Vital Processor Interlocking



Het Vital Processor Interlocking (VPI) platform is gebaseerd op één enkele processor met een interne verificatie van de systeemintegriteit. Het programma voert opdrachten uit met formules in Booleaanse algebra, afgeleid van de relaistechnologie (van dezelfde leverancier). Het systeem is geschikt voor middelgrote en kleine stations. Vital is in de Amerikaanse wereld een term die wordt gebruikt voor de fail-safe eigenschappen (zoals een B-relais ook wordt aangeduid als een vital relay).

De eerste VPI op het vasteland van Europa, geleverd door de Algemene Sein Industrie (ASI), is in januari 1989 in gebruik genomen bij het GVB Amsterdam Metro. Deze VPI was in december 1988 al volledig getest, maar om de storingsdienst tijdens de feestdagen niet op te zadelen met een installatie die zij nog niet goed kenden, hoewel de opleidingen wel waren geweest, werd de indienststelling verschoven naar januari 1989.

In Londen was in 1987 een VPI-testinstallatie opgeleverd op Northolt, die in shadow mode, d.w.z. parallel aan de mechanische beveiliging, draaide, en na een testperiode weer buiten gebruik gesteld. Bij de East London Line Resignalling werd een VPI geïnstalleerd die de Canal Junction - New Cross - New Cross Depot - New Cross Gale area beveiligde.

In de loop van 1989 heeft het GVB opdracht gegeven om twee extra VPI`s te plaatsen op de Amstelveenlijn. Die zijn in 1990 operationeel geworden.

De eerste VPI’s werden bij NS voor het eerst in 1992 toegepast in Hoorn (twee installaties) en één in Hoorn-Kersenboogerd. In 2017 waren er bij NS 79 VPI installaties op 56 locaties in dienst.

De eerste contacten tussen NS en GRS waarbij een VPI prototype getoond werd, dat nabij Rochester NY op Chili Junction getest werd, dateren uit 1983.

chili10 kopie
VPI prototype in het GRS lab te Rochester. 1983 foto Wim Coenraad

VPI is een systeem met een enkelvoudige hardware en software en is gebaseerd op één enkele processor met een interne verificatie van de systeemintegriteit. Het programma voert opdrachten uit met formules in Booleaanse algebra, afgeleid van de B-relais logica van dezelfde leverancier, waarbij het veiligheidsprincipe is gebaseerd op het coderen van de data (de variabelen in de Booleaanse vergelijkingen) gecombineerd met een check cycles waarbij ene veiligheid relais bekrachtigd moest zien te blijven. Als daarbij fouten optreden valt dat Vital Relay af en worden alle uitgangen spanningsloos gemaakt zodat alle seinen in de stand stop terugvallen en dus de veilige systeemstaat (althans vanuit de techniek bezien) wordt bereikt.

De veiligheidsbewijsvoering voor het platform (nu zouden we de term Generic Product Safety Case gebruiken) bestond uit een wiskundige analyse op basis waarvan werd aangetoond dat de kans op een onveilige faalwijze van die zgn Numerically Integrated Safety Assurance Logic (NISAL) een bepaalde acceptabele bovengrens had. In een intensieve samenwerking tussen NS en GRS/ASI en het Rochester Institute of Technology werd de NISAL technologie en de wiskundige achtergrond daarvan geanalyseerd. Op basis daarvan werd besloten dat op NISAL gebaseerde producten in bij NS konden worden gebruikt. Daarmee was de acceptatie van die “Generic Product Safety Case” voor het NISAL platform door de afdeling Ontwikkeling Seinwezen (Is 6.11) van NS een feit. Het eerste NISAL product dat bij NS getest werd was de "Vital Electronic Code Transmiter (VECT)", ook wel Mira Code CT genaamd, een elektronische CT voor de ATB met selecteerbare coderitmes, maar die bleek te gevoelig voor EMC verstoringen van de check circuits en uiteindelijk werd die proef afgebroken.

In 1990 waren er besprekingen tussen NS, en GRS/ASI/Alcatel/SEL over de invoering van VPI bij NS. In 1991 was de eerste VPI installatie op Hoorn Kersenboogerd gereed, maar moest door GRS nog een aansturing voor Geel-Knipper seinen worden ontwikkeld. Op 29 aril 1992 ging de eerste VPI in dienst voor een proefperiode.






EBS-VPI Hoorn
Bron 25 jaar VPI, Gea Kolk/Movares

VPI is een systeem met een enkelvoudige hardware en twee software kanalen. De werking is gebaseerd op één enkele processor met een interne verificatie van de systeemintegriteit en het veilig werken van de in- en uitgangcircuits. Het programma voert opdrachten uit met formules in Booleaanse algebra, afgeleid van de B-relais logica van dezelfde leverancier, waarbij het veiligheidsprincipe is gebaseerd op het coderen van de data (de variabelen in de Booleaanse vergelijkingen) gecombineerd met een check cycles waarbij een veiligheid relais bekrachtigd moet zien te blijven. Als daarbij fouten optreden valt dat Vital Relay af en worden alle uitgangen spanningsloos gemaakt, zodat alle seinen in de stand stop terugvallen en dus de veilige systeemstaat (althans vanuit de techniek bezien) wordt bereikt

De veiligheidsbewijsvoering voor het platform (nu zouden we de term Generic Product Safety Case gebruiken) bestond uit een wiskundige analyse op basis waarvan werd aangetoond dat de kans op een onveilige faalwijze van die zgn Numerically Integrated Safety Assurance Logic (NISAL) een bepaalde bovengrens had.

In 1990 waren er besprekingen tussen NS, en GRS/ASI/Alcatel/SEL over de invoering van VPI. In 1991 was de eerste VPI installatie op Hoorn Kersenboogerd gereed, maar moest door GRS nog een aansturing voor Geel-Knipper seinen worden ontwikkeld. Op 29 aril 1992 ging de eerste VPI in dienst voor een proefperiode. In 2017 waren er bij NS 79 VPI installaties op 56 locaties in dienst.

In tegenstelling tot wat NS bij de invoering van de EBS probeerde, was de applicatielaag in eerste instantie niet gestandaardiseerd. De filosofie was dat seinwezen ontwerpers relais schema's kenden en dat die relatief eenvoudig in Booleaanse vergelijkingen om te zetten zijn, zonder dat de ontwerper veel IT kennis nodig had. Daar viel wel iets op af te dingen, er is wel verschil tussen een relaisbeveiliging met een real-time karakter en de cyclische verwerking op volgorde van alle booleaanse vergelijkingen, waarmee rekening moet worden gehouden. Daarbij kwam dat de vrij lange cyclus tijd van de VPI in de buurt kwam van de maximaal toegestane vertraging tussen het niet langer waar zijn van een veiligheidsvoorwaarde en het daardoor in de stand stop terugvallen, of sturen, van een sein. Dat leidde onder meer tot de invoering van volgorde dwang bij het vrijmaken van rijwegen en tot beperkingen in het aantal elementen dat beveiligd kon worden middels een VPI. Net zoals voor de relaisbeveliging modelschema's in de ontwerp voorschriften werden vastgelegd, werd voor de VPI typicals, gestandaardiseerde booleaanse vergelijkingen, en tooling voor het ontwerpen en testen van het ontwerp ontwikkeld. Zo heeft ProRail nu bijvoorbeeld een Ontwerpvoorschrift (OVS) OVS60251 waarin die ontwerpregels en de structuur van de inputfiles zijn beschreven.

Een interessant detail is dat voor die Nederlandse VPI logica door Holland Railconsult (nu Movares) in samenwerking met de Rijksuniversiteit Utrecht een formele analyse van de foutvrijheid van de veiligheidseisen zoals geïmplementeerd in de applicatie logica voor de eersteling in Hoorn Kersenboogaard is uitgevoerd. Een van de eerste pogingen om in het seinwezen zulke formele methoden toe te passen.



Literatuur en achtergronden:
Kroniek van het seinwezen
VPI hoofdstuk in RIO 108 (Cursusboek Beheerisng, Sturing en Beveiliging van Railinfraopleidingen, enigszins gedateerd en niet in de public domain verkrijgbaar)
Safety_Criteria_for_Hoorn-Kersenboogerd_Railway_Station (Fokkink, Wan. (1995). Safety Criteria for Hoorn-Kersenboogerd Railway Station.)
The Vital Processor Interlocking , S.F.M. van Vlijmen 1, J.F. Groote, J.W.C. Koornvan Vlijmen
Presentatie 25 jaar VPI Hn/Hnk (Gea Kolk, 6 juli 2017
The Underground Electric Train by Piers Connor Jan 2008
Fail safe microprocessor interlocking-an application of numerically integrated safety assurance logic, IRSE International Conference "Safety Control and Automation towards the 21st Century", Rutherford D.,London sept. 1984 pp 72-76

Laatste aanpassing 20 april 2023