EP0796779A1 - Method for the control and the safety of a guided transport system - Google Patents

Method for the control and the safety of a guided transport system Download PDF

Info

Publication number
EP0796779A1
EP0796779A1 EP96104501A EP96104501A EP0796779A1 EP 0796779 A1 EP0796779 A1 EP 0796779A1 EP 96104501 A EP96104501 A EP 96104501A EP 96104501 A EP96104501 A EP 96104501A EP 0796779 A1 EP0796779 A1 EP 0796779A1
Authority
EP
European Patent Office
Prior art keywords
track
data
event
events
states
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP96104501A
Other languages
German (de)
French (fr)
Other versions
EP0796779B1 (en
Inventor
Markus Dr. Montigel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Austria AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Austria AG filed Critical Alcatel Austria AG
Priority to DE59610130T priority Critical patent/DE59610130D1/en
Priority to EP96104501A priority patent/EP0796779B1/en
Priority to AT96104501T priority patent/ATE232482T1/en
Publication of EP0796779A1 publication Critical patent/EP0796779A1/en
Application granted granted Critical
Publication of EP0796779B1 publication Critical patent/EP0796779B1/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/60Testing or simulation

Definitions

  • the invention relates to a method according to the preamble of patent claim 1.
  • the system control and security solutions used today are based on track elements with neighboring relationships, provided with train speed data that are linked to form a route either via geographic circuits and then secured, or according to a prepared route that represents the route to be set List checked one after the other for their occupancy status and their current setting and saved, if necessary after switching to a predefined position.
  • the above The dissertation therefore provides for the representation of the track network with the help of colon graphs, which has the advantage over a representation with simple directional graphs that there is no unnatural marking of a direction of travel (which leads to problems with track triangles and turning loops), and that topological peculiarities are better taken into account can, for example, hairpin bends on switches are not possible from the outset, so they do not have to be excluded.
  • the railway protection system is understood as a distributed, discrete event system that can be reproduced using formal languages as a logical data model, with individual data areas being represented as stated at the outset.
  • the method proposed there is based on close dependencies and initially does not formulate security conditions.
  • a model of the states and events of the system is developed, which allows the formulation of inadmissible states and events on a local basis, ie no remote dependencies need to be considered.
  • the requirements for the security system are not described directly, but the behavior of the system, including the vehicles moving around, is modeled as such, as if there were no security level.
  • the security conditions to be implemented at the security level then arise as a consequence of the modeled system properties.
  • the backup system always contains an image of all states of the overall system and the rules for how all subsequent states can be calculated from the current state. Furthermore, an algorithm (so-called eunomic algorithm) is implemented, which calculates the set of all possible subsequent states caused by sequences of uncontrollable events every time a controllable event is to be triggered and then examines whether it contains one or more impermissible states.
  • eunomic algorithm is implemented, which calculates the set of all possible subsequent states caused by sequences of uncontrollable events every time a controllable event is to be triggered and then examines whether it contains one or more impermissible states.
  • Claims 2 and 3 relate to the inclusion of the concept of speed in the control system, claim 3 relates to the handling of train operations and the interpretation of section assignments.
  • Claim 4 relates to the representation of transport units with the help of sequences of occupied track sections.
  • the subject of claim 5, finally, are the use of new transport units and the detection of train separations by means of occupancy and clearing of track sections.
  • FIG. 1 shows the structure of the data processing system with the aid of which the method according to the invention is carried out.
  • the figure shows two levels, which - separately from each other - are used to control or secure the track network forming the outdoor area, including the existing switches, signals, free signaling devices and the trains using the track network.
  • the essential functions of the security level and the control level are shown in the figure.
  • a general Petri network for example a predicate / transition network, which contains a formal specification of the system type, is first created from the information available via the network and checked for consistency and correct syntax. It is then unfolded, together with the special track topology data, which may be available in the form of a colon graph, using a suitable deconvolution tool, which creates a special Petri network, e.g.
  • condition / event network which contains the data for the security level and in which an algorithm (so-called eunomic algorithm) can be used as a runtime system, which checks the admissibility of all network changes made possible by controllable events and prevents the triggering of the controllable event in the event of expected impermissible events.
  • algorithm so-called eunomic algorithm
  • the turnout loses its defined end position (uncontrollable, but normally unlikely event). This threatens a state in which the Switzerlandspitze of the approaching train is on a switch that has no defined end position (edg_crash).
  • the above algorithm is started. He examines the previous set of the event “edg_crash” and finds the emergency dependency "reset_signal - head”. Then the event "reset_signal is triggered, which throws the main signal on hold.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Control Of Position, Course, Altitude, Or Attitude Of Moving Bodies (AREA)
  • Debugging And Monitoring (AREA)

Abstract

The method involves storage in formal language of a model of all foreseeable network states and events. Type-related dynamic data are represented in the form of Petri nets or their derivatives, and example-related static track network data in the form of double-vertex graphs. A first algorithm computes all possible sequence states and prevents triggering of a verifiable event when a forbidden state is involved. A second algorithm is brought in when an unacceptable event occurs, triggering verifiable events when these reduce the expected number of consequential forbidden states.

Description

Die Erfindung betrifft ein Verfahren gemäß dem Oberbegriff des Patentanspruchs 1.The invention relates to a method according to the preamble of patent claim 1.

Ein solches Verfahren ist aus der Dissertationsschrift von M. Montigel "Modellierung und Gewährleistung von Abhängigkeiten in Eisenbahnsicherungsanlagen", vorgelegt 1994 an der Eidgenössischen Technischen Hochschule, Zürich (DISS.ETH Nr. 10776) bekannt.Such a method is known from M. Montigel's doctoral thesis "Modeling and guaranteeing dependencies in railway safety systems", submitted in 1994 at the Swiss Federal Institute of Technology, Zurich (DISS.ETH No. 10776).

Es soll die heute verwendeten Verfahren der Steuerung und Sicherung spurgeführter Transportsysteme, insbesondere der Eisenbahnnetze ersetzen und darüberhinaus die Planung und wirtschaftliche Nutzung solcher Transportsysteme auf eine völlig neue Art und Weise unterstützen.It is intended to replace the methods used today to control and secure track-guided transport systems, in particular railway networks, and also to support the planning and economic use of such transport systems in a completely new way.

Die heute verwendeten Lösungsarten zur Systemsteuerung und -Sicherung stützen sich auf Gleiselemente mit Nachbarbeziehungen, versehen mit Zuggeschwindigkeitsdaten, die zur Bildung einer Fahrstraße entweder über geographische Stromkreise miteinander verknüpft und anschließend gesichert werden, oder entsprechend einer vorbereiteten, die einzustellende Fahrstraße wiedergebenden Liste nacheinander auf ihren Belegungszustand und ihre aktuelle Einstellung hin geprüft und, ggf. nach Umstellung in eine vorgegebene Lage, gesichert werden.The system control and security solutions used today are based on track elements with neighboring relationships, provided with train speed data that are linked to form a route either via geographic circuits and then secured, or according to a prepared route that represents the route to be set List checked one after the other for their occupancy status and their current setting and saved, if necessary after switching to a predefined position.

Diese Lösungen sind unbefriedigend im Hinblick auf eine Behandlung des Systems mit formalen Methoden. Das Konstrukt Gleiselement, von dem es relativ viele Basistypen gibt, ist hierzu noch zu komplex.These solutions are unsatisfactory in terms of treating the system with formal methods. The track element construct, of which there are relatively many basic types, is still too complex for this.

Die o.g. Dissertation sieht deshalb die Darstellung des Gleisnetzes mit Hilfe von Doppelpunktgraphen vor, welche gegenüber einer Darstellung mit einfachen gerichteten Graphen den Vorteil hat, daß keine unnatürliche Auszeichung einer Fahrtrichtung erfolgt (was bei Gleisdreiecken und Wendeschleifen zu Problemen führt), und daß topologische Besonderheiten besser berücksichtigt werden können, beispielsweise Spitzkehren auf Weichen von vornherein nicht möglich sind, somit nicht extra ausgeschlossen werden müssen.The above The dissertation therefore provides for the representation of the track network with the help of colon graphs, which has the advantage over a representation with simple directional graphs that there is no unnatural marking of a direction of travel (which leads to problems with track triangles and turning loops), and that topological peculiarities are better taken into account can, for example, hairpin bends on switches are not possible from the outset, so they do not have to be excluded.

In der eingangs angegebenen Dissertation wird das System Eisenbahnsicherung als verteiltes diskretes Ereignissystem verstanden, das mit Hilfe formaler Sprachen als logisches Datenmodell wiedergegeben werden kann, wobei einzelne Datenbereiche wie eingangs angegeben repräsentiert sind.In the dissertation mentioned at the outset, the railway protection system is understood as a distributed, discrete event system that can be reproduced using formal languages as a logical data model, with individual data areas being represented as stated at the outset.

Die dort vorgeschlagene Methode beruht auf nahen Abhängigkeiten und verzichtet zunächst auf die Formulierung von Sicherheitsbedingungen. Es wird ein Modell der Zustände und Ereignisse des Systems entwickelt, das die Formulierung von unzulässigen Zuständen und Ereignissen auf lokaler Basis erlaubt, d.h. es brauchen keine fernen Abhängigkeiten betrachtet zu werden. Die Anforderungen an das Sicherungssystem werden nicht direkt beschrieben, sondern das Verhalten des Systems inklusive der sich darin fortbewegenden Fahrzeuge wird als solches modelliert, wie wenn keine Sicherungsebene vorhanden wäre. Die in der Sicherheitsebene zu implementierenden Sicherheitsbedingungen ergeben sich dann als Konsequenzen der modellierten Systemeigenschaften.The method proposed there is based on close dependencies and initially does not formulate security conditions. A model of the states and events of the system is developed, which allows the formulation of inadmissible states and events on a local basis, ie no remote dependencies need to be considered. The requirements for the security system are not described directly, but the behavior of the system, including the vehicles moving around, is modeled as such, as if there were no security level. The security conditions to be implemented at the security level then arise as a consequence of the modeled system properties.

Statt, wie sonst üblich, im Sicherungssystem die Sicherheitsbedingungen explizit zu implementieren, wird eine Repräsentation aller für die betriebliche Sicherheit für relevant gehaltenen Zustände und Ereignisse entwickelt, insbesondere auch solcher, die aus Sicherheitsgründen als unzulässig betrachtet werden. Die Ereignisse werden in kontrollierbare und unkontrollierbare aufgeteilt. Ein Ereignis heißt genau dann kontrollierbar, wenn in jedem beliebigen Systemzustand die Freiheit besteht, dieses am Eintreffen zu hindern, andernfalls heißt das Ereignis unkontrollierbar.Instead of explicitly implementing the security conditions in the security system, as is customary, a representation of all states and events considered relevant for operational security is developed, especially those that are considered inadmissible for security reasons. The events are divided into controllable and uncontrollable. An event is called controllable if and only if there is freedom in any system state to prevent it from arriving, otherwise the event is called uncontrollable.

Zur Laufzeit enthält das Sicherungssystem stets ein Abbild aller Zustände des Gesamtsystems sowie die Regeln, wie aus dem aktuellen Zustand sämtliche Folgezustände berechnet werden können. Im weiteren ist ein Algorithmus (sog. Eunomischer Algorithmus) implementiert, der jedesmal, wenn ein kontrollierbares Ereignis ausgelöst werden soll, die Menge aller möglichen, durch Folgen von unkontrollierbaren Ereignissen hervorgerufenen Folgezustände berechnet und daraufhin untersucht, ob sie einen oder mehrere unzulässige Zustände enthält.At runtime, the backup system always contains an image of all states of the overall system and the rules for how all subsequent states can be calculated from the current state. Furthermore, an algorithm (so-called eunomic algorithm) is implemented, which calculates the set of all possible subsequent states caused by sequences of uncontrollable events every time a controllable event is to be triggered and then examines whether it contains one or more impermissible states.

Um die große Anzahl Zustände platzsparend im System darstellen zu können, wurde eine verteilte Repräsentation mit Petri-Netzen gewählt. So können mit n binären Stellen oder Bedingungen 2n Zustände dargestellt werden. Der oben erwähnte Algorithmus, der die Zulässigkeit eines kontrollierbaren Ereignisses prüft, berechnet dann nicht wirklich die Menge der unkontrollierbar erreichbaren Folgezustände, da diese viel zu umfangreich wäre, sondern er klärt lediglich die Herleitbarkeit jeder einzelnen Stelle bzw. jedes einzelnen Ereignisses einzeln (nicht in Kombination) ab. Es kann gezeigt werden, daß jeder erreichbare Zustand bzw. jedes erreichbare Ereignis herleitbar im obigen Sinne ist, so daß kein unzulässiger Zustand erreicht werden kann, wenn die entsprechenden Stellen nicht herleitbar sind.In order to be able to represent the large number of states in a space-saving manner in the system, a distributed representation with Petri nets was chosen. In this way, 2 n states can be represented with n binary digits or conditions. The algorithm mentioned above, which checks the admissibility of a controllable event, does not really calculate the amount of subsequent states that can be reached in an uncontrollable manner, since this would be far too extensive, but only clarifies the derivability of each individual location or event individually (not in combination ). It can be shown that every achievable state or each achievable event can be derived in the above sense, so that an inadmissible state cannot be reached if the corresponding points cannot be derived.

Der Entwicklungsprozess eines Sicherungssystems gestaltet sich bei dem in der Dissertation wiedergegebenen Verfahren wie folgt:

  • Schrittweises Entwickeln eines formalen Modells der Sicherungsebene des Transportsystems auf der Ebene eines Systemtyps (z.B. System für ein bestimmtes Transportsystem oder eine bestimmte Bahnverwaltung) in Form eines Predicate/Transition-Netzes. Dieses Modell beschreibt die Zustände und Zustandsübergänge der Sicherungsebene und ist unabhängig von den zu sichernden Gleisnetzen. Wenn für dasselbe oder ein ähnliches Transportsystem bereits früher ein Modell erarbeitet wurde, können die dort definierten allgemeinen Systemeigenschaften für das neue Modell übernommen werden.
  • Erstellen der Spezifikationen der zu sichernden Gleisnetze (Daten der Systemexemplare)
  • Durchführen eines automatisierten sogenannten Entfaltungsprozesses mittels Entfaltungstools:
    • Syntax-, Typen- und Plausibilitätsprüfung des Typ-Modells
    • Vorbereitung des Typ-Modells für den eigentlichen Entfaltungsprozess
    • Erzeugung von symbolischen Schnittstellen für die von der Sicherungsebene abhängigen Ebenen (Steuerungsebene, Hardware-Interface-Ebene etc.)
    • Herstellen eines interpretier- oder ausführbaren formalen Modells für die Systemexemplare (eigentliche Entfaltung): Für jeden allgemein beschriebenen Zustand und Zustandsübergang im abstrakten Typmodell werden alle konkreten Instanzen gesucht, die sich aus den Exemplardaten ergeben. Resultat ist ein Condition/Event-Netz, daß das entsprechende Systemexemplar beschreibt. Jeder Knoten des Netzes besitzt einen eindeutigen Namen, der sich aus dem Namen des entsprechenden abstrakten Knotens und den Namen der konkreten Objekte des Gleisnetzes zusammensetzt, auf die er sich bezieht.
  • Überprüfen des formalen Exemplar-Modells mit einem Laufzeitsystem für Condition/Event-Netze. Dieses System enthält eine Implementation des o.g. Eunomischen Algorithmus, der die Zulässigkeit von kontrollierbaren Ereignissen überwacht. In der o.g. Dissertation wurden die von der Sicherungsebene abhängigen Ebenen (Außenanlage, Steuerungsebene etc.) mit interaktiven Tools simuliert. Die Sicherungsebene kann sowohl auf hohem Abstraktionsniveau (Simulation von Zügen) wie auch auf dem Detailniveau (Betrachtung einzelner Knoten des Condition/Event-Netzes) simuliert werden.
The development process of a security system is as follows in the procedure described in the dissertation:
  • Step-by-step development of a formal model of the security level of the transport system at the level of a system type (e.g. system for a specific transport system or a specific railway administration) in the form of a predicate / transition network. This model describes the states and state transitions of the security level and is independent of the track networks to be secured. If a model has already been developed for the same or a similar transport system, the general system properties defined there can be adopted for the new model.
  • Creation of the specifications of the track networks to be secured (data of the system copies)
  • Carrying out an automated so-called unfolding process using unfolding tools:
    • Syntax, type and plausibility check of the type model
    • Preparation of the type model for the actual development process
    • Generation of symbolic interfaces for the levels dependent on the security level (control level, hardware interface level etc.)
    • Creating an interpretable or executable formal model for the system instances (actual unfolding): For every generally described state and state transition in the abstract type model, all looking for concrete instances that result from the copy data. The result is a condition / event network that describes the corresponding system copy. Each node in the network has a unique name, which is made up of the name of the corresponding abstract node and the names of the specific objects of the track network to which it refers.
  • Checking the formal copy model with a runtime system for condition / event networks. This system contains an implementation of the above-mentioned eunomical algorithm, which monitors the admissibility of controllable events. In the above-mentioned dissertation, the levels dependent on the security level (outdoor area, control level, etc.) were simulated with interactive tools. The security level can be simulated both at a high level of abstraction (simulation of trains) and at the level of detail (consideration of individual nodes of the condition / event network).

Das in der o.g. Dissertation wiedergegebene Verfahren enthält noch kein Konzept für eine Fahrstraßenüberwachung und für verschiedene andere in Eisenbahnsteuerungssystemen heute übliche Steuerungskonzepte.The in the above Procedures reproduced in the thesis do not yet contain a concept for route monitoring and for various other control concepts that are common in railway control systems today.

Es ist deshalb Aufgabe der Erfindung, eine Funktion in das bekannte Verfahren zu integrieren, die eine Überwachung eines zunächst für zulässig erachteten Fahrweges ermöglicht.It is therefore an object of the invention to integrate a function in the known method that enables monitoring of a route initially considered to be permissible.

Diese Aufgabe wird durch die im Patentanspruch 1 angegebenen Merkmale gelöst.This object is achieved by the features specified in claim 1.

Durch die Beachtung des Eintrittes sogenannter "normalerweise nicht anzunehmender Ereignisse", also Ereignissen wie z.B. Schienenbrüchen oder Verlieren der Endlage bei Weichen, deren Berücksichtigung von Anfang an jedes Fahren in einem Gleisnetz unzulässig machen würde, mit Hilfe des zusätzlichen, sogenannten revertierten eunomischen Algorithmus lassen sich gefährliche Folgen aus solchen Ereignissen in vielen Fällen vermeiden oder wenigstens in ihrer Eintrittswahrscheinlichkeit herabsetzen.By paying attention to the occurrence of so-called "normally unlikely events", ie events such as broken rails or losing the end position at switches whose Consideration from the outset would make every driving in a track network inadmissible. With the help of the additional, so-called reverted eunomic algorithm, dangerous consequences from such events can in many cases be avoided or at least reduced in their probability of occurrence.

Weiterbildungen des Verfahrens nach der Erfindung sind in den Unteransprüchen angegeben und betreffen weitere einzubeziehende Steuerungskonzepte.Further developments of the method according to the invention are specified in the subclaims and relate to further control concepts to be included.

So betreffen die Ansprüche 2 und 3 den Einbezug des Geschwindigkeitsbegriffs in das Steuerungssystem, Anspruch 3 betrifft die Behandlung von Zugoperationen und die Interpretation von Abschnittsbelegungen.Claims 2 and 3 relate to the inclusion of the concept of speed in the control system, claim 3 relates to the handling of train operations and the interpretation of section assignments.

Anspruch 4 betrifft die Darstellung von Transporteinheiten mit Hilfe von Folgen von belegten Gleisabschnitten.Claim 4 relates to the representation of transport units with the help of sequences of occupied track sections.

Gegenstand des Anspruchs 5, schließlich, sind der Einsatz neuer Transporteinheiten und die Erfassung von Zugtrennungen mittels Belegung und Freimeldungen von Gleisabschnitten.The subject of claim 5, finally, are the use of new transport units and the detection of train separations by means of occupancy and clearing of track sections.

Nachfolgend soll das Verfahren nach der Erfindung anhand von Ausführungsbeispielen und mit Hilfe von vier Figuren eingehend beschrieben werden.The method according to the invention is to be described in detail below using exemplary embodiments and with the aid of four figures.

Die Figuren zeigen:

Fig. 1 -
den Aufbau der verwendeten Datenverarbeitungsanalge,
Fig. 2 -
schematisch einen Überblick über die Erstellung der Sicherungsebene,
Fig. 3 -
die Bewegung der Spitze eines Zuges in einem mit Doppelpunktgraphen dargestellten Gleisnetz,
Fig. 4 -
eine schematische Darstellung der Systemreaktion bei Eintritt eines unkontrollierbaren, normalerweise nicht anzunehmenden Ereignisses.
The figures show:
Fig. 1 -
the structure of the data processing system used,
Fig. 2 -
schematically an overview of the creation of the security level,
Fig. 3 -
the movement of the tip of a train in a track network represented by a colon graph,
Fig. 4 -
a schematic representation of the system reaction when an uncontrollable, normally unlikely event occurs.

In Fig. 1 ist der Aufbau der Datenverarbeitungsanlage mit deren Hilfe das Verfahren nach der Erfindung ausgeführt wird, dargestellt. Die Figur zeigt zwei Ebenen, die - getrennt voneinander - der Steuerung bzw. der Sicherung des die Außenanlage bildenden Gleisnetzes einschließlich der vorhandenen Weichen, Signale, Freimeldeeinrichtungen und der das Gleisnetz benutzenden Züge dienen. Die wesentlichen Funktionen der Sicherungsebene und der Steuerungsebene sind in der Figur wiedergegeben.1 shows the structure of the data processing system with the aid of which the method according to the invention is carried out. The figure shows two levels, which - separately from each other - are used to control or secure the track network forming the outdoor area, including the existing switches, signals, free signaling devices and the trains using the track network. The essential functions of the security level and the control level are shown in the figure.

Fig. 2 gibt einen Überblick über die Erstellung der Daten für die Sicherungsebene. Wie aus der Figur ersichtlich, wird zunächst ein allgemeines Petri-Netz z.B. ein Predicate/Transition-Netz, das eine formale Spezifikation des Systemtyps enthält, aus den über das Netz verfügbaren Informationen erstellt und auf Konsistenz und richtige Syntax hin geprüft. Es wird dann, zusammen mit den speziellen Gleistopologiedaten, die z.B. in Form von Doppelpunktgraphen vorliegen können, mit Hilfe eines geeigneten Entfaltungswerkzeuges entfaltet, wodurch ein spezielles Petri-Netz, z.B. ein Condition/Event-Netz entsteht, das die Daten für die Sicherungsebene enthält und in dem als Laufzeitsystem ein Algorithmus (sog. eunomischer Algorithmus) anwendbar ist, der vor kontrollierbaren Ereignissen alle durch diese möglich werdenden Netzveränderungen auf ihre Zulässigkeit hin untersucht und bei zu erwartenden unzulässigen Ereignissen die Auslösung des kontrollierbaren Ereignisses verhindert.2 gives an overview of the creation of the data for the security level. As can be seen from the figure, a general Petri network, for example a predicate / transition network, which contains a formal specification of the system type, is first created from the information available via the network and checked for consistency and correct syntax. It is then unfolded, together with the special track topology data, which may be available in the form of a colon graph, using a suitable deconvolution tool, which creates a special Petri network, e.g. a condition / event network, which contains the data for the security level and in which an algorithm (so-called eunomic algorithm) can be used as a runtime system, which checks the admissibility of all network changes made possible by controllable events and prevents the triggering of the controllable event in the event of expected impermissible events.

Die anschließenden Ausführungsbeispiele beschreiben konkret die Erstellung der Sicherungsebene und die Anwendung des sogenannten revertierten eunomischen Algorithmus.

Figure imgb0001
Figure imgb0002
Figure imgb0003
Figure imgb0004
Figure imgb0005
Figure imgb0006
Figure imgb0007
Figure imgb0008
Figure imgb0009
Figure imgb0010
Figure imgb0011
Figure imgb0012
The following exemplary embodiments specifically describe the creation of the security level and the use of the so-called reverted eunomical algorithm.
Figure imgb0001
Figure imgb0002
Figure imgb0003
Figure imgb0004
Figure imgb0005
Figure imgb0006
Figure imgb0007
Figure imgb0008
Figure imgb0009
Figure imgb0010
Figure imgb0011
Figure imgb0012

Beispiel: For example :

In dem in Bild 4 dargestellten Beispiel verliert die Weiche ihre definierte Endlage (unkontrollierbares, aber normalerweise nicht anzunehmendes Ereignis). Dadurch droht ein Zustand, in dem die Zugspitze des herannahenden Zugs sich auf einer Weiche befindet, die keine definierte Endlage besitzt (edg_crash). Um dies zu verhindern, wird der obige Algorithmus gestartet. Er untersucht die Vorgängermenge des Ereignisses "edg_crash" und findet die Notfallabhängigkeit "reset_signal--head". Anschließend wird das Ereignis "reset_signal ausgelöst, das das Hauptsignal auf Halt wirft.In the example shown in Fig. 4, the turnout loses its defined end position (uncontrollable, but normally unlikely event). This threatens a state in which the Zugspitze of the approaching train is on a switch that has no defined end position (edg_crash). To prevent this, the above algorithm is started. He examines the previous set of the event "edg_crash" and finds the emergency dependency "reset_signal - head". Then the event "reset_signal is triggered, which throws the main signal on hold.

Claims (5)

Verfahren zur Steuerung und Sicherung des Betriebes eines beliebig gestalteten spurgeführten Transportsystems mit Hilfe einer Datenverarbeitungsanlage, in der ein Modell aller im Transportsystem vorkommender Zustände und Ereignisse in einer formalen Sprache gespeichert ist, derart, daß sich aufgrund eintreffender Ereignisse ändernde (dynamische) Daten, sofern sie gleisnetzunabhängig einem Gleiselementtyp zugeordnet werden können, in Form von Petri-Netzen hoher Abstraktionsstufe, sofern sie im Gleisnetz konkret vorhandenen Gleiselementen zugeordnet werden können, in Form von aus diesen Petri-Netzen abgeleiteten Netzen, und für jeden Systemzustand geltende (statische) Daten, sofern sie gleisnetzunabhängig einem Gleiselementtyp zugeordnet werden können, in Form von Prädikaten oder Invarianten, sofern sie im Gleisnetz konkret vorhandenen Gleiselementen zugeordnet werden können, in Form von Topographieelementdaten repräsentiert sind, und in der ein Algorithmus zur Verfügung steht, der vor Auslösung eines kontrollierbaren Ereignisses aus dem aktuellen Zustand des Systems alle möglichen Folgezustände berechnet und die Auslösung verhindert, wenn unter den berechneten Folgezuständen ein oder mehrere unzulässige Zustände gefunden werden, dadurch gekennzeichnet, daß ein unkontrollierbares Ereignis, mit dessen Eintreffen nicht von vornherein gerechnet werden kann, als normalerweise nicht anzunehmendes Ereignis definiert wird, und daß während der Prüfung der Zulässigkeit eines kontrollierbaren Ereignisses nicht angenommen wird, daß ein normalerweise nicht anzunehmendes Ereignis eintrifft, daß ein zusätzlicher Algorithmus gestartet wird, wenn nach Feststellung der Zulässigkeit des kontrollierbaren Ereignisses ein normalerweise nicht anzunehmendes Ereignis eintritt, daß mittels des zusätzlichen Algorithmus, ausgehend von dem durch das Eintreten dieses Ereignisses erzeugten aktuellen Systemzustand, die Menge sämtlicher durch Folgen von unkontrollierbaren Ereignissen erreichbarer Zustände dahingehend untersucht wird, ob sich ein als unzulässig bezeichneter Zustand darunter befindet oder die Vorbedingungen für das Eintreffen eines als unzulässig bezeichneten Ereignisses erfüllt sind, und daß, wenn dies zutrifft, die Menge aller oder für diesen Fall besonders bezeichneter kontrollierbarer Ereignisse daraufhin untersucht wird, ob durch ihr Auslösen der Systemzustand so verändert werden kann, daß die Menge der zuvor berechneten, erreichbaren unzulässigen Zustände oder als unzulässig bezeichneten Ereignisse verkleinert wird, und daß, wenn dies der Fall ist, die entsprechenden kontrollierbaren Ereignisse ausgelöst werden.Method for controlling and securing the operation of an arbitrarily designed track-guided transport system with the aid of a data processing system, in which a model of all states and events occurring in the transport system is stored in a formal language, such that changing (dynamic) data due to incoming events, if they can be assigned to a track element type independently of the track network, in the form of Petri networks with a high level of abstraction, provided that they can be assigned to existing track elements in the track network, in the form of networks derived from these Petri networks, and (static) data applicable to each system state, provided that they can be assigned to a track element type independently of the track network, in the form of predicates or invariants, provided that they can be assigned to existing track elements in the track network, are represented in the form of topography element data, and in which an algorithm is available that calculates all possible subsequent states from the current state of the system before triggering a controllable event and prevents the triggering if one or more impermissible states are found among the calculated subsequent states, characterized in that an uncontrollable event, its arrival cannot be expected from the outset to be defined as a normally unlikely event, and that during the check of the admissibility of a controllable event, it is not assumed that a normally unlikely event will occur, that an additional algorithm will be started if after detection the admissibility of the controllable event, a normally unacceptable event occurs, that by means of the additional algorithm, starting from the current system state generated by the occurrence of this event, the set of all states achievable by the consequences of uncontrollable events is examined to determine whether one is described as inadmissible State below or the preconditions for the occurrence of an event designated as inadmissible are met, and that, if so, the quantity of all or specially designated for this case controllable events are examined to determine whether their triggering can change the system state in such a way that the amount of previously calculated, achievable impermissible states or events designated as impermissible is reduced, and that, if so, the corresponding controllable events are triggered will. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß den den im Gleisnetz konkret vorhandenen Gleiselementen zugeordneten Topographieelementdaten Geschwindigkeitsdaten in Form von Datentupeln zugeordnet werden, die neben gültigen Maximalgeschwindigkeiten auch Daten enthalten, aus denen eine bei maximalem Bremseinsatz erreichbare Verzögerung entnehmbar ist, daß die an einem Gleiselement gültigen Geschwindigkeiten, sofern sie nicht neu vorgegeben werden, rekursiv oder iterativ aus Daten berechnet werden, die dem in der jeweiligen Fahrtrichtung vorher zu befahrenden Gleiselement zugeordnet sind, und daß die berechneten Geschwindigkeitsdaten für die Festlegung der im System geltenden Maximalgeschwindigkeiten verwendet werden.Method according to Claim 1, characterized in that speed data in the form of data tuples are assigned to the topography element data associated with the track elements actually present in the track network, which data contain not only valid maximum speeds but also data from which a deceleration that can be achieved with maximum braking use can be derived, that the on a track element valid speeds, unless they are newly specified, are calculated recursively or iteratively from data which are assigned to the track element to be traveled in the respective direction of travel, and that the calculated speed data are used to determine the maximum speeds applicable in the system. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß die den Gleiselementen zugeordneten Topographieelementdaten die Form von Doppelpunktgraphen besitzen und die die Geschwindigkeitsdaten enthaltenden Datentupel den Punkten oder Kanten dieser Doppelpunktgraphen zugeordnet sind.Method according to Claim 2, characterized in that the topography element data assigned to the track elements have the form of colon graphs and the data tuples containing the speed data are assigned to the points or edges of these colon graphs. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß Gleisabschnitte des Gleisnetzes mit Gleisfreimeldeeinrichtungen ausgestattet sind, daß eine zusammenhängende Folge belegter Abschnitte als sich im Gleisnetz fortbewegende Transporteinheit interpretiert und aus der Reihenfolge der neuen Belegungen oder Freimeldungen die Fahrtrichtung geschlossen wird und daß eine einzelne fehlerhafte Freimeldung die angenommene Ausdehnung der Transporteinheit nicht verändert.Method according to one of the preceding claims, characterized in that track sections of the track network are equipped with track vacancy detection devices, that a coherent sequence of occupied sections is interpreted as a transport unit moving in the track network and the direction of travel is inferred from the sequence of the new assignments or free messages and that a single faulty one Clearance does not change the assumed extension of the transport unit. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß eine einzelne Belegung eines Abschnittes bei gültiger Freimeldung aller benachbarten Abschnitte als neue Transporteinheit mit zunächst zwei Spitzen und keinem Schluß interpretiert wird, daß die Belegung eines in Fahrtrichtung gesehen hinter dem Schluß einer vorhandenen Transporteinheit liegenden Abschnittes als Änderung der Fahrtrichtung der Transporteinheit oder als sich nach rückwärts in Bewegung setzender, abgetrennter Teil der Transporteinheit interpretiert wird und daß in beiden Fällen der ursprüngliche Schluß der Transporteinheit im Systemmodell in eine Spitze umgewandelt wird.Method according to claim 4, characterized in that a single occupancy of a section is interpreted as a new transport unit with initially two tips and no conclusion when all neighboring sections are validly released, that the occupancy of a section lying in the direction of travel behind the end of an existing transport unit is interpreted as a change the direction of travel of the transport unit or as a backward moving, separated part of the transport unit and that in both cases the original end of the transport unit is converted into a tip in the system model.
EP96104501A 1996-03-21 1996-03-21 Method for the control and the safety of a guided transport system Expired - Lifetime EP0796779B1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE59610130T DE59610130D1 (en) 1996-03-21 1996-03-21 Process for controlling and securing a track-guided transport system
EP96104501A EP0796779B1 (en) 1996-03-21 1996-03-21 Method for the control and the safety of a guided transport system
AT96104501T ATE232482T1 (en) 1996-03-21 1996-03-21 METHOD FOR CONTROLLING AND SECURING A TRACK-GUIDED TRANSPORT SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP96104501A EP0796779B1 (en) 1996-03-21 1996-03-21 Method for the control and the safety of a guided transport system

Publications (2)

Publication Number Publication Date
EP0796779A1 true EP0796779A1 (en) 1997-09-24
EP0796779B1 EP0796779B1 (en) 2003-02-12

Family

ID=8222584

Family Applications (1)

Application Number Title Priority Date Filing Date
EP96104501A Expired - Lifetime EP0796779B1 (en) 1996-03-21 1996-03-21 Method for the control and the safety of a guided transport system

Country Status (3)

Country Link
EP (1) EP0796779B1 (en)
AT (1) ATE232482T1 (en)
DE (1) DE59610130D1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1868051A1 (en) * 2006-06-15 2007-12-19 Société Nationale des Chemins de Fer Français Method for validating a control system and control system to be validated by this method
DE102008057750A1 (en) * 2008-11-17 2010-05-20 Deutsches Zentrum für Luft- und Raumfahrt e.V. Method for determining an optimal migration

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DANNENBERG H: "ANWENDUNG VON SIMULATIONSMODELLEN FUR FLANUNGS- UND STEUERUNGSPROBLEME IM EISENBAHNBETRIEB", SIGNAL + DRAHT, vol. 85, no. 5, 1 May 1993 (1993-05-01), HAMBURG DE, pages 166 - 169, XP000413530 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1868051A1 (en) * 2006-06-15 2007-12-19 Société Nationale des Chemins de Fer Français Method for validating a control system and control system to be validated by this method
WO2007144513A2 (en) * 2006-06-15 2007-12-21 Societe Nationale Des Chemins De Fer Francais Method of validating a control/command system and control/command system that can be validated by the method
WO2007144513A3 (en) * 2006-06-15 2008-02-07 Sncf Method of validating a control/command system and control/command system that can be validated by the method
RU2470339C2 (en) * 2006-06-15 2012-12-20 Сосьетэ Насьональ Де Шмен Де Фер Франсэз Method for certification of monitoring/control system and monitoring/control system certified using said method
DE102008057750A1 (en) * 2008-11-17 2010-05-20 Deutsches Zentrum für Luft- und Raumfahrt e.V. Method for determining an optimal migration

Also Published As

Publication number Publication date
ATE232482T1 (en) 2003-02-15
EP0796779B1 (en) 2003-02-12
DE59610130D1 (en) 2003-03-20

Similar Documents

Publication Publication Date Title
DE19726542B4 (en) Process for controlling and securing a timetable-based traffic system
EP3371025A1 (en) Surroundings modeling device for a driver assistance system for a motor vehicle
EP0739802B1 (en) Method for improving availability of multi-section axle counters
EP4079600A1 (en) Method for optimising occupancy assessment when issuing permission for a railway vehicle / train to proceed with a train ahead
DE2701925A1 (en) VEHICLE CONTROL SYSTEM WITH HIGH RELIABILITY
EP3968213A1 (en) Method for determining a track-bound railway track in a track system and device for carrying out this method
EP0796779B1 (en) Method for the control and the safety of a guided transport system
DE19535856A1 (en) Computer control system with distributed requirement, non-synchronised region and control computers in different hierarchical planes for railway station signal handling where several trains are awaiting signals for the same track
EP3075626B1 (en) Method and system for operating a railway system
EP0920391B1 (en) Process of controlling and monitoring a traffic control system
EP1109709B1 (en) Method and device for controlling a traffic installation
EP0623499B1 (en) Method for clear track, signalling by axle counting with automatic correction of count errors
EP0739803A2 (en) Method for automatic correcting counting errors in multi-section axle counter systems
EP3580114B1 (en) Method and apparatus for setting at least one route for a railway installation
EP3109127A1 (en) Method for signalling an expansion of a movement authority from a route control station to a positioning body
EP2117904B1 (en) Method for displaying relevant control status information about components in a manner incorporating all sections
DE112016002303T5 (en) Signal security system
EP3786026A1 (en) Railway system and method for controlling same
DE102021002160A1 (en) Process for the formation of a vehicle group
EP4059807A1 (en) Method for optimized allocation of movement authority for a rail vehicle/train
EP4098509A1 (en) Method for optimised entry into a target section by dynamically determining release speed
DE2928809C2 (en)
DE2849008A1 (en) Emergency braking system for continuously controlled rail vehicle - switching to steeper braking curve when braking control signal disappears
EP4378793A1 (en) Method for determining a speed value of a track-guided vehicle
CH624352A5 (en) Method for ensuring the safety of trains

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 19970315

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE DE DK FR GB IT NL PT SE

GRAG Despatch of communication of intention to grant

Free format text: ORIGINAL CODE: EPIDOS AGRA

17Q First examination report despatched

Effective date: 20020502

GRAG Despatch of communication of intention to grant

Free format text: ORIGINAL CODE: EPIDOS AGRA

GRAH Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOS IGRA

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ALCATEL

GRAH Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOS IGRA

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Designated state(s): AT BE DE DK FR GB IT NL PT SE

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20030212

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

GBT Gb: translation of ep patent filed (gb section 77(6)(a)/1977)

Effective date: 20030212

REF Corresponds to:

Ref document number: 59610130

Country of ref document: DE

Date of ref document: 20030320

Kind code of ref document: P

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20030331

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20030512

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20030512

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20030512

NLV1 Nl: lapsed or annulled due to failure to fulfill the requirements of art. 29p and 29m of the patents act
ET Fr: translation filed
BERE Be: lapsed

Owner name: *ALCATEL

Effective date: 20030331

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed

Effective date: 20031113

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FR

Payment date: 20140311

Year of fee payment: 19

Ref country code: AT

Payment date: 20140226

Year of fee payment: 19

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20140319

Year of fee payment: 19

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20140417

Year of fee payment: 19

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: IT

Payment date: 20150220

Year of fee payment: 20

REG Reference to a national code

Ref country code: DE

Ref legal event code: R119

Ref document number: 59610130

Country of ref document: DE

REG Reference to a national code

Ref country code: AT

Ref legal event code: MM01

Ref document number: 232482

Country of ref document: AT

Kind code of ref document: T

Effective date: 20150321

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20150321

REG Reference to a national code

Ref country code: FR

Ref legal event code: ST

Effective date: 20151130

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20151001

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20150321

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20150321

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20150331