专利名称:控制安全苛刻的铁路运行过程的方法和实施该方法的装置的制作方法
技术领域:
本发明涉及一种按照权利要求1前序部分的方法以及一种按照权利要求12的前序部分的用于实施该方法的装置。
背景技术:
铁路运行过程属于安全苛刻的过程,因为可能的功能故障如果没有被及时地识别并被阻止其对过程的影响的话,可以导致巨大的财物损坏并可能造成人员的伤害。出于这种原因,迄今为止对于这种过程的控制采用信号技术上可靠的装置,其任务是,对待控制过程内以及过程控制本身的内部功能故障进行识别,并由此将过程引导至或者保持在一个更安全的状态。这种信号技术上可靠的控制可以用不同的技术实现,例如用继电器技术或者用电子技术。在信号技术上可靠的过程控制中迄今采用昂贵的专用计算机,该计算机对当前处理任务两个通道地进行处理,并实时信号技术上可靠地比较处理流程在内容上的一致性。只有当两个处理通道分别得到的结果相同时,才将处理控制指令输出到待控制过程的过程部件;否则中断至该过程的连接,除非存在至少一台可以接管并实际接管出故障的计算机的功能的备用计算机。
上述可靠地输入和输出数据以及进行数据比较的功能,包括必要时可靠地断开过程部件的功能,通过可靠计算机的系统软件实行。此外,可靠计算机迄今还包括用于实际过程控制(例如集控站控制)的铁路管理专用软件。铁路管理专用软件通过各铁路管理运行规定确定,并描述例如由其预先给定的进路排列和进路解锁的依赖关系(Signal+Draht(信号+导线),77(1985)12,第259-265页)。铁路管理专用软件不仅由于铁路管理机构的不同而不同,而且也由于同一铁路管理机构的设备的不同而至少部分地不同。这意味着,安装在信号技术上可靠的计算机中并在其中运行的软件随应用情况的不同而不同,其中,对于每种应用情况所加载的软件的正确性必须通过可靠性证明得到证明或者使人信服。通过在每台计算机中系统软件和铁路管理专用软件的混合,导致复杂的软件包,这些软件包难于看清楚并在建立和验证中费时且昂贵。
发明内容
本发明要解决的技术问题是,提供一种按照权利要求1前序部分的用于控制安全苛刻的铁路运行过程的方法,该方法在建立对于可靠过程处理所需要的程序中的开销较少,并且可以对铁路运营商对过程控制的可能改变的要求迅速而低成本地作出反应。本发明要解决的另一个技术问题是,提供一种实施该方法的装置。
本发明是通过权利要求1以及权利要求12的特征解决上述技术问题的。本发明的基本思想在于,将铁路管理专用软件由信号技术可靠的计算机中加载到商用计算机中,在商用计算机中数据被分别处理至少两次,并在输出给过程之前在信号技术可靠的计算机中进行一致性验证。信号技术可靠的计算机除了数据比较的任务之外,主要还有如下任务对输入提示和命令进行可靠的采集并传递到商用计算机上,以及可靠地影响过程部件并在故障情况下信号技术可靠地中断至过程部件的连接。
本发明方法以及本发明装置的优选实施方式和扩展在从属权利要求中给出。
下面对照附图所示的实施方式对本发明作进一步的说明。其中,图1示意性示出了本发明的用于控制安全苛刻的铁路运行过程的装置的结构,图2示出了相应的现有技术中的实施装置的结构。
具体实施例方式
图2示出了公知的信号技术可靠的计算机SR,用于优选通过相同的处理程序在两个独立的处理通道K1,K2中进行过程处理。该可靠的计算机SR表示任意数目的信号技术可靠的计算机;其数目主要取决于待控制过程的规模。待控制的过程是用来对铁路设备BA起作用的铁路运行过程。在图中一个道岔W和一个信号S表示铁路设备的过程部件。对过程部件控制和监视通过为此开发的控制和监视电路实行,其在图中没有明确表示出来,通过这些电路由可靠的计算机SR向过程部件发出控制指令并从该电路将提示M输入到可靠的计算机。
信号技术可靠的计算机SR将从过程传送给它的提示M通过通信总线KB输出到输入和显示计算机EAR。该输入和显示计算机除了别的功能外,按照在各铁路运行规定中确定的表示规则对铁路运行过程进行监视;它优选地被实现为信号技术方法可靠的计算机。通过该输入和显示计算机EAR还产生用于控制铁路运行过程的指令K并传送到信号技术可靠的计算机SR。在此,输入可以通过操作者,例如行驶业务主管进行,或者也可以通过例如用于自动化作业方式(Selbststellberieb)或者连续通过作业(Duchletbetrieb)的自动化技术进行。
提示和指令将在信号技术可靠的计算机中按照在各铁路运营商的运行规定中确定的条件和依赖关系被两个通道地处理。在两个处理系统的总线上出现的数据、地址和控制信号被实时地信号技术可靠地进行比较,以便能够立刻识别可能的偏差。在此,检查程序甚至对可靠的计算机的输入/输出寄存器以及其程序和工作存储器及其地址寄存器,在预定的最小时间间隔内进行检验,看其存储器是否既可以采取一种状态又可以采取另一种状态。这样,可以事件控制地或时间控制地识别出可能的功能故障并引起对外部设备的可靠断开控制指令不能再输出到道岔而信号为停止。
由于将由在图中用椭圆图形BO表示的铁路管理的各运行规定预先给定的条件和依赖关系存放到可靠的计算机SR的程序存储器中,并和系统软件混合,使得为了控制铁路运行过程而存放在可靠的计算机中的软件为一个性化软件,该软件非常复杂并且在建立以及在检验中都是格外地开销大。
在图1所示的按照本发明的用于控制铁路运行过程的装置中,同样至少有一台信号技术可靠的计算机SR*,其具有两个优选为相同构造和相同运行的处理通道K1*和K2*。它们的任务是,类似于按照现有技术的信号技术可靠的计算机SR,对所有输入给它的提示M和指令K可靠地进行采集并进行处理。其另一个任务是,信号技术可靠地将处理过的控制指令SB输出至各铁路设备BA的过程部件W,S,以及保证控制指令的输出在出现故障的情况下信号技术可靠地停顿。与现有技术不同,对用于铁路运行过程的控制和监视的、由各铁路运行规定BO定义的条件和依赖关系的处理不是在信号技术可靠的计算机SR*中进行,而是在商用计算机R1,R2,...Rn中进行。在这些商用计算机中还存放用于控制铁路运行过程的设备专用数据;计算机R1,R2代表一个或者多个计算机对,其中,每台计算机也可以属于多个计算机对;即由三台计算机可以组成三个计算机对。它们按照在各铁路运行规定BO中为了过程控制确定的条件和依赖关系相互独立地执行由可靠的计算机SR*输入给它们的处理任务A。每个商用计算机对R1,R2中的两台计算机将其处理结果传送到信号技术可靠的计算机SR*中,其中,必须为时间上在前的计算机R1或R2设置一个具有时间监视的等待时刻,在该时刻等待另外计算机的处理结果,或者在时间超出时进行故障处理。图1中示意性地示出了对于输入到商用计算机对R1,R2的提示和由其处理的输出以及存储器区域的签名的真实性的验证机制PM。通过输入和显示计算机EAR输入到可靠的计算机SR*的指令K由该计算机SR*转换成处理任务A并以电报的形式传送到商用计算机R1,R2;这引起在商用计算机R1,R2中按照各铁路运行规定BO的条件和依赖关系进行处理。
对于通过商用计算机的铁路管理专用软件的处理到达程序的继续处理要在预定的等待时间之后才能进行的程序点的情况,信号技术可靠的计算机用于相应于商用计算机的要求来保证商用计算机处理程序的同步,以便在等待时间过后继续程序的处理。例如,应该在等待时间过后数秒钟由商用计算机对特定的传感器提示进行读入和处理。
由商用计算机对R1,R2确定的处理结果E作为电报被送至信号技术可靠的计算机SR*,在那里被信号技术可靠地分配到两个处理通道K1*和K2*,并信号技术可靠地进行一致性比较。为了可靠地分配提示和可靠地将由商用计算机R1,R2处理的结果进行比较,在图中有一个功能块V,在其中存放着作为系统软件的有关程序。不同于商用计算机R1,R2的验证机制PM,信号技术可靠的计算机的验证机制PMS是信号技术可靠地实现的。
与按照现有技术构成的对应装置相比,本发明装置的优点尤其在于,在信号技术可靠的计算机中总是仅实现可靠的输入和输出以及可靠的数据比较的功能,并且独立于由单个铁路管理机构的运行规定分别确定的要求和条件。由此,不仅在可靠的计算机中运行的系统软件简单和清楚;其更是对于所有的应用情况是相同的,即,不再需要随着情况的变化而重新处理并进行许可验证。由各个铁路管理机构的不同运行规定确定的铁路管理专用软件在商用计算机中运行。其与可靠的计算机的系统软件的共同作用不必验证。而是仅要求,遵守信号技术可靠的计算机和商用计算机之间的专用接口,并且对在商用计算机中实现的铁路管理专用软件的功能进行检验,即,检验特定的输入是否实际上导致特定的输出。这种功能的验证与系统软件的验证分开进行,并且与现有技术不同,不再与可靠的计算机的系统软件结合,就其而言也是比现有技术更清楚的。
铁路管理专用软件的编制不一定由负责过程事件的信号技术可靠性的制造商为信号技术可靠的计算机实现。而是可以,将对商用计算机的程序编制的合同赋予有资格的工程师办公室等,其将其编制的软件与各铁路管理部门和例如联邦铁路局的授权机构进行调整。由此可将用于控制和监视安全苛刻的铁路运行过程的程序比迄今为止更迅速和更合算地与各种条件相适应,而不会因此附带任何对安全性的坏处。
在上面解释的实施方式中,商用计算机R1,R2表示一个或多个双计算机系统或者具有冗余计算机的计算机系统,其中,各计算机应分别运行处理各铁路运行规定预先给定的条件和依赖关系的相同程序,其中,优选各商用计算机或者分别仅实现运行规定的特定的部分功能,或者分别仅对铁路设备的特定部分起作用。不过,也可以这样来符合规定,即,商用计算机R1,R2分别为一单独的计算机,其中,将由铁路管理的运行规定确定的铁路管理专用软件的程序相继相互独立地处理多次(最少两次)。为此所需的铁路管理专用软件可以多样性地构成,但也可以对于两个处理过程在内容上相同。
对于将商用计算机处理的结果向信号技术可靠的计算机的传送,可以优选地使用非信号技术可靠的数据传送,其中,或者将两个通道上串行或并行处理的结果在两个通道上向可靠的计算机传送,或者将其仅通过一个通道相继两次传送。一个第二或者第三冗余通道提高了可用性。在从商用计算机至信号技术可靠的计算机以及相反的传送路径中可能的数据失真,可以在接收计算机中通过发送计算机签发的签名加以识别,该签名将电报内容通过一种计算规定进行编码。在向可靠的计算机串行传送数据时附加数据标记,该标记可使信号技术可靠的计算机识别,所传送的数据是否是当前的和实际来自于商用计算机的不同计算通道,以及是否是不同处理过程的结果;在通过分开的总线传送数据时,信号技术可靠的计算机可以从通过一条或另一条总线传送给它的数据识别,该数据是否也是实际来自于该商用计算机对的一台或另一台计算机。
在本发明的优选实施方式中,可以将商用计算机实现为所谓的操作终端计算机,通过该计算机可以由铁路工作者或者由自动装置给出用于实施铁路运行过程的指令,以及将铁路运行过程的响应可视化。这样,在操作终端计算机中相互独立地运行着用于输入和可视化指令和提示的程序,以及用来按照铁路运行规定控制过程部件的程序。用于输入指令和将过程事件可视化的程序也可以与如通过铁路运行规定预先给定的过程控制程序相结合。
信号技术可靠的计算机也可以实施为n中取m的计算机系统,其中,关于是否应该以及应该将哪些控制指令输出到过程的判断由至少两台无损伤计算机的多数表决决定。
将控制指令输出到过程由两个通道实现;每台计算机可以在确定处理故障时阻止控制指令的输出。
本发明的方法和本发明的装置可以具有优点地应用到所有安全苛刻的铁路运行过程。这样的应用例如可以是通过控制器对铁路运行的可靠控制,也可以例如是对铁路道口、计轴器设备(Achszaehlanlage)以及连续式列车自动控制(LZB)的段设备和列车设备的可靠控制。
权利要求
1.一种用于在使用至少一台信号技术可靠的计算机的条件下控制安全苛刻的铁路运行过程的方法,该信号技术可靠的计算机将输入指令按照铁路运行规定进行信号技术可靠地处理,并将处理后的控制指令信号技术可靠地输出到过程部件,并将过程部件产生的提示用于过程状态监视和过程控制,其特征在于,在所述可靠的计算机(SR*)中仅存放系统软件(V,PMS),该系统软件的程序使该可靠的计算机可以信号技术可靠地进行输入/输出以及信号技术可靠地进行数据比较,将铁路管理专用软件(BO)存放在至少一台非信号技术可靠的商用计算机(R1,R2)中,该铁路管理专用软件包含由铁路管理部门通过其铁路运行规定为铁路运行过程预先给定的条件和依赖关系,所述信号技术可靠的计算机由传送给它的指令(K)和提示(M)中产生处理任务(A)并将其传送至所述商用计算机,该处理任务在该商用计算机处至少被相互独立地处理两次,将处理的结果(E)和/或中间结果传送到所述可靠的计算机,并由该可靠的计算机信号技术可靠地进行内容一致性验证,其中,所述可靠的计算机仅接受这样的结果和/或中间结果,即,其由所述商用计算机至少双重一致地提供,并将从中导出的控制指令(SB)信号技术可靠地输出至过程(BA)。
2.根据权利要求1所述的方法,其特征在于,对于在商用计算机中所述处理任务的至少两次处理使用相同的或不同的软件。
3.根据权利要求1或2所述的方法,其特征在于,在对铁路管理专用软件(BO)的处理中产生的时间结果由所述信号技术可靠的计算机(SR*)根据商用计算机的要求进行同步。
4.根据权利要求1至3中任一项所述的方法,其特征在于,将由商用计算机确定的结果和/或中间结果通过非信号技术可靠的通信通道传送至所述可靠的计算机。
5.根据权利要求1至4中任一项所述的方法,其特征在于,设置了电报式的数据传送方式,并为该电报签名,各接收计算机根据该签名可以识别该电报是否未失真地传输。
6.根据权利要求1至5中任一项所述的方法,其特征在于,设置了电报式的数据传送方式,并为该电报签名,信号技术可靠的计算机根据该签名可以识别,在商用计算机的程序存储器和数据存储器中是否出现失真或者商用计算机的CPU不再正确地工作。
7.根据权利要求1至6中任一项所述的方法,其特征在于,将所述处理任务分别在至少两台商用计算机(R1,R2)中基本上同时地进行处理,或者仅在一台计算机中时间上串行地处理,并将所确定的结果和/或中间结果分别成对地传送至所述可靠的计算机,以用于比较。
8.根据权利要求7所述的方法,其特征在于,为所述电报附加标记,所述可靠的计算机依据该标记可以识别,该电报是否实际上是被分开处理的。
9.根据权利要求7所述的方法,其特征在于,所述可靠的计算机根据通过不同的输入传送给它的商用计算机结果提示识别,所述电报是否来自不同的计算机。
10.根据权利要求1至9中任一项所述的方法,其特征在于,所述商用计算机操作系统软件(BO)中的系统错误通过在有关计算机(R1至Rn)中采用多种操作系统而被排除。
11.根据权利要求1至10中任一项所述的方法,其特征在于,所述商用计算机硬件中的系统错误通过在有关计算机(R1至Rn)中采用多种计算机部件(主板,CPU,存储器)而被排除。
12.一种用于实施使用至少一台信号技术可靠的计算机控制安全苛刻的铁路运行过程方法的装置,该信号技术可靠的计算机将输入指令按照铁路运行规定进行信号技术可靠地处理,并将处理后的控制指令信号技术可靠地输出到过程部件,并将过程部件产生的提示用于过程状态监视和过程控制,其特征在于,在所述信号技术可靠的计算机(SR*)中仅实现一种系统软件,其程序使得该可靠的计算机可以信号技术可靠地进行输入/输出(K,E,M,A,SB)以及信号技术可靠地进行数据比较,设置了至少一台非信号技术可靠的商用计算机(R1,R2),其中实现了铁路管理专用软件,该铁路管理专用软件包含了由铁路管理部门通过其铁路运行规定(BO)为铁路运行过程的控制预先给定的条件和依赖关系,将所述可靠的计算机和商用计算机连接到一个通信系统(BUS)上,通过该通信系统所述信号技术可靠的计算机向所述商用计算机传送处理任务(A),并从所述商用计算机接收结果(E)和/或中间结果,其中,所述商用计算机设置用来对所述处理任务至少相互独立地执行两次,所述可靠的计算机将由所述商用计算机分别成对传送给其的结果(E)和/或中间结果信号技术可靠地进行内容一致性验证,并根据验证结果从中导出对过程部件(W,S)的控制指令(SB),并通过为此设置的驱动器输出给过程。
13.根据权利要求12所述的装置,其特征在于,在所述商用计算机中也仅安装其功能得到证实的程序(BO)。
14.根据权利要求12或13所述的装置,其特征在于,所述商用计算机利用相同的或者不同的软件分别至少执行两次所述处理任务。
15.根据权利要求12至14中任一项所述的装置,其特征在于,至少设置两台将相同处理任务成对相互独立执行的商用计算机。
16.根据权利要求12至15中任一项所述的装置,其特征在于,为了执行不同的功能或者部分功能或者为了控制和监视不同的设备部件,分别在单计算机或者多计算机实施方式中设置多台商用计算机(R1,R2)。
17.根据权利要求12至16中任一项所述的装置,其特征在于,至少一台商用计算机是操作终端计算机,通过该操作终端计算机将指令(K)输入到所述可靠的计算机并显示提示(M)。
18.根据权利要求12至17中任一项所述的装置,其特征在于,所述可靠的计算机是n中取m的计算机系统。
19.根据权利要求12至18中任一项所述的装置,其特征在于,所述可靠的计算机设置用来,根据附加在由至少一台所述商用计算机传送的结果和/或中间结果中的标记来识别,该结果和/或中间结果是否来自于不同的处理过程。
20.根据权利要求12所述的装置,其特征在于,所述可靠的计算机两个通道地向过程给出可能的控制指令。
全文摘要
在本发明控制安全苛刻的铁路运行过程的方法中,将程序分为系统软件(V,PMS)和铁路管理专用软件(BO)。通过在信号技术可靠的计算机(SR
文档编号B61L21/00GK1558848SQ01823823
公开日2004年12月29日 申请日期2001年11月22日 优先权日2001年11月22日
发明者沃尔克·戈里克, 伯恩德·普拉德, 拉尔夫·希瓦辛斯克, 希瓦辛斯克, 普拉德, 沃尔克 戈里克 申请人:西门子公司