控制安全苛刻的铁路运行过程的方法和实施该方法的装置

摘要

在本发明控制安全苛刻的铁路运行过程的方法中，将程序分为系统软件(V，PMS)和铁路管理专用软件(BO)。通过在信号技术可靠的计算机(SR

说明书

技术领域

本发明涉及一种按照权利要求1前序部分的方法以及一种按照权利要求12的前序部分的用于实施该方法的装置。

背景技术

铁路运行过程属于安全苛刻的过程，因为可能的功能故障如果没有被及时地识别并被阻止其对过程的影响的话，可以导致巨大的财物损坏并可能造成人员的伤害。出于这种原因，迄今为止对于这种过程的控制采用信号技术上可靠的装置，其任务是，对待控制过程内以及过程控制本身的内部功能故障进行识别，并由此将过程引导至或者保持在一个更安全的状态。这种信号技术上可靠的控制可以用不同的技术实现，例如用继电器技术或者用电子技术。在信号技术上可靠的过程控制中迄今采用昂贵的专用计算机，该计算机对当前处理任务两个通道地进行处理，并实时信号技术上可靠地比较处理流程在内容上的一致性。只有当两个处理通道分别得到的结果相同时，才将处理控制指令输出到待控制过程的过程部件；否则中断至该过程的连接，除非存在至少一台可以接管并实际接管出故障的计算机的功能的备用计算机。

上述可靠地输入和输出数据以及进行数据比较的功能，包括必要时可靠地断开过程部件的功能，通过可靠计算机的系统软件实行。此外，可靠计算机迄今还包括用于实际过程控制(例如集控站控制)的铁路管理专用软件。铁路管理专用软件通过各铁路管理运行规定确定，并描述例如由其预先给定的进路排列和进路解锁的依赖关系(Signal+Draht(信号+导线)，77(1985)12，第259-265页)。铁路管理专用软件不仅由于铁路管理机构的不同而不同，而且也由于同一铁路管理机构的设备的不同而至少部分地不同。这意味着，安装在信号技术上可靠的计算机中并在其中运行的软件随应用情况的不同而不同，其中，对于每种应用情况所加载的软件的正确性必须通过可靠性证明得到证明或者使人信服。通过在每台计算机中系统软件和铁路管理专用软件的混合，导致复杂的软件包，这些软件包难于看清楚并在建立和验证中费时且昂贵。

发明内容

本发明要解决的技术问题是，提供一种按照权利要求1前序部分的用于控制安全苛刻的铁路运行过程的方法，该方法在建立对于可靠过程处理所需要的程序中的开销较少，并且可以对铁路运营商对过程控制的可能改变的要求迅速而低成本地作出反应。本发明要解决的另一个技术问题是，提供一种实施该方法的装置。

本发明是通过权利要求1以及权利要求12的特征解决上述技术问题的。本发明的基本思想在于，将铁路管理专用软件由信号技术可靠的计算机中加载到商用计算机中，在商用计算机中数据被分别处理至少两次，并在输出给过程之前在信号技术可靠的计算机中进行一致性验证。信号技术可靠的计算机除了数据比较的任务之外，主要还有如下任务：对输入提示和命令进行可靠的采集并传递到商用计算机上，以及可靠地影响过程部件并在故障情况下信号技术可靠地中断至过程部件的连接。

本发明方法以及本发明装置的优选实施方式和扩展在从属权利要求中给出。

附图说明

下面对照附图所示的实施方式对本发明作进一步的说明。其中，

图1示意性示出了本发明的用于控制安全苛刻的铁路运行过程的装置的结构，

图2示出了相应的现有技术中的实施装置的结构。

具体实施方式

图2示出了公知的信号技术可靠的计算机SR，用于优选通过相同的处理程序在两个独立的处理通道K1，K2中进行过程处理。该可靠的计算机SR表示任意数目的信号技术可靠的计算机；其数目主要取决于待控制过程的规模。待控制的过程是用来对铁路设备BA起作用的铁路运行过程。在图中一个道岔W和一个信号S表示铁路设备的过程部件。对过程部件控制和监视通过为此开发的控制和监视电路实行，其在图中没有明确表示出来，通过这些电路由可靠的计算机SR向过程部件发出控制指令并从该电路将提示M输入到可靠的计算机。

信号技术可靠的计算机SR将从过程传送给它的提示M通过通信总线KB输出到输入和显示计算机EAR。该输入和显示计算机除了别的功能外，按照在各铁路运行规定中确定的表示规则对铁路运行过程进行监视；它优选地被实现为信号技术方法可靠的计算机。通过该输入和显示计算机EAR还产生用于控制铁路运行过程的指令K并传送到信号技术可靠的计算机SR。在此，输入可以通过操作者，例如行驶业务主管进行，或者也可以通过例如用于自动化作业方式(Selbststellberieb)或者连续通过作业(Duchletbetrieb)的自动化技术进行。

提示和指令将在信号技术可靠的计算机中按照在各铁路运营商的运行规定中确定的条件和依赖关系被两个通道地处理。在两个处理系统的总线上出现的数据、地址和控制信号被实时地信号技术可靠地进行比较，以便能够立刻识别可能的偏差。在此，检查程序甚至对可靠的计算机的输入/输出寄存器以及其程序和工作存储器及其地址寄存器，在预定的最小时间间隔内进行检验，看其存储器是否既可以采取一种状态又可以采取另一种状态。这样，可以事件控制地或时间控制地识别出可能的功能故障并引起对外部设备的可靠断开：控制指令不能再输出到道岔而信号为停止。

由于将由在图中用椭圆图形BO表示的铁路管理的各运行规定预先给定的条件和依赖关系存放到可靠的计算机SR的程序存储器中，并和系统软件混合，使得为了控制铁路运行过程而存放在可靠的计算机中的软件为一个性化软件，该软件非常复杂并且在建立以及在检验中都是格外地开销大。

在图1所示的按照本发明的用于控制铁路运行过程的装置中，同样至少有一台信号技术可靠的计算机SR^*，其具有两个优选为相同构造和相同运行的处理通道K1^*和K2^*。它们的任务是，类似于按照现有技术的信号技术可靠的计算机SR，对所有输入给它的提示M和指令K可靠地进行采集并进行处理。其另一个任务是，信号技术可靠地将处理过的控制指令SB输出至各铁路设备BA的过程部件W，S，以及保证控制指令的输出在出现故障的情况下信号技术可靠地停顿。与现有技术不同，对用于铁路运行过程的控制和监视的、由各铁路运行规定BO定义的条件和依赖关系的处理不是在信号技术可靠的计算机SR^*中进行，而是在商用计算机R1，R2，...Rn中进行。在这些商用计算机中还存放用于控制铁路运行过程的设备专用数据；计算机R1，R2代表一个或者多个计算机对，其中，每台计算机也可以属于多个计算机对；即由三台计算机可以组成三个计算机对。它们按照在各铁路运行规定BO中为了过程控制确定的条件和依赖关系相互独立地执行由可靠的计算机SR^*输入给它们的处理任务A。每个商用计算机对R1，R2中的两台计算机将其处理结果传送到信号技术可靠的计算机SR^*中，其中，必须为时间上在前的计算机R1或R2设置一个具有时间监视的等待时刻，在该时刻等待另外计算机的处理结果，或者在时间超出时进行故障处理。图1中示意性地示出了对于输入到商用计算机对R1，R2的提示和由其处理的输出以及存储器区域的签名的真实性的验证机制PM。通过输入和显示计算机EAR输入到可靠的计算机SR^*的指令K由该计算机SR^*转换成处理任务A并以电报的形式传送到商用计算机R1，R2；这引起在商用计算机R1，R2中按照各铁路运行规定BO的条件和依赖关系进行处理。

对于通过商用计算机的铁路管理专用软件的处理到达程序的继续处理要在预定的等待时间之后才能进行的程序点的情况，信号技术可靠的计算机用于相应于商用计算机的要求来保证商用计算机处理程序的同步，以便在等待时间过后继续程序的处理。例如，应该在等待时间过后数秒钟由商用计算机对特定的传感器提示进行读入和处理。

由商用计算机对R1，R2确定的处理结果E作为电报被送至信号技术可靠的计算机SR^*，在那里被信号技术可靠地分配到两个处理通道K1^*和K2^*，并信号技术可靠地进行一致性比较。为了可靠地分配提示和可靠地将由商用计算机R1，R2处理的结果进行比较，在图中有一个功能块V，在其中存放着作为系统软件的有关程序。不同于商用计算机R1，R2的验证机制PM，信号技术可靠的计算机的验证机制PMS是信号技术可靠地实现的。

与按照现有技术构成的对应装置相比，本发明装置的优点尤其在于，在信号技术可靠的计算机中总是仅实现可靠的输入和输出以及可靠的数据比较的功能，并且独立于由单个铁路管理机构的运行规定分别确定的要求和条件。由此，不仅在可靠的计算机中运行的系统软件简单和清楚；其更是对于所有的应用情况是相同的，即，不再需要随着情况的变化而重新处理并进行许可验证。由各个铁路管理机构的不同运行规定确定的铁路管理专用软件在商用计算机中运行。其与可靠的计算机的系统软件的共同作用不必验证。而是仅要求，遵守信号技术可靠的计算机和商用计算机之间的专用接口，并且对在商用计算机中实现的铁路管理专用软件的功能进行检验，即，检验特定的输入是否实际上导致特定的输出。这种功能的验证与系统软件的验证分开进行，并且与现有技术不同，不再与可靠的计算机的系统软件结合，就其而言也是比现有技术更清楚的。

铁路管理专用软件的编制不一定由负责过程事件的信号技术可靠性的制造商为信号技术可靠的计算机实现。而是可以，将对商用计算机的程序编制的合同赋予有资格的工程师办公室等，其将其编制的软件与各铁路管理部门和例如联邦铁路局的授权机构进行调整。由此可将用于控制和监视安全苛刻的铁路运行过程的程序比迄今为止更迅速和更合算地与各种条件相适应，而不会因此附带任何对安全性的坏处。

在上面解释的实施方式中，商用计算机R1，R2表示一个或多个双计算机系统或者具有冗余计算机的计算机系统，其中，各计算机应分别运行处理各铁路运行规定预先给定的条件和依赖关系的相同程序，其中，优选各商用计算机或者分别仅实现运行规定的特定的部分功能，或者分别仅对铁路设备的特定部分起作用。不过，也可以这样来符合规定，即，商用计算机R1，R2分别为一单独的计算机，其中，将由铁路管理的运行规定确定的铁路管理专用软件的程序相继相互独立地处理多次(最少两次)。为此所需的铁路管理专用软件可以多样性地构成，但也可以对于两个处理过程在内容上相同。

对于将商用计算机处理的结果向信号技术可靠的计算机的传送，可以优选地使用非信号技术可靠的数据传送，其中，或者将两个通道上串行或并行处理的结果在两个通道上向可靠的计算机传送，或者将其仅通过一个通道相继两次传送。一个第二或者第三冗余通道提高了可用性。在从商用计算机至信号技术可靠的计算机以及相反的传送路径中可能的数据失真，可以在接收计算机中通过发送计算机签发的签名加以识别，该签名将电报内容通过一种计算规定进行编码。在向可靠的计算机串行传送数据时附加数据标记，该标记可使信号技术可靠的计算机识别，所传送的数据是否是当前的和实际来自于商用计算机的不同计算通道，以及是否是不同处理过程的结果；在通过分开的总线传送数据时，信号技术可靠的计算机可以从通过一条或另一条总线传送给它的数据识别，该数据是否也是实际来自于该商用计算机对的一台或另一台计算机。

在本发明的优选实施方式中，可以将商用计算机实现为所谓的操作终端计算机，通过该计算机可以由铁路工作者或者由自动装置给出用于实施铁路运行过程的指令，以及将铁路运行过程的响应可视化。这样，在操作终端计算机中相互独立地运行着用于输入和可视化指令和提示的程序，以及用来按照铁路运行规定控制过程部件的程序。用于输入指令和将过程事件可视化的程序也可以与如通过铁路运行规定预先给定的过程控制程序相结合。

信号技术可靠的计算机也可以实施为n中取m的计算机系统，其中，关于是否应该以及应该将哪些控制指令输出到过程的判断由至少两台无损伤计算机的多数表决决定。

将控制指令输出到过程由两个通道实现；每台计算机可以在确定处理故障时阻止控制指令的输出。

本发明的方法和本发明的装置可以具有优点地应用到所有安全苛刻的铁路运行过程。这样的应用例如可以是通过控制器对铁路运行的可靠控制，也可以例如是对铁路道口、计轴器设备(Achszaehlanlage)以及连续式列车自动控制(LZB)的段设备和列车设备的可靠控制。