KR20040063935A - 안전 임계적 철도 운영 프로세스를 제어하기 위한 방법 및상기 방법을 수행하기 위한 장치 - Google Patents

안전 임계적 철도 운영 프로세스를 제어하기 위한 방법 및상기 방법을 수행하기 위한 장치 Download PDF

Info

Publication number
KR20040063935A
KR20040063935A KR10-2004-7007825A KR20047007825A KR20040063935A KR 20040063935 A KR20040063935 A KR 20040063935A KR 20047007825 A KR20047007825 A KR 20047007825A KR 20040063935 A KR20040063935 A KR 20040063935A
Authority
KR
South Korea
Prior art keywords
computer
safety
working
software
railroad
Prior art date
Application number
KR10-2004-7007825A
Other languages
English (en)
Inventor
폴커 괴릭케
베른트 프라데
랄프 쉬바진스케
Original Assignee
지멘스 악티엔게젤샤프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지멘스 악티엔게젤샤프트 filed Critical 지멘스 악티엔게젤샤프트
Publication of KR20040063935A publication Critical patent/KR20040063935A/ko

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1497Details of time redundant execution on a single processing unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1625Error detection by comparing the output signals of redundant hardware in communications, e.g. transmission, interfaces
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Safety Devices In Control Systems (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

본 발명은 안전 임계적 철도 운영 프로세스를 제어하기 위한 방법에 관한 것으로, 상기 방법에서는 상기 제어에 필요한 프로그램이 시스템 소프트웨어(V, PMS) 및 철도 관리 전용 소프트웨어(BO)에 제공된다. 하나 이상의 안전 시그널링 컴퓨터(SR*) 내에서 실행되는 시스템 소프트웨어를 통해, 외부로부터 제어에 영향을 미치는 명령어(K) 및 메시지들이 검출되어 관련 철도 운영 규정에 정의된 대로 실제 프로세스 제어를 실행하는 실무 컴퓨터(R1, R2)로 전송된다. 철도 관리 전용 프로그램의 처리는 2개의 채널에서 동시에 또는 연속으로(순서대로) 실시되는데, 이 때 실무 컴퓨터가 안전 시그널링 컴퓨터에서와 동일한 결과를 얻었는지의 여부가 검사된다. 또한 상기 채널에서는 안전한 비교를 통해 실무 컴퓨터가 각각의 프로세스 결과를 적어도 2회 동일하게 제공했다는 사실이 인식되면, 제어될 프로세스(BA)로의 출력(SB)도 이루어지며, 그렇지 않은 경우 프로세스 엘리먼트(W, S)로의 시그널링 연결이 안전하게 차단된다. 본 발명의 장점은, 안전 시그널링 컴퓨터를 위해 항상 동일한 소프트웨어가 사용될 수 있고, 철도 관리 전용 소프트웨어가 시스템 소프트웨어와의 연계 없이 상기 시스템 소프트웨어와 별도로 개발되고 검사될 수 있다는 것이다. 그로 인해 안전성이 영향을 받지 않으면서도 비용과 시간이 종래 기술에 비해 훨씬 더 절약될 수 있다.

Description

안전 임계적 철도 운영 프로세스를 제어하기 위한 방법 및 상기 방법을 수행하기 위한 장치{METHOD FOR CONTROLLING A SAFETY-CRITICAL RAILWAY OPERATING PROCESS AND DEVICE FOR CARRYING OUT SAID METHOD}
철도 운영 프로세스는, 적시에 인지될 수 없고 상기 프로세스에 방해 작용을 하는 예상치 못한 오작동으로 인해 상당한 물적 손상이 야기되고, 경우에 따라서는 인체가 위험에 노출될 수 있다는 점 때문에 안전 임계적 프로세스에 속한다. 이러한 이유로 지금까지 상기 프로세스의 제어를 위해 안전 시그널링 장치들이 사용되고 있으며, 상기 장치들의 역할은 제어되는 프로세스의 내부뿐만 아니라 프로세스 제어장치 자체의 내부에서도 오작동이 인지되도록 함으로써 프로세스를 안전한 상태로 유도하거나 안전한 상태에 유지시키는 것이다. 그러한 안전 시그널링 제어장치들은 예컨대 계전기(relay) 기술이나 전자기술과 같은 다양한 기술로 구현될 수 있다. 지금까지 컴퓨터를 이용한 안전 시그널링 프로세스 제어에서는, 예정된 프로세싱 작업(processing job)을 2개 채널에서 처리하고, 곧바로 내용이 일치하는 프로세싱 주기들을 신호기술적으로 안전하게 비교하는 고가의 특수 컴퓨터가 사용되었다. 2개의 프로세싱 채널이 각각 동일한 결과에 이르는 경우에만 제어될 프로세스의 프로세스 엘리먼트로 제어 명령이 송출된다. 그렇지 않은 경우에는 결함이 있는 컴퓨터의 기능들을 대신할 수 있거나 실제로 대신하는 1개 이상의 예비 컴퓨터가 제공되지 않는 한 프로세스로의 연결(프로세스의 실행)이 차단된다.
전술한 것처럼 필요에 따라 프로세스 엘리먼트를 안전하게 차단함으로써 데이터를 안전하게 입/출력하고 비교하는 기능은 안전 컴퓨터의 시스템 소프트웨어를 통해 수행된다. 그 외에도 기존의 안전 컴퓨터는 실제 프로세스 제어(예: 철도 제어 센터 운영)를 위한 철도 관리 전용 소프트웨어도 포함하고 있다. 그러한 철도 관리 전용 소프트웨어는 관련 철도 관리 운영 규정에 의해 정해지고, 예컨대 상기 규정에 의해 미리 정해진, 경로 제어(route control)와 경로 해제(route release)의 종속성(Signal + Draht(signalling + telecommunication), 77(1985)12, P.259-265)을 기술하고 있다. 철도 관리 전용 소프트웨어는 철도 관청별로 상이할 뿐만 아니라 적어도 부분적으로는 동일한 철도 관청의 설비에 따라서도 상이하다. 이는 안전 시그널링 컴퓨터로 로딩되거나 상기 컴퓨터 내에서 실행되는 소프트웨어가 적용 분야에 따라 상이하다는 것을 의미하며, 이 때 각각의 적용 분야에 대해서 안전도 검증을 통해 로딩된 소프트웨어에 결함이 없음이 증명되어야 한다. 그 결과 각각의 컴퓨터 내에 존재하는 시스템 소프트웨어와 철도 관리 전용 소프트웨어가 혼합됨으로써 복합 소프트웨어 패킷이 형성되며, 그러한 소프트웨어 패킷은 다루기가 까다롭고 작성(creation) 및 검사시 많은 시간과 비용이 소요된다.
본 발명은 청구항 1의 전제부에 따른 방법 및 청구항 12의 전제부에 따른, 상기 방법을 수행하기 위한 장치에 관한 것이다.
도 1은 안전 임계적인 철도 운영 프로세스를 제어하기 위한 본 발명에 따른 장치의 구조를 개략적으로 나타낸 도면이다.
도 2는 종래 기술에 상응하게 구현된 장치의 구조를 나타낸 도면이다.
본 발명의 목적은, 안전한 프로세스 제어에 필요한 프로그램의 작성이 덜 복잡하고, 상기 프로그램을 통해 프로세스 제어에 대한 철도 운영자의 요구 변화에 신속하고 저렴하게 반응할 수 있는, 청구항 1의 전제부에 따른 안전 임계적 철도 운영 프로세스를 제어하는 방법 및 상기 방법을 수행하기 위한 장치를 제공하는 것이다.
본 발명은 청구항 1 및 청구항 12의 특징들을 통해 상기 목적을 해결한다. 본 발명은, 안전 시그널링 컴퓨터(들)로부터 철도 관리 전용 소프트웨어를 실무 컴퓨터(business computer)로 교체방출(swap-out)하고, 그곳에서 데이터들이 각각 2회 이상 처리된 후 프로세스로 출력되기 전에 안전 시그널링 컴퓨터에서 일치성에 대해 확실하게 검사되는 것을 기본 개념으로 한다. 안전 시그널링 컴퓨터는 데이터 비교의 임무 외에도 수신되는 메시지와 명령어들을 안전하게 검출하여 실무 컴퓨터로 전달하고, 프로세스 엘리먼트에 안전하게 작용하게 하며, 장애 발생시 신호기술적으로 안전하게 프로세스 엘리먼트로의 연결을 차단하는 임무를 수행한다.
본 발명에 따른 방법 및 장치의 바람직한 실시예들 및 개선예들은 종속항에 제시되어 있다.
본 발명은 하기에서 도면에 도시된 실시예를 참고로 더 상세히 설명된다.
도 2에는 바람직하게 동일한 프로세스 프로그램을 통해 하나의 프로세스를 2개의 독립 프로세스 채널(K1, K2)에서 처리하기 위한, 공지되어 있는 안전 시그널링 컴퓨터(SR)가 도시되어 있다. 상기 안전 컴퓨터(SR)는 임의 개수의 안전 시그널링 컴퓨터들을 대표한다. 안전 시그널링 컴퓨터의 개수는 실질적으로 제어되는 프로세스의 크기를 기준으로 한다. 제어되는 프로세스는 철도 설비(BA)에 작용해야 하는 철도 운영 프로세스이다. 본 도면에는 철도 설비의 프로세스 엘리먼트들을 대표하여 포인트(W, 전철기) 및 신호(S)가 표시되어 있다. 프로세스 엘리먼트의 제어 및 모니터링은 그러한 목적으로 개발된 제어 회로들 및 모니터링 회로들(도면에는 상세히 도시되지 않음)에 의해 이루어지며, 상기 회로들을 통해 안전 컴퓨터(SR)로부터 제어 명령(SB)이 프로세스 엘리먼트로 송출되고, 그곳으로부터 안전 컴퓨터로 메시지(M)가 입력된다.
안전 시그널링 컴퓨터(SR)는 프로세스 엘리먼트로부터 전달된 메시지(M)를 통신 버스(KB)를 통해 입력/표시 컴퓨터(EAR)로 송출한다. 상기 입력/표시 컴퓨터(EAR)는 특히 관련 철도 운영 규정에 정해진 표시(display) 규칙에 따라 철도 운영 프로세스를 모니터링하는데 사용되며, 바람직하게는 신호기술적으로 프로세스에 안전한 컴퓨터로서 구현된다. 또한 입력/표시 컴퓨터(EAR)를 통해 철도 운영 프로세스를 제어하기 위한 명령어(K)가 생성되어 안전 시그널링 컴퓨터(SR)로 전달된다. 이 때 입력은 조작자, 예컨대 역장(station master)에 의해 이루어지거나, 예컨대 자동 조작 또는 통과 조작(獨: Durchleitbetrieb)을 위한 자동화 시스템을 통해 이루어질 수 있다.
메시지와 명령어들은 안전 시그널링 컴퓨터에서 관련 철도 관청 규정에 정해진 조건과 규약에 따라 2개의 채널에서 처리된다. 2개의 처리 시스템의 버스들로 각각 인가된 데이터들, 어드레스들 및 제어 신호들이 현재 상태에서 신호기술적으로 안전하게 서로 비교됨으로써, 불시의 편차가 즉각 인식될 수 있다. 이 때, 안전 컴퓨터의 입/출력 레지스터 및 프로그램 메모리와 주 기억장치 및 어드레스 레지스터를 그들의 메모리가 하나의 상태뿐만 아니라 그와 다른 상태도 취할 수 있는지의 여부에 관하여 미리 정해진 최소 시간 간격 내에서 검사하기 위해 검사 프로그램이 사용될 수 있다. 그렇게 하여 불시의 오작동이 이벤트 제어 방식으로 또는 시간 제어 방식으로 인식되고 외부 설비의 안전한 차단으로 이어진다. 그렇게 되면 포인트에서의 제어 명령이 더 이상 송출되지 않고 신호가 멈춘다.
도면에 타원형 기호(BO)로 표현되어 있는, 관련 철도 관청 규정에 의해 미리 정해진 조건들과 규약들이 안전 컴퓨터(SR)의 프로그램 메모리 내에 저장되어 시스템 소프트웨어에 의해 혼합되기 때문에, 철도 운영 프로세스의 제어를 위해 안전 컴퓨터 내에 저장된 소프트웨어는 매우 복합적인 개별 소프트웨어(individual software)로서 작성 및 검사가 매우 복잡하다.
도 1에 도시된 본 발명에 따른 철도 운영 프로세스 제어 장치에도 마찬가지로 바람직하게 동일하게 구성되고 동일하게 작동되는 2개의 프로세싱 채널(K1*, K2*)을 가진 하나 이상의 안전 시그널링 컴퓨터(SR*)가 존재한다. 상기 컴퓨터(SR*)의 임무는 종래 기술에 따른 안전 시그널링 컴퓨터(SR)와 마찬가지로,상기 컴퓨터에 전달된 모든 메시지(M)와 명령어(L)들을 확실하게 검출하여 처리 장치로 전달하는 것이다. 또한 상기 컴퓨터(SR*)는 신호기술적으로 안전하게 수집(획득)된 제어 명령(SB)을 관련 철도 설비(BA)의 프로세스 엘리먼트(W, S)로 송출하고, 장애 발생시 그러한 제어 명령의 송출을 신호기술적으로 안전하게 중단시키는 임무를 한다. 관련 철도 운영 규정(BO)에 의해 정해진, 철도 운영 프로세스의 제어 및 모니터링의 조건 및 규약의 처리는 종래 기술과 달리 안전 시그널링 컴퓨터(들)(SR*)에서 수행되지 않고 실무 컴퓨터(R1, R2, ... Rn)에서 수행되며, 상기 실무 컴퓨터 내에도 역시 철도 운영 프로세스의 제어를 위한 설비 전용 데이터들이 저장되어 있다. 상기 컴퓨터(R1, R2)는 하나 이상의 컴퓨터 쌍을 대표하며, 이 때 각각의 컴퓨터는 더 많은 쌍에 속할 수 있다. 즉, 3개의 컴퓨터로부터 3개의 컴퓨터 쌍이 형성될 수 있다. 상기 컴퓨터들은 안전 컴퓨터(SR*)로부터 공급된 프로세싱 작업들(A)을 각각 다른 작업들과 무관하게, 관련 철도 운영 규정(BO)에 프로세스 제어를 위해 정해진 조건 및 규약에 따라 수행한다. 각각의 실무 컴퓨터 쌍(R1, R2)의 두 컴퓨터는 각자의 처리 결과를 안전 시그널링 컴퓨터(SR*)로 전달하고, 이 때 시간상 더 빠른 컴퓨터(R1 또는 R2)에는 시간 모니터링(time monitoring)이 이루어지는 대기 지점(holding point)이 요구되며, 상기 대기 지점에서는 다음 컴퓨터(들)의 처리 결과가 나올 때까지 대기되거나 시간 초과시 장애 처리가 수행된다. 실무 컴퓨터 쌍들(R1, R2)에 공급된 메시지들 및 상기 컴퓨터 쌍들에 의해 수집된 출력물과 메모리의 분류 기호들(signature)의 신뢰도 검사 메커니즘(PM)이 도 1에 개략적으로 표시되어 있다. 입력/표시 컴퓨터(EAR)를 통해안전 컴퓨터(SR*)로 공급된 명령어(K)가 상기 안전 컴퓨터(SR*)에 의해 프로세스 작업(A)으로 변환되어 메시지의 형태로 실무 컴퓨터(R1, R2)로 전달되고, 거기서 관련 철도 운영 규정의 조건 및 규약에 따라 처리된다.
실무 컴퓨터를 통한 철도 관리 전용 소프트웨어의 처리시, 상기 실무 컴퓨터가 사전 설정된 대기 시간이 지나야 비로소 프로그램의 다음 처리를 준비하는 프로그래밍 지점에 도달하는 경우, 대기 시간 경과 후의 프로그램의 계속적인 처리를 위해 안전 시그널링 컴퓨터가 실무 컴퓨터의 상응하는 요구에 대해 실무 컴퓨터의 프로세스 프로그램들을 동기화한다. 예컨대 수 초의 대기 시간이 경과된 후에는 실무 컴퓨터들에 의해 특정(정해진) 센서 신호가 판독 및 평가되어야 한다.
실무 컴퓨터 쌍(R1, R2)에 의해 검출된 프로세스 결과들(E)은 메시지로서 안전 시그널링 컴퓨터(SR*)로 전달되고, 거기서 신호기술적으로 안전하게 2개의 프로세싱 채널(K1*, K2*)로 나뉘어 신호기술적으로 안전하게 일치성에 대해 비교된다. 도면에서 기능 블록(V)은 메시지의 안전한 분배 및 실무 컴퓨터(R1, R2)에 의해 수집된 결과들의 안전한 비교를 의미하며, 상기 기능 블록(V) 내에는 관련 프로그램들이 시스템 소프트웨어로서 저장되어 있다. 안전 시그널링 컴퓨터의 검사 메커니즘(PMS)은 실무 컴퓨터(R1, R2)의 검사 메커니즘(PM)과 달리 신호기술적으로 안전하게 구현된다.
종래 기술에 따라 형성된 장치에 비해 본 발명에 따른 장치의 특별한 장점은, 안전 시그널링 컴퓨터에서는 항상 안전한 입력 및 출력의 기능 및 안전한 데이터 비교의 기능만이 구현된다는 것, 더 정확히 말하면 개별 철도 관청 운영 규정에의해 정해진 요구사항 및 조건과는 무관하게 구현된다는 것이다. 따라서 안전 컴퓨터(들)에서 실행되는 시스템 소프트웨어가 이해하기 쉽고 간단해진다. 즉, 상기 시스템 소프트웨어가 경우별로 새로 개발되어 인가 검사를 거칠 필요가 없이 모든 경우에 대해 동일하게 적용된다. 상이한 종류의 개별 철도 관청 운영 규정에 의해 정해지는 철도 관리 전용 소프트웨어는 실무 컴퓨터에서 실행된다. 안전 컴퓨터의 시스템 소프트웨어와의 상호 작용은 검사될 필요가 없다. 단지 안전 시그널링 컴퓨터와 실무 컴퓨터 사이의 규정 인터페이스(specified interface)를 준수하고, 실무 컴퓨터에서 구현되는 철도 관리 전용 소프트웨어 자체의 기능성 검사, 즉 특정한 입력이 실제로도 특정한 출력을 야기하는지의 여부에 대한 검사가 필요하다. 이러한 기능성 검사는 시스템 소프트웨어의 검사와 별도로 실시되며, -종래 기술과 달리- 더 이상 안전 컴퓨터의 시스템 소프트웨어에 연관되지 않는다. 그러한 측면에서도 역시 상기 시스템 소프트웨어가 종래 기술의 경우보다 더 간단하다.
철도 관리 전용 소프트웨어의 개발은 프로세스 실행의 신호기술적 안전의 책임이 있는, 안전 시그널링 컴퓨터 제조자 측에서 강제적으로 이루어져서는 안 된다. 실무 컴퓨터용 프로그램 개발의 임무는 전문 엔지니어링 업체 등에 맡겨질 수 있으며, 상기 업체는 그들이 개발한 소프트웨어를 각 철도 관청 및 예컨대 연방철도국과 같은 인가기관과 함께 조정해야 한다. 그럼으로써 안전 임계적인 철도 운영 프로세스를 제어 및 모니터링하기 위한 프로그램을 각각의 상황에 맞게 조정하는 작업이 이전보다 훨씬 더 신속하고 저렴한 비용으로 이루어질 수 있다. 게다가 그로 인해 안전성이 저하될 우려를 할 필요도 없다.
전술한 실시예의 경우, 하나 이상의 이중 컴퓨터 시스템을 위한 실무 컴퓨터들(R1, R2) 또는 여분의 컴퓨터가 제공된 컴퓨터 시스템이 존재하고, 상기 시스템의 개별 컴퓨터들에서는 각각의 철도 운영 규정에 의해 정해진 조건 및 규약을 처리하기 위한 동일한 프로그램이 실행되어야 하며, 이 때 개별 실무 컴퓨터들에 의해 바람직하게는 각각 운영 규정의 특정한 일부 기능만이 구현되거나, 각각 철도 설비의 특정 부분에만 작용될 수 있다. 또는 실무 컴퓨터(R1, R2)로서, 철도 관청의 운영 규정에 의해 정해진, 철도 관리 전용 소프트웨어의 프로그램들이 서로 독립적으로 여러 번, 적어도 2회 연속하여 처리되는 개별 컴퓨터를 사용하도록 지시될 수도 있다. 이를 위해 필요한 철도 관리 전용 소프트웨어는 다양하게 설계될 수도 있고, 또는 2개의 프로세스 과정에 대해 내용상 동일하게 설계될 수도 있다.
실무 컴퓨터들에 의해 수집된 결과들을 안전 시그널링 컴퓨터(들)로 전달하는데 있어서 신호기술적으로 안전하지 않은 데이터 전송이 문제가 되는데, 상기 데이터 전송에서는 2개 채널에서 연속으로(순서대로) 또는 동시에 수집된 결과들이 안전 컴퓨터(들)의 2개 채널에 전달되거나, 하나의 채널을 통해서만 2회 연속하여 전달된다. 제 2 또는 제 3의 여분 채널이 가용도(availability)를 증가시킨다. 실무 컴퓨터로부터 안전 시그널링 컴퓨터로 또는 그 반대로 데이터가 전송되는 도중에 발생한 데이터 손상은 데이터를 수신하는 컴퓨터 측에서 전송한 컴퓨터에 의해 작성된 분류기호(signature)를 통해 인식할 수 있으며, 상기 분류기호는 연산 규칙(calculation rule)을 통해 메시지 내용을 코딩한다. 안전 컴퓨터로 데이터가 연속 전송될 때, 안전 시그널링 컴퓨터로 하여금 전달된 데이터가 최신의 것인지,그리고 실제로 실무 컴퓨터의 상이한 컴퓨터 채널로부터 배출된 것인지 내지는 상이한 프로세스 과정의 결과인지의 여부를 알 수 있게 해주는 표지가 상기 데이터에 부여된다. 즉, 분리된 버스를 통해 데이터가 전송되는 경우 안전 시그널링 컴퓨터는 하나의 버스 또는 또 다른 하나의 버스를 통해 상기 컴퓨터에 전달된 데이터들로부터, 상기 데이터들이 실제로 실무 컴퓨터 쌍의 하나의 컴퓨터 또는 다른 하나의 컴퓨터로부터 배출된 것인지의 여부도 알 수 있다.
본 발명의 바람직한 실시예에서는 실무 컴퓨터(들)가, 철도 공무원에 의해 또는 자동 시스템에 의해 철도 운영 프로세스로 실행 명령이 송출되도록 하고 철도 운영 프로세스의 응답 메시지가 시각화(visualization)되도록 하는 소위 오퍼레이터 스테이션(operator station) 컴퓨터로서 구현될 수 있다. 그러한 경우, 오퍼레이터 스테이션 컴퓨터에서는 명령어와 메시지를 입력하고 시각화하기 위한 프로그램들과 철도 운영 규정에 상응하게 프로세스 엘리먼트가 제어되도록 하는 프로그램들이 서로 독립적으로 실행된다. 명령어 입력 및 프로세스 실행의 시각화를 위한 프로그램들은 철도 운영 규정에 의해 각각 정해진 대로 프로세스를 제어하기 위한 프로그램들과 통합될 수도 있다.
안전 시그널링 컴퓨터(들)는 어떤 제어 명령이 프로세스로 송출되어야 하는지의 여부가 2개 이상의 온전한(faultless) 컴퓨터의 다수결에 의해 결정되는 다수결(m of n) 컴퓨터 시스템으로서 설계될 수도 있다.
프로세스로의 제어 명령 송출은 2개 채널에서 실시되며, 각각의 컴퓨터는 프로세스 오류가 확인되면 상기 제어 명령의 송출을 저지할 수 있다.
본 발명에 따른 방법 및 장치는 모든 안전 임계적 철도 운영 프로세스에 유리하게 사용될 수 있다. 예컨대 철도 제어 센터에 의한 철도 운영의 안전한 제어 또는 철도 건널목, 차축 카운터(axle counter) 및 연속적 자동 열차운영 제어(continuous automatic train-running control, LZB) 시스템의 선로 장치들과 열차 장치들의 안전한 제어도 포함될 수 있다.

Claims (20)

  1. 수신되는 명령어로부터 철도 운영 규정에 따라 안전하게 수집된 제어 명령을 신호기술적으로 안전하게 프로세스 엘리먼트로 송출하고, 거기서 나온 프로세스 상태 모니터링 메시지 및 프로세스 제어 메시지를 공급하는 하나 이상의 안전 시그널링 컴퓨터를 사용하여 안전 임계적인 철도 운영 프로세스를 제어하는 방법으로서,
    안전 컴퓨터(SR*)에는 상기 안전 컴퓨터가 신호기술적으로 안전한 입/출력 및 신호기술적으로 안전한 데이터 비교를 수행할 수 있도록 하는 프로그램을 포함하는 시스템 소프트웨어만이 저장되어 있고, 철도 관청의 철도 운영 규정(BO)에 의해 정해진 철도 운영 프로세스를 위한 조건 및 규약이 들어있는 철도 관리 전용 소프트웨어는 신호기술적으로 안전하지 않은 하나 이상의 실무 컴퓨터(R1, R2)에 저장되어 있으며,
    상기 안전 시그널링 컴퓨터가 상기 안전 시그널링 컴퓨터에 공급된 명령어(K) 및 메시지(M)로부터 프로세싱 작업(processing job)(A)을 생성하여 실무 컴퓨터(들)로 전달하고,
    상기 프로세싱 작업들은 상기 실무 컴퓨터(들)에서 2회 이상 서로 독립적으로 처리되며,
    상기 과정에서 얻은 결과들(E) 및/또는 중간 결과들이 상기 안전 컴퓨터로 전달되어 거기서 신호기술적으로 안전하게 내용 일치에 대해 검사되고,
    상기 실무 컴퓨터에 의해 2회 이상 동일하게 할당되었던 결과들 및/또는 중간 결과들만 상기 안전 컴퓨터에 의해 채택되고 그로부터 도출될 수 있는 제어 명령(SB)이 신호기술적으로 안전하게 프로세스(BA)에 송출되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  2. 제 1항에 있어서,
    상기 실무 컴퓨터 내에서 프로세싱 작업의 2회 이상 처리를 위해 동일한 소프트웨어 또는 다양한 소프트웨어가 사용되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  3. 제 1항 또는 제 2항에 있어서,
    상기 철도 관리 전용 소프트웨어(BO)의 처리시 발생하는 이벤트가 상기 안전 시그널링 컴퓨터(SR*)에 의해 상기 실무 컴퓨터의 요구에 맞게 동기화되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  4. 제 1항 내지 제 3항 중 어느 한 항에 있어서,
    상기 실무 컴퓨터에 의해 검출된 결과 및/또는 중간 결과가 신호기술적으로 안전하지 않은 통신 채널을 통해 상기 안전 컴퓨터로 전달되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  5. 제 1항 내지 제 4항 중 어느 한 항에 있어서,
    메시징 방식의 데이터 전송이 수행되고, 상기 메시지에는 수신하는 각각의 컴퓨터로 하여금 상기 메시지가 손상되지 않은 상태로 전달되었는지의 여부를 식별할 수 있게 하는 분류기호(signature)가 부여되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  6. 제 1항 내지 제 5항 중 어느 한 항에 있어서,
    메시징 방식의 데이터 전송이 수행되고, 상기 메시지에는 신호기술적으로 안전한 컴퓨터로 하여금 상기 실무 컴퓨터의 프로그램 메모리 및 데이터 메모리 내에서 손상(훼손)이 발생하였는지 또는 실무 컴퓨터의 CPU가 더 이상 올바르게 작동되지 않는지의 여부를 식별할 수 있게 하는 분류기호가 부여되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  7. 제 1항 내지 제 6항 중 어느 한 항에 있어서,
    상기 프로세스 작업들이 각각 2개 이상의 실무 컴퓨터(R1, R2)에서 동시에 처리되거나 단 1개의 컴퓨터에서 시간 순서대로 처리되고, 검출된 결과들 및/또는 중간 결과들이 비교를 위해 각각 쌍을 이루어 상기 안전 컴퓨터에 공급되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  8. 제 7항에 있어서,
    상기 메시지들에는 상기 안전 컴퓨터로 하여금 상기 메시지들이 실제로 개별적으로 수집되었는지의 여부를 식별할 수 있게 하는 표지들이 부여되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  9. 제 7항에 있어서,
    상기 안전 컴퓨터는 상이한 입력부들을 통해 상기 안전 컴퓨터에 공급된 상기 실무 컴퓨터의 결과 메시지들로부터 상기 메시지가 상이한 컴퓨터에서 송출된 것인지의 여부를 식별하는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  10. 제 1항 내지 제 9항 중 어느 한 항에 있어서,
    상기 실무 컴퓨터의 운영 시스템 소프트웨어(BO)의 시스템 오류는 관여 컴퓨터들(R1 내지 Rn)의 다양한 운영 시스템을 사용하여 제거되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  11. 제 1항 내지 제 10항 중 어느 한 항에 있어서,
    상기 실무 컴퓨터의 하드웨어의 시스템 오류는 관련 컴퓨터(R1 내지 Rn)의 다양한 컴퓨터 부품들(마더보드, CPU, 메모리)을 사용하여 제거되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스의 제어 방법.
  12. 수신되는 명령어로부터 철도 운영 규정에 따라 안전하게 수집된 제어 명령을신호기술적으로 안전하게 프로세스 엘리먼트로 송출하고, 거기서 나온 프로세스 상태 모니터링 메시지 및 프로세스 제어 메시지를 공급하는 하나 이상의 안전 시그널링 컴퓨터를 사용하여 안전 임계적인 철도 운영 프로세스를 제어하는 방법을 수행하기 위한 장치로서,
    안전 시그널링 컴퓨터(SR*)에서는 상기 안전 컴퓨터가 신호기술적으로 안전한 입/출력(K, E, M, A, SB) 및 신호기술적으로 안전한 데이터 비교를 수행할 수 있도록 하는 프로그램을 포함하는 시스템 소프트웨어만이 구현되고,
    철도 관청의 철도 운영 규정(BO)에 의해 정해진 철도 운영 프로세스의 제어를 위한 조건 및 규약이 들어있는 철도 관리 전용 소프트웨어가 구현되는, 신호기술적으로 안전하지 않은 하나 이상의 실무 컴퓨터(R1, R2)가 제공되며,
    상기 안전 컴퓨터와 상기 실무 컴퓨터가 하나의 통신 시스템(BUS)에 접속되고, 상기 통신 시스템(BUS)을 통해 상기 안전 컴퓨터가 상기 실무 컴퓨터로 프로세싱 작업(processing job)(A)을 전달하여 상기 실무 컴퓨터로부터 결과들(E) 및/또는 중간 결과들을 얻고,
    상기 실무 컴퓨터는 각각의 프로세싱 작업이 2회 이상 서로 독립적으로 처리되도록 조정되며,
    상기 안전 컴퓨터는 상기 실무 컴퓨터로부터 적어도 각각 쌍을 이루어 전달된 결과들 및/또는 중간 결과들을 내용 일치에 관해 신호기술적으로 안전하게 검사하고, 검사 결과를 토대로 프로세스 엘리먼트들(W, S)을 위한 제어 명령(SB)을 도출하여 관련 드라이버를 통해 프로세스에 송출되도록 하는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스를 제어하는 방법을 수행하기 위한 장치.
  13. 제 12항에 있어서,
    상기 실무 컴퓨터에도 기능성이 증명된 프로그램들(BO)만 설치되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스를 제어하는 방법을 수행하기 위한 장치.
  14. 제 12항 또는 제 13항에 있어서,
    상기 실무 컴퓨터는 상기 프로세싱 작업들을 동일한 또는 다양한 소프트웨어를 사용하여 각각 2회 이상 처리하는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스를 제어하는 방법을 수행하기 위한 장치.
  15. 제 12항 내지 제 14항 중 어느 한 항에 있어서,
    동일한 프로세싱 작업들을 쌍으로 서로 독립적으로 처리하는 2개 이상의 실무 컴퓨터가 제공되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스를 제어하는 방법을 수행하기 위한 장치.
  16. 제 13항 내지 제 15항 중 어느 한 항에 있어서,
    상이한 기능들 또는 기능의 일부를 처리하기 위해 또는 상이한 설비 부품들의 제어 및 모니터링을 위해 각각 다수의 실무 컴퓨터(R1, R2)가 단일 컴퓨터 형태로 또는 다중 컴퓨터 형태로 제공되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스를 제어하는 방법을 수행하기 위한 장치.
  17. 제 12항 내지 제 16항 중 어느 한 항에 있어서,
    적어도 하나의 실무 컴퓨터가 상기 안전 컴퓨터에 명령어(K)를 입력하고 메시지(M)를 표시하는 오퍼레이터 스테이션(operator station) 컴퓨터인 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스를 제어하는 방법을 수행하기 위한 장치.
  18. 제 12항 내지 제 17항 중 어느 한 항에 있어서,
    상기 안전 컴퓨터가 다수결(m of n) 컴퓨터 시스템인 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스를 제어하는 방법을 수행하기 위한 장치.
  19. 제 12항 내지 제 18항 중 어느 한 항에 있어서,
    상기 안전 컴퓨터는 하나 이상의 실무 컴퓨터로부터 전달된 결과들 및/또는 중간 결과들에 부여된 표지들로부터 상기 결과들 및/또는 중간 결과들이 상이한 처리 프로세스로부터 도출된 것인지의 여부를 식별할 수 있도록 조정되는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스를 제어하는 방법을 수행하기 위한 장치.
  20. 제 12항에 있어서,
    상기 안전 컴퓨터가 가능한 제어 명령을 2개 채널을 통해 프로세스로 송출하는 것을 특징으로 하는, 안전 임계적 철도 운영 프로세스를 제어하는 방법을 수행하기 위한 장치.
KR10-2004-7007825A 2001-11-22 2001-11-22 안전 임계적 철도 운영 프로세스를 제어하기 위한 방법 및상기 방법을 수행하기 위한 장치 KR20040063935A (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/DE2001/004485 WO2003047937A1 (de) 2001-11-22 2001-11-22 Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens

Publications (1)

Publication Number Publication Date
KR20040063935A true KR20040063935A (ko) 2004-07-14

Family

ID=5648319

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2004-7007825A KR20040063935A (ko) 2001-11-22 2001-11-22 안전 임계적 철도 운영 프로세스를 제어하기 위한 방법 및상기 방법을 수행하기 위한 장치

Country Status (8)

Country Link
JP (1) JP4102306B2 (ko)
KR (1) KR20040063935A (ko)
CN (1) CN1289345C (ko)
AU (1) AU2002224742A1 (ko)
CA (1) CA2467972A1 (ko)
HK (1) HK1069363A1 (ko)
MX (1) MXPA04004840A (ko)
WO (1) WO2003047937A1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2929056B1 (fr) * 2008-03-19 2010-04-16 Alstom Transport Sa Dispositif de detection a seuil securitaire d'un systeme ferroviaire
DE102012211273A1 (de) * 2012-06-29 2014-01-02 Siemens Aktiengesellschaft Verfahren und Anordnung zum Steuern einer technischen Anlage
DE102013218814A1 (de) * 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Verfahren zum Betreiben eines sicherheitskritischen Systems
CN105822665A (zh) * 2016-06-02 2016-08-03 株洲时代新材料科技股份有限公司 一种低地板车固定铰中整体式金属关节轴承及其组装方法
CN112462731B (zh) * 2020-10-16 2022-06-24 北京西南交大盛阳科技股份有限公司 安全监督控制方法、安全监督控制装置、计算机设备及安全监督系统
EP4293957A1 (de) * 2022-06-16 2023-12-20 Siemens Mobility GmbH Verfahren und anordnung zum erzeugen eines steuersignals

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3323269A1 (de) * 1983-06-28 1985-01-10 Siemens AG, 1000 Berlin und 8000 München Einrichtung zum betrieb eines rechnergesteuerten stellwerkes
DK0543820T3 (da) * 1990-08-14 1995-03-20 Siemens Ag Flerdatamatsystem med stor sikkerhed og med tre datamater
DE4107639A1 (de) * 1991-03-09 1992-09-10 Standard Elektrik Lorenz Ag Einrichtung zur signaltechnisch sicheren fernsteuerung einer unterstation in einer eisenbahnanlage

Also Published As

Publication number Publication date
WO2003047937A1 (de) 2003-06-12
AU2002224742A1 (en) 2003-06-17
CN1558848A (zh) 2004-12-29
CN1289345C (zh) 2006-12-13
HK1069363A1 (en) 2005-05-20
JP4102306B2 (ja) 2008-06-18
MXPA04004840A (es) 2004-08-02
JP2005511386A (ja) 2005-04-28
CA2467972A1 (en) 2003-06-12

Similar Documents

Publication Publication Date Title
CA2896405C (en) Train end and train integrity circuit for train control system
US4198678A (en) Vehicle control unit
CN102419725B (zh) 测试ima类型航空电子模块的输入/输出接口的方法和装置
CN105103061B (zh) 控制和数据传输设备、处理装置和具有分散冗余的用于冗余的过程控制的方法
CN102238231B (zh) Ctcs-3级无线闭塞中心设备及系统
CN108189863B (zh) 一种列车自动监控系统安全命令控制方法
US7209811B1 (en) System and method for controlling a safety-critical railroad operating process
KR20040063935A (ko) 안전 임계적 철도 운영 프로세스를 제어하기 위한 방법 및상기 방법을 수행하기 위한 장치
DE2701925C3 (de) Fahrzeugsteuerung mit zwei Bordrechnern
CN107787464A (zh) 用于车辆的控制设备
EP1197418B1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
CN103109500A (zh) 检查部件的安装位置的方法和自动化部件
US8005585B2 (en) Method for determining the occupancy status of a track section in particular following a restart of an axle counting system, as well as an evaluation device and counting point for this
KR20010053028A (ko) 다중계 처리장치 및 다중계 처리장치에 접속된 콘트롤러및 다중계 처리시스템
JP5612995B2 (ja) 入力バイパス型のフェイルセーフ装置及びフェイルセーフ用プログラム
JP4291932B2 (ja) 自動列車制御システム
Erb Safety Measures of the Electronic Interlocking System “Elektra”
US6857121B1 (en) Responsive system for digital signal processing and method for operation of a responsive system
EP1674955A1 (de) Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Automatisierungssystems einer technischen Anlage
EP3696048B1 (en) System and method for traffic management of railway networks
JP4443206B2 (ja) 列車保安制御装置用ソフトウェアシミュレーション装置
JP2007323190A (ja) データ通信を行う計算制御システム及びその通信方法
JP2000209236A (ja) インタ―フェ―ス機器
EP0281890B1 (de) Sicherheitsschaltwerk mit mehreren dieselben Daten verarbeitenden Mikrocomputern
Uebel et al. European Standards in the Field of Railway Signalling and their Influence on Software Testing Methods

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application