FI103697B - Mikroprosessoripohjainen turvajärjestelmä soveltuen erityisesti rautat iekuljetuksiin - Google Patents
Mikroprosessoripohjainen turvajärjestelmä soveltuen erityisesti rautat iekuljetuksiin Download PDFInfo
- Publication number
- FI103697B FI103697B FI941683A FI941683A FI103697B FI 103697 B FI103697 B FI 103697B FI 941683 A FI941683 A FI 941683A FI 941683 A FI941683 A FI 941683A FI 103697 B FI103697 B FI 103697B
- Authority
- FI
- Finland
- Prior art keywords
- selector
- security system
- application
- microprocessors
- processors
- Prior art date
Links
- XEEYBQQBJWHFJM-UHFFFAOYSA-N Iron Chemical compound [Fe] XEEYBQQBJWHFJM-UHFFFAOYSA-N 0.000 title 2
- 229910052742 iron Inorganic materials 0.000 title 1
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 239000013256 coordination polymer Substances 0.000 claims abstract description 5
- 239000008186 active pharmaceutical agent Substances 0.000 claims abstract description 4
- 238000000034 method Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 2
- 210000000056 organ Anatomy 0.000 claims 2
- 230000002265 prevention Effects 0.000 claims 1
- 230000009977 dual effect Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 230000008901 benefit Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003449 preventive effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0063—Multiple on-board control systems, e.g. "2 out of 3"-systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60L—PROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
- B60L2200/00—Type of vehicles
- B60L2200/26—Rail vehicles
Landscapes
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Physics & Mathematics (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Alarm Systems (AREA)
- Communication Control (AREA)
- Burglar Alarm Systems (AREA)
- Amplifiers (AREA)
- Control Of Vehicles With Linear Motors And Vehicles That Are Magnetically Levitated (AREA)
- Vehicle Body Suspensions (AREA)
- Storage Device Security (AREA)
- Traffic Control Systems (AREA)
Description
, 103697
MIKROPROSESSORIPOHJAINEN TURVAJÄRJESTELMÄ SOVELTUEN ERITYISESTI RAUTATIEKULJETUKSIIN
Esillä oleva keksintö liittyy mikroprosessoripohjaiseen turvajärjestelmään, joka soveltuu erityi-5 sesti rautatiekuljetuksiin, monitoroimaan ja ohjaamaan toimielimiä antureilta kerätyn tiedon funktiona, ja johon järjestelmään kuuluu ainakin kaksi mikroprosessoria, jotka käsittelevät rinnakkaisesti samaa sovellusta, joiden mikroprosessorien tulot vastaanottavat 10 dataa antureilta ja kolmas vertailumikroprosessori, joka tunnetaan valitsimena, vertailemaan tuloksia kahdelta sovellusmikroprosessorilta ja käyttämään dynaamista ohjainta sen mukaisesti hyväksyen lähtödatan lähetyksen toimielimille.
15 Esimerkiksi julkaisussa EP-A-0 496 509 on kuvattu tällaisen järjestelmän erityissovellus, joka liittyy ajoneuvojen jarrujärjestelmän valvontaan. Tämän kuvauksen mukaisessa järjestelmässä ei kolmas mikroprosessori, joka itse asiassa toimii vain eräänlai-20 sena "vertailulaitteena", kuitenkaan vertaa kahden rinnakkaisen mikroprosessorin antamia turvallisuustekijöihin liittyviä tuloksia.
Julkaisussa DE-A-3 923 773 on kuvattu toinen mikroprosessorijärjestelmän erityissovellus, joka 25 liittyy vedenlämmittimen säätöihin. Tämän kuvauksen mukaisessa järjestelmässä on vain kaksi rinnakkaista mikroprosessoria sekä kaksi kummankin mikroprosessorin ohjaamaa relettä, jotka muodostavat hyvin alkeellisen "valitsijan".
30 Tällaisia järjestelmiä ei siis voida pitää todellisina turvajärjestelminä, eikä niitä voida käyt- tää rautateiden turvalaitteina.
Kaikissa· turvallisuuteen suuntautuneissa jär-' jestelmissä ja erityisesti rautatiekuljetuksissa tur- 35 vallisuus varmistettiin viime aikoihin saakka käyttämällä komponentteja ja piirejä, jotka noudattavat 103697 .
luontaisia turvallisuus- tai vikatilanneturvallisuus-sääntöjä.
Luontainen turvallisuus perustuu fysiikan lakeihin, esim. painovoimalakiin ja täydelliseen vir-5 hemalliin. Jokaisen virheen on asetettava järjestelmä "ehkäisevään" tilaan, joka supistaa järjestelmän operatiivisia toiminnallisuuksia. Rautatiejärjestelmissä, ehkäisevä tila on yleisesti tila, joka johtaa junan pysäyttämiseen.
10 Mikroprosessorien ilmestymisen jälkeen, ne ovat alkaneet näytellä osaa turvatoimintojen tarjoamisessa. Näiden ohjelmoitujen turvajärjestelmien suunnittelu perustuu kahteen periaatteeseen, nimittäin informaation redundanssiin eli toiminnan varmistami-15 seen vian ilmaantuessa informaation koodauksella sisältäen toiminnallisten tiedon monitorointikomponent-tien lisäyksen, mikä sallii virheiden ja virhetoimintojen pitämisen turvallisena järjestelmässä ja laitteiston redundanssiin eli toiminnan varmistamiseen 20 vian ilmaantuessa sisältäen useiden rinnakkaisten tietokoneiden käytön ja tulosten vertailun laitteisto-tai ohjelmistokomponenttien avulla.
Informaatiokoodaustekniikassa käytetään vain toista mikroprosessoria, mutta jälkimmäinen työskente-25 lee redundanssitiedon parissa sisältäen toiminnallisen : osan ja koodatun osan. Tämä mahdollistaa identtisen algoritmin käytön kahdelle eri tietoerälle. Algoritmin tulostuva tunnistemerkki lähetetään vikatilanne turvalliselle pohjalle suunnitellulle ulkoiselle oh-30 jaimelle, joka tunnetaan dynaamisena ohjaimena. Jos tulostus kuuluu koodiin, ohjain saattaa koodin voimaan, mikä sallii turvallisuuslähtöjen etenemisen ulos, siis toimilaitteille. Jos näin ei käy, lähdöt hylätään ja asetetaan estotilaansa. On huomattava, 35 että suurimman osan ajasta turvallisuuslähtöihin vaikutetaan toiminnallisesti ja luetaan ja verrataan tur-\) vajärjestelmän ohjausarvoihin.
1 · 3 103697
Riippuen käytetyn koodauksen tehosta, tämä nk. 'koodausprosessori' tekniikka antaa suuremman tai pienemmän virheen tunnistamattomuustodennäköisyyden, mutta haitat ovat enimmäkseen laskenta-ajan kasvussa 5 ja monimutkaisessa ohjelmoinnissa. Toisaalta järjestelmän turvallisuus ei vaadi erityisiä teknologisia turvatoimenpiteitä, mikä mahdollistaa minkä tahansa saatavilla olevan teollisen mikroprosessorin käytön.
Laitteiston redundanssitekniikassa turvalli-10 suus varmistetaan asentamalla ainakin kaksi mikroprosessoria rinnakkain. Vertailu ja hyväksyminen toteutetaan ulkoisesti, joko yhteisellä vertailulla tai käyttäen luontaisia turvallisuustekniikoita. Sovellusohjelmisto asennetaan kahteen mikroprosessoriin, joko 15 identtisessä muodossa tai harkitussa epäsymmetrisessä esitysmuodossa.
Korkean tason turvallisuuden varmistamiseen sellaisella tekniikalla, joka tunnetaan 'kaksoispro-sessori' tekniikkana, on otettava vaiheita estämään 20 yhteismuotoiset virheet, jotka vaiheet saavat aikaan kahden tiedon prosessointijärjestelmän täydellisen riippumattomuuden, erityisesti käyttäen eri väyliä ja kaikkien laitteistoyksikköjen kopioita. Lisäksi on otettava vaiheita estämään piileviä virheitä, jotka 25 käytännössä pakottavat itsetestien ja/tai poikkitesta- uksien lisäämisen.
Mikroprosessorien synkronisointi saattaa olla herkkä asia ja turvallisuus pohjautuu näiden mikroprosessorien käyttäytymisen tuntemiseen. Toisaalta niissä 30 ei ole laskentaylikuormitusta, koska informaatiota ei koodata.
* Kuitenkin, kun vertailija suunnitellaan vika- tilanneturvalliselle pohjalle, sovellukselle osoitetun » turvallisuusohjelmiston määrä voi johtaa ehkäiseviin 35 kustannuksiin.
4 103697
Esillä olevan keksinnön kohteena on näin ollen tuoda esiin parannus tunnetun tekniikan haittapuoliin säilyttäen sen edut.
Tähän tarkoitukseen esillä oleva keksintö 5 ehdottaa mikroprosessoripohjaista turvajärjestelmää, joka on olennaisesti tunnettu siitä, että kummankin sovellusmikroprosessorin tulot ja lähdöt koodataan koodausprosessoritekniikan mukaisesti, että valitsin suorittaa, käyttäen ohjelmistoa ja suojattuna, kahden 10 sovellusmikroprosessorin koodattujen karakterististen tulosten vertailun käyttäen koodausprosessoritekniik-kaa, ja että lähtödata luetaan uudelleen suojattuna tulodatan kanssa vertailua varten.
Tämän rakenteen ansiosta, jossa vain tulo- ja 15 lähtödata koodataan, sovellus itsessään ei vaadi koo dausta kaksoisprosessoinnin ansiosta, jolloin lasken-ta-aika jää kohtuullisiin rajoihin. Lisäksi vaadittavan turvallisuusohjelmiston määrä on pieni, mahdollistaen siten koko järjestelmän kustannuksien alentami-20 sen. Lopulta, kuten tässä myöhemmin tulee selvemmin esille, sellainen järjestelmä on helppo implementoida ja se tarjoaa edelleen suuren joustavuuden.
Edullisesti, kahden sovellusmikroprosessorin välillä esiintyy viivettä, joka mahdollistaa yhteis-25 muotoisen virheen välttämisen, joka virhe aiheutuu ' esim. sähkömagneettisesta häiriöistä.
Myös edullisesti keksinnön mukainen turvajärjestelmä sisältää yksittäisen ei-varatun yleisen väylän, jonka kautta informaatio siirtyy eri mikroproses-30 sorien välillä.
Tämä tehdään mahdolliseksi sen tosiasian ansiosta, että tietoturvallisuus siirrossa varmistetaan koodaamalla ja päivittämällä.
Edelleen esillä olevan keksinnön ominaisuudet * 35 ja edut selviävät annetusta kuvauksesta, jossa viitataan liitteenä oleviin kuviin, joissa: I- i ! 5 103697 kuva 1 on lohkokaavio esittäen keksinnön mukaisen turvajärjestelmän toimintaa; ja kuva 2 on lohkokaavio esittäen tämän turvajärjestelmän fyysisen rakenteen.
5 Yleisesti ottaen kaikki turvajärjestelmät toimivat antureiden ja toimielimien pohjalta. Ne keräävät tietoa analogisista tuloista, muuttavat sen digitaaliseen muotoon, prosessoivat tätä tietoa algoritmeja käyttäen ja generoivat digitaalisia lähtöjä, 10 jotka muutetaan analogiseen muotoon toimielimien toimintojen ohjaamiseksi.
Kuvan 1 kaaviossa näemme aluksi yhden tai usean tuloanturin, kuten CP, joka antaa tulodatan DE järjestelmälle. Tämä analoginen tulodata talletetaan 15 ja koodataan analogia-digitaalimuuntimessa A/Nx ennen syöttämistä kahden sovellusmikroprosessorin P1 ja P2 tuloon, jotka on järjestetty rinnakkaiseksi ja käsittelemään samaa sovellusta. Sovellus itsessään ei vaadi koodausta kaksoisprosessoinnin vuoksi. Toisaalta tulo-20 ja lähtödata koodataan käyttäen koodausprosessoritek-• nilkkaa. Näin ollen jokaisessa prosessorissa data koodataan ja prosessoidaan. Lisäksi jokainen prosessori suorittaa sovellusta tietyllä viiveellä, minkä tarkoituksena on välttää yhteismuotoiset virheet, kuten ne, 25 jotka aiheutuvat esim. sähkömagneettisesta häiriöstä.
Tulokset, Rl ja R2, prosessoinnista, jonka jokainen prosessori P1 ja P2 on suorittanut, koodataan lopulta mainituilla prosessoreilla ennen siirtoa kolmanteen, vertailuprosessoriin P3, joka tunnetaan myös 30 'valitsimena'.
Valitsin P3 vertailee tuloksia Rl ja R2 käyttäen ohjelmistoa ja turvallisuutta (in safety) soveltamalla koodausprosessoritekniikkaa·. Koska valitsimen « tulot on koodattu kahdella prosessorilla P1 ja P2, 35 valitsimen algoritmi sisältää arvojen Rl ja R2 vertailun. Jos vertailun tulokset ovat tyydyttäviä, valitsin lähettää tunnistusmerkin S, kuvaten valitsimen oikeaa 6 103697 toimintoa, dynaamiselle ohjaimelle CD, joka on suunniteltu vikatilanneturvallisuuteen perustuen. Tämän jälkeen dynaaminen ohjain CD hyväksyy sovellusprosessori-en, kuten esitetty G:ssä toiminnallisten lähtöjen, 5 kuten s* ja Sj, yleisen lähettämisen linkin AG kautta.
Tässä tulee huomata, että vain yhden prosessorin toiminnallisia lähtöjä prosessoreista P1 ja P2 käytetään tehokkaasti. Edelleen, tilanteissa, joissa vain muutama tulos ei ole yhtäpitävä, vain vastaavat lähdöt es-10 tetään valitsimella linkkien AI kautta, kuten esitetty I:ssä.
Toiminnallisten lähtöjen Si ja s, digitaalinen data muunnetaan analogiseksi lähtödataksi digitaali-analogiamuuntimessa N/A toimielimien, kuten ACT, toi-15 minnan ohjaamiseksi. Edelleen tämän lähtödatan DS muunnoksen tulos toisessa analogia-digitaalimuunti-messa A/N2 luetaan uudelleen ja verrataan alkuperäiseen laskettuun dataan, kuten esitetty linkillä RL, sallien näin turvallisuuden monitoroinnin.
20 Nyt seuraa vielä yksityiskohtaisempi kuvaus esillä olevan keksinnön toiminnasta ja eduista viitaten erityisesti kuvaan 2, joka kaaviomaisesti esittää keksinnön mukaisen turvajärjestelmän fyysistä rakennetta.
25 Aluksi tämä kuva esittää kolme prosessoria : PI, P2 ja P3, jotka on yhdistetty yhteisellä ei- varatulla ja standardisoidulla väylällä, jonka kautta kaikki tieto eri modulien välillä kulkee muodostaen turvajärjestelmän. Tällä väylällä ei, itse asiassa, 30 ole mitään tiettyjä turvallisuusrajoitteita, koska sen kautta kulkevan tiedon turvallisuus varmistetaan koodaamalla ja päivittämällä.
Tämän · jälkeen kuvassa näkyy tulo-/lähtökytkin E/S, jonka kautta tulodata DE ja lähtöda- » 35 ta DS siirtyy. Se on, itse asiassa, olennainen tuloille, joista dataa kerätään yhtenä kokonaisuutena, var- ^ mistamaan, että sovellusprosessorit P1 ja P2 suoritta- i S r il 103697 7 vat prosessointinsa samoista tuloista. Nämä tulot kerätään koodatussa muodossa, käyttäen koodausprosesso-ritekniikkaa, ja tuodaan sovellusprosessorien P1 ja P2 saataville väylään B liitettyyn kaksoissaantimuistiin 5 DMA. Transmissiovaiheen läpi (kytkin, väylä, sarjaportti) turvallisuustieto suojataan koodaamalla.
Kun data on kerätty, kaksi sovellusprosesso-ria P1 ja P2 aktivoidaan ottaen huomioon tietty viive. Kumpikin prosessori lukee kaksoissaantimuistista DMA 10 kerätyt tulot ja saattaa ne voimaan yksi kerrallaan. Kun ne on saatettu voimaan, tuloja käytetään niiden ei-koodatussa muodossa prosessointitarkoituksiin. Sovelluksen käynnistyksen suorittamisen jälkeen jokainen prosessori laskee lähtönsä ja valmistaa tuloksensa, 15 jotka on koodattu käyttäen koodausprosessoritekniik-kaa.
Fyysiseen lähtöön vaikutetaan yhdellä kahdesta prosessorista P1 ja P2 tulo-/lähtökytkimen E/S kautta, kun jokaisen prosessorin prosessoinnin tulok-20 set Rl ja R2 on annettu valitsimelle, muotoiltu valitsimella P3 kaksoissaantimuistille MDA koodatussa ja päivitetyssä muodossa. Lisäksi kumpikin prosessori P1 ja P2 ajaa oman itsetestin, jonka tulokset integroidaan tuloksiin Rl ja R2 ja annetaan valitsimelle P3.
25 Kaksoisprosessoriarkkitehtuurin turvallisuus : " riippuu ensisijaisesti P1 ja P2 yhteismuodon puuttumi sessa. Johtuen tosiasiasta, että vertailu suoritetaan lähdöissä, on suunnittelijoilla huomattava joustavuuden antama etu moduulien P1 ja P2 suunnittelussa. Tämä 30 voi vaihdella kahden identtisen ohjelmiston olemisesta kahdella identtisellä painopiirilevyllä kahden eri - * ohjelmiston olemiseen kahdella eri laiteyksiköllä.
Valitsin P3 kerää tulokset Rl Pl:stä ja R2 . P2:sta ja vertaa niitä, kaksi kerrallaan, käyttäen 35 soveltuvia toimenpiteitä koodausprosessoritekniikan mukaisesti koodatulla datalla. Ohjelmiston vertailu-toiminnan suorittaminen kytkee vastaavuustarkistuksen « 103697 8 päälle lähdöissä ja/tai jokaisen lähdön suodatuksen. Näin ollen suunnittelijat hyötyvät valitsimen suunnittelun huomattavasta joustavuudesta ja voivat tarjota lähtöjen osittaisen eston, joka sallii näiden ulostu-5 lojen uudelleen konfiguroinnin kun niitä monistetaan. Lisäksi valitsin monitoroi turvallisuudessa (in safety) kaksoisprosessoriarkkitehtuurin oikeaa toimintaa, joka tarkoittaa viivettä ja itsetestien tuloksia.
Valitsimen P3 vertailulogiikka asennetaan 10 prosessorin painopiirilevylle, joka voi olla identti nen kaksoisprosessoriarkkitehtuurin painopiirilevyjen kanssa ja vertailutoiminnan turvallisuus varmistetaan käyttämällä informaatiokoodaustekniikkaa. Toiminta saatetaan voimaan lähettämällä tunnistemerkki S, joka 15 lasketaan valitsimella ja joka kuvaa valitsimen oikeaa toimintaa, dynaamiselle ohjaimelle CD. Lisäksi tätä tunnistemerkkiä S pidetään liikkuvana nk. virkistys-tiedolla, joka käynnistyy ajoittain. Dynaaminen ohjain CD, joka on suunniteltu vikatilanneturvallisuuspohjal-20 ta, saattaa näin ollen voimaan, toisaalta, tunniste- merkin sinällään, varmistaen näin valitsimen oikean toiminnan.
Tämän jälkeen dynaaminen ohjain CD hyväksyy lähtöjen yleislähetyksen väylään B liitetyn moduulin A 25 kautta, joka moduuli A hyväksyy lähtöjen yksilöllisen : 1 lähettämisen valitsimen antaman informaation funktio na. Toisin sanoen osittaisen vastaamattomuuden tapauksissa tulosten Rl ja R2 välillä, vain eroavat lähdöt estetään tai asetetaan rajoitettuun tilaan. Valitsimen 30 virhetoimintatilanteissa, kaikki lähdöt sovelluksessa asetetaan, tietenkin, rajoitettuun tilaan. Jos tarpeellista, saatavuuden parantamiseksi, voidaan valitsin itsessään tarjota toistettavaksi.
Näin ollen on selvää lopullisessa analyysis-35 sä, että esillä olevan keksinnön mukainen turvajärjes- ί ί telmä tarjoaa erittäin huomattavan joustavuuden ja ' mahdollistaa haluttujen turvavaatimusten täyttämisen * ; i 103697 9 kohtuullisin kustannuksin ja kohtuullisella laskenta-ajalla.
On huomattava, erityisesti, että sellainen arkkitehtuuri tekee helpoksi keksinnön laajentamisen 5 monimutkaisemmaksi rakenteeksi, joka sisältää useamman kuin kaksi sovellusprosessoria. Valitsimen ohjelmisto voi tällöin, ilman lisälaitteita, tarjota enemmistölo-giikan n:lle prosessorille p:stä prosessorista. Toisin sanoen n:n prosessorin ainakin pistä prosessorista 10 tulee· saada sama tulos voimaan saatettavaan turvaläh-töön. Sanomattakin on selvää, että tässä tapauksessa valitsimen ohjelmisto voidaan asentaa yhteen sovellus-prosessoreista.
« 0 9 1
Claims (7)
1. Mikroprosessoripohjainen turvajärjestelmä, joka soveltuu erityisesti rautatiekuljetuksiin, monitoroimaan ja ohjaamaan toimielimiä (ACT) antureilta 5 (CP) kerätyn tiedon funktiona ja johon järjestelmään kuuluu ainakin kaksi mikroprosessoria (PI, P2) , jotka käsittelevät rinnakkaisesta samaa sovellusta, joiden mikroprosessorien tulot vastaanottavat dataa (DE) antureilta (CP) ja kolmas vertailumikroprosessori (P3) , 10 joka tunnetaan valitsimena, vertailemaan tuloksia (Rl, R2) kahdelta sovellusmikroprosessorilta (PI, P2) ja käyttämään dynaamista ohjainta (CD) sen mukaisesti hyväksyen lähtödatan (DS) lähetyksen toimielimille (ACT), tunnettu siitä, että kummankin sovellus-15 mikroprosessorin tulot ja lähdöt koodataan koodauspro-sessoritekniikan mukaisesti, että valitsin suorittaa, käyttäen ohjelmistoa ja suojattuna, kahden sovellus-mikroprosessorin (PI, P2) koodattujen karakterististen tulosten (Rl, R2) vertailun käyttäen koodausprosesso-20 ritekniikkaa, ja että lähtödata (DS) luetaan uudelleen suojattuna tulodatan (DE) kanssa vertailua varten.
2. Patenttivaatimuksen 1 mukainen turvajärjestelmä, tunnettu siitä, että kahden sovellus-mikroprosessorin (PI, P2) välille on järjestetty vii- 2. ve.
* ’ 3. Patenttivaatimuksen 1 tai 2 mukainen tur vajärjestelmä, tunnettu siitä, että järjestelmä sisältää yksittäisen ei-varatun väylän (B), jonka kautta informaatio siirtyy eri mikroprosessorien (Pl,
30 P2, P3) välillä.
4. Jonkin patenttivaatimuksista 1-3 mukai-• * nen turvajärjestelmä, tunnettu siitä, että valitsin (P3) sisältää algoritmin mahdollistaen kahden so-vellusmikroprosessorin (PI, P2) tulosten (Rl, R2) ver-35 tailun lisäksi eri ulostulojen suodattamisen ja vas-|j taavuustarkastusten suorittamisen, j V « 103697 11
5. Patenttivaatimuksen 4 mukainen turvajärjestelmä, tunnettu siitä, että valitsimen (P3) algoritmi mahdollistaa osittaisen eston tilanteissa, joissa vain tietyt tulokset eivät vastaa toisiaan.
6. Jonkin patenttivaatimuksista 1-5 mukai nen turvajärjestelmä, tunnettu siitä, että järjestelmään kuuluu enemmän kuin kaksi sovellusprosesso-ria (PI, P2) , valitsimen (P3) tarjotessa enemmistölo-giikan n:lie prosessorille p:stä prosessorista.
7. Patenttivaatimuksen 6 mukainen turvajär jestelmä, tunnettu siitä, että valitsimen ohjelmisto on asennettu mihin tahansa sovellusprosessoreis-ta. * 9 9 m 9 103697 12
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR9304680 | 1993-04-21 | ||
FR9304680A FR2704329B1 (fr) | 1993-04-21 | 1993-04-21 | Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires. |
Publications (4)
Publication Number | Publication Date |
---|---|
FI941683A0 FI941683A0 (fi) | 1994-04-12 |
FI941683A FI941683A (fi) | 1994-10-22 |
FI103697B1 FI103697B1 (fi) | 1999-08-13 |
FI103697B true FI103697B (fi) | 1999-08-13 |
Family
ID=9446272
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FI941683A FI103697B (fi) | 1993-04-21 | 1994-04-12 | Mikroprosessoripohjainen turvajärjestelmä soveltuen erityisesti rautat iekuljetuksiin |
Country Status (22)
Country | Link |
---|---|
US (1) | US5794167A (fi) |
EP (1) | EP0621521B1 (fi) |
JP (1) | JPH07117671A (fi) |
CN (1) | CN1095136C (fi) |
AT (1) | ATE164690T1 (fi) |
AU (1) | AU670679B2 (fi) |
CA (1) | CA2121714A1 (fi) |
CZ (1) | CZ289813B6 (fi) |
DE (1) | DE69409283T2 (fi) |
DK (1) | DK0621521T3 (fi) |
ES (1) | ES2117222T3 (fi) |
FI (1) | FI103697B (fi) |
FR (1) | FR2704329B1 (fi) |
HK (1) | HK1008153A1 (fi) |
HU (1) | HU216216B (fi) |
NO (1) | NO309344B1 (fi) |
PL (1) | PL174598B1 (fi) |
RO (1) | RO113771B1 (fi) |
RU (1) | RU94013455A (fi) |
SI (1) | SI0621521T1 (fi) |
SK (1) | SK283059B6 (fi) |
ZA (1) | ZA942761B (fi) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2799018B1 (fr) * | 1999-09-28 | 2003-07-04 | Matra Transp Internat | Systeme informatique securise |
DE19947252A1 (de) * | 1999-09-30 | 2001-05-03 | Bosch Gmbh Robert | Vorrichtung und Verfahren zur Steuerung einer Antriebseinheit |
US7302587B2 (en) | 2001-06-08 | 2007-11-27 | Matra Transport International | Secure computer system |
US7209811B1 (en) * | 2001-11-22 | 2007-04-24 | Siemens Aktiengesellschaft | System and method for controlling a safety-critical railroad operating process |
WO2004025469A1 (en) | 2002-09-10 | 2004-03-25 | Union Switch & Signal, Inc. | Hot standby method and apparatus |
US7130703B2 (en) * | 2003-04-08 | 2006-10-31 | Fisher-Rosemount Systems, Inc. | Voter logic block including operational and maintenance overrides in a process control system |
US7213168B2 (en) * | 2003-09-16 | 2007-05-01 | Rockwell Automation Technologies, Inc. | Safety controller providing for execution of standard and safety control programs |
ITTO20040325A1 (it) * | 2004-05-14 | 2004-08-14 | Ansaldo Segnalamento Ferroviario Spa | Dispositivo per la trasmissione sicura di dati verso boe per la segnalazione ferroviaria |
DE102005023296B4 (de) * | 2005-05-12 | 2007-07-12 | Siemens Ag | Zugbeeinflussungssystem |
FR2929056B1 (fr) * | 2008-03-19 | 2010-04-16 | Alstom Transport Sa | Dispositif de detection a seuil securitaire d'un systeme ferroviaire |
DE102008056095A1 (de) * | 2008-11-04 | 2010-05-12 | Siemens Aktiengesellschaft | Einrichtung und Verfahren zum Empfangen und zum Verarbeiten von Signalen zur Zugbeeinflussung auf einem Schienenfahrzeug sowie Empfangsgerät |
CN101943910B (zh) * | 2009-07-07 | 2012-06-27 | 华东理工大学 | 用于容错控制的自校验方法 |
JP2011128821A (ja) * | 2009-12-17 | 2011-06-30 | Yokogawa Electric Corp | 二重化フィールド機器 |
JP5683294B2 (ja) * | 2011-01-31 | 2015-03-11 | 三菱重工業株式会社 | 安全装置、安全装置の演算方法 |
FR2992083B1 (fr) * | 2012-06-19 | 2014-07-04 | Alstom Transport Sa | Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur |
US9233698B2 (en) | 2012-09-10 | 2016-01-12 | Siemens Industry, Inc. | Railway safety critical systems with task redundancy and asymmetric communications capability |
GB2507295B (en) * | 2012-10-25 | 2020-02-05 | Bae Systems Plc | Control systems for unmanned vehicles |
EP2912527B1 (en) * | 2012-10-25 | 2020-02-26 | BAE Systems PLC | Control systems for unmanned vehicles |
CN103144657B (zh) * | 2013-03-15 | 2015-07-22 | 卡斯柯信号有限公司 | 带校验板的通用轨旁安全平台主处理子系统 |
CN103220100B (zh) * | 2013-03-15 | 2016-02-03 | 卡斯柯信号有限公司 | 一种基于编码的输出表决方法 |
EP2786913B1 (en) | 2013-04-04 | 2020-08-26 | ALSTOM Transport Technologies | Switch point machine management unit |
EP2796999B1 (en) | 2013-04-24 | 2016-04-13 | ALSTOM Transport Technologies | Inherent fail safe enabling control and command unit with two out of two architecture |
RU2661535C1 (ru) * | 2017-06-14 | 2018-07-17 | Российская Федерация, от имени которой выступает Государственная корпорация по космической деятельности "РОСКОСМОС" | Способ мутационного тестирования электронной аппаратуры и ее управляющего программного обеспечения с определением локализации мутаций |
JP6983383B2 (ja) * | 2017-10-06 | 2021-12-17 | 横河電機株式会社 | 制御システム、制御方法及び等値化装置 |
CH714256A1 (de) * | 2017-10-18 | 2019-04-30 | Elesta Gmbh Ostfildern De Zweigniederlassung Bad Ragaz | Verfahren zur seriellen Übermittlung von Daten eines Sensors an ein Sicherheitskontrollgerät. |
RU2703681C1 (ru) * | 2019-04-19 | 2019-10-21 | Акционерное общество "ТеконГруп" | Модуль центрального процессора промышленного контроллера |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2344063A1 (fr) * | 1976-03-10 | 1977-10-07 | Smiths Industries Ltd | Circuit numerique de commande a deux voies au moins |
DE2701925C3 (de) * | 1977-01-19 | 1981-10-15 | Standard Elektrik Lorenz Ag, 7000 Stuttgart | Fahrzeugsteuerung mit zwei Bordrechnern |
DE2701924C3 (de) * | 1977-01-19 | 1987-07-30 | Standard Elektrik Lorenz Ag, 7000 Stuttgart | Steuereinrichtung für spurgebundene Fahrzeuge |
GB2019622B (en) * | 1978-04-14 | 1982-04-07 | Lucas Industries Ltd | Digital computing apparatus |
DE3003291C2 (de) * | 1980-01-30 | 1983-02-24 | Siemens AG, 1000 Berlin und 8000 München | Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke |
EP0096510B1 (en) * | 1982-06-03 | 1988-07-27 | LUCAS INDUSTRIES public limited company | Control system primarily responsive to signals from digital computers |
DE3225455C2 (de) * | 1982-07-07 | 1986-07-17 | Siemens AG, 1000 Berlin und 8000 München | Verfahren zum sicheren Betrieb eines redundanten Steuersystems |
US5067080A (en) * | 1985-04-11 | 1991-11-19 | Lucas Industries Public Limited Company | Digital control system |
GB8729901D0 (en) * | 1987-12-22 | 1988-02-03 | Lucas Ind Plc | Dual computer cross-checking system |
JPH01245335A (ja) * | 1988-03-28 | 1989-09-29 | Hitachi Ltd | プログラマブルコントローラの多重化システム |
DE3816254A1 (de) * | 1988-05-11 | 1989-11-23 | Siemens Ag | Steuereinheit zur lenkung der hinterraeder eines strassenfahrzeuges |
FR2632748B1 (fr) * | 1988-06-14 | 1994-04-29 | Alsthom | Dispositif de traitement de donnees et de commande |
DE3923773A1 (de) * | 1988-07-20 | 1990-03-01 | Vaillant Joh Gmbh & Co | Verfahren zum steuern und ueberwachen eines brennstoffbeheizten geraetes unter verwendung zumindest eines mikrocomputersystems und vorrichtung zur durchfuehrung des verfahrens |
US5001638A (en) * | 1989-04-18 | 1991-03-19 | The Boeing Company | Integrated aircraft air data system |
JP2768791B2 (ja) * | 1990-03-09 | 1998-06-25 | 三菱自動車工業株式会社 | 車載用電子制御装置 |
GB9101227D0 (en) * | 1991-01-19 | 1991-02-27 | Lucas Ind Plc | Method of and apparatus for arbitrating between a plurality of controllers,and control system |
US5274554A (en) * | 1991-02-01 | 1993-12-28 | The Boeing Company | Multiple-voting fault detection system for flight critical actuation control systems |
-
1993
- 1993-04-21 FR FR9304680A patent/FR2704329B1/fr not_active Expired - Fee Related
-
1994
- 1994-04-12 FI FI941683A patent/FI103697B/fi active
- 1994-04-20 PL PL94303076A patent/PL174598B1/pl unknown
- 1994-04-20 DK DK94400859T patent/DK0621521T3/da active
- 1994-04-20 ES ES94400859T patent/ES2117222T3/es not_active Expired - Lifetime
- 1994-04-20 DE DE69409283T patent/DE69409283T2/de not_active Expired - Fee Related
- 1994-04-20 EP EP94400859A patent/EP0621521B1/fr not_active Expired - Lifetime
- 1994-04-20 HU HU9401144A patent/HU216216B/hu not_active IP Right Cessation
- 1994-04-20 SI SI9430157T patent/SI0621521T1/xx unknown
- 1994-04-20 RO RO94-00671A patent/RO113771B1/ro unknown
- 1994-04-20 NO NO941431A patent/NO309344B1/no unknown
- 1994-04-20 AU AU60615/94A patent/AU670679B2/en not_active Ceased
- 1994-04-20 CA CA002121714A patent/CA2121714A1/en not_active Abandoned
- 1994-04-20 CZ CZ1994957A patent/CZ289813B6/cs not_active IP Right Cessation
- 1994-04-20 RU RU94013455/11A patent/RU94013455A/ru unknown
- 1994-04-20 AT AT94400859T patent/ATE164690T1/de not_active IP Right Cessation
- 1994-04-21 JP JP6083419A patent/JPH07117671A/ja active Pending
- 1994-04-21 CN CN94104994A patent/CN1095136C/zh not_active Expired - Fee Related
- 1994-04-21 SK SK459-94A patent/SK283059B6/sk not_active IP Right Cessation
- 1994-04-21 ZA ZA942761A patent/ZA942761B/xx unknown
-
1996
- 1996-12-09 US US08/762,147 patent/US5794167A/en not_active Expired - Fee Related
-
1998
- 1998-06-26 HK HK98107073A patent/HK1008153A1/xx not_active IP Right Cessation
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FI103697B (fi) | Mikroprosessoripohjainen turvajärjestelmä soveltuen erityisesti rautat iekuljetuksiin | |
US6201997B1 (en) | Microprocessor system for safety-critical control systems | |
US6275752B1 (en) | Microprocessor system for automobile control systems | |
US6823251B1 (en) | Microprocessor system for safety-critical control systems | |
CN103262045B (zh) | 具有容错架构的微处理器系统 | |
US6540309B1 (en) | Fault tolerant electronic braking system | |
US9434391B2 (en) | Braking system | |
US7389390B2 (en) | Method, microprocessor system for critical safety regulations and the use of the same | |
CN110192185B (zh) | 冗余的处理器架构 | |
US20060248428A1 (en) | Coding method for coding control commands for actuators | |
Ghadhab et al. | A controller safety concept based on software-implemented fault tolerance for fail-operational automotive applications | |
US7302587B2 (en) | Secure computer system | |
US7395303B2 (en) | Method and device for comparing binary data words | |
EP1276637B1 (en) | Fault-tolerant system | |
US11997114B2 (en) | Drive device and driving system | |
JP2906790B2 (ja) | 複数のマイクロコンピュータの暴走監視回路 | |
GB2298932A (en) | A fail-safe multiplex system | |
JP2000305604A (ja) | 自己監視機能付き車載用電子制御装置 | |
GB2357594A (en) | Fault tolerant suspension system and fault tolerant steering system |