DE60300486T2

DE60300486T2 - System zur Gleisfreimeldung einer Eisenbahnstrecke und zur Kommunikation mit Zügen auf dieser Strecke

Info

Publication number: DE60300486T2
Application number: DE60300486T
Authority: DE
Inventors: Claudio Tavoni
Original assignee: Alstom Ferroviaria SpA
Current assignee: Alstom Ferroviaria SpA
Priority date: 2002-02-22
Filing date: 2003-02-10
Publication date: 2006-02-23
Anticipated expiration: 2023-02-11
Also published as: EP1338492B1; ATE293063T1; DE60300486D1; PT1338492E; ITSV20020008A1; EP1338492A1; ES2240911T3

Description

Die Erfindung betrifft ein System zur Gleisfreimeldung einer Eisenbahnstrecke, oder ähnliches, und zur digitalen Kommunikation mit Zügen auf dieser Strecke, nach dem Oberbegriff von Anspruch 1.
Solche Systeme sind wohlbekannt und weisen verschiedene Konstruktionsarchitekturen auf. Der Zeitschriftartikel „LZB 700 – Die moderne Zugbeeinflussung mit Informationsübertragung über die Fahrzeugschienen", Signal + Draht, 84 (1992) 6, offenbart solch ein System. Die Erfindung hat zur Aufgabe, ein System nach dem Oberbegriff von Anspruch 1 so zu verbessern, dass es die Verwendung von Steuer- und Überwachungsuntereinheiten erlaubt, die solch einen Aufbau und eine Betriebsweise haben, dass sie den Konstruktionsaufwand dank der Tatsache begrenzen, dass sie leicht entweder in Verbindung mit bestehenden Systemen oder in Verbindung mit verschiedenen Systemkonfigurationen oder in möglicher Verbindung mit anderen Arten von Objekten verwendet werden können, die zu steuern und zu überwachen sind, während sehr hohe Sicherheitsniveaus aufrechterhalten werden. Die Erfindung hat die zusätzliche Aufgabe der Bereitstellung eines Systems wie oben beschrieben, wobei die Zugerkennungs- und digitalen Kommunikationsanordnungen stark vereinfacht sind.
Die Erfindung erfüllt die obigen Aufgaben durch Implementierung der Merkmale von Anspruch 1.
Die abhängigen Ansprüche betreffen Verbesserungen der Erfindung.
Die Merkmale dieser Erfindung und die damit verbundenen Vorteile gehen aus der folgenden Beschreibung einer Ausführungsform hervor, die in den beiliegenden Zeichnungen veranschaulicht wird, wobei:
1 ein vereinfachtes Blockdiagramm des erfindungsgemäßen Systems ist, wobei die Kommunikationsverbindungen zu Diagnosegeräten der Einfachheit halber ausgelassen wurden.
2 ein Funktionsblockdiagramm der Untereinheit zur Steuerung und Überwachung des Gleisstromkreiselements ist.
3 ein Blockdiagramm des Vital-Computer-Moduls ist, mit Angabe aller Schnittstellen sowie des funktionellen Aufbaus.
4 ein Blockdiagramm des Abschnitts zur Steuerung und Überwachung des Vital-Computer-Moduls ist.
5 und 6 eine Darstellung des Schutzabschnitts 121 mit verschiedenen Detailstufen ist.
7 ein Blockdiagramm des Moduls zur Erzeugung von Zugerkennungssignalen und/oder codierten Kommunikationssignalen ist.
8 ein Blockdiagramm des Demodulators/Verstärkers ist.
9 ein vereinfachtes Diagramm der H-Brücke ist.
10 ein Blockdiagramm des Gleisschnittstellenmoduls ist, das auch Schutz-, Umkehr- und Diagnosemodul genannt wird.
11 ein Blockdiagramm des Umkehrabschnitts mit näheren Details zeigt.
12 eine schematische Ansicht des Umkehrvorgangs zeigt.
13a, 13b schematische Ansichten der Verbindungen zur Überprüfung des Schaltzustands der Umkehrrelais sind.
14 ein Blockdiagramm des Diagnoseabschnitts des Gleisstromkreises ist.
15 ein Funktionsblockdiagramm des Moduls zur Erfassung und Erkennung des Gleisstromkreissignals ist.
16 ein Blockdiagramm des Erfassungs- und Erkennungsmoduls ist.
17 ein Diagramm des Stromversorgungsblocks für das Erfassungs- und Erkennungsmodul ist.
18 ein Blockdiagramm der Eingangsschaltung ist.
19 ein Blockdiagramm des Logikblocks von 17 ist.
20 ein Blockdiagramm der Schnittstelle zwischen dem Erfassungs- und Erkennungsmodul und dem Vital-Computer-Modul ist.
21 ein Blockdiagramm des Prüfsignal-Generierungsabschnitts ist.
Bezug nehmend auf 1 umfasst ein System zur Gleisfreimeldung einer Eisenbahnstrecke, oder ähnliches, und zur digitalen Kommunikation mit Zügen auf dieser Strecke mindestens ein Gleis, das die Eisenbahnstrecke formt und in eine Vielzahl von aufeinander folgenden, galvanisch isolierten Gleissegmenten unterteilt ist, die eine bestimmte Länge aufweisen, die sogenannten Blöcke, wobei die Schienen jedes Segments ein Basiselement formen, Gleisstromkreis genannt.
In 1 sind Gleisstromkreise als CdB1, CdB2 und CdB3 angegeben. Diese Gleisstromkreise verwenden Schienen, um die Signale zu senden, die die Zugerkennung auf dem entsprechenden Gleissegment erlauben, und um mit einem Zug zu kommunizieren. Darüber hinaus können die Signale, die an jedes Gleissegment gesendet werden, auch genutzt werden, um jeden Gleisfehler oder -schäden zu erkennen.
Das System umfasst eine zentrale Steuer- und Überwachungseinheit 1, die hier speziell „Stationäre Steuervorrichtung" ASCV genannt wird, die Steuersignale erzeugt und sendet, um Zugerkennungsprozeduren und/oder Zugkommunikationsprozeduren in Bezug auf einen Zug T auf diesem Gleis auszuführen und/oder Diagnoseprozeduren auszuführen. Die zentrale Steuer- und Überwachungseinheit 1 kommuniziert mit Hilfe einer Steuer- und Überwachungsuntereinheit 2, 2', 2'', die jedem Blockabschnitt oder Gleisstromkreis CdB1, CdB2 und CdB3 zugeordnet ist, mit dem Gleisstromkreis jedes Blockabschnitts, um Codes zu erzeugen und zu empfangen, wobei diese Untereinheit die Prozeduren, um das Vorhandensein eines Zugs T im zugehörigen Block zu erkennen, die Kommunikationsprozeduren und/oder die Diagnoseprozeduren ausführt und dem Vorhandensein oder der Abwesenheit des Zugs T im entsprechenden Block und/oder der geeigneten Kommunikation, die mit dem Zug besteht, und/oder Diagnosesignalen in Bezug auf den Gleisstromkreis Cdb1, Cdb2 und Cdb3 entsprechend Steuersignale sendet und die zentrale Steuer- und Überwachungseinheit über die Ergebnisse davon informiert. Jede Steuer- und Überwachungsuntereinheit 2 ist jedem entsprechenden Blockabschnitt und seinem jeweiligen Gleisstromkreis Cdb1, Cdb2 und Cdb3 zugehörig und ist durch einen Sender 3 und einen Empfänger 4 mit seinen Anschlussenden verbunden. Jede Steuer- und Überwachungsuntereinheit 2 und ihr jeweiliger Block Cdb1, Cdb2 und Cdb3, der ihr zugeordnet ist, sind durch einen bestimmten Identifikationscode (ID) auf einmalige Weise gekennzeichnet.
Die Steuer- und Überwachungseinheit ist demnach zwischen der zentralen Einheit 1 und ihrem jeweiligen Element Cdb1, Cdb2 und Cdb3 angeordnet und erlaubt die Steuerung des „Gleisstromkreis"-Elements, indem sie die Signalisierung belegt/unbelegt und die Coderübertragungs- und Decodierungsfunktionen gewährleistet.
Die Untereinheit 2, 2', 2'' ist ein modulares System, das konfiguriert werden kann, um in mehreren verschiedenen Anwendungskontexten eingesetzt zu werden. Diese Offenbarung betrifft eine Anwendung, die für doppelisolierte Schienengleisstromkreise ausgelegt ist. Bei Gleisen dieses Typs werden beide Schienen mechanisch unterbrochen, und der Bahnstrom wird durch induktive Verbindungen zurückgeführt.
Die Steuer- und Überwachungsuntereinheiten 2 sind für die Verwendung in Gleisstromkreisen mit zwei Richtungen ausgelegt, und zu diesem Zweck ist eine Signalübertragungsumkehrfunktion vorgesehen, um Zugerkennungssignale und codierte Kommunikationssignale in der Richtung auszubreiten, die der Fahrtrichtung des Zuges entgegengesetzt ist.
2 zeigt eine bevorzugte Ausführungsform einer Steuer- und Überwachungsuntereinheit.
Das Modul 102, Vital-Computer-Modul genannt, ist ein erweitertes doppeltes Europe Board (233 × 220 mm) mit „Universalfunktionen", die grundlegende Rechen- und Kommunikationsressourcen und -schnittstellen einschließen, mit Hilfe eines Parallelbusses, mit anwendungsspezifischen E/A-Modulen. In der Anwendung, die hierin beschrieben wird, ist das Vital-Computer-Modul 102 über eine Schnittstelle mit dem Modul 202 zum Erzeugen und Übertragen von Zugerkennungssignalen und codierten Kommunikationssignalen, mit dem Modul 302 zum Erfassen und Erkennen von Gleisstromkreissignalen und mit einem Modul 402 zur Schnittstellenverbindung mit den Schienen des Gleisstromkreiselements und zur Umkehr der Signalübertragungsrichtung auf dem Gleisstromkreis sowie für den Gleisstromkreis-Diagnoseschutz verbunden.
Das Vital-Computer-Modul 102 überwacht die Untereinheit 2, verwaltet die Kommunikation mit der stationären Vorrichtung und steuert die anderen Module 202, 302, 402, aus denen die Steuer- und Überwachungsuntereinheit 2 zusammengesetzt ist.
Das Vital-Computer-Modul 102 weist zwei Hauptabschnitte auf:
Einen Steuerabschnitt, der aus einem Mikroprozessorsystem besteht, einschließlich der notwendigen Peripheriegeräte (Programmspeicher, Direktzugriffsspeicher (RAM), serielle Schnittstellen, Schaltungen zum Erzeugen eines Hilfstakts und Reset-Signals, Wächterschaltungen). Der Steuerabschnitt umfasst Verarbeitungssoftware, die für alle Anwendungen gleich ist, insbesondere hinsichtlich der Sicherheits- und Schutzfunktionen, und wird mit Hilfe von anwendungsspezifischer Konfigurationssoftware spezialisiert, in welcher die spezifische Systemkonfiguration und die gewünschte Codeauswahl berücksichtigt werden. Dem Steuerabschnitt sind auch sämtliche Funktionen zur Kommunikation mit der zentralen Einheit 1 und zur Verwaltung der Schnittstelle (CVM_IOBUS) zu den anderen Modulen in der Steuer- und Überwachungsuntereinheit 2 zugewiesen.
Ein vitaler Schutzabschnitt, d.h. eine Schutzkontrolleinheit, die Hardwareblöcke und sicherheitscodebezogene Softwareblöcke verwendet, die zwar von der spezifischen Systemkonfiguration unabhängig sind, aber ein System zur Zertifizierung der Prüfcodewörter oder Prüfwörter bilden, die vom Steuerabschnitt auf der Basis der Rückkopplung erzeugt wird, die von den Modulen 202, 302, 402 übertragen wird, wird von diesem Abschnitt für den Abschnitt selbst gesteuert, um die Kompatibilität mit der empfangenen Steuerung und die korrekte Ausfüh rung der gesteuerten Funktion zu kontrollieren. Die Schutzkontrolleinheit hat die Funktion, bei Fehlern im Steuerabschnitt das Erreichen eines Sicherheitszustands zu gewährleisten. Der Betrieb des Schutzabschnitts ist von der spezifischen Anwendung unabhängig. Die Sicherheitsarchitektur des Vital-Computer-Moduls 102 ist reaktiven Typs; der Schutzabschnitt hat die Aufgabe, jedes Verhalten zu identifizieren, das die Sicherheit des Steuerabschnitts potentiell beeinträchtigen könnte, und das System zu gegebener Zeit in einen Sicherheitszustand zu zwingen. Daher erfüllt das Vital-Computer-Modul 102 die folgenden Funktionen:
Subsystem-Steuerlogik;
serielle Schnittstelle zur Stationären Vorrichtung;
Verwaltung der Schnittstelle zu den anderen Boards (VCM_IOBUS);
Schutzlogik.
Das Modul 202 zur Erzeugung und Übertragung von Zugerkennungssignalen und codierten Kommunikationssignalen ist ein Leistungsboard, das ausgelegt ist, um das Signal, das an den Gleisstromkreis übertragen werden soll, auf sichere Weise zu erzeugen. Es ist ein Peripherie-Board ohne Mikroprozessor, und seine Funktion besteht darin, einer von der Logik übertragenen Steuerung entsprechend ein Ausgangssignal an den Gleisstromkreis zu erzeugen.
Das Modul hat auf sichere Weise zu gewährleisten:
dass kein anderer Code als der angeforderte Code erzeugt wird;
dass das übertragene Signal bei einem geeigneten Pegel ist.
Das Modul ist in zwei Logik-Abschnitte unterteilt: Der erste Abschnitt ist ausgelegt, um ein digitales pulsweitenmoduliertes oder PWM-Signal zu erzeugen, welches der angeforderte Code ist. Der zweite Abschnitt ist ein leistungsverstärkter Pulsweitendemodulator, oder PWM-Demodulator, der das an das Gleis zu übertragende Signal bereitstellt. Der Pulsweitenmodulation PWM-Codeerzeugungsabschnitt ist durch eine Wiederlesefunktion des pulsweitenmodulierten (PWM) Signals geschützt. Das Vital-Computer-Modul 102 empfängt die Information von der Wiederlesefunktion und kann den Code, der tatsächlich vom Modul 202 synthetisiert wird, mit dem Code vergleichen, der von der Steuerung der zentralen Einheit 1 angefordert wird. Wenn eine Inkonsistenz gefunden wird, deaktiviert das Vital-Computer-Modul 102 die Codeübertragung durch einen vitalen Mechanismus. Der Demodulations- und Leistungsabschnitt, der mit dem Erzeugungsabschnitt in Kaskade geschaltet ist, ist mit inhärent ausfallsicheren Techniken ausgelegt.
Das Modul 302 zum Erfassen und Erkennen der Signale vom Gleisstromkreis ist ausgelegt, um Signale vom Gleisstromkreis zu empfangen und besteht aus einem doppelten digitalen Signalverarbeitungskanal und aus einer Eingangssignal-Entkopplungsstufe, die mit inhärent ausfallsicheren Techniken ausgelegt sind.
Das Modul 302 ist eine Chipkarte, die das Signal auf dem Gleisstromkreis misst und decodiert.
Das Modul 302, das ausgelegt ist, um Gleisstromkreissignale sicher zu messen und zu decodieren, wendet zusammengesetzte Sicherheitsdesigntechniken an und besteht aus den folgenden Logikblöcken:
ein Block zum Entkoppeln des Gleisstromkreissignals und Erzeugen von zwei getrennten Signalen. Diese Funktion wird durch Implementierung inhärent ausfallsicherer Techniken erreicht;
zwei getrennte Verarbeitungskanäle, die über Dual Port-Speicher separat mit dem Vital-Computer-Modul 102 verbunden sind, und die zwei getrennte Eingangssignale vom Modul 302 empfangen.
Die zwei Verarbeitungskanäle auf der Basis von Digitalsignalprozessoren (DSP) erzeugen zwei unabhängige Ausgaben an das Vital-Computer-Modul 102. Die Ausgaben von den zwei Kanälen werden vom Steuerabschnitt des Vital-Computer-Moduls 102 auf ihre Konsistenz hin überprüft.
Die Sicherheitsarchitektur des Moduls 302 beinhaltet eine ständige Prüfung jedes Messkanals durch Verwendung logisch erzeugter Prüfsignale, um sowohl den Schutz vor häufigen Fehlern als auch die Erkennung von Fehlern an den jeweiligen Kanälen zu gewährleisten, wie weiter unten näher erläutert.
Das Modul 402 zur Schnittstellenverbindung mit den Schienen des Gleisstromkreiselements und zur Umkehr der Richtung der Signalübertragung im Gleisstromkreis, sowie zum Diagnoseschutz des Gleisstromkreises, erfüllt Funktionen der TX/RX-Umkehrlogik, der Isolierung vom/zum „Yard"; misst Analogwerte zu Diagnosezwecken, und verwaltet die Schnittstelle zum Diagnosesystem.
Das Modul 402 ist physikalisch aus einem Board und einem Rx- und Tx-Transformer-Tray zusammengesetzt und implementiert die zwei folgenden unabhängigen Logikblöcke:
Vitaler Block;
Diagnoseblock.
Die vitalen Funktionen, die vom ersten Block erfüllt werden, sind:
Gleisstromkreis-Umkehr;
Schnittstelle zum Gleis und Isolierung davon, sowohl beim Senden als auch beim Empfang.
Die Diagnosefunktionen über Yard-Größen, die vom zweiten Block durchgeführt werden, sind:
Yard-Diagnoseschaltungen (Spannungen, Ströme, Isolierung);
Mikroprozessormodul zur Erfassung der physikalischen Größen und Schnitte zum Diagnosenetz;
serielle Schnittstelle zum Vital-Computer-Modul 102.
Das Modul 402 muss die Funktion der Schnittstelle zum Gleis und der Isolierung davon und die Umkehrfunktion auf sichere Weise erfüllen.
Die Schnittstelle zum Gleis wird mit Hilfe von Isoliertransformatoren erhalten (die erforderlich sind, um zu gewährleisten, dass eine Spannung von 4 KVdc zwischen der Steuer- und Überwachungsuntereinheit 2 und dem Gleis aufrechterhalten wird); diese Transformatoren sind auf einem anderen zusätzlichen hinteren Tray angeordnet, sind aber funktional und logisch diesem Board zugehörig. Die Umkehrfunktion muss gewährleisten, dass die Tx und die Rx stabil mit den gegenüberliegenden Enden des Gleisstromkreises verbunden sind. Die Sicherheitsarchitektur dieser Funktion ist reaktiven Typs, und so, dass gewährleistet ist, dass das Subsystem im Falle eines Fehlers davon in den Sicherheitszustand geschaltet werden kann. Das Board wird für alle vitalen Funktionen über den VCM_IOBUS vom Vital-Computer-Modul 102 gesteuert. Die Architektur sieht auch einen zweiten Kommunikationskanal, eine serielle Leitung, zwischen dem Modul 402 und dem Vital-Computer-Modul 102 vor, der verwendet wird, um Nutzdaten für den Diagnoseabschnitt zu empfangen, d.h. die Übertragungsrichtung des angeforderten Signals.
Die Diagnosefunktionen für Yard-Daten werden von einem optionalen, kommerziellen Modul mit einem Onboard-Mikroprozessor gehandhabt, das ausgelegt ist, um das Diagnosenetz zu verwalten. Schaltungen zur Erfassung von Yard-Diagnosedaten sind nicht aus vitaler Hardware aufgebaut. Diagnoseinformationen nur in Bezug auf die Cab/Yard-Schnittstelle werden über das Diagnosenetz übertragen, falls vorhanden.
Die Steuer- und Überwachungsuntereinheit ist mit reaktiven Sicherheitstechniken ausgelegt. Vom funktionalen Standpunkt aus liegt die Sicherheit eines Eisenbahn-Signalisierungssystems/subsystems/geräts in der Identifizierung eines sicheren Zustands und in der Implementierung von Designtechniken, die es erlauben, bei Auftritt jedes potentiell gefährlichen Fehlers einen sicheren Zustand wiederherzustellen. Für die Steuer- und Überwachungsuntereinheit 2 wird der „sichere" Zustand wie folgt abgeleitet, wenn der Kontext ihrer Funktionen innerhalb des Signalisierungssystems betrachtet wird:
Keine Übertragung von codierter Information an den Zug, wobei dieser Zustand entweder durch sicheres Ausschalten des Übertragungsabschnitts oder durch Verwenden standardisierter Signale erreicht werden kann;
Erkennung eines „belegten" Zustands für den an der Schnittstelle verbundenen Gleisstromkreis;
Keine gefährlichen Spannungen in den Teilen, die dem Betriebspersonal zugänglich sind;
Gewährleisten der Aufrechterhaltung von Sicherheitsbedingungen selbst dann, wenn:
die zulässigen Antriebsleistungen vorliegen;
die Schiene unterbrochen ist;
die Isolierung einer Isoliermuffe zwischen zwei benachbarten Gleisstromkreisen verloren geht.
In Anbetracht der Funktion, die von der Steuer- und Überwachungsuntereinheit 2 erfüllt wird, und der Ansprechzeiten, z.B. in Bezug auf die tatsächlichen Zugerkennungs- und/oder Codeübertragungszeiten, ist die Implementierung einer reaktiven Sicherheitsarchitektur mit zusammengesetzter Sicherheit und inhärent ausfallsicheren Elementen für die Hauptlogik gerechtfertigt. Dieser Ansatz beinhaltet eine 64 Bit-Codierung der Boolschen-Eingangsvariablen auf zwei Parallelverarbeitungskanälen (32 Bit-Codewort für jeden Verarbeitungskanal, mit verschiedener Codierung auf beiden Kanälen), Codewort-Verarbeitung einer Standardlogik entsprechend, eine Überprüfung der Ausgaben durch einen Prozess, der vom Hauptprozess getrennt ist, und Ausgabeerzeugung, wobei die letztere Funktion durch ausfallsichere Hardware erreicht wird. Die Sicherheitsarchitektur erfordert, dass der Steuerprozess und der Schutzprozess von zwei unabhängigen Prozessoren gehandhabt werden. Der Steuerprozess erzeugt Prüfwörter, um sie dem Schutzprozess zuzuführen, der auf einem anderen Prozessor implementiert ist, die Prüfwörter zyklisch verbraucht und mögliche Steuerprozessfehler erkennt. Der Eingriff des Schutzabschnitts zwingt die Steuer- und Überwachungsuntereinheit 2 in den oben definierten Sicherheitszustand.
Vorteile können zudem aus der Implementierung einer reaktiven Sicherheitsarchitektur gewonnen werden, um ein PWM-Signal zu erzeugen, dass den an das Gleis zu übertragenden Code darstellt. Das erzeugte Signal wird wiedergelesen und an die Hauptlogik gesendet, die im Falle eines Fehlers den Schutzabschnitt auslöst.
Demgegenüber sollte zur Demodulation und Verstärkung des PWM-Signals, das an das Gleis übertragen wird, eine inhärent ausfallsichere Architektur (d.h. ausfallsichere Hardware) verwendet werden.
Die Umkehrfunktion kann vorteilhafterweise durch eine reaktive Sicherheitsarchitektur mit ausfallsicheren Hardwareelementen gehandhabt werden. Die Umkehrrelais werden auf eine nicht vitale Weise gesteuert, ihr Zustand wird jedoch unter ausfallsicheren Bedingungen wiedergelesen und an die Hauptlogik übertragen, die den Schutzabschnitt auslöst, wann immer ein Fehler auftritt.
Bei jeder Kommunikation von der Steuer- und Überwachungsuntereinheit 2 zur Haupteinheit 1 wird eine Sicherheitsschicht (FSFB2) gewählt, um die Integrität der Information zu gewährleisten, die von der stationären Vorrichtung empfangen und gesendet wird, wogegen zur Verbindung der Boards untereinander ein System (VCM_OBUS) verwendet wird, das die Integration der Information gewährleisten kann, die zwischen dem Vital-Computer-Modul 102 und den anderen Modulen 202, 302, 402 innerhalb der Steuer- und Überwachungsuntereinheit 2 ausgetauscht wird. Insbesondere für alle vitalen Funktionen, die mit dem Bus verbunden sind, muss ein eindeutiges Routing sicher gewährleistet sein, sowie der Informationsgehalt, unabhängig von deren physikalischen und funktionalen Eigenschaften.
Die Gleissignal-Empfangsfunktion ist mit Hilfe einer zusammengesetzten Sicherheitsarchitektur zu realisieren. Die verwendete Architektur schließt Fehlererkennungsmechanismen ein, um zu gewährleisten, dass ein Sicherheitszustand in einer gegebenen Zeit wiederhergestellt werden kann, wann immer ein Fehler in einem der zwei Elemente auftritt.
Eine Trennung wird auch zwischen nicht vitalen Diagnosefunktionen und vitalen Funktionen empfohlen, sowie die Übertragung von abweichenden Signalen auf benachbarten Gleisstromkreisen, wenn kein Weg vorgesehen ist, um die Erkennung von Isolationsverlusten an den Isoliermuffen zu erlauben.
3 zeigt ein Blockdiagramm des Vital-Computer-Moduls 102 mit näheren Details.
Das Vital-Computer-Modul 102 ist mit „Universalfunktionen" entwickelt worden, um Steuer-, Überwachungs- und Schutzprozeduren auszuführen. Das Board weist solche Merkmale auf, dass es in mehreren verschiedenen Anwendungen verwendet werden kann; der anwendungsspezifische Betrieb wird durch Modifizieren der Verwaltungssoftware erhalten, und zu diesem Zweck ist die Prozesssoftware von der Konfigurationssoftware getrennt, die jede systemspezifische Information enthält. Die Konfigurationssoftware, die die besonderen Eigenschaften der Prozesssoftware für die spezifische Anwendung bereitstellt, ist in einem dedizierten Speicherbereich untergebracht, z.B. einen Flash-Speicher.
Das Vital-Computer-Modul 102 ist aus zwei getrennten Funktionsblöcken zusammengesetzt, d.h. jeweils dem Steuer- und Überwachungsabschnitt 120 und dem Schutzabschnitt 121.
Der Steuer- und Überwachungsabschnitt 120 basiert auf der Verwendung eines Mikroprozessors mit verschiedenen Peripheriegeräten, wie z.B. serielle Leitungscontroller, Zeitgeber usw.; in der Anwendung, die hierin für die Steuer- und Überwachungsuntereinheit des Gleisstromkreises genannt wird, ist dieser Abschnitt ausgelegt, um die Grundfunktionen des Gleisstromkreises zu handhaben. Er führt periodisch einen Verarbeitungszyklus (Hauptzyklus genannt) aus, wodurch er auf vitale Weise mit der zentralen Steuer- und Überwachungseinheit 1 kommuniziert (von welcher er den zu erzeugenden Code und die Zugfahrtrichtung empfängt, und zu welcher er die Gleisstromkreis-Statusinformation sendet), und steuert die anderen Module 202, 302, 402, um die Umkehr-, die Sende- und Empfangsfunktionen zu verwalten. Überdies führt der Steuerabschnitt 120 periodisch eine Kontrolle aller reaktiven Sicherheitslogikblöcke durch (durch Wiederlesen der Umkehrblockposition und des Signals, das vom Modul 202 erzeugt wird); diese Prüfung, die im sogenannten Überprüfungszyklus durchgeführt wird, wird verwendet, um die Konsistenz zwischen der Steuerung und dem erkannten Zustand zu kontrollieren.
Der Hauptzyklus wird verwendet, um alle T Sekunden jeden zyklischen Vorgang mit niedriger Priorität durchzuführen (z.B. den Empfang der Information von der Stationären Vorrichtung und das nachfolgende Bestimmen der Steuerungen, die an die Modul-Boards zu senden sind. Der zweite Zyklus oder Überprüfungszyklus weist eine Dauer von 50 ms auf und wird benutzt, um alle Vorgänge durchzuführen, die häufiger durchgeführt werden müssen (wie z.B. die Überprüfung des Umkehrblockstatus und die Kontrolle des erzeugten Signals), um eine schnellere Fehlererkennung zu ermöglichen. Die Dauer T des Hauptzyklus ist ein ganzzahliges Mehrfaches der Überprüfungszykluszeit und stellt die Zeiteinheit des Subsystems dar.
Der Steuer- und Überwachungsabschnitt sendet einen Satz Prüfwörter an den Schutzabschnitt, wobei diese Wörter verwendet werden, um die korrekte Ausführung aller sicherheitsbezogenen Vorgänge zu kontrollieren. Jeder dieser zwei Zyklen erzeugt während seiner jeweiligen Verarbeitungsvorgänge einen Satz Prüfwörter, und diese Wörter werden jeweils „Hauptprüfwörter" und „Kontrollprüfwörter" genannt.
Die Hauptfunktionen des Steuer- und Überwachungsabschnitts 120 lassen sich daher folgt zusammenfassen:
Empfang, von der Stationären Vorrichtung, der Information, die den Typ des zu erzeugenden Codes und die Zugfahrtrichtung enthält;
Senden der Umkehrschaltungs-Positionssteuerung an das Modul 402 und ständige Kontrolle des aktuellen Status dieses Bocks;
Senden der Codeerzeugungssteuerung an das Modul 202, und ständige Prüfung, dass das erzeugte Signal, das an das Gleis gesendet wird, tatsächlich dem angeforderten entspricht.
Erfassen des Gleisstromkreissignals von den zwei Kanälen des Moduls 302 und Prüfung der Konsistenz der aus den zwei Kanälen gelesenen Information miteinander und mit dem tatsächlich erzeugten Code;
Senden jeder Gleisstromkreis-Statusinformation an die zentrale Steuer- und Überwachungseinheit 1;
Diagnose.
Der Schutzabschnitt 121 auf Mikroprozessorbasis überwacht das Verhalten des Steuerabschnitts 120 und sein eigenes Verhalten und beendet die Vital-Spannungserzeugung, sobald eine Fehlfunktion erkannt wird. Er erzeugt im vitalen Modus die Spannung, die verwendet wird, um die Vital-Schalter auf dem Modul 202 zu aktivieren, das die Übertragung des erzeugten Signals an das Gleis zulässt. Die Prüfungen, die vom Schutzabschnitt 121 durchgeführt werden, sind Logik- und Zeitprüfungen; der Schutzabschnitt empfängt periodisch Prüfwörter vom Steuerabschnitt 120, wobei diese Prüfwörter verwendet werden, um die korrekte Ausführung aller sicherheitsbezogenen Vorgänge zu bestätigen, und prüft deren Gültigkeit. Wenn Prüfwörter logisch korrekt sind, kommen sie in wohldefinierten Zeitbereichen an, und kein Fehler wird vom Selbstdiagnoseprozess der Schutzeinheit 121 erkannt, der die Vital-Schalter mit Strom versorgen kann, andernfalls unterbricht der Selbstdiagnoseprozess diese Stromversorgung und verhindert jede Signalübertragung an den Gleisstromkreis.
Die Sicherheitsarchitektur des Vital-Computer-Moduls 102 ist reaktiven Typs; der Schutzabschnitt 121 hat die Aufgabe, jedes potentiell sicherheitsgefährdende Verhalten zu erkennen und in einer gegebenen Zeit einen sicheren Zustand des Systems zu zwingen. Der Schutzabschnitt 121 gewährleistet, dass die Vital-Spannung sowohl im Falle der Fehlfunktion des Steuerabschnitts 120 als auch im Falle von Risiken, die vom Steuerabschnitt 120 an den anderen Modulen 202, 302, 403 erkannt werden, und im Falle von Fehlern des Schutzabschnitts 121 selbst deaktiviert wird. Zu diesem Zweck ist der Schutzabschnitt 121 mit inhärent ausfallsicheren Techniken ausgelegt, wie weiter unten eingehender erläutert.
4 ist ein Blockdiagramm des Steuer- und Überwachungsabschnitts 120 des Vital-Computer-Moduls.
Eine CPU 20 ist verbunden mit: Einem RAM-Speicher 21 und einem FLASH-Speicher 21', seriellen Leitungscontrollern 22, einem Polynom-Dividierer 23, einer VCM_IOBUS-Schnittstelle 24, der Schnittstelle zum Schutzabschnitt 25.
Die CPU verwendet einen Mikroprozessor, z.B. INTEL i386EX, der aus einem i386CK-Kern und einer großen Menge von Peripheriegeräten besteht; der Kern weist eine interne 32 Bit-Architektur und einen externen 16 Bit-Bus auf. Der letztere ist mit den geeigneten Unterstützungsschaltungen verbunden, die für seinen Betrieb erforderlich sind, wie z.B.: Die Reset-Generierungsschaltung, Power Down-Analysatoren, mehrere verschiedene Oszillatoren, um die Zeitunabhängigkeit zwischen den verschiedenen Funktionen zu gewährleisten (insbesondere sind vorgesehen: ein 50 MHz-Oszillator für den Mikroprozessor, ein 20 MHz-Oszillator, der einer der 3 programmierbaren Logiken dediziert ist, und ein 10 MHz-Oszillator, der den zwei asynchronen seriellen Leitungen zugeordnet ist), eine Wächterschaltung, die ausgelöst wird, wann immer eine Fehlfunktion am Steuerabschnitt 120 erkannt wird, wodurch die Schnittstellen deaktiviert werden und eine Unterbrechungsanforderung erzeugt wird.
Der Speicher besteht aus zwei Fixed RAM-Chips 21 mit einer maximalen Gesamtkapazität von 1 MBytes und zwei FLASH-Speicherchips 21' mit einer maximalen Gesamtkapazität von 4 MBytes. Der FLASH-Speicher 21' enthält das anwendungsspezifische Verwaltungsprogramm und Systemkonfigurationsparameter.
Drei serielle Leitungscontroller 22 sind vorgesehen, wobei einer innerhalb des Prozessors liegt und die anderen zwei außerhalb davon. Der Controller im Prozessor verwaltet zwei asynchrone Kanäle, die mit der Komponente 16450 kompatibel sind, deren elektrische Schnittstelle vom Typ RS232 ist.
Die zwei externen Controller sind identisch, und jeder von ihnen verwaltet zwei Vollduplexkanäle, die als synchron und asynchron programmiert werden können. Diese Kanäle können je nach Anwendungsbedarf im Polling-, im Interrupt- und im DMA-Betrieb verwaltet werden. Die elektrische Schnittstelle der zwei seriellen Leitungen, die dem ersten externen Controller zugeordnet sind und für die Verbindung mit dem FNET-Netzwerk verwendet werden, ist vom Typ V35 (wobei die Differentialdaten und der Takt vom Typ RS485 sind); wogegen diejenige, die dem zweiten Controller zugeordnet ist, vom Typ RS232 ist.
Der Block 23 besteht aus einem sogenannten Polynom-Dividierer (PD), der ein Peripheriegerät des Prozessors auf der Basis eines programmierbaren Geräts ist und benutzt wird, um Vital-Daten zu validieren, um CRC-Polynome zu erzeugen, und um als Boolscher Operator zu wirken, um die korrekte Sequenz der Operationen zu prüfen. Diese Prüfung erzeugt Prüfwörter, die innerhalb des Vital-Computer-Moduls an gegebenen Zeitpunkten von der CPU 20 des Steuerabschnitts 120 an den Schutzabschnitt 121 übergeben werden. Diese Funktion verwendet einen 20 MHz-Oszillator, um sich auf eine Zeitbasis zu stützen, die von der Mikroprozessor-Zeitbasis unabhängig ist.
Die Schnittstelle VCM_IOBUS 24 basiert auf einem programmierbaren Gerät. Der Zweck dieser Schnittstelle ist es, die direkte Verwaltung von E/A-Modulen oder Erweiterungskarten mit einer kompatiblen Schnittstelle zu erlauben. Die Schnittstelle VCM_IOBUS gewährleistet:
Korrektes Modul-Routing; für diese Funktion werden Scrambling- und Signaturtechniken nach dem Stand der Technik implementiert, z.B. in Steuereinheiten 1.
Die Schnittstelle zum Schutzsignal wird durch einen 8 Bit-Bus bereitgestellt, der aus einer Teilmenge des Prozessorbusses besteht, der zum Anschluss der Speicher und der Peripheriegeräte auf dem Board verwendet wird. Durch diesen Bus überträgt die CPU die Prüfwörter der vitalen Vorgänge en an den Schutzabschnitt.
5 und 6 zeigen den Schutzabschnitt 121 mit näheren Details. Der Schutzabschnitt weist die Funktion auf, das Verhalten des Steuerabschnitts 120 und sein eigenes Verhalten zu überwachen und wird im Falle eines nicht ordnungsgemäßen Betriebs ausgelöst, um das System in Sicherheitsbedingungen zu versetzen. Dies wird durch Erzeugung oder Nichterzeugung einer Spannung erreicht, die als Vital-Spannung bekannt ist, um die Übertragung von Zugerkennungssignalen und/oder codierten Kommunikationssignalen zu aktivieren. Dieser Abschnitt empfängt periodisch Prüfwörter (Kontrollprüfwörter alle 50 ms und Hauptprüfwörter alle T Sekunden, wobei T ein ganzzahliges Vielfaches von 50 ms ist) und prüft deren Gültigkeit. Wenn Prüfwörter korrekt sind, versorgt es vitale Schaltungen mit Strom, d.h. erzeugt die Vital-Spannung, andernfalls unterbricht es diese Stromversorgung. Prüfwörter werden auf eine destruktive Weise verbraucht, um sicherzustellen, eine bestimmte Gruppe nicht mehr als einmal verwendet werden kann. Der Schutzabschnitt umfasst einen vitalen Stromversorgungscontroller 32, der die Bedeutung der empfangenen Prüfwörter nicht interpretiert, sondern sie auf der Basis ihrer numerischen Eigenschaften verwendet, indem er sie als Digitalsignale verarbeitet. Überdies ändern sich die Prüfwörter von einem Zyklus zum anderen, da der Steuerabschnitt 120 sie durch einen Inkrementalwert verändert, bevor er sie überträgt.
Verschiedene Hardware/Software-Sicherheitsregeln sind im Schutzabschnitt 121 zwischen dem Controllersystem und dem gesteuerten System implementiert (selbst, wenn inhärent ausfallsichere Hardware verwendet wird), sowie Datenstruktur-Navigationsregeln, mit einer Datenstruktur einer wohldefinierten Klasse, mit vorgegeben Werten, auch wenn sie bei jedem Verarbeitungszyklus verschieden sind.
Der Schutzabschnitt ist aus den folgenden drei Funktionsblöcken zusammengesetzt, wie in 5 gezeigt. Der Block 32 stellt die Prüfwort-Verarbeitungslogik dar, die vom digitalen Typ ist und die Funktion hat, die Prüfwörter zu verarbeiten, die durch den Dual Port-RAM 33 vom Steuerabschnitt 120 empfangen werden, und ein Paar entsprechender Frequenzsignale und Betriebszyklen zu erzeugen.
Der Aktive-Vital-Filter-Block 34 hat die Aufgabe, sicher zu überprüfen, dass die Eigenschaften der empfangenen Signale (Frequenz und Betriebszyklus) mit den vorgeschriebenen Eigenschaften übereinstimmen, und die Vital-Spannungserzeugung zu aktivieren, vorausgesetzt, dass kein Fehler erkannt wurde. Das Filter weist inhärent ausfallsichere Funktionen auf, um zu gewährleisten, dass das Aktivierungssignal an den Vital-Generator nur dann erzeugt wird, wenn die zwei Eingangsfrequenzen die vorgeschriebene Frequenz- und Betriebszykluseigenschaften aufweisen; der Vital-Generator-Block 35, der ebenfalls mit inhärent ausfallsicheren Merkmalen ausgelegt ist, hat die Aufgabe, die Sollausgangsspannung physikalisch zu erzeugen, wenn er durch das Frequenzsignal vom Aktive-Vital-Filter 34 aktiviert wurde. Diese Spannung kann als vitales Aktivierungssignal für alle Hardware- und Softwarefunktionen verwendet werden, die nur unter Sicherheitsbedingungen betrieben werden können.
Der Prüfwortverarbeitungslogik (PCL)-Block 31 hat die Funktion, die vitalen Verarbeitungsvorgänge, die vom Vital-Computer-Modul 102 durchgeführt werden, auf vitale Weise zu prüfen. Prüfwörter werden durch einen Dual Port-Speicher 33 mit dem Steuerabschnitt 120 ausgetauscht, und durch Austauschen zweier Handshake-Digitalsignale, Flags genannt, und genauer: ein REQUEST-Flag (REQ) und ein READY-Flag (RDY).
Die Datenstrukturen, die der Prüfwortverarbeitungslogik zugeführt werden, „speisen" die Verarbeitungsvorgänge ihrer Logikkomponente und bewirken, wenn sie korrekt sind, die sichere Erzeugung von zwei Digitalsignalen, die präzise Frequenz- und Betriebszyklus- und Phasenbeziehungswerte (Vital-Frequenzen) aufweisen. Das Endkontrollelement besteht aus einem Analogfilter 34, der mit inhärent ausfallsicheren Techniken (Active Vital Filter, AVF) ausgelegt ist, und der die Frequenz zum Aktivieren des Vital-Stromgenerators VG 35 nur dann erzeugt, wenn die digital erzeugten Frequenzen in jeder Hinsicht korrekt sind. Daher bestätigt das Vorhandensein dieses Aktivierungssignals auf sichere Weise, dass die Digitallogik-Verarbeitungsvorgänge, die aus dem Empfang der entsprechenden Prüfwörter in der Datenstruktur resultieren, korrekt sind. Jeder Prüfwortfehler oder der ausbleibende Empfang von Prüfwörtern an vorgeschriebenen Zeitpunkten hat die Deaktivierung des Vital-Generators zur Folge.
Um sicherzustellen, dass die Prüfaktion mit der Zeit ständig vital ist, sind im Vital-Computer-Modul 102 (VCM) zwei Prüfzeitzyklen vorgesehen, die der Übergabe der Prüfwortsätze für den ausgeführten Systemzyklus (Haupt- oder Überprüfungszyklus) an die Prüfwortverarbeitungslogik PCL 31 entsprechen. Der Hauptzyklus weist eine Periode T auf, die ein ganzzahliges Mehrfaches des Überprüfungszyklus ist, der 50 ms dauert (eine Zeit von 50 ms wurde gewählt, da sie es erlaubt, einen Fehler zu erkennen und den Vital-Generator 35 in einer Zeit zu deaktivieren, die ausreichend kurz ist, um Subsystem-Fehler zu vermeiden).
Sobald die Prüfwörter empfangen worden sind, verarbeitet der Mikroprozessor der Prüfwortverarbeitungslogik 31 diese, indem er eine Anzahl von Softwarealgorithmen und Hardwareprüfhardware (CRC-Addierschaltung, Zeitprüfzähler/Zeitgeber) verwendet, um die Erzeugung von zwei Digitalsignalen zur Bestätigung des ordnungsgemäßen Systembetriebs sicher zu gewährleisten. Die Schaltung, die das Reset/Watchdog-Signal der Prüfwortverarbeitungslogik verwaltet, gewährleistet den ordnungsgemäßen Betrieb der Vital-Leistungsregler-Logik 31; wenn die Verwaltungssoftware aus irgendeinem Grund oder aufgrund einer Fehlfunktion den Wächterschaltung nicht wieder auslöst, wird ein Reset-Signal ausgelöst, das einen Neustart des Vital-Leistungsregler versucht.
Das Blockdiagramm der Prüfwortverarbeitungslogik 31 wird in 6 gezeigt. Wie in der Zeichnung gezeigt, verwendet auch diese einen Mikroprozessor, der von dem des Steuerabschnitts 120 unabhängig ist. Der verwendete Mikroprozessor ist ein 8 Bit-Mikropezessor INTEL 8085, der selbst mit geeigneten Unterstützungsschaltungen verbunden ist, die für seinen Betrieb erforderlich sind, wie z.B.: eine Reset-Erzeugungsschaltung, einen 5 MHz-Oszillator, der als ein Taktgeber verwendet wird, eine Wächterschaltung, die in einer bestimmten Zeit rückgestellt sein muss; wenn dies nicht erfolgt (z.B. aufgrund einer Abschaltung des Schutzabschnitt-Mikroprozessors), wird die Wächterschaltung ausgelöst, um das CPU Reset-Signal zu erzeugen.
Die folgenden Geräte sind mit dem Mikroprozessor 132 verbunden: RAM- und EPROM-Speicher 232, 232', ein Dual Port RAM-Speicher 33, ein Taktgeber 332, eine zyklische Blockprüfungs- oder CRC-Schaltung 434, ein E/A-Anschluss 532.
Der Speicher ist aus einem Fixed RAM-Chip und einem EPROM-Chip 232, 232' zusammen gesetzt. Der EPROM-Speicher 232' enthält eine Firmware zur sicheren Verarbeitung der Prüfwörter, die nicht anwendungsspezifisch sind.
Der Dual Port RAM 33, der auf einer programmierbaren Logik basiert, wird verwendet, um Information mit der CPU des Steuerabschnitts 120 auszutauschen. Die Prüfwörter zur Kontrolle der vitalen Vorgänge werden durch dieses RAM 33 empfangen. Der Arbeiter, der den Zugriff auf das Dual Port RAM steuert, wird vom Schutzabschnitt 121 gesteuert und verwendet zwei digitale Steuerleitungen (READY- und REQUEST-Leitung). Sowohl der Mikroprozessor (8085) des Schutzabschnitts 121, der Master-Funktionen aufweist, als auch der Mikroprozessor (80386 EX) der Steuerabschnitts 120, der Slave-Funktionen aufweist, greifen auf den Dual Port RAM 121 zu.
Die Taktgeber 332, deren Takte von denen der CPU 132 abweichen, um die Zeitbasisunabhängigkeit zu gewährleisten, sind 16 Bit-Zähler, die verschiedene Signale je nach der Funktion zählen, welche sie erfüllen; sie werden benutzt, um die Zahl der „Maschinenzustände" des Vital-Leistungsregler-Prozessors zu zählen und Codeausführungszeiten zu messen. Die CRC-Schaltung 432 führt Polynom-Divisionsoperationen an empfangenen Datensequenzen durch und erzeugt ein Ergebnis in Form des 16 Bit-„Rests" der Division; sie wird für Prüfwort-Verarbeitungsvorgänge und für „Laufzeit"-Prüfvorgänge am Inhalt des EPROMs 232' verwendet. Die CRC-Schaltung 432 wurde in Hardwareform vorgesehen, da sie für den Mikroprozessor eine besonders schwierige Funktion ist, wenn sie in Softwareform vorgesehen wird.
Der E/A-Anschluss wird verwendet, um bestimmte Digitalsignale zu treiben, das heißt: Vital-Frequenzsignale für das Aktive Sicherheitsfilter 34, ein Watchdog-Rücksetzsignal, REQ- und RDY-Signale zur Verwaltung des Zugriffs auf das Dual Port RAM 33.
Der Aktive Vital Filter-Block 34 besteht größtenteils aus einer diskreten Analogschaltung und ist mit inhärent ausfallsicheren Regeln ausgelegt. Er hat die Aufgabe, das gleichzeitige Vorliegen von Signalen mit wohldefinierten Eigenschaften sicher zu erkennen. Wenn die obigen Signale die vorgeschriebenen Eigenschaften (Frequenz und Betriebszyklus) einhalten, löst es das Aktivierungssignal (OK_PWM) für die Vital-Spannungserzeugung aus.
Die besonderen Frequenz-, Betriebszyklus- und Timing-Eigenschaften, die für die Wellen formen erforderlich sind, damit sie als gültig betrachtet werden, gewährleisten ein hohes Sicherheitsniveau gegen Eigenimpulseabgabe, da die unbeabsichtigte Erzeugung von zwei Signalen mit derartigen Eigenschaften sehr unwahrscheinlich ist.
Wenn die zwei Signale in korrekter Form und auf geeignete Weisen und zu geeigneten Zeiten übertragen werden, gibt das aktive Filter die folgenden Ausgangssignale aus:
ein Signal zum Aktivieren des Vital Generators VG 35;
ein optogekoppeltes Diagnosesignal, um den Bediener durch Einschalten der LED ENABLE über den ordnungsgemäßen Betrieb zu informieren.
Der Vital-Generator-Block VG, der durch das Bezugszeichen 35 gekennzeichnet ist, besteht selbst aus einer diskreten Analogschaltung und wurde mit inhärent ausfallsicheren Sicherheitsregeln ausgelegt. Dieser Block hat die Aufgabe, die Vital-Ausgangsspannung (+12 Vdc @ 1,5 W) physikalisch aus der Gleichstromspannung 24 Vdc1 zu erzeugen, wenn er vom Aktiv-Vital-Filter 34 aktiviert ist. Diese Spannung, wenn vorhanden, aktiviert die Erzeugung des Codes, der vom Zugerkennungssignal- und/oder vom codierten Kommunikationssignalgenerator an das Gleis zu übertragen ist.
Blockschnittstellen-Signale
Ausgangssignale
7 ist ein Blockdiagramm des Moduls 202 zum Erzeugen von Zugerkennungssignalen und/oder codierten Kommunikationssignalen. Dieses Modul hat die Funktion, das an das Gleis zu übertragende Signal der vom Vital-Computer-Modul 102 ausgegebenen Steuerung entsprechend sicher zu erzeugen. Sein Aufbau kann in verschiedenen Kontexten verwendet werden, in denen Signale mit unterschiedlichen Eigenschaften erzeugt werden müssen. Das Board wird für die verschiedenen Anwendungskontexte spezialisiert, indem verschiedene Konfigurationen der programmierbaren Logikgeräte verwendet werden.
Das Modul 202 besteht aus den folgenden drei Logik- Abschnitten:
Generator- und Prüferabschnitt 40. Dieser Abschnitt wird durch zwei verschiedene Blöcke geformt; der erstere ist ein digitaler Synthetisator 140, der zwei logische Ausgangssignale ausgibt, die der PWM-Modulation des Signals entsprechen, das vom Vital-Computer-Modul 102 benötigt wird. Die zwei erzeugten Signale sind verschieden, so dass sie die Brücke 143 (8 und 9) hinter den Vital-Schaltern 41 direkt treiben und die Fähigkeit zur Erkennung jeder Fehlfunktion des Prüferblocks 240 verbessern. Der zweite Prüferblock 240, der selbst aus zwei ähnlichen Abschnitten besteht, hat die Funktion, die zwei PWM-Ausgangssignale der Vital-Schalter 41 zu prüfen. Jeder Abschnitt versorgt das Vital-Computer-Modul 102 auf dynamische Weise bei jedem Prüfzyklus mit einem Prüfwort, das eine Funktion sowohl des in diesem Zyklus abgetasteten Signals als auch eines Startworts ist, der sogenannten Vorbedingung, die vom Vital-Computer-Modul 102 empfangen wird. Die Sicherheitsarchitektur ist reaktiven Typs: Wenn eine Inkonsistenz zwischen der Steuerinformation und den wiedergelesenen Prüfwörtern vorliegt, versetzt der Schutzabschnitt 121 des Vital-Computer-Moduls 102 das System in einen sicheren Zustand, wodurch die Übertragung eines Signals zum Gleis durch die Vital-Schalter deaktiviert wird (siehe unten).
Der Vital-Schalter-Block 41 wird durch zwei replizierte Schaltungen geformt und überträgt die Signale vom Generator- und Prüferabschnitt 40 zum Leistungsverstärkerabschnitt 43, vorausgesetzt, dass die „Vital-Spannung", die vom Schutzabschnitt 121 des Vital-Computer-Moduls 102 erzeugt wird, vorliegt. Das Vital-Computer-Modul 102 erzeugt diese Spannung nur dann, wenn Prüfwörter mit dem angeforderten Signal konsistent sind und alle anderen Sicherheitsbedingungen des Systems geprüft worden sind. Die Sicherheitsarchitektur der Schalter ist vom inhärent ausfallsicheren Typ.
Der Leistungsverstärker 43 demoduliert die PWM-Signale und verstärkt sie in einem ausreichenden Maße, um sie an das Gleis übertragen zu können. Der Verstärker ist inhärent ausfallsicheren Typs und verhindert jede Verschlechterung des Signals, das zum Gleis übertragen wird, zu freizügigeren Bedingungen hin.
Das Modul 202 zum Erzeugen des Zugerkennungssignals und codierten Kommunikationssignals empfängt und überträgt Information und/oder Steuerungen durch Verwendung des Schnittstellen-Parallelbusses (VCM_IOBUS).
Die Aktivierung der Signalübertragung erfolgt durch ein diskretes Signal (OK_PWM), das der „Vital-Spannung" entspricht, die vom Schutzabschnitt 121 des Vital-Computer-Modul 102 sicher gehandhabt wird.
Die Steuerung des zu erzeugenden Codes, wie er vom Vital-Computer-Modul 102 durch den VCM_IOBUS empfangen wird, wird vom generatorprogrammierbaren logikbasierten Abschnitt 140 erfasst. Je nach empfangener Steuerung synthetisiert der Generatorabschnitt 140 zwei logische Signale PWM1 und POWM2, die der Generierungssteuerung entsprechen, die vom Vital-Computer-Modul 102 benötigt wird. Es ist anzumerken, dass die Modulationstechnik PWM die Signalamplitudeninformation für das zu erzeugende Signal während der ON- (logisch 1) und OFF-Perioden (logisch 0) des entsprechenden PWM-Signals meldet. Die zwei Signale heben sich normalerweise gegenseitig auf. Wenn die Aktivierungsfunktion an ist, d.h. die vom Schutzabschnitt 121 des Vital-Computer-Moduls 102 erzeugte Vital-Spannung vorliegt, werden die zwei Signale PWM1 und PWM2 an den Leistungsverstärker 43 übertragen, um das an das Gleis zu übertragende Signal zu erzeugen.
Die Prüferabschnitt 240 besteht aus einer programmierbaren Logik und verwaltet zwei unabhängige „Prüfer"-Abschnitte darin, die jeweils PWM1_F und PWM2_F-Signale validieren (die, wie in 7 gezeigt, hinter den Vital-Schaltern den Signalen PWM1 und PWM2 entsprechen).
Die Generator- und Prüferabschnitte 140, 240 sind völlig unabhängig und verwenden zwei getrennte programmierbare Logiken und Zeitbasen (die von verschiedenen Takten erzeugt werden). Der Prüferabschnitt erlaubt der Steuerlogik des Vital-Computer-Moduls 102, die Signale zu validieren, die an den Leistungsverstärker 43 übertragen werden, d.h. erlaubt ihr, die Steuerimpulssequenzen zu prüfen, die vom Generatorabschnitt 140 erzeugt werden und durch Vital-Schalter 41 an die Leistungsstufe übergeben werden.
Bei jedem Steuerzyklus erzeugt jeder Prüfer ein Überprüfungswort an das Vital-Computer-Modul 102, das eine Funktion ist von:
dem Wort, das bei jedem Zyklus vom Vital-Computer-Modul 102 vorgeladen wird (das je nach Prüfer und Zyklus verschieden ist);
der Dauer und dem Zustand der Impulse für das Signal am Eingang des Prüfers 240;
der Position der Fronten im obigen Signal.
Der dynamische Betrieb und die Diversität der Ausgangswörter, die von jedem Prüfer ausgegeben werden, wird durch die Variabilität des Worts gewährleistet, das aus dem Vital-Computer-Modul 102 vorgeladen wird und das je nach Prüfer und Zyklus verschieden ist, wodurch selbst dann, wenn ein konstantes PWM-Signal am Eingang jedes Prüfers vorliegt, verschiedene Überprüfungswörter erzeugt werden.
Es ist anzumerken, dass die Steuerung, die vom Generatorabschnitt 140 gesendet wird, und die Überprüfungswort-, Vorlade- und Lesefunktionen jedes Prüfers unter strikter Zeitsteuerung des Vital-Computer-Moduls 102 liegen, wodurch die Korrektheit der PWM-Sequenz, die in die Verstärkungsstufe 43 eingegeben wird, sowohl durch die Korrektheit der Prüfwörter als auch durch die Zeit zwischen zwei aufeinander folgenden Lesevorgängen gewährleistet wird.
Wenn eine Fehlfunktion erkannt wird, kann das Vital-Computer-Modul das System einen sicheren Zustand zwingen, indem es die Erzeugung von Signalen, die durch Vital-Schalter 41 an das Gleis zu übertragen sind, deaktiviert. Das Vital-Computer-Modul 102 erzeugt die aktivierende Vital-Spannung nur dann, wenn Prüfwörter mit dem angeforderten Signal konsistent sind und alle anderen Sicherheitsbedingungen des Systems geprüft worden sind.
Die Datenschnittstelle zwischen dem Vital-Computer-Modul 102 und dem Signalerzeugungsmodul 202 wird durch Scrambling von Vital-Daten geschützt, um selbst dann ein sicheres Verhalten zu gewährleisten, wenn Modulroutingfehler am VCM_IOBUS auftreten.
Die zwei Digitalsignale PWM1 und PWM2, die vom Generatorabschnitt 140 erzeugt werden, sind durch Vital-Schalter 41 mit dem Leistungsverstärker verbunden, die Optokoppler verwenden, um die galvanische Isolierung zwischen den zwei Abschnitten zu gewährleisten.
Vom funktionellen Standpunkt aus gesehen ist jeder Vital-Schalter 41 so ausgelegt, dass er PWM-Steuerimpulse zu den Treibern der Leistungsstufe durchlässt, wenn er aktiviert ist; wenn demgegenüber eine Fehlfunktion auftritt, wird er deaktiviert, und in diesem Falle ist er ausgelegt, um jedes ausgegebene Steuersignal abzubrechen.
Zu diesem Zweck ist jeder Schalter auf solche Weise vorgesehen, dass er:
schnell genug ist, um den Durchlass von PWM-Steuersignalen zuzulassen, Verzerrungen an übertragenen Impulsen begrenzt, die Verzögerung reduziert, die zwischen dem Eingangssignal und dem Ausgangssignal auftritt (wobei diese Verzögerung klein und wohldefiniert sein muss, damit das Rückkopplungssignal leicht gesteuert werden kann), gewährleistet, dass kein Fehler den Schalter kurzschließen kann, wenn er gesteuert wird, um offen zu sein, gewährleistet, dass das PWM-Signal gesperrt ist, wenn keine Vital-Spannung vorhanden ist, ständige dynamische Tests an seinem Betriebszustand erlaubt, um ausgeschaltet zu werden, wenn das Signal, das zum Leistungsverstärker übertragen wird, verzerrt ist.
Die Signalausgabe von jedem Vital-Schalter 41 wird auf ständige, unabhängige und selbstständige Weise vom entsprechenden Zertifizierungsabschnitt geprüft, um ihre Korrektheit zu kontrollieren. Daher wird jeder Fehler, selbst wenn er zeitweilig ist und nur an einem der zwei Schalter auftritt, der eine Änderung der Signalausgabe vom Vital-Schalter zur Folge hat, vom Vital-Computer-Modul 102 erkannt, der beide Schalter deaktiviert, wodurch eine Steuerung „kein Signal zum Gleis" an den Leistungsverstärker 43 gesendet wird.
Die Aktivierungssteuerung wird von den zwei Schaltern gemeinsam durchgeführt und vom Schutzabschnitt 121 des Vital-Computer-Modul 102 ausgegeben (Vital-Spannung – OK_PWM). Diese Steuerung wird nur dann auf vitale Weise erzeugt, wenn alle Sicherheitsbedingungen des Systems geprüft worden sind. Ein Fehler des Vital-Schalters im Zustand „Schalter aktiviert" stellt kein Risikofaktor dar, da jedes Problem, das während dieses Betriebszustands auftritt, vom Rückkopplungskontrollsystem erkannt wird (der Schutzabschnitt 121 des Vital-Computer-Moduls 102, der den sicheren Betrieb des Subsystems überwacht, kann die Vital-Schalter deaktivieren). Die Schalter sind auf solch eine Weise aufgebaut, dass ein Zustand „Schalter offen" keine Kurzschlussfehler oder Fehler verursacht, die ein Ausgangssignal zur Folge haben.
Beide Vital-Schalter basieren auf der gleichen inhärent ausfallsicheren Schaltung wie die Vital-Eingangsmodule, so dass die gleichen Sicherheitsgrundregeln verwendet werden können.
Der Leistungsverstärkerblock 43 wird verwendet, um die logischen PWM-Signale zu demodulieren und zu verstärken, damit das an das Gleis zu übertragende Leistungssignal auf sichere Weise erzeugt wird, und ist mit inhärent ausfallsicheren Konstruktionstechniken ausgelegt. Der Leistungsverstärker, dessen Blockdiagramm in 8 gezeigt wird, ist zusammengesetzt aus: einer H-Brücke 143, einem WS/GS-Wandler 243, einer Treiberlogik 343, einem Ausgangs-LC-Filter 443.
Streng genommen besteht der Leistungsabschnitt des Leistungsverstärkers 43 aus der H-Brücke 143, die mit Gleichstrom versorgt wird und von den Signalen betrieben wird, die von der Treiberlogik 343 ausgegeben werden. Dieser Block ist aus 4 Leistungsschaltern zusammengesetzt, die angeordnet sind, um ein H zu formen (siehe 9), wobei zwei davon Top-Schalter (A und B) genannt werden und zwei Bottom-Schalter (C und D) genannt werden. Die vier Schalter werden mit den Prüfsignalen betrieben, die aus den zwei Eingaben PWM1_F und PWM2_F erhalten werden, die von den Vital-Schaltern ausgegeben werden. Das auf logisch 1 gesetzte Signal PWM1_F aktiviert die Schließung des Schalters A, wogegen es den Schalter B aktiviert, wenn es auf logisch 0 gesetzt ist; das Signal PWM2_F hat die gleiche Funktion für das andere Schalterpaar. Wenn PWM1_F und PWM2_F komplementär sind, wird daher eine Spannung, die an die Last angelegt wird, je nach entsprechendem Betriebszyklus mit einer positiven, negativen oder Null-Polarität erhalten.
Der WS/DS-Wandler 343 wird verwendet, um aus der 220 Volt Wechselstromeingabe die Gleichstromspannung zu erzeugen, die, die zur Stromversorgung der H-Brücke 143 benötigt wird. Sie wird auch verwendet, um die isolierten Hilfsversorgungsspannungen zu erzeugen, die vom „Treiberlogik"-Block 343 benötigt werden.
Der „Treiberlogik"-Block 343 ist ausgelegt, um die digitalen PWM-Signale, die von den Vital-Schaltern 41 ausgegeben werden, anzupassen und zu filtern, um die Signale zum Betreiben der Leistungsschalter der H-Brücke direkt zu erzeugen. Jedes Schalter-Treibersignal weist die folgenden Eigenschaften auf: logische Signalaufbereitung, um die Spannungs- und/oder Strompegel an die vom Leistungsschalter benötigten Werte anzupassen; galvanische Trennung der Steuersignale, die von den Vital-Schaltern ausgegeben werden, mit Hilfe einer optogekoppelten Schaltung; unabhängige Versorgungsstufe, die von der Versorgung der H-Brücke 143 getrennt ist; Nichtverzerrung der zu übertragenden PWM-Information; Störfestigkeit; keine Eigenimpulsabgabe, die die inhärente Sicherheit des Leistungsverstärker beeinträchtigen könnte.
Darüber hinaus weisen die vier Treiberschaltungen, die im brückenartigen Schaltnetz zusammengenommen betrachtet werden, die folgenden Eigenschaften auf: die 4 Treiber verwenden nur zwei logische Steuersignale; Die TOP und BOTTOM-Schalter der H-Brücke können simultan eingeschaltet werden, um eine Nullspannung an der Last zu erhalten; die Leistungsschalter können spaltenweise komplementär gesteuert werden, um die Kurzschließung der Brückenstromversorgung zu verhindern; die Zeit, die erforderlich ist, damit ein Schalter vor dem Schließen des anderen Schalters derselben Spalte geöffnet wird, wird eingehalten (um das im vorigen Punkt angesprochene Problem zu vermeiden); die Treiber-Stromversorgungen sind getrennt, um zu verhindern, dass die Last oder die Schalter durch gemeinsame Abschlüsse kurzgeschlossen werden: Das heißt, es werden drei separate Stromversorgungen verwendet, einer für BOTTOM-Schalter, und einer für jeden TOP-Schalter.
Das Ausgangs-LC-Filter 443 ist ausgelegt, um die Hochfrequenzkomponente der PWM (25 KHz) einschließlich der Komponenten der Stromversorgungsblock-Schaltfrequenz zu entfernen, und um den Durchlass des nutzbaren Niederfrequenzbands des PWM-Signalspektrums ermöglichen, das die gewünschten harmonischen Komponenten enthält.
10 ist ein Blockdiagramm des Gleisschnittstellenmoduls 402, auch Umkehr-, Schutz- und Diagnosemodul genannt. Dieses Modul erfüllt die folgenden Funktionen: Schutz und Isolierung bei 4 KV/5 min vom Gleis; Umkehr der Signalübertragungsrichtung über das Gleis; um zu gewährleisten, dass codierte Information an den Zug übertragen wird, muss die Signalausbreitungsrichtung der Zugfahrtrichtung entgegengesetzt sein; Erfassung und Übertragung von Diagnoseinformation zur Stationären Vorrichtung.
Diese Funktionen werden vom Modul 402 erfüllt, das aus einer Leiterplatte und aus einem Sende-/Empfangs-Tray zusammengesetzt ist.
Das Board, das im Schnittstellenmodul 402 enthalten ist, kann logisch in zwei Funktionsbereiche unterteilt werden:
der erste Bereich, der der Signalumkehr über den Gleisstromkreis dediziert ist, schließt die Umkehrrelais, den sogenannten Umkehrblock 50, und die betreffenden Umkehrrelais-Steuer- und Positionsleseschaltungen 51 ein. Dieser Bereich muss auch Schutzfunktionen aufweisen, da er die Isolierung zwischen den Relaiskontakten gewährleisten muss, die mit den Yard-Kabeln und den Logikschaltungen verbunden sind.
Der zweite Bereich, der der Diagnose dediziert ist, umfasst die Schaltungen 52 zur Messung einiger elektrischer Größen von diagnostischem Interesse wie z.B. Spannungen und Ströme an den Feldkabeln und die die Messung der Kabelisolierung. Auch dieser Bereich muss Schutz funktionen aufweisen, da er eine galvanische Isolierung zwischen den Diagnosesignalen und dem Rest der Steuer- und Überwachungsuntereinheiten 2 gewährleisten muss.
Das Tx/Rx TRANS-Tray ist zwischen der Umkehrfunktion und den Übertragungslogik-Boards des Moduls 202 zum Erzeugen von Zugerkennungssignalen und codierten Kommunikationssignalen, des Moduls 302 zum Erfassen und Erkennen des Gleisstromkreissignals verbunden. Das Tx/Rx TRANS-Tray erfüllt die folgenden Funktionen:
Isolierung (bei 4 KVdc) zwischen den Logik-Boards der Steuer- und Überwachungsuntereinheit 2 und der Yard-Kabel;
Übertragungssignaleinstellung;
Schutz der Empfangsfunktion vor besonders hohen Spannung außerhalb des Betriebsbereichs des Gleisstromkreises;
Gewinnung von Größen, die zu Diagnosezwecken zu erfassen sind.
Das Tray enthält die folgenden Komponenten: Einen Sendetransformator TA, der eine Primär- und Sekundärwicklung mit variablen Anzapfungen aufweist, einen Empfangstransformator TR, der eine primäre und zwei Sekundärwicklungen TR1 und TR2 aufweist (TR1 wird für die Empfangsfunktion benutzt, wogegen TR2 zu Diagnosezwecken verwendet wird), eine Leiterplatte, worauf das Anschlussstück für die Steueranzapfungen des Transformators TA und ein LCR-Filter zum Schutz des Moduls 302 zum Erfassen und Erkennen des Gleisstromkreissignals angeordnet sind, die zwischen der Anzapfung TR1 des Isoliertransformators TR und dem Eingang des Moduls 302 in Reihe geschaltet sind. Der Transformator TA wird in Abhängigkeit von der Entfernung zwischen der Cab und dem Gleis gesteuert. Zusätzliche Steuerungen, die hauptsächlich die Länge des Gleisstromkreises betreffen, können an Anschlusskästen durchgeführt werden.
Die wichtigsten Funktionen des Stromkreisabschnitts des Moduls 402 sind:
Relaisumkehr (einschließlich des Blocks „Steuerung und Relaisposition" und des Blocks „Relaisumkehrverwaltung")
Diagnoseschaltungen (einschließlich der Blöcke „Diagnoseverwaltung" und „serielle Kommunikation RS232".
Der Umkehrblock 50 hat zu gewährleisten, dass die linken (Sx) und rechten (Dx) Signale stabil mit den gegenüberliegenden Enden des Gleisstromkreises verbunden sind, und dass sie in Abhängigkeit von der Zugfahrtrichtung auf der Strecke umgekehrt werden können. Das heißt, die Übertragungsrichtung des codierten Signals, das an das Gleis zu senden ist, muss der Zugfahrtrichtung stets entgegengesetzt sein. In dieser Architektur gilt die Schaltung, die die Umkehr durchführt, nicht als vital, wogegen die Funktion der Überprüfung der tatsächlichen Position des Schalters als vital gilt. Da die Entfernung des Übertragungssignals vom Gleis zudem sichergestellt wird, indem der Sender ausgeschaltet wird, muss die Umkehrfunktion die Trennung vom Gleisstromkreis nicht unbedingt sicher gewährleisten. Überdies sorgt der Umkehrblock 50, der direkt mit dem Gleisstromkreis verbunden ist, für die bei 4 KVdc erforderliche Isolierung zwischen dem Subsystem und dem Gleis.
Die Wählsteuerung sowie die Funktion des Wiederlesens der Position des Umkehrblocks 50 werden über den Parallelbus VCM_IOBUS vom Vital-Computer-Modul 102 gehandhabt.
Die Umkehrfunktion basiert auf der Verwendung eines Relaispaars, ddx und dsx genannt, die, wenn sie korrekt gesteuert werden, den Sender mit einem Ende des CdB und den Empfänger mit dem entgegengesetzten Ende verbinden. Die Relaisschaltfunktion wird ständig ausgeführt, wenn kein Übertragungssignal vorhanden ist; dies erlaubt das Sicherstellen der erforderlichen Funktionszuverlässigkeit; aufgrund der obigen Betriebsbedingungen sind auch keine besonderen Oberflächenbehandlungen an Relaiskontakten erforderlich. Die Steuerung wird von einer programmierbaren Logik angesteuert, auf die über den VCM_IOBUS zugegriffen werden kann, die die Signale zum Betreiben der zwei Relais erzeugt. Da diese Architektur ein erregtes Relais und ein unerregtes Relais erfordert, damit der Sender mit einem Ende und der Empfänger mit dem anderen Ende verbunden werden kann, oder umgekehrt, sind die einzigen zulässigen Kombinationen der Treibersignale ON/OFF und OFF/ON. Der unerwünschte Zustand mit zwei erregten oder unerregten Relais wird von der Wiederlesefunktion erkannt, die das Subsystem in einen sicheren Zustand erzwingt.
13a zeigt das Schaltungsschema zwischen den zwei Relais und den Kontaktstatus für die linke (sx) Zugfahrtrichtung, wogegen 13b für die Gegenrichtung gilt.
Jedes Relais umfasst: 4 Kontakte, die für die eigentliche Umkehrfunktion verwendet werden; 2 Kontakte, die zur Positionserkennung der Relais verwendet werden; 1 Kontakt, der für Diagnosefunktionen verwendet wird.
Die zwei Relais, die für diese Funktion gewählt wurden, sind Leiterplatten-Sicherheitsrelais, deren Haupteigenschaften sind: Kontakte mit erzwungener Führung, d.h. die mechanisch auf solche Weise verbunden sind, dass im Ruhezustand geschlossene Kontakte und im Ruhezustand offene Kontakte nicht gleichzeitig geschlossen sein können; selbst dann, wenn ein Fehler auftritt (d.h. ein Kontakt klemmt), wird eine minimale Öffnungsdistanz bei antithetischen Kontakten gewährleistet: Isolierung Kontakt/Kontakt- und Kontakt/Spule bei 4 Kdc (dieses Merkmal ist erforderlich, um die notwendige Isolierung zwischen dem Subsystem und dem Gleis zu gewährleisten); es sind keine Wechselkontakte vorgesehen, sondern nur normalerweise geschlossene (NC) oder normalerweise offene (NA) Kontakte, die in den entgegengesetzten Zustand umgeschaltet werden, wenn das Relais ausgelöst wird; 3 NC-Kontakte und 4 NA-Kontakte.
Die Wiederlesefunktion wird vom Vital-Computer-Modul 102 gehandhabt, der auf dynamische Weise zwei Wörter durch die Parallelschaltungen umlaufen lässt, d.h. MODULE0 und MODULE1 (13). Jede Wiederleseschaltung verwendet einen NA-Kontakt eines Relais und einen NC-Kontakt des anderen Relais, die in Reihe geschaltet sind; da die zwei Relais ausschließlich gesteuert werden, hat eine Schaltung beide Kontakte geschlossen, während die andere Schaltung beide Kontakte offen hat (wie in 13 für den Fall „sx" gezeigt). Bezug nehmend auf 13, steuern die umlaufenden Wörter die DRIVE0- und DRIVE1-Signale an, wogegen die Wiederlese-Prüfwörter die SENSE0- und SENSE1-Signale verwenden; das SENSE-Signal ist die logische Negierung des entsprechenden DRIVE-Signals, vorausgesetzt, dass beide Kontakte geschlossen sind (wobei dieser Zustand nur bei einer der zwei Wiederleseschaltungen eintreten kann). Wenn von der Schaltung, die für die Wortrückführung aktiviert ist (beide Kontakte sollten geschlossen sein), oder von der Schaltung, die deaktiviert sein sollte (beide Kontakte sollten offen sein) kein Wiederlesen oder ein unkorrektes Wiederlesen durchgeführt wird, wird dies als eine Umkehrblock-Fehlfunktion interpretiert.
Die Vital-Schaltung zum Wiederlesen des Zustands des Umkehrblocks 50 ist auf solche Weise ausgelegt, dass jeder Komponentenfehler oder Stromversorgungsverlust das Lesen des Prüfworts verhindert: Die Korrektheit des Prüfworts hängt vom korrekten Empfang des Prüf worts durch die Hardware ab (Scrambling, Signatur).
Die Datenschnittstelle zwischen dem Vital-Computer-Modul 102 und dem Schutz-, Umkehr- und Diagnosemodul 402 ist durch gängige Signatur- und Scrambling-Techniken geschützt.
Die Sicherheitsarchitektur dieser Funktion ist reaktiven Typs, und derart, dass gewährleistet ist, dass das Subsystem im Falle eines Fehlers davon in den Sicherheitszustand geschaltet werden kann.
Die folgende Tabelle listet die Signale auf, die mit dem Umkehrblock verbunden sind.
Die Diagnosefunktionen für die Yard-Daten sind auf nicht vitaler Hardware implementiert und werden von einem kommerziellen Modul mit einem Onboard-Mikroprozessor gehandhabt, das mit dem Systemdiagnosenetz verbunden ist. Das kommerzielle Modul namens Echelon ist ein „Universalmodul", das 10 diskrete E/A-Kanäle verwaltet; durch Verwendung eines externen A/D-Wandlers kann es 8 zusätzliche Analogkanäle erfassen.
Das Mikroprozessor-Modul schließt eine zweite serielle RS232-Schnittstelle ein, die mit dem Vital-Computer-Modul 102 verbunden ist und benutzt wird, um die Information zu empfan gen, die zur Prüfung der Yard-Signale benötigt wird, wie z.B. die Signalübertragungsrichtung auf der Gleisstromkreis. Das obige Modul ist optional und wird nur dann vorgesehen, wenn ein Diagnosenetz verfügbar ist, z.B. vom Typ Echelon, an welches Diagnoseinformationen über die Cab/Yard-Schnittstelle nur gesendet werden.
In der Architektur des Schutz-, Umkehr- und Diagnosemoduls wird das Diagnosemodul verwendet, um die folgenden Größen zu erfassen:
Isolierung der linken (sx) und rechten (dx) Kabel vom Gleis (auch diese Information wird von zwei LEDs auf der Frontplatte angezeigt);
Strom an der Sekundärwicklung des Sendetransformators (von einem Hall-Effekt-Sensor gemessen);
Spannung an der Sekundärwicklung des Sendetransformators (von einem Hall-Effekt-Sensor gemessen);
Leistung des Signals, das innerhalb des Bands empfangen wird (das Signal wird von einer separaten Sekundärwicklung des Empfangstransformators empfangen);
Leistung des Signals, das außerhalb des Bands empfangen wird;
Frequenz des Modulationsträgers des Übertragungssignals.
Alle Schaltungen, die zur Signalerfassung und -aufbereitung erforderlich sind, werden von einer unabhängigen Stromversorgung mit Strom versorgt und sind bei 4 V DC vom Gleis isoliert.
Der Aufbau des Diagnosemoduls wird in 14 gezeigt.
15 bis 21 zeigen verschiedene Details des Moduls zum Erfassen und Erkennen des Gleisstromkreissignals. Dieses Modul ist als ein Sicherheitsgleisstromkreissignalempfänger ausgelegt, der im Band 40 Hz–1 kHz betrieben wird und verwendet wird, um die codierten Signale zu erkennen, die vom n-Code-Block-System bereitgestellt werden, und die „Festfrequenz"-Signale, wenn kein Code vorhanden ist.
Die Sicherheitsarchitektur des APRX-Moduls schließt, wie oben erwähnt, zwei Erfassungs- und Aufbereitungskanäle 60, 61 ein, die von einer Eingangsstufe 62 entkoppelt sind. Letztere ist mit inhärent ausfallsicheren Techniken ausgelegt, die gewährleisten, dass die Ausgangssignale, die von den zwei Kanälen erfasst werden, sich nicht aufgrund eines Fehlers zu freizügigeren Bedingungen hin verschlechtern können.
Jeder Kanal 60, 61 auf der Basis eines Digitalsignalprozessors DSP verwendet dedizierte Hardware und schließt, wie in 16 gezeigt, selbständige Testfunktionen ein, die ständig und vom Gleisstromkreiszustand unabhängig betrieben werden.
Die Fehlererkennung für jeden Kanal wird durch Messung der lokal erzeugten Prüfsignale durchgeführt, insbesondere sind vorgesehen: ein Signal zur Prüfung der korrekten Amplitude des Eingangssignals; ein Signal zur Prüfung der korrekten Frequenz des Eingangssignals; ein Monitor für alle internen Versorgungs- und Bezugsspannungen.
Die Verneinung von Fehlereinflüssen wird der Ausgabekonstruktionsfunktion zugewiesen, die eine korrekte Messung aller Test- und Bezugssignale erfordert, um eine zulassende Ausgabeinformation zu erzeugen.
Das Board ist aus den folgenden Funktionsblöcken aufgebaut: einem Stromversorgungsblock 63, der alle internen Stromversorgungen und Bezugsspannungen bereitstellt, die von den zwei Kanälen des Moduls 302 benötigt werden, eine Eingangssignalschaltung 64, die mit inhärent ausfallsicheren Techniken ausgelegt ist und das empfangene Signal an die zwei Kanäle 60, 61 verteilt und es erlaubt, dem Eingangssignal das Amplitudenprüfsignal hinzuzufügen; dem Kanal A 60 und dem Kanal B 61, die aus replizierter Hardware bestehen. Die zwei Kanäle arbeiten unabhängig, d.h., sie erfassen das Gleissignal und übertragen die codierte Information/Festfrequenz-Information, die auf dem Gleis erkannt wurde, über einen Dual Port-Speicher 70 an das Vital-Computer-Modul 102.
Jeder Verarbeitungskanal 60, 61 ist wiederum aus den folgenden Funktionsblöcken zusam mengesetzt: Eine Logik 160, 161 mit den folgenden Funktionen: Messung des Gleisstromkreissignals, Messung der Prüfsignale und der internen Bezugssignale; Demodulation des Signals und Erkennung der Codes; Codierung und Übertragung der Information an das Vital-Computer-Modul 102; einer Testlogik 260, 261, die die Prüf-, Amplituden- und Frequenzsignale bereitstellt, die verwendet werden, um die Integrität des Messkanals zu prüfen.
Jeder Kanal verwendet einen Dual Port RAM 70, um durch die Schnittstelle VCM_IOBUS Information mit dem Vital-Computer-Modul 102 auszutauschen. Diese Datenschnittstelle zwischen dem Vital-Computer-Modul 102 und dem Modul 302 zum Erfassen und Erkennen von Gleisstromkreissignalen wird durch Scrambling der Vital- Daten geschützt, um ein sicheres Verhalten selbst dann zu gewährleisten, wenn Modulroutingfehler im VCM_IOBUS auftreten.
Der Gleisstromkreissignal-Erkennungsalgorithmus, der von jedem der zwei Kanäle 60, 61 verwendet wird, erzeugt ein internes Wort „Signal vorhanden abwesend"; diese Wörter, die für jedes codierte Signal/Festfrequenzsignal vorgegeben und für die zwei Kanäle 60, 61 verschieden sind, werden beim Start jedes Zyklus mit codiertes Signal/Festfrequenzsignal „abwesend" initialisiert. Jeder Kanal 60, 62 tastet das Gleisstromkreissignal mit leicht abweichenden Abtastfrequenzen ab, die etwa um 16 KHz abweichen. Dann wird das abgetastete Signal von zwei Parallelprozessen digital gefiltert und analysiert, die es als ein Codesignal oder als Festfrequenzsignal erkennen, das heißt:
Codeerkennung: Das gefilterte Signal wird demoduliert, wodurch die Rechteckwelle erhalten wird, die das Codemodulationssignal darstellt. Die Erkennung eines bestimmten Codes, wie sie durch Analyse der ON/OFF-Dauer dieser Rechteckwelle erhalten wird, ändert das Wort, das dem erkannten Code entspricht, von abwesend zu vorhanden um;
Festfrequenzsignalerkennung: Die Erkennung des Festfrequenzsignals wird erhalten, indem die Phase des erfassten Signals mit einem internen 50 Hz-Bezugssignal verglichen wird. Die Erkennung eines bestimmten Festfrequenzsignals wird durch Analyse der obigen Phasendifferenz im Zeitbereich (Phase/Gegenphase und Übergangszeiten) erhalten; das Wort, das dem erkannten Festfrequenzsignal entspricht, wird von abwesend zu vorhanden umgeändert.
Jedes der obigen internen Wörter, die einem Codesignal oder Festfrequenzsignal zugeordnet sind, wird ferner durch einen Prozess geändert und dem Vital-Computer-Modul VCM 102 im Dual Port-Speicher 70 zugänglich gemacht, der ein Wort benutzt, „Zeitstempel" genannt, das in jedem Zyklus aus dem Vital-Computer-Modul 102 vorgeladen wird und von einem Zyklus zum anderen variiert; das zuvor bestimmte Wort Code/Festfrequenz vorhanden abwesend; die korrekte Messung aller Test- und Bezugssignale.
Der dynamische Betrieb und die Diversität der Ausgabewörter, die von jedem Kanal ausgegeben werden, wird durch die Variabilität des „Zeitstempels" gewährleistet, der aus dem Vital-Computer-Modul 102 vorgeladen wird und von einem Zyklus zum anderen variiert, und durch die abweichende Code/Festfrequenz-Codierung, die von den zwei Kanälen 60, 61 durchgeführt wird, wobei selbst dann, wenn am Eingang der zwei Kanäle dasselbe Signal erkannt wird, verschiedene Statuswörter erzeugt werden.
Die Funktion des Vergleichens der Ergebnisse, die von den zwei Kanälen 60, 61 erzeugt werden, ist nicht diesem Modul zugewiesen, sondern dem Vital-Computer-Modul 302. Diese Designanordnung erlaubt die Durchführung der Funktion auf selbständige Weise.
Die folgende Tabelle listet, wie in 17 schematisch gezeigt, die Schnittstellensignale zwischen dem Modul 302 und den anderen Boards der Steuer- und Überwachungsuntereinheit 2 auf.
Wie in 16 gezeigt, sind der Stromversorgungsblock 63 und der Eingangssignalschaltungsblock 62 beiden Kanälen gemeinsam; eine Beschreibung wird im folgenden für beide gemeinsamen Blöcke gegeben, wogegen nur einer der zwei Verarbeitungskanäle, die funktional identisch sind, beschrieben wird.
17 zeigt auf schematische Weise den Funktionsblock zum Erzeugen interner Stromversorgungen. Dieser Block weist die folgenden Eingaben auf:
+5 VDC: Spannung, die von der Schaltstromversorgung erzeugt und geregelt wird, die im Logik-Rahmen enthalten ist. Die folgenden internen Stromversorgungen werden dank der Spannungsregler, die für die zwei Kanäle repliziert sind, aus dieser Stromversorgungsspannung gewonnen:
die Spannungen von 3,3 V/1,8 V und ±5 V, die für den ordnungsgemäßen Betrieb der Logik erforderlich sind;
die Testbezugsspannung (2,5 V), die als Bezugsspannung zum Erzeugen des Amlitudenprüfsignals verwendet wird;
24 Vdc2: Die folgenden internen Stromversorgungen werden aus dieser Spannung erhalten:
eine Spannung von 4,1 V, die als Bezug für die Amplitude des Gleissignals verwendet wird;
replizierte Spannungsregler sind an beiden Kanälen für diese Funktion vorgesehen;
die Stromversorgungsspannung sowohl für das Gleissignalmessgerät als auch für den Frequenzprüfsignalgenerator.
Die erzeugten Spannungen sind in der folgenden Tabelle zusammengefasst:
Der obige Funktionsblock 63 hält die folgenden Sicherheitsregeln ein:
er gewährleistet die Unabhängigkeit zwischen den Bezugsspannungen, die zur Messung des Gleissignals verwendet werden (wie sie aus der 24 V2-Spannung abgeleitet werden), und der Spannung, die verwendet wird, um das Amlitudenprüfsignal zu erzeugen. Dies erlaubt die Erkennung jeder Messbezugsspannungsänderung, die durch Fehler oder Versorgungsspannungsschwankungen verursacht wird;
er gewährleistet die Unabhängigkeit zwischen der Spannung, die zum Erzeugen der Zeitbasis der Logik verwendet wird (die aus der 5 V-Spannung abgeleitet wird) und der Spannung, die zum Erzeugen des Frequenzprüfsignals verwendet wird (die aus 24 VDC2 abgeleitet wird);
er gewährleistet die Unabhängigkeit der Bezugsspannungen zwischen den zwei Verarbeitungskanälen. Diese Bedingung wird durch Verwendung physikalisch getrennter Spannungsregler erreicht.
18 zeigt das Blockdiagramm der Eingangsschaltung 62 für das Gleisstromkreissignal, die aus den folgenden Funktionen zusammengesetzt ist: Brückenaddierer 162, Antialiasing-Filter 262.
Die Signaleingangsstufe 62 umfasst einen Brückenaddierer 162, der die Doppelfunktion der Verteilung des Gleisstromkreissignals die an zwei Messkanäle 60, 61 und des Addierens des Amplitudenprüfsignals jedes Kanals des Gleissignals hat.
Die Eingangssignalschaltung ist auf „inhärent ausfallsichere" Weise ausgelegt, um sicher zu gewährleisten, dass das Verhältnis zwischen der Blockausgangsspannung und der Eingangsspannung nicht aufgrund von Fehlern zunimmt, ohne durch Prüfsignalmessung erkannt zu werden.
Dieser Block verwendet einen Transformator, der zwei Sekundärwicklungen für die Signalverteilung aufweist. Prüfsignale werden eingeleitet, indem eine Brücke hergestellt wird, die zwischen einer zentralen Anzapfung der Sekundärwicklung und dem Signalmesspunkt geschwenkt wird. Die Komponenten der Messbrücke weisen solch eine Technologie auf, dass sie gewährleisten, dass kein fehlerbedingter Spannungsanstieg am Messpunkt zu erwarten ist.
Die Wahl eines Prüfsignals zur Prüfung der Signalmessamplitude gewährleistet die Erkennung von Fehlern hinter dem Prüfsignal-Einleitungspunkt (aus diesem Grund muss der Einleitungspunkt am obersten Punkt angeordnet sein); alle Schaltungen vor dem Prüfsignal-Einleitungspunkt sind mit inhärent ausfallsicheren Sicherheitsregeln auszulegen.
Hinter dem Signaltrennungsblock 164 ist ein Tiefpass-, Antialiasing-Filter für jeden Verarbeitungskanal 60, 61 vorgesehen. Das Filter weist solch eine Grenzfrequenz auf, dass gewährleistet ist, dass das Modul 302 ein Eingangsband von 1 KHz aufweist.
Die potentiellen Auswirkungen des Antialiasing-Filters 262 auf die Sicherheit könnten sein:
ein verändertes Eingangs/Ausgangssignalverhältnis; das heißt, eine Zunahme der Verstärkung (oder eine Abnahme der Dämpfung) wirkt sich nachteilig auf die Sicherheit aus. Dieses hypothetische Ereignis wird durch Messung des Amplitudenprüfsignals erkannt, das vor dem Antialiasing-Filter 264 eingeleitet wird. Da der Filter zudem nur aus passiven Bauteilen besteht, die eine vernachlässigbare Dämpfung im Durchlassband haben, ist dieses Ereignis praktisch unmöglich;
veränderte Grenzfrequenz. Eine Erhöhung der Grenzfrequenz über die Hälfte der Abtastfre quenz hinaus (Nyquistsches Theorem) beeinträchtigt potentiell die Sicherheit, weshalb über diese Frequenz hinaus Rauschen zu erwarten ist, und solche Charakteristika, die aufgrund des Alias-Effekts mit den erwarteten Signalen verwechselt werden können. Die Abhilfe dagegen ist dem Logikblock zugewiesen, der eine Abtastfrequenz von ~16 KHz verwendet, die über dem Zug-Rauschband liegt. Ferner stellt die Verwendung von modulierten Signalen sowohl in Codeübertragungszuständen als auch in Nicht-Code-Zuständen einen zusätzlichen Sicherheitsschlüssel bereit.
Der Logik-Funktionsblock 160, 161, wie in 21 gezeigt, erfüllt die folgenden Funktionen:
Abtastung von 8 Analogsignalen mit einer Abtastfrequenz von bis zu 18 KHz pro Kanal;
Verarbeitung der erfassten Signale;
Schnittstellenbildung zum Vital-Computer-Modul 102.
Der Logik-Funktionsblock ist aus den folgenden drei physikalischen Blöcken zusammengesetzt:
einem Erfassungsblock 80, der auf einem Analog-Digital-Wandler ADC zur Abtastung und Messung von 8 Analogsignalen basiert;
einem Verarbeitungsblock 81, der auf einem Mikroprozessor basiert, der spezifisch für die Digitalsignalverarbeitungsoperationen (DSP) ausgelegt ist, und auf der Verwendung von Flash-Speichern, Taktgeber und Oszillatoren;
einer Schnittstelle 82 zum Vital-Computer-Modul 102.
Der Erfassungsblock 80 besteht aus einem AD-Wandler mit acht Eingangskanälen, die wie folgt genutzt werden:
Kanal 1: Abtastung des Gleissignals. Es ist anzumerken, dass das Gleissignal durch das Vorhandensein des Amplitudenprüfsignals amplitudenübersetzt wird.
Kanal 2: Abtastung des Frequenzprüfsignals.
Kanäle 3, 5, 7: Abtastung der internen Bezugsspannung.
Kanäle 4, 5, 8: Abtastung der Bezugsmasse.
Der AD-Wandler stellt eine Digitalausgabe bereit, die der Eingangsspannung bei der Abtastung entspricht; dieser Ausgangswert hängt von der Bezugsspannung ab, die dem Wandler zugeführt wird.
Die Architektur des Messkanals, der die obigen Prüfsignale verwendet, erlaubt die Erkennung und korrekte Handhabung jedes Messfehlers.
Es ist anzumerken, dass die Wahl, das Amplitudenprüfsignal zum Gleissignal zu addieren eine komplette und ständige Prüfung des Erfassungskanals erlaubt, der der Gleissignalmessung dediziert ist.
Andere potentielle Signalabtastungsfehler können sein:
falscher Erfassungskanal: die Signale, die auf den verschiedenen Kanälen des AD-Wandlers vorhanden sind, sind mit Frequenz-, Modulations- und Amplitudenmerkmalen definiert worden, die so verschieden sind, dass sie nicht verwechselt werden können. Diese Fehlfunktion verhindert jede Erkennung der Signale für die betreffenden Kanäle.
Abtastfrequenzdrift: Dieses Risiko wird durch Messung der Frequenz des Frequenzprüfsignals vermieden, das, wie oben erwähnt, nicht vom zeitbasiserzeugenden Gerät des Logikabschnitts erzeugt wird.
Jeder Kanal 60, 61 ist mit einem DSP-Mikroprozessor ausgestattet; solche Mikroprozessoren sind spezifisch ausgelegt, um sequentielle Multiplikations- und Additionsoperationen zur Bestimmung von Digitalfiltern durchzuführen. Der DSP-Prozessor, der die Anwendungssoftware ausführt, ist ausgelegt, um die Signale zu filtern und zu demodulieren und deren Codes zu erkennen. Dieser Block schließt auch die Hilfsstromkreise ein, die für den DSP-Betrieb erforderlich sind, das heißt:
einen Taktgeber, wobei die Drifts dieses Signals durch Messung der Frequenz des Frequenzprüfsignal erkannt werden;
einen Flash-Speicher, der benutzt wird, um das Anwendungsprogramm in Stromausfallzuständen zu speichern. Die Codeintegritätsprüfung beim Einschalten schützt vor allen Risiken, die mit dieser Funktion verbunden sind;
RAM Speicher: die DSP-Mikroprozessoren der gewählten Familie schließen einen „On-chip" RAM-Speicher ein, der für Anwendungen nach dem Stand der Technik ausreicht, weshalb gegenwärtig kein Zusatzspeicher erforderlich ist. Für weitere Anwendungen ist das Hinzufügen von optionalem Zusatzspeicher auf dem Board vorhergesehen worden;
ein auf programmierbarer Logik basierendes Gerät, das den Dual Port-Speicher bildet, der dem Vital-Computer-Modul 102 und anderen Logikfunktionen wie z.B. der externen Adressdecodierung und der Erfassungsgerätesteuerung gemeinsam benutzt wird.
Eine Schnittstelle zum Vital-Computer-Modul 102. Diese Schnittstelle wird durch einen Dual Port-Speicher bereitgestellt. Jeder Simultanzugriff auf den Speicher durch das Vital-Computer-Modul 102 und das Modul 302 zum Erfassen und Erkennen des Gleisstromkreissignals, d.h. durch VCM und APRX, wird von dedizierten Logikschaltungen verwaltet. Sowohl der Dual Port-Speicher als auch die relevanten Logikschaltungen bestehen aus programmierbarer Hardware. Der Schutz vor jedem Fehler der Dual Port-Speicherfunktion, wie z.B. Data-Freezing, Fehlrouting oder falsche Zugriffsarbitrierung wird durch Softwareabhilfen gewährleistet.
Für jeden Verarbeitungskanal 60, 61 sind zwei verschiedene Routingbereiche vorgesehen, die jeweils für den Vital- und Nicht-Vital-Informationsaustausch vorgesehen sind. Wie in 20 gezeigt, werden die vom Modul 302 bereitgestellten Daten durch mechanisches Scrambling der Busdaten verändert, das physikalisch auf der Hauptplatine durchgeführt wird, wenn bestimmte vitale Datenbereiche geroutet werden. Das Scrambing wird für jede Hauptplatinenposition auf andere Weise durchgeführt; diese Technik erlaubt es, die Ausgaben, die von jedem Modul erzeugt werden, zu differenzieren. Dies gewährleistet einen Schutz vor jedem Routingfehler für die Module am VCM-IOBUS. Zugriff auf nicht vitale Bereiche werden nicht durch Scrambling differenziert; dies vereinfacht die Verwaltung von Nicht-Vital-Daten innerhalb des Vital-Computer-Moduls, wodurch jede Decodierung als eine Funktion des gerouteten Moduls vermieden wird.
Die Prüflogik-Module 260, 261 erzeugen zwei Prüfsignale, wie in 21 gezeigt, d.h.:
Test1, um die Amplitude des Messkanals zu prüfen;
Test2, um die Zeitbasis des Messkanals zu prüfen.
Die Erzeugung des Test1-Signals stellt ein Signal bereit, dessen Amplitude durch die Logik eingestellt werden kann; die Logik verändert die Amplitude des Prüfsignals zyklisch, um die Vitalität der Funktion zu gewährleisten. Aus Sicherheitsgründen sind die Bezugsspannung, die zum Erzeugen des Signals Test1 verwendet wird, und die, die zum Messen des Gleissignals verwendet wird, unabhängig und werden von selbständigen Stromversorgungen erzeugt. Diese Bedingung wird vom „Stromversorgungsblock" gewährleistet, der die Messbezugsspannung aus der externen Spannung 24 Vdc2 und die Bezugsspannung zum Erzeugen des Prüfsignals aus der externen Spannung von +5 V erzeugt. Diese Technik stellt sicher, dass jeder Kanal solche Änderungen jeder Stromversorgungsspannung, die die Bezugsspannungswerte ändern, auf unabhängige Weise erkennen kann.
Demgegenüber hat das Test2-Signal den Zweck, die Logikfunktion mit einem zeitbasisunbezogenen Frequenzbezug zu versorgen. Zu diesem Zweck schließt die Sicherheitsarchitektur für diese Funktion einen dedizierten Oszillator ein, dessen Versorgungsspannung von der Logik-Versorgungsspannung unabhängig ist (die Spannung +5 Vb, wie in 22 gezeigt, wird vom „Stromversorgungsblock" aus einer Spannung 24 VDC2 erzeugt, wogegen die Logik-Versorgung aus der Spannung +5 V abgeleitet wird).
22 zeigt eine spezifische Konfiguration des Systems, in welcher Feststromsignale für die Zugerkennung verwendet werden, sowie eine Zugkommunikationssignalcodierung mit vier Codes.
Ein Zug wird durch Einleitung eines Feststromsignals in jeden Gleisstromkreis erkannt, d.h. eines Signal, das einen festen Strompegel aufweist, wenn es decodiert ist. Das Signal, das vom Sender an den Gleisstromkreis zum Empfänger in eine Richtung übertragen wird, die der Zugfahrtrichtung entgegengesetzt ist, wird empfangen, wenn kein Zug erkannt wird. Wenn ein Zug vorhanden ist, werden die Schienen vom Zug selbst kurzgeschlossen, und der Empfänger wird von keinem Signal erreicht.
Die Steuer- und Überwachungsuntereinheit 2 nach der vorliegenden Erfindung und der obigen Offenbarung kann auf geeignete Weise durch das geeignete systemspezifische Konfigurationsprogramm konfiguriert werden, das mit dem von der systemspezifischen Struktur unabhängigen Verarbeitungsprogramm für die ITALIA 4-Code Automatikblock-Anwendung zusammenwirkt, und kann die folgenden Signale handhaben (senden/empfangen/erkennen):
Codes;
„Festfrequenz"-Signal, das verwendet wird, um die Funktion belegt/unbelegt zu erhalten, wenn kein Code vorhanden ist (kein Weg oder Routing).
Wie oben beschrieben, wird der Gleisstromkreis codiert, indem eine Trägerfrequenz eine bestimmte Zahl von Malen pro Minute unterbrochen wird (Amplitudenmodulation). Diese Anwendung benutzt vier Codetypen. Diese Typen werden erhalten, indem eine 50 Hz-Trägerfrequenz verwendet wird, die 75, 120, 180 oder 270 mal pro Minute unterbrochen wird (der entsprechende Code wird durch die Zahl der Unterbrechungen pro Minute bestimmt).
Die Eigenschaften des Feststrom (CF)-Zugerkennungssignals müssen die Aufrechterhaltung von Sicherheitsbedingungen selbst dann gewährleisten, wenn Isolationsverluste an den Muffen zwischen benachbarten Gleisstromkreisen auftreten. Die Architektur der erfindungsgemäßen Steuer- und Überwachungsuntereinheit 2 erlaubt das Vorsehen eines Senders für jeden Gleisstromkreis, der durch das Netzwerk mit der zentralen Steuer- und Überwachungseinheit 1 verbunden ist. Die Träger, die von Sendern verwendet werden, werden lokal erzeugt, weshalb sie keine Phasenbeziehung zueinander aufweisen. In Bezug auf die Phasendifferenz zwischen zwei benachbarten Gleisstromkreisen ist keine Annahme möglich.
Deshalb wird in das CF-Signal eine Modulation eingebracht, die zwischen benachbarten Gleisstromkreisen unterschiedlich ist und geeignet ist, die Sicherheitsbedingungen selbst dann zu gewährleisten, wenn Strom von einem Gleisstromkreis und dem folgenden übertragen wird.
Die hier implementierte Anordnung schließt die Verwendung von verschiedenen CF-Signalen ein (4 Sätze), die den Gleisstromkreisen auf geeignete Weise zugewiesen werden, um zu gewährleisten, dass dieses Signal nicht auf benachbarten Gleisstromkreisen vorhanden ist. In allen Sätzen besteht das Signal aus einem 50 Hz-Träger, der in Bezug auf einen hypothetischen 50 Hz-Bezug auf alternierende Weise gleichphasig und gegenphasig übertragen wird. Die Sätze werden durch die Zeitintervalle zwischen zwei aufeinander folgenden Phasenschritten differenziert. Entgegengesetzte Abschnitte werden durch 555,55 Hz-Signalperioden verbunden, um einen progressiven Übergang zu gewährleisten. Diese Anordnung stellt am Ausgang eines auf 50 Hz abgestimmten Passband-Filters ein konstantes Amplitudensignal bereit, das die Belegungserkennung jederzeit gewährleistet.
Das implementierte Signal wird in 22 gezeigt.
Signalfrequenzen werden auf der Basis der folgenden Regeln gewählt:
50 Hz- und 55,55 Hz-Frequenzen können keinen Gleisstromkreis stören, oder von diesem gestört werden, der mit benachbarten Phasensteuerempfängern ausgestattet ist; es ist anzumerken, dass die zwei Systeme die 50 Hz-Frequenz auf verschiedene Weise nutzen, d.h., der Phasensteuerempfänger verwendet sie permanent, und die Steuer- und Überwachungsuntereinheit 2 verwendet sie abwechselnd mit der 55,55 Hz-Frequenz;
die Filterdämpfung am Eingang des Signalerfassungs- und -erkennungsmoduls (das auf etwa 50 Hz abgestimmt ist) wird bei der Frequenz von 55,55 Hz durch die Verstärkung der induktiven Gleisverbindungen ausgeglichen;
eine geeignete Rauschmaske wie z.B. die Rauschmaske FS-96 sorgt dafür, dass bei etwa 50 Hz kein Rauschen den normalen Betrieb einschränken kann.
Die Dauer des Abschnitts T1 wird verwendet, um die verschiedenen Gleisstromkreis-Sätze zu differenzieren, wie in der folgenden Tabelle gezeigt:
Der Abschnitt T2 hat eine Dauer von 90 ms (5 f2-Perioden), wobei dieser Wert es erlaubt, eine Phasendrehung von 180° zu erhalten.
Die Zeit T1 wurde in Anbetracht dessen bestimmt, dass:
T1 eine kurze Periode sein muss, um im Falle von Isolationsverlusten an der Muffe die Verschlechterung der Empfänger-Ansprechzeit zu reduzieren; wenn ein Isolationsverlust auftritt, ist zu erwarten, dass das Signal durch ein phasengleiches Signal gestört wird, das vom benachbarten Gleisstromkreis abgegeben wird, wodurch einige ms lang eine Signalverstärkung am Empfänger verursacht wird. Die längste Signalverstärkungszeit entspricht der kürzeren von der Dauer des betreffenden Gleisstromkreissignals und der des benachbarten Gleisstromkreissignals;
die T1-Differenz zwischen den zwei Sätzen muss mindestens 100 ms betragen, damit die Erkennung des Satzes, dem das Signal angehört, aus sichere Weise gewährleistet wird.
Einer Ausführungsvariante gemäß kann eine Codierung mit neun Codes verwendet werden. In diesem Fall kann das oben erwähnte PWM-codierte Signal zu einem zusätzlichem Signal addiert oder mit diesem überlagert werden, das durch eine identische PWM-Modulation eines Trägers abgeleitet wird, der eine andere Frequenz hat, d.h. ein Träger mit 100 bis 200 Hz, insbesondere mit 178 Hz.
Liste der Abkürzungen und Akronyme, die in den Zeichnungen und in der Beschreibung verwendet werden

@

gemessen bei

A/D

Analog-Digital

ADC

Analog-Digital-Wandler

ASCV

Vital-Computer-Bahnhofseinrichtung

ASCVGS

Vital-Computer-Bahnhofseinrichtung für große Bahnhöfe

AVF

Aktiver Vital-Filter

CA, ca, AC

Wechselstrom

CC, cc, DC

Gleichstrom

CdB

Gleisstromkreis

FC

Feststrom

CPU

Zentrale Verarbeitungseinheit

CRC

Zyklische Blockprüfung

D/A

Analog-Digital

DSP

Digitalsignalprozessor

FNET

Feldnetz

FSFB2

Ausfallsicherer Feldbus der 2. Generation

HDLC

Bitorientierte Datenübertragungssteuerung

HW

Hardware

I/O

Eingang/Ausgang (E/A)

MGRC

Codeerzeugungs- und Empfangsmodul

NISAL

Numerisch integrierte Sicherheitssicherungslogik

PAL

Stromversorgungstafel

PCL

Verarbeitungssteuerlogik

PDP

Polynom-Dividierer

PWM

Pulsweitenmodulation

RAM

Direktzugriffsspeicher

RCF

Phasensteuerempfänger

Rx

Empfang

SAL

Sicherheitssicherungslogik

SIL

Sicherheitsintegritätsgrad

SRS

Substystem-Anforderungsspezifikation

SW

Software

Tx

Übertragung

UAB

Gleisversorgungseinheit (Klemmenkasten)

V&V

Prüfung & Validierung

VG

Vital-Generator

VPC2

Vital-Stromregler Version 2

Claims

System zur Gleisfreimeldung einer Eisenbahnstrecke, oder ähnliches, und zur digitalen Kommunikation mit Zügen auf dieser Strecke, wobei a) das Gleis, das die Eisenbahnstrecke formt, in eine Vielzahl von aufeinanderfolgenden, galvanisch isolierten Gleissegmenten unterteilt ist, die eine bestimmte Länge haben, die sogenannten Blöcke, wobei die Schienen jedes isolierten Gleissegments einen Gleisstromkreis (cdB, cdB1, cdB2, cdB3) bilden, um das Vorhandensein eines Zuges in diesem isolierten Gleissegment zu erkennen, um mit einem Zug innerhalb dieses isolierten Gleissegmentes zu kommunizieren und/oder um Diagnosedaten über den Zustand dieses isolierten Gleissegments zu erkennen; b) eine zentrale Steuer- und Überwachungseinheit (1) vorgesehen ist, die Steuersignale erzeugt und sendet, um Zugerkennungsprozeduren und/oder Zugkommunikationsprozeduren in Bezug auf einen Zug auf diesem isolierten Gleissegment auszufürhren und/oder Diagnoseprozeduren auszuführen; c) diese zentrale Steuer- und Überwachungseinheit (1) durch eine Steuer- und Überwachungsuntereinheit (2, 2', 2''), die jedem isolierten Gleissegment oder Gleisstromkreis (cdB, cdB1, cdB2, cdB3) zugehörig ist, mit dem Gleisstromkreis (cdB, cdB1, cdB2, cdB3) jedes isolierten Gleissegments kommuniziert, um Codes zu erzeugen und zu empfangen, und diese Steuer- und Überwachungsuntereinheit (2, 2', 2'') die Prozeduren zum Erkennen des Vorhandenseins eines Zugs (T) im zugehörigen isolierten Gleissegment, die Kommunikationsprozeduren und/oder die Diagnoseprozeduren ausführt und dem Vorhandensein oder der Abwesenheit des Zugs im entsprechenden isolierten Gleissegment und/oder der geeigneten Kommunikation, die mit dem Zug hergestellt wird, und/oder Diagnosesignalen in Bezug auf den Gleisstromkreis (cdB, cdB1, cdB2, cdB3) entsprechend Steuersignale sendet, und die zentrale Steuer- und Überwachungseinheit (1) über deren Ergebnisse informiert; d) jede Steuer- und Überwachungsuntereinheit (2, 2', 2''), die jedem entsprechenden isolierten Gleissegment zugehörig ist, durch einen Sender und einen Empfänger (3, 4) mit seinen Enden verbunden ist; e) und jede Steuer- und Überwachungsuntereinheit (2, 2', 2'') und ihr zugehöriges isoliertes Gleissegment durch einen bestimmten Identifikationscode (ID) auf einmalige Weise identifiziert sind; dadurch gekennzeichnet, dass jede Steuer- und Überwachungsuntereinheit (2, 2', 2''), die diese Codes erzeugt und empfängt, umfasst f) eine reaktive Sicherheitsarchitektur, mit welcher diese Untereinheit ausgestattet ist; g) ein mikroprozessorbasiertes Vital-Computer-Modul (102), das die Programme zur Verwaltung und Steuerung von Peripheriemodulen zum Erzeugen und Senden von Zugerkennungssignalen und codierten Kommunikationssignalen enthält, um Signale vom Gleisstromkreis (cdB, cdB1, cdB2, cdB3) des entsprechenden isolierten Gleissegments zu empfangen, um zu kommunizieren, d.h. die Steuerungen von der zentralen Steuer- und Überwachungseinheit (1) zu empfangen und zu interpretieren, und um die Zugerkennungs- und Kommunikationsinformation zu senden, sowie um die Kommunikation und die zeitgesteuerte Auslösung von Peripheriemodulen zu verwalten; h) ein Modul (202) zum Erzeugen von Zugerkennungssignalen und codierten Kommunikationssignalen, das vom Vital-Computer-Modul (1) gesteuert wird; i) ein Modul (302) zum Erfassen und Erkennen der Zugerkennungssignale und codierten Kommunikationssignale vom Gleisstromkreis (cdB, cdB1, cdB2, cdB3), die relevante Signale für das entsprechende isolierte Gleissegment sind, das vom Vital-Computer-Modul (102) gesteuert wird und ihm diese Signale zuführt, die vom Gleisstromkreis des entsprechenden isolierten Gleissegments empfangen werden; j) ein Modul (402), um den Ausgang des Moduls (202) zum Erzeugen des Zugerkennungssignals und/oder des codierten Kommunikationssignals an der Schnittstelle mit dem isolierten Gleissegment zu verbinden, und um den Eingang des Moduls (302) zum Erfassen und Erkennen der Zugerkennungssignale und der codierten Kommunikationssignale vom Gleisstromkreis (cdB, cdB1, cdB2, cdB3) an der Schnittstelle mit dem isolierten Gleissegment zu verbinden, wobei dieses Modul (402) vom Vital-Computer-Modul (102) so gesteuert wird, dass die zwei Sender und Empfänger (3, 4), die das isolierte Gleissegment an der Schnittstelle verbinden und an den Enden des entsprechenden isolierten Gleissegments auf dem Gleis angeordnet sind, abwechselnd mit dem Ausgang des Moduls (202) zum Erzeugen des Zugerkennungssignals und/oder codierten Kommunikationssignals und mit dem Eingang des Moduls (302) zum Erfassen und Erkennen der Zugerkennungssignale und der codierten Kommunikationssignale verbunden werden; k) das Vital-Computer-Modul (102) einen Steuer- und Überwachungsabschnitt (120) einschließt, der Codes erzeugt, um die korrekte Ausführung der Erzeugung des Zugerkennungssignals und/oder des codierten Kommunikationssignals und der Empfangs- und In terpretationsvorgänge des Zugerkennungssignals und/oder codierten Kommunikationssignals vom Gleisstromkreis zu prüfen, diese Prüfcodes einer Schutzkontrolleinheit (121) zugeführt werden, die sie auf ihre Korrektheit hin prüft, und einen Abschnitt (35) aufweist, um die vitalen Vorgänge der Steuer- und Überwachungsuntereinheit (2, 2', 2'') zum Erzeugen und Empfangen von Codes zu deaktivieren, und um einen eingeschränkten Zustand des Systems zu erzwingen, z.B. einen Gleisbesetzungszustand, wenn ein ungültiger Prüfcode erkannt wird.
System nach Anspruch 1, dadurch gekennzeichnet, dass der Steuer- und Überwachungsabschnitt (120) und die Schutzkontrolleinheit (121) verschiedene Mikroprozessoren aufweisen.
System nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Steuer- und Überwachungsabschnitt (120) und die Schutzkontrolleinheit (121) konfigurationsunabhängige Verarbeitungssoftware (21, 232') enthalten, sowie Konfigurationssoftware (21', 232), welche die Datenbank ausmacht, um die Verarbeitungssoftware der Systemkonfiguration gemäß auszuführen.
System nach einem oder mehreren der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das Modul (202) zum Erzeugen des Zugerkennungssignals und/oder codierten Kommunikationssignals einen Generator (140) eines Paars PWM-Signale umfasst, die verwendet werden, um mit Hilfe eines Leistungsverstärkers/Demodulators (43) das Zugerkennungssignal und/oder die codierten Kommunikationssignale zu erzeugen, wobei dieses Paar PWM-Signale dem Leistungsverstärker/Demodulator durch einen Schalter (41) zugeführt wird, der von der Schutzkontrolleinheit (121) gesteuert wird, nachdem die Korrektheit dieses Signalpaars bestätigt wurde, das durch Pulsweitenmodulation erhalten wird, die vom Vital-Computer-Modul (102) durchgeführt wird, das dieses Paar PWM-Signale empfängt und es auf seine Konsistenz mit den Steuersignalen hin überprüft, die von der zentralen Steuer- und Überwachungseinheit (1) empfangen wurden, und als Ergebnis den Prüfcode erzeugt, der von der Schutzkontrolleinheit (121) analysiert wird.
System nach Anspruch 4, dadurch gekennzeichnet, dass der Leistungsverstärker/Demodulator (43) einen inhärenten ausfallsicheren Aufbau hat.
System nach einem oder mehreren der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das Modul (302) zum Erfassen und Erkennen der Signale vom Gleisstromkreis (cdB, cdB1, cdB2, cdB3) eine Eingangsstufe (62) umfasst, um das Eingangssignal zu zwei Verarbeitungskanälen (60, 61) durch einen Digitalsignalprozessor zu entkoppeln, dessen Ausgaben dem Vital-Computer-Modul (102) zugeführt werden, der ihre Identität prüft und als Ergebnis einen Prüfcode erzeugt, der von der Schutzkontrolleinheit (121) auf seine Korrektheit hin überprüft wird.
System nach Anspruch 6, dadurch gekennzeichnet, dass die Eingangsstufe (62) zur Entkopplung der zwei Signalverarbeitungskanäle (60, 61) einen inhärenten ausfallsicheren Aufbau hat.
System nach einem oder mehreren der Ansprüche 3 bis 7, dadurch gekennzeichnet, dass ein Gerät zur Umkehr der Verbindung des Senders und Empfängers (3, 4) an den zwei Enden jedes isolierten Gleissegments einen inhärenten ausfallsicheren Aufbau hat.
System nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schutzkontrolleinheit (121) einen inhärenten ausfallsicheren Aufbau hat.
System nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schutzkontrolleinheit (121) die Prüfcodes durch löschende Verarbeitung auf ihre Korrektheit hin überprüft.
System nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass jede Steuer- und Überwachungsuntereinheit (2, 2', 2'') zum Erzeugen und Empfangen von Zugerkennungssignalen und/oder codierten Kommunikationssignalen Mittel umfasst, um ein Signal zu erzeugen, wenn ein Zug auf dem entsprechenden isolierten Gleissegment erkannt wird, wobei dieses Signal vom Sender (3, 4), der zu einem Ende des isolierten Gleissegment gehört, zum zugehörigen Empfänger (4, 3) am entgegengesetzten Ende des isolierten Gleissegments übertragen wird, in der Richtung, die der Fahrtrichtung des Zuges entgegengesetzt ist, wobei das Zugerkennungssignal einem Phasenmodulator des isolierten Gleissegments zugeführt wird, bevor ein Träger mit einer vorgegebenen festen Niederfrequenz gesendet wird, wodurch die Trägerphase vorgegebene Zeitintervalle lang zwischen zwei bestimmten Phasen moduliert wird, in Bezug auf ein Bezugssignal, das die Trägerfrequenz hat, wobei die Zeitintervalle zwischen den Frequenzschritten der zwei Phaseneinstellungen eine vorgegebene Länge haben; und diese Zugerkennungssignale für jedes isolierte Gleissegment auf einmalige Weise differenziert sind, indem verschiedene Zeitintervalle zwischen zwei aufeinanderfolgenden Phasenschritten eingestellt werden.
System nach Anspruch 11, dadurch gekennzeichnet, dass in einem isolierten Gleissegment eine bestimmte Zahl von verschiedenen Zugerkennungssignalen vorgesehen ist, die alle in Bezug auf das Intervall zwischen zwei aufeinanderfolgenden Trägerphasenübergängen voneinander differenziert sind, wobei die zeitgesteuerten Phasenmodulatoren, die den einzelnen isolierten Gleissegmenten der Eisenbahnstrecke zugehörig sind, so eingestellt sind, dass diese Zugerkennungssignale zwischen aufeinanderfolgenden Phasenübergänge verschiedene Zeitintervalle haben, die sich insbesondere von denen unterscheiden, die zu den direkt benachbarten isolierten Gleissegmenten gesendet werden.
System nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass ein progressiver Anstieg zwischen zwei aufeinanderfolgenden Phasenschritten vorgesehen ist, der solch eine Dauer und Frequenz aufweist, dass ein gleichmäßiger Phasenübergang gewährleistet wird.
System nach einem oder mehreren der vorhergehenden Ansprüche 11 bis 13, dadurch gekennzeichnet, dass der Träger etwa 50 Hz aufweist.
System nach einem oder mehreren der vorhergehenden Ansprüche 11 bis 14, dadurch gekennzeichnet, dass zwischen einer Phaseneinstellung, in der das Signal mit einem Bezugssignal phasengleich ist, und einer Phaseneinstellung, in der das Signal in Bezug auf ein Bezugssignal von 50 Hz gegenphasig ist, Phasenübergänge auftreten.
System nach einem oder mehreren der vorhergehenden Ansprüche 11 bis 15, dadurch gekennzeichnet, dass der Anstieg zwischen zwei aufeinanderfolgenden Phasenübergängen eine Frequenz von 55,55 Hz aufweist.
System nach einem oder mehreren der vorhergehenden Ansprüche 11 bis 16, dadurch gekennzeichnet, dass das Zugerkennungssignal eine Gesamtdauer hat, die der Summe der Intervalle von fünf aufeinanderfolgenden Phasenübergängen und der Dauer von fünf Anstiegen entspricht.
System nach einem oder mehreren der vorhergehenden Ansprüche 11 bis 17, dadurch gekennzeichnet, dass die Steuer- und Überwachungsuntereinheit (2, 2', 2'') zum Erzeugen und Empfangen von Zugerkennungssignalen und/oder codierten Kommunikationssignalen Mittel zum Erzeugen von auf einmalige Weise definierten Codes aufweist.
System nach Anspruch 18, dadurch gekennzeichnet, dass eine bestimmte Zahl von einmalig definierten Codes vorgesehen ist, die alle durch eine bestimmte Pulsweitenmodulation definiert sind, d.h. durch eine bestimmte Zahl von Malen pro Minute, mit der der Träger ausgeschlossen ist.
System nach Anspruch 19, dadurch gekennzeichnet, dass der Träger 50 Hz aufweist, wogegen vier Codes vorgesehen sind, der Pulsweitenmodulation der Trägerunterbrechung entspricht, die mit einer bestimmten Zahl von Malen pro Minute durchgeführt wird, und insbesondere jeweils 75, 120, 180 und 270 Mal/Minute.
System nach einem oder mehreren der vorhergehenden Ansprüche 11 bis 20, dadurch gekennzeichnet, dass die Steuer- und Überwachungsuntereinheit (2, 2', 2'') zum Erzeugen und Empfangen von Zugerkennungssignalen und/oder codierten Kommunikationssignalen mindestens einen Ausgang für Zugerkennungssignale und für codierte Kommunikationssignale und mindestens einen Eingang für die Signale hat, die vom isolierten Gleissegment erfasst werden, wobei diese Ausgänge und Eingänge mit Gleisverbindungsschnittstellen (3, 4) verbunden sind, die abwechselnd Sende- und Empfangsfunktionen aufweisen können, und durch einen Verbindungsumkehrschaltkreis jeweils abwechselnd mit diesem Ausgang und Eingang verbunden werden, der Steuerung der zentralen Steuer- und Überwachungseinheit (1) entsprechend und je nach Fahrtrichtung des Zuges innerhalb des entsprechenden isolierten Gleissegments.
System nach Anspruch 21, dadurch gekennzeichnet, dass diese Gleisverbindungsschnittstellen aus Sende-Empfangs-Transformatoren bestehen.