DE102012217291A1 - Method for error disclosure in an interlocking computer system and interlocking computer system - Google Patents

Method for error disclosure in an interlocking computer system and interlocking computer system Download PDF

Info

Publication number
DE102012217291A1
DE102012217291A1 DE102012217291.2A DE102012217291A DE102012217291A1 DE 102012217291 A1 DE102012217291 A1 DE 102012217291A1 DE 102012217291 A DE102012217291 A DE 102012217291A DE 102012217291 A1 DE102012217291 A1 DE 102012217291A1
Authority
DE
Germany
Prior art keywords
computer
display
computer system
image
hazard analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102012217291.2A
Other languages
German (de)
Inventor
Michael Schaaf
Carsten Sattler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102012217291.2A priority Critical patent/DE102012217291A1/en
Priority to EP13763010.9A priority patent/EP2879935A2/en
Priority to PCT/EP2013/068459 priority patent/WO2014048696A2/en
Priority to CN201380047737.2A priority patent/CN104619573A/en
Publication of DE102012217291A1 publication Critical patent/DE102012217291A1/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • B61L2019/065Interlocking devices having electrical operation with electronic means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L25/00Recording or indicating positions or identities of vehicles or vehicle trains or setting of track apparatus
    • B61L25/06Indicating or recording the setting of track apparatus, e.g. of points, of signals
    • B61L25/08Diagrammatic displays

Abstract

Die Erfindung betrifft ein Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem mit mindestens einem ersten Rechnerkanal (1a; 8) und mindestens einem zweiten Rechnerkanal (1b; 9), deren Eingangssignale signaltechnisch sichere Zustandsmeldungen einer Eisenbahnsicherungsanlage (2) repräsentieren und deren Ausgangssignale auf einem Display (7) darstellbar sind sowie ein Stellwerksrechnersystem zur Durchführung des Verfahrens. Um die Sicherheitsvorgaben für die Rechnerkanäle (1a; 8 und 1b; 9) zu verringern und den Anzeigekomfort für einen Bediener zu verbessern, ist vorgesehen, dass die Ausgangssignale des ersten Rechnerkanals (1a; 8) ein Zustandsbild (5a) und die Ausgangssignale des zweiten Rechnerkanals (9) ein Gefährdungsanalysebild (13) erzeugen und dass das Zustandsbild (6a) und das Gefährdungsanalysebild (13) auf dem Display (7) überlagerbar sind.The invention relates to a method for detecting errors in an interlocking computer system with at least one first computer channel (1a; 8) and at least one second computer channel (1b; 9), the input signals of which represent state messages of a railway safety system (2) that are reliable in terms of signal technology and the output signals of which are shown on a display (7 ) can be displayed as well as an interlocking computer system for carrying out the method. In order to reduce the security requirements for the computer channels (1a; 8 and 1b; 9) and to improve display convenience for an operator, provision is made for the output signals of the first computer channel (1a; 8) to be a status image (5a) and the output signals of the second Computer channel (9) generate a hazard analysis image (13) and that the status image (6a) and the hazard analysis image (13) can be superimposed on the display (7).

Description

Die Erfindung betrifft ein Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem mit mindestens einem ersten Rechnerkanal und mindestens einem zweiten Rechnerkanal, deren Eingangssignale signaltechnisch sichere Zustandsmeldungen einer Eisenbahnsicherungsanlage repräsentieren und deren Ausgangssignale auf einem Display darstellbar sind sowie ein Stellwerksrechnersystem zur Durchführung des Verfahrens. The invention relates to a method for error disclosure in an interlocking computer system having at least one first computer channel and at least one second computer channel, the input signals signal-safe status messages represent a railway safety system and their output signals can be displayed on a display and an interlocking computer system for performing the method.

Im Rahmen von Hilfsbedienungen an dem Stellwerksrechnersystem ist sicherzustellen, dass die Entscheidungsgrundlage, das heißt das Meldebild auf dem Display, das dem Bediener angezeigt wird, dem tatsächlichen Zustand der Eisenbahnsicherungsanlage, auch Außenanlage genannt, entspricht. As part of auxiliary operations on the interlocking computer system, it must be ensured that the basis for the decision, that is to say the display message displayed to the operator, corresponds to the actual state of the railway safety system, also called outdoor facility.

Bei einem bekannten derartigen System, das in 1 dargestellt ist, sind dazu zwei Rechnerkanäle 1a und 1b vorgesehen. Die Rechnerkanäle 1a und 1b verarbeiten die Informationen einer Eisenbahnsicherungsanlage 2, welche eine sichere Meldequelle, beispielsweise ein ESTW – Elektronisches Stellwerk – darstellt. Beide Rechnerkanäle 1a und 1b sind hinsichtlich ihrer Eingangssignale und verwendeten Algorithmen identisch. Mittels einer Funktionalität für Zustandsanzeige/Bedienung 3a beziehungsweise 3b wird auf jedem Rechnerkanal 1a und 1b der Zustand der Eisenbahnsicherungsanlage 2 zusammen mit dem zu bedienenden Feldelement, hier ein Lichtsignal 4, als Zustandsbild 5a und als Referenzbild 5b dargestellt, wobei bei fehlerfreier Signalverarbeitung das Referenzbild 5b mit dem Zustandsbild 5a übereinstimmt. Um diese Übereinstimmung festzustellen, wird von der Zustandsanzeige/Bedienung 3a über das Zustandsabbild 5a eine Prüfsumme ermittelt und von der Zustandsanzeige/Bedienung 3b über das Zustandsabbild 5b eine Prüfsumme ermittelt. Die Prüfsumme des Zustandsabbildes 5b wird an die Zustandsanzeige/Bedienung 3a des ersten Rechnerkanals 1a übermittelt, die dann beide Prüfsummen im Rahmen der Hilfsbedingung an die Eisenbahnsicherungsanlage 2 zum Vergleich übermittelt. Nur das Zustandsbild 5a wird auf einem Display 7 dargestellt. Derartige Tests werden zyklisch im Hintergrund durchgeführt, um frühzeitig nicht korrekte Arbeitsweise, zum Beispiel eingefrorene Bildpixel, auf einem der Rechnerkanäle 1a oder 1b zu erkennen und Fehler zu offenbaren. In a known such system, which in 1 is shown, are two computer channels 1a and 1b intended. The computer channels 1a and 1b process the information of a railway safety system 2 which represents a safe reporting source, for example an ESTW - electronic interlocking. Both computer channels 1a and 1b are identical in terms of their input signals and algorithms used. By means of a functionality for status display / operation 3a respectively 3b will be on each computer channel 1a and 1b the condition of the railway safety system 2 together with the field element to be operated, here a light signal 4 , as a state image 5a and as a reference picture 5b represented, wherein in error-free signal processing, the reference image 5b with the condition picture 5a matches. To determine this match is from the status display / operation 3a over the state image 5a a checksum and from the status display / operation 3b over the state image 5b determines a checksum. The checksum of the state image 5b is sent to the status display / operation 3a the first computer channel 1a then submit both checksums under the auxiliary condition to the railway safety system 2 transmitted for comparison. Only the condition picture 5a will be on a display 7 shown. Such tests are cyclically performed in the background to prevent premature improper operation, such as frozen image pixels, on one of the computer channels 1a or 1b to recognize and reveal mistakes.

Nachteilig bei dieser herkömmlichen Verfahrensweise ist der erhebliche Aufwand für den Prüfsummenvergleich und für Hintergrundtests. Damit verbunden sind sehr hohe SIL-Anforderungen an die Einzelsysteme. Die Sicherheitsstufen SIL sind in der CENELEC-Norm EN50129 von SIL0 – signaltechnisch nicht sicher – bis SIL4 – signaltechnisch hochgradig sicher – definiert. A disadvantage of this conventional procedure is the considerable expense for the checksum comparison and for background tests. This involves very high SIL requirements for the individual systems. The safety levels SIL are in the CENELEC standard EN50129 from SIL0 - not technically safe - up to SIL4 - signal technically highly secure - defined.

Nachteilig ist außerdem, dass der Bediener aus dem Zustandsbild 5a auf dem Display 7 selbst ableiten muss, welche der vielen Randbedingungen der Eisenbahnsicherungsanlage 2 nicht erfüllt sind und welche Gefährdung sich daraus ergibt. Another disadvantage is that the operator from the state image 5a on the display 7 itself must deduce which of the many boundary conditions of the railway safety system 2 are not fulfilled and what is the danger.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und ein Stellwerksrechnersystem gattungsgemäßer Art anzugeben, welche dem Bediener eine bessere Entscheidungsgrundlage für die Freigabe eines Bedienbefehls bei hochgradig sicherer Fehleroffenbarung zur Verfügung stellt, wobei möglichst niedrige SIL-Anforderungen anzustreben sind. The invention has for its object to provide a method and an interlocking computer system generic type, which provides the operator with a better basis for the decision to release an operating command with highly reliable error disclosure available, with the lowest possible SIL requirements are desirable.

Verfahrensgemäß wird die Aufgabe dadurch gelöst, dass die Ausgangssignale des ersten Rechnerkanals ein Zustandsbild und die Ausgangssignale des zweiten Rechnerkanals ein Gefährdungsanalysebild erzeugen und dass das Zustandsbild und das Gefährdungsanalysebild auf dem Display überlagerbar sind. According to the method, the object is achieved in that the output signals of the first computer channel generate a state image and the output signals of the second computer channel a risk analysis image and that the state image and the risk analysis image are superimposed on the display.

Dazu dient gemäß Anspruch 3 ein Stellwerksrechnersystem, bei dem der zweite Rechnerkanal eine Gefährdungsanalysefunktionalität aufweist, welche bei Einleitung einer Bedienung eines Feldelementes, beispielsweise eines Lichtsignals, der Eisenbahnsicherungsanlage und einem daraus resultierenden Gefährdungsmaß an das Feldelement angrenzender Streckenabschnitte auf dem Display eine optische Hervorhebung gefährdeter Streckenabschnitte erzeugt. Serves according to claim 3, a signal box computer system in which the second computer channel has a hazard analysis functionality, which generates an optical highlighting vulnerable sections on initiation of an operation of a field element, such as a light signal, the railway safety system and a resulting risk measure to the field element adjacent sections ,

Auf diese Weise wird dem Bediener im Fall einer die Sicherheit gefährdeten Bedienung zusätzlich zu dem Zustandsbild ein dieses Zustandsbild teilweise transparent überlagerndes Bild aus der Gefährdungsanalysefunktionalität des zweiten Rechnerkanals angezeigt. Durch die Überlagerung sieht der Bediener ein einziges Bild, bestehend aus den Bildern beider Rechnerkanäle. In this way, in the case of a safety-endangering operation, in addition to the status image, the operator is shown a picture of the hazard analysis functionality of the second computer channel that partially overlaps this conditional image in a transparent manner. The overlay allows the operator to see a single image consisting of the images of both computer channels.

Der erste und der zweite Rechnerkanal nehmen unterschiedliche Aufgaben wahr. Dadurch kann die SIL-Anforderung für jeden Rechnerkanal deutlich geringer sein als bei der bekannten Bauweise mit identischen Rechnerkanälen gemäß 1. Im Idealfall können beide Rechnerkanäle mit SIL0 ausgeführt werden. Die signaltechnische Sicherheit ergibt sich aus der Kombination und dem Zusammenspiel der beiden unterschiedlichen Rechnerkanäle. The first and the second computer channel perform different tasks. As a result, the SIL requirement for each computer channel can be significantly lower than in the known design with identical computer channels according to 1 , Ideally, both computer channels can be executed with SIL0. Signaling safety results from the combination and interaction of the two different computer channels.

Der Bediener erhält in sicherheitskritischen Situationen Unterstützung bei seiner Entscheidungsfindung aufgrund des überlagerten Gefährdungsanalysebildes. Aus Diskrepanzen zwischen dem Zustandsbild und dem Gefährdungsanalysebild kann der Bediener sehr einfach auf korrekte beziehungsweise nicht korrekte Funktion des Gesamtsystems schließen. Das Bild aus der Gefährdungsanalyse stellt in Abhängigkeit von dem bedienten Feldelement das Gefährdungsmaß der relevanten abhängigen Feldelemente – Elementkette – dar. Die optische Hervorhebung gefährdeter Streckenabschnitte mit den entsprechenden Feldelementen kann zum Beispiel durch Darstellung gefährdeter Streckenabschnitte in rot und nicht gefährdeter Streckenabschnitte in grün erfolgen. Das Gefährdungsanalysebild ist ansonsten transparent, so dass in den momentan nicht interessierenden Streckenabschnitten nur das Zustandsbild sichtbar ist. Durch die Überlagerung der beiden Bilder kann das Gefährdungspotential einer Bedienung abgeleitet und verdeutlicht werden. Der Bediener wird dadurch in seiner Entscheidungsfindung maßgeblich unterstützt. Außerdem kann der Bediener leicht die Plausibilität des Zustandsbildes prüfen. Werden durch das Gefährdungsanalysebild Gefährdungsmaße dargestellt, die nicht aus dem Zustandsbild abgeleitet werden können, arbeitet einer der beiden Rechnerkanäle nicht korrekt. Da die Darstellung des Gefährdungsanalysebildes erst nach dem ersten Schritt der Bedienung eingeblendet wird, kann daraus abgeleitet werden, ob das Bild aktualisiert wurde oder nicht. In safety-critical situations, the operator receives support in his decision-making on the basis of the superimposed risk analysis image. From discrepancies between the state image and the hazard analysis image can The operator can very easily conclude that the entire system is functioning correctly or not correctly. The image from the hazard analysis represents, depending on the operated field element, the degree of danger of the relevant dependent field elements - element chain. The visual highlighting of endangered sections with the corresponding field elements can be done, for example, by representing endangered sections in red and not endangered sections in green. The hazard analysis image is otherwise transparent, so that only the state image is visible in the currently not interesting sections. By overlaying the two images, the hazard potential of an operation can be deduced and clarified. The operator is thereby significantly supported in his decision-making. In addition, the operator can easily check the plausibility of the status picture. If the hazard analysis picture displays risk measures that can not be derived from the status picture, one of the two computer channels will not work correctly. Since the representation of the hazard analysis image is only displayed after the first step of the operation, it can be deduced from this whether the image has been updated or not.

Gemäß Anspruch 2 ist vorgesehen, dass das Gefährdungsanalysebild dem Zustandsbild mittels eines Bedienelementes bedarfsweise überlagerbar ist. Das Bedienelement ermöglicht eine Rückschaltung in den Ursprungszustand, in dem nur das Zustandsbild sichtbar ist. Dadurch kann bei erneuter Bedienung die Erkennbarkeit von Bilddiskrepanzen bedarfsweise noch verbessert werden. According to claim 2 it is provided that the risk analysis image is superimposed on the state image by means of a control element, if necessary. The operating element allows a return to the original state, in which only the status picture is visible. As a result, the recognizability of image discrepancies, if necessary, can be improved if needed again.

Bei dem erfindungsgemäßen Stellwerksrechnersystem kann gemäß Anspruch 4 zusätzlich vorgesehen sein, dass die Gefährdungsanalysefunktionalität auf dem Display ein Textfeld zur Visualisierung einer Gefährdungsart erzeugt. Dieses Textfeld, beispielsweise „Flankenschutz verletzt“ bei einer in einem vorausliegenden Streckenabschnitt falsch gestellten Weiche, sollte dabei dem entsprechenden Feldelement auf dem Display unmittelbar benachbart angezeigt werden. Bei dem Beispiel wäre der Streckenabschnitt mit der falsch gestellten Weiche rot hervorgehoben und außerdem mit der Gefährdungsart beschriftet, während beispielsweise ein im Fahrweg davor liegender Streckenabschnitt mit einem Lichtsignal grün dargestellt ist, sofern das Lichtsignal für den vorgesehenen Fahrweg den richtigen Signalbegriff anzeigt. In the interlocking computer system according to the invention, it can additionally be provided according to claim 4 that the hazard analysis functionality generates on the display a text field for the visualization of a hazard type. This text field, for example "edge protection injured" in the case of a switch placed incorrectly in a preceding stretch of track, should be displayed immediately adjacent to the corresponding field element on the display. In the example, the section with the wrong turnout would be highlighted in red and also labeled with the hazard type, while, for example, a lying in the road ahead section is shown in green with a light signal, if the light signal for the intended route indicates the correct signal term.

Um die Erkennbarkeit des aktuell zu bedienenden Feldelementes für den Bediener quasi auf einen Blick zu ermöglichen, erzeugt die Gefährdungsanalysefunktionalität gemäß Anspruch 5 auf dem Display eine optische Hervorhebung dieses aktuell bedienten Feldelementes. Beispielsweise kann ein farbiges Hintergrundfenster vorgesehen sein, in welchem das Symbol für das Feldelement angezeigt wird. Ein Hintergrund in einer Farbe, beispielsweise blau, die nicht für gefährdete – rot – und nicht gefährdete – grün – Streckenabschnitte verwendet wird, ist dabei zu bevorzugen. In order to make the recognizability of the currently operated field element for the operator virtually at a glance, the hazard analysis functionality according to claim 5 generates on the display an optical highlighting of this currently operated field element. For example, a colored background window may be provided, in which the symbol for the field element is displayed. A background in a color, such as blue, which is not used for endangered - red - and not endangered - green - sections, is to be preferred.

Nachfolgend wird die Erfindung anhand figürlicher Darstellungen näher erläutert. Es zeigen: The invention will be explained in more detail with reference to figurative representations. Show it:

1 ein Stellwerksrechnersystem bekannter Bauart und 1 an interlocking computer system of known type and

2 ein erfindungsgemäßes Stellwerksrechnersystem. 2 an inventive interlocking computer system.

1 veranschaulicht die übliche Bauart einer Stellwerksanlage, die bereits weiter oben beschrieben wurde. 1 illustrates the usual design of a signal box, which has already been described above.

Gleiche Bezugszeichen kennzeichnen in beiden Figuren gleichartige Baugruppen. Identical reference signs identify similar assemblies in both figures.

Anstelle im Wesentlichen identischer Rechnerkanäle 1a und 1b gemäß 1 sind erfindungsgemäß Rechnerkanäle 8 und 9 vorgesehen, die sehr unterschiedliche Algorithmen für die Signalverarbeitung der signaltechnisch sicheren Zustandsinformationen der Eisenbahnsicherungsanlage 2 verwenden. Dabei entspricht der Rechnerkanal 8 im Wesentlichen dem Rechnerkanal 1a. Auch der Rechnerkanal 8 erzeugt aus der Funktionalität Zustandsanzeige/Bedienung 3a ein Zustandsbild 5a der Eisenbahnsicherungsanlage 2. Dabei entfallen der Algorithmus zur Prüfsummenbildung über 5a und die Prüfsummenübermittlung 6 von Rechnerkanal 3b an Rechnerkanal 3a gemäß 1. Das Beispiel für das Zustandsbild 5a bezieht sich wiederum auf eine Bedienung des Lichtsignals 4. Die Bedienung wird an das ESTW gesendet, um zum Beispiel das Lichtsignal 4 von HALT auf FAHRT zu stellen. Diese Bedienung muss als Hilfsbedienung ausgeführt werden, weil das ESTW ansonsten seine Sicherheitsregeln verletzen würde. Die Hilfsbedienung wird durch den Rechnerkanal 8 an das ESTW gesendet, zusätzlich wird durch den Rechnerkanal 8 die Bedienhandlung an die Gefährdungsanalysefunktionalität 10 des Rechnerkanals 9 übermittelt 11. Aus dieser Eingangsgröße und den Elementzustandsinformationen der Eisenbahnsicherungsanlage 2 ermittelt die Gefährdungsanalysefunktionalität 10 für die umliegenden Feldelemente und weiterer im Fahrweg liegender Feldelemente die Gefährdungsrate. Bei dem Beispiel ist an der Weiche 12 kein Flankenschutz gegeben. Daraus erzeugt die Gefährdungsanalysefunktionalität 10 ein Gefährdungsanalysebild 13, bei dem die Streckenabschnitte 14 der Weiche 12 rot dargestellt sind und ein Textfeld 15 mit einer Kurzbeschreibung der Gefährdungsart „Flankenschutz verletzt“ angezeigt wird. Das Lichtsignal 4, für das die Bedienung eingeleitet wurde, wird mit einem blauen Fenster 16 unterlegt. Da der direkt an das Lichtsignal 4 angrenzende Streckenabschnitt 17 bis zur Weiche 12 nicht gefährdet ist, wird er grün dargestellt. Dieses Gefährdungsanalysebild 13 wird dem Zustandsbild 5a auf dem Display 7 überlagert. Instead of essentially identical computer channels 1a and 1b according to 1 are computer channels according to the invention 8th and 9 provided, the very different algorithms for the signal processing of fail-safe state information of the railway safety system 2 use. The computer channel corresponds to this 8th essentially the computer channel 1a , Also the computer channel 8th generated from the functionality status display / operation 3a a state image 5a the railway safety system 2 , This eliminates the algorithm for checksum over 5a and the checksum submission 6 from computer channel 3b to computer channel 3a according to 1 , The example of the condition picture 5a again refers to an operation of the light signal 4 , The operation is sent to the ESTW, for example the light signal 4 from HALT to RIDE. This operation must be performed as an auxiliary operation because otherwise the ESTW would violate its safety rules. The auxiliary operation is through the computer channel 8th sent to the ESTW, in addition by the computer channel 8th the operator action to the hazard analysis functionality 10 of the computer channel 9 transmitted 11 , From this input and the element state information of the railway safety system 2 determines the hazard analysis functionality 10 for the surrounding field elements and other lying in the track field elements, the hazard rate. The example is at the switch 12 no flank protection given. This creates the hazard analysis functionality 10 a hazard analysis image 13 in which the track sections 14 the switch 12 are shown in red and a text box 15 is displayed with a brief description of the hazard type "Flank protection violated". The light signal 4 , for which the operation was initiated, comes with a blue window 16 highlighted. Since the directly to the light signal 4 adjacent section of track 17 to the switch 12 is not endangered, it is displayed in green. This hazard analysis image 13 becomes the state image 5a on the display 7 superimposed.

Auf diese Weise kann der Bediener sofort die Position, an der die Gefährdung entsteht, in diesem Fall die Weiche 12, lokalisieren und wird maßgeblich in seiner Entscheidungsfindung unterstützt. Außerdem sind Fehler bezüglich der Funktion des Gesamtsystems anhand von Diskrepanzen zwischen dem Zustandsbild 5a und dem überlagerten Gefährdungsanalysebild 13 auf dem Display 7 sofort erkennbar. Auch Fehler bezüglich der Bildaktualität sind nach der Aufschaltung des Gefährdungsanalysebildes 13 sofort sichtbar, da sich dann nicht beide Bilder 5a und 13 synchron zueinander verändern, das heißt aktualisieren. In this way, the operator can immediately the position where the hazard arises, in this case the switch 12 , localize and is significantly assisted in its decision-making. In addition, errors in the function of the overall system due to discrepancies between the state image 5a and the superimposed hazard analysis image 13 on the display 7 immediately recognizable. Also errors regarding the picture actuality are after the activation of the danger analysis picture 13 immediately visible, because then not both pictures 5a and 13 change synchronously with each other, that is, update.

Aufgrund der unterschiedlichen Signalverarbeitungsalgorithmen in den beiden Rechnerkanälen 8 und 9 kann der Sicherheitslevel beider Rechnerkanäle 8 und 9 gegenüber dem in 1 veranschaulichten herkömmlichen Stellwerksrechnersystem verringert werden. Durch das Zusammenspiel der beiden unterschiedlichen Rechnerkanäle 8 und 9 ergibt sich automatisch eine sehr hohe signaltechnische Sicherheit des Gesamtsystems. Due to the different signal processing algorithms in the two computer channels 8th and 9 can the security level of both computer channels 8th and 9 opposite to the 1 illustrated conventional interlocking computer system can be reduced. Through the interaction of the two different computer channels 8th and 9 automatically results in a very high signal security of the entire system.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • CENELEC-Norm EN50129 [0004] CENELEC standard EN50129 [0004]

Claims (5)

Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem mit mindestens einem ersten Rechnerkanal (1a; 8) und mindestens einem zweiten Rechnerkanal (1b; 9), deren Eingangssignale signaltechnisch sichere Zustandsmeldungen einer Eisenbahnsicherungsanlage (2) repräsentieren und deren Ausgangssignale auf einem Display (7) darstellbar sind, dadurch gekennzeichnet, dass die Ausgangssignale des ersten Rechnerkanals (1a; 8) ein Zustandsbild (5a) und die Ausgangssignale des zweiten Rechnerkanals (9) ein Gefährdungsanalysebild (13) erzeugen und dass das Zustandsbild (5a) und das Gefährdungsanalysebild (13) auf dem Display (7) überlagerbar sind. Method for error disclosure in an interlocking computer system having at least one first computer channel ( 1a ; 8th ) and at least one second computer channel ( 1b ; 9 ), whose input signals are signal-technically safe status messages of a railway safety system ( 2 ) and their output signals on a display ( 7 ), characterized in that the output signals of the first computer channel ( 1a ; 8th ) a state image ( 5a ) and the output signals of the second computer channel ( 9 ) a hazard analysis image ( 13 ) and that the state image ( 5a ) and the hazard analysis image ( 13 ) on the display ( 7 ) are superimposed. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Gefährdungsanalysebild (13) dem Zustandsbild (5a) mittels eines Bedienelementes bedarfsweise überlagerbar ist. Method according to claim 1, characterized in that the hazard analysis image ( 13 ) the state image ( 5a ) Is superimposed as required by means of a control element. Stellwerksrechnersystem zur Durchführung des Verfahrens nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Rechnerkanal (9) eine Gefährdungsanalysefunktionalität (10) aufweist, welche bei Einleitung einer Bedienung eines Feldelementes, beispielsweise eines Lichtsignals (4), der Eisenbahnsicherungsanlage (2) und einem daraus resultierenden Gefährdungsmaß an das Feldelement angrenzender Streckenabschnitte (17, 14) auf dem Display (7) eine optische Hervorhebung gefährdeter Streckenabschnitte (14) erzeugt. Interlocking computer system for carrying out the method according to one of the preceding claims, characterized in that the second computer channel ( 9 ) a hazard analysis functionality ( 10 ), which upon initiation of an operation of a field element, for example a light signal ( 4 ), the railway safety 2 ) and a resulting degree of danger to the field element adjacent sections ( 17 . 14 ) on the display ( 7 ) an optical highlighting of vulnerable sections ( 14 ) generated. Stellwerksrechnersystem nach Anspruch 3, dadurch gekennzeichnet, dass die Gefährdungsanalysefunktionalität (10) auf dem Display (7) ein Textfeld (15) zur Visualisierung einer Gefährdungsart erzeugt. Interlocking computer system according to claim 3, characterized in that the hazard analysis functionality ( 10 ) on the display ( 7 ) a text field ( 15 ) to visualize a hazard type. Stellwerksrechnersystem nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die Gefährdungsanalysefunktionalität (10) auf dem Display (7) eine optische Hervorhebung des aktuell zu bedienenden Feldelementes erzeugt. Interlocking computer system according to claim 3 or 4, characterized in that the hazard analysis functionality ( 10 ) on the display ( 7 ) generates an optical highlighting of the currently operated field element.
DE102012217291.2A 2012-09-25 2012-09-25 Method for error disclosure in an interlocking computer system and interlocking computer system Ceased DE102012217291A1 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102012217291.2A DE102012217291A1 (en) 2012-09-25 2012-09-25 Method for error disclosure in an interlocking computer system and interlocking computer system
EP13763010.9A EP2879935A2 (en) 2012-09-25 2013-09-06 Method for revealing errors in a signal box computer system, and signal box computer system
PCT/EP2013/068459 WO2014048696A2 (en) 2012-09-25 2013-09-06 Method for revealing errors in a signal box computer system, and signal box computer system
CN201380047737.2A CN104619573A (en) 2012-09-25 2013-09-06 Method for revealing errors in a signal box computer system, and signal box computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102012217291.2A DE102012217291A1 (en) 2012-09-25 2012-09-25 Method for error disclosure in an interlocking computer system and interlocking computer system

Publications (1)

Publication Number Publication Date
DE102012217291A1 true DE102012217291A1 (en) 2014-03-27

Family

ID=49209329

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012217291.2A Ceased DE102012217291A1 (en) 2012-09-25 2012-09-25 Method for error disclosure in an interlocking computer system and interlocking computer system

Country Status (4)

Country Link
EP (1) EP2879935A2 (en)
CN (1) CN104619573A (en)
DE (1) DE102012217291A1 (en)
WO (1) WO2014048696A2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3018650A1 (en) * 2014-11-07 2016-05-11 Siemens Aktiengesellschaft Control device for a production or machine tool and method for operating such an op control device
WO2016177518A1 (en) * 2015-05-05 2016-11-10 Siemens Aktiengesellschaft Method and device for displaying a course of a process of at least one railway safety unit, and railway safety system having such a device
EP3608024A4 (en) * 2017-10-24 2020-06-17 Crsc Research & Design Institute Group Co., Ltd. Turnout control state marking method and device, and computer storage medium
EP4169803A1 (en) * 2021-10-20 2023-04-26 ALSTOM Transport Technologies Generation system for generating an image signal, railway signaling system comprising such generation system, associated method and computer program product

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015200292A1 (en) * 2015-01-13 2016-07-14 Robert Bosch Gmbh Method and device for driving a display device and display system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011057145A (en) * 2009-09-11 2011-03-24 Mitsubishi Electric Corp Test device of signal security system

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19703574A1 (en) * 1997-01-31 1998-08-06 Alsthom Cge Alcatel Process for the safe display of an image on a monitor
DE10330115B4 (en) * 2003-07-03 2014-05-28 Siemens Aktiengesellschaft Device for controlling a system controlled by an operator, in particular a signal box of a railway system
JP5588000B2 (en) * 2009-07-06 2014-09-10 ドイタ ヴェルケ ゲーエムベーハー Method for displaying safety-related information on a display and apparatus to which the method is applied
DE102011004770A1 (en) * 2011-02-25 2012-08-30 Siemens Aktiengesellschaft Operating and display device for operating a technical system and for displaying data of the technical system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011057145A (en) * 2009-09-11 2011-03-24 Mitsubishi Electric Corp Test device of signal security system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CENELEC-Norm EN50129
Computerübersetzung des JPO zu JP 2011 - 057 145 A

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3018650A1 (en) * 2014-11-07 2016-05-11 Siemens Aktiengesellschaft Control device for a production or machine tool and method for operating such an op control device
WO2016177518A1 (en) * 2015-05-05 2016-11-10 Siemens Aktiengesellschaft Method and device for displaying a course of a process of at least one railway safety unit, and railway safety system having such a device
US10814895B2 (en) 2015-05-05 2020-10-27 Siemens Mobility GmbH Method and device for displaying a course of a process of at least one railway safety unit, and railway safety system having such a device
EP3608024A4 (en) * 2017-10-24 2020-06-17 Crsc Research & Design Institute Group Co., Ltd. Turnout control state marking method and device, and computer storage medium
EP4169803A1 (en) * 2021-10-20 2023-04-26 ALSTOM Transport Technologies Generation system for generating an image signal, railway signaling system comprising such generation system, associated method and computer program product
WO2023066968A1 (en) * 2021-10-20 2023-04-27 Alstom Holdings Generation system for generating an image signal, railway signaling system comprising such generation system, associated method and computer program product

Also Published As

Publication number Publication date
CN104619573A (en) 2015-05-13
WO2014048696A2 (en) 2014-04-03
EP2879935A2 (en) 2015-06-10
WO2014048696A3 (en) 2015-01-22

Similar Documents

Publication Publication Date Title
DE102012217291A1 (en) Method for error disclosure in an interlocking computer system and interlocking computer system
EP2833349B1 (en) Method and device for representing a safety-relevant state
DE102012221714A1 (en) Method for fault disclosure in interlocking computer system with control channel, involves comparing pixel data of display with process data of process image of state information of reference system for display-protection
EP3074293B1 (en) Method for revealing errors in a signal-box computer system, and signal-box computer system
DE19703574A1 (en) Process for the safe display of an image on a monitor
WO2013164181A1 (en) Method for depicting safety-critical data via a display unit; display unit
EP3974284A1 (en) Method for representing augmented reality and devices for applying the method
EP1252571B1 (en) Method and device for controlling a visual display unit for a rail traffic control system
DE102013202814A1 (en) Method for error disclosure in a interlocking computer system and interlocking computer system
EP3283320B1 (en) Method and device for monitoring a display content
EP1739556A1 (en) Method of error detection in a control and/or supervision apparatus for a process
DE102014218191A1 (en) Method for operating a traffic control system
DE10004743C2 (en) Method and device for controlling a screen device for a railroad control system
EP3317856B1 (en) Method for checking the accuracy of a representation of image data on a display means and display device
EP2804798B1 (en) Method for operating, securing and/or monitoring rail-bound traffic and operation control system
DE102016202346A1 (en) Method and device for operating a track-bound vehicle in a pushing operation
DE102008012953A1 (en) Method for checking control and display system of rail vehicle, involves determining system information over system of rail vehicle or configuration information over configuration of rail vehicle with starting of rail vehicle
DE102015208273A1 (en) Method and device for displaying a process occurrence of at least one railway safety device and railway safety system with such a device
EP3793882B1 (en) Warning device for a rail vehicle, rail vehicle and system
EP4188771A1 (en) Displaying a graphical representation of information
DE102008038618A1 (en) Failure condition indicating method for track-bound vehicle, involves activating lights by output devices during reception of control signal in cab or activating failure indicator lamp during reception of control signal
EP1884436A1 (en) Method for displaying diagnosis data
DE102014214918A1 (en) Method and device for operating a railway safety system
EP3771613A1 (en) Method and device for controlling a rail system
DE102020006459A1 (en) Method for monitoring a sensor system in a vehicle and enabling autonomous driving operation for vehicles/routes

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final