Nothing Special   »   [go: up one dir, main page]

EP0473834B1 - Electronic interlocking control system, set up according to the local processor control principle - Google Patents

Electronic interlocking control system, set up according to the local processor control principle Download PDF

Info

Publication number
EP0473834B1
EP0473834B1 EP19900117294 EP90117294A EP0473834B1 EP 0473834 B1 EP0473834 B1 EP 0473834B1 EP 19900117294 EP19900117294 EP 19900117294 EP 90117294 A EP90117294 A EP 90117294A EP 0473834 B1 EP0473834 B1 EP 0473834B1
Authority
EP
European Patent Office
Prior art keywords
interlock
messages
processor
message
processors
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
EP19900117294
Other languages
German (de)
French (fr)
Other versions
EP0473834A1 (en
Inventor
Heinrich Dipl.-Ing. Köhnecke
Bernd Jung
Werner Kirchner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to DE59006247T priority Critical patent/DE59006247D1/en
Priority to EP19900117294 priority patent/EP0473834B1/en
Publication of EP0473834A1 publication Critical patent/EP0473834A1/en
Application granted granted Critical
Publication of EP0473834B1 publication Critical patent/EP0473834B1/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation

Definitions

  • the invention relates to a device according to the preamble of claim 1.
  • a device is known from Signal and Wire 81 (1989) 5, pages 95 to 102.
  • the object of the invention is to provide a device according to the preamble of claim 1, which is flexible in terms of its redundancy design. Any malfunctions in the transmission of commands and messages should be recognized as quickly as possible when they occur and should enable the controlling area computer to react immediately and appropriately to the malfunction that has occurred.
  • the invention solves this problem by the characterizing features of claim 1.
  • the continuous reading of messages into the control computer in connection with the transmission of message releases allows faulty messages to be recognized immediately; reading the messages into two control computers allows the messages transmitted via the other channel to be evaluated in the event of a fault in one transmission channel, without requiring any noteworthy additional effort for switching the messages.
  • the command route to the output switching means for the guideway elements is monitored by monitoring messages for the correct output of the commands. Only where redundant control of a process element is actually required are redundant control computer parts provided for the command output to the route elements.
  • Claim 2 denotes the representation of the messages and the associated message releases and their transmission to the control computer and the assignment of the messages to the releases.
  • the area computer individually selects those message bits that were received without interference from the message bytes transmitted by two control computers. The overall message evaluation is only disrupted if the corresponding message bits are disrupted in both message bytes.
  • Claim 4 specifies how the area computer derives the original messages from the messages and releases transmitted to it.
  • Claim 5 includes the configuration of the device according to the invention with non-redundant control of a process element and claim 6 of its configuration with redundant control.
  • Claim 7 designates the means for blocking an actuating computer as required, via which proper access to a process element to be controlled is no longer provided.
  • Figure 1 shows schematically an area computer BR together with two control computers STR1 and STR2 for controlling a light signal S and other process elements of an interlocking, not shown in the drawing.
  • the area calculator and the two control computers represent only a small section of the control elements of an interlocking.
  • the light signal is shown in Command direction controlled in a non-redundant manner exclusively via the control computer STR2. Redundancy is not necessary because if the signal cannot be controlled via the control computer, the signal goes to a stop (safe state) and because this signal can be passed by turning on the beacon or by written command. The disruption that occurs does not in principle make the adjacent section of the route impassable; Redundancy is therefore not absolutely necessary.
  • the light signal is controlled via assigned actuators K2.1 and K2.2; K2.1 essentially contains the output gates of the control computer STR2 for the light signal, K2.2 essentially the adaptations for converting control instructions originating from the associated control computer into connection orders for the power switching means of the light signal.
  • Monitoring messages Ü2 for identifying the respective switching state of the power switching means in the external control element are transmitted via the control computer STR2 to the area computer, which is then able to monitor the correct operation of the control elements.
  • Both control computers independently check the transmitted messages for proper receipt and transmit them separately to the controller Area calculator BR. In doing so, they provide messages M1 and M2 with message releases F1 and F2, respectively, which indicate to the area computer whether the associated messages have been properly received or not. On the basis of the message releases sent to it, the area computer decides which of the two-channel messages sent to it are to be recognized as correct and which are not. If there are messages on both message channels, each with a message release that characterizes the proper receipt of messages, these are read into one or the other processing channel of the area computer; If a message is only present on one message channel and has a positive message release, it is read into both processing channels of the area computer.
  • Each message preferably consists of a bit of one or a different value and in the control computers, message bytes for transmission to the associated area computer are formed from the messages, possibly also from the messages of several controlled process elements.
  • Each control computer generates an enable bit with the value L if the signal bit is received undisturbed, and an enable bit with the value O if the message bit is disrupted. These bits are transferred to the area computer together with the associated message byte as a message enable byte.
  • the area computer individually selects from the messages transmitted to it byte by byte by both control computers those bits to which message releases with the value L are assigned and discards all messages that are not provided with message releases of this value.
  • FIG. 2 includes the use of the invention in the control of a guideway element for which redundancy is required both in the message and in the command direction.
  • This switch must remain controllable, even if it can no longer be controlled by a control computer normally responsible for it. For that then failed control computer jumps in, another control computer provided for this purpose, which has always been supplied with the status messages from the switch. It is assumed that the switch W is usually controlled via the control computer STR1.
  • the area computer BR supplies the control computer STR1 with appropriate commands K1.
  • These commands are transmitted via a computer-internal control part K1.1 to a computer-external control part K1.2, in which the commands are converted into switching orders for power switching devices for controlling the point machine A.
  • the drive is supplied with power in a known manner, for example via four-wire lines from the computer-external control part K1.2.
  • This control unit transmits monitoring messages Ü1 about the switching position of its power switching means to the control computer STR1, which either forwards these monitoring messages to the area computer BR or compares them beforehand with the command commands pending and forwards the comparison results to the area computer.
  • the area computer recognizes from the monitoring messages whether the commands initiated by it are carried out or not.
  • control computer STR1 He only tries to access drive A via the control computer STR1, as long as the control computer sends him the corresponding monitoring messages about the correct output of commands. If these monitoring messages fail to appear, or if they show that proper command output is no longer possible, the control computer STR1 locks the command parts assigned to it against further exposure and informs the area computer of this. This then causes the drive to be controlled via the control computer STR2. For this purpose, it supplies the control computer with the corresponding commands K2, which are output to the drive via computer-internal and external control components K2.1 and K2.2.
  • constant monitoring of the command path up to the control part K2.2 external to the computer is provided, with corresponding monitoring messages U2 being sent to the control computer STR2 and from there directly or in processed form to the area computer.
  • the operating status messages of the switch are fed to the message parts M1.1 and M2.1 of the two control computers STR1 and STR2. There they are provided with message releases F1 and F2 and transmitted to the area computer BR.
  • the area computer selects from the messages transmitted to it by the two control computers those with message releases for the correct receipt of the messages.
  • the process element to be controlled is accessed either via the control computer STR1 or the control computer STR2.
  • process elements that can be accessed simultaneously without interruption from two control computers. This happens, for example, with level crossing protection systems that are designed so that the failure of the control system automatically leads to the lowering of the barrier booms.
  • the barriers can be controlled simultaneously from both computers via two parallel connection circuits, one of which remains effective if one fails.
  • Switch-on of a point heater can also be initiated simultaneously via two control computers. Things are different when it comes to controlling a point machine; here, two actuators must not act on the drive at the same time, otherwise there is a risk that both actuators, e.g. due to different switching times of your computer-external actuators could temporarily use the drive in both directions at the same time. This could result in permanent damage to the actuator control circuit and thus to a total failure of the actuator; however, this should be avoided by keeping redundant control parts available.
  • FIG. 3 shows a diagram according to which the area computer selects the original messages from the messages and message releases transmitted to it by the individual signaling computer pairs without the value of individual message bits having to be corrected. It is assumed that the two control computers the area computer two message bytes M1 and M2 and two message release bytes F1 and F2 have transmitted. It is also assumed that the fourth message bit of the message byte M1 and the third message bit of the message byte M2 are documented by the message enable byte F1 as incorrectly received by the message enable byte F2. The area computer first links the message and message enable bytes transmitted to it according to an AND condition. The original message byte is not yet recognizable from the respective result of the AND operation.
  • the area computer therefore inverts the message enable byte of one computer, eg message byte M1, and thus knows the bit position at which the message byte of the other computer must be accessed. In the example, this is the case at the fourth position of message byte M1.
  • the actual value of this bit in the example "O" can be determined for the corrupted bit of the first message byte M1; all other bits of the AND link must be zero because of the inversion of the bits of the message enable byte F1 indicating the correct receipt of messages.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)

Description

Die Erfindung bezieht sich auf eine Einrichtung nach dem Oberbegriff des Patentanspruches 1. Eine derartige Einrichtung ist aus Signal und Draht 81 (1989) 5, Seiten 95 bis 102 bekannt.The invention relates to a device according to the preamble of claim 1. Such a device is known from Signal and Wire 81 (1989) 5, pages 95 to 102.

Dort wird über die Steuerung und Überwachung der Fahrwegelemente eines elektronischen Stellwerkes mit Hilfe von Stellrechnern (Fahrwegelementrechner) berichtet, über die sowohl die Kommandoausgabe als auch der Meldungsempfang abgewickelt werden. Für alle Einrichtungen, die der Steuerung und Überwachung von mehr als einem Fahrwegelement dienen, ist Redundanz vorgesehen, d. h. diese Einrichtungen sind verdoppelt. Dies gilt insbesondere für die Stellrechner und für die Anpassungen zur Außenanlage. Wegen der Bereitstellung von jeweils zwei Stellrechnern wird eine sehr viel größere Anzahl von Stellrechnern benötigt als bei einem Stellwerk ohne Stellrechnerredundanz. Dies bedingt einen sehr hohen gerätetechnischen Aufwand, allerdings mit dem Vorteil einer hohen Verfügbarkeit der Anlage. Werden von bestimmten Fahrwegelementrechnern nur Fahrwegelemente in Nebengleisen gesteuert, so kann auf eine redundante Rechnerausführung verzichtet werden (Signal und Draht 78 (1986) 9, Seiten 175 bis 184, insbesondere Seite 183). Hier ist zwar der Geräteaufwand minimiert; dafür ist jedoch auch keinerlei Redundanz vorhanden.It reports on the control and monitoring of the route elements of an electronic signal box with the help of positioning computers (route element computers), via which both the command output and the receipt of messages are processed. Redundancy is provided for all devices that serve to control and monitor more than one guideway element. H. these facilities are doubled. This applies in particular to the control computer and to the adjustments to the outdoor area. Because two signaling computers are provided, a much larger number of signaling computers is required than in a signal box without signal processor redundancy. This requires a very high level of technical equipment, but with the advantage of high system availability. If only route elements in side tracks are controlled by certain route element computers, a redundant computer version can be dispensed with (Signal und Draht 78 (1986) 9, pages 175 to 184, in particular page 183). Here, the device effort is minimized; however, there is no redundancy for this.

Bezüglich der Bereitstellung von Redundanz ist bei der bekannten Einrichtung von Nachteil, daß die Fahrwegelemente abhängig davon, ob der eine oder der andere zugehörige Stellrechner betriebsführend ist, eingangsseitig mit dem Ausgang des einen oder den des anderen Stellrechners zu verbinden sind; dies muß rückwirkungsfrei geschehen und erfolgt über Ausschlußschaltmittel. Außerdem ist von Nachteil, daß der bisher inaktive Stellrechner erst nach dem Umschalten Kenntnis erhält von den IST-Zuständen der jeweils angeschlossenen Fahrwegelemente. Dies verzögert die Prozeßsteuerung unnötig. Ein weiterer Nachteil der bekannten Einrichtung ist darin zu sehen, daß mindestens die Rückmeldung der Betriebszustände an die Stellrechner nur einkanalig erfolgt. Zwar lassen sich bei geeigneten Sicherungsverfahren Datenverfälschungen auf dem Übertragungsweg von den Fahrwegelementen zu einem betriebsführenden Stellrechner erkennen und unwirksam machen; dies verlangt aber bei jeder Übertragungsstörung eine erneute Übertragung der Meldung, um die Prozeßsteuerung fortzusetzen. Auch dies führt insgesamt zu einer Verlangsamung des Prozesses.With regard to the provision of redundancy, it is disadvantageous in the known device that the guideway elements are to be connected on the input side to the output of one or the other control computer, depending on whether one or the other associated control computer is operating; this must be done without retroactive effect and takes place via exclusion switching means. It is also disadvantageous that so far inactive control computer only after the switchover is informed of the actual status of the connected track elements. This unnecessarily delays process control. Another disadvantage of the known device can be seen in the fact that at least the feedback of the operating states to the control computer takes place only in one channel. With suitable security procedures, data falsifications can be detected and rendered ineffective on the transmission path from the route elements to an operational control computer; however, this requires the message to be retransmitted in the event of a transmission fault in order to continue the process control. Overall, this also slows down the process.

Aufgabe der Erfindung ist es, eine Einrichtung nach dem Oberbegriff des Patentanspruches 1 anzugeben, die hinsichtlich ihrer Redundanzgestaltung flexibel ist. Etwaige Störungen bei der Übertragung von Kommandos und Meldungen sollen bei ihrem Auftreten möglichst rasch erkennbar sein und den jeweils steuernden Bereichsrechner in die Lage versetzen, sofort in angemessener Weise auf die eingetretene Störung zu reagieren.The object of the invention is to provide a device according to the preamble of claim 1, which is flexible in terms of its redundancy design. Any malfunctions in the transmission of commands and messages should be recognized as quickly as possible when they occur and should enable the controlling area computer to react immediately and appropriately to the malfunction that has occurred.

Die Erfindung löst diese Aufgabe durch die kennzeichnenden Merkmale des Patentanspruches 1. Das laufende Einlesen von Meldungen in die Stellrechner in Verbindung mit der Übertragung von Meldefreigaben gestattet es, gestörte Meldungen sofort zu erkennen; das Einlesen der Meldungen in jeweils zwei Stellrechner gestattet es, bei einer Störung in einem Übertragungskanal die über den jeweils anderen Kanal übermittelten Meldungen auszuwerten, ohne daß es hierzu eines nennenswerten zusätzlichen Aufwandes für die Meldungsumschaltung bedarf. Der Kommandoweg hin zu den Ausgabeschaltmitteln für die Fahrwegelemente wird durch Überwachungsmeldungen für die ordnungsgerechte Ausgabe der Kommandos überwacht. Nur dort, wo tatsächlich eine redundante Steuerung eines Prozeßelementes erforderlich ist, sind redundante Stellrechnerteile für die Kommandoausgabe an die Fahrwegelemente vorgesehen.The invention solves this problem by the characterizing features of claim 1. The continuous reading of messages into the control computer in connection with the transmission of message releases allows faulty messages to be recognized immediately; reading the messages into two control computers allows the messages transmitted via the other channel to be evaluated in the event of a fault in one transmission channel, without requiring any noteworthy additional effort for switching the messages. The command route to the output switching means for the guideway elements is monitored by monitoring messages for the correct output of the commands. Only where redundant control of a process element is actually required are redundant control computer parts provided for the command output to the route elements.

Vorteilhafte Ausgestaltungen der erfindungsgemäßen Einrichtung sind in den Unteransprüchen angegeben.Advantageous refinements of the device according to the invention are specified in the subclaims.

Anspruch 2 bezeichnet die Darstellung der Meldungen und der zugehörigen Meldefreigaben und ihre Übermittlung an die Stellrechner sowie die Zuordnung der Meldungen zu den Freigaben.
   Nach der Lehre des Anspruches 3 wählt sich der Bereichsrechner aus den von jeweils zwei Stellrechnern übermittelten Meldebytes individuell jeweils diejenigen Meldebits aus, die ungestört empfangen wurden. Die Meldeauswertung insgesamt ist erst gestört, wenn in beiden Meldebytes die einander entsprechenden Meldebits gestört sind.
Anspruch 4 gibt an, auf welche Weise der Bereichsrechner aus den ihm übermittelten Meldungen und Freigaben die originären Meldungen ableitet.
Anspruch 5 beinhaltet die Ausgestaltung der erfindungsgemäßen Einrichtung bei nichtredundanter Steuerung eines Prozeßelementes und Anspruch 6 ihrer Ausgestaltung bei redundanter Steuerung.
Anspruch 7 bezeichnet die Mittel zum bedarfsweisen Sperren eines Stellrechners, über den der ordnungsgerechte Zugriff auf ein zu steuerndes Prozeßelement nicht mehr gegeben ist.Claim 2 denotes the representation of the messages and the associated message releases and their transmission to the control computer and the assignment of the messages to the releases.
According to the teaching of claim 3, the area computer individually selects those message bits that were received without interference from the message bytes transmitted by two control computers. The overall message evaluation is only disrupted if the corresponding message bits are disrupted in both message bytes.
Claim 4 specifies how the area computer derives the original messages from the messages and releases transmitted to it.
Claim 5 includes the configuration of the device according to the invention with non-redundant control of a process element and claim 6 of its configuration with redundant control.
Claim 7 designates the means for blocking an actuating computer as required, via which proper access to a process element to be controlled is no longer provided.

Ausführungsbeispiele der Erfindung sind nachstehend unter Bezugnahme auf die Zeichnung näher erläutert.
Die Zeichnung zeigt:

in Figur 1
eine in Melderichtung redundante und in Kommandorichtung nicht redundante Ausgestaltung der erfindungsgemäßen Einrichtung,
in Figur 2
eine in Melderichtung und in Kommandorichtung redundante Ausgestaltung der erfindungsgemäßen Einrichtung und
in Figur 3
ein Schema zum Ermitteln des originären Meldebytes bei mit Störungen behafteten Meldebytes.
Embodiments of the invention are explained in more detail below with reference to the drawing.
The drawing shows:
in Figure 1
a configuration of the device according to the invention which is redundant in the reporting direction and non-redundant in the command direction,
in Figure 2
a configuration of the device according to the invention which is redundant in the signaling direction and in the command direction and
in Figure 3
a scheme for determining the original message byte in the case of faulty message bytes.

Figur 1 zeigt schematisch einen Bereichsrechner BR zusammen mit zwei Stellrechnern STR1 und STR2 zur Steuerung eines Lichtsignales S sowie weiterer in der Zeichnung nicht dargestellter Prozeßelemente eines Stellwerkes. Der Bereichsrechner und die beiden Stellrechner stellen nur einen kleinen Ausschnitt der Steuerelemente eines Stellwerkes dar. Das Lichtsignal wird in Kommandorichtung in nicht redundanter Weise ausschließlich über den Stellrechner STR2 gesteuert. Einer Redundanz bedarf es deshalb nicht, weil im Falle der Nichtsteuerbarkeit des Signales über den Stellrechner dieses auf Halt geht (sicherer Zustand) und weil dieses Signal durch Anschalten von Kennlicht oder auf schriftlichen Befehl passiert werden kann. Die eingetretene Störung macht den angrenzenden Streckenabschnitt nicht grundsätzlich unpassierbar; Redundanz ist also nicht zwingend erforderlich.
Die Steuerung des Lichtsignals geschieht über zugeordnete Stellteile K2.1 und K2.2; K2.1 beinhaltet im wesentlichen die Ausgabetore des Stellrechners STR2 zum Lichtsignal, K2.2 im wesentlichen die Anpassungen zum Umsetzen vom zugehörigen Stellrechner stammender Steueranweisungen in Anschaltaufträge für die Leistungsschaltmittel des Lichtsignals. Überwachungsmeldungen Ü2 zur Kennzeichnung des jeweiligen Schaltzustandes der Leistungsschaltmittel im externen Stellteil werden über den Stellrechner STR2 an den Bereichsrechner übertragen, der daraufhin in der Lage ist, das ordnungsgerechte Arbeiten der Stellteile zu überwachen. Nur solange die Überwachungsmeldungen anzeigen, daß die über den Stellrechner STR2 ausgegebenen Kommandos vom Stellteil K2.2 ordnungsgerecht ausgeführt wurden, veranlaßt der Bereichsrechner über den Stellrechner STR2 die weitere Ausgabe von Kommandos an dieses Stellteil; andernfalls ist die ordnungsgerechte Kommandoausgabe nicht mehr gewährleistet, die Kommandoausgabe unterbleibt und das Signal geht selbsttätig auf Halt und damit in den sicheren Zustand. Bei Aufnahme der Steuerung eines Prozeßelementes über den einen oder anderen Stellrechner sorgt eine Anlaufprozedur dafür, daß auf das Vorhandensein von Überwachungsmeldungen vorübergehend verzichtet werden kann.
Der jeweilige Betriebszustand des Lichtsignales wird in Form von Betriebszustandsmeldungen sowohl dem Meldeteil M2.1 des steuernden Stellrechners STR2 als auch dem Meldeteil M1.1 eines zur Steuerung anderer Prozeßelemente vorgesehenen Stellrechners STR1 zugeführt. Beide Stellrechner prüfen die übermittelten Meldungen unabhängig voneinander auf ordnungsgerechten Empfang und übermitteln sie getrennt voneinander an den steuernden Bereichsrechner BR. Dabei versehen sie die Meldungen M1 bzw. M2 mit Meldefreigaben F1 bzw. F2, welche dem Bereichsrechner anzeigen, ob die zugehörigen Meldungen ordnungsgerecht empfangen wurden oder nicht. Der Bereichsrechner entscheidet aufgrund der ihm übermittelten Meldefreigaben, welche der ihm zweikanalig übermittelten Meldungen als ordnungsgerecht an zuerkennen sind und welche nicht. Bei auf beiden Meldekanälen anliegenden, mit je einer den ordnungsgerechten Meldungsempfang kennzeichnenden Meldefreigabe versehenen Meldungen werden diese in den einen bzw. anderen Verarbeitungskanal des Bereichsrechners eingelesen; bei einer nur auf einem Meldekanal anliegenden, mit einer positiven Meldefreigabe versehenen Meldung wird diese in beide Verarbeitungskanäle des Bereichsrechners eingelesen.
Jede Meldung besteht vorzugsweise aus einem Bit der einen oder einem Bit der anderen Wertigkeit und in den Stellrechnern werden aus den Meldungen, ggf. auch aus den Meldungen mehrerer gesteuerter Prozeßelemente, Meldebytes zur Übertragung an den zugehörigen Bereichsrechner gebildet. Jeder Stellrechner erzeugt bei ungestörtem Empfang eines Meldebits ein Freigabebit der Wertigkeit L und bei gestörtem Empfang eines Meldebits ein Freigabebit der Wertigkeit O. Diese Bits werden jeweils zusammen mit dem zugehörigen Meldebyte als Meldefreigabebyte an den Bereichsrechner übertragen. Dabei besteht eine feste Zuordnung zwischen den Bitpositionen der Meldebytes und denen der Maldefreigsbebytes. Der Bereichsrechner wählt aus den ihm von beiden Stellrechnern byteweise übermittelten Meldungen individuell jeweils diejenigen Bits aus, denen Meldefreigaben der Wertigkeit L zugeordnet sind und verwirft alle nicht mit Meldefreigaben dieser Wertigkeit versehenen Meldungen.Figure 1 shows schematically an area computer BR together with two control computers STR1 and STR2 for controlling a light signal S and other process elements of an interlocking, not shown in the drawing. The area calculator and the two control computers represent only a small section of the control elements of an interlocking. The light signal is shown in Command direction controlled in a non-redundant manner exclusively via the control computer STR2. Redundancy is not necessary because if the signal cannot be controlled via the control computer, the signal goes to a stop (safe state) and because this signal can be passed by turning on the beacon or by written command. The disruption that occurs does not in principle make the adjacent section of the route impassable; Redundancy is therefore not absolutely necessary.
The light signal is controlled via assigned actuators K2.1 and K2.2; K2.1 essentially contains the output gates of the control computer STR2 for the light signal, K2.2 essentially the adaptations for converting control instructions originating from the associated control computer into connection orders for the power switching means of the light signal. Monitoring messages Ü2 for identifying the respective switching state of the power switching means in the external control element are transmitted via the control computer STR2 to the area computer, which is then able to monitor the correct operation of the control elements. Only as long as the monitoring messages indicate that the commands issued via the control computer STR2 have been properly executed by the control unit K2.2, does the area computer use the control computer STR2 to issue further commands to this control unit; otherwise the correct command output is no longer guaranteed, the command output is omitted and the signal automatically stops and thus in a safe state. When the control of a process element is started via one or the other control computer, a start-up procedure ensures that the presence of monitoring messages can be temporarily dispensed with.
The respective operating state of the light signal is supplied in the form of operating state messages both to the signaling part M2.1 of the controlling control computer STR2 and to the signaling part M1.1 of a control computer STR1 provided for controlling other process elements. Both control computers independently check the transmitted messages for proper receipt and transmit them separately to the controller Area calculator BR. In doing so, they provide messages M1 and M2 with message releases F1 and F2, respectively, which indicate to the area computer whether the associated messages have been properly received or not. On the basis of the message releases sent to it, the area computer decides which of the two-channel messages sent to it are to be recognized as correct and which are not. If there are messages on both message channels, each with a message release that characterizes the proper receipt of messages, these are read into one or the other processing channel of the area computer; If a message is only present on one message channel and has a positive message release, it is read into both processing channels of the area computer.
Each message preferably consists of a bit of one or a different value and in the control computers, message bytes for transmission to the associated area computer are formed from the messages, possibly also from the messages of several controlled process elements. Each control computer generates an enable bit with the value L if the signal bit is received undisturbed, and an enable bit with the value O if the message bit is disrupted. These bits are transferred to the area computer together with the associated message byte as a message enable byte. There is a fixed assignment between the bit positions of the message bytes and those of the Maldefreigsbebytes. The area computer individually selects from the messages transmitted to it byte by byte by both control computers those bits to which message releases with the value L are assigned and discards all messages that are not provided with message releases of this value.

Figur 2 beinhaltet die Anwendung der Erfindung bei der Steuerung eines Fahrwegelementes, für das sowohl in Melde- als auch in Kommandorichtung Redundanz verlangt wird. Dabei soll es sich um eine Weiche W handeln, die von einem Antrieb A bedarfsweise umsteuerbar ist. Diese Weiche muß steuerbar bleiben, auch dann, wenn sie von einem normalerweise für sie zuständigen Stellrechner nicht mehr steuerbar ist. Für den dann ausgefallenen Stellrechner springt ein anderer, hierfür vorgesehener Stellrechner ein, der auch vorher schon ständig mit den von der Weiche stammenden Zustandsmeldungen versorgt wurde.
   Es ist angenommen, daß die Weiche W üblicherweise über den Stellrechner STR1 gesteuert wird. Hierzu versorgt der Bereichsrechner BR den Stellrechner STR1 mit entsprechenden Kommandos K1. Diese Kommandos werden über ein rechnerinternes Stellteil K1.1 an ein rechnerexternes Stellteil K1.2 übermittelt, in dem die Kommandos in Schaltaufträge für Leistungsschaltmittel zum Steuern des Weichenantriebs A umgesetzt werden. Die Stromversorgung des Antriebs erfolgt in bekannter Weise beispielsweise über vieradrige Leitungen aus dem rechnerexternen Stellteil K1.2. Dieses Stellteil übermittelt Überwachungsmeldungen Ü1 über die Schaltstellung seiner Leistungsschaltmittel an den Stellrechner STR1, der diese Überwachungsmeldungen entweder an den Bereichsrechner BR weitergibt, oder zuvor mit den anliegenden Kommandoaufträgen vergleicht und die Vergleichsergebnisse an den Bereichsrechner weitermeldet. Aus den Überwachungsmeldungen erkennt der Bereichsrechner, ob die von ihm veranlaßten Kommandos zur Ausführung gelangen oder nicht. Er unternimmt nur solange den Versuch, über den Stellrechner STR1 auf den Antrieb A zuzugreifen, solange ihm vom Stellrechner die entsprechenden Überwachungsmeldungen über die ordnungsgerechte Ausgabe von Kommandos übermittelt werden. Bleiben diese Überwachungsmeldungen aus, bzw. zeigen sie, daß eine ordnungsgerechte Kommandoausgabe nicht mehr möglich ist, so sperrt der Stellrechner STR1 die ihm zugeordneten Kommandoteile gegen weitere Beaufschlagung und unterrichtet den Bereichsrechner hiervon. Dieser veranlaßt in der Folge die Steuerung des Antriebs über den Stellrechner STR2. Hierzu versorgt er den Stellrechner mit entsprechenden Kommandos K2, die über rechnerinterne und rechnerexterne Stellteile K2.1 und K2.2 an den Antrieb ausgegeben werden. Auch hier ist eine ständige Überwachung des Kommandoweges bis hin zum rechnerexternen Stellteil K2.2 vorgesehen, wobei entsprechende Überwachungsmeldungen Ü2 an den Stellrechner STR2 und von dort direkt oder in aufgearbeiteter Form an den Bereichsrechner gelangen.FIG. 2 includes the use of the invention in the control of a guideway element for which redundancy is required both in the message and in the command direction. This should be a switch W, which can be reversed by a drive A if necessary. This switch must remain controllable, even if it can no longer be controlled by a control computer normally responsible for it. For that then failed control computer jumps in, another control computer provided for this purpose, which has always been supplied with the status messages from the switch.
It is assumed that the switch W is usually controlled via the control computer STR1. For this purpose, the area computer BR supplies the control computer STR1 with appropriate commands K1. These commands are transmitted via a computer-internal control part K1.1 to a computer-external control part K1.2, in which the commands are converted into switching orders for power switching devices for controlling the point machine A. The drive is supplied with power in a known manner, for example via four-wire lines from the computer-external control part K1.2. This control unit transmits monitoring messages Ü1 about the switching position of its power switching means to the control computer STR1, which either forwards these monitoring messages to the area computer BR or compares them beforehand with the command commands pending and forwards the comparison results to the area computer. The area computer recognizes from the monitoring messages whether the commands initiated by it are carried out or not. He only tries to access drive A via the control computer STR1, as long as the control computer sends him the corresponding monitoring messages about the correct output of commands. If these monitoring messages fail to appear, or if they show that proper command output is no longer possible, the control computer STR1 locks the command parts assigned to it against further exposure and informs the area computer of this. This then causes the drive to be controlled via the control computer STR2. For this purpose, it supplies the control computer with the corresponding commands K2, which are output to the drive via computer-internal and external control components K2.1 and K2.2. Here too, constant monitoring of the command path up to the control part K2.2 external to the computer is provided, with corresponding monitoring messages U2 being sent to the control computer STR2 and from there directly or in processed form to the area computer.

Die Betriebszustandsmeldungen der Weiche werden den Meldeteilen M1.1 und M2.1 der beiden Stellrechner STR1 und STR2 zugeführt. Dort werden sie mit Meldefreigaben F1 bzw. F2 versehen und an den Bereichsrechner BR übermittelt. Der Bereichsrechner wählt sich aus den ihm von den beiden Stellrechnern übermittelten Meldungen jeweils diejenigen aus, die mit Meldefreigaben für den ordnungsgerechten Empfang der Meldungen versehen sind.The operating status messages of the switch are fed to the message parts M1.1 and M2.1 of the two control computers STR1 and STR2. There they are provided with message releases F1 and F2 and transmitted to the area computer BR. The area computer selects from the messages transmitted to it by the two control computers those with message releases for the correct receipt of the messages.

Bei dem Ausführungsbeispiel der Figur 2 erfolgt der Zugriff auf das zu steuernde Prozeßelement, die Weiche W, entweder über den Stellrechner STR1 oder den Stellrechner STR2. Es gibt jedoch auch Prozeßelemente, auf die unterbrechungsfrei gleichzeitig von zwei Stellrechnern aus zuzugreifen ist. Dies geschieht beispielsweise bei Bahnübergangssicherungsanlagen, die so konzipiert sind, daß der Ausfall der Steuerung automatisch zum Absenken der Schrankenbäume führt. Hier kann die Ansteuerung der Schranken gleichzeitig von beiden Rechnern aus über zwei parallele Anschaltkreise erfolgen, von denen bei Ausfall des einen der andere wirksam bleibt. Auch die Anschaltung einer Weichenheizung kann gleichzeitig über zwei Stellrechner veranlaßt werden. Anders liegen die Dinge bei der Steuerung eines Weichenantriebs; hier darf nicht gleichzeitig von zwei Stellrechnern auf den Antrieb eingewirkt werden, weil sonst die Gefahr besteht, daß beide Stellrechner z.B. wegen unterschiedlicher Schaltzeiten ihrer rechnerexternen Stellteile den Antrieb vorübergehend gleichzeitig in beiden Laufrichtungen beanspruchen könnten. Hierdurch könnte es zu einem bleibenden Schaden im Stellstromkreis des Antriebes und damit zu einem Totalausfall des Antriebes kommen; dies sollte jedoch gerade durch das Vorhalten redundanter Steuerungsteile vermieden werden.In the exemplary embodiment in FIG. 2, the process element to be controlled, the switch W, is accessed either via the control computer STR1 or the control computer STR2. However, there are also process elements that can be accessed simultaneously without interruption from two control computers. This happens, for example, with level crossing protection systems that are designed so that the failure of the control system automatically leads to the lowering of the barrier booms. Here the barriers can be controlled simultaneously from both computers via two parallel connection circuits, one of which remains effective if one fails. Switch-on of a point heater can also be initiated simultaneously via two control computers. Things are different when it comes to controlling a point machine; here, two actuators must not act on the drive at the same time, otherwise there is a risk that both actuators, e.g. due to different switching times of your computer-external actuators could temporarily use the drive in both directions at the same time. This could result in permanent damage to the actuator control circuit and thus to a total failure of the actuator; however, this should be avoided by keeping redundant control parts available.

Figur 3 zeigt ein Schema, nach dem sich der Bereichsrechner aus den ihm von den einzelnen Stellrechnerpaaren übermittelten Meldungen und Meldefreigaben die jeweils originären Meldungen aussucht, ohne daß die Wertigkeit einzelner Meldebits korrigiert werden muß. Es ist angenommen, daß die beiden Stellrechner dem Bereichsrechner zwei Meldebytes M1 und M2 und zwei Meldefreigabebytes F1 und F2 übermittelt haben. Es ist ferner angenommen, daß durch das Meldefreigabebyte F1 das vierte Meldebit des Meldebytes M1 und durch das Meldefreigabebyte F2 das dritte Meldebit des Meldebytes M2 als nicht ordnungsgerecht empfangen dokumentiert sind. Der Bereichsrechner verknüpft zunächst die ihm übermittelten Melde- und Meldefreigabebytes nach einer UND-Bedingung. Aus dem jeweiligen Ergebnis der UND-Verknüpfung ist das originäre Meldebyte noch nicht erkennbar. Der Bereichsrechner invertiert deshalb das Meldefreigabebyte des einen Rechners, z.B. das Meldebyte M1, und kennt damit die Bitposition, an der auf das Meldebyte des anderen Rechner zugegriffen werden muß. Dies ist im Beispiel an der vierten Stelle des Meldebytes M1 der Fall. Durch UND-Verknüpfung des invertierten Meldefreigabebytes F1 des einen Rechners mit der UND-Verknüpfung aus Meldefreigabebyte F2 und Meldebyte M2 des anderen Rechner läßt sich für das verfälschte Bit des ersten Meldebytes M1 die tatsächliche Wertigkeit dieses Bits, im Beispiel "O", feststellen; alle anderen Bits der UND-Verknüpfung müssen wegen der Invertierung der den ordnungsgerechten Empfang von Meldungen anzeigenden Bits des Meldefreigabebytes F1 zwangsläufig auf Null liegen. Wenn man nun das durch die zweimalige UND-Verknüpfung gefundene Byte mit dem durch die UND-Verknüpfung des Meldebytes M1 mit dem Melde freigabebytes F1 gefundenen Byte nach einer ODER-Bedingung verknüpft, so kann dieses Byte durch die ODER-Verknüpfung nur an den Stellen modifiziert werden, an denen das Meldebyte M1 durch das zugehörige Meldefreigabebyte F1 als nicht ordnungsgerecht gekennzeichnet wurde. Im vorliegenden Fall tritt jedoch eine derartige Modifizierung nicht ein, weil das zu korrigierende Meldebit zufälligerweise die Wertigkeit "O" aufweist. Durch ODER-Verknüpfen der UND-Verknüpfung aus Meldebyte M1 und Meldefreigabebyte F1 mit dem durch zweimalige UND-Verknüpfung des Meldebytes M2 und des Meldefreigabebytes F2 des anderen Rechners und des invertierten Meldefreigabebytes F1 des eigenen Rechners gefundenen Wert läßt sich so das originäre Meldebyte im Bereichsrechner nachbilden.FIG. 3 shows a diagram according to which the area computer selects the original messages from the messages and message releases transmitted to it by the individual signaling computer pairs without the value of individual message bits having to be corrected. It is assumed that the two control computers the area computer two message bytes M1 and M2 and two message release bytes F1 and F2 have transmitted. It is also assumed that the fourth message bit of the message byte M1 and the third message bit of the message byte M2 are documented by the message enable byte F1 as incorrectly received by the message enable byte F2. The area computer first links the message and message enable bytes transmitted to it according to an AND condition. The original message byte is not yet recognizable from the respective result of the AND operation. The area computer therefore inverts the message enable byte of one computer, eg message byte M1, and thus knows the bit position at which the message byte of the other computer must be accessed. In the example, this is the case at the fourth position of message byte M1. By ANDing the inverted message enable byte F1 of the one computer with the AND link from message enable byte F2 and message byte M2 of the other computer, the actual value of this bit, in the example "O", can be determined for the corrupted bit of the first message byte M1; all other bits of the AND link must be zero because of the inversion of the bits of the message enable byte F1 indicating the correct receipt of messages. If you now link the byte found by the two AND operations with the byte found by the AND operation of the message byte M1 with the message enable byte F1 according to an OR condition, this byte can only be modified by the OR operation where the message byte M1 was marked as incorrect by the associated message enable byte F1. In the present case, however, such a modification does not occur because the message bit to be corrected happens to have the value "O". By ORing the AND link from message byte M1 and message enable byte F1 with that by twice AND linking the message byte M2 and the message enable byte F2 of the other computer and the inverted message enable byte F1 the value found on your own computer can be simulated in the area computer.

Claims (7)

  1. Device for the control of the process elements (S, W) of an electronic interlocking system set up according to the local processor control principle, having a plurality of interlock processors (STR1, STR2) which are supplied by the local processors (BR) with commands (K₁, K₂) and by the process elements (S, W) with messages (M₁, M₂) and which act via output switching means on associated process elements, characterized in that the process elements (S, W) feed the messages (M1, M2) originating from them in each instance to two interlock processors (STR1, STR2) and in that, in the case of procedurally correct reception of the messages, these interlock processors allocate clearance identifiers (F1, F2) and transmit these together with the messages to an associated local processor (BR), in that the local processor acknowledges only messages provided with clearance identifiers, and in that the local processor distributes the commands (K1, K2) formulated by it individually via such interlock processors to the associated process elements, from which, in the event of the prior transmission of commands, it has received appropriate supervision messages (Ü1, Ü2) for the procedurally correct output of these commands by the output switching means of the pertinent interlock processor.
  2. Device according to Claim 1, characterized in that each message (M1, M2) comprises a bit of one numerical level or the other, in that the bits of a plurality of messages form a message byte, in that, dependent upon the procedurally correct reception of the messages, for each message (M1, M2) the interlock processors (STR1.1, STR1.2) generate as clearance identifiers (F1.1, F1.2) a bit of the numerical level L or a bit of the numerical level 0 and transmit these bits, in each instance following the associated message byte, as clearance identifier byte to the associated local processor (BR), in which case a fixed allocation exists between the bit positions of the message bytes and those of the clearance identifier bytes.
  3. Device according to Claim 2, characterized in that the local processor (BR) selects from the messages (M1, M2) transmitted bytewise to it from the two interlock processors, individually in each instance those to which clearance identifiers have been allocated by an interlock processor.
  4. Device according to Claim 3, characterized in that the local processor (BR) links the messages (M1, M2) transmitted to it from in each instance two interlock processors (STR1, STR2) with the respectively associated clearance identifiers (F1, F2) in accordance with an AND condition, in that the local processor inverts the clearance identifiers (F1) transmitted to it from in each instance one of the interlock processors (e.g. STR1) and links them with the byte formed by the AND link of messages (M2) and clearance identifiers (F2) of the respective other interlock processor (STR2) in accordance with an AND condition, and in that the local processor links this byte with the byte formed by the AND link of messages (M1) and clearance identifiers (F1) of the one interlock processor (STR1), in accordance with an OR condition and acknowledges the result as message byte.
  5. Device according to Claim 1, characterized in that the control of a process element (S) takes place by a local processor in non-redundant manner via only one individual interlock processor (STR2), and in that, to this end, this process element is connected via appropriate output switching means (K2.2) to only this interlock processor.
  6. Device according to Claim 1, characterized in that the control of a process element (W) takes place by a local processor in redundant manner via two interlock processors (STR1, STR2), in that, to this end, this process element is connected via two appropriate output switching means (K1.1, K2.1) to the one and the other interlock processor, and in that the control of the process element takes place via one or the other interlock processor or via both interlock processors, as a function of whether, for the process element, non-uninterrupted or uninterrupted redundancy is required and permissible.
  7. Device according to Claim 5 or 6, characterized in that in the event of the recognition of the non-controllability of a process element (W), an interlock processor (e.g. STR1.1) blocks, within the processor, the command parts allocated to this process element and communicates this to the associated local processor (BR).
EP19900117294 1990-09-07 1990-09-07 Electronic interlocking control system, set up according to the local processor control principle Expired - Lifetime EP0473834B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE59006247T DE59006247D1 (en) 1990-09-07 1990-09-07 Device for controlling an electronic signal box organized according to the area computer principle.
EP19900117294 EP0473834B1 (en) 1990-09-07 1990-09-07 Electronic interlocking control system, set up according to the local processor control principle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP19900117294 EP0473834B1 (en) 1990-09-07 1990-09-07 Electronic interlocking control system, set up according to the local processor control principle

Publications (2)

Publication Number Publication Date
EP0473834A1 EP0473834A1 (en) 1992-03-11
EP0473834B1 true EP0473834B1 (en) 1994-06-22

Family

ID=8204444

Family Applications (1)

Application Number Title Priority Date Filing Date
EP19900117294 Expired - Lifetime EP0473834B1 (en) 1990-09-07 1990-09-07 Electronic interlocking control system, set up according to the local processor control principle

Country Status (2)

Country Link
EP (1) EP0473834B1 (en)
DE (1) DE59006247D1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2414327B (en) * 2004-05-20 2006-09-27 Balfour Beatty Plc Railway signalling systems
CN103407463A (en) * 2013-08-21 2013-11-27 南京泰通科技有限公司 Semi-automatic electronic block instrument and working method of block instrument

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2742015B1 (en) * 1995-12-01 1998-01-09 Sextant Avionique METHOD FOR SECURING AN ACTION AND DEVICE FOR IMPLEMENTING IT
DE102005013194A1 (en) * 2005-03-16 2006-09-21 Siemens Ag Workstation system
DE102007043053B4 (en) * 2007-09-11 2020-07-30 Db Netz Ag Signal-safe electronic element control for carrying out a driving operation of rail vehicles

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3003291C2 (en) * 1980-01-30 1983-02-24 Siemens AG, 1000 Berlin und 8000 München Two-channel data processing arrangement for railway safety purposes
DE3323269A1 (en) * 1983-06-28 1985-01-10 Siemens AG, 1000 Berlin und 8000 München DEVICE FOR THE OPERATION OF A COMPUTER-CONTROLLED ACTUATOR
DE3332802A1 (en) * 1983-09-12 1985-03-28 Siemens AG, 1000 Berlin und 8000 München CIRCUIT ARRANGEMENT FOR CHECKING THE CORRECT STARTING OF A TWO-CHANNEL FAIL-SAFE MICROCOMPUTER SWITCHGEAR, ESPECIALLY FOR RAILWAY LOCKING SYSTEMS
DE3712833A1 (en) * 1986-05-29 1987-12-10 Alcatel Nv Safety control device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2414327B (en) * 2004-05-20 2006-09-27 Balfour Beatty Plc Railway signalling systems
CN103407463A (en) * 2013-08-21 2013-11-27 南京泰通科技有限公司 Semi-automatic electronic block instrument and working method of block instrument

Also Published As

Publication number Publication date
EP0473834A1 (en) 1992-03-11
DE59006247D1 (en) 1994-07-28

Similar Documents

Publication Publication Date Title
EP0875810B1 (en) Method and device for monitoring an installation with several function units
DE3614979C2 (en) Security system for a printing press
EP0132548B1 (en) Device for operating a computer-controlled signal box
EP1887444B1 (en) Process control
DE102012000158B4 (en) Adaptive multi-redundant annular network and method for selecting a detour
EP1642179B1 (en) Device for automatically controlling a technical system operation
EP1054309B1 (en) Method and apparatus for safe transmission of data on a bus system
EP3313710A1 (en) System and method for automatically eliminating a short circuit in an energy bus
DE102005016596A1 (en) Subscriber, master unit, communication system and method of operating the same
EP1589386B1 (en) Process control system
EP2099164B1 (en) Safety device for safe control of attached actuators
EP0109981A1 (en) Fail-safe data processing equipment
DE2701925A1 (en) VEHICLE CONTROL SYSTEM WITH HIGH RELIABILITY
EP0473834B1 (en) Electronic interlocking control system, set up according to the local processor control principle
EP3448735B1 (en) Server device operating a piece of software for controlling a function of a rail transport safety system
EP0242609B1 (en) Interface control level
DE3007960C2 (en) Electronic signal box
DE10052046B4 (en) Control for rotary printing machines
DE2925169C2 (en) Computer-controlled signal box
EP3509316A1 (en) Security network and security sensor
EP4160845B1 (en) System for controlled starting and operating of a redundant energy bus
DE10357797A1 (en) Peripheral unit for a redundant control system
WO1999014989A1 (en) Control device for airport lighting systems
DE19934513B4 (en) Control procedure for a technical plant
WO1999018498A1 (en) Responsive system for processing digital signals and operating method for a responsive system

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 19901220

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE CH DE DK ES FR GB GR IT LI LU NL SE

RBV Designated contracting states (corrected)

Designated state(s): CH DE LI NL

17Q First examination report despatched

Effective date: 19930913

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): CH DE LI NL

REF Corresponds to:

Ref document number: 59006247

Country of ref document: DE

Date of ref document: 19940728

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed
PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: NL

Payment date: 20020926

Year of fee payment: 13

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20021118

Year of fee payment: 13

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: CH

Payment date: 20031203

Year of fee payment: 14

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NL

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20040401

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20040401

NLV4 Nl: lapsed or anulled due to non-payment of the annual fee

Effective date: 20040401

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20040930

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20040930

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL