DE102007061807A1 - Sicheres Verfahren zum Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg - Google Patents

Sicheres Verfahren zum Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg Download PDF

Info

Publication number
DE102007061807A1
DE102007061807A1 DE102007061807A DE102007061807A DE102007061807A1 DE 102007061807 A1 DE102007061807 A1 DE 102007061807A1 DE 102007061807 A DE102007061807 A DE 102007061807A DE 102007061807 A DE102007061807 A DE 102007061807A DE 102007061807 A1 DE102007061807 A1 DE 102007061807A1
Authority
DE
Germany
Prior art keywords
client
server
list
command
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102007061807A
Other languages
English (en)
Inventor
Marcus Hellwig
Peter Schließmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DB INTERNAT GmbH
DB INTERNATIONAL GmbH
Original Assignee
DB INTERNAT GmbH
DB INTERNATIONAL GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DB INTERNAT GmbH, DB INTERNATIONAL GmbH filed Critical DB INTERNAT GmbH
Priority to DE102007061807A priority Critical patent/DE102007061807A1/de
Publication of DE102007061807A1 publication Critical patent/DE102007061807A1/de
Ceased legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/70Details of trackside communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum datenbankgestützten sicheren Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg. Hierbei wird mindestens eine Datenbank auf mindestens einem zentralen Stellwerksserver permanent mit mindestens einer Datenbank auf mindestens einem Client, der mindestens ein Element der Außenanlage steuert und überwacht, synchronisiert. Die zu synchronisierenden Daten bestehen aus Befehls-Transaktionsmeldungen, die vom Server automatisch und/oder durch manuelle Bedienung in den Server eingegeben werden, und Überwachungs-Transaktionsmeldungen, die den von Sensoren an der Außenanlage der Clients tatsächlich ermittelten Zustand des Clients beschreiben. Bei der Synchronisation wird der Sollzustand der Elemente der Außenanlage permanent mit dem durch den Server vorgegebenen Ist-Zustand verglichen und der Synchronisationsprozess so lange abgearbeitet, bis Sollzustand und Istzustand miteinander übereinstimmen.

Description

  • Die Erfindung betrifft ein Verfahren zum datenbankgestützten, sicheren Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg.
  • Der Fahrbetrieb von Schienenfahrzeugen wird bei technisch gesicherten Strecken zentral von einem für den entsprechenden Infrastrukturbereich zuständigen Stellwerk geleitet und gesichert.
  • Die Elemente der Außenanlage des Stellwerks, wie z. B. Signale, Weichen, Bahnübergänge, Blockeinrichtungen etc. müssen von der Stellwerkslogik dabei signaltechnisch sicher gesteuert und überwacht werden.
  • Hierfür müssen die Elemente der Außenanlage ihre Befehle zuverlässig und sicher vom Stellwerk erhalten.
  • Genauso zuverlässig und sicher muss gewährleistet sein, dass im Stellwerk zutreffende Informationen über den Zustand der Elemente der Außenanlage vorliegen.
  • Die Kommunikation zwischen den Elementen der Außenanlage und dem Stellwerk muss also gewährleisten, dass die Informationen, die ausgetauscht werden, unverfälscht übermittelt werden.
  • Um diese Sicherheit zu erreichen, hat man bisher im Netz der DB AG Telekommunikationskabel eingesetzt. Die aufwändige Verkabelung bringt die Nachteile hoher Installationskosten sowie die räumliche Beschränkung der Stellbezirke auf Stellentfernungen von circa 15 km mit sich.
  • Aus DE 41 07 639 A1 ist eine Einrichtung zur signaltechnisch sicheren Fernsteuerung einer Unterstation einer Eisenbahnanlage bekannt. Hierbei wird über Kabel ein Stellbefehl, der eine Stellhandlung mit Sicherheitsverantwortung auslöst, zunächst ohne signaltechnische Sicherheit in die Unterstation übertragen. Danach wird die Stellhandlung, bevor sie ausgeführt wird, über den signaltechnisch sicher ausgelegten Meldeweg in die zentrale Station zurück gespiegelt. Nach nochmaliger Kontrolle des Stellbefehls wird ein signaltechnisch sicher wirkendes Ausführungskommando an die Unterstation übertragen. Als Ausführungskommando wird ein in der Unterstation erzeugter, dort gespeicherter Sicherungscode verwendet. Dieser wird zusammen mit der zu spiegelnden Stell handlung an die Zentralstation übermittelt. Als Ausführungskommando wird er in der Zentralstation erneut eingegeben, nicht sicher zur Unterstation übertragen und dort mit dem ursprünglichen Sicherungscode verglichen. Bei Übereinstimmung wird die Stellhandlung ausgeführt.
  • Dieses Verfahren ist jedoch an die Verwendung von Datenübertragungskabeln gebunden, so dass die Stellentfernung auf etwa 10 bis 15 km beschränkt ist.
  • Aus DE 10 2004 062 987 A1 ist ein Verfahren zur Realisierung eines virtuellen Streckenblocks unter Nutzung funkgesteuerter Fahrwegelemente bekannt, bei der die steuerbaren Fahrwegelemente über Funk angesteuert werden.
  • Das Verfahren ist allerdings nicht dazu geeignet, alle erforderlichen Stellbefehle von elektronischen Stellwerken sowie die Rückmeldungen der Elementansteuermodule, die für den Eisenbahnbetrieb auf Hauptstrecken erforderlich sind, zu verarbeiten.
  • Aus EP 1 420 566 A1 ist ein Verfahren und eine Vorrichtung zum Datenaustausch zwischen mobilen Endgeräten und zentralen Diensten unter Verwendung eines Kommunikationsservers, der die Anfragen der mobilen Endgeräte an die zentralen Dienste umsetzt, bekannt. Dieses Verfahren beschränkt sich auf den Austausch von Daten mittels Verwendung von Datenarrays zwischen Client und Server. Das Verfahren ist allerdings nicht dazu geeignet, alle erforderlichen Stellbefehle von elektronischen Stellwerken sowie die Rückmeldungen der Elementansteuermodule, die für den Eisenbahnbetrieb auf Hauptstrecken erforderlich sind, auch bei Systemausfall, programmgemäß sicher zu verarbeiten (hin- und rückzumelden).
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren für eine kabellose Datenübertragung zur Ansteuerung von Elementen der Leit- und Sicherungstechnik über große Stellentfernungen (ca. 50 km) hinweg zu realisieren und die Anzahl von Steuerungsanlagen der Leit- und Sicherungstechnik (Kabelwege und gegebenenfalls Elementansteuermodule, EAM) zu reduzieren, wobei die Durchführung der Stellbefehle und -rückmeldungen unter stringenter Berücksichtigung der Stellwerkslogik mindestens so sicher wie bei der Bestandstechnik erfolgen muss. Die Daten sollen über ein sicheres Intranet (https) übertragen werden.
  • Diese Aufgabe wird durch Anspruch 1 erfindungsgemäß folgendermaßen gelöst:
    Jede Stellaktion eines Clients geht vom Server des Stellwerks aus, entweder automatisch oder durch Handbedienung des Fahrdienstleiters. Der Server muss hierfür einerseits drahtlos die Stellbefehle an den Client senden und andererseits die Durchführung der Befehle überwachen, wozu vom Client an den Server Informationen über dessen Zustand drahtlos zurückgemeldet werden. Hierfür wird zwischen Befehls- und Überwachungsdaten unterschieden.
  • Zu jedem übergeordneten Stellbefehl, der vom Server automatisch und/oder durch manuelle Bedienung in den Server eingegeben wird, gehören definierte einzelne Befehlsschritte, die Befehls-Transaktionen, die vom Server an den Client in einer bestimmten Reihenfolge (Programm) sicher übertragen und dort abgearbeitet werden müssen.
  • Als Clients dienen alle Stelleinheiten (STE), Anschlusseinheiten (ASE) oder Elementgruppen (EAM) der Außenanlage. Dazu gehören u. a. Signale, Weichen, Bahnübergänge, Gleisfreimeldeanlagen, Achszähler etc.
  • An den Clients der Außenanlage sind Sensoren angebracht, die den tatsächlichen Zustand der Clients ermitteln. Die zugehörigen Überwachungs-Transaktionsmeldungen werden von den Clients an den Server gesendet.
  • Aufgrund der drahtlosen Verbindung können keine Kabelschäden durch Vandalismus oder Unfälle auftreten.
  • Die Energieversorgung der Anlagen der Leit- und Sicherungstechnik erfolgt vor Ort entweder über die transformierte Spannung aus der Oberleitungsspeiseleitung, aus der örtlichen Energieversorgung oder aus photovoltaischen Quellen, z. B. aus Dachflächen der Betriebsstellen.
  • Erfindungsgemäß wird mindestens eine Datenbank auf mindestens einem zentralen Stellwerksserver permanent mit mindestens einer Datenbank auf mindestens einem Client, der mindestens ein Element der Außenanlage steuert und überwacht, synchronisiert. Die Synchronisation gewährleistet, dass jederzeit eindeutig erfasst ist, ob der tatsächliche Zustand des Clients mit dem von dem Stellbefehl definierten Sollzustand übereinstimmt oder nicht.
  • Die Server-Datenbank gilt als synchronisiert zu den Client-Datenbanken, wenn alle vom Server vorgegebenen Befehle sicher vom Client abgearbeitet und die zugehörigen Überwachungsmeldungen vom Client an den Server erfolgreich übertragen wurden, so dass der Sollzustand sowohl in der Server-Datenbank als auch in der entsprechenden Client-Datenbank identisch erreicht ist.
  • Sind die Datenbanken von Client und Server synchronisiert, kann mit ausreichender Sicherheit davon ausgegangen werden, dass der Stellbefehl wie vorgesehen vom Client abgearbeitet wurde.
  • Die Kommunikation zwischen Server und den Clients ist quasi kontinuierlich, d. h. die Server-Datenbank tauscht mit jeder Client-Datenbank permanent Daten aus. Dies gewährleistet eine permanente Überwachung der Stellelemente in der Außenanlage, ohne die der sichere Betrieb des Stellwerks nicht möglich wäre.
  • Im Allgemeinen reicht ein einziger Server mit einer einzigen Datenbank in einem Stellwerk aus, um die zum Stellwerk gehörenden Clients zu steuern und zu überwachen. Es ist aber auch denkbar, dass mehr als eine Datenbank auf dem Server und oder mehrere Server mit jeweils mindestens einer Datenbank im Stellwerk eingerichtet sind, die entsprechend mit in die Kommunikation einzubeziehen sind. Weiterhin ist es mit dem erfindungsgemäßen Verfahren möglich, dass die Informationen zwischen zwei oder mehr Stellwerken ausgetauscht werden, das heißt, dass von einem Stellwerk aus die Clients anderer Stellwerke mitgesteuert werden.
  • Falls ein bereits erteilter Stellbefehl zurückgenommen werden soll oder im Notfall durch einen anderen ersetzt werden muss, löscht der Server in der Befehls-Transaktionsliste alle Einträge bezüglich der noch nicht ausgeführten Befehle. Anschließend wird der neue Stellbefehl übermittelt.
  • Ein besonderer Vorteil der Erfindung ist insbesondere, dass die Bestandstechnik sowohl beim Elektronischen Stellwerk (ESTW) an sich als auch in der Außenanlage weitestgehend beibehalten werden kann. Es werden nur die Komponenten benötigt, die zum Senden und Empfangen der Daten erforderlich sind. Außerdem ist es prinzipiell möglich, unter Verwendung von Signalverstärkern o. ä., Stellentfernungen zu realisieren, die weit über die genannten 50 km hinausgehen.
  • Ansprüche 2 bis 5 beinhalten vorteilhafte Ausführungsformen der erfindungsgemäßen Lösung aus Anspruch 1.
  • In Anspruch 2 ist beschrieben, wie die Synchronisation der Datenbanken vorteilhaft erfolgt. Voraussetzung der Synchronisation ist eine eineindeutige Adressierung der beteiligten Datenbanken und der kommunizierten Daten.
  • Bei Aufnahme des Systembetriebs oder nach einem Ausfall muss der Client neu gestartet werden. Beim Start des Clients wird im Server eine eindeutige Laufzeit-ID für den Client generiert und dem Client zugeteilt. Genauso hat jede Server-Datenbank eine eindeutige ID. Somit kann die Kommunikation zwischen Server und Clients eineindeutig adressiert werden.
  • Auch jede Transaktion bekommt eine eindeutige Transaktions-ID. Die vom Server kommenden Befehle erhalten eine Befehls-Transaktions-ID, während die vom Client gesendeten Überwachungsmeldungen eine Überwachungs-Transaktions-ID erhalten. Jede Transaktions-ID ist auch innerhalb aller Clients eindeutig.
  • Eine sogenannte Root-Liste in der mindestens einen Server-Datenbank enthält die zu jedem Client gehörenden Daten, die von dieser Server-Datenbank ver waltet werden. In der Root-Liste ist also für jeden Client einzeln festgehalten, welche Befehls-Transaktionen vom Server an den Client gesendet wurden, welche Befehls-Transaktionen vom Client an den Server zurückgemeldet wurden und damit als vom Client empfangen gelten, welchen Status der Client anhand seiner Überwachungsmeldungen an den Server gesendet hat und ob der Server den Empfang der Überwachungsmeldungen quittiert hat.
  • Jeder zu überwachende Client besitzt jeweils eine eigene Datenbank, in der der aktuelle Stand des Befehlsspeichers zur Verfügung gestellt wird. Weiterhin besitzt die Datenbank Transaktionstabellen, in denen alle Befehls-Transaktionen, die über den Server im Stellwerk vorgenommen wurden, chronologisch hinterlegt werden, zusammen mit den von den Sensoren gemeldeten Überwachungs-Transaktionen, die zu den entsprechenden Befehlen gehören. In eigenen Hilfstabellen sind diejenigen Befehls-Transaktionen gelistet, die noch nicht abgearbeitet und somit noch nicht synchronisiert wurden. Dort passen also die Befehls-Transaktionen noch nicht mit den zugehörigen Überwachungs-Transaktionen zusammen.
  • Nachdem ein Stellbefehl im Server ausgelöst wurde, läuft die Synchronisation zwischen einem Server und einem Client folgendermaßen ab:
    • 1. Der Server übermittelt dem zugehörigen Client zusammen mit der Laufzeit-ID eine Liste aller zum Stellbefehl gehörenden Befehls-Transaktionen und speichert diese in der Root-Liste.
    • 2. Der Client mit der passenden Laufzeit-ID empfängt die Befehls-Transaktionen und speichert diese in der Transaktions-Liste seiner Datenbank.
    • 3. Der Client beginnt mit der Abarbeitung der Befehlstransaktionen in der Reihenfolge, in der sie in der Transaktions-Liste seiner Datenbank gespeichert sind.
    • 4. Der Client ermittelt mithilfe von Sensoren seinen Status und speichert ihn in seiner Datenbank ab.
    • 5. Der Client ermittelt, ob sich sein Status verändert hat. Wenn ja, trägt er dies in der Transaktions-Liste seiner Datenbank in all jenen Datenbankzeilen ein, die zu den die Statusänderung auslösenden Befehlstransaktionen gehören.
    • 6. Der Client bildet Quersummen der einzelnen Einträge in der Transaktions-Liste seiner Datenbank und schickt diese Quersummenliste zusammen mit der Laufzeit-ID als Statusmeldung zum Server.
    • 7. Der Server empfängt die vom Client gesendete Statusmeldung.
    • 8. Nach Empfang der Statusmeldung bildet der Server mit den bisherigen Einträgen in der Root-Liste, die zu diesem Zeitpunkt nur den Sollzustand beschreiben, ebenfalls die Quersummen aller Einträge.
    • 9. Nun vergleicht der Server die Quersummenliste, die der Client gesendet hat, mit der Soll-Quersummenliste, die der Client schicken müsste, wenn alle Datenbankzeilen korrekt abgearbeitet wären. Stimmen die Quersummen überein, wurden die Befehle erfolgreich abgearbeitet, was der Server durch einen entsprechenden Eintrag mit der entsprechenden Laufzeit-ID in die Root-Liste dokumentiert. Stimmen die Quersummen nicht überein, werden die zugehörigen Befehle vom Server auf die neue Befehls-Transaktionsliste geschrieben, die somit alle noch nicht abgearbeiteten Befehle enthält.
    • 10. Der Server sendet dem Client die neue Befehls-Transaktionsliste, wie unter Punkt 1 beschrieben. Der Client vergleicht die neue Befehls-Transaktionsliste mit der zuvor gespeicherten. a. Zulässige Unterschiede gibt es nur bei den Befehls-Transaktionen, die zuvor vom Client erfolgreich abgearbeitet wurden. Dies wird somit dem Client vom Server quittiert. Die entsprechenden Einträge können vom Client nun gelöscht bzw. überschrieben werden. Der Vorgang wird solange fortgesetzt, bis alle Befehle erfolgreich abgearbeitet wurden. Danach ist die Root-Liste synchronisiert. b. Unzulässige Unterschiede zwischen der alten und neuen Befehls-Transaktionsliste, wie z. B. das Auftauchen neuer Befehle oder die Nichteinhaltung der chronologisch erforderlichen Reihenfolge, werden hierbei sicher als Fehler erkannt und führen dazu, dass die Root-Liste als nicht synchronisiert gilt. Dann wird der Synchronisierungsprozess, und zwar bei dem zeitlich aktuellen Stellbefehl- oder bei der aktuellen Überwachungsmeldung wieder aufgenommen. Dieser Prozess wird kontinuierlich durchgeführt und endet erst bei Niederfahren des Systems oder bei Systemausfall. Die Stellwerkslogik schreibt vor, in welcher Zeitspanne die Prozesse, d. h. die Programmschritte, durchgeführt sein müssen, so dass beispielsweise das Umlaufen einer Weiche zur Unzeit genauso verhindert wird (z. B.: Einschalten Umlaufsperre), wie in einem konventionellen Stellwerk. Auch die Anzahl der Umlaufversuche wird durch die Stellwerkslogik vorgeschrieben und im System verarbeitet.
  • Erst wenn die Root-Liste synchronisiert wurde, sind neue Stellbefehle möglich.
  • Im Anspruch 3 ist beschrieben, wie bei einem nicht sicherheitsrelevanten, kurzzeitigen Ausfall eines Teilsystems die Befehlsfolge und deren Abarbeitungsstand gesichert ist, so dass bei Wiederaufnahme des Betriebs der Teilsysteme die Befehlsfolge ordnungsgemäß weitergeführt wird.
  • Nach der Stellbefehl-Eingabe werden die Stellbefehle im Stellwerksserver gespeichert. Dann werden die Stellbefehle an die Clients gesendet. Solange Sender und Empfänger online Kontakt zueinander haben, können die Befehle vom Stellwerksserver aus direkt zu den Clients gesendet werden. Die Clients nehmen die Befehle entgegen, speichern sie und führen sie anschließend aus.
  • Besteht kein Online-Kontakt zwischen Sender und Empfänger, arbeitet die Vorrichtung im Offline-Modus. Die noch nicht ausgeführten Stellbefehle werden solange beibehalten, bis wieder ein Kontakt zwischen Sender und Empfänger existent ist. Ist der Kontakt wiederhergestellt, werden die Befehle wie zuvor beschrieben bearbeitet.
  • Das erfindungsgemäß verwendete sichere Rückbestätigungsverfahren verläuft wie folgt:
    Solange Sender und Empfänger online Kontakt zueinander haben, bestätigen die Clients die Ausführung der Befehle, sobald sie diese ausgeführt haben.
  • Besteht kein Online-Kontakt zwischen Sender und Empfänger, werden die nicht ausgeführten Rückmeldungen solange beibehalten, bis der Kontakt zwischen Sender und Empfänger wiederhergestellt ist. Ist der Kontakt wiederhergestellt, werden die Rückbestätigungen wie zuvor beschrieben gesendet.
  • Bei einem Kommunikationsausfall, der länger als eine betrieblich sicherheitsrelevante Zeitspanne dauert, kann die betriebliche Sicherheit nicht mehr gewährleistet werden. Die Elemente der Außenanlage müssen sofort automatisch in einen betrieblich sicheren Grundzustand geschaltet werden.
  • Laut Anspruch 4 wird als Protokoll zur Datenübertragung das Internet Protocol (IP) verwendet.
  • Dies hat den Vorteil, dass eine bewährte Technologie verwendet wird, die gewährleistet, dass die zu übertragenden Informationen sicher übertragen werden, bzw. im Fehlerfall zuverlässig erfasst wird, dass Daten verlorengegangen sind.
  • Gemäß Anspruch 5 erfolgt die Kommunikation zwischen Stellwerksserver und Clients vorzugsweise über das WireLess (Wimax, HSPA oder gleichartige) Intranet der Bahn. Hierdurch sind Stellentfernungen von bis zu 50 km möglich, bei Verwendung von Signalverstärkern o. ä., auch weit darüber hinaus.
  • Dazu werden auf geeigneten Standorten, z. B. im Bereich der Bahn befindlichen Liegenschaften oder Pachtgrund, HF-Antennen im Abstand einer für das Ansteuern der Elemente notwendigen Ausleuchtung angebracht.
  • Die betriebsmäßige Sicherheit der Stellbefehle und der sicheren Rückbestätigungen wird erreicht durch Hard- und Softwarekomponenten, welche über das genannte WireLess (Wimax, HSPA oder gleichartige) Intranet der zentralen Dienste (Hosts) kommunizieren.
  • Die Erfindung wird nachstehend anhand eines Ausführungsbeispiels, zweier Figuren und 5 Tabellen näher erläutert.
  • Die 1 zeigt auf der linken Seite schematisch eine Stellwerks-Architektur, mit Stellwerks-Server (3), kabelloser Datenübertragung über WiMAX (4), den zugehörigen Gateways (5), APs (6) und Clients (7), sowie die Elemente der Außenanlage (8) mit Energieversorgung und den Elementansteuermodulen mit Hochfrequenz-Empfängern, beziehungsweise -Sendern. Auf der rechten Seite erfolgt die Datenübertragung einmal über DSL (10) und andererseits über Ethernet to Fiber Ring (11). Vor der Außenanlage im rechten unteren Teilbild ist noch ein elektronisches Stellwerk, ESTW A (9), geschaltet. Dieses ESTW wird also vom übergeordneten Stellwerksserver (3) ferngesteuert.
  • 2 zeigt schematisch einen Weichenantrieb (12) mit den zugehörigen Anschaltkontakten (14 und 15).
  • Wenn nach dem Weichenanlauf nach circa zwei Umdrehungen die Antriebskontakte Ak+ (14) abschalten, wird die Wicklung an N21 von N getrennt und mit den beiden anderen Wicklungen zum Stern geschaltet. Der Weichenantrieb läuft nun mit voller Kraft um. Spannung und Strom können über einen Wandler an der Phase L2 gemessen werden (13). Über N fließt jetzt kein Strom mehr.
  • Beim Erreichen der Linkslage schalten die Antriebskontakte Ak– (15) und trennen die Sternschaltung wieder in den unverketteten Zustand auf.
  • In Tabelle 1 sind schematisch die Datenbanken von Server und Client dargestellt, zusammen mit der drahtlosen Übertragung und einer Weiche als beispielhaftes Element der Außenanlage. Auf der Datenbank des Servers befinden sich die Transaktionstabellen. Die Tabelle 1a ist die Transaktionstabelle der Clientdatenbank, Tabelle 1b die Transaktionstabelle der Serverdatenbank. Tabelle 1a enthält alle Transaktionen von Überwachungsbefehlen, die bereits durchgeführt, das heißt synchronisiert wurden. Die Tabelle 1b enthält alle Transaktionen, die noch durchgeführt werden müssen. Aus Tabelle 1b werden im Speicher des Servers alle nächsten durchzuführenden Befehle herausgelesen und über die drahtlose Verbindung in den Befehlsspeicher des Clients übermittelt.
  • Figure 00090001
  • Die Tabellen 2a bis 2d zeigen die Einträge in der Root-Liste für die Befehlsschritte 1.1.5 und 1.1.6 des Beispielbefehls „Weiche umstellen", die in den Transaktionslisten der Tabelle 1 aufgeführt sind.
  • Betrachten wir nun als Beispiel für einen Stellvorgang das Umstellen einer Weiche im Zusammenhang mit dem Einstellen einer neuen Fahrstraße:
    In unserem Beispiel verfügt das Stellwerk über einen einzigen Stellwerksserver mit einer Datenbank. Die Server-Datenbank hat eine eindeutige ID. Die kabellose Datenübertragung zu den Clients der Elemente der Außenanlage erfolgt über ein WiMAX Intranet. Sowohl in Richtung vom Server zum Client als auch in umgekehrter Richtung werden die Befehle über interne Befehlsdatenspeicher abgespeichert. Die Entfernung der Außenanlage beträgt ungefähr 50 km zum Stellwerk. Die Energieversorgung der Anlagen der Leit- und Sicherungstechnik erfolgt vor Ort über die transformierte Spannung aus der Oberleitungsspeiseleitung.
  • Zu jedem Stellbefehl, der vom Server automatisch und/oder durch manuelle Bedienung in den Server eingegeben wird, gehören definierte einzelne Befehlsschritte, die Befehls-Transaktionen, die vom Server über WiMAX an den Client in einer bestimmten Reihenfolge übertragen werden.
  • Auf der Datenbank des Servers gibt es eigene Befehls-Transaktionslisten, mit deren Hilfe die vorgesehenen Befehlsschritte überwacht und durchgeführt werden. In der Befehls-Transaktionsliste Tok sind all jene Stellbefehle chronologisch hinterlegt, die über den Server im Stellwerk bereits vorgenommen wurden. In der Hilfstabelle Tnok1 sind alle noch nicht durchgeführten Befehlstransaktionen enthalten.
  • An den Clients der Außenanlage sind Sensoren angebracht, die den tatsächlichen Zustand der Clients ermitteln. Der von den Sensoren ermittelte Zustand wird mit Überwachungs-Transaktionen über WiMAX von den Clients an den Server gemeldet.
  • Beim letzten Start des Weichen-Clients wurde ihm vom Server eine eindeutige Laufzeit-ID zugeordnet. Somit kann die Kommunikation zwischen Serverdatenbank und dem Weichen-Client eineindeutig adressiert werden.
  • Auf dem Weichen-Client ist wie bei jedem Client eine Datenbank eingerichtet. Die Client-Datenbank stellt den aktuellen Stand des Befehlsspeichers zur Verfügung. Weiterhin besitzt die Datenbank eine Transaktionstabelle TCok, in denen alle Befehls-Transaktionen, die über den Server im Stellwerk vorgenommen wurden, chronologisch hinterlegt werden, zusammen mit den von den Sensoren gemeldeten Überwachungs-Transaktionen, die zu den entsprechenden Befeh len gehören. In der Hilfstabelle TCnok sind diejenigen Befehlstransaktionen gelistet, die noch nicht abgearbeitet sind.
  • Im Stellwerk wird eine neue Fahrstraße eingestellt, wozu unter anderem auch eine Weiche umgestellt werden muss. Bis es zum Umstellen der Weiche kommt, muss bereits eine Reihe anderer Befehle erfolgt sein, die uns hier nur insoweit interessieren, als sie im Server auf der Transaktions-Liste Tok der bereits durchgeführten, das heißt synchronisierten Befehle gelistet sind. In der Transaktions-Liste Tnok mit den noch durchzuführenden Befehlstransaktionen steht nun unter anderem also auch der Befehl für die Weiche umzulaufen.
  • Auf der Server-Datenbank befindet sich die Root-Liste, mit der die zu jedem Client gehörenden Daten verwaltet werden. So ist die in unserem Beispiel zu betrachtende Weiche ebenfalls unter ihrer Laufzeit-ID „30W01" in der Root-Liste aufgeführt (s. Tabellen 2a bis 2d).
  • Die Einträge bezüglich der Weiche in der Root-Liste beschreiben die Zustände der Antriebskontakte Ak+ (14) und Ak– (15), des Analog-Digitalwandlers an der Phase L2. Zu jedem dieser Zustände ist weiterhin festgehalten, welchen tatsächlichen Zustand die Sensoren der Weiche an den Server gemeldet haben.
  • Zu dem Befehl "Weiche nach Linkslage umstellen", den wir zur Vereinfachung erst bei vollem Anlauf des Weichenantriebs in der Sternschaltung betrachten, gehören die in Tabelle 1 gezeigten einzelnen Befehlsschritte 1.1.1 bis 1.1.7, die in der angegebenen Reihenfolge abgearbeitet werden müssen.
  • Zum Befehlsschritt 1.1.5 gehören folgende Details:
    • 1.) Abschalten der Antriebskontakte Ak+
    • 2.) Überprüfen ob Sternschaltung vorliegt (L1, L2 und L3)
  • Der Analog-Digital Wandler wandelt hierbei analoge Signale aus den Ak in digitale und gibt diese weiter an den Microcontroller, der über eine serielle Schnittstelle an den Stellwerksrechner des ESTW angeschlossen ist.
  • Bei den Befehls- und Überwachungsschritten muss folgendes abgefragt werden:
    • • war die Befehlssendung erfolgreich?
    • • war der Befehlsempfang erfolgreich?
    • • wurde die Überwachungsmeldung erfolgreich gesendet?
    • • war die Überwachungsmeldung erfolgreich?
  • Demnach sind die Schritte 1.1.1 bis 1.1.7, die zu dem Beispiel-Befehl 1 (Weiche nach Linkslage umstellen) gehören, in dieser Reihenfolge in der Transaktions-Liste Tnok1 der Server-Datenbank aufgeführt und werden nun zusammen mit der Laufzeit-ID über WiMAX an den Weichen-Client übermittelt und außerdem in der Root-Liste gespeichert. Die entsprechenden Zeilen der Root-Liste vor dem Versand an den Client sehen wie in Tabelle 2a für den Befehlsschritt 1.1.5 dargestellt aus. In der Root-Liste zeigt die Transaktionsnummer 0 den Zustand vor Versenden des Befehlsschritts 1.1.5. Nachdem der Befehlsschritt 1.1.5 (Abschalten der Antriebskontakte (14) Ak+) mit der Transaktionsnummer 1 gesendet wurde, ist in der Spalte „Befehlssendung erfolgreich" nun ein „ja" (digital 1) eingetragen.
  • Figure 00130001
  • Figure 00140001
  • Figure 00150001
  • Der Weichen-Client mit der passenden Laufzeit-ID empfängt die Befehlstransaktionen und speichert diese in der Transaktions-Liste TCnok seiner Datenbank ab. In der gleichen Liste TCnok wird vom Weichen-Client der zu jedem Befehlsschritt gehörende Zustand eingetragen, der von den zugehörigen Sensoren ermittelt wurde.
  • Der Empfang der Befehlstransaktion 1.1.5 wird dem Server mit der Transaktionsnummer 2 quittiert, so dass nun auch in der Spalte „Befehlsempfang erfolgreich" eine digitale 1 steht.
  • Der Weichen-Client beginnt mit der Abarbeitung der Befehlstransaktionen in der Reihenfolge, in der sie in der Transaktions-Liste TCnok seiner Datenbank gespeichert ist. Als erstes werden also die Antriebskontakte Ak+ abgeschaltet, und der Weichenantrieb in Sternschaltung an die Phasen L1, L2 und L3 geschaltet.
  • Sobald seine Sensoren ermitteln, dass sich der Zustand der Weiche verändert hat, trägt der Weichen-Client dies in der Transaktions-Liste TCnok ein.
  • Der Weichen-Client bildet Quersummen der einzelnen Einträge in der Transaktions-Liste TCnok und schickt diese Quersummenliste zusammen mit der Laufzeit-ID als Statusmeldung QC zum Server.
  • Nach Empfang der Statusmeldung (Transaktionsnummer 3 in der Root-Liste in Tabelle 2b) bildet der Server mit den bisherigen Einträgen in der Root-Liste, die zu diesem Zeitpunkt nur den Sollzustand beschreiben, ebenfalls die Quersummen aller Einträge und speichert dies als Quersummenliste QS.
  • Dann vergleicht der Server die Quersummenlisten QC und QS. In den Zeilen, in denen die Quersummen in der chronologisch erlaubten Reihenfolge übereinstimmen, wurden die Befehle erfolgreich abgearbeitet. Für diese Quersummen dokumentiert der Server in den zugehörigen Zeilen der Root-Liste die Befehle als abgearbeitet, was in der Zeile „Transaktionsnummer 4" der Root-Liste in Tabelle 2b eingetragen wird.
  • Bei den Zeilen, bei denen die Quersummen nicht übereinstimmen, werden die zugehörigen Befehle vom Server auf die neue Befehls-Transaktions-Liste geschrieben, die somit alle noch nicht abgearbeiteten Befehle enthält.
  • Der Server sendet dem Weichen-Client die neue Befehls-Transaktions-Liste Tnok2. Der Weichen-Client vergleicht die neue Befehls-Transaktionsliste Tnok2 mit der zuvor gespeicherten Tnok1. Zulässige Unterschiede gibt es nur bei den Befehls-Transaktionen, die zuvor vom Weichen-Client erfolgreich abgearbeitet wurden. Dies ist bei Befehlsschritt 1.1.5 und Überwachungsmeldungsschritt 1.1.5 nun der Fall. Damit ist dem Weichen-Client vom Server quittiert worden, dass dieser die Information über die Ausführung des Befehlsschritts 1.1.5 und des Überwachungsmeldungsschritts 1.1.5 erhalten hat.
  • Die entsprechenden Einträge in der Befehls-Transaktionsliste TCnok werden vom Weichen-Client nun gelöscht. Außerdem dokumentiert der Weichen-Client die abgearbeiteten Befehle in der Befehls-Transaktionsliste TCok.
  • Der Weichen-Client fährt mit der Bearbeitung der Befehls-Transaktionsliste Tnok ab dem nächsten Befehlsschritt 1.1.6 des Befehls 1 und der zugehörigen Überwachungsmeldung fort. In den Tabellen 2c und 2d sind wieder die Einträge in der Root-Liste dargestellt, mit den Transaktionsnummern 5 bis 8.
  • Nach Erreichen der neuen Lage der Weiche sind die Antriebskontakte Ak+ wieder umgeschaltet und der Weichenlaufmelder zeigt die Unterbrechung des Stellstroms an.
  • Erneut ermitteln die Sensoren, dass sich der Zustand der Weiche verändert hat. Der Weichen-Client trägt dies in der Transaktions-Liste TCnok ein. Der Weichen-Client bildet wieder Quersummen der einzelnen Einträge in der Transaktions-Liste TCnok und schickt diese Quersummenliste zusammen mit der Laufzeit-ID als Statusmeldung QC zum Server.
  • Nach Empfang der Statusmeldung bildet der Server mit den bisherigen Einträgen in der Root-Liste, die zu diesem Zeitpunkt den zuvor erreichten Zustand beschreiben, ebenfalls die Quersummen aller Einträge und speichert dies als Quersummenliste QS.
  • Dann vergleicht der Server die Quersummenlisten QC und QS. In den Zeilen, in denen die Quersummen in der chronologisch erlaubten Reihenfolge übereinstimmen, wurden die Befehle erfolgreich abgearbeitet. Für diese Quersummen dokumentiert der Server in den zugehörigen Zeilen der Root-Liste die Befehle wie in Tabelle 2d gezeigt, als abgearbeitet.
  • Die neue Befehls-Transaktionsliste ergibt sich nun als Differenzliste Tnok3, die vom Server an den Weichen-Client gesendet wird. Der Weichen-Client vergleicht die neue Befehls-Transaktionsliste Tnok3 mit der zuvor gespeicherten Tnok2. Zulässige Unterschiede gibt es nur bei den Befehls-Transaktionen, die zuvor vom Weichen-Client erfolgreich abgearbeitet und vom Server quittiert wurden. Dies ist diesmal bei dem Befehlsschritt 1.1.6 der Fall. Damit ist dem Weichen-Client vom Server quittiert worden, dass dieser die Information über die Ausführung der Befehlsschritte bis 1.1.6 erhalten hat. Die entsprechenden Einträge in der Befehls-Transaktionsliste TCnok werden vom Weichen-Client nun gelöscht. Außerdem dokumentiert der Weichen-Client die abgearbeiteten Befehle in der Befehls-Transaktionsliste TCok.
  • Nach analoger Abarbeitung aller zum Befehl „Weiche in Linkslage umstellen" gehörenden Befehlsschritte steht in den zugehörigen Zeilen der Root-Liste in der letzten Zeile der Befehls- und Überwachungstransaktionen in allen Feldern „ja" (digital 1).
  • Da dies nun bei der betrachteten Weiche für alle relevanten Zeilen der Root-Liste gilt, ist die Root-Liste synchronisiert. Der Weichen-Client hat nun alle Befehle abgearbeitet.
  • Erst ab diesem Zeitpunkt sind wieder neue Stellbefehle möglich.
  • Um den Umgang mit Fehlern zu beschreiben, betrachten wir nun den Fall, dass nach Abarbeitung der Befehlsschritte 1.1.1 bis 1.1.3 der Befehl 1.1.4 als nicht abgearbeitet gemeldet wird, und trotzdem die Sensoren einen Zustand erfassen, bei dem Befehl 1.1.5 abgearbeitet sein müsste.
  • Beim Vergleich der Quersummenlisten QC und OS würde sich also folgendes Bild ergeben:
    Die chronologisch erlaubte Reihenfolge ist ab Befehlsschritt 1.1.4 unterbrochen. Deshalb würde der Server nur für die Quersummen, die zu den Befehlschritten 1.1.1 bis 1.1.3 gehören, in den zugehörigen Zeilen der Root-Liste die Befehle als abgearbeitet dokumentieren. Die neue Befehls-Transaktionsliste würde bei Befehlsschritt 1.1.4 beginnen. Bei Wiederholung des Fehlers würde eine entsprechende Fehlermeldung ausgegeben werden. Die Behandlung von Wiederholungen der Fehlermeldungen kann programmgemäß entweder durch Vorgabe eines Zeitfensters oder durch die Anzahl der Wiederholungen vorgegeben werden. Bei Überschreitung dieser Parameter reagiert das System mit der Anweisung den Stellbefehl zu negieren und dieses dem Stellrechner mitzuteilen.
  • Die Kommunikation zwischen Client und Server läuft in Wirklichkeit wesentlich schneller ab als hier beschrieben. Hier wurde der Anschaulichkeit halber ein Zeitintervall gewählt, das groß genug ist, um Veränderungen in den beteiligten Datenbanktabellen deutlich erkennen zu können. Tatsächlich werden die Daten zwischen Client und Server jedoch schon innerhalb von ca. 200 Millisekunden (abhängig von der Netzbelastung) ausgetauscht.
  • Der Takt des Datenaustauschs zwischen Client und Server muss mindestens so schnell sein, dass gewährleistet ist, dass sicherheitsrelevante Fehler innerhalb einer von betrieblichen Vorgaben abhängigen Zeit sicher erkannt werden können. Im Netz der Deutschen Bahn AG beträgt diese Zeit etwa 1,8 Sekunden. Solange dauert es beispielsweise, bis bei einem Stromausfall alle Signale auf Halt fallen.
  • Bei einem nicht sicherheitsrelevanten, kurzzeitigen Ausfall – beispielsweise des Empfängers des Weichenclients – ist die Befehlsfolge und deren Abarbeitungsstand folgendermaßen gesichert:
    Nach der Stellbefehl-Eingabe werden die Stellbefehle im Stellwerksserver gespeichert. Dann werden die Stellbefehle wie beschrieben an den Weichen- Client gesendet. Solange Sender und Empfänger online Kontakt zueinander haben, können die Befehle vom Stellwerksserver aus direkt zum Weichen-Client gesendet werden. Der Weichen-Client kann nun die Befehle nicht entgegennehmen, was mithilfe des verwendeten Internet Protokolls sogleich entdeckt wird.
  • Das Verfahren arbeitet nun im Offline-Modus. Die noch nicht ausgeführten Stellbefehle werden auf dem Server solange beibehalten, bis wieder ein Kontakt zwischen Sender und Empfänger existent ist.
  • Der Weichen-Client arbeitet unterdessen anhand der immer noch gültigen zuvor empfangenen Befehls-Transaktionsliste, die er in seine eigene Befehls-Transaktionsliste TCnok übernommen hat, weiter. Er speichert die entsprechenden Statusmeldungen wie normal ab, aber ohne die rückläufigen Überwachungsmeldungen an den Server zu schicken.
  • Ist der Kontakt innerhalb der sicherheitsrelevanten Zeit wiederhergestellt, werden die Daten wie zuvor beschrieben wieder ausgetauscht.
  • Ein weiteres Beispiel soll zeigen, wie von einem Stellwerksserver aus Clients bedient werden können, die zu einem anderen Stellwerk gehören.
  • Das Stellwerk A sei ein Nachbarstellwerk zu Stellwerk B. Bei einem Ausfall des Stellwerks B ist es nun möglich, dass das Stellwerk A die Clients des Stellwerks B steuert.
  • Hierfür muss lediglich die Root-Liste im Stellwerk A mit den Clients des Stellwerks B erweitert werden. Aufgrund der erfindungsgemäßen eindeutigen Adressierung sowohl aller Server als auch aller Clients ist dies problemlos durch Zuweisung von Lese- und Schreibrechten der Stell- und Überwachungsmeldungen zu den jeweiligen Nachbarstellwerken möglich.
  • Im ungestörten Betrieb der beiden benachbarten Stellwerke werden die derzeit aktuellen Befehle und Überwachungsmeldungen zur Information untereinander ausgetauscht. Dadurch weiß jedes Stellwerk, welche Aktionen im benachbarten Stellwerk anliegen und wie der Zustand der zugehörigen Clients ist.
  • Bei einer ungeplanten, plötzlichen Übergabe der Clients des Stellwerks B an den Server des Stellwerks A müssen folgende Regeln beachtet werden:
    Die Befehlstransaktion, die gerade vom Server des Stellwerks A bearbeitet wird, muss auf jeden Fall zunächst zu Ende geführt, das heißt synchronisiert werden. Gibt es weitere noch zu synchronisierende Transaktionen im Stellwerk A, werden diese zuerst bearbeitet.
  • Dann übernimmt der Stellwerks-Server im Stellwerk A den letzten Stand der Befehlstransaktionen des Servers im Stellwerk B und erfasst den Zustand der Clients im Stellwerk B. Anschließend benutzt das Stellwerk A die erweiterte Root-Liste und verfährt so, als würden die Clients des Stellwerks B zum Stellwerk A gehören.
  • Wenn die Störung im Stellwerk B behoben ist, wird der zu Stellwerk B gehörende erweiterte Teil der Root-Liste vom Stellwerksserver A geprüft und synchronisiert. Dabei werden alle die Befehle ignoriert, die bereits vom Server B quittiert und demnach abgearbeitet sind.
  • Darüber hinaus ist es durch die Verwendung einer Datenbank, in der alle Stellwerksserver und Clients der Außenanlagen eineindeutig und zentral gespeichert sind (z. B.: in einer Betriebszentrale), erfindungsgemäß möglich, durch Zuweisung von Bedienrechten auch Clients fremder (nachbarlicher) Server- oder ganze fremde Stellbezirke regulär oder im Notfall mitzusteuern.
    • 1
    Sender
    2
    Wired IP Network
    3
    Server
    4
    WiMAX-Verbindung mit kabelloser Datenübertragung
    5
    WiMAX und WiFi Gateways
    6
    WiMAX und Wi-Fi APs
    7
    WiMAX und Wi-Fi-Clients
    8
    Stellwerks-Außenanlage
    9
    Ferngesteuertes Stellwerk mit Außenanlage
    10
    DSL-Verbindung
    11
    Ethernet to Fiber Ring
    12
    Weichenantrieb
    13
    Erkennung/Signalauswertung
    14
    Kontakte Ak+
    15
    Kontakte Ak–
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • - DE 4107639 A1 [0008]
    • - DE 102004062987 A1 [0010]
    • - EP 1420566 A1 [0012]

Claims (5)

  1. Verfahren zum sicheren Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg, dadurch gekennzeichnet, dass mindestens eine Datenbank auf mindestens einem zentralen Stellwerksserver permanent mit mindestens einer Datenbank auf mindestens einem Client, der mindestens ein Element der Außenanlage steuert und überwacht, synchronisiert wird, wobei die zu synchronisierenden Daten aus Befehls-Transaktionsmeldungen, die vom Server automatisch und/oder durch manuelle Bedienung in den Server eingegeben werden, und Überwachungs-Transaktionsmeldungen, die den von Sensoren an der Außenanlage der Clients tatsächlich ermittelten Zustand des Clients beschreiben, bestehen.
  2. Verfahren zum sicheren Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die mindestens eine Datenbank des mindestens einen Servers mit den Datenbanken der Clients folgendermaßen synchronisiert werden: a) Der Server übermittelt dem zugehörigen Client zusammen mit der Laufzeit-ID eine Liste aller zum Stellbefehl gehörenden Befehls-Transaktionen und speichert diese in der Root-Liste b) Der Client mit der passenden Laufzeit-ID empfängt die Befehls-Transaktionen und speichert diese in der Transaktions-Liste seiner Datenbank c) Der Client beginnt mit der Abarbeitung der Befehlstransaktionen in der Reihenfolge, in der sie in der Transaktions-Liste seiner Datenbank gespeichert sind d) Der Client ermittelt mithilfe von Sensoren seinen Status und speichert ihn in seiner Datenbank ab e) Der Client ermittelt, ob sich sein Status verändert hat, und wenn ja, trägt er dies in der Transaktions-Liste seiner Datenbank in all jenen Datenbankzeilen ein, die zu den die Statusänderung auslösenden Befehlstransaktionen gehören f) Der Client bildet Quersummen der einzelnen Einträge in der Transaktions-Liste seiner Datenbank und schickt diese Quersummenliste zusammen mit der Laufzeit-ID als Statusmeldung zum Server g) Der Server empfängt die vom Client gesendete Statusmeldung h) Nach Empfang der Statusmeldung bildet der Server mit den bisherigen Einträgen in der Root-Liste die Quersummen aller Einträge speichert diese als Soll-Quersummenliste i) Der Server vergleicht die Quersummenliste, die der Client gesendet hat, mit der Soll-Quersummenliste, arbeitet bei Übereinstimmung die Befehle ab, und dokumentiert dies in der Root-Liste durch einen Eintrag mit der zugehörigen Laufzeit-ID; bei Nichtübereinstimmung werden die zugehörigen Befehle vom Server auf die neue Befehls-Transaktionsliste geschrieben j) Der Server sendet dem Client die neue Befehls-Transaktionsliste, wie unter Punkt a) beschrieben, woraufhin der Client die neue Befehls-Transaktionsliste mit der zuvor gespeicherten vergleicht k) Bei zulässigen Unterschieden zwischen der alten und der neuen Befehls-Transaktionsliste werden die entsprechenden Einträge vom Client gelöscht bzw. überschrieben und der unter b) bis j) beschriebene Vorgang solange fortgesetzt, bis alle Befehle erfolgreich abgearbeitet wurden und damit die Root-Liste synchronisiert ist l) Bei unzulässigen Unterschieden zwischen der alten und neuen Befehls-Transaktionsliste, wird eine Fehlermeldung ausgegeben.
  3. Verfahren zum sicheren Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass bei einem Ausfall der Kommunikation zwischen Server und mindestens einem Client für eine nicht sicherheitsrelevante Zeitspanne die noch nicht ausgeführten Stellbefehle und die noch nicht ausgeführten Rückmeldungen solange in den zugehörigen Datenbanken beibehalten werden, bis wieder ein Kontakt zwischen Sender und Empfänger existent ist, und sobald der Kontakt wiederhergestellt ist, die Befehls- und Überwachungs-Transaktionen wie zuvor beschrieben bearbeitet werden.
  4. Verfahren zum sicheren Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass als Protokoll zur Datenübertragung das Internet Protocol (IP) verwendet wird.
  5. Verfahren zum sicheren Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hin weg nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass als kabellose Datenübertragung ein WireLess (Wimax, HSPA oder gleichartige) Standard benutzt wird.
DE102007061807A 2007-12-19 2007-12-19 Sicheres Verfahren zum Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg Ceased DE102007061807A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102007061807A DE102007061807A1 (de) 2007-12-19 2007-12-19 Sicheres Verfahren zum Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102007061807A DE102007061807A1 (de) 2007-12-19 2007-12-19 Sicheres Verfahren zum Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg

Publications (1)

Publication Number Publication Date
DE102007061807A1 true DE102007061807A1 (de) 2009-07-09

Family

ID=40719341

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102007061807A Ceased DE102007061807A1 (de) 2007-12-19 2007-12-19 Sicheres Verfahren zum Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg

Country Status (1)

Country Link
DE (1) DE102007061807A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017200630A1 (de) 2017-01-17 2018-07-19 Siemens Aktiengesellschaft Verfahren zum Übertragen von Nachrichten
EP3378724A1 (de) * 2017-03-22 2018-09-26 Thales Management & Services Deutschland GmbH Verfahren zur sicheren ermittlung einer aktuellen ausgabeinformation im bereich bahntechnik
CN109318948A (zh) * 2017-07-31 2019-02-12 比亚迪股份有限公司 计算机连锁***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4107639A1 (de) 1991-03-09 1992-09-10 Standard Elektrik Lorenz Ag Einrichtung zur signaltechnisch sicheren fernsteuerung einer unterstation in einer eisenbahnanlage
EP1420566A1 (de) 2002-11-15 2004-05-19 DB Systems GmbH Verfahren und Vorrichtung zum Datenaustausch zwischen mobilen Endgeräten und zentralen Diensten unter Verwendung eines Kommunikationsservers, der die Anfragen der mobilen Endgeräte an die zentralen Dienste umsetzt
DE102004062987A1 (de) 2004-12-22 2006-07-06 Db Regio Ag Verfahren zur Realisierung eines virtuellen Streckenblocks unter Nutzung funkgesteuerter Fahrwegelemente

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4107639A1 (de) 1991-03-09 1992-09-10 Standard Elektrik Lorenz Ag Einrichtung zur signaltechnisch sicheren fernsteuerung einer unterstation in einer eisenbahnanlage
EP1420566A1 (de) 2002-11-15 2004-05-19 DB Systems GmbH Verfahren und Vorrichtung zum Datenaustausch zwischen mobilen Endgeräten und zentralen Diensten unter Verwendung eines Kommunikationsservers, der die Anfragen der mobilen Endgeräte an die zentralen Dienste umsetzt
DE102004062987A1 (de) 2004-12-22 2006-07-06 Db Regio Ag Verfahren zur Realisierung eines virtuellen Streckenblocks unter Nutzung funkgesteuerter Fahrwegelemente

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017200630A1 (de) 2017-01-17 2018-07-19 Siemens Aktiengesellschaft Verfahren zum Übertragen von Nachrichten
EP3378724A1 (de) * 2017-03-22 2018-09-26 Thales Management & Services Deutschland GmbH Verfahren zur sicheren ermittlung einer aktuellen ausgabeinformation im bereich bahntechnik
CN109318948A (zh) * 2017-07-31 2019-02-12 比亚迪股份有限公司 计算机连锁***

Similar Documents

Publication Publication Date Title
DE602004011201T2 (de) Paketkommunikation zwischen einer sammeleinheit und einer vielzahl von steuervorrichtungen über die stromversorgung
DE112019006902T5 (de) System, Verfahren und Vorrichtung zur Zugnetzwerksteuerung und Zug
EP2136076A2 (de) Verfahren zur Steuerung eines Windparks
EP2821313A2 (de) Einrichtung und Verfahren zum Betreiben von dezentral angeordneten Funktionseinheiten
EP2924928A1 (de) Empfänger-Netzwerkkomponente zum Betrieb in einem Kommunikationsnetzwerk, Kommunikationsnetzwerk und Verfahren zum Betreiben eines Kommunikationsnetzwerks
EP1717927A2 (de) Powerline-Steuersystem
DE102007061807A1 (de) Sicheres Verfahren zum Steuern von Elementen der Leit- und Sicherungstechnik mit kabelloser Datenübertragung über große Stellentfernungen hinweg
EP3669527B1 (de) Verfahren zum betreiben einer sensoranordnung in einem kraftfahrzeug auf basis eines dsi-protokolls
EP3324506B1 (de) Verfahren zum aufbau einer datenbank zur abbildung der netztopologie eines elektrischen verteilnetzes und verwendung dieser datenbank
EP3822145B1 (de) Verfahren und system zur abarbeitung einer projektierten weichenlaufkette
DE102015216597A1 (de) Bordnetzwerk, Fahrzeug, Verfahren, und Netzwerkvorrichtung zur Steuerung von Datenkommunikation und Energieverteilung des Bordnetzwerks eines Fahrzeugs
EP2418580A1 (de) Verfahren zum Betreiben eines Netzwerkes und Netzwerk
EP1498336B1 (de) Verfahren und Zählpunkt zur Ermittlung des Belegungszustandes eines Gleisabschnittes
EP2832046B1 (de) Verfahren und vorrichtung zur kommunikation in windparks
DE102004038205B4 (de) Verfahren und Anordnung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen
EP3080748B1 (de) Rfid-kommunikationssystem und verfahren zum steuern desselben
EP3387789A1 (de) Busanordnung mit einer ersten teilnehmeranordnung und verfahren zum betreiben einer busanordnung
EP2756575B1 (de) Energieverteilnetz
EP3157187B1 (de) Zeitgesteuertes verfahren zum periodischen fehlertoleranten transport von echtzeitdaten in einem verteilten computersystem
DE112015003770B4 (de) Telegrammwiederherstellungsvorrichtung und Signalisierungssicherheitssystem
EP3882762B1 (de) Verfahren zur installation neuer software und system
EP0614260A2 (de) Fernwirkgerät für die Überwachung und Steuerung eines Energieversorgungsnetzes mit Kabelstrecken zur Energieübertragung
EP3587214B1 (de) Balisensteuerungsvorrichtung
DE102011085304A1 (de) Vorrichtung und Verfahren zur drahtlosen Kommunikation mit einem Schienenfahrzeug
DE102005049217A1 (de) Verfahren und Einrichtung zur Fernsteuerung eines Relais-Stellwerks unter Verwendung von hochverfügbaren Steuerungen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final