ES2652412T3 - Dispositivo de control protegido con diversificación para un sistema - Google Patents

Dispositivo de control protegido con diversificación para un sistema Download PDF

Info

Publication number
ES2652412T3
ES2652412T3 ES07290263.8T ES07290263T ES2652412T3 ES 2652412 T3 ES2652412 T3 ES 2652412T3 ES 07290263 T ES07290263 T ES 07290263T ES 2652412 T3 ES2652412 T3 ES 2652412T3
Authority
ES
Spain
Prior art keywords
sequence
processor
automatons
execution
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES07290263.8T
Other languages
English (en)
Inventor
Cyrille Bougault
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alstom Transport Technologies SAS
Original Assignee
Alstom Transport Technologies SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alstom Transport Technologies SAS filed Critical Alstom Transport Technologies SAS
Application granted granted Critical
Publication of ES2652412T3 publication Critical patent/ES2652412T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1487Generic software techniques for error detection or fault masking using N-version programming
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Advance Control (AREA)
  • Stored Programmes (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Devices For Executing Special Programs (AREA)
  • Programmable Controllers (AREA)

Abstract

Dispositivo de control protegido con diversificación (2) de un sistema que comprende: - un conjunto de al menos dos procesadores (4, 6, 8) de elaboración de controles destinados al sistema ferroviario, dispuestos en paralelo para recibir en una entrada respectiva (10, 12, 14) unos datos de entradas idénticas, siendo cada procesador (4, 6, 8) apto para recibir unos juegos de instrucciones diferentes que permiten calcular y suministrar, en unas salidas respectivas (28, 30, 32), unos datos de salida ( S(P1), S(P2), S(P3)) idénticos en función de los datos de entradas idénticas, - un órgano de selección de control (34) provisto de al menos dos entradas (36, 38, 40), estando cada entrada (36, 38, 40) conectada a la salida (28, 30, 32) de un procesador (4, 6, 8) y de una salida de control (42) apropiada para suministrar una señal de control escogida entre los datos de salidas procedentes de los procesadores (4, 6, 8), en función de un criterio predeterminado, permitiendo cada juego de instrucciones asociado a un procesador (4, 6, 8) ejecutar al menos dos autómatas de aplicación modular (46, 48, 50, 52), siendo los autómatas de aplicaciones modulares (46, 48, 50, 52) idénticos para todos los juegos de instrucciones, siendo cada juego de instrucciones (16, 18, 20) asociado a un procesador (4, 6, 8) apropiado para formar un secuenciador (54, 56, 58) de activación sucesiva de los autómatas de aplicación modular (46, 48, 50, 52) según una secuencia asociada (60, 70, 78), siendo cada secuenciador (54, 56, 58), por su secuencia apropiada asociada (60, 70, 78) distinto de los demás secuenciadores (56, 58; 54, 58; 54, 56), caracterizado porque cada autómata de aplicación modular (46, 48, 50, 52) comprende unas entradas de autómatas y unas salidas de autómatas (90, 96, 98, 104, 110), siendo una entrada de autómata externa cuando es apropiada para recibir un dato variable de entrada (E1, E2) del dispositivo de control (2), siendo una salida de autómata externa cuando es apropiada para suministrar un dato variable de salida (S1, S2, S3) del dispositivo de control (2), siendo una entrada y una salida de un mismo autómata o de dos autómatas distintos internas cuando son apropiadas para estar interconectadas e intercambiar un mismo dato variable interno (I1, I2), formando el conjunto de los datos variables de entrada (86, 88, 92, 94, 100, 102, 106, 108) y de salida (90, 96, 98, 104, 110) de los autómatas un vector de estado (114, 116, 118, 120, 122, 124, 126) del dispositivo de control (2), porque el dispositivo de control (2) para cada procesador (4, 6, 8) comprende una memoria de trabajo (22, 24, 26), que consta de: - un registro de estado de inicio de ejecución (112) de la secuencia de autómatas que contiene los valores del conjunto de las variables de estado (E1, E2, I1, I2, S1, S2, S3) antes de la ejecución de la secuencia de autómatas, - un registro de estado de fin de ejecución (113) de la secuencia de autómatas que contiene los valores del conjunto de las variables de estado del vector de estado obtenido después de la ejecución de la secuencia de autómatas, porque para cada procesador (4, 6, 8) y durante la duración de ejecución de la secuencia (60, 70, 78), el procesador es apropiado para leer solamente en el registro de estado de inicio (112) y para escribir solamente en el registro de estado de fin (113), porque para cada procesador (4, 6, 8), el registro de estado de inicio de secuencia (112) es apto para ser escrito y restaurado solamente al final de la ejecución de la secuencia por los valores de las variables de estado contenido en el registro de fin de secuencia (113), y porque cada procesador (4, 6, 8) es apto para repetir la ejecución de la secuencia de autómatas hasta que los valores de las variables de estado de al menos dos registros de estado (112, 113) asociados son idénticos.

Description

DESCRIPCIÓN
Dispositivo de control protegido con diversificación para un sistema
5 [0001] La invención se refiere a un dispositivo de control protegido con diversificación según el preámbulo de
la reivindicación 1.
[0002] Tal dispositivo es conocido por el documento US2002/116662 A1.
10 [0003] Un sistema ferroviario consta de un sistema de derivación acoplado a un sistema de paso a nivel y un
dispositivo de anuncio de cierre de la barrera de paso.
[0004] Por razones de seguridad, se conoce la diversificación de una cadena de control de un sistema
ferroviario en forma de ramas de tratamiento que tienen unas configuraciones de circuitos de cálculo diferentes. A
15 partir de los mismos datos de entrada, cada rama de tratamiento ejecuta las mismas aplicaciones o algoritmos
aplicativos pero según unos modos de cálculo diferentes.
[0005] En el caso en que cada rama funcione correctamente, unos controles idénticos resultan en la salida de cada rama.
20
[0006] En el caso de un fallo del conjunto de circuitos de una de las ramas, se suministran unos controles diferentes.
[0007] En el caso de fallos simultáneos de varias ramas, unos controles diferentes se suministran igualmente 25 debido a la ausencia de correlación de averías entre las ramas que tienen unas configuraciones de circuitos de
cálculo diferentes. Este dispositivo clásico es particularmente ventajoso cuando se aplican unos algoritmos complejos.
[0008] Una aplicación simple en el plano del material y bien conocida de este dispositivo de control protegido 30 consiste en disponer sobre cada rama un procesador de arquitectura idéntica.
[0009] Para esta aplicación bien conocida, cada procesador ejecuta un juego de instrucciones o programa objeto diferente procedente de un programa fuente diferente, en función de un lenguaje de compilador asociado diferente, emulando cada programa fuente diferente la misma aplicación definida por las mismas entradas, las
35 mismas salidas y los mismos algoritmos aplicativos.
[0010] No obstante, esta aplicación simple sobre el plano material sigue siendo compleja en el plano de software que necesita numerosos desarrollos de componentes informáticos proporcionados al número de lenguajes o compiladores diferentes utilizados.
40
[0011] El problema objetivo planteado por tal dispositivo clásico de control protegido con diversificación es la complejidad de desarrollo de los componentes informáticos que utilizan varios lenguajes de compilación.
[0012] El objeto de la invención es por tanto suministrar un dispositivo de control protegido con diversificación 45 para el que el desarrollo de sus componentes informáticos requiere unos esfuerzos reducidos.
[0013] A tal efecto, la invención tiene como objeto un dispositivo y un procedimiento de control protegido con diversificación conforme a las reivindicaciones.
50 [0014] La invención se comprenderá mejor con la lectura de la descripción que aparece a continuación, dada
únicamente a título de ejemplo y realizada en referencia a los dibujos anexos, en los que:
- la figura 1 es una vista esquemática en bloque de un dispositivo de control protegido con diversificación;
- las figuras 2A, 2B, 2C son respectivamente un esquema en bloque de una primera realización de las bases
55 de datos programa ilustradas en la figura 1;
- las figuras 3A, 3B, 3C son respectivamente una ilustración de las secuencias asociadas a cada una de las bases de datos programa de las figuras 2A, 2B, 2C;
- la figura 4A es una vista esquemática de las entradas y salidas respectivas asociadas a cada uno de los autómatas ilustrados en las figuras 2A, 2B, 2C;
- las figuras 4B y 4C son respectivamente unas vistas esquemáticas de la estructura de datos de vectores de estado asociados respectivamente a un registro de estado de inicio de secuencia y a un registro de estado fin de secuencia de una memoria de trabajo cualquiera;
- la figura 5 es un organigrama del procedimiento de control aplicado por el dispositivo de control con
5 diversificación según la primera realización de las bases de datos programa; y
- las figuras 6A, 6B, 6C, 6D, 6E son una secuencia de una segunda realización de bases de datos programa.
[0015] El dispositivo de control protegido con diversificación 2 representado en la figura 1 comprende tres cadenas de cálculo o tratamiento, estando compuesta cada una respectivamente de un primer procesador 4 o P1,
10 de un segundo procesador 6 o P2 y de un tercer procesador 8 o P3.
[0016] Cada procesador 4, 6, 8 recibe por una entrada asociada 10, 12, 14 unos mismos datos de entrada procedentes de un sistema ferroviario 9 predeterminado.
15 [0017] Cada procesador 4, 6, 8 es apropiado para ejecutar respectivamente un programa de cálculo o juego
de instrucciones cargado a partir de una base de datos programa asociada 16, 18, 20 a la que está conectado.
[0018] Cada procesador 4, 6, 8 es apto para intercambiar datos de trabajo con una base de datos de trabajo asociada 22, 24, 26.
20
[0019] Cada procesador 4, 6, 8 está provisto de una salida asociada 28, 30, 32 apta para suministrar unos datos de salida S(P1), S(P2), S(P3) después de tratamiento.
[0020] El dispositivo de control protegido 2 comprende igualmente un órgano de selección de control 34 que 25 consta aquí de tres entradas 36, 38, 40. Cada entrada 36, 38, 40 es apta para recibir la señal de salida (S(P1),
S(P2), S(P3) procedente de cada procesador 4, 6, 8 o (P1, P2, P3).
[0021] El órgano de selección del control 34 consta de una salida 42 conectada a un terminal 44 de recepción del control.
30
[0022] El contenido estructural de una primera realización de cada base de datos programa 16, 18, 20 asociada a cada procesador 4, 6, 8 se representa respectivamente en las figuras 2A, 2B, 2C.
[0023] La primera base de datos programa 16 asociada al primer procesador P1 comprende una secuencia 35 de autómatas 46, 48, 50, 52 o A, B, C, D ordenados según una primera secuencia en el orden A, B, C, D y un primer
secuenciador 54 o Seq1 que dirige la secuenciación de los autómatas según este orden.
[0024] La segunda base de datos programa 18 asociada al segundo procesador P2 comprende los mismos autómatas ordenados según una segunda secuencia diferente 50, 52, 46, 48 o C, D, A, B y un segundo
40 secuenciador 56 o Seq2 que dirige la secuenciación de los autómatas siguiendo este orden.
[0025] La tercera base de datos programa 20 asociada al tercer procesador P3 comprende los autómatas A, B, C, D colocados según una tercera secuencia incluso diferente D, C, B, A y un tercer secuenciador 58 o Seq3 que dirige la secuenciación de los autómatas siguiendo este orden.
45
[0026] Los autómatas que corresponden a una misma aplicación son idénticos en cada base de datos programa en el sentido en que son generados a partir de un mismo código fuente y de un mismo compilador.
[0027] Todos los autómatas de cada base de datos son generados a partir del mismo compilador.
50
[0028] Las primera, segunda, tercera secuencias aplicadas por los secuenciadores Seq1, Seq2 y Seq3 son descritas respectivamente en las figuras 3A, 3B, 3C. Cada secuencia 60, 70, 78 formada a partir de un mismo ciclo 62 consta de un inicio de secuencia 64, 72, 80, aquí A en la figura 3A, C en la figura 3B y D en la figura 3C. Cada secuencia 60, 70, 78 es recorrida respectivamente según un sentido 66, 76, 82, un sentido horario 66 en la figura
55 3A, un sentido horario 74 en la figura 3D y un sentido anti-horario 82 en la figura 3C. A cada secuencia 60, 70, 78 corresponde un fin de secuencia 68, 76, 84 resultante del recorrido desde el inicio 64, 72, 80 de cada secuencia 60, 70, 78.
[0029] En la figura 4A se representa el conjunto de los autómatas destinado a unas aplicaciones modulares.
Aquí, el autómata A sirve para simular un modelo de itinerario, el autómata B sirve para simular un modelo de paso a nivel, el autómata C simula un modelo de anuncio y el autómata D reproduce un modelo de derivación.
[0030] El autómata A recibe respectivamente en dos entradas 86, 88 dos señales de entrada E1, E2 del 5 sistema ferroviario y suministra en salida 90 una primera señal interna I1.
[0031] El autómata B está provisto de dos entradas 92, 94 que reciben cada una la primera señal interna I1 y la primera señal de entrada E1 del sistema ferroviario. El autómata B está provisto igualmente de dos salidas 96, 98 aptas para suministrar una segunda señal interna I2 y una primera señal de salida externa S1.
10
[0032] El autómata C recibe respectivamente en dos entradas 100, 102 la segunda señal interna I2 y la primera señal de entrada externa E1. El autómata C suministra una segunda señal de salida externa S2 en una salida 104.
15 [0033] El autómata D recibe respectivamente en dos entradas 106, 108 la primera señal de entrada externa
E1 y la segunda señal de entrada externa E2. El autómata D suministra en una salida única 110 una tercera señal de salida externa S3.
[0034] Aquí, la primera señal de entrada externa E1 es una hora actual mientras que la segunda señal de
20 entrada externa E2 es un indicador de paso de baliza de ferrocarril. La primera variable interna I1 representa aquí
una hora de trayecto prevista del paso a nivel y la segunda variable interna I2 representa la hora de control calculada del anuncio.
[0035] La primera señal de salida externa S1 es un control de bajada de las barreras de paso a nivel, la 25 segunda señal de salida externa S2 es el control del anuncio de cierre del paso a nivel mientras que la tercera señal
salida externa S3 es un control de derivación.
[0036] Cada memoria de trabajo 22, 24, 26 asociada a un procesador (P1, P2, P3) comprende un registro de
estado de inicio de secuencia 112 y un registro de estado de fin de secuencia 113 genéricos con respecto a los
30 procesadores (P1, P2, P3) e ilustrados respectivamente en las figuras 4B y 4C.
[0037] Cada uno de los registros representados en las figuras 4B y 4C es representado por un vector de estado correspondiente. El vector de estado del registro de inicio de secuencia 112 en la figura 4B comprende siete emplazamientos memoria 114, 116, 118, 120, 122, 124, 126 y está subdividido en tres zonas de memoria, una
35 primera zona 114, 116 que puede memorizar las dos entradas externas E1, E2, una segunda zona I(Pi), 118, 120 que puede memorizar las dos variables internas I1(Pi), I2(Pi) y una tercera zona S(Pi), 122, 124, 126 que puede memorizar los datos de salida externa S1(Pi), S2(Pi) y S3(Pi).
[0038] El registro de estado de fin de secuencia 113 comprende una estructura análoga 130, 132, 134, 136, 40 138, 140, 142 al vector de estado 114, 116, 118, 120, 122, 124, 126 del registro de estado del inicio de secuencia
112.
[0039] El funcionamiento del dispositivo de control protegido con diversificación es descrito por el organigrama de la figura 5, que es aplicado por los procesadores P1, P2 y P3.
45
[0040] En una primera etapa 144 el sistema ferroviario envía de manera común los mismos datos de entrada E a cada uno de los procesadores P1, P2 y P3 para efectuar los tratamientos respectivos 146, 148 y 150. En una primera etapa 152, el primer procesador P1 inicializa el registro de estado de inicio de secuencia 112 representado por el vector de estado V1-ds en la figura 5. Después, ejecuta el primer autómata 154 aquí A, después el segundo
50 156 aquí B, después el tercero 158 aquí C, después el cuarto 160 aquí D según la primera secuencia asociada al primer procesador P1 e ilustrada en la figura 3A.
[0041] Al final de la secuencia, los datos de salida obtenidos en cada autómata A, B, C, D, forman en 162 el vector de estado V1-fs asociado al registro de estado de fin de secuencia 113.
55
[0042] En la etapa de prueba 164 que sigue, el vector de estado del registro de estado de inicio de secuencia V1-ds se compara con el registro de estado de fin de secuencia V1-fs.
[0043] En el caso en que los vectores de estado V1-ds y V1-fs sean diferentes, la ejecución de la primera
secuencia A, B, C, D se repite, habiendo sido el registro de inicio de secuencia 112 previamente restaurado por el vector de estado V1-fs del registro de estado de fin de secuencia 113. En el caso en que los registros de estado presenten el mismo vector de estado V1-ds y V1-fs en la etapa de prueba 164, los datos de salida son extraídos a continuación en la etapa 170.
5
[0044] El tratamiento 148 del segundo procesador P2 es análogo al del primer procesador P1 salvo en lo que se refiere al orden de los autómatas. Así, al inicio del tratamiento se efectúa una tarea de inicialización 172 del registro de estado de inicio de secuencia aquí V2-ds. No obstante, la ejecución de la secuencia es diferente puesto que es la segunda secuencia ilustrada en la figura 3B que es seguida a saber según el desarrollo C, D, A, B.
10
[0045] Una prueba de comparación 176 de los vectores de estado de los registros de inicio de secuencia V2- ds y de fin de secuencia V2-fs se efectúa igualmente con una restauración 178 del registro de inicio de secuencia en el caso en que la prueba sea negativa.
15 [0046] Cuando la prueba es positiva, entonces los datos de salida S(P2) de tratamiento del segundo
procesador son extraídos en la etapa 180.
[0047] Del mismo modo, el tratamiento 150 del tercer procesador P3 es análogo al tratamiento del primer y segundo procesador P1, P2 casi en orden.
20
[0048] Una etapa de inicialización 182 del registro de estado del inicio de secuencia 112 se efectúa igualmente. La secuencia de autómatas recorrida se recorre según la tercera secuencia ilustrada en la figura 3C, a saber la secuencia D, C, B, A.
25 [0049] Del mismo modo, los datos de salida S(P3) de los autómatas son suministrados al registro de estado
de fin de secuencia en la etapa 184. Una prueba análoga 186 se efectúa sobre la comparación de los vectores de estado V3-ds y V3-fs del registro de estado de inicio de secuencia 112 y del registro de estado de fin de secuencia 113. La ejecución de la secuencia se repite hasta que la prueba sea positiva.
30 [0050] En el caso en que la prueba sea negativa, el registro de estado de fin de secuencia 188 restaura el
registro de inicio de secuencia 112. Cuando la prueba es positiva, los datos de salida S(P3) del tercer procesador P3 son extraídos 186 y enviados al órgano de selección del control 34. Cada salida de cada procesador S(P1), S(P2), S(P3) es enviada al órgano de selección de control 34. En la etapa de selección de control 192 se comparan los valores de salida de cada uno de los procesadores.
35
[0051] En el caso en que los valores de salida sean todos iguales, el control de salida C es igual a uno de los
valores de salida S(P1), S(P2), S(P3) validado y transmitido en la etapa 194 al terminal de recepción 44 del control del sistema ferroviario.
40 [0052] En el caso en que uno de estos datos sea diferente, entonces en una etapa 196 una señalización
anuncia un defecto del dispositivo de control protegido con diversificación.
[0053] Como variante, una secuencia formada a partir de un conjunto de autómatas 198, 200, 202, 204, 206, 208, 210, 212, 214, 216 de una segunda realización de base de datos programa se describe en las figuras 6A, 6B,
45 6C, 6D y 6E tomadas en su conjunto.
[0054] En la figura 6A, estos autómatas son clasificados y denominados P, Q, R, S, T, V, W, X, Y, Z.
[0055] El conjunto de autómatas 198, 200, 202, 204, 206, 208, 210, 212, 214, 216 se divide en tres sub- 50 grupos 218, 220, 222 o SG1, SG2, SG3 respectivamente un primer sub-grupo 218 o SG1 formado de los autómatas
P, Q, R, un segundo sub-grupo 220 o SG2 formado de los autómatas S, T, V, W, y un tercer sub-grupo 222 o SG3 formado de los autómatas X, Y, Z.
[0056] Una secuencia 224 de sub-grupos se describe en la figura 6B a partir de un ciclo de sub-grupos 226 55 formado por la secuencia SG1, SG2, SG3, un inicio de secuencia 228 aquí sG1, un sentido de recorrido 230 aquí
horario y un fin de secuencia 242 de sub-grupo 232 aquí en SG3.
[0057] Una secuencia 240 del primer sub-grupo SG1 se describe en la figura 6C. La secuencia del primer sub-grupo 240 está formada a partir de un ciclo 236 aquí P, Q, R cuyo inicio de secuencia 238 es aquí el autómata Q
recorrido en el sentido 240, aquí horario, con el fin de secuencia 242 que es el autómata P.
[0058] Una secuencia 244 del segundo sub-grupo SG2 se describe en la figura 6D a partir de un ciclo 246 aquí S, T, V, W, siendo el inicio de esta secuencia 248 aquí el autómata S, siendo efectuado el recorrido del ciclo
5 250 en el sentido horario y siendo determinado el fin de la secuencia 252 por el autómata W.
[0059] Por último, la secuencia del tercer sub-grupo SG3 está formada a partir del ciclo 256 aquí X, Y, Z, estando formado el inicio de secuencia 258 por el autómata Z y siendo efectuado el recorrido del ciclo 260 en un sentido 260, aquí anti-horario, siendo determinado entonces el fin de secuencia 262 por el autómata X. La secuencia
10 de autómatas obtenida así está formada por la concatenación de las secuencias parciales 234, 244, 254 según la secuencia de sub-grupos SG1, SG2, SG3.
[0060] Así, la secuencia de autómata descrita por el conjunto de las figuras es Q, R, P, S, T, V, W, Z, Y, X.
15 [0061] Así, los juegos de instrucciones diferentes, formados a partir de un ordenamiento propio distinto de los
autómatas de aplicación modular permiten utilizar unas cadenas de activación de circuitos diferentes en cada uno de los procesadores con arquitectura idéntica, estando definida una cadena con respecto a la arquitectura genérica de los procesadores.
20 [0062] Así, los juegos de instrucciones distintos obtenidos satisfacen en primer lugar las exigencias de
diversificación planteadas por las limitaciones de seguridad ferroviaria al dispositivo de control.
[0063] Además, el procedimiento de elaboración de estos juegos de instrucciones distintos es simple de aplicar puesto que permite utilizar solo una sola plataforma de desarrollo informático.
25
[0064] En efecto, el desarrollo de los módulos de aplicación que utiliza un solo compilador se reduce, pudiendo ser reutilizados ventajosamente los módulos de aplicación de una rama de tratamiento a otra.
[0065] Como variante, el dispositivo de control protegido descrito más arriba se puede utilizar igualmente sin 30 modificación sustancial para unos sistemas de controles de vuelos embarcados a bordo de aviones o naves
espaciales, o incluso para unos sistemas de protección o de parada de instalaciones nucleares.
[0066] Como variante, el dispositivo de control protegido descrito más arriba se puede utilizar en todos los campos protegidos.
35

Claims (9)

  1. REIVINDICACIONES
    1. Dispositivo de control protegido con diversificación (2) de un sistema que comprende:
    5 - un conjunto de al menos dos procesadores (4, 6, 8) de elaboración de controles destinados al sistema
    ferroviario, dispuestos en paralelo para recibir en una entrada respectiva (10, 12, 14) unos datos de entradas idénticas, siendo cada procesador (4, 6, 8) apto para recibir unos juegos de instrucciones diferentes que permiten calcular y suministrar, en unas salidas respectivas (28, 30, 32), unos datos de salida ( S(P1), S(P2), S(P3)) idénticos en función de los datos de entradas idénticas,
    10 - un órgano de selección de control (34) provisto de al menos dos entradas (36, 38, 40), estando cada
    entrada (36, 38, 40) conectada a la salida (28, 30, 32) de un procesador (4, 6, 8) y de una salida de control (42) apropiada para suministrar una señal de control escogida entre los datos de salidas procedentes de los procesadores (4, 6, 8), en función de un criterio predeterminado,
    15 permitiendo cada juego de instrucciones asociado a un procesador (4, 6, 8) ejecutar al menos dos autómatas de aplicación modular (46, 48, 50, 52), siendo los autómatas de aplicaciones modulares (46, 48, 50, 52) idénticos para todos los juegos de instrucciones, siendo cada juego de instrucciones (16, 18, 20) asociado a un procesador (4, 6, 8) apropiado para formar un secuenciador (54, 56, 58) de activación sucesiva de los autómatas de aplicación modular (46, 48, 50, 52) según una secuencia asociada (60, 70, 78), siendo cada secuenciador (54, 56, 58), por su secuencia 20 apropiada asociada (60, 70, 78) distinto de los demás secuenciadores (56, 58; 54, 58; 54, 56), caracterizado
    porque cada autómata de aplicación modular (46, 48, 50, 52) comprende unas entradas de autómatas y unas salidas de autómatas (90, 96, 98, 104, 110), siendo una entrada de autómata externa cuando es apropiada para recibir un dato variable de entrada (E1, E2) del dispositivo de control (2),
    25 siendo una salida de autómata externa cuando es apropiada para suministrar un dato variable de salida (S1, S2, S3) del dispositivo de control (2),
    siendo una entrada y una salida de un mismo autómata o de dos autómatas distintos internas cuando son apropiadas para estar interconectadas e intercambiar un mismo dato variable interno (I1, I2),
    formando el conjunto de los datos variables de entrada (86, 88, 92, 94, 100, 102, 106, 108) y de salida (90, 96, 98, 30 104, 110) de los autómatas un vector de estado (114, 116, 118, 120, 122, 124, 126) del dispositivo de control (2), porque el dispositivo de control (2) para cada procesador (4, 6, 8) comprende una memoria de trabajo (22, 24, 26), que consta de:
    - un registro de estado de inicio de ejecución (112) de la secuencia de autómatas que contiene los valores
    35 del conjunto de las variables de estado (E1, E2, I1, I2, S1, S2, S3) antes de la ejecución de la secuencia de
    autómatas,
    - un registro de estado de fin de ejecución (113) de la secuencia de autómatas que contiene los valores del conjunto de las variables de estado del vector de estado obtenido después de la ejecución de la secuencia de autómatas,
    40
    porque para cada procesador (4, 6, 8) y durante la duración de ejecución de la secuencia (60, 70, 78), el procesador es apropiado para leer solamente en el registro de estado de inicio (112) y para escribir solamente en el registro de estado de fin (113),
    porque para cada procesador (4, 6, 8), el registro de estado de inicio de secuencia (112) es apto para ser escrito y 45 restaurado solamente al final de la ejecución de la secuencia por los valores de las variables de estado contenido en el registro de fin de secuencia (113), y porque cada procesador (4, 6, 8) es apto para repetir la ejecución de la secuencia de autómatas hasta que los valores de las variables de estado de al menos dos registros de estado (112, 113) asociados son idénticos.
    50 2. Dispositivo de control protegido con diversificación (2) según la reivindicación 1, caracterizado
    porque cada secuenciador (54, 56, 58) es apropiado para activar y ordenar los autómatas de aplicación modular (46, 48, 50, 52) según una secuencia cíclica distinta (60, 70, 78) de ejecución de los autómatas de aplicación (46, 48, 50, 52) que tiene un ciclo idéntico (62) y un inicio de ciclo (64, 72) o un sentido de recorrido (66, 82) diferente.
    55 3. Dispositivo de control protegido con diversificación (2) según la reivindicación 2, caracterizado
    porque cada secuenciador (54, 56, 58) es apropiado para activar y ordenar los autómatas de aplicación modular (46, 48, 50, 52) según una secuencia cíclica distinta (60, 70, 78) de ejecución de los autómatas de aplicación que tiene un ciclo (62) idéntico recorrido en el mismo sentido.
  2. 4. Dispositivo de control protegido con diversificación (2) según la reivindicación 1, caracterizado porque cada secuenciador es apropiado para activar y ordenar los autómatas de aplicación modular según una secuencia de secuenciador distinta formada por una sucesión (224) de secuencias parciales (234, 244, 254) de autómatas de aplicación modular (198, 200, 202, 204, 206, 208, 210, 212, 214, 216) reagrupados en sub-grupos
    5 (218, 220, 222) que dividen el conjunto de los autómatas de aplicación modular del dispositivo de control (2).
  3. 5. Dispositivo de control protegido con diversificación según la reivindicación 4, caracterizado porque los sub-grupos de autómatas (218, 220, 222) son los mismos para todos los procesadores (4, 6, 8).
    10 6. Dispositivo de control protegido con diversificación (2) según cualquiera de las reivindicaciones de 1 a
    5, caracterizado porque cada procesador (4, 6, 8) comprende una base de datos programa (16, 18, 20) que contiene un juego de instrucciones de procesador apto para ser cargado en el procesador (4, 6, 8) y para ejecutar la secuencia de los autómatas de aplicación (46, 48, 50, 52) según la secuencia ordenada por el secuenciador (54, 56, 58) asociado al procesador.
    15
  4. 7. Dispositivo de control protegido con diversificación (2) según la reivindicación 6, caracterizado porque cada base de datos programa (16, 18, 20) contiene un juego de instrucciones obtenido por un mismo compilador.
  5. 8. Dispositivo de control protegido con diversificación según cualquiera de las reivindicaciones de 1 a 7, 20 caracterizado porque el órgano de selección de control (34) es un órgano de decisión con voto mayoritario entre los
    datos de salidas (S(P1), S(P2), S(P3)) procedentes de todos los procesadores (4, 6, 8), siendo el órgano (34) apto para comparar los datos de salida procedentes de las salidas respectivas de cada procesador (4, 6, 8) y para transmitir los datos de salidas comunes mayoritariamente con respecto al conjunto de los procesadores según un criterio de mayoría predeterminado.
    25
  6. 9. Dispositivo de control protegido con diversificación (2) según la reivindicación 8, caracterizado porque el órgano de selección de control (34) es un órgano de decisión por unanimidad.
  7. 10. Dispositivo de control protegido con diversificación (2) según cualquiera de las reivindicaciones de 1 a 30 9, caracterizado porque es apto para controlar un sistema de tipo protegido ferroviario.
  8. 11. Procedimiento de control protegido de un sistema por medio de un dispositivo según cualquiera de las reivindicaciones de 1 a 11, que comprende las etapas que consisten en:
    35
    40
    45
    50
    cargar al menos los dos procesadores (4, 6, 8) a partir de bases de datos programa (16, 18, 20) asociadas de juegos de instrucciones diferentes,
    suministrar unos datos de entrada idénticos (E) a los procesadores (4, 6, 8) dispuestos en paralelo en unas entradas respectivas (10, 12, 14),
    hacer ejecutar por cada procesador (4, 6, 8) el juego de instrucciones que le es asociado para calcular y suministrar, en unas salidas respectivas (28, 30, 32), unos datos de salidas (S(P1), S(P2), S(P3)) idénticos en función de los datos de entrada idénticos, comprendiendo la ejecución de un juego de instrucción por un procesador (4, 6, 8) las etapas que consisten en:
    o ejecutar al menos dos autómatas de aplicación modular (46, 48, 50, 52), siendo los autómatas de aplicaciones modular idénticos para cada juego de instrucciones, según una secuencia propia, distinta de las secuencias de los otros juegos de instrucción, siendo el procesador apropiado, durante la duración de ejecución de la secuencia (60, 70, 78), para leer solamente en un registro de estado de inicio (112) y para escribir solamente en un registro de estado de fin (113), conteniendo el registro de estado de inicio de ejecución (112) de la secuencia de autómatas los valores del conjunto de las variables de estado (E1, E2, I1, I2, S1, S2, S3) antes de la ejecución de la secuencia de autómatas y conteniendo el registro de estado de fin de ejecución (113) de la secuencia de autómatas los valores del conjunto de las variables de estado del vector de estado obtenido después de la ejecución de la secuencia de autómatas,
    o escribir y restaurar el registro de estado de inicio de secuencia (112) solamente al final de la ejecución de la secuencia por los valores de las variables de estado contenido en el registro de fin de secuencia (113),
    o repetir la ejecución de la secuencia de autómatas hasta que los valores de las variables de estado de al menos dos registros de estado (112, 113) asociados sean idénticos, comprendiendo los dos registros,
    o suministrar (170, 180, 190) los datos de salida al órgano de selección de control,
    - seleccionar una señal de control escogida entre los datos de salidas procedentes de los procesadores (4, 6, 8), en función de un criterio determinado.
  9. 12. Procedimiento de control (143) protegido según la reivindicación 11 caracterizado porque comprende
    5 además las etapas que consisten en:
    - en función del criterio de selección validar, respectivamente prohibir la transmisión del control procedente de la pluralidad de datos de salidas recibidos (S(P1), S(P2), s(p3)),
    - en caso de prohibición, señalar (196) la existencia de una avería de al menos un procesador (4,6,8).
    10
ES07290263.8T 2006-03-17 2007-03-02 Dispositivo de control protegido con diversificación para un sistema Active ES2652412T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0602390 2006-03-17
FR0602390A FR2898706B1 (fr) 2006-03-17 2006-03-17 Dispositif de commande securise a diversification d'un systeme ferroviaire

Publications (1)

Publication Number Publication Date
ES2652412T3 true ES2652412T3 (es) 2018-02-02

Family

ID=37194299

Family Applications (1)

Application Number Title Priority Date Filing Date
ES07290263.8T Active ES2652412T3 (es) 2006-03-17 2007-03-02 Dispositivo de control protegido con diversificación para un sistema

Country Status (13)

Country Link
US (1) US7631113B2 (es)
EP (1) EP1834857B1 (es)
JP (1) JP2007249976A (es)
CN (1) CN101070074B (es)
AU (1) AU2007201007B2 (es)
BR (1) BRPI0700955B8 (es)
CA (1) CA2581391C (es)
DK (1) DK1834857T3 (es)
ES (1) ES2652412T3 (es)
FR (1) FR2898706B1 (es)
NO (1) NO341655B1 (es)
RU (1) RU2454345C2 (es)
ZA (1) ZA200701907B (es)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090004266A (ko) * 2007-07-06 2009-01-12 한국전자통신연구원 자체 제어 기능을 갖는 기능 모듈 및 이의 동작 제어방법과, 이를 이용한 시스템
DE102007054304A1 (de) * 2007-11-08 2009-05-14 Siemens Ag Rechnerarchitektur
DE202011111062U1 (de) 2010-01-25 2019-02-19 Newvaluexchange Ltd. Vorrichtung und System für eine Digitalkonversationsmanagementplattform
WO2012081115A1 (ja) * 2010-12-16 2012-06-21 三菱電機株式会社 シーケンサシステムおよびその制御方法
CN103959236B (zh) * 2011-11-30 2016-12-07 英特尔公司 用于提供向量横向多数表决功能的处理器、设备和处理系统
JP2014091370A (ja) * 2012-11-01 2014-05-19 Mitsubishi Electric Corp 電子連動装置
US10520928B2 (en) * 2017-05-15 2019-12-31 Rockwell Automation Technologies, Inc. Safety industrial controller providing diversity in single multicore processor
RU2709068C1 (ru) * 2017-11-20 2019-12-13 Открытое акционерное общество "Объединенные электротехнические заводы" ОАО "ЭЛТЕЗА" Микропроцессорная система централизации мпц-эл
IT201800007412A1 (it) * 2018-07-23 2020-01-23 Sistema elettronico modulare per la verifica della corretta esecuzione di operazioni eseguite dal sistema stesso
RU2692739C1 (ru) * 2018-08-14 2019-06-26 Открытое акционерное общество "Объединенные электротехнические заводы" (ОАО "ЭЛТЕЗА") Микропроцессорная система централизации МПЦ-ЭЛ
RU2694709C1 (ru) * 2018-11-06 2019-07-16 Федеральное государственное бюджетное образовательное учреждение высшего образования "Петербургский государственный университет путей сообщения Императора Александра I" Система микропроцессорной централизации
CN109866752B (zh) * 2019-03-29 2020-06-05 合肥工业大学 基于预测控制的双模式并行车辆轨迹跟踪行驶系统的方法
RU2710502C1 (ru) * 2019-04-22 2019-12-26 Игорь Давидович Долгий Унифицированный логический контроллер
US11618553B2 (en) * 2019-11-19 2023-04-04 Ge Aviation Systems Limited Method and process of creating qualifiable parameter data item (PDI) to define the function of a power system controller
RU2726243C1 (ru) * 2020-02-05 2020-07-10 Ефим Наумович Розенберг Двухканальная система для регулирования движения железнодорожных транспортных средств

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU8135U1 (ru) * 1998-01-22 1998-10-16 Алексей Геннадьевич Окуличев Многопроцессорный вычислитель для управления объектами в реальном времени
GB2348034A (en) 1999-03-17 2000-09-20 Westinghouse Brake & Signal An interlocking for a railway system
DE19942981A1 (de) * 1999-09-09 2001-03-22 Alcatel Sa Programmodul und Verfahren zum Erhöhen der Sicherheit eines softwaregesteuerten Systems
DE10053023C1 (de) * 2000-10-13 2002-09-05 Siemens Ag Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
US6751749B2 (en) * 2001-02-22 2004-06-15 International Business Machines Corporation Method and apparatus for computer system reliability
FR2832685A1 (fr) * 2001-11-23 2003-05-30 Conception & Dev Michelin Sa Direction electrique pour vehicule, a redondance triple
DE10158317B4 (de) * 2001-11-28 2009-06-18 Siemens Ag Verfahren zur Generierung und Ausführung eines diversitären Programmablaufs
ITSV20020009A1 (it) 2002-02-22 2003-08-22 Alstom Transp Spa Metodo per la generazione di unita' logiche di comando degli apparatidi stazione a computer vitale, cioe' nelle unita' centrali di comando
RU34482U1 (ru) * 2003-08-06 2003-12-10 Долгий Игорь Давидович Централизованная диспетчерская система с распределенными контролируемыми пунктами
RU44625U1 (ru) * 2004-10-18 2005-03-27 Грачев Гаврил Николаевич Устройство для управления системами железнодорожной автоматики и телемеханики
DE202005016151U1 (de) * 2005-10-09 2006-02-09 Elpro Gmbh Berlin -Industrieholding- Einrichtung zur Fernsteuerung eines Relais-Stellwerks unter Verwendung von hochverfügbaren diversitären Steuerungen

Also Published As

Publication number Publication date
JP2007249976A (ja) 2007-09-27
NO341655B1 (no) 2017-12-18
AU2007201007A1 (en) 2007-10-04
CN101070074A (zh) 2007-11-14
BRPI0700955B8 (pt) 2018-11-21
DK1834857T3 (en) 2017-12-04
US20070260773A1 (en) 2007-11-08
EP1834857A2 (fr) 2007-09-19
FR2898706A1 (fr) 2007-09-21
RU2454345C2 (ru) 2012-06-27
EP1834857B1 (fr) 2017-11-01
ZA200701907B (en) 2008-07-30
BRPI0700955A (pt) 2007-11-13
AU2007201007B2 (en) 2012-06-14
US7631113B2 (en) 2009-12-08
CA2581391C (fr) 2015-11-03
CA2581391A1 (fr) 2007-09-17
BRPI0700955B1 (pt) 2018-08-07
EP1834857A3 (fr) 2009-08-19
RU2007109723A (ru) 2008-09-27
CN101070074B (zh) 2011-11-09
FR2898706B1 (fr) 2008-06-13
NO20071423L (no) 2007-09-18

Similar Documents

Publication Publication Date Title
ES2652412T3 (es) Dispositivo de control protegido con diversificación para un sistema
Zhou et al. Control of nondeterministic discrete-event systems for bisimulation equivalence
Sitkoff et al. Implementing a genetic algorithm on a parallel custom computing machine
CN109298865A (zh) 实现游戏技能可编程化的方法及装置
Zhou et al. A small model theorem for bisimilarity control under partial observation
RU2448363C1 (ru) Комплекс отладки
Lee et al. Teaching embedded systems the Berkeley way
Beenker et al. Implementing macro test in silicon compiler design
Lewis et al. Repairing games at runtime or, how we learned to stop worrying and love emergence
CN115221836A (zh) 搭建ic系统验证环境的方法、系统、环境、设备及介质
Valencia et al. Adequate sensor placement method to ensure diagnosability in interpreted petri net
Zhou et al. Bisimilarity control of partially observed deterministic systems
CN117131611B (zh) 可重复使用飞行器的异构陀螺选用方法及装置
Daszczuk et al. Deadlock detection examples: the Dedan environment at work
MacDougallc et al. 2019 team description paper: Ubc thunderbots
Sburlan Promoting and inhibiting contexts in membrane computing
Kra et al. Selfie5: An Autonomous, Self-Contained Verification Approach for High-Throughput Random Testing of Programmable Processors
Needham 20100915195 T247296
Salem et al. Curricula enhancement and thematic learning via undergraduate design projects
ES2313809B1 (es) Metodo de analisis de punto de cobertura funcional.
CN102855206B (zh) 一种数据流及其与控制流的交互方法和设备
Powers Effects of Parallelization on Genetic Algorithms in Programmable Logic: Implementing a Solution to the Traveling Salesman Problem
Chughtai Computer-Aided Design of Digital Systems
Reid Jr SOFT\\'ARE FAULT TREE ANALYSIS OF CONCURRENT ADA PROCESSES
Bos et al. Development of safety-critical software using formal methods in IDE