Vital Processor Interlocking
Het Vital Processor Interlocking (VPI) platform is gebaseerd op één enkele processor met een interne verificatie van de systeemintegriteit. Het programma voert opdrachten uit met formules in Booleaanse algebra, afgeleid van de relaistechnologie (van dezelfde leverancier). Het systeem is geschikt voor middelgrote en kleine stations. De eerste VPI’s werden bij NS voor het eerst in 1992 toegepast in Hoorn (twee installaties) en één in Hoorn-Kersenboogerd. Vital is in de Amerikaanse wereld een term die wordt gebruikt voor de fail-safe eigenschappen (zoals een B-relais ook wordt aangeduid als een vital relay).
De eerste contacten tussen NS en GRS warbij een VPI prototype getoond werd, dat nabij Rochester NY op Chili Junction getest werd, dateren uit 1983.
VPI prototype in het GRS lan te Rochester. 1983 foto Wim Coenraad
Daarna werd in een intensieve samenwerking de NISAL technologie em de wiskundige achtergrond daarvan geanalyseerd. Op basis daarvan werd besloten dat op NISAL gebaseerde producten in Nederland konden worden gebruikt.
In 1990 waren er besprekingen tussen NS, en GRS/ASI/Alcatel/SEL over de invoering van VPI. In 1991 was de eerste VPI installatie op Hoorn Kersenboogerd gereed, maar moest door GRS nog een aansturing voor Geel-Knipper seinen worden ontwikkeld. Op 29 aril 1992 ging de eerste VPI in dienst voor een proefperiode.
Bron 25 jaar VPI, Gea Kolk/Movares
VPI is een systeem met een enkelvoudige hardware en software en is gebaseerd op één enkele processor met een interne verificatie van de systeemintegriteit. Het programma voert opdrachten uit met formules in Booleaanse algebra, afgeleid van de B-relais logica van dezelfde leverancier, waarbij het veiligheidsprincipe is gebaseerd op het coderen van de data (de variabelen in ie Booleaanse vergelijkingen) gecombineerd met een check cycles waarbij ene veiligheid relais bekrachtigd moest zien te blijven. Als daarbij fouten optreden valt dat Vital Relay af en worden alle uitgangen spanningsloos gemaakt zodat alle seinen in de stand stop terugvallen en dus de veilige systeemstaat (althans vanuit de techniek bezien) wordt bereikt.
De veiligheidsbewijsvoering voor het platform (nu zouden we de term Generic Product Safety Case gebruiken) bestond uit een wiskundige analyse op basis waarvan werd aangetoond dat de kans op een onveilige faalwijze van die zgn Numerically Integrated Safety Assurance Logic (NISAL) een bepaalde bovengrens had.
In 1990 waren er besprekingen tussen NS, en GRS/ASI/Alcatel/SEL over de invoering van VPI. In 1991 was de eerste VPI installatie op Hoorn Kersenboogerd gereed, maar moest door GRS nog een aansturing voor Geel-Knipper seinen worden ontwikkeld. Op 29 aril 1992 ging de eerste VPI in dienst voor een proefperiode.
In tegenstelling tot wat NS bij de invoering van de EBS probeerde, was de applicatielaag in eerste instantie niet gestandaardiseerd. De filosofie was dat seinwezen ontwerpers relais schema's kenden en dat die relatief eenvoudig in Booleaanse vergelijkingen om te zetten zijn, zonder dat de ontwerper veel IT kennis nodig had. Daar viel wel iets op af te dingen, er is wel verschil tussen een relaisbeveiliging met een relatief-time karakter en de cyclische verwerking op volgorde van alle booleaanse vergelijkingen, waarmee rekening moet worden gehouden. Net zoals voor de relaisbeveliging modelschema's in de ontwerp voorschriften werden vastgelegd, werd voor de VPI typicals, gestandaardiseerde booleaanse vergelijkingen, en tooling voor het ontwerpen en testen van het ontwerp ontwikkeld. Zo heft ProRail nu bijvoorbeeld een Ontwerpvoorschrift (OVS) OVS60251 waarin die ontwerpreges en de structuur van de inputfiles zijn beschreven.
Een interessant detail is dat voor die Nederlandse VPI logica door Holland Railconsult (nu Movares) in samenwerking met de Rijksuniversiteit Utrecht een formele analyse van de foutvrijheid van de veiligheidseisen zoals geïmplementeerd in de applicatie logica voor de eersteling in Hoorn Kersenboogaard is uitgevoerd. Een van de eerste pogingen om in het seinwezen zulke formele methoden toe te passen.
Literatuur en achtergronden:
Kroniek van het seinwezen
VPI hoofdstuk in RIO 108 (Cursusboek Beheerisng, Sturing en Beveiliging van Railinfraopleidingen, enigszins gedateerd en niet in de public domain verkrijgbaar)
Safety_Criteria_for_Hoorn-Kersenboogerd_Railway_Station (Fokkink, Wan. (1995). Safety Criteria for Hoorn-Kersenboogerd Railway Station.)
The Vital Processor Interlocking , S.F.M. van Vlijmen 1, J.F. Groote, J.W.C. Koornvan Vlijmen
Presentatie 25 jaar VPI in Nederland (Gea Kolk, 6 juli 2017