DE3735682A1 - Einrichtung zum steuern eines stellwerks - Google Patents

Einrichtung zum steuern eines stellwerks

Info

Publication number
DE3735682A1
DE3735682A1 DE19873735682 DE3735682A DE3735682A1 DE 3735682 A1 DE3735682 A1 DE 3735682A1 DE 19873735682 DE19873735682 DE 19873735682 DE 3735682 A DE3735682 A DE 3735682A DE 3735682 A1 DE3735682 A1 DE 3735682A1
Authority
DE
Germany
Prior art keywords
security
safety
freely programmable
switching mechanism
signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19873735682
Other languages
English (en)
Inventor
Norbert Ing Theuretzbacher
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent NV
Original Assignee
Alcatel NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel NV filed Critical Alcatel NV
Publication of DE3735682A1 publication Critical patent/DE3735682A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Description

Die Erfindung betrifft eine Einrichtung zum Steuern eines Stellwerks gemäß dem Oberbegriff des Patentanspruchs 1.
Derartige Einrichtungen sind heute im Einsatz und bereits mehrfach druckschriftlich veröffentlicht worden (siehe z. B. Aufsatz von N. Siggard und N. Sorensen "Microcomputer Controlled Interlocking System" in Ericsson Review Nr. 3, 1982).
Bei derartigen Einrichtungen wird hohe Betriebssicherheit gefordert. Bei der Verwendung elektronischer Datenverarbeitungsanlagen sind aber nun eine Reihe von Fehlermöglichkeiten gegeben und es bestehen eine Reihe von Vorschlägen, diese Fehlermöglichkeiten zu eliminieren. Die Zuverlässigkeit von elektronischen Datenverarbeitungseinrichtungen kann ganz allgemein durch Verwendung eines fehlertoleranten Rechnersystems erreicht werden, wobei allerdings die Softwaresicherheit das Schlüsselproblem einer Computeranwendung für sicherheitskritische Aufgaben bleibt. Unter der Sicherheit einer derartigen Einrichtung versteht man hierbei die Wahrscheinlichkeit mit der ein System unter gegebenen Bedingungen während eines bestimmten Zeitintervalles arbeitet ohne einen Unfall zu verursachen. Neben dieser Sicherheit muß auch die sogenannte Ausfallsicherheit berücksichtigt werden, wobei hier gilt, daß ein System dann ausfallsicher ist, wenn es bei Entdeckung eines potentiell gefährlichen Fehlers in einen sicheren Zustand gebracht werden kann.
Elektronische Stellwerke sind ein klassisches Beispiel für eine ausfallsichere Echtzeitapplikation. Wann immer eine gefährliche Situation entdeckt wird, kann der Bahnhof (oder Teile davon) in einen ausfallsicheren Zustand gebracht werden, indem die Fahrsignale auf rot geschaltet werden und weitere Ausgabebefehle an die Peripherie (Weichen etc.) unterbunden werden.
Softwarefehler sind immer Entwurfsfehler; bei sicherheitskritischen Systemen sind diese Fehler potentiell gefährlich. Wenn sie nicht während der Entwurfsphase oder zur Laufzeit entdeckt werden, können sie die Systemsicherheit gefährden. Der derzeitige Stand der Softwaretechnologie erlaubt nicht die Entwicklung fehlerfreier Softwaresysteme.
Prinzipiell kann die Sicherheit einer Einrichtung der eingangs genannten Art dadurch erhöht werden, daß ein System mit zwei Softwareversionen eingesetzt wird. Ein derartiges System zeichnet sich gegenüber einem System mit drei Softwareversionen allerdings durch geringere Zuverlässigkeit, wohl aber höhere Sicherheit aus. Obwohl die Verwendung zweier Softwareversionen somit sicherlich höhere Sicherheit gewährleistet als ein Einzelprogramm besteht eine gewisse Wahrscheinlichkeit gemeinsamer gefährlicher Entwurfsfehler.
Die Hauptquelle gemeinsamer Fehler ist die gemeinsame Spezifikation aus der die Programmversionen entwickelt werden. Die Vielfalt in der Implementierung hat auch bedeutenden Einfluß auf die Wahrscheinlichkeit gemeinsamer Entwurfsfehler. Ein schwerwiegender Nachteil des N-Version Programming (NVP) sind sicherlich die Mehrkosten in Entwurf und Implementierung.
Das primäre Entwurfsziel bei der Software eines sicherheitskritischen Systems muß in der Vermeidung gefährlicher Fehler liegen. Entwurfsfehler, die "nur" den normalen Betrieb beeinträchtigen, sind unangenehm, aber nicht gefährlich. Eine mögliche Alternative besteht daher darin, die Verwendung der Entwurfdiversität auf sicherheitskritische Funktionen zu beschränken (z. B. das Wechseln des Signals von rot auf grün ist sicherheitskritisch).
Die serielle Ausführung redundanter Programme auf demselben Rechner leidet unter einem möglicherweise korrilierten Fehlerverhalten (ein Fehler einer Softwareversion könnte z. B. das Betriebssystem durcheinanderbringen). Parallele Ausführung auf getrennten Rechnern verringert die Last und entkoppelt das Fehlerverhalten.
Die Erfindung zielt nun darauf ab, die gegenüber der bloßen Anwendung fehlertoleranter Rechnersysteme oder NVP erzielbaren Vorteile weiter zu verbessern und eine Einrichtung der eingangs genannten Art zu schaffen, welche sich durch erhöhte Sicherheit durch den Einsatz von Echtzeitssystemen in Prozeßsteuerungen auszeichnet. Zur Lösung dieser Aufgabe sieht die Erfindung ausgehend von einer Einrichtung der eingangs genannten Art vor, daß dem frei programmierbaren Schaltwerk ein weiteres frei programmierbares Schaltwerk zugeschaltet ist, welchem Eingangs- und Ausgangssignale des ersten frei programmierbaren Schaltwerkes zur Verarbeitung zugeführt sind und welches unabhängig Ausgangssignale generiert, welche vor der Weiterleitung an die Stellglieder der Peripherie einem Komparator und/oder einer logischen Entscheidungseinheit (Voter), welche auch die Ausgangssignale des ersten frei programmierbaren Schaltwerkes erhalten, zugeführt sind. Das weitere frei programmierbare Schaltwerk bildet hierbei einen Sicherheitsrucksack der ständig die Sicherheit des Steuersystems und dessen Peripherie überwacht. Wann immer ein potentiell gefährlicher Fehler entdeckt wird, muß eine Handlung gesetzt werden, um den Sicherheitsstatus der Applikation aufrecht zu erhalten. Die Sicherheitsrucksack-Technik weist die folgenden Vorteile gegenüber dem konventionellen N-Version Programming auf:
  • - Diversität sowohl in Spezifikation als auch Entwurf
  • - geringere Komplexität, daher weniger Restfehler
  • - niedrigere Entwicklungskosten
  • - höhere Sicherheit
Während somit die notwendige Zuverlässigkeit durch Verwendung eines fehlertoleranten Rechnersystems erreicht werden kann, bringt die vorgeschlagene Methode des Sicherheitsrucksackes eine wesentliche Verbesserung der Systemsicherheit. Der vorgeschlagene Sicherheitsrucksack ist hierbei ein autonomes Subsystem mit der Aufgabe, die Sicherheit des Bahnhofes ständig zu überwachen. Der Sicherheitsrucksack, welcher durch das weitere frei programmierbare Schaltwerk gebildet wird, muß hierbei den ausfallsicheren Betrieb des Stellwerkes garantieren. Der Sicherheitsrucksack wird bei dem nachfolgend beschriebenen Ausführungsbeispiel als Echtzeitexpertensystem unter Verwendung einer regelorientierten Programmiersprache implementiert. Die Grundkonzepte des Sicherheitsrucksackes und sein positiver Einfluß auf die Softwaresicherheit wird in den nachstehenden Abschnitten beschrieben.
Im Rahmen der erfindungsgemäßen Einrichtung ist die Ausbildung mit Vorteil so getroffen, daß das weitere frei programmierbare Schaltwerk unabhängig von Signalen des ersten frei programmierbaren Schaltwerkes mit Stellgliedern der Signalanlagen verbindbar ist, wobei vorzugsweise das weitere frei programmierbare Schaltwerk die Eingangs- und Ausgangssignale des ersten Schaltwerkes mit dem Ist-Belegungszustand gemeinsam mit dem über einen weiteren Eingangs- und Ausgangsschaltkreis erfaßten Signalen für manuelle Verstellungen der Weichen und/oder Signalanlagen verarbeitet.
Bei der im Rahmen des Ausführungsbeispieles gewählten Software für das System wird die Fehlerprävention durch Verbindung einer geeigneten Programmiersprache (CCITT-CHILL) mit einer besonderen Entwurfmethode HCDM (Hierarchichal Chill Design Method) erreicht. Es wird dabei eine Reduktion der Restfehler um bis zu 80% erreicht.
Obwohl derartige Fehlerpräventionstechniken dazu beitragen, die restlichen Softwarefehler (und daher auch potentiell gefährliche Fehler) zu minimieren, werden zur Maximierung der Softwaresicherheit noch zusätzliche Fehlererkennungsmechanismen eingeführt.
Die erfindungsgemäße Ausbildung wird an Hand der Technik des Sicherheitsrucksackes in der Folge näher erläutert. In der Figur ist ein grundlegendes Architekturmodell eines gemäß der Erfindung ausgebildeten Stellwerks dargestellt.
Das Stellwerk gliedert sich in drei funktionelle Ebenen:
  • - Bedienerschnittstelle (Graphische Ein-/Ausgabe)
  • - Stell- und Sicherheitsebene
  • - Peripherieansteuerung
In der Figur ist die Architektur horizontal in ein Stellwerks-Subsystem A und ein Sicherheits-Subsystem B unterteilt.
Das Stellwerks-Subsystem bietet alle zur Steuerung eines Bahnhofs notwendigen Funktionen. Befehle des Bedieners werden mittels Lichtstift über die mit Farbgraphikmenü gesteuerte Bedienerschnittstelle eingegeben. Nach Vorverarbeitung durch einen Video Master Prozessor VMP werden die Befehlseingaben an einen Interlocking Prozessor ILP gesandt.
Der Interlocking Prozessor ILP hat Zugang zum kompletten Systemstatus und übersetzt, gemäß den Sicherheitsregeln, Befehle vom Video Master Prozessor VMP in einen Satz peripherer Steuerungsbefehle, die an einen Elementansteuerprozessor ECPA gesandt werden. Der Interlocking Prozessor ILP führt ein ständiges Update der Datenbasis durch, die den Systemstatus gemäß der vom Elementansteuerprozessor ECPA empfangenen Statusmeldungen enthält. Der Interlocking Prozessor ILP muß auch rechtzeitig auf gewisse Ereignisse reagieren (z. B. ein Signal von grün auf rot umschalten, wenn ein Zug vorbeifährt). Der Video Master Prozessor VMP wird vom Interlocking Prozessor ILP mit Statusinformation versorgt.
Nach Empfang eines Steuerbefehls von Interlocking Prozessor ILP, speichert der Elementansteuerprozessor ECPA diesen und leitet ihn an einen Sicherheitsprozessor (SBP) weiter. Der Sicherheitsprozessor SBP prüft, ob die Ausführung des Befehls die Systemsicherheit gefährden würde. Besteht der Befehl alle Prüfungen, sendet ihn der Sicherheitsprozessor SBP an einen dem Sicherheits-Subsystem B angehörenden weiteren Elementansteuerprozessor ECPB. Würde der Befehl eine gefährliche Situation hervorrufen, wird er gesperrt und dem Bediener ein Alarm signalisiert. Aus Gründen der Synchronisierung und um eine vollständige Sicherheitsprüfung zu ermöglichen, erhalten der Sicherheitsprozessor SBP (vom Video Master Prozessor VMP) auch alle Befehle, die von diesem an den Interlocking Prozessor ILP gesandt werden.
Nach Erhalt einer Befehlsanforderung vom Sicherheitsprozessor SBP, sendet der Elementansteuerprozessor des Subsystems B, ECPB, diese an den Elementansteuerprozessor ECPA zurück und gibt einen Steuerbefehl an die Peripherie aus. Nachdem der Elementansteuerprozessor ECPA diese Befehlsanforderung erhalten hat, vergleicht er sie mit der entsprechenden, vom Interlocking Prozessor ILP erhaltenen. Sind beide identisch, gibt auch der Elementansteuerprozessor ECPA einen Steuerbefehl an die Peripherie. Die elektrischen Befehlsignale, die von den Elementansteuerprozessoren ausgehen, werden durch eine zusätzliche, in Hardware ausgeführte Vergleichsschaltung (Hardware Voter) verglichen und nur bei Gleichheit an das Peripherieelement weitergegeben. Beide Elementansteuerprozessoren überwachen außerdem ständig den Peripheriestatus und geben alle Änderungen an den Interlocking Prozessor ILP und den Sicherheitsprozessor SBP weiter.
Der Sicherheitsprozessor erhält alle peripheren Statusmeldungen vom Elementansteuerprozessor ECPB und führt ein ständiges Update der eigenen Echtzeitdatenbasen unter Beschreibung des Systemzustandes durch. Im Fall notwendiger Reaktionen auf Ereignisse an der Peripherie gibt der Sicherheitsprozessor autonom die erforderliche Befehlsanordnung an den Elementansteuerprozessor ECPB aus.
Der Sicherheitsrucksack ist hier ein autonomes Rechnersystem, welches ständig den Sicherheitsstatus des Steuerungssystems und dessen Peripherie überwacht. Alle Aktionen und Reaktionen des Systems werden ein zweites mal daraufhin überprüft, ob sie den Sicherheitsregeln entsprechen.
Der Sicherheitsrucksack besteht aus folgenden zwei Teilen:
Passivteil:Alle von der Steuersoftware ausgegebenen sicherheitskritischen Aktionen werden anhand der Sicherheitsregeln überprüft, bevor sie an die Peripherie gesandt werden können (z. B. bevor ein Signal von rot auf grün umgeschaltet werden kann). Alle gefährlichen Handlungen werden gesperrt. Aktivteil:Der Sicherheitsrucksack gewährleistet, daß alle sicherheitskritischen Reaktionen rechtzeitig stattfinden (z. B. Wechseln eines Signals von grün auf rot bei Durchfahrt eines Zuges). Wird eine sicherheitskritische Reaktion von der Steuersoftware unterlassen, so stellt der Sicherheitsrucksack sicher, daß dies bemerkt wird.
Um den Sicherheitsstatus des Gesamtsystems analysieren zu können, muß der Sicherheitsrucksack in seiner Echtzeitdatenbasis über einen vollständigen Satz Informationen über Topologie und Konfiguration des Systems verfügen. Der Sicherheitsrucksack muß außerdem kontinuierlich alle Meldungen über den Peripheriestatus erhalten.
Die Aufgaben des Sicherheitsrucksacks (Sicherheitsüberwachung) weichen beträchtlich von denen der Steuerungssoftware (z. B. Betrieb des Stellwerks) ab. Beide Pakete haben daher unterschiedliche Spezifikationen und folglich eine beträchtlich verringerte Wahrscheinlichkeit gemeinsamer Fehlerzustände.
Neben der Diversität der Spezifikationen, wird auch maximale Entwurfsdiversität der Stellwerkssoftware und des Sicherheitsrucksacks erreicht.
Die Stellwerksteuersoftware führt in der Hauptsache konventionelle Prozessteueraufgaben durch, und die Verwendung von CHILL als Programmiersprache und eines prozeduralen Programmierparadigmas stellt daher dafür eine geeignete Wahl dar. Die Hauptaufgabe des Sicherheitsrucksacks ist die ständige Überprüfung des Status der Peripherie aufgrund von Sicherheitsregeln. Solche Regeln können idealerweise in einer regelbasierten Programmiersprache ausgedrückt werden. Der Sicherheitsrucksack wurde daher zweckmäßig als Produktionensystem - einer besonderen Art von regelbasiertem Expertensystem - implementiert.
Die Ablauflogik von Produktionensystemen unterscheidet sich in ihrer Art ganz wesentlich von jener von Programmen, die in einer prozeduralen Programmiersprache wie CCITT-CHILL geschrieben sind. Einer der Hauptunterschiede liegt in der Verwendung von datensensitiven, ungeordneten Regeln durch das Produktionensystem (sogenannte "Produktionen") anstelle einer Sequenz von Anweisungen als Grundeinheit der Programmausführung.
Ein wichtiger Grund für die Auswahl eines Produktionensystems war die hohe Ausführungsgeschwindigkeit die sich mit einer derartigen Architektur erreichen läßt. Eine compilierte Wissensbasis, kombiniert mit einem sehr wirkungsvollen Mustervergleichsalgorithmus (dem sogenannten RETE-Algorithmus) ermöglicht eine Durchschnittsleistung von bis zu 100 Regeln pro Sekunde.
Die Synchronisierungs- und Kommunikationsprobleme wurden dadurch gelöst, daß das komplette Expertensystem (Wissensbasis, Datenspeicher und Schlußfolgerungsmaschine) in eine CHILL-Umgebung eingebettet wurde. In dieser Umgebung sieht das Expertensystem wie ein gewöhnlicher CHILL-Prozeß aus und kann auf die Echtzeit-Datenbank zugreifen und mit anderen Prozessen kommunizieren.
Eine Prozedurschnittstelle gibt dem Expertensystem Zugriff auf alle benötigten Funktionen des Betriebssystems. Anstatt über eine Dialogschnittstelle mit einem Anwender zu kommunizieren, tauscht das Expertensystem in seiner CHILL-Umgebung CHILL-Nachrichten ("Signale", "Buffer" und "Events") mit anderen CHILL-Prozessen und Datensätze mit der Echtzeit-Datenbank aus.
Die Realisierung des Sicherheitsnetzes als Expertensystem bringt ein Höchstmaß an Unterschiedlichkeit, da sowohl deklaratives (regelorientiertes) als auch prozedurales (CHILL) Programmieren zum Einsatz kommt. Ein weiterer positiver Faktor besteht darin, daß die Sicherheitsregeln in einer regelorientierten Programmiersprache formuliert werden können. Die Regeldarstellung kann beinahe als formale Spezifikation angesehen werden, die direkt, ohne zusätzliche Codierung, ausgeführt wird. Die Codierung der Sicherheitsregeln in CHILL würde weit mehr Aufwand erfordern und außerdem noch die Gefahr zusätzlicher Programmierfehler in sich bergen. Die Ausführung der Sicherheitsprüfung durch den Sicherheitsrucksack geht in den folgenden drei Phasen vonstatten:
  • 1. Vorprüfungsphase
    • - Befehlsdefinition: Die laufende Befehlsanforderung (für gewöhnlich eine vom Applikationsprozess empfangene Nachricht) wird in ein Zielelement übersetzt.
    • - Datenladen: Laden der benötigten Datenobjekte, die den tatsächlichen und den Zielsystemzustand darstellen. Auf die in der Echtzeitdatenbasis befindlichen Datenobjekte wird unter Verwendung der CHILL-Primitives ′get-record′ und ′put-record′ zugegriffen. Sie werden dann in Ziel- und Zustandselemente umgewandelt und im Arbeitsspeicher gespeichert.
  • 2. Sicherheitsprüfungsphase: Ausführung der Sicherheitsregeln.
  • 3. Nachbeurteilungsphase: Das positive Beurteilungsergebnis wird an den entsprechenden Prozeß gesandt oder eine Alarmaktion gesetzt (z. B. Sperren des gefährlichen Befehls und Alarmmeldung an den Fahrdienstleiter).
Die folgenden vereinfachten Programmbeispiele zeigen, wie Definitionen von Datentypen, Zielen und Regeln des Sicherheitsrucksacks aussehen können. Das in der Tabelle 1 gegebene Beispiel zeigt eine Typendeklaration für ein Datenobjekt, das den Sicherheitsstatus einer Eisenbahnweiche beschreibt. Der Sicherheitsrucksack enthält Typendeklarationen für jede Art von Peripherieelementen (verschiedene Signalarten, Gleise, usw.).
Nach Erhalt einer Befehlsanforderung (z. B. Weiche umstellen) holt der Sicherheitsrucksack die relevante Statusinformation von einer externen Echtzeitdatenbasis (Vorprüfungsphase) und speichert sie in einer Instanzierung eines Datenobjekts entsprechenden Typs (diese Datenobjekte werden im Arbeitsspeicher abgelegt). Während der Sicherheitsprüfung werden diese Datenobjekte mit den in den Sicherheitsvorschriften angeführten Bedingungen verglichen.
Tabelle 1
Beispiel einer Typendeklaration eines Datenobjekts, das den Zustand einer Weiche beschreibt
Zielelemente werden verwendet, um die Ausführung der Regeln des Sicherheitsrucksacks zu steuern. Jede Befehlsanforderung muß in eine Instanzierung des entsprechenden Zielelements übersetzt und im Arbeitsspeicher abgelegt werden. Die Interferenzmaschine vergleicht das Zielelement mit den Zielbedingungen auf der linken Seite (LHS) der Regeln und wählt die passenden Regeln aus. Eine Regel enthält typischerweise ein Zielelement und einige zusätzliche Sicherheitsbedingungen. Tabelle 2 enthält ein Beispiel einer Typendeklaration eines Zielelementes.
Tabelle 2
Typendeklaration eines Zielelements für den Sicherheitsrucksack
Das in Tabelle 3 angeführte Regelbeispiel enthält alle für einen Weichenstellbefehl im Laufe einer Fahrstraßeneinstellung durchzuführenden notwendigen Sicherheitsprüfungen. Die linke Seite (LHS) der Regel hat zwei Bedingungen - das Zielelement wählt die Art der vom Expertensystem durchzuführenden Überprüfung, und das Weichenelement enthält die komplette sicherheitsrelevante Statusinformation einer Weiche. Die Regel muß für alle Weichenstellbefehle durchgeführt werden, die notwendig sind, um eine Fahrstraße durch einen Bahnhof zu stellen. Eine Weiche kann nur gestellt werden, wenn sämtliche Sicherheitsbedingungen dieser Regel erfüllt sind.
Tabelle 3
Beispiel einer Sicherheitsregel für eine Eisenbahnweiche. Diese Regel enthält alle Sicherheitsprüfungen, die vor einer Weichenstellung während des Stellens einer Fahrstraße notwendig sind
Zur Durchführung der Sicherheitsprüfungen muß das Expertensystem mit Daten arbeiten, die in der Echtzeitbank gespeichert sind (außerhalb des Expertensystems). Die Aktualisierung dieser Echtzeitdatenbasis im Sicherheitsrucksack wird von einer Reihe von CHILL-Prozessen aufgrund von Meldungen über den Peripheriezustand durchgeführt. Eine Synchronisation und Kommunikation des Sicherheitsexpertensystems mit anderen (CHILL) Prozessen des Sicherheitsrucksacks kann über CHILL-Synchronisationsmechanismen durchgeführt werden.

Claims (3)

1.Einrichtung zum Steuern eines Stellwerkes, insbesondere für Schienenfahrzeuge, mit Ausnehmern für den Ist-Belegungszustand und die Stellung von Weichen der Schienen und/oder Signalanlagen und einem frei programmierbaren Schaltwerk zur Auswertung der Signale der Aufnehmer sowie zum Verarbeiten von Signalen für die Stellung von Weichen und/oder Signalanlagen, dadurch gekennzeichnet, daß dem frei programmierbaren Schaltwerk ein weiteres frei programmierbares Schaltwerk zugeschaltet ist, welchem Eingangs- und Ausgangssignale des ersten frei programmierbaren Schaltwerkes zur Verarbeitung zugeführt sind und welches unabhängig Ausgangssignale generiert, welche vor der Weiterleitung an die Stellglieder der Weichen und/oder Signalanlagen einem Komparator und/oder einer logischen Entscheidungseinheit (Voter), welche auch die Ausgangssignale des ersten frei programmierbaren Schaltwerkes erhalten, zugeführt sind.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß das weitere frei programmierbare Schaltwerk unabhängig von Signalen des ersten frei programmierbaren Schaltwerkes mit Stellgliedern der Signalanlagen verbindbar ist.
3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß das frei programmierbare Schaltwerk die Eingangs- und Ausgangssignale des ersten Schaltwerkes mit dem Ist-Belegungszustand gemeinsam mit dem über einen weiteren Eingangs- und Ausgangsschaltkreis erfaßten Signalen für manuelle Verstellung der Weichen und/oder Signalanlagen verarbeitet.
DE19873735682 1986-10-29 1987-10-22 Einrichtung zum steuern eines stellwerks Withdrawn DE3735682A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
AT286686 1986-10-29

Publications (1)

Publication Number Publication Date
DE3735682A1 true DE3735682A1 (de) 1988-05-11

Family

ID=3541551

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19873735682 Withdrawn DE3735682A1 (de) 1986-10-29 1987-10-22 Einrichtung zum steuern eines stellwerks

Country Status (1)

Country Link
DE (1) DE3735682A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0448796A2 (de) * 1990-03-29 1991-10-02 Siemens Aktiengesellschaft Einrichtung zum Steuern eines Stellwerkes von mindestens einem abgesetzten Bedienplatz aus
EP4037284A1 (de) * 2021-02-02 2022-08-03 Siemens Mobility GmbH Verfahren, vorrichtungen und computerprogrammprodukt zum ausführen einer software auf einem rechner für eine steuerung eines technischen systems, insbesondere eines systems zur bahnsteuerung

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0448796A2 (de) * 1990-03-29 1991-10-02 Siemens Aktiengesellschaft Einrichtung zum Steuern eines Stellwerkes von mindestens einem abgesetzten Bedienplatz aus
EP0448796A3 (en) * 1990-03-29 1993-03-24 Siemens Aktiengesellschaft Control device for an interlocking system of at least one remote control panel
EP4037284A1 (de) * 2021-02-02 2022-08-03 Siemens Mobility GmbH Verfahren, vorrichtungen und computerprogrammprodukt zum ausführen einer software auf einem rechner für eine steuerung eines technischen systems, insbesondere eines systems zur bahnsteuerung

Similar Documents

Publication Publication Date Title
DE2908316C2 (de) Modular aufgebaute Multiprozessor-Datenverarbeitungsanlage
DE60032015T2 (de) Systemen und verfahren zur ausfallsicheren prozessausführung,überwachung und ausgangssteuerung von kritischen systemen
EP0875810B1 (de) Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
DE60130285T2 (de) Reduntante Input/Output Management Einheit, insbesondere ein Wegewahlsystem
EP0742500A2 (de) Sichere Tipptasten- und Schalterfunktionen mit Fehleraufdeckung
DE102013202253A1 (de) Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs
DE1279980B (de) Aus mehreren miteinander gekoppelten Datenverarbeitungseinheiten bestehendes Datenverarbeitungssystem
DE19919504A1 (de) Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
EP3400452B1 (de) Transporteinheit mit zumindest einer anlage
EP2246756A1 (de) Verfahren und Bediengerät zum Bedienen einer sicherheitsgerichteten industriellen Automatisierungskomponente
EP1615087B1 (de) Steuer- und Regeleinheit
EP0109981A1 (de) Ausfallgesicherte Datenverarbeitungsanlage
DE3018576A1 (de) Steuereinrichtung fuer ein aus mehreren, fahstuhlaehnlichen hubeinrichtungen bestehendes liftsystem
EP3338189A2 (de) Verfahren zum betrieb eines mehrkernprozessors
AT402909B (de) Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage
DE10053023C1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
EP3557598A1 (de) Sicherheitsschalter
DE102020203419A1 (de) Verfahren und Vorrichtung zum Betreiben eines automatisiert fahrenden Fahrzeugs
DE3735682A1 (de) Einrichtung zum steuern eines stellwerks
DE112019007853T5 (de) Steuereinrichtung
WO2023052333A1 (de) Verfahren zur ansteuerung einer vielzahl von türen in einem fahrzeug
EP0428934A2 (de) Verfahren zum Betrieb eines mehrkanaligen failsafe-Rechnersystems und Einrichtung zur Durhführung des Verfahrens
DE102017220068A1 (de) Verfahren und Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs
EP3779619A1 (de) Emergente risiken eines technischen systems

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee