專利名稱:列車控制系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種具有權(quán)利要求1前序部分特征的列車控制系統(tǒng)���。在已知的
系統(tǒng)中采用多通道的尤其是2v3類型的計(jì)算機(jī)�����,例如具有多臺(tái)安全的且冗余的 車用計(jì)算機(jī)。在這種情況下同步的計(jì)算機(jī)通道執(zhí)行全部的數(shù)據(jù)處理�����,其中每個(gè) 處理步驟都按照時(shí)間片方法(Zeitscheibenverfahren)來表決�����。這種近乎持續(xù)表 決的多通道系統(tǒng)雖然滿足高安全性的要求,但是在硬件和軟件方面的成本高�����。
背景技術(shù):
也可以設(shè)想采用更簡(jiǎn)單的系統(tǒng)���,在該系統(tǒng)中采用兩臺(tái)安全的����、非冗余的車 用計(jì)算機(jī)來生成安全技術(shù)上的輸出�。原則上通常可以假設(shè)���,在"行駛"狀態(tài)驅(qū) 動(dòng)裝置在安全技術(shù)上必須是打開的而門電動(dòng)機(jī)在安全技術(shù)上必須已鎖止�����。相反 在"發(fā)車"狀態(tài)驅(qū)動(dòng)裝置在安全技術(shù)上必須鎖止��,而門電動(dòng)機(jī)則被釋放運(yùn)行���。 在該前提下采用獨(dú)立的安全車用計(jì)算機(jī)可能會(huì)產(chǎn)生一些問題���,這將在下文借助 具體例子作闡述。如果例如一臺(tái)車用計(jì)算機(jī)還處于"發(fā)車"的運(yùn)行狀態(tài)����,因?yàn)?狀態(tài)機(jī)由于失效沒有識(shí)別出門已處于關(guān)閉狀態(tài)以及所屬的繼電器觸點(diǎn)近乎錯(cuò)誤 地向車用計(jì)算機(jī)通報(bào)信息,則該車用計(jì)算機(jī)監(jiān)控列車的靜止?fàn)顟B(tài)并將門釋放���。 如果其他計(jì)算機(jī)已經(jīng)處于"行駛"狀態(tài)��,因?yàn)槠錉顟B(tài)機(jī)是無故障的并且已告知 門是關(guān)閉的�����,則該另一臺(tái)車用計(jì)算機(jī)準(zhǔn)許行駛并將門鎖止��。這兩個(gè)輸出的疊加 導(dǎo)致出現(xiàn)危險(xiǎn)的狀態(tài)����,即準(zhǔn)許行駛的同時(shí)也準(zhǔn)許將門打開���。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題在于,設(shè)計(jì)一種系統(tǒng)體系結(jié)構(gòu)�,其一方面能夠?qū)?現(xiàn)極高的安全標(biāo)準(zhǔn)�����,另 一方面又可以不需要同步多通道計(jì)算機(jī)��。
上述技術(shù)問題通過權(quán)利要求1特征部分的特征得以解決��。冗余管理器用于�, 僅當(dāng)兩臺(tái)車用計(jì)算機(jī)的與安全關(guān)系重大的輸出 一致時(shí)����,才準(zhǔn)許對(duì)該輸出進(jìn)行后 續(xù)處理。冗余管理器設(shè)計(jì)為安全計(jì)算機(jī)����,因?yàn)樵谏衔囊雅e例闡述其錯(cuò)誤行為可
能導(dǎo)致兩臺(tái)車用計(jì)算機(jī)不同的運(yùn)行狀態(tài)或者導(dǎo)致由一臺(tái)車用計(jì)算機(jī)向另一臺(tái)車 用計(jì)算機(jī)加載錯(cuò)誤數(shù)據(jù)。在此考慮冗余管理器的特定邏輯準(zhǔn)則���。例如可以實(shí)現(xiàn)
下列算法
-僅當(dāng)兩臺(tái)車用計(jì)算機(jī)都已事先通報(bào)了門電動(dòng)機(jī)為鎖止并且兩臺(tái)車用計(jì) 算機(jī)都已要求釋放列車驅(qū)動(dòng)裝置時(shí)����,冗余管理器才為該兩臺(tái)車用計(jì)算機(jī)釋放驅(qū) 動(dòng)裝置����。
-當(dāng)一臺(tái)車用計(jì)算機(jī)事先通報(bào)了門電動(dòng)機(jī)為鎖止并要求釋放驅(qū)動(dòng)裝置且 另 一臺(tái)車用計(jì)算機(jī)的空轉(zhuǎn)安全終止時(shí)����,冗余管理器才為這臺(tái)車用計(jì)算機(jī)釋放驅(qū)
動(dòng)裝置�,在此空轉(zhuǎn)表征可調(diào)節(jié)的、在車用計(jì)算機(jī)與冗余管理器之間不存在連接 的時(shí)間或路段�����,在此在空轉(zhuǎn)時(shí)始終置于"門鎖止"和"驅(qū)動(dòng)裝置鎖止"的安全 狀態(tài)�����。
-當(dāng)兩臺(tái)車用計(jì)算機(jī)都事先通報(bào)了驅(qū)動(dòng)裝置為鎖止并且兩臺(tái)車用計(jì)算機(jī) 都要求了釋放門電動(dòng)機(jī)時(shí)�,冗余管理器才為兩臺(tái)車用計(jì)算機(jī)釋放門電動(dòng)機(jī)。
-當(dāng)一臺(tái)車用計(jì)算機(jī)事先通報(bào)了驅(qū)動(dòng)裝置為鎖止并要求釋放門電動(dòng)機(jī)且 另 一 臺(tái)車用計(jì)算機(jī)的空轉(zhuǎn)安全終止時(shí)��,冗余管理器才為這臺(tái)車用計(jì)算機(jī)釋放門 電動(dòng)機(jī)��。
-如果在經(jīng)過一段固定的時(shí)間后或走過一段行程后第二車用計(jì)算機(jī)的 "釋放要求"狀態(tài)未到達(dá)第一車用計(jì)算機(jī)�����,則冗余管理器取消該第一車用計(jì)算 機(jī)的空轉(zhuǎn)�����。在達(dá)到空轉(zhuǎn)值后或者在通過該第一車用計(jì)算機(jī)應(yīng)答該取消后冗余管 理器才滿足第二計(jì)算機(jī)的釋放要求。
-當(dāng)已停止空轉(zhuǎn)的第一車用計(jì)算機(jī)例如通報(bào)正確的狀態(tài)�,例如向另一臺(tái) 計(jì)算機(jī)通報(bào)可能真實(shí)的位置數(shù)據(jù)以及通報(bào)向車用計(jì)算機(jī)提供輸入數(shù)據(jù)的狀態(tài)機(jī) 的相一致的參數(shù)�����,并且該系統(tǒng)假設(shè)處于穩(wěn)定的狀態(tài)時(shí)����,使該第一車用計(jì)算機(jī)再 次空轉(zhuǎn)。將第二計(jì)算機(jī)的系統(tǒng)特有的確定狀態(tài)加載到第一計(jì)算機(jī)中�����。這例如涉 及在最高速度下的待監(jiān)控的危險(xiǎn)點(diǎn)和第二計(jì)算機(jī)的運(yùn)行狀態(tài)�����、如"發(fā)車"或"行 駛"��。
這些算法和邏輯準(zhǔn)則可以特定于系統(tǒng)地通過其他措施補(bǔ)充�����。例如可能合理 的是��,在一臺(tái)車用計(jì)算機(jī)處于與第二臺(tái)車用計(jì)算機(jī)相同的運(yùn)行狀態(tài)時(shí)或者當(dāng)對(duì) 于該臺(tái)計(jì)算機(jī)已超越空轉(zhuǎn)時(shí),才由冗余管理器向該臺(tái)車用計(jì)算機(jī)發(fā)出行駛?cè)蝿?wù)�����。 該規(guī)則例如可以均衡駛過一個(gè)定位點(diǎn)的由車用計(jì)算機(jī)的兩個(gè)定位系統(tǒng)同時(shí)檢測(cè) 到的通常不同的時(shí)刻�����。
冗余管理器僅用于����,實(shí)施所需要的邏輯準(zhǔn)則。它不具有本身系統(tǒng)特有的功 能�����。在這種意義上冗余管理器為不同實(shí)施的列車控制系統(tǒng)提供一種通用的平臺(tái)�。 該通用平臺(tái)是特定于系統(tǒng)配置的并且可以相應(yīng)地?cái)U(kuò)展。系統(tǒng)功能僅由車用計(jì)算 機(jī)提供����,其提供系統(tǒng)特有的服務(wù),這些服務(wù)對(duì)冗余管理器進(jìn)行表決并根據(jù)邏輯 準(zhǔn)則進(jìn)行判斷�。
列車控制系統(tǒng)的體系結(jié)構(gòu)基本上與硬件無關(guān)。該具有冗余管理器的系統(tǒng)原 則上可以移植到任意硬件平臺(tái)上,而不會(huì)喪失功能�����。
與具有多個(gè)同步的計(jì)算機(jī)通道的安全及冗余的計(jì)算機(jī)核的體系結(jié)構(gòu)相比��,
通過冗余管理器的數(shù)據(jù)處理具有性能優(yōu)點(diǎn)��。其原因在于��,由車用計(jì)算機(jī)并行地 完成數(shù)據(jù)處理�����、例如時(shí)間和計(jì)算集中的定位功能���。接下來,.冗余管理器僅對(duì)結(jié) 果進(jìn)行表決�,而在利用同步計(jì)算機(jī)進(jìn)行多通道數(shù)據(jù)處理時(shí)需要進(jìn)行近乎持續(xù)地 按照時(shí)間片方法的表決。
按照權(quán)利要求2,冗余管理器作為固有的計(jì)算機(jī)安置在機(jī)車上����。在這種情 況下冗余的、安全冗余管理器的硬件可以相對(duì)較少花費(fèi)地從現(xiàn)有的用于行程計(jì) 算機(jī)(Streckenrechner )的系統(tǒng)獲得��,為此僅將核心部件適用于機(jī)車地與通訊部 件匹配即可。這尤其涉及到緊湊性���、環(huán)境條件等要求�����?���?梢詫⒃行谐逃?jì)算機(jī) 的非冗余的綜合的專用部件用于控制外圍設(shè)備�����。不必重新開發(fā)系統(tǒng)軟件�����。
按照權(quán)利要求3��,冗余管理器也可以集成在行程計(jì)算機(jī)中�����。取消使硬件適 用于機(jī)車的要求����。不需要新的運(yùn)行軟件�����。與車用計(jì)算機(jī)相反�,行程計(jì)算機(jī)在已 知的應(yīng)用中已經(jīng)作為冗余系統(tǒng)存在��。因此冗余管理器的冗余的實(shí)現(xiàn)集中在行程 計(jì)算機(jī)上�。車用計(jì)算機(jī)與行程計(jì)算機(jī)之間的通訊在這種情況下須通過氣隙電文 (Luftspalttelegramme )實(shí)現(xiàn)。
而按照權(quán)利要求4,冗余管理器也可以作為任務(wù)集成在行程計(jì)算機(jī)中�����。在 這種情況下僅需要最少量的硬件����。兩個(gè)冗余管理器中只有第一個(gè)在無故障的狀 態(tài)下承擔(dān)管理任務(wù)并起主導(dǎo)作用�����,而另一車用計(jì)算機(jī)中的第二冗余管理器僅是
其的從屬����。第二冗余管理器僅須持續(xù)地同步運(yùn)行�����,以便能夠處于當(dāng)前運(yùn)行狀態(tài)����。 第一車用計(jì)算機(jī)的停機(jī)導(dǎo)致所述作為任務(wù)設(shè)置的主冗余管理器也可能停機(jī)���。在
這種情況下第二冗余管理器投入運(yùn)行����。然后該第二冗余管理器將所有現(xiàn)有的任 務(wù)分配給必須正面確認(rèn)這些要求的第二車用計(jì)算機(jī)�����。從屬的冗余管理器到第一 車用計(jì)算機(jī)的通訊連接不是一定需要的����。在這種體系結(jié)構(gòu)的變形中要準(zhǔn)確地確 定,通過何種反應(yīng)向仍完好的計(jì)算才幾通報(bào)主冗余管理器的停機(jī)����。例如可以設(shè)想
第一車用計(jì)算機(jī)的安全輸出,該第一車用計(jì)算機(jī)映射主冗余計(jì)算機(jī)的狀態(tài)并由 兩臺(tái)車用計(jì)算機(jī)詢問�。
按照權(quán)利要求5�����,冗余管理器也為車用計(jì)算機(jī)分配特殊任務(wù)��、批準(zhǔn)車用計(jì) 算機(jī)的請(qǐng)求以及將一 臺(tái)車用計(jì)算機(jī)的數(shù)據(jù)加載到另 一 臺(tái)車用計(jì)算機(jī)中��。除了處 理源自狀態(tài)機(jī)的輸入數(shù)據(jù)外可能系統(tǒng)本身還要求車用計(jì)算機(jī)的其他行為����,其通 過冗余管理器承擔(dān)批準(zhǔn)職能并由冗余管理器授權(quán)�����。為此例如采用在 ETCS(European Train Control System)中的列車數(shù)據(jù)輸入�、用于切斷驅(qū)動(dòng)裝置的 模態(tài)轉(zhuǎn)換或列車指令�。每個(gè)車用計(jì)算機(jī)可以由冗余管理器通過行使特定的功能 來授權(quán)。這例如可以涉及對(duì)列車時(shí)刻表一致性顯示無須再確認(rèn)(nicht meckbestaetigungspflichtige )的控制����。當(dāng)取消車用計(jì)算機(jī)的空轉(zhuǎn)時(shí),授權(quán)是自動(dòng) 進(jìn)行的�。
車用計(jì)算機(jī)也可以應(yīng)用在非冗余的系統(tǒng)中,其中必須將軟件實(shí)施為可以實(shí) 施須經(jīng)批準(zhǔn)的確定行為���。當(dāng)冗余管理器始終作為任務(wù)在各車用計(jì)算機(jī)上運(yùn)行時(shí) (權(quán)利要求4)也是這樣的情況�����。這樣非冗余的系統(tǒng)如其中車用計(jì)算機(jī)停止運(yùn) 行的冗余系統(tǒng)那樣工作�。
下面借助附圖對(duì)本發(fā)明予以詳細(xì)闡述。
圖1表示用于列車控制系統(tǒng)的系統(tǒng)體系結(jié)構(gòu)���。
具體實(shí)施例方式
圖1中示出了一個(gè)系統(tǒng)列車/路段�����,其中該分系統(tǒng)列車具有兩個(gè)安全技術(shù)上 的任務(wù)�,亦即門電動(dòng)機(jī)打開或鎖止以及車用驅(qū)動(dòng)裝置打開或鎖止���,在此對(duì)應(yīng)于 每個(gè)任務(wù)設(shè)置一臺(tái)用于產(chǎn)生所需要的輸入信息的狀態(tài)機(jī)�,所述狀態(tài)機(jī)加載有兩 臺(tái)獨(dú)立的安全車用計(jì)算機(jī)A和B����。該系統(tǒng)可以根據(jù)應(yīng)用擴(kuò)展。兩臺(tái)車用計(jì)算機(jī) A和B通過空氣接口與 一 臺(tái)在行程計(jì)算機(jī)中作為軟件模塊的冗余管理器連接�。 但是該冗余管理器也可以作為固有的計(jì)算機(jī)安置在機(jī)車上或作為任務(wù)安置在所 述兩臺(tái)車用計(jì)算機(jī)A和B中。對(duì)于后一種情況在無故障狀態(tài)下一臺(tái)車用計(jì)算機(jī) A或B的冗余管理器為主而另一臺(tái)冗余管理器為從��。原則上必須要保證,在運(yùn) 行時(shí)能夠?qū)崿F(xiàn)車用計(jì)算機(jī)A和B與冗余管理器之間的連續(xù)通信連接���。在列車內(nèi) 這兩臺(tái)車用計(jì)算機(jī)A和B相互之間沒有了解和連接�。在該示例中每臺(tái)計(jì)算機(jī)A
和B具有兩個(gè)任務(wù)��,即對(duì)門電動(dòng)機(jī)和驅(qū)動(dòng)裝置控制能量釋放�。若在無故障狀態(tài)
下也僅有一臺(tái)車用計(jì)算機(jī)A或B控制一個(gè)觸點(diǎn)處于"閉合"狀態(tài),則釋放控制 能量����。當(dāng)兩臺(tái)車用計(jì)算機(jī)A和B分別控制觸點(diǎn)斷開時(shí),則才要中斷控制能量�����。 每臺(tái)車用計(jì)算機(jī)A和B通過自身的雙向通訊連接與冗余管理器連接�����。狀態(tài)機(jī)不 一定產(chǎn)生"門打開"和"驅(qū)動(dòng)裝置打開"的狀態(tài)��。在這些狀態(tài)變換時(shí)預(yù)先選擇 對(duì)應(yīng)的任務(wù)����,即"觸點(diǎn)閉合"。但是在進(jìn)行輸出前�����,需要冗余管理器通過通信連 接進(jìn)行批準(zhǔn)(Zustimmung )��。"門鎖止"以及"驅(qū)動(dòng)裝置鎖止"的狀態(tài)不一定通 過狀態(tài)機(jī)產(chǎn)生��。因此在變換成該狀態(tài)時(shí)必須馬上終止對(duì)應(yīng)的輸出�����,即斷開相應(yīng) 的觸點(diǎn)��。將該狀態(tài)通報(bào)給冗余管理器����。
只要一臺(tái)車用計(jì)算機(jī)A或B在一段可調(diào)節(jié)的時(shí)間內(nèi)或在一段預(yù)選的路程內(nèi) 不再具有與冗余管理器的連接,即處于空轉(zhuǎn)狀態(tài)�,該臺(tái)車用計(jì)算機(jī)A或B就將 兩個(gè)觸點(diǎn)置于斷開的狀態(tài)。接下來通過該計(jì)算機(jī)A或B進(jìn)行位置確定����。當(dāng)通過 冗余管理器給車用計(jì)算機(jī)A或B加載了其狀態(tài)機(jī)似乎達(dá)到加載值并且該車用計(jì) 算機(jī)被重新分配空轉(zhuǎn)的當(dāng)前狀態(tài)時(shí),繼續(xù)保持空轉(zhuǎn)。
本發(fā)明并不局限于上面所描述的具體實(shí)施例��。相反還可以設(shè)想一些利用本 發(fā)明特征的其他完全不同的設(shè)計(jì)方案����。
權(quán)利要求
1.一種列車控制系統(tǒng),具有多臺(tái)非冗余安全車用計(jì)算機(jī)(A���,B)����,所述車用計(jì)算機(jī)相互獨(dú)立地生成安全技術(shù)上的輸出����,例如驅(qū)動(dòng)裝置打開或鎖止以及門打開或鎖止,其特征在于�,所述車用計(jì)算機(jī)(A,B)與冗余管理器相連����,該冗余管理器設(shè)計(jì)為安全計(jì)算機(jī)并比較所述輸出和根據(jù)邏輯準(zhǔn)則向所述車用計(jì)算機(jī)(A,B)再確認(rèn)或不再確認(rèn)��。
2. 如權(quán)利要求1所述的列車控制系統(tǒng)����,其特征在于,所述冗余管理器安 置在機(jī)車上����。
3. 如權(quán)利要求1所述的列車控制系統(tǒng),其特征在于�,所述冗余管理器集 成到行程計(jì)算機(jī)中。
4. 如權(quán)利要求1所述的列車控制系統(tǒng)�,其特征在于����,所述冗余管理器作 為任務(wù)集成到所述車用計(jì)算機(jī)(A, B)中���。
5. 如權(quán)利要求1至4中任一項(xiàng)所述的列車控制系統(tǒng),其特征在于��,所述 冗余管理器提供不必再確認(rèn)的任務(wù)�����,例如對(duì)列車時(shí)刻表一致性顯示的控制和/ 或批準(zhǔn)所述車用計(jì)算機(jī)(A, B)的申請(qǐng)和/或從一臺(tái)車用計(jì)算機(jī)(A, B)向另 一臺(tái)車用計(jì)算機(jī)(A, B)加載數(shù)據(jù)�����。
全文摘要
本發(fā)明涉及一種列車控制系統(tǒng),其具有多臺(tái)非冗余安全車用計(jì)算機(jī)(A�����,B)����,所述車用計(jì)算機(jī)相互獨(dú)立地生成安全技術(shù)上的輸出,例如驅(qū)動(dòng)裝置打開或鎖止或門打開或鎖止�����,用于這類列車控制系統(tǒng)的一種簡(jiǎn)單且安全的體系結(jié)構(gòu)的特征在于����,所述車用計(jì)算機(jī)(A,B)與冗余管理器相連���,該冗余管理器設(shè)計(jì)為安全計(jì)算機(jī)���,并且比較所述輸出并根據(jù)邏輯準(zhǔn)則向所述車用計(jì)算機(jī)(A,B)再確認(rèn)或不再確認(rèn)��。
文檔編號(hào)G06F11/16GK101176070SQ200680016205
公開日2008年5月7日 申請(qǐng)日期2006年5月5日 優(yōu)先權(quán)日2005年5月12日
發(fā)明者邁克爾·溫格 申請(qǐng)人:西門子公司