专利名称:用于极度安全的处理系统中的数字式超速控制器的制作方法
技术领域:
本发明是关于极度安全的处理系统的,具体地说是关于作为该较大系统的一部分的数字式超速控制器。要了解该较大系统,可以参阅转让给本发明受让人的正在审理的申请GR-3574和GR-3577。它们所披露的内容也包含在本文中作为参考,特别是GR-3577申请中的
图10,以方框图形式描述了该较大系统。
本发明特别适用于铁路信号与控制系统,它们在其运行过程中必须是极度安全的,就是说,除非是启动了那里的“被允许”状态或者说“通”状态,否则它将被限制在保证使每个输出都处于“安全”状态,或者说“断”状态。这些输出是用于控制信号、切换机器、或其他发送信号或控制操作。
本发明是对构成较大系统一部分的一个子系统或装置的改进,该装置称作数字式超速控制器,人们已经知道它可用于构成多种功能。这类装置的一个实例是在转让给本发明受让人的美国专利4,495,578中披露的一个控制器,所披露内容的细节包括在这里作为参考。
从本质上讲,美国专利4,495,578中涉及的控制器或者说控制装置。它对于一个信号接收装置作出反应,以接收和记录加在路边的速度限制;它还对机车速度测量装置作出反应,当机车速度大于加在路边的速度限制时便对机车施加制动力或发出制动操作要求。对这项专利的改进包括产生速度分布图的设备,它对信号接收装置作出反应,在前一个较高的速度限值还有效地产生一个速度分布图的时候,接收第二个速度限值;在制动力或制动要求已经持续到产生了速度限值分布并且机车速度已经低于所述速度限值分布的当前值时取消应用制动力或制动要求的装置。
在任何情况下,凡在本技术领域的所有数字式超速控制器都与实现下述功能有关把测速仪输出脉冲解释成速度和距离信息;对测速仪数据进行平均以消除速度值的虚假“跳跃”,而同时又保持适当的速度灵敏度;读取手动车轮尺寸开关值以确定车轮尺寸;利用车轮尺寸来校正平均速度信息以确定实际火车速度;输入外部产生的速度限制信息;确定火车速度是否低于有效速度限。
尽管先前已利用基于微处理器的速度控制器或者这种或那种类型的超速/低速控制器,但这些设备的设计使得产生“反面失灵(wrong-sidefailure)”的概率没有一个可以计算出来的上限。因此,在先前已知道的这类装置或子系统的工作中存在某种程度的不确定性或不安全性。
因此,本发明的一个基本目的是提供一种以微处理器为基础的数字超速控制器,它的设计和构成使“反面失灵”的概率有一个可以计算出来的上限。于是,人们可以在此统计限内肯定若干失灵的组合不会对机车安全造成实际威胁。
本发明的上述以及其他基本目的是通过应用所谓数值指示的安全保障逻辑(NemericallyIndicatedSafetyAssuranceKogic)这一概念去设计需要由数字式超速控制器完成的每一项功能来实现的,从而允许对必须的上限的计算达到前述的反面失灵概率。
上面指出的概念,即数值指示的安全保障逻辑将在下文中更充分地解释。然而,实质上有两个基本概念被应用于实现由数字式超速控制器完成的每一项功能。这些概念,即“差异通道(diversechannels)”和偶/奇系统循环周期(even/oddSystemcycles),也将在上下中给予定义。用硬件术语来讲,是有两个测速仪与系统循环周期发生器相联系。两个测速仪被安排成完全独立的,而且假定它们在产生严格相同的波形的意义下是完全相同的。完全速度平均以对测速仪输出加以平滑,并利用一种算法对两个测速仪的计数分别加以平均。再有,提供了确定车轮尺寸的装置包括一个开关装置用以保证所置数值不能偶然地改变成反映小于手工设置值的车轮尺寸。还提供了对每一通道进行操作以校正所测火车速度的装置,从而调整平均测速仪数据,计数出车轮尺寸。若干附加操作(将在下文中详细描述)最终将产生对“安全速度(safespeed)”的检验,用以证明火车的当前平均速度小于或等于当前的有效速度限值。
特别应当指出的是,系统中包括了一个独特的极度安全分布速度限值发生器,其目的将在下文中详细解释。实质上,这种装置可靠地证明速度分布不会在大于先前的高的、“外部”的速度限值时开始;还可靠地证明速度分布减量速率等于或大于指定的最小制动速率,通过这些来保证要实现的各项功能能够正确地完成。这种证明是通过初级和次级速度分布产生器来实现的。
本发明的其他目的、优点和特征将通过参阅结合所附图的下述说明得到理解,其中附图中相同部件给予相同的数字代号。
图1A是描绘系统循环周期发生装置中的测速仪计数器的功能方框图。
图1B是系统时间(表示成Pcyc)图。
图2是描述对来自独立的测速仪通道的测速仪计数进行平均的功能方框图。
图3A是设置车轮尺寸开关装置的框图。
图3B提供车轮尺寸开关回送数据。
图4是车轮尺寸因子校核装置的功能方框图。
图5是速度限值因子校核装置的功能方框图。
图6是安全速度校核装置的功能方框图。
图7A是产生(速度)分布图第一级循环的功能方框图。
图7B中的功能方框图给出图7A所示循环的继续。
图7C给出另一组产生分布图第一级循环表。
图8A是产生分布图第二级循环功能方框图。
图8B是一组产生分布图第二级循环表。
随着本文的叙述,本领域技术人员会十分清楚地看到,各种功能框图描述了实现本系统中所需功能的多种装置。还将进一步理解到,这些装置可以采取在某些情况下的分立硬件部件的形式,也可以在其他情况下采取等效的编程微处理器的形式来实现所要求的功能。
一个数字式超速控制器包含几种功能。每种功能的设计必须保证该功能所产生的信息或所作用的信息的完整性不能受到损害。这是由于该装置的极端重要性(生死攸关)而强加于该系统的要求。
要实现的功能是a.把一个测速仪的输出脉冲解释为速度和距离信息。
b.对测速仪数据进行平均以消除虚假的速度“跳跃”,而同时又要保持适当的速度灵敏度。
c.读取手动“车轮尺寸”开关值以确定车轮尺寸。
d.利用车轮尺寸来校正平均速度信息,以确定实际火车速度。
e.输入外部产生的速度限值信息。
f.确定火车速度是否在有效速度限值以下。
g.产生一个速度限值分布图,它的形状由火车的最小制动能力决定。以预先确定的速率(作为行车距离的函数)对速度限值分布图进行减值。只有当外部产生的速度限值从较高限值变成较低限值时,该速度限值分布图才被引用。
控制器内部采用的“有效”速度限值是外部产生的速度限和内部产生的速度分布两者中的较大者。
术语定义在本文范围内对下列术语作出定义。
反面失灵(WrongsideFailure)任何导致实际的或潜在的不安全状态的硬件部件失灵。这里使用“潜在的”一词指那样的一些情况,那里可能需要一组特定的外部环境才会产生某种不安全的结果。在本文中,不安全状态是指所产生的容许性(Permmisive)输出多于在没有出现部件失灵时所应该产生的容许性输出。
极度安全的(Vital)一项功能或操作的一种特征,它要求该功能或操作能安全地运行也就是说,在硬件失灵事件中反面失灵的概率要低到一个可接受值。
它也是一个系统或装置的一种特征,它使该系统或装置在运行过程当中发生硬件失灵事件时出现反面失灵的概率将低到可以接受的程度。
NISAL(数值指示安全保障逻辑NumericallyIndicatIndicatedSafelyAssuranceLogic应用于基于微处理器的系统的一个设计概念,它赋予该系统某些特征1.一个逻辑的或数值的运算的完成及其产生是极度安全地由一个唯一的N位二进制数值来代表。这个值是由该运算构成的,并且只有当该运算成功地完成时该值才存在。
2.将NISAL应用于一项以微处理器为基础的功能时,要求每一个必须极度安全的运算的完成都要由产生一个被选定为代表该运算成功地完成的唯一数值来加以证实。
3.对于代表某运算成功地完成的一个正确的N位二进制数值,当没有进行该成功运算时产生该N位二进制数的概率可以证明是小于或等于某一固定值的,这个固定值称作“反面失灵概率(PWF)(ProbabilityofaWrongsideFailure)。多项式除(PolynomialDivision)这里所用的多项式除定义为一个N位二进制数被一个N阶原(始)多项式(P)除。这一运算产生两个结果商Q和余数R。
利用多项式除能把A、B和C三个值按下述方式组合在一起A被P除产生R(A)。R(A)与B作“异或(XOR)”运算,其结果被P除产生R(AB)。R(AB)与C作“异或”运算并被P除产生R(ABC)和Q(ABC),两者中任何一个都可以作为最终结果。
上面描述的多项式除的一个性质是如果三个值A、B和C中任何一个出错或全部出错,其结果R(ABC)(或Q(ABC))仍为正确值的概率实质上是1/2**N(2的N次幂分之一)。这是由于“被原始多项式除”具有伪随机性所决定的。
预先准备好的(preconditioning)在上述例子中,参数值A、B和C通过多项式除组合在一起构成结果R(ABC)和Q(ABC)。这样,数值R和Q便是由数值A、B和C唯一确定的。如果要求R(ABC)或Q(ABC)之一具有预先确定值,那么多项式除处理过程便是有先决条件的”,即首先把参数A与一个预先准备好的常数”作“异或”运算,该常数可以保证只有当A、B、C三个值是正确值时其结果(R(ABC)或Q(ABC)才是那个预先确定值。
请注意,采用预先准备值并不影响通过多项式除来组合的值的完整性。
在问题描述一节中所列举的每项功能的实现方法描述如下,但首先要描述两个概念,即“差异通道(DiverseChannels)”和“偶/奇系统循环周期(Even/OddSystemCycles)”。
差异通道(DiverseChannels)在超速控制器中始终保持两个“通道”。它们从两个独立的测速仪输入开始,而下面描述的全部功能表明,在这两个通道的每一个上所完成的操作都是分开的。每个通道的数值结果是不同的。将要表明,这两个通道之间的数值差将用于证明所描述功能的完善性。这两个通道表示为CHI和CH2,在各变量中的下标1和2代表它们各自的通道(见图1A)。
偶/奇系统循环周期(Even/OddSystemCycles)“系统循环周期时间”表示为Tcyc(图1B),其标称值为100毫秒。在每一个系统循环周期内完成全部功能。为了能极度安全地区分开两个相邻周期得到的结果数据,将其循环周期表示成偶数周期和奇数周期,每种操作在偶同期和奇周期中的结果产生不同的数值。与偶周期相联系的变量和结果以下标“e”代表,而与奇周期相联系的值以下标“o”代表。
A.测速仪输入有两个测速仪CHI测速仪和CH2测速仪。这两个测速仪是彼此独立的并假定是完全相同的。所谓彼此独立是指它们没有共同失灵状态,并在所有方面都保持物理地分离,唯独是共同供电,它们本身保持物理分离直到它们在系统电源处的接点为止。所谓完全相同是指为这里所描述的目的,它们产生严格相同的波形。
每个测速仪产生近似方波(见图1A),其频率与基于常数PFREQ的火车速度成正比,PFREQ的单位是HZ/MPH赫兹/英里/小时。
图18给出如何将测速仪波形转换成每个周期Tcyc中的计数,这里Tcyc是系统循环周期时间,标称值是100毫秒。测速仪脉冲增量计数器CNTR1和CNTR2在每个脉冲的正沿计数。对计数器以每100毫秒间隔读数,对系统周期“n”分别产生计数C1(n)和C2(n)。为便于在这里的解释,我们将假定C1(n)和C2(n)是相同的。
这里的CNTR1和CNTR2也是独立的,对它们经过不同的总线结构等来读数,因此C1(n)和C2(n)也是彼此独立的。
显然,时间Tcyc是极其重要的。必须表明以严格的100毫秒间隔对CNTR1和CNTR2读数,从而证明由C1(n)和C2(n)计算出的速度是精确的。
为此目的使用了独立的钟CLK1和CLK2(见图1)。CLK1确定系统循环周期时间Tcyc,而CLK2实现对周期时间的独立校核。由周期“n-1”到周期“n”,在CNTRc2中的计数值应该是一个确切的N位二进制值。这个值VTcyc与其他因子结合构成安全速度确认值VSSe/o。(见下文中的F节)。
B.速度平均进行平均以平滑测速仪输出数据C1(n)和C2(n)。图2表明采用一种算法去平均这两个测速仪输出计数C1(n)和C2(n)的结果。这种算法是通过乘法器10、12、14、16、18、20和加法器22、24、26来实现的,或者由适当的微处理器通过相应的程序来实现这一运算。注意区分这两个独立的通道CH1和CH2。通道1的输入是测速仪计数C1(n);而通道2的输入是测速仪计数C2(n)。
AS2(n-1)是在周期(n-1)计算出的通道CH2中的平均速度。对当前周期的AS2(n)是这样计算的AS2(n)=(C2(n)*Z)/M+AS2(n-1)*(1-1/M)这里,Z=一个任意的乘数因子,用于避免C2(n)被M除时损失有效数字位数。
M=一个整数,以使当前周期计数(C2(n))的M分之一加到前一周期平均值的M分之(M-1)上。
然而,还要证明这种“平均”操作是在两个通道上完成的。图2给出一个形为De/o的数值标记加到CH1中的C1(n)*Z上。De加到偶数周期上,Do加到奇数周期上。所选定的De/o值有如下约束条件定义K=M的整数倍。
K=在n+O的AS1(O)初值。
于是De=2KM-KDo=-2KM+KAS1(n)=(C1(n)*Z+De/o)/M+AS1(n-1)*(1-1/M)结论AS1(n)=AS1′(n)+Ke/o这里,AS1′(n)=没有“标记”Ke/o时的实际平均CH1速度。
Ke=KKo=-K。
在这一点上,两通道间的数值差是Ke/o。如果在所有的周期期里都存在这一差值,在接续的周期上动态地从Ke变成Ko又变成Ke等等。那么将证明a.在每一通道上已正确地完成了平均运算。
b.测速仪计数C1(n)和C2(n)曾是相等的。
C.确定车轮尺寸火车速度可以计算出来,其值为AS2(n)/((PFREQ((PFREQ(hZ/mph)*Tcyc),单位是MPH。但这是在标称车轮尺寸WWO情况下的值。有16种车轮尺寸值,每一种表明车轮尺寸比标称值小多少个单位数,因此要求火车速度乘以一个成正比的分数值。
首要任务是构成一个开关装置,它不能够随意改变开关设置而使所反映的车轮尺寸小于人工设置的值。
第二项任务是读出开关值以确定车轮尺寸,然后再证明开关值是被正确读出的。
车轮尺寸开关结构图3A给出了车轮尺寸开关配置。在开关图象中有4列5行。每一列代表一个数值量程,而头4行代表1/4量程。每一列的第5个位置代表“未使用”位置。在每列和每行的交叉点可以作机械联接。在每一列中有一个且只有一个位置必须联接。三列必须有在“未使用”位置的联接,而一列应该有一个在有效量程位置之一的联接点。
图3A给出一个例子。这里的各列代表自27″、28″、29″和30″起的1英寸量程,两每一行代表1/4英寸增量。
这样,第1列在其与各行的交叉点上有值30.75″,30.50″,30.25″,30.00″和“未使用”位置。类似地,第2列有值29.75″,29.50″,29.25″,29.00″和“未使用”,第3列和第4列也类似。于是预置(defauetvalue)车轮尺寸值是31英寸。
读取车轮尺寸开关值用5个N位二进制数来读取车轮尺寸开关。它们表示为IWOO,IW25,IW50,IW75和IWNU。这些值被串行写入那5个开关行(见图3A)。4列被连到CPU(中央处理器)数据总线且串行读取。此外,头4行直接联接到数据总线,越过开关。数据由数据总线收集并经多项式除组合起来。只有当一个且仅为一个联接点处在一列的有效量程位置上,而所有其他列为“未使用”位置联接时,这个结果值才是车轮尺寸的唯一代表值。
图3B给出对每一个有效车轮尺寸开关配置在8个数据总线位上的返回值。请注意,预置值是全部处在“未使用”位置,它产生标称车轮尺寸WWO。这样,包括预置值在内共有17个有效车轮尺寸值。它们表示为WW0,WW1,WW2,…,WW16。
值WWi(i=0,1,2,…,16)是车轮尺寸开关位置的极度安全代表值。就是说,不会以大于随机产生WWi的概率造成单个失灵(或一组非同时的失灵)引起的结果值(即由开关读出的一组N位二进制值经多项式除得到的组合值)为一组WWi中的另一个值而不是代表实际设置位置的那个值。这个概率的最大值是16/2**N。
对于所有不正确的开关设置以及开关硬件和总线硬件等失灵情况,上面的陈述都是成立的。请注意,上面的陈述涉及非同时失灵组,这意味着在这组中的单个失灵是可检测出的。
车轮尺寸开关值还必须以不采取极度安全措施的方式读出来,以确定选择了哪一种位置(0,1,2,…,16)。其完成方法是对“未使用”行置0,而对其他行置1,来确定所选的列。然后对头4行依次置0直到所选的列变为O,以此确定在该列内选定的行位置。这样得到的值表示为WSNV,这里WSNV=0,1,2,3,…,16。
这样,车轮尺寸由WSNV值给出,而值WWi提供了WSNV的安全性确证。
此外,WWi之值在偶数周期和奇数周期是不同的。实际上WWi被指定为WWie和WWio。这些值是由两组“初始”值IWOOe/IWOOo、IW25e/IW25o、等等构成的。
D.用车轮尺寸校正速度图4给出在每一道上完成的由于车轮尺寸而校正平均测速仪数据的操作。第一个操作是根据车轮尺寸的“非极度安全”表示值WSNV来寻找一个“分数值”乘数因子QW。利用WSNV去读取一个由17个值组成的表(TBLQW),以选择适当的表条目。该条目是一个分数,它已被乘以任意选定的整数WWMULT,从而QW+int〔(WWMULT*(WSNV车轮尺寸)/(标称车轮尺寸)〕这一过程使QW成为一个整数值。如果要使两通道之差保持为严格的整数值,就必须使QW为整数值。
在乘法操作之后,CH1=QW*AS1(n)+QW*AS1″(n)+QW*Ke/oCH2=QW*AS2(n)接下来,由简单减法求出两通道之间的差值,该差值应该等于QW*Ke/o,即在偶周期为QW*Ke,在奇周期为QW*Ko。
下一步操作是构成极度安全确证值VQe/o。VQe/o是通道差(QW*Ke/o)、极度安全车轮尺寸确认值(WWie/o)以及一个规格化常数(从偶/奇表TBLWWd/o中选出的)三个值的组合(通过多项式除)。该规格化常数预先规定了多项式除的形式,从而保证只有在下述条件下其多项式除的结果才将具有VQWe/o的预选数值a.从TBLQW表中选出的乘数因子QW与WWi相对应。
b.每一通道都曾被QW乘。
c.在相乘之前,通道差值为Ke/o,从而证明每一通道的测速仪输入数据被平均过。
请注意VQWe/o与“i”无关,即不论选择哪一个车轮尺寸VQWe只有一个值,对于VQWo也是如此。
上述这些操作把火车速度调整到小于只由测速仪数据指出的速度值(如果车轮尺寸不为标准值的话)。如果这一操作中出现错误,就会使火车的表面速度低于它的实际运行速度,显然这是一个反面失灵。
然而,如果确证值VQWe/o具有正确值,那么由通道CH2所代表的火车速度小于实际火车速度的概率(如果车轮尺寸开关已正确设置了)不会大于16/2**N。这里请注意。参加组合构成VQWe/o的所有数据都是N位二进制数。
E.输入外部速度限值参照图5,要求外部速度限值信息具有如下形式对偶数周期为XSLNV和XSLe,对奇数周期为XSLNV和XSLo。XSLNV是速度限值的未采取极度安全措施的代表值,含有以1英里/小时(mph)为增量间隔的代表速度限值的整数值。
XSLe是一个以极度安全措施产生的N位二进制值,用于在偶周期证实XSLNV值的正确性。XSLo在奇周期起同样作用。
对于输入速度限值数据不需要什么特殊的注意事项,只是对于一个输入,从一个周期到另一个周期时XSLe/o不能被保留,必须由下一个周期的值复盖写入。
F.产生安全速度确认值参照图6,只有当平均校正(车轮尺寸校正)火车速度小于“有效”速度限值时才产生安全速度确认值VSSe/o。在这里所考虑的情况中,有效速度限值是XSLNV。
要完成两项操作以一个因子(>=1)乘平均火车速度,把速度作为当前速度限值的函数加以调整;然后,若被调整后的速度值小于或等于预先确定的阈值,则建立VSSe/o值。
乘以速度限因子QS将平均速度乘以与有效速度限和最大速度限之比成正比的因子(QS)使得其结果可以与最大速度相比较,后者作为固定的阈值用以确定火车是否低于有效速度限值。
作为一个例子,如果最大速度限为150mph,当前速度限为50mph,而平均速度值为Xmph,那么如果X被乘以QS=150/50=3,其值3X便可以与150来比较以确定是否存在低速状态。这就使得与一个固定阈值比较,该阈值与有效速度值无关。然而,必须证明,平均速度的确已被QS所乘而且QS的值相应于XSLMAX/XSL之值。
图5给出两个通道乘以QS之前和之后的值以及如何产生VQSe/o作为包括QS的操作的安全确证。
图5给出CH1和CH2的初始值以及两通道之差CH1-2,表示如下CH1=QW*AS1(n)=QW*AS1′(n)+QW*Ke/oCH2=QW*AS2(n)CH1-2=QW*Ke/o常数Re/o为一个任意整数值,它加到CH1上的方式与加De/o的方式极相似。Re/o作为一个“标记”以检验每一道是否乘过QS。这里CH1之值是CH1=QW*AS1(n)+Re/o=QW*AS1′(n)+QW*Ke/o+Re/o乘数因子QS是用XSLNV作为索引从表TBLQS(图5)中选出的。由于每一个可能的速度限都有一个QS值,而且可能的速度限值从1mph到XSLMAXmph以1mph为增量间隔,因此共有XSLMAX个QS值。QS值实际上是QS=(XSLMAX/XSL)*SLMULT这里,XSLMAX=最大速度限值XSL=当前的外部速度限值SLMULT=任意整数乘法因子CH1,CH2和CH1-2乘以QS,于是CH1=QS*QW*AS1(n)+QS*Re/o=QS*QW*AS1′(n)+QS*QW*Ke/o+QS*Re/oCH2=QS*QW*AS2(n)
CH1-2=QS*QW*Ke/o然后从CH1中减去CH1-2,得到CH1=QS*QW*AS1(n)+QS*Re/o-QS*QW*Ke/o=QS*QW*AS1′(n)+QS*Re/o于是发现两通道之差为CH1-2=QS*Re/o(假定AS1′(n)=AS2(n))。
现在必须对涉及QS的操作进行验证。必须证明QS的选取是正确的(即相应于当前的XSL),而且两个通道都被乘以QS。
完成这件事的办法是把CH1-2、XSL及一个规格化因子组合起来以在适当的偶/奇循环周期产生固定的唯一值VQSe/o,以此构成确证值VQSe/o。
规格化常数是用XSLNV去检索适当的偶/奇规格化表(TBLSLe/o)选出的。XSLNV预先限定多项式除,使之只有在下列情况下其结果才会有对VQSe/o选定的预选数值a.从TBLQS选出的乘法因子QS相应于当前的XSL值。
b.每一通道都乘过QS。
最后一步操作是构成安全速度确证值VSSe/o,它证明火车当前的平均速度小于或等于当前的有效速度限。图6绘出如何构成VSSe/o,其方式是如果下述操作产生正确的VSSe/o值,它便包括证明a.VQWe/o和VQS是正确的b.由每一通道的数值代表的平均火车速度是相同的。
c.平均火车速度小于或等于当前的XSL值。
为构成VSSe/o所需操作如下1.通道2中的值实际上是CH2=QS*QW*AS2(n)*Z*WWMULT*SLMULT通道2之值除以Z*WWMULT*SLMULT,产生CH2=QS*QW*AS2(n)。
通道2之值有XSLMAX*PFREQ*Tcyc个可能有效整数值中的一个最大值。提供了一组表TBLSSe和TBLSSo,其中每一个包含了对CH2中每一可能整数值的N位二进制规格化因子。CH2中的整数值也用作取得相应规格化因子的索引。
2.通道1中的值实际上是CH1=(QS*QW*AS1′(n)*Z*WWMULT*SLMULT+QS*Re/o*SLMULT。
此时,CH1有XSLMAX*XSLMAX*PFREQ*Tcyc个可能的有效整数值。为了减少这些值的数目,从CH1中减掉一个等于QS*Re/o*SLMULT-Te/o*Z*WWMULT*SLMULT的值。
对于QS*Re/o有XSLMAX个可能值。构成了一组表TBLQSRe和TBLQSRo,分别包含对应于偶数周期和奇数周期的QS*Re/o*SLMULT-Te/o*Z*WWMULT*SLMULT的所有可能值。
以XSL作为索引来读取这些表。经过减法之后,CH1有值CH1=(QS*QW*AS1′(n)+Te/o)*Z*WWMULT*SLMULT然后CH1除以Z*WWMULT*SLMULT,给出CH1=QS*QW*AS1′(n)+Te/o注意包含因子Te/o用于两个目的第一,表TBLQSRe/o中条目的数值不等于QS*Re/o*SLMULT。由于在处理过程中找到CH1和CH2之差时因子QS*Re/o是极度重要的结果,因此若在一个表中能够找到其值则可能是不安全的。第二,以这种方式把Te/o加到CH1的值上用于保持CH1之值与CH2之值可以区分。这一点在下一步操作中是重要的,那里每一道的值经多项式除加以组合。如果CH1不能与CH2区分开,便不能证明CH2没有被使用两次。
3.下一个操作是通过多项式除把五个因子组合起来。图6给出VQWe/o,VSWe/o,QS*QW*AS2(n)(CH2之值)、QS*QW*AS1′(n)+Te/o(CH1之值)、系统周期时间确证值VTcyc、以及由表TBLSSe/o中找出的正规化常数。结果VSSe/o是如下事实的极度安全确证火车速度小于或等于当前有效速度值(在这种情况下是XSL)。
G.产生极度安全速度限分布从功能上看,速度限分布发生器完成如下功能a.只有当外部产生的速度限显示出从较高到较低的变化时才初始化速度限分布。
b.从先前的(较高的)外部限值到当前的(较低的)外部限值,以1mph步长降低的分布图代表的降低速度限。
c.降低速度限分布,作为以等于或超过火车最小制动能力的速度运行距离的函数。
这就是说,如果火车的最小制动能力为Amph/sec那么速度限分布将每过距离“d”便减小1mph,这里“d”是以当前速度限分布值在1/A秒里运行的距离。
例如,如果A=2mph/秒,而外部速度限从100mph变成50mph,那么这个速度限分布的第一个值是100mph。在火车必须以速度99mph行驶之前它可以使速度100mph保持 1/2 秒。以100mph运行 1/2 秒的距离是(100/3600/2=0.0138英里=73.3英尺。如果知道PFREQ和车轮尺寸这个值最终可以转换成测速仪脉冲数。
为了保证这些功能被正确地实现,必须可靠地证明下述事实ⅰ.该速度分布不会以一个大于先前高的外部速度限起始。
ⅱ.速度分布减小的速率等于或大于指定的最小制动速率。
图7a、7b和7c描述产生初始分布速度的操作。
图8a和8b描述产生次级速度分布的操作。
将利用上面给出的例子来解释这些操作,上例中XSLe/o(n-1)=100mph也表示成XSLe/o(n-1)(x),这里x=速度限值(单位mph,在本例中为100mph)。
第一级产生速度分布操作1.图7a给出通过多项式除把XSL(n-1)e(100)与规格化常数SLIXTo(100)组合,形成两个结果Quot.(商)=XT(d(100)),这里d(100)是允许以100mph速度运行的距离;
Remainder(余数)=RIPo(100)。
XT(d(x))将用于第二级操作并将在下文中解释。XSL(n-1)e(100)是从前一个周期(n-1)(这里它恰好是一个偶周期)得到的外部速度限,它是代表100mph的N位二进制数。在本例中当前周期是奇周期,所以规格化常数SLIXTo(100)是从表TBLIXPSL中取得的(见图7C)。在表TBLIXPSL中对每一个外部速度值有一组规格化常数。
余数结果RIPo(100)再由表TBLIXPSL中的另一个值ISLPo(100)来规格化。RIPo(100)和ISPLo(100)组合成Po(100)作为余数。然后,Po(100)用于初始化第一级产生速度分布循环(图7a),在该循环中每经过Tcyc秒便产生一个合法的速度限分布值PSLe/o(100),直到火车走过距离“d(100)”为止。
2.第一级产生速度分布的循环操作如下ⅰ.以值Pe/o(x)进入该循环。请注意,从现在起将用x表示所产生的当前分布速度限值。Pe/o(x)或者如上面描述的从速度分布初始化功能来产生(即从由高XSL值到低XSL值的变换开始),或者由前一个循环中的Pe/o(x+1)的运算得到。
ⅱ.Pe/o(x)与Ze/o组合,构成PSLe/o(x)(实际分布速度限)作为商结果,构成RPe/o(x)作为余数结果。请注意Ze/o是第二级产生速度分布操作的输出(下文中描述),它证明火车以某一最小速度运行(累计距离);两个“距离累计”通道彼此一致;减量距离(d(x)没有被超过。
ⅲ.然后,将规格化常数XPo/e(x)(注意其相反周期含义)与RPe/o(x)组合,构成余数Po/e(x)(即Pe/o的反义)。过Icyc秒后,将再由第二级操作构成Zo/e,其循环将重复进行。
第一级循环将继续下去,直到不再能够由第二级操作产生Ze/o为止(距离d(x)已经消逝)。在这时候,将产生Pe/o(x-1)(如图7b所示),于是进入新的第一级循环。
3.由Pe/o(x)产生Pe/o(x-1)的过程如下(图7b)ⅳ.Pe/o(x)将通过多项式除与规格化因子IXTe/o(x-1)及Ze/o(由第二级产生速度分布操作得到)组合起来,这里Ze/o是在上一个循环中对于D(x)产生的,即在运动距离等于d(x)时产生的。
ⅴ.上述组合产生XT(d(x-1)作为商数,产生RIPe/o(x-1)作为余数。同前面一样,XT(d(x-1)用于初始化一个新的第二级循环,而RIPe/o(x-1)与规格化因子IPe/o(x-1)组合构成Pe/o(x-1),它是下一个第一级循环的初始值。
ⅵ.现在,新的第一级循环由上述迭代步骤ⅰ至ⅲ构成,直至走完相应于当前分布速度限(x-1)的距离为止。由第二级循环产生的因子Ze/o为每一个Tcyc周期提供了“距离尚未达到”的保证。当已达到距离d(x-1),上述ⅳ和ⅴ两步对新的速度限(x-2)重复进行,依此类推。
4.图7C给出规格化表。TBLIXPSL包含有规格化值,当速度限从高变到低之后用于由某一XSL速度限起始化第一级循环。每一个外部速度限有4个条目。
TBLPSL包含的规格化值用于速度分布值从一步值减到下一步值时对第一级循环初始化。每一步代表1mph。这样,在TBLPSL中的分段数目等于XSLMAX,而每一分段有6个条目。
第一级操作概要需要一个代表速度“x”的有效外部速度限XSL(n-1)(x)来开始其速度分布。它与N位二进制规格化因子一起产生第一级循环和第二级循环的初始值(分别为Pe/o(x)和XT(d(x))值得注意的重要之点是,只有当需要距离d(x)时才会把第二级循环初始值插入该循环,而在任何其他距离上都不会被接受。
第一级循环的任务是只有当第二级循环提供证据证明需要降低PSLe/o(x)的距离还没有走完时保持当前速度分布限值(PSLe/o(x)有效并在偶奇周期上动态地变化。
第二级产生速度分布操作第二组产生速度分布操作取XT(d(x))作为输入。这个初始值允许在第二级循环中产生交替的Ye/o值,直至火车已走过距离d(x)为止。为产生Ze/o,其操作必须极度安全地保证a.每Tcyc秒内接收某一最小数目的测速仪脉冲。
b.在两个通道上接收的测数仪计数量相等的。
c.在Ze/o值保持有效期间累计的测速仪脉冲数不能超过d(x)。
图8a给出这些操作的示意图。其步骤如下
1)XT(d(x))插入到CH1和CH2中各自的缓存器中。它们称作XT1(i)和XT2(i),其中下标i代表示达到d(x)之前允许累计的测速仪脉冲数目。随着操作循环的进行,“i”将从其初始值减小到“o”。
ⅱ)在CH1中将常数Ke/o与XT1(i)作XOR(异或)操作。然后将每一通道的值在多项式除法器中按照在各自通道中周期“n”内累计的测速仪计数进行移位操作。CH1的测速仪计数用j1(n)表示,而CH2的用j2(n)表示。当没有失灵情况时j1(n)=j2(n)。
当完成移位之后,这两个通道之差应为Ke/o值移位“j”次后的结果。这里CH2是与CH1作“异或”操作,在CH1中给出Ke/o(j)。CH2中的值(XT2(i)在移位“j”次后表示为XT2(i-j(n))。
由CH1-CH2=KIe/o(j)这一事实证明计数j1(n)与j2(n)相等。如果j1(n)<>j2(n),那么对任何“j”值都不会由CH1-CH2产生有效的Ke/o(j)。
ⅲ)由Ke/o(j)、TBLKe/o(j)、YT2(i-j)和TBLXT(i-j)的组合(通过多项式除)构成Ze/o。请注意,TBLKe/o规格化条目的数目是限定的。为保证每个周期测速仪脉冲数目达到极小值(m)。TBLKe/o(j)条目j=1,2,3,…,m-1是不存在的。类似地,对于(i-j)<0,不存在规格化常数TBLXT(i-j)。
图8b给出第二级表TBLKe/o和TBLxt(K)的格式。
第二级操作概要在交替的系统周期(Tcyc)N位二进制值Ze/o的构成证明速度分布值正在正确地减小。请注意,与减小速率(它又是最小制动速率“A”的函数)有关的信息包含在由第一级部分产生的初始XT(d(x)值当中。这些值规定了在速度限值必须减小1mph之前以给定速度“x”运行时可以经过多少个测速仪脉冲。
在分布速度限PSL(x)等于或小于当前的外部速度限XSL(x)时,速度分布是不连续的。这可以用不采取极度安全措施的方式确定,因为如果速度分布继续产生速度限值,它们必定是低于XSL(x)所允许的速度,因而不是一个反面失灵。
尽管已经描述了所考虑的本发明最佳实施例,但本领域的人们会理解到,可以对本实施例进行修改。因此,希望不把本发明局限于这些实施例。
权利要求
1.一个用于控制机车运动的极度安全处理系统中的数字式超速控制器,包括信号接收装置,用于接收和记录外部产生的速度限值;用于产生系统工作周期的装置,一对独立的测速仪连接到通向各自计数器的通道上;所述测速仪计数器和所述系统周期发生装置的运行产生相同的波形;平均这两个独立的测速仪计数的装置;对平均过的测速仪计数作车轮尺寸校正的装置;产生安全速度确证的装置,只有当当前前平均火车速度小于当前的有效速度限时才会产生这种确证信息;产生极度安全的速度限分布的装置,只有当所述外部产生的速度限显示出从较高速度限变成较低速度限时该装置才去初始化速度限分布。
2.根据权利需求1所定义的装置,其中所述极度安全速度限分布发生器包括以小的间隔步长将速度分布所代表的速度限值从较高的外部产生的速度限降低到当前的较低速度限的装置。
3.根据权利要求2所定义的装置,其中所述极度安全速度限分布发生器还包括把分布速度限作为以等于或超过火车极小制动能力的速率所运行的距离的函数进行减速的装置。
4.根据权利要求1所定义的装置,它还包含有车轮尺寸开关排列装置,用于测量车轮尺寸。
5.根据权利要求4所定义的装置,它还包含车轮尺寸乘数因子确证装置,借以证明已经正确地读出了车轮尺寸开关装置。
6.根据权利要求1所定义的装置,其中产生安全速度确证的装置包含有通过多项式除法把五个因子组合起来的装置。
全文摘要
一种控制机车运动的极度可靠处理系统中的数字式超速控制器,包括用于接收和记录外部速度限值的信号接收装置;用于产生系统工作周期的装置;连接到各自计数器通道上的两个独立的测速仪,所述测速仪计数器和系统周期发生器产生相同的波形;平均这两个独立的测速仪计数的装置;对平均的测速仪计数作车轮尺寸校正的装置;产生安全速度确证的装置;和产生极度安全的速度分布的装置。
文档编号B61L3/00GK1042874SQ8910876
公开日1990年6月13日 申请日期1989年11月22日 优先权日1988年11月22日
发明者戴维·B·拉瑟福德 申请人:通用信号公司