie zu einem grünen Licht 10g wird durch eine andere Versorgung 98 bei 220/170 V AC von den Stopp/Wartesignalen geliefert, wie es oben beschrieben ist. Wenn das Signal 91 von der PLC A über DO810 ständig niedrig oder hoch ist (und nicht pulsiert), trennen sich die Kontakte in EBW-AZ und führen keinen Strom. Das Ergebnis besteht darin, dass die Kontakte der Sicherheitsrelais 95, 96 sich trennen und dann keinen Strom zu der grünen Lampe 10g führen können. Auf diese Weise wird der Betrieb jeder PLC A, B durch die anderen PLC B, A geprüft, um sicherzustellen, dass irgendeine Trennung bezüglich der Kommunikation in der Verhinderung von irgendeinem grünen Signal resultiert.
  • Bei einem weiteren Ausführungsbeispiel kann der CEX-Bus auf einer einfachen zyklischen, einer zeitbasierenden zyklischen, einer mehrfachratigen zyklischen Aufgabe oder anderem basieren. Er kann durch Abrufen von nur I/O arbeiten oder er kann entwickelt sein, um sowohl mit einem Abrufen von I/O als auch mit Unterbrechungen zu arbeiten.
  • Bei einem weiteren Ausführungsbeispiel kann eine drahtlose Kommunikation zwischen einem Verriegelungssystem und einer rollenden Ausrüstung/einem Maschinentreiber 300 zum kommunizieren eines Status eines Verriegelungssystems oder einer Ausrüstung, die durch das Verriegelungssystem gesteuert wird, zu einer rollenden Ausrüstung, einem Zug, einem Wartungsfahrzeug oder einem Zugfahrer oder einem anderen Fahrzeug, das auf einer Eisenbahnspur oder daneben arbeitet, verwendet werden. Anderes ausgedrückt kann ein Prozess, der auf einem Computer und/oder einem Betreiber an Bord eines Zugs, wie beispielsweise eines Zugfahrers, läuft, Information über den Status eines Signals oder von Stellen oder irgendetwas anderes, wie beispielsweise eine Eisenbahnausstattung, die durch ein Verriegelungssystem überwacht oder gesteuert wird, mittels einer drahtlosen Kommunikation empfangen.

Claims (26)

  1. Steuersystem für Eisenbahnfahrzeuge mit einer Vielzahl von programmierbaren Steuervorrichtungen, die zum Steuern von Signalen für eine Eisenbahnsignalgabe angeordnet sind, wo zwei der PLC-Vorrichtungen (4, 5) jeweils in einem Verriegelungssystem (1b) angeordnet sind, um ein Signal zum Steuern einer Signaloperation auf wenigstens einen Teil von einer oder mehreren Eisenbahnspuren (100) zu liefern, welche PLC-Vorrichtungen mit wenigstens einer Kommunikationseinheit (87) verbunden sind, dadurch gekennzeichnet, dass es ein Verriegelungssystem aufweist, das mit einer redundanten sicherheitskritischen PLC-Vorrichtung (4, 5) angeordnet ist, der eine redundante Energieversorgung zugeführt wird und die durch redundante Computerprogramme gesteuert wird.
  2. System nach Anspruch 1, gekennzeichnet durch ein Verriegelungssystem, in welchem die erste PLC durch eine erste Softwareanwendung gesteuert wird und die zweite PLC durch eine zweite und andere Softwareanwendung gesteuert wird.
  3. System nach Anspruch 2, dadurch gekennzeichnet, dass die erste Softwareanwendung und die zweite Softwareanwendung jeweils gemäß einer anderen Programmiersprache ausgebildet sind.
  4. System nach Anspruch 3, dadurch gekennzeichnet, dass die erste und die zweit Softwareanwendung separat ausgeführt werden und auf eine verschiedene Weise arbeiten.
  5. System nach Anspruch 4, dadurch gekennzeichnet, dass wenigstens eine der ersten oder der zweiten Softwareanwendung Software in der Form eines Programmblocks oder eines Funktionsblocks zum Ausführen einer vorbestimmten Steuer- oder Betriebsfunktion aufweist.
  6. System nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens eine der Kommunikationseinheiten der Vielzahl von Kommunikationseinheiten, die mit einer Verriegelungs-PLC (4, 5) verbunden sind, zum Bereitstellen einer lokalen Verbindung und/oder einer entfernten Verbindung konfigurierbar angeordnet ist.
  7. System nach Anspruch 6, dadurch gekennzeichnet, dass die Kommunikationseinheit eine Einrichtung zum Handhaben einer Kommunikation mittels irgendeines von zwei oder mehreren Kommunikationsprotokollen hat, welche irgendeines aus der Liste von folgendem sein können: Ethernet, Modulbus, Profibus, RS232-seriell.
  8. System nach Anspruch 6, dadurch gekennzeichnet, dass die lokale Verbindung eine I/O-Kommunikation über einen Feldbus mit irgendetwas aus der folgenden Liste aufweist: eine CTC (70), ein Manövrier- bzw. Bewegungspult (9), eine Computer-Workstation (56), einen Datenprotokolliercomputer (57), eine GPS-(67)-Antenne.
  9. System nach Anspruch 6, dadurch gekennzeichnet, dass die entfernte Verbindung eine I/O-Kommunikation über einen Feldbus mit irgendetwas aus der folgenden Liste aufweist: einen Schalter, ein Hauptsignal, ein winziges Signal, eine Spurseitenausrüstung, und zwar für die eine oder mehrere Spuren.
  10. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Feldbusverbindung eine redundante Verbindung ist.
  11. System nach Anspruch 1, gekennzeichnet durch eine Einrichtung für eine Auswahl von 1 aus 2 in jedem Verriegelungssystem (1b), so dass die erste PLC wenigstens ein Steuersignal für eine Signaloperation bei dem Ereignis senden soll, dass die zweite PLC fehlschlägt.
  12. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass es ein Verriegelungssystem aufweist, in welchem eine erste PLC relativ zu einer zweiten PLC in einer separaten Umfassung separat umfasst ist, obwohl die beiden Vorrichtungen angeordnet sind, um dieselben Operationen auszuführen.
  13. System nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens ein Verriegelungssystem mit einer PLC, einer programmierbaren Steuerung (3), verbunden angeordnet ist, die nicht sicherheitskritisch sein kann.
  14. System nach Anspruch 13, wobei eine nicht sicherheitskritische programmierbare Steuerungsvorrichtung zur Kommunikation mit wenigstens einem Verriegelungssystem (1b, 4, 5) und irgendeinem eines Fernbedienungszentrums (71) oder eines lokalen Steuerzentrums (84) angeordnet ist.
  15. System nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens eine sicherheitskritische PLC (4, 5) eines Verriegelungssystems zwei Sicherheitsrelais (95, 96) aufweist, die eine Kommunikationsausgabe (91) überwachen und eine Grenze in dem Fall eines Kommunikationsfehlers zur Verfügung stellen.
  16. System nach Anspruch 6, dadurch gekennzeichnet, dass wenigstens eine der Vielzahl von Kommunikationseinheiten (87) mit Ausgangsverbindungen zu einem oder mehreren Sicherheitsrelais (95, 96) angeordnet bzw. eingerichtet ist.
  17. System nach Anspruch 6, dadurch gekennzeichnet, dass wenigstens eine der Vielzahl von Kommunikationseinheiten (I/O-Karten) mit Eingangskontakten für eine Strommessung angeordnet bzw. eingerichtet ist.
  18. System nach Anspruch 17, dadurch gekennzeichnet, dass wenigstens eine der Vielzahl von Kommunikationseinheiten (I/O-Karten) eine oder mehrere Eingabe/Ausgabeeinrichtungen für eine serielle Datenübertragung (65a–e) und eine oder mehre Verbindungen für einen Feldbus (81, 82, 83, 83r) aufweist.
  19. System nach Anspruch 17 oder 18, dadurch gekennzeichnet, dass es eine erste Energieversorgung für Signale für ein Zulassen zum Gehen und eine zweite und separate Energieversorgung für Stopp- oder Warteanweisungen aufweist.
  20. System nach Anspruch 1, dadurch gekennzeichnet, dass es eine Energieversorgung aufweist, die von einem Energienetz versorgt wird, und eine Energieversorgung, die über eine nicht unterbrechbare Energieversorgung versorgt wird.
  21. System nach Anspruch 1, dadurch gekennzeichnet, dass es wenigstens ein lokales Manövrier- bzw. Bewegungspult (9) aufweist, die zum Steuern von einem oder mehreren Verriegelungssystemen (1b) angeordnet ist.
  22. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass jedes Verriegelungssystem (1b) angeordnet ist, um zu einem sicheren Stoppzustand zu schalten, und in dem Fall zu warten, dass eine Kommunikationsverbindung (83, 83r, 2) zwischen dem Verriegelungssystem und einer entfernten Verbindung fehlschlägt.
  23. Computerdatensignal zur Betätigung eines Steuersystems für Eisenbahnfahrzeuge mit einer Vielzahl von programmierbaren Steuervorrichtungen die zum Steuern von Signalen für eine Eisenbahnsignalgabe angeordnet sind, wobei die zwei PLC-Vorrichtungen (4, 5) jeweils in einem Verriegelungssystem (1b) angeordnet sind, um ein Signal zum Steuern einer Signaloperation auf wenigstens einem Teil von einer oder mehreren Eisenbahnspuren (100) zu liefern, welche PLC-Vorrichtungen jeweils mit wenigstens einer Kommunikationseinheit (87) verbunden sind, die in einer Trägerwelle verkörpert ist, dadurch gekennzeichnet, dass das Signal Eingangsdaten oder Werte für eine oder mehrere konfigurierte Funktionen (6, 6'') aufweist, die zu und/oder von der programmierbaren Steuervorrichtung (4, 5) kommuniziert sind und auf einer Anzeigevorrichtung lokal (9) und/oder einer anderen Vorrichtung (50, 60, 70) entfernt anzeigbar sind.
  24. Grafische Anwenderschnittstelle eines Steuersystems für Eisenbahnfahrzeuge mit einer Vielzahl von programmierbaren Logiksteuervorrichtungen, die zum Steuern von Signalen für eine Eisenbahnsignalgabe angeordnet sind, wobei die zwei PLC-Vorrichtungen (4, 5) jeweils in einem Verriegelungssystem (1b) angeordnet sind, um ein Signal zum Steuern einer Signaloperation auf wenigstens einem Teil von einer oder mehreren Eisenbahnspuren (100) zu liefern, welche PLC- Vorrichtungen jeweils mit wenigstens einer Kommunikationseinheit (87) verbunden sind, dadurch gekennzeichnet, dass sie eine Darstellung von zwei oder mehreren der PLC-Vorrichtungen und/oder von einer oder mehreren konfigurierten Funktionen (6', 6'') der PLC-Vorrichtungen zur Anzeige auf einer Anzeigevorrichtung lokal (9) und/oder entfernt (50, 56, 60, 70) aufweist.
  25. Grafische Anwenderschnittstelle nach Anspruch 24, dadurch gekennzeichnet, dass sie eine Darstellung von zwei oder mehreren der PLC-Vorrichtungen und/oder von einer oder mehreren konfigurierten Funktionen der Vorrichtungen kombiniert mit einer Darstellung (102110) eines Eisenbahnabschnitts (100) zur Anzeige auf eine Anzeigevorrichtung (9, 56) aufweist.
  26. Grafische Anwenderschnittstelle nach Anspruch 24, dadurch gekennzeichnet, dass sie eine Darstellung von zwei oder mehreren der PLC-Vorrichtungen und/oder von einer oder mehreren konfigurierten Funktionen der Vorrichtungen kombiniert mit einer Darstellung (102110) eines Eisenbahnabschnitts (100) zur Anzeige auf einer entfernten Anzeigevorrichtung, die an Bord eines Zuges läuft, mittels drahtloser Kommunikation aufweist.
DE202005020802U 2004-11-15 2005-06-16 Steuersystem für Schienenfahrzeuge Expired - Lifetime DE202005020802U1 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US62717004P 2004-11-15 2004-11-15
US627170 2004-11-15
PCT/IB2005/001703 WO2006051355A1 (en) 2004-11-15 2005-06-16 A control system, a method to operate a control system, a computer data signal and a graphical user interface for rail-borne vehicles

Publications (1)

Publication Number Publication Date
DE202005020802U1 true DE202005020802U1 (de) 2007-03-15

Family

ID=36336249

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202005020802U Expired - Lifetime DE202005020802U1 (de) 2004-11-15 2005-06-16 Steuersystem für Schienenfahrzeuge

Country Status (2)

Country Link
DE (1) DE202005020802U1 (de)
WO (1) WO2006051355A1 (de)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2125482A1 (de) * 2006-12-22 2009-12-02 Central Signal, LLC Vitale festkörpersteuerung
DE202009007866U1 (de) 2009-03-03 2010-07-22 Gebhardt Automation Gmbh Sicherheitsrelaismodul
US8028961B2 (en) 2006-12-22 2011-10-04 Central Signal, Llc Vital solid state controller
DE102013208845A1 (de) * 2013-05-14 2014-11-20 Siemens Aktiengesellschaft Verfahren und Einrichtung zum Steuern und/oder zum Überwachen eines Verkehrsnetzwerks und Verkehrsnetzwerk
US9026283B2 (en) 2010-05-31 2015-05-05 Central Signal, Llc Train detection
CN109249958A (zh) * 2018-09-11 2019-01-22 合肥康辉医药科技有限公司 一种计算机辅助连锁系统
DE102021110316A1 (de) 2021-04-22 2022-10-27 Zf Cv Systems Global Gmbh Redundante PLC-Signale Evaluation
EP4198659A1 (de) * 2021-12-14 2023-06-21 Atos Worldgrid Steuerungssystem und verfahren mit hoher verfügbarkeit für einen industriellen prozess

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005013194A1 (de) * 2005-03-16 2006-09-21 Siemens Ag Bedienplatzsystem
DE102008009746A1 (de) * 2008-02-18 2009-08-27 Deutsche Bahn Ag Verfahren zur Realisierung einer universellen Streckensicherungstechnik mittels industriell verfügbarer SPS-Komponenten
EP2242214B1 (de) * 2008-12-10 2018-05-23 Siemens Schweiz AG Redundanzverfahren für ein spezialisiertes Datennetzwerk
CH701344A1 (de) 2009-06-23 2010-12-31 Anton Gunzinger Stellwerksteuerung.
GB2472636B (en) * 2009-08-14 2015-06-17 Siemens Rail Automation Holdings Ltd Railway signalling systems
GB2485189B (en) * 2010-11-04 2015-10-21 Tube Lines Ltd Device for controlling traffic crossing a rail junction
CN102012819B (zh) * 2010-12-06 2013-01-23 南京恩瑞特实业有限公司 用于轨道交通联锁系统的软件架构的实现方法
CZ2011142A3 (cs) * 2011-03-17 2012-05-23 Ažd Praha S. R. O. Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku
CN102275599A (zh) * 2011-05-16 2011-12-14 铁道部运输局 无配线站集中控制系统和计算机联锁终端
DE102011117589A1 (de) * 2011-11-03 2013-05-08 Knorr-Bremse Systeme für Schienenfahrzeuge GmbH Einheit mit Schaltfunktion für Ethernet
US9128815B2 (en) 2013-01-14 2015-09-08 Thales Canada Inc Control system for vehicle in a guideway network
CN103341879A (zh) * 2013-06-26 2013-10-09 江苏亨特宏业重工有限公司 铝箔分切分卷设备的控制参数输入装置
JP6325375B2 (ja) * 2014-07-08 2018-05-16 株式会社京三製作所 閉そく制御システム
FR3030793B1 (fr) * 2014-12-19 2018-02-16 Clearsy Procede d'arret d'urgence et systeme securitaire associe
CN104914816A (zh) * 2015-04-16 2015-09-16 潘小胜 一种基于linux平台的铁路联锁机柜组自动控制装置
CN104890701B (zh) * 2015-06-26 2017-01-18 杭州路信科技有限公司 铁路车站的通信联锁系统
FR3039907B1 (fr) * 2015-08-03 2017-09-08 Alstom Transp Tech Dispositif d'acquisition de donnees optimise pour vehicule ferroviaire comprenant au moins deux modules d'acquisition et un voteur
FR3044458B1 (fr) * 2015-12-01 2018-06-15 Schneider Electric Industries Sas Systeme de securite automatise d'une installation industrielle
NL2018835B1 (nl) * 2016-05-05 2018-02-14 Volkerrail Nederland Bv Relaishuis of relaiskasthuis met EtherCat systeem.
CN107643928B (zh) * 2016-07-22 2021-02-09 卡斯柯信号有限公司 动态控制多标准铁路信号显示图形符号的装置及方法
CN106371398B (zh) * 2016-12-07 2019-03-29 沈阳铁路局科学技术研究所 一种基于三层逻辑联锁的动车登顶作业安全卡控系统
DE102016225424A1 (de) * 2016-12-19 2018-06-21 Siemens Aktiengesellschaft Eisenbahnanlage sowie Verfahren zu deren Betrieb
DE102017203220A1 (de) * 2017-02-28 2018-08-30 Siemens Aktiengesellschaft Umschaltung zwischen Element-Controllern im Bahnbetrieb
DE102017203222A1 (de) * 2017-02-28 2018-08-30 Siemens Aktiengesellschaft Umschaltung zwischen Element-Controllern im Bahnbetrieb
FR3077664A1 (fr) 2018-02-02 2019-08-09 Alstom Transport Technologies Systeme d'elaboration d'un programme de signalisation ferroviaire et procede d'elaboration associe
LT3549842T (lt) * 2018-04-06 2022-07-25 Thales Management & Services Deutschland Gmbh Traukinių eismo reguliavimo sistema ir maršrutų bei traukinių eismo reguliavimo sistemos būsenos indikacijos saugaus rodymo būdas
DK3549841T3 (da) * 2018-04-06 2022-06-27 Thales Man & Services Deutschland Gmbh Togtrafikstyringssystem og fremgangsmåde til udførelse af sikkerhedskritiske operationer i et togtrafikstyringssystem
CN109005477A (zh) * 2018-09-17 2018-12-14 兰州交通大学 铁路信号数字化轨旁安全通信装置及方法
CN109932975B (zh) * 2019-04-04 2020-11-24 江西理工大学 一种永磁磁浮道岔的智能控制器
CN110398949B (zh) * 2019-05-15 2022-04-05 中铁检验认证中心有限公司 一种基于黑箱测试的高速铁路列车运行控制系统的测试平台
US11240061B2 (en) 2019-06-03 2022-02-01 Progress Rail Locomotive Inc. Methods and systems for controlling locomotives
CN112078630B (zh) * 2020-08-25 2022-10-18 通号城市轨道交通技术有限公司 一种列车控制系统
CN112130521B (zh) * 2020-09-22 2021-04-20 郑州嘉晨电器有限公司 一种用于工程机械安全操控的控制装置
CN112782966A (zh) * 2020-12-30 2021-05-11 卡斯柯信号有限公司 一种用于轨道交通信号控制的零散设备驱动系统
CN112952770A (zh) * 2021-01-26 2021-06-11 上海地铁维护保障有限公司 一种智能化安全断/送电系统及方法
CN114348057B (zh) * 2021-12-14 2024-03-19 青岛海信微联信号有限公司 一种主备决策控制设备和系统、轨道交通控制区域控制器
CN114280918A (zh) * 2021-12-29 2022-04-05 交控科技股份有限公司 多方向联锁倒切系统和轨道控制系统
CN114518724B (zh) * 2022-01-28 2023-04-28 弥费科技(上海)股份有限公司 一种适用于amhs系统的通讯装置及通讯方式

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB1489921A (en) * 1974-01-25 1977-10-26 Westinghouse Brake & Signal Railway control systems
ZA825823B (en) * 1981-08-20 1983-07-27 Westinghouse Brake & Signal Combining replicated sub-system outputs
IN160140B (de) * 1981-10-10 1987-06-27 Westinghouse Brake & Signal
US5301906A (en) * 1992-06-17 1994-04-12 Union Switch & Signal Inc. Railroad interlocking control system having shared control of bottleneck areas
SE503697C2 (sv) * 1993-01-25 1996-08-05 Novotek Ab Styrsystem för styrning av trafik innefattande diversifierade mikrodatorsystem
GB2286705B (en) * 1994-02-17 1997-05-14 Gec Alsthom Ltd Multi-processor module
AU2003268552A1 (en) * 2002-09-10 2004-04-30 Union Switch And Signal, Inc. Hot standby method and apparatus
GB0411277D0 (en) * 2004-05-20 2004-06-23 Balfour Beatty Plc Railway signalling systems

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8469320B2 (en) 2006-12-22 2013-06-25 Central Signal, Llc Vital solid state controller
US9067609B2 (en) 2006-12-22 2015-06-30 Central Signal, Llc Vital solid state controller
EP2125482A4 (de) * 2006-12-22 2011-01-19 Central Signal Llc Vitale festkörpersteuerung
US8028961B2 (en) 2006-12-22 2011-10-04 Central Signal, Llc Vital solid state controller
EP2125482A1 (de) * 2006-12-22 2009-12-02 Central Signal, LLC Vitale festkörpersteuerung
US8517316B2 (en) 2007-01-15 2013-08-27 Central Signal, Llc Vehicle detection system
US8157219B2 (en) 2007-01-15 2012-04-17 Central Signal, Llc Vehicle detection system
US8888052B2 (en) 2007-01-15 2014-11-18 Central Signal, Llc Vehicle detection system
DE202009007866U1 (de) 2009-03-03 2010-07-22 Gebhardt Automation Gmbh Sicherheitsrelaismodul
US9026283B2 (en) 2010-05-31 2015-05-05 Central Signal, Llc Train detection
DE102013208845A1 (de) * 2013-05-14 2014-11-20 Siemens Aktiengesellschaft Verfahren und Einrichtung zum Steuern und/oder zum Überwachen eines Verkehrsnetzwerks und Verkehrsnetzwerk
CN109249958A (zh) * 2018-09-11 2019-01-22 合肥康辉医药科技有限公司 一种计算机辅助连锁系统
DE102021110316A1 (de) 2021-04-22 2022-10-27 Zf Cv Systems Global Gmbh Redundante PLC-Signale Evaluation
EP4198659A1 (de) * 2021-12-14 2023-06-21 Atos Worldgrid Steuerungssystem und verfahren mit hoher verfügbarkeit für einen industriellen prozess

Also Published As

Publication number Publication date
WO2006051355A1 (en) 2006-05-18

Similar Documents

Publication Publication Date Title
DE202005020802U1 (de) Steuersystem für Schienenfahrzeuge
EP0875810B1 (de) Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
EP2445771B1 (de) Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks
DE112008003195T5 (de) Elektrischer Schaltkreis mit einem physikalischen Übertragungsschicht-Diagnosesystem
EP1969435A2 (de) Vorrichtung zum steuern mindestens einer maschine
EP3100121A1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
EP3448735B1 (de) Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems
DE10053023C1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
EP1260345A2 (de) Spritzgiessmaschinenanordnung
DE102005043305A1 (de) System-Architektur zur Steuerung und Überwachung von Komponenten einer Eisenbahnsicherungsanlage
DE202005016151U1 (de) Einrichtung zur Fernsteuerung eines Relais-Stellwerks unter Verwendung von hochverfügbaren diversitären Steuerungen
DE2940551C2 (de) Bedien- und Anzeigeeinrichtung für rechnergesteuerte Eisenbahnsignalanlagen
EP3817961A1 (de) Verfahren zum sicheren austausch und zur sicheren anzeige von zustandsdaten von sicherheitstechnischen komponenten
DE102007039154A1 (de) Sicherungssystem für ein Eisenbahnnetz
DE102007041902A1 (de) Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen
WO2015071169A1 (de) Bahnübergangssicherungssystem
EP0407875B1 (de) Verfahren und Anordnung zur Konfiguration eines Steuerungssystems für Gleisanlagen
DE102004051130A1 (de) Verfahren und Automatisierungssystem zum Bedienen und/oder Beobachten mindestens eines Feldgerätes
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
DE102016217774A1 (de) Sicherungseinrichtung für einen Bahnübergang
WO2020239437A1 (de) Anlagenkomponente, sicherheitsrelevante anlage und betriebsverfahren
DE3127363A1 (de) "rechnergesteuertes stellwerk"
DE102005049217A1 (de) Verfahren und Einrichtung zur Fernsteuerung eines Relais-Stellwerks unter Verwendung von hochverfügbaren Steuerungen
EP2849986B1 (de) Verfahren und anordnung zum steuern einer technischen anlage
EP3943363B1 (de) Eisenbahnleitsystem mit bedienhemmung

Legal Events

Date Code Title Description
R086 Non-binding declaration of licensing interest
R207 Utility model specification

Effective date: 20070419

R150 Utility model maintained after payment of first maintenance fee after three years

Effective date: 20080707

R157 Lapse of ip right after 6 years

Effective date: 20120103