DE4306470A1 - Verfahren zur gewaehrleistung der signaltechnischen sicherheit der benutzeroberflaeche einer datenverarbeitungsanlage - Google Patents
Verfahren zur gewaehrleistung der signaltechnischen sicherheit der benutzeroberflaeche einer datenverarbeitungsanlageInfo
- Publication number
- DE4306470A1 DE4306470A1 DE19934306470 DE4306470A DE4306470A1 DE 4306470 A1 DE4306470 A1 DE 4306470A1 DE 19934306470 DE19934306470 DE 19934306470 DE 4306470 A DE4306470 A DE 4306470A DE 4306470 A1 DE4306470 A1 DE 4306470A1
- Authority
- DE
- Germany
- Prior art keywords
- information
- image
- display
- computer
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 63
- 230000011664 signaling Effects 0.000 claims abstract description 6
- 230000015654 memory Effects 0.000 claims description 28
- 238000012545 processing Methods 0.000 claims description 6
- 238000011144 upstream manufacturing Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 2
- 230000006870 function Effects 0.000 claims description 2
- 241001465754 Metazoa Species 0.000 claims 1
- 230000000007 visual effect Effects 0.000 abstract 1
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000005755 formation reaction Methods 0.000 description 2
- 241000251468 Actinopterygii Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000004456 color vision Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009413 insulation Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1608—Error detection by comparing the output signals of redundant hardware
- G06F11/1616—Error detection by comparing the output signals of redundant hardware where the redundant component is an I/O device or an adapter therefor
- G06F11/162—Displays
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L21/00—Station blocking between signal boxes in one yard
- B61L21/06—Vehicle-on-line indication; Monitoring locking and release of the route
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L25/00—Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
- B61L25/06—Indicating or recording the setting of track apparatus, e.g. of points, of signals
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Controls And Circuits For Display Device (AREA)
- Train Traffic Observation, Control, And Security (AREA)
Description
Die vorliegende Erfindung betrifft ein Verfahren zur Gewähr
leistung der signaltechnischen Sicherheit der Benutzerober
fläche einer Datenverarbeitungsanlage gemäß dem Oberbegriff
des Patentanspruchs 1.
In den heute eingesetzten Anzeigen für die signaltechnisch
sichere Darstellung des Prozeßabbilds von Eisenbahnanlagen
werden die Farbsichtgeräte zweikanalig von zwei verschiedenen
Rechnern angesteuert, um für den Prozeßzustand eine Anzeige
mit signaltechnischer Sicherheit zu gewährleisten. Hierbei
wird speziell für diesen Zweck entwickelte Hard- und Soft
ware verwendet. Häufig wird ein spezieller Bildschirm-Con
troller verwendet. Dieser beinhaltet zwei Bildspeicher, wel
che je von einem separaten Rechner beschickt werden. Die An
zeige wird im Sekundentakt zwischen den beiden Bildspeichern
umgeschaltet. Dadurch entsteht auf der Anzeige ein Blinken
im Sekundenrhythmus, falls die beiden Bildspeicher nicht den
gleichen Inhalt haben.
Solchermaßen realisierte Anzeigen weisen zwar eine dauernde
signaltechnische Sicherheit auf. Es handelt sich hierbei je
doch um Spezialentwicklungen. Dadurch wird die Verwendung von
normierten grafischen Oberflächen mit einer vollgrafischen
Anzeige verunmöglicht.
Für die Realisierung normierter grafischer Oberflächen auf
vollgrafischen Bildschirmen wird heute häufig die X-Window-
Technik eingesetzt. Die Anzeige erfolgt hierbei durch ein X-
Terminal oder eine Datenverarbeitungsanlage mit entsprechender
Funktionalität. Bei einem solchen X-Terminal als Anzeige läßt
sich jedoch das bewährte Konzept nicht mehr in der bisherigen
Form realisieren. Es stellen sich folgende Probleme:
Die Hard- und Software im X-Terminal weist eine gewisse Komple
xität auf. Sie kann nicht als fehlerfrei im Sinne von signal
technischer Sicherheit gewertet werden. Die Ausführung nur mit
einem Prozessor im Terminal und die Ansteuerung des Terminals
von 2 Rechnern erreicht daher nicht die gleiche Wirkung wie bei
den bekannten Systemen, weil damit die signaltechnische Sicher
heit nur bis zum Eingang des X-Terminals gewährleistet wird.
Eine Verdoppelung des X-Terminal-Prozessors wäre technisch
schwierig zu realisieren. Insbesondere aber stellt sich das
Problem, daß hierbei wieder eine nicht genormte Speziallö
sung entwickelt werden müßte. Dies wäre aufgrund der stei
genden Komplexität moderner Technologie sehr aufwendig.
Bei grafischen Oberflächen erfolgt die Bedienung nicht nur
über die Tastatur, sondern auch über ein Zeigegerät. Die Po
sition des Zeigegeräts wird auf dem Bildschirm durch einen
Zeiger dargestellt. Bei jeder Bewegung des Zeigegeräts muß
die Position des Zeigers auf dem Bildschirm sofort nachge
führt werden. Bei einem zyklischen Umschalten der Anzeige
zwischen zwei Kanälen müßten die beiden Kanäle auf sehr auf
wendige Art synchronisiert werden, damit der Zeiger bei den
regelmäßigen Umschaltungen auch während einer Bewegung des
Zeigegeräts keine die Bedienung störenden Sprünge vollführt.
Es ist daher Zweck der vorliegenden Erfindung, ein Verfahren
der eingangs genannten Art zu schaffen, das flexibler als das
bekannte System ist.
Diese Aufgabe wird mit Hilfe eines Verfahrens mit den im kenn
zeichnenden Teil des Anspruchs 1 angegebenen Merkmalen gelöst.
Ein solches Verfahren erlaubt die Anwendung von grafischen
Oberflächen auf handelsüblicher Hardware als Benutzerschnitt
stelle, was eine vollgrafische Anzeige und Bedienung als Er
satz für die heutigen, zweikanalig angesteuerten Farbsichtge
räte ermöglicht. Dies ermöglicht den Einsatz von Benutzer
schnittstellen, welche dem aktuellen Stand der Technik ent
sprechen, auch in Anlagen mit signaltechnischen Sicherheits
anforderungen.
Weitere vorteilhafte Ausgestaltungen der Erfindung sind in
den abhängigen Ansprüchen angegeben.
Die Erfindung wird nun beispielsweise anhand einer Zeichnung
näher beschrieben. Es zeigt:
Fig. 1 eine schematische Darstellung zur Erläuterung der Überprüfung
des Elementzustands durch den zweiten Rechner
gemäß einer ersten Variante des erfindungsgemäßen
Verfahrens, und
Fig. 2 eine schematische Darstellung zur Erläuterung der An
zeigesicherung durch Rücklesen des Bildes gemäß einer
weiteren Variante des erfindungsgemäßen Verfahrens.
Gemäß einer ersten Variante des Verfahrens nach der vorlie
genden Erfindung wird die signaltechnische Sicherheit durch
einen Bildaufbau durch einen ersten Rechner 1 (Fig. 1) und
eine Überprüfung des Elementzustands durch einen zweiten
Rechner 2 gewährleistet. Der erste Rechner 1 bekommt eine ex
terne Information i1, aus der er in einem ersten Verfahrens
schritt (a) das anzuzeigende Bild B aufbaut, das an ein X-
Terminal 3 ausgegeben wird. Das angezeigte Bild B ist im Grund
zustand nicht sicher. Der zweite Rechner 2 bekommt eine ex
terne Information i2, aus der er in einem zweiten Verfahrens
schritt (b) ein Prozeßabbild für die Sicherheitsprüfung bil
det. Die Verfahrensschritte (a) und (b) können simultan durch
geführt werden. In einem dritten Verfahrensschritt (c) verar
beitet der Rechner 1 Befehle 4, die von einer Maus oder der
Tastatur eingeleitet werden.
In einem vierten Verfahrensschritt (d) überprüft der Rechner
2 den Zustand aller Elemente, die einen Einfluß auf die Zu
lässigkeit eines kritischen Befehls haben könnten, mit seinem
eigenen Prozeßabbild Z. Für alle Elemente, die einen Zustand
einnehmen, der zu einer gefährlichen Handlung des Fahrdienst
leiters führen könnte, generiert der Rechner 2 eine Rückfrage
R in Textform und verlangt eine Quittierung Q. Der Befehl F,
der an das Stellwerk übertragen wird, besteht bei kritischen
Bedienungen aus zwei Teilbefehlen F1 und F2. Die zwei Teil
befehle F1 und F2 werden von beiden Rechnern 1 bzw. 2 nur ab
gesetzt, wenn der Fahrdienstleiter die Rückfragen R vom Rech
ner 2 positiv quittiert (Q). Bei nichtkritischen Bedienungen
genügt ein Teilbefehl, das heißt, F kann dann gleich F1 oder
F2 sein. Die Quittierung Q kann über die X-Terminal-Tastatur
und/oder Zeigegerät (Maus) oder über eine separate, direkt am
Rechner 2 angeschlossene Kommandofreigabe-Taste erfolgen.
Eine Einfahrt kann wegen einer Stellwerkstörung nicht gestellt
werden. Wird nun das Hilfssignal verwendet, so muß sich der
Fahrdienstleiter auf gewisse Informationen auf der Anzeige ver
lassen können.
Hilfssignalfahrten müßten mit Start- und Ziel-Angabe einge
stellt werden. So ist es dem Rechner 2 möglich, festzustellen,
daß der Zug z. B. über eine falsch gestellte Weiche oder eine
belegte Isolierung fahren soll. Rechner 2 fragt auch in diesem
Fall zurück und verlangt eine Quittierung. Solche Hilfssignale
entsprechen im wesentlichen den in anderen Systemen verwendeten
sogenannten Ersatzsignalen.
Dieses Verfahren könnte die Sicherheit generell verbessern
und evtl. auch mit einer in die Benützerführung des Leitsy
stems integrierten Verwendung von Checklisten kombiniert wer
den. Für sich alleine eingesetzt stellt sich bei diesem Ver
fahren das grundsätzliche Problem, daß das System immer dar
über informiert sein muß, wenn der Fahrdienstleiter eine Ent
scheidung gestützt auf die Anzeige trifft, welche bei fehler
hafter Anzeige eine Gefährdung bewirken kann, weil keine Über
prüfung durch die Stellwerklogik möglich ist.
In weiterer Ausgestaltung dieses Verfahrens wird die Sicher
heit durch ein Rücklesen des Bildes zyklisch oder in vorbe
stimmten Zeitpunkten gewährleistet. Ein erster Rechner 1 (Fig. 2)
bekommt eine externe Information i1, aus der er in einem
ersten Verfahrensschritt (a) das anzuzeigende Bild B aufbaut,
das an ein X-Terminal 3 ausgegeben wird. Ein zweiter Rechner
2 bekommt ebenfalls eine externe Information i2, aus der er
in einem zweiten Verfahrensschritt (b) das entsprechende Pro
zeßabbild Z aufbaut. In einem dritten Verfahrensschritt
(c) fragt der Rechner 2 zyklisch und zusätzlich in bestimm
ten Situationen, z. B. bei einer Änderung der entspre
chenden Prozeßinformationen im Prozeßabbild des zweiten
Rechners das Bild im X-Terminal ab, indem im Rechner 2 ver
glichen wird, ob die Informationen im Bild B mit dem Pro
zeßabbild Z übereinstimmen, wobei bei korrekter Anzeige
ein Meldezeichen M angezeigt wird. Eine Änderung der ent
sprechenden Prozeßinformationen kann beispielsweise durch
eine lokale Bedienung einer fernbedienbaren Station statt
finden.
Bei dieser Variante sind folgende Einschränkungen zu beachten:
Das Abfragen vollgrafischer Bilder belastet die Datenverar beitungsanlage stark und kann daher abhängig von der Anzahl der Arbeitsplätze nicht beliebig durchgeführt werden.
Das Abfragen vollgrafischer Bilder belastet die Datenverar beitungsanlage stark und kann daher abhängig von der Anzahl der Arbeitsplätze nicht beliebig durchgeführt werden.
Je nach Ausstattung des X-Terminals wird das Bild direkt aus
dem Bildspeicher oder aus einem dem Bildspeicher vorgelagerten
Speicher zurückgelesen. Das Verhalten muß entsprechend be
rücksichtigt werden.
Das Zurücklesen des Fensterinhaltes aus dem Bildspeicher stellt
dann gewisse Probleme für den Bildvergleich, wenn das entspre
chende Fenster ganz oder teilweise überdeckt ist. In diesem
Fall kann der Bildvergleich nur für die sichtbaren Ausschnitte
durchgeführt werden.
Im Hinblick auf die praktische Ausführung des Verfahrens zur
Gewährleistung der logischen Zweikanaligkeit auf einem Bedien- und
Anzeigesystem ohne diversitäre Hard- und Software kann
noch bemerkt werden, daß die Informationen über die beiden
logischen Kanäle auf einem Anzeigesystem unterschiedlich dar
gestellt werden können, z. B. über einen logischen Kanal gra
fisch und über den zweiten logischen Kanal in Textform, wo
bei der Bediener Unterschiede zwischen der Anzeige der In
formationen und dem tatsächlichen Prozeßzustand durch den
Vergleich der über zwei logische Kanäle angezeigten Informa
tionen feststellen und nach entsprechender Prüfung dieser
Unterschiede durch Bedienungshandlungen "quittieren" kann.
Die Datenverarbeitungsanlage kann aufgrund der eingeleiteten
Bedienungshandlung feststellen, welchen Prozeßzustand die
für die Bedienungshandlung relevanten Prozeßinformationen
haben sollten, um auf dem zweiten logischen Kanal nur davon
abweichende Prozeßinformationen anzuzeigen, wobei es auch
möglich ist, auf dem zweiten logischen Kanal lediglich die
Prozeßinformationen betreffend die eingeleitete Bedienungs
handlung anzuzeigen.
Im Hinblick auf die praktische Ausführung des Verfahrens für
Handlungen ohne Bedienung am Bediensystem werden die benötigten
Informationen auf der Anzeige des einen logischen Kanals nicht
spontan, sondern nur aufgrund der Änderung einer entsprechenden
Prozeßinformation im zweiten Prozeßabbild geprüft.
Bei einem Prozeßabbild, das die logische Abbildung von Zu
ständen der Anlage darstellt, können die Zustände sowohl
Weichenstellungen, Signalbegriffe, Gleisbelegungen oder
andere reelle Zustände als auch rein logische interne Zu
stände, wie Sperrzustände oder Fahrstraßen, sein.
Dabei kann die Kontrolle von Informationen auf der Anzeige
durchgeführt werden durch gezieltes Rücklesen von Bildspeicher
teilen oder generelles Rücklesen des ganzen Bildspeichers und
anschließenden Vergleich der Informationen mit einem zweiten
Prozeßabbild.
Anstelle des Rücklesens des Bildspeichers ist auch ein Rück
lesen eines dem Bildspeicher vorgelagerten Speichers mit Ver
gleich und anschließendem Kopieren des dem Bildspeicher vor
gelagerten Speichers in den Bildspeicher möglich unter der Be
dingung, daß das korrekte Kopieren des dem Bildspeicher vor
gelagerten Speichers in den Bildspeicher auf der Anzeige kon
trolliert werden kann.
Da bei vollgrafischen Anzeigen fehlerhafte Anzeigen von In
formationen bestehend aus einer größeren Anzahl von Bild
punkten, welche der Benutzer nicht als fehlerhaft erkennen
kann, sehr unwahrscheinlich sind, ist für die Informations
kontrolle beim Rücklesen einer Information nicht notwendig,
sämtliche betroffenen Bildpunkte zu berücksichtigen, sondern
es genügt eine systematisch oder zufällig gebildete Auswahl
davon.
Aufgrund der verwendeten unterschiedlichen Funktionen, und
zwar auch bei Verwendung von Standard-Hardware und Soft
ware ohne Anspruch auf signaltechnische Sicherheit, kann für
die Sicherungsmaßnahmen bei den über die beiden Kanäle aus
geführten Operationen eine funktionale Softwarediversität
angenommen werden.
Claims (10)
1. Verfahren zur Gewährleistung der signaltechnischen
Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage
über zwei logische Kanäle bei aufgrund der angezeigten Infor
mationen durchgeführten Bedienungshandlungen am Bediensystem
oder anderen Handlungen ohne Benutzung des Bediensystems, für
deren Auswirkungen eine signaltechnische Sicherung nicht in
einer tieferen Ebene vollständig sichergestellt werden kann,
dadurch gekennzeichnet, daß um die Anwendung einer nicht not
wendigerweise signaltechnisch sicheren Anzeige und den Einsatz
von Standard-Hardware und -Software für die Anzeige ohne An
spruch auf signaltechnische Sicherheit zu ermöglichen, neben
einem Prozeßabbild (B) für die Anzeige ein zweites Prozeß
abbild (Z) gebraucht wird, derart, daß bei Bedienungen am
Bediensystem (Fig. 1) das zweite Prozeßabbild (Z) zur Kon
trolle, ob der Befehl aufgrund des zweiten Prozeßabbildes
zulässig ist, verwendet wird, und daß bei Handlungen ohne
Benutzung des Bediensystems (Fig. 2) das zweite Prozeßabbild
verwendet wird, um die aus dem Bildspeicher zurückgelesenen
Informationen in vorbestimmten Zeitpunkten zu verifizieren.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet,
daß die vorbestimmten Zeitpunkte zyklisch oder nach einer
Änderung der entsprechenden Prozeßinformationen im Prozeß
abbild des zweiten Rechners gewählt werden.
3. Verfahren nach Anspruch 1, zur Gewährleistung der
logischen Zweikanaligkeit auf einem Bedien- und Anzeigesystem
ohne diversitäre Hard- und Software, dadurch gekennzeichnet,
daß die Informationen über die beiden logischen Kanäle auf
einem Anzeigesystem unterschiedlich dargestellt werden.
4. Verfahren nach einem der Ansprüche 1 oder 3, da
durch gekennzeichnet, daß der Bediener Unterschiede zwischen
der Anzeige der Informationen und dem tatsächlichen Prozeß
zustand durch den Vergleich der über zwei logische Kanäle an
gezeigten Informationen feststellt und nach entsprechender
Prüfung dieser Unterschiede durch Bedienungshandlungen quit
tiert.
5. Verfahren nach einem der Ansprüche 1, 3 oder 4,
dadurch gekennzeichnet, daß auf dem zweiten logischen Kanal
lediglich die Prozeßinformationen betreffend eine eingeleitete
Bedienungshandlung angezeigt werden.
6. Verfahren nach einem der Ansprüche 1 oder 3 bis 5, da
durch gekennzeichnet, daß die Datenverarbeitungsanlage auf
grund der eingeleiteten Bedienungshandlung feststellt, welchen
Prozeßzustand die für die Bedienungshandlung relevanten Pro
zeßinformationen haben sollten, und daß auf dem zweiten lo
gischen Kanal nur davon abweichende Prozeßinformationen ange
zeigt werden.
7. Verfahren nach Anspruch 1 oder 2, dadurch gekenn
zeichnet, daß die für Handlungen ohne Bedienung am Bedien
system benötigten Informationen auf der Anzeige des einen lo
gischen Kanals dann gezielt kontrolliert werden, wenn die ent
sprechende Prozeßinformation im zweiten Prozeßabbild ändert
(Fig. 2).
8. Verfahren nach Anspruch 1, 2 oder 7, dadurch ge
kennzeichnet, daß die Kontrolle von Informationen auf der An
zeige durch gezieltes Rücklesen von Bildspeicherteilen oder
generelles Rücklesen des ganzen Bildspeichers und anschließen
den Vergleich der Informationen mit einem zweiten Prozeß
abbild oder durch Rücklesen eines dem Bildspeicher vorgelagerten
Speichers mit Vergleich und anschließendem Kopieren des dem
Bildspeicher vorgelagerten Speichers in den Bildspeicher durch
geführt wird, wobei ein korrektes Kopieren des dem Bildspeicher
vorgelagerten Speichers in den Bildspeicher auf der Anzeige kon
trollierbar ist.
9. Verfahren nach einem der Ansprüche 1, 2, 7 oder
8, dadurch gekennzeichnet, daß für die Informationskontrolle
beim Rücklesen einer Information nur eine systematisch oder
zufällig gebildete Auswahl der betroffenen Bildpunkte ver
wendet wird, weil bei vollgrafischen Anzeigen Informationen
aus einer großen Anzahl von Bildpunkten abgeleitet werden,
so daß die verfälschte Anzeige einer Information, welche der
Benutzer nicht als fehlerhaft erkennen kann, sehr unwahr
scheinlich ist.
10. Verfahren nach einem der Ansprüche 1, 2, 7, 8 oder
9, dadurch gekennzeichnet, daß für die Sicherungsmaßnahmen
bei den über die beiden Kanäle ausgeführten Operationen eine
funktionale Softwarediversität aufgrund der verwendeten unter
schiedlichen Funktionen angenommen wird, und zwar auch bei
Verwendung von Standard-Hardware und -Software ohne Anspruch
auf signaltechnische Sicherheit.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CH1399/92A CH683953A5 (de) | 1992-04-30 | 1992-04-30 | Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage. |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE4306470A1 true DE4306470A1 (de) | 1993-11-04 |
| DE4306470C2 DE4306470C2 (de) | 1995-07-06 |
Family
ID=4209520
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE19934306470 Expired - Lifetime DE4306470C2 (de) | 1992-04-30 | 1993-03-02 | Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage |
Country Status (3)
| Country | Link |
|---|---|
| AT (1) | AT402909B (de) |
| CH (1) | CH683953A5 (de) |
| DE (1) | DE4306470C2 (de) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19830926A1 (de) * | 1998-07-10 | 2000-01-13 | Alcatel Sa | Verfahren zur sicheren Anzeige des Zustandes einer signaltechnischen Anlage |
| EP1038752A1 (de) * | 1999-03-17 | 2000-09-27 | Westinghouse Brake And Signal Holdings Limited | Stellwerkanlage für Eisenbahnen |
| EP1416283A1 (de) * | 2002-11-04 | 2004-05-06 | Siemens Aktiengesellschaft | Vorrichtung zur Geschwindigkeitsanzeige in Fahrzeugen |
| WO2004110845A1 (en) * | 2003-06-13 | 2004-12-23 | Ansaldo Segnalamento Ferroviario S.P.A. | Method of safe representation by an operator interface of information relative to a physical field, in particular a railway yard |
| DE102012221714A1 (de) * | 2012-11-28 | 2014-05-28 | Siemens Aktiengesellschaft | Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem |
| DE102014201551A1 (de) * | 2014-01-29 | 2015-07-30 | Siemens Aktiengesellschaft | Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem |
| DE102014218191A1 (de) * | 2014-09-11 | 2016-03-17 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines Verkehrsleitsystems |
| EP3549842B1 (de) | 2018-04-06 | 2022-05-11 | Thales Management & Services Deutschland GmbH | Zugverkehrsleitsystem und verfahren zur sicheren anzeige einer zustandsanzeige einer strecke und zugverkehrsleitsystem |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AT413810B (de) * | 1997-06-06 | 2006-06-15 | Tiefenbach Gmbh | Einrichtung zur steuerung der fahrzeuge in einer gleisanlage |
| FR2875309B1 (fr) * | 2004-09-15 | 2006-12-22 | Alstom Transport Sa | Dispositif et procede de controle d'une console |
| DE102012212386A1 (de) * | 2012-07-16 | 2014-01-16 | Siemens Aktiengesellschaft | Prozessabbild einer technischen Anlage |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3019713C2 (de) * | 1980-05-23 | 1983-05-26 | Standard Elektrik Lorenz Ag, 7000 Stuttgart | Bedieneinrichtung für Prozeßsteuerungen mit signaltechnisch sicheren Mehrrechnersystemen |
| DE3127363A1 (de) * | 1981-07-09 | 1983-01-27 | Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt | "rechnergesteuertes stellwerk" |
| DE3137450C2 (de) * | 1981-09-21 | 1984-03-22 | Siemens AG, 1000 Berlin und 8000 München | Sicherheits-Ausgabeschaltung für eine Datenverarbeitungsanlage |
| DE3211265C2 (de) * | 1982-03-26 | 1984-06-20 | Siemens AG, 1000 Berlin und 8000 München | Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen |
| US4831521A (en) * | 1983-11-10 | 1989-05-16 | General Signal Corporation | Vital processor implemented with non-vital hardware |
| DE3522418A1 (de) * | 1985-06-22 | 1987-01-02 | Standard Elektrik Lorenz Ag | Einrichtung zur meldung des belegungszustandes von gleisabschnitten im bereich eines stellwerks |
| DE3911907A1 (de) * | 1989-04-12 | 1990-10-18 | Standard Elektrik Lorenz Ag | Verfahren zur staendigen pruefung einer signaltechnisch sicheren bildschirmdarstellung |
| DE3938501A1 (de) * | 1989-11-20 | 1991-05-23 | Siemens Ag | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens |
| DE4005393A1 (de) * | 1990-02-21 | 1991-08-22 | Standard Elektrik Lorenz Ag | Einrichtung zur signaltechnisch sicheren darstellung eines meldebildes |
-
1992
- 1992-04-30 CH CH1399/92A patent/CH683953A5/de not_active IP Right Cessation
-
1993
- 1993-03-02 DE DE19934306470 patent/DE4306470C2/de not_active Expired - Lifetime
- 1993-03-23 AT AT57893A patent/AT402909B/de not_active IP Right Cessation
Non-Patent Citations (1)
| Title |
|---|
| Signal + Draht, Heft 4, 1985, S. 67-72 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19830926A1 (de) * | 1998-07-10 | 2000-01-13 | Alcatel Sa | Verfahren zur sicheren Anzeige des Zustandes einer signaltechnischen Anlage |
| EP1038752A1 (de) * | 1999-03-17 | 2000-09-27 | Westinghouse Brake And Signal Holdings Limited | Stellwerkanlage für Eisenbahnen |
| US6308117B1 (en) | 1999-03-17 | 2001-10-23 | Westinghouse Brake & Signal Holdings Ltd. | Interlocking for a railway system |
| EP1416283A1 (de) * | 2002-11-04 | 2004-05-06 | Siemens Aktiengesellschaft | Vorrichtung zur Geschwindigkeitsanzeige in Fahrzeugen |
| WO2004110845A1 (en) * | 2003-06-13 | 2004-12-23 | Ansaldo Segnalamento Ferroviario S.P.A. | Method of safe representation by an operator interface of information relative to a physical field, in particular a railway yard |
| DE102012221714A1 (de) * | 2012-11-28 | 2014-05-28 | Siemens Aktiengesellschaft | Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem |
| DE102014201551A1 (de) * | 2014-01-29 | 2015-07-30 | Siemens Aktiengesellschaft | Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem |
| DE102014218191A1 (de) * | 2014-09-11 | 2016-03-17 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines Verkehrsleitsystems |
| EP3549842B1 (de) | 2018-04-06 | 2022-05-11 | Thales Management & Services Deutschland GmbH | Zugverkehrsleitsystem und verfahren zur sicheren anzeige einer zustandsanzeige einer strecke und zugverkehrsleitsystem |
Also Published As
| Publication number | Publication date |
|---|---|
| CH683953A5 (de) | 1994-06-15 |
| DE4306470C2 (de) | 1995-07-06 |
| AT402909B (de) | 1997-09-25 |
| ATA57893A (de) | 1997-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE2726753A1 (de) | Interface-adapter | |
| DE2225841C3 (de) | Verfahren und Anordnung zur systematischen Fehlerprüfung eines monolithischen Halbleiterspeichers | |
| DE2258917A1 (de) | Kontrollvorrichtung | |
| DE4306470C2 (de) | Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage | |
| DE4332143A1 (de) | Verfahren zum Betrieb eines Datensichtgerätes und Einrichtungen zur Durchführung des Verfahrens | |
| DE19703574A1 (de) | Verfahren zur sicheren Darstellung eines Bildes auf einem Monitor | |
| EP0584895B1 (de) | Verfahren zum signaltechnisch sicheren Anzeigen verkehrstechnischer Informationen eines Verkehrswegesystems | |
| DE3411015C2 (de) | ||
| DE2725077A1 (de) | Ueberwachungssystem fuer eine datenverarbeitungsanlage | |
| DE2420214A1 (de) | Ein/ausgabe-vermittlung mit ausfallausgleich | |
| WO2001055853A1 (de) | Verfahren und einrichtung zum ansteuern eines bildschirmgerätes für ein eisenbahnleitsystem | |
| EP0443377A2 (de) | Einrichtung zur signaltechnisch sicheren Darstellung eines Meldebildes | |
| EP0970869B1 (de) | Verfahren zur sicheren Anzeige des Zustandes einer signaltechnischen Anlage | |
| EP0392328B1 (de) | Verfahren zur ständigen Prüfung einer signaltechnisch sicheren Bildschirmdarstellung | |
| DE3332626A1 (de) | Schaltungsanordnung zum erkennen von statischen und dynamischen fehlern in schaltungsbaugruppen | |
| DE2328025A1 (de) | Verfahren zum magnetischen aufzeichnen von digitalen informationen | |
| DE3137046A1 (de) | "schaltungsanordnung zur erfassung von stoerungen in einem datenverarbeitungssystem" | |
| DE2801517A1 (de) | Verfahren und schaltungsanordnung zur verhinderung der vorzeitigen programmumschaltung | |
| EP3317856B1 (de) | Verfahren zum überprüfen der richtigkeit von einer darstellung von bilddaten auf einem anzeigemittel und anzeigeeinrichtung | |
| EP0645710A2 (de) | Verfahren zur Funktionsprüfung signaltechnisch nicht sicherer Speicher für mindestens zweikanalig abgespeicherte Nutzdaten und Einrichtung zur Durchführung des Verfahrens | |
| DE10303654A1 (de) | Integrierte Halbleiterschaltung mit eingebauter Selbsttestfunktion und zugehöriges System | |
| EP0447635B1 (de) | Verfahren zum Überprüfen von Sichtgerätesteuerungen auf Fehlerfreiheit in sicherungstechnischen Anlagen und Einrichtungen zum Durchführen dieses Verfahrens | |
| DE2756948A1 (de) | Schaltungsanordnung zur fehlersymtomverdichtung | |
| DE102018201710A1 (de) | Verfahren und Vorrichtung zum Überprüfen einer Funktion eines neuronalen Netzes | |
| EP3771613A1 (de) | Verfahren und einrichtung zum steuern einer eisenbahntechnischen anlage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| OP8 | Request for examination as to paragraph 44 patent law | ||
| 8127 | New person/name/address of the applicant |
Owner name: SIEMENS INTEGRA VERKEHRSTECHNIK AG, WALLISELLEN, C |
|
| D2 | Grant after examination | ||
| 8364 | No opposition during term of opposition | ||
| 8327 | Change in the person/name/address of the patent owner |
Owner name: SIEMENS SCHWEIZ AG, ZUERICH, CH |
|
| 8328 | Change in the person/name/address of the agent |
Free format text: DERZEIT KEIN VERTRETER BESTELLT |
|
| R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee | ||
| R409 | Internal rectification of the legal status completed | ||
| R409 | Internal rectification of the legal status completed | ||
| R071 | Expiry of right | ||
| R071 | Expiry of right |