JP2005511386A - 安全性の要求される鉄道運転プロセスの制御方法およびこの方法を実施するための装置 - Google Patents
安全性の要求される鉄道運転プロセスの制御方法およびこの方法を実施するための装置 Download PDFInfo
- Publication number
- JP2005511386A JP2005511386A JP2003549144A JP2003549144A JP2005511386A JP 2005511386 A JP2005511386 A JP 2005511386A JP 2003549144 A JP2003549144 A JP 2003549144A JP 2003549144 A JP2003549144 A JP 2003549144A JP 2005511386 A JP2005511386 A JP 2005511386A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- signal
- commercial
- reliable
- railway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 90
- 230000008569 process Effects 0.000 title claims abstract description 66
- 238000005516 engineering process Methods 0.000 claims abstract description 35
- 238000012545 processing Methods 0.000 claims abstract description 28
- 238000004886 process control Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 5
- 238000011022 operating instruction Methods 0.000 claims description 2
- 230000011664 signaling Effects 0.000 claims description 2
- 230000001360 synchronised effect Effects 0.000 claims 1
- 230000009897 systematic effect Effects 0.000 claims 1
- 230000008901 benefit Effects 0.000 abstract description 2
- 230000008878 coupling Effects 0.000 abstract 1
- 238000010168 coupling process Methods 0.000 abstract 1
- 238000005859 coupling reaction Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000007257 malfunction Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1497—Details of time redundant execution on a single processing unit
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L21/00—Station blocking between signal boxes in one yard
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1608—Error detection by comparing the output signals of redundant hardware
- G06F11/1625—Error detection by comparing the output signals of redundant hardware in communications, e.g. transmission, interfaces
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1675—Temporal synchronisation or re-synchronisation of redundant processing components
- G06F11/1683—Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Safety Devices In Control Systems (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
Abstract
本発明による安全性の要求される鉄道運転プロセスの制御方法は、必要なプログラムを、システムソフトウェア(V,PMS)と鉄道管理固有のソフトウェア(BO)とに分けている。1つまたは複数の信号技術的に高信頼性のコンピュータ(SR*)において動作するシステムソフトウェアを介して、外部から制御装置に作用する指令(K)および通報(M)が検出され、それぞれの鉄道運転規則によって予め与えられた本来のプログラム制御が動作する商用コンピュータ(R1,R2)に伝達される。鉄道管理固有のプログラムの実行は2チャネルでパラレルまたはシリアルにて行なわれ、その際に商用コンピュータがそれぞれ等しい結果に達したか否かの検査が信号技術的に高信頼性のコンピュータにおいて行なわれる。高信頼性のコンピュータからは、商用コンピュータがその都度の処理結果を少なくとも2度一致して利用できるように高信頼性の比較が認識できる場合に制御すべきプロセス(BA)への出力(BA)も行なわれる。そうでない場合にはプロセス要素(W,S)への接続が信号技術的に高信頼性で分離される。本発明の利点は、信号技術的に高信頼性のコンピュータに対していつも同じシステムソフトウェアを使用することができ、鉄道管理固有のソフトウェアはシステムソフトウェアとの結合なしにこれから分離して開発し、検査することができる。それによって、安全性を損なうことなく従来技術に比べて著しいコストおよび時間の節減が達せられる。
Description
本発明は、請求項1の前文による方法並びに請求項12の前文によるこの方法を実施するための装置に関する。
鉄道運転プロセスは“安全性の要求される(safety−critical;セーフティクリティカル)”プロセスに属する。なぜならば、場合によっては起こり得る誤動作が、早期に認識されてプロセスへの影響が防止されなければ、重大な物的損害を招き、場合によっては人的危険をもたらし得るからである。この理由から、このようなプロセスの制御にはこれまで、制御すべきプロセス内における誤動作もプロセス制御装置自体内における誤動作も識別し、プロセスを安全な状態に持ち込むか、もしくは安全な状態に留めるという使命を持った信号技術的に高信頼性の装置が使用されてきた。このような信号技術的に高信頼性の制御は、種々の技術、例えばリレー技術または電子技術で実施することができる。コンピュータを介する信号技術的に高信頼性のプロセス制御においては、これまで高価な特殊コンピュータが使用されてきた。この特殊コンピュータは待機している処理命令を2チャネルで実行し、絶えず信号技術的に高信頼性で内容的に一致する処理経過を比較する。制御すべきプロセスのプロセス要素への作成された操作命令の出力は、両処理チャネルがそれぞれ同じ結果に達しているときのみ行なわれる。さもなければ、プロセスへの接続は遮断される。ただし、故障したコンピュータの機能を引き受けることができかつ実際に引き受ける少なくとも1つの予備コンピュータが存在する場合は別である。
データの入力および出力と場合によってはプロセス要素の確実な遮断をともなうデータ比較との上述の動作は高信頼性のコンピュータのシステムソフトウェアによって指令される。そのうえ、高信頼性のコンピュータはこれまでなおも、例えば信号扱い所の運転のような本来のプロセス制御のための鉄道管理固有のソフトウェアも含んでいた。鉄道管理固有のソフトウェアはそれぞれの鉄道管理の運転規則によって決まり、例えば運転規則によって予め与えられる走行線路設定および走行線路解除の付属事項に述べられている(刊行物「Signal+Draht」,77(1985)12,第259〜265頁)。鉄道管理固有のソフトウェアは鉄道管理毎に相違するだけでなく同じ鉄道管理の設備毎に少なくとも部分的に相違する。これは、信号技術的に高信頼性のコンピュータに読込まれてそこでランするソフトウェアが適用例毎に相違し、適用例に対して、読込まれるソフトウェアに欠陥がないことを安全証明によって立証するか又は信用を持たせなければならないことを意味する。これは、各コンピュータにおけるシステムソフトウェアと鉄道管理固有のソフトウェアとの混在によって、概要を把握しにくく作成および検査に時間を要し高価である複雑なソフトウェアパケットをもたらす。
本発明の課題は、高信頼性のプロセス制御に必要なプログラムの作成労力が少なく、プロセス制御への鉄道経営者の場合によっては有り得る変更要求に迅速かつ低コストで対応することを可能にする請求項1の前文に基づく“安全性の要求される(safety−critical;セーフティクリティカル)”鉄道運転プロセスの制御方法を提供することにある。更に、本発明の課題はこの方法を実施するための装置を提供することにある。
この課題は、本発明によれば、請求項1もしくは請求項12によって解決される。本発明の中心思想は、鉄道管理固有のソフトウェアを1つまたは複数の信号技術的に高信頼性のコンピュータから商用コンピュータへ移し、この商用コンピュータでデータをその都度少なくとも2度処理し、プロセスへ出力する前に信号技術的に高信頼性のコンピュータにおいて一致性を高信頼性で検査することにある。信号技術的に高信頼性のコンピュータは、データ比較の使命のほかに、主としてなお、到着する通報および指令を高信頼性で検出し、商用コンピュータに伝達して高信頼性でプロセス要素に作用させ、障害発生時にはプロセス要素への接続を信号技術的に高信頼性で遮断する使命を持っている。
本発明による方法もしくは本発明による装置の有利な構成および実施態様は従属請求項に記載されている。
以下において、図面に示す実施例に基づいて本発明を更に詳細に説明する。
図1は本発明による安全性の要求される鉄道運転プロセスの制御装置の構成を概略的に示し、
図2は従来技術に基づいて実施された相応の装置の構成を示す。
図1は本発明による安全性の要求される鉄道運転プロセスの制御装置の構成を概略的に示し、
図2は従来技術に基づいて実施された相応の装置の構成を示す。
図2は、2つの独立の処理チャネルK1,K2におけるとりわけ同一の処理プログラムを介するプロセス処理のための公知の信号技術的に高信頼性のコンピュータSRを示す。高信頼性のコンピュータSRは任意の台数の信号技術的に高信頼性のコンピュータを代表している。その台数は主として制御すべきプロセスの大きさに従う。制御すべきプロセスは鉄道設備BAに影響を与える鉄道運転プロセスである。鉄道設備のプロセス要素の代表として、図には転轍機Wおよび信号機Sが示されている。プロセス要素の制御および監視は、そのために開発された図には明確に示されていない制御および監視回路によって行なわれる。制御および監視回路を介して、高信頼性のコンピュータSRから操作命令SBがプロセス要素に出力され、プロセス要素から通報Mが高信頼性のコンピュータSRに入力される。
信号技術的に高信頼性のコンピュータSRは、この高信頼性のコンピュータSRにプロセスから伝達された通報Mを通信バスKBを介して入力および表示コンピュータEARに出力する。このコンピュータEARは、とりわけそれぞれの運転規則に定められた表示規則に従った鉄道運転プロセスの監視に使われる。コンピュータEARは信号技術的に高信頼性のコンピュータとして実施されると好ましい。入力・表示コンピュータEARを介して鉄道運転プロセスの制御指令Kも発生され、信号技術的に高信頼性のコンピュータSRに伝送される。その場合、入力は、オペレータ、例えば列車運転業務指揮者によって行なわれるか、または、例えば自動操作運転または通過運転のための自動装置によって行なわれる。
通報および指令は、信号技術的に高信頼性のコンピュータにおいて鉄道経営者のそれぞれの運転規則に定められた条件および付属事項に従って2チャネルで処理される。両処理システムのバス上にそれぞれ載ったデータ、アドレスおよび制御信号は、場合によっては生じ得る誤差を直ちに識別できるようにするために、絶えず信号技術的に高信頼性で互いに比較される。検査プログラムは、高信頼性のコンピュータの入出力レジスタ並びにそのコンピュータのプログラムメモリおよび動作メモリおよびそのコンピュータのアドレスレジスタが予め与えられた最小時間内にそれらのメモリが一方の状態も他方の状態も取ることができるか否かという観点で検査されるようにする。場合によっては起こり得る誤動作がそのように事象制御または時間制御されて識別され、外部設備の確実な遮断をもたらす。転轍機の操作命令はもはや出力することができず、信号機は停止する。
鉄道管理のそれぞれの運転規則によって予め与えられる条件および従属関係(図では楕円形部分BOによって代表されている)が、高信頼性のコンピュータSRのプログラムメモリに格納されてシステムソフトウェアと混在していることによって、鉄道運転プロセスの制御のために高信頼性のコンピュータに格納されたソフトウェアは、非常に複雑で作成および検査にも極めて労力のかかる特殊なソフトウェアである。
図1に示された本発明による鉄道運転プロセスの制御装置の場合、同様に、とりわけ同一に構成されかつ同一に動作させられる2つの処理チャネルK1*,K2*を有する少なくとも1つの信号技術的に高信頼性のコンピュータSR*が存在する。このコンピュータの使命は、従来技術による信号技術的に高信頼性のコンピュータSRの使命と同様に、このコンピュータSRにもたらされた全ての通報Mおよび指令Kを高信頼性で検出して処理を実行することである。更に、その使命は、信号技術的に高信頼性で作成した操作命令SBをそれぞれの鉄道設備BAのプロセス要素W,Sに出力するか、もしくはこの種の操作命令の出力を障害時に信号技術的に高信頼性のまま保つようにすることである。鉄道運転プロセスの制御および監視のためにそれぞれの鉄道運転規則BOによって定められた条件および付属事項の遂行は、従来技術と違って、信号技術的に高信頼性のコンピュータSR*においてではなくて、鉄道運転プロセスの制御のための設備固有のデータも格納されている商用コンピュータR1,R2,・・・Rnにおいて行なわれる。商用コンピュータR1,R2は1つまたは複数の商用コンピュータ対を代表し、各商用コンピュータは複数の対に所属することもできる。従って、3つの商用コンピュータから3つの商用コンピュータ対を形成することができる。それらの商用コンピュータ対は、高信頼性のコンピュータSR*から供給された処理命令Aを、それぞれ自身のためにそれぞれの相手方とは関係なく、プロセス制御のためにそれぞれの鉄道運転規則BOに定められた条件および付属事項に基づいて実行する。各商用コンピュータ対R1,R2の両商用コンピュータはそれらの動作結果を信号技術的に高信頼性のコンピュータSR*に伝達し、その際に時間的に最初の商用コンピュータR1またはR2が時間監視され他の商用コンピュータの動作結果を待つ待ちを強要されるか、または時間超過時に故障処理が実行される。商用コンピュータ対R1,R2に与えられた通報の妥当性と商用コンピュータ対によって作成された出力およびメモリ範囲のディジタル署名の妥当性についての検査メカニズムPMが図1に概略的に示されている。入力・表示コンピュータEARを介して高信頼性のコンピュータSR*に供給される指令Kは、高信頼性のコンピュータSR*によって処理命令Aに変換され、電報の形で商用コンピュータR1,R2に伝達される。その処理命令Aはその商用コンピュータR1,R2でそれぞれの鉄道運転規則BOの条件および付属事項に基づく実行を生じる。
商用コンピュータによる鉄道管理固有のソフトウェアの実行時に、予め与えられた待ち時間後に初めてプログラムの続行処理を予定するプログラム点に商用コンピュータが到達する場合については、信号技術的に高信頼性のコンピュータが、商用コンピュータの処理プログラムを同期化する商用コンピュータの相応の要求に対して、その待ち時間経過後にプログラムの続行処理をするようにする。例えば数秒の待ち時間経過後に商用コンピュータによって求められたセンサ情報が読取られて評価される。
商用コンピュータ対R1,R2によって求められた処理結果Eは電報として信号技術的に高信頼性のコンピュータSR*に供給され、その信号技術的に高信頼性のコンピュータSR*で信号技術的に高信頼性で両処理チャネルK1*,K2*に分配され、信号技術的に高信頼性で一致性を比較される。商用コンピュータR1,R2によって処理された結果の高信頼性の分配および高信頼性の比較を、図では機能ブロックVが代表している。機能ブロックV内に、これに関係するプログラムがシステムソフトウェアとして格納されている。信号技術的に高信頼性のコンピュータの検査メカニズムPMSは、商用コンピュータR1,R2の検査メカニズムPMと違って信号技術的に高信頼性で実行される。
従来技術による装置に対する本発明による装置の特別な利点は、信号技術的に高信頼性のコンピュータが常に高信頼性の入力,出力の機能ならびに高信頼性のデータ比較の機能だけを実現し、個々の鉄道管理の運転規則によってそれぞれ定められた要求および条件には関係しないことにある。それにより、高信頼性のコンピュータまたは高信頼性のコンピュータ群においてランするシステムソフトウェアが簡単かつ明快となる。システムソフトウェアは寧ろ全ての適用例に対して同じになり、従ってもはや新たにケースバイケースで作り上げて認可検査を受ける必要がない。個別の鉄道管理における種々の運転規則によって定められる鉄道管理固有のソフトウェアは商用コンピュータにおいてランする。高信頼性のコンピュータのシステムソフトウェアと協働する商用コンピュータは検査される必要がない。寧ろ、信号技術的に高信頼性のコンピュータと商用のコンピュータとの間に固有のインターフェースを守り、商用コンピュータにおいて実行可能にされるべき鉄道管理固有のソフトウェアをそれ自身内で機能性を検査すること、すなわち、定められた入力が実際にも定められた出力を生じるか否かを検査することが必要なだけである。この機能性検査はシステムソフトウェアの検査と分離して行なわれ、従来技術とは違って、もはや高信頼性のコンピュータのシステムソフトウェアに組み込まれることはなく、他方ではシステムソフトウェアが従来技術におけるよりも明快にもなる。
鉄道管理固有のソフトウェアの作成は、プロセスランの信号技術的な高信頼性に対して責任のある信号技術的に高信頼性のコンピュータの製造者において強制的に行なわれなければねならないというわけではない。むしろ、商用コンピュータのためのプログラムの作成を専門の技術者事務所等に委託することができる。技術者事務所等は作成するソフトウェアをそれぞれの鉄道管理および例えば連邦鉄道庁のような許認可官庁に合わせるべきである。それにより、安全性の要求される鉄道運転プロセスの制御および監視のためのプログラムを従来よりも遥かに迅速にかつ低コストで、それによって安全性における何らかの損失を受け入れることなく、その都度の与えられた状況に適合させることができる。
上述の実施例において、商用コンピュータR1,R2は、1つまたは複数の2重コンピュータシステム、または、冗長コンピュータを備え、個別コンピュータにおいてそれぞれの鉄道運転規則によって予め与えられた条件および付属事項を実行するためのそれぞれ同一のプログラムがランするべきであり、しかも個々の商用コンピュータによって、とりわけそれぞれ運転規則の定められた部分機能のみを実現するか、それともそれぞれ鉄道設備の定められた一部のみに作用すべきであるコンピュータシステムを代表している。しかし、この装置を適切に表現するならば、商用コンピュータR1,R2はそれぞれ、鉄道管理の運転規則によって定められた鉄道管理固有のソフトウェアのプログラムを、幾度も、しかし少なくとも2度相前後して互いに無関係に実行するような個別コンピュータである。このために必要な鉄道管理固有のソフトウェアは、さまざまに設計することができるが、しかし両処理経過に対して内容的に同じであってもよい。
商用コンピュータによって得られた結果を信号技術的に高信頼性のコンピュータへ伝達するためには、2チャネルのシリアルまたはパラレルで得られた結果を2チャネルで1つまたは複数の高信頼性のコンピュータに伝達する、またはその結果を1チャネルのみを介して2度相次いで伝達する、信号技術的に信頼性のないデータ伝送が考慮の対象となる。2番目または3番目の冗長チャネルは自由度を高める。商用コンピュータから信号技術的に高信頼性のコンピュータへの伝送経路およびその逆方向の伝送経路における場合によっては起こり得るデータ偽造は受信側コンピュータにおいて、送信側コンピュータによって書き込まれ電報内容を計算規則を介してコード化するディジタル署名(シグネチャ)によって識別可能である。高信頼性のコンピュータへのシリアルのデータ伝送の場合、伝達されたデータが緊急であるか否か、そして実際に商用コンピュータの異なるチャネルから来たのかもしくは異なる処理経過の結果であるのか否かを識別することを信号技術的に高信頼性のコンピュータに可能にさせる標識をデータに添えることができる。分離されたバスを介するデータ伝送の場合、信号技術的に高信頼性のコンピュータは、このコンピュータに一方のバスまたは他方のバスを介して伝達されたデータから、これらのデータが実際にも商用コンピュータ対の一方または他方のコンピュータから来たのかそれともそうではないのかを識別することができる。
本発明の有利な構成では、商用コンピュータを所謂コンソールコンピュータとして実施することができ、このコンピュータを介して鉄道職員または自動装置によって鉄道運転プロセスに実行指令を出力し、鉄道運転プロセスの応答信号を可視化することができる。コンソールコンピュータにおいては、互いに関係なく指令および通報の入力および可視化のためのプログラムと、鉄道運転規則に従ってプロセス要素を制御するプログラムとがランする。指令入力およびプロセス事象の可視化のためのプログラムは、鉄道運転規則によってそれぞれ予め与えられているプロセス制御プログラムと組み合わせることもできる。
信号技術的に高信頼性のコンピュータは、プロセスへの操作命令が出力されるべきか否かおよびどの操作命令が出力されるべきかについての決定が少なくとも2つの健全なコンピュータの多数決によって行なわれるm:n(またはn中m)コンピュータシステムとして実施することもできる。
プロセスへの操作命令の出力は2チャネルで行なわれる。各コンピュータは処理エラー確認時に操作命令の出力を阻止することができる。
本発明による方法および本発明による装置は、全ての安全性の要求される鉄道運転プロセスに有利に適用することができる。このような適用は、例えば信号転轍扱い所による鉄道運転の高信頼性制御であるが、しかし例えば鉄道踏切の高信頼性制御、車軸計数装置の高信頼性制御ならびに高速運転線区用システム(LZB)の線路機器および車上機器の高信頼性制御であってもよい。
SR* 信号技術的に高信頼性のコンピュータ
R1,R2,・・・Rn 商用コンピュータ
K1*,K2* 処理チャネル
KB 通信バス
K 指令
SB 操作命令
M 通報
S 信号機
W 転轍機
A 処理命令
E 処理結果
V 比較
PMS 検査メカニズム
BO 鉄道管理固有のソフトウェア(鉄道運転規則)
PM 検査メカニズム
EAR 入力・表示コンピュータ
BA プロセス
R1,R2,・・・Rn 商用コンピュータ
K1*,K2* 処理チャネル
KB 通信バス
K 指令
SB 操作命令
M 通報
S 信号機
W 転轍機
A 処理命令
E 処理結果
V 比較
PMS 検査メカニズム
BO 鉄道管理固有のソフトウェア(鉄道運転規則)
PM 検査メカニズム
EAR 入力・表示コンピュータ
BA プロセス
Claims (20)
- 到着する指令から鉄道運転規則に従って信号技術的に高信頼性で作成された操作命令を信号技術的に高信頼性でプロセス要素に出力しかつプロセス要素から来る通報をプロセス状態監視手段およびプロセス制御手段に供給する少なくとも1つの信号技術的に高信頼性のコンピュータを用いた安全性の要求される鉄道運転プロセスの制御方法において、
信号技術的に高信頼性のコンピュータ(SR*)には、この信号技術的に高信頼性のコンピュータに信号技術的に高信頼性の入力,出力および信号技術的に高信頼性のデータ比較を実行する能力を与えるプログラムを有するシステムソフトウェア(V,PMS)だけが格納され、
鉄道運転規則による鉄道管理によって予め与えられた鉄道運転プロセスのための条件および付属事項を含む鉄道管理固有のソフトウェア(BO)は少なくとも1つの信号技術的に高信頼性でない商用コンピュータ(R1,R2)に格納され、
信号技術的に高信頼性のコンピュータによって、この信号技術的に高信頼性のコンピュータに供給された指令(K)および通報(M)から処理命令(A)が発生されて商用コンピュータに伝達され、
処理命令はその商用コンピュータで少なくとも2度互いに無関係に実行され、
その際に得られた結果(E)および/または中間結果が信号技術的に高信頼性のコンピュータに伝達され、信号技術的に高信頼性のコンピュータで信号技術的に高信頼性で内容に関する一致性を検査され、
商用コンピュータによって少なくとも2重に一致して使用可能にされた結果および/または中間結果のみが高信頼性のコンピュータによって受け入れられ、それから導き出し得る操作命令(SB)が信号技術的に高信頼性でプロセス(BA)に出力されることを特徴とする安全性の要求される鉄道運転プロセスの制御方法。 - 商用コンピュータにおける処理命令の少なくとも2度の実行のために同一のまたは異種のソフトウェアが使用されることを特徴とする請求項1記載の方法。
- 鉄道管理固有のソフトウェア(BO)の実行時に生じる時間現象が、信号技術的に高信頼性のコンピュータ(SR*)によって商用コンピュータの要求に同期させられることを特徴とする請求項1乃至2の1つに記載の方法。
- 商用コンピュータによって求められた結果および/または中間結果が信号技術的に高信頼性でない通信チャネルを介して高信頼性のコンピュータに伝達されることを特徴とする請求項1乃至3の1つに記載の方法。
- 電報形式のデータ伝送が用いられ、電報にはディジタル署名が添えられ、そのシディジタル署名からそれぞれ受信したコンピュータが、それらの電報が偽造されて伝送されたか否かを識別可能であることを特徴とする請求項1乃至4の1つに記載の方法。
- 電報形式のデータ伝送が用いられ、電報にはディジタル署名が添えられ、そのディジタル署名から信号技術的に高信頼性のコンピュータが、商用コンピュータのプログラムメモリおよびデータメモリに偽造が生じているか否か、または商用コンピュータのCPUがもはや正しく動作していないか否かを識別可能であることを特徴とする請求項1乃至5の1つに記載の方法。
- 処理命令が少なくともそれぞれ2つの商用コンピュータ(R1,R2)においてほぼ同時に実行されるか、または時間的に直列的に1つのコンピュータだけで実行され、求められた結果および/または中間結果は高信頼性のコンピュータに比較のためにそれぞれ対をなして供給されることを特徴とする請求項1乃至6の1つに記載の方法。
- 電報には、電報が実際に別々に作成されたか否かを高信頼性のコンピュータが識別することを可能にする標識が添えられていることを特徴とする請求項7記載の方法。
- 高信頼性のコンピュータによって、異なる入力を介して高信頼性のコンピュータに供給された商用コンピュータの結果通報に基づいて、これらの電報が異なるコンピュータから来たか否かが識別されることを特徴とする請求項7記載の方法。
- 商用コンピュータの運転システムソフトウェア(BO)におけるシステム的なエラーが、関与するコンピュータ(R1〜Rn)での異種の運転システムの使用によって排除されることを特徴とする請求項1乃至9の1つに記載の方法。
- 商用コンピュータのハードウェアにおけるシステム的なエラーが、関与するコンピュータ(R1〜Rn)での異種のコンピュータ構成要素(マザーボード,CPU,メモリ)の使用によって排除されることを特徴とする請求項1乃至10の1つに記載の方法。
- 到着する指令から鉄道運転規則に従って信号技術的に高信頼性で作成された操作命令をプロセス要素に対して出力しかつプロセス要素から来る通報をプロセス状態監視手段およびプロセス制御手段に供給する少なくとも1つの信号技術的に高信頼性のコンピュータを備えた安全性の要求される鉄道運転プロセスの制御方法を実施するための装置において、
信号技術的に高信頼性のコンピュータ(SR*)には、この信号技術的に高信頼性のコンピュータに信号技術的に高信頼性の入力,出力(K,E,M,A,SB)および信号技術的に高信頼性のデータ比較を実行する能力を与えるプログラムを有するシステムソフトウェアだけが格納され、
鉄道運転規則(BO)による鉄道管理によって予め与えられた鉄道運転プロセスの制御のための条件および付属事項を含む鉄道管理固有のソフトウェアが格納されている少なくとも1つの信号技術的に高信頼性でない商用コンピュータ(R1,R2)が設けられ、
信号技術的に高信頼性のコンピュータおよび商用コンピュータが通信バス(BUS)に接続され、この通信バス(BUS)を介して信号技術的に高信頼性のコンピュータが処理命令(A)を商用コンピュータに伝達し、商用コンピュータから結果(E)および/または中間結果を得て、
商用コンピュータは各処理命令を少なくとも2度互いに無関係に実行するように構成され、
信号技術的に高信頼性のコンピュータは、この信号技術的に高信頼性のコンピュータに商用コンピュータから少なくともそれぞれ対をなして伝達された結果および/または中間結果を、信号技術的に高信頼性で内容に関する一致性について検査し、検査結果に応じてそれからプロセス要素(W,S)に対する操作命令(SB)を導き出し、ドライバを介してプロセスに出力させることを特徴とする安全性の要求される鉄道運転プロセスの制御方法を実施するための装置。 - 商用コンピュータにも機能性を証明されたプログラム(BO)だけが設けられていることを特徴とする請求項12記載の装置。
- 商用コンピュータは処理命令を同一または異種のソフトウェアでその都度少なくとも2度実行することを特徴とする請求項12又は13記載の装置。
- 同一の処理命令を対で互いに無関係に実行する少なくとも2つの商用コンピュータが設けられていることを特徴とする請求項12乃至14の1つに記載の装置。
- 異なる機能性または部分機能性の実行のために、または異なる設備部分の制御および監視のために、複数の商用コンピュータ(R1,R2)が単一コンピュータ構成またはマルチコンピュータ構成にて設けられていることを特徴とする請求項12乃至15の1つに記載の装置。
- 少なくとも1つの商用コンピュータが、指令(K)を高信頼性のコンピュータに入力しかつ通報(M)を表示手段にもたらすコンソールコンピュータであることを特徴とする請求項12乃至16の1つに記載の装置。
- 信号技術的に高信頼性のコンピュータはm:nコンピュータシステムであることを特徴とする請求項12乃至17の1つに記載の装置。
- 信号技術的に高信頼性のコンピュータは、少なくとも1つの商用コンピュータから伝達された結果および/または中間結果に添えられている標識から、これらの結果および/または中間結果が異なる処理プロセスから到来しているか否かを識別するように構成されていることを特徴とする請求項12乃至18の1つに記載の装置。
- 信号技術的に高信頼性のコンピュータは、場合によっては起こり得る操作命令を2チャネルでプロセスに出力することを特徴とする請求項12記載の装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/DE2001/004485 WO2003047937A1 (de) | 2001-11-22 | 2001-11-22 | Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005511386A true JP2005511386A (ja) | 2005-04-28 |
| JP4102306B2 JP4102306B2 (ja) | 2008-06-18 |
Family
ID=5648319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003549144A Expired - Fee Related JP4102306B2 (ja) | 2001-11-22 | 2001-11-22 | 安全性の要求される鉄道運転プロセスの制御方法およびこの方法を実施するための装置 |
Country Status (8)
| Country | Link |
|---|---|
| JP (1) | JP4102306B2 (ja) |
| KR (1) | KR20040063935A (ja) |
| CN (1) | CN1289345C (ja) |
| AU (1) | AU2002224742A1 (ja) |
| CA (1) | CA2467972A1 (ja) |
| HK (1) | HK1069363A1 (ja) |
| MX (1) | MXPA04004840A (ja) |
| WO (1) | WO2003047937A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2929056B1 (fr) * | 2008-03-19 | 2010-04-16 | Alstom Transport Sa | Dispositif de detection a seuil securitaire d'un systeme ferroviaire |
| DE102012211273A1 (de) * | 2012-06-29 | 2014-01-02 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum Steuern einer technischen Anlage |
| DE102013218814A1 (de) * | 2013-09-19 | 2015-03-19 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines sicherheitskritischen Systems |
| CN105822665A (zh) * | 2016-06-02 | 2016-08-03 | 株洲时代新材料科技股份有限公司 | 一种低地板车固定铰中整体式金属关节轴承及其组装方法 |
| CN112462731B (zh) * | 2020-10-16 | 2022-06-24 | 北京西南交大盛阳科技股份有限公司 | 安全监督控制方法、安全监督控制装置、计算机设备及安全监督系统 |
| EP4293957A1 (de) * | 2022-06-16 | 2023-12-20 | Siemens Mobility GmbH | Verfahren und anordnung zum erzeugen eines steuersignals |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3323269A1 (de) * | 1983-06-28 | 1985-01-10 | Siemens AG, 1000 Berlin und 8000 München | Einrichtung zum betrieb eines rechnergesteuerten stellwerkes |
| ATE110477T1 (de) * | 1990-08-14 | 1994-09-15 | Siemens Ag | Mehrrechnersystem hoher sicherheit mit drei rechnern. |
| DE4107639A1 (de) * | 1991-03-09 | 1992-09-10 | Standard Elektrik Lorenz Ag | Einrichtung zur signaltechnisch sicheren fernsteuerung einer unterstation in einer eisenbahnanlage |
-
2001
- 2001-11-22 AU AU2002224742A patent/AU2002224742A1/en not_active Abandoned
- 2001-11-22 JP JP2003549144A patent/JP4102306B2/ja not_active Expired - Fee Related
- 2001-11-22 CA CA002467972A patent/CA2467972A1/en not_active Abandoned
- 2001-11-22 WO PCT/DE2001/004485 patent/WO2003047937A1/de active Application Filing
- 2001-11-22 MX MXPA04004840A patent/MXPA04004840A/es active IP Right Grant
- 2001-11-22 KR KR10-2004-7007825A patent/KR20040063935A/ko not_active Application Discontinuation
- 2001-11-22 CN CNB018238238A patent/CN1289345C/zh not_active Expired - Fee Related
-
2005
- 2005-03-09 HK HK05102045A patent/HK1069363A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| KR20040063935A (ko) | 2004-07-14 |
| WO2003047937A1 (de) | 2003-06-12 |
| CN1289345C (zh) | 2006-12-13 |
| HK1069363A1 (en) | 2005-05-20 |
| MXPA04004840A (es) | 2004-08-02 |
| CA2467972A1 (en) | 2003-06-12 |
| AU2002224742A1 (en) | 2003-06-17 |
| JP4102306B2 (ja) | 2008-06-18 |
| CN1558848A (zh) | 2004-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US4583224A (en) | Fault tolerable redundancy control | |
| EP1769996A2 (en) | Railway control and protection system | |
| CN101110717B (zh) | 通信控制系统及通信控制方法 | |
| WO2006051355A1 (en) | A control system, a method to operate a control system, a computer data signal and a graphical user interface for rail-borne vehicles | |
| US4270715A (en) | Railway control signal interlocking systems | |
| JP2011054195A (ja) | 安全性関連処理のバス結合のための方法と装置 | |
| CN111103824B (zh) | 用于控制安全关键和非安全关键过程的控制系统 | |
| US7209811B1 (en) | System and method for controlling a safety-critical railroad operating process | |
| JP4102306B2 (ja) | 安全性の要求される鉄道運転プロセスの制御方法およびこの方法を実施するための装置 | |
| KR100414031B1 (ko) | 다중계 처리장치 및 다중계 처리장치에 접속된 콘트롤러및 다중계 처리시스템 | |
| EP2601753B1 (en) | High-integrity data transmission system | |
| EP3131804B1 (en) | Railway safety critical systems with task redundancy and asymmetric communications capability | |
| JP5612995B2 (ja) | 入力バイパス型のフェイルセーフ装置及びフェイルセーフ用プログラム | |
| GB1604492A (en) | Railway control systems | |
| Zhang | Vehicle health monitoring for AVCS malfunction management | |
| KR20190115986A (ko) | 열차자동방호장치 화면표시기 | |
| Kantz et al. | Communication in train control | |
| JPS6398242A (ja) | 直列データ交換装置 | |
| JP2000209236A (ja) | インタ―フェ―ス機器 | |
| JP2007323190A (ja) | データ通信を行う計算制御システム及びその通信方法 | |
| JP2021175198A (ja) | 列車の通信ネットワークアーキテクチャ | |
| JPH02193764A (ja) | 電子連動装置におけるデータ伝送方法 | |
| Malinovsky et al. | Architecture and implementation principles of data exchange equipment for safety related systems | |
| EP2416516A1 (en) | High-integrity data transmission system | |
| CZ282967B6 (cs) | Zabezpečovací zařízení |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070322 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070619 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070626 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070920 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071219 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080221 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080321 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110328 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |