专利名称:列车控制系统的制作方法
技术领域:
本发明涉及一种具有权利要求1前序部分特征的列车控制系统。在已知的
系统中采用多通道的尤其是2v3类型的计算机,例如具有多台安全的且冗余的 车用计算机。在这种情况下同步的计算机通道执行全部的数据处理,其中每个 处理步骤都按照时间片方法(Zeitscheibenverfahren)来表决。这种近乎持续表 决的多通道系统虽然满足高安全性的要求,但是在硬件和软件方面的成本高。
背景技术:
也可以设想采用更简单的系统,在该系统中采用两台安全的、非冗余的车 用计算机来生成安全技术上的输出。原则上通常可以假设,在"行驶"状态驱 动装置在安全技术上必须是打开的而门电动机在安全技术上必须已锁止。相反 在"发车"状态驱动装置在安全技术上必须锁止,而门电动机则被释放运行。 在该前提下采用独立的安全车用计算机可能会产生一些问题,这将在下文借助 具体例子作阐述。如果例如一台车用计算机还处于"发车"的运行状态,因为 状态机由于失效没有识别出门已处于关闭状态以及所属的继电器触点近乎错误 地向车用计算机通报信息,则该车用计算机监控列车的静止状态并将门释放。 如果其他计算机已经处于"行驶"状态,因为其状态机是无故障的并且已告知 门是关闭的,则该另一台车用计算机准许行驶并将门锁止。这两个输出的叠加 导致出现危险的状态,即准许行驶的同时也准许将门打开。
发明内容
本发明要解决的技术问题在于,设计一种系统体系结构,其一方面能够实 现极高的安全标准,另 一方面又可以不需要同步多通道计算机。
上述技术问题通过权利要求1特征部分的特征得以解决。冗余管理器用于, 仅当两台车用计算机的与安全关系重大的输出 一致时,才准许对该输出进行后 续处理。冗余管理器设计为安全计算机,因为在上文已举例阐述其错误行为可
能导致两台车用计算机不同的运行状态或者导致由一台车用计算机向另一台车 用计算机加载错误数据。在此考虑冗余管理器的特定逻辑准则。例如可以实现
下列算法
-仅当两台车用计算机都已事先通报了门电动机为锁止并且两台车用计 算机都已要求释放列车驱动装置时,冗余管理器才为该两台车用计算机释放驱 动装置。
-当一台车用计算机事先通报了门电动机为锁止并要求释放驱动装置且 另 一台车用计算机的空转安全终止时,冗余管理器才为这台车用计算机释放驱
动装置,在此空转表征可调节的、在车用计算机与冗余管理器之间不存在连接 的时间或路段,在此在空转时始终置于"门锁止"和"驱动装置锁止"的安全 状态。
-当两台车用计算机都事先通报了驱动装置为锁止并且两台车用计算机 都要求了释放门电动机时,冗余管理器才为两台车用计算机释放门电动机。
-当一台车用计算机事先通报了驱动装置为锁止并要求释放门电动机且 另 一 台车用计算机的空转安全终止时,冗余管理器才为这台车用计算机释放门 电动机。
-如果在经过一段固定的时间后或走过一段行程后第二车用计算机的 "释放要求"状态未到达第一车用计算机,则冗余管理器取消该第一车用计算 机的空转。在达到空转值后或者在通过该第一车用计算机应答该取消后冗余管 理器才满足第二计算机的释放要求。
-当已停止空转的第一车用计算机例如通报正确的状态,例如向另一台 计算机通报可能真实的位置数据以及通报向车用计算机提供输入数据的状态机 的相一致的参数,并且该系统假设处于稳定的状态时,使该第一车用计算机再 次空转。将第二计算机的系统特有的确定状态加载到第一计算机中。这例如涉 及在最高速度下的待监控的危险点和第二计算机的运行状态、如"发车"或"行 驶"。
这些算法和逻辑准则可以特定于系统地通过其他措施补充。例如可能合理 的是,在一台车用计算机处于与第二台车用计算机相同的运行状态时或者当对 于该台计算机已超越空转时,才由冗余管理器向该台车用计算机发出行驶任务。 该规则例如可以均衡驶过一个定位点的由车用计算机的两个定位系统同时检测 到的通常不同的时刻。
冗余管理器仅用于,实施所需要的逻辑准则。它不具有本身系统特有的功 能。在这种意义上冗余管理器为不同实施的列车控制系统提供一种通用的平台。 该通用平台是特定于系统配置的并且可以相应地扩展。系统功能仅由车用计算 机提供,其提供系统特有的服务,这些服务对冗余管理器进行表决并根据逻辑 准则进行判断。
列车控制系统的体系结构基本上与硬件无关。该具有冗余管理器的系统原 则上可以移植到任意硬件平台上,而不会丧失功能。
与具有多个同步的计算机通道的安全及冗余的计算机核的体系结构相比,
通过冗余管理器的数据处理具有性能优点。其原因在于,由车用计算机并行地 完成数据处理、例如时间和计算集中的定位功能。接下来,.冗余管理器仅对结 果进行表决,而在利用同步计算机进行多通道数据处理时需要进行近乎持续地 按照时间片方法的表决。
按照权利要求2,冗余管理器作为固有的计算机安置在机车上。在这种情 况下冗余的、安全冗余管理器的硬件可以相对较少花费地从现有的用于行程计 算机(Streckenrechner )的系统获得,为此仅将核心部件适用于机车地与通讯部 件匹配即可。这尤其涉及到紧凑性、环境条件等要求。可以将原有行程计算机 的非冗余的综合的专用部件用于控制外围设备。不必重新开发系统软件。
按照权利要求3,冗余管理器也可以集成在行程计算机中。取消使硬件适 用于机车的要求。不需要新的运行软件。与车用计算机相反,行程计算机在已 知的应用中已经作为冗余系统存在。因此冗余管理器的冗余的实现集中在行程 计算机上。车用计算机与行程计算机之间的通讯在这种情况下须通过气隙电文 (Luftspalttelegramme )实现。
而按照权利要求4,冗余管理器也可以作为任务集成在行程计算机中。在 这种情况下仅需要最少量的硬件。两个冗余管理器中只有第一个在无故障的状 态下承担管理任务并起主导作用,而另一车用计算机中的第二冗余管理器仅是
其的从属。第二冗余管理器仅须持续地同步运行,以便能够处于当前运行状态。 第一车用计算机的停机导致所述作为任务设置的主冗余管理器也可能停机。在
这种情况下第二冗余管理器投入运行。然后该第二冗余管理器将所有现有的任 务分配给必须正面确认这些要求的第二车用计算机。从属的冗余管理器到第一 车用计算机的通讯连接不是一定需要的。在这种体系结构的变形中要准确地确 定,通过何种反应向仍完好的计算才几通报主冗余管理器的停机。例如可以设想
第一车用计算机的安全输出,该第一车用计算机映射主冗余计算机的状态并由 两台车用计算机询问。
按照权利要求5,冗余管理器也为车用计算机分配特殊任务、批准车用计 算机的请求以及将一 台车用计算机的数据加载到另 一 台车用计算机中。除了处 理源自状态机的输入数据外可能系统本身还要求车用计算机的其他行为,其通 过冗余管理器承担批准职能并由冗余管理器授权。为此例如采用在 ETCS(European Train Control System)中的列车数据输入、用于切断驱动装置的 模态转换或列车指令。每个车用计算机可以由冗余管理器通过行使特定的功能 来授权。这例如可以涉及对列车时刻表一致性显示无须再确认(nicht meckbestaetigungspflichtige )的控制。当取消车用计算机的空转时,授权是自动 进行的。
车用计算机也可以应用在非冗余的系统中,其中必须将软件实施为可以实 施须经批准的确定行为。当冗余管理器始终作为任务在各车用计算机上运行时 (权利要求4)也是这样的情况。这样非冗余的系统如其中车用计算机停止运 行的冗余系统那样工作。
下面借助附图对本发明予以详细阐述。
图1表示用于列车控制系统的系统体系结构。
具体实施例方式
图1中示出了一个系统列车/路段,其中该分系统列车具有两个安全技术上 的任务,亦即门电动机打开或锁止以及车用驱动装置打开或锁止,在此对应于 每个任务设置一台用于产生所需要的输入信息的状态机,所述状态机加载有两 台独立的安全车用计算机A和B。该系统可以根据应用扩展。两台车用计算机 A和B通过空气接口与 一 台在行程计算机中作为软件模块的冗余管理器连接。 但是该冗余管理器也可以作为固有的计算机安置在机车上或作为任务安置在所 述两台车用计算机A和B中。对于后一种情况在无故障状态下一台车用计算机 A或B的冗余管理器为主而另一台冗余管理器为从。原则上必须要保证,在运 行时能够实现车用计算机A和B与冗余管理器之间的连续通信连接。在列车内 这两台车用计算机A和B相互之间没有了解和连接。在该示例中每台计算机A
和B具有两个任务,即对门电动机和驱动装置控制能量释放。若在无故障状态
下也仅有一台车用计算机A或B控制一个触点处于"闭合"状态,则释放控制 能量。当两台车用计算机A和B分别控制触点断开时,则才要中断控制能量。 每台车用计算机A和B通过自身的双向通讯连接与冗余管理器连接。状态机不 一定产生"门打开"和"驱动装置打开"的状态。在这些状态变换时预先选择 对应的任务,即"触点闭合"。但是在进行输出前,需要冗余管理器通过通信连 接进行批准(Zustimmung )。"门锁止"以及"驱动装置锁止"的状态不一定通 过状态机产生。因此在变换成该状态时必须马上终止对应的输出,即断开相应 的触点。将该状态通报给冗余管理器。
只要一台车用计算机A或B在一段可调节的时间内或在一段预选的路程内 不再具有与冗余管理器的连接,即处于空转状态,该台车用计算机A或B就将 两个触点置于断开的状态。接下来通过该计算机A或B进行位置确定。当通过 冗余管理器给车用计算机A或B加载了其状态机似乎达到加载值并且该车用计 算机被重新分配空转的当前状态时,继续保持空转。
本发明并不局限于上面所描述的具体实施例。相反还可以设想一些利用本 发明特征的其他完全不同的设计方案。
权利要求
1.一种列车控制系统,具有多台非冗余安全车用计算机(A,B),所述车用计算机相互独立地生成安全技术上的输出,例如驱动装置打开或锁止以及门打开或锁止,其特征在于,所述车用计算机(A,B)与冗余管理器相连,该冗余管理器设计为安全计算机并比较所述输出和根据逻辑准则向所述车用计算机(A,B)再确认或不再确认。
2. 如权利要求1所述的列车控制系统,其特征在于,所述冗余管理器安 置在机车上。
3. 如权利要求1所述的列车控制系统,其特征在于,所述冗余管理器集 成到行程计算机中。
4. 如权利要求1所述的列车控制系统,其特征在于,所述冗余管理器作 为任务集成到所述车用计算机(A, B)中。
5. 如权利要求1至4中任一项所述的列车控制系统,其特征在于,所述 冗余管理器提供不必再确认的任务,例如对列车时刻表一致性显示的控制和/ 或批准所述车用计算机(A, B)的申请和/或从一台车用计算机(A, B)向另 一台车用计算机(A, B)加载数据。
全文摘要
本发明涉及一种列车控制系统,其具有多台非冗余安全车用计算机(A,B),所述车用计算机相互独立地生成安全技术上的输出,例如驱动装置打开或锁止或门打开或锁止,用于这类列车控制系统的一种简单且安全的体系结构的特征在于,所述车用计算机(A,B)与冗余管理器相连,该冗余管理器设计为安全计算机,并且比较所述输出并根据逻辑准则向所述车用计算机(A,B)再确认或不再确认。
文档编号G06F11/16GK101176070SQ200680016205
公开日2008年5月7日 申请日期2006年5月5日 优先权日2005年5月12日
发明者迈克尔·温格 申请人:西门子公司