本发明专利技术涉及一种列车控制系统,其具有多台非冗余安全车用计算机(A,B),所述车用计算机相互独立地生成安全技术上的输出,例如驱动装置打开或锁止或门打开或锁止,用于这类列车控制系统的一种简单且安全的体系结构的特征在于,所述车用计算机(A,B)与冗余管理器相连,该冗余管理器设计为安全计算机,并且比较所述输出并根据逻辑准则向所述车用计算机(A,B)再确认或不再确认。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种具有权利要求1前序部分特征的列车控制系统。在已知的系统中采用多通道的尤其是2v3类型的计算机,例如具有多台安全的且冗余的 车用计算机。在这种情况下同步的计算机通道执行全部的数据处理,其中每个 处理步骤都按照时间片方法(Zeitscheibenverfahren)来表决。这种近乎持续表 决的多通道系统虽然满足高安全性的要求,但是在硬件和软件方面的成本高。
技术介绍
也可以设想采用更简单的系统,在该系统中采用两台安全的、非冗余的车 用计算机来生成安全技术上的输出。原则上通常可以假设,在行驶状态驱 动装置在安全技术上必须是打开的而门电动机在安全技术上必须已锁止。相反 在发车状态驱动装置在安全技术上必须锁止,而门电动机则被释放运行。 在该前提下采用独立的安全车用计算机可能会产生一些问题,这将在下文借助 具体例子作阐述。如果例如一台车用计算机还处于发车的运行状态,因为 状态机由于失效没有识别出门已处于关闭状态以及所属的继电器触点近乎错误 地向车用计算机通报信息,则该车用计算机监控列车的静止状态并将门释放。 如果其他计算机已经处于行驶状态,因为其状态机是无故障的并且已告知 门是关闭的,则该另一台车用计算机准许行驶并将门锁止。这两个输出的叠加 导致出现危险的状态,即准许行驶的同时也准许将门打开。
技术实现思路
本专利技术要解决的技术问题在于,设计一种系统体系结构,其一方面能够实 现极高的安全标准,另 一方面又可以不需要同步多通道计算机。上述技术问题通过权利要求1特征部分的特征得以解决。冗余管理器用于, 仅当两台车用计算机的与安全关系重大的输出 一致时,才准许对该输出进行后 续处理。冗余管理器设计为安全计算机,因为在上文已举例阐述其错误行为可能导致两台车用计算机不同的运行状态或者导致由一台车用计算机向另一台车 用计算机加载错误数据。在此考虑冗余管理器的特定逻辑准则。例如可以实现下列算法-仅当两台车用计算机都已事先通报了门电动机为锁止并且两台车用计 算机都已要求释放列车驱动装置时,冗余管理器才为该两台车用计算机释放驱 动装置。-当一台车用计算机事先通报了门电动机为锁止并要求释放驱动装置且 另 一台车用计算机的空转安全终止时,冗余管理器才为这台车用计算机释放驱动装置,在此空转表征可调节的、在车用计算机与冗余管理器之间不存在连接 的时间或路段,在此在空转时始终置于门锁止和驱动装置锁止的安全 状态。-当两台车用计算机都事先通报了驱动装置为锁止并且两台车用计算机 都要求了释放门电动机时,冗余管理器才为两台车用计算机释放门电动机。-当一台车用计算机事先通报了驱动装置为锁止并要求释放门电动机且 另 一 台车用计算机的空转安全终止时,冗余管理器才为这台车用计算机释放门 电动机。-如果在经过一段固定的时间后或走过一段行程后第二车用计算机的 释放要求状态未到达第一车用计算机,则冗余管理器取消该第一车用计算 机的空转。在达到空转值后或者在通过该第一车用计算机应答该取消后冗余管 理器才满足第二计算机的释放要求。-当已停止空转的第一车用计算机例如通报正确的状态,例如向另一台 计算机通报可能真实的位置数据以及通报向车用计算机提供输入数据的状态机 的相一致的参数,并且该系统假设处于稳定的状态时,使该第一车用计算机再 次空转。将第二计算机的系统特有的确定状态加载到第一计算机中。这例如涉 及在最高速度下的待监控的危险点和第二计算机的运行状态、如发车或行 驶。这些算法和逻辑准则可以特定于系统地通过其他措施补充。例如可能合理 的是,在一台车用计算机处于与第二台车用计算机相同的运行状态时或者当对 于该台计算机已超越空转时,才由冗余管理器向该台车用计算机发出行驶任务。 该规则例如可以均衡驶过一个定位点的由车用计算机的两个定位系统同时检测 到的通常不同的时刻。冗余管理器仅用于,实施所需要的逻辑准则。它不具有本身系统特有的功 能。在这种意义上冗余管理器为不同实施的列车控制系统提供一种通用的平台。 该通用平台是特定于系统配置的并且可以相应地扩展。系统功能仅由车用计算 机提供,其提供系统特有的服务,这些服务对冗余管理器进行表决并根据逻辑 准则进行判断。列车控制系统的体系结构基本上与硬件无关。该具有冗余管理器的系统原 则上可以移植到任意硬件平台上,而不会丧失功能。与具有多个同步的计算机通道的安全及冗余的计算机核的体系结构相比,通过冗余管理器的数据处理具有性能优点。其原因在于,由车用计算机并行地 完成数据处理、例如时间和计算集中的定位功能。接下来,.冗余管理器仅对结 果进行表决,而在利用同步计算机进行多通道数据处理时需要进行近乎持续地 按照时间片方法的表决。按照权利要求2,冗余管理器作为固有的计算机安置在机车上。在这种情 况下冗余的、安全冗余管理器的硬件可以相对较少花费地从现有的用于行程计 算机(Streckenrechner )的系统获得,为此仅将核心部件适用于机车地与通讯部 件匹配即可。这尤其涉及到紧凑性、环境条件等要求。可以将原有行程计算机 的非冗余的综合的专用部件用于控制外围设备。不必重新开发系统软件。按照权利要求3,冗余管理器也可以集成在行程计算机中。取消使硬件适 用于机车的要求。不需要新的运行软件。与车用计算机相反,行程计算机在已 知的应用中已经作为冗余系统存在。因此冗余管理器的冗余的实现集中在行程 计算机上。车用计算机与行程计算机之间的通讯在这种情况下须通过气隙电文 (Luftspalttelegramme )实现。而按照权利要求4,冗余管理器也可以作为任务集成在行程计算机中。在 这种情况下仅需要最少量的硬件。两个冗余管理器中只有第一个在无故障的状 态下承担管理任务并起主导作用,而另一车用计算机中的第二冗余管理器仅是其的从属。第二冗余管理器仅须持续地同步运行,以便能够处于当前运行状态。 第一车用计算机的停机导致所述作为任务设置的主冗余管理器也可能停机。在这种情况下第二冗余管理器投入运行。然后该第二冗余管理器将所有现有的任 务分配给必须正面确认这些要求的第二车用计算机。从属的冗余管理器到第一 车用计算机的通讯连接不是一定需要的。在这种体系结构的变形中要准确地确 定,通过何种反应向仍完好的计算才几通报主冗余管理器的停机。例如可以设想第一车用计算机的安全输出,该第一车用计算机映射主冗余计算机的状态并由 两台车用计算机询问。按照权利要求5,冗余管理器也为车用计算机分配特殊任务、批准车用计 算机的请求以及将一 台车用计算机的数据加载到另 一 台车用计算机中。除了处 理源自状态机的输入数据外可能系统本身还要求车用计算机的其他行为,其通 过冗余管理器承担批准职能并由冗余管理器授权。为此例如采用在 ETCS(European Train Control System)中的列车数据输入、用于切断驱动装置的 模态转换或列车指令。每个车用计算机可以由冗余管理器通过行使特定的功能 来授权。这例如可以涉及对列车时刻表一致性显示无须再确认(nicht meckbestaetigungspflichtige )的控制。当取消车用计算机的空转时,授权是自动 进行的。车用计算机也可以应用在非冗余的系统中,其中必须将软件实施为可以实 施须经批准的确定行为。当冗余管理器始本文档来自技高网...
【技术保护点】
一种列车控制系统,具有多台非冗余安全车用计算机(A,B),所述车用计算机相互独立地生成安全技术上的输出,例如驱动装置打开或锁止以及门打开或锁止,其特征在于,所述车用计算机(A,B)与冗余管理器相连,该冗余管理器设计为安全计算机并比较所述输出和根据逻辑准则向所述车用计算机(A,B)再确认或不再确认。
【技术特征摘要】
【国外来华专利技术】DE 2005-5-12 102005023296.51.一种列车控制系统,具有多台非冗余安全车用计算机(A,B),所述车用计算机相互独立地生成安全技术上的输出,例如驱动装置打开或锁止以及门打开或锁止,其特征在于,所述车用计算机(A,B)与冗余管理器相连,该冗余管理器设计为安全计算机并比较所述输出和根据逻辑准则向所述车用计算机(A,B)再确认或不再确认。2. 如权利要求1所述的列车控制系统,其特征在于,所述冗余...
【专利技术属性】
技术研发人员:迈克尔温格,
申请(专利权)人:西门子公司,
类型:发明
国别省市:DE[德国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。