ES2240911T3 - Sistema para la deteccion de la ocupacion de una linea de ferrocarril y para la comunicacion digital con los trenes que circulan a lo largo de esa linea de ferrocarril. - Google Patents
Sistema para la deteccion de la ocupacion de una linea de ferrocarril y para la comunicacion digital con los trenes que circulan a lo largo de esa linea de ferrocarril.Info
- Publication number
- ES2240911T3 ES2240911T3 ES03100263T ES03100263T ES2240911T3 ES 2240911 T3 ES2240911 T3 ES 2240911T3 ES 03100263 T ES03100263 T ES 03100263T ES 03100263 T ES03100263 T ES 03100263T ES 2240911 T3 ES2240911 T3 ES 2240911T3
- Authority
- ES
- Spain
- Prior art keywords
- signal
- signals
- track
- train
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 51
- 238000004891 communication Methods 0.000 title claims abstract description 48
- 238000012544 monitoring process Methods 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims description 90
- 238000000034 method Methods 0.000 claims description 45
- 238000012545 processing Methods 0.000 claims description 32
- 230000005540 biological transmission Effects 0.000 claims description 27
- 238000010276 construction Methods 0.000 claims description 8
- 230000002093 peripheral effect Effects 0.000 claims description 8
- 230000007704 transition Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 5
- 238000002405 diagnostic procedure Methods 0.000 claims description 3
- 230000001066 destructive effect Effects 0.000 claims description 2
- 230000037361 pathway Effects 0.000 claims description 2
- 230000000750 progressive effect Effects 0.000 claims description 2
- 230000004913 activation Effects 0.000 claims 1
- 238000012360 testing method Methods 0.000 description 45
- 230000015654 memory Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 18
- 230000009977 dual effect Effects 0.000 description 17
- 238000002955 isolation Methods 0.000 description 15
- 238000005259 measurement Methods 0.000 description 13
- 238000013102 re-test Methods 0.000 description 13
- 230000008054 signal transmission Effects 0.000 description 10
- 238000005070 sampling Methods 0.000 description 9
- 238000004804 winding Methods 0.000 description 9
- 230000006399 behavior Effects 0.000 description 8
- 238000003745 diagnosis Methods 0.000 description 8
- 208000037516 chromosome inversion disease Diseases 0.000 description 7
- 238000009413 insulation Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 238000013461 design Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000007257 malfunction Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 239000002131 composite material Substances 0.000 description 3
- 230000003750 conditioning effect Effects 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 238000000926 separation method Methods 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 230000003321 amplification Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000006731 degradation reaction Methods 0.000 description 2
- 230000001939 inductive effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000003199 nucleic acid amplification method Methods 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000003042 antagnostic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 239000003153 chemical reaction reagent Substances 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000005284 excitation Effects 0.000 description 1
- 230000008014 freezing Effects 0.000 description 1
- 238000007710 freezing Methods 0.000 description 1
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 1
- 238000005286 illumination Methods 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003137 locomotive effect Effects 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000001208 nuclear magnetic resonance pulse sequence Methods 0.000 description 1
- 238000000819 phase cycle Methods 0.000 description 1
- 230000003334 potential effect Effects 0.000 description 1
- 230000036316 preload Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 150000003839 salts Chemical class 0.000 description 1
- 238000004092 self-diagnosis Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000004381 surface treatment Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L23/00—Control, warning or like safety means along the route or between vehicles or trains
- B61L23/08—Control, warning or like safety means along the route or between vehicles or trains for controlling traffic in one direction only
- B61L23/14—Control, warning or like safety means along the route or between vehicles or trains for controlling traffic in one direction only automatically operated
- B61L23/16—Track circuits specially adapted for section blocking
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L3/00—Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal
- B61L3/16—Continuous control along the route
- B61L3/22—Continuous control along the route using magnetic or electrostatic induction; using electromagnetic radiation
- B61L3/24—Continuous control along the route using magnetic or electrostatic induction; using electromagnetic radiation employing different frequencies or coded pulse groups, e.g. in combination with track circuits
- B61L3/246—Continuous control along the route using magnetic or electrostatic induction; using electromagnetic radiation employing different frequencies or coded pulse groups, e.g. in combination with track circuits using coded current
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L1/00—Devices along the route controlled by interaction with the vehicle or train
- B61L1/18—Railway track circuits
- B61L1/181—Details
- B61L1/188—Use of coded current
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Monitoring And Testing Of Transmission In General (AREA)
Abstract
Un sistema para la detección de la ocupación en una línea de ferrocarril, o similar, y para la comunicación digital con trenes que circulan a lo largo de la línea de ferrocarril, en el que, a) la vía que forma la línea de ferrocarril está dividida en una pluralidad de segmentos de vía sucesivos aislados galvánicamente que tienen una longitud predeterminada, los denominados bloques, los raíles de cada segmento de vía aislado formando un circuito de vía (cdB, cdB1, cdB2, cdB3) para detectar la presencia de un tren dentro del mencionado segmento de vía aislado, para comunicar con un tren dentro del mencionado segmento de vía aislado y/o para detectar datos de diagnóstico acerca del estado del mencionado segmento de vía aislado; b) se proporciona una unidad (1) central de control y de supervisión que genera y que transmite señales de control para ejecutar los procedimientos de detección de tren y/o los procedimientos de comunicación con el tren relativos a un tren que circula sobre ese segmentode la vía aislado y/o para ejecutar los procedimientos de diagnóstico; c) cuya unidad (1) central de control y de supervisión comunica con el circuito de vía (cdB, cdB1, cdB2, cdB3) de cada segmento de vía aislado por medio de una subunidad (2, 2'', 2") de control y de supervisión, asociada a cada uno de los segmento aislados de vía o circuitos de vía (cdB, cdB1, cdB2, cdB3) para generar y recibir códigos, y cuya subunidad (2, 2'', 2¿¿) de control y de supervisión ejecuta los procedimientos para detectar la presencia de un tren (T) dentro del segmento de vía aislado asociado.
Description
Sistema para la detección de la ocupación de una
línea de ferrocarril y para la comunicación digital con los trenes
que circulan a lo largo de esa línea de ferrocarril.
La invención se refiere a un sistema para la
detección de la ocupación en una línea de ferrocarril, o similar, y
para la comunicación digital con los trenes que circulan a lo largo
de la mencionada línea de ferrocarril, de acuerdo con el preámbulo
de la reivindicación 1.
Dichos sistemas son muy conocidos y pueden tener
varias arquitecturas de construcción. El artículo periodístico
"LZB 700, Die moderne Zugbeeinflussung mit
lnforrnationsübertragung über die Fahrzeug schienen", Signal +
Draht, 84 (1992) 6, describe dicho sistema. La invención tiene como
objeto mejorar un sistema de acuerdo con el preámbulo de la
reivindicación 1, de tal manera que permita el uso de subunidades
de control y supervisión que tengan una construcción y
funcionamiento que limite los esfuerzos de construcción, gracias al
hecho de que puedan usarse fácilmente o en combinación con los
sistemas existentes, o en combinación con varias configuraciones de
sistema, o en posible combinación con otros tipos de objetos que
vayan a ser controlados o supervisados al mismo tiempo que se
mantienen niveles muy altos de seguridad. La invención tiene como
objeto adicional el proporcionar un sistema como el que se describe
en el presente documento, en el que la detección del tren y las
configuraciones de comunicación digital están muy
simplificadas.
La invención logra los propósitos anteriores
llevando a cabo las características de la reivindicación 1.
Las reivindicaciones dependientes se refieren a
las mejoras de la invención.
Las características de esta invención y las
ventajas derivadas de la misma aparecerán más claras a partir de la
siguiente descripción de una realización que se ilustra en los
dibujos que la acompañan, en los que:
La figura 1 es un diagrama de bloques
simplificado del sistema inventivo, en el que los enlaces de
comunicación a los dispositivos de diagnóstico han sido omitidos
por razones de simplicidad.
La figura 2 es un diagrama de bloques funcional
de la subunidad para controlar y supervisar el elemento de circuito
de seguimiento.
La figura 3 es diagrama de bloques del módulo de
ordenador vital con referencia mostrando todas las interfaces así
como la estructura funciona.
La figura 4 es un diagrama de bloques de la
sección para controlar y supervisar el módulo de ordenador
vital.
Las figuras 5 y 6 muestran un mapa de la sección
de protección 121 a diferentes niveles de detalle.
La figura 7 es un diagrama de bloques del módulo
para generar las señales de detección del tren y/o las señales de
comunicación codificadas.
La figura 8 es un diagrama de bloques del
demodulador/amplificador.
La figura 9 es un diagrama simplificado del
puente H.
La figura 10 es un diagrama de bloques del módulo
de interfaz de seguimiento al que también se denomina como módulo de
protección, inversión y diagnóstico.
La figura 11 muestra un diagrama de bloques de la
sección de inversión en mayor detalle.
La figura 12 es una vista esquemática del
funcionamiento de inversión.
La figura 13a y 13b son vistas esquemáticas de
las conexiones para verificar el estado del conmutador de los relés
de inversión.
La figura 14 es un diagrama de bloques de una
sección den diagnóstico del circuito de seguimiento.
La figura 15 es un diagrama de bloques del
funcional del módulo de adquisición y reconocimiento de la señal de
circuito de seguimiento.
La figura 16 es un diagrama de bloques del módulo
de adquisición y reconocimiento.
La figura 17 es un diagrama de bloques de la
fuente de alimentación para el módulo de adquisición y
reconocimiento.
La figura 18 es un diagrama de bloques del
circuito de entrada.
La figura 19 es un diagrama de bloques del bloque
lógico de acuerdo con la figura 17.
La figura 20 es un diagrama de bloques de la
interfaz entre el módulo de adquisición y reconocimiento y el
módulo del ordenador vital.
La figura 21 es un diagrama de bloques de la
sección generadora de la señal de prueba.
Con referencia a la figura 1, un sistema para la
detección de la ocupación en una línea de ferrocarril, o similar, y
para las comunicaciones digitales con los trenes que circulan a lo
largo de la línea de ferrocarril comprende al menos una vía que
forma la línea de ferrocarril y que se divide en una pluralidad de
segmentos sucesivos aislados galvánicamente que tienen una longitud
predeterminada, los denominados bloques, los raíles de cada
formando un elemento básico, denominado circuito de vía. En la
figura 1, se indican los circuitos de vía como Cdb1, Cdb2 y Cdb3.
Estos circuitos de vía usan los raíles para enviar las señales que
permiten la detección del tren en el correspondiente circuito de
vía, y para comunicar con un tren. Además, se pueden usar las
señales enviadas a cada segmento de vía para detectar cualquier
fallos o daños.
El sistema incluye una unidad central de control
y supervisión 1, que se denomina especialmente como Aparato de
Control Estacionario ASCV, que genera y transmite las señales de
control para ejecutar los procedimientos de detección del tren y/o
los procedimientos de comunicación con el tren relativos a un tren T
que se encuentre en esa vía y/o para ejecutar los procedimientos de
diagnóstico. La unidad de control central comunica con el circuito
de vía de cada sección de bloque por medio de una subunidad 2 de
control y supervisión, 2', 2'', asociada a cada sección de bloque o
circuito de vía Cdb1, Cdb2 y Cdb3 para generar y recibir códigos
que la subunidad ejecuta los procedimientos para detectar la
presencia de un tren T dentro del bloque asociado, los
procedimientos de comunicación y/o los procedimientos de diagnóstico
y transmite las señales de control que corresponden con la
presencia o la ausencia del tren T dentro del bloque
correspondiente y/o la comunicación apropiada establecida con el
tren y/o las señales de diagnóstico relativas al circuito de la vía
e informa a la unidad central de control supervisión sobre el
resultado de las mismas. Cada subunidad 2 de control y supervisión
se asocia a cada sección de bloque correspondiente y a su
respectivo circuito de vía Cdb1, Cdb2 y Cdb3, y se conecta a los
extremos terminales del mismo por medio de un transmisor 3 y un
receptor 4. Cada subunidad 2 y su respectivo bloque Cdb1, Cdb2 y
Cdb3 asociados a la misma se identifican de manera unívoca por
medio de un código ID determinado.
Por lo tanto, la unidad de control y de
supervisión está interpuesta entre la unidad central 1 y su
elemento respectivo Cdb1, Cdb2 y Cdb3, y permite controlar elemento
de "circuito de vía", mediante la entrega de una señalización
de ocupado/desocupado y unas funciones de transmisión de código y
de descodificación.
La subunidad 2, 2', 2'' es un sistema modular que
puede configurarse para ser usado en varios contextos diferentes de
la aplicación. Esta descripción se refiere a una aplicación
diseñada para circuitos de vía ferroviaria de doble aislamiento. En
este tipo de vías, ambos raíles están mecánicamente interrumpidos,
y la potencia de tracción es retornada mediante conexiones
Inductivas.
Las subunidades de control y supervisión 2 están
diseñadas para su uso en circuitos de vía bidireccionales y, con
este fin, se proporciona una característica de inversión de
transmisión de la señal para propagar las señales de detección de
trenes y las señales de comunicación codificadas en la dirección
opuesta a la dirección de avance del tren.
La figura 2 muestra una realización preferida de
una subunidad de control y de supervisión.
El módulo 102, denominado Módulo de ordenador
vital, es una placa Europa doble extendida (233 x 220 mm), que
tiene características de propósito general que incluye recursos
básicos de cálculo y de comunicaciones e interfaces por medio de un
bus paralelo, con los módulos de E/S específicos de aplicación. En
la aplicación descrita en el presente documento, el módulo 102 de
ordenador vital se une al módulo 202 para generar y transmitir las
señales de detección del tren y las señales de comunicación
codificadas, con el módulo 302 para adquirir y reconocer las señales
del circuito de vía y con un módulo 402 para conectarse con los
raíles del elemento de circuito de vía y para invertir la dirección
de transmisión de la señal en el circuito de vía, así como para la
protección del diagnóstico de circuito de vía.
El módulo 102 de ordenador vital controla a la
subunidad 2, gestiona la comunicación con el aparato estacionario y
controla los distintos módulos 202, 302, 402 qué compone la
subunidad 2 de control y supervisión.
El módulo 102 de ordenador vital tiene dos
secciones principales:
una sección de control que consta de un sistema
de microprocesador que incluye los periféricos requeridos (la
memoria de programa, la memoria de acceso aleatorio (RAM),
interfaces serie, reloj auxiliar y circuitos generadores de la señal
de reinicialización, circuitos de vigilancia). La sección de
control incluye software de proceso que es idéntico para todas las
aplicaciones en particular con relación a las funciones de
seguridad y protección, y está especializada por medio de software
de configuración específico de aplicación, en el que se tiene en
cuenta la configuración específica del sistema y los códigos de
selección. La sección de control también tiene asignada todas las
funciones para la comunicación con la unidad central 1 y para
gestionar la interfaz (VCM_IOBUS) con los otros módulos de la
subunidad 2 de control y supervisión.
Una sección de protección vital, es decir una
unidad de comprobación y de protección que usa bloques hardware y
bloques software y bloques software relacionados con el código de
seguridad son independientes de la configuración específica del
sistema, pero forman un sistema para certificar que las palabras
código de comprobación o las palabras de comprobación que la
sección de control está generando en base a la realimentación
transmitida por los módulos 202, 302, 402, controlados por medio de
dicha sección a la propia sección, para controlar la compatibilidad
con el control recibido y con la apropiada ejecución de la función
controlada. La unidad de comprobación y protección tiene la función
de asegurar la consecución de un estado de seguridad en caso de
fallos en la sección de control. El funcionamiento de la sección de
protección es independiente de la aplicación específica. La
arquitectura de seguridad del módulo 102 de ordenador vital es del
tipo reactivo; la sección de protección tiene la tarea de
identificar cualquier comportamiento que podría afectar
potencialmente a la seguridad de la sección de control y forzar al
sistema a un estado de seguridad dentro un tiempo dado. La sección
de protección está diseñada con técnicas inherentes de seguridad
ante el fallo. Por lo tanto, el módulo 102 de ordenador vital lleva
a cabo las siguientes funciones:
lógica de control de subsistema;
interfaz serie con el aparato estacionario;
gestión de la interfaz con las otras placas
(VCM_IOBUS);
lógica de protección.
El módulo 202 para generar y transmitir las
señales de detección de trenes y las señales de comunicación
codificadas es una placa de potencia diseñada para generar de
manera segura la señal que va a ser transmitida al circuito de vía.
Ésta es una placa periférica sin microprocesador y su función es
generar una señal de salida al circuito de vía en respuesta al
control transmitido por la lógica.
El módulo asegurará de manera segura:
que no se genere ningún código distinto al código
pedido;
que la señal transmitida está en un nivel
apropiado.
El módulo se divide en dos secciones lógicas: la
primera sección está diseñada para generar una anchura de pulso
digital modulado, o una señal PWM que es el código pedido. La
segunda sección es un demodulador de anchura de pulso amplificado en
potencia, o un demodulador PWM que proporciona la señal que va a
ser transmitida a la vía. La sección de generación de código PWM de
modulación de anchura de pulso está protegida por medio de una
función de relectura de la señal modulada de anchura del pulso
(PWM). El módulo 102 de ordenador vital recibe la información de la
función releída y puede comparar el código que realmente es
sintetizado por el módulo 202 con el código requerido por el
control de la unidad central 1. Si se encuentra una inconsistencia,
el módulo 102 de ordenador vital inhabilita la transmisión del
código por medio de un mecanismo vital. La sección de demodulación
y de potencia, en cascada con la sección de generación, están
diseñadas con técnicas Inherentes de seguridad frente al
fallo.
fallo.
La adquisición de la señal de circuito de vía y
el módulo de reconocimiento 302 está diseñado para recibir las
señales del circuito de vía y consiste en un canal de procesado de
señal digital doble y de una etapa de desacoplo de la señal de
entrada que está diseñado con técnicas inherentes de seguridad
frente al fallo.
El módulo 302 es una tarjeta inteligente que mide
y descodifica la señal en el circuito de la vía.
El módulo 302 que está diseñado para medir de
manera segura y descodificar las señales del circuito de vía usa
técnicas de diseño de seguridad compuestas y está compuesto de lo
siguiente bloques lógicos:
un bloque para desacoplar la señal de circuito de
vía y generar dos señales distintas. Esta función es llevada a cabo
mediante la implementación de técnicas inherentes de seguridad
frente al fallo;
dos canales de proceso distintos que
separadamente hacen de interfaz con el módulo 102 de ordenador
vital por medio de memorias de puerto doble, y que recibe dos
señales de entrada distintas provenientes del módulo 302.
Los dos canales de procesado de señal basados en
procesadores digitales de señal (DSP) generan dos salidas
independientes hacia el módulo 102 de ordenador vital. Las salidas
de los dos canales son comprobadas en consistencia para la sección
de control del módulo 102 de ordenador vital.
La arquitectura de seguridad del módulo 302
implica una comprobación continua de cada canal de medida, mediante
el uso de señales de prueba generadas de manera lógica para
asegurar, como se muestra con más detalle a continuación, tanto la
protección frente a errores comunes, como la detección de fallos en
los canales individuales.
El módulo 402 para interconectar con los raíles
del elemento de circuito de vía y para invertir la dirección de
transmisión de la señal en el circuito de vía, así como para la
protección de diagnóstico del circuito de vía, lleva a cabo las
funciones de lógica de inversión TX/RX, de aislamiento desde/hacia
la estación; mide cantidades analógicas para propósitos de
diagnóstico, y gestiona la interfaz con el sistema de
diagnóstico.
El módulo 402 está físicamente compuesto de una
placa y de una bandeja de transformador Rx y Tx, e implementa los
dos siguientes bloques lógicos Independientes:
el bloque vital;
el bloque de diagnóstico.
Las funciones vitales llevadas a cabo por el
primer bloque son:
la inversión del circuito de vía;
la interconexión con la vía y el aislamiento de
la misma, tanto en transmisión como en recepción.
Las funciones de diagnóstico en cantidades de
yarda, llevadas a cabo por el segundo bloque son:
circuitos de diagnóstico de yarda (tensiones,
corrientes, aislamiento);
módulo microprocesador para la adquisición de
cantidades físicas e interconexión con la red de diagnóstico;
interfaz serie con el módulo 102 de ordenador
vital.
El módulo 402 debe llevar a cabo de manera
segura, la función de interconectar con la vía y de aislamiento
desde la misma y la función de inversión.
La interconexión con la vía se obtiene por medio
de transformadores de aislamiento (que se requieren para asegurar
que se mantenga una tensión de 4 kVdc entre la subunidad de control
y de supervisión 2 y la vía); estos transformadores están situados
en una bandeja trasera adicional diferente, pero pertenece
funcionalmente y lógicamente a esta placa. La función de inversión
debe asegurar que el Tx y el Rx están establemente conectados a los
extremos opuestos del circuito de la vía. La arquitectura de
seguridad de esta función es del tipo reactivo, y es tal como para
asegurar que el subsistema puede ser conmutado al estado de
seguridad en caso de un fallo del mismo. La placa está controlada
por medio del módulo de ordenador vital a través del VCM_IOBUS,
para todas las funciones vitales. La arquitectura también
proporciona un segundo canal de comunicación, una línea serie,
entre el módulo 402 y el módulo 102 de ordenador vital que se usa
para recibir los datos útiles para la sección de diagnóstico, es
decir la dirección de transmisión de la señal solicitada.
Las funciones de diagnóstico para los datos de
yarda son manejadas por medio de un módulo comercial opcional con
un microprocesador a bordo que está diseñado para gestionar la red
de diagnóstico. Los circuitos de adquisición de datos de yarda de
diagnóstico están hechos de hardware no vital; la información de
diagnóstico sólo relativa a la interfaz de locomotora/yarda se
transmite sobre la red de diagnóstico, si ésta está presente.
La unidad de control y de supervisión está
diseñada con técnicas de seguridad reactivas. Desde un punto de
vista funcional, la seguridad de un sistema/subsistema/equipo de
señalización de ferrocarril consiste en la identificación de un
estado seguro y en la aplicación de técnicas de diseño que permitan
el restablecimiento de un estado potencialmente seguro en caso de
ocurrencia de cualquier fallo peligroso. Para la subunidad de
control y de supervisión 2, cuando el contexto de sus funciones sea
considerado dentro del sistema de señalización, el estado
"seguro" se deduce como de la siguiente manera:
ninguna transmisión de información codificada al
tren, dicha condición siendo asequible mediante la desconexión de
manera segura de la sección de transmisión o usando señales
normalizadas;
detección de un estado "ocupado" para el
circuito de vía interconectado;
ninguna tensión peligrosa en las partes
accesibles para el personal de servicio;
asegurar el mantenimiento de las condiciones de
seguridad incluso cuando:
las potencias de excitación permitidas de la
especificación estén presentes;
el raíl esté roto;
el aislamiento de una unión aislante entre dos
circuitos de vía adyacentes se haya perdido.
En consideración de la función llevada a cabo por
la subunidad 2 de control y de supervisión y de los tiempos de
respuesta, por ejemplo con referencia a la detección real del tren
y/o los tiempos de transmisión de código, está justificada la
implementación de una arquitectura de seguridad reactiva con
seguridad compuesta y elementos inherentes de seguridad frente al
fallo para la lógica principal. Esta aproximación implica una
codificación de 64 bits de variables de entrada booleanas en dos
canales de proceso paralelos (palabras código de 32 bits para cada
canal de procesado, con codificación diferente en los dos canales),
procesado de palabra código de acuerdo con una lógica por defecto,
una recomprobación de las salidas mediante un proceso separado del
proceso principal, y la generación de salida, la última función
llevada a cabo usando el hardware de seguridad frente al fallo. La
arquitectura de seguridad requiere que el proceso de control y el
proceso de protección sean gestionados mediante dos procesadores
independientes. El proceso de control genera las palabras código
para alimentar el proceso de protección, llevado a cabo en un
procesador diferente que cíclicamente consume las palabras código y
detecta los posibles errores de proceso de control. La intervención
de la sección de protección fuerza a la subunidad 2 de control y
supervisión al estado de seguridad definido anteriormente.
Pueden obtenerse ventajas adicionales de la
implementación de una arquitectura de seguridad reactiva para
generar un señal PWM que represente el código que vaya a ser
transmitido a la vía. La señal generada es releída y enviada a la
lógica principal que, en caso de fallo, dispara la sección de
protección.
De manera recíproca, una arquitectura inherente
de seguridad frente al fallo (es decir hw de seguridad frente al
fallo) se deberá usar para demodular y para amplificar la señal PWM
transmitida a la vía.
La función de inversión puede ser gestionada
ventajosamente mediante una arquitectura de seguridad reactiva con
los elementos hardware de seguridad frente al fallo. Los relés de
inversión están controlados de una manera no vital pero su estado
es releído en condiciones de seguridad frente al fallo y transmitido
a la lógica principal que activa la sección de la protección
siempre que ocurra un fallo.
Para todas las comunicaciones desde la subunidad
2 de control y supervisión a la unidad principal 1 se ha
seleccionado una capa de seguridad (FSFB2) para asegurar la
integridad de la información recibida y transmitida por el Aparato
Estacionario, siempre que se use un sistema para interconectar las
placas (VCM_OBUS) que pueda asegurar la integridad de la
información intercambiada entre el módulo 102 de ordenador vital y
los otros módulos 202, 302, 402 dentro de la subunidad 2 de control
y de supervisión. Particularmente, para todas las funciones vitales
conectadas al bus, se debe asegurar de manera segura una única
ruta, así como el contenido de la información, con independencia de
sus características físicas y funcionales.
La función de recepción de la señal de vía se
lleva a cabo mediante una arquitectura de seguridad compuesta. La
arquitectura en uso incluye dichos mecanismos de detección de fallo
para asegurar el restablecimiento de un estado de seguridad, en un
tiempo dado, siempre que un fallo ocurra en uno de los dos
elementos.
También se recomienda una separación entre las
funciones de diagnóstico no vitales y las funciones vitales, así
como la transmisión de señales diferentes en los circuitos de vía
adyacentes, cuando no se proporcione camino, para permitir la
detección de pérdidas de aislamiento a las uniones de
aislamiento.
La figura 3 muestra un esquema funcional del
módulo 102 de ordenador vital en un mayor detalle.
El módulo 102 de ordenador vital se ha
desarrollado con características de "propósito general", para
ejecutar procedimientos de control, supervisión y de protección. La
placa tiene dichas características que pueden usarse en varias
aplicaciones diferentes; el funcionamiento específico de aplicación
se obtiene modificando el software de gestión y con este fin el
software del proceso es separado del software de la configuración
que contiene toda la información específica del sistema. El software
de configuración que proporciona las características especiales del
software del proceso para la aplicación específica está situado en
un área de la memoria dedicada, por ejemplo una memoria
instantánea.
El módulo 102 de ordenador vital está compuesto
de dos bloques funcionales distintos, es decir la sección de control
y de supervisión 120 y la sección de protección 121
respectivamente.
La sección de control y de supervisión 120 se
basa en el uso de un microprocesador con periféricos diferentes,
como, por ejemplo, controladores de línea serie, temporizadores,
etc; en la aplicación mencionada en el presente documento para el
control de circuito de vía y la subunidad de supervisión, esta
sección está diseñada para gestionar las funciones básicas del
circuito de vía. Periódicamente realiza un ciclo de procesado
(denominado ciclo principal), mediante el que se comunica, de una
manera vital con el control central y la unidad de supervisión (de
la que recibe el código que va a ser generado y la dirección de
avance del tren, y para este propósito transmite la información de
estado del circuito de vía), y controla los otros módulos 202, 302,
402 para gestionar la inversión, la transmisión y las funciones de
recepción. Además, la sección de control 120 realiza periódicamente
una recomprobación de todos los bloques lógicos reactivos de
seguridad (releyendo la posición del bloque de inversión y la señal
generada por el módulo 202); esta comprobación que se realiza en el
denominado ciclo de recomprobación, se usa para verificar la
consistencia entre el estado de control y el estado detectado.
El ciclo principal se usa para realizar cada T
segundos, todas las operaciones lógicas de baja prioridad (por
ejemplo la información de recepción proveniente del aparato
estacionario y consecuentemente determinando los controles que se
han de transmitir a las placas del módulo). El segundo ciclo, o
ciclo de recomprobación tiene una duración de 50 ms y se usa para
realizar todas las operaciones que se deben realizar de manera más
frecuentemente (como la recomprobación del estado del bloque de
inversión y la verificación de la señal generada) para permitir una
detección más rápida del fallo. La duración T del ciclo principal
es un múltiplo entero del tiempo de ciclo de recomprobación y
constituye la unidad de tiempo del subsistema.
La sección de control y de supervisión transmite
un conjunto de palabras de comprobación a la sección de protección
cuyas palabras se usan para verificar el funcionamiento apropiado de
todas las operaciones relativas a la seguridad. Cada uno de los dos
ciclos genera un conjunto de palabras de comprobación, durante sus
respectivas operaciones de procesado cuyas palabras son denominadas
"palabras de comprobación principales" y "palabras de
comprobación de recomprobación" respectivamente.
Por lo tanto, las funciones principales de la
sección de control y de supervisión 120 pueden resumirse como
sigue:
recepción desde el aparato estacionario de la
información que contiene el tipo de código que vaya a ser generado
y de la dirección de avance del tren;
transmisión del control de la posición del
circuito de inversión al módulo 402, y verificación continua del
estado real de dicho bloque;
transmisión del control de generación de código
al módulo 202, y comprobación continua de que la señal generada,
transmitida a la vía, realmente la misma que la solicitada;
adquisición de la señal de circuito de vía desde
los dos canales del módulo 302 y verificación de la consistencia de
la información leída de los dos canales entre sí y con el código
realmente generado;
transmisión de toda la información del circuito
de vía al control central y a la unidad 1 de supervisión;
diagnósticos.
La sección de protección basada en
microprocesador 121 supervisa el comportamiento de la sección de
control 120 y su propio comportamiento y detiene la generación de
tensión vital siempre que se detecte un mal funcionamiento. Genera,
en el modo vital, la tensión usada para habilitar los conmutadores
vitales, en el módulo 202, que permiten la transmisión de la señal
generada a la vía. Las comprobaciones realizadas por la sección de
protección 121 son comprobaciones tanto lógicas como de tiempo; la
sección de protección periódicamente recibe palabras de comprobación
desde la sección de control 120, cuyas palabras de comprobación se
usan para confirmar el funcionamiento apropiado de todas las
operaciones relativas a la seguridad, y comprueba la validez de las
mismas. Si las palabras de comprobación son lógicamente correctas,
éstas llegan en intervalos de tiempo bien definidos y no se detecta
ningún fallo mediante el propio proceso de diagnóstico de la sección
de protección 121 que puede proporcionar energía de alimentación a
los conmutadores vitales en cualquier otro caso, el proceso de
autodiagnóstico retira dicha fuente de alimentación, y evita
cualquier transmisión de señal al circuito de vía.
La arquitectura de seguridad del módulo 102 de
ordenador vital es del tipo reactivo; la sección de protección 121
tiene la tarea de identificar cualquier comportamiento de riesgo
potencial de la seguridad y forzar al sistema a un estado seguro
dentro de un tiempo dado. La sección de protección 121 asegura que
esa tensión vital sea inhabilitada tanto en el caso de mal
funcionamiento de la sección de control 120 como en el caso de
riesgos identificados por la sección de control 121 en los otros
módulos 202, 302, 403 y en el caso de fallos de la sección de
protección 121 misma. Para este propósito, como se explica mejor a
más adelante, la sección de protección 121 está diseñada con
técnicas inherentes de seguridad frente a fallos.
La figura 4 es un diagrama de bloques de la
sección de control y de supervisión 120 del módulo de ordenador
vital.
Una CPU 20 está conectada a: una memoria RAM 21 y
a una memoria instantánea 21', controladores de línea serie 22, un
divisor polinómico 23, una interfaz VCM_IOBUS 24, la interfaz con
la sección de protección 25.
La CPU usa un microprocesador, por ejemplo un
INTEL i386EX, que consta de un núcleo i386EX y de un amplio
conjunto de periféricos; el núcleo tiene una arquitectura interna
de 32 bits y un bus externo de 16 bits. Éste último está conectado
con los circuitos de soporte adecuados requeridos para su
funcionamiento, tales como: el circuito generador de la
reinicialización, analizadores de caída de la potencia, varios
osciladores diferentes para asegurar la independencia en el tiempo
entre las distintas funciones (particularmente se proporciona: un
oscilador de 50 MHz para el microprocesador, un oscilador de 20 MHz
dedicado a una de las tres lógicas programables, y un oscilador de
10 MHz dedicado a las dos líneas serie asíncronas), un circuito de
vigilancia que se activa siempre que se detecta un mal
funcionamiento en la sección de control 120, inhabilitando de ese
modo las interfaces y generando una petición de interrupción.
La memoria consta de circuitos integrados de RAM
fijas 21 con una capacidad total máxima de 1 Mbyte y dos circuitos
integrados de memorias instantáneas 21', con una capacidad total
máxima de 4 Mbytes. La memoria instantánea 21' contiene el programa
de gestión específico de aplicación y los parámetros de
configuración del sistema.
Se proporcionan tres controladores de línea serie
22, uno que está dentro del procesador y los otros dos fuera de él.
El controlador que está dentro del procesador gestiona dos canales
asíncronos que son compatibles con el componente 16450 cuya interfaz
eléctrica es del tipo de RS232.
Los dos controladores externos son idénticos, y
cada uno de ellos gestiona dos canales full-dúplex
que pueden programarse como síncrono y asíncrono. Estos directores
pueden gestionarse, dependiendo de las necesidades de la aplicación,
en funcionamiento encuesta, de interrupción y en funcionamiento
DMA. La interfaz eléctrica de las dos líneas serie asociadas al
primer controlador externo y usada para la conexión a la red FNET
es del tipo V35 (los datos diferenciales y de reloj que son del tipo
de RS485); considerando que una asociada al segundo controlador es
del tipo RS232.
El bloque 23 consiste en un divisor polinómico
denominado (PD) que es un periférico del procesador basado en un
dispositivo programable, y usado para validar datos vitales, para
generar polinomios CRC, y para actuar como un operador Booleano
para comprobar la secuencia apropiada de operaciones. Esta
comprobación genera palabras de comprobación que son pasadas dentro
del módulo de ordenador vital, en tiempos dados, desde la CPU 20 de
la sección de control 120 a la sección de protección 121. Esta
función usa un oscilador de 20 MHz, para depender de una base de
tiempo que es independiente de la base de tiempos del
microprocesador.
La interfaz VCM_IOBUS 24 se basa en un
dispositivo programable. El propósito de esta interfaz es permitir
la gestión directa de módulos de E/S vitales o de tarjetas de
expansión con una interfaz compatible. La interfaz VCM_IOBUS
asegura:
el encaminamiento apropiado del módulo; para esta
función se implementan técnicas de aleatorización y de firma de la
técnica primitiva, por ejemplo en las unidades de control 1.
La interfaz con la señal de protección se
proporciona mediante un bus de 8 bits, que consiste en un
subconjunto del bus del procesador usado para conectar las memorias
sobre la placa y los periféricos. A través de este bus, la CPU
transfiere las palabras de comprobación de las operaciones vitales
a la sección de protección.
Las figuras 5 y 6 muestran la sección de
protección 121 con un detalle mayor. La sección de protección tiene
la función de supervisar el comportamiento de la sección de control
120 y su propio comportamiento y se activa en caso de una operación
inapropiada, para configurar el sistema en condiciones de seguridad.
Esto se obtiene mediante la generación o de la no generación de una
tensión a la que se conoce como la tensión vital para habilitar la
transmisión de las señales de detección de trenes y/o las señales
de comunicación codificadas. Este sección recibe de manera periódica
palabras de comprobación (palabras de comprobación de recomprobación
cada 50 ms y palabras de comprobación principales cada T segundos,
siendo T un múltiplo entero de 50 ms) y comprueba la validez de las
mismas. Si las palabras de comprobación son correctas, suministra
alimentación a los circuitos vitales, es decir, genera la tensión
vital, en cualquier otro caso retira esa alimentación de energía.
Las palabras de comprobación se consumen de una manera destructiva
asegurando de esa manera que un conjunto dado no puede usarse más
de una vez. La sección de protección incluye un controlador de la
fuente de alimentación vital 32 que no interpreta el significado de
las palabras de comprobación recibidas, pero que las usa sobre la
base de sus características numéricas mediante el procesado de las
mismas como señales digitales. Además, las palabras de comprobación
cambian de un ciclo al otro, ya que la sección de control 120 los
modifica por un valor incremental antes de transmitirlos.
Las reglas de seguridad hardware/software de
diversidad son implementadas en la sección de protección 121 entre
el sistema controlador y el sistema controlado (incluso cuando se
usa el hardware inherente de seguridad frente al fallo), así como
las reglas de navegación de la estructura de datos, con una
estructura de datos de una clase bien definida, con valores
predeterminados, aunque diferentes para cada ciclo de procesado.
La sección de protección está compuesta de los
siguientes tres bloques funcionales, como se muestra en la figura
5. El bloque 32 constituye la lógica de procesado de la palabra de
comprobación que es de tipo digital y que tiene la función para
procesar las palabras de comprobación recibidas desde la sección de
control 120, usando la RAM de Puerto Dual 33 y para generar un par
de señales de frecuencia apropiada y ciclos de trabajo.
El bloque de filtro vital activo 34 tiene el
propósito de comprobar de manera segura que las características de
las señales recibidas (frecuencia y ciclo de trabajo) cumplen con
las características prescritas y de habilitar la generación de la
tensión vital siempre que no se haya detectado ningún fallo. El
filtro tiene características inherentes de seguridad frente al
fallo que aseguran que la señal de habilitación al generador vital
sólo se genera si las dos frecuencias de entrada tienen la
frecuencia prescrita y las características del ciclo de
trabajo;
el bloque de generador vital 35, también diseñado
con las características inherentes de seguridad frente al fallo,
tiene el propósito de generar físicamente la tensión de salida
deseada, si está habilitada por la señal de frecuencia que viene del
filtro vital activo 34. Esta tensión se puede usar como una señal
de habilitación vital, para todas las funciones hardware y
funciones software que sólo pueden estar operativas en condiciones
de seguridad.
El bloque PLC de lógica de palabra de
comprobación de procesado 31 tiene la función de comprobar de
manera vital las operaciones de procesado vitales realizadas por el
módulo 102 de ordenador vital. Las palabras de comprobación son
intercambiadas con la sección de control 120 a través de una memoria
de puerto dual 33 y mediante el intercambio de dos señales
digitales de iniciación de comunicación, indicadores nominados, y
de manera más precisa: un indicador de PETICIÓN (REQ) y un indicador
de PREPARADO (RDY).
Las estructuras del datos facilitadas a la lógica
de palabra de comprobación de procesado "alimentan" las
operaciones de procesado del componente lógico del mismo y, cuando
son correctas, provocan la generación segura de dos señales
digitales que tienen frecuencia precisa y valores de relación de
ciclo de trabajo y de fase (frecuencias vitales). El elemento de
comprobación final consiste en un filtro analógico 34 que está
diseñado con técnicas inherentes de seguridad frente al fallo
(filtro vital activo, AVF) y que sólo produce la frecuencia para
habilitar al generador de potencia vital VG 35 si las frecuencias
generadas digitalmente son correctas en todos los respectos. Por
consiguiente, la presencia de esta señal de habilitación conforma
de manera segura que las operaciones de procesado lógico digital
resultantes de la recepción de las palabras de comprobación
apropiadas dentro de las estructuras de datos, son correctas.
Cualquier error de la palabra de comprobación, o pérdida de
recepción de la palabra de comprobación en los tiempos prescritos,
provoca la inhabilitación del generador vital.
Con el fin de asegurar que la acción de
comprobación es constantemente vital con el tiempo, se proporcionan
dos ciclos de tiempo de recomprobación en el módulo 102 de
ordenador vital (VCM) que corresponden a la transferencia de
conjuntos de palabras de comprobación para el ciclo del sistema que
se esté ejecutando (ciclo principal o ciclo de recomprobación) a la
lógica de palabra de comprobación de procesado PCL 31. El ciclo
principal tiene un período T, un múltiplo entero del ciclo de
recomprobación que dura 50 ms (se seleccionó un tiempo de 50 ms
porque permite detectar un error e inhabilitar el generador vital
35 en un tiempo suficientemente reducido para evitar fallos del
subsistema).
Una vez que se han recibido las palabras de
comprobación, el microprocesador de la lógica de palabra de
comprobación de procesado 31 las procesa, usando varios algoritmos
software y hardware de recomprobación del hardware (circuito sumador
CRC, contadores/temporizadores de comprobación de tiempo), para
proporcionar de manera segura la generación de dos señales
digitales para confirmar el funcionamiento apropiado del sistema.
El circuito que gestiona la señal de reinicialización/vigilancia de
la lógica de palabra de comprobación de procesado asegura el
funcionamiento apropiado de la lógica controladora de la potencia
vital 31; si el software de gestión, por cualquier razón o mal
funcionamiento, la razón que fuere, no redispara la vigilancia, se
dispara una señal de reinicialización que intenta un reinicio del
controlador de potencia vital Controlador de potencia vital.
El diagrama de bloques de la lógica de la palabra
de comprobación de procesado 31 se muestra en la figura 6. Como se
muestra en la figura, ésta última también usa un microprocesador
que es independiente del microprocesador de la sección de control
120. El microprocesador en uso es un microprocesador INTEL 8085 de 8
bits que se autoconecta a los circuitos de soporte apropiados,
requeridos para su funcionamiento, tales como: un circuito
generador de la reinicialización, un oscilador de 5 MHz usado como
un generador de reloj, un circuito de vigilancia que se rearma en
un tiempo predeterminado; si esto no ocurre (por ejemplo debido a
una desconexión del microprocesador de la sección de protección) se
dispara la vigilancia para generar la señal de reinicialización de
la CPU.
Los siguientes dispositivos se conectan al
microprocesador 132: las memorias RAM y EPROM 232, 232', una
memoria RAM de puerto dual 33, un temporizador 332, un circuito de
comprobación de redundancia cíclica o CRC 422, un puerto de E/S
532.
La memoria está compuesta de un circuito
integrado de RAM fijo y de un circuito integrado EPROM 232, 232'.
La memoria EPROM 232' incluye el firmware para el procesado seguro
de las palabras de comprobación que no sean de aplicación
específica.
La RAM de puerto dual 33 que se basa en una
lógica programable se usa para intercambiar información con la CPU
de la sección de control 120. Las palabras de comprobación para
comprobar las operaciones vitales son recibidas a través de esta
RAM 33. El árbitro que controla el acceso a la RAM de puerto dual
está controlado por la sección de protección 121 y usa dos líneas
de control digitales (líneas PREPARADO y PETICIÓN). Tanto el
microprocesador (8085) de la sección de protección 121 que tiene
funciones maestras como el microprocesador (80386 EX) de la sección
de control 120 que tiene funciones de esclavo, acceden a la RAM de
puerto dual 121.
Los temporizadores 332 cuyos relojes son
diferentes de los relojes de la CPU 132, para asegurar la
independencia de la base de tiempos, son contadores de dieciséis
bits que miden las diferentes señales que dependen de la función que
llevan a cabo; se usan para contar el número de "estados de
máquina" del procesador controlador de potencia vital y para
medir los tiempos de ejecución de código. El circuito CRC 432
realiza las operaciones de división polinómica sobre las secuencias
de datos recibidos, y genera un resultado en forma de "resto"
de la división de dieciséis bits; se usa para las operaciones de
procesado de la palabra de comprobación y para las operaciones de
comprobación de "tiempo de ejecución" sobre el contenido de la
EPROM 232'. El circuito CRC 432 se facilita en forma hardware, ya
que es una función particularmente difícil para el microprocesador,
en el caso de que se facilite en forma software.
El puerto de E/S se usa para gestionar ciertas
señales digitales, de manera más precisa: señales de frecuencia
vital para el filtro de seguridad activa 34, una señal de rearmado
de la vigilancia, las señales REQ y RDY para gestionar el acceso a
la RAM de puerto dual 33.
El bloque de filtro vital activo 34 está en su
mayor parte hecho de una circuitería analógica discreta, y se ha
diseñado con reglas inherentes de seguridad frente al fallo. Tiene
el propósito de detectar de manera segura la presencia simultánea de
señales que tienen características bien definidas. Si las señales
anteriores cumplen con las características prescritas (frecuencia y
ciclo de trabajo), activa la señal de habilitación de la generación
de tensión vital (OK_PWM).
La frecuencia, el ciclo de trabajo y las
características de temporización peculiares requeridas para
considerar como válidas las formas de onda, determinan un alto
nivel de seguridad frente a autoimpulsos, ya que la generación
involuntaria de dos señales con dichas características es muy
improbable.
Si las dos señales se transmiten en forma
correcta, y de una manera apropiada y en un tiempo apropiado, el
filtro activo genera las siguientes señales de salida:
una señal para habilitar al generador vital VG
35;
una señal de diagnóstico aislada ópticamente para
informar al operador del funcionamiento apropiado mediante el
encendido del LED ENABLE.
El bloque del Generador Vital VG, indicado con el
número 35, está hecho de por sí de una circuitería analógica
discreta, y se ha diseñado con las reglas Inherentes de seguridad
frente al fallo. Este bloque tiene el propósito de generar
físicamente la tensión de salida vital (+12 Vdc a 1,5 W). Está
habilitado mediante el filtro vital activo 34, a partir de la
tensión continua de 24 Vdc1. esta tensión, en caso de estar
presente, habilita la generación del código que vaya a ser
transmitido a la por medio de la señal de detección del tren y/o el
generador de señal de la comunicación codificada.
\vskip1.000000\baselineskip
La figura 7 es un diagrama de bloques de la señal
de detección de tren y o del módulo de generación de la señal de
comunicación codificada 202. Este módulo tiene la función de
generar de manera segura la señal que va a ser transmitida a la vía
en respuesta al control dado por el módulo 102 de ordenador vital.
Su estructura puede usarse en varios contextos en que deben
generarse señales que tengan características diferentes. La placa
está especializada para los diferentes contextos de la aplicación
usando configuraciones diferentes de dispositivos lógicos
progra-
mables.
mables.
El módulo 202 está compuesto de las siguiente
tres secciones lógicas:
La sección de generador y de comprobador 40. Esta
sección está formada por dos bloques diferentes; el primero es un
sintetizador digital 140 que proporciona dos señales lógicas de
salida, correspondientes a la modulación PWM de la señal requerida
por el módulo 102 de ordenador vital. Las dos señales generadas son
diferentes, para controlar directamente, el flujo descendente de
los conmutadores vitales 41, el puente 143 (las figuras 8 y 9) y
para mejorar la capacidad de identificar cualquier mal
funcionamiento del bloque comprobador 240, consistiendo de por sí
en dos secciones funcionales similares, tiene la función de
comprobar las dos señales de salida PWM de los conmutadores vitales
41. Cada sección proporciona dinámicamente al módulo 102 de
ordenador vital, en cada ciclo de comprobación, de una palabra de
comprobación que es una función tanto de la señal muestreada en ese
ciclo como de una palabra de inicio, la denominada condición
previa, recibida por el módulo 102 de ordenador vital. La
arquitectura de seguridad es del tipo reactivo: si hay una
Inconsistencia entre la información de control y las palabras de
comprobación releídas, la sección de protección 121 del módulo de
ordenador vital pone el sistema en un estado seguro, desactivando
por lo tanto la transmisión de una señal a la vía, a través de los
conmutadores vitales (véase más adelante).
El bloque de conmutador vital 41 está formado por
dos circuitos replicados y transfiere las señales desde la sección
del generador y del comprobador 40 a la sección del amplificador de
potencia 43, siempre que la "tensión vital" generada por la
sección de protección 121 del módulo 102 de ordenador vital esté
presente. El módulo 102 de ordenador vital sólo genera dicha tensión
si las palabras de comprobación son consistentes con la señal
solicitada y se hayan comprobado todas las otras condiciones de
seguridad del sistema. La arquitectura de seguridad de los
conmutadores es del tipo inherente de seguridad frente al
fallo.
El amplificador de potencia 43 demodula las
señales PWM y las amplifica en una cantidad suficiente para la
transmisión de las mismas a la vía. Dicho amplificador es inherente
de seguridad frente a fallos, y evita cualquier degradación de la
señal transmitida a la vía hacia condiciones más permisivas.
El módulo de generación de la señal de detección
del tren y de la señal de comunicación codificada 202 recibe y
transmite la información y/o los controles usando el bus paralelo
de interfaz (VCM_IOBUS).
La habilitación de la transmisión de la señal es
una señal discreta (OK_PWM) que corresponde a la "tensión
vital" gestionada de manera segura por la sección de protección
121 del módulo 102 de ordenador vital.
El control del código que vaya a ser generado,
recibido por el módulo 102 de ordenador vital, a través del
VCM_IOBUS es adquirido por la sección basada en lógica programable
del generador 140. Dependiendo del control recibido, la sección de
generador 140 sintetiza dos señales lógicas PWM1 y POWM2 que
corresponden al control de la generación requerido por el módulo 102
de ordenador vital. Se notará que la técnica de modulación PWM
entrega la información de amplitud de la señal para la señal que
vaya a ser generada durante los períodos ACTIVADOS (1 lógico) y
DESACTIVADO (0 lógico) de la señal PWM correspondiente. Las dos
señales normalmente se niegan una a la otra. Cuando la función de
habilitación está activa, es decir, está presente la tensión vital
generada por la sección de protección 121 del módulo 102 de
ordenador vital, las dos señales PWM1 and PWM2 son transmitidas al
amplificador de potencia 43 para generar la señal que vaya a ser
transmitida a la vía.
La sección de comprobador 240 consiste en una
lógica programable y gestiona dos secciones "comprobadoras"
independientes dentro de la misma, que validan las señales PWM1_F y
PWM2_F respectivamente (que, como se muestra en la figura 7, son las
señales PWM1 y PWM2 del flujo de bajada desde los conmutadores
vitales).
Las secciones de generador y de comprobador 140,
240 son totalmente independientes, y usan dos lógicas programables y
bases de tiempo separadas (generadas por relojes diferentes). La
sección del comprobador permite a la lógica de control del módulo
102 de ordenador vital validar las señales transmitidas al
amplificador de potencia 43, es decir, permite comprobar las
secuencias de pulso de control generadas por la sección de
generador 140 y transferidas a la etapa de potencia a través de
conmutadores vitales 41.
En cada ciclo de control, cada comprobador genera
una palabra de comprobación hacia el módulo 102 de ordenador vital
que es una función de:
la palabra precargada del módulo 102 de ordenador
vital en cada ciclo (que es diferente dependiendo del comprobador y
del ciclo);
la duración y del estado de los pulsos para la
señal a la entrada del comprobador 240;
la posición de los frentes en la señal
anterior.
El funcionamiento dinámico y la diversidad de las
palabras de la salida emitidas por cada comprobador están
asegurados por la variabilidad de la palabra precargada del módulo
102 de ordenador vital que es diferente dependiendo del comprobador
y del ciclo, con lo que incluso cuando un señal de PWM constante
esté presente a la entrada de cada comprobador, se generan diferente
palabras de comprobación.
Se notará que el control enviado por la sección
de generador 140 y las funciones de precarga y prelectura de la
palabra de comprobación de cada comprobador están bajo un estricto
control de tiempo por medio del módulo 102 de ordenador vital, con
lo que la exactitud de la secuencia PWM, introducida a la etapa de
amplificación 43 está asegurada tanto por la exactitud de las
palabras de comprobación como por el tiempo entre dos operaciones
de lectura
sucesivas.
sucesivas.
Cuando se detecta un funcionamiento defectuoso,
el módulo de ordenador vital puede forzar al sistema a un estado
seguro, inhabilitando la generación de señales que vayan a ser
transmitidas a la vía, a través del conmutador vital 41. El módulo
102 de ordenador vital sólo genera la tensión vital de habilitación
si las palabras de comprobación son consistentes con la señal
solicitada y se ha verificado todas las condiciones de seguridad
del sistema.
La interfaz de datos entre el módulo 102 de
ordenador vital y el módulo generador de señal 202 está protegida
mediante la aleatorización de los datos vitales para asegurar un
comportamiento seguro incluso cuando ocurran errores de
encaminamiento del módulo en el VCM_IOBUS.
Las dos señales digitales PWM1 y PWM2, generadas
por la sección del generador 140 se conecta al amplificador de
potencia a través de los conmutadores vitales 41, que usan
optoaisladores para asegurar el aislamiento galvánico entre las dos
secciones.
Desde el punto de vista funcional, cada
conmutador vital 41, cuando está habilitado, está diseñado para
pasar los pulsos de control PWM hacia los controladores de la etapa
de potencia; viceversa, cuando se detecta un funcionamiento
defectuoso, se inhabilita y en este caso está diseñado para
cancelar cualquier señal de control de salida.
Para este propósito, cada conmutador está dotado
de tal manera para que sea:
lo bastante rápido como para asegurar el paso de
señales de control PWM, limitar las distorsiones en los pulsos
transmitidos, reducir el retardo introducido entre la señal de
entrada y la señal de salida (cuyo retraso es pequeño y bien
definido, de forma que la señal de realimentación pueda controlarse
fácilmente), asegurar que ningún fallo puede cortocircuitar el
conmutador, si está controlado para estar abierto, asegurar, cuando
no hay ninguna tensión vital presente, que la señal PWM se bloquea,
permitir la prueba dinámica continua en su estado operacional, para
apagarlo cuando la señal PWM transmitida al amplificador de
potencia está deformada.
La señal de salida de cada conmutador vital 41
está continuamente, independientemente y autónomamente recomprobada
por medio de la sección de certificación correspondiente, para
verificar la exactitud de la misma. Por consiguiente, cualquier
fallo, aunque sea temporal y sólo sobre uno de los dos conmutadores,
implicando un cambio de la salida de la señal del conmutador vital,
es reconocido por el módulo 102 de ordenador vital que inhabilita
ambos conmutadores por medio del envío de un control de "sin
señal a la vía" al amplificador de potencia 43.
El control de habilitación está compartido por
los dos conmutadores y se emite por la sección de protección 121
del módulo 102 de ordenador vital (tensión Vital - OK_PWM). Dicho
control sólo es generado vitalmente cuando todas las condiciones de
seguridad del sistema se hayan verificado. Cualquier fallo del
conmutador vital, en el estado de "conmutador habilitado", no
constituye factores de riesgo porque cualquier problema que ocurra
durante este estado operacional es detectado mediante el sistema de
recomprobación de la realimentación (la sección 121 del módulo 102
de ordenador vital, que supervisa el funcionamiento seguro del
subsistema, puede inhabilitar los conmutadores vitales). Los
conmutadores están hechos de tal manera que aseguren que una
condición de "conmutador abierto" no cause fallos de
cortocircuito, o fallos que produzcan una señal de salida.
Ambos conmutadores vitales se basan en el mismo
circuito inherente de seguridad frente al fallo que los módulos de
entrada vitales, de forma que se puedan usar las mismas reglas
básicas de cumplimiento de la seguridad.
El bloque amplificador de potencia 43 se usa para
demodular y para amplificar las señales lógicas PWM para generar de
manera segura la señal de potencia que vaya a ser transmitida ala
vía y está diseñado con técnicas de diseño inherentes de seguridad
frente al fallo. El amplificador de potencia cuyo diagrama de
bloques se muestra en la figura 8, está compuesto de: un puente H
143, un conversor AC/DC 243, una lógica de control 343, un filtro
LC de salida 443.
Hablando estrictamente, la sección de potencia
del amplificador de potencia consiste en el puente H 143 al que se
entrega la corriente continua y que está controlado por la salida
de las señales provenientes de la lógica del controlador 343. Este
bloque está compuesto de cuatro conmutadores de potencia que están
dispuestos para formar una H (véase la figura 9), dos de ellos
denominados los conmutadores superiores (A y C) y dos de ellos
denominados los conmutadores inferiores (B y D). Los cuatro
conmutadores están controlados mediante las señales de comprobación
obtenidas de las dos entradas PWM1_F y PWM2_F emitidas por los
conmutadores vitales. La señal PWM1_F a la lógica 1 habilita el
cierre del conmutador A mientras que el 0 lógico habilita el
conmutador B; la señal PWM2_F tiene el mismo funcionamiento sobre
el otro par de conmutadores. Cuando PWM1_F y PWM2_F son
complementarias se obtiene una tensión aplicada a la carga teniendo
una polaridad positiva, negativa o polaridad nula que depende del
ciclo de trabajo correspondiente.
El conversor AC/DC 343 se usa para a partir de la
entrada de 220 VAC, la tensión DC requerida para la alimentación
del puente H 143. También, se usa para generar las tensiones de
alimentación auxiliares aisladas requeridas por el bloque de
"lógica de controlador" 343. El bloque de "lógica de
controlador" 343 está diseñado para adaptar y filtrar las
señales PWM digitales, emitidas por los conmutadores vitales 41,
para directamente las señales para controlar los conmutadores de
potencia del puente H. Cada señal de control del conmutador tiene
las siguientes características: acondicionamiento de señal lógica
para adaptar la tensión y/o los niveles de corriente a los valores
requeridos por el conmutador de potencia; separación galvánica de
las señales de control emitidas por los conmutadores vitales, por
medio de un circuito aislado ópticamente: etapa de alimentación
independiente, diferente de la alimentación del puente H 143; no
deformación de la información PWM que vaya a ser transferida;
inmunidad al ruido; sin autopulsaciones que pudiesen afectar a la
seguridad inherente del amplificador de potencia.
Además, los cuatro circuitos controladores que
son considerados de manera de conjunto en la red de conmutación de
puente, tienen las siguientes características: los 4 controladores
sólo usan dos señales lógicas de control; los conmutadores
SUPERIORES y los conmutadores INFERIORES del puente H puede
encenderse simultáneamente, para obtener una tensión nula en la
carga; los conmutadores de potencia pueden ser controlados en
columnas complementarias para prevenir que la tensión de
alimentación del puente esté cortocircuitada; el tiempo requerido
para abrir un conmutador antes de cerrar el otro conmutador de la
misma columna se cumple (para evitar el problema mencionado en el
artículo anterior); las fuentes de alimentación del controlador
están separadas, para impedir la carga o que los conmutadores sean
cortocircuitados por medio de terminales comunes: en particular, se
usan tres fuentes de alimentación separadas, una para los
conmutadores INFERIORES, y una para cada conmutador
SUPERIOR.
SUPERIOR.
El filtro LC de salida está diseñado eliminar la
componente de alta frecuencia del PWM (25 kHz), incluyendo las
componentes de la frecuencia de conmutación del bloque de potencia,
y para permitir el paso de la banda de baja frecuencia útil del
espectro de la señal PWM que contiene las componentes armónicas
deseadas.
La figura 10 es un diagrama de bloques del módulo
que hace de interfaz con la vía 402, también denominado módulo de
inversión, de diagnóstico y de protección. Este módulo lleva a cabo
las siguientes funciones: protección y aislamiento a 4 KV/5 mín. de
la vía; la inversión de la dirección de la transmisión de la señal
sobre la vía; con el fin de asegurar que esa información codificada
se transmite al tren, la dirección de propagación de la señal debe
ser opuesta a la dirección de avance del tren; la adquisición y la
transmisión de la información de diagnóstico hacia el aparato
estacionario.
Estas funciones son llevadas a cabo por el módulo
402 que está compuesto de un placa de circuito y de una bandeja de
transformador de transmisión/recepción.
La placa incluida en el módulo de interfaz 402
puede estar dividida de manera lógica en dos áreas funcionales:
la primera área que se dedica para la inversión
de la señal sobre el circuito de la vía incluye los relés
inversores, el denominado bloque de inversión 50, y los circuitos
de lectura del control y de la posición del relé inversor pertinente
51. También se requiere que esta área tanga funciones de
protección, ya que debe proporcionar el aislamiento entre los
contactos de los relés conectados a los cables de yarda y los
circuitos lógicos.
La segunda área, dedicada a los diagnósticos,
incluye los circuitos 52 para medir algunas cantidades eléctricas
de interés de diagnóstico tales como las tensiones y las corrientes
en los cables de campo y el aislamiento del cable de medida. De
nuevo, se exige a esta área el tener las funciones de protección, ya
que debe proporcionar el aislamiento galvánico entre las señales de
diagnóstico y el resto de las subunidades 2 de control y de
supervisión.
La bandeja TRANSF Tx/Rx está conectada entre las
placas de la función de inversión y las placas lógicas de
transmisión de la señal de detección del tren y el módulo de
generación de señal de comunicación codificada 202, la adquisición
de señal del circuito de vía y el módulo de reconocimiento 302. La
bandeja TRANSF Tx/Rx lleva a cabo las siguientes funciones:
el aislamiento (a 4 KVdc) entre las placas
lógicas de la subunidad 2 de control y de supervisión y los cables
de yarda;
el ajuste de la señal de transmisión;
la protección de la función de recepción frente a
sobretensiones altas fuera de la banda operacional del circuito de
vía;
la recuperación de cantidades que se vayan a
adquirir para propósitos de diagnóstico.
La bandeja contiene los siguientes componentes:
un transformador transmisor TA, que tiene un arrollamiento primario
y un arrollamiento secundario con tomas variables; un transformador
de recepción TR que tiene un arrollamiento primario y un
arrollamiento secundario TR1 y TR2 (TR1 se usa para la función de
recepción, mientras que TR2 se usa para propósitos de diagnóstico);
una placa de circuito impreso, sobre la que el conector para las
tomas de control del transformador TA y un filtro LRC diseñado para
proteger el módulo de la adquisición y el reconocimiento de la
señal del circuito de vía 302 están montados, conectados en series
entre la toma TR1 del transformador de aislamiento TR y la entrada
de dicho módulo 302. El transformador TA es controlado como una
función de la distancia entre la cabina y la vía; se puede efectuar
un control adicional sobre las cajas terminales, principalmente
relativo a la longitud del circuito de vía.
Las funciones más significativas de la parte del
circuito del módulo 402 son:
circuitos de diagnóstico de la inversión de relé
(incluyendo el bloque de "Control y posición del relé" y el
bloque de "gestión de la inversión del relé") (incluyendo los
bloques de la "gestión del diagnóstico" y los bloques de
"comunicación serie RS232").
El bloque de inversión 50 asegurarán que las
señales izquierda (Sx) y derecha (Dx) estén conectadas de manera
estable a los extremos opuestos del circuito de vía y que se pueden
invertir como una función de la dirección de avance del tren sobre
la línea. En particular, la dirección de la transmisión de la señal
codificada que vaya a ser enviada a la vía siempre será contraria a
la dirección de avance del tren. En esta arquitectura, el circuito
que realiza la inversión no se considera vital, mientras que la
función de recomprobación de la posición real del conmutador es
considerada vital. Además, como la retirada de la señal de
transmisión de la vía se asegura apagando el transmisor, la función
de inversión no debe necesariamente asegurar de manera segura la
desconexión del circuito de vía. Además, el bloque de inversión 50
que está directamente conectado al circuito de vía proporciona el
aislamiento requerido a 4 KVdc entre el subsistema y la vía.
El control de selección, así como la función de
relectura de la posición del bloque de inversión 50 están
gestionadas por el módulo 102 de ordenador vital, a través del bus
paralelo VCM_IOBUS.
La función de inversión se basa en el uso de un
par de relés, denominados ddx y dsx, que cuando son apropiadamente
controlados, conectan el transmisor a extremo del CdB y el receptor
al extremo opuesto. La función de conmutación de relé siempre se
realiza cuando no hay señal de transmisión presente; esto permite
asegurar la fiabilidad de la función requerida; también, si las
condiciones operacionales anteriores son consideradas, no se
requiere ningún tratamiento particular de la superficie sobre los
contactos del relé. El control es codificado mediante una lógica
programable a la que se puede acceder a través del VCM_IOBUS que
genera las señales para controlar los dos relés. Como esta
arquitectura requiere un relé excitado y un relé no excitado para
que el transmisor pueda conectarse a un extremo y el receptor al
otro extremo, o viceversa, las únicas combinaciones permitidas de
las señales de control son ACTIVADO/DESACTIVADO y
DESACTIVADO/ACTIVADO. La condición no deseada de los dos relés
excitados o de los dos relés no excitados está reconocida por la
función de relectura que fuerza el subsistema a un estado
seguro.
seguro.
La figura 13a muestra el esquema de conexión
entre los dos relés y los estados de contacto para la dirección de
avance del tren izquierda (sx), mientras que la figura 13b es
aplicable para la dirección opuesta.
\newpage
Cada relé incluye: cuatro contactos, usados para
la función de inversión real; dos contactos, usados para detectar
la posición de los relés; un contacto usado para las funciones de
diagnóstico.
Los dos relés seleccionados para esta función son
relés de seguridad de la placa de circuito impreso cuyas
características principales son: contactos de guía forzados, es
decir conectados mecánicamente de tal manera que los contactos en
reposo cerrados y los contactos abiertos en reposo no puedan ser
cerrados de manera simultánea; incluso cuando ocurra un fallo (es
decir, un contacto esté atascado), se asegura una distancia mínima
de apertura para los contactos antagónicos; aislamiento de
contacto/contacto y de contacto/bobina 4 kdc (cuya característica
se requiere para asegurar el aislamiento necesario entre el
subsistema y la vía); no se facilitan contactos de intercambio, sino
solamente contactos normalmente cerrados (NC) o contactos
normalmente abiertos (NA) que se conmutan al estado contrario
cuando se activa el relé; 3 contactos NC y 4 contactos NA.
La función de relectura es gestionada por el
módulo 102 de ordenador vital que calcula de manera dinámica dos
palabras a través de dos circuitos paralelos, es decir MODULO0 y
MODULO1 (figura 13). Cada circuito de relectura usa un contacto NA
de un relé y un contacto NC del otro relé, conectados en serie; como
los dos relés están controlados de manera exclusiva, un circuito
tiene ambos contactos cerrados, mientras que el otro circuito tiene
ambos contactos abiertos (como se muestra en la figura 13 para el
caso "sx"). Con referencia a la figura 13, las palabras que
vayan a ser recirculadas controlan las señales DRIVE0 y DRIVE1,
mientras que las palabras de recomprobación de relectura usan las
señales SENSE0 y SENSE1; la señal SENSE es la negación lógica de la
correspondiente señal DRIVE, siempre que ambos contactos están
cerrados (cuya condición sólo puede cumplirse para uno de los dos
circuitos de relectura). Si no se realiza ninguna relectura o se
realiza una relectura incorrecta, ya sea por el circuito habilitado
para la recirculación de palabra (ambos contactos deben estar
cerrados) o por el circuito que debería estar inhabilitado (ambos
contactos deben estar abiertos), esto se interpreta como un mal
funcionamiento de bloque de
inversión.
inversión.
El circuito vital para releer el estado del
bloque de inversión 50 está diseñado de tal manera que cualquier
fallo de componente o pérdida de la fuente de alimentación evita la
lectura de la palabra de comprobación: la exactitud de la palabra de
comprobación depende de la recepción apropiada de la palabra de
comprobación por el hardware (aleatorización, firma).
La interfaz de datos entre el módulo 102 de
ordenador vital y el módulo de protección, inversión y de
diagnóstico 402 está protegida por técnicas comunes de firma y de
aleatorización.
La arquitectura de seguridad de esta función es
del tipo reactivo, y es tal como para asegurar que el subsistema
puede ser conmutado al estado de seguridad en caso de un fallo.
La siguiente tabla lista las señales conectadas
al bloque de inversión.
\vskip1.000000\baselineskip
\vskip1.000000\baselineskip
\vskip1.000000\baselineskip
(Tabla pasa a página
siguiente)
Las funciones de diagnóstico para los datos de
yarda se llevan a cabo sobre hardware no vital y son manejadas por
medio de un módulo comercial con un microprocesador sobre la placa
que se conecta a la red de diagnóstico del sistema. El módulo
comercial denominado Echelon, es un módulo de "propósito
general" que gestiona 10 canales discretos de E/S; mediante el
uso de un conversor A/D externo, puede adquirir 8 canales
analógicos adicionales.
El módulo de microprocesador incluye una segunda
interfaz serie RS232 que se conecta al módulo 102 de ordenador vital
y se usa para recibir la información requerida para comprobar la
señal de yarda, tal como la dirección de transmisión de la señal
sobre el circuito de vía. El módulo anterior es opcional y sólo se
proporciona cuando se encuentra disponible una red de diagnóstico,
por ejemplo del tipo Echelon, al que la información de diagnóstico
sobre la interfaz de cabina/yarda solamente es transmitida.
En la arquitectura del módulo de protección,
inversión y de diagnóstico, el módulo de diagnóstico se usa para
adquirir las cantidades siguientes:
aislamiento de los cables izquierdo (sx) y
derecho (dx) a la vía (esta información también se visualiza
mediante dos LED de panel frontal);
corriente sobre el bobinado secundario del
transformador de transmisión (medida por un sensor de efecto
Hall);
tensión sobre el bobinado secundario del
transformador de transmisión (medida por un sensor de efecto
Hall);
potencia de la señal recibida en banda (la señal
se recibe por medio de un bobinado secundario separado del
transformador de recepción);
potencia de la señal recibida fuera de banda;
frecuencia de la portadora de modulación de la
señal de transmisión.
Todos los circuitos requeridos para la
adquisición de la señal y el acondicionamiento son alimentadas por
medio de una fuente de alimentación autónoma y aislados a 4 kV DC
de la vía.
La estructura del módulo de diagnóstico es como
la que se muestra en la figura 14.
Las figuras 15 a 21 muestran varios detalles de
la adquisición de la señal del circuito de vía y del módulo de
reconocimiento. Este módulo está diseñado como un receptor de señal
de circuito de vía de seguridad que funciona en la banda de 40 Hz a
1 kHz, y se usa para reconocer las señales codificadas
proporcionadas por el sistema de bloque de código n y las señales
de "frecuencia fija" usadas cuando no se facilita ningún
código.
La arquitectura de seguridad del módulo APRX,
como se ha mencionado anteriormente, incluye dos canales de
adquisición y acondicionamiento 60, 61, que son desacoplados por
medio de una etapa de entrada 62. Ésta última está diseñada con
técnicas inherentes de seguridad frente al fallo, asegurando que las
señales de salida adquiridas por los dos canales no puede degradar
a condiciones más permisivas debido a un fallo.
Cada canal 60, 61, en base a un procesador
digital de la señal DSP, usa hardware dedicado e incluye, como se
muestra en la figura 16 en detalle, funciones de prueba de
autorregulación que funcionan de manera continua e
independientemente del estado del circuito de vía.
La detección de fallo para cada canal se realiza
midiendo las señales de prueba generadas localmente;
particularmente se facilita: una señal para comprobar la amplitud
apropiada de la señal de entrada; un señal para verificar la
frecuencia apropiada de la señal de entrada; un monitor para todas
las tensiones de alimentación internas y tensiones de
referencia.
La negación de los efectos de fallo están
asignados a la función de construcción de la salida que requiere
una medida apropiada de todas las señales de pruebas y de
referencia para generar la información de salida permisiva.
La placa está compuesta de los siguientes bloques
funcionales: un bloque de fuente de alimentación 63 que proporciona
todas las alimentaciones internas y las tensiones de referencia
requeridas por los dos canales del módulo 302, un circuito de señal
de entrada 64 que está diseñado con técnicas inherentes de seguridad
frente al fallo y que distribuye la señal recibida a los dos
canales 60, 61 y permite sumar la señal de prueba de amplitud a la
señal de entrada; el canal A 60 y el canal B 61 que están hechos de
hardware replicado. Los dos canales funcionan de manera
independiente, es decir adquieren la señal de vía y transmiten la
información de código/frecuencia fija detectada en la vía al módulo
102 de ordenador vital a través de la memoria de puerto dual 70.
Cada canal de procesado 60, 61 están a su vez
compuestos de los siguientes bloques funcionales: una lógica 160,
161, que tiene las siguientes funciones: medida de la señal de
circuito de vía; medida de las señales de prueba y de la señales de
referencia internas; demodulación de la señal y reconocimiento de
los códigos; codificación y transferencia de la información al
módulo 102 de ordenador vital;
Una lógica de prueba 260, 261 que proporciona las
señales de prueba, amplitud y de frecuencia que se usan para
comprobar la integridad del canal de medida.
Cada canal usa una RAM de puerto dual 70 para
intercambiar la información con el módulo 102 de ordenador vital, a
través de la interfaz VCM_IOBUS. Dicha interfaz de datos entre el
módulo 102 de ordenador vital y el módulo de adquisición y de
reconocimiento de la señal del circuito de vía 302 está protegida
mediante la aleatorización de los datos vitales para asegurar un
comportamiento seguro incluso cuando ocurren errores de
encaminamiento del módulo al VCM_IOBUS.
El algoritmo de reconocimiento de la señal del
circuito de vía usado por cada uno de los dos canales 60, 61 genera
una palabra interna de "señal presente/ausente"; estas
palabras que son predeterminadas para cada señal de
código/frecuencia fija y diferentes para los dos canales 60, 61,
son inicializadas al comienzo de cada ciclo con el código /
frecuencia fija "ausente". Cada canal 60, 62 muestrea la señal
del circuito de vía a frecuencias de muestreo ligeramente
diferentes, es decir, difieren en unos 16 kHz. Entonces, la señal
muestreada se filtra digitalmente y se analiza mediante dos
procesos paralelos que la discriminan como un código o como la señal
de frecuencia fija, y de manera más precisa:
Reconocimiento de código: la señal filtrada se
demodula, obteniendo de esa forma la onda cuadrada que constituye
la señal moduladora de código. El reconocimiento de un código
particular, como el que se obtiene del análisis de la duración
ACTIVADO / DESACTIVADO de dicha onda cuadrada, cambia la palabra
correspondiente al código reconocido de ausente a presente;
El reconocimiento de la señal de frecuencia fija:
el reconocimiento de la señal de frecuencia fija se obtiene
comparando la fase de la señal adquirida con una señal de 50Hz de
referencia interna. El reconocimiento de una señal de frecuencia
fija particular se obtiene analizando la diferencia de fase
anterior en el dominio del tiempo (tiempos de fase/contrafase y de
transición); la palabra que corresponde a la señal de frecuencia
fija reconocida se cambia de ausente a presente.
Cada una de las palabras interiores anteriores,
asociada a cualquier código o señal de frecuencia fija, son
adicionalmente cambiadas y se hacen disponibles al módulo de
ordenador vital VCM 102 en la memoria de puerto dual 70, mediante un
proceso que usa una palabra, denominada "Consigna de tiempo",
precargada desde el módulo 102 de ordenador vital en cada ciclo y
variando de un ciclo a otro; la palabra previamente determinada de
código/frecuencia fija detectada/ausente; la medida apropiada de
todas las señales de prueba y las señales de referencia.
El funcionamiento dinámico y la diversidad de las
palabras de salida emitidas por cada canal están asegurados
mediante la variabilidad de la "Consigna de tiempo" precargada
desde el módulo 102 de ordenador vital, y variando de un ciclo al
otro, y mediante la diferente codificación de código/frecuencia fija
realizada por los dos canales 60, 61, con lo que incluso cuando se
detecte la misma señal a la entrada de los dos canales, se generen
diferentes palabras de estado.
La función de comparación de los resultados
producidos por los dos canales 60, 61 no está asignada a este
módulo, sino al módulo de ordenador vital 302. Esta configuración
del diseño permite el llevar a cabo la función de una manera
autosostenible.
La siguiente tabla lista, como se muestra
esquemáticamente en la figura 17, las señales de interfaz entre el
módulo 302 y las otras placas de la subunidad (2) de control y de
supervisión.
Como se muestra en la figura 16, el bloque de
fuente de alimentación 63 y el bloque de circuito de señal de
entrada 62 es común a ambos canales; se facilitará una descripción
más adelante para ambos bloques comunes, mientras que se describirá
sólo uno de los dos canales de procesado que son funcionalmente
idénticos.
La figura 17 esquemáticamente muestra el bloque
funcional para las fuentes de alimentación internas. Este bloque
tiene las siguientes entradas:
+5 VDC: tensión generada y controlada por la
fuente de alimentación de conmutación contenida en la trama lógica.
Las siguiente fuentes de alimentación internas se obtienen a partir
de esta tensión de la fuente de alimentación, gracias a los
reguladores de tensión replicados para los dos canales:
las tensiones de 3,3 V/1,8 V y \pm5 V
requeridas para el funcionamiento apropiado de la lógica;
La tensión de referencia de prueba (2,5 V) usada
como una tensión de referencia para generar la señal de prueba de
amplitud;
24Vdc2: las siguientes fuentes de alimentación
internas se obtienen a partir de esta tensión:
una tensión de 4,1 V que se usa como una
referencia para la amplitud de la señal de vía; se facilitan
reguladores de tensión replicados en los dos canales para esta
función.
la tensión de alimentación tanto para el
dispositivo de medida de la señal de vía como para el generador de
señal de prueba de frecuencia.
Las tensiones generadas se resumen en la
siguiente tabla:
\vskip1.000000\baselineskip
El bloque funcional anterior 63 cumple con las
siguientes reglas de seguridad:
asegura la independencia entre las tensiones de
referencia que se usan para medir la señal de vía (como se deriva
de la tensión 24V2) y la tensión que se usa para generar la señal
de prueba de amplitud. Esto permite detectar cualquier cambio de
tensión de referencia de medida causado por fallos o variaciones de
la tensión de alimentación.
asegura la independencia entre la tensión usada
para generar la base de tiempo de la lógica (derivada de la tensión
de 5 V) y la tensión usada para generar la señal de prueba de
frecuencia (derivada de los 24 VDC2);
asegura la Independencia de tensiones de
referencia entre los dos canales de procesado. Esta condición se
consigue usando reguladores de tensión físicamente separados.
La figura 18 muestra el diagrama de bloques del
circuito de entrada 52 para la señal de circuito de vía que está
compuesto de las siguientes funciones: sumador de puente 162,
filtros antisolapamiento 262.
La etapa de entrada de la señal 62 incluye un
sumador de puente 162 que lleva a cabo la doble función de
distribuir la señal de circuito de vía a los dos canales de medida
60, 61 y de sumar la señal de prueba de amplitud de cada canal a la
señal de vía.
El circuito de señal de entrada está diseñado de
una manera "inherente de seguridad frente al fallo", para
asegurar de manera segura que la relación entre la tensión de
salida del bloque y la tensión de entrada del bloque no aumenta
debido a los fallos, sin ser detectada a través de la medida de la
señal de prueba.
Este bloque usa un transformador que tiene dos
bobinados secundarios para la distribución de la señal. Las señales
de prueba son inyectadas creando un puente que está balanceado
entre una toma central del bobinado secundario y el punto de medida
de la señal.
Los componentes de los puentes de medida tendrán
una tecnología tal que asegure que no se espere ningún aumento de
la tensión en el punto de medida debido a fallos.
Mediante la elección del uso de una señal de
prueba para comprobar la amplitud de la medida de la señal, se
asegura la detección de fallos en el flujo descendente desde el
punto de inyección de la señal de prueba (por esta razón, dicho
punto de inyección se situará en el punto más alto); todos los
circuitos flujo ascendente desde el punto de inyección de la señal
de prueba de amplitud estarán diseñados con reglas inherentes de
seguridad frente al fallo.
Flujo abajo desde el bloque de separación de la
señal 164, se facilita un filtro paso bajo antisolapamiento para
cada canal de procesado 60, 61 El filtro tiene una frecuencia de
corte tal que asegure que el módulo 302 tenga una banda de entrada
de 1 kHz.
Los efectos potenciales del filtro de
antisolapamiento 262 sobre la seguridad podrían ser:
una relación de señal de entrada/salida alterada;
particularmente, un aumento de la ganancia (o una disminución de la
atenuación) tiene efectos adversos sobre la seguridad. Este evento
hipotético se detecta midiendo la señal de prueba de amplitud que se
inyecta en el flujo ascendente desde el filtro antisolapamiento
264. Además, como los filtros están hechos solamente de
componentes pasivos que tienen una atenuación despreciable en la
banda de paso, este evento es realmente imposible;
la frecuencia de corte alterada. Un incremento de
la frecuencia de corte más allá de la mitad de la frecuencia de
muestreo (teorema de Nyquist) afecta potencialmente a la seguridad,
por consiguiente podrían esperarse ruidos de alimentación más allá
de dicha frecuencia, y dichas características que pueden
confundirse con las señales esperadas, debido al solapamiento. El
remedio para esto está asignado en el bloque de lógica que usa una
frecuencia de muestreo - 16 kHz, por lo tanto por encima de la banda
de ruido de tren. Además, el uso de señales moduladas tanto en
condiciones de transmisión de código como en condiciones sin código
facilitan una clave adicional de seguridad.
El bloque funcional de lógica 160, 161, como el
que se muestra en la figura 21, lleva a cabo las siguientes
funciones:
Muestreo de 8 señales analógicas, con una
frecuencia de muestreo de hasta 18 kHz por canal;
procesando de las señales adquiridas;
Interfaz con el módulo 102 de ordenador
vital.
El bloque de lógica funcional está compuesto de
los siguientes tres bloques físicos:
Un bloque de adquisición 80 que se basa en un
dispositivo ADC conversor analógico a digital para muestrear y medir
8 señales analógicas;
Un bloque de procesado 81, que se basa en un
microprocesador específicamente diseñado para las operaciones de
Procesado Digital de la Señal (DSP), y en el uso de memorias
instantáneas, relojes, y osciladores;
una interfaz 82 con el módulo de interfaz común
102.
El bloque de adquisición 80 está compuesto de un
dispositivo ADC que tiene ocho canales de entrada como que se usan
de la siguiente manera:
canal 1: muestreo de la señal de vía. Se notará
que la señal de vía está trasladada en amplitud debido a la
presencia de la señal de prueba de amplitud.
canal 2: muestro de la señal de prueba de
frecuencia.
canales 3, 5, 7: muestro de la tensión de
referencia interna.
canales 4, 6, 8: muestro de la referencia de
puesta a tierra.
Los dispositivos ADC proporcionan una salida
digital que corresponde a la tensión de entrada al muestrear; este
valor de salida depende de la tensión de referencia proporcionada
al dispositivo.
La arquitectura del canal de medida que usa las
señales de prueba anteriores permite detectar y gestionar de manera
apropiada cualquier error de la medida.
Se notará que la elección de sumar la señal de
prueba de amplitud a la señal de vía permite una comprobación
completa y continua del canal de adquisición dedicado a la medida
de la señal de vía.
Otros errores potenciales de muestreo de la señal
pueden ser:
canal de adquisición erróneo: las señales
existentes en los canales diferentes del ADC han sido definidos con
dichas características de frecuencia, modulación y de amplitud
diferentes que no pueden confundirse. Este mal funcionamiento evita
cualquier reconocimiento de las señales para los canales
pertinentes.
Deriva de la frecuencia de muestreo: este riesgo
se previene midiendo la frecuencia de la señal de prueba de
frecuencia que, como se ha expresado anteriormente, no es generada
por el dispositivo generador de la base de tiempos de la sección de
lógica.
Cada canal 60, 61 están equipados con un
microprocesador DSP; dichos microprocesadores están específicamente
diseñados para realizar operaciones secuenciales de multiplicación
y de suma para determinar los filtros digitales. El procesador DSP
que ejecuta el software de aplicación, está diseñado para filtrar y
demodular las señales y reconocer los códigos de las mismas.
También, este bloque incluye los circuitos auxiliares requeridos
para el funcionamiento DSP, de manera más precisa:
un generador del reloj, siendo la deriva de esta
señal detectada por medio de la medida de la frecuencia de la señal
de prueba de frecuencia;
una memoria instantánea que se usa para almacenar
el programa de aplicación, en condiciones de fallo de alimentación.
La comprobación de la integridad de código de encendido protege
contra todo riesgo asociado a esta función;
memoria RAM: los microprocesadores DSP de la
familia seleccionada incluyen una memoria RAM "sobre circuito
integrado" que es suficiente para las aplicaciones del estado de
la técnica, con lo que no se necesita ninguna memoria adicional en
la actualidad. Para aplicaciones futuras, se espera añadir una
memoria adicional optativa a la placa;
un dispositivo basado en lógica programable que
forma la memoria de puerto dual en común con el módulo 102 de
ordenador vital y otras funciones lógicas tales como la
descodificación de dirección externa, y el control de dispositivo de
adquisición.
Una interfaz con el módulo 102 de ordenador
vital. Esta interfaz está provista de una memoria de puerto dual.
Cualquier acceso simultáneo a la memoria por parte del módulo 102
de ordenador vital y del módulo de reconocimiento y de adquisición
de la señal de circuito de vía 302, es decir, el VCM y el APRX es
gestionado mediante circuitos de lógica dedicados. Tanto la memoria
de puerto dual como los circuitos lógicos pertinentes consisten en
hardware programable. La protección contra cualquier fallo de la
función de la memoria de puerto dual, como congelamiento de los
datos, encaminamiento erróneo o arbitraje de acceso erróneo se
proporciona mediante remedios software.
Para cada canal de procesado 80, 61, se
proporcionan dos áreas de encaminamiento diferentes, diseñadas para
el intercambio de información vital y de información no vital
respectivamente. Como se muestra en la figura 20, cuando se
encaminan las áreas de datos vitales predeterminadas, los datos
proporcionados por el módulo 302 son cambiados mediante la
aleatorización mecánica de los datos del bus que se realiza
físicamente sobre la placa madre. La aleatorización se realiza de
una manera diferente para cada posición de la placa madre; esta
técnica permite diferenciar las salidas generadas por cada módulo.
Esto proporciona una protección contra cualquier error de
encaminamiento para los módulos en el VCM_IOBUS. Los accesos a las
áreas no vitales no son diferenciados mediante la aleatorización;
esto simplifica la gestión de los datos no vitales dentro del
módulo de ordenador vital, evitando de esta forma cualquier
descodificación como una función del módulo encaminado.
El módulo de lógica de prueba 260, 261, como se
muestra en la figura 21, genera dos señales de prueba, es
decir:
Prueba 1 para comprobar la amplitud del canal de
medida;
Prueba 2 para verificar la base de tiempo del
canal de medida.
La generación de la señal de prueba1 proporciona
una señal cuya amplitud puede fijarse por la lógica; la lógica
cambia cíclicamente la amplitud de la señal de prueba para para
asegurar la vitalidad de la función. Por razones de seguridad, la
tensión de referencia usada para generar la señal de prueba1 y la
usada para medir la señal de vía son independientes y generadas
mediante fuentes de alimentación autocontenidas. Esta condición es
proporcionada por el bloque de "fuente de alimentación" que
genera la tensión de referencia de medida de la tensión externa de
24Vdc2 y la referencia para generar la señal de prueba a partir de
la tensión externa de +5 V. Esta técnica asegura que cada canal
puede detectar de manera independiente dichos cambios de cualquier
tensión de la fuente de alimentación para alterar los valores de
tensión de referencia.
Recíprocamente, la señal de prueba2 tiene el
propósito de proporcionar a la función lógica de una referencia de
frecuencia no relacionada - base de tiempo. Para este fin, la
arquitectura de seguridad del módulo incluye, para esta función, un
oscilador dedicado cuya tensión de alimentación es independiente de
la tensión lógica de alimentación (la tensión de +5 Vb, como se
ilustra en la figura 22, se genera por el bloque de "fuente de
alimentación" a partir de una tensión de 24VDC2, mientras que la
alimentación lógica se deriva de la tensión de +5 V).
La figura 22 muestra una configuración particular
del sistema, en la que se usan señales de corriente para la
detección del tren, así como una codificación de señal de
comunicación de tren código cuatro.
Se detecta un tren inyectando una señal de
corriente fija en cada circuito de vía, es decir una señal que
tenga un nivel de corriente fijo una vez descodificada. La señal
transmitida por el transmisor al circuito de vía hacia el receptor
en una dirección opuesta a la dirección de avance del tren se
recibe si no se detecta ningún tren. Cuando un tren está presente,
los raíles son cortocircuitados por el propio tren, y el receptor no
es alcanzado por ninguna señal.
La subunidad (2) de control y de supervisión de
acuerdo con la invención y con la descripción anterior puede ser
programada de manera apropiada por el programa de configuración
apropiado específico de sistema que coopera con el programa de
procesado independiente de la estructura específica del sistema para
la aplicación de bloque automático de código ITALIA 4, y puede
manejar (transmitir/recibir/reconocer) las siguientes señales:
códigos;
señal de "frecuencia fija" que se usa para
obtener la función ocupada/no ocupada cuando no se proporciona
ningún código (ningún camino o encaminamiento).
Como se ha descrito anteriormente, el circuito de
vía está codificado mediante la interrupción de una frecuencia
portadora un número predeterminado de veces por minuto (modulación
de amplitud). Esta aplicación usa cuatro tipos de código. Estos
tipos se obtienen usando una portadora de 50 Hz interrumpida 75,
120, 180 ó 270 veces por minuto (el código correspondiente está
indicado por el número de interrupciones por minuto).
Las características de la señal de detección de
tren de corriente fija (CF) debe asegurar el mantenimiento de las
condiciones de seguridad incluso cuando ocurran pérdidas de
aislamiento en las uniones entre circuitos de vía adyacentes. La
arquitectura de la subunidad (2) de control y de supervisión de
acuerdo con la invención permite proporcionar un transmisor para
cada circuito de vía conectado por la red con la unidad (1) central
de control y supervisión. Las portadoras que usan los transmisores
son producidas localmente, sin relación de fase entre ellas. No se
puede hacer ninguna suposición acerca de la diferencia de fase
entre dos circuitos de vía adyacentes.
Por lo tanto, se introducirá una modulación en la
señal CF que es diferente entre circuitos de vía adyacentes y que
está adaptada para asegurar las condiciones de seguridad incluso
cuando se transfiere potencia desde un circuito de vía y el
siguiente.
La configuración implementada en este documento
incluye el uso de diferentes señales CF señala (4 conjuntos) para
ser asignadas de manera apropiada a los circuitos de vía para
asegurar que dicha señal no está presente en los circuitos de vía
adyacentes. En todos los conjuntos, la señal está compuesta de una
portadora de 50 Hz transmitida de manera alternada en fase y en
oposición de fase con respecto a una referencia de 50 Hz
hipotética. Los conjuntos se diferencian por los intervalos de
tiempo entre dos pasos de fase sucesivos. Las secciones opuestas
son conectadas por periodos de señal de 555,55 Hz, para asegurar
una transición progresiva. Esta disposición proporciona, a la salida
de un filtro paso banda sintonizado a 50 Hz, una señal de amplitud
constante que asegura la detección de la ocupación en cualquier
momento.
La señal implementada se muestra en la figura
22.
Las frecuencias de la señal se seleccionan en
base a las siguiente reglas:
Las frecuencias de 50 Hz y 55,55 Hz no pueden
interferir ni ser interferidas por ningún circuito de vía equipado
con receptores de control de fase adyacentes; se notará que los dos
sistemas usan la frecuencia de 50 Hz de una manera diferente, es
decir, el receptor de control de fase la usa en una onda continua,
y la subunidad de control y de supervisión 2 de acuerdo con esta
invención, la usa para alternancia con la frecuencia de 66,55
Hz.
la atenuación del filtro a la entrada del módulo
de adquisición y reconocimiento de la señal (que está sintonizado
en los 50 Hz) a la frecuencia de 55,55 Hz se compensa por medio de
la amplificación de las conexiones inductivas de vía;
una máscara de ruido apropiada, tal como la
máscara de ruido FS-96 asegura que, alrededor de
los 50 Hz, ningún ruido puede limitar el funcionamiento normal.
La duración de la sección T1 se usa para
diferenciar los conjuntos de circuitos de vía diferentes, como se
indica en la siguiente tabla:
La sección T2 tiene una duración de 90 ms (512
períodos), cuyo valor permite alcanzar un cambio de fase de
180º.
El tiempo T1 se ha determinado considerando
que:
T1 será un periodo corto para reducir la
degradación del tiempo de respuesta de receptor, en caso de pérdida
de aislamiento a la unión; cuando se produce una pérdida de
aislamiento, se espera que la señal sea perturbado por un señal en
fase emitida por el circuito de vía adyacente, causando de este
modo, durante unos pocos ms, un aumento de la señal en el receptor.
El tiempo más largo de incremento de la señal es igual al tiempo
más corto entre la duración de la señal de circuito de vía
pertinente y al tiempo de la señal de circuito de vía
adyacente;
La diferencia T1 entre los dos conjuntos será de
al menos 100 ms, para asegurar el reconocimiento del conjunto al
que pertenece la señal.
De acuerdo con una realización variante, se puede
usar una codificación código nueve. En este caso, la señal
anteriormente mencionada PWM codificada puede sumarse o puede
superponerse a una señal adicional derivada por medio de una
modulación PWM idéntica de una portadora que tenga una frecuencia
diferente, es decir, una portadora de 100 a 200 Hz, en particular
de 178 Hz.
La lista de abreviaturas y de acrónimos, usados
en las figuras y en la descripción
| @ | medida determinada a |
| A/D | analógico a digital |
| ADC | conversor analógico a digital |
| ASCV | aparato de estación de ordenador vital |
| ASCVGS | aparato de estación de ordenador vital para estaciones grandes |
| AVF | Filtro Vital Activo |
| CA, ca, | |
| CA | corriente alterna |
| CC, cc | |
| DC, | Corriente continua |
| CdB | Circuito de vía |
| FC | Corriente fija |
| CPU | Unidad central de proceso |
| CRC | Comprobación de redundancia cíclica |
| D/A | Digital a analógico |
| DSP | Procesador de señal digital |
| FNET | Red de campo |
| FSFB2 | Bus de campo con seguridad frente al fallo - Segunda generación |
| HDLC | Control de enlace de datos de alto nivel |
| HW | Hardware |
| E/S | Entrada/salida |
| MGRC | Módulo generador y receptor de código |
| NISAL | Lógica para asegurar la seguridad integrada numérica |
| PAL | Panel de alimentación |
| PCL | Lógica de control de procesado |
| PD | Divisor Polinómico |
| PWM | Modulación de anchura de pulsos |
| RAM | Memoria de acceso aleatorio |
| RCF | Receptor de control de fase |
| Rx | Recepción |
| SAL | Lógica para asegurar la seguridad |
| SIL | Nivel de integridad de seguridad |
| SRS | Especificación de requisitos del subsistema |
| SW | Software |
| Tx | Transmisión |
| UAB | Unidad de alimentación de pisya (cajas terminales) |
| V \textamp V | Verificación y validación |
| VG | Generador Vital |
| VPC2 | Controlador de potencia, versión 2. |
Claims (22)
1. Un sistema para la detección de la ocupación
en una línea de ferrocarril, o similar, y para la comunicación
digital con trenes que circulan a lo largo de la línea de
ferrocarril, en el que,
a) la vía que forma la línea de ferrocarril está
dividida en una pluralidad de segmentos de vía sucesivos aislados
galvánicamente que tienen una longitud predeterminada, los
denominados bloques, los raíles de cada segmento de vía aislado
formando un circuito de vía (cdB, cdB1, cdB2, cdB3) para detectar la
presencia de un tren dentro del mencionado segmento de vía aislado,
para comunicar con un tren dentro del mencionado segmento de vía
aislado y/o para detectar datos de diagnóstico acerca del estado
del mencionado segmento de vía aislado;
b) se proporciona una unidad (1) central de
control y de supervisión que genera y que transmite señales de
control para ejecutar los procedimientos de detección de tren y/o
los procedimientos de comunicación con el tren relativos a un tren
que circula sobre ese segmento de la vía aislado y/o para ejecutar
los procedimientos de diagnóstico;
c) cuya unidad (1) central de control y de
supervisión comunica con el circuito de vía (cdB, cdB1, cdB2, cdB3)
de cada segmento de vía aislado por medio de una subunidad (2, 2',
2'') de control y de supervisión, asociada a cada uno de los
segmento aislados de vía o circuitos de vía (cdB, cdB1, cdB2, cdB3)
para generar y recibir códigos, y cuya subunidad (2, 2', 2'') de
control y de supervisión ejecuta los procedimientos para detectar
la presencia de un tren (T) dentro del segmento de vía aislado
asociado, los procedimientos de comunicación y los procedimientos
de diagnóstico y transmite las señales de control que corresponden
a la presencia o a la ausencia del tren dentro del correspondiente
segmento de vía aislado y/o a la comunicación apropiada establecida
con el tren y/o las señales de diagnóstico relativas al circuito de
vía (cdB, cdB1, cdB2, cdB3) e informa a la unidad (1) central de
control y de supervisión sobre los resultados del mismo;
d) cada subunidad (2, 2', 2'') de control y de
supervisión asociada a cada correspondiente segmento de vía aislado
estando conectada a los extremos del mismo por medio de un
transmisor y un receptor (3, 4);
e) y cada subunidad (2, 2', 2'') de control y de
supervisión y su segmento de vía aislado asociado identificado
unívocamente por medio de un código de identificación
predeterminado (ID);
caracterizado porque cada subunidad (2,
2', 2'') de control y de supervisión que genera y recibe los
mencionados códigos comprende:
f) una arquitectura de seguridad reactiva con la
que la mencionada subunidad está equipada;
g) un Módulo (102) de ordenador vital basado en
microprocesador que contiene los programas para gestionar y
controlar los módulos periféricos para generar y transmitir las
señales de detección del tren y las señales de comunicación
codificadas, para las señales de recepción provenientes del
circuito de vía (cdB, cdB1, cdB2, cdB3) del correspondiente
segmento de vía aislado, para comunicar, es decir, recibir e
interpretar los controles del control central y de la unidad (1) de
supervisión, y para transmitir la detección del tren y la
información de comunicación, así como para gestionar la comunicación
y la activación temporizada de los módulos periféricos;
(h) un módulo (202) para generar las señales de
detección del tren y las señales de comunicación codificadas
controladas por el módulo de ordenador vital (1);
i) un módulo (302) para adquirir y reconocer las
mencionadas señales de detección del tren y las mencionadas señales
de comunicación codificadas provenientes del circuito de vía (cdB,
cdB1, cdB2, cdB3) cuyas señales son pertinentes para el
correspondiente segmento de vía aislado que está controlado por
medio del módulo (102) de ordenador vital y que le proporciona las
mencionadas señales recibidas por el circuito de vía del
correspondiente segmento de vía aislado;
j) un módulo (402) para conectar con la salida
del módulo (202) para venerar la señal de detección del tren y/o la
señal de comunicación codificada con los segmentos de vía aislados
y para conectar la entrada del módulo (302) para adquirir y
reconocer las mencionadas señales de detección del tren y las
señales de comunicación codificadas del circuito de vía (cdB, cdB1,
cdB2, cdB3) con el segmento de vía aislado cuyo módulo (402) está
controlado por el módulo (102) de ordenador vital, con respecto a la
conexión de los dos transmisor y receptor (3, 4) que unen el
segmento de la vía aislado y dispuesto sobre la vía en los extremos
del correspondiente segmento de vía aislado, alternativamente con
la salida del módulo (202) para generar la señal de detección del
tren y/o la señal de comunicación codificada y con la entrada del
módulo (302) para adquirir y reconocer las señales de detección del
tren y las señales de comunicación codificadas;
k) el módulo (102) de ordenador vital incluyendo
una sección de control y de supervisión (120) que genera los códigos
para comprobar la ejecución apropiada de la señal de detección de
tren y/o la generación de la señal de comunicación codificada y/o
las operaciones de recepción e interpretación de la señal de
comunicación codificada provenientes del circuito de vía, cuyos
códigos de comprobación son proporcionados a una unidad (121) de
comprobación de protección que los comprueba para exactitud, y
tiene una sección (35) para inhabilitar las operaciones vitales de
la subunidad (2, 2', 2'') de control y de supervisión generando y
recibiendo códigos y para forzar al sistema a un estado más
restrictivo, por ejemplo, el estado de ocupación de vía, cuando se
detecta un código de comprobación no válido.
2. Un sistema como el que se reivindica en la
reivindicación 1, caracterizado porque la sección (120) de
control y de supervisión y la unidad (121) de comprobación de
protección tienen microprocesadores diferentes.
3. Un sistema como el que se reivindica en la
reivindicación 1 ó 2, caracterizado porque la sección (120)
de control y de supervisión y la unidad (121) de comprobación de
protección incluyen software de procesado independiente de la
configuración (21, 232') así como software de configuración (21',
232) que constituye la base de datos para ejecutar el software de
procesado conforme a la configuración del sistema.
4. Un sistema como el que se reivindica en una o
más de las reivindicaciones 1 a la 3, caracterizado porque el
módulo (202) para generar la señal de detección del tren y/o la
señal de comunicación codificada incluye un generador (140) de un
par de señales PWM, que se usan para generar la señal de detección
del tren y/o las señales de comunicación codificadas por medio de un
amplificador/demodulador de potencia (43), siendo el mencionado par
de señales PWM proporcionado al amplificador/demodulador de
potencia a través de un conmutador (41), que está controlado
mediante la unidad (121) de comprobación de protección en base a la
exactitud confirmada del par de señales obtenidas mediante la
modulación de anchura de pulso realizada por el módulo (102) de
ordenador vital que recibe dicho par de señales PWM y las comprueba
para la consistencia con las señales de control recibidas desde la
unidad (1) central de control y supervisión, y genera, como
resultado, el código de comprobación que va a ser analizado por la
unidad (121) de comprobación de la protección.
5. Un sistema como el que se reivindica en la
reivindicación 4, caracterizado porque el
amplificador/demodulador de potencia (43) tiene una construcción
inherente de seguridad frente al fallo.
6. Un sistema como el que se reivindica en una o
más de las reivindicaciones 1 a la 5, caracterizado porque el
módulo (302) para adquirir y reconocer las señales provenientes del
circuito de vía (cdB, cdB1, Cdb2, cdB3) incluye una etapa de
entrada (62) para desacoplar la señal de entrada a dos canales de
procesado (60, 61), mediante un procesador digital de la señal
cuyas salidas se proporcionan al módulo (102) de ordenador vital
que comprueba su identidad y, como resultado, genera un código de
palabra que va a ser comprobado para exactitud por la unidad (121)
de comprobación de la protección.
7. Un sistema como el que se reivindica en la
reivindicación 6, caracterizado porque la etapa de entrada
(62) para desacoplar los dos canales de procesado de la señal (60,
61) tiene una construcción inherente de seguridad frente al
fallo.
8. Un sistema como el que se reivindica en una o
más de las reivindicaciones 3 a la 7, caracterizado porque un
dispositivo para invertir la conexión del transmisor y del receptor
(3, 4) en los dos extremos de cada segmento de vía aislado tiene una
construcción inherente de seguridad frente al fallo.
9. Un sistema como el que se reivindica en una o
más de las reivindicaciones precedentes, caracterizado porque
la unidad (121) de comprobación de protección tiene una
construcción inherente de seguridad frente al fallo.
10. Un sistema como el que se reivindica en una o
más de las reivindicaciones precedentes, caracterizado porque
la unidad (121) de comprobación de la protección comprueba los
códigos de comprobación para la exactitud mediante el procesado
destructivo de los mismos.
11. Un sistema como el que se reivindica en una o
más de las reivindicaciones precedentes, caracterizado porque
cada subunidad (2, 2', 2'') de control y de supervisión que genera
y recibe las señales de detección del tren y/o las señales de
comunicación codificadas comprende un medio para generar una señal
cuando se detecta un tren en el correspondiente segmento de vía
aislado cuya señal es transmitida por el transmisor (3, 4) asociado
a un extremo del segmento de vía aislado al receptor asociado (4, 3)
en el extremo opuesto del segmento de vía aislado en la dirección
opuesta a la dirección de avance del tren,
cuya señal de detección del tren es proporcionada
antes de transmitir una portadora que tenga una baja frecuencia
fija predeterminada a un modulador de fase del segmento de vía
aislada que modifica la fase de la portadora para los intervalos de
tiempo predeterminados entre dos fases definidas con referencia a
una señal de referencia que tenga la frecuencia portadora, teniendo
los intervalos de tiempo entre los pasos de frecuencia de las dos
configuraciones de fase una longitud predeterminada;
y dichas señales de detección del tren siendo
diferenciadas de manera única para cada segmento de vía aislado,
mediante la configuración de intervalos de tiempo diferentes entre
dos pasos sucesivos de fase.
12. Un sistema como el que se reivindica en la
reivindicación 11, caracterizado porque se facilita un
número definido de señales diferentes de detección del tren dentro
de un segmento de vía aislado, cada uno estando diferenciado del
otro con respecto al intervalo entre dos transiciones de fase de
portadora sucesivas, estando configurados los moduladores de fase
temporizados asociados a los segmentos individuales de vía aislados
de la línea de ferrocarril de tal manera que estas señales de
detección del tren tengan diferentes intervalos de tiempo entre
transiciones sucesivas de fase, en particular diferentes de
aquellas señales transmitidas a los segmentos de vía aislados
directamente adyacentes.
13. Un sistema como el que se reivindica en las
reivindicaciones 11 ó 12, caracterizado porque se facilita
una pendiente progresiva entre dos pasos de fase sucesivos,
teniendo una duración y una frecuencia tales como para proporcionar
una transición de fase uniforme.
14. Un sistema como el que se reivindica en una o
más de las reivindicaciones precedentes de la 11 a la 13
caracterizado porque la portadora es de aproximadamente 50
Hz.
15. Un sistema como el que se reivindica en una o
más de las reivindicaciones precedentes de la 11 a la 14,
caracterizado porque las transiciones de fase ocurren entre
una configuración de fase en la que la señal está en fase con una
señal de referencia y una configuración de fase en la que la señal
está en la oposición de fase con respecto a una señal de referencia
de 50 Hz.
16. Un sistema como el que se reivindica en una o
más de las reivindicaciones precedentes de la 11 a la 15,
caracterizado porque la pendiente entre dos transiciones de
fase sucesivas tiene una frecuencia de 55,55 Hz.
17. Un sistema como el que se reivindica en una o
más de las reivindicaciones precedentes de la 11 a la 16,
caracterizado porque la señal de detección del tren tiene
una duración total que corresponde a la suma de los intervalos de
cinco transiciones de fase sucesivas y la duración de cinco
pendientes.
18. Un sistema como el que se reivindica en una o
más de las reivindicaciones precedentes de la 11 a la 17,
caracterizado porque la unidad (2, 2', 2'') de control y de
supervisión que genera y recibe las señales de detección del tren
y/o las señales de comunicación codificadas tiene únicamente
definido un medio de generación de código.
19. Un sistema como el que se reivindica en la
reivindicación 18, caracterizado porque se proporciona un
número definido de códigos unívocamente definidos, estando cada uno
definido por medio de una modulación de anchura de pulso
predeterminada, es decir, por medio de un número predeterminado de
veces por minuto que la portadora es excluida.
20. Un sistema como el que se reivindica en la
reivindicación 19,
caracterizado porque la portadora está en
50 Hz, siempre que se proporcionen cuatro códigos cuya modulación de
anchura de pulso corresponda a la interrupción de portadora
realizada un número predeterminado de veces por minuto, y
particularmente 75, 120, 180 y 270 veces por minuto
respectivamente.
21. Un sistema como el que se reivindica en una o
más de las reivindicaciones precedentes de la 11 a la 20,
caracterizado porque la subunidad (2, 2', 2'') de control y
de supervisión que genera y recibe las señales de detección del tren
y/o las señales de comunicación codificadas tiene al menos una
salida para la detección de la señal de tren y para las señales de
comunicación codificadas y al menos una entrada para las señales
adquiridas de la mencionada salida y estando la entrada conectada
con las interfaces de conexión de vía (3, 4) que pueden tener de
manera alterna funciones de transmisión y de recepción, y que están
conectadas de manera alternada por medio de un circuito inversor de
la conexión a la mencionada salida y a dicha entrada
respectivamente, en respuesta al control de la unidad (1) central
de control y de supervisión y como una función de la dirección de
avance del tren dentro del segmento correspondiente de vía
aislado.
22. Un sistema como el que se reivindica en la
reivindicación 21, caracterizado porque dichas interfaces de
conexión de vía consisten en transformadores de
transmisión/recepción.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ITSV20020008 | 2002-02-22 | ||
| IT2002SV000008A ITSV20020008A1 (it) | 2002-02-22 | 2002-02-22 | Impianto per il rilevamento della condizione di libero/occupato di una linea ferroviaria o simili e per la comunicazione digitale con treni |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2240911T3 true ES2240911T3 (es) | 2005-10-16 |
Family
ID=27638692
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES03100263T Expired - Lifetime ES2240911T3 (es) | 2002-02-22 | 2003-02-10 | Sistema para la deteccion de la ocupacion de una linea de ferrocarril y para la comunicacion digital con los trenes que circulan a lo largo de esa linea de ferrocarril. |
Country Status (6)
| Country | Link |
|---|---|
| EP (1) | EP1338492B1 (es) |
| AT (1) | ATE293063T1 (es) |
| DE (1) | DE60300486T2 (es) |
| ES (1) | ES2240911T3 (es) |
| IT (1) | ITSV20020008A1 (es) |
| PT (1) | PT1338492E (es) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100562451C (zh) * | 2004-02-03 | 2009-11-25 | 通用电气公司 | 具有改进的应用编程的铁路控制器 |
| US7315770B2 (en) | 2004-02-03 | 2008-01-01 | General Electric Company | Railway controller with improved application programming |
| ITFI20050021A1 (it) * | 2005-02-08 | 2006-08-09 | Ge Transp Systems S P A | Telealimentatore ad onde convogliate |
| CZ298373B6 (cs) * | 2006-01-13 | 2007-09-12 | Ažd Praha S. R. O. | Zpusob zachování bezpecného stavu elektronických bezpecnostne relevantních zarízení se složenou bezpecností pri poruše |
| ES2371298T3 (es) | 2008-02-14 | 2011-12-29 | Alstom Transport Sa | Sistema de detección de trenes en líneas ferroviarias. |
| US8590844B2 (en) | 2009-07-17 | 2013-11-26 | Siemens Rail Auotmation Corporation | Track circuit communications |
| US8500071B2 (en) | 2009-10-27 | 2013-08-06 | Invensys Rail Corporation | Method and apparatus for bi-directional downstream adjacent crossing signaling |
| US8660215B2 (en) | 2010-03-16 | 2014-02-25 | Siemens Rail Automation Corporation | Decoding algorithm for frequency shift key communications |
| US8297558B2 (en) | 2010-03-17 | 2012-10-30 | Safetran Systems Corporation | Crossing predictor with authorized track speed input |
| RU2457136C2 (ru) * | 2010-06-16 | 2012-07-27 | Государственное образовательное учреждение высшего профессионального образования "Самарский государственный университет путей сообщения" (СамГУПС) | Способ контроля состояния рельсовой линии |
| RU2457134C1 (ru) * | 2011-01-19 | 2012-07-27 | Виталий Сергеевич Котов | Устройство контроля состояния рельсовых цепей |
| DE102011076047A1 (de) * | 2011-05-18 | 2012-11-22 | Siemens Aktiengesellschaft | Zugsicherungssystem mit puls-code-modulierter Führerstandssignalisierung |
| RU2492089C2 (ru) * | 2011-09-26 | 2013-09-10 | Закрытое акционерное общество "Научно-производственный центр "Промэлектроника" (ЗАО "НПЦ "Промэлектроника") | Способ контроля состояния рельсовой линии |
| RU2486091C1 (ru) * | 2011-12-30 | 2013-06-27 | Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Самарский государственный университет путей сообщения" (СамГУПС) | Способ контроля состояния рельсовой линии |
| DE102013217324A1 (de) * | 2013-08-30 | 2015-03-05 | Siemens Aktiengesellschaft | Verfahren und Systemkonfiguration zur Systemdiagnose in einem sicherheitstechnischen System |
| RU2562027C1 (ru) * | 2014-06-23 | 2015-09-10 | Открытое акционерное общество "Научно-исследовательский и проектно-конструкторский институт информатизации, автоматизации и связи на железнодорожном транспорте" (ОАО "НИИАС") | Устройство для централизованной автоблокировки с бесстыковыми рельсовыми цепями тональной частоты |
| CN106347414B (zh) * | 2016-08-31 | 2018-06-05 | 交控科技股份有限公司 | 一种用于列车相向运行时移动授权的计算方法以及装置 |
| CN107867308B (zh) * | 2016-09-23 | 2023-10-10 | 河南蓝信科技有限责任公司 | 一种电子轮对设备及其方法 |
| JOP20190123A1 (ar) * | 2017-06-14 | 2019-05-28 | Grow Solutions Tech Ll | أنظمة وطرق للاتصال عبر مسار بعربة صناعية |
| CN109581415B (zh) * | 2019-01-25 | 2024-01-23 | 中国人民解放军海军航空大学 | 一种基于gnss的同步计算和授时控制的装置与方法 |
| CN111884733B (zh) * | 2020-07-15 | 2022-05-17 | 武汉博畅通信设备有限责任公司 | 一种智能电台检测***及方法 |
| CN114325161B (zh) * | 2021-09-27 | 2023-10-27 | 北京全路通信信号研究设计院集团有限公司 | 一种兼容性性能测试方法及*** |
| CN114475697B (zh) * | 2022-04-01 | 2023-06-30 | 北京全路通信信号研究设计院集团有限公司 | 一种低频发码设备及发码方法 |
| CN115189607B (zh) * | 2022-04-29 | 2024-06-14 | 重庆虎溪电机工业有限责任公司 | 一种基于dsp的旋转变压器解码方法 |
| CN115208321B (zh) * | 2022-07-12 | 2023-04-11 | 固安信通信号技术股份有限公司 | 轨道电路特征信号的相位调制方法、解调算法及用途 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4740972A (en) * | 1986-03-24 | 1988-04-26 | General Signal Corporation | Vital processing system adapted for the continuous verification of vital outputs from a railway signaling and control system |
| JP3430857B2 (ja) * | 1997-05-15 | 2003-07-28 | 株式会社日立製作所 | 列車在線検知システム及び列車在線検知方法 |
-
2002
- 2002-02-22 IT IT2002SV000008A patent/ITSV20020008A1/it unknown
-
2003
- 2003-02-10 ES ES03100263T patent/ES2240911T3/es not_active Expired - Lifetime
- 2003-02-10 AT AT03100263T patent/ATE293063T1/de not_active IP Right Cessation
- 2003-02-10 PT PT03100263T patent/PT1338492E/pt unknown
- 2003-02-10 EP EP03100263A patent/EP1338492B1/en not_active Expired - Lifetime
- 2003-02-10 DE DE60300486T patent/DE60300486T2/de not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| EP1338492A1 (en) | 2003-08-27 |
| ITSV20020008A1 (it) | 2003-08-22 |
| DE60300486T2 (de) | 2006-02-23 |
| ATE293063T1 (de) | 2005-04-15 |
| DE60300486D1 (de) | 2005-05-19 |
| EP1338492B1 (en) | 2005-04-13 |
| PT1338492E (pt) | 2005-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2240911T3 (es) | Sistema para la deteccion de la ocupacion de una linea de ferrocarril y para la comunicacion digital con los trenes que circulan a lo largo de esa linea de ferrocarril. | |
| ES2425341T3 (es) | Sistema para la comunicación con trenes en líneas ferroviarias | |
| ES2808097T3 (es) | Procedimiento para operar un dispositivo de localización, así como dispositivo de localización | |
| US4763267A (en) | System for indicating track sections in an interlocking area as occupied or unoccupied | |
| RU2577936C1 (ru) | Комплексное устройство безопасного информационного обмена и контроля локомотивных и стационарных устройств безопасности на железнодорожном транспорте | |
| Wang et al. | Parallel monitoring for the next generation of train control systems | |
| CN104765587A (zh) | 用于使处理器同步到相同的计算点的***和方法 | |
| EP3541681A1 (en) | Device and method for the safe management of vital communications in the railway environment | |
| CN105955114B (zh) | 基于动态脉冲校验的安全输入*** | |
| CN104714855A (zh) | 安全***中的输入/输出操作 | |
| RU2679754C1 (ru) | Релейный объектный контроллер для железнодорожной автоматики и телемеханики, способ безопасного определения состояния реле, способ безопасного управления реле, способ тестирования обмотки реле | |
| CN103513646B (zh) | 信息处理***、输出控制装置以及数据生成装置 | |
| ES2297711T3 (es) | Dispositivo para transmision segura de datos a balizas de ferrocarril. | |
| US4611775A (en) | Railway track switch control apparatus | |
| KR20090062901A (ko) | 철도신호용 이중계 제어장치의 계간통신 결함검출회로 | |
| US8005585B2 (en) | Method for determining the occupancy status of a track section in particular following a restart of an axle counting system, as well as an evaluation device and counting point for this | |
| CN109491842A (zh) | 用于故障安全计算***的模块扩展的信号配对 | |
| NL7908971A (nl) | Storingsveilige elektronische codegenerator. | |
| SE439616B (sv) | Anordning for overforing av binerkodad information for fjerrstyrning av ett stellverk | |
| RU2536990C1 (ru) | Двухканальная система для регулирования движения поездов | |
| ES2208609T3 (es) | Componente periferico con una alta seguridad frente a errores para controles programables con memoria. | |
| JP2004302708A (ja) | 多重系情報処理装置 | |
| BRPI0924389B1 (pt) | método e dispositivo de verificação segura de uma exclusividade de um estado binário ativo/passivo de unidades redundantes | |
| JP6758503B2 (ja) | 列車間隔制御システム及び列車間隔制御方法 | |
| ES2577104T3 (es) | Dispositivo de prevención de fallos y método para operar el dispositivo de prevención de fallos |