EP0473834A1 - Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks - Google Patents

Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks Download PDF

Info

Publication number
EP0473834A1
EP0473834A1 EP90117294A EP90117294A EP0473834A1 EP 0473834 A1 EP0473834 A1 EP 0473834A1 EP 90117294 A EP90117294 A EP 90117294A EP 90117294 A EP90117294 A EP 90117294A EP 0473834 A1 EP0473834 A1 EP 0473834A1
Authority
EP
European Patent Office
Prior art keywords
computer
control
messages
message
computers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP90117294A
Other languages
English (en)
French (fr)
Other versions
EP0473834B1 (de
Inventor
Heinrich Dipl.-Ing. Köhnecke
Bernd Jung
Werner Kirchner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to DE59006247T priority Critical patent/DE59006247D1/de
Priority to EP19900117294 priority patent/EP0473834B1/de
Publication of EP0473834A1 publication Critical patent/EP0473834A1/de
Application granted granted Critical
Publication of EP0473834B1 publication Critical patent/EP0473834B1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation

Definitions

  • the invention relates to a device according to the preamble of claim 1.
  • a device is known from Signal and Wire 81 (1989) 5, pages 95 to 102.
  • the guideway elements are to be connected on the input side to the output of one or the other positioning computer depending on whether one or the other associated positioning computer is operational; this must be done without retroactive effect and is carried out via exclusion switching means.
  • a further disadvantage is that the previously inactive control computer only becomes aware of the actual states of the respectively connected route elements after the switchover. This unnecessarily delays process control.
  • Another disadvantage of the known device can be seen in the fact that at least the feedback of the operating states to the control computer takes place only in one channel.
  • the object of the invention is to provide a device according to the preamble of claim 1, which is flexible in terms of its redundancy design. Any malfunctions in the transmission of commands and messages should be recognizable as quickly as possible when they occur and should enable the controlling area computer to react immediately and appropriately to the malfunction that has occurred.
  • the invention solves this problem by the characterizing features of claim 1.
  • the continuous reading of messages into the control computer in connection with the transmission of message releases allows faulty messages to be recognized immediately; reading the messages into two control computers in each case makes it possible to evaluate the messages transmitted via the other channel in the event of a fault in one transmission channel, without requiring any significant additional effort for switching the messages.
  • the command route to the output switching means for the route elements is monitored by monitoring messages for the correct output of the commands. Only where redundant control of a process element is actually required, redundant control computer parts are provided for the command output to the route elements.
  • Claim 2 denotes the representation of the messages and the associated message releases and their transmission to the control computer and the assignment of the messages to the releases.
  • the area computer individually selects those message bits that were received without interference from the message bytes transmitted by two control computers.
  • the overall message evaluation is only disrupted if the corresponding message bits are disrupted in both message bytes.
  • Claim 4 indicates how the area computer derives the original messages from the messages and releases transmitted to it.
  • Claim 5 includes the configuration of the device according to the invention with non-redundant control of a process element and claim 6 of its configuration with redundant control.
  • Claim 7 designates the means for blocking an actuating computer as required, via which proper access to a process element to be controlled is no longer provided.
  • Figure 1 shows schematically an area computer BR together with two control computers STR1 and STR2 for controlling a light signal S and other process elements of an interlocking, not shown in the drawing.
  • the area computer and the two control computers represent only a small section of the control elements of an interlocking.
  • the light signal is controlled in the command direction in a non-redundant manner exclusively via the control computer STR2. Redundancy is therefore not necessary because if the signal cannot be controlled via the control computer, the signal goes to a stop (safe state) and because this signal can be passed through by turning on the beacon or with a written command. The disruption that occurs does not make the adjacent section of the route generally impassable; Redundancy is therefore not absolutely necessary.
  • the light signal is controlled via assigned actuators K2.1 and K2.2; K2.1 essentially contains the output gates of the control computer STR2 for the light signal, K2.2 essentially the adaptations for converting control instructions originating from the associated control computer into connection orders for the power switching means of the light signal.
  • Monitoring messages Ü2 for identifying the respective switching state of the power switching means in the external control element are transmitted via the control computer STR2 to the area computer, which is then able to monitor the correct operation of the control elements.
  • the respective operating state of the light signal is supplied in the form of operating state messages both to the signaling part M2.1 of the controlling control computer STR2 and to the signaling part M1.1 of a control computer STR1 provided for controlling other process elements.
  • Both control computers independently check the transmitted messages for proper reception and transmit them separately to the controlling area computer BR. In doing so, they provide messages M1 and M2 with message releases F1 and F2, respectively, which indicate to the area computer whether the associated messages have been properly received or not. On the basis of the message releases sent to it, the area computer decides which of the two-channel messages sent to it are to be recognized as correct and which are not.
  • each with a message release which characterizes the proper receipt of the message are read into one or the other processing channel of the area computer; If a message is only present on one message channel and has a positive message release, it is read into both processing channels of the area computer.
  • Each message preferably consists of a bit of one or a different value and in the control computers, message bytes for transmission to the associated area computer are formed from the messages, possibly also from the messages of several controlled process elements.
  • Each signal processor generates an enable bit with the value L if the message bit is received undisturbed and an enable bit with the value 0 if the message bit is disrupted. These bits are transferred to the area computer together with the associated message byte as the message enable byte.
  • the area computer individually selects from the messages transmitted to it byte by byte by both actuating computers those bits to which message releases with the value L are assigned and discards all messages that are not provided with message releases of this value.
  • FIG. 2 includes the use of the invention in the control of a guideway element for which redundancy is required both in the message and in the command direction.
  • This switch must remain taxable, even if it can no longer be controlled by a control computer normally responsible for it.
  • another control computer provided for this purpose jumps in, which previously has also been constantly supplied with the status messages from the switch.
  • the switch W is usually controlled via the control computer STR1.
  • the area computer BR supplies the Control computer STR1 with corresponding commands K1. These commands are transmitted via a computer-internal control part K1.1 to a computer-external control part K1.2, in which the commands are converted into switching orders for power switching devices for controlling the point machine A.
  • the drive is supplied with power in a known manner, for example via four-wire lines from the control part K1.2 external to the computer.
  • This control unit transmits monitoring messages Ü1 via the switching position of its power switching means to the control computer STR1, which either forwards these monitoring messages to the area computer BR or compares them beforehand with the command commands pending and forwards the comparison results to the area computer.
  • the area computer recognizes from the monitoring messages whether the commands that it initiated are carried out or not. He only tries to access drive A via the control computer STR1, as long as the control computer sends him the appropriate monitoring messages regarding the correct output of commands. If these monitoring messages fail to appear, or if they show that correct command output is no longer possible, the control computer STR1 locks the command parts assigned to it against further exposure and informs the area computer of this. This then causes the drive to be controlled via the control computer STR2. For this purpose, it supplies the control computer with the corresponding commands K2, which are output to the drive via internal and external control parts K2.1 and K2.2. A constant monitoring of the command path up to the control part K2.2 external to the computer is also provided here, with corresponding monitoring messages Ü2 being sent to the control computer STR2 and from there directly or in a processed form to the area computer.
  • the operating status messages of the switch are fed to the message parts M1.1 and M2.1 of the two control computers STR1 and STR2. There they are provided with message releases F1 and F2 and transmitted to the area computer BR. From the messages transmitted to it by the two control computers, the area computer selects those which are provided with message releases for the correct receipt of the messages.
  • the process element to be controlled is accessed either via the control computer STR1 or the control computer STR2.
  • process elements that can be accessed simultaneously and without interruption from two control computers. This happens, for example, with level crossing safety systems that are designed so that the failure of the control system automatically leads to the lowering of the barrier booms.
  • the barriers can be controlled simultaneously from both computers via two parallel connection circuits, one of which remains effective if one fails. Switching on a point heater can also be initiated simultaneously via two control computers. Things are different when it comes to controlling a point machine;
  • two actuators must not act on the drive at the same time, otherwise there is a risk that both actuators, e.g. due to different switching times of their computer-external actuators could temporarily use the drive in both directions simultaneously. This could result in permanent damage to the actuator control circuit and thus to a total failure of the actuator; however, this should be avoided by keeping redundant control parts available.
  • FIG. 3 shows a diagram according to which the area computer selects the original messages from the messages and message releases transmitted to it by the individual pairs of control computers, without the value of individual message bits having to be corrected. It is assumed that the two control computers have transmitted two message bytes M1 and M2 and two message enable bytes F1 and F2 to the area computer. It is also assumed that the fourth message bit of the message byte M1 and the third message bit of the message byte M2 are documented by the message enable byte F1 as incorrectly received by the message enable byte F2.
  • the area computer first links the message and message enable bytes transmitted to it according to an AND condition. The original message byte is not yet recognizable from the respective result of the AND operation.
  • the area computer therefore inverts the message enable byte of one computer, for example the message byte M1, and thus knows the bit position at which the message byte of the other computer must be accessed. In the example, this is the case at the fourth position of message byte M1.
  • the inverted message enable byte F1 of one computer with the AND operation of message enable byte F2 and message byte M2 of the other computer, the actual value of this bit, "0" in the example, can be determined for the corrupted bit of the first message byte M1; all other bits of the AND link must necessarily be zero because of the inversion of the bits of the message enable byte F1 indicating the correct receipt of messages.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Betriebszustandsmeldungen (M1, M2) der zu steuernden Prozeßelemente (W, A) werden den Meldeteilen (M1.1, M2.1) zweier Stellrechner (STR1, STR2) zugeführt, die diese Zustandsmeldungen durch Meldefreigaben (F1, F2) ergänzen und an einen Bereichsrechner (BR) weitergeben. Dieser wählt aus den zweikanalig übermittelten Meldungen die als ordnungsgerecht gekennzeichneten zur Bewertung aus. In Kommandorichtung wirkt der Bereichsrechner in Abhängigkeit davon, ob für ein zu steuerndes Prozeßelement keine Redundanz oder aber eine nicht unterbrechungsfreie oder eine unterbrechungsfreie Redundanz gefordert und zulässig ist, entweder über nur einen Stellrechner oder über den einen oder den anderen Stellrechner eines Stellrechnerpaares oder über beide Stellrechner gleichzeitig auf dieses Prozeßelement ein. Die Ausgabe von Kommandos (K1, K2) an das Prozeßelement über den einen und/oder anderen Stellrechner ist nur so lange möglich, als entsprechende Überwachungsmeldungen (Ü1, Ü2) über die ordnungsgerechte Ausgabe von Kommandos durch die rechnerexternen Stellteile (K1.2, K2.2) der einzelnen Stellrechner vorliegen. <IMAGE>

Description

  • Die Erfindung bezieht sich auf eine Einrichtung nach dem Oberbegriff des Patentanspruches 1. Eine derartige Einrichtung ist aus Signal und Draht 81 (1989) 5, Seiten 95 bis 102 bekannt.
  • Dort wird über die Steuerung und Überwachung der Fahrwegelemente eines elektronischen Stellwerkes mit Hilfe von Stellrechnern (Fahrwegelementrechner) berichtet, über die sowohl die Kommandoausgabe als auch der Meldungsempfang abgewickelt werden. Für alle Einrichtungen, die der Steuerung und Überwachung von mehr als einem Fahrwegelement dienen, ist Redundanz vorgesehen, d. h. diese Einrichtungen sind verdoppelt. Dies gilt insbesondere für die Stellrechner und für die Anpassungen zur Außenanlage. Wegen der Bereitstellung von jeweils zwei Stellrechnern wird eine sehr viel größere Anzahl von Stellrechnern benötigt als bei einem Stellwerk ohne Stellrechnerredundanz. Dies bedingt einen sehr hohen gerätetechnischen Aufwand, allerdings mit dem Vorteil einer hohen Verfügbarkeit der Anlage. Werden von bestimmten Fahrwegelementrechnern nur Fahrwegelemente in Nebengleisen gesteuert, so kann auf eine redundante Rechnerausführung verzichtet werden (Signal und Draht 78 (1986) 9, Seiten 175 bis 184, insbesondere Seite 183). Hier ist zwar der Geräteaufwand minimiert; dafür ist jedoch auch keinerlei Redundanz vorhanden.
  • Bezüglich der Bereitstellung von Redundanz ist bei der bekannten Einrichtung von Nachteil, daß die Fahrwegelemente abhängig davon, ob der eine oder der andere zugehörige Stellrechner betriebsführend ist, eingangsseitig mit dem Ausgang des einen oder dem des anderen Stellrechners zu verbinden sind; dies muß rückwirkungsfrei geschehen und erfolgt über Ausschlußschaltmittel. Außerdem ist von Nachteil, daß der bisher inaktive Stellrechner erst nach dem Umschalten Kenntnis erhält von den IST-Zuständen der jeweils angeschlossenen Fahrwegelemente. Dies verzögert die Prozeßsteuerung unnötig. Ein weiterer Nachteil der bekannten Einrichtung ist darin zu sehen, daß mindestens die Rückmeldung der Betriebszustände an die Stellrechner nur einkanalig erfolgt. Zwar lassen sich bei geeigneten Sicherungsverfahren Datenverfälschungen auf dem Übertragungsweg von den Fahrwegelementen zu einem betriebsführenden Stellrechner erkennen und unwirksam machen; dies verlangt aber bei jeder Übertragungsstörung eine erneute Übertragung der Meldung, um die Prozeßsteuerung fortzusetzen. Auch dies führt insgesamt zu einer Verlangsamung des Prozesses.
  • Aufgabe der Erfindung ist es, eine Einrichtung nach dem Oberbegriff des Patentanspruches 1 anzugeben, die hinsichtlich ihrer Redundanzgestaltung flexibel ist. Etwaige Störungen bei der Übertragung von Kommandos und Meldungen sollen bei ihrem Auftreten möglichst rasch erkennbar sein und den jeweils steuernden Bereichsrechner in die Lage versetzen, sofort in angemessener Weise auf die eingetretene Störung zu reagieren.
  • Die Erfindung löst diese Aufgabe durch die kennzeichnenden Merkmale des Patentanspruches 1. Das laufende Einlesen von Meldungen in die Stellrechner in Verbindung mit der Übertragung von Meldefreigaben gestattet es, gestörte Meldungen sofort zu erkennen; das Einlesen der Meldungen in jeweils zwei Stellrechner gestattet es, bei einer Störung in einem Übertragungskanal die über den jeweils anderen Kanal übermittelten Meldungen auszuwerten, ohne daß es hierzu eines nennenswerten zusätzlichen Aufwandes für die Meldungsumschaltung bedarf. Der Kommandoweg hin zu den Ausgabeschaltmitteln für die Fahrwegelemente wird durch Überwachungsmeldungen für die ordnungsgerechte Ausgabe der Kommandos überwacht. Nur dort, wo tatsächlich eine redundante Steuerung eines Prozeßelementes erforderlich ist, sind redundante Stellrechnerteile für die Kommandoausgabe an die Fahrwegelemente vorgesehen.
  • Vorteilhafte Ausgestaltungen der erfindungsgemäßen Einrichtung sind in den Unteransprüchen angegeben.
  • Anspruch 2 bezeichnet die Darstellung der Meldungen und der zugehörigen Meldefreigaben und ihre Übermittlung an die Stellrechner sowie die Zuordnung der Meldungen zu den Freigaben.
  • Nach der Lehre des Anspruches 3 wählt sich der Bereichsrechner aus den von jeweils zwei Stellrechnern übermittelten Meldebytes individuell jeweils diejenigen Meldebits aus, die ungestört empfangen wurden. Die Meldeauswertung insgesamt ist erst gestört, wenn in beiden Meldebytes die einander entsprechenden Meldebits gestört sind. Anspruch 4 gibt an, auf welche Weise der Bereichsrechner aus den ihm übermittelten Meldungen und Freigaben die originären Meldungen ableitet.
  • Anspruch 5 beinhaltet die Ausgestaltung der erfindungsgemäßen Einrichtung bei nichtredundanter Steuerung eines Prozeßelementes und Anspruch 6 ihrer Ausgestaltung bei redundanter Steuerung.
  • Anspruch 7 bezeichnet die Mittel zum bedarfsweisen Sperren eines Stellrechners, über den der ordnungsgerechte Zugriff auf ein zu steuerndes Prozeßelement nicht mehr gegeben ist.
  • Ausführungsbeispiele der Erfindung sind nachstehend unter Bezugnahme auf die Zeichnung näher erläutert.
  • Die Zeichnung zeigt:
    • in Figur 1 eine in Melderichtung redundante und in Kommandorichtung nicht redundante Ausgestaltung der erfindungsgemäßen Einrichtung,
    • in Figur 2 eine in Melderichtung und in Kommandorichtung redundante Ausgestaltung der erfindungsgemäßen Einrichtung und
    • in Figur 3 ein Schema zum Ermitteln des originären Meldebytes bei mit Störungen behafteten Meldebytes.
  • Figur 1 zeigt schematisch einen Bereichsrechner BR zusammen mit zwei Stellrechnern STR1 und STR2 zur Steuerung eines Lichtsignales S sowie weiterer in der Zeichnung nicht dargestellter Prozeßelemente eines Stellwerkes. Der Bereichsrechner und die beiden Stellrechner stellen nur einen kleinen Ausschnitt der Steuerelemente eines Stellwerkes dar. Das Lichtsignal wird in Kommandorichtung in nicht redundanter Weise ausschließlich über den Stellrechner STR2 gesteuert. Einer Redundanz bedarf es deshalb nicht, weil im Falle der Nichtsteuerbarkeit des Signales über den Stellrechner dieses auf Halt geht (sicherer Zustand) und weil dieses Signal durch Anschalten von Kennlicht oder auf schriftlichen Befehl passiert werden kann. Die eingetretene Störung macht den angrenzenden Streckenabschnitt nicht grundsätzlich unpassierbar; Redundanz ist also nicht zwingend erforderlich. Die Steuerung des Lichtsignals geschieht über zugeordnete Stellteile K2.1 und K2.2; K2.1 beinhaltet im wesentlichen die Ausgabetore des Stellrechners STR2 zum Lichtsignal, K2.2 im wesentlichen die Anpassungen zum Umsetzen vom zugehörigen Stellrechner stammender Steueranweisungen in Anschaltaufträge für die Leistungsschaltmittel des Lichtsignals. Überwachungsmeldungen Ü2 zur Kennzeichnung des jeweiligen Schaltzustandes der Leistungsschaltmittel im externen Stellteil werden über den Stellrechner STR2 an den Bereichsrechner übertragen, der daraufhin in der Lage ist, das ordnungsgerechte Arbeiten der Stellteile zu überwachen. Nur solange die Überwachungsmeldungen anzeigen, daß die über den Stellrechner STR2 ausgegebenen Kommandos vom Stellteil K2.2 ordnungsgerecht ausgeführt wurden, veranlaßt der Bereichsrechner über den Stellrechner STR2 die weitere Ausgabe von Kommandos an dieses Stellteil; andernfalls ist die ordnungsgerechte Kommandoausgabe nicht mehr gewährleistet, die Kommandoausgabe unterbleibt und das Signal geht selbsttätig auf Halt und damit in den sicheren Zustand. Bei Aufnahme der Steuerung eines Prozeßelementes über den einen oder anderen Stellrechner sorgt eine Anlaufprozedur dafür, daß auf das Vorhandensein von Überwachungsmeldungen vorübergehend verzichtet werden kann.
  • Der jeweilige Betriebszustand des Lichtsignales wird in Form von Betriebszustandsmeldungen sowohl dem Meldeteil M2.1 des steuernden Stellrechners STR2 als auch dem Meldeteil M1.1 eines zur Steuerung anderer Prozeßelemente vorgesehenen Stellrechners STR1 zugeführt. Beide Stellrechner prüfen die übermittelten Meldungen unabhängig voneinander auf ordnungsgerechten Empfang und übermitteln sie getrennt voneinander an den steuernden Bereichsrechner BR. Dabei versehen sie die Meldungen M1 bzw. M2 mit Meldefreigaben F1 bzw. F2, welche dem Bereichsrechner anzeigen, ob die zugehörigen Meldungen ordnungsgerecht empfangen wurden oder nicht. Der Bereichsrechner entscheidet aufgrund der ihm übermittelten Meldefreigaben, welche der ihm zweikanalig übermittelten Meldungen als ordnungsgerecht anzuerkennen sind und welche nicht. Bei auf beiden Meldekanälen anliegenden, mit je einer den ordnungsgerechten Meldungsempfang kennzeichnenden Meldefreigabe versehenen Meldungen werden diese in den einen bzw. anderen Verarbeitungskanal des Bereichsrechners eingelesen; bei einer nur auf einem Meldekanal anliegenden, mit einer positiven Meldefreigabe versehenen Meldung wird diese in beide Verarbeitungskanäle des Bereichsrechners eingelesen.
  • Jede Meldung besteht vorzugsweise aus einem Bit der einen oder einem Bit der anderen Wertigkeit und in den Stellrechnern werden aus den Meldungen, ggf. auch aus den Meldungen mehrerer gesteuerter Prozeßelemente, Meldebytes zur Übertragung an den zugehörigen Bereichsrechner gebildet. Jeder Stellrechner erzeugt bei ungestörtem Empfang eines Meldebits ein Freigabebit der Wertigkeit L und bei gestörtem Empfang eines Meldebits ein Freigabebit der Wertigkeit 0. Diese Bits werden jeweils zusammen mit dem zugehörigen Meldebyte als Meldefreigabebyte an den Bereichsrechner übertragen. Dabei besteht eine feste Zuordnung zwischen den Bitpositionen der Meldebytes und denen der Meldefreigabebytes. Der Bereichsrechner wählt aus den ihm von beiden Stellrechnern byteweise übermittelten Meldungen individuell jeweils diejenigen Bits aus, denen Meldefreigaben der Wertigkeit L zugeordnet sind und verwirft alle nicht mit Meldefreigaben dieser Wertigkeit versehenen Meldungen.
  • Figur 2 beinhaltet die Anwendung der Erfindung bei der Steuerung eines Fahrwegelementes, für das sowohl in Melde- als auch in Kommandorichtung Redundanz verlangt wird. Dabei soll es sich um eine Weiche W handeln, die von einem Antrieb A bedarfsweise umsteuerbar ist. Diese Weiche muß steueroar bleiben, auch dann, wenn sie von einem normalerweise für sie zuständigen Stellrechner nicht mehr steuerbar ist. Für den dann ausgefallenen Stellrechner springt ein anderer, hierfür vorgesehener Stellrechner ein, der auch vorher schon ständig mit den von der Weiche stammenden Zustandsmeldungen versorgt wurde.
  • Es ist angenommen, daß die Weiche W üblicherweise über den Stellrechner STR1 gesteuert wird. Hierzu versorgt der Bereichsrechner BR den Stellrechner STR1 mit entsprechenden Kommandos K1. Diese Kommandos werden über ein rechnerinternes Stellteil K1.1 an ein rechnerexternes Stellteil K1.2 übermittelt, in dem die Kommandos in Schaltaufträge für Leistungsschaltmittel zum Steuern des Weichenantriebs A umgesetzt werden. Die Stromversorgung des Antriebs erfolgt in bekannter Weise beispielsweise über vieradrige Leitungen aus dem rechnerexternen Stellteil K1.2. Dieses Stellteil übermittelt Überwachungsmeldungen Ü1 über die Schaltstellung seiner Leistungsschaltmittel an den Stellrechner STR1, der diese Überwachungsmeldungen entweder an den Bereichsrechner BR weitergibt, oder zuvor mit den anliegenden Kommandoaufträgen vergleicht und die Vergleichsergebnisse an den Bereichsrechner weitermeldet. Aus den Überwachungsmeldungen erkennt der Bereichsrechner, ob die von ihm veranlaßten Kommandos zur Ausführung gelangen oder nicht. Er unternimmt nur solange den Versuch, über den Stellrechner STR1 auf den Antrieb A zuzugreifen, solange ihm vom Stellrechner die entsprechenden Überwachungsmeldungen über die ordnungsgerechte Ausgabe von Kommandos übermittelt werden. Bleiben diese Überwachungsmeldungen aus, bzw. zeigen sie, daß eine ordnungsgerechte Kommandoausgabe nicht mehr möglich ist, so sperrt der Stellrechner STR1 die ihm zugeordneten Kommandoteile gegen weitere Beaufschlagung und unterrichtet den Bereichsrechner hiervon. Dieser veranlaßt in der Folge die Steuerung des Antriebs über den Stellrechner STR2. Hierzu versorgt er den Stellrechner mit entsprechenden Kommandos K2, die über rechnerinterne und rechnerexterne Stellteile K2.1 und K2.2 an den Antrieb ausgegeben werden. Auch hier ist eine ständige Überwachung des Kommandoweges bis hin zum rechnerexternen Stellteil K2.2 vorgesehen, wobei entsprechende Überwachungsmeldungen Ü2 an den Stellrechner STR2 und von dort direkt oder in aufgearbeiteter Form an den Bereichsrechner gelangen.
  • Die Betriebszustandsmeldungen der Weiche werden den Meldeteilen M1.1 und M2.1 der beiden Stellrechner STR1 und STR2 zugeführt. Dort werden sie mit Meldefreigaben F1 bzw. F2 versehen und an den Bereichsrechner BR übermittelt. Der Bereichsrechner wählt sich aus den ihm von den beiden Stellrechnern übermittelten Meldungen jeweils diejenigen aus, die mit Meldefreigaben für den ordnungsgerechten Empfang der Meldungen versehen sind.
  • Bei dem Ausführungsbeispiel der Figur 2 erfolgt der Zugriff auf das zu steuernde Prozeßelement, die Weiche W, entweder über den Stellrechner STR1 oder den Stellrechner STR2. Es gibt jedoch auch Prozeßelemente, auf die unterbrechungsfrei gleichzeitig von zwei Stellrechnern aus zuzugreifen ist. Dies geschieht beispielsweise bei Bahnübergangssicherungsanlagen, die so konzipiert sind, daß der Ausfall der Steuerung automatisch zum Absenken der Schrankenbäume führt. Hier kann die Ansteuerung der Schranken gleichzeitig von beiden Rechnern aus über zwei parallele Anschaltkreise erfolgen, von denen bei Ausfall des einen der andere wirksam bleibt. Auch die Anschaltung einer Weichenheizung kann gleichzeitig über zwei Stellrechner veranlaßt werden. Anders liegen die Dinge bei der Steuerung eines Weichenantriebs; hier darf nicht gleichzeitig von zwei Stellrechnern auf den Antrieb eingewirkt werden, weil sonst die Gefahr besteht, daß beide Stellrechner z.B. wegen unterschiedlicher Schaltzeiten ihrer rechnerexternen Stellteile den Antrieb vorübergehend gleichzeitig in beiden Laufrichtungen beanspruchen könnten. Hierdurch könnte es zu einem bleibenden Schaden im Stellstromkreis des Antriebes und damit zu einem Totalausfall des Antriebes kommen; dies sollte jedoch gerade durch das Vorhalten redundanter Steuerungsteile vermieden werden.
  • Figur 3 zeigt ein Schema, nach dem sich der Bereichsrechner aus den ihm von den einzelnen Stellrechnerpaaren übermittelten Meldungen und Meldefreigaben die jeweils originären Meldungen aussucht, ohne daß die Wertigkeit einzelner Meldebits korrigiert werden muß. Es ist angenommen, daß die beiden Stellrechner dem Bereichsrechner zwei Meldebytes M1 und M2 und zwei Meldefreigabebytes F1 und F2 übermittelt haben. Es ist ferner angenommen, daß durch das Meldefreigabebyte F1 das vierte Meldebit des Meldebytes M1 und durch das Meldefreigabebyte F2 das dritte Meldebit des Meldebytes M2 als nicht ordnungsgerecht empfangen dokumentiert sind. Der Bereichsrechner verknüpft zunächst die ihm übermittelten Melde- und Meldefreigabebytes nach einer UND-Bedingung. Aus dem jeweiligen Ergebnis der UND-Verknüpfung ist das originäre Meldebyte noch nicht erkennbar. Der Bereichsrechner invertiert deshalb das Meldefreigabebyte des einen Rechners, z.B. das Meldebyte M1, und kennt damit die Bitposition, an der auf das Meldebyte des anderen Rechner zugegriffen werden muß. Dies ist im Beispiel an der vierten Stelle des Meldebytes M1 der Fall. Durch UND-Verknüpfung des invertierten Meldefreigabebytes F1 des einen Rechners mit der UND-Verknüpfung aus Meldefreigabebyte F2 und Meldebyte M2 des anderen Rechner läßt sich für das verfälschte Bit des ersten Meldebytes M1 die tatsächliche Wertigkeit dieses Bits, im Beispiel "0", feststellen; alle anderen Bits der UND-Verknüpfung müssen wegen der Invertierung der den ordnungsgerechten Empfang von Meldungen anzeigenden Bits des Meldefreigabebytes F1 zwangsläufig auf Null liegen. Wenn man nun das durch die zweimalige UND-Verknüpfung gefundene Byte mit dem durch die UND-Verknüpfung des Meldebytes M1 mit dem Meldefreigabebytes F1 gefundenen Byte nach einer ODER-Bedingung verknüpft, so kann dieses Byte durch die ODER-Verknüpfung nur an den Stellen modifiziert werden, an denen das Meldebyte M1 durch das zugehörige Meldefreigabebyte F1 als nicht ordnungsgerecht gekennzeichnet wurde. Im vorliegenden Fall tritt jedoch eine derartige Modifizierung nicht ein, weil das zu korrigierende Meldebit zufälligerweise die Wertigkeit "0" aufweist. Durch ODER-Verknüpfen der UND-Verknüpfung aus Meldebyte M1 und Meldefreigabebyte F1 mit dem durch zweimalige UND-Verknüpfung des Meldebytes M2 und des Meldefreigabebytes F2 des anderen Rechners und des invertierten Meldefreigabebytes F1 des eigenen Rechners gefundenen Wert läßt sich so das originäre Meldebyte im Bereichsrechner nachbilden.

Claims (7)

1. Einrichtung zur Steuerung der Prozeßelemente eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks mit mehreren von den Bereichsrechnern mit Kommandos und von den Prozeßelementen mit Meldungen versorgten Stellrechnern, die über Ausgabeschaltmittel auf zugeordnete Prozeßelemente wirken,
dadurch gekennzeichnet,
daß die Prozeßelemente (S, W) die von ihnen stammenden Meldungen (M1, M2) jeweils zwei Stellrechnern (STR1, STR2) zuführen und daß diese Stellrechner den Meldungen bei ordnungsgerechtem Empfang der Meldungen Freigabekennzeichen (F1, F2) zuordnen und diese zusammen mit den Meldungen an einen zugehörigen Bereichsrechner (BR) übermitteln, daß der Bereichsrechner nur mit Freigabekennzeichen versehene Meldungen anerkennt und daß der Bereichsrechner die von ihm erarbeiteten Kommandos (K1, K2) individuell über solche Stellrechner an die zugehörigen Prozeßelemente absetzt, von denen er bei der vorherigen Übermittlung von Kommandos entsprechende Überwachungsmeldungen (Ü1, Ü2) für die ordnungsgerechte Ausgabe dieser Kommandos durch die Ausgabeschaltmittel des betreffenden Stellrechners empfangen hat.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet,
daß jede Meldung (M1, M2) aus einem Bit der einen oder einem Bit der anderen Wertigkeit besteht,
daß die Bits mehrerer Meldungen ein Meldebyte bilden,
daß die Stellrechner (STR1.1, STR1.2) abhängig vom ordnungsgerechten Empfang der Meldungen für jede Meldung (M1, M2) als Freigabekennzeichen (F1.1, F1.2) ein Bit der Wertigkeit L oder ein Bit der Wertigkeit 0 erzeugen und diese Bits jeweils im Anschluß an das zugehörige Meldebyte als Freigabekennzeichenbyte an den zugehörigen Bereichsrechner (BR) übertragen, wobei eine feste Zuordnung zwischen den Bitpositionen der Meldebytes und denen der Freigabekennzeichenbytes besteht.
3. Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daß der Bereichsrechner (BR) aus den ihm von den beiden Stellrechnern byteweise übermittelten Meldungen (M1, M2) individuell jeweils diejenigen auswählt, denen Freigabekennzeichen durch einen Stellrechner zugeordnet sind.
4. Einrichtung nach Anspruch 3, dadurch gekennzeichnet,
daß der Bereichsrechner (BR) die ihm von jeweils zwei Stellrechnern (STR1, STR2) übermittelten Meldungen (M1, M2) mit den jeweils zugehörigen Freigabekennzeichen (F1, F2) nach einer UND-Bedingung verknüpft,
daß der Bereichsrechner die ihm von jeweils einem der Stellrechner (z.B. STR1) übermittelten Freigabekennzeichen (F1) invertiert und mit dem durch die UND-Verknüpfung von Meldungen (M2) und Freigabekennzeichen (F2) des jeweils anderen Stellrechners (STR2) gebildeten Byte nach einer UND-Bedingung verknüpft und daß der Bereichsrechner dieses Byte mit dem durch die UND-Verknüpfung von Meldungen (M1) und Freigabekennzeichen (F1) des einen Stellrechners (STR1) gebildeten Byte nach einer ODER-Bedingung verknüpft und das Ergebnis als Meldebyte anerkennt.
5. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Steuerung eines Prozeßelementes (S) durch einen Bereichsrechner in nichtredundanter Weise über nur einen einzigen Stellrechner (STR2) erfolgt und daß dieses Prozeßelement hierzu über entsprechende Ausgabeschaltmittel (K2.2) an nur diesen Stellrechner angeschlossen ist.
6. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Steuerung eines Prozeßelementes (W) durch einen Bereichsrechner in redundanter Weise über zwei Stellrechner (STR1,STR2) erfolgt,
daß dieses Prozeßelement hierzu über zwei entsprechende Ausgabeschaltmittel (K1.1, K2.1) an den einen und den anderen Stellrech
ner angeschlossen ist
und daß die Steuerung des Prozeßelementes in Abhängigkeit davon, ob für das Prozeßelement eine nicht unterbrechungsfreie oder eine unterbrechungsfreie Redundanz gefordert und zulässig ist, über den einen oder den anderen Stellrechner oder über beide Stellrechner gemeinsam erfolgt.
7. Einrichtung nach Anspruch 5 oder 6, dadurch gekennzeichnet, daß ein Stellrechner (z.B. STR1.1) beim Erkennen der Nichtsteuerbarkeit eines Prozeßelementes (W) rechnerintern die diesem Prozeßelement zugeordneten Kommandoteile sperrt und dem zugehörigen Bereichsrechner (BR) hiervon Mitteilung macht.
EP19900117294 1990-09-07 1990-09-07 Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks Expired - Lifetime EP0473834B1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE59006247T DE59006247D1 (de) 1990-09-07 1990-09-07 Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks.
EP19900117294 EP0473834B1 (de) 1990-09-07 1990-09-07 Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP19900117294 EP0473834B1 (de) 1990-09-07 1990-09-07 Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks

Publications (2)

Publication Number Publication Date
EP0473834A1 true EP0473834A1 (de) 1992-03-11
EP0473834B1 EP0473834B1 (de) 1994-06-22

Family

ID=8204444

Family Applications (1)

Application Number Title Priority Date Filing Date
EP19900117294 Expired - Lifetime EP0473834B1 (de) 1990-09-07 1990-09-07 Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks

Country Status (2)

Country Link
EP (1) EP0473834B1 (de)
DE (1) DE59006247D1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0777355A1 (de) * 1995-12-01 1997-06-04 Sextant Avionique Sichere Datenübertragung zur Prozessausführung mit dem ARINC 629 Protokoll
WO2005113315A1 (en) * 2004-05-20 2005-12-01 Balfour Beatty Plc Railway signalling system and interlocking
EP1702827A1 (de) * 2005-03-16 2006-09-20 Siemens Aktiengesellschaft Bedienplatzsystem
EP2036800A3 (de) * 2007-09-11 2009-09-30 Deutsche Bahn AG Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebes von Schienenfahrzeugen
EP3900999B1 (de) 2020-04-21 2024-10-16 Hitachi Rail GTS Schweiz AG Migration von einer bestehenden bahntechnischen anlage zu einer neuen bahntechnischen anlage

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103407463A (zh) * 2013-08-21 2013-11-27 南京泰通科技有限公司 电子化半自动闭塞机及其工作方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0033436A1 (de) * 1980-01-30 1981-08-12 Siemens Aktiengesellschaft Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
EP0132548A1 (de) * 1983-06-28 1985-02-13 Siemens Aktiengesellschaft Einrichtung zum Betrieb eines rechnergesteuerten Stellwerkes
EP0148995A2 (de) * 1983-09-12 1985-07-24 Siemens Aktiengesellschaft Schaltungsanordnung zum Prüfen des ordnungsgerechten Anlaufens eines zweikanaligen Fail-Safe-Mikrocomputerschaltwerkes, insbesondere für Eisenbahnsicherungsanlagen
DE3712833A1 (de) * 1986-05-29 1987-12-10 Alcatel Nv Sicherheitssteuereinrichtung

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0033436A1 (de) * 1980-01-30 1981-08-12 Siemens Aktiengesellschaft Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
EP0132548A1 (de) * 1983-06-28 1985-02-13 Siemens Aktiengesellschaft Einrichtung zum Betrieb eines rechnergesteuerten Stellwerkes
EP0148995A2 (de) * 1983-09-12 1985-07-24 Siemens Aktiengesellschaft Schaltungsanordnung zum Prüfen des ordnungsgerechten Anlaufens eines zweikanaligen Fail-Safe-Mikrocomputerschaltwerkes, insbesondere für Eisenbahnsicherungsanlagen
DE3712833A1 (de) * 1986-05-29 1987-12-10 Alcatel Nv Sicherheitssteuereinrichtung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MICROPROCESSORS. vol. 11, no. 5, Juni 1987, LONDON GB Seiten 264 - 272; cribbens: "Microprocessors in railway signalling: the Solid-State Interlocking" *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0777355A1 (de) * 1995-12-01 1997-06-04 Sextant Avionique Sichere Datenübertragung zur Prozessausführung mit dem ARINC 629 Protokoll
FR2742015A1 (fr) * 1995-12-01 1997-06-06 Sextant Avionique Procede de securisation d'une action et dispositif de mise en oeuvre
US5872827A (en) * 1995-12-01 1999-02-16 Sextant Avionique Method for producing a result and device for the implementation thereof
WO2005113315A1 (en) * 2004-05-20 2005-12-01 Balfour Beatty Plc Railway signalling system and interlocking
AU2005245171B2 (en) * 2004-05-20 2010-03-04 Balfour Beatty Plc Railway signalling system and interlocking
EP1702827A1 (de) * 2005-03-16 2006-09-20 Siemens Aktiengesellschaft Bedienplatzsystem
EP2036800A3 (de) * 2007-09-11 2009-09-30 Deutsche Bahn AG Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebes von Schienenfahrzeugen
EP3900999B1 (de) 2020-04-21 2024-10-16 Hitachi Rail GTS Schweiz AG Migration von einer bestehenden bahntechnischen anlage zu einer neuen bahntechnischen anlage

Also Published As

Publication number Publication date
EP0473834B1 (de) 1994-06-22
DE59006247D1 (de) 1994-07-28

Similar Documents

Publication Publication Date Title
EP0875810B1 (de) Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
EP1297394B1 (de) Redundantes steuerungssystem sowie steuerrechner und peripherieeinheit für ein derartiges steuerungssystem
EP1869836B1 (de) Master-einheit, kommunikationssystem und verfahren zu deren betreiben
DE102012000158B4 (de) Adaptives mehrfach redundantes ringförmiges Netzwerk und Verfahren zum Wählen einer Umleitung
DE3614979A1 (de) Sicherheitssystem fuer eine druckmaschine
EP0132548A1 (de) Einrichtung zum Betrieb eines rechnergesteuerten Stellwerkes
DE2833761C3 (de) Schaltungsanordnung zur Überwachung des Zustands von Signalanlagen, insbesondere von Straßenverkehrs-Lichtsignalanlagen
EP1054309B1 (de) Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem
DE3432165C2 (de)
DE2701925C3 (de) Fahrzeugsteuerung mit zwei Bordrechnern
DE1802999B2 (de) Schaltungsanordnung fuer zentralgesteuerte vermittlungs anlagen insbesondere fernsprechvermittlungsanlagen mit jeweils mindestens einem programm und oder zustandsspeicher
EP0105182B1 (de) Einrichtung zum dezentralen Stellen von Fahrstrassen in einem Spurplanstellwerk
EP0473834B1 (de) Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks
EP1887444A1 (de) Prozesssteuerung
EP0551114A1 (de) Anordnung zur Informationsübermittlung
EP0059789B1 (de) Einrichtung zur Funktionsprüfung eines Mehrrechnersystems
DE3007960C2 (de) Elektronisches Stellwerk
EP3509316A1 (de) Sicherheitsnetzwerk und sicherheitssensor
DE19620065C2 (de) Schaltungsanordnung zur Überwachung des fehlerfreien und/oder zur Erkennung eines fehlerbehafteten Zustands einer Anlage
DE2925169C2 (de) Rechnergesteuertes Stellwerk
DE3012159C2 (de) Anordnung zur gesicherten Datenausgabe
WO1999014989A1 (de) Steuervorrichtung für lichtanlagen von flughäfen
DE10357797A1 (de) Peripherieeinheit für ein redundantes Steuersystem
DE19934513B4 (de) Steuerungsverfahren für eine technische Anlage
DE4303048A1 (en) Alarm recognition apparatus for redundant layout circuit in radio equipment - has input circuits delaying alarm recognition signals when circuits are switched to be operational systems

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 19901220

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE CH DE DK ES FR GB GR IT LI LU NL SE

RBV Designated contracting states (corrected)

Designated state(s): CH DE LI NL

17Q First examination report despatched

Effective date: 19930913

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): CH DE LI NL

REF Corresponds to:

Ref document number: 59006247

Country of ref document: DE

Date of ref document: 19940728

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed
PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: NL

Payment date: 20020926

Year of fee payment: 13

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20021118

Year of fee payment: 13

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: CH

Payment date: 20031203

Year of fee payment: 14

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NL

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20040401

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20040401

NLV4 Nl: lapsed or anulled due to non-payment of the annual fee

Effective date: 20040401

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20040930

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20040930

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL