DE102016206988A1 - Server device operating software for controlling a function of a rail-bound transport security system - Google Patents

Server device operating software for controlling a function of a rail-bound transport security system Download PDF

Info

Publication number
DE102016206988A1
DE102016206988A1 DE102016206988.8A DE102016206988A DE102016206988A1 DE 102016206988 A1 DE102016206988 A1 DE 102016206988A1 DE 102016206988 A DE102016206988 A DE 102016206988A DE 102016206988 A1 DE102016206988 A1 DE 102016206988A1
Authority
DE
Germany
Prior art keywords
software
server
server device
processes
clusters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016206988.8A
Other languages
German (de)
Inventor
Christoph Erdmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales Management and Services Deutschland GmbH
Original Assignee
Thales Deutschland GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales Deutschland GmbH filed Critical Thales Deutschland GmbH
Priority to DE102016206988.8A priority Critical patent/DE102016206988A1/en
Priority to EP17720733.9A priority patent/EP3448735B1/en
Priority to PT177207339T priority patent/PT3448735T/en
Priority to PL17720733T priority patent/PL3448735T3/en
Priority to PCT/EP2017/059631 priority patent/WO2017186629A1/en
Priority to ES17720733T priority patent/ES2795015T3/en
Priority to DK17720733.9T priority patent/DK3448735T3/en
Publication of DE102016206988A1 publication Critical patent/DE102016206988A1/en
Priority to SA518400293A priority patent/SA518400293B1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • B61L2019/065Interlocking devices having electrical operation with electronic means

Abstract

Eine Servereinrichtung (1; 30), betreibend eine Software zur Steuerung einer Funktion eines schienengebundenen Transportsicherungssystems, wobei die Software (11, 12, 13; 31, 32, 33) wenigstens zwei Prozesse (11a–11b; 12a–12b; 13a–13b; 31a–31c; 32a–32c; 33a–33c) physikalisch voneinander getrennt betreibt, deren Ergebnisse miteinander verglichen werden, um die Steuerung der Funktion vorzunehmen, ist dadurch gekennzeichnet, dass die Software (11, 12, 13; 31, 32, 33) auf einer virtuellen Betriebsebene der Servereinrichtung (1; 30) betrieben wird, dass die Servereinrichtung (1; 30) wenigstens zwei physikalische voneinander getrennte Servercluster (SC1, SC2, SC3) umfasst, und dass die Software (11, 12, 13; 31, 32, 33) wenigstens zwei Teile umfasst, die auf verschiedenen der wenigstens zwei Servercluster (SC1, SC2, SC3) installiert sind, so dass die wenigstens zwei Prozesse (11a–11b; 12a–12b; 13a–13b; 31a–31c; 32a–32c; 33a–33c) auf verschiedenen der wenigstens zwei Servercluster (SC1, SC2, SC3) betrieben werden. Die Erfindung stellt eine Servereinrichtung bereit, bei der eine verbesserte Verfügbarkeit einer Software-Anwendung bei gleichzeitig hoher Betriebssicherheit des Zugverkehrs gewährleistet werden kann.A server device (1; 30) operating software for controlling a function of a rail-mounted transport securing system, wherein the software (11, 12, 13; 31, 32, 33) comprises at least two processes (11a-11b; 12a-12b; 13a-13b 31a-31c, 32a-32c, 33a-33c), the results of which are compared with each other to make the control of the function, is characterized in that the software (11, 12, 13, 31, 32, 33 in that the server device (1; 30) comprises at least two physically separate server clusters (SC1, SC2, SC3), and in that the software (11, 12, 13; , 32, 33) comprises at least two parts installed on different ones of the at least two server clusters (SC1, SC2, SC3) so that the at least two processes (11a-11b; 12a-12b; 13a-13b; 31a-31c; 32a-32c; 33a-33c) on different ones of the at least two Se rvercluster (SC1, SC2, SC3). The invention provides a server device in which an improved availability of a software application can be ensured while at the same time ensuring high reliability of the train service.

Description

Die Erfindung betrifft eine Servereinrichtung, betreibend eine Software zur Steuerung einer Funktion eines schienengebundenen Transportsicherungssystems,
wobei die Software wenigstens zwei Prozesse physikalisch voneinander getrennt betreibt, deren Ergebnisse miteinander verglichen werden, um die Steuerung der Funktion vorzunehmen.The invention relates to a server device operating software for controlling a function of a rail-bound transport securing system,
wherein the software operates at least two processes physically separate from each other, the results of which are compared with each other to perform the control of the function.

Schienengebundene Transportsicherungssysteme, insbesondere Stellwerke und Zugsicherungssysteme, werden zunehmend über Rechner automatisiert. Dabei soll ein hohes Maß an Zuverlässigkeit, Verfügbarkeit, Wartungsfreundlichkeit und Personensicherheit gewährleistet werden (so genannte RAMS-Anforderungen; Reliability Availability Maintainability Safety). Während Softwarefehler (Programmierfehler) durch geeignete Planung und Durchprüfung von Testszenarien in der Regel bis zur Inbetriebnahme aufgedeckt und beseitigt werden können, können Hardwarefehler (insbesondere das Versagen von einzelnen Bauteilen, etwa Transistoren) im Betrieb prinzipiell jederzeit auftreten. Solche Hardwarefehler müssen rechtzeitig aufgedeckt werden, sodass bei der schienengebundenen Transportsicherung keine Gefährdung von Menschen (Lokführern, Passagieren) und bevorzugt auch nicht von wertvollen Betriebsmitteln (Lokomotiven, Waggons) oder Ladung eintritt.Rail-bound transport safety systems, in particular interlockings and train protection systems, are increasingly being automated by computers. A high degree of reliability, availability, maintainability and personal safety are to be ensured (so-called RAMS requirements, Reliability Availability Maintainability Safety). While software errors (programming errors) can usually be detected and eliminated by suitable planning and testing of test scenarios until they are put into operation, hardware faults (in particular the failure of individual components, such as transistors) can in principle occur at any time during operation. Such hardware errors have to be uncovered in good time, so that there is no danger to people (train drivers, passengers) and preferably also from valuable resources (locomotives, wagons) or cargo when using the rail-bound transport safety device.

Bei sicherheitsrelevanten Anwendungen in Transportsicherungssystemen wird daher üblicherweise eine mehrkanalige Verarbeitung und Überprüfung von sicherheitsrelevanten Komponenten durchgeführt, vgl. beispielsweise M. Schäfer, F. Schneider, „Standardisierte Bedienoberflächen für Bahnsteuerungssysteme”, Signal + Draht (98), 9/2006, S. 50–52 .For security-relevant applications in transport safety systems, a multi-channel processing and checking of safety-relevant components is therefore usually carried out, cf. for example M. Schäfer, F. Schneider, "Standardized user interfaces for path control systems", Signal + Draht (98), 9/2006, p. 50-52 ,

Bei der mehrkanaligen Verarbeitung werden mehrere gleichartige Prozesse physikalisch voneinander getrennt, also mit unterschiedlicher Hardware, parallel betrieben, und die Ergebnisse werden miteinander verglichen. Bei Übereinstimmung der Ergebnisse kann davon ausgegangen werden, dass die beteiligte Hardware korrekt funktioniert. Bei einem Fehler in einer beteiligten Hardware kommt es zu einer Divergenz der Ergebnisse, was durch deren Vergleich erkannt werden kann. Die Anwendung kann dann geeignete Sicherungsmaßnahmen ergreifen, z. B. vorsorglich Signale auf „Halt” stellen.In multichannel processing, several similar processes are physically separated from one another, ie with different hardware, operated in parallel, and the results are compared with one another. If the results match, it can be assumed that the hardware involved works correctly. If there is an error in a participating hardware, the results will diverge, which can be detected by comparing them. The application can then take appropriate security measures, e.g. For example, as a precaution, set signals to "stop".

Software aus dem Bereich der schienengebundenen Transportsicherungssysteme ist üblicherweise auf einzelnen Geräten installiert, bei denen die physikalische Trennung von Prozessen gut sichergestellt werden kann. Hierzu werden die Software und die Gerätearchitektur geeignet aufeinander abgestimmt.Software for rail-mounted transport safety systems is usually installed on individual devices where the physical separation of processes can be ensured. For this purpose, the software and the device architecture are suitably coordinated with each other.

Bei Rechnern mit so genannten Multicore-Prozessoren ist es möglich, durch geeignete Programmierung eine feste Zuordnung von einzelnen Prozessen zu Rechnerresourcen zu erwirken. Bei der Programmierung unter Linux hat sich dazu die Verwendung von so genannten „cgroups” bewährt, vgl. den englischen Wikipedia-Eintrag „cgroups” vom 31.3.2016. Entsprechend können für Prozesse, deren Ergebnisse verglichen werden müssen, unterschiedliche Prozessorkerne zugewiesen werden (so genanntes „core binding”), wodurch die physikalische Trennung der Prozesse sichergestellt werden kann.In computers with so-called multicore processors, it is possible to obtain a fixed assignment of individual processes to computer resources by means of suitable programming. When programming under Linux, the use of so-called "cgroups" has proven to be useful, cf. the English Wikipedia entry "cgroups" from 31.3.2016. Correspondingly, for processes whose results need to be compared, different processor cores can be assigned (so-called "core binding"), whereby the physical separation of the processes can be ensured.

Durch die Virtualisierung von Anwendungen kann auf die Bereitstellung einzelner Geräte in vielen Fällen verzichtet werden, ebenso ist die Software-Entwicklung und Integration vereinfacht. Die Virtualisierung eines Zugkontrollsystems ist beispielsweise in der WO 2015/126529 A1 vorgeschlagen worden.Virtualization of applications eliminates the need to deploy individual devices in many cases, and simplifies software development and integration. The virtualization of a train control system is for example in the WO 2015/126529 A1 been proposed.

Durch Virtualisierung auf einem Servercluster aus mehreren Einzelservern ist es zudem möglich, bei Ausfall eines Einzelservers eine Migration von Prozessen zu einem anderen Einzelserver vorzunehmen und so die Verfügbarkeit einer Anwendung zu verbessern.By virtualizing on a server cluster of several single servers, it is also possible to migrate processes to another single server in case of failure of a single server and thus to improve the availability of an application.

Bei Betrieb einer Software auf einer virtualisierten Betriebsebene eines Serverclusters können jedoch einzelne von der Software betriebene Prozesse nicht mehr bestimmten Rechnerresourcen zugewiesen werden; insbesondere werden die einzelnen Prozesse im Wesentlichen zufällig einem der Einzelrechner zugewiesen. Es besteht dann eine (statistisch relevante) Gefahr, dass mehrere Prozesse, deren Ergebnisse die miteinander verglichen werden sollen, auf derselben Hardware ablaufen, so dass ein Hardwarefehler dieser Hardware bei diesen mehreren Prozessen die gleichen Falschberechnungen erzeugt, und entsprechend der Hardwarefehler nicht mehr durch einen Vergleich der Ergebnisse der Prozesse gefunden werden kann. In diesem Fall ist die Betriebssicherheit im schienengebundenen Transportsicherungssystem mehr gewährleistet.When operating a software on a virtualized operating level of a server cluster, however, individual processes operated by the software can no longer be assigned to specific computer resources; In particular, the individual processes are essentially randomly assigned to one of the individual computers. There is then a (statistically relevant) risk that several processes, the results of which are to be compared to each other, run on the same hardware, so that a hardware error of this hardware generates the same false calculations for these multiple processes, and corresponding to the hardware errors no longer Comparison of the results of the processes can be found. In this case, the operational safety in the rail-bound transport safety system is more guaranteed.

Aufgabe der ErfindungObject of the invention

Der Erfindung liegt die Aufgabe zugrunde, eine Servereinrichtung bereitzustellen, bei der eine verbesserte Verfügbarkeit einer Software-Anwendung bei gleichzeitig hoher Betriebssicherheit des Zugverkehrs gewährleistet werden kann.The invention has for its object to provide a server device in which an improved availability of a software application can be guaranteed at the same time high reliability of train traffic.

Kurze Beschreibung der Erfindung Brief description of the invention

Diese Aufgabe wird gelöst durch eine Servereinrichtung der eingangs genannten Art, die dadurch gekennzeichnet ist,
dass die Software auf einer virtuellen Betriebsebene der Servereinrichtung betrieben wird,
dass die Servereinrichtung wenigstens zwei physikalisch voneinander getrennte Servercluster umfasst,
und dass die Software wenigstens zwei Teile umfasst, die auf verschiedenen der wenigstens zwei Servercluster installiert sind, so dass die wenigstens zwei Prozesse auf verschiedenen der wenigstens zwei Servercluster betrieben werden.This object is achieved by a server device of the type mentioned, which is characterized
that the software is operated on a virtual operating level of the server device,
the server device comprises at least two physically separate server clusters,
and that the software comprises at least two parts installed on different ones of the at least two server clusters so that the at least two processes are run on different ones of the at least two server clusters.

Die Erfindung macht für eine Software-Anwendung zum einen die erhöhte Verfügbarkeit in Serverclustern zugänglich, stellt aber zum anderen sicher, dass Prozesse, deren Ergebnisse zur Wahrung der Betriebssicherheit miteinander verglichen werden müssen, physikalisch voneinander getrennt ablaufen. Dafür wird die Servereinrichtung, die zum Betrieb der Software verwendet wird, mit wenigstens zwei Serverclustern eingerichtet. Jeder der Servercluster der Servereinrichtung umfasst wenigstens zwei Einzelserver, die untereinander eine Migration von Prozessen bei Ausfall eines Einzelservers gestatten (High Availability Cluster). Dadurch wird eine hohe Verfügbarkeit (Betriebsbereitschaft) sichergestellt. Zum anderen wird die Software auf wenigstens zwei Teile aufgespalten, die auf die wenigstens zwei Servercluster verteilt werden. Jeweils ein Teil der Software, und damit einer der Prozesse, ist einem der Servercluster fest zugeordnet. Dadurch ist sichergestellt, dass die Prozesse, deren Ergebnisse miteinander verglichen werden sollen, auf verschiedenen Serverclustern und damit auf unterschiedlicher Hardware laufen. Diese physikalisch Trennung der Prozesse stellt sicher, dass ein einzelner Hardwarefehler, welcher ein falschen Ergebnis eines Prozesses bewirkt, durch Vergleich mit dem Ergebnis eines mit anderer (einwandfreier) Hardware berechneten, gleichartigen Prozesses aufgedeckt werden kann.The invention makes available for a software application on the one hand the increased availability in server clusters, but on the other hand ensures that processes whose results must be compared to maintain operational reliability physically separate from each other. For this, the server device used to operate the software is set up with at least two server clusters. Each of the server clusters of the server device comprises at least two individual servers that allow each other to migrate processes in the event of a single server failure (high availability cluster). This ensures high availability (operational readiness). On the other hand, the software is split into at least two parts, which are distributed to the at least two server clusters. One part of the software, and thus one of the processes, is permanently assigned to one of the server clusters. This ensures that the processes whose results are compared to each other run on different server clusters and thus on different hardware. This physical separation of processes ensures that a single hardware failure that causes a false result of a process can be detected by comparison with the result of a similar process computed with other (sound) hardware.

Die Prozesse, deren Ergebnisse miteinander verglichen werden, können besondere Prüfprozesse sein, die zusätzlich zur Steuerungsfunktion der Softwareapplikation ablaufen (etwa die Berechnung von Prüfziffern/Prüfsummen), oder auch Hauptprozesse, die selbst für die Steuerungsfunktion genutzt werden (etwa die Berechnung eines Gleisbildes). Die miteinander zu vergleichenden Prozesse führen zur Erlangung des jeweiligen Prozessergebnisses die gleichen Rechenoperationen in gleicher Reihenfolge aus (gleichartige Prozesse). Gleiche Prozessergebnisse zeigen im Allgemeinen ein korrektes Funktionieren der Servereinrichtung an; ungleiche Prozessergebnisse zeigen im Allgemeinen eine Störung an.The processes whose results are compared with one another can be special test processes that run in addition to the control function of the software application (such as the calculation of check digits / checksums), or even main processes that are themselves used for the control function (such as the calculation of a track pattern). The processes to be compared carry out the same arithmetic operations in the same order to obtain the respective process result (similar processes). Similar process results generally indicate proper functioning of the server device; Unequal process results generally indicate a disorder.

Einer der Prozesse, deren Ergebnisse miteinander vergleichen werden sollen, ist beispielsweise ein Master-Prozess, und ein zweiter Prozess ein Slave-Prozess. Falls das Ergebnis des Slave-Prozesses vom zuvor ermittelten Ergebnis des Master-Prozesses abweicht, wird der Status der Software-Applikation auf „nicht sicher” (unsafe) gesetzt (etwa durch den Software-Teil des Masterprozesses und/oder den Software-Teil des Slave-Prozesses und/oder eines weiteren Software-Teils für den Vergleichsprozess), und keinem der Ergebnisse der Prozesse wird mehr vertraut. Bei einer Stellwerks-Applikation können sodann beispielsweise alle betroffenen Signale vorsorglich auf „Halt” gesetzt werden.One of the processes whose results are to be compared is, for example, a master process, and a second process a slave process. If the result of the slave process deviates from the previously determined result of the master process, the status of the software application is set to "unsafe" (for example by the software part of the master process and / or the software part of the software) Slave process and / or another software part for the comparison process), and none of the results of the processes becomes more familiar. In the case of an interlocking application, for example, all affected signals can then be set to "stop" as a precautionary measure.

Durch den Vergleich der Ergebnisse der Prozesse kann zuverlässig ein sicherer Betrieb der Servereinrichtung bzw. der Software-Applikation und damit auch der gesteuerten Funktion des schienengebundenen Transportsicherungssystems, etwa in einem elektronischen Stellwerk, gewährleistet werden. Da die Prozesse strikt jeweils den einzelnen Serverclustern zugeordnet sind, ist die physikalische Trennung der Prüfungsmechanismen jederzeit sichergestellt. Physikalisch voneinander getrennt bedeutet dabei eine Trennung der Rechenprozesse bezüglich der verwendeten Hardware.By comparing the results of the processes reliable operation of the server device or the software application and thus also the controlled operation of the rail-bound transport safety system, such as in an electronic interlocking, can be reliably ensured. Since the processes are strictly assigned to the individual server clusters, the physical separation of the check mechanisms is ensured at all times. Physically separated from each other here means a separation of the computing processes with respect to the hardware used.

Durch die Virtualisierung ist es möglich, die Software weitgehend unabhängig von einer lokalen, zur Verfügung stehenden Hardware zu betreiben. Insbesondere ist es leicht möglich, einzelne Komponenten (wie Einzelserver innerhalb eines der Servercluster) auszutauschen.Virtualization makes it possible to operate the software largely independent of local, available hardware. In particular, it is easily possible to exchange individual components (such as single servers within one of the server clusters).

Bevorzugte Ausführungsformen der ErfindungPreferred embodiments of the invention

Bei einer bevorzugten Ausführungsform der erfindungsgemäßen Servereinrichtung ist die Software eine Stellwerks-Applikation. Aufgrund der erfindungsgemäßen Architektur der Servereinrichtung kann ein hoher Sicherheitslevel, wie er für Stellwerks-Applikationen üblicherweise gefordert ist, gewährleistet werden. Auch ist die hohe Verfügbarkeit von Vorteil, um Verzögerungen im Betriebsablauf des Zugverkehrs zu vermeiden bzw. zu minimieren.In a preferred embodiment of the server device according to the invention, the software is an interlocking application. Due to the inventive architecture of the server device, a high level of security, as is usually required for interlocking applications, can be guaranteed. Also, the high availability is advantageous to avoid or minimize delays in the operation of train traffic.

Besonders bevorzugt ist eine Weiterbildung, bei der die Software eine Applikation zum Betreiben der Bedienoberfläche eines rechnergesteuerten Stellwerks ist, insbesondere mit einer Funktionalität zum Anbinden von mobilen Bedienterminals. Beispielsweise kann die Software eine HIS-Server-Applikation (HIS = human machine interface for interlocking systems), insbesondere mit MPT- und/oder HHT-Proxy-Funktion sein (MPT = mobile possession terminal; HHT = hand held terminal). Bei dieser Applikation hat sich die erfindungsgemäße Serverarchitektur besonders bewährt. Als zu vergleichende Prozesse bzw. deren Ergebnisse können hier berechnete Gleisbilder genutzt werden, die auf Bedienterminals, insbesondere mobilen Bedienterminals (wie Tablet-Computern) angezeigt werden. Da der Verwender zeitweise Verantwortung für die Freigabe von Gleisabschnitten übernehmen kann, sollte hier ein hoher Sicherheitsstandard zur Verfügung stehen, den die Erfindung bieten kann.Particularly preferred is a development in which the software is an application for operating the user interface of a computer-controlled interlocking, in particular with a functionality for connecting mobile control terminals. For example, the software may be a HIS server application (HIS = human machine interface for interlocking systems), in particular with MPT and / or HHT proxy function (MPT = mobile possession terminal). In this application, the server architecture according to the invention has proven particularly useful. As to be compared processes or their results can here calculated track images that are displayed on operator terminals, in particular mobile operator terminals (such as tablet computers). Since the user can temporarily take responsibility for the release of track sections, a high safety standard should be available here, which the invention can offer.

Ebenfalls bevorzugt ist eine Ausführungsform, bei der die Software eine Zugsicherungs-Applikation ist. Aufgrund der erfindungsgemäßen Architektur der Servereinrichtung kann ein hoher Sicherheitslevel, wie er auch für Zugsicherungs-Applikationen üblicherweise gefordert ist, gewährleistet werden. Zugsicherungs-Applikationen können beispielsweise Notbremssysteme beim Überfahren von „Halt”-Signalen beinhalten.Also preferred is an embodiment in which the software is a train protection application. Due to the architecture of the server device according to the invention, a high level of security, as is usually required for train protection applications, can be ensured. Train protection applications may include, for example, emergency braking systems when driving over "stop" signals.

Vorteilhaft ist weiterhin eine Ausführungsform, bei der die Software nach Sicherheits-Integritäts-Level 2 (SIL2) oder höher eingerichtet ist. Diese Sicherheitsstufe SIL2 genügt für viele Anwendungen von schienenbasierten Transportsicherungssystemen, und ist mit der erfindungsgemäßen Serverarchitektur gut zu erreichen, wobei gleichzeitig eine erhöhte Verfügbarkeit ermöglicht werden kann. Der Sicherheits Integritäts Level (SIL) ist gemäß EN 61508 (insbesondere EN 50128 und EN 50129 ) in der am 4.4.2016 geltenden Fassung bestimmt. Die Software kann beispielsweise eine HIS-Server-Applikation sein.Also advantageous is an embodiment in which the software is set up according to safety integrity level 2 (SIL2) or higher. This security level SIL2 is sufficient for many applications of rail-based transport security systems, and is easy to achieve with the server architecture according to the invention, while at the same time an increased availability can be made possible. The Safety Integrity Level (SIL) is according to EN 61508 (especially EN 50128 and EN 50129 ) as amended on 4.4.2016. The software may be, for example, a HIS server application.

Besonders vorteilhaft ist eine Ausführungsform, bei der die Software nach Sicherheits-Integritäts-Level 4 (SIL4) eingerichtet ist. Damit genügt die Software höchsten Sicherheitsanforderungen. Die Sicherheitsstufe SIL4 ist mit der erfindungsgemäßen Serverarchitektur ebenfalls gut zu erreichen, wobei gleichzeitig eine erhöhte Verfügbarkeit ermöglicht werden kann. Der Sicherheits Integritäts Level (SIL) ist gemäß EN 61508 (insbesondere EN 50128 und EN 50129 ) in der am 4.4.2016 geltenden Fassung bestimmt. Die Software kann beispielsweise eine Anwendung einer Funkstreckenzentrale (RBC = Radio Block Centre) oder eines elektronischen Stellwerks (interlocking module) sein, weiterhin auch eine SCM-Applikation (SCM = safe communication module) oder eine FEC-Applikation (FEC = field element controller).Particularly advantageous is an embodiment in which the software according to security integrity level 4 (SIL4) is set up. Thus, the software meets the highest security requirements. The security level SIL4 can also be easily achieved with the server architecture according to the invention, whereby at the same time increased availability can be made possible. The Safety Integrity Level (SIL) is according to EN 61508 (especially EN 50128 and EN 50129 ) as amended on 4.4.2016. The software can be, for example, an application of a radio link center (RBC) or an electronic interlocking module, and also an SCM application (SCM = safe communication module) or an FEC application (FEC = field element controller). ,

Vorteilhaft ist weiterhin eine Ausführungsform, bei der die Software genau zwei Prozesse, physikalisch voneinander getrennt, auf genau zwei verschiedenen Serverclustern betreibt. Die Einrichtung von zwei Serverclustern für lediglich (bei einem jeweiligen Prüfvorgang jeweils) zwei miteinander zu vergleichenden Prozessen ist vergleichsweise einfach einzurichten, erhöht aber die Sicherheit bei gleichzeitig hoher Verfügbarkeit erheblich.Also advantageous is an embodiment in which the software operates exactly two processes, physically separated, on exactly two different server clusters. Setting up two server clusters for only two processes to be compared with each other during a respective test procedure is comparatively easy to set up, but considerably increases the security while at the same time ensuring high availability.

Eine alternative, vorteilhafte Ausführungsform sieht vor, dass die Servereinrichtung drei physikalisch voneinander getrennte Servercluster umfasst, dass die Software wenigstens drei Teile umfasst, die auf verschiedenen der Serverclustern installiert sind, so dass die Software drei Prozesse auf verschiedenen der drei Servercluster betreibt, und dass die Ergebnisse der Prozesse im Rahmen einer 2-aus-3-Entscheidung für die Steuerung der Funktion des schienengebundenen Transportsicherungssystems ausgewertet werden. Mit der 2-aus-3-Entscheidung ist es möglich, auch bei Ausfall einer Hardware (hier eines Fehlers auf einem der Servercluster) noch richtige Prozessergebnisse zu identifizieren, was die Verfügbarkeit weiter erhöht.An alternative, advantageous embodiment provides that the server device comprises three physically separate server clusters, that the software comprises at least three parts that are installed on different server clusters, so that the software operates three processes on different of the three server clusters, and that the Results of the processes are evaluated in the context of a 2-out-of-3 decision for the control of the function of the rail-bound transport safety system. With the 2-out-of-3 decision it is possible to identify correct process results even if one hardware fails (in this case a fault on one of the server clusters), which further increases the availability.

Bevorzugt ist auch eine Ausführungsform, bei der die Servereinrichtung wenigstens eine weitere Software zur Steuerung einer weiteren Funktion eines schienengebundenen Transportsicherungssystems betreibt, und dass die wenigstens eine weitere Software auf lediglich einem der Servercluster installiert ist und betrieben wird. Die jeweilige weitere Software wird nicht in unterschiedliche Teile zerlegt, die auf unterschiedlichen Serverclustern installiert werden müssen; hierdurch ist der Betrieb der weiteren Software deutlich erleichtert. Die weitere Software ist typischerweise nach SIL0 eingerichtet. Typischerweise sind bei dieser Ausführungsform auf jedem der Servercluster jeweils eine oder mehrere einzelne, weitere Software-Applikationen installiert und betrieben.Also preferred is an embodiment in which the server device operates at least one further software for controlling a further function of a rail-bound transport securing system, and that the at least one further software is installed and operated on only one of the server clusters. The respective additional software is not decomposed into different parts that have to be installed on different server clusters; As a result, the operation of the other software is much easier. The other software is typically set up according to SIL0. Typically, in this embodiment, one or more individual, further software applications are installed and operated on each of the server clusters.

Bei einer bevorzugten Weiterbildung dieser Ausführungsform umfasst die wenigstens eine weitere Software eine oder mehrere der folgenden Softwareapplikationen:

  • – Fahrplan-Planungs-System, insbesondere Aramis-D;
  • – Zugnummernverwaltungs- und Zuglenkungs-System, insbesondere ARAMIS-C;
  • – Daten-Analyse- und Metrik-System (Business Intelligence);
  • – Zugwartungs-System (Maintenance Centre);
  • – Zugdaten Erfassungs- und Kontroll-System (Checkpoint Master Node);
  • – Betriebskomponenten Erfassungs- und Auswertungs-System (Service Management Tool). Diese Anwendungen harmonieren in der Praxis gut mit der auf verscheidene Servercluster aufgeteilten Software, insbesondere wenn diese zum Betrieb einer Benutzeroberfläche eines Stellwerks, etwa mit Anbindung für mobile Endgeräte, ausgebildet ist.
In a preferred development of this embodiment, the at least one further software comprises one or more of the following software applications:
  • - schedule planning system, in particular Aramis-D;
  • - train number management and routing system, in particular ARAMIS-C;
  • - Data analysis and metric system (Business Intelligence);
  • - Train maintenance system;
  • - train data acquisition and control system (Checkpoint Master Node);
  • - Operating components Acquisition and evaluation system (Service Management Tool). In practice, these applications harmonize well with the software divided into various server clusters, in particular if it is designed to operate a user interface of a signal box, for example with a connection for mobile terminals.

Weitere Vorteile der Erfindung ergeben sich aus der Beschreibung und der Zeichnung. Ebenso können die vorstehend genannten und die noch weiter ausgeführten Merkmale erfindungsgemäß jeweils einzeln für sich oder zu mehreren in beliebigen Kombinationen Verwendung finden. Die gezeigten und beschriebenen Ausführungsformen sind nicht als abschließende Aufzählung zu verstehen, sondern haben vielmehr beispielhaften Charakter für die Schilderung der Erfindung.Further advantages of the invention will become apparent from the description and the drawings. Likewise, according to the invention, the above-mentioned features and those which are still further developed may be used individually or as one or more of them Combinations use find. The embodiments shown and described are not to be understood as exhaustive enumeration, but rather have exemplary character for the description of the invention.

Detaillierte Beschreibung der Erfindung und ZeichnungDetailed description of the invention and drawing

Die Erfindung ist in der Zeichnung dargestellt und wird anhand von Ausführungsbeispielen näher erläutert. Es zeigen:The invention is illustrated in the drawing and will be explained in more detail with reference to embodiments. Show it:

1 eine schematische Übersicht des Aufbaus einer ersten Ausführungsform einer erfindungsgemäßen Servereinrichtung, mit zwei Serverclustern; 1 a schematic overview of the structure of a first embodiment of a server device according to the invention, with two server clusters;

2 eine schematische Übersicht des Aufbaus einer zweiten Ausführungsform einer erfindungsgemäßen Servereinrichtung, mit drei Serverclustern. 2 a schematic overview of the structure of a second embodiment of a server device according to the invention, with three server clusters.

Überblick über die ErfindungOverview of the invention

Die vorliegende Erfindung basiert auf der Verteilung von Prozessen einer Softwaresteuerung eines schienengebundenen Transportsicherungssystems in einer virtuellen Betriebsebene auf verschiedene Servercluster. Die Prozesse können dadurch einer Migration auf den Einzelservern ihres Serverclusters unterzogen werden, um eine hohe Verfügbarkeit bei Ausfall einzelner Einzelserver sicherzustellen. Die Prozesse sind gleichartig, und die Ergebnisse der Prozesse werden für Sicherheitszwecke miteinander verglichen. Durch die Verteilung der Prozesse auf verschiedene Servercluster ist sichergestellt, dass die Prozesse stets auf unterschiedlichen Einzelservern laufen, so dass einzelne Hardwarefehler zu verschiedenen Prozessergebnissen führen, die im Rahmen von Sicherheitsüberprüfungen leicht aufgedeckt werden können.The present invention is based on the distribution of software control processes of a railbound transport protection system in a virtual operating level to different server clusters. As a result, the processes can be migrated to the individual servers of their server cluster to ensure high availability in the event of individual server outages. The processes are similar and the results of the processes are compared for security purposes. Distributing the processes to different server clusters ensures that processes always run on different single servers, so single hardware failures lead to different process results, which can easily be detected during security audits.

HIS-Applikation im Rahmen der ErfindungHIS application within the scope of the invention

Die Erfindung wird nachfolgend am Beispiel der Architektur einer HIS-Applikation, insbesondere in Hinblick auf die Prozessverteilung, näher beschrieben.The invention will be described in more detail below using the example of the architecture of a HIS application, in particular with regard to the process distribution.

Die HIS-Applikation (HIS = Human machine interface for Interlocking Systems) ist eine SIL2 (Safety Integrity Level 2) Applikation, insbesondere entwickelt und zugelassen nach der Norm CENELEC EN 50128 . Sie hat im Wesentlichen die Funktion als Bedienoberfläche eines elektronischen Stellwerks (ESTW) und kann für unterschiedliche Märkte bzw. Anwendungen in unterschiedlichen Ausprägungen ausgebildet sein, um jeweilige Besonderheiten zu berücksichtigen.The HIS (Human Machine Interface for Interlocking Systems) application is a SIL2 (Safety Integrity Level 2) application, especially developed and approved according to the Standard CENELEC EN 50128 , It has essentially the function as a user interface of an electronic interlocking (ESTW) and can be designed for different markets or applications in different forms to take account of particular peculiarities.

Allen Ausprägungen gemeinsam ist die grundlegende Architektur, dass ein Master-Prozess Berechnungen durchführt, welche letztendlich zur sogenannten Ausleuchtung (= visuelle Darstellung auf einem Bildschirm) von Zuständen der Stellwerks-Elemente führen. Diese Berechnungen werden zeitgleich durch einen oder mehrere (je nach Ausprägung) Slave-Prozess(e) ebenfalls durchgeführt und die Ergebnisse der Berechnung werden kreuzweise gegeneinander verglichen, d. h. sowohl der Master-Prozess als auch der/die Slave-Prozess(e) vergleichen jeweils das eigene Rechenergebnis mit denen des/der Anderen. Im Falle einer Nicht-Übereinstimmung der Rechenergebnisse wird das Gesamt-System in einen sogenannten „nicht sicheren Zustand” versetzt, welcher bestimmte, sicherheitsrelevante Bedienhandlungen nicht mehr zulässt.Common to all characteristics is the basic architecture that a master process carries out calculations which ultimately lead to the so-called illumination (= visual representation on a screen) of states of the interlocking elements. These calculations are also performed simultaneously by one or more (depending on the type) slave process (s) and the results of the calculation are cross-checked against each other, i. H. Both the master process and the slave process (s) compare their own calculation results with those of the other. In the case of non-conformity of the calculation results, the overall system is placed in a so-called "non-safe state" which no longer permits certain safety-relevant operator actions.

Eine besondere Ausprägung der HIS-Applikation ist der sogenannte HIS-Server, welcher im Wesentlichen dazu dient, angeschlossene Bedienterminals mit den berechneten Ausleuchtungen bzw. Zuständen der Stellwerks-Elemente zu versorgen.A special feature of the HIS application is the so-called HIS server, which essentially serves to supply connected operator terminals with the calculated illuminations or states of the interlocking elements.

Um den Anforderungen nach SIL2 aus der Norm EN 50128 gerecht zu werden, muss die HIS-Architektur gemäß einem Merkmal so geartet sein, dass der Master-Prozess und ein Slave-Prozess auf unterschiedlichen (Hardware-)Prozessoren laufen. Bei Multi-Core Prozessoren kann dies erreicht werden, indem die Prozesse fest an bestimmte Prozessor-Kerne gebunden werden (Core Binding; Processor affinity). Damit kann gewährleistet werden, dass ein Rechenfehler eines Prozessors (oder eines Prozessor-Kerns) niemals zum selben, falschen Ergebnis bei Master- und bei Slave-Prozess führen kann (gleichzeitige Doppelfehler werden von der Norm ausgeschlossen).To meet the requirements of SIL2 from the Standard EN 50128 In accordance with one feature, the HIS architecture must be such that the master process and a slave process run on different (hardware) processors. For multi-core processors, this can be achieved by firmly binding the processes to specific processor cores (core binding, processor affinity). This ensures that a calculation error of a processor (or a processor core) can never lead to the same, incorrect result in master and slave processes (simultaneous double errors are excluded from the standard).

Bei der Portierung der Server-Applikationen auf eine gemeinsame virtuelle Betriebsebene (virtual platform) kann nicht mehr einfach gewährleistet werden, dass der Master- und der Slave-Prozess nicht über den selben Rechenfehler eines Prozessors laufen, da die Zuordnung von virtuellem Prozessor zu physikalischem Prozessor(-Kern) nicht so ohne weiteres gegeben und nachgewiesen werden kann.By porting the server applications to a common virtual platform, it can no longer be guaranteed that the master and slave processes are not running the same processor miscalculation because of the virtual processor to physical processor mapping (-Kern) not so readily given and can be proved.

Die Erfinder haben erkannt, dass aus Server-Computern (Einzelservern) mehrere sogenannte Servercluster gebildet werden können, welche die Vorteile einer virtuellen Betriebsebene bieten (Hoch-Verfügbarkeit, Redundanz) und gleichzeitig eine physikalische Trennung von Prozessen gewährleisten. Mit zwei Serverclustern aus je mindestens zwei Server-Computern kann der Master-Prozess auf dem einen Servercluster und der Slave-Prozess auf dem anderen Servercluster laufen. Dabei kann zwar nicht vorhergesagt werden, welcher Prozessor(-Kern) im Servercluster von einem Prozess gerade verwendet wird, aber es kann ausgeschlossen werden, dass die Prozesse auf den unterschiedlichen Serverclustern jemals denselben Prozessor(-Kern) benutzen werden.The inventors have recognized that from server computers (single servers) several so-called server clusters can be formed which offer the advantages of a virtual operating level (high availability, redundancy) and at the same time guarantee a physical separation of processes. With two server clusters each consisting of at least two server computers, the master process can run on one server cluster and the slave process on the other server cluster. Although it can not be predicted which processor (core) in the server cluster is currently being used by a process but it can be ruled out that the processes on the different server clusters will ever use the same processor (kernel).

Dadurch ist die Realisierung des oben beschriebenen Merkmals der HIS-Architektur auch beim Einsatz der HIS-Applikation auf einer virtuellen Betriebsebene realisierbar.As a result, the realization of the above-described feature of the HIS architecture can also be realized when using the HIS application on a virtual operating level.

Ausführungsform einer Servereinrichtung mit zwei ServerclusternEmbodiment of a server device with two server clusters

In 1 wird eine erste Ausführungsform einer erfindungsgemäßen Servereinrichtung 1 mit zwei Serverclustern SC1, SC2 näher beschreiben. Die Servereinrichtung 1 wird auch als virtueller Cluster (Virtual Cluster) bezeichnet.In 1 is a first embodiment of a server device according to the invention 1 with two server clusters SC1, SC2. The server device 1 is also referred to as a virtual cluster.

Zu der Servereinrichtung 1 gehören hier ein erster Servercluster SC1 und ein zweiter Servercluster SC2, welche räumlich getrennt voneinander aufgebaut sind, was in 1 durch eine physikalische Grenze 2 veranschaulicht ist. Mit „räumlich getrennt” ist gemeint, dass die Server-Computer (SVR) der beiden Servercluster SC1, SC2 nicht aus derselben Hardware bestehen, sondern separate Rechner sind. Damit kann die räumliche Trennung sowohl durch Aufbau der Servercluster SC1, SC2 im selben Gestellrahmen in einem Serverraum oder in verschiedenen Gestellrahmen im selben oder unterschiedlichen Serverräumen, als auch an unterschiedlichen Standorten mit mehreren Kilometern Entfernung ausgeführt werden. Der begrenzende Faktor für die maximale Entfernung zwischen den Serverclustern SC1, SC2 ist die Geschwindigkeit und Latenzzeit des dazwischenliegenden Netzwerks zur Synchronisation der Servercluster SC1, SC2. Netzwerkverbindungen sind in 1 durch einfache Verbindungslinien dargestellt.To the server device 1 Here include a first server cluster SC1 and a second server cluster SC2, which are spatially separated from each other, which in 1 through a physical limit 2 is illustrated. By "spatially separated" is meant that the server computers (SVR) of the two server clusters SC1, SC2 do not consist of the same hardware but are separate computers. Thus, the spatial separation can be carried out both by setting up the server cluster SC1, SC2 in the same rack in a server room or in different rack frames in the same or different server rooms, as well as at different locations several kilometers away. The limiting factor for the maximum distance between server clusters SC1, SC2 is the speed and latency of the intervening network to synchronize server clusters SC1, SC2. Network connections are in 1 represented by simple connecting lines.

Im ersten Servercluster SC1 sind mindestens zwei Server-Computer (Einzelserver) SRV-1-1, SVR-1-2 zu einem Cluster zusammengefasst. Im zweiten Servercluster SC2 sind ebenso mindestens zwei Server-Computer (Einzelserver) SVR-2-1, SVR-2-2 zu einem Cluster zusammengefasst.In the first server cluster SC1, at least two server computers (single server) SRV-1-1, SVR-1-2 are clustered. In the second server cluster SC2, at least two server computers (single server) SVR-2-1, SVR-2-2 are also combined into a cluster.

In einem Servercluster SC1, SC2 laufen verschiedene virtuelle Maschinen VM, in denen wiederum unterschiedlichste Applikationen bzw. deren Prozesse laufen. Dies können Applikationen sein, deren Prozesse verteilt auf die einzelnen Servercluster sind, aber erst deren Zusammenwirken eine gemeinsame Funktionalität ergibt, als auch Applikationen, die einzeln auf einem Servercluster laufen und unabhängig von den anderen Prozessen und Applikationen eine Funktionalität ergeben. Beispiele von Applikationen und Prozessen der virtuellen Maschinen VM sind:

  • • HIS-Master 11a (Prozess der HIS Applikation)
  • • HIS-Slave 11b (Prozess der HIS Applikation)
  • • Stellwerks-Steuerung Prozess-1 12a (Prozess der Stellwerks-Steuerung Applikation) (Interlocking-Control Process-1 = IL-Ctrl Proc-1)
  • • Stellwerks-Steuerung Prozess-2 12b (Prozess der Stellwerks-Steuerung Applikation) (Interlocking-Control Process-2 = IL-Ctrl Proc-2)
  • • Zugsicherungs-Steuerung Prozess-1 13a (Prozess der Zugsicherungs-Steuerung Applikation) (Train Control-Control Process-1 = TC-Ctrl Proc-1)
  • • Zugsicherungs-Steuerung Prozess-2 13b (Prozess der Zugsicherungs-Steuerung Applikation) (Train Control-Control Process-2 = TC-Ctrl Proc-2)
  • • Bedienoberfläche A 14 (Human Machine Interface A = HMI A)
  • • Anwendung B 15 (Application B = App B)
  • • Bedienoberfläche C 16 (Human Machine Interface C = HMI C)
  • • Anwendung D 17 (Application D = App D).
In a server cluster SC1, SC2 run various virtual machines VM, in turn, run the most different applications or their processes. This can be applications whose processes are distributed to the individual server clusters, but only their interaction gives a common functionality, as well as applications that run individually on a server cluster and independent of the other processes and applications provide functionality. Examples of applications and processes of the virtual machines VM are:
  • • HIS master 11a (Process of HIS application)
  • • HIS slave 11b (Process of HIS application)
  • • interlocking control process-1 12a (Process of interlocking control application) (Interlocking-Control Process-1 = IL-Ctrl Proc-1)
  • • interlocking control process-2 12b (Process of the interlocking control application) (Interlocking-Control Process-2 = IL-Ctrl Proc-2)
  • • Train Control Process-1 13a (Process of train control application) (Train Control-Control Process-1 = TC-Ctrl Proc-1)
  • • Train Control Process-2 13b (Process of train control application) (Train Control-Control Process-2 = TC-Ctrl Proc-2)
  • • User interface A 14 (Human Machine Interface A = HMI A)
  • • Application B 15 (Application B = App B)
  • • User interface C 16 (Human Machine Interface C = HMI C)
  • • Application D 17 (Application D = App D).

Die Servereinrichtung 1 weist eine gemeinsame Cluster-Kontrolle (Cluster Control) 18 und eine gemeinsame Speicher-Kontrolle (Storage Control) 19 für beide Servercluster SC1, SC2 auf. Jeder Servercluster SC1, SC2 verfügt über eine eigene Hochverfügbarkeits-Kontrolle (high availability = HA control) 20a, 20b, mit der Prozesse der Anwendungen zwischen den Einzelrechnern SRV-1-1, SRV-1-2 bzw. SRV-2-1, SRV-2-2 innerhalb des jeweiligen Serverclusters SC1 bzw. SC2 verschoben werden können, insbesondere wenn bei einem Einzelrechner ein Defekt auftreten sollte. Weiterhin verfügt jeder Servercluster SC1, SC2 jeweils über einen eigenen Speicher (Storage Vol1, Storage Vol2) 21a, 21b, der von den Einzelservern des jeweiligen Clusters SC1, SC2 genutzt werden kann.The server device 1 has a common cluster control (cluster control) 18 and a shared storage control (Storage Control) 19 for both server clusters SC1, SC2. Each server cluster SC1, SC2 has its own high availability control (high availability = HA control) 20a . 20b with which the processes of the applications between the individual computers SRV-1-1, SRV-1-2 or SRV-2-1, SRV-2-2 can be moved within the respective server cluster SC1 or SC2, in particular if in a single computer a defect should occur. Furthermore, each server cluster SC1, SC2 each has its own memory (Storage Vol1, Storage Vol2) 21a . 21b which can be used by the individual servers of the respective cluster SC1, SC2.

Im gezeigten Ausführungsbeispiel ist die HIS-Server-Software 11 in zwei Teile aufgeteilt: Der HIS-Master-Prozess 11a ist auf dem ersten Servercluster SC1 implementiert, und der (zum HIS-Master-Prozess 11a gleichartige) HIS-Slave-Prozess 11b ist auf dem zweiten Servercluster SC2 implementiert. Der HIS-Master-Prozess 11a wird daher stets auf einem der Einzelserver SRV-1-1 oder SRV-1-2 des ersten Serverclusters SC1 ablaufen, nicht aber auf den Einzelservern des zweiten Serverclusters SC2. Umgekehrt wird der HIS-Slave-Prozess 11b stets auf einem der Einzelserver SRV-2-1 oder SRV-2-2 des zweiten Serverclusters SC2 ablaufen, nicht aber auf den Einzelservern des ersten Serverclusters SC1. Dadurch ist sichergestellt, dass der HIS-Master-Prozess 11a und der HIS-Slave-Prozess 11b stets physikalisch voneinander getrennt sind. Wenn die Prozessergebnisse übereinstimmen, kann dem übereinstimmenden Prozessergebnis vertraut werden.In the embodiment shown, the HIS server software 11 divided into two parts: The HIS master process 11a is implemented on the first server cluster SC1 and the (to the HIS master process 11a similar) HIS slave process 11b is implemented on the second server cluster SC2. The HIS master process 11a Therefore, it will always run on one of the single servers SRV-1-1 or SRV-1-2 of the first server cluster SC1, but not on the single servers of the second server cluster SC2. Conversely, the HIS slave process 11b always run on one of the individual server SRV-2-1 or SRV-2-2 of the second server cluster SC2, but not on the individual servers of the first server cluster SC1. This ensures that the HIS master process 11a and the HIS slave process 11b always physically separated from each other. If the process results match, the matching process result can be trusted.

Ebenso sind hier die gleichartigen Prozesse 12a und 12b der Stellwerksteuerungs-Software 12 physikalisch voneinander getrennt, und die gelichartigen Prozesse 13a und 13b der Zugsicherungssteuerungs-Software 13 sind physikalisch voneinander getrennt; bei übereinstimmenden Prozessergebnissen kann dem übereinstimmenden Prozessergebnis wiederum jeweils vertraut werden. Die weiteren Software-Applikationen 14, 15, 16, 17 bzw. deren Prozesse sind hier jeweils ohne ein gleichartiges Gegenstück beim jeweils anderen Servercluster SC1, SC2, werden also nur jeweils einfach auf einem der Servercluster SC1, SC2 ausgeführt. Dies ist vor allem für nicht sicherheitsrelevante Anwendungen vorgesehen. Likewise here are the similar processes 12a and 12b the interlocking control software 12 physically separated from each other, and the gel-like processes 13a and 13b the train control software 13 are physically separated from each other; in the case of matching process results, the matching process result can again be trusted in each case. The other software applications 14 . 15 . 16 . 17 or their processes are in each case without a similar counterpart in the other server cluster SC1, SC2, so are only each simply run on one of the server cluster SC1, SC2. This is intended primarily for non-safety applications.

Ausführungsform mit drei ServerclusternEmbodiment with three server clusters

In 2 ist eine Ausführungsform einer erfindungsgemäßen Servereinrichtung (Virtual Cluster) 30 dargestellt, die über drei Servercluster SC1, SC2, SC3 verfügt. Der Aufbau der Servereinrichtung 30 mit drei Serverclustern SC1, SC2, SC3 entspricht weitgehend dem Aufbau mit zwei Serverclustern von 1, so dass nachfolgend nur die wesentlichen Unterschiede erläutert werden.In 2 is an embodiment of a server device according to the invention (Virtual Cluster) 30 which has three server clusters SC1, SC2, SC3. The structure of the server device 30 with three server clusters SC1, SC2, SC3 is similar in design to two server clusters of 1 , so that only the essential differences are explained below.

Auf der Servereinrichtung 30 mit drei Serverclustern SC1, SC2, SC3 können Applikationen laufen, welche dem sogenannten 2aus3-Prinzip (2 out of 3 = 2oo3) folgen. Bei diesen Applikationen führen drei gleichartige Prozesse die gleichen Rechenalgorithmen durch und kommen dabei jeweils zu einem Rechenergebnis. Diese Rechenergebnisse werden von einem Vergleicher gegeneinander verglichen. Sofern mindestens zwei von den drei Rechenergebnissen übereinstimmen, wird dieses übereinstimmende Ergebnis als richtig betrachtet. Sollte der Vergleicher drei unterschiedliche Ergebnisse feststellen, wird das System als „nicht sicher” markiert. Nach diesem Prinzip arbeiten beispielsweise die Stellwerks-Applikation oder die Zugsicherungs-Applikation.On the server device 30 With three server clusters SC1, SC2, SC3, applications can run that follow the so-called 2aus3 principle (2 out of 3 = 2oo3). In these applications, three similar processes carry out the same computation algorithms, each resulting in a computational result. These results are compared by a comparator. If at least two of the three computational results match, this matching result is considered correct. If the comparator detects three different results, the system is marked as "not safe". For example, the interlocking application or the train protection application work according to this principle.

Ein Kriterium zur Zulassung nach der Norm EN 50128 ist bei den 2oo3-Systemen, dass die einzelnen Prozesse auf unterschiedlicher Hardware laufen. Dies kann durch die erfindungsgemäße Servereinrichtung 30 (Virtual Cluster), die auf drei durch physikalische Grenzen 2 getrennten Serverclustern SC1, SC2, SC3 basiert, sichergestellt werden. Eingebettet in je eine virtuelle Maschine VM laufen beispielsweise die Prozesse der Stellwerks-Applikation verteilt auf den drei Serverclustern und benutzen somit niemals dieselben Prozessoren bzw. Prozessorkerne. Mit 2oo3-Systemen kann auch der Sicherheitsstandard gemäß SIL4 erreicht werden.A criterion for approval under the Standard EN 50128 For the 2oo3 systems, the individual processes run on different hardware. This can be done by the server device according to the invention 30 (Virtual Cluster), based on three physical boundaries 2 separated server clusters SC1, SC2, SC3. Embedded in each virtual machine VM, for example, the processes of the interlocking application run distributed on the three server clusters and thus never use the same processors or processor cores. With 2oo3 systems, the safety standard according to SIL4 can also be achieved.

Typische Applikationen von 2oo3 Systemen bzw. deren Prozesse sind:

  • • Bedien Prozess-1 31a (Prozess der Bedienoberfläche) (Operation Control Process-1 = OC Proc-1)
  • • Bedien Prozess-2 31b (Prozess der Bedienoberfläche) (Operation Control Process-2 = OC Proc-2)
  • • Bedien Prozess-3 31c (Prozess der Bedienoberfläche) (Operation Control Process-3 = OC Proc-3)
  • • Stellwerks Prozess-1 32a (Prozess der Stellwerks Applikation) (Interlocking Process-1 = IL Proc-1)
  • • Stellwerks Prozess-2 32b (Prozess der Stellwerks Applikation) (Interlocking Process-2 = IL Proc-2)
  • • Stellwerks Prozess-3 32c (Prozess der Stellwerks Applikation) (Interlocking Process-3 = IL Proc-3)
  • • Zugsicherungs Prozess-1 33a (Prozess der Zugsicherungs Applikation) (Train Control Process-1 = TC Proc-1)
  • • Zugsicherungs Prozess-2 33b (Prozess der Zugsicherungs Applikation) (Train Control Process-2 = TC Proc-2)
  • • Zugsicherungs Prozess-3 33c (Prozess der Zugsicherungs Applikation) (Train Control Process-3 = TC Proc-3)
Typical applications of 2oo3 systems or their processes are:
  • Operation process 1 31a (Operator Interface Process) (Operation Control Process-1 = OC Proc-1)
  • Operation Process 2 31b (Operator Interface Process) (Operation Control Process-2 = OC Proc-2)
  • Operation Process 3 31c (Process of the user interface) (Operation Control Process-3 = OC Proc-3)
  • • interlocking process-1 32a (Process of the interlocking application) (Interlocking Process-1 = IL Proc-1)
  • • interlocking process-2 32b (Process of the interlocking application) (Interlocking Process-2 = IL Proc-2)
  • • interlocking process-3 32c (Process of the interlocking application) (Interlocking Process-3 = IL Proc-3)
  • • train protection process-1 33a (Process of Train Control Application) (Train Control Process-1 = TC Proc-1)
  • • train protection process-2 33b (Process of train protection application) (Train Control Process-2 = TC Proc-2)
  • • Train Control Process-3 33c (Process of train protection application) (Train Control Process-3 = TC Proc-3)

Vorliegend sind die gleichartigen Prozesse 31a, 31b, 31c bzw. zugehörige Teile der Bedienungs-Software 31 auf die drei Servercluster SC1, SC2, SC3 verteilt, so dass die Prozesse 31a, 31b, 31c nie auf demselben Prozessor bzw. derselben Hardware ablaufen, und somit deren Prozessergebnisse nicht durch einen einzelnen Hardwarefehler in gleicher Weise falsch sein können. Entsprechendes gilt für die Prozesse 32a, 32b, 32c der Stellwerks-Software 32 und weiterhin die Prozesse 33a, 33b, 33c der Zugsicherungs-Software 33. Auch in einem Virtual Cluster bzw. einer Servereinrichtung 30 mit drei Serverclustern SC1, SC2, SC3 können weitere, einzelne Applikationen bzw. weitere Prozesse laufen, welche unabhängig von den 2oo3-Systemen sind, hier die weiteren Software-Applikationen HMI A 34, App B 35, HMI C 36, App D 37, HMI E 38, App F 39.Here are the similar processes 31a . 31b . 31c or associated parts of the operating software 31 distributed to the three server clusters SC1, SC2, SC3, so that the processes 31a . 31b . 31c never run on the same processor or hardware, and thus their process results can not be equally wrong by a single hardware failure. The same applies to the processes 32a . 32b . 32c the interlocking software 32 and continue the processes 33a . 33b . 33c the train protection software 33 , Also in a virtual cluster or a server setup 30 With three server clusters SC1, SC2, SC3, further, individual applications or other processes can run, which are independent of the 2oo3 systems, in this case the further software applications HMI A. 34 , App B 35 , HMI C 36 , App D 37 , HMI E 38 , App F 39 ,

BezugszeichenlisteLIST OF REFERENCE NUMBERS

11
Servereinrichtungserver facility
22
physikalische Grenzephysical limit
11a, 11b11a, 11b
gleichartige Prozessesimilar processes
1111
Software (HIS-Server)Software (HIS server)
12a, 12b12a, 12b
gleichartige Prozessesimilar processes
1212
Software (Stellwerksteuerung)Software (interlocking control)
13a, 13b13a, 13b
gleichartige Prozessesimilar processes
1313
Software (Zugsicherungsteuerung)Software (train control)
14–1714-17
weitere Softwarefurther software
1818
Cluster-KontrolleCluster Control
1919
Speicher-KontrolleMemory control
20a–20c20a-20c
Hochverfügbarkeits-KontrolleHigh-availability control
21a–21c 21a-21c
SpeicherStorage
3030
Servereinrichtungserver facility
31a–31c31a-31c
gleichartige Prozessesimilar processes
3131
Software (Bedienung)Software (operation)
32a–32c32a-32c
gleichartige Prozessesimilar processes
3232
Software (Stellwerk)Software (signal box)
33a–33c33a-33c
gleichartige Prozessesimilar processes
3333
Software (Zugsicherung)Software (train protection)
34–3934-39
weitere Softwarefurther software
SC1–SC3SC1-SC3
Serverclusterserver cluster
SRV-1-1SRV 1-1
Server-Computer (Einzelserver)Server computer (single server)
SRV-1-2SRV 1-2
Server-Computer (Einzelserver)Server computer (single server)
SRV-2-1SRV 2-1
Server-Computer (Einzelserver)Server computer (single server)
SRV-2-2SRV 2-2
Server-Computer (Einzelserver)Server computer (single server)
SRV-3-1SRV 3-1
Server-Computer (Einzelserver)Server computer (single server)
SRV-3-2SRV 3-2
Server-Computer (Einzelserver)Server computer (single server)

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • WO 2015/126529 A1 [0007] WO 2015/126529 A1 [0007]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • M. Schäfer, F. Schneider, „Standardisierte Bedienoberflächen für Bahnsteuerungssysteme”, Signal + Draht (98), 9/2006, S. 50–52 [0003] M. Schäfer, F. Schneider, "Standardized user interfaces for path control systems", Signal + Draht (98), 9/2006, pp. 50-52 [0003]
  • EN 61508 [0020] EN 61508 [0020]
  • EN 50128 [0020] EN 50128 [0020]
  • EN 50129 [0020] EN 50129 [0020]
  • EN 61508 [0021] EN 61508 [0021]
  • EN 50128 [0021] EN 50128 [0021]
  • EN 50129 [0021] EN 50129 [0021]
  • Norm CENELEC EN 50128 [0032] Standard CENELEC EN 50128 [0032]
  • Norm EN 50128 [0035] Standard EN 50128 [0035]
  • Norm EN 50128 [0048] Standard EN 50128 [0048]

Claims (10)

Servereinrichtung (1; 30), betreibend eine Software zur Steuerung einer Funktion eines schienengebundenen Transportsicherungssystems, wobei die Software (11, 12, 13; 31, 32, 33) wenigstens zwei Prozesse (11a11b; 12a12b; 13a13b; 31a31c; 32a32c; 33a33c) physikalisch voneinander getrennt betreibt, deren Ergebnisse miteinander verglichen werden, um die Steuerung der Funktion vorzunehmen, dadurch gekennzeichnet, dass die Software (11, 12, 13; 31, 32, 33) auf einer virtuellen Betriebsebene der Servereinrichtung (1; 30) betrieben wird, dass die Servereinrichtung (1; 30) wenigstens zwei physikalische voneinander getrennte Servercluster (SC1, SC2, SC3) umfasst, und dass die Software (11, 12, 13; 31, 32, 33) wenigstens zwei Teile umfasst, die auf verschiedenen der wenigstens zwei Servercluster (SC1, SC2, SC3) installiert sind, so dass die wenigstens zwei Prozesse (11a11b; 12a12b; 13a13b; 31a31c; 32a32c; 33a33c) auf verschiedenen der wenigstens zwei Servercluster (SC1, SC2, SC3) betrieben werden.Server device ( 1 ; 30 ) operating software for controlling a function of a rail transport safety system, the software ( 11 . 12 . 13 ; 31 . 32 . 33 ) at least two processes ( 11a - 11b ; 12a - 12b ; 13a - 13b ; 31a - 31c ; 32a - 32c ; 33a - 33c ) are physically separated from each other, the results of which are compared with one another in order to carry out the control of the function, characterized in that the software ( 11 . 12 . 13 ; 31 . 32 . 33 ) on a virtual operating level of the server device ( 1 ; 30 ), that the server device ( 1 ; 30 ) comprises at least two physically separate server clusters (SC1, SC2, SC3) and that the software ( 11 . 12 . 13 ; 31 . 32 . 33 ) comprises at least two parts installed on different ones of the at least two server clusters (SC1, SC2, SC3) so that the at least two processes ( 11a - 11b ; 12a - 12b ; 13a - 13b ; 31a - 31c ; 32a - 32c ; 33a - 33c ) are operated on different ones of the at least two server clusters (SC1, SC2, SC3). Servereinrichtung (1; 30) nach Anspruch 1, dadurch gekennzeichnet, dass die Software (11, 12, 13; 31, 32, 33) eine Stellwerks-Applikation ist.Server device ( 1 ; 30 ) according to claim 1, characterized in that the software ( 11 . 12 . 13 ; 31 . 32 . 33 ) is an interlocking application. Servereinrichtung (1; 30) nach Anspruch 2, dadurch gekennzeichnet, dass die Software (11, 12, 13; 31, 32, 33) eine Applikation zum Betreiben der Bedienoberfläche eines rechnergesteuerten Stellwerks ist, insbesondere mit einer Funktionalität zum Anbinden von mobilen Bedienterminals.Server device ( 1 ; 30 ) according to claim 2, characterized in that the software ( 11 . 12 . 13 ; 31 . 32 . 33 ) is an application for operating the user interface of a computer-controlled interlocking, in particular with a functionality for connecting mobile control terminals. Servereinrichtung (1; 30) nach Anspruch 1, dadurch gekennzeichnet, dass die Software (11, 12, 13; 31, 32, 33) eine Zugsicherungs-Applikation ist.Server device ( 1 ; 30 ) according to claim 1, characterized in that the software ( 11 . 12 . 13 ; 31 . 32 . 33 ) is a train protection application. Servereinrichtung (1; 30) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Software (11, 12, 13; 31, 32, 33) nach Sicherheits-Integritäts-Level 2 (SIL2) oder höher eingerichtet ist.Server device ( 1 ; 30 ) according to one of the preceding claims, characterized in that the software ( 11 . 12 . 13 ; 31 . 32 . 33 ) is set to Safety Integrity Level 2 (SIL2) or higher. Servereinrichtung (1; 30) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Software (11, 12, 13; 31, 32, 33) nach Sicherheits-Integritäts-Level 4 (SIL4) eingerichtet ist.Server device ( 1 ; 30 ) according to one of the preceding claims, characterized in that the software ( 11 . 12 . 13 ; 31 . 32 . 33 ) is set to Security Integrity Level 4 (SIL4). Servereinrichtung (1; 30) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Software (11, 12, 13) genau zwei Prozesse (11a11b; 12a12b; 13a13b), physikalisch voneinander getrennt, auf genau zwei verschiedenen Serverclustern (SC1, SC2) betreibt.Server device ( 1 ; 30 ) according to one of claims 1 to 6, characterized in that the software ( 11 . 12 . 13 ) exactly two processes ( 11a - 11b ; 12a - 12b ; 13a - 13b ), physically separated from each other, operates on exactly two different server clusters (SC1, SC2). Servereinrichtung (1; 30) nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Servereinrichtung (30) drei physikalisch voneinander getrennte Servercluster (SC1, SC2, SC3) umfasst, dass die Software (31, 32, 33) wenigstens drei Teile umfasst, die auf verschiedenen der Serverclustern (SC1, SC2, SC3) installiert sind, so dass die Software (31, 32, 33) drei Prozesse (31a31c; 32a32c; 33a33c) auf verschiedenen der drei Servercluster (SC1, SC2; SC3) betreibt, und dass die Ergebnisse der Prozesse (31a31c; 32a32c; 33a33c) im Rahmen einer 2-aus-3-Entscheidung für die Steuerung der Funktion des schienengebundenen Transportsicherungssystems ausgewertet werden.Server device ( 1 ; 30 ) According to one of claims 1 to 7, characterized in that the server means ( 30 ) comprises three physically separate server clusters (SC1, SC2, SC3) that the software ( 31 . 32 . 33 ) comprises at least three parts installed on different ones of the server clusters (SC1, SC2, SC3) so that the software ( 31 . 32 . 33 ) three processes ( 31a - 31c ; 32a - 32c ; 33a - 33c ) on different of the three server clusters (SC1, SC2, SC3) and that the results of the processes ( 31a - 31c ; 32a - 32c ; 33a - 33c ) are evaluated as part of a 2-out-of-3 decision to control the function of the rail-based transport safety system. Servereinrichtung (1; 30) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Servereinrichtung (1; 30) wenigstens eine weitere Software (1417; 3439) zur Steuerung einer weiteren Funktion eines schienengebundenen Transportsicherungssystems betreibt, und dass die wenigstens eine weitere Software (1417; 3439) auf lediglich einem der Servercluster (SC1, SC2, SC3) installiert ist und betrieben wird.Server device ( 1 ; 30 ) according to one of the preceding claims, characterized in that the server device ( 1 ; 30 ) at least one additional software ( 14 - 17 ; 34 - 39 ) for controlling a further function of a rail-bound transport securing system, and that the at least one further software ( 14 - 17 ; 34 - 39 ) is installed and operated on only one server cluster (SC1, SC2, SC3). Servereinrichtung (1; 30) nach Anspruch 9, dadurch gekennzeichnet, dass die wenigstens eine weitere Software (1417; 3439) eine oder mehrere der folgenden Softwareapplikationen umfasst: – Fahrplan-Planungs-System, insbesondere Aramis-D; – Zugnummernverwaltungs- und Zuglenkungs-System, insbesondere ARAMIS-C – Daten-Analyse- und Metrik-System (Business Intelligence); – Zugwartungs-System (Maintenance Centre); – Zugdaten Erfassungs- und Kontroll-System (Checkpoint Master Node); – Betriebskomponenten Erfassungs- und Auswertungs-System (Service Management Tool).Server device ( 1 ; 30 ) according to claim 9, characterized in that the at least one further software ( 14 - 17 ; 34 - 39 ) comprises one or more of the following software applications: - schedule planning system, in particular Aramis-D; - train number management and routing system, in particular ARAMIS-C - data analysis and metric system (Business Intelligence); - Train maintenance system; - train data acquisition and control system (Checkpoint Master Node); - Operating components Acquisition and evaluation system (Service Management Tool).
DE102016206988.8A 2016-04-25 2016-04-25 Server device operating software for controlling a function of a rail-bound transport security system Withdrawn DE102016206988A1 (en)

Priority Applications (8)

Application Number Priority Date Filing Date Title
DE102016206988.8A DE102016206988A1 (en) 2016-04-25 2016-04-25 Server device operating software for controlling a function of a rail-bound transport security system
EP17720733.9A EP3448735B1 (en) 2016-04-25 2017-04-24 Server device operating a piece of software for controlling a function of a rail transport safety system
PT177207339T PT3448735T (en) 2016-04-25 2017-04-24 Server device operating a piece of software for controlling a function of a rail transport safety system
PL17720733T PL3448735T3 (en) 2016-04-25 2017-04-24 Server device operating a piece of software for controlling a function of a rail transport safety system
PCT/EP2017/059631 WO2017186629A1 (en) 2016-04-25 2017-04-24 Server device operating a piece of software for controlling a function of a rail transport safety system
ES17720733T ES2795015T3 (en) 2016-04-25 2017-04-24 Server device that operates a software for controlling a function of a rail transport protection system
DK17720733.9T DK3448735T3 (en) 2016-04-25 2017-04-24 Server device running a software for controlling a function of a rail-bound transport security system
SA518400293A SA518400293B1 (en) 2016-04-25 2018-10-23 Server Device Operating A Piece of Software for Controlling A Function of A Rail Transport Safety System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016206988.8A DE102016206988A1 (en) 2016-04-25 2016-04-25 Server device operating software for controlling a function of a rail-bound transport security system

Publications (1)

Publication Number Publication Date
DE102016206988A1 true DE102016206988A1 (en) 2017-10-26

Family

ID=58664667

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016206988.8A Withdrawn DE102016206988A1 (en) 2016-04-25 2016-04-25 Server device operating software for controlling a function of a rail-bound transport security system

Country Status (8)

Country Link
EP (1) EP3448735B1 (en)
DE (1) DE102016206988A1 (en)
DK (1) DK3448735T3 (en)
ES (1) ES2795015T3 (en)
PL (1) PL3448735T3 (en)
PT (1) PT3448735T (en)
SA (1) SA518400293B1 (en)
WO (1) WO2017186629A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109783103B (en) * 2019-03-19 2021-04-16 北京邮电大学 Method and device for realizing human-computer interface of rail transit train control system
EP4028301A4 (en) 2019-09-12 2023-11-08 Thales Canada Inc. Over-speed protection device
DE102021209038A1 (en) * 2021-08-18 2023-02-23 Siemens Mobility GmbH Method for automatically detecting and correcting memory errors in a secure multi-channel computer

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2884392A1 (en) * 2013-12-13 2015-06-17 Thales Triple software redundancy fault tolerant framework architecture
WO2015126529A1 (en) 2014-02-18 2015-08-27 Ghaly Nabil N Method & apparatus for a train control system

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6243825B1 (en) * 1998-04-17 2001-06-05 Microsoft Corporation Method and system for transparently failing over a computer name in a server cluster
DE19942981A1 (en) * 1999-09-09 2001-03-22 Alcatel Sa Program module and method for increasing the security of a software-controlled system
US6944785B2 (en) * 2001-07-23 2005-09-13 Network Appliance, Inc. High-availability cluster virtual server system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2884392A1 (en) * 2013-12-13 2015-06-17 Thales Triple software redundancy fault tolerant framework architecture
WO2015126529A1 (en) 2014-02-18 2015-08-27 Ghaly Nabil N Method & apparatus for a train control system

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
EN 50128
EN 50129
EN 61508
M. Schäfer, F. Schneider, „Standardisierte Bedienoberflächen für Bahnsteuerungssysteme", Signal + Draht (98), 9/2006, S. 50–52
Norm CENELEC EN 50128
Norm EN 50128
VMWARE: Handbuch zur Verfügbarkeit in vSphere. 2009. Im Internet: <URL: http://www.vmware.com/files/de/pdf/vsp_40_availability_de.pdf> *

Also Published As

Publication number Publication date
WO2017186629A1 (en) 2017-11-02
DK3448735T3 (en) 2020-06-22
PT3448735T (en) 2020-07-07
EP3448735A1 (en) 2019-03-06
SA518400293B1 (en) 2021-10-21
PL3448735T3 (en) 2020-11-02
ES2795015T3 (en) 2020-11-20
EP3448735B1 (en) 2020-04-29

Similar Documents

Publication Publication Date Title
DE2908316C2 (en) Modular multi-processor data processing system
EP2550599B1 (en) Control computer system, method for controlling a control computer system, and use of a control computer system
EP2852896B1 (en) Arrangement having a microprocessor system
EP3448735B1 (en) Server device operating a piece of software for controlling a function of a rail transport safety system
DE102010013349A1 (en) Computer system and method for comparing output signals
DE19509150C2 (en) Method for controlling and regulating vehicle brake systems and vehicle brake system
EP3102475A1 (en) Replacement resource for a defective computer channel of a rail vehicle
DE102016215345A1 (en) Method and device for redundant data processing
DE102018118243A1 (en) Techniques for providing a secure control parameter for multi-channel control of a machine
DE102011119585A1 (en) Improved scalable CPU for coded execution of software in highly dependent security-related applications
EP3338189A2 (en) Method for operating a multicore processor
DE102006012042A1 (en) Control device e.g. personal computer, for e.g. joint robot, has two channels for processing independent codes with mutual safety monitoring, and main storage provided for accessing two processor cores of multi-processor core
WO2016049670A1 (en) Distributed real-time computer system and time-controlled distribution unit
EP3186710A1 (en) Microcontroller system and method for safety-critical motor vehicle systems and the use thereof
DE10053023C1 (en) Method for controlling a safety-critical railway operating process and device for carrying out this method
DE2647367A1 (en) Multiple redundant process controller - has detector stages to continuously monitor performance of each unit to indicate single or double malfunction
EP2279480B1 (en) Method and system for monitoring a security-related system
EP0182134A2 (en) Method for operating a fail-safe multi-computer system with some not fail-safe input/output units
DE102021209687A1 (en) Cloud computer for executing at least one partially automated driving function of a motor vehicle and method for operating a cloud computer
WO2016087175A1 (en) Processing system for a motor vehicle system
EP3172671B1 (en) Method for parallel processing of data in a computer system comprising a plurality of computer units and computer system comprising a plurality of computer units
DE102011011224A1 (en) Control unit system
DE19531923B4 (en) Device for realizing safe-life functions
DE2925169A1 (en) COMPUTER CONTROLLED ACTUATOR
EP1426862B1 (en) Synchronization of data processing within redundant processing elements of a data processing system

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: THALES MANAGEMENT & SERVICES DEUTSCHLAND GMBH, DE

Free format text: FORMER OWNER: THALES DEUTSCHLAND GMBH, 71254 DITZINGEN, DE

R082 Change of representative

Representative=s name: KOHLER SCHMID MOEBUS PATENTANWAELTE PARTNERSCH, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee