区域控制器的重新初始化方法和相关的列车自动控制系统与流程

本发明涉及一种列车自动控制系统中的区域控制器的重新初始化方法。

背景技术：

这种系统以atc(列车自动控制)的简称而为人所知。

众所周知，atc包括彼此协作的不同系统以允许列车在铁路网络上安全地行驶。

存在有不同的atc。然而，本发明更具体地涉及“基于通信的列车控制”(cbtc)类型的atc。

图1中示意性地示出了cbtc架构的示例。

cbtc架构基于在列车16上存在安全计算机26。它们构成atc的车载组件。

列车的车载计算机确定一定数量的列车操作参数并与地面上的各种系统进行通信以允许列车安全地执行所分配的任务。这种车载计算机一方面涵盖列车的功能需求(即用于预定站交换乘客的服务)，另一方面控制安全点(即例如验证列车未超速行驶)。列车16的车载计算机26连接到车载无线电通信单元27，以能够与通信基础设施的基站37建立无线电链路，进而连接到cbtc架构的通信网络30。

cbtc架构的地面组件包括多个区域控制器(zc)。

网络被细分为多个区域，zc与每个所述区域相关联。在图1中，示出了三个连续的区域：sn-1、sn和sn+1。每个区域控制器与其相应的区域关联：zcn-1、zcn和zcn+1。

zc一方面特别负责监控相关区域上的列车的存在，另一方面，负责向列车提供移动授权，本质为保证其安全移动，即例如不会向列车提供使其超过前面的列车的移动授权。

atc架构是整个系统的一部分，该系统在图1中称为信令系统50，其也能够控制轨道上的多个设备。

信令系统50包括列车自动监督(ats)系统。ats在操作单元中实现并且包括人/机接口，以允许操作员干预信令系统的各种系统(特别是轨道旁设备)。例如，操作员可以从ats远程控制信号的关闭(变为浅红色)。

信令系统还包括多个联锁系统。每个联锁系统例如与网络中的相应的区域相关联。联锁系统能够管理轨道旁设备，例如信号灯、开关致动器等。这种轨道旁设备允许列车安全地移动，同时避免它们之间的移动冲突。一旦基于机电继电器，现有的联锁系统被能够控制轨道旁设备的合适计算机进行计算机化。这种联锁计算机被称为cbi(“基于计算机的联锁)”。在图1中，每个联锁计算机与相应的区域：cbin-1、cbin或cbin+1相关联。

有利地，每个区域被细分为多个部分。在图1中，示出了三个连续部分14a、14b和14c。

一部分区域的占据是用于铁路安全的关键信息。现在将描述该信息的确定。

zc一方面从主检测系统接收信息，另一方面从辅助检测系统接收信息。

主检测系统使得可以基于由列车本身确定的列车瞬时位置来确定列车占据的部分。更具体地，zcn接收在区域sn上流通的列车16的瞬时位置。该位置由列车的车载计算机26根据对信标24a至24c的检测并根据列车所装备的里程计装置而确定，信标是沿轨道放置的且其地理位置是已知的，里程计装置允许车载计算机26确定自从上一个信标被越过以来列车16行驶的距离。在另一实施例中，列车使用其它装置来确定其瞬时位置：例如，加速度计(代替里程计)或gps(代替信标)。

根据列车16的瞬时位置，zcn计算列车周围的安全包络线(securityenvelop)。该包络线不仅覆盖列车还覆盖轨道的一部分，该轨道部分对应于列车在计算其位置的时刻与zcn接收该位置信息的时刻之间可以覆盖的最大距离。

此外，只要zcn没有收到其它位置信息，zcn就会继续推断列车的位置以覆盖其潜在的移动。

因此，对列车的辨别是zc计算用于列车在相关区域上流通的包络线的能力。

列车辨别的概念例如在专利申请fr3,019,676中公开。

根据该安全包络线和网络的地理地图(每个部分在其上被唯一地识别)，zcn将与安全包络线相交的部分置于呈现所述值为“占用”的第一状态e1中。在当前时刻不存在列车的部分(即与安全包络线没有相交的部分)的第一状态e1，所述值为“空闲”。由此定义不同部分的第一状态e1。

以这种方式，区段sn的每个部分的第一占用信息由zcn确定。

例如在列车16的无线电通信单元27不再工作而zcn不能够再获得列车的瞬时位置的情况下，辅助检测系统能够备份主检测系统。使用位于轨道旁边的合适的轨道设备，辅助检测系统能够检测所考虑区段的给定部分中的列车的存在。

在一个当前优选的实施例中，为了检测某部分中的列车的存在，辅助检测系统对进入和离开该部分的轴17的数量进行计数。

例如，在图1中，辅助检测系统包括位于所讨论部分14b的入口处的入口传感器28a和位于部分14b的出口处的出口传感器28b。入口传感器和出口传感器通过电缆连接到cbin。

cbin能够将部分14b的称为计轴器的变量保持最新。

当列车16从部分14b的入口传感器前经过时，每次由入口传感器检测轴17a至17d的经过，其cbin将一个单位添加到用于部分14b的计轴器。

当列车16从部分14b的出口传感器前经过时，每次由出口传感器检测轴17a至17d的经过，且cbin从部分14b的计轴器中减去一个单位。

因此，根据辅助检测系统，当该部分的计轴器等于零时，该部分处于呈现为“空闲”值的第二状态e2。否则，该部分的第二状态呈现“占用”值。

该部分的第二状态e2构成第二占用信息，其由cbin周期性地发送到zcn。

zcn协调区域sn的该部分的第一占用信息和第二占用信息，并且如果它们匹配，则可以通过为列车分配移动授权来授权列车移动。列车的移动授权的端部的端点对应于所讨论的列车前面的第一部分的入口边界，该入口边界被另一列车占据。

利用这种架构，可以理解的是，zc的任何故障都会导致至少在由故障zc控制的区域上的操作停止。

但是，影响区域控制器正常运行的一些故障并不严重，只需要可选地在维护操作之后重新启动区域控制器。如果例如涉及影响zc或其网卡的电源的故障，那么一旦更换故障组件，则需要重新启动构成zc的安全计算机。

然而，在重新启动时，zc必须重新建立对在其控制的区域上流通的各种列车的辨别，以便允许恢复对列车流通的安全监督。

但是，重新建立这种辨别需要进行大量验证，以确保符合所要求的安全级别。因此，必须将派遣代理人到轨道上以进行手动重启并目视驱动列车。这是为了避免与另一列车发生任何冲突。该另一列车在zc故障时，在其自身动力下可能已经进入了zc故障之前所占据的部分以外的部分。

重启zc时的这种程序很麻烦。可能花费几个小时。它扰乱了网络运行，其不再可用。它影响了操作员的形象，旅客必须下车并通过其它方式继续旅行。

技术实现要素：

因此，本发明旨在通过提出一种用于区域控制器的重新初始化的方法来解决该问题。该方法使得可以更快地重新建立用于重新启动对列车流通(circulation)的监督的条件，并且因此恢复网络上的交通的操作。

为此，本发明涉及一种用于“基于通信的列车管理”类型的列车的监督系统中的区域控制器的重新初始化方法，包括由区域控制器执行的以下步骤：在区域控制器的标称(nominal)操作期间，将当前操作情况的图像周期性地保存在外部存储器上；以及，在所述区域控制器的停机时段之后以及在重新启动所述区域控制器之后的一重新初始化期间：建立所述区域控制器重新启动之后的所述操作情况的图像；从所述外部存储器恢复所保存的操作情况的最近一个图像以作为所述区域控制器故障之前的所述操作情况的图像；收集在所述区域控制器的所述停机时段内经过与所述区域控制器相关联的区域的边界的经过信息；以及验证所述区域控制器重新启动之后的所述操作情况的图像与所述区域控制器故障之前的所述操作情况的图像和所述经过信息的一致性。。

根据特定实施例，该方法包括以下特征中的一或多个，单独考虑或根据任何技术上可能的组合考虑：

-周期性地保存所述当前操作情况的图像包括：通过所述区域控制器与出现在与所述区域控制器相关联的所述区域中的列车之间的通信以生成并存储第一列表，所述第一列表包括：通用指示符，表示当前时刻在与所述区域控制器相关联的所述区域上流通的所有列车是否由所述区域控制器识别并且应答所述区域控制器；在所述当前时刻下，出现在与所述区域控制器相关联的所述区域中的每列列车的标识符；出现在与所述区域控制器相关联的所述区域中的每个列车的辨别指示符，所述辨别指示符优选为布尔变量，当所述列车在所述当前时刻被所述区域控制器辨别时，所述布尔变量为单位值，以及当所述列车在所述当前时刻未被所述区域控制器辨别时，所述布尔变量为零值。

-建立所述区域控制器重新启动之后的所述操作情况的图像包括建立第二列表，所述第二列表包括：在所述重新初始化期间成功与所述区域控制器重新建立功能通信的列车中的每个列车的列车标识符；以及辨别指示符，当所述区域控制器成功辨别列车时，所述辨别指示符优选为单位值，否则为零值。

-收集经过信息包括建立第三列表和第四列表，所述第三列表包括：离开相邻区域进入与所述区域控制器相关联的所述区域的列车中的每个列车的列车标识符；以及辨别指示符，如果列车在进入与所述区域控制器相关联的所述区域之前被与所述相邻区域相关联的相邻区域控制器辨别，则所述辨别指示符优选为单位值，或者如果列车未被辨别，则所述辨别指示符为零值。第四列表包括所述第四列表包括：离开与所述区域控制器相关联的所述区域并进入相邻区域的列车中的每个列车的列车标识符；以及列车辨别指示符，如果列车已经进入相邻区域并且被与相邻区域相关联的相邻区域控制器辨别，则列车辨别指示符优选为单位值，或者如果列车未被辨别，则列车辨别指示符为零值。

-所述经过信息由与所述区域控制器相邻的每个区域控制器提供。

-每个所述相邻区域控制器从与所述区域控制器的故障检测时刻对应的时刻开始收集所述经过信息，可选地为所述故障检测时刻减去一预定持续时间。

-验证由以下步骤组成：

如果所述第一列表包括为零的通用指示符，则停止所述方法，所述为零的通用指示符表示在所述区域控制器的停机时段之前与所述区域控制器相关联的所述区域中存在无通信列车；否则，如果所述第三列表表明无通信列车在所述停机期间已进入与所述区域控制器相关联的所述区域，则停止所述方法；否则，验证所述第二列表是否等于所述第一列表，其中，在所述第一列表中已经添加了来自所述第三列表的列车以及从所述第一列表中已经移除了来自所述第四列表的列车，肯定的验证结果表示在所述区域控制器的所述停机时段之前和之后的操作情况相匹配，否定的验证结果表示不匹配。

-其中，若所述验证步骤检测到在所述区域控制器的所述停机时段之前和之后的操作情况相匹配，则所述区域控制器向列车监督系统表明与所述区域控制器相关联的所述区域中的不同列车被辨别，以及可以恢复自动列车监督；否则，停止所述方法。

-所述经过信息全部或部分地由与使用外部列车检测安全性设备的所述区域控制器相关联的所述区域的联锁系统提供。

本发明还涉及一种“基于通信的列车管理”类型的列车自动控制系统，其特征在于，信令系统包括至少一个外部存储器和实现前述方法的至少一个区域控制器，所述区域控制器将操作系统的图像周期性地保存在所述外部存储器上，所述外部存储器是不与所述区域控制器共享共同故障模式的存储器。

附图说明

通过阅读仅作为说明性和非限制性示例提供的一个特定实施例的以下详细描述，将更好地理解本发明和其优点，参照附图进行该描述，其中：

-图1是包括cbtc型列车监督系统的信令系统的示意图；

-图2是根据本发明的方法的框图；以及

-图3、图4和图5是由实现有图2的方法的区域控制器zcn控制的区段sn的不同操作情况的示意图。

具体实施方式

本发明的一般原理包括：在重新启动zc之后，将重新启动zc之后的根据列车和轨道旁设备所传送的主信息和辅助信息重建的操作情况与重新启动zc之前的操作情况进行比较，同时考虑在zc停机期间与故障zc相关联的区域的端部边界的经过信息。

为了知晓故障之前的操作情况，所述方法规定定期保存当前的操作情况。

根据所述方法，在由相邻zc检测到zc故障之前的几秒和在该zc重新初始化周期结束之间延伸的时间段期间，由与故障zc相邻的区域控制器确定经过信息。

然后，故障zc能够在重新启动之后验证操作情况之间的匹配，并且在肯定的情况下，授权ats恢复操作并且完成监督列车流通。

参照图2，示出了根据本发明的重启方法的优选实施例。它由图1的zcn实现。

它基于所建立的以下四个列表：

-第一列表l1由zcn在经历故障之前所控制的区域内流通的所有列车组成；

-第二列表l2由重新启动zcn后在该区域内流通并且已经与zcn重新建立功能通信的列车组成；

-第三列表l3由在zcn停机时段期间进入由zcn所控制的区域sn的列车组成；以及

-第四列表l4由在zcn停机时段期间离开由zcn所控制的区域sn的所有列车组成。

在zcn正常操作期间(图2中的时段f1)，方法100规定保存当前时刻t的操作情况。

该保存包括在步骤110期间产生第一列表l1并标记有对应于当前时刻t的保存日期：l1(t)。

第一列表l1优选地包括以下信息：

-通用指示符ind，指示在当前时刻t在由zcn控制的区域sn上流通的所有列车是否由zcn识别并且是否应答zcn。“应答zc的列车”是指其车载计算机与所述zc进行功能通信的列车。没有应答zc的列车是其车载计算机和/或车载/地面通信装置正在经历故障的列车，或者是在网络上行驶但没有配备车载计算机，因此该列车的流通不受ats监督的。

-区域sn中存在的每列列车ti的标识符id_ti(i是整数)。

-辨别指示符disc_ti，针对区域sn中存在的每列列车ti，所述辨别指示符是布尔变量，当列车ti在当前时刻被zcn辨别时，所述布尔变量呈现单位值，而未被辨别时，则呈现零值。

接下来，将第一列表l1发送到zcn外部的存储器以对其进行保存(图2中的步骤130)。

zcn外部的存储器指的是不共享zcn的故障模式的存储器。例如，在本实施例中，其可以是相邻区域控制器(即区域控制器zcn-1或区域控制器zcn+1)的存储器。或者，其可以是在当前时刻t在由zcn控制的区域中流通的列车上载有的计算机的存储器。

在任何情况下，该外部存储器必须遵守监督系统所要求的安全级别，例如级别sil4。

仍然在正常操作期间，该方法有利地执行步骤120，在该步骤期间，zcn向每列列车ti发送在当前时刻t所计算的辨别指示符disc_ti。

周期性地保存操作情况，例如周期δt等于10秒。

并行且独立地，在步骤150中，每个相邻的zc、zcn-1和zcn+1监测zcn的正确操作。例如，在两个相邻的zc之间定期交换触发。

当相邻的zc，例如zcn-1或zcn+1不再接收zcn的触发时，则zcn被认为有故障。

在zcn停机时段期间(图2中的时段f2)，方法100在步骤200中设置为，每个相邻的zc如zcn-1和zcn+1产生经过信息，经过信息将使得可以构建第三列表l3和第四列表l4。

区域控制器zcn-1与zcn+1通过存储分别离开区域sn-1及sn+1进入区域sn的每列列车tk的标识符id_tk而分别产生第三上游列表l3n-1、下游列表l3n+1。

区域控制器zcn-1与zcn+1通过存储从区域sn分别进入区域sn-1及sn+1的每列列车tk的标识符id_tk而分别产生第四上游列表l4n-1、下游列表l4n+1。

此外，对于每个存储的标识符，相邻的区域控制器zcn和zcn+1将列车tk的辨别指示符disc_tk相关联，如果列车tk在离开区域sn-1或区域sn+1进入区域sn之前在区域sn-1或区域sn+1中被辨别，或者列车tk已进入区域sn-1或区域sn+1而在区域sn-1或区域sn+1中被辨别，则呈现单位值；如果列车tk没有被辨别，则呈现零值。

在步骤230中，该信息存储在相邻区域控制器上。

相邻区域控制器存储所述经过信息的时间段从zcn故障的检测时刻延伸，优选地由对应于故障检测时间的预定时间补偿并且直到zcn的重新初始化时刻结束。

根据方法100，在步骤300中，远程地或通过介入其安装地点的维护团队在本地重新启动故障zcn。然后它重新进入重新初始化时段(图2中的f3)。

zc首先进入步骤310以进行传统的硬件和软件重启，然后进入步骤320以重新初始化操作情况。

在重新初始化步骤320期间，zcn构建第二列表l2。这包括：

-每列列车tj的标识符id_tj，列车tj在重新初始化时段期间成功重新建立与zcn的功能通信并且给出列车的瞬时位置；

-针对每列列车tj，当zcn辨别出列车tj时，辨别指示符disc_tj呈现单位值，否则呈现零值。

在步骤340中，zcn查询外部存储器和相邻区的域控制器，它们在本实施例中是同一个。

在读取它们的存储器(步骤330)之后，在步骤330，zcn-1和zcn+1将在zcn故障之前最近保存的列表l1发送给zcn。

在步骤330，zcn-1和zcn+1还将包括在限定区域sn的边界的一个方向或另一个方向上的经过信息的第三和第四上下游列表发送给zcn。

通过串联由每个相邻区域控制器分别建立的第三上下游列表、第四上下游列表来分别获得第三列表l3或第四列表l4。

重新初始化时段被选择得足够长，以使不同的列车能够将它们的瞬时位置传送给zcn，并且使zcn能够辨别它们。它还被选择得足够长，以使相邻区域控制器将经过信息传送至zcn，并且使外部存储器将zcn故障之前的操作情况传送到zcn。

重新初始化以步骤350结束，用于验证zcn停机时段之前和之后的操作情况之间的一致性。

步骤350包括将第一列表l1与第二列表l2进行比较，同时考虑第三列表l3和第四列表l4的经过信息。

更具体地，如果第一列表l1包括零个通用指示符ind，即指示在zcn故障之前在区域sn上存在非通信列车，则停止重启方法(步骤360)。实际上，不可能返回到允许列车安全地流通的操作情况，其原因在于不可能确定该无通信列车在重启时将在区域sn或相邻区域sn+1或sn-1上所占据的位置。

然后，如果第三列表l3指示无通信列车已进入区域sn，则停止重启方法(步骤360)。再一次，在这种情况下，由于没有更多的关于该无通信列车在区域sn上的位置的信息时，则不可能重新建立操作情况。

zcn接下来考虑其具有的四个列表并验证第二列表l2等于第一列表l1。该第一列表l1中添加有第三列表l3的列车(在zcn停机时段期间已进入区域sn的列车)以及去掉了第四列表l4的列车(在zcn停机时段期间已离开区域sn的列车)。

在验证结果为肯定的情况下，指示故障之后的操作情况与故障之前的操作情况之间的一致性，在步骤370中，zcn向ats指示sn上的不同列车被辨别出并且列车的自动监督可以恢复。然后，返回到网络的标称开发模式，也就是，对应于周期f1的操作模式。

在验证结果为否定的情况下，停止所述方法(步骤360)，其原因在于列表之间的协调不能使zcn故障之前和之后的操作情况之间的一致性成为可能。

图3、图4和图5示出了包括输出轨道和返回轨道的网络的区域sn中的不同情况。

图3示出了控制区域sn的zc故障之前的操作情况。存在由zcn管理的七列列车t3至t9、由zcn-1管理的两列列车t1和t2和由zcn+1管理的两列列车t10和t11。

在该示例中，由zcn管理的所有列车都被辨别出并且每列列车占据一个部分或两个部分(当所考虑的列车在这两个部分之间的边界上时)。在图中概述了由列车占据的区域sn的一部分。

然后zcn经历了故障。

在zcn故障时，列车t3至t9的车载计算机识别出与zcn的通信丢失，触发紧急制动。

识别到zcn故障，zcn-1修改列车t2的移动授权，使得其端部的端点对应于区域sn-1和sn之间的边界。当列车t2太靠近边界时，这可能导致触发紧急制动。然而，在其自身动力下，列车t2可能进入区域sn。

可以对zcn+1和列车t11进行类似的描述。

因此，列车在完全停止之前行驶一定距离。因此，它们的位置相对于zcn故障之前的操作情况有改变：一些列车可能仍然存在于区域sn中，其它列车已经离开区域sn，还有一些列车可能已经进入该区域sn。

接下来重启zcn。

通过主信息和辅助信息，如图4所示，zcn识别出被占据的十个部分。

由于方法100的实施，zcn能够找到区域sn中存在的列车的数量并且在重新启动之后验证区域sn中不存在其它无通信列车。这示出在图5中。

特别地，zcn由经过的相邻zc通知：列车t9和t6的离开以及列车t11和t2的进入。

重新启动后，zcn因此成功自动且自主地以重新建立当前操作情况的准确识别。

zcn通知其ats已恢复交通。

可以考虑该方法的许多替代方案。

特别地，cbin可以适于在zcn停机时段期间收集经过信息，并且在重新启动zcn时代替区域控制器将经过信息传送到zcn，这是因为安装的外部安全设备检测到车辆进入区域sn。该替代方案特别适用于由故障zcn控制的区段sn是监管基础设施的端部区段的情况，列车在没有配备区域控制器的区域sn+1上例如将不会被监督。

将强调的是，从未配备区域控制器的相邻区段sn+1进入与区域控制器相关联的区段sn的任何列车tk将不会被辨别。因此，指示符disc_tk处于限制状态。此状态会导致区域控制器的自动重新初始化过程停止。实际上，不可能知道列车tk是单独进入、由另一辆车拉动且其后有另一辆车或者有若干列列车连续进入区段sn。

在图3、图4和图5的实施例中，将区段细分成固定的多个部分。监督系统仅允许每个部分上最多单列列车的流通。然而，上述方法也适用于动态细分某部分的情况，根据该情况，若干列列车可以同时接合在同一部分上，所述同一部分实际上被细分为具有移动边界的多个子部分。子部分的边界由前一列车的后部的当前位置和安全距离确定。在后一列车的流通方向上，后一列车的移动授权然后延伸到对应于与由前一列车占据的第一子部分的边界的端部的端点。

本领域技术人员将注意到这种重启方法具有许多优点。它减少了返回到标称模式所需的时间。该方法由区域控制器自动执行。其结果是，故障或区域控制器故障对网络操作的影响被极大地最小化了。

由于它涉及返回到可以遵守监督所要求的安全级别(例如级别sil4)的操作情况，因此该方法目前不能解决以下情况：无通信列车在区域控制器发生故障时在该区域上流通或在区域控制器不可用时进入由区域控制器控制的区域。

应注意，通用指示符ind使得可以确定是否允许自动重新初始化方法完成。为了使通用指示符ind是允许的，必须辨别所有列车并且不存在无通信列车。

步骤120，用于将参数disc_ti从区域控制器传输到每列已辨别列车使得每列列车可以确定其是否已被与其正在流通的区域相关联的区域控制器辨别。

如果初始化方法不成功，则在回顾性分析该情况时，这提供了结束指示符以用来确定问题的来源。