JT1CZ2000型主体化机车信号车载系统技术报告课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2011-9-5 31
8.2 并行接口的安全性
点灯电源的安全性
两路关断控制和一路安全动态控制受控电源
输出的安全性
控制CPU两路反馈检查
所有输出电路故障,可以全部实时检测 所有混线故障(无断线),可以全部实时检测
2011-9-5
32
8.2 并行接口的安全性
所有断线故障
主机板反馈无法发现,需下一级设备确认
结构设计阶段
设计程序的自检功能 程序出错后现场数据的保留功能 程序出错后不考虑恢复
2011-9-5
42
8.4.1 设备软件安全性要求
开发工具和编程语言阶段
使用C语言与汇编语言
不使用其中容易出问题的语言结构
使用TI公司经过验证的CCS开发软件包 发给现场的程序被存档,以便于维护支持
2011-9-5
43
考虑一路线圈断路、短路影响
一路线圈断路后,另一路接收幅度变化不超过15%
实现车载系统的闭环自动测试
利用便携式测试仪,向一组线圈发送,从另外一组 线圈感应,自动测试整个机车信号车载系统的功能
2011-9-5 17
4.机车信号带电源接线盒 接线盒功能
实现系统各设备的配线连接 含有两个安全电源模块 满足电磁兼容标准
8.4.1 设备软件安全性要求
验证与更改阶段
测试所有的可能的分支组合 充分利用已有的、自己开发的测试工具 测试极限参数情况的响应 检测程序控制流,是否简单合理 对程序响应时间进行限制检测
向主机提供电源(主路及受控路) 两路接收线圈感应信号 TAX2箱发送信号
测试主机性能
上电自检时间、灵敏度指标、应变时间、双套工作状态、 并口输出、串口输出、记录板功能等。
2011-9-5 27
7.3 其它测试设备
环线测试设备TJF-03A型、TJF-03B型
用于日常机车出入库检查 采用数字频率合成技术,精度高 采用多通道独立电源,提高了信号输出功率及可靠 性
2011-9-5
28
7.3 其它测试设备
便携式信号发码器
TX98-3A通用试机车信号发码器 体积小、功能全 可直接作用于机车接收线圈而不再需布环线 设备安装、测试、检修时使用
2011-9-5
29
8. 系统安全性分析
接收主机的安全性 并行接口的安全性 串行接口的安全性 软件的安全性
设备软件的安全性要求 设备软件安全性分析
2*CAN/ 1*RS485
外部切换控制
接收线圈1
主机板A
并口输 出
接收线圈2
主机板B
并口输 出
2*CAN/ 1*RS485
并 点灯输出 显示 出 机构 切 换 机 构
串口通信
监控装 置
信号记录板
TAX2箱
图2-2 接收主机结构原理框图
2011-9-5
7
2.2二取二工作原理
两路独立接收译码通道
同一接收线圈绕组 独立隔离放大器,独立A/D转换 独立接收译码处理与输出
6. 机车信号记录器
另外单独介绍
2011-9-5
24
7. 机车信号测试系统设计
系统日益复杂,对测试提出了高要求
出厂检测、日常使用维护、故障后维修
JT1-CZ2000 JT1-CZ2000研发同时考虑了测试系统设计
2011-9-5
25
7.1 系统测试
系统测试,主要用于现场日常使用维护,也可 用于出厂测试
JT1-CZ2000型 型 主体化机车信号车载系统技术报告
技术报告内容: 技术报告内容:
1 设备构成 2 主机 3 双路接收线圈 4 带电源接线盒 5 机车信号显示器 6 记录器 7 测试系统的设计 8 系统安全性分析 9 系统可靠性分析 10 结论
2011-9-5 2
百度文库
1.设备构成
地面处理设备 CF卡 TAX2箱
两个CPU独立输出控制
译码结果比较 并口输出控制 串行口输出控制
2011-9-5
8
直流110V 50V动态 点灯电源 关断2 1*CAN/ 1*RS485 关断1
译码DSP1 (隔离+A/D+DSP)
双口 RAM
输出控制 CPU1
同步 串口 动态数 据比较
继电器及 光耦输出
译码DSP2 (隔离+A/D+DSP)
速度等级信号SD2,SD3
大多情况SD2与SD3是10或01,断线混线会出现11,后级 设备可立即发现
2011-9-5
34
8.2 并行接口的安全性
断线且混线故障
如果考虑SD1有断线故障同时又与高电平信号线相 混的极端情况出现,则输出会升级,如下表 因此对于后级设备可以采用串行接口传输速度等级 信息来解决速度等级、绝缘节、制式信息的严格安 全问题。
点灯信号是关键信号,断线变成灭灯,是安全的 速度等级是关键信号,断线等级降低,是安全的 制式信号、绝缘节信号,部分选择使用,不保证
断线且混线故障
混线在主机一侧,通过反馈可发现,是安全的
2011-9-5
33
8.2 并行接口的安全性
断线且混线故障
混线在输出一侧线上,情况较复杂 点灯信号
相当于8中取1码方式,断线混线会产生2路灯线都有信号, 后级设备或人可立即发现并确认为无效
最小短路电流400mA 应变时间 无码到有码/载频切换小于2.6秒,载频不变小于4.1秒 未检测到载频2.6秒或未正确接收信息4.7秒,转无码
2011-9-5
16
3.双路接收线圈
提高系统可靠性 保持原接收线圈的电气参数、安装位置不变
与TB/T2859-1997规定的电路接收线圈相同,误差 改为不大于7.5%(参见资料三【技术条件】)
8×16点阵
点灯线取电源 双CPU比较的安全设计 使用与原来显示器兼容 功耗比灯丝灯泡稍小
实测点灯输出最大152mA,最小81mA(与颜色有关)
2011-9-5
22
电路技术原理
信号检测 1 灯线输入 5V
CPU1
电源 变换 信号检测 2
显示 控制
显示点阵模块
CPU2
硬件电路框图
2011-9-5 23
2011-9-5
30
8.1 接收主机的安全性
二取二的安全结构
两路独立的信号接收处理
每路A/D动态控制DSP进行工作,DSP同时监测A/D频率 DSP不断对程序EPROM和数据RAM进行测试
两路独立的输出控制
译码结果比较 两路关断控制和一路安全动态控制受控电源 输出反馈检测(继电器接点、灯位电平输出等) 控制CPU各自独立的动态监督单元 开机自检时,监测DSP输出数据的频率 工作中互相监测控制CPU输出数据的频率
2011-9-5
18
4.机车信号带电源接线盒
新电源模块的技术改进
效率 输出功率富裕量 过压、过流保护,延时输出 输入与输出完全隔离 减少使用可靠性较低的器件
2011-9-5
19
5.机车信号显示器
传统灯丝灯泡显示器的缺点
功耗大
5W60V灯泡,实测点灯输出165mA
现场灯泡使用不规范
5W、6W、8W都有,质量参差不齐
13
2.3双套热备工作原理
采用原来JT1-B切换电路
在主机故障时切换到备机
采用动态信息交换
断线检测功能
不掉码切换:当主机检测到断线后约2秒时切换到备机
前级故障,且断线监测失效,主机掉码后,小于7 秒切换到备机(JL:7,YP/UM:4)
2011-9-5
14
2.4信号接收处理原理
32位浮点运算DSP 移频、UM71、交流计数、UM2000平行接收 译码输出次序
2011-9-5
40
8.4.1 设备软件安全性要求
需求和详细设计阶段
需求分析
JT1-A/B为基础 新功能要求 安全要求
结构化设计
小的可管理的模块 系统的程序结构,描述信息传递行为
标准设计方法
不使用或限制使用某些语言结构 减少中断的使用
尽可能使用JT1-A/B中的软件模块或部件
2011-9-5
41
8.4.1 设备软件安全性要求
HU
HU1 HU H
H 010 001 101 001 B
无码 无码
36
8.3 串行口的安全性
串口安全性:
信息源的安全性
容易有问题
传输通道的安全性
多种校验解决,问题一般不大
2011-9-5
37
8.3 串行口的安全性
信息源的安全性
CAN总线传输 主机板上A、B两路,地址不同,信息一致,后 级设备接收比较,可保证安全 RS485总线传输 主机板上A发、B收反馈检测,如果不一致B复位 (并造成A也复位),后级设备同时检测并口,并 接收串口,可保证安全 或A发、B发,后级设备接收比较,可保证安全
双口 RAM
输出控制 CPU2
1*CAN总线
反馈检查
2*CAN/1*RS485
图2-3 主机板二取二结构框图
2011-9-5 9
并口输出控制
CPU1、CPU2接收前级译码并比较 CPU1控制电路采用原来JT1-A/B电路
控制点灯输出,光电开关 进行反馈检查
CPU2新增安全控制电路
控制大电流继电器,可关断点灯电源 控制动态控制安全点灯电源 进行反馈检查
专门的便携式机车信号系统测试仪BT-01/X型 利用接线盒110V电源 通过控制I、II端选取,利用双线圈一发一收,控 制选取主机接收,读取点灯输出、串口输出自动检 测整个车载系统功能
2011-9-5
26
7.2 主机测试
测试主机的各项性能,主要用于主机设备的生 产测试、使用中地面维护测试
专门的主机测试台BT-01T/2000型 模拟车上使用环境
一出一入两路RS485,可全双工,或反馈检测 目前对LKJ-2000计划采用反馈检测方式
RS485总线A 下一级接收设备 RS485总线B 并行口点灯输出 CPU1 CPU2
CPU1
CPU2
下一级接收设备
主机板A
主机板B
2011-9-5
12
电路板形式
采用小插板结构
维修更容易 升级更容易
2011-9-5
任何环节出问题,进入复位自检重启动
2011-9-5 10
串口输出控制
采用CAN总线方式输出
接收设备对主机板上两路输出比较来保证安全
CAN总线A 下一级接收设备A
CAN总线B CPU1 CPU2 CPU1 CPU2
下一级接收设备B
主机板A
主机板B
2011-9-5
11
串口输出控制
采用RS485总线方式
2011-9-5
35
8.2 并行接口的安全性
灯光显示 信息名称 L3 L L2 L LU3* LU LU LU2 U U U3 U2S U2S、U2 U2
2011-9-5
速度等级 110 101 001 110 001 101
灯光显示 UUS、 UU
信息名称 UUS UU HB
速度等级 101 001 101 110 001 100 100 001
2011-9-5
4
2.1硬件结构
四个插槽 与JT1-B(SJ-94)安装使用兼容 可选用单套、双套 满足电磁兼容标准要求
2011-9-5
5
记录板
Z1 Z2 保险
主机板A
主机板B
A A A
连接板
B B B
保险A 保险B CF 卡 A IN1 IN2 按钮 B
图2-1主机机箱结构
2011-9-5 6
CF卡
机车信号 主机 显示 显示
并口
便携测试仪
地面记录数 据分析系统
含电源接线盒
串口
监控装置
双路接收线圈
双路接收线圈
图1-1 JT1-CZ2000主体化机车信号车载系统构成框图 2011-9-5 3
2.主机
2.1 2.2 2.3 2.4 硬件结构 二取二工作原理 双套热备工作原理 信号接收处理原理
可靠性低 灯泡高速条件下分析容易断丝 显示信息种类少
2011-9-5
20
5.1 双面8色灯LED机车信号显示器
专门为机车信号设计的LED信号灯 可靠性高 功耗低
实测点灯输出最大52mA,最小47mA(与颜色有关)
高速条件下无断丝问题
2011-9-5
21
5.2 双面点阵式机车信号显示器
字符或图形方式显示
开机/无码时:UM71、移频、交流计数、UM2000 / UM71 UM2000 有输出后,保持原来制式输出
2011-9-5
15
2.4信号接收处理原理
译码方式
YP:频域处理,应变时间≯ 2S, 信干比优于1:3 UM71:时域辅以频域,应变时间≯ 2S,其它不变 交流计数:程序移植并优化,抗干扰能力提高 UM2000:参照TVM430指标进行接收
2011-9-5
38
8.3 串行口的安全性
传输通道的安全性
CAN总线传输
非破坏性帧仲裁结构,CRC校验方式
RS485总线传输
多机RS485通信信息帧结构,累加和及CRC两种校验方式
2011-9-5
39
8.4 软件的安全性
8.4.1 设备软件安全性要求
IEC61508: Functional safety of electrical/electronic/programmable electronic safety-related systems EN50128: Railway Applications: Software for Railway Control and Protection Systems EN50129: Railway Applications: Safety related electronic systems for signalling
8.2 并行接口的安全性
点灯电源的安全性
两路关断控制和一路安全动态控制受控电源
输出的安全性
控制CPU两路反馈检查
所有输出电路故障,可以全部实时检测 所有混线故障(无断线),可以全部实时检测
2011-9-5
32
8.2 并行接口的安全性
所有断线故障
主机板反馈无法发现,需下一级设备确认
结构设计阶段
设计程序的自检功能 程序出错后现场数据的保留功能 程序出错后不考虑恢复
2011-9-5
42
8.4.1 设备软件安全性要求
开发工具和编程语言阶段
使用C语言与汇编语言
不使用其中容易出问题的语言结构
使用TI公司经过验证的CCS开发软件包 发给现场的程序被存档,以便于维护支持
2011-9-5
43
考虑一路线圈断路、短路影响
一路线圈断路后,另一路接收幅度变化不超过15%
实现车载系统的闭环自动测试
利用便携式测试仪,向一组线圈发送,从另外一组 线圈感应,自动测试整个机车信号车载系统的功能
2011-9-5 17
4.机车信号带电源接线盒 接线盒功能
实现系统各设备的配线连接 含有两个安全电源模块 满足电磁兼容标准
8.4.1 设备软件安全性要求
验证与更改阶段
测试所有的可能的分支组合 充分利用已有的、自己开发的测试工具 测试极限参数情况的响应 检测程序控制流,是否简单合理 对程序响应时间进行限制检测
向主机提供电源(主路及受控路) 两路接收线圈感应信号 TAX2箱发送信号
测试主机性能
上电自检时间、灵敏度指标、应变时间、双套工作状态、 并口输出、串口输出、记录板功能等。
2011-9-5 27
7.3 其它测试设备
环线测试设备TJF-03A型、TJF-03B型
用于日常机车出入库检查 采用数字频率合成技术,精度高 采用多通道独立电源,提高了信号输出功率及可靠 性
2011-9-5
28
7.3 其它测试设备
便携式信号发码器
TX98-3A通用试机车信号发码器 体积小、功能全 可直接作用于机车接收线圈而不再需布环线 设备安装、测试、检修时使用
2011-9-5
29
8. 系统安全性分析
接收主机的安全性 并行接口的安全性 串行接口的安全性 软件的安全性
设备软件的安全性要求 设备软件安全性分析
2*CAN/ 1*RS485
外部切换控制
接收线圈1
主机板A
并口输 出
接收线圈2
主机板B
并口输 出
2*CAN/ 1*RS485
并 点灯输出 显示 出 机构 切 换 机 构
串口通信
监控装 置
信号记录板
TAX2箱
图2-2 接收主机结构原理框图
2011-9-5
7
2.2二取二工作原理
两路独立接收译码通道
同一接收线圈绕组 独立隔离放大器,独立A/D转换 独立接收译码处理与输出
6. 机车信号记录器
另外单独介绍
2011-9-5
24
7. 机车信号测试系统设计
系统日益复杂,对测试提出了高要求
出厂检测、日常使用维护、故障后维修
JT1-CZ2000 JT1-CZ2000研发同时考虑了测试系统设计
2011-9-5
25
7.1 系统测试
系统测试,主要用于现场日常使用维护,也可 用于出厂测试
JT1-CZ2000型 型 主体化机车信号车载系统技术报告
技术报告内容: 技术报告内容:
1 设备构成 2 主机 3 双路接收线圈 4 带电源接线盒 5 机车信号显示器 6 记录器 7 测试系统的设计 8 系统安全性分析 9 系统可靠性分析 10 结论
2011-9-5 2
百度文库
1.设备构成
地面处理设备 CF卡 TAX2箱
两个CPU独立输出控制
译码结果比较 并口输出控制 串行口输出控制
2011-9-5
8
直流110V 50V动态 点灯电源 关断2 1*CAN/ 1*RS485 关断1
译码DSP1 (隔离+A/D+DSP)
双口 RAM
输出控制 CPU1
同步 串口 动态数 据比较
继电器及 光耦输出
译码DSP2 (隔离+A/D+DSP)
速度等级信号SD2,SD3
大多情况SD2与SD3是10或01,断线混线会出现11,后级 设备可立即发现
2011-9-5
34
8.2 并行接口的安全性
断线且混线故障
如果考虑SD1有断线故障同时又与高电平信号线相 混的极端情况出现,则输出会升级,如下表 因此对于后级设备可以采用串行接口传输速度等级 信息来解决速度等级、绝缘节、制式信息的严格安 全问题。
点灯信号是关键信号,断线变成灭灯,是安全的 速度等级是关键信号,断线等级降低,是安全的 制式信号、绝缘节信号,部分选择使用,不保证
断线且混线故障
混线在主机一侧,通过反馈可发现,是安全的
2011-9-5
33
8.2 并行接口的安全性
断线且混线故障
混线在输出一侧线上,情况较复杂 点灯信号
相当于8中取1码方式,断线混线会产生2路灯线都有信号, 后级设备或人可立即发现并确认为无效
最小短路电流400mA 应变时间 无码到有码/载频切换小于2.6秒,载频不变小于4.1秒 未检测到载频2.6秒或未正确接收信息4.7秒,转无码
2011-9-5
16
3.双路接收线圈
提高系统可靠性 保持原接收线圈的电气参数、安装位置不变
与TB/T2859-1997规定的电路接收线圈相同,误差 改为不大于7.5%(参见资料三【技术条件】)
8×16点阵
点灯线取电源 双CPU比较的安全设计 使用与原来显示器兼容 功耗比灯丝灯泡稍小
实测点灯输出最大152mA,最小81mA(与颜色有关)
2011-9-5
22
电路技术原理
信号检测 1 灯线输入 5V
CPU1
电源 变换 信号检测 2
显示 控制
显示点阵模块
CPU2
硬件电路框图
2011-9-5 23
2011-9-5
30
8.1 接收主机的安全性
二取二的安全结构
两路独立的信号接收处理
每路A/D动态控制DSP进行工作,DSP同时监测A/D频率 DSP不断对程序EPROM和数据RAM进行测试
两路独立的输出控制
译码结果比较 两路关断控制和一路安全动态控制受控电源 输出反馈检测(继电器接点、灯位电平输出等) 控制CPU各自独立的动态监督单元 开机自检时,监测DSP输出数据的频率 工作中互相监测控制CPU输出数据的频率
2011-9-5
18
4.机车信号带电源接线盒
新电源模块的技术改进
效率 输出功率富裕量 过压、过流保护,延时输出 输入与输出完全隔离 减少使用可靠性较低的器件
2011-9-5
19
5.机车信号显示器
传统灯丝灯泡显示器的缺点
功耗大
5W60V灯泡,实测点灯输出165mA
现场灯泡使用不规范
5W、6W、8W都有,质量参差不齐
13
2.3双套热备工作原理
采用原来JT1-B切换电路
在主机故障时切换到备机
采用动态信息交换
断线检测功能
不掉码切换:当主机检测到断线后约2秒时切换到备机
前级故障,且断线监测失效,主机掉码后,小于7 秒切换到备机(JL:7,YP/UM:4)
2011-9-5
14
2.4信号接收处理原理
32位浮点运算DSP 移频、UM71、交流计数、UM2000平行接收 译码输出次序
2011-9-5
40
8.4.1 设备软件安全性要求
需求和详细设计阶段
需求分析
JT1-A/B为基础 新功能要求 安全要求
结构化设计
小的可管理的模块 系统的程序结构,描述信息传递行为
标准设计方法
不使用或限制使用某些语言结构 减少中断的使用
尽可能使用JT1-A/B中的软件模块或部件
2011-9-5
41
8.4.1 设备软件安全性要求
HU
HU1 HU H
H 010 001 101 001 B
无码 无码
36
8.3 串行口的安全性
串口安全性:
信息源的安全性
容易有问题
传输通道的安全性
多种校验解决,问题一般不大
2011-9-5
37
8.3 串行口的安全性
信息源的安全性
CAN总线传输 主机板上A、B两路,地址不同,信息一致,后 级设备接收比较,可保证安全 RS485总线传输 主机板上A发、B收反馈检测,如果不一致B复位 (并造成A也复位),后级设备同时检测并口,并 接收串口,可保证安全 或A发、B发,后级设备接收比较,可保证安全
双口 RAM
输出控制 CPU2
1*CAN总线
反馈检查
2*CAN/1*RS485
图2-3 主机板二取二结构框图
2011-9-5 9
并口输出控制
CPU1、CPU2接收前级译码并比较 CPU1控制电路采用原来JT1-A/B电路
控制点灯输出,光电开关 进行反馈检查
CPU2新增安全控制电路
控制大电流继电器,可关断点灯电源 控制动态控制安全点灯电源 进行反馈检查
专门的便携式机车信号系统测试仪BT-01/X型 利用接线盒110V电源 通过控制I、II端选取,利用双线圈一发一收,控 制选取主机接收,读取点灯输出、串口输出自动检 测整个车载系统功能
2011-9-5
26
7.2 主机测试
测试主机的各项性能,主要用于主机设备的生 产测试、使用中地面维护测试
专门的主机测试台BT-01T/2000型 模拟车上使用环境
一出一入两路RS485,可全双工,或反馈检测 目前对LKJ-2000计划采用反馈检测方式
RS485总线A 下一级接收设备 RS485总线B 并行口点灯输出 CPU1 CPU2
CPU1
CPU2
下一级接收设备
主机板A
主机板B
2011-9-5
12
电路板形式
采用小插板结构
维修更容易 升级更容易
2011-9-5
任何环节出问题,进入复位自检重启动
2011-9-5 10
串口输出控制
采用CAN总线方式输出
接收设备对主机板上两路输出比较来保证安全
CAN总线A 下一级接收设备A
CAN总线B CPU1 CPU2 CPU1 CPU2
下一级接收设备B
主机板A
主机板B
2011-9-5
11
串口输出控制
采用RS485总线方式
2011-9-5
35
8.2 并行接口的安全性
灯光显示 信息名称 L3 L L2 L LU3* LU LU LU2 U U U3 U2S U2S、U2 U2
2011-9-5
速度等级 110 101 001 110 001 101
灯光显示 UUS、 UU
信息名称 UUS UU HB
速度等级 101 001 101 110 001 100 100 001
2011-9-5
4
2.1硬件结构
四个插槽 与JT1-B(SJ-94)安装使用兼容 可选用单套、双套 满足电磁兼容标准要求
2011-9-5
5
记录板
Z1 Z2 保险
主机板A
主机板B
A A A
连接板
B B B
保险A 保险B CF 卡 A IN1 IN2 按钮 B
图2-1主机机箱结构
2011-9-5 6
CF卡
机车信号 主机 显示 显示
并口
便携测试仪
地面记录数 据分析系统
含电源接线盒
串口
监控装置
双路接收线圈
双路接收线圈
图1-1 JT1-CZ2000主体化机车信号车载系统构成框图 2011-9-5 3
2.主机
2.1 2.2 2.3 2.4 硬件结构 二取二工作原理 双套热备工作原理 信号接收处理原理
可靠性低 灯泡高速条件下分析容易断丝 显示信息种类少
2011-9-5
20
5.1 双面8色灯LED机车信号显示器
专门为机车信号设计的LED信号灯 可靠性高 功耗低
实测点灯输出最大52mA,最小47mA(与颜色有关)
高速条件下无断丝问题
2011-9-5
21
5.2 双面点阵式机车信号显示器
字符或图形方式显示
开机/无码时:UM71、移频、交流计数、UM2000 / UM71 UM2000 有输出后,保持原来制式输出
2011-9-5
15
2.4信号接收处理原理
译码方式
YP:频域处理,应变时间≯ 2S, 信干比优于1:3 UM71:时域辅以频域,应变时间≯ 2S,其它不变 交流计数:程序移植并优化,抗干扰能力提高 UM2000:参照TVM430指标进行接收
2011-9-5
38
8.3 串行口的安全性
传输通道的安全性
CAN总线传输
非破坏性帧仲裁结构,CRC校验方式
RS485总线传输
多机RS485通信信息帧结构,累加和及CRC两种校验方式
2011-9-5
39
8.4 软件的安全性
8.4.1 设备软件安全性要求
IEC61508: Functional safety of electrical/electronic/programmable electronic safety-related systems EN50128: Railway Applications: Software for Railway Control and Protection Systems EN50129: Railway Applications: Safety related electronic systems for signalling