DD262930A5 - Verfahren und Anordnung zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen - Google Patents
Verfahren und Anordnung zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen Download PDFInfo
- Publication number
- DD262930A5 DD262930A5 DD30902287A DD30902287A DD262930A5 DD 262930 A5 DD262930 A5 DD 262930A5 DD 30902287 A DD30902287 A DD 30902287A DD 30902287 A DD30902287 A DD 30902287A DD 262930 A5 DD262930 A5 DD 262930A5
- Authority
- DD
- German Democratic Republic
- Prior art keywords
- safe
- fail
- secure
- information
- signal
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Safety Devices In Control Systems (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Input From Keyboards Or The Like (AREA)
Abstract
Die Erfindung betrifft ein Verfahren und eine Anordnung zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen. Zur vereinfachten und flexibleren Eingabe von Informationen in signaltechnisch sichere Rechenanlagen ueber signaltechnisch sichere Eingabeeinrichtungen, bei denen zur Verifizierung signaltechnisch sichere Anzeigen und signaltechnisch sichere Kommandofreigabetasten bedient werden, wird erfindungsgemaess vorgeschlagen, dass die Eingabeeinrichtung in einen signaltechnisch sicheren Teil und einen vorgeschalteten signaltechnisch nicht sicheren Teil aufgegliedert wird, dass saemtliche Informationen ueber den nicht sicheren Teil eingegeben bzw. zu Kommandos verarbeitet ueber diesen laufen und dass saemtliche Informationen und Kommandos im signaltechnisch sicheren Teil automatisch auf signaltechnisch sichere Relevanz geprueft werden, wobei - wenn nicht sicherheitsrelevant - eine direkte Weiterleitung an eine Stellogik der Anlage erfolgt und nur - wenn sicherheitsrelevant - das zusaetzliche Kommandosicherungsverfahren gefordert wird. Von besonderem Vorteil ist, dass Verfahrensmodifikationen in der Eingabe und Ausgabe unter Minimierung des signaltechnisch sicheren Teils mit veraenderbaren Geraeten nicht sicherer Struktur realisierbar sind, ohne dass zusaetzlicher Pruefaufwand erforderlich wird. Figur
Description
Hierzu 1 Seite Zeichnung
Die Erfindung bezieht sich auf ein Verfahren zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen.
In Betriebsleitstellen sicherheitstechnischer Anlagen (z. B. Stellwerke, Kraftwerke, militärische Einrichtungen) muß gewährleistet sein, daß keine Eingaben unkontrolliert in das System gelangen und daß ein Bediener sicherheitsrelevante Kommandos und Daten nur signaltechnisch sicher eingeben kann.
Neben den sicherheitsrelevanten Eingaben gibt es jedoch auch nicht sicherheitsrelevante Eingaben, wobei gerade diese Eingaben weitaus häufiger sind. Größere Mengen solcher Daten fallen z. B. bei der Vorverarbeitung von Daten für komplexe Systeme-an.
Es sind mehrere Konzepte für elektronische Stellwerke mit signaltechnisch sicheren Rechnern bekannt (z. B. ETR 34 [1985], H. 11,
S. 789 bis 796). Allen gemeinsam ist eine Bedienereingabe in die signaltechnisch sicheren Rechner, bei der zur Verifizierung sicherheitsrelevanter Eingaben ein Verfahren gemäß dem „Pflichtenheft für Fernsteuerzentralen bei der DB" verwendet wird.
Dazu müssen eine signaltechnisch sichere Taste (Kommandofreigabetaste) und eine signaltechnisch sichere Farbgraphikanzeige (Farbmonitor) vorhanden sein.
Die zur Bearbeitung der Eingaben benutzten signaltechnisch sicheren Rechner sind entweder zweikanalig oder nach dem 2-aus-3-Prinzip aufgebaut.
Sowohl die Rechner als auch die darauf laufenden Programme müssen nach den Auflagen ständig auf ihre signaltechnische Sicherheit überprüft werden und auch die an den Rechner angeschlosseneEin- und Ausgabeperipherie ist ggf. einer Prüfung auf Rückwirkungsfreiheitzu unterziehen. Diese Prüfungen sind nicht nur äußerst kosten- und zeitintensiv, sie behindern dadurch auch eine Umstellung und Einbeziehung modernerer Geräte und Verfahren für die Mensch-Maschine-Kommunikation.
So ist danach beispielsweise eine Bearbeitung großer Datenmengen —-wie sie z.B. bei Vorverarbeitung der Eingabedaten für komplexe Systeme vorkommen (z. B. halbautomatische Zugstraßeneinstellung oder Einbindung von Textverarbeitung) — und die durchaus nicht notwendigerweise signaltechnisch sicher sein müssen —technisch und unter den gegebenen sicherheitstechnischen Gesichtspunkten inpraktikabel.
Ziel der Erfindung ist es, die vorgenannten Nachteile weitgehend zu vermeiden.
— ί —
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Anordnung zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen zu schaffen, mit denen dieser Prüfungsaufwand vermindert wird und die die Möglichkeit einräumen, Ein- und Ausgabeverfshren veränderter Art mit den zugehörigen Einrichtungen und Geräten zu realisieren, ohne daß für diese zusätzlich eine Prüfung auf signaltechnische Sicherheit notwendig ist, weder bei der ersten Installation noch bei Änderungen. Diese Aufgabe wird erfindungsgemäß dadurch gelöst, daß die Eingabeeinrichtung in einen signaltechnisch sicheren Teil und einen vorgeschalteten signaltechnisch nicht sicheren Teil aufgegliedert wird, daß sämtliche Informationen über den nicht sicheren Teil eingegeben bzw. zu Kommandos verarbeitet über diesen laufen, und daß sämtliche Informationen und Kommandos im signaltechnisch sicheren Teil automatisch auf signaltechnisch sichere Relevanz geprüft werden, wobei—wenn nicht sicherheitsrelevant—eine direkte Weiterleitung an eine Stellogik der Anlage erfolgt und nur—wenn sicherheitsrelevant— das zusätzliche Kommandosicherungsverfahren gefordert wird.
Die zur Durchführung des Verfahrens gehörende Anordnung ist in vorteilhafter Weise dadurch gekennzeichnet, daß der signaltechnisch sichere Teil aus der sicheren Rechneranlage, einer signaltechnisch sicheren Kommandofreigabetaste und ggf. noch einer signaltechnisch sicheren Anzeige besteht und daß an den sicheren Rechner der signaltechnisch nicht sichere Teil gegeben durch einen nicht sicheren Rechner und dessen Ein-/Ausgabeperipherie angeschlossen ist. Darüber hinaus steht der sichere Rechner über eine Busverbindung mit dem nicht sicheren Rechner in Verbindung, der seinerseits nicht sichere Anzeigen betreibt und über eine Eingabeeinrichtung sowie eine Schnittstelle für.Externkommandos steuerbar ist.
Ausführungsbeispiele
Die Erfindung wird nachfolgend an Hand der beigeführten Zeichnung in einem Ausführungsbeispiel näher erläutert. Die Figur zeigt eine Eingabeeinrichtung für ein elektronisches Stellwerk. Danach ist ein signaltechnisch sicherer Rechner 1 über eine Busverbindung 2 mit der eigentlichen Stellwerkstogik 3 verbunden. An den Rechner 1 angeschlossen sind eine signältechnisch sichere Anzeige 4, eine signaltechnisch sichere Freigabetaste 5 und ein nicht sicherer Rechner 6. Dieser nicht sichere Rechner 6 ist zusätzlich mit Ein- und Ausgabegeräten, einer Eingabeeinrichtung 7, z. B. Tastatur, und einer Anzeige 8 verbunden.
Mit Hilfe der Eingabeeinrichtung 7 gibt der Bediener alle Informationen nur in den nicht sicheren Teil der Eingabeeinrichtung ein. Er überprüft hier die Korrektheit seiner Eingaben anhand der Anzeige 8 und beendet seine Eingabe mittels einer Abschlußfunk-tion. Die Informationen oder auch verarbeiteten Kommandos werden daraufhin an den signaltechnisch sicheren Teil, d.h. den signaltechnisch sicheren Rechner 1, übergeben. In diesem wird das Kommando auf seine sicherheitstechnische Relevanz geprüft und, wenn nicht sicherheitsrelevant, sofort an das Stellwerk 3 weitergeleitet. Ist dagegen das Kommando sicherheitsrelevant, dann wird durch den Rechner 1 ein Kommandosicherungsverfahren eingeleitet und das Kommando erst nach einer evtl. Sicherungsbearbeitung an die sicherheitstechnische Anlage weitergeleitet. Die Sicherheitsbearbeitung umfaßt das Anzeigen der Informationen inclusive ggf. erforderlicher Zusatzinformationen auf der signaltechnisch sicheren Anzeige 4 (nicht notwendigerweise eine Farbgraphik) mit dem Hinweis darauf, daß es sich um eine sicherheitsrelevante Eingabe handelt. Erst nach Betätigung (inklusive Loslassen) der signaltechnisch sicheren Taste 5 wird dann dieses Kommando an das Stellwerk3 weitergegeben. Der nicht sichere Rechner 6 kann mit seiner Peripherie auch dazu benutzt werden, aus dem Stellwerk kommende Informationen nicht sicher darzustellen oder auszudrucken. Für sogenannte Bereichsübersichtsanzeigen sowie Protokoll- und Störungsdrucke sind keine'signaltechnisch sicheren Einrichtungen notwendig.
Als signaltechnisch sichere Anzeige 4 im Sinne des hier beschriebenen Verfahrens kann ggf. auch eine nicht sichere Anzeige betrachtet werden, wenn Gewinnung, Übertragung, Verarbeitung und Darstellung der Informationen unabhängig von den in der Anzeige 8 dargestellten sind. Die Inhalte der Anzeigen 4 und 8 werden durch den Bediener auf Gleichheit geprüft. In einer besonders vorteilhaften Ausführung kann der nicht sichere Teil der Eingabeeinrichtung mit einem PC (Personal-Computer) realisiert werden.
In einer Sonderform können auch mehrere Bediener mit mehreren nicht sicheren Rechnern 6, z. B. PCs, an den signaltechnisch nicht sicheren Rechner 1 angeschlossen werden, so daß auch für mehrere Bedienplätze nur ein sicherer Rechner 1 erforderlich wird. Die Kontrolle über alle sicherheitsrelevanten Eingaben liegt zweckmäßig bei nur einem Bediener.
Durch die Erfindung ergibt sich neben einer Minimierung des signaltechnisch sicheren Aufwands die Möglichkeit, billige, nicht sichere Personalcomputer (PCs) einzusetzen. Diese PCs sind billiger, einfacher zu programmieren und es steht eine umfangreiche Peripherie als für die sicheren Rechner höherer Anforderung zur Verfügung. Es ergeben sich aus Simultationen oder kommerziellen Programmpaketen kürzere Entwicklungs- und Inbetriebnahmezeiten sowie ein höherer Bedienkomfort.
Claims (3)
1. Verfahren zur Eingabe von Informationen in signaitechnisch sichere Rechenanlagen über signaltechnisch sichere Eingabeeinrichtungen, bei denen zur Verifizierung signaltechnisch sichere Anzeigen und signaltechnisch sichere Kommandofreigabetasten bedient werden, dadurch gekennzeichnet, daß die Eingabeeinrichtung in einem signaltechnisch sicheren Teil und einen vorgeschalteten signaltechnisch nicht sicheren Teil aufgegliedert wird, daß sämtliche Informationen über den nicht sicheren Teil eingegeben bzw. zu Kommandos verarbeitet über diesen laufen, und daß sämtliche Informationen und Kommandos im signaltechnisch sicheren Teil automatisch auf signaltechnisch sichere Relevanz geprüft werden, wobei — wenn nicht sicherheitsrelevant — eine direkte Weiterleitung an eine Stellogik der Anlage erfolgt und nur — wenn sicherheitsrelevant — das zusätzliche Kommandosicherungsverfahren gefordert wird.
2. Anordnung zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen, dadurch gekennzeichnet, daß der signaltechnisch sichere Teil aus der sicheren Rechneranlage (1), einer signaltechnisch sicheren Kommandofreigabetaste (5) und ggf. noch einer signaltechnisch sicheren Anzeige (4) besteht, und daß an den sicheren Rechner der signaltechnisch nicht sichere Teil gegeben durch einen nicht sicheren Rechner (6) und dessen Ein-/Ausgabeperipherie (7, 8) angeschlossen ist.
3. Anordnung nach Anspruch 2, dadurch gekennzeichnet, daß der sichere Rechner (1) über eine Busverbindung mit dem nicht sicheren Rechner (6) in Verbindung steht, der seinerseits nicht sichere Anzeigen (8) betreibt und über eine Eingabeeinrichtung (7) sowie eine Schnittstelle (9) für Externkommandos steuerbar ist.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE3639788A DE3639788C1 (en) | 1986-11-21 | 1986-11-21 | Method and arrangement for input of information into computer systems with secure signalling |
Publications (1)
Publication Number | Publication Date |
---|---|
DD262930A5 true DD262930A5 (de) | 1988-12-14 |
Family
ID=6314448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DD30902287A DD262930A5 (de) | 1986-11-21 | 1987-11-16 | Verfahren und Anordnung zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen |
Country Status (5)
Country | Link |
---|---|
AT (1) | AT398952B (de) |
DD (1) | DD262930A5 (de) |
DE (1) | DE3639788C1 (de) |
FI (1) | FI91335C (de) |
NL (1) | NL8702610A (de) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3938501A1 (de) * | 1989-11-20 | 1991-05-23 | Siemens Ag | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens |
GB2267984A (en) * | 1992-06-16 | 1993-12-22 | Thorn Emi Electronics Ltd | Multiplexing bus interface. |
DE102006037153A1 (de) * | 2006-08-02 | 2008-02-07 | Siemens Ag | Verfahren zur Steuerung und Überwachung eines sich entlang einer Fahrstrecke bewegenden Fahrzeugs, insbesondere zur signaltechnisch sicheren Zugbeeinflussung |
DE102012211273A1 (de) * | 2012-06-29 | 2014-01-02 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum Steuern einer technischen Anlage |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3238843C2 (de) * | 1982-10-20 | 1985-12-19 | Siemens AG, 1000 Berlin und 8000 München | Einrichtung zum Steuern eines Stellwerkes |
-
1986
- 1986-11-21 DE DE3639788A patent/DE3639788C1/de not_active Expired
-
1987
- 1987-11-02 NL NL8702610A patent/NL8702610A/nl not_active Application Discontinuation
- 1987-11-02 FI FI874817A patent/FI91335C/fi not_active IP Right Cessation
- 1987-11-16 DD DD30902287A patent/DD262930A5/de not_active IP Right Cessation
- 1987-11-20 AT AT0306887A patent/AT398952B/de not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
DE3639788C1 (en) | 1988-03-03 |
FI874817A (fi) | 1988-05-22 |
NL8702610A (nl) | 1988-06-16 |
FI91335B (fi) | 1994-02-28 |
FI874817A0 (fi) | 1987-11-02 |
AT398952B (de) | 1995-02-27 |
FI91335C (fi) | 1994-06-10 |
ATA306887A (de) | 1994-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69231391T2 (de) | Emulationsvorrichtung für eine vom Rechnersystem entfernten Konsole | |
DE69210123T2 (de) | Verfahren zur Modernisierung einer Aufzugsgruppe | |
DE60309928T2 (de) | Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems | |
EP0687363B1 (de) | Verfahren zur prüfung von elektronischen steuergeräten | |
DE1524175C3 (de) | Prüfeinrichtung in elektronischen Datenverarbeitungsanlagen | |
DE2726753A1 (de) | Interface-adapter | |
DE3228251T1 (de) | Synchronbus-entscheidungsschaltung | |
DE2442847C2 (de) | Test- und Diagnoseanordnung für eine Datenverarbeitungseinheit | |
DE102008026409A1 (de) | Bedienungstrainingsystem und Bedienungstrainingverfahren | |
DE69727293T2 (de) | Geteilte busarchitektur für anwendungen mit unterschiedlichen integritätsanforderungsstufen | |
DD262930A5 (de) | Verfahren und Anordnung zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen | |
EP1197418B1 (de) | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens | |
DE3527485C2 (de) | Numerische Steuervorrichtung | |
DE4233837A1 (de) | Rechenanlage | |
DE19851438A1 (de) | Rechnersystem für ein Kraftfahrzeug | |
EP1702827A1 (de) | Bedienplatzsystem | |
DE10155651A1 (de) | Bedienungsvorrichtung für ein Kabinensystem in einem Flugzeug | |
DE2104298C3 (de) | Anordnung aus zwei jeweils durch ein Programmleitwerk gesteuerten Datenverarbeitungsanlagen | |
DE4432419C2 (de) | Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens | |
EP1196829B1 (de) | Baustein zur steuerung eines antriebs | |
EP2849986B1 (de) | Verfahren und anordnung zum steuern einer technischen anlage | |
EP0237805B1 (de) | Verfahren und Anordnung zum Verhindern des Aussendens von unverschlüsselten Daten | |
DE29514502U1 (de) | Steckkarte für einen Rechner | |
EP0645920B1 (de) | Verfahren zur einkanaligen Übertragung von Datentelegrammen und Einrichtung zur Durchführung des Verfahrens | |
DE19934052C2 (de) | Einrichtung zur Fernsteuerung der Antriebsanlage eines Schiffes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
ENJ | Ceased due to non-payment of renewal fee |