WO2017167537A1 - System, insbesondere zur steuerung von stellwerken im bahnverkehr - Google Patents

System, insbesondere zur steuerung von stellwerken im bahnverkehr Download PDF

Info

Publication number
WO2017167537A1
WO2017167537A1 PCT/EP2017/054863 EP2017054863W WO2017167537A1 WO 2017167537 A1 WO2017167537 A1 WO 2017167537A1 EP 2017054863 W EP2017054863 W EP 2017054863W WO 2017167537 A1 WO2017167537 A1 WO 2017167537A1
Authority
WO
WIPO (PCT)
Prior art keywords
discriminator
voter
replicants
inputs
rlc
Prior art date
Application number
PCT/EP2017/054863
Other languages
English (en)
French (fr)
Inventor
Uwe Eckelmann-Wendt
Stefan Gerken
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to US16/088,859 priority Critical patent/US11161533B2/en
Priority to CN201780020084.7A priority patent/CN109195855B/zh
Priority to EP17710842.0A priority patent/EP3411279A1/de
Publication of WO2017167537A1 publication Critical patent/WO2017167537A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L7/00Remote control of local operating means for points, signals, or track-mounted scotch-blocks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/20Trackside control of safe travel of vehicle or train, e.g. braking curve calculation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • G06F11/185Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality and the voting is itself performed redundantly
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • B61L2019/065Interlocking devices having electrical operation with electronic means

Definitions

  • the invention relates to a system, in particular for controlling signal boxes in rail traffic.
  • control signals for the control of signal boxes must meet certain safety requirements. It is typically dealing with distributed systems, each generating outputs or control signals. While signal-generating Hardwareeinrich ⁇ obligations are replicated multiple times to increase security, which are so-called replicants. The expenses of these so-called
  • Replicants are directed to central voters.
  • a voter is a decider that generates the "correct" output data from a given number of redundant input data, often using majors that produce an output signal by a majority vote.
  • the output signals called voted signals, are provided to the consumer.
  • Such voted signals are trustworthy, but with central voters the weak point is the voter per se, because if this voter fails, there is no transmission of voted signals to the consumers
  • the object is to provide an alternative system insbeson ⁇ particular for the control of signal boxes available, which has a low risk of failure, as well as high availability.
  • a system in particular for controlling signal boxes in rail traffic, which Ches at least a plurality of redundant replicants for generating redundant control signals.
  • a voter structure is provided that includes a plurality of majors, each of which has mismatch inputs connected to the outputs of the plurality of redundant ones
  • Replicants are connected, and each having an output.
  • Voter Arbitrary replicants from each other and connected to the outputs of the plurality of Maj orticiansvoter to the inputs of Diskriminatorvoters, wherein the output of Diskriminatorvoters provides a control signal insbesonde ⁇ re available for the control of signal boxes.
  • the discriminator voter does not output a control signal if its inputs contradict each other.
  • the invention has the advantage that the majority of the replicants and the voter structure are in distinct failure units due to the hardware separation, which simplifies the localization of malfunctions or failures. Furthermore, the object regions are thereby separated voneinan ⁇ the.
  • commercially üb ⁇ Liche computing hardware can be used by this division and it does not have to be reset gripped with integrated Vote purities ⁇ to specific hardware. Furthermore, can be advantageous by the
  • Discriminator voter be issued only a control signal, if its inputs are not contradictory, which also the deviation of an upstream Majoryvoters can festge ⁇ feststell ⁇ can be. Since in the pre-stage the majors voter control signals already voted by majority voting are transferred to the discriminator voter, an additional
  • the discriminator voter has a less complex and thus more failure resistant hardware than a majory voter, so that the failure probability of the system according to the invention is reduced.
  • the discriminator voter preferably acts as a through switch if only one input signal is present. As a result, a failure of one or more majors voters be compensated, so that at the output of the discriminator still a
  • Voted control signal is output.
  • the United ⁇ availability of the system is increased because the failure of a
  • An error message is preferably output if the discriminator voter receives no input signal from a majity voter.
  • a plurality of downstream discriminator voters may be used, with the outputs of the plurality of majory voters associated with each input
  • Discriminator are connected, wherein at each output of the respective Diskriminatorvoters a control signal, in particular ⁇ special for controlling interlockings, is provided. This provides redundancy in terms of
  • Discriminator voter achieved. Should a discriminator voter fail, a control signal is still available at the output of the other discriminator voters. In addition, the respective control signals can be compared with each other. Thus, the system can tolerate a failure of a discriminator voter.
  • a plurality of replicants may be spatially separated from a plurality of replicants, and / or the plurality of downstream majory voters and / or the plurality of discriminator voters may be spatially separated. In practice one often deals with spatially distributed systems. For example, a plurality of
  • Replicants are located in different locations, but generate the same control signal per location. Even the majors voters or the discriminator voters can be separated. Now fall one of these "places" from, for example, be ⁇ sondere events such as power failures, natural disasters, etc., so still a gevotetes control signal can be provided at one or at different locations available. This is a local redundancy is generated because of the failure of a In addition, a failure of a discriminator voter or associated connections will have less of an impact on the system as they are located on the receiver or consumer failure unit.
  • An error message can be output if not all input signals to a majory voter are equal. As a result, an error localization can be achieved, which can lead to a check or replacement of a replicant. Furthermore, deviating inputs of a majory voter can be reliably blocked.
  • the entire system can be blocked if the
  • Discriminator voter receives no input signal from a majory voter or if the inputs of the
  • the downstream discriminator voter or the plurality of downstream discriminator voters can form a stand-alone configurable device.
  • the downstream discriminator voter or the plurality of downstream discriminator voters is integrated within an evaluation unit. This are out ⁇ evaluation unit and Diskriminatorvoter in the same unit failure.
  • Figure 2 System for controlling interlockings according to a second embodiment
  • Figure 3 System for controlling interlockings according to a third embodiment
  • Figure 4 system for controlling interlockings according to a fourth embodiment.
  • FIG. 1 shows a system S for controlling interlockings according to a first embodiment.
  • an original hardware device is illustrated H that is replicated multiple times, that is, a plurality of replicants Ria, RLB, Rlc, R2a, R2b, R2c gene ⁇ riert redundancy creation, the same control signal erzeu ⁇ gene in the trouble-free case as the original hardware device H.
  • the system S environmentally summarizes the plurality of replicants Ria, RLB, Rlc, R2a, R2b, R2c and an associated Voter Cook 1 generates the plurality of replicants Ria, RLB, Rlc, R2a, R2b, R2c Steuersigna ⁇ le, which are voted on the Voter réelle 1.
  • the signal for the control of interlockings can be used to convert a switch, to activate a track lock or, for example, a Schal ⁇ th a traffic light from red to green to ensure, with many other appropriate taxes in rail transport into consideration.
  • six replicants Ria, RLB, Rlc, R 2a, 2b, 2c are exemplary provided, any number of replicants Ria, RLB, Rlc, R 2a, 2b, R 2c can be seen ⁇ principle.
  • the plurality of replicants Ria, Rlb, Rlc, R2a, R2b, R2c are a plurality of
  • M ority voters M1, M2 connected i. the outputs of the plurality of replicants Ria, Rlb, Rlc, R2a, R2b, R2c are located at the inputs of the plurality of majors Vm, M2.
  • the outputs of the replicants Ria, Rlb, Rlc are purely exemplary at the inputs of Ml and the outputs of the replicants R2a, R2b, R2c at the inputs of M2.
  • the majors Ml, M2 form a majority vote for their output signal on the basis of their incoming signals, ie if a majority of the inputs have the same signal, this is output. If purely by way of example of Ria and Rlb a "high level” and of Rlc a "low level” is received, then there is a high level at the output of Ml. In the normal case, that is the interference-free case, the same control signals are present at the inputs, which are then output at the output by the master-level Ml. In the case of a deviation of an input signal, for example the replicant Rlc, this can additionally lead to an error message. Furthermore, deviating inputs of a majors voter can be reliably blocked.
  • the output signals of the Maj orticiansvoter Ml, M2 are thus already secured by redundancy control signals, that is voted control signals that are trustworthy.
  • redundancy control signals that is voted control signals that are trustworthy.
  • Ria, Rlb, Rlc, R2a, R2b, R2c it is also possible to use more than two majors Ml, M2, or more inputs per unit of magnitude Ml, M2.
  • the Maj orticiansvoter Ml, M2 example already two different control signals can TOLERIE ⁇ ren.
  • the outputs of the plurality of maj orticiansvoter Ml, M2 are inventively connected to the inputs of a discriminator Voters D, whose output signal represents the control signal for Steue ⁇ tion of interlockings. Only if the inputs of the Discriminator Voters D contradict each other, is of the
  • Discriminator voter D produces no output signal. This can advantageously be the departure of an upstream
  • Voter structure 1 and replicants Ria, Rlb, Rlc, R2a, R2b, R2c then advantageously form different precipitation units. This can advantageously be a targeted localization of a failure source. In addition, no longer needs to spe ⁇ cial hardware be drawn with integrated Vote units, but it may be the commercially usual computer hard ⁇ ware used.
  • the discriminator voter D acts like a
  • the entire system S can be blocked if the discriminator voter D of one
  • the downstream discriminator voter D can form a standalone configurable device. However, the downstream discriminator voter D can also be integrated within an evaluation unit, thus forming a failure unit with the evaluation unit.
  • the number of replicants Ria, Rlb, Rlc, R2a, R2b, R2c and the number of majors Ml, M2 is selected here only as an example, but the invention is not limited thereto. For example, more replicants Ria, Rlb,
  • FIGS. 2-4 only the differences from FIG. 1 or from one another are discussed.
  • FIG. 2 describes a system S for controlling interlocking systems according to a second embodiment.
  • two discriminator vectors D1, D2 are provided, the inputs of each
  • Discriminator voter Dl, D2 is selected here only as an example, but the invention is not limited thereto.
  • FIG. 3 describes a system for controlling interlockings according to a third embodiment. Often one deals with distributed systems. In comparison to FIGS. 1 and 2, therefore, two spatially or spatially separate replicants Ria, Rlb, Rlc or R2a, R2b, R2c are described by way of example. A plurality of replicants Ria, Rlb, Rlc are located at a location LI and another plurality of replicants R2a, R2b, R2c are located at another location L2, the location L2 being spatially separated from the location LI.
  • the downstream majors Ml, M2 may or may not be spatially separate from each other.
  • Discriminator voter is preferably located at a location L3, which is different from the location LI and the location L2. Should now be a "place" by special events such as weldingsaus ⁇ cases, natural disasters, etc., place LI, so can continue through the other place L2 on the replicas R2a, R2b, R2c with the maj orticiansvoter M2 a voted control signal on the are Diskriminatorvoter Davailablege ⁇ ben.
  • a geographical or OERTLI ⁇ che redundancy for spatially distributed systems with assurance ⁇ technical responsibility is produced in addition, a failure of a Diskriminatorvoters or associated compounds have before ⁇ part by way of a lower influence on the transmitter side Sys ⁇ tem.
  • the number of replicants Ria, Rlb, Rlc, R2a, R2b, R2c, the number of majors Ml, M2 and the number of locations LI, L2 is also only here however, the invention is not limited thereto For example, more replicants Ria, Rl b, Rlc, R2a, R2b, R2c and / or more majorsvv Ml, M2 are used.
  • several locations LI, L2 with corresponding replicants Ria, Rlb, Rlc, R2a, R2b, R2c per location LI, L2 can also be described in order to provide even more geographical or local redundancy.
  • FIG. 4 shows another system S for controlling
  • the discriminator voters D1, D2 are located at different locations L3, L4 in this embodiment.
  • the discriminator voter D1 is located at location L3 and the discriminator voter D2 is located at location L4 by way of example. This can cause a local failure at one of the locations L3 or L4 due to the local separation of
  • Discriminator voters Dl, D2 be tolerated. Thus, geographic or local redundancy can be generated for distributed systems with securing responsibility.
  • more than two discriminator rotors D1, D2 can be made available, which are located, for example, at more than two mutually different locations L3, L4.
  • the number of replicants Ria, Rlb, Rlc, R2a, R2b, R2c, the number of Maj lticiansvoter Ml, M2, the number of locations LI, L2 or L3, L4 and the number of discriminator Dl, D2 is also only exemplary here selected, the invention is per ⁇ but not limited thereto.
  • Discriminator Voters D, Dl, D2 outputs.
  • the discriminator voter D, Dl, D2 only outputs a control signal if Do not contradict the entrances. It can also be followed by several discriminator Vl, D2.
  • deviating majors Ml, M2 can be blocked.
  • the invention reduces the risk of default and thus increases the availability of the system S.
  • geographic or spatial redundancy can be achieved for locally distributed systems, so that a local failure of the system S can be tolerated.
  • the majority of replicants Ria, RLB, Rlc, R2a, R2b, R2c and Voterfigured 1 are separated hardwaretech- nisch each other, whereby the tasks are separated from each other ⁇ .
  • Voterfigured 1 and majority of replicants Ria, RLB, Rlc, R 2a, 2b, R 2c then form beneficial ⁇ way different default units. This allows beneficial ⁇ way more focused localization of a failure source successes gen. Moreover, no longer needs to specific hardware with inte ⁇ grated Vote units fall back, but it can commercially conventional computing hardware are used.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Ein System (S), insbesondere zur Steuerung von Stellwerken im Bahnverkehr, wird zur Verfügung gestellt, welches mindestens eine Mehrzahl von redundanten Replikanten (R1a, R1b, R1c, R2a, R2b, R2c) zur Erzeugung von redundanten Steuersignalen aufweist. Ferner wird eine Voterstruktur (1), die eine Mehrzahl von Majoritätsvotern (M1, M2) umfasst, zur Verfügung gestellt, wobei jeder Majoritätsvoter (M1, M2) Eingänge, die mit den Ausgängen der Mehrzahl der redundanten Replikanten (R1a, R1b, R1c, R2a, R2b, R2c) verbunden sind, sowie jeweils einen Ausgang aufweist. Erfindungsgemäß sind die Voterstruktur (1) und die Mehrzahl von redundanten Replikanten (R1a, R1b, R1c, R2a, R2b, R2c) hardwaretechnisch voneinander getrennt und die Ausgänge der Mehrzahl von Majoritätsvoter (M1, M2) mit den Eingängen eines Diskriminatorvoters (D) verbunden, wobei der Ausgang des Diskriminatorvoters (D) ein Steuersignal, insbesondere zur Steuerung von Stellwerken, zur Verfügung stellt. Der Diskriminatorvoter (D) gibt nur dann ein Steuersignal aus, wenn sich seine Eingänge nicht widersprechen.

Description

Beschreibung
System, insbesondere zur Steuerung von Stellwerken im Bahnverkehr
Die Erfindung betrifft ein System, insbesondere zur Steuerung von Stellwerken im Bahnverkehr.
Im Bahnverkehr müssen Steuersignale zur Steuerung von Stell- werken gewissen Sicherheitsanforderungen entsprechen. Dabei hat man es typischerweise mit verteilten Systemen zu tun, die jeweils Ausgaben bzw. Steuersignale erzeugen. Zur Erhöhung der Sicherheit werden dabei signalerzeugende Hardwareeinrich¬ tungen mehrfach repliziert, welche als sogenannte Replikanten bezeichnet werden. Die Ausgaben dieser sogenannten
Replikanten werden auf zentrale Voter gelenkt. Ein solcher Voter ist ein Entscheider, der aus einer gegebenen Anzahl redundanter Eingangsdaten die „richtigen" Ausgangsdaten erzeugt. Oftmals werden dazu Maj oritätsvoter verwendet, die durch einen Mehrheitsentscheid ein Ausgangssignal erzeugen. Die Ausgangssignale, sogenannte gevotete Signale, werden dem Verbraucher zur Verfügung gestellt. Solche gevoteten Signale sind vertrauenswürdig. Bei zentralen Votern existiert jedoch als Schwachpunkt der Voter an sich, denn wenn dieser Voter ausfällt, gibt es auch keine Weiterleitung von gevoteten Signalen zu den Verbrauchern. Bislang werden Voter den
Replikanten hardwaretechnisch zugeordnet und bilden mit diesen eine gemeinsame Ausfalleinheit. Dadurch fällt es nicht auf, dass es Voter gibt, denn das Voten wird als Eigenschaft der Geräte angesehen.
Die Aufgabe besteht darin, ein alternatives System insbeson¬ dere zur Steuerung von Stellwerken zur Verfügung zu stellen, das ein geringes Ausfallrisiko sowie eine hohe Verfügbarkeit aufweist.
Erfindungsgemäß wird ein System, insbesondere zur Steuerung von Stellwerken im Bahnverkehr, zur Verfügung gestellt, wel- ches mindestens eine Mehrzahl von redundanten Replikanten zur Erzeugung von redundanten Steuersignalen aufweist. Zusätzlich ist eine Voterstruktur vorgesehen, die eine Mehrzahl von Maj oritätsvotern umfasst, wobei jeder Maj oritätsvoter Eingän- ge, die mit den Ausgängen der Mehrzahl der redundanten
Replikanten verbunden sind, sowie jeweils einen Ausgang aufweist. Erfindungsgemäß ist die Voterstruktur und die Mehrzahl von redundanten Replikanten hardwaretechnisch voneinander getrennt und die Ausgänge der Mehrzahl von Maj oritätsvoter mit den Eingängen eines Diskriminatorvoters verbunden, wobei der Ausgang des Diskriminatorvoters ein Steuersignal, insbesonde¬ re zur Steuerung von Stellwerken zur Verfügung stellt. Der Diskriminatorvoter gibt kein Steuersignal aus, wenn sich seine Eingänge widersprechen.
Die Erfindung hat den Vorteil, dass sich die Mehrzahl der Replikanten und die Voterstruktur durch die hardwaretechnische Trennung in unterscheidbaren Ausfalleinheiten befinden, was die Lokalisierung von Fehlfunktionen bzw. Ausfällen ver- einfacht. Ferner werden die Aufgabengebiete dadurch voneinan¬ der getrennt. Zudem kann durch diese Trennung kommerziell üb¬ liche Rechenhardware verwendet werden und es muss nicht mehr auf spezielle Hardware mit integrierten Votereinheiten zu¬ rückgegriffen werden. Ferner kann vorteilhaft durch den
Diskriminatorvoter nur ein Steuersignal ausgegeben werden, wenn sich seine Eingänge nicht widersprechen, wodurch zudem das Abweichen eines vorgeschalteten Maj oritätsvoters festge¬ stellt werden kann. Da in der Vorstufe die Maj oritätsvoter bereits über Mehrheitsentscheid gevotete Steuersignale an den Diskriminatorvoter übergeben, wird somit eine zusätzliche
Sicherheitsstufe eingebracht, die die Wahrscheinlichkeit ei¬ ner fehlerhaften Signalübertragung verringert. Ein
Diskriminatorvoter hat ferner eine weniger komplexe und somit ausfallresistentere Hardware als ein Maj oritätsvoter, sodass die Ausfallwahrscheinlichkeit des erfindungsmäßen Systems verringert wird. Vorzugsweise agiert der Diskriminatorvoter als Durchschalter, wenn nur ein Eingangssignal anliegt. Dadurch kann ein Ausfall eines oder mehrerer Maj oritätsvoters kompensiert werden, so dass am Ausgang des Diskriminatorvoters weiterhin ein
gevotetes Steuersignal ausgegeben wird. Dadurch wird die Ver¬ fügbarkeit des Systems erhöht, denn ein Ausfall eines
Maj oritätsvoters führt dann nicht zu einem Gesamtausfall des Systems . Vorzugsweise wird eine Fehlermeldung ausgegeben, falls der Diskriminatorvoter von einem Maj oritätsvoter kein Eingangssignal erhält. Durch eine solche Überwachung kann der betref¬ fende Maj oritätsvoter entsprechend identifiziert und infolge überprüft bzw. ausgetauscht werden.
Vorteilhafterweise kann eine Mehrzahl von nachgeschalteten Diskriminatorvotern verwendet werden, wobei die Ausgänge der Mehrzahl von Maj oritätsvotern mit jedem Eingang jedes
Diskriminatorvoters verbunden sind, wobei an jedem Ausgang des jeweiligen Diskriminatorvoters ein Steuersignal, insbe¬ sondere zur Steuerung von Stellwerken, zur Verfügung gestellt wird. Hierdurch wird eine Redundanz hinsichtlich der
Diskriminatorvoter erzielt. Sollte ein Diskriminatorvoter ausfallen, so steht weiterhin ein Steuersignal am Ausgang der übrigen Diskriminatorvoter zur Verfügung. Zudem können die jeweiligen Steuersignale miteinander verglichen werden. Somit kann das System einen Ausfall bzw. eine Fehlfunktion eines Diskriminatorvoters tolerieren. Eine Mehrzahl von Replikanten kann räumlich von einer Mehrzahl von Replikanten getrennt sein und/oder die Mehrzahl von nachgeschalteten Maj oritätsvotern und/oder die Mehrzahl von Diskriminatorvotern können räumlich voneinander getrennt sein. In der Praxis hat man es häufig mit räumlich verteilten Systemen zu tun. Beispielsweise kann sich eine Mehrzahl von
Replikanten an verschiedenen Orten befinden, die aber pro Ort das gleiche Steuersignal generieren. Auch die Maj oritätsvoter oder die Diskriminatorvoter können voneinander getrennt sein. Fällt nun einer dieser „Orte" aus, beispielsweise durch be¬ sondere Ereignisse wie Versorgungsausfälle, Naturkatastrophen etc., so kann dennoch ein gevotetes Steuersignal an einem oder an verschiedenen Orten zur Verfügung gestellt werden. Dadurch wird eine örtliche Redundanz erzeugt, da der Ausfall eines Ortes oder mehrerer Orte toleriert werden kann. Ferner haben ein Ausfall eines Diskriminatorvoters oder zugeordnete Verbindungen einen geringeren Einfluss auf das System, da sie sich auf der Ausfalleinheit des Empfängers bzw. Verbrauchers befinden.
Eine Fehlermeldung kann ausgegeben werden, falls nicht alle Eingangssignale an einem Maj oritätsvoter gleich sind. Dadurch kann eine Fehlerlokalisierung erzielt werden, was zu einer Überprüfung bzw. Ersetzung eines Replikanten führen kann. Ferner können abweichende Eingänge eines Maj oritätsvoters verlässlich gesperrt werden.
Das gesamte System kann blockiert werden, falls der
Diskriminatorvoter von einem Maj oritätsvoter kein Eingangssignal erhält oder falls sich die Eingänge des
Diskriminatorvoters widersprechen. Dadurch kann eine sehr hohe Sicherheit erzielt werden. Der nachgeschaltete Diskriminatorvoter oder die Mehrzahl von nachgeschalteten Diskriminatorvotern können ein eigenständiges konfigurierbares Gerät bilden.
Bevorzugt ist der nachgeschaltete Diskriminatorvoter oder die Mehrzahl von nachgeschalteten Diskriminatorvotern innerhalb einer Auswerteeinheit integriert. Dadurch befinden sich Aus¬ werteeinheit und Diskriminatorvoter in derselben Ausfalleinheit. Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbei- spiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Es zeigen:
Figur 1 System zur Steuerung von Stellwerken nach einer ersten Ausführungsform,
Figur 2 System zur Steuerung von Stellwerken nach einer zweiten Ausführungsform, Figur 3 System zur Steuerung von Stellwerken nach einer dritten Ausführungsform und
Figur 4 System zur Steuerung von Stellwerken nach einer vierten Ausführungsform.
In der Figur 1 ist ein System S zur Steuerung von Stellwerken nach einer ersten Ausführungsform gezeigt. Dabei ist eine originale Hardwareeinrichtung H dargestellt, die mehrfach repliziert wird, d.h. es werden eine Mehrzahl von Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c zur Redundanzschaffung gene¬ riert, die im störfreien Fall das gleiche Steuersignal erzeu¬ gen wie die originale Hardwareeinrichtung H. Das System S um- fasst die Mehrzahl von Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c sowie eine zugeordnete Voterstruktur 1. Die Mehrzahl der Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c erzeugt Steuersigna¬ le, die über die Voterstruktur 1 gevotet werden. Als Hardwareeinrichtung H bzw. als Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c kommen dabei beispielsweise elektrische Schaltungen, logische Schaltungen, Prozessoren, Rechner, Steuergeräte etc. in Frage, wobei die Erfindung nicht auf diese Beispiele be¬ schränkt ist. Das Signal zur Steuerung von Stellwerken kann beispielsweise benutzt werden, um eine Weiche umzustellen, eine Gleissperre zu aktivieren oder beispielsweise ein Schal¬ ten einer Ampel von rot auf grün zu gewährleisten, wobei vie- le weitere zweckmäßige Besteuerungen im Bahnverkehr in Betracht kommen. In dieser Ausführungsform sind beispielhaft sechs Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c vorgesehen, wobei prinzipiell beliebig viele Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c vor¬ gesehen sein können. Die Mehrzahl von Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c sind mit einer Mehrzahl von
Maj oritätsvotern Ml, M2 verbunden, d.h. die Ausgänge der Mehrzahl von Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c liegen an den Eingängen der Mehrzahl von Maj oritätsvotern Ml, M2. In diesem Beispiel liegen die Ausgänge der Replikanten Ria, Rlb, Rlc rein beispielhaft an den Eingängen von Ml und die Ausgänge der Replikanten R2a, R2b, R2c an den Eingängen von M2.
Die Maj oritätsvoter Ml, M2 bilden für deren Ausgangssignal einen Mehrheitsentscheid auf Basis ihrer eingehenden Signale, d.h. weist eine Mehrheit der Eingänge dasselbe Signal auf, so wird dieses ausgegeben. Wenn rein beispielhaft von Ria und Rlb ein „High-Pegel" und von Rlc ein „Low-Pegel" eingeht, dann liegt am Ausgang von Ml ein High-Pegel an. Im Normalfall, das ist der störfreie Fall, liegen an den Eingängen die gleichen Steuersignale an, die dann vom Maj oritätsvoter Ml an seinem Ausgang ausgegeben werden. In dem Fall einer Abweichung eines Eingangssignals, z.B. des Replikanten Rlc, kann dies zusätzlich zu einer Fehlermeldung führen. Ferner können abweichende Eingänge eines Maj oritätsvoters verlässlich ge- sperrt werden. Die Ausgangssignale der Maj oritätsvoter Ml, M2 sind damit bereits durch Redundanz gesicherte Steuersignale, sprich gevotete Steuersignale, die vertrauenswürdig sind. Je nach Anzahl der Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c können auch mehr als zwei Maj oritätsvoter Ml, M2 eingesetzt wer- den, oder mehr Eingänge pro Maj oritätsvoter Ml, M2 vorgesehen werden. Bei fünf Eingängen können die Maj oritätsvoter Ml, M2 beispielhaft bereits zwei abweichende Steuersignale tolerie¬ ren . Die Ausgänge der Mehrzahl von Maj oritätsvoter Ml, M2 sind erfindungsgemäß mit den Eingängen eines Diskriminatorvoters D verbunden, dessen Ausgangssignal das Steuersignal zur Steue¬ rung von Stellwerken darstellt. Nur falls die Eingänge des Diskriminatorvoters D sich widersprechen, wird von dem
Diskriminatorvoter D kein Ausgangssignal erzeugt. Dadurch kann vorteilhaft das Abweichen eines vorgeschalteten
Maj oritätsvoters Ml, M2 festgestellt werden. Da in der Vor- stufe die Maj oritätsvoter Ml, M2 bereits über Mehrheitsent¬ scheid gevotete Steuersignale an den Diskriminatorvoter D übergeben werden, wird somit eine zusätzliche Sicherheitsstu¬ fe eingebracht, die die Wahrscheinlichkeit einer fehlerhaften Signalübertragung weiter verringert. Ein Diskriminatorvoter D hat zudem eine weniger komplexe und somit ausfallresistentere Hardware als ein Maj oritätsvoter Ml, M2, sodass die Ausfall¬ wahrscheinlichkeit des erfindungsmäßen Systems S verringert wird . Die Mehrzahl der Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c und die Voterstruktur 1 sind hardwaretechnisch voneinander getrennt, wodurch die Aufgabengebiete voneinander separiert sind. Voterstruktur 1 und Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c bilden dann vorteilhaft unterschiedliche Ausfallein- heiten. Dadurch kann vorteilhaft eine gezielte Lokalisierung einer Ausfallquelle erfolgen. Zudem muss nicht mehr auf spe¬ zielle Hardware mit integrierten Votereinheiten zurückgegriffen werden, sondern es kann kommerziell übliche Rechenhard¬ ware verwendet werden.
Falls nur ein Eingangssignal am Diskriminatorvoter D vorliegt, dann agiert der Diskriminatorvoter D wie ein
Durchschalter, d.h. er kann dennoch ein Steuerungssignal als Ausgangssignal erzeugen und zwar genau das Anliegende. Daher kann dieses System einen Ausfall eines Maj oritätvoters Ml, M2 tolerieren, was den Maj oritätsvoter Ml, M2 nicht mehr zu einer kritischen Komponente des Systems S macht.
In einer höheren Sicherheitsstufe kann das gesamte System S blockiert werden, falls der Diskriminatorvoter D von einem
Maj oritätsvoter Ml, M2 kein Eingangssignal erhält oder falls sich die Eingänge des Diskriminatorvoters D widersprechen. Der nachgeschaltete Diskriminatorvoter D kann ein eigenständiges konfigurierbares Gerät bilden. Der nachgeschaltete Diskriminatorvoter D kann aber auch innerhalb einer Auswerteeinheit integriert sein, womit er eine Ausfalleinheit mit der Auswerteeinheit bildet.
Die Anzahl der Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c und die Anzahl der Maj oritätsvoter Ml, M2 ist hier nur beispielhaft ausgewählt, die Erfindung ist jedoch nicht darauf be- schränkt. Beispielsweise können mehr Replikanten Ria, Rlb,
Rlc, R2a, R2b, R2c und/oder mehr Maj oritätsvoter Ml, M2 verwendet werden.
In den Figuren 2-4 wird jeweils nur auf die Unterschiede zu Figur 1 bzw. untereinander eingegangen.
In Figur 2 wird ein System S zur Steuerung von Stellwerken nach einer zweiten Ausführungsform beschrieben. Im Unterschied zu Figur 1 werden zwei Diskriminatorvoter Dl, D2 zur Verfügung gestellt, wobei die Eingänge jedes
Diskriminatorvoters Dl, D2 mit beiden Ausgängen der
Maj oritätsvoter Ml, M2 verbunden sind. Dadurch wird eine Redundanz der Diskriminatorvoter Dl, D2 geschaffen. Sollte ein Diskriminatorvoter, beispielsweise Dl, ausfallen, kann dann an dem Ausgang von D2 das gevotete Steuersignal weiterhin erhalten werden. Ferner ermöglicht diese Anordnung auch eine örtliche Trennung der Diskriminatorvoter Dl, D2, z.B. wenn zwei gevotete Signale an unterschiedlichen Orten zur Verfügung gestellt werden sollen. Es können auch mehr als zwei Diskriminatorvoter Dl, D2 zur Verfügung gestellt werden.
Die Anzahl der Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c, die Anzahl der Maj oritätsvoter Ml, M2 und die Anzahl der
Diskriminatorvoter Dl, D2 ist auch hier nur beispielhaft aus- gewählt, die Erfindung ist jedoch nicht darauf beschränkt. Beispielsweise können mehr Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c, mehr Maj oritätsvoter Ml, M2 und/oder mehr
Diskriminatorvoter Dl, D2 verwendet werden. In Figur 3 wird ein System zur Steuerung von Stellwerken nach einer dritten Ausführungsform beschrieben. Häufig hat man es mit verteilten Systemen zu tun. Im Vergleich zu den Figuren 1 und 2 werden daher beispielhaft zwei örtlich bzw. räumlich voneinander getrennte Replikanten Ria, Rlb, Rlc bzw. R2a, R2b, R2c beschrieben. Eine Mehrzahl von Replikanten Ria, Rlb, Rlc befindet sich an einem Ort LI und eine weitere Mehrzahl von Replikanten R2a, R2b, R2c befinden sich an einem weiteren Ort L2, wobei der Ort L2 räumlich vom Ort LI getrennt ist.
Die nachgeschalteten Maj oritätsvoter Ml, M2 können voneinander örtlich getrennt sein, müssen sie aber nicht. In der konkreten Ausführungsform befindet sich ein Maj oritätsvoter Ml am Ort LI und ein Maj oritätsvoter M2 am Ort L2. Der
Diskriminatorvoter befindet sich bevorzugt an einem Ort L3, der vom Ort LI und vom Ort L2 verschieden ist. Sollte nun durch besondere Ereignisse wie beispielsweise Versorgungsaus¬ fälle, Naturkatastrophen etc. ein „Ort" ausfallen, beispielsweise Ort LI, so kann weiterhin durch den anderen Ort L2 über die Replikanten R2a, R2b, R2c mit dem Maj oritätsvoter M2 ein gevotetes Steuersignal über den Diskriminatorvoter D ausgege¬ ben werden. Somit wird dadurch eine geographische bzw. örtli¬ che Redundanz für räumlich verteilte Systeme mit sicherungs¬ technischer Verantwortung erzeugt. Ferner haben ein Ausfall eines Diskriminatorvoters oder zugeordnete Verbindungen vor¬ teilhaft einen geringeren Einfluss auf das senderseitige Sys¬ tem, da sie sich auf der Ausfalleinheit des Empfängers bzw. Verbrauchers befinden. Die Anzahl der Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c, die Anzahl der Maj oritätsvoter Ml, M2 und die Anzahl der Orte LI, L2 ist auch hier nur beispielhaft ausgewählt, die Erfindung ist jedoch nicht darauf beschränkt. Beispielsweise können mehr Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c und/oder mehr Maj oritätsvoter Ml , M2 verwendet werden. Zudem können auch mehrere Orte LI, L2 mit entsprechenden Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c pro Ort LI, L2 beschrieben werden, um noch mehr geographische bzw. örtliche Redundanz zu schaffen. In Figur 4 wird ein weiteres System S zur Steuerung von
Stellwerken nach einer vierten Ausführungsform beschrieben. Im Unterschied zu Figur 3 werden zwei Diskriminatorvoter Dl, D2 zur Verfügung gestellt, wobei die Eingänge jedes
Diskriminatorvoters Dl, D2 mit beiden Ausgängen der
Maj oritätsvoter Ml, M2 verbunden sind. Dadurch wird eine Redundanz der Diskriminatorvoter Dl, D2 geschaffen. Sollte ein Diskriminatorvoter, beispielsweise Dl, ausfallen, dann kann an dem Ausgang von D2 das gevotete Steuersignal weiterhin erhalten werden. Die Diskriminatorvoter Dl, D2 befinden sich in diesem Ausführungsbeispiel an unterschiedlichen Orten L3, L4. Der Diskriminatorvoter Dl befindet sich beispielhaft am Ort L3 und der Diskriminatorvoter D2 befindet sich beispielhaft am Ort L4. Dadurch kann ein örtlicher Ausfall an einem der Orte L3 bzw. L4 durch die örtliche Trennung der
Diskriminatorvoter Dl, D2 toleriert werden. Somit kann eine geographische bzw. örtliche Redundanz für räumlich verteilte Systeme mit sicherungstechnischer Verantwortung generiert werden. Auch hier können mehr als zwei Diskriminatorvoter Dl, D2 zur Verfügung gestellt werden, die sich beispielsweise an mehr als zwei voneinander unterschiedlichen Orten L3, L4 befinden . Die Anzahl der Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c, die Anzahl der Maj oritätsvoter Ml, M2, die Anzahl der Orte LI, L2 bzw. L3, L4 und die Anzahl der Diskriminatorvoter Dl, D2 ist auch hier nur beispielhaft ausgewählt, die Erfindung ist je¬ doch nicht darauf beschränkt. Beispielsweise können mehr Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c, mehr
Maj oritätsvoter Ml, M2 und/oder mehr Diskriminatorvoter Dl, D2 verwendet werden.
Zusammengefasst wird ein System S zur Steuerung von Stellwer- ken beschrieben, das bereits durch Maj oritätsvoter Ml, M2 gevotete Steuersignale mittels eines nachgeschalteten
Diskriminatorvoters D, Dl, D2 ausgibt. Der Diskriminatorvoter D , Dl, D2 gibt dabei nur ein Steuersignal aus, wenn sich des- sen Eingänge nicht widersprechen. Es können auch mehrere Diskriminatorvoter Dl, D2 nachgeschaltet werden. Zudem können abweichende Maj oritätsvoter Ml, M2 blockiert werden. Die Erfindung reduziert das Ausfallrisiko und erhöht damit die Ver- fügbarkeit des Systems S. Zusätzlich kann für örtlich verteilte Systeme eine geographische bzw. räumliche Redundanz erzielt werden, sodass ein örtlicher Ausfall vom System S toleriert werden kann. Die Mehrheit von Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c und die Voterstruktur 1 sind hardwaretech- nisch voneinander getrennt, wodurch die Aufgabengebiete von¬ einander separiert sind. Voterstruktur 1 und Mehrheit von Replikanten Ria, Rlb, Rlc, R2a, R2b, R2c bilden dann vorteil¬ haft unterschiedliche Ausfalleinheiten. Dadurch kann vorteil¬ haft eine gezieltere Lokalisierung einer Ausfallquelle erfol- gen. Zudem muss nicht mehr auf spezielle Hardware mit inte¬ grierten Votereinheiten zurückgegriffen werden, sondern es kann kommerziell übliche Rechenhardware verwendet werden.
Obwohl die Erfindung im Detail durch bevorzugte Ausführungs- beispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. System (S) , insbesondere zur Steuerung von Stellwerken im
Bahnverkehr, umfassend:
- eine Mehrzahl von redundanten Replikanten (Ria, Rlb,
Rlc, R2a, R2b, R2c) zur Erzeugung von redundanten Steuersignalen;
- eine Voterstruktur (1) zur Ausgabe von Steuersignalen umfassend eine Mehrzahl von Maj oritätsvotern (Ml, M2), wobei jeder Maj oritätsvoter (Ml, M2) Eingänge, die mit den Ausgängen der Mehrzahl der redundanten Replikanten (Ria, Rlb, Rlc, R2a, R2b, R2c) verbunden sind, sowie je¬ weils einen Ausgang aufweist;
dadurch gekennzeichnet, dass die Voterstruktur (1) und die Mehrzahl der redundanten Replikanten (Ria, Rlb, Rlc, R2a,
R2b, R2c) hardwaretechnisch voneinander getrennt ausgebildet sind und die Ausgänge der Mehrzahl von Maj oritätsvotern (Ml, M2) mit den Eingängen eines Diskriminatorvoters (D) verbunden ausgebildet sind, wobei der Ausgang des Diskriminatorvoters (D) dazu ausgebildet ist, nur dann ein Steuersignal, insbe¬ sondere zur Steuerung von Stellwerken, zur Verfügung zu stellen, wenn sich die Signale an dessen Eingänge nicht widersprechen .
2. System (S) nach Anspruch 1, wobei der Diskriminatorvoter (D) dazu ausgebildet ist, als Durchschalter zu agieren, wenn nur ein Eingangssignal anliegt.
3. System (S) nach Anspruch 1 oder 2, wobei das System (S) dazu ausgebildet ist, eine Fehlermeldung auszugeben, falls der Diskriminatorvoter (D) von einem der Maj oritätsvoter (Ml, M2) kein Eingangssignal erhält.
4. System (S) nach einem der Ansprüche 1 oder 3, wobei das gesamte System (S) dazu ausgebildet ist zu blockieren, falls der Diskriminatorvoter (D) von einem Maj oritätsvoter (Ml, M2) kein Eingangssignal erhält oder falls sich die Eingänge des Diskriminatorvoters (D) widersprechen.
5. System (S) nach einem der vorherigen Ansprüche mit einer Mehrzahl von nachgeschalteten Diskriminatorvotern (Dl, D2), wobei die Ausgänge der Mehrzahl von Maj oritätsvotern (Ml, M2) mit jedem Eingang jedes Diskriminatorvoters (Dl, D2) verbun¬ den sind, wobei an jedem Ausgang des jeweiligen
Diskriminatorvoters (Dl, D2) ein Steuersignal, insbesondere zur Steuerung von Stellwerken, zur Verfügung gestellt wird.
6. System (S) nach einem der vorherigen Ansprüche, wobei eine Mehrzahl von Replikanten (Ria, Rlb, Rlc) räumlich von einer Mehrzahl von Replikanten (R2a, R2b, R2c) getrennt ist
und/oder die Mehrzahl von nachgeschalteten Maj oritätsvotern (Ml, M2) und/oder Diskriminatorvotern (Dl, D2) räumlich von- einander getrennt sind.
7. System (S) nach einem der vorherigen Ansprüche, wobei das System (S) dazu ausgebildet ist, eine Fehlermeldung auszuge¬ ben, falls nicht alle Eingangssignale an einem
Maj oritätsvoter (Ml, M2) gleich sind.
8. System (S) nach einem der vorherigen Ansprüche, wobei der nachgeschaltete Diskriminatorvoter (D) oder die Mehrzahl von nachgeschalteten Diskriminatorvotern (Dl, D2) ein eigenstän- diges konfigurierbares Gerät bilden.
9. System (S) nach einem der vorherigen Ansprüche, wobei der nachgeschaltete Diskriminatorvoter (D) oder die Mehrzahl von nachgeschalteten Diskriminatorvotern (Dl, D2) innerhalb einer Auswerteeinheit integriert sind.
PCT/EP2017/054863 2016-03-29 2017-03-02 System, insbesondere zur steuerung von stellwerken im bahnverkehr WO2017167537A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US16/088,859 US11161533B2 (en) 2016-03-29 2017-03-02 System, in particular for controlling signal towers in rail traffic
CN201780020084.7A CN109195855B (zh) 2016-03-29 2017-03-02 特别是用于控制铁路交通中的集控站的***
EP17710842.0A EP3411279A1 (de) 2016-03-29 2017-03-02 System, insbesondere zur steuerung von stellwerken im bahnverkehr

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016205119.9 2016-03-29
DE102016205119.9A DE102016205119A1 (de) 2016-03-29 2016-03-29 System zur Steuerung von Stellwerken im Bahnverkehr

Publications (1)

Publication Number Publication Date
WO2017167537A1 true WO2017167537A1 (de) 2017-10-05

Family

ID=58314163

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/054863 WO2017167537A1 (de) 2016-03-29 2017-03-02 System, insbesondere zur steuerung von stellwerken im bahnverkehr

Country Status (5)

Country Link
US (1) US11161533B2 (de)
EP (1) EP3411279A1 (de)
CN (1) CN109195855B (de)
DE (1) DE102016205119A1 (de)
WO (1) WO2017167537A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016205119A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft System zur Steuerung von Stellwerken im Bahnverkehr
JP7077644B2 (ja) 2018-02-09 2022-05-31 横河電機株式会社 制御システム、診断装置、診断方法、および診断プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120221889A1 (en) * 2011-02-24 2012-08-30 The Charles Stark Draper Laboratory, Inc. System and method for duplexed replicated computing
DE102013218814A1 (de) * 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Verfahren zum Betreiben eines sicherheitskritischen Systems
EP2884392A1 (de) * 2013-12-13 2015-06-17 Thales Fehlertolerante Rahmenarchitektur mit dreifacher Software-Redundanz

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0935198B1 (de) * 1998-02-05 2001-07-04 Siemens Schweiz AG (Siemens Suisse SA) (Siemens Svizzera SA) Siemens Switzerland Ltd) Verfahren zur sicheren Datenverarbeitung sowie ein Rechnersystem
KR100947791B1 (ko) * 2001-12-11 2010-03-15 콘티넨탈 테베스 아게 운트 코. 오하게 멀티-코어 중복 제어 컴퓨터 시스템, 모터 차량의 안전에 중요한 어플리케이션을 위한 컴퓨터 네트워크, 및 그 용도
DE102008012416A1 (de) * 2008-02-29 2009-09-10 Siemens Aktiengesellschaft Verfahren zur signaltechnischen Sicherung schienengebundener Fahrzeuge und diesbezügliches Sicherungssystem
CN101254790B (zh) * 2008-03-26 2010-12-22 北京和利时***工程有限公司 一种计算机联锁控制***
DE102010023891A1 (de) * 2010-06-11 2011-12-15 Siemens Aktiengesellschaft Verfahren und Einrichtung zum Erkennen einer fehlerhaften Darstellung von Bilddaten auf einer Anzeigeeinheit
WO2012130246A1 (en) 2011-03-30 2012-10-04 Vestas Wind Systems A/S Distributed fault-tolerant control and protection system
US8668170B2 (en) * 2011-06-27 2014-03-11 Thales Canada Inc. Railway signaling system with redundant controllers
DE102012211273A1 (de) * 2012-06-29 2014-01-02 Siemens Aktiengesellschaft Verfahren und Anordnung zum Steuern einer technischen Anlage
CN105279049A (zh) 2015-06-16 2016-01-27 康宇星科技(北京)有限公司 一种故障自主恢复三模冗余容错计算机ip核的设计方法
DE102016205122A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft Verfahren zum Austausch von Nachrichten zwischen sicherheitsrelevanten Vorrichtungen
DE102016205121A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft Verfahren zum Voting mit verketteten Signaturen
DE102016205119A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft System zur Steuerung von Stellwerken im Bahnverkehr
DE102016211286A1 (de) * 2016-06-23 2017-12-28 Siemens Aktiengesellschaft Verfahren zum synchronisierten Betrieb von Mehrkernprozessoren
DE102016215345A1 (de) * 2016-08-17 2018-02-22 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur redundanten Datenverarbeitung

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120221889A1 (en) * 2011-02-24 2012-08-30 The Charles Stark Draper Laboratory, Inc. System and method for duplexed replicated computing
DE102013218814A1 (de) * 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Verfahren zum Betreiben eines sicherheitskritischen Systems
EP2884392A1 (de) * 2013-12-13 2015-06-17 Thales Fehlertolerante Rahmenarchitektur mit dreifacher Software-Redundanz

Also Published As

Publication number Publication date
US20190106134A1 (en) 2019-04-11
CN109195855A (zh) 2019-01-11
US11161533B2 (en) 2021-11-02
CN109195855B (zh) 2021-07-16
DE102016205119A1 (de) 2017-10-05
EP3411279A1 (de) 2018-12-12

Similar Documents

Publication Publication Date Title
EP1374052B1 (de) Verfahren zum betrieb eines verteilten computersystems
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
WO2011120490A1 (de) Computersystem und verfahren zum vergleichen von ausgangssignalen
CH701344A1 (de) Stellwerksteuerung.
EP3411279A1 (de) System, insbesondere zur steuerung von stellwerken im bahnverkehr
EP1915688A1 (de) Verfahren und vorrichtung zur datenverarbeitung
EP3052369A1 (de) Verfahren und vorrichtung zur erhöhung der verfügbarkeit einer gleisfreimeldeanlage
WO2016049670A1 (de) Verteiltes echtzeitcomputersystem und zeitgesteuerte verteilereinheit
EP3110061A1 (de) Verteiltes echtzeitcomputersystem sowie verfahren zur erzwingung des fail-silent-verhaltens eines verteilten echtzeitcomputersystems
EP0846290A2 (de) Einrichtung zur einkanaligen übertragung von aus zwei datenquellen stammenden daten
DE102004033263B4 (de) Steuer-und Regeleinheit
DE1937259C3 (de) Selbstprüf ende Fehlererkennungsschaltung
DE102007009141B4 (de) Sicherheitsvorrichtung und Sicherheitsverfahren mit mehreren Verarbeitungsstufen
DE68919963T2 (de) Schutz gegen Verlust oder Verfälschung von Daten während der Umschaltung eines redundanten Systems.
EP4048574A1 (de) Auswertevorrichtung zur fehlertoleranten auswertung von sensorsignalen für ein motorsteuergerät einer kraftfahrzeuglenkung und kraftfahrzeuglenkung
DE2502764A1 (de) Steuervorrichtung
EP2940870B1 (de) Redundanzkonzept für analoge schaltungen und funktionen zur störungsunterdrückung
CH674689A5 (de)
DE69213609T2 (de) Kompakte und fehlertolerante Schnittstelle und deren Verwendung in einer Mehrheitsentscheidungsvorrichtung
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
DE3239434C1 (de) Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems
DE2146196B2 (de) Auswahlschaltung für eine dreikanalige redundante Vorrichtung
DE102020209363A1 (de) Verfahren und sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen
DE4100751A1 (de) Porterweiterungsanordnung
EP3703333A1 (de) Verfahren, vorrichtungen und computerprogramm zur verarbeitung wenigstens einer information in einer sicherheitstechnischen anlage

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 2017710842

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 2017710842

Country of ref document: EP

Effective date: 20180906

NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17710842

Country of ref document: EP

Kind code of ref document: A1