DE102016206988A1 - Server device operating software for controlling a function of a rail-bound transport security system - Google Patents
Server device operating software for controlling a function of a rail-bound transport security system Download PDFInfo
- Publication number
- DE102016206988A1 DE102016206988A1 DE102016206988.8A DE102016206988A DE102016206988A1 DE 102016206988 A1 DE102016206988 A1 DE 102016206988A1 DE 102016206988 A DE102016206988 A DE 102016206988A DE 102016206988 A1 DE102016206988 A1 DE 102016206988A1
- Authority
- DE
- Germany
- Prior art keywords
- software
- server
- server device
- processes
- clusters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L19/00—Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
- B61L19/06—Interlocking devices having electrical operation
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/30—Trackside multiple control systems, e.g. switch-over between different systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L19/00—Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
- B61L19/06—Interlocking devices having electrical operation
- B61L2019/065—Interlocking devices having electrical operation with electronic means
Abstract
Eine Servereinrichtung (1; 30), betreibend eine Software zur Steuerung einer Funktion eines schienengebundenen Transportsicherungssystems, wobei die Software (11, 12, 13; 31, 32, 33) wenigstens zwei Prozesse (11a–11b; 12a–12b; 13a–13b; 31a–31c; 32a–32c; 33a–33c) physikalisch voneinander getrennt betreibt, deren Ergebnisse miteinander verglichen werden, um die Steuerung der Funktion vorzunehmen, ist dadurch gekennzeichnet, dass die Software (11, 12, 13; 31, 32, 33) auf einer virtuellen Betriebsebene der Servereinrichtung (1; 30) betrieben wird, dass die Servereinrichtung (1; 30) wenigstens zwei physikalische voneinander getrennte Servercluster (SC1, SC2, SC3) umfasst, und dass die Software (11, 12, 13; 31, 32, 33) wenigstens zwei Teile umfasst, die auf verschiedenen der wenigstens zwei Servercluster (SC1, SC2, SC3) installiert sind, so dass die wenigstens zwei Prozesse (11a–11b; 12a–12b; 13a–13b; 31a–31c; 32a–32c; 33a–33c) auf verschiedenen der wenigstens zwei Servercluster (SC1, SC2, SC3) betrieben werden. Die Erfindung stellt eine Servereinrichtung bereit, bei der eine verbesserte Verfügbarkeit einer Software-Anwendung bei gleichzeitig hoher Betriebssicherheit des Zugverkehrs gewährleistet werden kann.A server device (1; 30) operating software for controlling a function of a rail-mounted transport securing system, wherein the software (11, 12, 13; 31, 32, 33) comprises at least two processes (11a-11b; 12a-12b; 13a-13b 31a-31c, 32a-32c, 33a-33c), the results of which are compared with each other to make the control of the function, is characterized in that the software (11, 12, 13, 31, 32, 33 in that the server device (1; 30) comprises at least two physically separate server clusters (SC1, SC2, SC3), and in that the software (11, 12, 13; , 32, 33) comprises at least two parts installed on different ones of the at least two server clusters (SC1, SC2, SC3) so that the at least two processes (11a-11b; 12a-12b; 13a-13b; 31a-31c; 32a-32c; 33a-33c) on different ones of the at least two Se rvercluster (SC1, SC2, SC3). The invention provides a server device in which an improved availability of a software application can be ensured while at the same time ensuring high reliability of the train service.
Description
Die Erfindung betrifft eine Servereinrichtung, betreibend eine Software zur Steuerung einer Funktion eines schienengebundenen Transportsicherungssystems,
wobei die Software wenigstens zwei Prozesse physikalisch voneinander getrennt betreibt, deren Ergebnisse miteinander verglichen werden, um die Steuerung der Funktion vorzunehmen.The invention relates to a server device operating software for controlling a function of a rail-bound transport securing system,
wherein the software operates at least two processes physically separate from each other, the results of which are compared with each other to perform the control of the function.
Schienengebundene Transportsicherungssysteme, insbesondere Stellwerke und Zugsicherungssysteme, werden zunehmend über Rechner automatisiert. Dabei soll ein hohes Maß an Zuverlässigkeit, Verfügbarkeit, Wartungsfreundlichkeit und Personensicherheit gewährleistet werden (so genannte RAMS-Anforderungen; Reliability Availability Maintainability Safety). Während Softwarefehler (Programmierfehler) durch geeignete Planung und Durchprüfung von Testszenarien in der Regel bis zur Inbetriebnahme aufgedeckt und beseitigt werden können, können Hardwarefehler (insbesondere das Versagen von einzelnen Bauteilen, etwa Transistoren) im Betrieb prinzipiell jederzeit auftreten. Solche Hardwarefehler müssen rechtzeitig aufgedeckt werden, sodass bei der schienengebundenen Transportsicherung keine Gefährdung von Menschen (Lokführern, Passagieren) und bevorzugt auch nicht von wertvollen Betriebsmitteln (Lokomotiven, Waggons) oder Ladung eintritt.Rail-bound transport safety systems, in particular interlockings and train protection systems, are increasingly being automated by computers. A high degree of reliability, availability, maintainability and personal safety are to be ensured (so-called RAMS requirements, Reliability Availability Maintainability Safety). While software errors (programming errors) can usually be detected and eliminated by suitable planning and testing of test scenarios until they are put into operation, hardware faults (in particular the failure of individual components, such as transistors) can in principle occur at any time during operation. Such hardware errors have to be uncovered in good time, so that there is no danger to people (train drivers, passengers) and preferably also from valuable resources (locomotives, wagons) or cargo when using the rail-bound transport safety device.
Bei sicherheitsrelevanten Anwendungen in Transportsicherungssystemen wird daher üblicherweise eine mehrkanalige Verarbeitung und Überprüfung von sicherheitsrelevanten Komponenten durchgeführt, vgl. beispielsweise
Bei der mehrkanaligen Verarbeitung werden mehrere gleichartige Prozesse physikalisch voneinander getrennt, also mit unterschiedlicher Hardware, parallel betrieben, und die Ergebnisse werden miteinander verglichen. Bei Übereinstimmung der Ergebnisse kann davon ausgegangen werden, dass die beteiligte Hardware korrekt funktioniert. Bei einem Fehler in einer beteiligten Hardware kommt es zu einer Divergenz der Ergebnisse, was durch deren Vergleich erkannt werden kann. Die Anwendung kann dann geeignete Sicherungsmaßnahmen ergreifen, z. B. vorsorglich Signale auf „Halt” stellen.In multichannel processing, several similar processes are physically separated from one another, ie with different hardware, operated in parallel, and the results are compared with one another. If the results match, it can be assumed that the hardware involved works correctly. If there is an error in a participating hardware, the results will diverge, which can be detected by comparing them. The application can then take appropriate security measures, e.g. For example, as a precaution, set signals to "stop".
Software aus dem Bereich der schienengebundenen Transportsicherungssysteme ist üblicherweise auf einzelnen Geräten installiert, bei denen die physikalische Trennung von Prozessen gut sichergestellt werden kann. Hierzu werden die Software und die Gerätearchitektur geeignet aufeinander abgestimmt.Software for rail-mounted transport safety systems is usually installed on individual devices where the physical separation of processes can be ensured. For this purpose, the software and the device architecture are suitably coordinated with each other.
Bei Rechnern mit so genannten Multicore-Prozessoren ist es möglich, durch geeignete Programmierung eine feste Zuordnung von einzelnen Prozessen zu Rechnerresourcen zu erwirken. Bei der Programmierung unter Linux hat sich dazu die Verwendung von so genannten „cgroups” bewährt, vgl. den englischen Wikipedia-Eintrag „cgroups” vom 31.3.2016. Entsprechend können für Prozesse, deren Ergebnisse verglichen werden müssen, unterschiedliche Prozessorkerne zugewiesen werden (so genanntes „core binding”), wodurch die physikalische Trennung der Prozesse sichergestellt werden kann.In computers with so-called multicore processors, it is possible to obtain a fixed assignment of individual processes to computer resources by means of suitable programming. When programming under Linux, the use of so-called "cgroups" has proven to be useful, cf. the English Wikipedia entry "cgroups" from 31.3.2016. Correspondingly, for processes whose results need to be compared, different processor cores can be assigned (so-called "core binding"), whereby the physical separation of the processes can be ensured.
Durch die Virtualisierung von Anwendungen kann auf die Bereitstellung einzelner Geräte in vielen Fällen verzichtet werden, ebenso ist die Software-Entwicklung und Integration vereinfacht. Die Virtualisierung eines Zugkontrollsystems ist beispielsweise in der
Durch Virtualisierung auf einem Servercluster aus mehreren Einzelservern ist es zudem möglich, bei Ausfall eines Einzelservers eine Migration von Prozessen zu einem anderen Einzelserver vorzunehmen und so die Verfügbarkeit einer Anwendung zu verbessern.By virtualizing on a server cluster of several single servers, it is also possible to migrate processes to another single server in case of failure of a single server and thus to improve the availability of an application.
Bei Betrieb einer Software auf einer virtualisierten Betriebsebene eines Serverclusters können jedoch einzelne von der Software betriebene Prozesse nicht mehr bestimmten Rechnerresourcen zugewiesen werden; insbesondere werden die einzelnen Prozesse im Wesentlichen zufällig einem der Einzelrechner zugewiesen. Es besteht dann eine (statistisch relevante) Gefahr, dass mehrere Prozesse, deren Ergebnisse die miteinander verglichen werden sollen, auf derselben Hardware ablaufen, so dass ein Hardwarefehler dieser Hardware bei diesen mehreren Prozessen die gleichen Falschberechnungen erzeugt, und entsprechend der Hardwarefehler nicht mehr durch einen Vergleich der Ergebnisse der Prozesse gefunden werden kann. In diesem Fall ist die Betriebssicherheit im schienengebundenen Transportsicherungssystem mehr gewährleistet.When operating a software on a virtualized operating level of a server cluster, however, individual processes operated by the software can no longer be assigned to specific computer resources; In particular, the individual processes are essentially randomly assigned to one of the individual computers. There is then a (statistically relevant) risk that several processes, the results of which are to be compared to each other, run on the same hardware, so that a hardware error of this hardware generates the same false calculations for these multiple processes, and corresponding to the hardware errors no longer Comparison of the results of the processes can be found. In this case, the operational safety in the rail-bound transport safety system is more guaranteed.
Aufgabe der ErfindungObject of the invention
Der Erfindung liegt die Aufgabe zugrunde, eine Servereinrichtung bereitzustellen, bei der eine verbesserte Verfügbarkeit einer Software-Anwendung bei gleichzeitig hoher Betriebssicherheit des Zugverkehrs gewährleistet werden kann.The invention has for its object to provide a server device in which an improved availability of a software application can be guaranteed at the same time high reliability of train traffic.
Kurze Beschreibung der Erfindung Brief description of the invention
Diese Aufgabe wird gelöst durch eine Servereinrichtung der eingangs genannten Art, die dadurch gekennzeichnet ist,
dass die Software auf einer virtuellen Betriebsebene der Servereinrichtung betrieben wird,
dass die Servereinrichtung wenigstens zwei physikalisch voneinander getrennte Servercluster umfasst,
und dass die Software wenigstens zwei Teile umfasst, die auf verschiedenen der wenigstens zwei Servercluster installiert sind, so dass die wenigstens zwei Prozesse auf verschiedenen der wenigstens zwei Servercluster betrieben werden.This object is achieved by a server device of the type mentioned, which is characterized
that the software is operated on a virtual operating level of the server device,
the server device comprises at least two physically separate server clusters,
and that the software comprises at least two parts installed on different ones of the at least two server clusters so that the at least two processes are run on different ones of the at least two server clusters.
Die Erfindung macht für eine Software-Anwendung zum einen die erhöhte Verfügbarkeit in Serverclustern zugänglich, stellt aber zum anderen sicher, dass Prozesse, deren Ergebnisse zur Wahrung der Betriebssicherheit miteinander verglichen werden müssen, physikalisch voneinander getrennt ablaufen. Dafür wird die Servereinrichtung, die zum Betrieb der Software verwendet wird, mit wenigstens zwei Serverclustern eingerichtet. Jeder der Servercluster der Servereinrichtung umfasst wenigstens zwei Einzelserver, die untereinander eine Migration von Prozessen bei Ausfall eines Einzelservers gestatten (High Availability Cluster). Dadurch wird eine hohe Verfügbarkeit (Betriebsbereitschaft) sichergestellt. Zum anderen wird die Software auf wenigstens zwei Teile aufgespalten, die auf die wenigstens zwei Servercluster verteilt werden. Jeweils ein Teil der Software, und damit einer der Prozesse, ist einem der Servercluster fest zugeordnet. Dadurch ist sichergestellt, dass die Prozesse, deren Ergebnisse miteinander verglichen werden sollen, auf verschiedenen Serverclustern und damit auf unterschiedlicher Hardware laufen. Diese physikalisch Trennung der Prozesse stellt sicher, dass ein einzelner Hardwarefehler, welcher ein falschen Ergebnis eines Prozesses bewirkt, durch Vergleich mit dem Ergebnis eines mit anderer (einwandfreier) Hardware berechneten, gleichartigen Prozesses aufgedeckt werden kann.The invention makes available for a software application on the one hand the increased availability in server clusters, but on the other hand ensures that processes whose results must be compared to maintain operational reliability physically separate from each other. For this, the server device used to operate the software is set up with at least two server clusters. Each of the server clusters of the server device comprises at least two individual servers that allow each other to migrate processes in the event of a single server failure (high availability cluster). This ensures high availability (operational readiness). On the other hand, the software is split into at least two parts, which are distributed to the at least two server clusters. One part of the software, and thus one of the processes, is permanently assigned to one of the server clusters. This ensures that the processes whose results are compared to each other run on different server clusters and thus on different hardware. This physical separation of processes ensures that a single hardware failure that causes a false result of a process can be detected by comparison with the result of a similar process computed with other (sound) hardware.
Die Prozesse, deren Ergebnisse miteinander verglichen werden, können besondere Prüfprozesse sein, die zusätzlich zur Steuerungsfunktion der Softwareapplikation ablaufen (etwa die Berechnung von Prüfziffern/Prüfsummen), oder auch Hauptprozesse, die selbst für die Steuerungsfunktion genutzt werden (etwa die Berechnung eines Gleisbildes). Die miteinander zu vergleichenden Prozesse führen zur Erlangung des jeweiligen Prozessergebnisses die gleichen Rechenoperationen in gleicher Reihenfolge aus (gleichartige Prozesse). Gleiche Prozessergebnisse zeigen im Allgemeinen ein korrektes Funktionieren der Servereinrichtung an; ungleiche Prozessergebnisse zeigen im Allgemeinen eine Störung an.The processes whose results are compared with one another can be special test processes that run in addition to the control function of the software application (such as the calculation of check digits / checksums), or even main processes that are themselves used for the control function (such as the calculation of a track pattern). The processes to be compared carry out the same arithmetic operations in the same order to obtain the respective process result (similar processes). Similar process results generally indicate proper functioning of the server device; Unequal process results generally indicate a disorder.
Einer der Prozesse, deren Ergebnisse miteinander vergleichen werden sollen, ist beispielsweise ein Master-Prozess, und ein zweiter Prozess ein Slave-Prozess. Falls das Ergebnis des Slave-Prozesses vom zuvor ermittelten Ergebnis des Master-Prozesses abweicht, wird der Status der Software-Applikation auf „nicht sicher” (unsafe) gesetzt (etwa durch den Software-Teil des Masterprozesses und/oder den Software-Teil des Slave-Prozesses und/oder eines weiteren Software-Teils für den Vergleichsprozess), und keinem der Ergebnisse der Prozesse wird mehr vertraut. Bei einer Stellwerks-Applikation können sodann beispielsweise alle betroffenen Signale vorsorglich auf „Halt” gesetzt werden.One of the processes whose results are to be compared is, for example, a master process, and a second process a slave process. If the result of the slave process deviates from the previously determined result of the master process, the status of the software application is set to "unsafe" (for example by the software part of the master process and / or the software part of the software) Slave process and / or another software part for the comparison process), and none of the results of the processes becomes more familiar. In the case of an interlocking application, for example, all affected signals can then be set to "stop" as a precautionary measure.
Durch den Vergleich der Ergebnisse der Prozesse kann zuverlässig ein sicherer Betrieb der Servereinrichtung bzw. der Software-Applikation und damit auch der gesteuerten Funktion des schienengebundenen Transportsicherungssystems, etwa in einem elektronischen Stellwerk, gewährleistet werden. Da die Prozesse strikt jeweils den einzelnen Serverclustern zugeordnet sind, ist die physikalische Trennung der Prüfungsmechanismen jederzeit sichergestellt. Physikalisch voneinander getrennt bedeutet dabei eine Trennung der Rechenprozesse bezüglich der verwendeten Hardware.By comparing the results of the processes reliable operation of the server device or the software application and thus also the controlled operation of the rail-bound transport safety system, such as in an electronic interlocking, can be reliably ensured. Since the processes are strictly assigned to the individual server clusters, the physical separation of the check mechanisms is ensured at all times. Physically separated from each other here means a separation of the computing processes with respect to the hardware used.
Durch die Virtualisierung ist es möglich, die Software weitgehend unabhängig von einer lokalen, zur Verfügung stehenden Hardware zu betreiben. Insbesondere ist es leicht möglich, einzelne Komponenten (wie Einzelserver innerhalb eines der Servercluster) auszutauschen.Virtualization makes it possible to operate the software largely independent of local, available hardware. In particular, it is easily possible to exchange individual components (such as single servers within one of the server clusters).
Bevorzugte Ausführungsformen der ErfindungPreferred embodiments of the invention
Bei einer bevorzugten Ausführungsform der erfindungsgemäßen Servereinrichtung ist die Software eine Stellwerks-Applikation. Aufgrund der erfindungsgemäßen Architektur der Servereinrichtung kann ein hoher Sicherheitslevel, wie er für Stellwerks-Applikationen üblicherweise gefordert ist, gewährleistet werden. Auch ist die hohe Verfügbarkeit von Vorteil, um Verzögerungen im Betriebsablauf des Zugverkehrs zu vermeiden bzw. zu minimieren.In a preferred embodiment of the server device according to the invention, the software is an interlocking application. Due to the inventive architecture of the server device, a high level of security, as is usually required for interlocking applications, can be guaranteed. Also, the high availability is advantageous to avoid or minimize delays in the operation of train traffic.
Besonders bevorzugt ist eine Weiterbildung, bei der die Software eine Applikation zum Betreiben der Bedienoberfläche eines rechnergesteuerten Stellwerks ist, insbesondere mit einer Funktionalität zum Anbinden von mobilen Bedienterminals. Beispielsweise kann die Software eine HIS-Server-Applikation (HIS = human machine interface for interlocking systems), insbesondere mit MPT- und/oder HHT-Proxy-Funktion sein (MPT = mobile possession terminal; HHT = hand held terminal). Bei dieser Applikation hat sich die erfindungsgemäße Serverarchitektur besonders bewährt. Als zu vergleichende Prozesse bzw. deren Ergebnisse können hier berechnete Gleisbilder genutzt werden, die auf Bedienterminals, insbesondere mobilen Bedienterminals (wie Tablet-Computern) angezeigt werden. Da der Verwender zeitweise Verantwortung für die Freigabe von Gleisabschnitten übernehmen kann, sollte hier ein hoher Sicherheitsstandard zur Verfügung stehen, den die Erfindung bieten kann.Particularly preferred is a development in which the software is an application for operating the user interface of a computer-controlled interlocking, in particular with a functionality for connecting mobile control terminals. For example, the software may be a HIS server application (HIS = human machine interface for interlocking systems), in particular with MPT and / or HHT proxy function (MPT = mobile possession terminal). In this application, the server architecture according to the invention has proven particularly useful. As to be compared processes or their results can here calculated track images that are displayed on operator terminals, in particular mobile operator terminals (such as tablet computers). Since the user can temporarily take responsibility for the release of track sections, a high safety standard should be available here, which the invention can offer.
Ebenfalls bevorzugt ist eine Ausführungsform, bei der die Software eine Zugsicherungs-Applikation ist. Aufgrund der erfindungsgemäßen Architektur der Servereinrichtung kann ein hoher Sicherheitslevel, wie er auch für Zugsicherungs-Applikationen üblicherweise gefordert ist, gewährleistet werden. Zugsicherungs-Applikationen können beispielsweise Notbremssysteme beim Überfahren von „Halt”-Signalen beinhalten.Also preferred is an embodiment in which the software is a train protection application. Due to the architecture of the server device according to the invention, a high level of security, as is usually required for train protection applications, can be ensured. Train protection applications may include, for example, emergency braking systems when driving over "stop" signals.
Vorteilhaft ist weiterhin eine Ausführungsform, bei der die Software nach Sicherheits-Integritäts-Level 2 (SIL2) oder höher eingerichtet ist. Diese Sicherheitsstufe SIL2 genügt für viele Anwendungen von schienenbasierten Transportsicherungssystemen, und ist mit der erfindungsgemäßen Serverarchitektur gut zu erreichen, wobei gleichzeitig eine erhöhte Verfügbarkeit ermöglicht werden kann. Der Sicherheits Integritäts Level (SIL) ist gemäß
Besonders vorteilhaft ist eine Ausführungsform, bei der die Software nach Sicherheits-Integritäts-Level 4 (SIL4) eingerichtet ist. Damit genügt die Software höchsten Sicherheitsanforderungen. Die Sicherheitsstufe SIL4 ist mit der erfindungsgemäßen Serverarchitektur ebenfalls gut zu erreichen, wobei gleichzeitig eine erhöhte Verfügbarkeit ermöglicht werden kann. Der Sicherheits Integritäts Level (SIL) ist gemäß
Vorteilhaft ist weiterhin eine Ausführungsform, bei der die Software genau zwei Prozesse, physikalisch voneinander getrennt, auf genau zwei verschiedenen Serverclustern betreibt. Die Einrichtung von zwei Serverclustern für lediglich (bei einem jeweiligen Prüfvorgang jeweils) zwei miteinander zu vergleichenden Prozessen ist vergleichsweise einfach einzurichten, erhöht aber die Sicherheit bei gleichzeitig hoher Verfügbarkeit erheblich.Also advantageous is an embodiment in which the software operates exactly two processes, physically separated, on exactly two different server clusters. Setting up two server clusters for only two processes to be compared with each other during a respective test procedure is comparatively easy to set up, but considerably increases the security while at the same time ensuring high availability.
Eine alternative, vorteilhafte Ausführungsform sieht vor, dass die Servereinrichtung drei physikalisch voneinander getrennte Servercluster umfasst, dass die Software wenigstens drei Teile umfasst, die auf verschiedenen der Serverclustern installiert sind, so dass die Software drei Prozesse auf verschiedenen der drei Servercluster betreibt, und dass die Ergebnisse der Prozesse im Rahmen einer 2-aus-3-Entscheidung für die Steuerung der Funktion des schienengebundenen Transportsicherungssystems ausgewertet werden. Mit der 2-aus-3-Entscheidung ist es möglich, auch bei Ausfall einer Hardware (hier eines Fehlers auf einem der Servercluster) noch richtige Prozessergebnisse zu identifizieren, was die Verfügbarkeit weiter erhöht.An alternative, advantageous embodiment provides that the server device comprises three physically separate server clusters, that the software comprises at least three parts that are installed on different server clusters, so that the software operates three processes on different of the three server clusters, and that the Results of the processes are evaluated in the context of a 2-out-of-3 decision for the control of the function of the rail-bound transport safety system. With the 2-out-of-3 decision it is possible to identify correct process results even if one hardware fails (in this case a fault on one of the server clusters), which further increases the availability.
Bevorzugt ist auch eine Ausführungsform, bei der die Servereinrichtung wenigstens eine weitere Software zur Steuerung einer weiteren Funktion eines schienengebundenen Transportsicherungssystems betreibt, und dass die wenigstens eine weitere Software auf lediglich einem der Servercluster installiert ist und betrieben wird. Die jeweilige weitere Software wird nicht in unterschiedliche Teile zerlegt, die auf unterschiedlichen Serverclustern installiert werden müssen; hierdurch ist der Betrieb der weiteren Software deutlich erleichtert. Die weitere Software ist typischerweise nach SIL0 eingerichtet. Typischerweise sind bei dieser Ausführungsform auf jedem der Servercluster jeweils eine oder mehrere einzelne, weitere Software-Applikationen installiert und betrieben.Also preferred is an embodiment in which the server device operates at least one further software for controlling a further function of a rail-bound transport securing system, and that the at least one further software is installed and operated on only one of the server clusters. The respective additional software is not decomposed into different parts that have to be installed on different server clusters; As a result, the operation of the other software is much easier. The other software is typically set up according to SIL0. Typically, in this embodiment, one or more individual, further software applications are installed and operated on each of the server clusters.
Bei einer bevorzugten Weiterbildung dieser Ausführungsform umfasst die wenigstens eine weitere Software eine oder mehrere der folgenden Softwareapplikationen:
- – Fahrplan-Planungs-System, insbesondere Aramis-D;
- – Zugnummernverwaltungs- und Zuglenkungs-System, insbesondere ARAMIS-C;
- – Daten-Analyse- und Metrik-System (Business Intelligence);
- – Zugwartungs-System (Maintenance Centre);
- – Zugdaten Erfassungs- und Kontroll-System (Checkpoint Master Node);
- – Betriebskomponenten Erfassungs- und Auswertungs-System (Service Management Tool). Diese Anwendungen harmonieren in der Praxis gut mit der auf verscheidene Servercluster aufgeteilten Software, insbesondere wenn diese zum Betrieb einer Benutzeroberfläche eines Stellwerks, etwa mit Anbindung für mobile Endgeräte, ausgebildet ist.
- - schedule planning system, in particular Aramis-D;
- - train number management and routing system, in particular ARAMIS-C;
- - Data analysis and metric system (Business Intelligence);
- - Train maintenance system;
- - train data acquisition and control system (Checkpoint Master Node);
- - Operating components Acquisition and evaluation system (Service Management Tool). In practice, these applications harmonize well with the software divided into various server clusters, in particular if it is designed to operate a user interface of a signal box, for example with a connection for mobile terminals.
Weitere Vorteile der Erfindung ergeben sich aus der Beschreibung und der Zeichnung. Ebenso können die vorstehend genannten und die noch weiter ausgeführten Merkmale erfindungsgemäß jeweils einzeln für sich oder zu mehreren in beliebigen Kombinationen Verwendung finden. Die gezeigten und beschriebenen Ausführungsformen sind nicht als abschließende Aufzählung zu verstehen, sondern haben vielmehr beispielhaften Charakter für die Schilderung der Erfindung.Further advantages of the invention will become apparent from the description and the drawings. Likewise, according to the invention, the above-mentioned features and those which are still further developed may be used individually or as one or more of them Combinations use find. The embodiments shown and described are not to be understood as exhaustive enumeration, but rather have exemplary character for the description of the invention.
Detaillierte Beschreibung der Erfindung und ZeichnungDetailed description of the invention and drawing
Die Erfindung ist in der Zeichnung dargestellt und wird anhand von Ausführungsbeispielen näher erläutert. Es zeigen:The invention is illustrated in the drawing and will be explained in more detail with reference to embodiments. Show it:
Überblick über die ErfindungOverview of the invention
Die vorliegende Erfindung basiert auf der Verteilung von Prozessen einer Softwaresteuerung eines schienengebundenen Transportsicherungssystems in einer virtuellen Betriebsebene auf verschiedene Servercluster. Die Prozesse können dadurch einer Migration auf den Einzelservern ihres Serverclusters unterzogen werden, um eine hohe Verfügbarkeit bei Ausfall einzelner Einzelserver sicherzustellen. Die Prozesse sind gleichartig, und die Ergebnisse der Prozesse werden für Sicherheitszwecke miteinander verglichen. Durch die Verteilung der Prozesse auf verschiedene Servercluster ist sichergestellt, dass die Prozesse stets auf unterschiedlichen Einzelservern laufen, so dass einzelne Hardwarefehler zu verschiedenen Prozessergebnissen führen, die im Rahmen von Sicherheitsüberprüfungen leicht aufgedeckt werden können.The present invention is based on the distribution of software control processes of a railbound transport protection system in a virtual operating level to different server clusters. As a result, the processes can be migrated to the individual servers of their server cluster to ensure high availability in the event of individual server outages. The processes are similar and the results of the processes are compared for security purposes. Distributing the processes to different server clusters ensures that processes always run on different single servers, so single hardware failures lead to different process results, which can easily be detected during security audits.
HIS-Applikation im Rahmen der ErfindungHIS application within the scope of the invention
Die Erfindung wird nachfolgend am Beispiel der Architektur einer HIS-Applikation, insbesondere in Hinblick auf die Prozessverteilung, näher beschrieben.The invention will be described in more detail below using the example of the architecture of a HIS application, in particular with regard to the process distribution.
Die HIS-Applikation (HIS = Human machine interface for Interlocking Systems) ist eine SIL2 (Safety Integrity Level 2) Applikation, insbesondere entwickelt und zugelassen nach der
Allen Ausprägungen gemeinsam ist die grundlegende Architektur, dass ein Master-Prozess Berechnungen durchführt, welche letztendlich zur sogenannten Ausleuchtung (= visuelle Darstellung auf einem Bildschirm) von Zuständen der Stellwerks-Elemente führen. Diese Berechnungen werden zeitgleich durch einen oder mehrere (je nach Ausprägung) Slave-Prozess(e) ebenfalls durchgeführt und die Ergebnisse der Berechnung werden kreuzweise gegeneinander verglichen, d. h. sowohl der Master-Prozess als auch der/die Slave-Prozess(e) vergleichen jeweils das eigene Rechenergebnis mit denen des/der Anderen. Im Falle einer Nicht-Übereinstimmung der Rechenergebnisse wird das Gesamt-System in einen sogenannten „nicht sicheren Zustand” versetzt, welcher bestimmte, sicherheitsrelevante Bedienhandlungen nicht mehr zulässt.Common to all characteristics is the basic architecture that a master process carries out calculations which ultimately lead to the so-called illumination (= visual representation on a screen) of states of the interlocking elements. These calculations are also performed simultaneously by one or more (depending on the type) slave process (s) and the results of the calculation are cross-checked against each other, i. H. Both the master process and the slave process (s) compare their own calculation results with those of the other. In the case of non-conformity of the calculation results, the overall system is placed in a so-called "non-safe state" which no longer permits certain safety-relevant operator actions.
Eine besondere Ausprägung der HIS-Applikation ist der sogenannte HIS-Server, welcher im Wesentlichen dazu dient, angeschlossene Bedienterminals mit den berechneten Ausleuchtungen bzw. Zuständen der Stellwerks-Elemente zu versorgen.A special feature of the HIS application is the so-called HIS server, which essentially serves to supply connected operator terminals with the calculated illuminations or states of the interlocking elements.
Um den Anforderungen nach SIL2 aus der
Bei der Portierung der Server-Applikationen auf eine gemeinsame virtuelle Betriebsebene (virtual platform) kann nicht mehr einfach gewährleistet werden, dass der Master- und der Slave-Prozess nicht über den selben Rechenfehler eines Prozessors laufen, da die Zuordnung von virtuellem Prozessor zu physikalischem Prozessor(-Kern) nicht so ohne weiteres gegeben und nachgewiesen werden kann.By porting the server applications to a common virtual platform, it can no longer be guaranteed that the master and slave processes are not running the same processor miscalculation because of the virtual processor to physical processor mapping (-Kern) not so readily given and can be proved.
Die Erfinder haben erkannt, dass aus Server-Computern (Einzelservern) mehrere sogenannte Servercluster gebildet werden können, welche die Vorteile einer virtuellen Betriebsebene bieten (Hoch-Verfügbarkeit, Redundanz) und gleichzeitig eine physikalische Trennung von Prozessen gewährleisten. Mit zwei Serverclustern aus je mindestens zwei Server-Computern kann der Master-Prozess auf dem einen Servercluster und der Slave-Prozess auf dem anderen Servercluster laufen. Dabei kann zwar nicht vorhergesagt werden, welcher Prozessor(-Kern) im Servercluster von einem Prozess gerade verwendet wird, aber es kann ausgeschlossen werden, dass die Prozesse auf den unterschiedlichen Serverclustern jemals denselben Prozessor(-Kern) benutzen werden.The inventors have recognized that from server computers (single servers) several so-called server clusters can be formed which offer the advantages of a virtual operating level (high availability, redundancy) and at the same time guarantee a physical separation of processes. With two server clusters each consisting of at least two server computers, the master process can run on one server cluster and the slave process on the other server cluster. Although it can not be predicted which processor (core) in the server cluster is currently being used by a process but it can be ruled out that the processes on the different server clusters will ever use the same processor (kernel).
Dadurch ist die Realisierung des oben beschriebenen Merkmals der HIS-Architektur auch beim Einsatz der HIS-Applikation auf einer virtuellen Betriebsebene realisierbar.As a result, the realization of the above-described feature of the HIS architecture can also be realized when using the HIS application on a virtual operating level.
Ausführungsform einer Servereinrichtung mit zwei ServerclusternEmbodiment of a server device with two server clusters
In
Zu der Servereinrichtung
Im ersten Servercluster SC1 sind mindestens zwei Server-Computer (Einzelserver) SRV-1-1, SVR-1-2 zu einem Cluster zusammengefasst. Im zweiten Servercluster SC2 sind ebenso mindestens zwei Server-Computer (Einzelserver) SVR-2-1, SVR-2-2 zu einem Cluster zusammengefasst.In the first server cluster SC1, at least two server computers (single server) SRV-1-1, SVR-1-2 are clustered. In the second server cluster SC2, at least two server computers (single server) SVR-2-1, SVR-2-2 are also combined into a cluster.
In einem Servercluster SC1, SC2 laufen verschiedene virtuelle Maschinen VM, in denen wiederum unterschiedlichste Applikationen bzw. deren Prozesse laufen. Dies können Applikationen sein, deren Prozesse verteilt auf die einzelnen Servercluster sind, aber erst deren Zusammenwirken eine gemeinsame Funktionalität ergibt, als auch Applikationen, die einzeln auf einem Servercluster laufen und unabhängig von den anderen Prozessen und Applikationen eine Funktionalität ergeben. Beispiele von Applikationen und Prozessen der virtuellen Maschinen VM sind:
- • HIS-
Master 11a (Prozess der HIS Applikation) - • HIS-
Slave 11b (Prozess der HIS Applikation) - • Stellwerks-Steuerung Prozess-1
12a (Prozess der Stellwerks-Steuerung Applikation) (Interlocking-Control Process-1 = IL-Ctrl Proc-1) - • Stellwerks-Steuerung Prozess-2
12b (Prozess der Stellwerks-Steuerung Applikation) (Interlocking-Control Process-2 = IL-Ctrl Proc-2) - • Zugsicherungs-Steuerung Prozess-1
13a (Prozess der Zugsicherungs-Steuerung Applikation) (Train Control-Control Process-1 = TC-Ctrl Proc-1) - • Zugsicherungs-Steuerung Prozess-2
13b (Prozess der Zugsicherungs-Steuerung Applikation) (Train Control-Control Process-2 = TC-Ctrl Proc-2) - • Bedienoberfläche A
14 (Human Machine Interface A = HMI A) - • Anwendung B
15 (Application B = App B) - • Bedienoberfläche C
16 (Human Machine Interface C = HMI C) - • Anwendung D
17 (Application D = App D).
- • HIS
master 11a (Process of HIS application) - • HIS
slave 11b (Process of HIS application) - • interlocking control process-1
12a (Process of interlocking control application) (Interlocking-Control Process-1 = IL-Ctrl Proc-1) - • interlocking control process-2
12b (Process of the interlocking control application) (Interlocking-Control Process-2 = IL-Ctrl Proc-2) - • Train Control Process-1
13a (Process of train control application) (Train Control-Control Process-1 = TC-Ctrl Proc-1) - • Train Control Process-2
13b (Process of train control application) (Train Control-Control Process-2 = TC-Ctrl Proc-2) - • User interface A
14 (Human Machine Interface A = HMI A) - • Application B
15 (Application B = App B) - • User interface C
16 (Human Machine Interface C = HMI C) - • Application D
17 (Application D = App D).
Die Servereinrichtung
Im gezeigten Ausführungsbeispiel ist die HIS-Server-Software
Ebenso sind hier die gleichartigen Prozesse
Ausführungsform mit drei ServerclusternEmbodiment with three server clusters
In
Auf der Servereinrichtung
Ein Kriterium zur Zulassung nach der
Typische Applikationen von 2oo3 Systemen bzw. deren Prozesse sind:
- • Bedien Prozess-1
31a (Prozess der Bedienoberfläche) (Operation Control Process-1 = OC Proc-1) - • Bedien Prozess-2
31b (Prozess der Bedienoberfläche) (Operation Control Process-2 = OC Proc-2) - • Bedien Prozess-3
31c (Prozess der Bedienoberfläche) (Operation Control Process-3 = OC Proc-3) - • Stellwerks Prozess-1
32a (Prozess der Stellwerks Applikation) (Interlocking Process-1 = IL Proc-1) - • Stellwerks Prozess-2
32b (Prozess der Stellwerks Applikation) (Interlocking Process-2 = IL Proc-2) - • Stellwerks Prozess-3
32c (Prozess der Stellwerks Applikation) (Interlocking Process-3 = IL Proc-3) - • Zugsicherungs Prozess-1
33a (Prozess der Zugsicherungs Applikation) (Train Control Process-1 = TC Proc-1) - • Zugsicherungs Prozess-2
33b (Prozess der Zugsicherungs Applikation) (Train Control Process-2 = TC Proc-2) - • Zugsicherungs Prozess-3
33c (Prozess der Zugsicherungs Applikation) (Train Control Process-3 = TC Proc-3)
- •
Operation process 131a (Operator Interface Process) (Operation Control Process-1 = OC Proc-1) - •
Operation Process 231b (Operator Interface Process) (Operation Control Process-2 = OC Proc-2) - •
Operation Process 331c (Process of the user interface) (Operation Control Process-3 = OC Proc-3) - • interlocking process-1
32a (Process of the interlocking application) (Interlocking Process-1 = IL Proc-1) - • interlocking process-2
32b (Process of the interlocking application) (Interlocking Process-2 = IL Proc-2) - • interlocking process-3
32c (Process of the interlocking application) (Interlocking Process-3 = IL Proc-3) - • train protection process-1
33a (Process of Train Control Application) (Train Control Process-1 = TC Proc-1) - • train protection process-2
33b (Process of train protection application) (Train Control Process-2 = TC Proc-2) - • Train Control Process-3
33c (Process of train protection application) (Train Control Process-3 = TC Proc-3)
Vorliegend sind die gleichartigen Prozesse
BezugszeichenlisteLIST OF REFERENCE NUMBERS
- 11
- Servereinrichtungserver facility
- 22
- physikalische Grenzephysical limit
- 11a, 11b11a, 11b
- gleichartige Prozessesimilar processes
- 1111
- Software (HIS-Server)Software (HIS server)
- 12a, 12b12a, 12b
- gleichartige Prozessesimilar processes
- 1212
- Software (Stellwerksteuerung)Software (interlocking control)
- 13a, 13b13a, 13b
- gleichartige Prozessesimilar processes
- 1313
- Software (Zugsicherungsteuerung)Software (train control)
- 14–1714-17
- weitere Softwarefurther software
- 1818
- Cluster-KontrolleCluster Control
- 1919
- Speicher-KontrolleMemory control
- 20a–20c20a-20c
- Hochverfügbarkeits-KontrolleHigh-availability control
- 21a–21c 21a-21c
- SpeicherStorage
- 3030
- Servereinrichtungserver facility
- 31a–31c31a-31c
- gleichartige Prozessesimilar processes
- 3131
- Software (Bedienung)Software (operation)
- 32a–32c32a-32c
- gleichartige Prozessesimilar processes
- 3232
- Software (Stellwerk)Software (signal box)
- 33a–33c33a-33c
- gleichartige Prozessesimilar processes
- 3333
- Software (Zugsicherung)Software (train protection)
- 34–3934-39
- weitere Softwarefurther software
- SC1–SC3SC1-SC3
- Serverclusterserver cluster
- SRV-1-1SRV 1-1
- Server-Computer (Einzelserver)Server computer (single server)
- SRV-1-2SRV 1-2
- Server-Computer (Einzelserver)Server computer (single server)
- SRV-2-1SRV 2-1
- Server-Computer (Einzelserver)Server computer (single server)
- SRV-2-2SRV 2-2
- Server-Computer (Einzelserver)Server computer (single server)
- SRV-3-1SRV 3-1
- Server-Computer (Einzelserver)Server computer (single server)
- SRV-3-2SRV 3-2
- Server-Computer (Einzelserver)Server computer (single server)
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- WO 2015/126529 A1 [0007] WO 2015/126529 A1 [0007]
Zitierte Nicht-PatentliteraturCited non-patent literature
- M. Schäfer, F. Schneider, „Standardisierte Bedienoberflächen für Bahnsteuerungssysteme”, Signal + Draht (98), 9/2006, S. 50–52 [0003] M. Schäfer, F. Schneider, "Standardized user interfaces for path control systems", Signal + Draht (98), 9/2006, pp. 50-52 [0003]
- EN 61508 [0020] EN 61508 [0020]
- EN 50128 [0020] EN 50128 [0020]
- EN 50129 [0020] EN 50129 [0020]
- EN 61508 [0021] EN 61508 [0021]
- EN 50128 [0021] EN 50128 [0021]
- EN 50129 [0021] EN 50129 [0021]
- Norm CENELEC EN 50128 [0032] Standard CENELEC EN 50128 [0032]
- Norm EN 50128 [0035] Standard EN 50128 [0035]
- Norm EN 50128 [0048] Standard EN 50128 [0048]
Claims (10)
Priority Applications (8)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016206988.8A DE102016206988A1 (en) | 2016-04-25 | 2016-04-25 | Server device operating software for controlling a function of a rail-bound transport security system |
EP17720733.9A EP3448735B1 (en) | 2016-04-25 | 2017-04-24 | Server device operating a piece of software for controlling a function of a rail transport safety system |
PT177207339T PT3448735T (en) | 2016-04-25 | 2017-04-24 | Server device operating a piece of software for controlling a function of a rail transport safety system |
PL17720733T PL3448735T3 (en) | 2016-04-25 | 2017-04-24 | Server device operating a piece of software for controlling a function of a rail transport safety system |
PCT/EP2017/059631 WO2017186629A1 (en) | 2016-04-25 | 2017-04-24 | Server device operating a piece of software for controlling a function of a rail transport safety system |
ES17720733T ES2795015T3 (en) | 2016-04-25 | 2017-04-24 | Server device that operates a software for controlling a function of a rail transport protection system |
DK17720733.9T DK3448735T3 (en) | 2016-04-25 | 2017-04-24 | Server device running a software for controlling a function of a rail-bound transport security system |
SA518400293A SA518400293B1 (en) | 2016-04-25 | 2018-10-23 | Server Device Operating A Piece of Software for Controlling A Function of A Rail Transport Safety System |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016206988.8A DE102016206988A1 (en) | 2016-04-25 | 2016-04-25 | Server device operating software for controlling a function of a rail-bound transport security system |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102016206988A1 true DE102016206988A1 (en) | 2017-10-26 |
Family
ID=58664667
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102016206988.8A Withdrawn DE102016206988A1 (en) | 2016-04-25 | 2016-04-25 | Server device operating software for controlling a function of a rail-bound transport security system |
Country Status (8)
Country | Link |
---|---|
EP (1) | EP3448735B1 (en) |
DE (1) | DE102016206988A1 (en) |
DK (1) | DK3448735T3 (en) |
ES (1) | ES2795015T3 (en) |
PL (1) | PL3448735T3 (en) |
PT (1) | PT3448735T (en) |
SA (1) | SA518400293B1 (en) |
WO (1) | WO2017186629A1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109783103B (en) * | 2019-03-19 | 2021-04-16 | 北京邮电大学 | Method and device for realizing human-computer interface of rail transit train control system |
EP4028301A4 (en) | 2019-09-12 | 2023-11-08 | Thales Canada Inc. | Over-speed protection device |
DE102021209038A1 (en) * | 2021-08-18 | 2023-02-23 | Siemens Mobility GmbH | Method for automatically detecting and correcting memory errors in a secure multi-channel computer |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2884392A1 (en) * | 2013-12-13 | 2015-06-17 | Thales | Triple software redundancy fault tolerant framework architecture |
WO2015126529A1 (en) | 2014-02-18 | 2015-08-27 | Ghaly Nabil N | Method & apparatus for a train control system |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6243825B1 (en) * | 1998-04-17 | 2001-06-05 | Microsoft Corporation | Method and system for transparently failing over a computer name in a server cluster |
DE19942981A1 (en) * | 1999-09-09 | 2001-03-22 | Alcatel Sa | Program module and method for increasing the security of a software-controlled system |
US6944785B2 (en) * | 2001-07-23 | 2005-09-13 | Network Appliance, Inc. | High-availability cluster virtual server system |
-
2016
- 2016-04-25 DE DE102016206988.8A patent/DE102016206988A1/en not_active Withdrawn
-
2017
- 2017-04-24 PT PT177207339T patent/PT3448735T/en unknown
- 2017-04-24 ES ES17720733T patent/ES2795015T3/en active Active
- 2017-04-24 EP EP17720733.9A patent/EP3448735B1/en active Active
- 2017-04-24 PL PL17720733T patent/PL3448735T3/en unknown
- 2017-04-24 DK DK17720733.9T patent/DK3448735T3/en active
- 2017-04-24 WO PCT/EP2017/059631 patent/WO2017186629A1/en active Application Filing
-
2018
- 2018-10-23 SA SA518400293A patent/SA518400293B1/en unknown
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2884392A1 (en) * | 2013-12-13 | 2015-06-17 | Thales | Triple software redundancy fault tolerant framework architecture |
WO2015126529A1 (en) | 2014-02-18 | 2015-08-27 | Ghaly Nabil N | Method & apparatus for a train control system |
Non-Patent Citations (7)
Title |
---|
EN 50128 |
EN 50129 |
EN 61508 |
M. Schäfer, F. Schneider, „Standardisierte Bedienoberflächen für Bahnsteuerungssysteme", Signal + Draht (98), 9/2006, S. 50–52 |
Norm CENELEC EN 50128 |
Norm EN 50128 |
VMWARE: Handbuch zur Verfügbarkeit in vSphere. 2009. Im Internet: <URL: http://www.vmware.com/files/de/pdf/vsp_40_availability_de.pdf> * |
Also Published As
Publication number | Publication date |
---|---|
WO2017186629A1 (en) | 2017-11-02 |
DK3448735T3 (en) | 2020-06-22 |
PT3448735T (en) | 2020-07-07 |
EP3448735A1 (en) | 2019-03-06 |
SA518400293B1 (en) | 2021-10-21 |
PL3448735T3 (en) | 2020-11-02 |
ES2795015T3 (en) | 2020-11-20 |
EP3448735B1 (en) | 2020-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE2908316C2 (en) | Modular multi-processor data processing system | |
EP2550599B1 (en) | Control computer system, method for controlling a control computer system, and use of a control computer system | |
EP2852896B1 (en) | Arrangement having a microprocessor system | |
EP3448735B1 (en) | Server device operating a piece of software for controlling a function of a rail transport safety system | |
DE102010013349A1 (en) | Computer system and method for comparing output signals | |
DE19509150C2 (en) | Method for controlling and regulating vehicle brake systems and vehicle brake system | |
EP3102475A1 (en) | Replacement resource for a defective computer channel of a rail vehicle | |
DE102016215345A1 (en) | Method and device for redundant data processing | |
DE102018118243A1 (en) | Techniques for providing a secure control parameter for multi-channel control of a machine | |
DE102011119585A1 (en) | Improved scalable CPU for coded execution of software in highly dependent security-related applications | |
EP3338189A2 (en) | Method for operating a multicore processor | |
DE102006012042A1 (en) | Control device e.g. personal computer, for e.g. joint robot, has two channels for processing independent codes with mutual safety monitoring, and main storage provided for accessing two processor cores of multi-processor core | |
WO2016049670A1 (en) | Distributed real-time computer system and time-controlled distribution unit | |
EP3186710A1 (en) | Microcontroller system and method for safety-critical motor vehicle systems and the use thereof | |
DE10053023C1 (en) | Method for controlling a safety-critical railway operating process and device for carrying out this method | |
DE2647367A1 (en) | Multiple redundant process controller - has detector stages to continuously monitor performance of each unit to indicate single or double malfunction | |
EP2279480B1 (en) | Method and system for monitoring a security-related system | |
EP0182134A2 (en) | Method for operating a fail-safe multi-computer system with some not fail-safe input/output units | |
DE102021209687A1 (en) | Cloud computer for executing at least one partially automated driving function of a motor vehicle and method for operating a cloud computer | |
WO2016087175A1 (en) | Processing system for a motor vehicle system | |
EP3172671B1 (en) | Method for parallel processing of data in a computer system comprising a plurality of computer units and computer system comprising a plurality of computer units | |
DE102011011224A1 (en) | Control unit system | |
DE19531923B4 (en) | Device for realizing safe-life functions | |
DE2925169A1 (en) | COMPUTER CONTROLLED ACTUATOR | |
EP1426862B1 (en) | Synchronization of data processing within redundant processing elements of a data processing system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R081 | Change of applicant/patentee |
Owner name: THALES MANAGEMENT & SERVICES DEUTSCHLAND GMBH, DE Free format text: FORMER OWNER: THALES DEUTSCHLAND GMBH, 71254 DITZINGEN, DE |
|
R082 | Change of representative |
Representative=s name: KOHLER SCHMID MOEBUS PATENTANWAELTE PARTNERSCH, DE |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |