Verfahren zur Steuerung und Sicherung eines spurgeführten Transportsystems

Abstract

 Es wird ein Verfahren zur Steuerung und Sicherung des Betriebes eines spurgeführten Transportsystems mit Hilfe einer Datenverarbeitungsanlage angegeben, in der ein Modell aller im Transportsystem z.B. im Gleisnetz einer Eisenbahnanlage vorkommenden Zustände und Ereignisse in einer formalen Sprache gespeichert ist.
Typbezogene, dynamische Daten sind in Form von Petri-Netzen oder aus diesen abgeleiteten Netzen, exemplarbezogene, statische Daten (Gleisnetzdaten) in Form von Doppelpunktgraphen dargestellt. Ein erster Algorithmus berechnet vor Auslösung eines kontrollierbaren Ereignisses alle möglichen Folgezustände und unterbindet die Auslösung, wenn unter diesen ein unzulässiger Zustand ist. Ein weiterer Algorithmus tritt in Funktion, wenn ein normalerweise nicht anzunehmendes unzulässiges Ereignis (z.B. Schienenbruch) eintritt, und löst kontrollierbare Ereignisse aus, wenn diese die Zahl der infolge des unzulässigen Ereignisses zu erwartenden unzulässigen Zustände vermindern. Geschwindigkeitsbegriffe und verschiedene Fahrzeugmanöver werden in das o.g. Modell einbezogen.

Beschreibung

[0001] Die Erfindung betrifft ein Verfahren gemäß dem Oberbegriff des Patentanspruchs 1.

[0002] Ein solches Verfahren ist aus der Dissertationsschrift von M. Montigel "Modellierung und Gewährleistung von Abhängigkeiten in Eisenbahnsicherungsanlagen", vorgelegt 1994 an der Eidgenössischen Technischen Hochschule, Zürich (DISS.ETH Nr. 10776) bekannt.

[0003] Es soll die heute verwendeten Verfahren der Steuerung und Sicherung spurgeführter Transportsysteme, insbesondere der Eisenbahnnetze ersetzen und darüberhinaus die Planung und wirtschaftliche Nutzung solcher Transportsysteme auf eine völlig neue Art und Weise unterstützen.

[0004] Die heute verwendeten Lösungsarten zur Systemsteuerung und -Sicherung stützen sich auf Gleiselemente mit Nachbarbeziehungen, versehen mit Zuggeschwindigkeitsdaten, die zur Bildung einer Fahrstraße entweder über geographische Stromkreise miteinander verknüpft und anschließend gesichert werden, oder entsprechend einer vorbereiteten, die einzustellende Fahrstraße wiedergebenden Liste nacheinander auf ihren Belegungszustand und ihre aktuelle Einstellung hin geprüft und, ggf. nach Umstellung in eine vorgegebene Lage, gesichert werden.

[0005] Diese Lösungen sind unbefriedigend im Hinblick auf eine Behandlung des Systems mit formalen Methoden. Das Konstrukt Gleiselement, von dem es relativ viele Basistypen gibt, ist hierzu noch zu komplex.

[0006] Die o.g. Dissertation sieht deshalb die Darstellung des Gleisnetzes mit Hilfe von Doppelpunktgraphen vor, welche gegenüber einer Darstellung mit einfachen gerichteten Graphen den Vorteil hat, daß keine unnatürliche Auszeichung einer Fahrtrichtung erfolgt (was bei Gleisdreiecken und Wendeschleifen zu Problemen führt), und daß topologische Besonderheiten besser berücksichtigt werden können, beispielsweise Spitzkehren auf Weichen von vornherein nicht möglich sind, somit nicht extra ausgeschlossen werden müssen.

[0007] In der eingangs angegebenen Dissertation wird das System Eisenbahnsicherung als verteiltes diskretes Ereignissystem verstanden, das mit Hilfe formaler Sprachen als logisches Datenmodell wiedergegeben werden kann, wobei einzelne Datenbereiche wie eingangs angegeben repräsentiert sind.

[0008] Die dort vorgeschlagene Methode beruht auf nahen Abhängigkeiten und verzichtet zunächst auf die Formulierung von Sicherheitsbedingungen. Es wird ein Modell der Zustände und Ereignisse des Systems entwickelt, das die Formulierung von unzulässigen Zuständen und Ereignissen auf lokaler Basis erlaubt, d.h. es brauchen keine fernen Abhängigkeiten betrachtet zu werden. Die Anforderungen an das Sicherungssystem werden nicht direkt beschrieben, sondern das Verhalten des Systems inklusive der sich darin fortbewegenden Fahrzeuge wird als solches modelliert, wie wenn keine Sicherungsebene vorhanden wäre. Die in der Sicherheitsebene zu implementierenden Sicherheitsbedingungen ergeben sich dann als Konsequenzen der modellierten Systemeigenschaften.

[0009] Statt, wie sonst üblich, im Sicherungssystem die Sicherheitsbedingungen explizit zu implementieren, wird eine Repräsentation aller für die betriebliche Sicherheit für relevant gehaltenen Zustände und Ereignisse entwickelt, insbesondere auch solcher, die aus Sicherheitsgründen als unzulässig betrachtet werden. Die Ereignisse werden in kontrollierbare und unkontrollierbare aufgeteilt. Ein Ereignis heißt genau dann kontrollierbar, wenn in jedem beliebigen Systemzustand die Freiheit besteht, dieses am Eintreffen zu hindern, andernfalls heißt das Ereignis unkontrollierbar.

[0010] Zur Laufzeit enthält das Sicherungssystem stets ein Abbild aller Zustände des Gesamtsystems sowie die Regeln, wie aus dem aktuellen Zustand sämtliche Folgezustände berechnet werden können. Im weiteren ist ein Algorithmus (sog. Eunomischer Algorithmus) implementiert, der jedesmal, wenn ein kontrollierbares Ereignis ausgelöst werden soll, die Menge aller möglichen, durch Folgen von unkontrollierbaren Ereignissen hervorgerufenen Folgezustände berechnet und daraufhin untersucht, ob sie einen oder mehrere unzulässige Zustände enthält.

[0011] Um die große Anzahl Zustände platzsparend im System darstellen zu können, wurde eine verteilte Repräsentation mit Petri-Netzen gewählt. So können mit n binären Stellen oder Bedingungen 2ⁿ Zustände dargestellt werden. Der oben erwähnte Algorithmus, der die Zulässigkeit eines kontrollierbaren Ereignisses prüft, berechnet dann nicht wirklich die Menge der unkontrollierbar erreichbaren Folgezustände, da diese viel zu umfangreich wäre, sondern er klärt lediglich die Herleitbarkeit jeder einzelnen Stelle bzw. jedes einzelnen Ereignisses einzeln (nicht in Kombination) ab. Es kann gezeigt werden, daß jeder erreichbare Zustand bzw. jedes erreichbare Ereignis herleitbar im obigen Sinne ist, so daß kein unzulässiger Zustand erreicht werden kann, wenn die entsprechenden Stellen nicht herleitbar sind.

[0012] Der Entwicklungsprozess eines Sicherungssystems gestaltet sich bei dem in der Dissertation wiedergegebenen Verfahren wie folgt:

• Schrittweises Entwickeln eines formalen Modells der Sicherungsebene des Transportsystems auf der Ebene eines Systemtyps (z.B. System für ein bestimmtes Transportsystem oder eine bestimmte Bahnverwaltung) in Form eines Predicate/Transition-Netzes. Dieses Modell beschreibt die Zustände und Zustandsübergänge der Sicherungsebene und ist unabhängig von den zu sichernden Gleisnetzen. Wenn für dasselbe oder ein ähnliches Transportsystem bereits früher ein Modell erarbeitet wurde, können die dort definierten allgemeinen Systemeigenschaften für das neue Modell übernommen werden.
• Erstellen der Spezifikationen der zu sichernden Gleisnetze (Daten der Systemexemplare)
• Durchführen eines automatisierten sogenannten Entfaltungsprozesses mittels Entfaltungstools:
  • Syntax-, Typen- und Plausibilitätsprüfung des Typ-Modells
  • Vorbereitung des Typ-Modells für den eigentlichen Entfaltungsprozess
  • Erzeugung von symbolischen Schnittstellen für die von der Sicherungsebene abhängigen Ebenen (Steuerungsebene, Hardware-Interface-Ebene etc.)
  • Herstellen eines interpretier- oder ausführbaren formalen Modells für die Systemexemplare (eigentliche Entfaltung): Für jeden allgemein beschriebenen Zustand und Zustandsübergang im abstrakten Typmodell werden alle konkreten Instanzen gesucht, die sich aus den Exemplardaten ergeben. Resultat ist ein Condition/Event-Netz, daß das entsprechende Systemexemplar beschreibt. Jeder Knoten des Netzes besitzt einen eindeutigen Namen, der sich aus dem Namen des entsprechenden abstrakten Knotens und den Namen der konkreten Objekte des Gleisnetzes zusammensetzt, auf die er sich bezieht.
• Überprüfen des formalen Exemplar-Modells mit einem Laufzeitsystem für Condition/Event-Netze. Dieses System enthält eine Implementation des o.g. Eunomischen Algorithmus, der die Zulässigkeit von kontrollierbaren Ereignissen überwacht. In der o.g. Dissertation wurden die von der Sicherungsebene abhängigen Ebenen (Außenanlage, Steuerungsebene etc.) mit interaktiven Tools simuliert. Die Sicherungsebene kann sowohl auf hohem Abstraktionsniveau (Simulation von Zügen) wie auch auf dem Detailniveau (Betrachtung einzelner Knoten des Condition/Event-Netzes) simuliert werden.

[0013] Das in der o.g. Dissertation wiedergegebene Verfahren enthält noch kein Konzept für eine Fahrstraßenüberwachung und für verschiedene andere in Eisenbahnsteuerungssystemen heute übliche Steuerungskonzepte.

[0014] Es ist deshalb Aufgabe der Erfindung, eine Funktion in das bekannte Verfahren zu integrieren, die eine Überwachung eines zunächst für zulässig erachteten Fahrweges ermöglicht.

[0015] Diese Aufgabe wird durch die im Patentanspruch 1 angegebenen Merkmale gelöst.

[0016] Durch die Beachtung des Eintrittes sogenannter "normalerweise nicht anzunehmender Ereignisse", also Ereignissen wie z.B. Schienenbrüchen oder Verlieren der Endlage bei Weichen, deren Berücksichtigung von Anfang an jedes Fahren in einem Gleisnetz unzulässig machen würde, mit Hilfe des zusätzlichen, sogenannten revertierten eunomischen Algorithmus lassen sich gefährliche Folgen aus solchen Ereignissen in vielen Fällen vermeiden oder wenigstens in ihrer Eintrittswahrscheinlichkeit herabsetzen.

[0017] Weiterbildungen des Verfahrens nach der Erfindung sind in den Unteransprüchen angegeben und betreffen weitere einzubeziehende Steuerungskonzepte.

[0018] So betreffen die Ansprüche 2 und 3 den Einbezug des Geschwindigkeitsbegriffs in das Steuerungssystem, Anspruch 3 betrifft die Behandlung von Zugoperationen und die Interpretation von Abschnittsbelegungen.

[0019] Anspruch 4 betrifft die Darstellung von Transporteinheiten mit Hilfe von Folgen von belegten Gleisabschnitten.

[0020] Gegenstand des Anspruchs 5, schließlich, sind der Einsatz neuer Transporteinheiten und die Erfassung von Zugtrennungen mittels Belegung und Freimeldungen von Gleisabschnitten.

[0021] Nachfolgend soll das Verfahren nach der Erfindung anhand von Ausführungsbeispielen und mit Hilfe von vier Figuren eingehend beschrieben werden.

[0022] Die Figuren zeigen:

Fig. 1 -

den Aufbau der verwendeten Datenverarbeitungsanalge,

Fig. 2 -

schematisch einen Überblick über die Erstellung der Sicherungsebene,

Fig. 3 -

die Bewegung der Spitze eines Zuges in einem mit Doppelpunktgraphen dargestellten Gleisnetz,

Fig. 4 -

eine schematische Darstellung der Systemreaktion bei Eintritt eines unkontrollierbaren, normalerweise nicht anzunehmenden Ereignisses.

[0023] In Fig. 1 ist der Aufbau der Datenverarbeitungsanlage mit deren Hilfe das Verfahren nach der Erfindung ausgeführt wird, dargestellt. Die Figur zeigt zwei Ebenen, die - getrennt voneinander - der Steuerung bzw. der Sicherung des die Außenanlage bildenden Gleisnetzes einschließlich der vorhandenen Weichen, Signale, Freimeldeeinrichtungen und der das Gleisnetz benutzenden Züge dienen. Die wesentlichen Funktionen der Sicherungsebene und der Steuerungsebene sind in der Figur wiedergegeben.

[0024] Fig. 2 gibt einen Überblick über die Erstellung der Daten für die Sicherungsebene. Wie aus der Figur ersichtlich, wird zunächst ein allgemeines Petri-Netz z.B. ein Predicate/Transition-Netz, das eine formale Spezifikation des Systemtyps enthält, aus den über das Netz verfügbaren Informationen erstellt und auf Konsistenz und richtige Syntax hin geprüft. Es wird dann, zusammen mit den speziellen Gleistopologiedaten, die z.B. in Form von Doppelpunktgraphen vorliegen können, mit Hilfe eines geeigneten Entfaltungswerkzeuges entfaltet, wodurch ein spezielles Petri-Netz, z.B. ein Condition/Event-Netz entsteht, das die Daten für die Sicherungsebene enthält und in dem als Laufzeitsystem ein Algorithmus (sog. eunomischer Algorithmus) anwendbar ist, der vor kontrollierbaren Ereignissen alle durch diese möglich werdenden Netzveränderungen auf ihre Zulässigkeit hin untersucht und bei zu erwartenden unzulässigen Ereignissen die Auslösung des kontrollierbaren Ereignisses verhindert.

[0025] Die anschließenden Ausführungsbeispiele beschreiben konkret die Erstellung der Sicherungsebene und die Anwendung des sogenannten revertierten eunomischen Algorithmus.

Beispiel:

[0026] In dem in Bild 4 dargestellten Beispiel verliert die Weiche ihre definierte Endlage (unkontrollierbares, aber normalerweise nicht anzunehmendes Ereignis). Dadurch droht ein Zustand, in dem die Zugspitze des herannahenden Zugs sich auf einer Weiche befindet, die keine definierte Endlage besitzt (edg_crash). Um dies zu verhindern, wird der obige Algorithmus gestartet. Er untersucht die Vorgängermenge des Ereignisses "edg_crash" und findet die Notfallabhängigkeit "reset_signal--head". Anschließend wird das Ereignis "reset_signal ausgelöst, das das Hauptsignal auf Halt wirft.

Ansprüche

1. Verfahren zur Steuerung und Sicherung des Betriebes eines beliebig gestalteten spurgeführten Transportsystems mit Hilfe einer Datenverarbeitungsanlage, in der ein Modell aller im Transportsystem vorkommender Zustände und Ereignisse in einer formalen Sprache gespeichert ist, derart, daß sich aufgrund eintreffender Ereignisse ändernde (dynamische) Daten, sofern sie gleisnetzunabhängig einem Gleiselementtyp zugeordnet werden können, in Form von Petri-Netzen hoher Abstraktionsstufe, sofern sie im Gleisnetz konkret vorhandenen Gleiselementen zugeordnet werden können, in Form von aus diesen Petri-Netzen abgeleiteten Netzen, und für jeden Systemzustand geltende (statische) Daten, sofern sie gleisnetzunabhängig einem Gleiselementtyp zugeordnet werden können, in Form von Prädikaten oder Invarianten, sofern sie im Gleisnetz konkret vorhandenen Gleiselementen zugeordnet werden können, in Form von Topographieelementdaten repräsentiert sind, und in der ein Algorithmus zur Verfügung steht, der vor Auslösung eines kontrollierbaren Ereignisses aus dem aktuellen Zustand des Systems alle möglichen Folgezustände berechnet und die Auslösung verhindert, wenn unter den berechneten Folgezuständen ein oder mehrere unzulässige Zustände gefunden werden, dadurch gekennzeichnet, daß ein unkontrollierbares Ereignis, mit dessen Eintreffen nicht von vornherein gerechnet werden kann, als normalerweise nicht anzunehmendes Ereignis definiert wird, und daß während der Prüfung der Zulässigkeit eines kontrollierbaren Ereignisses nicht angenommen wird, daß ein normalerweise nicht anzunehmendes Ereignis eintrifft, daß ein zusätzlicher Algorithmus gestartet wird, wenn nach Feststellung der Zulässigkeit des kontrollierbaren Ereignisses ein normalerweise nicht anzunehmendes Ereignis eintritt, daß mittels des zusätzlichen Algorithmus, ausgehend von dem durch das Eintreten dieses Ereignisses erzeugten aktuellen Systemzustand, die Menge sämtlicher durch Folgen von unkontrollierbaren Ereignissen erreichbarer Zustände dahingehend untersucht wird, ob sich ein als unzulässig bezeichneter Zustand darunter befindet oder die Vorbedingungen für das Eintreffen eines als unzulässig bezeichneten Ereignisses erfüllt sind, und daß, wenn dies zutrifft, die Menge aller oder für diesen Fall besonders bezeichneter kontrollierbarer Ereignisse daraufhin untersucht wird, ob durch ihr Auslösen der Systemzustand so verändert werden kann, daß die Menge der zuvor berechneten, erreichbaren unzulässigen Zustände oder als unzulässig bezeichneten Ereignisse verkleinert wird, und daß, wenn dies der Fall ist, die entsprechenden kontrollierbaren Ereignisse ausgelöst werden.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß den den im Gleisnetz konkret vorhandenen Gleiselementen zugeordneten Topographieelementdaten Geschwindigkeitsdaten in Form von Datentupeln zugeordnet werden, die neben gültigen Maximalgeschwindigkeiten auch Daten enthalten, aus denen eine bei maximalem Bremseinsatz erreichbare Verzögerung entnehmbar ist, daß die an einem Gleiselement gültigen Geschwindigkeiten, sofern sie nicht neu vorgegeben werden, rekursiv oder iterativ aus Daten berechnet werden, die dem in der jeweiligen Fahrtrichtung vorher zu befahrenden Gleiselement zugeordnet sind, und daß die berechneten Geschwindigkeitsdaten für die Festlegung der im System geltenden Maximalgeschwindigkeiten verwendet werden.

3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß die den Gleiselementen zugeordneten Topographieelementdaten die Form von Doppelpunktgraphen besitzen und die die Geschwindigkeitsdaten enthaltenden Datentupel den Punkten oder Kanten dieser Doppelpunktgraphen zugeordnet sind.

4. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß Gleisabschnitte des Gleisnetzes mit Gleisfreimeldeeinrichtungen ausgestattet sind, daß eine zusammenhängende Folge belegter Abschnitte als sich im Gleisnetz fortbewegende Transporteinheit interpretiert und aus der Reihenfolge der neuen Belegungen oder Freimeldungen die Fahrtrichtung geschlossen wird und daß eine einzelne fehlerhafte Freimeldung die angenommene Ausdehnung der Transporteinheit nicht verändert.

5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß eine einzelne Belegung eines Abschnittes bei gültiger Freimeldung aller benachbarten Abschnitte als neue Transporteinheit mit zunächst zwei Spitzen und keinem Schluß interpretiert wird, daß die Belegung eines in Fahrtrichtung gesehen hinter dem Schluß einer vorhandenen Transporteinheit liegenden Abschnittes als Änderung der Fahrtrichtung der Transporteinheit oder als sich nach rückwärts in Bewegung setzender, abgetrennter Teil der Transporteinheit interpretiert wird und daß in beiden Fällen der ursprüngliche Schluß der Transporteinheit im Systemmodell in eine Spitze umgewandelt wird.

Zeichnung