DE102005023296B4 - Zugbeeinflussungssystem - Google Patents

Zugbeeinflussungssystem Download PDF

Info

Publication number
DE102005023296B4
DE102005023296B4 DE200510023296 DE102005023296A DE102005023296B4 DE 102005023296 B4 DE102005023296 B4 DE 102005023296B4 DE 200510023296 DE200510023296 DE 200510023296 DE 102005023296 A DE102005023296 A DE 102005023296A DE 102005023296 B4 DE102005023296 B4 DE 102005023296B4
Authority
DE
Germany
Prior art keywords
vehicle
redundancy manager
computer
computers
vehicle computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE200510023296
Other languages
English (en)
Other versions
DE102005023296A1 (de
Inventor
Michael Wenger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200510023296 priority Critical patent/DE102005023296B4/de
Priority to PCT/EP2006/062080 priority patent/WO2006120165A1/de
Priority to CN 200680016205 priority patent/CN100549972C/zh
Publication of DE102005023296A1 publication Critical patent/DE102005023296A1/de
Application granted granted Critical
Publication of DE102005023296B4 publication Critical patent/DE102005023296B4/de
Priority to HK08107681.1A priority patent/HK1112653A1/xx
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0063Multiple on-board control systems, e.g. "2 out of 3"-systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Hardware Redundancy (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Zugbeeinflussungssystem mit zwei nicht redundanten sicheren Fahrzeugrechnern (A, B), welche unabhängig voneinander sicherungstechnische Ausgaben, z. B. Antrieb frei oder gesperrt und Tür frei oder gesperrt, erzeugen, dadurch gekennzeichnet, dass in den Fahrzeugrechnern (A, B), die keine Kenntnis voneinander oder Verbindung zueinander haben, jeweils ein als Task ausgebildeter Redundanzmanager integriert ist, der die Ausgaben vergleicht und nach Logikkriterien an die Fahrzeugrechner (A, B) rückbestätigt oder nicht rückbestätigt, wobei ein Task als Master und der andere Task als Slave fungiert.

Description

  • Die Erfindung betrifft ein Zugbeeinflussungssystem mit den oberbegrifflichen Merkmalen des Anspruchs 1. Bei bekannten Systemen werden mehrkanalige Rechner, insbesondere vom Typ 2v3, wie beispielsweise aus der DE 23 03 828 A bekannt, mit mehreren sicheren und redundanten Fahrzeugrechnern eingesetzt. Dabei leisten die synchronisierten Rechnerkanäle die gesamte Datenverarbeitung, wobei jeder Verarbeitungsschritt nach dem Zeitscheibenverfahren gevotet wird. Derartige Mehrkanalsysteme mit quasi ständigem Voting genügen zwar hohen Sicherheitsanforderungen, sind aber aufwendig sowohl hinsichtlich Hardware als auch hinsichtlich Software.
  • Vorstellbar ist auch die Verwendung eines einfacheren Systems, bei dem zwei sichere, nicht redundante Fahrzeugrechner zur Erzeugung sicherungstechnischer Ausgaben verwendet werden. Prinzipiell kann immer angenommen werden, dass im Zustand „Fahrt" der Antrieb sicherungstechnisch freigegeben und der Türmotor sicherungstechnisch gesperrt sein müssen. Im Zustand „Abfertigung" muss hingegen der Antrieb sicherungstechnisch gesperrt sein, während der Türmotor betrieblich freigegeben ist. Bei diesen Voraussetzungen können bei Verwendung separater sicheren Fahrzeugrechner Probleme auftreten, die nachfolgend anhand eines Beispiels erläutert werden. Befindet sich beispielsweise ein Fahrzeugrechner noch im Betriebszustand „Abfertigung", weil eine Zustandsmaschine ausfallbedingt den geschlossenen Zustand der Tür nicht erkennt und der zugehörige Relaiskontakt den Fahrzeugrechner quasi falsch informiert, überwacht dieser den Stillstand des Zuges und gibt die Türen frei. Befindet sich der andere Rechner bereits im Zustand „Fahrt", weil seine Zustandsmaschine störungsfrei ist und die Türen als geschlossen gemeldet hat, gibt dieser zwei te Fahrzeugrechner die Fahrt frei und sperrt die Türen. Die Überlagerung beider Ausgaben ergibt einen gefährlichen Zustand, nämlich die gleichzeitige Freigabe zur Fahrt und zur Öffnung der Türen.
  • Aus der DD 229 878 A1 ist ein Zugbeeinflussungssystem mit Mehrrechner-Fahrzeugrechnern bekannt, welche mit Streckenrechnern über Funk Datentelegramme austauschen.
  • Aus der DE 195 01 993 A1 ist es bekannt, per Funk abgefragte Zustände von Streckensicherungseinrichtungen auf einem Bordcomputer mit Referenzzuständen zu vergleichen.
  • Die DE 699 05 272 T2 offenbart ein Verfahren zum Umgang mit Datenverarbeitungsfehlern, die temporärer Natur sind.
    •
  • Der Erfindung liegt die Aufgabe zugrunde, eine Systemarchitektur zu entwerfen, die einerseits einen sehr hohen Sicherheitsstandard ermöglicht und andererseits ohne synchronisierte Mehrkanalrechner auskommt.
  • Die Aufgabe wird mit den kennzeichnenden Merkmalen des Anspruchs 1 gelöst. Der Redundanzmanager, d. h. der Master-Task oder ersatzweise der Slave-Task, sorgt dafür, dass sicherheitsrelevante Ausgaben nur dann zur Weiterverarbeitung freigegeben werden, wenn diese bei beiden Fahrzeugrechnern übereinstimmen. Der Redundanzmanager ist als Task in beiden sicheren Fahrzeugrechnern ausgebildet, weil sein Fehlverhalten zu – im Beispiel oben erläuterten – unterschiedlichen Betriebszuständen beider Fahrzeugrechner oder zum Laden falscher Daten von einem Fahrzeugrechner in den anderen führen könnte. Dabei werden bestimmte Logikkriterien vom Redundanzmanager berücksichtigt. Folgende Algorithmen können beispielsweise implementiert sein:
    • – Der Redundanzmanager gibt den Antrieb für beide Fahrzeugrechner nur frei, wenn beide Fahrzeugrechner zuvor den Türmotor als gesperrt gemeldet haben und beide Fahrzeugrechner die Freigabe für den Fahrzeugantrieb angefordert haben.
    • – Der Redundanzmanager gibt den Antrieb für einen Fahrzeugrechner nur frei, wenn dieser Fahrzeugrechner zuvor den Türmotor als gesperrt gemeldet und die Freigabe des Antriebs angefordert hat und der Freilauf des anderen Fahrzeugrechners mit Sicherheit abgelaufen ist, wobei der Freilauf eine einstellbare Zeit oder Strecke charakteri siert, für die keine Verbindung zwischen dem Fahrzeugrechner und dem Redundanzmanager besteht, wobei im Freilauf immer die sicheren Zustände „Tür gesperrt" und „Antrieb gesperrt" eingestellt sind.
    • – Der Redundanzmanager gibt den Türmotor für beide Fahrzeugrechner nur frei, wenn beide Fahrzeugrechner zuvor den Antrieb als gesperrt gemeldet und auch beide die Freigabe des Türmotors angefordert haben.
    • – Der Redundanzmanager gibt dem Türmotor für einen Fahrzeugrechner nur frei, wenn dieser Fahrzeugrechner zuvor den Antrieb als gesperrt gemeldet und die Freigabe des Türmotors angefordert hat und der Freilauf des anderen Fahrzeugrechners mit Sicherheit abgelaufen ist.
    • – Erreicht der Zustand „Freigabeanforderung" des zweiten Fahrzeugrechners den ersten Fahrzeugrechner nach einer festzulegenden Zeit oder einer zurückgelegten Wegstrecke nicht, entzieht der Redundanzmanager dem ersten Rechner den Freilauf. Nach Ablauf des Freilauf wertes oder nach Quittierung des Entzugs durch diesen ersten Rechner kommt der Redundanzmanager den Freigabeanforderungen des zweiten Rechners nach.
    • – Einem ersten Fahrzeugrechner, dessen Freilauf abgelaufen ist, wird der Freilauf wieder erteilt, wenn er richtige Zustände meldet, beispielsweise zum anderen Rechner plausible Ortsangaben und übereinstimmende Parameter der Zustandsmaschinen, die den Fahrzeugrechnern die Eingangsdaten liefern, und das System einen stabilen Zustand angenommen hat. Systemspezifisch festzulegende Zustände des zweiten Rechners werden in den ersten Rechner geladen. Das betrifft beispielsweise zu überwachende Gefahrenpunkte mit Höchstgeschwindigkeiten sowie Betriebszustände des zweiten Rechners wie „Abfertigung" oder „Fahrt".
  • Diese Algorithmen und Logikkriterien können systemspezifisch durch weitere ergänzt werden. Sinnvoll kann z. B. sein, dass ein Fahrauftrag einem Fahrzeugrechner vom Redundanzmanager erst freigegeben wird, wenn dieser Fahrzeugrechner sich im gleichen Betriebszustand wie der zweite Fahrzeugrechner befindet oder wenn für diesen der Freilauf überschritten wurde. Diese Regel kann z. B. die häufig unterschiedlichen Zeitpunkte des Überfahrens eines Ortungspunktes, die von beiden Ortungssystemen der Fahrzeugrechner parallel ermittelt werden, ausgleichen.
  • Der Redundanzmanager dient lediglich dazu, die erforderlichen Logikkriterien zu realisieren. Er besitzt keine eigentlichen systemspezifischen Funktionen. In diesem Sinne stellt der Redundanzmanager eine generische Plattform für Zugbeeinflussungssysteme unterschiedlicher Ausprägung bereit. Diese generische Plattform ist systemspezifisch konfiguriert und lässt sich entsprechend erweitern. Die Systemfunktionalität wird allein von den Fahrzeugrechnern geliefert, die systemspezifische Dienste zur Verfügung stellen, die der Redundanzmanager voted und nach Logikkriterien beurteilt.
  • Die Architektur des Zugbeeinflussungssystems ist weitgehend unabhängig von der Hardware. Das System mit dem Redundanzmanager kann prinzipiell auf beliebige Hardwareplattformen portiert werden, ohne dass die Funktion verloren geht.
  • Gegenüber der Architektur eines sicheren und redundanten Rechnerkerns mit mehreren synchronisierten Rechnerkanälen besitzt die Datenverarbeitung über den Redundanzmanager Performancevorteile. Der Grund ist darin zu finden, dass die Datenverarbeitung, z. B. die zeit- und rechenintensive Ortungsfunktion, parallel von den Fahrzeugrechnern erfolgt. Der Redundanzmanager voted anschließend nur die Ergebnisse, während bei mehrkanaliger Datenverarbeitung mit synchronisierten Rechnern ein quasi ständiges Voting nach dem Zeitscheibenverfahren erforderlich ist.
  • Der Redundanzmanager ist als Task in den Fahrzeugrechnern integriert, wodurch nur ein Minimum an Hardware erforderlich ist. Nur der erste der beiden Redundanzmanager würde im störungsfreien Zustand das Management übernehmen und als Master fungieren, während der zweite Redundanzmanager im anderen Fahrzeugrechner sein Slave wäre. Der zweite Redundanzmanager muss nur ständig mitlaufen, um auf den aktuellen Stand der Betriebszustände zu sein. Ein Ausfall des ersten Fahrzeugrechners hat zur Folge, dass auch der als Task vorgesehene Master-Redundanzmanager ausfallen würde. In diesem Fall übernimmt der zweite Redundanzmanager den Betrieb. Der zweite Redundanzmanager vergibt dann alle vorhandenen Aufträge an den zweiten Fahrzeugrechner, welcher diese Anforderungen positiv bestätigen muss. Eine Kommunikationsverbindung des Slave-Redundanzmanagers zum ersten Fahrzeugrechner ist nicht zwingend notwendig. Es ist lediglich genau festzulegen, durch welche Reaktionen der Ausfall des Master-Redundanzmanagers den noch intakten Rechnern mitzuteilen ist. Denkbar ist z. B. eine sichere Ausgabe vom ersten Fahrzeugrechner, der den Zustand des Master-Redundanzrechners wiedergibt und von beiden Fahrzeugrechnern abgefragt wird.
  • Der Fahrzeugrechner ist auch in nicht redundanten Systemen einsetzbar, wobei dann die Software derart beschaffen sein muss, dass die Zustimmungspflicht bestimmter Aktionen projektiert werden kann. Das ist der Fall, da der Redundanzmanager ohnehin als Task auf den einzelnen Fahrzeugrechnern läuft. Das nicht redundante System arbeitet dann wie ein redundantes System, bei dem ein Fahrzeugrechner ausgefallen ist.
  • Gemäß Anspruch 2 erteilt der Redundanzmanager einem Fahrzeugrechner auch Sonderaufträge, genehmigt Anträge der Fahrzeugrechner und lädt Daten von einem Fahrzeugrechner in den anderen. Neben der Verarbeitung der von den Zustandsmaschinen stammenden Eingangsdaten können systemspezifisch noch weitere Aktionen der Fahrzeugrechner notwendig sein, die der Genehmigungspflicht durch den Redundanzmanager unterliegen bzw. die vom Redundanzmanager beauftragt werden. Beispiele hierfür sind die Zugdateneingabe bei ETCS (European Train Control System), eine Mode-Umschaltung oder ein Zugbus-Kommando zur Abschaltung des Antriebs. Jeder Fahrzeugrechner kann von dem Redundanzmanager mit der Ausübung bestimmter Funktionen beauftragt werden. Das kann beispielsweise die nicht rückbestätigungspflichtige Ansteuerung einer Fahrplankonformitätsanzeige betreffen. Die Beauftragung erlischt automatisch, wenn dem Fahrzeugrechner der Freilauf entzogen wird.
  • Die Erfindung wird nachfolgend anhand einer figürlichen Darstellung näher erläutert.
    •
  • Die einzige Figur zeigt eine Systemarchitektur für ein Zugbeeinflussungssystem.
  • Dargestellt ist ein Zugbeeinflussungssystem, das zwei sicherungstechnische Ausgaben, nämlich Türmotor frei oder gesperrt und Fahrzeugantrieb frei oder gesperrt, aufweist, wobei jeder Ausgabe eine Zustandsmaschine zur Erzeugung der notwendigen Eingangsinformationen zugeordnet ist. Die Zustandsmaschinen beaufschlagen zwei unabhängige sichere Fahrzeugrechner A und B. Dieses System kann anwendungsspezifisch erweitert werden. In beiden Fahrzeugrechnern A und B ist ein Redundanzmanager als Task angesiedelt. Zur Veranschaulichung der Tasks ist der Redundanzmanager als Softwaremodul dargestellt Im störungsfreien Zustand ist der Redundanzmanager eines Fahrzeugrechners A oder B Master und der andere Slave. Prinzipiell muss gewährleistet sein, dass betrieblich eine kontinuierliche Kommunikationsverbindung zwischen den Fahrzeugrechnern A und B und dem Redundanzmanager realisiert werden kann. Die beiden Fahrzeugrechner A und B im Zug haben keine Kenntnis voneinander oder Verbindung zueinander. Jeder Rechner A und B besitzt in dem Beispiel zwei Ausgaben, nämlich Stellenergiefreigabe des Türmotors und des Antriebs. Steuert im ausfallfreien Zustand auch nur ein Fahrzeugrechner A oder B einen Kontakt in den Zustand „geschlossen", wird die Stellenergie freigegeben. Eine Sperrung der Stellenergie erfolgt nur, wenn beide Fahrzeugrechner A und B den jeweiligen Kontakt offen steuern. Jeder Fahrzeugrechner A und B ist über eine eigene bidirektionale Kommunikationsverbindung mit dem Redundanzmanager verbunden. Die Zustandsmaschinen erzeugen nicht sicher die Zustände „Tür frei" und „Antrieb frei". Beim Wechsel in diesen Zustand ist die zugeordnete Ausgabe, d. h. „Kontakt schließen", vorgewählt. Bevor die Ausgabe erfolgt, ist jedoch die Zustimmung des Redundanzmanagers über die Kommunikationsverbindung notwendig. Die Zustände „Tür gesperrt" und „Antrieb gesperrt" werden durch die Zustandsmaschinen nicht sicher erzeugt. Beim Wechsel in diesen Zustand muss folglich die zugeordnete Ausgabe sofort gesperrt werden, d. h. der entsprechende Kontakt öffnet. Dieser Zustand wird dem Redundanzmanager gemeldet.
  • Sobald ein Fahrzeugrechner A bzw. B für eine einstellbare Zeit oder für eine vorwählbare Strecke keine Verbindung mehr zum Redundanzmanager besitzt, d. h. im Zustand des Freilaufs, stellt dieser Fahrzeugrechner A bzw. B beide Kontakte in den Zustand offen. Die Ortsermittlung wird durch diesen Rechner A oder B weiterhin durchgeführt. Der Freilauf bleibt bestehen, wenn der Fahrzeugrechner A oder B vom Redundanzmanager mit aktuellen Zuständen geladen worden ist, seine Zustandsmaschinen plausibel zu den geladenen Werten sind und er den Freilauf wieder erteilt bekommen hat.
  • Die Erfindung beschränkt sich nicht auf das vorstehend angegebene Ausführungsbeispiel. Vielmehr ist eine Anzahl von Va rianten denkbar, welche auch bei grundsätzlich anders gearteter Ausführung von den Merkmalen der Erfindung Gebrauch machen.

Claims (2)

  1. Zugbeeinflussungssystem mit zwei nicht redundanten sicheren Fahrzeugrechnern (A, B), welche unabhängig voneinander sicherungstechnische Ausgaben, z. B. Antrieb frei oder gesperrt und Tür frei oder gesperrt, erzeugen, dadurch gekennzeichnet, dass in den Fahrzeugrechnern (A, B), die keine Kenntnis voneinander oder Verbindung zueinander haben, jeweils ein als Task ausgebildeter Redundanzmanager integriert ist, der die Ausgaben vergleicht und nach Logikkriterien an die Fahrzeugrechner (A, B) rückbestätigt oder nicht rückbestätigt, wobei ein Task als Master und der andere Task als Slave fungiert.
  2. Zugbeeinflussungssystem nach Anspruch 1, dadurch gekennzeichnet, dass der Redundanzmanager den Fahrzeugrechnern (A, B) nicht rückbestätigungspflichtige Aufträge, z. B. Ansteuerung einer Fahrplankonformitätsanzeige, erteilt und/oder Anträge der Fahrzeugrechner (A, B) genehmigt und/oder Daten von einem Fahrzeugrechner (A, B) in andere Fahrzeugrechner (B, A) lädt.
DE200510023296 2005-05-12 2005-05-12 Zugbeeinflussungssystem Expired - Fee Related DE102005023296B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE200510023296 DE102005023296B4 (de) 2005-05-12 2005-05-12 Zugbeeinflussungssystem
PCT/EP2006/062080 WO2006120165A1 (de) 2005-05-12 2006-05-05 Zugbeeinflussungssystem
CN 200680016205 CN100549972C (zh) 2005-05-12 2006-05-05 列车控制系统
HK08107681.1A HK1112653A1 (en) 2005-05-12 2008-07-14 Train control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510023296 DE102005023296B4 (de) 2005-05-12 2005-05-12 Zugbeeinflussungssystem

Publications (2)

Publication Number Publication Date
DE102005023296A1 DE102005023296A1 (de) 2006-11-16
DE102005023296B4 true DE102005023296B4 (de) 2007-07-12

Family

ID=36685566

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510023296 Expired - Fee Related DE102005023296B4 (de) 2005-05-12 2005-05-12 Zugbeeinflussungssystem

Country Status (4)

Country Link
CN (1) CN100549972C (de)
DE (1) DE102005023296B4 (de)
HK (1) HK1112653A1 (de)
WO (1) WO2006120165A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4645667B2 (ja) * 2008-03-24 2011-03-09 株式会社日立製作所 列車制御装置
CN101700783B (zh) * 2009-11-11 2012-08-29 北京全路通信信号研究设计院有限公司 一种列控中心系统平台
DE102012206316B4 (de) 2012-04-17 2018-05-17 Siemens Aktiengesellschaft Steuerungssystem zur Steuerung eines Schienenfahrzeugs
CN102910157B (zh) * 2012-09-28 2014-12-10 中南大学 Ccbii制动机的epcu后备转换装置
DE102013218814A1 (de) 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Verfahren zum Betreiben eines sicherheitskritischen Systems
DE102015211587A1 (de) * 2015-06-23 2016-12-29 Siemens Aktiengesellschaft Steueranordnung für ein Fahrzeug
DE102021209038A1 (de) * 2021-08-18 2023-02-23 Siemens Mobility GmbH Verfahren zum automatischen Erkennen und Korrigieren von Speicherfehlern in einem sicheren mehrkanaligen Rechner

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2303828A1 (de) * 1973-01-26 1974-08-01 Standard Elektrik Lorenz Ag Steuerverfahren mit drei parallel betriebenen rechnern
DD229878A1 (de) * 1984-12-18 1985-11-20 Verkehrswesen Forsch Inst Einrichtung zur automatisation der zugaufsicht und zugsteuerung eines nahverkehrssystems
DE19501993A1 (de) * 1995-01-11 1996-07-18 Elpro Ag Verfahren und Einrichtung zur sicherheitsrelevanten Erfassung, Verarbeitung und Visualisierung von Zustandsinformationen dezentraler/zentraler Steuereinrichtungen auf Triebfahrzeugen
DE69905272T2 (de) * 1998-10-12 2003-12-11 Centre Nat Etd Spatiales Verfahren zur behandlung eines vorübergehenden fehlern unterworfenes elektronisches systems

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9101227D0 (en) * 1991-01-19 1991-02-27 Lucas Ind Plc Method of and apparatus for arbitrating between a plurality of controllers,and control system
FR2704329B1 (fr) * 1993-04-21 1995-07-13 Csee Transport Système de sécurité à microprocesseur, applicable notamment au domaine des transports ferroviaires.

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2303828A1 (de) * 1973-01-26 1974-08-01 Standard Elektrik Lorenz Ag Steuerverfahren mit drei parallel betriebenen rechnern
DD229878A1 (de) * 1984-12-18 1985-11-20 Verkehrswesen Forsch Inst Einrichtung zur automatisation der zugaufsicht und zugsteuerung eines nahverkehrssystems
DE19501993A1 (de) * 1995-01-11 1996-07-18 Elpro Ag Verfahren und Einrichtung zur sicherheitsrelevanten Erfassung, Verarbeitung und Visualisierung von Zustandsinformationen dezentraler/zentraler Steuereinrichtungen auf Triebfahrzeugen
DE69905272T2 (de) * 1998-10-12 2003-12-11 Centre Nat Etd Spatiales Verfahren zur behandlung eines vorübergehenden fehlern unterworfenes elektronisches systems

Also Published As

Publication number Publication date
WO2006120165A1 (de) 2006-11-16
DE102005023296A1 (de) 2006-11-16
CN100549972C (zh) 2009-10-14
CN101176070A (zh) 2008-05-07
HK1112653A1 (en) 2008-09-12

Similar Documents

Publication Publication Date Title
DE102005023296B4 (de) Zugbeeinflussungssystem
DE3208573C2 (de) 2 aus 3-Auswahleinrichtung für ein 3-Rechnersystem
DE102009042368B4 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
EP3098673B1 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
DE102005014804A1 (de) Bordnetzsystem für ein Kraftfahrzeug sowie Steuergerät und intelligentes Energieversorgungsgerät für ein Bordnetzsystem eines Kraftfahrzeugs
EP2445771A1 (de) Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks
EP1966008B1 (de) Verfahren zur verteilung von softwaremodulen
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102015211587A1 (de) Steueranordnung für ein Fahrzeug
DE102012210126A1 (de) Verfahren zum Betreiben einer Netzwerkanordnung, Netzwerkeinrichtung und Netzwerkanordnung
EP3448735B1 (de) Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems
EP1197418B1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
EP2745205B1 (de) Verfahren zum betreiben eines steuerungsnetzwerk und steuerungsnetzwerk
DE102004035901B4 (de) Einrichtung zum Steuern eines sicherheitskritischen Prozesses
EP2978654B1 (de) Verfahren zum ersetzen eines ersten stellwerkes durch ein zweites stellwerk
WO2023052333A1 (de) Verfahren zur ansteuerung einer vielzahl von türen in einem fahrzeug
DE102004033263B4 (de) Steuer-und Regeleinheit
EP2279480B1 (de) Verfahren und system zum überwachen eines sicherheitsbezogenen systems
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
WO2003047937A1 (de) Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
DE102006045153A1 (de) System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk
DE102011011224A1 (de) Steuergeräteanordnung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee