WO2003047937A1 - Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens - Google Patents

Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens Download PDF

Info

Publication number
WO2003047937A1
WO2003047937A1 PCT/DE2001/004485 DE0104485W WO03047937A1 WO 2003047937 A1 WO2003047937 A1 WO 2003047937A1 DE 0104485 W DE0104485 W DE 0104485W WO 03047937 A1 WO03047937 A1 WO 03047937A1
Authority
WO
WIPO (PCT)
Prior art keywords
computer
commercial
secure
computers
railway
Prior art date
Application number
PCT/DE2001/004485
Other languages
English (en)
French (fr)
Inventor
Volker Goericke
Bernd Prade
Ralf Schiwasinske
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to KR10-2004-7007825A priority Critical patent/KR20040063935A/ko
Priority to MXPA04004840A priority patent/MXPA04004840A/es
Priority to JP2003549144A priority patent/JP4102306B2/ja
Priority to PCT/DE2001/004485 priority patent/WO2003047937A1/de
Priority to AU2002224742A priority patent/AU2002224742A1/en
Priority to CA002467972A priority patent/CA2467972A1/en
Priority to CNB018238238A priority patent/CN1289345C/zh
Publication of WO2003047937A1 publication Critical patent/WO2003047937A1/de
Priority to HK05102045A priority patent/HK1069363A1/xx
Priority to US11/173,159 priority patent/US7209811B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1497Details of time redundant execution on a single processing unit
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1625Error detection by comparing the output signals of redundant hardware in communications, e.g. transmission, interfaces
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level

Definitions

  • the invention relates to a method according to the preamble of patent claim 1 and to a device for carrying out this method according to the preamble of patent claim 12.
  • railway operating processes are part of the safety-critical processes, because any malfunctions, if they are not recognized in time and their effects on the process are prevented, can lead to considerable damage to property and possibly also to persons.
  • signaling-safe devices have been used for the control of such processes, the task of which is to detect malfunctions both within the process to be controlled and within the process control itself, and then to lead or leave the process in a safe state.
  • Such signal-safe controls can be implemented using different techniques, for example in relay technology or in electronic technology.
  • expensive special computers have been used for signal-safe process control via computers, which process the pending processing orders in two channels and continuously compare signal-wise with regard to processing sequences that match in terms of content.
  • Issued control commands are only output to the process elements of the process to be controlled if both processing channels have each reached the same result; otherwise the connection to the process will be broken unless it is gives at least one spare computer, which can take over the functions of the failed computer and actually takes over.
  • the secure computers also still contain the railway administration-specific software for the actual process control, e.g. interlocking operation.
  • the railway administration-specific software is determined by the operating regulations of the respective railway administration and describes e.g. B. the predefined dependencies of the route setting and the driving street resolution (Signal + Draht, 77 (1985) 12, p.259-265).
  • the railway administration-specific software not only differs from railway administration to railway administration, but at least partially also from installation to installation of the same railway administration.
  • the object of the present invention is to provide a method for
  • Controlling a safety-critical rail operating process according to the preamble of claim 1, which is less complex to prepare for the safe Process control required programs and that allows to react quickly and inexpensively to any changed requirements of a rail operator for process control. It is also an object of the invention to provide a device for performing this method.
  • the invention solves this problem by the features of claim 1 and claim 12.
  • the basic idea of the invention is to outsource the railway management-specific software from the computer or computers that are secure in terms of signal technology to commercial computers, to process the data there at least twice and before output to check the process in the signal-safe computers for consistency.
  • the signal-safe computers essentially also have the task of securely recording the incoming messages and commands and transmitting them to the commercial computers, as well as having a reliable effect on the process elements and, in the event of a malfunction, securely connecting the process elements interrupt.
  • FIG. 1 shows schematically in FIG. 1 the structure of the device according to the invention for controlling a safety-critical device
  • FIG. 2 shows a known, signal-technically secure computer SR for processing a process via preferably identical processing programs in two independent processing channels K1, K2.
  • the secure computer SR stands for any number of signal-technically secure computers; their number essentially depends on the size of the process to be controlled.
  • the process to be controlled is a railway operating process that is intended to act on a railway installation BA. Representing the process elements of
  • the signal-safe computer SR sends the messages M transmitted to it by the process via a communication bus
  • the commands K for controlling the railway operating process are also generated via the input and display computer EAR and transmitted to the signal-safe computer SR.
  • the input can be done by an operator, e.g. B. a dispatcher, or by an automatic z. B. for self-service or pass-through operation.
  • the messages and commands are processed on two channels in the signal-safe computer according to the conditions and dependencies specified in the respective operating regulations of a railway operator.
  • Test programs ensure that the input / output registers of the secure computer, as well as its program and work memory and its address register, are checked within a specified minimum period of time to determine whether their memory can be in one or the other state. Any malfunctions are detected in an event or time-controlled manner and lead to the safe shutdown of the outdoor facilities: control commands on turnouts can then no longer be issued and the signals stop.
  • the device according to the invention for controlling a railroad operating process shown in FIG. 1 there is also at least one signal-safe computer SR * with two processing channels K1 * and K2 * which are preferably constructed identically and operated identically. His job is it, similar to that of the signal-technically secure computer SR according to the state of the art, reliably detects all the messages M and commands K supplied to it and feeds them for processing. Furthermore, it is his task to issue control commands SB, which have been developed in a signal-safe manner, to the process elements W, S of the respective rail system BA, or to ensure that the output of such control commands in the event of a fault does not occur, in terms of signaling.
  • control commands SB which have been developed in a signal-safe manner, to the process elements W, S of the respective rail system BA, or to ensure that the output of such control commands in the event of a fault does not occur, in terms of signaling.
  • the processing of the conditions and dependencies for the control and monitoring of the railway operating process defined by the respective Railway Operating Regulations BO does not take place in or in the signal-safe computers SR *, but in commercial computers R1, R2, ... Rn , in which the system-specific data for controlling the railway operating process are also stored; the computers R1, R2 represent one or more pairs of computers, each computer also being able to belong to several pairs; three computers could be formed from three computers. They carry out processing orders A supplied to them by the secure computer SR *, each independently of the other according to the conditions and dependencies defined for the process control in the respective rail operating regulations BO.
  • the two computers of each commercial computer pair R1, R2 transmit their work results to the signal-technically secure computer SR *, the first computer R1 or R2 in time forcing a waiting point with time monitoring, at which the work result of the further computer or computers is waited for, or in the event of a timeout, fault handling is carried out.
  • Test mechanisms PM for the plausibility of the messages supplied to the commercial computer pairs R1, R2 and the signatures of the outputs and memory areas they have developed are indicated schematically in FIG. 1.
  • the input and display rights ner EAR commands K fed to the secure computer SR * are converted by the latter into processing orders A and transmitted in the form of telegrams to the commercial computers R1, R2; there they lead to processing according to the conditions and dependencies of the respective rail operating regulations BO.
  • the signal-technically secure computer ensures that the processing programs of the processing computers are synchronized on request of the commercial computers commercial computer for further processing of the programs after the waiting time.
  • the sensor message determined by the commercial computers should be read in and evaluated.
  • the processing results E determined by the commercial computer pair Rl, R2 are sent as telegrams to the signaling-safe computer SR *, where they are safely distributed over the two processing channels Kl *, K2 * and compared in terms of signaling to ensure they match.
  • the function block V in which the relevant programs are stored as system software is shown in the drawing for the secure distribution of messages and the reliable comparison of the results worked out by the commercial computers R1, R2.
  • the test mechanisms PMS of the computer which is secure in terms of signal technology are implemented in a signal-safe manner.
  • the particular advantage of the device according to the invention over a corresponding device designed according to the state of the art is that only the functions of safe input and output and safe data comparison can be implemented in the signal-technically safe computer, regardless of those by the operating rules of individual railway administrations each set requirements and conditions.
  • This not only makes the system software running in the secure computer or in the secure computers simple and clear; Rather, it is the same for all applications, so it no longer has to be developed from case to case and subjected to an approval test.
  • the railway administration-specific software which is determined by the different operating regulations of the individual railway administrations, runs on the commercial computers. Their interaction with the system software of the secure computers does not have to be checked.
  • the development of the railway management-specific software does not necessarily have to be carried out by the manufacturer responsible for the signaling security of the process for the signaling-safe computer. Rather, it is possible to place orders to develop the programs for the commercial computers to qualified engineering firms or the like, which the software they have developed with the respective railway administration and z. B. an approval authority such as the Federal Railway Authority. This makes it possible to adapt the programs for controlling and monitoring a safety-critical rail operating process much faster and cheaper than before, without having to accept any loss of safety.
  • the commercial computers R1, R2 stand for one or more double computer systems or computer systems provided with redundant computers, in the individual computers of which identical programs for processing the conditions and dependencies specified by the respective railway operating regulations are to run, of which individual commercial computers, preferably either only certain sub-functions of the operating regulations are to be implemented or only certain parts of the railway systems are to be affected.
  • the arrangement can also be such that the commercial computers R1, R2 are each individual computers, in which the programs of the railway administration-specific software determined by the operating regulations of a railway administration are processed independently several times, but at least twice in succession.
  • the railway management-specific software required for this can be designed in a diversified manner or the content can be the same for both processing operations.
  • a non-signal-safe computer is preferably used for the transmission of the results developed by the commercial computers to the computer-safe computer Data transmission in question, in which either the two-channel serial or parallel results are transmitted on two channels to the safe computer or computers, or in which they are transmitted twice in succession over only one channel.
  • a second or third redundant channel increases availability. Any data falsifications on the transmission path from the commercial computers to the signal-technically secure computers and vice versa can be recognized in the receiving computer by a signature entered by the sending computer, which codes the telegram content using a calculation rule.
  • the commercial computer can be designed as a so-called operator station computer, by means of which a railway operator or an automatic can issue commands for execution to the railway operating process and the feedback of the railway operating process can be visualized.
  • the programs for entering and visualizing commands and messages and the programs that control the process elements in accordance with the railway operating regulations then run independently of one another in the operator station computers.
  • the programs for the Command inputs and the visualization of the process can also be combined with the programs for process control as they are specified by the railway operating regulations.
  • the computer (s) that are secure in terms of signaling technology can also be designed as m of n computer systems, in which the decision as to whether and which control commands are to be issued to the process is made by a majority decision by at least two intact computers.
  • control commands are output to the process in two channels; every computer has the option of preventing the issuing of control commands when processing errors are detected.
  • the method according to the invention and the device according to the invention can be used with advantage for all safety-critical railway operating processes.
  • Such an application can e.g. B. the safe control of a railway operation through an interlocking but also z.
  • LZB regular train control

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Safety Devices In Control Systems (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Das nach der Erfindung vorgesehene Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses sieht die Unterteilung der hierfür erforderlichen Programme in eine Sys-temsoftware (V,PMS) und in eine bahnverwaltungsspezifische Software (BO) vor. Über die Systemsoftware, die in einem oder mehreren signaltechnisch sicheren Rechnern (SR*) abläuft, werden die von außen auf die Steuerung wirkenden Kommandos (K) und Meldungen (M) erfasst und an kommerzielle Rechner (R1,R2) übermittelt, in denen die eigentliche Prozesssteuerung abläuft, wie sie durch die jeweilige Bahnbetriebsordnung vorgegeben wird. Die Abarbeitung der bahnverwaltungsspezifischen Programme geschieht zweikanalig, parallel oder seriell, wobei die Überprüfung, ob die kommerziellen Rechner jeweils zum gleichen Ergebnis gelangt sind, in den signaltechnisch sicheren Rechnern erfolgt. Von dort aus erfolgt auch die Ausgabe (SB) an den zu steuernden Prozess (BA),solange der sicher Vergleich erkennen lässt, dass die kommerziellen Rechner das jeweilige Verarbeitungsergebnis mindestens zweimal übereinstimmen zur Verfügung gestellt haben; andernfalls wird die Verbindung zu den Prozesselementen (W,S) signaltechnisch sicher aufgetrennt. Der Vorteil der Erfindung liegt darin, dass für den signaltechnisch sicheren Rechner immer die gleiche Systemsoftware verwendet werden kann und dass die bahnverwaltungsspezifische Software ohne Verknüpfung mit der Systemsoftware getrennt von dieser entwickelt und geprüft werden kann. Dadurch ergeben sich erheblich Kosten- und Zeiteinsparungen gegenüber dem Stand der Technik, ohne dass es zu Einbußen an Sicherheit kommt.

Description

-Besehrei-bung
Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Ver- fahrens
Die Erfindung bezieht sich auf ein Verfahren nach dem Oberbegriff des Patentanspruches 1 sowie auf eine Einrichtung zur Durchführung dieses Verfahrens nach dem Oberbegriff des Pa- tentanspruches 12.
Bahnbetriebsprozesse gehören zu den sicherheitskritischen Prozessen, weil etwaige Fehlfunktionen, sollten sie nicht rechtzeitig erkannt und ihre Auswirkung auf den Prozess ver- hindert werden, zu erheblichen Sachschäden und gegebenenfalls auch zu Personengefährdungen führen können. Aus diesem Grunde werden für die Steuerung solcher Prozesse bislang signaltechnisch sichere Einrichtungen eingesetzt, deren Aufgabe es ist, Fehlfunktionen sowohl innerhalb des zu steuernden Prozesses als auch innerhalb der Prozesssteuerung selbst zu erkennen und den Prozess daraufhin in einen sicheren Zustand zu führen bzw. zu belassen. Solche signaltechnisch sicheren Steuerungen können in unterschiedlichen Techniken ausgeführt sein, beispielsweise in Relaistechnik oder in elektronischer Technik. Bei der signaltechnisch sicheren Prozesssteuerung über Rechner werden bislang teuere Spezialrechner eingesetzt, die die anstehenden Verarbeitungsaufträge zweikanalig abarbeiten und sich laufend signaltechnisch sicher auf inhaltlich übereinstimmende Verarbeitungsabläufe vergleichen. Eine Ausgabe er- arbeiteter Stellbefehle an die Prozesselemente des zu steuernden Prozesses erfolgt nur, wenn beide Verarbeitungskanäle jeweils zum gleichen Ergebnis gelangt sind; andernfalls wird die Verbindung zum Prozess hin unterbrochen, es sei denn, es gibt mindestens einen Reserverechner, der die Funktionen des ausgefallenen Rechners übernehmen kann und tatsächlich übernimmt.
Die vorgenannten Funktionen der sicheren Ein- und Ausgabe von Daten sowie des Datenvergleichs mit gegebenenfalls sicherer Abschaltung von Prozesselementen werden veranlasst durch die Systemsoftware der sicheren Rechner. Daneben beinhalten die sicheren Rechner bislang auch noch die bahnverwaltungsspezi- fische Software für die eigentliche Prozesssteuerung, z.B. den Stellwerksbetrieb. Die bahnverwaltungsspezifische Software wird bestimmt durch die Betriebsordnung der jeweiligen Bahnverwaltung und beschreibt z. B. die von ihr vorgegebenen Abhängigkeiten der Fahrstraßeneinstellung und der Fahr- Straßenauflösung (Signal+Draht, 77 (1985) 12 , S.259-265). Die bahnverwaltungsspezifische Software ist nicht nur von Bahnverwaltung zu Bahnverwaltung verschieden, sondern mindestens partiell auch von Anlage zu Anlage der gleichen Bahnverwaltung. Das bedeutet, dass- die in einen signaltechnisch siche- ren Rechner zu ladende und dort ablaufende Software von Anwendungsfall zu Anwendungsfall verschieden ist, wobei für jeden Anwendungsfall die Fehlerfreiheit der geladenen Software durch einen Sicherheitsnachweis nachgewiesen oder glaubhaft gemacht werden muss. Dies führt durch die Vermengung der Sys- temsoftware und der bahnverwaltungsspezifischen Software in jedem Rechner zu komplexen Softwarepaketen, die schlecht überschaubar sind und die zeitaufwendig und teuer in der Erstellung und in der Prüfung sind.
Aufgabe der vorliegenden Erfindung ist es, ein Verfahren zum
Steuern eines sicherheitskritischen Bahnbetriebsprozesses nach dem Oberbegriff des Patentanspruches 1 anzugeben, das weniger aufwendig ist in der Erstellung der für die sichere Prozesssteuerung erforderlichen Programme und das es ermöglicht, auf etwaige geänderte Anforderungen eines Bahnbetreibers an die Prozesssteuerung rasch und kostengünstig zu reagieren. Es ist ferner Aufgabe der Erfindung, eine Einrichtung zur Durchführung dieses Verfahrens anzugeben.
Die Erfindung löst diese Aufgabe durch die Merkmale des Anspruches 1 bzw. des Anspruches 12. Die Grundidee der Erfindung besteht darin, die bahnverwaltungsspezifische Software aus dem oder den signaltechnisch sicheren Rechnern auf kommerzielle Rechner auszulagern, die Daten dort jeweils mindestens zweimal zu verarbeiten und vor Ausgabe an den Prozess in den signaltechnisch sicheren Rechnern sicher auf Übereinstimmung zu prüfen. Die signaltechnisch sicheren Rechnern haben neben der Aufgabe des Datenvergleichs im Wesentlichen noch die Aufgabe, die eingehenden Meldungen und Kommandos sicher zu erfassen und an die kommerziellen Rechnern zu übermitteln sowie sicher auf die Prozesselemente einzuwirken und im Störungsfall die Verbindung zu den Prozesselementen signaltech- nisch sicher zu unterbrechen.
Vorteilhafte Ausgestaltungen und Weiterbildungen des erfindungsgemäßen Verfahrens bzw. der erfindungsgemäßen Einrichtung sind in den Unteransprüchen angegeben.
Die Erfindung ist nachstehend anhand eines in der Zeichnung dargestellten Ausführungsbeispieles näher erläutert. Die Zeichnung zeigt in Figur 1 schematisch den Aufbau der erfindungsgemäßen Ein- richtung zur Steuerung eines sicherheitskritischen
Bahnbetriebsprozesses und in Figur 2 den Aufbau einer entsprechenden nach dem Stand der Technik ausgeführten Einrichtung. Figur 2 zeigt einen bekannten signaltechnisch sicheren Rechner SR zur Bearbeitung eines Prozesses über vorzugsweise identische Verarbeitungsprogramme in zwei unabhängigen Verar- beitungskanälen Kl,K2. Der sichere Rechner SR steht für eine beliebige Anzahl von signaltechnisch sicheren Rechnern; ihre Anzahl richtet sich im Wesentlichen nach der Größe des zu steuernden Prozesses. Der zu steuernde Prozess ist ein Bahn- betriebsprozess, mit dem auf eine Bahnanlage BA eingewirkt werden soll . Stellvertretend für die Prozesselemente der
Bahnanlage sind in der Zeichnung eine Weiche W und ein Signal S angedeutet. Die Steuerung und die Überwachung der Prozesselemente geschieht durch dafür entwickelte Steuer- und Überwachungsschaltungen, die in der Zeichnung nicht explizit dar- gestellt sind und über die vom sicheren Rechner SR Stellbefehle SB an die Prozesselemente ausgegeben und von dort Meldungen M in den sicheren Rechner eingegeben werden.
Der signaltechnisch sichere Rechner SR gibt die ihm vom Pro- zess übermittelten Meldungen M über einen Kommunikationsbus
KB an einen Eingabe- und Anzeigerechner EAR aus. Dieser dient u.a. der Überwachung des Bahnbetriebsprozesses nach in der jeweiligen Bahnbetriebsordnung festgelegten Darstellungsregeln; er ist vorzugsweise als signaltechnisch verfahrensge- sicherter Rechner ausgeführt. Über den Eingabe- und Anzeigerechner EAR werden auch die Kommandos K zur Steuerung des Bahnbetriebsprozesses erzeugt und an den signaltechnisch sicheren Rechner SR übertragen. Die Eingabe kann dabei durch einen Bediener, z. B. einen Fahrdienstleiter, erfolgen oder aber durch eine Automatik z. B. für den Selbststellbetrieb oder den Durchleitbetrieb. Die Meldungen und Kommandos werden im signaltechnisch sicheren Rechner nach den in der jeweiligen Betriebsordnung eines Bahnbetreibers festgelegten Bedingungen und Abhängigkeiten zweikanalig verarbeitet. Die auf den Bussen der beiden Verar- beitungssysteme jeweils anliegenden Daten, Adressen und Steuersignale werden laufend signaltechnisch sicher miteinander verglichen, um etwaige Abweichungen sofort erkennen zu können. Prüfprogramme sorgen dabei dafür, dass die Ein/Ausgaberegister des sicheren Rechners sowie seine Pro- gramm- und Arbeitsspeicher und seine Adressenregister innerhalb vorgegebener MindestZeitspannen daraufhin überprüft werden, ob ihre Speicher sowohl den einen als auch den anderen Zustand einnehmen können. Etwaige Fehlfunktionen werden so ereignis- oder zeitgesteuert erkannt und führen zum sicheren Abschalten der Außenanlagen: Stellbefehle an Weichen können dann nicht mehr ausgegeben werden und die Signale gehen auf Halt.
Dadurch, dass die durch die jeweilige Betriebsordnung einer Bahnverwaltung vorgegebenen Bedingungen und Abhängigkeiten, in der Zeichnung repräsentiert durch elliptische Platzhalter BO, in den Programmspeichern des sicheren Rechners SR hinterlegt und mit der Systemsoftware vermengt sind, ist die zur Steuerung des Bahnbetriebsprozesses in den sicheren Rechnern hinterlegte Softwaren eine individuelle Software, die sehr komplex und sowohl in der Erstellung als auch in der Prüfung außerordentlich aufwendig ist.
Bei der in Figur 1 dargestellten erfindungsgemäßen Einrich- tung zur Steuerung eines Bahnbetriebsprozesses gibt es ebenfalls mindestens einen signaltechnisch sicheren Rechner SR* mit zwei vorzugsweise identisch aufgebauten und identisch betriebenen Verarbeitungskanälen Kl* und K2*. Seine Aufgabe ist es, ähnlich der des signaltechnisch sicheren Rechners SR nach dem Stand der Technik, alle ihm zugeführten Meldungen M und Kommandos K sicher zu erfassen und der Verarbeitung zuzuführen. Ferner ist es seine Aufgabe, signaltechnisch sicher er- arbeitete Stellbefehle SB an die Prozesselemente W, S der jeweiligen Bahnanlage BA auszugeben bzw. dafür zu sorgen, dass die Ausgabe derartiger Stellbefehle im Störungsfall signaltechnisch sicher unterbleibt. Die Abarbeitung der durch die jeweilige Bahnbetriebsordnung BO definierten Bedingungen und Abhängigkeiten für die Steuerung und Überwachung des Bahnbetriebsprozesses geschieht im Gegensatz zum Stand der Technik nicht in dem oder in den signaltechnisch sicheren Rechnern SR*, sondern in kommerziellen Rechnern Rl, R2 , ... Rn, in denen auch die anlagenspezifischen Daten für die Steuerung des Bahnbetriebsprozesses hinterlegt sind; die Rechner Rl, R2 stehen stellvertretend für ein oder mehrere Rechnerpaare, wobei jeder Rechner auch mehreren Paaren angehören kann; aus drei Rechnern ließen sich also drei Rechnerpaare bilden. Sie führen ihnen vom sicheren Rechner SR* zugeführte Verarbei- tungsauf räge A jeder für sich unabhängig vom jeweils anderen nach den für die Prozesssteuerung in der jeweiligen Bahnbetriebsordnung BO festgelegten Bedingungen und Abhängigkeiten durch. Die beiden Rechner eines jeden kommerziellen Rechnerpaares Rl, R2 übermitteln ihre Arbeitsergebnisse an den sig- naltechnisch sicheren Rechner SR*, wobei der zeitlich erste Rechner Rl oder R2 einen Wartepunkt mit Zeitüberwachung erzwingt, an dem auf das Arbeitsergebnis des oder der weiteren Rechner gewartet wird, oder bei Zeitüberschreitungen eine Störungsbehandlung durchgeführt wird. Prüfmechanismen PM für die Plausibilität der den kommerziellen Rechnerpaaren Rl, R2 zugeführten Meldungen und der Signaturen der von ihnen erarbeiteten Ausgaben und Speicherbereiche sind in Figur 1 schematisch angedeutet . Die über den Eingabe - und Anzeigerech- ner EAR dem sicheren Rechner SR* zugeführten Kommandos K werden von diesem in Verarbeitungsaufträge A umgesetzt und in Form von Telegrammen an die kommerziellen Rechner Rl, R2 übermittelt; sie führen dort zur Abarbeitung nach den Bedin- gungen und Abhängigkeiten der jeweiligen Bahnbetriebsordnung BO.
Für den Fall, daß bei der Abarbeitung der bahnverwaltungsspezifischen Software durch die kommerziellen Rechner von diesen Programmpunkte erreicht werden, die die Weiterbehandlung der Programme erst nach einer vorgegebenen Wartezeit vorsehen, sorgt der signaltechnisch sichere Rechner auf entsprechende Anforderung der kommerziellen Rechner für ein Synchronisation der Verarbeitungsprogramme der kommerziellen Rechner zur Weiterbehandlung der Programme nach Ablauf der Wartezeit.
Beispielsweisen sollen nach Ablauf einer Wartezeit von mehreren Sekunden von den kommerziellen Rechnern bestimmte Sensormeldung eingelesen und bewertet werden.
Die von dem kommerziellen Rechnerpaar Rl, R2 ermittelten Verarbeitungsergebnisse E werden als Telegramme dem signaltechnisch sicheren Rechner SR* zugeführt, dort signaltechnisch sicher auf die beiden Verarbeitungskanäle Kl*, K2* verteilt und signaltechnisch sicher auf Übereinstimmung verglichen. Für das sichere Verteilen von Meldungen und das sichere Vergleichen der von den kommerziellen Rechnern Rl, R2 erarbeiteten Ergebnisse steht in der Zeichnung der Funktionsblock V, in dem die diesbezüglichen Programme als Systemsoftware hinterlegt sind. Die Prüfmechanismen PMS des signaltechnisch si- cheren Rechners sind signaltechnisch sicher ausgeführt im Gegensatz zu den Prüf echanismen PM der kommerziellen Rechner Rl , R2. Der besondere Vorteil der erfindungsgemäßen Einrichtung gegenüber einer entsprechenden nach dem Stand der Technik ausgebildeten Einrichtung ist der, dass im signaltechnisch sicheren Rechner immer nur die Funktionen der sicheren Ein- und Ausgabe und des sicheren Datenvergleichs zu realisieren sind und zwar unabhängig von den durch die Betriebsordnungen der einzelnen Bahnverwaltungen jeweils festgelegten Anforderungen und Bedingungen. Damit wird nicht nur die im sicheren Rechner oder in den sicheren Rechnern ablaufende Systemsoftware ein- fach und übersichtlich; sie ist vielmehr für alle Anwendungsfälle gleich, muss also nicht mehr neu von Fall zu Fall erarbeitet und einer Zulassungsprüfung unterzogen werden. Die bahnverwaltungsspezifische Software, die durch die unterschiedlichen Betriebsordnungen der einzelnen Bahnverwaltungen bestimmt wird, läuft in den kommerziellen Rechnern ab. Ihr Zusammenwirken mit der Systemsoftware der sicheren Rechner muss nicht geprüft werden. Vielmehr ist lediglich erforderlich, die spezifizierte Schnittstelle zwischen signaltechnisch sicherem und kommerziellem Rechner einzuhalten und die in den kommerziellen Rechnern zu implementierende bahnverwaltungsspezifische Software in sich auf ihre Funktionalität zu prüfen, d. h. zu prüfen, ob bestimmte Eingaben auch tatsächlich zu bestimmten Ausgaben führen. Diese Funktionalitätsprüfung findet getrennt von der Prüfung der Systemsoftware statt und ist -anders als beim Stand der Technik- nicht mehr eingebunden in die Systemsoftware der sicheren Rechner, die ihrerseits auch übersichtlicher ist als beim Stand der Technik.
Die Erarbeitung der bahnverwaltungsspezifischen Software muss nicht zwangsweise bei dem für die signaltechnische Sicherheit des Prozessgeschehens erantwortlichen Hersteller für die signaltechnisch sicheren Rechner erfolgen. Vielmehr ist es möglich, Aufträge zur Erarbeitung der Programme für die kom- merziellen Rechner an qualifizierte Ingenieurbüros oder dergleichen zu vergeben, die die von ihnen erarbeitet Software mit der jeweiligen Bahnverwaltung und z. B. einer Genehmigungsbehörde wie dem Eisenbahnbundesamt abzugleichen haben. Damit wird es möglich, die Programme zum Steuern und Überwachen eines sicherheitskritischen Bahnbetriebsprozesses sehr viel schneller und preiswerter als bisher den jeweiligen Gegebenheiten anzupassen, ohne dass dadurch irgend welche Einbußen an Sicherheit in Kauf genommen werden müssen.
Bei dem vorstehend erläuterten Ausführungsbeispiel stehen die kommerziellen Rechner Rl, R2 für ein- oder mehrere Doppelrechnersysteme oder mit redundanten Rechnern versehene Rechnersysteme, in deren Einzelrechnern jeweils identische Pro- gramme zum Abarbeiten der durch die jeweilige Bahnbetriebsordnung vorgegebenen Bedingungen und Abhängigkeiten ablaufen sollen, wobei von den einzelnen kommerziellen Rechnern vorzugsweise entweder jeweils nur bestimmte Teilfunktionen der Betriebsordnung zu realisieren sind oder aber jeweils nur auf bestimmte Teile der Bahnanlagen einzuwirken ist. Die Anordnung kann aber auch so getroffen sein, dass es sich bei den kommerziellen Rechnern Rl, R2 jeweils um Einzelrechner handelt, in denen die durch die Betriebsordnung einer Bahnverwaltung bestimmten Programme der bahnverwaltungsspezifischen Software mehrmals, mindestens jedoch zweimal nacheinander unabhängig voneinander abgearbeitet werden. Die hierfür erforderliche bahnverwaltungsspezifische Software kann diversitär ausgelegt sein oder aber für beide Verarbeitungsvorgänge inhaltlich gleich sein.
Für die Übermittlung der von den kommerziellen Rechnern erarbeiteten Ergebnissen an den oder die signaltechnisch sicheren Rechner kommt vorzugsweise eine nicht signaltechnisch sichere Datenübertragung infrage, bei der entweder die zweikanalig seriell oder parallel erarbeiteten Ergebnisse auf zwei Kanälen an den oder die sicheren Rechner übermittelt werden oder aber bei der sie über nur einen Kanal zweimal nacheinander übermittelt werden. Ein zweiter oder dritter redundanter Kanal erhöht die Verfügbarkeit. Etwaige Datenverfälschungen auf dem Übertragungsweg von den kommerziellen Rechnern zu den signaltechnisch sicheren Rechnern und umgekehrt sind im empfangenden Rechner durch eine vom absendenden Rechner einge- tragene Signatur erkennbar, die den Telegramminhalt über eine Rechenvorschrift kodiert. Bei der seriellen Übertragung von Daten an die sicheren Rechner sind den Daten Kennungen beizugeben, die es den signaltechnisch sicheren Rechnern ermöglichen, zu erkennen, ob die übermittelten Daten aktuell sind und tatsächlich aus unterschiedlichen Rechnerkanälen der kommerziellen Rechnern stammen bzw. das Ergebnis unterschiedlicher Verarbeitungsvorgänge sind; bei der Datenübertragung über getrennte Busse können die signaltechnisch sicheren Rechner aus den ihnen über den einen oder anderen Bus über- ittelten Daten erkennen, ob diese Daten auch tatsächlich von dem einen oder anderen Rechner eines kommerziellen Rechnerpaares stammen oder nicht.
In vorteilhafter Ausgestaltung der Erfindung können der oder die kommerziellen Rechner als sogenannte Bedienplatzrechner ausgeführt sein, über die von einem Bahnbediensteten oder von einer Automatik Kommandos zur Ausführung an den Bahnbetriebs- prozess ausgegeben und die Rückmeldungen des Bahnbetriebsprozesses visualisiert werden können. In den Bedienplatzrechnern laufen dann unabhängig voneinander die Programme zur Eingabe und Visualisierung von Kommandos und Meldungen und die Programme ab, über die die Prozesselemente entsprechend der Bahnbetriebsordnung gesteuert werden. Die Programme für die Kommandoeingäbe und die Visualisierung des Prozessgeschehens können auch mit den Programmen zur Prozesssteuerung, wie sie durch die Bahnbetriebsordnung jeweils vorgegeben sind, kombiniert sein.
Der oder die signaltechnisch sicheren Rechner können auch als m von n-RechnerSystem ausgeführt sein, bei denen die Entscheidung darüber, ob und welche Stellbefehle an den Prozess ausgegeben werden sollen, durch MehrheitsentScheidung von mindestens zwei intakten Rechnern getroffen wird.
Die Ausgabe der Stellbefehle an den Prozess geschieht zweikanalig; jeder Rechner hat die Möglichkeit, die Ausgabe von Stellbefehlen beim Feststellen von Verarbeitungsfehlem zu verhindern.
Das erfindungsgemäße Verfahren und die erfindungsgemäße Einrichtung lassen sich für alle sicherheitskritischen Bahnbetriebsprozesse mit Vorteil anwenden. Eine solche Anwendung kann z. B. die sichere Steuerung eines Bahnbetriebes durch ein Stellwerk sein aber auch z. B. die sichere Steuerung eines Bahnüberganges, einer Achszähl nläge sowie von Strecken- und Fahrzeuggeräten einer Linienzugbeeinflussung (LZB) .

Claims

Patentansprüche
1. Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses unter Verwendung mindestens eines signaltech- nisch sicheren Rechners, der aus eingehenden Kommandos nach Maßgabe einer Bahnbetriebsordnung signaltechnisch sicher erarbeitete Stellbefehle signaltechnisch sicher an Prozesselemente ausgibt und von dort stammende Meldungen einer Prozesszustandsüberwachung und Prozesssteuerung zuführt, d a d u r c h g e k e n n z e i c h n e t , dass im sicheren Rechner (SR*) lediglich eine System-Software (V,PMS) hinterlegt wird, deren Programme den sicheren Rechner befähigen, eine signaltechnisch sichere Ein/Ausgabe und den signaltechnisch sicheren Datenvergleich vorzunehmen, und dass die bahnverwaltungsspezifische Software (BO) , die die von einer Bahnverwaltung durch deren Bahnbetriebsordnung vorgegebenen Bedingungen und Abhängigkeiten für den Bahnbetriebsprozess beinhaltet, in mindestens einem nicht signaltechnisch sicheren kommerziellen Rechner (R1,R2) hinterlegt wird, dass vom signaltechnisch sicheren Rechner aus den ihm zugeführten Kommandos (K) und Meldungen (M) Verarbeitungsaufträge (A) erzeugt und an den oder die kommerziellen Rechner über- mittelt werden, dass die Verarbeitungsaufträge dort mindestens zweimal unabhängig voneinander abgearbeitet werden, dass die dabei erarbeiteten Ergebnisse (E) und/oder Zwischenergebnisse an den sicheren Rechner übermittelt und dort sig- naltechnisch sicher auf inhaltliche Übereinstimmung geprüft werden, wobei vom sicheren Rechner nur solche Ergebnisse und/oder Zwischenergebnisse akzeptiert und daraus ableitbare Stellbe- fehle (SB) signaltechnisch sicher an den Prozess (BA) ausgegeben werden, die von dem kommerziellen Rechner mindestens zweifach übereinstimmend zur Verfügung gestellt wurden.
2. Verfahren nach Anspruch 1, d a du r c h g e k e n n z e i c h n e t , dass für das mindestens zweimalige Abarbeiten von Verarbeitungsaufträgen im kommerziellen Rechner identische oder di- versitäre Software verwendet wird.
3. Verfahren nach Anspruch 1 oder 2 , d a d u r c h g e k e n n z e i c h n e t , dass die bei der Abarbeitung der bahnverwaltungsspezifischen Software (BO) sich ergebenden Zeitereignisse vom signaltech- nisch sicheren Rechner (SR*) auf Anforderung der kommerziellen Rechner synchronisiert werden.
4. Verfahren nach einem der Ansprüche 1 bis 3 , d a d u r c h g e k e n n z e i c h n e t , dass die vom kommerziellen Rechner ermittelten Ergebnisse und/oder Zwischenergebnisse über nicht signaltechnisch sichere Kommunikationskanäle an den sicheren Rechner übermittelt werden.
5. Verfahren nach einem der Ansprüche 1 bis 4, d a d u r c h g e k e n n z e i c h n e t , dass eine telegrammweise Datenübertragung vorgesehen ist und dass den Telegrammen Signaturen beigegeben werden, aus denen der jeweils empfangende Rechner erkennen kann, ob diese Tele- gramme unverfälscht übertragen wurden.
6. Verfahren nach einem der Ansprüche 1 bis 5, d a d u r c h g e k e n n z e i c h n e t , dass eine telegrammweise Datenübertragung vorgesehen ist und dass den Telegrammen Signaturen beigegeben werden, aus denen der signaltechnisch sichere Rechner erkennen kann, ob in den Programm- und Datenspeichern der kommerziellen Rechner Ver- fälschungen aufgetreten sind oder die CPU eines kommerziellen Rechners nicht mehr korrekt arbeitet.
7. Verfahren nach einem der Ansprüche 1 bis 6, d a d u r c h g e k e n n z e i c h n e t , dass die Verarbeitungsaufträge in mindestens jeweils zwei kommerziellen Rechnern (R1,R2) im wesentlichen zeitgleich abgearbeitet werden oder zeitlich seriell in nur einem einzigen Rechner und dass die ermittelten Ergebnisse und/oder Zwischenergebnisse dem sicheren Rechner für den Vergleich je- weils paarweise zugeführt werden.
8. Verfahren nach Anspruch 7 , d a d u r c h g e k e n n z e i c h n e t , dass den Telegrammen Kennungen beigegeben werden, aus denen der sichere Rechner erkennen kann, ob diese Telegramme tatsächlich getrennt erarbeitet wurden.
9. Verfahren nach Anspruch 7 , d a d u r c h g e k e n n z e i c h n e t , dass von dem sicheren Rechner anhand der ihm über verschiedene Eingänge zugeführten Ergebnismeldungen der kommerziellen Rechner erkannt wird, ob diese Telegramme von verschiedenen Rechnern stammen.
10. Verfahren nach einem der Ansprüche 1 bis 9, d a d u r c h g e k e n n z e i c h n e t , dass systematische Fehler in der Betriebssystem-Software (BO) der kommerziellen Rechner durch Einsatz von diversitären Be- triebsSystemen auf den beteiligten Rechnern (Rl bis Rn) ausgeschlossen werden.
11. Verfahren nach einem der Ansprüche 1 bis 10, d a d u r c h g e k e n n z e i c h n e t , dass systematische Fehler in der Hardware der kommerziellen Rechner durch Einsatz von diversitären Rechnerkomponenten (Motherboard, CPU, Speicher) auf den beteiligten Rechnern (Rl bis Rn) ausgeschlossen werden.
12. Einrichtung zur Durchführung eines Verfahrens zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses mit mindestens einem signaltechnisch sicheren Rechner, der aus eingehenden Kommandos nach Maßgabe einer Bahnbetriebsordnung sig- naltechnisch sicher erarbeitete Stellbefehle für
Prozesselemente .ausgibt und von dort stammende Meldungen einer Prozesszustandsüberwachung und Prozesssteuerung zuführt, d a d u r c h g e k e n n z e i c h n e t , dass im signaltechnisch sicheren Rechner (SR*) lediglich noch eine System-Software implementiert ist, deren Programme den sicheren Rechner befähigen, die signaltechnisch sichere Ein/Ausgabe (K,E,M,A,SB) und den signaltechnisch sicheren Datenvergleich vorzunehmen, und dass mindestens ein nicht signaltechnisch sicherer kommerzieller Rechner (Rl, R2 ) vorgesehen ist, in dem die bahnverwaltungsspezifische Software implementiert ist, die die von einer Bahnverwaltung durch ihre Bahnbetriebsordnung (BO) vorgegebenen Bedingungen und Abhängigkeiten für die Steuerung des Bahnbetriebsprozesses beinhaltet, dass der sichere Rechner und der kommerzielle Rechner an ein KommunikationsSystem (BUS) angeschlossen sind, über das der sichere Rechner Verarbeitungsaufträge (A) an den kommerziel- len Rechner übermittelt und von dort Ergebnisse (E) und/oder
Zwischenergebnisse erhält, wobei der kommerzielle Rechner dazu eingerichtet ist, jeden Verarbeitungsauftrag mindestens zweimal unabhängig voneinan- der auszuführen, dass der sichere Rechner die ihm vom kommerziellen Rechner mindestens jeweils paarweise übermittelten Ergebnisse und/oder Zwischenergebnisse signaltechnisch sicher auf inhaltliche Übereinstimmung prüft und in Abhängigkeit vom Prü- fungsergebnis daraus Stellbefehle (SB) für Prozesselemente
(W, S) ableitet und ihre Ausgabe an den Prozess über dafür vorgesehene Treiber veranlasst.
13. Einrichtung nach Anspruch 12, d a d u r c h g e k e n n z e i c h n e t , dass auch im kommerziellen Rechner nur Programme (BO) installiert sind, deren Funktionalität nachgewiesen wurde.
14. Einrichtung nach Anspruch 12 oder 13, d a du r c h g e k e n n z e i c h n e t , dass der kommerzielle Rechner die Verarbeitungsaufträge mit identischer oder diversitärer Software jeweils mindestens zweimal abarbeitet .
15. Einrichtung nach einem der Ansprüche 12 bis 14, d a d u r c h g e k e n n z e i c h n e t , dass mindestens zwei die gleichen Verarbeitungsaufträge paarweise unabhängig voneinander abarbeitende kommerzielle Rechner vorgesehen sind.
16. Einrichtung nach einem der Ansprüche 12 bis 15, d a d u r c h g e k e n n z e i c h n e t , 17 dass zur Abarbeitung unterschiedlicher Funktionalitäten oder Teilfunktionalitäten oder zum Steuern und Überwachen unterschiedlicher Anlagenteile jeweils mehrere kommerzielle Rechner (Rl, R2) in Einrechner- oder Mehrrechnerausführung vorge- sehen sind.
17. Einrichtung nach einem der Ansprüche 12 bis 16, d a d u r c h g e k e n n z e i c h n e t, dass der mindestens eine kommerzielle Rechner ein Bedien- platzrechner ist, über den Kommandos (K) an den sicheren
Rechner einzugeben und Meldungen (M) zur Anzeige zu bringen sind.
18. Einrichtung nach einem der Ansprüche 12 bis 17 , d a d u r c h g e k e n n z e i c h n e t, dass der sichere Rechner ein m v n-Rechnersystem ist.
19. Einrichtung nach einem der Ansprüche 12 bis 18, d a d u r c h g e k e n n z e i c h n e t, dass der sichere Rechner dazu eingerichtet ist, aus Kennungen, die den von dem mindestens einen kommerziellen Rechner übermittelten Ergebnissen und/oder Zwischenergebnissen beigegeben sind, zu erkennen, ob diese Ergebnisse und/oder Zwischenergebnisse aus verschiedenen Verarbeitungsprozessen stammen.
20. Einrichtung nach Anspruch 12, d a d u r c h g e k e n n z e i c h n e t, dass der sichere Rechner etwaige Stellbefehle zweikanalig an den Prozess ausgibt.
PCT/DE2001/004485 2001-11-22 2001-11-22 Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens WO2003047937A1 (de)

Priority Applications (9)

Application Number Priority Date Filing Date Title
KR10-2004-7007825A KR20040063935A (ko) 2001-11-22 2001-11-22 안전 임계적 철도 운영 프로세스를 제어하기 위한 방법 및상기 방법을 수행하기 위한 장치
MXPA04004840A MXPA04004840A (es) 2001-11-22 2001-11-22 Procedimiento para controlar un proceso de operacion de seguridad critica ferroviaria y dispositivo para realizar este procedimiento.
JP2003549144A JP4102306B2 (ja) 2001-11-22 2001-11-22 安全性の要求される鉄道運転プロセスの制御方法およびこの方法を実施するための装置
PCT/DE2001/004485 WO2003047937A1 (de) 2001-11-22 2001-11-22 Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens
AU2002224742A AU2002224742A1 (en) 2001-11-22 2001-11-22 Method for controlling a safety-critical railway operating process and device for carrying out said method
CA002467972A CA2467972A1 (en) 2001-11-22 2001-11-22 Method for controlling a safety-critical railroad operating process and device for carrying out said method
CNB018238238A CN1289345C (zh) 2001-11-22 2001-11-22 控制安全苛刻的铁路运行过程的方法和实施该方法的装置
HK05102045A HK1069363A1 (en) 2001-11-22 2005-03-09 Method for controlling a safety-critical railway operating process and device for carrying out said method
US11/173,159 US7209811B1 (en) 2001-11-22 2005-07-05 System and method for controlling a safety-critical railroad operating process

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/DE2001/004485 WO2003047937A1 (de) 2001-11-22 2001-11-22 Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens

Related Child Applications (2)

Application Number Title Priority Date Filing Date
US10496082 A-371-Of-International 2001-11-22
US11/173,159 Continuation US7209811B1 (en) 2001-11-22 2005-07-05 System and method for controlling a safety-critical railroad operating process

Publications (1)

Publication Number Publication Date
WO2003047937A1 true WO2003047937A1 (de) 2003-06-12

Family

ID=5648319

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2001/004485 WO2003047937A1 (de) 2001-11-22 2001-11-22 Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens

Country Status (8)

Country Link
JP (1) JP4102306B2 (de)
KR (1) KR20040063935A (de)
CN (1) CN1289345C (de)
AU (1) AU2002224742A1 (de)
CA (1) CA2467972A1 (de)
HK (1) HK1069363A1 (de)
MX (1) MXPA04004840A (de)
WO (1) WO2003047937A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013218814A1 (de) * 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Verfahren zum Betreiben eines sicherheitskritischen Systems
EP4293957A1 (de) * 2022-06-16 2023-12-20 Siemens Mobility GmbH Verfahren und anordnung zum erzeugen eines steuersignals

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2929056B1 (fr) * 2008-03-19 2010-04-16 Alstom Transport Sa Dispositif de detection a seuil securitaire d'un systeme ferroviaire
DE102012211273A1 (de) * 2012-06-29 2014-01-02 Siemens Aktiengesellschaft Verfahren und Anordnung zum Steuern einer technischen Anlage
CN105822665A (zh) * 2016-06-02 2016-08-03 株洲时代新材料科技股份有限公司 一种低地板车固定铰中整体式金属关节轴承及其组装方法
CN112462731B (zh) * 2020-10-16 2022-06-24 北京西南交大盛阳科技股份有限公司 安全监督控制方法、安全监督控制装置、计算机设备及安全监督***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0132548A1 (de) * 1983-06-28 1985-02-13 Siemens Aktiengesellschaft Einrichtung zum Betrieb eines rechnergesteuerten Stellwerkes
WO1992003787A1 (de) * 1990-08-14 1992-03-05 Siemens Aktiengesellschaft Mehrrechnersystem hoher sicherheit mit drei rechnern
EP0503336A2 (de) * 1991-03-09 1992-09-16 Alcatel SEL Aktiengesellschaft Einrichtung zur signaltechnisch sicheren Fernsteuerung einer Unterstation in einer Eisenbahnanlage

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0132548A1 (de) * 1983-06-28 1985-02-13 Siemens Aktiengesellschaft Einrichtung zum Betrieb eines rechnergesteuerten Stellwerkes
WO1992003787A1 (de) * 1990-08-14 1992-03-05 Siemens Aktiengesellschaft Mehrrechnersystem hoher sicherheit mit drei rechnern
EP0503336A2 (de) * 1991-03-09 1992-09-16 Alcatel SEL Aktiengesellschaft Einrichtung zur signaltechnisch sicheren Fernsteuerung einer Unterstation in einer Eisenbahnanlage

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013218814A1 (de) * 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Verfahren zum Betreiben eines sicherheitskritischen Systems
WO2015039878A1 (de) * 2013-09-19 2015-03-26 Siemens Aktiengesellschaft Software aktualisierung von non-kritischen komponenten in dual sicherheitskritischen verteilten systemen
US10229036B2 (en) 2013-09-19 2019-03-12 Siemens Mobility GmbH Software update of non-critical components in dual safety-critical distributed systems
EP4293957A1 (de) * 2022-06-16 2023-12-20 Siemens Mobility GmbH Verfahren und anordnung zum erzeugen eines steuersignals

Also Published As

Publication number Publication date
JP4102306B2 (ja) 2008-06-18
AU2002224742A1 (en) 2003-06-17
HK1069363A1 (en) 2005-05-20
JP2005511386A (ja) 2005-04-28
KR20040063935A (ko) 2004-07-14
MXPA04004840A (es) 2004-08-02
CN1558848A (zh) 2004-12-29
CN1289345C (zh) 2006-12-13
CA2467972A1 (en) 2003-06-12

Similar Documents

Publication Publication Date Title
DE3706325C2 (de)
DE102009054157B3 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
DE10030329C1 (de) Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
EP0742500A2 (de) Sichere Tipptasten- und Schalterfunktionen mit Fehleraufdeckung
DE4032033C2 (de)
EP2445771B1 (de) Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks
EP2731849B1 (de) Stellwerksrechner
EP0132548A1 (de) Einrichtung zum Betrieb eines rechnergesteuerten Stellwerkes
EP1197418B1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE2701925C3 (de) Fahrzeugsteuerung mit zwei Bordrechnern
DE102005023296B4 (de) Zugbeeinflussungssystem
WO2003047937A1 (de) Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens
EP0424664B1 (de) Einrichtung zur Übertragung von Steuerungsinformation auf ein Schienenfahrzeug
WO1997008617A2 (de) Einrichtung zur einkanaligen übertragung von aus zwei datenquellen stammenden daten
DE102004035901B4 (de) Einrichtung zum Steuern eines sicherheitskritischen Prozesses
AT402909B (de) Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage
EP2418580B1 (de) Verfahren zum Betreiben eines Netzwerkes und Netzwerk
EP2228723B1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
EP0920391B1 (de) Verfahren zur steuerung und überwachung einer verkehrstechnischen anlage
EP2026147A1 (de) Verfahren zum Übermitteln von Telegrammen zwischen einer Steuereinrichtung und einem Peripherieelement über ein Zwischengerät
EP1702827A1 (de) Bedienplatzsystem
WO2018158039A1 (de) Umschaltung zwischen element-controllern im bahnbetrieb
WO2011113405A1 (de) Steuergeräteanordnung
DE10247520A1 (de) Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem
DE10116244C2 (de) Verfahren zum Betreiben einer Bedienplatzeinrichtung

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AU BG BR CA CN CO CZ HU IN JP KR MA MX PH PL SK US ZA

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2003549144

Country of ref document: JP

Ref document number: 2467972

Country of ref document: CA

Ref document number: 00665/KOLNP/2004

Country of ref document: IN

Ref document number: 665/KOLNP/2004

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: PA/A/2004/004840

Country of ref document: MX

Ref document number: 1020047007825

Country of ref document: KR

WWE Wipo information: entry into national phase

Ref document number: 20018238238

Country of ref document: CN