法律状态公告日
法律状态信息
法律状态
2023-03-03
未缴年费专利权终止 IPC(主分类):B61L19/06 专利号:ZL2007100885310 申请日:20070316 授权公告日:20111109
专利权的终止
2017-12-22
专利权人的姓名或者名称、地址的变更 IPC(主分类):B61L19/06 变更前: 变更后: 申请日:20070316
专利权人的姓名或者名称、地址的变更
2015-05-20
专利权的转移 IPC(主分类):B61L19/06 变更前: 变更后: 登记生效日:20150506 申请日:20070316
专利申请权、专利权的转移
2011-11-09
授权
授权
2009-04-22
实质审查的生效
实质审查的生效
2007-11-14
公开
公开
查看全部
技术领域
本发明涉及系统的控制系统,具体涉及通过多样化而得以安全的铁路系统,它包括:
-一组至少两个处理铁路系统命令的处理器,并行布置以在相应的输入端接收相同的输入数据E,
每个处理器能够接收两组不同的指令集,通过该两组指令集各该处理器可以计算并且在不同的输出端输出与同一输入数据E相关的相同的输出数据S(P1)、S(P2)、S(P3),
-具有至少两个输入端和一命令输出端的命令选择组件,,每个输入与处理器的输出端相连,根据预定条件命令选择组件能够发送自处理器的输出数据中选出的命令信号。
背景技术
铁路系统包括连接到平交道口系统的开关系统和给出道口护栏关闭的警告的系统。
出于安全的原因,铁路系统的控制系统可以具有不同的计算电路配置的处理分支的形式多样化。在相同的输入数据的基础上,每个处理分支执行相同的应用或应用算法,但使用不同的计算形式。
在每个分支都正确工作的情况下,每个分支发出相同的命令作为输出。
如果其中一个分支的电路失效就会生成不同的命令。
在多个分支同时失效的情况下,由于具有不同计算电路配置的分支间缺少故障相关,同样会产生不同的命令。当使用复杂算法时这种传统的结果更有优势。
从物理观点看,这种安全控制系统的一个公知简单实现,包括在每个分支提供相同架构的处理器。
在该公知实现中,每个处理器运行一组不同的指令或者对象程序,它们来源于依赖于不同的相关编译器的语言的不同源程序,每个不同的源程序仿真相同应用,该应用由相同的输入、相同的输出和相同的应用算法定义。
这种实现从物理观点看简单,但是从软件观点看依然复杂,需要依照所用不同语言或编译器的规模开发许多软件组件。
这种通过多样化达到安全目标的传统控制系统的问题是使用多种编译语言开发软件组件的复杂性。
因此,本发明的目标是提供一种通过多样化解决安全问题控制系统,其就软件组件开发而言需要少的负担。
发明内容
基于所述目标,本发明涉及通过多样化达到安全目标的铁路控制系统,其包括:
-一组至少两个处理铁路系统命令的处理器,并行布置以在相应的输入端接收相同的输入数据E,
每个处理器能够接收两组不同的指令集,通过该两组指令集各该处理器可以计算并且在不同的输出端输出与同一输入数据E相关的相同的输出数据S(P1)、S(P2)、S(P3),
-具有至少两个输入和一命令输出端的命令选择组件,每个输入端与处理器的输出端相连,根据预定条件准则,命令选择组件能够发送从处理器输出的数据中选出的命令信号,其特征为:
-与处理器相关的每个指令集可以在至少两个模块应用自动系统上运行,该模块应用自动系统对于所有指令集来说都是相同的,
-与处理器相关的每个指令集具体为模块应用自动系统以相关序列创建随后的赋活定序器(sequencer),
-而且其中每个定序器通过其特定的相关序列与其它定序器都不同。
根据特定实施例,该通过多样化达到安全目标的控制系统包括一个或多个如下特性:
-每个定序器具体根据运行模块应用自动系统的不同的循环序列赋活并排序模块应用自动系统,这些不同循环序列拥有相同的循环和不同的循环起始或路径方向,
-每个定序器具体根据运行模块应用自动系统的不同的循环序列赋活并排序模块应用自动系统,这些不同循环序列拥有在相同方向上的相同的循环路径,
-每个定序器具体根据不同的定序器序列赋活并排序模块应用自动系统,该不同的定序器序列由模块应用自动系统的局部序列的接序形成,这些局部序列被分组成分割该控制系统中的该组模块应用自动系统的子组,
-自动系统的子组对于所有处理器来说都是相同的,
-每个模块应用自动系统包括自动系统输入端和自动系统输出端,
当自动系统输入端能从控制系统接收输入数据的可变项时,其是外部自动系统输入端,
当自动系统输出端能从控制系统发送输出数据的可变项时,其是外部自动系统输出端,
当给定自动系统或者两个不同的自动系统的输入端和输出端能够互相连接且交换给定的内部可变数据项时,它们是内部的输入端和输出端,
自动系统的输入和输出数据的可变集形成控制系统的状态向量,
对于每个处理器,控制系统包括工作内存,包括:
-当运行自动系统序列时的起始状态寄存器,其包含自动系统序列运行前的状态变量集的值,
-当运行自动系统序列时的结束状态寄存器,其包含运行自动系统序列后获取的状态向量的状态变量集的值,
-对于每个处理器,在序列运行时,该处理器只能读取起始状态寄存器,且只能写入结束状态寄存器,
-对于每个处理器,当该序列运行后,序列的起始状态寄存器只能由出现在序列结束寄存器中的状态变量的值写入与更新。
每个处理器能够重复运行自动系统序列,直到至少两个相关的状态寄存器中的值一致为止。
-每个处理器包括:
包含一组处理器指令的程序数据库,该组处理器指令能被加载至处理器中,并且能以与处理器相关的定序器指定的序列运行应用自动系统的序列,
-每个程序数据库包括使用相同编译器得到的一指令集,
-命令选择组件是根据从所有处理器得到的输出数据的多数表决而做出决定的组件,该组件能够比较从每个处理器得到的各个输出,并且,基于预定的多数标准,在与该组处理器相关的多数基础上传送共同输出数据,以及
-命令选择组件在全体一致的基础上方式做出决定。
本发明还涉及通过多样化达到安全目的的控制系统,包括如下步骤:
-在至少两个处理器上加载从程序数据库得到的与之相关的不同指令集,
-通过各个输入端,为并行排列的处理器提供相同的输入数据,
-使每个处理器运行与之相关的不同指令集,这样其可以基于相同的输入数据E计算并在各自的输出端传送相同的输出数据,处理器运行指令集包括如下步骤:
-以特定序列运行至少两个模块应用自动系统,对于每个指令集来说模块应用自动系统都是相同的,该至少两个模块应用自动系统的运行序列与其它指令集的运行序列不同,
-运行该序列后提取得到的输出数据,
-将输出数据发送到命令选择组件,以及
-根据特定标准,从处理器中得到的输出数据中选出命令信号。
根据特定实施例,安全控制系统包括一个或多个如下特性:
-根据选择标准,对接收到的多个输出数据发出的命令进行验证或相应地禁止传输,和
-在禁止时,发出在至少一个处理器中存在故障的信号。
附图说明
通过以下仅为示例目的描述并参考附图能够更好的理解本发明,其中:
图1是通过多样化达到安全目标的控制系统的示意图,
图2A、2B、2C是图1中示出的程序数据库的第一实施例中各个框图,
图3A、3B、3C是与图2A、2B、2C中的各个程序数据库相关的各个序列,
图4A是与图2A、2B、2C中的各个自动系统相关的输入和输出的示意图,
图4B和4C是与任意工作内存中的序列起始寄存器和序列结束寄存器相关的状态向量数据结构的示意图,
图5是根据程序数据库的第一实施例多样化控制设备实现的控制过程的流程图,以及
图6A、6B、6C、6D、6E是程序数据库的第二实施例的序列。
具体实施方式
图1示出通过多样化达到安全目标的控制系统2,其包括三个计算或处理系统,每个系统分别包括第一处理器4或P1,第二处理器6或P2和第三处理器8或P3。
每个处理器4、6、8通过相关的输入10、12、14接收来自预定的铁路系统9的相同输入数据。
每个处理器4、6、8具体运行从相关的与之分别相连的程序数据库16、18、20中加载的计算程序或一组指令。
每个处理器4、6、8可以与相关的工作数据库22、24、26交换工作数据。
为每个处理器4、6、8提供了相关的输出28、30、32,在处理结束后能够给出输出数据S(P1)、S(P2)、S(P3)。
安全控制系统2还包括命令选择组件34,其在该实施例中包括三个输入36、38、40。每个输入36、38、40能够接收来自每个处理器4、6、8或(P1、P2、P3)的输出信号S(P1)、S(P2)、S(P3)。
命令选择组件34包括连接到命令接收终端44的输出42。
与每个处理器4、6、8相关的每个程序数据库16、18、20的第一实施例的结构内容分别示出在图2A、2B、2C中。
与第一处理器P1相关的第一程序数据库16包括自动系统的序列46、48、50、52或以第一序列A、B、C、D的序列排序的A、B、C、D以及第一定序器54或Seq1,其以该序列控制自动系统的排序。
与第二处理器P2相关的第二程序数据库18包括相同的自动系统,按照不同的第二序列50、52、46、48或C、D、A、B排序,还包括第二定序器56或Seq2,其以该序列控制自动系统。
与第三处理器P3相关的第三程序数据库20包括按照不同的第三序列D、C、B、A排序的自动系统A、B、C、D以及第三定序器58或Seq3,其以该序列控制自动系统。
只要是由相同的代码和相同的编译器生成的,每个程序数据库中相应的给定应用的自动系统都是相同的。
每个数据库中的所有自动系统都由使用相同的编译器生成。
由定序器Seq1、Seq2和Seq3实现的第一、第二和第三序列分别示出在图3A、3B、3C中。每个序列60、70、78从给定的包括序列起始64、72、80的循环62中形成,其在图3A中为A,在图3B中为C,在图3C中为D。该序列60、70、78以66、76、82所示方向运行,在图3A中为顺时针方向66,在图3B中为顺时针方向74,在图3C中为逆时针方向82。每个序列60、70、78分别从起始点64、72、80开始的路径结束于68、76、84的序列结束点中。
图4A展示了一组用于模块应用的自动系统。其中自动系统A模拟路线模型,自动系统B用于模拟平交道口模型,自动系统C模拟广播模型,自动系统D重现开关模型。
自动系统A在两个输入86、88接收来自铁路系统的两个输入信号E1、E2,在输出端90提供第一内部信号I1。
自动系统B有两个输入92、94,分别从铁路系统中接收第一内部信号I1和第一输入信号E1。自动系统B还具有输出96、98,其可以生成第二内部信号I2和第一外部输出信号S1。
自动系统C从两个输入100、102分别接收第二内部信号I2和第一外部输入信号E1。自动系统C在输出104传送第二外部输出信号S2。
自动系统D从两个输入106、108接收第一外部输入信号E1和第二外部输入信号E2。自动系统D在单一输出110传送第三外部输出信号S3。
其中第一外部输入信号E1是当前时间,第二外部输入信号E2指示铁路地点标记已经被越过。其中第一内部变量I1表示平交道口的预期穿越时间,第二内部变量I2表示计算出的广播命令时间。
第一外部输出信号S1是控制在平交道口降低护栏的命令,第二外部输出信号S2是广播平交道口关闭的命令,第三外部输出信号S3是开关命令。
与处理器(P1、P2、P3)相关的每个工作内存22、24、26包括序列起始状态寄存器112和序列结束状态寄存器113,其对处理器(P1、P2、P3)是共同的,分别示出在图4B和4C中。
图4B和4C中示出的每个寄存器由相应的状态向量表示。图4B中的序列起始寄存器112的状态向量包括七个内存位置114、116、118、120、122、124、126,被分成三个内存区域,第一区114、116可以在内存中存放两个外部输入E1、E2,第二区为I(Pi)(118、120)可以在内存中放两个内部变量I1(Pi),I2(Pi),第三区为S(Pi)(122、124、126)可以在内存中放外部输出数据S1(Pi)、S2(Pi)和S3(Pi)。
序列结束状态寄存器113包括类似于序列起始状态寄存器112中的状态向量114、116、118、120、122、124、126的结构130、132、134、136、138、140、142。
通过多样化达到安全目标的控制系统的操作显示在图5的流程图中,其由处理器P1、P2和P3实现。
在第一阶段144中,铁路系统以共同的方式给每个处理器P1、P2和P3发送相同的输入数据E,这样它们可以执行相应的处理过程146、148和150。在第一阶段152中,第一处理器P1初始化在图5中显示的状态向量V1-ds代表的序列起始状态寄存器112。然后根据与第一处理器P1对应的在图3A中展示的第一序列,它运行第一自动系统154,在此为A,然后是第二自动系统156,在此为B,然后是第三自动系统158,在此为C,然后是第四自动系统160,在此为D。
在序列结束时,从每个自动系统A、B、C、D处获得的输出数据在162形成与序列结束状态寄存器113相应的状态向量V1-fs。
在接着的测试阶段164中,序列起始状态寄存器V1-ds的状态向量与序列结束状态寄存器V1-fs进行比较。
如果状态向量V1-ds和V1-fs不同,在序列起始记录112被先前序列结束状态寄存器113中的状态向量V1-fs刷新后,第一序列A、B、C、D再次运行。如果在测试阶段164中的状态寄存器V1-ds与V1-fs相同,输出数据就在阶段170被提取。
第二处理器P2执行的处理过程148与第一处理器P1的处理过程类似,除了自动系统的序列不同。因此在处理过程开始时,任务172初始化序列起始状态寄存器,在此为V2-ds。但是,运行序列顺序不同,因为接着的是在图3B中展示的第二序列C、D、A、B。
测试176同样比较起始记录V2-ds中的状态向量和序列结束记录V2-fs,如果测试结果为否则刷新178序列起始记录。
如果测试结果为真,第二处理器处理的输出数据S(P2)在阶段180处被提取。
同样的,在第三处理器P3中的处理过程150与第一和第二处理器P1、P2中的处理过程类似,除了序列顺序不同。
阶段182同样执行初始化序列起始状态寄存器112。自动系统的运行序列是在图3C中展示的第三序列D、C、B、A。
同样的,从自动系统得到的输出数据S(P3)在阶段184提供给序列结束状态寄存器。执行类似的测试186比较序列起始状态寄存器112中的状态向量V3-ds和序列结束状态寄存器中的状态向量V3-fs。该序列被重复执行直到测试结果为真。
如果测试结果为否,在188序列结束状态寄存器刷新序列起始寄存器112。如果测试为真则在186第三处理器的输出数据S(P3)被提取,发送到命令选择组件34中。从每个处理器S(P1)、S(P2)、S(P3)得到的输出被发送到命令选择组件34中。在命令选择阶段192,每个处理器的输出值被比较。
如果输出的值都相同,输出命令C就等于得到验证的每个输出值S(P1)、S(P2)、S(P3),其在阶段194中被传输到铁路系统控制的接收终端44。
如果这些数据中有一个不一样,那么在阶段196给出在通过多样化达到安全目标的控制系统中的错误警告。
作为变型,所述程序数据库的第二实施例中的一组自动系统198、200、202、204、206、208、210、212、214、216形成的序列在图6A、6B、6C、6D和6E中进行描述。
在图6A中,这些自动系统用P、Q、R、S、T、U、V、W、X、Y、Z标识和指代。
自动系统组198、200、202、204、206、208、210、212、214、216被分成三个子组218、220、222或SG1、SG2、SG3,第一子组218或SG1包括自动系统P、Q、R,第二子组220或SG2包括自动系统S、T、V、W、第三子组222或SG3包括自动系统X、Y、Z。
图6B显示的子组序列224基于由序列SG1、SG2、SG3形成的子组循环226、序列起始228(在此为SG1)、路径方向230(在此为顺时针方向)子组232序列结束242(在此为SG3)进行描述。
图6C描述第一子组SG1序列240。第一子组240的序列由循环236形成,在此为P、Q、R,其中序列起始为238(在此为Q),运行方向为240(在此为顺时针方向),序列结束242是自动系统P。
图6D描述基于循环246的第二子组SG2序列244,循环246在此为S、T、V、W,此序列起始248是自动系统S,循环250以顺时针方向运行,序列结束252由自动系统W提供。
最后第三子组SG3基于循环256形成,其在此为X、Y、Z,序列起始258包括自动系统Z,循环260以方向260运行,在此为逆时针方向,序列结束262由自动系统X决定。由此得到的自动系统序列根据子组SG1、SG2、SG3的序列,通过连接局部序列234、244、254形成。
因此同该组图所描述的自动系统序列是Q、R、P、S、T、V、W、Z、Y、X。
因此,由不同的模块应用自动系统序列形成的不同指令集使得能够在拥有相同架构的每个处理器中使用不同的电路赋活序列,序列结合通用处理器架构定义。
因此获得的不同指令集,首先满足了铁路安全限制对控制系统上的多样化需求。
此外,处理这些不同指令集的过程容易得到实现,因为可以只使用一种软件开发平台。
实际上,使用简单编译器可以减少应用模块的开发,因为应用模块能够有利的从一个处理分支到另一个分支实现重用。
在替代的实施例中,以上描述的控制系统能够不加以重大修改而在飞行器或航天飞船的机载系统中使用,或在核设施中用于保护或紧急停止系统。
作为一种选择,以上描述的控制系统能在所有通过关键安全软件设计达到安全目标的系统中操作。
机译: 由预定的基本密钥制备的,用于使基本密钥多样化并认证该已多样化的密钥的过程及其实现系统
机译: 用于使基本密钥多样化并认证由此多样化的密钥的方法以及实现该系统的方法,该方法是从预定的基本密钥派生而来的
机译: 通过多样化确保系统安全的控制系统
