ES2320711T3 - Dispositivo de campo de salida vital para interconectar directamente una unidad de control logico con al menos una o mas unidades de borde de via. - Google Patents

Dispositivo de campo de salida vital para interconectar directamente una unidad de control logico con al menos una o mas unidades de borde de via. Download PDF

Info

Publication number
ES2320711T3
ES2320711T3 ES07425064T ES07425064T ES2320711T3 ES 2320711 T3 ES2320711 T3 ES 2320711T3 ES 07425064 T ES07425064 T ES 07425064T ES 07425064 T ES07425064 T ES 07425064T ES 2320711 T3 ES2320711 T3 ES 2320711T3
Authority
ES
Spain
Prior art keywords
port
output
unit
contacts
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES07425064T
Other languages
English (en)
Inventor
Francesco Campedelli
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alstom Ferroviaria SpA
Original Assignee
Alstom Ferroviaria SpA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alstom Ferroviaria SpA filed Critical Alstom Ferroviaria SpA
Application granted granted Critical
Publication of ES2320711T3 publication Critical patent/ES2320711T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L7/00Remote control of local operating means for points, signals, or track-mounted scotch-blocks
    • B61L7/06Remote control of local operating means for points, signals, or track-mounted scotch-blocks using electrical transmission
    • B61L7/08Circuitry

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Communication Control (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Testing Electric Properties And Detecting Electric Faults (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Relay Circuits (AREA)

Abstract

Un dispositivo de campo de salida vital para interactuar directamente una unidad lógica de control central con por lo menos una o más unidades de borde de vía, tales como relés, contactos, lámparas y similares, cuyo dispositivo comprende: por lo menos una entrada para las señales de control generadas mediante la unidad lógica de control; por lo menos un puerto de salida para la retransmisión de una señal de accionamiento de una unidad de borde de vía, cuyo puerto de salida está conectado y/o se puede conectar a dicha unidad de borde de vía; medios para evitar/desactivar dicho puerto de salida para transmitir la señal de accionamiento de la unidad de borde de vía; medios para generar la señal de salida de la unidad de borde de vía, que están conectados a dicho puerto de salida; cuyas señales de control, generadas mediante la unidad lógica de control, controlan los medios para activar/desactivar el puerto de salida del dispositivo de salida para permitir o evitar la transmisión de la señal de accionamiento de la unidad de borde de vía, caracterizado porque el dispositivo también comprende: un elemento de conmutación que puede ajustar el estado activado/desactivado de la transmisión de la señal de accionamiento de la unidad de borde de vía de dicho puerto; electrónica para detectar dicho estado a partir del control impuesto mediante la unidad lógica de control, estando diseñados dichos medios de generación de la señal de salida para desactivarse vitalmente cuando el estado activado/desactivado de dicho puerto no corresponde con la condición de control impuesta mediante la lógica de control.

Description

Dispositivo de campo de salida vital para interconectar directamente una unidad de control lógico con al menos una o más unidades de borde de vía.
La invención se refiere a un dispositivo de campo de salida vital para interconectar directamente una unidad de control lógico con al menos una o más unidades de borde de vía, tales como relés, contactos, lámparas y similares, cuyo dispositivo comprende:
por lo menos una entrada para las señales de control generadas por la unidad de control lógico;
por lo menos un puerto de salida para la trasmisión de la señal de accionamiento de la unidad que borde de vía, cuyo puerto de salida es y/o puede estar conectado a dicha unidad de borde de vía;
medios para activar/desactivar dicho puerto de salida para transmitir la señal de accionamiento de la unidad de borde de vía;
medios para generar la señal de salida de accionamiento de la unidad de borde de vía, que están conectados a dicho puerto de salida;
dichas señales de control, generadas por la unidad de control lógico, controlan los medios para activar/desactivar el puerto de salida del dispositivo de salida para permitir/evitar la transmisión de la señal de accionamiento de la unidad de borde de vía.
Estos sistemas son bien conocidos y, en aplicaciones ferroviarias o similares, consiste en relés de seguridad ferroviaria. Se utilizan, por ejemplo, para accionar relés de seguridad remotos, que están situados en o cerca de las unidades de borde de vía, tal como particularmente en los relés utilizados para la trasmisión remota paralela de informa-
ción.
El documento US 6.463.337 B1 describe un módulo de salida de señal vital que utiliza números aleatorios para validar los comandos a los elementos de campo.
Los relés de seguridad de ferrocarril y circuitos de corte térmico de la técnica anterior tienen una construcción compleja y voluminosa y no aseguran el aislamiento eléctrico entre dispositivos de campo, es decir unidades de borde de vía y electrónica. Por otra parte, los relés de seguridad del ferrocarril de la técnica anterior requieren un mantenimiento regular.
Por lo tanto, la invención se basa en el problema de proporcionar un dispositivo de salida estacionario para accionar dispositivo de campo, tal como unidades de borde de vía o similares, que puede utilizarse en lugar de los relés de seguridad de ferrocarril de la técnica anterior, y proporcionar por lo menos los mismos o mejores estándares de seguridad en comparación con los relés de la técnica anterior.
La invención satisface los objetos anteriores al proporcionar un dispositivo de salida como se describió anteriormente, que tiene:
un elemento interruptor que puede ajustar el estado activado/desactivado de transmisión de la señal de accionamiento de la unidad de borde de vía del puerto de salida;
electrónica para detectar dicho estado a partir del control impuesto mediante la unidad de control lógico, siendo los medios generadores de la señal de salida diseñados para ser vitalmente desactivados cuando el estado activado/desactivado de dicho puerto no corresponda con la condición de control impuesta por la lógica de control.
Gracias a su particular configuración, los medios convencionales de activación/desactivación, típicamente relés de ferrocarril a prueba de fallos, pueden ser remplazados mediante medios comerciales de activación/desactivación electromecánicos no a prueba de fallos, tales como relés guiados forzados, sin afectar el estándar de seguridad, reduciendo así el volumen de la función requerida, y evitando las necesidades de mantenimiento regular. Esto se logra mediante la asociación de medios electromecánicos electrónicos que, utilizando un mecanismo eficiente para el control vital del estado de conmutación, permiten desactivar el dispositivo de salida cada vez que se encuentre en un estado permisivo inseguro.
Ventajosamente, el elemento de conmutación electromecánico comprende por lo menos una entrada y por lo menos una salida. La relación de entrada a salida es una función del estado activado/desactivado del puerto y es vitalmente detectable mediante la electrónica mediante comparación de la salida del elemento de conmutación con un código de comprobación transmitido a su entrada.
Según una realización, el elemento de conmutación tiene por lo menos un par de contactos de relés, también conocidos como contactos auxiliares, que están eléctricamente conectados con la salida y la entrada del elemento de conmutación respectivamente. Este par de contactos están mecánicamente conectados con los medios de activación/desactivación del puerto, que ventajosamente son un segundo par de contactos de relé, llamados contactos principales, que están eléctricamente conectados a los medios de generación de la señal de salida y al puerto de salida respectivamente. Los dos pares de contactos están mecánicamente interconectados de forma tal que la conmutación de un par causa la conmutación del otro, y son típicamente parte del mismo relé, que también es conocido como un relé guiado forzado por su característica mecánica de sólo permitir movimientos rígidos entre los contactos. Esto permite determinar el estado cerrado/abierto de los contactos principales, y del puerto, mediante el análisis del estado abierto/cerrado de los contactos auxiliares. Los contactos auxiliares no son activados por el voltaje de la unidad de control del borde de vía, por lo tanto su estado puede ser fácilmente detectado determinando si una señal de control transmitida a un contacto alcanza o no al otro contacto del par. Si el estado cerrado/abierto de los contactos auxiliares, y por lo tanto el estado activado/desactivado del puerto, no es consistente con el control de accionamiento transmitido, el voltaje de suministro vital es puntualmente cortado, y la salida del puerto se fija en un estado seguro no permisivo, correspondiendo a una condición desactivada de la unidad de borde de vía.
En una configuración particularmente ventajosa, los contactos principales están normalmente abiertos cuando están inactivos (es decir cuando no se trasmite control a los mismos) para asegurar un estado seguro no permisivo cuando el puerto no es la seleccionado/activado, mientras que en los contactos auxiliares están normalmente cerrados cuando están inactivos. Por otra parte, la vinculación mecánica entre los contactos evita que estén simultáneamente cerrados/abiertos. Por lo tanto, el estado activado de puerto lógico es invertido con respecto al estado de los contactos auxiliares, lo que proporciona protección adicional contra fallos de cortocircuitos.
Cuando la señal salida es una señal bipolar, es decir, cuando las unidades de borde de vía son accionadas mediante voltaje CC, el dispositivo también puede incluir un circuito de selección de polaridad señal, que también puede cumplir la tarea de los medios de activación/desactivación del puerto de salida. El uso de múltiples contactos de relé, pertenecientes tanto al mismo relé o a diferentes relés, permite activar/desactivar separadamente cada uno de los polos de señal de salida y también intercambiar polaridad es utilizando un conjunto anti paralelo de múltiples relés diseñado para ser controlado en una forma mutuamente exclusiva. Esto no afecta el nivel de seguridad, siendo el estado activado/desactivado de cada contacto repetidamente vitalmente leído.
El dispositivo opera en una forma segura, ya que los mecanismos para comprobar el estado activado/desactivado real del puerto son directamente operativos en la función de generación de la señal de salida de manera vital, y típicamente consiste en convertidores CC/CC o CC/CA que son conducidos por pulsos bajo el control de una señal de activación CC.
El dispositivo puede comprender ventajosamente un circuito de protección de sobretensión, típicamente entre el generador de señal y los relés de activación/desactivación, que se calibra para evitar que la señal de salida generada alcance el puerto de salida, típicamente utilizando un mecanismo interruptor doble de reajuste manual o con software, tan pronto como se detecta una absorción de corriente por encima de un valor disparador dado. Esto proporciona un mecanismo de seguridad adicional para el dispositivo, particularmente contra fallos de cortocircuito, tal como los causados por pérdidas de aislamiento de cable, especialmente si los puertos de salida de los dispositivos no controlados normalmente están en cortocircuito, por ejemplo mediante relés guiados forzados. La combinación de la protección de sobretensión y funciones de cortocircuito es particularmente efectiva en la protección de las unidades de borde de vía del accionamiento indebido, por ejemplo causado por falsos de contacto dobles, separados, ordenados, es decir que implican un cortocircuito entre los cables dirigidos a diferentes unidades. Estos paros causaron que una unidad no controlada esté en paralelo con una unidad controlada y que como resultado sea accionada indebidamente. Sin embargo, dado que cada unidad no controlada está en cortocircuito debido al cortocircuito en el correspondiente dispositivo de salida vital, el puerto que suministra la energía requerida para accionar la unidad también está en cortocircuito, generando así un incremento de la corriente suministrada, lo que causa que la protección de sobretensión se dispare antes de cualquier accionamiento indebido.
El dispositivo típicamente tiene una unidad local que interconecta la unidad lógica central para controlar el dispositivo. La unidad local está configurada para convertir los controles del puerto de activación/desactivación de de la unidad lógica central a controles de conmutador de relé correspondientes y está en interconexión con el circuito de protección de sobretensión para desactivar los controles de conmutador de relé siempre el circuito de protección se dispare. La unidad local comprende además electrónica para la detección vital de la unidad de borde del vía que acciona la transmisión de la señal de estado activado/desactivado del puerto de salida. Ventajosamente, el estado del puerto activado/desactivado en detectado por la circulación de códigos de comprobación funcionales (contraseñas) desde la unidad lógica central a la unidad local. La unión local transforma las contraseñas en señales de entrada para el elemento conmutador, le la salida del mismo y codifica dicho salida en las correspondientes contraseñas a ser transmitidas de vuelta a la unidad lógica central. De esta forma, la unidad central puede determinar el estado del puerto mediante la comprobación de los estados abierto/cerrado de los contactos del elemento conmutador, es decir los contactos auxiliares del relé de activación/desactivación. Particularmente, en el caso específico de contactos auxiliares que normalmente están abiertos cuando están inactivos, el puerto está en el estado activado cuando las contraseñas no circulan a través de dichos contactos.
En un aspecto adicional, la invención se refiere a un sistema de campo vital de entrada y/o salida que comprende:
una unidad de control lógico para procesar datos y/o realizar otras tareas de control, dicha unidad lógica comprende medios para generar códigos únicos para la comprobación funcional de las etapas de procesamiento y/o recepción y/o transmisión que se realizan (denominadas contraseñas) y un puerto para la transmisión de las contraseñas generadas en cada etapa;
una unidad de protección a prueba de fallos, con una memoria que contiene un programa para comprobar las etapas funcionales de la unidad lógica y un programa para comprobar la corrección de los códigos de comprobación funcionales (contraseñas) y la secuencia de tiempo de los mismos, dicha unidad de protección se comunica a través de un puerto de transmisión y/o recepción con la unidad lógica y genera señales habilitantes cuando las contraseñas son correctas;
un dispositivo vital de salida que comunica con la unidad lógica para recibir señales de control y/o transmitir señales de estado/diagnostico basadas en las contraseñas de control y las interconexiones con la unidad de protección para recibir la señal habilitante vital basada en el resultado de la corrección de la contraseña y las comprobaciones de secuencia.
La unidad de protección preferentemente comprende una fuente de energía que está controlada para suministrar voltaje de suministro vital al dispositivo de salida en respuesta a la corrección de la palabra de comprobación/contraseña y las comprobaciones de secuencia. El voltaje de suministro vital se corta cuando el estado activado/desactivado del dispositivo de salida no corresponde a la condición de control impuesta por el control lógico.
Para incrementar la fiabilidad y seguridad, el sistema preferentemente es de tipo redundante, lo que significa que todas las unidades de borde de vía o por lo menos algunas de ellas son controladas por un par de dispositivos de salida vitales paralelos equivalentes. El sistema comprende un circuito de gestión de redundancia vital está configurado para activar exclusivamente el primero o el segundo dispositivo respectivamente, para asegurar el accionamiento seguro de la unidad de borde de vía en caso de mal funcionamiento de alguno de los dispositivos.
Según una realización, el sistema comprende dos o más dispositivos de salida vital para realizar directamente la interconexión a una unidad lógica de control con dos o más unidades de borde de vía, tales como relés, contactos, lámparas y similares, dicho dispositivo comprende:
un circuito de protección de sobretensión, que está calibrado para evitar que la señal de salida generada alcance el puerto de salida del dispositivo si la absorción de corriente excede un valor disparador dado;
un relé que tiene por lo menos un par de contactos normalmente abiertos, que el puerto de salida puede estar en cortocircuito, cuando se controla para hacerlo,
estando dicho sistema configurado para poner en cortocircuito los puertos de salida de dispositivos no controlados de forma tal el circuito de protección de sobretensión del puerto controlado pueda dispararse para evitar que cualquier pérdida de aislamiento de los cables dirigida a la unidad cause el accionamiento indebido de unidades no controladas.
Particularmente, el sistema está configurado para proteger las unidades del accionamiento indebido causado por el contacto doble ordenado separadamente sobre cables multipolares y los relés utilizados para poner en cortocircuito los puertos están guiados forzados mediante contactos auxiliares para permitir la relectura del estado de activación real, mediante circulación de contraseña.
En otro aspecto, la invención se refiere a un sistema para el intercambio seguro de información digital entre una unidad lógica de control y una o más unidades remotas de borde de vía, mediante conductores de control eléctricamente aislados, cuya información es transmitida mediante la unidad lógica a la unidad/es remotas en forma de controles para forzar la presencia/ausencia de voltaje correspondiente al tipo de información binaria deseada en uno o más puertos que puede ser accedida mediante la unidad/es remota. El estado accionado/no accionado del puerto/s está determinado por la activación/desactivación de uno o más relés guiados forzados en comunicación eléctrica con medios de generación de voltaje. El estado activado/desactivado de dicho relé/s es releído mediante el control lógico mediante la circulación de contraseñas para desactivar vitalmente dichos medios de generación cuando el estado activado/desactivado del relé/s no corresponde a la condición de control impuesta mediante el control lógico debido a la presencia de fallos o potenciales no deseados posiblemente inducidos sobre conductores de control debido a la degradación del aislamiento a tierra y mutuo de los conductores.
Particularmente, el sistema configurado para comprobar cíclicamente el aislamiento de los conductores de control mediante la lectura vital repetida del estado activado real de un puerto remoto después de la transmisión de una secuencia predeterminada de contraseñas de activación a los conductores de control.
Detalles y mejoras adicionales formarán el objeto de las reivindicaciones adjuntas.
Las características de la invención y las ventajas derivadas de las mismas serán más evidentes a partir de la siguiente descripción detallada de los dibujos adjuntos, en los cuales:
La figura 1 es un diagrama de bloques simplificado de un subsistema para la gestión segura de entrada/salida vital de campo.
La figura 2 es un diagrama del dispositivo de salida vital de la invención con referencia a un único puerto de salida.
La figura 3 es el diagrama de bloques del accionamiento conducido por relé y la etapa de selección de polaridad.
La figura 4 en el diagrama de bloques de la etapa de suministro de energía vital.
La figura 5A es un diagrama de bloques de la primera realización de la etapa de protección de sobretensión.
La figura 5B muestra una segunda realización de la etapa de protección de sobretensión.
La figura 6 es el diagrama de bloques del control óptico central.
La figura 7 un ejemplo de un contacto ordenado doble separado entre dos unidades de borde de vía.
La figura 8 es un diagrama de bloques simplificado de un subsistema redundante para la gestión segura de entrada/salida de campo vital.
Aunque el ejemplo de las figuras principalmente se refiere al campo de los ferrocarriles, y particularmente a un dispositivo de salida y al sistema de control y/o monitorización asociado, para controlar unidades de borde de vía de un sistema de estación de ferrocarril, está invención no debe pensarse que está limitada por esto, y es aplicable a cualquier dispositivo de salida que tiene que lograr unciones a prueba de fallos y utilizar hardware no a prueba de fallos para lograr sus funciones de accionamiento de unidad remota.
Con referencia a la figura 1, el subsistema de este diagrama de bloque, conocido como ZLC, es decir "Zone Logic Computer" (Ordenador Lógico de Zona), comprende una unidad lógica de control 1, que interconecta con una o más unidades de borde de vía 3, tales como relés, contactos, lámparas o similares, a través de un "Field Vital Input/Output" (Entrada/Salida de Campo Vital) FVIO. El dispositivo 2 está diseñado tanto para interpretar las señales de control desde el lógico 1 y convertirlas en señal el fraccionamiento seguras 9 para la unidad de borde de vía 3 (función "Field Vital Output" (Salida de Campo Vital), es decir FVO 102), y para leer de forma segura datos 10 desde la unidad de borde de vía 3 (función "Field Vital Input" (Entrada de Campo Vital), es decir FVI 202). El dispositivo 2 interconecta la unidad lógica 1 mediante uno o más buses de datos, mostrándose dos buses de datos en la figura 1, para la salida 4 y la entrada 5 respectivamente. En esta entrada, el dispositivo 2 recibe energía 6 para sus mitos digitales internos (+5V), voltaje CA 7, típicamente 220 VAC, para generar la sede de accionamiento y un voltaje CC 8 (12 VIT) para activar vitalmente la generación de dicha señal de accionamiento.
La figura 2 es un diagrama de bloques del dispositivo de salida vital FVO 102 con referencia a un único puerto de salida. En una realización, el dispositivo 102 comprende 8 módulos de salida protegidos de sobretensión que, dependiendo del control desde el lógico 1, puede proporcionar un voltaje CC positivo o negativo (típicamente \pm48V, \pm144V) o un voltaje CA (típicamente 150 Vac), para accionar la unidad de borde de vía 3.
El voltaje para accionar la unidad de borde de vía conectada al puerto de salida 9 es generado mediante el módulo 10 que comprende, en una realización preferida, convertidores conmutadores que pueden convertir el voltaje de entrada AC 4 en el voltaje de salida V deseado cuando se activa la señal vital 8. El generador 10 comprende cuatro convertidores para proporcionar voltajes CC de 24V, 48V y 144V y un voltaje CA de 150V respectivamente. El circuito 110 selecciona el voltaje de salida apropiado mediante el accionamiento del correspondiente convertido. Según una realización, dicha selección se produce mediante agrupamiento de puertos: preferentemente ocho módulos, o seis y dos módulos, o cuatro y cuatro módulos. Por lo tanto, cada puerto puede ser libremente configurado según se necesite. Por seguridad, dicha configuración se realiza manualmente por parte del operador de instalación y/o comprobación durante la instalación y/o comprobación, mediante el uso de por puentes o conectores en la placa madre del módulo 110. La figura 4 muestra la estructura del módulo generador 10, es bien conocida la técnica, en mayor detalle. Una vez que el voltaje CA de entrada 7 ha sido filtrado de alta frecuencia mediante el filtro EMC 210 y ha pasado la etapa de protección de sobretensión 310, alcanza el rectificador 410, típicamente un puente diodo, y luego la etapa de conversión CA/CC o CC/CC. La conversión se produce mediante conmutación, como ha conocido la técnica, y es conducida PWM bajo el control de la señal de activación CC 8. Particularmente, la señal de activación es operativa en la etapa de conducción del pulso para evitar la generación de conducir pulsos cuando la energía vital +12VIT no está presente. El diagrama de la figura 4 es complementado mediante componentes de protección de sobretensión adicionales 910 y componentes de aislación 710. En un primer ejemplo, el circuito de medición de aislación es el designado mediante 103 en la figura 2.
Por el contrario, puede utilizarse un circuito para la comprobación de la relación a tierra 610, que está interconectado con el lógico local a través de un circuito de diagnóstico 70. Cualquier dispositivo de medición de pérdida de aislamiento a tierra también puede emplearse, siempre que cumpla el estándar EEC EN 61557-8.
El voltaje de salida desde el generador 10 alcanza el circuito de protección de sobretensión 20 que desactiva la salida siempre que la absorción de corriente exceda el valor disparador. Como se describe con mayor detalle a continuación, posiblemente puede ser provisto un interruptor de doble interrupción de estado sólido 320' y un circuito de medición doble 120', como se muestra en las figuras 5A y 5B.
Se proporcionan dos umbrales de corriente máxima, dependiendo del tiempo de sobretensión. El primer umbral (conocido como umbral "térmico") es menor que el segundo umbral (conocido como umbral "magnético") pero puede ser mantenido por un tiempo más largo. Los interruptores de estado sólido 320 y los relés 130 y 230 de la figura 3 pueden ser desactivados bajo el control del software lógico de control ZLC, que puede interrumpir ambas fases de la señal (interrupción doble) y directamente retirar el control de activación de puerto, cuando el umbral de corriente "térmico" es excedido: esta condición se comunica mediante el control óptico central a través de correspondientes contraseñas.
Cuando el umbral de corriente "magnético" es excedido es el lógico local (designado como 20 en la figura 2) que causa que los interruptores de estado sólido 320 y/o 320', con referencia las variantes de las figuras 5A y 5B respectivamente, y posiblemente los relés 130 y 230 de la figura 3, interrumpen ambas fases de señal (doble interrupción). Dicha comisión sindical mediante un LED en el panel frontal 80 y es diagnosticado mediante el módulo 70 a través del lógico local 60. Para el reajuste manual de la protección de sobretensión, se proporciona un botón sobre el panel 80 que activa los módulos del dispositivo de sobretensión 20 nuevamente. El reajuste también puede controlarse remotamente, mediante software.
El valor disparador de circuito de protección 20 es definido mediante configuración local, como una función del voltaje de salida y del tipo de unidad controlada. Por ejemplo, un valor "térmico" por defecto de 0,1 A corresponde a las salidas de 48V.
Con referencia a la realización de la figura 5B, la función de protección de sobretensión 20 se proporciona mediante circuitos de medición (detección) de corriente 120, y un interruptor estático 320, que se fija en el estado abierto mediante el circuito 220, cuando la corriente detectada excede el umbral disparador.
En la variante de realización de la figura 5A, la función de protección de sobretensión 20 se proporciona mediante circuitos de medición (detección) de corriente 120, 120' en ambos conductores de energía, y un interruptor estático doble 320, 320' que se fija en el estado abierto mediante circuito 220, cuando la corriente detectada excede el umbral disparador.
Según otra característica, se proporciona regularmente una prueba para comprobar la efectividad de la protección de sobretensión, dicha prueba está controlada mediante el lógico central SW (software) antes de que los puertos sean activados. Particularmente con referencia a la variante de realización de la figura, antes de activar cualquier puerto, el SW cierra una carga de simulacro de valor conocido que se cierra por un corto tiempo, para causar que el umbral de corriente "térmico" sea excedido, y comprueba que el circuito de detección local detecta esta situación mediante contraseñas dedicadas, y luego el SW abre el interruptor 320 y comprueba que la corriente detectada cambia nuevamente a cero. Si una de estas condiciones no es satisfecha, el circuito de protección de sobretensión no funciona adecuadamente y el puerto correspondiente no es activado.
Después de un filtrado de ruido de alta frecuencia mediante el filtro 50, para reunir el estándar de compatibilidad electromagnética EN50121-4, el voltaje de salida del módulo de protección de sobretensión 20 alcanza la salida del puerto 9 a través del etapa de accionamiento conducido por relé y selección de polaridad 30 que forma el núcleo del dispositivo.
Con referencia a la figura 3, la etapa de accionamiento conducido por relé y selección de polaridad 30 comprende un par de relés guiados forzados 130 y 230, teniendo cada uno dos pares de contactos principales 133-134, 135-126 y 233-234, 235-236, que están normalmente abiertos cuando están inactivos, es decir son capaces de interrumpir el circuito cuando no se detecta señal de conducción 137, 237. Cada relé 130, 230 comprende además un par de contactos detectores de conducción auxiliar (131-132, 231-232), que están normalmente cerrados por inactivos. Los componentes 138 y 238 invierten la señal de salida respecto a la entrada para proteger contra fallos de cortocircuito entre el Accionador 131, 231 y el Detector 132, 232.
Los relés guiados forzados, tal como aquellos conformes con EN 50205 y UIC736e, vendidos por ELESTA relays GmbH, son llamados así porque tienen contactos vinculados mecánicamente, de forma tal que la conmutación de un par de contactos causa la conmutación del otro par/es de contactos. Particularmente, los contactos normalmente abiertos y normalmente cerrados no puede cerrarse al mismo tiempo, según el estándar antes mencionado, si un par de contactos normalmente cerrado no se abre cuando se acciona el relé, por ejemplo debido a que los contactos están unidos juntos, todos los contactos normalmente abiertos restantes del relé no deben cerrarse o deben estar espaciados por lo menos 0,5 mm. Esto permite determinar confiablemente el estado cerrado/abierto de los contactos principales 133-134, 135-126 y 233-234, 235-236, mediante el análisis del estado abierto/cerrado de los respectivos contactos auxiliares accionador/detector 131-132, 231-232. Los contactos auxiliares no son accionados, por lo contrario su estado puede ser fácilmente detectado mediante la determinación de si una señal de control transmitida a la terminal de Conducción alcanza o no la terminal de Detección, particularmente con una polaridad opuesta, debido a la reversión 138, 238.
El par de relés guiados forzados 130, 230 tiene la función de accionar el dispositivo, es decir de transmitir el voltaje generado mediante el módulo 10 al puerto de salida 9, y de revertir la polaridad del mismo. Los dos relés 130, 230 están conectados con entradas paralelas 133/233, 135/235 y salidas anti paralelas 134/236, 136/234, para proporcionar una señal de salida bipolar que es en fase con la señal de entrada, si se acciona el relé 130, o en fase invertida con la señal de entrada, si se acciona el relé 230.
Los dos relés 130, 230 son accionados por una señal lógico alta "1" en las terminales de control 137, 237. El lógico conductor se configura para accionar 130, 230 cuando los controles ON+ y ON- 530, 430 están en el nivel lógico alto "1" y en las condiciones de señal "protección de sobretensión" activada respectivamente. Esta señal proviene del bloque 20, anterior a la etapa 30, y es desactivado, es decir asume el valor lógico bajo "0" cuando la protección de sobretensión es disparada, en donde los controles 530 y 430 vienen desde la unidad lógica central 1 a través del lógico local 60. Las señales de conducción 137, 237 de los relés 130 y 230 vienen de los puertos AND 630 y 730 respectivamente, que tienen la señal "protección de sobretensión" 330 en sus salidas, así como la señal ON+ 530 y la señal ON- 430 respectivamente. Si la protección de sobretensión es disparada, entonces el conductor del relé es desactivado cualquiera sea la condición de control en las terminales 430 y 530. Si la protección no está disparada, los dos relés 130, 230 pueden ser controlados mediante el envío de una señal lógica de nivel alto en ON+ u ON-. El lógico de control local debe asegurar estos controles son mutuamente exclusivos, para evitar que ambos relés 130, 230 se encuentren una condición montañas de accionamiento, que puede causar el puerto se ponga en cortocircuito. Si dicho cortocircuito se produce debido a un fallo, de cualquier manera la seguridad estaría asegurada por la protección de sobretensión, que causa que ambos relés 130, 230 se desactiven, mediante la desactivación de la señal 330.
Un tercer relé NCC40 proporciona la función "circuito cerrado neutro", cuando el puerto no es accionado, es decir cuando ambos controles ON+ y ON- 530, 430 están en el nivel lógico bajo "0" y la placa es operativa, ya que dos placas pertenecientes a los sistemas N y R respectivamente (ver figura 8) pueden estar conectados en paralelo a las mismas unidades. Esta condición asegura que ningún fallo o condición de apagado de uno de los sistemas cause que el relé se cierre (NCC indebido). Este relé guiado forzado normalmente abierto 40 es conducido 140 mediante un puerto lógico NOR 830 que tiene las señales de ON+ y ON- 530, 430 como entradas. El accionamiento del relé causa que el puerto se ponga en cortocircuito, asegurando así la protección efectiva contra los falsos de pérdida de aislamiento del cable, como se muestra mejor a continuación. El estado de accionamiento del relé NCC 40 puede diagnosticarse desde su contacto auxiliar (no mostrado).
La seguridad el dispositivo se asegura mediante un mecanismo dinámico para controlar el estado de accionamiento de los relés 130, 230, que es directamente operativo sobre la función de activar vitalmente 8 el generador de señal de accionamiento 10. Si el estado cerrado/abierto de los contactos auxiliares 131-132 y 231-232, y por lo tanto el estado abierto/cerrado de los contactos principales 133-134, 135-136 y 233-234, 235-236 no es consistente con el control de accionamiento trasmitido 530, 430, el voltaje de suministro vital 8 es puntualmente cortado, y el puerto de salida 9 se fija en un estado no permisivo seguro, correspondiente con una condición no accionada de la unidad de borde de vía 3.
Para los propósitos de comprobación vital, los dos relés 130 y 230 son independientemente gestionados por el lógico local 60 a través de los circuitos Accionamiento+/Detección+ 131-132 y circuitos Accionamiento-/Detección- 231-232, bajo el control del lógico central 1 de su sistema ZLC. La comprobación se produce mediante la circulación de una palabra de comprobación binaria (contraseña), generada por el lógico 1 del sistema ZLC, a través del contacto auxiliar (normalmente cerrado), correspondiente con el contacto principal (normalmente abierto) del relé relevante 130, 230. Cuando el puerto no está controlado, la contraseña circula a través de los contactos cerrados y es reelegida y denegada por el lógico. La delegación de la contraseña protege contra fallos de cortocircuito entre Accionamiento y Detección.
Si la contraseña leída por el lógico 1 no corresponde con la contraseña transmitida, el sistema ZLC desactiva la energía vital 7 al subsistema en uso, y los puertos de salida relevante es 9 no son accionados. El sistema se fija en condiciones de puerto no accionado, en un tiempo de respuesta de menos de 200 ms. Las unidades de borde de vía 3 con las cuales interactúa el subsistema FVO 102 deben asegurar que no se fijarán en un estado permisivo durante un tiempo no más corto de dicho tiempo de respuesta segura.
El lógico central 1, como se ejemplifica en la figura 6, es un lógico de ordenador vital, tal como el descrito en el documento WO 03093999, y está básicamente compuesto de dos secciones principales:
- una sección de control 101, que consiste en un sistema microprocesador, que incluye los periféricos requeridos (memoria de programa, memoria de acceso aleatorio (RAM), interfases seriales, reloj auxiliar y circuito generadores de señales de restauración, vigilancias), para interactuar tanto con los dispositivos de salida vital 102 a través del bus 401 y con otros subsistemas a través del bus 501;
- una sección de protección vital 201, es decir una unidad de protección y comprobación que utiliza bloques de hardware y bloques de software relacionado a códigos de seguridad que forma un sistema para certificar los códigos de comprobación o palabras que se generan por la sección de control 101 basado en la retroalimentación transmitida al mismo mediante los dispositivos de salida vital 102, controlado por dicha sección 101, para controlar la compatibilidad con el control recibido y la ejecución adecuada de la función controlada. La unidad de protección tiene la función de asegurar la realización de un estado seguro en caso de fallos en la sección de control. La arquitectura de seguridad del módulo de ordenador vital 1 este tipo reactivo; la sección de protección 201 tiene la tarea de identificar cualquier conducta susceptible de afectar la seguridad de la sección de control siento uno y de forzar al sistema a un estado seguro en un tiempo dado. La sección de protección se diseña con técnicas a prueba de fallos.
La sección de control 101 y la sección de protección 201 son que accionada por dos procesadores independientes, que se comunican con un Puerto Dual RAM 301. Más específicamente, la sección de control 101 genera contraseñas para alimentar la sección de protección 201, que cíclicamente consumen las contraseñas y detecta posibles errores de procedimientos de control.
La sección de protección 201 vitalmente genera el voltaje 8 requerido para activar que los generadores de voltaje 10 en el dispositivo de salida vital 102. Las comprobaciones realizadas por la sección de protección 201 son tanto lógicas y comprobaciones de tiempo; la sección periódicamente recibe contraseñas desde la sesión de control 101, dicha contraseñas se utilizan para confirmar el funcionamiento adecuado de todas las operaciones relacionadas con la seguridad, y comprueba la validez de las mismas. Si las contraseñas son lógicamente correctas, llegan en rangos de tiempos bien definidos y el procedimiento de autodiagnóstico de la sección de protección 201 no detecta fallos, entonces la sección de protección 201 proporciona suministro de energía vital 8, en caso contrario, retira dicho suministro de energía, y evita cualquier la misión de señal a las unidades de borde de vía.
Gracias a este mecanismo de comprobación vital, el dispositivo de salida 102 puede entregar de forma segura la energía requerida para accionar la unidad de borde de vía 3, sin emplear relés de ferrocarril a prueba de fallos caros y voluminosos.
\vskip1.000000\baselineskip
\vskip1.000000\baselineskip
\vskip1.000000\baselineskip
(Tabla pasa a página siguiente)
\newpage
La siguiente tabla resume los posibles tipos de fallo, así como sus efectos:
1
3 
\newpage
Como se muestra anteriormente, hay dos tipos de fallos que no pueden ser detectados por el control vital:
- Fallos en los cuales el estado del puerto es consistente con el estado esperado como una función del control;
- Fallos en los cuales el estado del puerto es "no activado".
Por lo tanto, en ambos casos, la condición de fallo no detectado no es inconsistente con los requerimientos de seguridad.
El aislamiento es un aspecto crítico en aplicaciones de alta seguridad, tales como aplicaciones ferroviarias. Cualquier voltaje inducido sobre los cables como resultado de una pérdida de aislamiento puede causar el accionamiento no deseado de las unidades de borde de vía, que pueden tener incluso consecuencias fatales (como aquellas que posiblemente sobrevienen del accionamiento de un interruptor o una lámpara de parada del tren). Por lo tanto, el dispositivo de salida vital 102 de la invención se designan para interactuar con dispositivo diagnóstico 601, 103 para medir las pérdidas del aislamiento a tierra de conformidad con estándar EEC EN 61557-8. Comprobaciones de pérdida de aislamiento puede realizarse tanto en cables de suministro como los cables de borde de vía. En el caso anterior, el dispositivo de medición indica perdidas de aislamiento a tierra del grupo de puertos y tienen la misma fuente de energía, en el último, la pérdida de aislamiento indica para cada puerto. En ambos casos, la unión de control puede desactivar puntualmente el puerto relevante.
Además de lo anterior, cualquier control no deseado inducido por el ruido sobre los cables que interactúan la unidad de control 1 con el dispositivo de salida vital 102 se evita mediante el mecanismo de control del estado del puerto vital, donde la combinación de la sobretensión 20 antes comentada y las funciones de protección de cortocircuitos 40 es particularmente efectiva para proteger las unidades de borde de vía de accionamiento indebido, por ejemplo causado por falsos que contactos dobles ordenados separadamente (d.s.o.c.), como esquemáticamente se muestra en la figura 7. Estos fallos implican un corto circuito entre los cables dirigidos a diferentes unidades y causan que una unidad no controlada (unidad 2) esté en paralelo con una unidad controlada (unidad 1) y que este indebidamente accionada como resultado. Sin embargo, debido a que cada unidad no controlada está en cortocircuito debido al cortocircuito en el correspondiente dispositivo de salida vital 40 (NCC), el puerto (OUT#1) que suministra la energía requerida para accionar la unidad también están cortocircuito, generando así un incremento de la corriente suministrada (Imax), que causa que la protección de sobretensión 20 se dispare antes de cualquier accionamiento indebido.
Con referencia a la figura 7, para evitar cualquier accionamiento indebido de la unidad 2, el valor disparador de la protección de sobretensión 20 debe ser tal que el voltaje residual en los extremos de la unidad 2 es menor que su umbral de accionamiento mínimo. El valor de voltaje residual en los extremos de la unidad está relacionado de cerca con la longitud de la sección del cable, cuya resistencia se designa mediante R.
Para una protección aún más segura, el estado del relé NCC es controlado por el lógico ZLC SW mediante la circulación de contraseñas a través de uno de los contactos auxiliares de dicho relé.
Para incrementar la fiabilidad y seguridad, el subsistema ZLC preferentemente es del tipo redundante de respaldo caliente, lo que significa que la unidad de borde de vía 3 es conducido por un par de subsistemas equivalentes como se describe y se muestra en la figura 1. La figura 8 es un diagrama de bloques de este sistema redundante. N y B designan Normal y Respaldo "Backup" respectivamente. Cada uno de los subsistemas N y B pueden proporcionar de forma segura las mismas funciones. En particular, operan en paralelo, es decir transmite los mismo controles y realizan el mismo procesamiento, a pesar de que sólo el puerto de entrada/salida de uno de los dos dispositivos 2, 2', típicamente el dispositivo N, está activado. Si se produce un mal funcionamiento de uno de los dos subsistemas, el circuito de gestión de redundancia vital (no mostrado) activar al otro subsistema para asegurar el accionamiento seguro de la unidad de borde de vía 3.
La redundancia es particularmente ventajosa en el caso del fallo de circuito de protección de cortocircuitos 40 de uno de los puertos del dispositivo de salida vital 102. La misma función puede ser por lo tanto realizada por el circuito de protección de cortocircuitos del dispositivo de salida del subsistema redundante paralelo asociado a la unidad, lo cual incrementa además la seguridad de la totalidad del subsistema ZLC.
Obviamente, la invención no está limitada la descripción y figuras anteriores, sino que puede variarse, especialmente en lo que refiere a la construcción, sin apartarse de las enseñanzas inventivas desveladas anteriormente y reivindicada continuación.

Claims (39)

1. Un dispositivo de campo de salida vital para interactuar directamente una unidad lógica de control central con por lo menos una o más unidades de borde de vía, tales como relés, contactos, lámparas y similares, cuyo dispositivo comprende:
por lo menos una entrada para las señales de control generadas mediante la unidad lógica de control;
por lo menos un puerto de salida para la retransmisión de una señal de accionamiento de una unidad de borde de vía, cuyo puerto de salida está conectado y/o se puede conectar a dicha unidad de borde de vía;
medios para evitar/desactivar dicho puerto de salida para transmitir la señal de accionamiento de la unidad de borde de vía;
medios para generar la señal de salida de la unidad de borde de vía, que están conectados a dicho puerto de salida;
cuyas señales de control, generadas mediante la unidad lógica de control, controlan los medios para activar/desacti-
var el puerto de salida del dispositivo de salida para permitir o evitar la transmisión de la señal de accionamiento de la unidad de borde de vía,
caracterizado porque el dispositivo también comprende:
un elemento de conmutación que puede ajustar el estado activado/desactivado de la transmisión de la señal de accionamiento de la unidad de borde de vía de dicho puerto;
electrónica para detectar dicho estado a partir del control impuesto mediante la unidad lógica de control, estando diseñados dichos medios de generación de la señal de salida para desactivarse vitalmente cuando el estado activado/desactivado de dicho puerto no corresponde con la condición de control impuesta mediante la lógica de control.
2. Dispositivo según la reivindicación 1, caracterizado porque el elemento de conmutación comprende por lo menos una entrada y por lo menos una salida, siendo la relación entre la entrada y la salida una función del estado activado/desactivado del puerto, pudiéndose detectar vitalmente dicho estado mediante la electrónica mediante la comparación de la salida del elemento de conmutación con un código de comprobación transmitido a su entrada.
3. Dispositivo según la reivindicación 2, caracterizado porque el elemento de conmutación tiene por lo menos un par de contactos de relé, que están mecánicamente vinculados con los medios de activación/desactivación del puerto, estando los contactos del par conectados eléctricamente a la entrada y a la salida del elemento de conmutación, respectivamente.
4. Dispositivo según la reivindicación 3, caracterizado porque los medios de activación/desactivación del puerto comprenden por lo menos un relé que tiene por lo menos un par de contactos, que están eléctricamente conectados a los medios de generación de la señal de salida y al puerto de salida respectivamente, estando dicho par de contactos vinculados mecánicamente al par de contactos del elemento de conmutación, de manera que la conmutación de un par provoca la conmutación del otro par.
5. Dispositivo según la reivindicación 4, caracterizado porque un par de contactos está normalmente cerrado cuando está inactivo, y el otro está normalmente abierto cuando está inactivo, estando los contactos vinculados mecánicamente entre sí de manera que no pueden estar cerrados/abiertos al mismo tiempo.
6. Dispositivo según la reivindicación 5, caracterizado porque los contactos del elemento de conmutación están normalmente cerrados cuando están inactivos, y los contactos de los medios de activación/desactivación del puerto están normalmente abiertos cuando están inactivos.
7. Dispositivo según una o más de las reivindicaciones anteriores 4 a 6, caracterizado porque los contactos del elemento de conmutación y los contactos de los medios de activación/desactivación del puerto son parte de un único relé, particularmente un relé denominado de fuerza guiada, el cual, cuando se acciona, conmuta los contactos a un estado invertido respecto al estado inactivo.
8. Dispositivo según una o más de las reivindicaciones anteriores, caracterizado porque comprende un circuito para seleccionar la polaridad de la señal de salida.
9. Dispositivo según la reivindicación 8, caracterizado porque los medios de activación/desactivación del puerto de salida incluyen dicho circuito de selección de polaridad.
10. Dispositivo según una o más de las reivindicaciones anteriores, caracterizado porque la señal de salida es una señal bipolar y los medios de activación/desactivación del puerto comprenden un primer relé que tiene pares de contactos normalmente abiertos para activar/desactivar el primero de los dos polos de señal de salida.
11. Dispositivo según la reivindicación 10, caracterizado porque los medios de activación/desactivación comprenden un segundo relé que tiene pares de contactos normalmente abiertos para activar/desactivar el segundo de los polos de señal de salida.
12. Dispositivo según la reivindicación 10, caracterizado porque el relé comprende por lo menos dos pares de contactos normalmente abiertos para activar/desactivar cada polo de la señal de salida.
13. Dispositivo según la reivindicación 12, caracterizado porque los medios de activación/desactivación del puerto comprenden un segundo relé que tiene por lo menos dos pares de contactos normalmente abiertos, que están montados en paralelo respecto al primer relé, con entradas o salidas invertidas para proporcionar, cuando se accionan, una señal de polaridad invertida al puerto de salida, accionándose los dos relés de una manera mutuamente exclusiva.
14. Dispositivo según una o más de las reivindicaciones 10 a 13 anteriores, caracterizado porque el(los) relé(s) comprende(n) por lo menos un par de contactos auxiliares normalmente cerrados, que se fuerzan a abrirse mecánicamente cuando se cierran los correspondientes contactos principales.
15. Dispositivo según una o más de las reivindicaciones anteriores, caracterizado porque los medios de generación de señal de salida tienen por lo menos una entrada para una señal de activación vital para activar/desactivar la generación de la señal de salida.
16. Dispositivo según la reivindicación 15, caracterizado porque los medios de generación de la señal de salida comprenden por lo menos un conversor CC/CC o CC/CA que se proporciona en combinación con medios de activación/desactivación vital.
17. Dispositivo según la reivindicación 16, caracterizado porque los medios de activación/desactivación vital generan una señal de habilitación vital, que es operativa en el accionamiento por pulsos de dicho por lo menos un conversor, para evitar la generación de pulsos de conducción cuando el suministro de energía vital no está presente.
18. Dispositivo según una o más de las reivindicaciones anteriores, caracterizado porque comprende un circuito de protección de sobretensión, estando dichos circuito de protección calibrados para evitar que la señal de salida generada alcance el puerto de salida del dispositivo si la absorción de corriente excede un valor disparador dado.
19. Dispositivo según la reivindicación 18, caracterizado porque el circuito de protección de sobretensión está ubicado a continuación de los medios de generación de señal de salida, y está configurado para desactivar la salida del dispositivo mediante una doble interrupción de circuito que conecta los medios de generación de señal de salida con los medios de activación/desactivación del puerto de salida.
20. Dispositivo según la reivindicación 18 ó 19, caracterizado porque el circuito de protección de sobretensión comprende por lo menos un interruptor estático que tiene una disposición de reajuste manual o controlada mediante software.
21. Dispositivo según una o más de las reivindicaciones anteriores, caracterizado porque comprende por lo menos un elemento interruptor que puede poner en cortocircuito el puerto de salida, cuando es controlado para hacerlo.
22. Dispositivo según la reivindicación 21, caracterizado porque dicho elemento interruptor es un relé, particularmente un relé guiado forzado que tiene por lo menos un par de contactos normalmente abiertos.
23. Dispositivo según una o más de las reivindicaciones anteriores, caracterizado porque tiene una unidad local que interactúa con la unidad lógica central para controlar el dispositivo.
24. Dispositivo según la reivindicación 23, caracterizado porque la unidad local está configurada para convertir los controles de activación/desactivación del puerto desde la unidad lógica central en los correspondientes controles de interruptor de relé.
25. Dispositivo según la reivindicación 24, caracterizado porque la unidad local interactúa con el circuito de protección de sobretensión para desactivar los controles de interruptor de relé siempre que el circuito de protección de sobretensión es disparado debido a una decisión local y/o una decisión de la unidad lógica central SW.
26. Dispositivo según las reivindicaciones 23 a 25, caracterizado porque la unidad local comprende electrónica para la detección vital del estado activado/desactivado de transmisión de la señal de accionamiento de la unidad de borde de vía del puerto de salida.
27. Dispositivo según la reivindicación 26, caracterizado porque el estado activado/desactivado del puerto es detectado mediante la circulación de contraseñas desde la unidad lógica central a la unidad local, dicha unidad local convierte dicha contraseñas en señales de entrada para el elemento interruptor, y lee la salida del elemento y codifica dichas salidas en las correspondientes contraseñas a transmitir de regreso a la unidad lógica central.
\newpage
28. Dispositivo según la reivindicación 27, caracterizado porque el estado del puerto es detectado mediante la comprobación del estado abierto/cerrado de los contactos del elemento de interruptor, estando el puerto en el estado activado cuando dichos contactos están abiertos.
29. Un sistema de entrada y/o salida de campo vital que comprende:
una unidad lógica de control para el procesamiento de los datos y/o la realización de otras tareas de control, dicha unidad lógica comprende medios para generar códigos únicos para la comprobación funcional de las etapas de procesamiento y/o recepción y/o transmisión que se realizan (denominadas contraseñas) y un puerto para la transmisión de las contraseñas generadas en cada etapa;
una unidad de protección a prueba de fallos, con una memoria que contiene un programa para comprobar las etapas opcionales de la unidad lógica y un programa para comprobar la corrección de los códigos de comprobación funcionales (contraseñas) y la secuencia del tiempo del mismo, dicha unidad de protección se comunica a través de un puerto de transmisión y/o recepción con la unidad lógica y genera señales de activación cuando las contraseñas son correctas;
un dispositivo de salida vital como se reivindica en una o más de las reivindicaciones anteriores, dicho dispositivo comunica con la unidad lógica para recibir señales de control y/o transmitir señales de estado/diagnóstico basadas en las contraseñas de control e interactúa con la unidad de protección para recibir la señal de activación vital basada en el resultado de la corrección de la contraseña y comprobaciones de secuencia.
30. Sistema según la reivindicación 29, caracterizado porque la unidad de protección preferentemente comprende una fuente de energía que está controlada para alimentar un voltaje de suministro vital al dispositivo de salida en respuesta a la corrección de contraseñas/palabras de comprobación y comprobaciones de secuencia.
31. Sistema según la reivindicación 30, caracterizado porque el voltaje de suministro vital se corta cuando el estado activado/desactivado del dispositivo de salida no se corresponde con la condición de control impuesta mediante el control lógico.
32. Sistema según una o más de las reivindicaciones 29 a 31 anteriores, caracterizado porque comprende un segundo dispositivo de salida vital como se reivindica en una o más de las reivindicaciones anteriores 1 a 28, teniendo su puerto de salida en paralelo con el primer dispositivo, comprendiendo el sistema un circuito de gestión redundante vital que está configurado para habilitar exclusivamente el primer o segundo dispositivo respectivamente, para asegurar el accionamiento seguro de la unidad de borde de vía que está, o puede ser, conectada a dichos puertos, en caso de mal funcionamiento de algún dispositivo.
33. Sistema según una o más de las reivindicaciones anteriores 29 a 32, caracterizado porque comprende dos o más dispositivos de salida vital como se reivindica en una o más de las reivindicaciones 1 a 28, para interactuar directamente una unidad lógica de control con dos o más unidades de borde de vía, tales como relés, contactos, lámparas y similares, dicho dispositivo comprende:
un circuito de protección de sobretensión, que está calibrado para evitar que la señal de salida generada alcance el puerto de salida del dispositivo si la absorción de corriente excede un valor disparador dado;
un relé que tiene por lo menos un par de contactos normalmente abiertos, que pueden poner en cortocircuito el puerto de salida, cuando está controlado para hacerlo,
estando dicho sistema configurado para poner en cortocircuito los puertos de salida de dispositivos no controlados, de forma tal que circuito de protección de sobretensión del puerto controlado puede ser disparado para evitar que cualquier pérdida de aislamiento de los cables dirigidos a la unidad cause el accionamiento indebido de unidades no controladas.
34. Sistema según la reivindicación 33, caracterizado porque está configurado para proteger las unidades del accionamiento indebido causado por fallos de contacto dobles ordenados separados en cables multipolares.
35. Sistema según la reivindicación 33 ó 34, caracterizado porque los relés utilizados para poner en cortocircuito los puertos son relés guiados forzados que tienen contactos auxiliares para leer el estado activado real mediante circulación de contraseñas.
36. Sistema para intercambio seguro de información digital entre una unidad lógica de control y una o más unidades de borde de vía remotas, mediante conductores de control eléctricamente aislados, dicha información es transmitida por la unidad lógica a la/s unidad/es remota/s en forma de controles para forzar la presencia/ausencia de voltaje en correspondiente al tipo de información binaria deseada en uno o más puertos que pueden ser accedidos mediante la/s unidad/es remota/s, caracterizado porque
la presencia/ausencia de voltaje en el/los puerto/s está determinada mediante la activación/desactivación de uno o más relés forzados guiados en comunicación eléctrica con medios para generar dicho voltaje, siendo el estado activado/desactivado de dicho/s relé/s releído mediante el lógico de control mediante circulación de contraseñas para desactivar vitalmente los medios de generación cuando el estado activado/desactivado del relé/s no se corresponde con la condición de control impuesta mediante el lógico de control debido a la presencia de fallos o potenciales no deseados posiblemente inducidos sobre los conductores de control debido a la degradación de tierra y el aislamiento mutuo de los conductores.
37. Sistema según la reivindicación 35, caracterizado porque está configurado para comprobar cíclicamente el aislamiento de los conductores de control mediante la lectura vital repetida del estado activado real de un puerto remoto después de la transmisión de una secuencia predeterminada de contraseñas de activación de los conductores de control.
38. Sistema según la reivindicación 36 ó 37, caracterizado porque tiene una o más de las características como se reivindican en las reivindicaciones 29 a 35.
39. Sistema según una o más de las reivindicaciones anteriores 36 a 38, caracterizado porque está provisto en combinación con un dispositivo de salida vital como se reivindica en las reivindicaciones 1 a 28.
ES07425064T 2007-02-05 2007-02-05 Dispositivo de campo de salida vital para interconectar directamente una unidad de control logico con al menos una o mas unidades de borde de via. Active ES2320711T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP07425064A EP1953063B1 (en) 2007-02-05 2007-02-05 Field vital output device and system for directly interfacing a control logic unit with at least one or more wayside units

Publications (1)

Publication Number Publication Date
ES2320711T3 true ES2320711T3 (es) 2009-05-27

Family

ID=38246329

Family Applications (1)

Application Number Title Priority Date Filing Date
ES07425064T Active ES2320711T3 (es) 2007-02-05 2007-02-05 Dispositivo de campo de salida vital para interconectar directamente una unidad de control logico con al menos una o mas unidades de borde de via.

Country Status (4)

Country Link
EP (1) EP1953063B1 (es)
AT (1) ATE419160T1 (es)
DE (1) DE602007000438D1 (es)
ES (1) ES2320711T3 (es)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL2010803C2 (nl) * 2012-10-04 2013-12-02 Volkerrail Nederland B V Systeem en werkwijze voor het bewaken van de bedrijfsfuncties van mechanisch bewogen componenten van een spoorweg, door relaissensoren en motorstroombewaking.
FR3012100B1 (fr) * 2013-10-18 2017-06-09 Scle Systemes Pour Le Ferroviaire Et L'energie Dispositif pour securiser un systeme utilisant des commandes electriques
CN107942646B (zh) * 2017-12-27 2024-01-23 卡斯柯信号有限公司 一种安全性独立主备切换设备及方法
IT201900009879A1 (it) * 2019-06-24 2020-12-24 Tekfer S R L Disposizione circuitale di relè a doppio scambio, in particolare per applicazioni di segnalamento ferroviario, e procedimento per il suo controllo
CN115195814B (zh) * 2022-07-15 2024-01-12 中国铁道科学研究院集团有限公司 一种车站地面控制系统及电码化单元控制方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5922034A (en) * 1996-12-06 1999-07-13 Union Switch & Signal Inc. Programmable relay driver
DE19836079A1 (de) * 1998-07-30 2000-02-10 Siemens Ag Anordnung und Verfahren zur sicheren Prozeßsteuerung
US6463337B1 (en) * 1999-12-20 2002-10-08 Safetran Systems Corporation Railroad vital signal output module with cryptographic safe drive
EP1524167B1 (de) * 2003-10-14 2010-11-03 Siemens Schweiz AG Verfahren und Schaltungsanordnung zur Erzeugung einer eisenbahntechnisch sicheren Rückmeldung
EP1594101A1 (de) * 2004-05-08 2005-11-09 Siemens Schweiz AG Verfahren und Stellteil zur Steuerung und/oder Überwachung von Funktionseinheiten mittels Speisesignalmodulation

Also Published As

Publication number Publication date
EP1953063B1 (en) 2008-12-31
DE602007000438D1 (de) 2009-02-12
ATE419160T1 (de) 2009-01-15
EP1953063A1 (en) 2008-08-06

Similar Documents

Publication Publication Date Title
RU2604633C2 (ru) Интерфейсный блок, транспортировочная система и способ контроля рабочего состояния входной схемы в схеме обеспечения безопасности транспортировочной системы
ES2320711T3 (es) Dispositivo de campo de salida vital para interconectar directamente una unidad de control logico con al menos una o mas unidades de borde de via.
ES2477564T3 (es) Circuito de seguridad en una instalación de ascensor
ES2732258T3 (es) Circuito de protección para un aparato de conversión de energía
ES2401103T3 (es) Dispositivo de conmutación de seguridad para la desconexión a prueba de errores de un consumidor eléctrico
KR101490022B1 (ko) 자동 출입문 제어 장치
FI114345B (fi) Sähkömekaanisen moottorin avulla toimivan oven ohjaus ja säätö
ES2337202T3 (es) Modulo de accionamiento y de vigilancia para unidades de funcionamiento de equipos de via de sistemas ferroviarios o similares.
JP5728095B2 (ja) 電気負荷をフェイルセーフに停止させるための安全開閉装置
JP6025219B2 (ja) 安全回路アセンブリ
EP2643256A1 (en) Elevator protection against short circuit of safety devices
EP3648277B1 (en) Electronic circuit for redundant supply of an electric load
ES2598955T3 (es) Puente de cable electrónico con circuito de seguridad
US7952314B2 (en) Electronic control device of an electrical drive system with redundant disconnection device
DK2559602T3 (en) A method and device for the blocking of the traction of a stationary rail vehicle
CN113677611B (zh) 用于中断电梯设备的由供电装置供电的驱动机的扭矩生成的安全扭矩切断装置
JP4845779B2 (ja) 故障検知機能を持つ直流出力回路
US8593768B2 (en) Apparatus and method for disabling the operation of high power devices
ES2307263T3 (es) Dispositivo para la generacion segura de señales.
CN107985343B (zh) 一种列车自动防护系统隔离方法及装置
KR100497116B1 (ko) 중요 장치용 내고장성 고장-안전 스위칭 시스템
JP4212965B2 (ja) 安全リレーシステム及び安全リレーシステム用出力ブロック化ユニット
JP3180056B2 (ja) スイッチ回路
JP2012224448A (ja) エレベータの安全保護装置
ES2774325T3 (es) Conmutador de seguridad para una instalación eléctrica, en particular para una cadena de seguridad de una instalación de ascensor