专利名称:以微机为基础的尤其是铁路运输方面适用的安全系统的制作方法
技术领域:
本发明涉及以微处理机为基础的安全系统,尤其是铁路运输方面适用的以微处理机为基础的安全系统,该系统根据传感器所供数据监控致动器。
迄今为止,在所有安全系统尤其是铁路运输的此类系统中,应用与内在安全法则或失效保险法规相符的元件和电路来确保安全。
内在安全以物理学的种种法则例如力学定律为基础,也以周密的故障模型为基础。任何故障必定置该系统于“受限”状态中,即限制该系统各种运作功能的那么一种状态。在铁路系统中,受限状态通常是导致列车停止的状态。
自从微处理机问世以来,已经起到保障这些安全的作用。这些编程安全系统的设计以这样两个原则为基础一、经过信息编码之后,加在使该系统中错误检测与故障检测变得安全的功能性数据监测元件上的信息冗余;二、并联应用多台计算机、通过硬件元件或软件元件比较各种结果的硬件冗余。
在信息编码技术上只用一台微处理机,但后者却靠具有一个功能成份与编码成份的冗余信息而运行。这样,就可有一种为两套不同信息而重复的算法。该算法得到的符号差被送到一个以失效保险原理设计的外部控制器即动态控制器上。如果算出结果不出编码范围,该控制器就确认,核准将安全输出信号传送到外部即致动器上。否则,这些输出信号得不到确认而会滞留在受限状态中。应当注意,在大多数时候,安全输出信号的功能有效,尔后还会读回并为安全与控制数值比较。
这种所谓“编码处理器”技术依靠其编码的本领,会给出或大或小的误差非检测概率,但缺陷在于计算时间和编制复杂程序方面却大大增加了。另一方面,该系统的安全性不依赖于任何专门的技术保护措施。这就使该系统可以应用市售的任何工业类型微处理机。
在硬件冗余技术方面,安装至少两台并联的微处理机来确保安全性。比较与核准是在外部实现的,或者通过互相比较,或用设计好的硬件来应用内在安全技术。应用软件安装在这两台微处理机中,安装方式既可是两台一样,也可故意安得两台不对称。
为了确保用“双处理机”这种技术达到高水平的安全性,就得采取措施防止出现共态故障,要做到这一点,就要以两套数据处理序列完全独立为先决条件,特别是使用分开的信息通路和一一成双的所有硬件设备。还必须采取措施防止潜在故障,这样实际上必须进行自检和/或交互检验。
各台微处理机的同步运行会是件难以处理的事,而且,安全性要以对这些微处理机性能的认识为基础。另一方面,由于信息不经编码,所以不存在计算超量问题。
然而,当以失效保险为基础设计比较器时,要应用的安全性硬件的数量,可能把成本抬得过高。
本发明的主要目的是克服现有技术的各种缺陷,同时又保留所有现有技术的优点。
为此目的,本发明提出一种以微处理机为基础的安全系统,其基本特征在于它包括至少两台并联而有同样功用的微处理机,微处理机的输入端接收来自传感器的预编码数据,输出的数据会安全地读回以便与输入的数据做比较,称为“表决器”的第三台微处理机用软件安全地把两台应用微处理机处理过的编码特性结果加以比较,从而操作一个动力控制器,特许将输出数据传送给致动器。
由于这种只有输入数据与输出数据要编码的配置,微处理机的应用本身因为双重处理无需编码,所以,计算时间保持合理的限度。另外,安全性硬件的数量所需不多,这样就可以降低该系统的整个成本。而且,正如下文还会清楚阐明的那样,此种系统容易实施并且非常灵活机动。
最好在两台应用微处理机之间引入时滞,这样就可避免常有的共态故障例如电磁波干扰引起的故障。
按照本发明的安全系统最好还具有一条单独的非专用公用信息通路,供不同的微处理机传送信息共用。
由于信息传送是靠编码与计时来保障的,上述特性是可实现的。
本发明的其他特性与优点将对照以下附图详述。
图1是表示按照本发明的安全系统的框图;
图2是表示该安全系统实际结构的框图。
一般来说,又被称为监控系统的一切安全系统,都是以传感器与致动器为基础而运行的。安全系统获得模拟的输入之后,将其转换为数字数据,并用种种算法处理数据,进而产生被转换为模拟输出信息使致动器运行的数字输出信息。
在图1的框图中,首先看见的是一个或几个输入传感器,例如向该系统提供输入数据DE的CP。这种模拟型的输入数据DE,在向两个并联配置并有相同功用的应用处理机P1和P2输入信息之前,就被在模拟/数字转换器A/N1中存储并编码。这种应用本身并不因为双重处理而需要编码。另一方面,用编码处理机技术来给输入数据与输出数据编码。在每台处理机中,数据就这样被解码进而被处理。另外,每台处理机的应用都带有一定的时滞,这样做的目的是为了避免共态故障例如由电磁波干扰引起的故障。
由处理机P1与P2处理过的结果R1与R2最后再由该两台处理机编码,然后就传送给第三台处理机,即又称为“表决器”的比较处理机P3。
表决器P3应用编码处理机技术,安全地用软件比较结果R1与R2。由于输入表决器的信息已经被两台处理机P1与P2编码,表决器的算法就在于比较结果R1与R2的值。如果比较出来的结果满意,表决器就把带有其正确运行特性的信号S,传送给以失效保险为基础设计的动态控制器CD。该动态控制器CD然后就许可应用处理机的功能性输出信息Si与Sj通过线路AG总体传输,如图中在G处所示。在此要注意,处理机P1与P2中只有一台处理机的功能性输出会有效地用上。另外,当只有少量结果中产生分歧时,只有相应的输出如图示那样被表决器通过线路AL阻止在I处。
接着,功能性输出Si与Sj的数字数据在数字/模拟转换器N/A中被转换为模拟输出,以便使ACT这样的致动器运行。另外,这个输出数据DS在第二个模拟/数字转换器A/N2中转换之后,就如图示那样通过线路RL而读回并与起先计算过的数字数据比较,从而安全地起到监测作用。
下面,具体参照图2,更详尽地说明本发明的操作与各种优点,该图示意地表示按照本发明的一套安全系统的实际结构。
首先,在该图中示出了三台处理机P1、P2、P3,它们连在一条共同的、非专用的且标准化的信息通路上,经过这条通路,所有的信息就在不同的模件之间传送以构成安全系统。事实上,这条通路并没有任何专门的安全制约措施因为经过它而传送信息的可靠性,是由编码和计时来保障的。
该图还标出了一个输入/输出耦合器E/S,输入数据DE与输出数据DS均经过它而传送。实际上,输入信息必须由一个自成一体的设施接收,以便确保应用处理机P1和P2处理同样的输入。使用编码处理机技术,这些输入以编码的方式获得,在与通路B相联的双臂存取存储器MDA中可供应用处理机P1和P2处理。经过传送阶段(耦合器、信息通路、串联线路)之后,安全数据通过编码保护起来。
当获得数据后两台应用微处理机P1和P2就启动起来,一定的时滞也开始生效。每台处理机从双臂存取存储器MDA阅读获得的输入,并逐一确认这些信息。这些输入信息一旦经过确认,就以非编码的方式供处理之用。每台处理机实施应用一完毕,就计算出输出并得出结果,这些结果用编码处理机技术加以编码。
实际输出由两台处理机P1和P2中单独一台通过输入/输出耦合器E/S来执行,而每台处理机处理过的结果R1和R2以编码和计时形式存入双臂存取存储器MDA中,供第三台处理机P3构成的表决器使用。另外,处理机P1和P2每台各自做自测,测出的结果与结果R1和R2合成,提供给表决器P3。
双处理机构造的可靠性,主要在于没有一种模型共用于P1和P2。由于是对输出信息做比较,设计者设计模件P1和P2就有充分灵活的余地,即可以把两个相同的软件置于两块相同的板上,也可以把两个不同的软件装在硬件的两个不同装置上。
表决器P3获得P1的结果R1和P2的结果R2之后,就按照编码处理机技术,用适当的操作程序处理编码数据,对两种结果一对一对地逐一比较。软件比较功能的施行,能对输出进行连续检验和/或对每项输出进行筛选。这样,设计者设计表决器就有充分灵活的余地,并能使输出信息部分受阻。这样一来,输出信息重叠时就使之重新组合。此外,表决器还安全地监控着双重处理机结构正确操作与否,即监控着时滞和处理机的自测结果。
表决器P3的比较逻辑安装在可与双处理机结构电子线路板相同的一块处理机电子线路板上,并应用信息编码技术确保比较功能的可靠性。这种功能,由表决器及其正确操作特性算出的符号差(signature)S送至动态控制器CD来确认。此外,这个信号(符号差)由按时间进展的所谓“更新信息”形成动态。从而,一方面以失效保险为基础设计的动态控制器CD会验证该信号更新是否正确;另一方面,该信号本身就保证表决器正确运行。
继而,动态控制器CD通过一个与通路B相联的模件A核准输出信息的总体传输,这个模件A也特准作为表决器所供信息的一个函数的输出信息的单个传输。换言之,当结果R1与R2两者之间有部分不符时,只有与此相应不一致的输出信息会被阻止,或滞留在受限状态中。当表决器出现故障时,应用的所有输出当然就滞留在受限状态中。如果有必要,为了改进表决器效用,表决器本身可设置冗余度。
显然,最终看来,按照本发明的安全系统具有十分大的灵活性,并以其合理的成本和计时可以满足所需的安全要求。
尤要注意,此种结构易于使本发明扩充为一种包括多于两台应用处理机的更复杂的结构。这样,无需另加硬件,表决器的软件也能为p台处理机的中n台提供多数逻辑。换言之,p台处理机中至少n台处理机必须待确认的安全输出得出同样结果。另外,无须多说,在此种情况下,表决器的软件可以安装在任何一台应用处理机中。
权利要求
1.以微处理机为基础的安全系统尤其是铁路运输方面适用的此种系统,根据传感器(CP)所供数据监控致动器(ACT),其特征在于包括至少两台并联且有同样功用的微处理机(P1、P2),微处理机的输入端接收传感器(CP)传来的预编码数据(DE),而其输出数据为安全而读回以便与输入数据比较,一台称为表决器的第三台供比较之用的微处理机(P3),应用软件且为了安全把两台应用微处理机(P1、P2)的编码特性结果(R1、R2)加以比较,因此操作一个用于特许将输出数据(DS)传给致动器(ACT)的动态控制器。
2.按照权利要求1所述的安全系统,其特征在于在两台微处理机(P1、P2)之间引入时滞。
3.按照权利要求1或2所述的晏全系统,其特征在于它包括单独一条非专用的信息通路(B),信息经过这条通路在不同的微处理机(P1、P2、P3)之间传送。
4.按照权利要求1至3中任一项所述的安全系统,其特征在于表决器(P3)包括一套算法,使其除了比较两台微处理机(P1、P2)的结果(R1、R2)之外,还可以对不同的输出加以筛选并连续不断地校验。
5.按照权利要求4所述的安全系统,其特征在于表决器(P3)的算法,只在某些结果之间出现不符时,可以实现输出的部分禁止。
6.按照权利要求1至5中任何一项所述的安全系统,其特征在于该系统包括多于两台应用处理机,表决器(P3)为p台处理机中的n台提供多数逻辑。
7.按照权利要求6所述的安全系统,其特征在于表决器的软件安装在任何一台应用微处理机之中。
全文摘要
以微处理机为基础的安全系统尤其是铁路运输方面适用的此类系统,根据传感器所提供数据监控致动器,其特征在于该系统包括至少两台并联且有同样功用的微处理机,微处理机的输入端接收传感器传来的预编码数据(DE),而其输出数据为安全而读回以便与输入数据做比较,一台称为表决器的供比较之用的微处理机,应用软件且为了安全,把两台微处理机的编码特性结果(R1、R2)加以比较,因此操作一台用于特许将输出数据送至致动器的动态控制器。
文档编号G05B19/048GK1098803SQ9410499
公开日1995年2月15日 申请日期1994年4月21日 优先权日1993年4月21日
发明者格鲁尔·雅斯, 德米歇尔·劳伦特, 勒盖尔·贺夫 申请人:西希运输公司