DE10116244C2 - Verfahren zum Betreiben einer Bedienplatzeinrichtung - Google Patents
Verfahren zum Betreiben einer BedienplatzeinrichtungInfo
- Publication number
- DE10116244C2 DE10116244C2 DE2001116244 DE10116244A DE10116244C2 DE 10116244 C2 DE10116244 C2 DE 10116244C2 DE 2001116244 DE2001116244 DE 2001116244 DE 10116244 A DE10116244 A DE 10116244A DE 10116244 C2 DE10116244 C2 DE 10116244C2
- Authority
- DE
- Germany
- Prior art keywords
- image data
- checksum
- control image
- control
- operator station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L25/00—Recording or indicating positions or identities of vehicles or vehicle trains or setting of track apparatus
- B61L25/06—Indicating or recording the setting of track apparatus, e.g. of points, of signals
- B61L25/08—Diagrammatic displays
Description
Die Erfindung bezieht sich auf ein Verfahren zum Betreiben
einer einem Eisenbahnstellwerk zugeordneten Bedienplatzein
richtung, welche einen mit dem Eisenbahnstellwerk in Verbin
dung stehenden Bedienplatzrechner, einen oder mehrere mit dem
Eisenbahnstellwerk in Verbindung stehende Referenzrechner und
eine mit dem Bedienplatzrechner verbundene Anzeigeeinrichtung
aufweist, wobei bei dem Verfahren gemäß einem vorgegebenen
Normalbetriebsmodus mit dem Bedienplatzrechner unter Heran
ziehung von Meldetelegrammen des Eisenbahnstellwerks gemäß
einem vorgegebenen Bilddatenbildungsprozess Bilddaten gebil
det werden, die eine Anzeige des Zustands einer dem Eisen
bahnstellwerk zugeordneten Eisenbahngleisanlage auf der An
zeigeeinrichtung ermöglichen, mit den Referenzrechnern unter
Heranziehung der Meldetelegramme Kontroll-Bilddaten gebildet
werden, die Bilddaten und die Kontroll-Bilddaten miteinander
verglichen werden und sicherheitsrelevante Bedienhandlungen
zum Beeinflussen des Zustandes der Eisenbahngleisanlage aus
schließlich dann zugelassen werden, wenn die Bilddaten und
die Kontroll-Bilddaten übereinstimmen.
Ein derartiges Verfahren ist aus der Druckschrift "Verfah
rensgesicherte Meldebildanzeige für den Fdl-Arbeitsplatz bei
der Deutsche Bahn AG" (Signal + Draht, 86 (1994) 10) bekannt.
Bei diesem vorbekannten Verfahren wird eine Bedienplatzein
richtung mit einem Bedienplatzrechner und mit mindestens
einem Referenzrechner zum Ansteuern eines Eisenbahnstellwerks
verwendet. Der Bedienplatzrechner sowie der mindestens eine
Referenzrechner sind dabei über ein "lokales Netz" (LAN: Lo
cal Area Network) miteinander verbunden. Sicherheitsrelevante
Bedienhandlungen, also solche, die den Zustand der dem Eisen
bahnstellwerk zugeordneten Eisenbahngleisanlage verändern
bzw. beeinflussen, werden bei dem vorbekannten Verfahren aus
schließlich dann zugelassen, wenn der Bedienplatzrechner und
der mindestens eine Referenzrechner gleiche Bilddaten erzeu
gen.
Aus der Druckschrift "20 Jahre Elektronik für Bahnen, Teil
II: Signaltechnik; Funktionssicherheit elektronischer
Systeme" In: e, Heft 11, 1988, Seiten 489 bis 493 ist
bekannt, sichere Rechnersysteme dadurch zu bilden, dass
mehrere Rechner parallel arbeiten. Als Alternative zu einem
Parallelbetrieb der Rechner ist in dieser Druckschrift
angegeben, dass in einem Rechner mehrere Programme parallel
ablaufen und eine externe Überwachungs-Hardware vorgesehen
ist. Auch eine Kombination zweier Rechner, in denen jeweils
zwei Programme parallel unter Verwendung einer Überwachungs-
Hardware ablaufen, sind in der Druckschrift beschrieben.
Aufgabe der Erfindung ist es, ein Verfahren der eingangs an
gegebenen Art derart fortzuentwickeln, dass der Betrieb eines
Eisenbahnstellwerks auch im Falle eines Rechnerausfalls si
cher betrieben werden kann.
Diese Aufgabe wird ausgehend von einem Verfahren der eingangs
angegebenen Art erfindungsgemäß dadurch gelöst, dass bei Aus
fall aller Referenzrechner der Bedienplatzrechner in einen
einen höheren Sicherheitsstandard als der Normalbetriebsmodus
aufweisenden Sicherheitsbetriebsmodus umgeschaltet und in
diesem weiterbetrieben wird und zumindest eine der sicher
heitsrelevanten Bedienhandlungen auch im Sicherheitsbetriebs
modus zugelassen wird.
Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens be
steht darin, dass das Eisenbahnstellwerk mit der zugeordneten
Bedienplatzeinrichtung auch dann - unter Erreichung des vor
geschriebenen Sicherheitsstands - weiter betrieben werden
kann, wenn alle Referenzrechner ausgefallen sind; denn bei
dem erfindungsgemäßen Verfahren wird der Bedienplatzrechner
nach Ausfall der Referenzrechner in einen höheren Sicher
heitsstandard geschaltet als vorher, so dass auch sicher
heitsrelevante Bedienhandlungen zugelassen werden können, ob
wohl keine Kontrolle durch Referenzrechner mehr erfolgen
kann.
Gemäß einer Weiterbildung des erfindungsgemäßen Verfahrens
ist vorgesehen, dass der Bedienplatzrechner in den Normalbe
triebsmodus zurückgeschaltet wird, sobald mindestens einer
der Referenzrechner wieder in Betrieb genommen worden ist.
Diese Weiterbildung des erfindungsgemäßen Verfahrens zeichnet
sich dadurch aus, dass eine Zeitperiode bzw. Ausfallphase, in
der alle Referenzrechner ausgefallen sind, überbrückt wird,
indem der Bedienplatzrechner kurzzeitig in einem höheren Si
cherheitsstandard als zuvor betrieben wird. Sobald wieder
mindestens ein Referenzrechner zur Verfügung steht und somit
eine effektive Kontrolle der richtigen Funktion des Bedien
platzrechners erfolgt, wird die aus dem Bedienplatzrechner
und den Referenzrechnern bestehende Bedienplatzeinrichtung
wieder in ihrem Normalbetriebsmodus betrieben. Zusammenge
fasst wird bei der Weiterbildung des erfindungsgemäßen Ver
fahrens die Doppel- bzw. Mehrfach-Rechneranordnung als Ein
zelrechner-Anordnung weiterbetrieben, falls alle Referenz
rechner ausgefallen sind.
Besonders einfach und damit vorteilhaft lässt sich in dem Be
dienplatzrechner der Sicherheitsbetriebsmodus durchführen,
falls dieser derart ausgebildet ist, dass die Kontroll-Bild
daten gemäß einem vorgegebenen Referenzprozess im Bedien
platzrechner gebildet werden, die Bilddaten und die im Be
dienplatzrechner gebildeten Kontroll-Bilddaten miteinander
verglichen werden und die zumindest eine der sicherheitsrele
vanten Bedienhandlungen zugelassen wird, wenn die Bilddaten
und die im Bedienplatzrechner gebildeten Kontroll-Bilddaten
miteinander übereinstimmen. Im Sicherheitsbetriebsmodus gemäß
dieser Fortbildung des erfindungsgemäßen Verfahrens wird die
Funktion der Referenzrechner - also die Kontrollfunktion -
quasi durch entsprechende Software im Bedienplatzrechner si
muliert.
Erfindungsgemäß ist darüber hinaus vorgesehen, die Anzeige
einrichtung zu kontrollieren; konkret ist vorgesehen, dass
die Grafikkarte der Anzeigeeinrichtung auf ihre Funktionsfä
higkeit geprüft werden soll. Dies wird erfindungsgemäß da
durch erreicht, dass die Bilddaten zu einer Graphikkarte der
Anzeigeeinrichtung übertragen und dort abgespeichert werden,
die Bilddaten anschließend aus der Graphikkarte wieder zu
rückgelesen werden und der Vergleich der Bilddaten und der
Kontroll-Bilddaten anhand der zurückgelesenen Bilddaten
durchgeführt wird; denn durch den Vergleich der Kontroll-
Bilddaten mit den aus der Graphikkarte zurückgelesenen Bild
daten lässt sich feststellen, dass die in der Graphikkarte
vorhandene Speichereinrichtung korrekt arbeitet, weil im Feh
lerfall eine Abweichung zwischen den zurückgelesenen Bildda
ten und den Kontroll-Bilddaten auftreten würde.
Besonders zuverlässig lässt sich die Graphikkarte der Anzei
geeinrichtung dabei kontrollieren, indem die Kontroll-Bildda
ten zu der Graphikkarte übertragen und in dieser separat von
den Bilddaten abgespeichert werden, die Kontroll-Bilddaten
anschließend aus der Graphikkarte wieder zurückgelesen werden
und der Vergleich der Bilddaten und der Kontroll-Bilddaten
anhand der zurückgelesenen Bilddaten und der zurückgelesenen
Kontroll-Bilddaten erfolgt; denn durch das Abspeichern und
Rücklesen sowohl der Bilddaten als auch der Kontroll-Bildda
ten lässt sich besonders sicher feststellen, dass die Gra
phikkarte korrekt arbeitet.
Sehr schnell und damit vorteilhaft lassen sich die Bilddaten
und die Kontroll-Bilddaten miteinander vergleichen, wenn der
Vergleich der Bilddaten und der Kontroll-Bilddaten unter He
ranziehung von mit den Bilddaten und der Kontroll-Bilddaten
gebildeten Prüfsummen erfolgt, indem mit den Bilddaten eine
erste Prüfsumme und mit den Kontroll-Bilddaten eine zweite
Prüfsumme nach einem vorgegebenen Prüfsummenbildungsverfahren
gebildet wird und auf die Übereinstimmung zwischen den Bild
daten und den Kontroll-Bilddaten geschlossen wird, falls sich
die erste und die zweite Prüfsumme entsprechen; denn Bildda
ten sind in der Regel nämlich sehr umfangreich, so dass ein
Vergleich der Daten mit Hilfe eines Prüfsummenbildungsverfah
rens zu einer deutlichen Geschwindigkeitserhöhung bei der
Prüfung führt, als es bei einem "Bit-für-Bit"-Vergleich mög
lich wäre.
Gemäß einer weiteren Fortbildung des erfindungsgemäßen Ver
fahrens ist vorgesehen, dass der Vergleich der Bilddaten und
der Kontroll-Bilddaten unter weiterer Heranziehung von weite
ren Prüfsummen erfolgt, indem mit den Bilddaten eine dritte
Prüfsumme und mit den Kontroll-Bilddaten eine vierte Prüf
summe nach einem sich von dem vorgegebenen Prüfsummenbil
dungsverfahren unterscheidenden weiteren Prüfsummenbildungs
verfahren gebildet wird und auf die Übereinstimmung zwischen
den Bilddaten und den Kontroll-Bilddaten geschlossen wird,
falls sich sowohl die erste und die zweite Prüfsumme entspre
chen als auch die dritte und die vierte Prüfsumme entspre
chen; bei dieser weiteren Fortbildung des erfindungsgemäßen
Verfahrens werden zwei unterschiedliche Prüfsummenbildungs
verfahren eingesetzt, wodurch die Zuverlässigkeit bei dem Er
kennen von Fehlern noch zusätzlich erhöht wird.
Eine besonders hohe Prüfsicherheit lässt sich erfindungsgemäß
dann erreichen, wenn das weitere Prüfsummenbildungsverfahren
ein bezüglich des einen Prüfsummenbildungsverfahren gespie
geltes Prüfsummenbildungsverfahren ist und auf die Überein
stimmung zwischen den Bilddaten und den Kontroll-Bilddaten
ausschließlich dann geschlossen wird, falls sich die erste,
zweite, dritte und vierte Prüfsumme gleichen.
Im übrigen können die Prüfsummen für die Bilddaten und die
Kontroll-Bilddaten auch mit unterschiedlichem Prüfsummenver
fahren gebildet werden; konkret ist erfindungsgemäß vorgese
hen, dass der Vergleich der Bilddaten und der Kontroll-Bild
daten unter Heranziehung von mit den Bilddaten und den Kon
troll-Bilddaten gebildeten Prüfsummen erfolgt, indem mit den
Bilddaten nach einem vorgegebenen Prüfsummenbildungsverfahren
eine erste Prüfsumme gebildet wird, mit den Kontroll-Bildda
ten nach einem zu dem einen Prüfsummenbildungsverfahren ge
spiegelten Prüfsummenbildungsverfahren eine zweite Prüfsumme
gebildet wird und auf die Übereinstimmung zwischen den Bild
daten und den Kontroll-Bilddaten geschlossen wird, falls sich
die erste und die zweite Prüfsumme gleichen.
Ein besonders einfaches und schnelles Verfahren zum Bilden
von Prüfsummen ist das sogenannte CRC-Verfahren; es wird da
her als vorteilhaft angesehen, wenn das eine Prüfsummenbil
dungsverfahren ein CRC-Prüfsummenbildungsverfahren ist.
Werden bei dem erfindungsgemäßen Verfahren zwei Prüfsummen
bildungsverfahren eingesetzt, so wird es als vorteilhaft an
gesehen, wenn das eine Prüfsummenbildungsverfahren ein CRC-
Prüfsummenbildungsverfahren und das weitere Prüfsummenbil
dungsverfahren ein dazu gespieltes CRC-Prüfsummenbildungsver
fahren ist.
Um sicherzustellen, dass die Meldetelegramme vom Stellwerk zu
dem Bedienrechner unverfälscht übermittelt werden, wird es
als vorteilhaft angesehen, wenn die Meldetelegramme vom
Stellwerk zu dem Bedienrechner codiert übertragen werden und
die Decodierung der Meldetelegramme im Sicherheitsbetriebsmo
dus sowohl in Bilddatenbildungsprozess als auch - davon ge
trennt - ein weiteres Mal im Referenzprozess erfolgt.
Wie bereits oben erläutert, ist zur Codierung das CRC-Verfah
ren besonders geeignet; aus diesem Grund wird es als vorteil
haft angesehen, wenn auch die Codierung der Meldetelegramme
nach einem CRC-Verfahren erfolgt.
Zur Erläuterung der Erfindung zeigt
Fig. 1 eine Anordnung zur Durchführung des erfindungsgemäßen
Verfahrens,
Fig. 2 die Anordnung gemäß der Fig. 1 im Normalbetriebsmo
dus,
Fig. 3 die Anordnung gemäß der Fig. 1 im Sicherheitsbe
triebsmodus und die
Fig. 4 einen Bedienplatzrechner gemäß der Anordnung nach
Fig. 1 im Detail.
In der Fig. 1 ist eine Bedienplatzeinrichtung 10 gezeigt,
die drei Rechnereinrichtungen PC1, PC2 und PC3 umfasst. Die
eine Rechnereinrichtung PC1 wird dabei als Bedienplatzrechner
PC1 betrieben. Die beiden übrigen Rechnereinrichtungen PC2
und PC3 bilden Referenzrechner für den Bedienplatzrechner
PC1.
Die drei Rechnereinrichtungen PC1, PC2 und PC3 sind über ein
Datennetz bzw. eine Busankopplung 20 - beispielsweise einen
Profibus oder Ethernet - mit einem Eisenbahnstellwerk 30 ver
bunden. Die drei Rechnereinrichtungen PC1, PC2 und PC3 können
beispielsweise mit derselben Software ausgestattet sein, so
dass prinzipiell jede der drei Rechnereinrichtungen die Rolle
eines Bedienplatz- oder Referenzrechners übernehmen könnte.
Die Fig. 2 zeigt die Bedienplatzeinrichtung 10 in ihrem
Normalbetriebsmodus; in diesem Normalbetriebsmodus überträgt
das Eisenbahnstellwerk 30 Meldetelegramme M zu dem Bedien
platzrechner PC1 sowie zu den beiden Referenzrechnern PC2 und
PC3. Die Meldetelegramme M des Eisenbahnstellwerks 30 geben
dabei an, in welchem Zustand sich die dem Eisenbahnstellwerk
30 zugeordnete Eisenbahngleisanlage - in der Fig. 1 der
Übersicht halber nicht dargestellt - befindet. Aus den Melde
telegrammen bildet der Bedienplatzrechner PC1 Bilddaten, die
auf einem an den Bedienplatzrechner PC1 angeschlossenen Moni
tor dargestellt werden. Um dabei sicherzustellen, dass der
Bedienplatzrechner PC1 keine falschen Bilddaten darstellt,
tauschen der Bedienplatzrechner PC1 sowie der Referenzrechner
PC2 Bildprüfsummen BP aus. Diese Bildprüfsummen BP sind dabei
mit den Bilddaten gebildet, die aus den Meldetelegrammen M
des Eisenbahnstellwerks 30 abgeleitet wurden. Die Bilddaten
des Referenzrechners PC2 können dabei als Kontroll-Bilddaten
aufgefasst werden, da diese nicht direkt angezeigt werden,
sondern lediglich dazu dienen, eine Kontrolle der von dem Be
dienplatzrechner PC1 gebildeten Bilddaten zu ermöglichen.
Der weitere Referenzrechner PC3 arbeitet genauso wie der eine
Referenzrechner PC2; dies bedeutet, dass auch er Kontroll
bilddaten aus den Meldetelegrammen des Eisenbahnstellwerks 30
bildet und diese - nach entsprechender Prüfsummenbildung -
mit den Bilddaten des Bedienplatzrechners PC1 vergleicht.
Im Normalbetriebsmodus arbeiten der Bedienplatzrechner PC1
und die beiden Referenzrechner PC2 und PC3 also parallel, wo
durch sichergestellt ist, dass es zu keiner fehlerhaften Dar
stellung von Bilddaten kommen kann.
In der Fig. 3 ist nun dargestellt, was passiert, wenn die
beiden Referenzrechner PC2 und PC3 ausfallen. In diesem Fall
kann nur noch der Bedienplatzrechner PC1 betrieben werden, so
dass es zu keinem Austausch bzw. Vergleich von Bildprüfsummen
zwischen dem Bedienplatzrechner PC1 und den beiden Referenz
rechnern PC2 und PC3 kommen kann. Bei einem solchen Ausfall
der beiden Referenzrechner PC2 und PC3 wird der Bedienplatz
rechner PC1 in einen Sicherheitsbetriebsmodus geschaltet, der
einen höheren Sicherheitsstandard aufweist als der Normalbe
triebsmodus. In diesem Sicherheitsbetriebsmodus wertet also
nur noch der Bedienplatzrechner PC1 die Meldetelegramme M des
Eisenbahnstellwerks 30 aus und zeigt die aus diesen Meldete
legrammen M gebildeten Bilddaten auf einem dem Bedienplatz
rechner PC1 zugeordneten Monitor an. Wie dies genau ge
schieht, wird im Zusammenhang mit der Fig. 4 näher erläu
tert.
In der Fig. 4 ist der Bedienplatzrechner PC1 gemäß den
Fig. 1, 2 und 3 nochmals im Detail dargestellt. Zu dem Bedien
platzrechner PC1 werden über das Datennetz vom Eisenbahn
stellwerk 30 die Meldetelegramme M übertragen. Die Meldetele
gramme M gelangen zu einer Software-realisierten Weiche 40,
die die Meldetelegramme M einerseits zu einem Bedienprozess
50 und andererseits zu einem Referenzprozess 60 in dem Be
dienplatzrechner PC1 leitet. Die Weiche 40 führt also sozusa
gen eine Art Verdopplung der Meldetelegramme M durch. Diese
Verdopplung findet statt, bevor die vom Eisenbahnstellwerk
ankommenden Meldetelegramme M durch Prüfen ihrer Codierung -
beispielsweise einer CRC-Codierung (CRC: Cyclic Redundancy
Codes) - getestet worden sind. Auf diese Weise ist sicherge
stellt, dass die beiden parallel laufenden Prozesse, nämlich
der Bedienprozess 50 und der Referenzprozess 60, mit densel
ben Informationen vom Eisenbahnstellwerk 30 versorgt werden.
Die Verdopplung der Meldetelegramme M geschieht also vor der
eigentlichen CRC-Auswertung, damit Fehler, die während oder
nach der Verdopplung der Meldetelegramme M passieren, durch
das Prüfen der jeweilgen CRCs offenbart werden.
Die beiden in der Fig. 4 als Blöcke dargestellten Prozesse
50 und 60 sind dabei in der Bedienplatzeinrichtung PC1 ablau
fende Softwareprozesse, die dieselben Informationen vom
Stellwerk erhalten und somit jeweils ein eigenes Anlagenab
bild bzw. Zustandsbild der dem Eisenbahnstellwerk 30 zugeord
neten Eisenbahngleisanlage ermitteln können.
In dem Bedienprozess 50 werden aus den Meldetelegrammen M des
Eisenbahnstellwerks 30 Bilddaten B gebildet und in einem An
zeigebereich 70 einer Graphikkarte 80 abgespeichert. Unter
dem Begriff "Anzeigebereich" wird dabei ein Speicherbereich
der Graphikkarte verstanden, dessen Speicherdaten angezeigt
werden. Die Graphikkarte 80 ist dabei mit einem Monitor 90
verbunden. Anschließend werden die Bilddaten aus dem Anzeige
bereich 70 der Graphikkarte 80 wieder ausgelesen. Aus den
ausgelesenen Bilddaten wird im Bedienprozess 50 dann eine
Prüfsumme nach einem vorgegebenen Prüfsummenbildungsverfahren
gebildet.
In dem Referenzprozess 60 werden aus den Meldetelegrammen M
des Eisenbahnstellwerks 30 Kontroll-Bilddaten K gebildet und
in einem Referenzbereich 100 der Graphikkarte 80 abgespei
chert. Unter dem Begriff "Referenzbereich" wird dabei ein
Speicherbereich der Graphikkarte verstanden, dessen Speicher
daten nicht zur Anzeige gelangen. Die Kontroll-Bilddaten K
werden anschließend aus dem Referenzbereich 100 der Graphik
karte 80 wieder ausgelesen. Aus den ausgelesenen Kontroll
bilddaten K wird im Referenzprozess 60 mittels eines weiteren
Prüfsummenbildungsverfahrens eine Referenzprüfsumme R ermit
telt.
Diese Referenzprüfsumme R wird von dem Referenzprozess 60 zu
dem Bedienprozess 50 übermittelt und dort mit der in dem Be
dienprozess 50 ersten Prüfsumme verglichen.
Bei dem weiteren Prüfsummenbildungsverfahren handelt es sich
um ein bezüglich des einen Prüfsummenbildungsverfahrens ge
spiegeltes Verfahren, so dass die aus den beiden Prüfsummen
bildungsverfahren gebildeten Prüfsummen identisch sein müs
sen, sofern die Bilddaten mit den Kontroll-Bilddaten iden
tisch sind. Durch Vergleich der im Referenzprozess 60 gebil
deten Referenzprüfsumme R mit der in dem Bedienprozess 50 ge
bildeten Prüfsumme lässt sich somit feststellen, ob die Bild
daten und die Kontrollbilddaten identisch sind. Der Vergleich
der Prüfsummen erfolgt dabei sowohl in dem Bedienprozess 50
als auch in dem Eisenbahnstellwerk 30, zu dem die Prüfsumme
und auch die Referenzprüfsumme R übertragen werden; dies ist
in der Fig. 4 durch eine Verbindungslinie mit dem Bezugszei
chen 100 angedeutet. Falls in dem Eisenbahnstellwerk 30 fest
gestellt wird, dass die beiden Prüfsummen identisch sind,
werden sicherheitsrelevante Bedienhandlungen seitens des Be
dienplatzrechners PC1 zugelassen, andernfalls werden sie ge
stoppt.
Auf diese Weise ist sichergestellt, dass sicherheitsrelevante
Bedienhandlungen ausschließlich dann vorgenommen werden kön
nen, wenn der Bedienplatzrechner PC1 korrekt arbeitet, d. h.
wenn sein Bedienprozess 50 und sein Referenzprozess 60 glei
che Bilddaten liefern.
Bat dem Prüfsummenverfahren des Bedienprozesses 50 kann es
sich beispielsweise um ein CRC-Verfahren handeln; das weitere
Prüfsummenverfahren, das in dem Referenzprozess 60 durchge
führt wird, kann ein dazu gespiegeltes, diversitäres CRC-Ver
fahren sein. Gespiegelte, diversitäre CRC-Verfahren sind bei
spielsweise im Internet veröffentlicht: "A Painless Guide to
CRC Error Detection Algorithmus" (ftp:/ / rocksoft.com/papers,
Dokument: crc_v3.txt
von Ross N. Williams (August 1993)).
Zusammenfassend wird durch ein Umschalten des Bedienplatz
rechners PC1 von dem Normalbetriebsmodus in den Sicherheits
betriebsmodus mit der Bedienplatzeinrichtung 10 auch im Falle
des Ausfalls aller Referenzrechner PC2 und PC3 eine den An
forderungen auf dem Gebiet der Eisenbahntechnik entsprechende
Sicherheitsintegrität erreicht. Das heißt, dass der Bedien
platzrechner PC1 auch in diesem Modus unter Aufrechterhaltung
der Verfahrenssicherheit zur Durchführung von Hilfsbedienun
gen bzw. sicherheitsrelevanten Bedienhandlungen bereit ist.
Da bekanntermaßen jedoch Bedienplatzeinrichtungen mit mehr
als einer Rechnereinrichtung ein höheres Maß an Verfahrenssi
cherheit bieten können als dies mit einer einzigen Rechner
einrichtung möglich ist, sollte auf den Normalbetriebsmodus
sofort wieder umgeschaltet werden, sobald mindestens einer
der Referenzrechner PC2 oder PC3 korrekt arbeitet bzw. wieder
richtig in Betrieb genommen worden ist.
Claims (13)
1. Verfahren zum Betreiben einer einem Eisenbahnstellwerk zu
geordneten Bedienplatzeinrichtung (10), welche einen mit dem
Eisenbahnstellwerk (30) in Verbindung stehenden Bedienplatz
rechner, einen oder mehrere mit dem Eisenbahnstellwerk in
Verbindung stehende Referenzrechner (PC2, PC3) und eine mit
dem Bedienplatzrechner verbundene Anzeigeeinrichtung auf
weist, wobei bei dem Verfahren gemäß einem vorgegebenen
Normalbetriebsmodus
mit dem Bedienplatzrechner (PC1) unter Heranziehung von Meldetelegrammen des Eisenbahnstellwerks (30) gemäß einem vorgegebenen Bilddatenbildungsprozess Bilddaten gebildet werden, die eine Anzeige des Zustands einer dem Eisenbahn stellwerk (30) zugeordneten Eisenbahngleisanlage auf der Anzeigeeinrichtung ermöglichen,
mit den Referenzrechnern (PC2, PC) unter Heranziehung der Meldetelegramme (M) Kontroll-Bilddaten gebildet werden, die Bilddaten und die Kontroll-Bilddaten miteinander ver glichen werden und
sicherheitsrelevante Bedienhandlungen zum Beeinflussen des Zustandes der Eisenbahngleisanlage ausschließlich dann zu gelassen werden, wenn die Bilddaten und die Kontroll-Bild daten übereinstimmen,
dadurch gekennzeichnet, dass
bei Ausfall aller Referenzrechner (PC2, PC3) der Bedien platzrechner (PC1) in einen einen höheren Sicherheitsstan dard als der Normalbetriebsmodus aufweisenden Sicherheits betriebsmodus umgeschaltet und in diesem weiterbetrieben wird und
zumindest eine der sicherheitsrelevanten Bedienhandlungen auch im Sicherheitsbetriebsmodus zugelassen wird.
mit dem Bedienplatzrechner (PC1) unter Heranziehung von Meldetelegrammen des Eisenbahnstellwerks (30) gemäß einem vorgegebenen Bilddatenbildungsprozess Bilddaten gebildet werden, die eine Anzeige des Zustands einer dem Eisenbahn stellwerk (30) zugeordneten Eisenbahngleisanlage auf der Anzeigeeinrichtung ermöglichen,
mit den Referenzrechnern (PC2, PC) unter Heranziehung der Meldetelegramme (M) Kontroll-Bilddaten gebildet werden, die Bilddaten und die Kontroll-Bilddaten miteinander ver glichen werden und
sicherheitsrelevante Bedienhandlungen zum Beeinflussen des Zustandes der Eisenbahngleisanlage ausschließlich dann zu gelassen werden, wenn die Bilddaten und die Kontroll-Bild daten übereinstimmen,
dadurch gekennzeichnet, dass
bei Ausfall aller Referenzrechner (PC2, PC3) der Bedien platzrechner (PC1) in einen einen höheren Sicherheitsstan dard als der Normalbetriebsmodus aufweisenden Sicherheits betriebsmodus umgeschaltet und in diesem weiterbetrieben wird und
zumindest eine der sicherheitsrelevanten Bedienhandlungen auch im Sicherheitsbetriebsmodus zugelassen wird.
2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass
nach Wiederinbetriebnahme mindestens eines der Referenz
rechner (PC2, PC3) der Bedienplatzrechner (PC1) in den
Normalbetriebsmodus zurückgeschaltet wird.
3. Verfahren nach Anspruch 1 oder 2,
dadurch gekennzeichnet, dass
der Sicherheitsbetriebsmodus derart ausgebildet ist, dass
die Kontroll-Bilddaten gemäß einem vorgegebenen Refe renzprozess im Bedienplatzrechner gebildet werden,
die Bilddaten und die im Bedienplatzrechner (PC1) gebilde ten Kontroll-Bilddaten miteinander verglichen werden und
die zumindest eine der sicherheitsrelevanten Bedienhand lungen zugelassen wird, wenn die Bilddaten und die im Bedienplatzrechner (PC1) gebildeten Kontroll-Bilddaten miteinander übereinstimmen.
der Sicherheitsbetriebsmodus derart ausgebildet ist, dass
die Kontroll-Bilddaten gemäß einem vorgegebenen Refe renzprozess im Bedienplatzrechner gebildet werden,
die Bilddaten und die im Bedienplatzrechner (PC1) gebilde ten Kontroll-Bilddaten miteinander verglichen werden und
die zumindest eine der sicherheitsrelevanten Bedienhand lungen zugelassen wird, wenn die Bilddaten und die im Bedienplatzrechner (PC1) gebildeten Kontroll-Bilddaten miteinander übereinstimmen.
4. Verfahren nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass
die Bilddaten zu einer Graphikkarte (80) der Anzeigeein richtung übertragen und dort abgespeichert werden,
die Bilddaten anschließend aus der Graphikkarte (80) wie der zurückgelesen werden und
der Vergleich der Bilddaten und der Kontroll-Bilddaten an hand der zurückgelesenen Bilddaten durchgeführt wird.
die Bilddaten zu einer Graphikkarte (80) der Anzeigeein richtung übertragen und dort abgespeichert werden,
die Bilddaten anschließend aus der Graphikkarte (80) wie der zurückgelesen werden und
der Vergleich der Bilddaten und der Kontroll-Bilddaten an hand der zurückgelesenen Bilddaten durchgeführt wird.
5. Verfahren nach Anspruch 4,
dadurch gekennzeichnet, dass
die Kontroll-Bilddaten (K) zu der Graphikkarte (80) über tragen und in dieser separat von den Bilddaten abgespei chert werden,
die Kontroll-Bilddaten (K) anschließend aus der Graphik karte (80) wieder zurückgelesen werden und
der Vergleich der Bilddaten und der Kontroll-Bilddaten (K) anhand der zurückgelesenen Bilddaten und der zurückgelese nen Kontroll-Bilddaten (K) erfolgt.
die Kontroll-Bilddaten (K) zu der Graphikkarte (80) über tragen und in dieser separat von den Bilddaten abgespei chert werden,
die Kontroll-Bilddaten (K) anschließend aus der Graphik karte (80) wieder zurückgelesen werden und
der Vergleich der Bilddaten und der Kontroll-Bilddaten (K) anhand der zurückgelesenen Bilddaten und der zurückgelese nen Kontroll-Bilddaten (K) erfolgt.
6. Verfahren nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass
der Vergleich der Bilddaten und der Kontroll-Bilddaten (K) unter Heranziehung von mit den Bilddaten und den Kontroll- Bilddaten (K) gebildeten Prüfsummen erfolgt, indem
mit den Bilddaten eine erste Prüfsumme und mit den Kon troll-Bilddaten (K) eine zweite Prüfsumme nach einem vorgegebenen Prüfsummenbildungsverfahren gebildet wird und
auf die Übereinstimmung zwischen den Bilddaten und den Kontroll-Bilddaten (K) geschlossen wird, falls sich die erste und die zweite Prüfsumme entsprechen.
der Vergleich der Bilddaten und der Kontroll-Bilddaten (K) unter Heranziehung von mit den Bilddaten und den Kontroll- Bilddaten (K) gebildeten Prüfsummen erfolgt, indem
mit den Bilddaten eine erste Prüfsumme und mit den Kon troll-Bilddaten (K) eine zweite Prüfsumme nach einem vorgegebenen Prüfsummenbildungsverfahren gebildet wird und
auf die Übereinstimmung zwischen den Bilddaten und den Kontroll-Bilddaten (K) geschlossen wird, falls sich die erste und die zweite Prüfsumme entsprechen.
7. Verfahren nach Anspruch 6,
dadurch gekennzeichnet, dass
der Vergleich der Bilddaten und der Kontroll-Bilddaten un ter weiterer Heranziehung von weiteren Prüfsummen erfolgt, indem
mit den Bilddaten eine dritte Prüfsumme und mit den Kon troll-Bilddaten eine vierte Prüfsumme nach einem sich von dem vorgegebenen Prüfsummenbildungsverfahren unter scheidenden weiteren Prüfsummenbildungsverfahren gebil det wird und
auf die Übereinstimmung zwischen den Bilddaten und den Kontroll-Bilddaten geschlossen wird, falls sich sowohl die erste und die zweite Prüfsumme entsprechen als auch die dritte und die vierte Prüfsumme entsprechen.
der Vergleich der Bilddaten und der Kontroll-Bilddaten un ter weiterer Heranziehung von weiteren Prüfsummen erfolgt, indem
mit den Bilddaten eine dritte Prüfsumme und mit den Kon troll-Bilddaten eine vierte Prüfsumme nach einem sich von dem vorgegebenen Prüfsummenbildungsverfahren unter scheidenden weiteren Prüfsummenbildungsverfahren gebil det wird und
auf die Übereinstimmung zwischen den Bilddaten und den Kontroll-Bilddaten geschlossen wird, falls sich sowohl die erste und die zweite Prüfsumme entsprechen als auch die dritte und die vierte Prüfsumme entsprechen.
8. Verfahren nach Anspruch 7,
dadurch gekennzeichnet, dass
das weitere Prüfsummenbildungsverfahren ein bezüglich des einen Prüfsummenbildungsverfahren gespiegeltes Prüfsummen bildungsverfahren ist und
auf die Übereinstimmung zwischen den Bilddaten und den Kontroll-Bilddaten (K) ausschließlich dann geschlossen wird, falls sich die erste, zweite, dritte und vierte Prüfsumme gleichen.
das weitere Prüfsummenbildungsverfahren ein bezüglich des einen Prüfsummenbildungsverfahren gespiegeltes Prüfsummen bildungsverfahren ist und
auf die Übereinstimmung zwischen den Bilddaten und den Kontroll-Bilddaten (K) ausschließlich dann geschlossen wird, falls sich die erste, zweite, dritte und vierte Prüfsumme gleichen.
9. Verfahren nach einem der Ansprüche 1 bis 5,
dadurch gekennzeichnet, dass
der Vergleich der Bilddaten und der Kontroll-Bilddaten (K) unter Heranziehung von mit dem Bilddaten und den Kontroll- Bilddaten (K) gebildeten Prüfsummen erfolgt, indem
mit den Bilddaten nach einem vorgegebenen Prüfsummenbil dungsverfahren eine Prüfsumme gebildet wird,
mit den Kontroll-Bilddaten (K) nach einem zu dem einen Prüfsummenbildungsverfahren gespiegelten Prüfsummenbil dungsverfahren eine Referenzprüfsumme (R) gebildet wird und
auf die Übereinstimmung zwischen den Bilddaten und den Kontroll-Bilddaten (K) geschlossen wird, falls sich die Prüfsumme und die Referenzprüfsumme (R) gleichen.
der Vergleich der Bilddaten und der Kontroll-Bilddaten (K) unter Heranziehung von mit dem Bilddaten und den Kontroll- Bilddaten (K) gebildeten Prüfsummen erfolgt, indem
mit den Bilddaten nach einem vorgegebenen Prüfsummenbil dungsverfahren eine Prüfsumme gebildet wird,
mit den Kontroll-Bilddaten (K) nach einem zu dem einen Prüfsummenbildungsverfahren gespiegelten Prüfsummenbil dungsverfahren eine Referenzprüfsumme (R) gebildet wird und
auf die Übereinstimmung zwischen den Bilddaten und den Kontroll-Bilddaten (K) geschlossen wird, falls sich die Prüfsumme und die Referenzprüfsumme (R) gleichen.
10. Verfahren nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass
das eine Prüfsummenbildungsverfahren ein CRC- Prüfsummen
bildungsverfahren ist.
11. Verfahren nach Anspruch 7,
dadurch gekennzeichnet, dass
das eine Prüfsummenbildungsverfahren ein CRC-Prüfsummen
bildungsverfahren und das weitere Prüfsummenbildungsver
fahren ein dazu gespiegeltes CRC-Prüfsummenbildungsver
fahren ist.
12. Verfahren nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass
die Meldetelegramme vom Stellwerk zu dem Bedienrechner (PC1) kodiert übertragen werden und
die Dekodierung der Meldetelegramme (M) im Sicherheitsbe triebsmodus sowohl im Bilddatenbildungsprozess als auch ein weiteres Mal im Referenzprozess (60) erfolgt.
die Meldetelegramme vom Stellwerk zu dem Bedienrechner (PC1) kodiert übertragen werden und
die Dekodierung der Meldetelegramme (M) im Sicherheitsbe triebsmodus sowohl im Bilddatenbildungsprozess als auch ein weiteres Mal im Referenzprozess (60) erfolgt.
13. Verfahren nach Anspruch 12,
dadurch gekennzeichnet, dass
die Kodierung der Meldetelegramme (M) nach einem CRC-Ver
fahren erfolgt.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE2001116244 DE10116244C2 (de) | 2001-03-28 | 2001-03-28 | Verfahren zum Betreiben einer Bedienplatzeinrichtung |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE2001116244 DE10116244C2 (de) | 2001-03-28 | 2001-03-28 | Verfahren zum Betreiben einer Bedienplatzeinrichtung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE10116244A1 DE10116244A1 (de) | 2002-10-24 |
| DE10116244C2 true DE10116244C2 (de) | 2003-05-08 |
Family
ID=7680008
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE2001116244 Expired - Fee Related DE10116244C2 (de) | 2001-03-28 | 2001-03-28 | Verfahren zum Betreiben einer Bedienplatzeinrichtung |
Country Status (1)
| Country | Link |
|---|---|
| DE (1) | DE10116244C2 (de) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102012211273A1 (de) * | 2012-06-29 | 2014-01-02 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum Steuern einer technischen Anlage |
-
2001
- 2001-03-28 DE DE2001116244 patent/DE10116244C2/de not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| FORSTREUTHER,H.:V.PEIN,A.: Verfahrensgesicherte Meldebildanzeige für den FDI-Arbeitsplatz bei der Deutschen Bahn AG. In: Signal u. Draht, 1994,H.10,S.320-324 * |
| STERNER,B.J.: Teil II: Signaltechnik, Funktions- sicherheit elektronischer Systeme. In: e&i, H.11, 1988, S.489-493 * |
Also Published As
| Publication number | Publication date |
|---|---|
| DE10116244A1 (de) | 2002-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE4032033C2 (de) | ||
| DE2258917B2 (de) | Regelvorrichtung mit mindestens zwei parallelen signalkanaelen | |
| DE3410803A1 (de) | Datenuebertragungssystem zum uebertragen aneinandergereihter seismikdaten | |
| EP0856792B1 (de) | Verfahren zur sicheren Darstellung eines Bildes auf einem Monitor | |
| DE3024370A1 (de) | Redundantes steuersystem | |
| DE2701925C3 (de) | Fahrzeugsteuerung mit zwei Bordrechnern | |
| AT402909B (de) | Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage | |
| EP3448735B1 (de) | Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems | |
| DE10053023C1 (de) | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens | |
| DE10116244C2 (de) | Verfahren zum Betreiben einer Bedienplatzeinrichtung | |
| EP0920391B1 (de) | Verfahren zur steuerung und überwachung einer verkehrstechnischen anlage | |
| EP0182134A2 (de) | Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen | |
| DE2842603A1 (de) | Schnittstelle zwischen einem wartungsprozessor und einer mehrzahl einzeln zu pruefender funktionseinheiten eines datenverarbeitenden systems | |
| EP0392328A2 (de) | Verfahren zur ständigen Prüfung einer signaltechnisch sicheren Bildschirmdarstellung | |
| EP1596517A1 (de) | Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten | |
| WO2003047937A1 (de) | Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens | |
| EP2849986B1 (de) | Verfahren und anordnung zum steuern einer technischen anlage | |
| EP0379695A1 (de) | Verfahren zur Überprüfung von Verbindungs- und/oder Schalteinrichtungen und/oder -leitungen | |
| DE2017853B2 (de) | Steuerverfahren zur Sicherung der Informationsverarbeitung und -übertragung | |
| DE10252109B4 (de) | Verfahren zur Parametrierung | |
| EP0205101B1 (de) | Verfahren zum Betrieb einer Datenverarbeitungsanlage | |
| EP0447635B1 (de) | Verfahren zum Überprüfen von Sichtgerätesteuerungen auf Fehlerfreiheit in sicherungstechnischen Anlagen und Einrichtungen zum Durchführen dieses Verfahrens | |
| DE19949710B4 (de) | Verfahren und Einrichtung zur fehlersicheren Kommunikation zwischen Zentraleinheiten eines Steuerungssystems | |
| DE102006029851A1 (de) | Sicheres Verfahren für sicherheitsrelevante Eingaben | |
| EP0281890B1 (de) | Sicherheitsschaltwerk mit mehreren dieselben Daten verarbeitenden Mikrocomputern |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| OP8 | Request for examination as to paragraph 44 patent law | ||
| 8304 | Grant after examination procedure | ||
| 8364 | No opposition during term of opposition | ||
| 8339 | Ceased/non-payment of the annual fee |