WO2013053643A2 - Verfahren zum betreiben eines steuerungsnetzwerk und steuerungsnetzwerk - Google Patents
Verfahren zum betreiben eines steuerungsnetzwerk und steuerungsnetzwerk Download PDFInfo
- Publication number
- WO2013053643A2 WO2013053643A2 PCT/EP2012/069688 EP2012069688W WO2013053643A2 WO 2013053643 A2 WO2013053643 A2 WO 2013053643A2 EP 2012069688 W EP2012069688 W EP 2012069688W WO 2013053643 A2 WO2013053643 A2 WO 2013053643A2
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- control
- control computer
- functionally important
- devices
- important devices
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/142—Reconfiguring to eliminate the error
- G06F11/1425—Reconfiguring to eliminate the error by reconfiguration of node membership
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2023—Failover techniques
- G06F11/2028—Failover techniques eliminating a faulty processor or activating a spare
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2046—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share persistent storage
Definitions
- Control computer suitable via a data line network to which several functionally important, data processing equipment are connected; the data connection between the control computers and the functionally important devices is by means of a redundant and diverse
- Data line network with a data bus 2 on.
- a first control computer STl To the data bus 2 are a first control computer STl and a second
- Control network 1 because this state is caused by the fact that for the two control computers STl and ST2 not enough many functionally important devices
Abstract
Die Erfindung betrifft ein Verfahren zum Betreiben eines Steuerungsnetzwerkes, das mit vergleichsweise geringem Aufwand sicher durchführbar sein soll. Erfindungsgemäß ist dazu ein Verfahren zum Betreiben eines Steuerungsnetzwerkes (1) mit einer einzigen physikalischen Verbindung zwischen einem ersten Steuerungsrechner (ST1) und einem zweiten redundanten Steuerungsrechner (ST2) über ein Datenleitungsnetz (2) geeignet, an das mehrere funktionswichtige, datenverarbeitungstechnische Geräte (A, C, D, F, H, K, L) angeschlossen sind. Die datentechnische Verbindung zwischen den Steuerungsrechnern (ST1, ST2) und den funktionswichtigen Geräten (A, C, D, F, H, K, L) ist mittels eines redundanten und diversitären Heartbeats gegeben, wobei zur Aufnahme des Betriebs des Steuerungsnetzwerks (1) die Kommunikationsverbindung zwischen den beiden Steuerungsrechnern (ST1, ST2) überprüft wird. Bei positivem Prüfungsergebnis wird einem Steuerungsrechner (ST1) eine Master-Funktion zugewiesen, oder bei negativem Prüfungsergebnis binden beide Steuerungsrechner (ST1, ST2) nach einer festgelegten Reihenfolge die funktionswichtigen Geräte (A, C, D, F, H, K, L) an sich. Bei einer Anbindung einer vorgegebenem Anzahl der funktionswichtigen Geräte (A, C, D, F, H, K, L) an einen der beiden Steuerungsrechner (ST1) übernimmt dieser die Master-Funktion und der andere Steuerungsrechner (ST2) die Standby-Funktion oder bei einer unterhalb der vorgegebenen Anzahl liegenden Zahl von an jeden der beiden Steuerungsrechner (ST1, ST2) angebundenen funktionswichtigen Geräten (A, C, D, F, H, K, L) wird ein Signal erzeugt, das einen gestörten Zustand des Steuerungsnetzwerkes (1) signalisiert. Die Erfindung betrifft auch ein Steuerungsnetzwerk.
Description
Beschreibung
Verfahren zum Betreiben eines Steuerungsnetzwerk und
Steuerungsnetzwerk
Es ist bekannt, technische Einrichtungen redundant
auszuführen, wenn eine hohe Verfügbarkeit erforderlich ist. Dies gilt auch für Schienenfahrzeuge, die redundant insofern ausgeführt sind, als sie neben einem ersten Steuerungsrechner einen zweiten Steuerungsrechner aufweisen. Von den
Steuerungsrechnern sind verschiedene Geräte des
Schienenfahrzeugs über ein schienenfahrzeugeigenes
Datenleitungsnetz ansteuerbar; bei diesen Geräten kann es sich um funktionswichtige Geräte oder um für die
Funktionstüchtigkeit des Schienenfahrzeugs nicht unbedingt erforderliche Geräte handeln.
Um zu vermeiden, dass in einem solchen Steuerungsnetzwerk mehr als ein Rechner die Funktion eines Masters ausübt, ist es bekannt, die Steuerrechner über mehr als eine
physikalische Verbindung (redundante Verbindung) miteinander zu koppeln. Mittels dieser redundanten Verbindung kann erkannt werden, ob der zweite, als Standby-Rechner wirkende Steuerrechner ausgefallen ist, oder ob eine Störung der
Kommunikation vorliegt.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Betreiben eines Steuerungsnetzwerkes mit aus Redundanzgründen zwei Steuerungsrechnern vorzuschlagen, das sich mit
vergleichsweise geringem Aufwand sicher durchführen lässt.
Zur Lösung dieser Aufgabe ist erfindungsgemäß ein Verfahren zum Betreiben eines Steuerungsnetzwerkes mit
mit einer einzigen physikalischen Verbindung zwischen einem ersten Steuerungsrechner und einem zweiten redundanten
Steuerungsrechner über ein Datenleitungsnetz geeignet, an das mehrere funktionswichtige, datenverarbeitungstechnische Geräte angeschlossen sind; die datentechnische Verbindung
zwischen den Steuerungsrechnern und den funktionswichtigen Geräten ist mittels eines redundanten und diversitären
Heartbeats gegeben, wobei zur Aufnahme des Betriebs des Steuerungsnetzwerks die Kommunikationsverbindung zwischen den beiden Steuerungsrechnern überprüft wird; bei positivem
Prüfungsergebnis wird einem Steuerungsrechner eine Master- Funktion zugewiesen, oder bei negativem Prüfungsergebnis binden beide Steuerungsrechner nach einer festgelegten
Reihenfolge die funktionswichtigen Geräte an sich an; bei einer Anbindung einer vorgegebenem Anzahl der
funktionswichtigen Geräte an einen der beiden
Steuerungsrechner übernimmt dieser die Master-Funktion und der andere Steuerungsrechner die Standby-Funktion bei einer unterhalb der vorgegebenen Anzahl liegenden Zahl von an jeden der beiden Steuerungsrechner angebundenen funktionswichtigen Geräten ein Signal erzeugt wird, das einen gestörten Zustand des Steuerungsnetzwerkes signalisiert.
Ein Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass auf eine zweite bzw. redundante Verbindung zwischen den beiden Steuerungsrechnern verzichtet werden kann, weil die direkte Kommunikation zwischen den beiden Steuerungsrechnern und die Einbindung von datenverarbeitungstechnischen Geräten an das Steuerungsnetzwerk einen redundanten und diversitären Hearbeat implementieren. Ein derartiger Hearbeat ist
beispielsweise in der Internet-Veröffentlichung
http://de.wikipedia.org/wiki/Heartbeat kurz beschrieben.
Dabei wird darüber hinaus vorteilhafterweise mit Sicherheit vermieden, dass beiden Steuerungsrechnern gleichzeitig eine Master-Funktion zugeordnet werden kann. Dies ist
sicherheitstechnisch notwendig.
Bei einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens behält bei einem Betrieb mit dem ersten
Steuerungsrechner mit Master-Funktion und dem zweiten
Steuerungsrechner im Standby-Betrieb bei von ihnen
gegenseitig festgestelltem Kommunikationsausfall der erste
Steuerungsrechner seine Funktion bei, solange er die
vorgegebene Anzahl von funktionswichtigen Geräte erreicht und gleichzeitig der zweite Steuerungsrechner prüft, ob die funktionswichtigen Geräte eingeschaltet und nicht durch den ersten Steuerungsrechner belegt sind; bei nicht durch den ersten Steuerungsrechner belegten funktionswichtigen Geräten belegt der zweite Steuerungsrechner diese Geräte seinerseits und übernimmt bei Erreichen der vorgegebenen Anzahl dieser Geräte die Master-Funktion oder behält bei Nichterreichen die Standby-Funktion unter Signalisierung eines gestörten
Zustands des Steuerungsnetzwerkes bei .
Diese Ausgestaltung des erfindungsgemäßen Verfahrens hat den besonderen Vorteil, dass die beiden Steuerungsrechner nicht gleichzeitig die Master-Funktion ausüben können, obwohl sie in einem Störungsfalle nicht mehr miteinander kommunizieren können. Auch in dem besonders kritischen Fall, dass eine Kommunikationsstörung durch eine Unterbrechung des
Datenleitungsnetzes eingetreten ist, können nicht beide
Steuerungsrechner gleichzeitig mit jeweils einem Teil der funktionswichtigen, datenverarbeitungstechnischen Geräten jeweils eine Master-Funktion ausüben. Damit ist die
Funktionstüchtigkeit und insbesondere die Funktionssicherheit des erfindungsgemäßen Verfahrens vergleichsweise hoch.
Bei dem erfindungsgemäßen Verfahren kann die vorgegebene Anzahl der zur Aufrechterhaltung der Master-Funktion
vorgesehen funktionswichtigen, datenverarbeitungstechnischen Geräte unterschiedlich hoch festgelegt werden. Zur Erzielung einer hohen Funktionssicherheit erscheint es vorteilhaft, wenn als vorgegebene Anzahl von funktionswichtigen Geräten die Hälfte der Geräte bestimmt wird.
Als vorteilhaft wird es angesehen, wenn jeder
Steuerungsrechner hinsichtlich der funktionswichtigen Geräte als Semaphor arbeitet, weil es nicht auf die angebundenen einzelnen funktionswichtigen Geräte, sondern jeweils nur auf Einhaltung der vorgegebenen Anzahl für die Master-Funktion
ankommt. Zu einem Semaphor finden sich kurze einführende
Darlegungen in der Internet-Veröffentlichung
htt : / /en .wikipedia . org/wiki/Semaphore_ (programming) . Die Erfindung betrifft ferner ein Steuerungsnetzwerk mit aus Redundanzgründen zwei Steuerungsrechnern und stellt sich die Aufgabe, einem solchen Steuerungsnetzwerk mit relativ
geringen Kosten eine vergleichsweise hohe Sicherheitsfunktion zu verleihen.
Zur Lösung dieser Aufgabe ist erfindungsgemäß bei einem
Steuerungsnetzwerk mit einer einzigen physikalischen
Verbindung zwischen einem ersten Steuerungsrechner und einem zweiten redundanten Steuerungsrechner über ein
Datenleitungsnetz, an das mehrere funktionswichtige,
datenverarbeitungstechnische Geräte angeschlossen sind, die datentechnische Verbindung zwischen den Steuerungsrechnern und den funktionswichtigen Geräten mittels eines redundanten und diversitären Heartbeats gegeben. Zur Ausgestaltung des Heartbeats wird hier nur auf die oben angegebenen
Literaturstellen verwiesen.
Als vorteilhaft wird es erachtet, wenn jeder
Steuerungsrechner so ausgebildet ist, dass er hinsichtlich der funktionswichtigen Geräte als Semaphor arbeitet.
Vorteilhaft ist es ferner, wenn die funktionswichtigen Geräte so ausgebildet sind, dass sie in ihrem Ausgangssignal ein „Funktionwichtig"-Kennzeichen abgeben .
Mit besonderem Vorteil lässt das erfindungsgemäße
Steuerungsnetzwerk bei schienengebundenen Fahrzeugen
einsetzen, indem der erste Steuerungsrechner in einem ersten über eine Kupplung mit einem zweiten Abschnitt eines
Schienenfahrzeugs verbundenen Abschnitt des Schienenfahrzeugs untergebracht ist und die einzige physikalische Verbindung über die Kupplung verläuft. Dadurch lässt sich der
Verkabelungsaufwand wesentlich reduzieren und die Kupplung relativ einfach gestalten.
Zur weiteren Erläuterung der Erfindung ist in der Figur ein Ausführungsbeispiel des erfindungsgemäßen
Steuerungsnetzwerkes dargestellt .
Das in der Figur dargestellte Steuerungsnetzwerk 1
beispielsweise eines Schienenfahrzeugs weist ein
Datenleitungsnetz mit einem Datenbus 2 auf. An den Datenbus 2 sind ein erster Steuerungsrechner STl und ein zweiter
redundanter Steuerungsrechner ST2 angeschlossen, zwischen denen eine Heartbeat-Netzwerkverbindung eingerichtet ist. Außerdem sind mit dem Datenbus 2 funktionswichtige,
datenverarbeitungstechnische Geräte A,C,D,F,H,K und L
verbunden, die über eine Punkt-zu-Punkt-Verbindung mit den Steuerungsrechnern STl Und ST2 unter Verwendung eines
Semaphors in Verbindung treten können; dabei kann es sich um funktionswichtige Geräte A,C,D,F,H,K und L eines
Steuerungsnetzwerkes für ein Schienenfahrzeug handeln. Ferner sind mit dem Datenbus 2 weitere datenverarbeitungstechnische Geräte b,e,g und j verbunden, die für die Funktion
beispielsweise eines Schienenfahrzeugs nicht notwendig sind. Der Betrieb des gezeigten Steuerungsnetzwerks 1 wird in der Weise aufgenommen, dass beide Steuerungsrechner STl und ST2 gestartet werden. Kann eine Kommunikation zwischen den beiden Steuerungsrechners Stl und ST2 aufgebaut werden, dann wird einem der beiden Steuerungsrechner eine Master-Funktion zugewiesen.
Kommt der Kommunikationsaufbau nicht zustande, dann versuchen die beiden Steuerungsrechner STl und ST2 gemäß einer
vorliegenden Liste in einer festgelegten Reihenfolge die funktionswichtigen, datenverarbeitungstechnischen Geräte A,C,D,F,H,K und L an sich zu binden. Stellt dabei
beispielsweise der erste Steuerungsrechner STl fest, dass funktionswichtige Geräte unter den Geräten A,C,D,F,H,K und L
nicht ausgeschaltet und auch nicht von dem zweiten Steuerungsrechner ST2 belegt sind, bindet er diese Geräte an sich; stellt er dabei fest, dass er mindestens eine
vorgegebene Anzahl von funktionswichtigen Geräten A,C,D,F,H,K und L, beispielsweise vier Geräte A,C,D und F, an sich gebunden hat, dann übernimmt er selbsttätig die Master- Funktion. Die vorgegebenen Anzahl sollte stets mehr als die Hälfte aller funktionswichtigen Geräte A,C,D,F,H,K und L umfassen. Der zweite Steuerungsrechner ST2 geht in den
Standby-Betrieb .
Kommt der oben erwähnte Kommunikationsaufbau nach dem Start der beiden Steuerungsrechner STl und ST2 nicht zustande und stellt der erste Steuerungsrechner STl - anders als gerade beschrieben - fest, dass er nicht die vorgegebene Anzahl von funktionswichtigen Geräten an sich binden kann, dann zieht er sich zurück ( Standby-Funktion) , und der zweite
Steuerungsrechner ST2 übernimmt die Master-Funktion unter der Voraussetzung, dass er die vorgegebene Anzahl von
funktionswichtigen Geräten an sich binden konnte. Ist diese Voraussetzung nicht gegeben, dann geht auch der zweite
Steuerungsrechner ST2 in den Standby-Zustand .
Aus der Situation mit beiden Steuerungsrechnern STl und ST2 im Standby-Betrieb lässt sich ein Signal ableiten, dass einen gestörten Zustand des Steuerungsnetzwerkes 1 kennzeichnet. Dies entspricht auch dem tatsächlichen Zustand des
Steuerungsnetzwerkes 1, weil dieser Zustand dadurch hervor gerufen ist, dass für die beiden Steuerungsrechner STl und ST2 nicht ausreichend viele funktionswichtige Geräte
A,C,D,F,H,K und L zur Anbindung zur Verfügung standen. Dieses Signal wird daher auch sicherheitstechnischen Gesichtspunkten gerecht . Kommt es nach gelungener Aufnahme des Betriebs des
Steuerungsnetzwerkes 1 und mit beispielsweise dem ersten Steuerungsrechner STl in Master-Funktion und dem zweiten Steuerungsrechner ST2 in Standby-Funktion zu einem
Kommunikationsausfall zwischen den beiden Steuerungsrechnern STl und ST2 , behält der erste Steuerungsrechner STl seine Master-Funktion bei, sofern er nach wie vor mindestens die vorgegebene Anzahl von funktionswichtigen Geräten erreichen kann. Es prüft jedoch der zweite Steuerungsrechner ST2 , ob die funktionswichtigen Geräte A,C,D,F,H,K und L eingeschaltet und nicht durch den ersten Steuerungsrechner STl belegt sind. Ergibt sich bei dieser Prüfung, dass die funktionswichtigen Geräte A,C,D,F,H,K und L durch den ersten Steuerungsrechner STl nicht belegt sind - der erste Steuerungsrechner STl ist beispielsweise ausgefallen -, dann bindet der bisher im
Standby-Betrieb befindliche zweite Steuerungsrechner ST2 die funktionswichtigen Geräte A,C,D,F,H,K und L an sich; gelingt dies in der vorgegebenen Anzahl, dann übernimmt der zweite Steuerungsrechner ST2 die Master-Funktion. Andernfalls verharrt der zweite Steuerungsrechner ST2 im Standby-Betrieb und übernimmt nicht die Master-Funktion. Dies signalisiert eine starke Einschränkung in der Verfügbarkeit des
Steuerungsnetzwerkes 1 und ist aus sicherheitstechnischen Gesichtspunkten in Ordnung.
Claims
1. Verfahren zum Betreiben eines Steuerungsnetzwerk (1) mit einer einzigen physikalischen Verbindung zwischen einem ersten Steuerungsrechner (STl) und einem zweiten redundanten Steuerungsrechner (ST2) über ein Datenleitungsnetz (2), an das mehrere funktionswichtige, datenverarbeitungstechnische Geräte (A, C, D, F, H, K, L) angeschlossen sind, und
die datentechnische Verbindung zwischen den
Steuerungsrechnern (STl, ST2 ) und den funktionswichtigen
Geräten (A, C, D, F, H, K, L) mittels eines redundanten und diversitären Heartbeats gegeben ist, wobei
zur Aufnahme des Betriebs des Steuerungsnetzwerks (1) die Kommunikationsverbindung zwischen den beiden
Steuerungsrechnern (STl, ST2 ) überprüft wird und
• bei positivem Prüfungsergebnis einem Steuerungsrechner (STl) eine Master-Funktion zugewiesen wird, oder
• bei negativem Prüfungsergebnis beide Steuerungsrechner
(STl, ST2 ) nach einer festgelegten Reihenfolge die funktionswichtigen Geräte (A, C, D, F, H, K, L) an sich binden, und
• bei einer Anbindung einer vorgegebenem Anzahl der
funktionswichtigen Geräte (A, C, D, F, H, K, L) an einen der beiden Steuerungsrechner (STl) dieser die Master-Funktion und der andere Steuerungsrechner (ST2) die Standby-Funktion übernimmt oder
• bei einer unterhalb der vorgegebenen Anzahl liegenden Zahl von an jeden der beiden Steuerungsrechner (STl, ST2 ) angebundenen funktionswichtigen Geräten (A, C, D, F, H, K, L) ein Signal erzeugt wird, das einen gestörten Zustand des Steuerungsnetzwerkes (1) signalisiert .
2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass
bei einem Betrieb mit dem ersten Steuerungsrechner (STl) als Master-Funktion und dem zweiten Steuerungsrechner (ST2) in Standby-Betrieb bei von ihnen gegenseitig festgestelltem Kommunikationsausfall
• der erste Steuerungsrechner (STl) seine Funktion
beibehält, solange er die vorgegebene Anzahl von funktionswichtigen Geräte (A, C, D, F, H, K, L) erreicht und gleichzeitig der zweite Steuerungsrechner (ST2) prüft, ob die funktionswichtigen Geräte (A, C,
D, F, H, K, L) eingeschaltet und nicht durch den ersten Steuerungsrechner (STl) belegt sind,
• bei nicht durch den ersten Steuerungsrechner (STl)
belegten funktionswichtigen Geräten (A, C, D, F, H, K, L) der zweite Steuerungsrechner (ST2) diese Geräte (A, C, D, F, H, K, L) einerseits belegt und bei Erreichen der vorgegebenen Anzahl dieser Geräte (A, C, D, F, H, K, L) die Master-Funktion übernimmt oder bei
Nichterreichen die Standby-Funktion unter
Signalisierung eines gestörten Zustands des
Steuerungsnetzwerkes (1) beibehält.
3. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass
als vorgegebene Anzahl von funktionswichtigen Geräten (A, C, D, F, H, K, L) die Hälfte der Geräte bestimmt wird.
4. Verfahren nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass
jeder Steuerungsrechner (STl, ST2 ) hinsichtlich der
funktionswichtigen Geräte als Semaphor arbeitet
5. Steuerungsnetzwerk (1) mit einer einzigen physikalischen Verbindung zwischen einem ersten Steuerungsrechner (STl) und einem zweiten redundanten Steuerungsrechner über ein
Datenleitungsnetz (2), an das mehrere funktionswichtige, datenverarbeitungstechnische Geräte (A, C, D, F, H, K, L) angeschlossen sind, wobei
die datentechnische Verbindung zwischen den
Steuerungsrechnern (STl, ST2 ) und den funktionswichtigen Geräten (A, C, D, F, H, K, L) mittels eines redundanten und diversitären Heartbeats gegeben ist.
6. Steuerungsnetzwerk nach Anspruch 5,
dadurch gekennzeichnet, dass
jeder Steuerungsrechner (STl, ST2 ) so ausgebildet ist, dass er hinsichtlich der funktionswichtigen Geräte (A, C, D, F, H, K, L) als Semaphor arbeitet.
7. Steuerungsnetzwerk nach Anspruch 5 oder 6,
dadurch gekennzeichnet, dass
die funktionswichtigen Geräte (A, C, D, F, H, K, L) so ausgebildet sind, dass sie in ihrem Ausgangssignal ein „Funktionwichtig"-Kennzeichen abgeben .
8. Steuerungsnetzwerk nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass
der erste Steuerungsrechner (STl) in einem ersten über eine Kupplung mit einem zweiten Abschnitt eines Schienenfahrzeugs verbundenen Abschnitt des Schienenfahrzeugs untergebracht ist und die einzige physikalische Verbindung über die Kupplung verläuft .
Priority Applications (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CA2851951A CA2851951C (en) | 2011-10-13 | 2012-10-05 | Method for operating a control network, and control network |
| EP12784216.9A EP2745205B1 (de) | 2011-10-13 | 2012-10-05 | Verfahren zum betreiben eines steuerungsnetzwerk und steuerungsnetzwerk |
| RU2014118935/08A RU2589390C2 (ru) | 2011-10-13 | 2012-10-05 | Способ работы сети управления и сеть управления |
| DK12784216.9T DK2745205T3 (en) | 2011-10-13 | 2012-10-05 | A method of operating a control network and the control network |
| AU2012323190A AU2012323190B2 (en) | 2011-10-13 | 2012-10-05 | Method for operating a control network, and control network |
| CN201280050482.0A CN103917961B (zh) | 2011-10-13 | 2012-10-05 | 用于运行控制网络的方法和控制网络 |
| ES12784216.9T ES2601458T3 (es) | 2011-10-13 | 2012-10-05 | Procedimiento para la operación de una red de control y red de control |
| BR112014008922-1A BR112014008922B1 (pt) | 2011-10-13 | 2012-10-05 | Método para operar uma rede de controle e rede de controle |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/272,260 | 2011-10-13 | ||
| US13/272,260 US9002480B2 (en) | 2011-10-13 | 2011-10-13 | Method for operation of a control network, and a control network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| WO2013053643A2 true WO2013053643A2 (de) | 2013-04-18 |
| WO2013053643A3 WO2013053643A3 (de) | 2013-06-06 |
Family
ID=47172592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2012/069688 WO2013053643A2 (de) | 2011-10-13 | 2012-10-05 | Verfahren zum betreiben eines steuerungsnetzwerk und steuerungsnetzwerk |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US9002480B2 (de) |
| EP (1) | EP2745205B1 (de) |
| CN (1) | CN103917961B (de) |
| AU (1) | AU2012323190B2 (de) |
| BR (1) | BR112014008922B1 (de) |
| CA (1) | CA2851951C (de) |
| DK (1) | DK2745205T3 (de) |
| ES (1) | ES2601458T3 (de) |
| PL (1) | PL2745205T3 (de) |
| PT (1) | PT2745205T (de) |
| RU (1) | RU2589390C2 (de) |
| WO (1) | WO2013053643A2 (de) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9956967B2 (en) | 2014-02-21 | 2018-05-01 | Siemens Aktiengesellschaft | Method for selecting multiple program functions, method for selecting one program function, associated apparatuses and associated vehicle, ship or aircraft |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107272401B (zh) * | 2017-07-04 | 2018-04-03 | 中车青岛四方车辆研究所有限公司 | 旅客信息系统控制方法 |
| US10985933B1 (en) * | 2020-01-24 | 2021-04-20 | Vmware, Inc. | Distributed push notifications for devices in a subnet |
| EP3910882B1 (de) * | 2020-05-14 | 2023-12-13 | ise Individuelle Software und Elektronik GmbH | Ausfallsicherer betrieb eines netzwerks |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0783366B2 (ja) * | 1988-03-15 | 1995-09-06 | 富士通株式会社 | ビル管理システム |
| US5682139A (en) * | 1995-06-07 | 1997-10-28 | General Electric Company | Railcar location using mutter networks and locomotive transmitter during transit |
| US5787249A (en) * | 1996-04-30 | 1998-07-28 | International Business Machines Coporation | Method for managing membership of a group of processors in a distributed computing environment |
| US6163853A (en) * | 1997-05-13 | 2000-12-19 | Micron Electronics, Inc. | Method for communicating a software-generated pulse waveform between two servers in a network |
| US6134579A (en) * | 1997-08-15 | 2000-10-17 | Compaq Computer Corporation | Semaphore in system I/O space |
| US6438705B1 (en) * | 1999-01-29 | 2002-08-20 | International Business Machines Corporation | Method and apparatus for building and managing multi-clustered computer systems |
| RU2194369C2 (ru) * | 2000-01-05 | 2002-12-10 | Шуревский Николай Павлович | Комплект аппаратуры автоматизированной телефонной станции системы охранно-пожарной сигнализации |
| US6782416B2 (en) * | 2001-01-12 | 2004-08-24 | Hewlett-Packard Development Company, L.P. | Distributed and geographically dispersed quorum resource disks |
| US20020194328A1 (en) * | 2001-06-14 | 2002-12-19 | Hallenbeck Peter D. | Distributed, packet-based premises automation system |
| KR20040075174A (ko) * | 2003-02-20 | 2004-08-27 | 엘지엔시스(주) | 고가용성 시스템의 데이터 손상 방지방법 |
| US7155305B2 (en) * | 2003-11-04 | 2006-12-26 | Universal Electronics Inc. | System and methods for home appliance identification and control in a networked environment |
| US7734948B2 (en) * | 2007-08-21 | 2010-06-08 | International Business Machines Corporation | Recovery of a redundant node controller in a computer system |
| RU2362206C1 (ru) * | 2008-01-09 | 2009-07-20 | Федеральное государственное унитарное предприятие "Научно-производственное предприятие "Полет" | Способ работы локальной сети |
| CN101674331B (zh) * | 2009-10-21 | 2012-11-07 | 成都市华为赛门铁克科技有限公司 | 集群存储系统及其脑裂处理方法 |
| US20110161538A1 (en) * | 2009-12-31 | 2011-06-30 | Schneider Electric USA, Inc. | Method and System for Implementing Redundant Network Interface Modules in a Distributed I/O System |
-
2011
- 2011-10-13 US US13/272,260 patent/US9002480B2/en active Active
-
2012
- 2012-10-05 CN CN201280050482.0A patent/CN103917961B/zh active Active
- 2012-10-05 DK DK12784216.9T patent/DK2745205T3/en active
- 2012-10-05 EP EP12784216.9A patent/EP2745205B1/de active Active
- 2012-10-05 PL PL12784216T patent/PL2745205T3/pl unknown
- 2012-10-05 AU AU2012323190A patent/AU2012323190B2/en not_active Ceased
- 2012-10-05 ES ES12784216.9T patent/ES2601458T3/es active Active
- 2012-10-05 CA CA2851951A patent/CA2851951C/en active Active
- 2012-10-05 RU RU2014118935/08A patent/RU2589390C2/ru active
- 2012-10-05 BR BR112014008922-1A patent/BR112014008922B1/pt not_active IP Right Cessation
- 2012-10-05 PT PT127842169T patent/PT2745205T/pt unknown
- 2012-10-05 WO PCT/EP2012/069688 patent/WO2013053643A2/de active Application Filing
Non-Patent Citations (1)
| Title |
|---|
| None |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9956967B2 (en) | 2014-02-21 | 2018-05-01 | Siemens Aktiengesellschaft | Method for selecting multiple program functions, method for selecting one program function, associated apparatuses and associated vehicle, ship or aircraft |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103917961A (zh) | 2014-07-09 |
| PL2745205T3 (pl) | 2017-09-29 |
| US9002480B2 (en) | 2015-04-07 |
| AU2012323190A1 (en) | 2014-04-17 |
| RU2589390C2 (ru) | 2016-07-10 |
| PT2745205T (pt) | 2016-11-09 |
| EP2745205B1 (de) | 2016-08-03 |
| BR112014008922A2 (pt) | 2017-04-25 |
| AU2012323190B2 (en) | 2015-08-06 |
| CA2851951A1 (en) | 2013-04-18 |
| ES2601458T3 (es) | 2017-02-15 |
| RU2014118935A (ru) | 2015-11-27 |
| BR112014008922B1 (pt) | 2021-08-03 |
| CA2851951C (en) | 2017-10-24 |
| WO2013053643A3 (de) | 2013-06-06 |
| DK2745205T3 (en) | 2016-11-21 |
| US20130096696A1 (en) | 2013-04-18 |
| CN103917961B (zh) | 2017-04-19 |
| EP2745205A2 (de) | 2014-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2974156B1 (de) | Vorrichtung und verfahren zur autonomen steuerung von kraftfahrzeugen | |
| DE112017005645T5 (de) | Motorsteuersystem und elektrisches servolenksystem | |
| DE102007021286A1 (de) | Elektromechanisches Bremssystem mit einer ausfallsicheren Energieversorgung und Verfahren zur ausfallsicheren Energieversorgung in einem elektromechanischen Bremssystem für Fahrzeuge | |
| DE102006017302B4 (de) | Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals | |
| DE102006008575B4 (de) | Getriebestellvorrichtung, Kraftfahrzeugkomponente und Verfahren zur Herstellung eines Fail-Safe-Zustandes einer Getriebestellvorrichtung | |
| DE102015216265A1 (de) | Verfahren und Teilsystem zum Installieren eines Softwareupdates in einem Fahrzeug | |
| EP2745205B1 (de) | Verfahren zum betreiben eines steuerungsnetzwerk und steuerungsnetzwerk | |
| DE102016220197A1 (de) | Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug | |
| DE102008009652A1 (de) | Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor | |
| DE102005023296B4 (de) | Zugbeeinflussungssystem | |
| DE102011010512A1 (de) | Passive Sicherheitsschaltung | |
| WO2008014940A1 (de) | Steuergerät und verfahren zur steuerung von funktionen | |
| DE102013017951A1 (de) | Elektronische Steuervorrichtung und Verfahren zum Überprüfen einer Rücksetzfunktion | |
| DE102016014417B4 (de) | Schaltung zur überwachung eines datenverarbeitungssystems | |
| EP3201774A1 (de) | Verteiltes echtzeitcomputersystem und zeitgesteuerte verteilereinheit | |
| EP3332506B1 (de) | Verfahren zum betreiben eines datenübertragungssystems und datenübertragungssystem | |
| DE102010041437A1 (de) | Überprüfung von Funktionen eines Steuersystems mit Komponenten | |
| EP1498336B1 (de) | Verfahren und Zählpunkt zur Ermittlung des Belegungszustandes eines Gleisabschnittes | |
| DE102009015683A1 (de) | Sicherheitssystem zur Sicherung einer fehlersicheren Steuerung elektrischer Anlagen und Sicherheitssteuerung damit | |
| EP2279480B1 (de) | Verfahren und system zum überwachen eines sicherheitsbezogenen systems | |
| EP4091054A1 (de) | Verfahren und vorrichtung zum rekonfigurieren eines automatisiert fahrenden fahrzeugs in einem fehlerfall | |
| DE102013020550B4 (de) | Verfahren und Einrichtung zur Datenkommunikation in Fahrzeugen, insbesondere in Kraftfahrzeugen | |
| DE102020121244A1 (de) | Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren | |
| DE102015215847B3 (de) | Vorrichtung und Verfahren zur Erhöhung der funktionalen Sicherheit in einem Fahrzeug. | |
| DE102017203222A1 (de) | Umschaltung zwischen Element-Controllern im Bahnbetrieb |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 12784216 Country of ref document: EP Kind code of ref document: A2 |
|
| REEP | Request for entry into the european phase |
Ref document number: 2012784216 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2012784216 Country of ref document: EP |
|
| ENP | Entry into the national phase |
Ref document number: 2851951 Country of ref document: CA |
|
| ENP | Entry into the national phase |
Ref document number: 2012323190 Country of ref document: AU Date of ref document: 20121005 Kind code of ref document: A |
|
| ENP | Entry into the national phase |
Ref document number: 2014118935 Country of ref document: RU Kind code of ref document: A |
|
| REG | Reference to national code |
Ref country code: BR Ref legal event code: B01A Ref document number: 112014008922 Country of ref document: BR |
|
| ENP | Entry into the national phase |
Ref document number: 112014008922 Country of ref document: BR Kind code of ref document: A2 Effective date: 20140411 |