DE102015115074B4 - Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen - Google Patents

Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen Download PDF

Info

Publication number
DE102015115074B4
DE102015115074B4 DE102015115074.3A DE102015115074A DE102015115074B4 DE 102015115074 B4 DE102015115074 B4 DE 102015115074B4 DE 102015115074 A DE102015115074 A DE 102015115074A DE 102015115074 B4 DE102015115074 B4 DE 102015115074B4
Authority
DE
Germany
Prior art keywords
hazard
report
processing
secondary system
hazard report
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102015115074.3A
Other languages
English (en)
Other versions
DE102015115074A1 (de
Inventor
Karl Albrecht Klinge
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infraview GmbH
Original Assignee
Infraview GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infraview GmbH filed Critical Infraview GmbH
Priority to DE102015115074.3A priority Critical patent/DE102015115074B4/de
Publication of DE102015115074A1 publication Critical patent/DE102015115074A1/de
Application granted granted Critical
Publication of DE102015115074B4 publication Critical patent/DE102015115074B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L23/00Control, warning or like safety means along the route or between vehicles or trains
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L23/00Control, warning or like safety means along the route or between vehicles or trains
    • B61L23/06Control, warning or like safety means along the route or between vehicles or trains for warning men working on the route
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/50Trackside diagnosis or maintenance, e.g. software upgrades
    • B61L27/57Trackside diagnosis or maintenance, e.g. software upgrades for vehicles or trains, e.g. trackside supervision of train conditions

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen,- mit mindestens zwei parallel arbeitenden Meldungsverarbeitungssystemen,- einem ersten Meldungsverarbeitungssystem als Primärsystem (1) für den Regelbetrieb und einem zweiten Meldungsverarbeitungssystem als Sekundärsystem (2), welches in direktem Kontakt mit dem Primärsystem (1) steht,- wobei das Sekundärsystem (2) einen Watchdog (4) umfasst, bei dem- eine Gefahrenmeldung einer Gefahrenmeldeanlage, die eine garantierte Verarbeitung erfordert, ein eindeutiges Kennzeichen zugeordnet wird und diese Gefahrenmeldung parallel dem Primärsystem (1) und dem Sekundärsystem (2) des Meldesystems zugeführt wird,- im Sekundärsystem (2) diese Gefahrenmeldung dem Watchdog (4) zugeführt wird und dort in einer Warteposition verbleibt, wobei die Dauer der hier vorgesehenen Warteperiode von der Art der Gefahrenmeldung abhängig sein kann,- das mindestens eine Primärsystem (1) des Meldesystems bei Vorliegen von definierten, zur Gefahrenmeldung zugeordneten Verarbeitungszuständen eine Reaktions-Nachricht unter Beibehaltung des eindeutigen Kennzeichens der jeweiligen Gefahrenmeldung an mindestens ein zweites Sekundärsystem (2) des Meldesystems überträgt,- im Falle eines zeitlich definierten Ausbleibens der Reaktions-Nachricht des Primärsystems (1) zu den zur Gefahrenmeldung zugeordneten definierten Verarbeitungszuständen das Sekundärsystem (2) eine Reaktion in Form einer weiteren Gefahrenmeldung an eine als Rückfall-Ebene (5) dienende betriebliche Stelle oder technisches System auslöst,- die Deaktivierung des Watchdogs (4) des Sekundärsystems (2) für eine garantiert zu verarbeitende Gefahrenmeldung und die Rücknahme der Gefahrenmeldung in der Gefahrenmeldeanlage (3) nur durch das Sekundärsystem (2) erfolgt, und zwar bei einer rechtzeitig erhaltenen Reaktions-Nachricht des Primärsystems (1) zu den definierten Verarbeitungszuständen der Gefahrenmeldung oder bei erfolgter Reaktion durch das oder die Sekundärsysteme (2) bei nicht oder nicht rechtzeitigem Erhalt der Reaktions-Nachricht des Primärsystems (1) über Verarbeitungszustände der Gefahrenmeldung an das Sekundärsystem (2).

Description

  • Die Anmeldung betrifft ein Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen.
  • Eine derartige technische Anlage liegt beispielsweise beim Betrieb von Schienenverkehr vor. Der Verkehr auf der Schiene stellt eine Vielzahl an sicherheitsrelevanten Anforderungen, da es sich beim Schienenverkehr um einen Ablauf mit technisch vielseitigen Abhängigkeiten handelt, in dem Ausfälle einzelner Komponenten der Infrastruktur oder Fahrzeuge betriebliche Behinderungen und ggf. auch Gefährdungen bewirken können. Es ist daher zwingend erforderlich, die technischen infrastrukturellen Voraussetzungen des Schienenverkehrs permanent zu überwachen und Diagnosen zu unterziehen, die in einem engmaschigen System von Fehler-, Gefahren- und Bestätigungsmeldungen ausgewertet werden.
  • Aus der EP 0 816 200 B1 ist ein Verfahren und eine Vorrichtung zum Detektieren von Eisenbahnaktivitäten bekannt, welches Schwingungen der Schienen mit verschiedenen eingespeicherten Schallmustern vergleicht und auf Grund dessen auswertet. Die detektierten Signale werden miteinander verglichen und wenn aufeinander folgende Signalintensitäten um einen vorbestimmten Betrag voneinander abweichen, wird ein Alarm erzeugt und es erfolgt eine Auswertung.
  • Eine andere Lösung ist durch das Zugsicherungssystem der DE 202007006480 U1 offenbart welches mit wenigstens einem Sensor arbeitet, der die Schwingungen an den Schienen, Schwellen oder Verbindungsstellen detektiert und in elektrische oder optische Größen umwandelt, wobei mindestens eine Vergleicherschaltung die Signale in unterschiedliche Impulsstärken unterteilt und mindestens eine Kommunikationseinheit die Informationen über die Impulsstärken z.B an eine Auswertestelle weitergibt.
  • Diese Kontrolle und Überwachung einzelner systemrelevanter Aspekte im Schienenverkehr soll hierbei nahe Echtzeit erfolgen, wobei sowohl sicherheitsrelevante betriebliche Gefahrenmeldungen als auch die technischen Diagnosemeldungen von Bedeutung sind. Es soll an dieser Stelle grundsätzlich unterschieden werden zwischen Meldungen, die eine garantierte zeitnahe Verarbeitung erfordern, wie die genannten betrieblichen oder auch technischen Gefahrenmeldungen, und Meldungen wie bspw. Diagnosemeldungen, die keine garantierte Verarbeitung erfordern. Die Entscheidung, welche dieser Prioritäten einer Meldung zuzuordnen ist ergibt sich aus den aus der Meldung möglicherweise resultierenden Gefährdungen, worauf in Bezug auf den Schienenverkehr im Folgenden noch eingegangen wird.
  • Die Verarbeitung dieser beiden Meldungsarten erfordert oft aufwändige Auswertungs- und Kommunikationstechnik, um die Meldungen an die richtigen Entscheidungsstellen zu transportieren und hier so darzustellen, dass schnell angemessene Entscheidungen getroffen werden können.
  • Es wird in diesem Zusammenhang angestrebt, von einer Vielzahl heterogener Einzelsysteme hin zu einer Gesamtüberwachung der bspw. technischen Diagnosemeldungen und die betrieblichen Gefahrenmeldungen bspw. des Schienenverkehrs zu gelangen. Sowohl garantiert zu verarbeitende als auch solche Meldungen, bei deren Nichtverarbeitung ein geringeres oder kein Gefährdungspotential besteht, sollten daher idealerweise in Kombination verarbeitet werden können.
  • Hiergegen spricht in der Praxis die behördliche Kontrolle in Form von Zulassungsauflagen vor z.B. dem Eisenbahn-Bundesamt (EBA), die betriebliche Gefahrenmeldungssysteme betreffen, bei denen einige Systemfunktionen als sicherheitsrelevant eingestuft sind, wodurch eine zeitnahe Verarbeitung durch das Meldesystem zu garantieren ist. Dadurch wird am Beispiel des Schienenverkehrs in der Praxis eine klare Unterscheidung zwischen den betrieblichen Gefahrenmeldungssystemen als garantiert zu verarbeitende Meldung einerseits und z.B. den technischen Diagnosesystemen andererseits vorgenommen.
  • Es ist daher erforderlich, den Unterschied beider Elemente am Beispiel des Überwachungssystems des Schienenverkehrs zu erläutern. Unter betrieblichen Gefahrenmeldungen werden Meldungen in Bezug auf sicherheitsrelevante Aspekte verstanden, die die Sicherheit des Schienenverkehrs konkret betreffen bspw. das DBMAS (DB Meldeanlagensystem), wobei das Ziel dieser Meldungen betriebliche Stellen oder vielleicht zukünftig auch andere technische Systeme sind, die dann erforderliche betriebliche Maßnahmen ergreifen sollen. Diese betrieblichen wie auch technischen Gefahrenmeldungen werden im Folgenden auch als Meldungen bezeichnet, die garantiert zu verarbeiten sind.
  • Ein Beispiel hierfür ist die Temperaturmessung der Achsen an schienengebundenen Fahrzeugen beim Passieren bestimmter Gefahrenerfassungssysteme. Eine Heißläuferortungsanlage (HOA) als Gefahrenmeldeeinrichtung im Feld dient dazu, eine über einen Schwellenwert hinausgehende defektbedingte Erwärmung von Radsatzlagern bei Schienenfahrzeugen zu registrieren und anzuzeigen. Es kann hierdurch zu einem Achsbruch und folgerichtig einer Entgleisung des Waggons kommen. Des Weiteren kann durch eine Kombination aus Hitze und Funkenbildung ein Brand ausgelöst werden. Insofern muss das Meldesystem eine bezogene betriebliche kritische Meldung der Anlage „Zug mit heiß gelaufener Achse hat Checkpoint passiert“ garantiert verarbeiten, damit die notwendige betriebliche Reaktion „Zug stellen“ mit hoher Wahrscheinlichkeit zeitnah eingeleitet wird.
  • Im Gegensatz hierzu betreffen technische Diagnosemeldungen oft nicht sicherheitsrelevante Aspekte sondern dienen im Wesentlichen der Erhaltung der Anlagenverfügbarkeit und werden somit nicht als sicherheitskritisch bezeichnet. Im Schienenverkehr gibt es bei Nichtverfügbarkeit der Anlagen einen sicheren Zustand im Stand des Systems (im Gegensatz z.B. zum Flugzeug), der aber selbstverständlich mit betrieblichen Einschränkungen verbunden ist. Aus diesem Grund sind Diagnosesysteme im Schienenverkehr i.d.R. nicht sicherheitsrelevant. Das Ziel dieser nicht-sicherheitsrelevanten Diagnosemeldungen sind technische Stellen z.B. der Instandhaltung, die erforderliche Maßnahmen zur Sicherung der Anlagenverfügbarkeit ergreifen sollen. Daher muss in diesen Fällen eine zeitnahe Verarbeitung vom Meldesystem nicht garantiert werden.
  • Das Erfordernis der Zulassung von Meldesystemen mit garantierter Verarbeitung wie Gefahrenmeldungssystemen stellt allerdings ein Hindernis bei der Weiterentwicklung derartiger Systeme dar, da die kosten- und zeitintensiven Zulassungssysteme Änderungen an Gefahrenmeldungssystemen nicht ohne weiteres zulassen. In der Regel werden auch bei kleineren Änderungen erneute Zulassungen erforderlich, was die Innovation stark behindert.
  • Die Veröffentlichung DE 100 53 023 C1 zeigt ein Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und sieht hierfür die Unterteilung der hierfür erforderlichen Programme in eine Systemsoftware auf signaltechnisch sicheren Rechnern und in eine bahnverwaltungsspezifische Software vor, die auf kommerziellen Rechnern ablaufen kann. Über die Systemsoftware werden Meldungen erfasst und an kommerzielle Rechner übermittelt, in denen die eigentliche Prozesssteuerung abläuft, wobei die Überprüfung, ob diese kommerziellen Rechner jeweils zum gleichen Ergebnis gelangt sind, in signaltechnisch sicheren Rechnern erfolgt. Haben die kommerziellen Rechner das jeweilige Verarbeitungsergebnis mindestens zweimal übereinstimmen zur Verfügung gestellt, erfolgt die Ausgabe an den zu steuernden Prozess, andernfalls wird die Verbindung zu den Prozesselementen signaltechnisch aufgetrennt. Es soll hierbei für den signaltechnisch sicheren Rechner immer die gleiche Systemsoftware verwendet werden und die bahnverwaltungsspezifische Software ohne Verknüpfung mit dieser Systemsoftware getrennt von dieser entwickelt und geprüft werden können.
  • Auch aus der Offenlegungsschrift DE 10 2006 037 153 A1 ist ein für den Bahnbetrieb vorgesehenes Verfahren bekannt, dass eine Entlastung eines sicheren Rechners durch Diagnose-Software vorsieht, die auf nicht sicheren Rechnern mit Schnittstelle zu den sicheren Rechnern abläuft. So soll der sichere Rechner, der in seiner Leistung beschränkt ist durch stets in softwarebedingten Sicherungsabläufen gebundene Rechnerleistung, entlastet werden. Hierfür sollen Sensordaten, die dem sicheren Rechner zugeführt werden und nichtsichere Zwecke betreffen, über eine bestehende Schnittstelle durch Applikationen auf dem nicht sicheren Rechner bearbeitet werden und so den sicheren Rechner entlasten.
  • Schließlich offenbart die Veröffentlichung DE 4 4 44 688 A1 ein Verfahren zur Nachrichtenübertragung von einer Informationsquelle an mehrere Empfänger in einem verteilten System nach dem Erzeuger/Verbraucher-Prinzip. Um eine auch im Störungsfall verlässliche Nachrichtenübertragung zu erreichen, wird nach dem Master/Slave-Prinzip bei Ausfall der eigentlich aktiven Quelle eine Umschaltung auf eine redundante Quelle veranlasst, wobei Master und Slave dieser redundant ausgeführten Informationsquelle sich gegenseitig synchronisieren bezüglich der Nachrichtenreihenfolge. So wird eine Nachrichtenübertragung einer identischen Nachricht mit identischer Kennung an einen Empfänger sichergestellt.
  • Vor diesem Hintergrund ist die Aufgabe der vorliegenden Erfindung die Schaffung eines Meldesystems zur Verarbeitung von Meldungen in technischen Anlagen, bei dem eine zusätzliche Absicherung zumindest in Bezug auf garantiert zu verarbeitende Meldungen besteht. Auf diese Weise soll die Weiterentwicklung großer Teile des Systems unabhängig von den Entwicklungs- und Zulassungserfordernissen sicherheitsrelevanter Teilfunktionen für Meldungen, die garantiert zu verarbeiten sind, wie Gefahrenmeldungen, erfolgen können. Dabei sollen innerhalb des Systems auch solche Meldungen verarbeitet werden, die nicht garantiert zu verarbeiten sind, bspw. Diagnosemeldungen.
  • Erreicht wird dies nach der Erfindung durch ein Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen gemäß den Merkmalen des Anspruchs 1.
  • Der neue und erfinderische Ansatz liegt darin, ein Gesamtsystem umfassend ein Primärsystem und ein Sekundärsystem zu schaffen, dem in annähernder Echtzeit im Falle bspw. einer Gefahrenmeldung (Gfm) durch eine Gfm-Anlage zwei identische Meldungen zugeführt werden. Erfolgen nun Reaktionen aus dem Primärsystem kommt es zu einer Entlastung durch Rückmeldungen an das Sekundärsystem (z.B. als Acknowledge- oder Confirm), wodurch eine weitere Reaktion des Sekundärsystems bspw. in Form einer Gefahrenmeldung an eine als Rückfallebene dienende betriebliche Stelle ausbleibt. Erfolgen keine Rückmeldungen an das Sekundärsystem, so wird dieses selbst aktiv und setzt eine Gefahrenmeldung an die als Rückfallebene dienende betriebliche Stelle oder entsprechende technische Systeme ab.
  • Im Primärsystem erfolgen komplexere Prozesse unter Nutzung eines komplexen Systems zur Verteilung der Nachrichten bzw. Meldungen unter Einbeziehung technischer und betrieblicher Stellen. Kern der Erfindung ist es nun, dass das Primärsystem und seine bezogenen Prozesse änderbar sind ohne Neuzulassung. Das heißt, aufgrund der Rückkopplung bzw. Meldungsdoppelung über das statische und unveränderte Sekundärsystem ist jederzeit gewährleistet, dass sicherheitsrelevante, garantiert zu verarbeitende Meldungen wie Gefahrenmeldungen die betrieblichen Stellen zumindest in der Rückfallebene erreichen, weshalb Eingriffe ins Primärsystem ohne Neuzulassung möglich sind.
  • Folgende beispielhafte Prozesse erfolgen erfindungsgemäß im Primärsystem:
    • - Die Herstellung einer Zuordnung zwischen Nutzern und Anlagen;
    • - Eine Suche nach dem zuständigen Nutzer je nach Meldungs- und Anlagentyp zur Laufzeit;
    • - Die Anzeige der Nachrichten beim zuständigen Nutzer;
    • - Nutzer reagiert z.B. ggf. mit ACKNOWLEDGE (gesehen) und CONFIRM (habe etwas in der Sache unternommen);
    • - dann Info an Sekundärsystem zur Entlastung
  • Das Sekundärsystem weist als zentrale Komponente einen WDC (Watchdog Counter) für Gefahrenmeldungen auf, der durch das Primärsystem entlastet werden muss, wenn das Sekundärsystem keine Meldung an eine betriebliche Aufsichtsstelle abgeben soll. Erfolgt diese Nutzerreaktion auf eine Meldung nicht, wird das Sekundärsystem aktiv, um sicherzustellen, dass sicherheitsrelevante Meldungen in jedem Fall verarbeitet werden und zu einer Reaktion führen, also demnach garantiert verarbeitet werden.
  • Das Sekundärsystem wird ganz bewusst als einfaches System gestaltet, wodurch auch das hierfür erforderliche Zulassungsverfahren geringeren Aufwand erfordert. Die Kernidee der Erfindung ist, dass nur dieses Sekundärsystem im Sinne der Absicherung von Meldungen, die garantiert zu verarbeiten sind, bspw. eines Gefahrenmeldungssystems, aus behördlicher Sicht nicht durch den Betreiber änderbar ist, ohne dass nicht auch eine Überprüfung und Neuzulassung durch die Aufsichtsbehörde erfolgen müsste.
  • Daher ist die Konstruktion des erfindungsgemäßen Meldesystems zur Verarbeitung von Meldungen in technischen Anlagen so angelegt, dass Änderungen am Sekundärsystem in der Regel nicht erforderlich sind, auch wenn im Primärsystem Anpassungen vorgenommen werden.
  • Folgende beispielhafte Prozesse erfolgen erfindungsgemäß im Sekundärsystem:
    • - Prüfung, ob der Watchdog für Gefahrenmeldungen durch das Primärsystem deaktiviert wurde oder nicht
    • - ALLE nicht deaktivierten Gefahrenmeldungen werden nach einem einfachen nicht dynamischen Kriterium zur Reaktion weitergegeben
  • Die bspw. Gefahrenmeldungen generiert durch eine Gfm-Anlage erhalten beide Systeme hierbei zeitlich parallel, wobei Acknowledge- und/oder Confirm-Rückmeldungen zu einer bestimmten Gefahrenmeldung bei entsprechender Reaktion eines Nutzers aus dem Primärsystem vom Primärsystem an das Sekundärsystem gemeldet werden. Die Dauer, auf die der Watchdog im Sekundärsystem eingestellt wird, wird je nach Art der Gefahrenmeldung einstellbar sein, da die Erfordernisse des zeitnahen Handelns betrieblicher Stellen oder Systeme je nach Art der Gefahrenmeldung stark variieren können.
  • Im Folgenden wird der schematische Aufbau des Systems zur Meldungsverarbeitung umfassend Meldungen mit garantierter Verarbeitung (z.B. betriebliche Gefahrenmeldungen) und Meldungen ohne das Erfordernis der garantierten Verarbeitung (z.B. nicht-sicherheitsrelevante, technische Diagnosemeldungen) anhand einer Darstellung näher erläutert.
  • Die Figur zeigt im oberen Abschnitt das Primärsystem für den Regelbetrieb (1). Diesem Primärsystem (1) werden hierbei zum einen Meldungen zugeführt, die von Gefahrenmeldungsanlagen (3) generiert werden und daher garantiert zu verarbeiten sind. Darüber hinaus werden auch weitere, anlagerelevante Daten, beispielsweise Diagnosemeldungen, in diesen Bereich eingespeist.
  • Der eigentliche Aufbau des Primärsystems für den Regelbetrieb (1) ist eher komplex gestaltet, wobei am Ende des Prozesses Verarbeitungsmeldungen stehen, die durch entsprechende betriebliche oder technische Nutzer oder auch weiterverarbeitende Systeme erfolgt sind.
  • Dies Primärsystem steht nun wiederum in direktem Kontakt zum darunter liegenden Sekundärsystem (2). Hier ist vorgesehen, dass dem Sekundärsystem zumindest Meldungen der Gefahrenmeldungsanlagen (3) auch zugehen, da dieses Sekundärsystem (2) die Überwachung von garantiert zu verarbeitenden Meldungen wie Gefahrenmeldungen zur Absicherung des Primärsystems (1) vorsieht.
  • Wie schematisch dargestellt erfolgt von einer Gefahrenmeldungsanlage (3) die Abgabe einer Gefahrenmeldung parallel sowohl an das oben dargestellte Primärsystem (1) als auch an das darunter liegende Sekundärsystem (2).
  • Im Sekundärsystem (2) wird diese Meldung nun einem Watchdog (4) zugeführt und verbleibt hier in einer Wartepositionen, wobei die Dauer der hier vorgesehenen Warteperiode von der Art der generierten Gefahrenmeldung abhängig sein kann. Erfolgt vom oberen Primärsystem für den Regelbetrieb (1) eine Rückmeldung z.B. in Form eines Acknowledge und/oder Confirm, führt die Meldung darüber im Sekundärsystem (2) zur Deaktivierung des Watchdogs (4) für eben diese Meldung sowie zu einer Rücknahme der Meldung in der Quelle der Gefahrenmeldung (3) selbst.
  • Entscheidend ist, dass eine Gefahrenmeldungsanzeige an betriebliche Stellen durch das Sekundärsystem (2) nur dann erfolgt, wenn eine Verarbeitungsmeldung entsprechend z.B. einer Acknowledge- und/oder Confirm-Meldung durch das Primärsystem (1) nicht innerhalb einer definierten Zeitspanne an das Sekundärsystem übertragen worden ist.
  • Bezugszeichenliste
    • 1
    Primärsystem für Regelbetrieb
    2
    Sekundärsystem
    3
    Gfm-Anlange
    4
    Watchdog
    5
    Rückfallebene

Claims (1)

  1. Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen, - mit mindestens zwei parallel arbeitenden Meldungsverarbeitungssystemen, - einem ersten Meldungsverarbeitungssystem als Primärsystem (1) für den Regelbetrieb und einem zweiten Meldungsverarbeitungssystem als Sekundärsystem (2), welches in direktem Kontakt mit dem Primärsystem (1) steht, - wobei das Sekundärsystem (2) einen Watchdog (4) umfasst, bei dem - eine Gefahrenmeldung einer Gefahrenmeldeanlage, die eine garantierte Verarbeitung erfordert, ein eindeutiges Kennzeichen zugeordnet wird und diese Gefahrenmeldung parallel dem Primärsystem (1) und dem Sekundärsystem (2) des Meldesystems zugeführt wird, - im Sekundärsystem (2) diese Gefahrenmeldung dem Watchdog (4) zugeführt wird und dort in einer Warteposition verbleibt, wobei die Dauer der hier vorgesehenen Warteperiode von der Art der Gefahrenmeldung abhängig sein kann, - das mindestens eine Primärsystem (1) des Meldesystems bei Vorliegen von definierten, zur Gefahrenmeldung zugeordneten Verarbeitungszuständen eine Reaktions-Nachricht unter Beibehaltung des eindeutigen Kennzeichens der jeweiligen Gefahrenmeldung an mindestens ein zweites Sekundärsystem (2) des Meldesystems überträgt, - im Falle eines zeitlich definierten Ausbleibens der Reaktions-Nachricht des Primärsystems (1) zu den zur Gefahrenmeldung zugeordneten definierten Verarbeitungszuständen das Sekundärsystem (2) eine Reaktion in Form einer weiteren Gefahrenmeldung an eine als Rückfall-Ebene (5) dienende betriebliche Stelle oder technisches System auslöst, - die Deaktivierung des Watchdogs (4) des Sekundärsystems (2) für eine garantiert zu verarbeitende Gefahrenmeldung und die Rücknahme der Gefahrenmeldung in der Gefahrenmeldeanlage (3) nur durch das Sekundärsystem (2) erfolgt, und zwar bei einer rechtzeitig erhaltenen Reaktions-Nachricht des Primärsystems (1) zu den definierten Verarbeitungszuständen der Gefahrenmeldung oder bei erfolgter Reaktion durch das oder die Sekundärsysteme (2) bei nicht oder nicht rechtzeitigem Erhalt der Reaktions-Nachricht des Primärsystems (1) über Verarbeitungszustände der Gefahrenmeldung an das Sekundärsystem (2).
DE102015115074.3A 2015-09-08 2015-09-08 Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen Active DE102015115074B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015115074.3A DE102015115074B4 (de) 2015-09-08 2015-09-08 Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015115074.3A DE102015115074B4 (de) 2015-09-08 2015-09-08 Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen

Publications (2)

Publication Number Publication Date
DE102015115074A1 DE102015115074A1 (de) 2017-03-09
DE102015115074B4 true DE102015115074B4 (de) 2024-05-16

Family

ID=58054803

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015115074.3A Active DE102015115074B4 (de) 2015-09-08 2015-09-08 Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen

Country Status (1)

Country Link
DE (1) DE102015115074B4 (de)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03292257A (ja) 1990-04-06 1991-12-24 Kyosan Electric Mfg Co Ltd 並列多重電子連動装置
DE4444688A1 (de) 1994-12-15 1996-06-20 Abb Patent Gmbh Verfahren zur hochzuverlässigen und konsistenten Nachrichtenübertragung
EP0816200B1 (de) 1996-06-26 2002-02-20 AT&T Corp. Verfahren und Vorrichtung zum Detektieren von Eisenbahnaktivität
DE10053023C1 (de) 2000-10-13 2002-09-05 Siemens Ag Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE202007006480U1 (de) 2007-05-07 2007-07-12 Spies, Johannes Zugsicherungssystem
DE102006037153A1 (de) 2006-08-02 2008-02-07 Siemens Ag Verfahren zur Steuerung und Überwachung eines sich entlang einer Fahrstrecke bewegenden Fahrzeugs, insbesondere zur signaltechnisch sicheren Zugbeeinflussung

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03292257A (ja) 1990-04-06 1991-12-24 Kyosan Electric Mfg Co Ltd 並列多重電子連動装置
DE4444688A1 (de) 1994-12-15 1996-06-20 Abb Patent Gmbh Verfahren zur hochzuverlässigen und konsistenten Nachrichtenübertragung
EP0816200B1 (de) 1996-06-26 2002-02-20 AT&T Corp. Verfahren und Vorrichtung zum Detektieren von Eisenbahnaktivität
DE10053023C1 (de) 2000-10-13 2002-09-05 Siemens Ag Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE102006037153A1 (de) 2006-08-02 2008-02-07 Siemens Ag Verfahren zur Steuerung und Überwachung eines sich entlang einer Fahrstrecke bewegenden Fahrzeugs, insbesondere zur signaltechnisch sicheren Zugbeeinflussung
DE202007006480U1 (de) 2007-05-07 2007-07-12 Spies, Johannes Zugsicherungssystem

Also Published As

Publication number Publication date
DE102015115074A1 (de) 2017-03-09

Similar Documents

Publication Publication Date Title
EP1855162B1 (de) Serviceplattform zur Wartung von Maschinen
DE3522418C2 (de)
WO2016096599A1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
EP2874857B1 (de) Betrieb eines schienenfahrzeugs mittels etcs-einrichtung, schienenfahrzeug und vorrichtung
EP2167413A1 (de) Überwachungsverfahren einer aufzugsanlage
DE2701925C3 (de) Fahrzeugsteuerung mit zwei Bordrechnern
DE102012202046A1 (de) System zur Steuerung, Sicherung und/oder Überwachung von Fahrwegen spurgebundener Fahrzeuge sowie Verfahren zum Betreiben eines solchen Systems
DE202010008137U1 (de) Sensorsystem zur Anlagenüberwachung
EP3313709B1 (de) System und verfahren zum versorgen von dezentralen funktionseinheiten mit elektrischer energie
WO2006125595A1 (de) Verfahren und vorrichtung zur vermeidung von ungewollten beeinflussungen von doppelsensoren
EP2819907B1 (de) Verfahren zur hilfsbedienung eines fahrwegelements sowie betriebsleittechnisches system
EP3448735B1 (de) Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems
DE102015115074B4 (de) Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen
EP3612429B1 (de) Verfahren zum betreiben einer gleisanlage sowie stellwerk für eine gleisanlage
EP2021203B1 (de) Anordnung mit einer vielzahl an elektrischen schaltern, insbesondere für eine magnetschwebebahnstrecke
EP3565751B1 (de) Umschaltung zwischen element-controllern im bahnbetrieb
EP3835170B1 (de) Rottenwarnsystem mit einer vielzahl von endgeräten für die mitglieder der rotte und verfahren zu dessen betrieb
DE102009037369A1 (de) Verfahren zum Kalibrieren eines Radsensors einer Gleisfreimeldeanlage, Radsensor sowie Gleisfreimeldeanlage
DE102018209868A1 (de) Verfahren und Vorrichtung zur gegenseitigen Überwachung und/oder Kontrolle autonomer technischer Systeme
EP2743870B1 (de) Vorrausschauende Servicebenachrichtigung
WO2003047937A1 (de) Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens
EP1791094A1 (de) Vorrichtung zum automatischen Warten einer technischen Anlage
DE102019208669B3 (de) Sensoranordnung zum Überwachen eines technischen Systems und Verfahren zum Betreiben einer Sensoranordnung
EP3084745B1 (de) Steuerungssystem und verfahren zur steuerung einer lichtsignalanlage
WO2023222358A1 (de) Verfahren und system zur automatisierten ermittlung der zugintegrität eines zugverbands

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012713000

Ipc: B61L0023000000

R016 Response to examination communication
R082 Change of representative
R016 Response to examination communication
R018 Grant decision by examination section/examining division