DE102005013194A1 - Bedienplatzsystem - Google Patents
Bedienplatzsystem Download PDFInfo
- Publication number
- DE102005013194A1 DE102005013194A1 DE200510013194 DE102005013194A DE102005013194A1 DE 102005013194 A1 DE102005013194 A1 DE 102005013194A1 DE 200510013194 DE200510013194 DE 200510013194 DE 102005013194 A DE102005013194 A DE 102005013194A DE 102005013194 A1 DE102005013194 A1 DE 102005013194A1
- Authority
- DE
- Germany
- Prior art keywords
- sil4
- operator station
- channel
- die
- vicos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 101000879675 Streptomyces lavendulae Subtilisin inhibitor-like protein 4 Proteins 0.000 claims abstract description 33
- 238000012544 monitoring process Methods 0.000 claims abstract 2
- 230000011664 signaling Effects 0.000 abstract description 6
- 238000009434 installation Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 241001136792 Alle Species 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 101000880160 Streptomyces rochei Subtilisin inhibitor-like protein 2 Proteins 0.000 description 1
- 238000005286 illumination Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L25/00—Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
- B61L25/06—Indicating or recording the setting of track apparatus, e.g. of points, of signals
- B61L25/08—Diagrammatic displays
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L21/00—Station blocking between signal boxes in one yard
- B61L21/04—Electrical locking and release of the route; Electrical repeat locks
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Train Traffic Observation, Control, And Security (AREA)
Abstract
Die Erfindung betrifft ein Bedienplatzsystem mit signaltechnisch sicherer Kommandoausgabe gemäß Sicherheitslevel CENELEC SIL4 und signaltechnisch nicht sicherer Kommandoanzeige für die Bedienung und Überwachung eines SIL4-Stellwerks (3). Ein derartiges Bedienplatzsystem mit nur einem Kanal ist möglich, wenn der Kanal mit einem Rechner (4) eines mehrere identische Rechner (1, 2) aufweisenden, mehrkanaligen SIL4-Bedienplatzes sowohl hinsichtlich Hardware als auch hinsichtlich Software übereinstimmt.
Description
- Die Erfindung betrifft ein Bedienplatzsystem gemäß dem Oberbegriff des Patentanspruchs. Bedienplatzsysteme in der Eisenbahnsignaltechnik müssen Sicherheitsanforderungen genügen, die in der CENELEC-Norm in Form von Sicherheitsstufen SILO – signaltechnisch nicht sicher – bis SIL4 – signaltechnisch hochgradig sicher – definiert sind. Besteht für die Kommandoausgabe eine Sicherheitsanforderung nach SILO und für die Kommandoanzeige keine Sicherheitsanforderung, d. h. SILO, werden bisher Bedienplatzsysteme eingesetzt, die insgesamt dem Sicherheitslevel SIL4 entsprechen. Das bedeutet nach der Normvorgabe, dass das Bedienplatzsystem zweikanalig auszuführen ist. Damit ist zwangsläufig ein hoher Hardware- und Softwareaufwand verbunden.
- Der Erfindung liegt die Aufgabe zugrunde, ein Bedienplatzsystem der gattungsgemäßen Art anzugeben, das weniger aufwendig ist, insbesondere hinsichtlich Kommunikationsschaltungen, Projektierung und Installation.
- Erfindungsgemäß wird die Aufgabe mit den kennzeichnenden Merkmalen des Patentanspruchs gelöst. Durch die Reduzierung auf nur einen Kanal ergibt sich ohne Sicherheitseinbuße eine erhebliche Einsparung. Durch den Wegfall des zweiten Kanals entfallen Kommunikationsschaltungen inklusive der zugehörigen Software. Projektierung und Installation werden bei verringertem Platzbedarf vereinfacht. Zusätzlich erhöht sich die Verfügbarkeit des Bedienplatzsystems um Faktor zwei. Statt mindestens zwei PCs wird nur noch ein PC zur Ausbildung des einzigen Kanals eingesetzt. Dieser PC muss identisch sein mit einem von mehreren PCs eines mehrkanaligen SIL4-Bedienplatzsystems sowohl hinsichtlich Hardware als auch hinsichtlich Software. Auf diese Weise gilt die SIL4-Zertifizierung unter den unten genannten Voraussetzungen auch für das Bedienplatzsystem gemäß der geforderten Sicherheit, nämlich Kommandoausgabe gemäß SIL4 und Kommandoanzeige signaltechnisch nicht sicher. Diese „gemischte" Sicherheitsanforderung ergibt sich aus der Überlegung, dass nicht eine falsche Anzeige bei korrekter Kommandoausgabe gefährlich ist, sondern ein verfälschtes Kommando, das trotzdem in der gewünschten Weise, d. h. als korrekt angezeigt wird. Folglich kann es sinnvoll sein, ein Bedienplatzsystem zu konzipieren, das nur bezüglich der Kommandoausgabe dem Sicherheitslevel SIL4 entspricht. Damit für diese Anforderung ein einkanaliges System eingesetzt werden kann, muss der entsprechende PC für die Kommandoausgabe SIL4-tauglich sein. Dazu müssen gemäß der Normvorgabe folgende vier Voraussetzungen erfüllt sein:
- 1. Die tolerierbare Gefährdungsrate pro Stunden und pro Funktion für SIL4 gemäß CENELEC EN 50129, Tabelle A-1 muss im Bereich von 10–9 und 10–8 liegen.
- 2. Die Software muss gemäß den Vorgaben von CENELEC EN 50128 entwickelt worden sein.
- 3. Die Projektierung, Projektierungsprüfung, Installation und Wartung müssen den Anforderungen von SIL4 gerecht werden.
- 4. Die Nutzung des Bedienplatzes muss den Anforderungen nach SIL4 entsprechen.
- Der Nachweis dieser Anforderungen wird nachfolgend am Beispiel des VICOS-Systems näher erläutert. Es zeigen:
-
1 das Prinzip eines bekannten Bedienplatzsystems und -
2 das beanspruchte Bedienplatzsystem. - Das bekannte Bedienplatzsystem, das die Anforderungen nach CENELEC SIL4 erfüllt, ist bisher als zweikanaliges System mit zwei VICOS OC 111-Rechnern
1 und2 ausgebildet. Die beiden Rechner1 und2 dienen zur Ansteuerung und Überwachung eines Stellwerks3 , das ebenfalls der Sicherheitsstufe SIL4 entspricht. - Bei der in
2 dargestellten beanspruchten Lösung ist nur noch ein VICOS OC 101-Rechner4 vorgesehen. Dieser Bedienplatz ist für signaltechnisch sichere Ausgabe nach SIL4 und nicht signaltechnisch sicherer Anzeige ausgelegt. Bei der Verwendung des VICOS OC 101-Rechners4 ist bisher davon ausgegangen worden, dass nur Sicherheitsanforderungen bis CENELEC SIL2 erfüllt werden können. Die nachfolgende Betrachtung bezüglich der oben genannten vier Voraussetzungen für die SIL4-Eignung führen jedoch überraschenderweise zu dem Ergebnis, dass die einkanalige Konfigurierung nach2 bezüglich der Kommandoausgabe den Sicherheitsanforderungen nach SIL4 genügt. - 1. Für
den zweikanaligen Bedienplatz OC 111 existiert eine Gefährdungsanalyse,
wobei für
die zwei Ausfälle
alte Bedienfolge und Verfälschung von
Bedienfolgen für
die Kommandorichtung eine Gefährdungsrate
von 1,9 × 10–10 resultiert.
Die Bedienplätze
VICOS OC 111 und VICOS OC 101 unterscheiden sich darin, dass bei
VICOS OC 111 für
die Kommandofreigabe-Verfahren zwei hardwaremäßig unabhängige Rechner
1 und2 und bei VICOS OC 101 nur ein Rechner4 eingesetzt werden. Um die Gefährdungsrate, die sich für die Kommandorichtung beim Bedienplatz VICOS OC 101 ergibt, zu berechnen, muss zunächst betrachtet werden, welche Aufgabe der zweite Rechner1 bzw.2 im VICOS OC 111-System übernimmt. Regelbedienungen, also nicht freigabepflichtige Bedienungen, werden bei VICOS OC 111 auch nur einkanalig ausgeführt. Bei freigabepflichtigen Bedienungen liefert der Referenz-Rechner1 bzw.2 die Checksumme seiner Anzeige zum Vergleich mit der Checksumme des Bedien-Rechners2 bzw.1 an das Stellwerk3 . Dort können Fehler in der Anzeige aufgedeckt werden. Im vorliegenden Fall soll die Anzeige nicht SIL4 entsprechen. Gefährlich ist nicht, dass eine falsche Anzeige erscheint, gefährlich ist, dass das Kommando verfälscht wird und dann trotzdem die gewünschte Anzeige erscheint. Wird ein Ausfall des Bedienplatzes angenommen, infolge dessen immer Kommandos verfälscht würden, liegt die Wahrscheinlichkeit, dass die gewünschte Anzeige erscheint, bei < 10–2. Da die Anzeige zwei voneinander unabhängige Verfahren, nämlich Elementausleuchtung und Telegrammtext, umfasst, ergibt sich eine Wahrscheinlichkeit von < 10–4. Die Hardwarefehler, die zu einem Ausfall und damit letztlich zur Gefährdung führen können, betreffen die PC-Komponenten, die an dieser Funktion beteiligt sind. Unter Berücksichtigung dieser Komponenten, nämlich CPU, Hauptspeicher, Graphikkarte und Monitor, und den anfangs betrachteten Ausfällen „alte Bedienfolge" und „Verfälschung von Bedienfolgen" beträgt die Gesamtgefährdung 1,0 × 10–9. Dieser Wert ist ausrechend für SIL4. - 2. Für
den OC 101-Rechner
4 wird die gleiche Software wie für den OC 111-Rechner1 bzw.2 eingesetzt. Damit ist diese Anforderung nach SIL4 gegeben. - 3. Sofern alle vorgeschriebenen Maßnahmen für den OC 101-Rechner
4 durchgeführt werden, wird SIL4 erreicht. - 4. Der Betrieb des Bedienplatzes OC 111 ist entsprechend SIL4 zugelassen. Es ist sicherzustellen, dass alle Maßnahmen, die für die Kommandoausgabe beim Bedienplatz OC 111 vorgesehen sind, auch beim Bedienplatz OC 101 projektiert werden.
- Wenn die oben genannten Maßnahmen und Auflagen für den OC 101-Rechner
4 nachgewiesen werden, kann der OC 101-Rechner4 folglich bei SIL4-Anforderungen bezüglich der Kommandoausgabe eingesetzt werden. Ein zweiter Kanal gemäß1 kann entfallen. - Die Erfindung beschränkt sich nicht auf das vorstehend genannte Ausführungsbeispiel. Vielmehr ist eine Anzahl von Varianten denkbar, welche auch bei grundsätzlich anders gearteter Ausführung von den Merkmalen der Erfindung Gebrauch machen.
Claims (1)
- Bedienplatzsystem mit signaltechnisch sicherer Kommandoausgabe gemäß Sicherheitslevel CENELEC SIL4 und signaltechnisch nicht sicherer Kommandoanzeige für die Bedienung und Überwachung eines SIL4-Stellwerks (
3 ), dadurch gekennzeichnet, dass das Bedienplatzsystem einkanalig ausgebildet ist, wobei der Kanal mit einem Rechner (4 ) eines mehrere identische Rechner (1 ,2 ) aufweisenden, mehrkanaligen SIL4-Bedienplatzsystems sowohl hinsichtlich Hardware als auch hinsichtlich Software übereinstimmt.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE200510013194 DE102005013194A1 (de) | 2005-03-16 | 2005-03-16 | Bedienplatzsystem |
| EP06111067A EP1702827A1 (de) | 2005-03-16 | 2006-03-14 | Bedienplatzsystem |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE200510013194 DE102005013194A1 (de) | 2005-03-16 | 2005-03-16 | Bedienplatzsystem |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| DE102005013194A1 true DE102005013194A1 (de) | 2006-09-21 |
Family
ID=36499495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE200510013194 Ceased DE102005013194A1 (de) | 2005-03-16 | 2005-03-16 | Bedienplatzsystem |
Country Status (2)
| Country | Link |
|---|---|
| EP (1) | EP1702827A1 (de) |
| DE (1) | DE102005013194A1 (de) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2879008A1 (de) * | 2013-11-28 | 2015-06-03 | Thales Deutschland GmbH | Verfahren zur Handhabung eines sicherheitskritischen Befehls in einem Computernetzwerk |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102007043053B4 (de) * | 2007-09-11 | 2020-07-30 | Db Netz Ag | Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen |
| DE102011081479A1 (de) * | 2011-08-24 | 2013-02-28 | Siemens Aktiengesellschaft | Bedieneinrichtung |
| EP3178720A1 (de) * | 2015-12-08 | 2017-06-14 | Thales Deutschland GmbH | Verfahren zur steuerung eines schienenfahrzeugs in einem arbeitsbereich, steuerungssystem und verwendung einer externen steuerungsvorrichtung |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3323269A1 (de) * | 1983-06-28 | 1985-01-10 | Siemens AG, 1000 Berlin und 8000 München | Einrichtung zum betrieb eines rechnergesteuerten stellwerkes |
| EP0473834B1 (de) * | 1990-09-07 | 1994-06-22 | Siemens Aktiengesellschaft | Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks |
| GB0411277D0 (en) * | 2004-05-20 | 2004-06-23 | Balfour Beatty Plc | Railway signalling systems |
| DE202005020802U1 (de) * | 2004-11-15 | 2007-03-15 | Abb As | Steuersystem für Schienenfahrzeuge |
-
2005
- 2005-03-16 DE DE200510013194 patent/DE102005013194A1/de not_active Ceased
-
2006
- 2006-03-14 EP EP06111067A patent/EP1702827A1/de not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2879008A1 (de) * | 2013-11-28 | 2015-06-03 | Thales Deutschland GmbH | Verfahren zur Handhabung eines sicherheitskritischen Befehls in einem Computernetzwerk |
| WO2015078700A1 (en) * | 2013-11-28 | 2015-06-04 | Thales Deutschland Gmbh | Method for handling a safety critical command in a computer network |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1702827A1 (de) | 2006-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE102009054157B3 (de) | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen | |
| DE10119791A1 (de) | Mikroprozessorgesteuertes Feldgerät zum Anschluss an ein Feldbussystem | |
| EP2445771B1 (de) | Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks | |
| EP2731849B1 (de) | Stellwerksrechner | |
| DE102005013194A1 (de) | Bedienplatzsystem | |
| DE102005023296B4 (de) | Zugbeeinflussungssystem | |
| DE2701925A1 (de) | Fahrzeugsteuerungssystem mit hoher zuverlaessigkeit | |
| DE102008022343A1 (de) | Zugsicherungseinrichtung | |
| EP2193973B1 (de) | Verfahren und Vorrichtung zur Prüfung von Zugbeeinflussungseinheiten mit Zustandsdaten von Streckensignalen bei Relaisstellwerken | |
| EP3448735B1 (de) | Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems | |
| DE10053023C1 (de) | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens | |
| DE102004035901B4 (de) | Einrichtung zum Steuern eines sicherheitskritischen Prozesses | |
| DE102005043305A1 (de) | System-Architektur zur Steuerung und Überwachung von Komponenten einer Eisenbahnsicherungsanlage | |
| EP2978654B1 (de) | Verfahren zum ersetzen eines ersten stellwerkes durch ein zweites stellwerk | |
| DE3223779A1 (de) | Fehlersichere adersparende lichtsignalsteuereinrichtung | |
| EP0920391B1 (de) | Verfahren zur steuerung und überwachung einer verkehrstechnischen anlage | |
| DE102004033263B4 (de) | Steuer-und Regeleinheit | |
| EP2279480B1 (de) | Verfahren und system zum überwachen eines sicherheitsbezogenen systems | |
| WO2003047937A1 (de) | Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens | |
| DE102008012953A1 (de) | Überprüfung von Anzeigesystemen in Schienenfahrzeugen | |
| DE2458224B2 (de) | Datenverarbeitungssystem mit koordinierung der parallelarbeit von mindestens zwei datenverarbeitungsanlagen | |
| DE10103951B4 (de) | Energieversorgungseinrichtung für bordnetzgestützte, sicherheitsrelevante Systemkomponenten von Fahrzeugen | |
| DE102004021456B3 (de) | Vorrichtung zur Ansteuerung eines Feldelementes | |
| EP3807796B1 (de) | Verfahren zum betreiben einer rechenanlage | |
| WO2016016003A2 (de) | Verfahren und vorrichtung zum betreiben einer eisenbahnsicherungsanlage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| OP8 | Request for examination as to paragraph 44 patent law | ||
| 8131 | Rejection |