AT398952B - Verfahren und anordnung zur eingabe von informationen in signaltechnisch sichere rechenanlagen - Google Patents
Verfahren und anordnung zur eingabe von informationen in signaltechnisch sichere rechenanlagen Download PDFInfo
- Publication number
- AT398952B AT398952B AT0306887A AT306887A AT398952B AT 398952 B AT398952 B AT 398952B AT 0306887 A AT0306887 A AT 0306887A AT 306887 A AT306887 A AT 306887A AT 398952 B AT398952 B AT 398952B
- Authority
- AT
- Austria
- Prior art keywords
- signal
- secure
- safe
- computer
- technically
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Safety Devices In Control Systems (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Input From Keyboards Or The Like (AREA)
Description
AT 398 952 B
Die Erfindung bezieht sich auf eine Anordnung zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen über signaltechnisch sichere Eingabeeinrichtungen, bei denen zur Verifizierung signaltechnisch sichere Anzeigen und signaltechnisch sichere Kommandofreigabetasten zu bedienen sind. in Betriebsieitstelien sicherheitstechnischer Anlagen (z.B. Stellwerke, Kraftwerke, militärische Einrichtun-5 gen) muß gewährleistet sein, daß keine Eingaben unkontrolliert in das System gelangen und daß ein Bediener sicherheitsrelevante Kommandos und Daten nur signaltechnisch sicher eingeben kann.
Neben den sicherheitsrelevanten Eingaben gibt es jedoch auch nicht sicherheitsrelevante Eingaben, wobei gerade diese Eingaben weitaus häufiger sind. Größere Mengen solcher Daten fallen z.B. bei der Vorverarbeitung von Daten für komplexe Systeme an. io Es sind mehrere Konzepte für elektronische Stellwerke mit signaltechnisch sicheren Rechnern bekannt (z.B. ETR 34 (1985), H. 11, S. 789 bis 796). Allen gemeinsam ist eine Bedienereingabe in die signaltechnisch sicheren Rechner, bei der zur Verifizierung sicherheitsreievanter Eingaben ein Verfahren gemäß dem "Pflichtenheft für Fernsteuerzentralen bei der DB” verwendet wird. Dazu müssen eine signaltechnisch sichere Taste (Kommandofreigabetaste) und eine signaltechnisch sichere Farbgraphikanzeige (Farbmonitor) 15 vorhanden sein.
Die zur Bearbeitung der Eingaben benutzten signaltechnisch sicheren Rechner sind entweder zweikana-lig oder nach dem 2-aus 3-Prinzip aufgebaut. Sowohl die Rechner als auch die darauf laufenden Programme müssen nach den Auflagen ständig auf ihre signaltechnische Sicherheit überprüft werden und auch die an den Rechner angeschlossene Ein- und Ausgabeperipherie ist ggf. einer Prüfung auf Rückwir-20 kungsfreiheit zu unterziehen. Diese Prüfungen sind nicht nur äußerst kosten- und zeitintensiv, sie behindern dadurch auch eine Umstellung und Einbeziehung modernerer Geräte und Verfahren für die Mensch-Maschine-Kommunikation.
So ist danach beispielsweise eine Bearbeitung großer Datenmengen - wie sie z.B. bei Vorverarbeitung der Eingabedaten für komplexe Systeme Vorkommen (z.B. halbautomatische Zugstraßeneinstellung oder 25 Einbindung von Textverarbeitung) - diese müssen durchaus nicht notwendigerweise signaltechnisch sicher sein - technisch und unter den gegebenen sicherheitstechnischen Gesichtspunkten inpraktikabel.
Aufgabe der Erfindung ist es, den aufgezeigten Prüfungsaufwand zu vermindern und dies mit einfachen Einrichtungen und Geräten für Ein- und Ausgabe zu realisieren, ohne daß für diese zusätzlich eine Prüfung auf signaltechnische Sicherheit notwendig wird, weder bei der ersten Installation noch bei Änderungen, so Diese Aufgabe wird für eine Anordnung der eingangs genannten Art dadurch gelöst, daß sämtliche Informationen über einen vorgeschalteten nicht sicheren Rechner eingegeben und zu Kommandos verarbeitet zum signaltechnisch sicheren Teil der Eingabeeinrichtung gelangen, daß dort sämtliche Kommandos nur noch automatisch auf signaltechnisch sichere Relevanz geprüft werden, wobei - wenn nicht sicherheitsrelevant - eine direkte Weiterleitung an eine Stellogik der Anlage erfolgt und nur - wenn sicherheitsrelevant -35 das zusätzliche Kommandosicherungsverfahren durchzuführen ist.
Zweckmäßig ist es, wenn der signaltechnisch sichere Teil aus einer sicheren Rechneranlage, einer signaltechnisch sicheren Kommandofreigabetaste und ggf. noch einer signaltechnisch sicheren Anzeige besteht und daß der sichere Rechner an den nicht sicheren Rechner mit dessen Ein-/Ausgabeperipherie angeschlossen ist. 40 Vorteilhaft ist es weiterhin, wenn der sichere Rechner über eine Busverbindung mit dem nicht sicheren Rechner in Verbindung steht, der seinerseits nicht sichere Anzeigen betreibt und über eine Eingabeeinrichtung sowie eine Schnittstelle für Externkommandos steuerbar ist.
Anhand eines schematischen Ausführungsbeispieles wird die Erfindung im nachstehenden näher erläutert. 45 Die Figur zeigt eine Eingabeeinrichtung für ein elektronisches Stellwerk. Danach ist ein signaitechnisch sicherer Rechner 1 über eine Busverbindung 2 mit der eigentlichen Stellwerkslogik 3 verbunden. An den Rechner 1 angeschlossen sind eine signaltechnisch sichere Anzeige 4, eine signaltechnisch sichere Freigabetaste 5 und ein nicht sicherer Rechner 6. Dieser nicht sichere Rechner 6 ist zusätzlich mit Ein- und Ausgabegeräten - einer Eingabeeinrichtung 7, z.B. Tastatur, und einer Anzeige 8 verbunden. so Mit Hilfe des Eingabeeinrichtung 7 gibt der Bediener aile Informationen nur in den nicht sicheren Teil der Eingabeeinrichtung ein. Er überprüft hier die Korrektheit seiner Eingaben anhand der Anzeige 8 und beendet seine Eingabe mittels einer Abschiußfunktion. Die Informationen oder auch verarbeite ten Kommandos werden daraufhin an den signaltechnisch sicheren Teil, d.h. den signaltechnisch sicheren Rechner 1, übergeben, in diesem wird das Kommando auf seine sicherheitstechnische Relevanz geprüft und, wenn 55 nicht sicherheitsrelevant, sofort an das Stellwerk 3 weitergeleitet. Ist dagegen das Kommando sicherheitsrelevant, dann wird durch Rechner 1 ein Kommandosicherungsverfahren eingeleitet und das Kommando erst nach einer evtl. Sicherungsbearbeitung an die sicherheitstechnische Anlage weitergeleitet. Die Sicherheitsbearbeitung umfaßt das Anzeigen der Informationen inclusive ggf. erforderlicher Zusatzinformationen auf der 2
Claims (2)
- AT 398 952 B signaltechnisch sicheren Anzeige 4 (nicht notwendigerweise eine Farbgraphik) mit dem Hinweis darauf, daß es sich um eine sicherheitsrelevante Eingabe handelt. Erst nach Betätigung (inklusive Loslassen) der signaltechnisch sicheren Taste 5 wird dann dieses Kommando an das Stellwerk 3 weitergegeben. Der nicht sichere Rechner 6 kann mit seiner Peripherie auch dazu benutzt werden, aus dem Stellwerk kommende Informationen nicht sicher darzustellen oder auszudrucken. Für sogenannte Bereichsübersichtsanzeigen sowie Protokoll- und Störungsdrucke sind keine signaitechnisch sicheren Einrichtungen notwendig. Als signaltechnisch sichere Anzeige 4 im Sinne des hier beschriebenen Verfahrens kann ggf. auch eine nichtsichere Anzeige betrachtet werden, wenn Gewinnung, Übertragung, Verarbeitung und Darstellung der Informationen unabhängig von den in der Anzeige 8 dargesteilten sind. Die Inhalte der Anzeigen 4 und 8 werden durch den Bediener auf Gleichheit geprüft. In einer besonders vorteilhaften Ausführung kann der nicht sichere Teil der Eingabeeinrichtung mit einem PC (Personal Computer) realisiert werden. In einer Sonderform können auch mehrere Bediener mit mehreren nicht sicheren Rechnern 6, z.B. PCs, an den signaltechnisch nicht sicheren Rechner 1 angeschlossen werden, so daß auch für mehrere Bedienplätze nur ein sicherer Rechner 1 erforderlich wird. Die Kontrolle über alle sicherheitsrelevanten Eingaben liegt zweckmäßig bei nur einem Bediener. Durch die Erfindung ergibt sich neben einer Minimierung des signaltechnisch sicheren Aufwandes die Möglichkeit, billige, nicht sichere Personalcomputer (PCs) einzusetzen. Diese PCs sind billiger, einfacher zu programmieren und es steht eine umfangreichere Peripherie als für die sicheren Rechner höherer Anforderung zur Verfügung. Es ergeben sich aus der direkten Verwendbarkeit von auf PC ablaufbaren Programmen, aus z.B. Simultationen oder kommerziellen Programmpaketen, kürzere Entwicklungs- und Inbetriebnahmezeiten sowie ein höherer Bedienkomfort. Patentansprüche 1. Anordnung zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen über signaltechnisch sichere Eingabeeinrichtungen, bei denen zur Verifizierung signaltechnisch sichere Anzeigen und signaltechnisch sichere Kommandofreigabetasten zu bedienen sind, dadurch gekennzeichnet, daß sämtliche Informationen über einen vorgeschalteten nicht sicheren Rechner eingegeben und zu Kommandos verarbeitet zum signaltechnisch sicheren Teil der Eingabeeinrichtung gelangen , daß dort sämtliche Kommandos nur noch automatisch auf signaitechnisch sichere Relevanz geprüft werden, wobei - wenn nicht sicherheitsrelevant - eine direkte Weiterleitung an eine Stelllogik der Anlage erfolgt und nur - wenn sicherheitsrelevant - das zusätzliche Kommandosicherungsverfahren durchzuführen ist.
- 2. Anordnung nach Anspruch 1, dadurch gekennzeichnet, daß der signaltechnisch sichere Teil aus einer sicheren Rechneranlage (1), einer signaltechnisch sicheren Kommandofreigabetaste (5) und ggf. noch einer signaltechnisch sicheren Anzeige (4) besteht und daß der sichere Rechner an den nicht sicheren Rechner (6) mit dessen Ein-/Ausgabeperipherie (7, 8) angeschlossen ist. Hiezu 1 Blatt Zeichnungen 3
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE3639788A DE3639788C1 (en) | 1986-11-21 | 1986-11-21 | Method and arrangement for input of information into computer systems with secure signalling |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| ATA306887A ATA306887A (de) | 1994-07-15 |
| AT398952B true AT398952B (de) | 1995-02-27 |
Family
ID=6314448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| AT0306887A AT398952B (de) | 1986-11-21 | 1987-11-20 | Verfahren und anordnung zur eingabe von informationen in signaltechnisch sichere rechenanlagen |
Country Status (5)
| Country | Link |
|---|---|
| AT (1) | AT398952B (de) |
| DD (1) | DD262930A5 (de) |
| DE (1) | DE3639788C1 (de) |
| FI (1) | FI91335C (de) |
| NL (1) | NL8702610A (de) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012211273A1 (de) * | 2012-06-29 | 2014-01-02 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum Steuern einer technischen Anlage |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3938501A1 (de) * | 1989-11-20 | 1991-05-23 | Siemens Ag | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens |
| GB2267984A (en) * | 1992-06-16 | 1993-12-22 | Thorn Emi Electronics Ltd | Multiplexing bus interface. |
| DE102006037153A1 (de) * | 2006-08-02 | 2008-02-07 | Siemens Ag | Verfahren zur Steuerung und Überwachung eines sich entlang einer Fahrstrecke bewegenden Fahrzeugs, insbesondere zur signaltechnisch sicheren Zugbeeinflussung |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3238843C2 (de) * | 1982-10-20 | 1985-12-19 | Siemens AG, 1000 Berlin und 8000 München | Einrichtung zum Steuern eines Stellwerkes |
-
1986
- 1986-11-21 DE DE3639788A patent/DE3639788C1/de not_active Expired
-
1987
- 1987-11-02 FI FI874817A patent/FI91335C/fi not_active IP Right Cessation
- 1987-11-02 NL NL8702610A patent/NL8702610A/nl not_active Application Discontinuation
- 1987-11-16 DD DD30902287A patent/DD262930A5/de not_active IP Right Cessation
- 1987-11-20 AT AT0306887A patent/AT398952B/de not_active IP Right Cessation
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012211273A1 (de) * | 2012-06-29 | 2014-01-02 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum Steuern einer technischen Anlage |
Also Published As
| Publication number | Publication date |
|---|---|
| ATA306887A (de) | 1994-07-15 |
| FI91335C (fi) | 1994-06-10 |
| DD262930A5 (de) | 1988-12-14 |
| NL8702610A (nl) | 1988-06-16 |
| FI91335B (fi) | 1994-02-28 |
| FI874817A0 (fi) | 1987-11-02 |
| DE3639788C1 (en) | 1988-03-03 |
| FI874817A (fi) | 1988-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE60309928T2 (de) | Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems | |
| DE1524175C3 (de) | Prüfeinrichtung in elektronischen Datenverarbeitungsanlagen | |
| EP0687363B1 (de) | Verfahren zur prüfung von elektronischen steuergeräten | |
| DE19707241C2 (de) | Modulares Sicherheitsschaltgerät | |
| DE2319753A1 (de) | Datenverarbeitungsanlage | |
| DE2442847C2 (de) | Test- und Diagnoseanordnung für eine Datenverarbeitungseinheit | |
| EP0522332A1 (de) | Rechner für den Leitstand einer Maschine, insbesondere eine Druckmaschine | |
| DE102011082291A1 (de) | Controller for machine tool and machining-related data processing system provided therewith | |
| WO2008003615A1 (de) | Verfahren zum durchführen eines tests | |
| DE102008026409A1 (de) | Bedienungstrainingsystem und Bedienungstrainingverfahren | |
| AT398952B (de) | Verfahren und anordnung zur eingabe von informationen in signaltechnisch sichere rechenanlagen | |
| DE112005002111T5 (de) | Vereinigungssystem, Systemvereinigungsverfahren und Systemvereinigungsprogramm | |
| DE2928463C2 (de) | Ferndiagnosesystem für örtlich verteilte Servicebedarfsanlagen | |
| EP1197418B1 (de) | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens | |
| EP0465793A2 (de) | Mehrrechnersystem für Steuer- und Diagnosegeräte bei einem Kraftfahrzeug | |
| EP0862763A2 (de) | Simulatoreinheit zum simulieren einer peripherieeinheit einer modular aufgebauten speicherprogrammierbaren steuerung | |
| DE69022783T2 (de) | Verfahren zur Unterstützung des Benutzers eines Rechnersystems und Vorrichtung zur Durchführung des besagten Verfahrens. | |
| DE69806758T2 (de) | Verfahren und vorrichtung zur prüfung von elektronischen einrichtungen | |
| DE69733956T2 (de) | Integration und steuerung von flugzeugdienstleistungssystemen | |
| DE102018202626A1 (de) | Verfahren zur rechnergestützten Parametrierung eines technischen Systems | |
| EP1760558B1 (de) | Vorrichtung und Verfahren zur Untersuchung der Sicherheit einer technischen Einrichtung | |
| DE10155651A1 (de) | Bedienungsvorrichtung für ein Kabinensystem in einem Flugzeug | |
| DE4432419C2 (de) | Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens | |
| DE102008012953A1 (de) | Überprüfung von Anzeigesystemen in Schienenfahrzeugen | |
| EP3779619A1 (de) | Emergente risiken eines technischen systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ELJ | Ceased due to non-payment of the annual fee |