-
Die Anmeldung betrifft ein Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen.
-
Eine derartige technische Anlage liegt beispielsweise beim Betrieb von Schienenverkehr vor. Der Verkehr auf der Schiene stellt eine Vielzahl an sicherheitsrelevanten Anforderungen, da es sich beim Schienenverkehr um einen Ablauf mit technisch vielseitigen Abhängigkeiten handelt, in dem Ausfälle einzelner Komponenten der Infrastruktur oder Fahrzeuge betriebliche Behinderungen und ggf. auch Gefährdungen bewirken können. Es ist daher zwingend erforderlich, die technischen infrastrukturellen Voraussetzungen des Schienenverkehrs permanent zu überwachen und Diagnosen zu unterziehen, die in einem engmaschigen System von Fehler-, Gefahren- und Bestätigungsmeldungen ausgewertet werden.
-
Aus der
EP 0 816 200 B1 ist ein Verfahren und eine Vorrichtung zum Detektieren von Eisenbahnaktivitäten bekannt, welches Schwingungen der Schienen mit verschiedenen eingespeicherten Schallmustern vergleicht und auf Grund dessen auswertet. Die detektierten Signale werden miteinander verglichen und wenn aufeinander folgende Signalintensitäten um einen vorbestimmten Betrag voneinander abweichen, wird ein Alarm erzeugt und es erfolgt eine Auswertung.
-
Eine andere Lösung ist durch das Zugsicherungssystem der
DE 202007006480 U1 offenbart welches mit wenigstens einem Sensor arbeitet, der die Schwingungen an den Schienen, Schwellen oder Verbindungsstellen detektiert und in elektrische oder optische Größen umwandelt, wobei mindestens eine Vergleicherschaltung die Signale in unterschiedliche Impulsstärken unterteilt und mindestens eine Kommunikationseinheit die Informationen über die Impulsstärken z. B an eine Auswertestelle weitergibt.
-
Diese Kontrolle und Überwachung einzelner systemrelevanter Aspekte im Schienenverkehr soll hierbei nahe Echtzeit erfolgen, wobei sowohl sicherheitsrelevante betriebliche Gefahrenmeldungen als auch die technischen Diagnosemeldungen von Bedeutung sind. Es soll an dieser Stelle grundsätzlich unterschieden werden zwischen Meldungen, die eine garantierte zeitnahe Verarbeitung erfordern, wie die genannten betrieblichen oder auch technischen Gefahrenmeldungen, und Meldungen wie bspw. Diagnosemeldungen, die keine garantierte Verarbeitung erfordern. Die Entscheidung, welche dieser Prioritäten einer Meldung zuzuordnen ist ergibt sich aus den aus der Meldung möglicherweise resultierenden Gefährdungen, worauf in Bezug auf den Schienenverkehr im Folgenden noch eingegangen wird.
-
Die Verarbeitung dieser beiden Meldungsarten erfordert oft aufwändige Auswertungs- und Kommunikationstechnik, um die Meldungen an die richtigen Entscheidungsstellen zu transportieren und hier so darzustellen, dass schnell angemessene Entscheidungen getroffen werden können.
-
Es wird in diesem Zusammenhang angestrebt, von einer Vielzahl heterogener Einzelsysteme hin zu einer Gesamtüberwachung der bspw. technischen Diagnosemeldungen und die betrieblichen Gefahrenmeldungen bspw. des Schienenverkehrs zu gelangen. Sowohl garantiert zu verarbeitende als auch solche Meldungen, bei deren Nichtverarbeitung ein geringeres oder kein Gefährdungspotential besteht, sollten daher idealerweise in Kombination verarbeitet werden können.
-
Hiergegen spricht in der Praxis die behördliche Kontrolle in Form von Zulassungsauflagen vor z. B. dem Eisenbahn-Bundesamt (EBA), die betriebliche Gefahrenmeldungssysteme betreffen, bei denen einige Systemfunktionen als sicherheitsrelevant eingestuft sind, wodurch eine zeitnahe Verarbeitung durch das Meldesystem zu garantieren ist. Dadurch wird am Beispiel des Schienenverkehrs in der Praxis eine klare Unterscheidung zwischen den betrieblichen Gefahrenmeldungssystemen als garantiert zu verarbeitende Meldung einerseits und z. B. den technischen Diagnosesystemen andererseits vorgenommen.
-
Es ist daher erforderlich, den Unterschied beider Elemente am Beispiel des Überwachungssystems des Schienenverkehrs zu erläutern. Unter betrieblichen Gefahrenmeldungen werden Meldungen in Bezug auf sicherheitsrelevante Aspekte verstanden, die die Sicherheit des Schienenverkehrs konkret betreffen bspw. das DBMAS (DB Meldeanlagensystem), wobei das Ziel dieser Meldungen betriebliche Stellen oder vielleicht zukünftig auch andere technische Systeme sind, die dann erforderliche betriebliche Maßnahmen ergreifen sollen. Diese betrieblichen wie auch technischen Gefahrenmeldungen werden im Folgenden auch als Meldungen bezeichnet, die garantiert zu verarbeiten sind.
-
Ein Beispiel hierfür ist die Temperaturmessung der Achsen an schienengebundenen Fahrzeugen beim Passieren bestimmter Gefahrenerfassungssysteme. Eine Heißläuferortungsanlage (HOA) als Gefahrenmeldeeinrichtung im Feld dient dazu, eine über einen Schwellenwert hinausgehende defektbedingte Erwärmung von Radsatzlagern bei Schienenfahrzeugen zu registrieren und anzuzeigen. Es kann hierdurch zu einem Achsbruch und folgerichtig einer Entgleisung des Waggons kommen. Des Weiteren kann durch eine Kombination aus Hitze und Funkenbildung ein Brand ausgelöst werden. Insofern muss das Meldesystem eine bezogene betriebliche kritische Meldung der Anlage „Zug mit heiß gelaufener Achse hat Checkpoint passiert” garantiert verarbeiten, damit die notwendige betriebliche Reaktion „Zug stellen” mit hoher Wahrscheinlichkeit zeitnah eingeleitet wird.
-
Im Gegensatz hierzu betreffen technische Diagnosemeldungen oft nicht sicherheitsrelevante Aspekte sondern dienen im Wesentlichen der Erhaltung der Anlagenverfügbarkeit und werden somit nicht als sicherheitskritisch bezeichnet. Im Schienenverkehr gibt es bei Nichtverfügbarkeit der Anlagen einen sicheren Zustand im Stand des Systems (im Gegensatz z. B. zum Flugzeug), der aber selbstverständlich mit betrieblichen Einschränkungen verbunden ist. Aus diesem Grund sind Diagnosesysteme im Schienenverkehr i. d. R. nicht sicherheitsrelevant. Das Ziel dieser nicht-sicherheitsrelevanten Diagnosemeldungen sind technische Stellen z. B. der Instandhaltung, die erforderliche Maßnahmen zur Sicherung der Anlagenverfügbarkeit ergreifen sollen. Daher muss in diesen Fällen eine zeitnahe Verarbeitung vom Meldesystem nicht garantiert werden.
-
Das Erfordernis der Zulassung von Meldesystemen mit garantierter Verarbeitung wie Gefahrenmeldungssystemen stellt allerdings ein Hindernis bei der Weiterentwicklung derartiger Systeme dar, da die kosten- und zeitintensiven Zulassungssysteme Änderungen an Gefahrenmeldungssystemen nicht ohne weiteres zulassen. In der Regel werden auch bei kleineren Änderungen erneute Zulassungen erforderlich, was die Innovation stark behindert.
-
Vor diesem Hintergrund ist die Aufgabe der vorliegenden Erfindung die Schaffung eines Meldesystems zur Verarbeitung von Meldungen in technischen Anlagen, bei dem eine zusätzliche Absicherung zumindest in Bezug auf garantiert zu verarbeitende Meldungen besteht. Auf diese Weise soll die Weiterentwicklung großer Teile des Systems unabhängig von den Entwicklungs- und Zulassungserfordernissen sicherheitsrelevanter Teilfunktionen für Meldungen, die garantiert zu verarbeiten sind, wie Gefahrenmeldungen, erfolgen können. Dabei sollen innerhalb des Systems auch solche Meldungen verarbeitet werden, die nicht garantiert zu verarbeiten sind, bspw. Diagnosemeldungen.
-
Erreicht wird dies nach der Erfindung durch ein Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen gemäß den Merkmalen des Anspruchs 1.
-
Die Unteransprüche haben vorteilhafte Ausgestaltungen des Meldesystems zur Verarbeitung von Meldungen in technischen Anlagen zum Gegenstand.
-
Der neue und erfinderische Ansatz liegt darin, ein Gesamtsystem umfassend ein Primärsystem und ein Sekundärsystem zu schaffen, dem in annähernder Echtzeit im Falle bspw. einer Gefahrenmeldung (Gfm) durch eine Gfm-Anlage zwei identische Meldungen zugeführt werden. Erfolgen nun Reaktionen aus dem Primärsystem kommt es zu einer Entlastung durch Rückmeldungen an das Sekundärsystem (z. B. als Acknowledge- oder Confirm), wodurch eine weitere Reaktion des Sekundärsystems bspw. in Form einer Gefahrenmeldung an eine als Rückfallebene dienende betriebliche Stelle ausbleibt. Erfolgen keine Rückmeldungen an das Sekundärsystem, so wird dieses selbst aktiv und setzt eine Gefahrenmeldung an die als Rückfallebene dienende betriebliche Stelle oder entsprechende technische Systeme ab.
-
Im Primärsystem erfolgen komplexere Prozesse unter Nutzung eines komplexen Systems zur Verteilung der Nachrichten bzw. Meldungen unter Einbeziehung technischer und betrieblicher Stellen. Kern der Erfindung ist es nun, dass das Primärsystem und seine bezogenen Prozesse änderbar sind ohne Neuzulassung. Das heißt, aufgrund der Rückkopplung bzw. Meldungsdoppelung über das statische und unveränderte Sekundärsystem ist jederzeit gewährleistet, dass sicherheitsrelevante, garantiert zu verarbeitende Meldungen wie Gefahrenmeldungen die betrieblichen Stellen zumindest in der Rückfallebene erreichen, weshalb Eingriffe ins Primärsystem ohne Neuzulassung möglich sind.
-
Folgende beispielhafte Prozesse erfolgen erfindungsgemäß im Primärsystem:
- – Die Herstellung einer Zuordnung zwischen Nutzern und Anlagen;
- – Eine Suche nach dem zuständigen Nutzer je nach Meldungs- und Anlagentyp zur Laufzeit;
- – Die Anzeige der Nachrichten beim zuständigen Nutzer;
- – Nutzer reagiert z. B. ggf. mit ACKNOWLEDGE (gesehen) und CONFIRM (habe etwas in der Sache unternommen);
- – dann Info an Sekundärsystem zur Entlastung
-
Das Sekundärsystem weist als zentrale Komponente einen WDC (Watchdog Counter) für Gefahrenmeldungen auf, der durch das Primärsystem entlastet werden muss, wenn das Sekundärsystem keine Meldung an eine betriebliche Aufsichtsstelle abgeben soll. Erfolgt diese Nutzerreaktion auf eine Meldung nicht, wird das Sekundärsystem aktiv, um sicherzustellen, dass sicherheitsrelevante Meldungen in jedem Fall verarbeitet werden und zu einer Reaktion führen, also demnach garantiert verarbeitet werden.
-
Das Sekundärsystem wird ganz bewusst als einfaches System gestaltet, wodurch auch das hierfür erforderliche Zulassungsverfahren geringeren Aufwand erfordert. Die Kernidee der Erfindung ist, dass nur dieses Sekundärsystem im Sinne der Absicherung von Meldungen, die garantiert zu verarbeiten sind, bspw. eines Gefahrenmeldungssystems, aus behördlicher Sicht nicht durch den Betreiber änderbar ist, ohne dass nicht auch eine Überprüfung und Neuzulassung durch die Aufsichtsbehörde erfolgen müsste.
-
Daher ist die Konstruktion des erfindungsgemäßen Meldesystems zur Verarbeitung von Meldungen in technischen Anlagen so angelegt, dass Änderungen am Sekundärsystem in der Regel nicht erforderlich sind, auch wenn im Primärsystem Anpassungen vorgenommen werden.
-
Folgende beispielhafte Prozesse erfolgen erfindungsgemäß im Sekundärsystem:
- – Prüfung, ob der Watchdog für Gefahrenmeldungen durch das Primärsystem deaktiviert wurde oder nicht
- – ALLE nicht deaktivierten Gefahrenmeldungen werden nach einem einfachen nicht dynamischen Kriterium zur Reaktion weitergegeben
-
Die bspw. Gefahrenmeldungen generiert durch eine Gfm-Anlage erhalten beide Systeme hierbei zeitlich parallel, wobei Acknowledge- und/oder Confirm-Rückmeldungen zu einer bestimmten Gefahrenmeldung bei entsprechender Reaktion eines Nutzers aus dem Primärsystem vom Primärsystem an das Sekundärsystem gemeldet werden. Die Dauer, auf die der Watchdog im Sekundärsystem eingestellt wird, wird je nach Art der Gefahrenmeldung einstellbar sein, da die Erfordernisse des zeitnahen Handelns betrieblicher Stellen oder Systeme je nach Art der Gefahrenmeldung stark variieren können.
-
Im Folgenden wird der schematische Aufbau des Systems zur Meldungsverarbeitung umfassend Meldungen mit garantierter Verarbeitung (z. B. betriebliche Gefahrenmeldungen) und Meldungen ohne das Erfordernis der garantierten Verarbeitung (z. B. nicht-sicherheitsrelevante, technische Diagnosemeldungen) anhand einer Darstellung näher erläutert.
-
Die Figur zeigt im oberen Abschnitt das Primärsystem für den Regelbetrieb (1). Diesem Primärsystem (1) werden hierbei zum einen Meldungen zugeführt, die von Gefahrenmeldungsanlagen (3) generiert werden und daher garantiert zu verarbeiten sind. Darüber hinaus werden auch weitere, anlagerelevante Daten, beispielsweise Diagnosemeldungen, in diesen Bereich eingespeist.
-
Der eigentliche Aufbau des Primärsystems für den Regelbetrieb (1) ist eher komplex gestaltet, wobei am Ende des Prozesses Verarbeitungsmeldungen stehen, die durch entsprechende betriebliche oder technische Nutzer oder auch weiterverarbeitende Systeme erfolgt sind.
-
Dies Primärsystem steht nun wiederum in direktem Kontakt zum darunter liegenden Sekundärsystem (2). Hier ist vorgesehen, dass dem Sekundärsystem zumindest Meldungen der Gefahrenmeldungsanlagen (3) auch zugehen, da dieses Sekundärsystem (2) die Überwachung von garantiert zu verarbeitenden Meldungen wie Gefahrenmeldungen zur Absicherung des Primärsystems (1) vorsieht.
-
Wie schematisch dargestellt erfolgt von einer Gefahrenmeldungsanlage (3) die Abgabe einer Gefahrenmeldung parallel sowohl an das oben dargestellte Primärsystem (1) als auch an das darunter liegende Sekundärsystem (2).
-
Im Sekundärsystem (2) wird diese Meldung nun einem Watchdog (4) zugeführt und verbleibt hier in einer Wartepositionen, wobei die Dauer der hier vorgesehenen Warteperiode von der Art der generierten Gefahrenmeldung abhängig sein kann. Erfolgt vom oberen Primärsystem für den Regelbetrieb (1) eine Rückmeldung z. B. in Form eines Acknowledge und/oder Confirm, führt die Meldung darüber im Sekundärsystem (2) zur Deaktivierung des Watchdogs (4) für eben diese Meldung sowie zu einer Rücknahme der Meldung in der Quelle der Gefahrenmeldung (3) selbst.
-
Entscheidend ist, dass eine Gefahrenmeldungsanzeige an betriebliche Stellen durch das Sekundärsystem (2) nur dann erfolgt, wenn eine Verarbeitungsmeldung entsprechend z. B. einer Acknowledge- und/oder Confirm-Meldung durch das Primärsystem (1) nicht innerhalb einer definierten Zeitspanne an das Sekundärsystem übertragen worden ist.
-
Bezugszeichenliste
-
- 1
- Primärsystem für Regelbetrieb
- 2
- Sekundärsystem
- 3
- Gfm-Anlange
- 4
- Watchdog
- 5
- Rückfallebene
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- EP 0816200 B1 [0003]
- DE 202007006480 U1 [0004]