DE4432419A1 - Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens - Google Patents

Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens

Info

Publication number
DE4432419A1
DE4432419A1 DE19944432419 DE4432419A DE4432419A1 DE 4432419 A1 DE4432419 A1 DE 4432419A1 DE 19944432419 DE19944432419 DE 19944432419 DE 4432419 A DE4432419 A DE 4432419A DE 4432419 A1 DE4432419 A1 DE 4432419A1
Authority
DE
Germany
Prior art keywords
command
random number
operator
release
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19944432419
Other languages
English (en)
Other versions
DE4432419C2 (de
Inventor
Uwe Dipl Ing Deichmann
Bernd Dipl Ing Jung
Heinrich Dipl Ing Koenecke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19944432419 priority Critical patent/DE4432419C2/de
Priority to NL1001071A priority patent/NL1001071C2/nl
Publication of DE4432419A1 publication Critical patent/DE4432419A1/de
Application granted granted Critical
Publication of DE4432419C2 publication Critical patent/DE4432419C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Input From Keyboards Or The Like (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Die Erfindung bezieht sich auf ein Verfahren nach dem Oberbe­ griff des Patentanspruches 1 sowie auf eine Einrichtung zur Durchführung des Verfahrens.
Aus der EP 0 120 339 B1 ist eine Einrichtung zur sicheren Prozeßsteuerung bekannt, in der Kommandos, d. h. Befehle zum Einwirken auf bestimmte Prozeßelemente, daraufhin untersucht werden, ob sie auf Regelbedienungen oder freigabepflichtige Bedienungen beruhen. Regelbedienungen werden in Ausgabekom­ mandos umgesetzt; freigabepflichtige Bedienungen müssen vor ihrer Ausgabe an den Prozeß durch den Bedienenden in vorgege­ bener Weise autorisiert werden. Regelbedienungen sind solche Bedienungen, die von der Sicherheitsebene eines Schaltwerkes auf ihre Zulässigkeit hin überprüft werden bevor sie Auswir­ kungen auf den Prozeß haben. Freigabepflichtige Bedienungen sind Bedienungen, die von der Sicherheitsebene des verarbei­ tenden Schaltwerks nicht mehr auf Zulässigkeit geprüft werden und deshalb der besonderen Aufmerksamkeit des Bedienenden unterliegen; die Ausführung freigabepflichtiger Kommandos liegt ausschließlich in der Verantwortung des Bedienenden. Regelbedienungen und freigabepflichtige Bedienungen unter­ scheiden sich im Aufbau der entsprechenden Kommandotelegram­ me, so daß das Schaltwerk eindeutig zwischen ihnen unter­ scheiden und die Ausgabe einer Bedienung entweder selbst veranlassen oder die Autorisierung durch den Bedienenden anfordern kann. Zu diesem Zweck wird dem Bediener das jeweils zur Ausführung anstehende freigabepflichtige Kommando auf einem Kontrollanzeiger alphanumerisch im Klartext oder in abgekürzter Weise dargestellt. Der Bediener hat sich von der Richtigkeit des zur Ausführung anstehenden Kommandos zu überzeugen und kann dieses Kommando dann durch Betätigen eines Freigabeschaltmittels, vorzugsweise einer Taste, an den Prozeß zur Ausführung freigeben.
Freigabepflichtige Bedienungen werden häufig in Ausnahme­ situationen vorgenommen, wenn es darum geht, den Einfluß von Störungen auf das Betriebsgeschehen möglichst gering zu halten. Dann werden z. B. Hilfsfreimeldungen vorgenommen, Weichen einzeln umgestellt und Fahrstraßen oder Fahrstraßen­ reste hilfsaufgelöst. Gerade weil freigabepflichtige Bedie­ nungen häufig in Ausnahmesituationen vorgenommen werden müssen, bei denen der Bediener unter Streß steht, ist die Möglichkeit nicht auszuschließen, daß der Bediener die Kon­ trolle eines von ihm zur Ausführung freizugebenden Kommandos am Kontrollmonitor nicht mit der nötigen Sorgfalt vornimmt, sondern mehr oder weniger automatisch die Freigabetaste be­ tätigt, nachdem er die eigentliche Bedienungshandlung vorge­ nommen hat. Außerdem besteht die nicht zu unterschätzende Möglichkeit, daß der Bediener gerade in Ausnahmesituationen den ihm auf dem Kontrollmonitor angezeigten Text falsch interpretiert, beispielsweise im Hinblick auf das jeweilige Element, das durch die Bedienungshandlung betroffen ist.
Aufgabe der Erfindung ist es, ein Verfahren nach dem Oberbe­ griff des Patentanspruches 1 anzugeben, mit dem der Bediener gezwungen wird, sich vor der Freigabe eines freigabepflichti­ gen Kommandos durch Augenschein davon zu überzeugen, welches Anlagenelement durch die anstehende Bedienungshandlung tat­ sächlich betroffen ist; es ist ferner Aufgabe der Erfindung, eine Einrichtung zur Durchführung dieses Verfahrens anzuge­ ben.
Die Erfindung löst diese Aufgabe durch die kennzeichnenden Merkmale des Patentanspruches 1 bzw. des Patentanspruches 5. Vorteilhafte Ausgestaltungen und Weiterbildungen des erfin­ dungsgemäßen Verfahrens bzw. der erfindungsgemäßen Einrich­ tung sind in den Unteransprüchen angegeben. Die Erfindung ist nachstehend anhand eines in der Zeichnung dargestellten Ausführungsbeispieles näher erläutert.
Die Zeichnung zeigt schematisch ein elektronisches Stellwerk, von dem aus auf nicht dargestellte Elemente einer Außenanlage einzuwirken ist und in dem die Überwachung der Außenanlage und des sich auf der Außenanlage abspielenden Bahnverkehrs stattfindet. Das Stellwerk besteht in an sich bekannter Weise aus mehreren Rechnern, die zum Teil signaltechnisch sicher ausgeführt sind. Hierzu zählt der Eingabe-Kontroll- und Interpretationsrechner EKIR. Seine Aufgaben bestehen in der Verarbeitung und Weiterleitung von eingegebenen und eingehen­ den Daten an nachgeordnete, ebenfalls signaltechnisch sicher ausgeführte Bereichsrechner BR1 und BR2, in denen die eigentliche Stellwerkslogik verankert ist. Die vom Eingabe- Kontroll- und Interpretationsrechner EKIR zu verarbeitenden Daten stammen von einer Dateneingabetastatur DET, über die ein Bediener B Bedienungshandlungen vornehmen kann oder aber von einer Automatik zur Fernsteuerung des Stellwerkes oder zur Zuglenkung. Die jeweils eingegebenen Aufträge werden vom Eingabe-Kontroll- und Interpretationsrechner EKIR auf einem Kontrollmonitor KM textlich angezeigt und in Auftragstele­ gramme für die Bereichsrechner BR1, BR2 umgesetzt. Anstelle gesonderter Eingabetastaturen und Kontrollmonitore können auch Personalcomputer verwendet sein. Ferner erarbeitet der Eingabe-Kontroll- und Interpretationsrechner Auftragstele­ gramme für einen Anzeige- und Schnittstellenrechner ANSR, von dem aus die sichere Darstellung des Prozeßgeschehens auf einer sogenannten Bahnhofslupe L, einem Farbmonitor, erfolgt. Ferner versorgt der Eingabe-Kontroll- und Interpretations­ rechner bedarfsweise einen Drucker D mit Daten, in dem be­ stimmte Bedienungshandlungen protokolliert werden. Die Ver­ bindung zum zu steuernden Prozeß erfolgt über Stellrechner SR1 bis SR4, an die die Elemente der Außenanlage - ggf. über zwischengeschaltete Stellteile - angeschlossen sind. Über diese Stellrechner werden die Elemente der Außenanlage mit Energie versorgt und Zustandsmeldungen in das Stellwerk eingelesen. Diese Zustandsmeldungen werden in den Bereichs­ rechnern BR1 bzw. BR2 abgelegt und von diesen dem Anzeige- und Schnittstellenrechner ANSR zur Aktualisierung des auf der Lupe L dargestellten Anlagenbildes übermittelt. Die Rechner des Stellwerkes kommunizieren über ein aus Sicherheits- und Verfügbarkeitsgründen verdoppeltes Bussystem BS, das von einer Bussteuerung BST verwaltet wird.
Bedienungshandlungen und Aufträge ohne Sicherheitsverantwor­ tung werden von den Rechnern des jeweils davon betroffenen Bereichsrechners als solche erkannt und dem Prozeß direkt zugeführt. Bedienungshandlungen, die vor ihrer Ausführung vom Bedienenden gesondert zu autorisieren sind, werden zunächst zwischengespeichert und dem Bedienenden auf dem Kontrollmoni­ tor angezeigt. Nach der Lehre der vorliegenden Erfindung wird für jede derartige Bedienung eine aus z. B. zwei Ziffern bestehende Zufallszahl, hier die Zufallszahl 87, generiert und auf der sicheren Lupe L bei dem durch den jeweiligen Auftrag betroffenen Element angezeigt. Dies kann z. B. in der Weise geschehen, daß anstelle der jeweiligen Elementbezeich­ nung auf der Lupendarstellung die generierte Zufallszahl dargestellt wird. Das Element bzw. die Zufallszahl kann dabei durch besondere Farbgebung und/oder blinkende Darstellung optisch hervorgehoben werden; dies gilt insbesondere für den Fall der Rücknahme zuvor gesetzter Sperren. Der Beobachter muß nun zur Autorisierung des anstehenden Auftrages die Lupendarstellung L betrachten und dort die ihm dargestellte Zufallszahl ablesen. Diese Zufallszahl hat er dann über die Dateneingabetastatur DET an den Eingabe-Kontroll- und Inter­ pretationsrechner EKIR zu übermitteln. Dieser Rechner prüft nun, ob die ihm über die Dateneingabetastatur übermittelte Zufallszahl mit der zuvor von ihm selbst generierten Zufalls­ zahl übereinstimmt. Ist dies der Fall, so ist dies der Beleg dafür, daß der Bediener beim Ausführen einer freigabepflich­ tigen Bedienungshandlung den Anlagenteil, auf den sich diese Bedienungshandlung bezieht, auf das Lupenbild aufgeschaltet hat und daß er dort das Anlagenelement, auf das sich das anstehende Kommando konkret bezieht, in Augenschein genommen hat. Damit ist die Wahrscheinlichkeit, daß ein Bediener ein ihm sonst nur auf dem Kontrollmonitor textlich angezeigtes Kommando irrtümlich einem falschen Anlagenelement zuordnet, nahezu ausgeschlossen. Auch routinemäßige Kommandofreigaben ohne jegliche Kontrolle des zur Ausführung jeweils anstehen­ den Kommandos sind nicht mehr möglich. Die Ausgabe eines freigabepflichtigen Kommandos an den Prozeß und/oder die Eingabe der vom Beobachter abgelesenen Zufallszahl kann auch noch von der zusätzlichen Betätigung einer Taste durch den Bediener abhängig gemacht sein; das freigabepflichtige Kom­ mando und die von ihm eingegebene Zufallszahl werden dem Bediener am Kontrollmonitor angezeigt. Jedes vom Bediener autorisierte freigabepflichtige Kommando wird über den Drucker oder sonstige Registriereinrichtungen festgehalten.

Claims (8)

1. Verfahren zum Behandeln freigabepflichtiger Kommandos in Stellwerken und Steuerwarten, in denen die zur Ausführung anstehenden Kommandos nach Regelbedienungen, deren Zulässig­ keit in einer Sicherheitsebene geprüft wird, und nach Bedie­ nungen mit Sicherheitsverantwortung unterschieden werden, die in ausschließlicher Verantwortung des Bedienenden auszuführen sind, wozu diesem das betreffende Kommando vor seiner Ausfüh­ rung angezeigt wird und der Bediener die Ausführung des Kommandos nur freigeben darf, nachdem er sich von der Zuläs­ sigkeit der Kommandoausführung überzeugt hat, dadurch gekennzeichnet, daß dem Bediener (B) mit jedem zur Ausführung anstehenden freigabepflichtigen Kommando auf einer sicheren Prozeßdar­ stellung (L) bei einem von dieser Bedienung betroffenen Element eine Zufallszahl (87) dargestellt wird und daß die Freigabe des Kommandos von der Eingabe dieser Zufallszahl durch den Bediener in ein Eingabemedium (DET) abhängig ge­ macht ist.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß auf der Prozeßdarstellung (L) an einem von der Bedienung betroffenen Element anstelle von dessen Elementkennung die Zufallszahl (87) dargestellt wird.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß das von einem freigabepflichtigen Kommando betroffene Element auf der Prozeßdarstellung optisch markant hervorgeho­ ben ist.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Zufallszahl aus jeweils mindestens zwei Ziffern besteht.
5. Einrichtung zur Durchführung des Verfahrens nach Anspruch 1, dadurch gekennzeichnet, daß ein signaltechnisch sicherer Rechner (EKIR) zum Interpre­ tieren der Bedienungshandlungen nach nicht freigabepflichti­ gen und freigabepflichtigen Bedienungen vorgesehen ist und daß dieser Rechner beim Vorliegen einer freigabepflichtigen Bedienung das betreffende Kommando unter Beifügung einer in einem Zufallsgenerator erzeugten Zufallszahl (87) an einen für die logische Bearbeitung des Kommandos zuständigen siche­ ren Rechner (BR2) weiterleitet, der es nach positiver logi­ scher Prüfung seinerseits an einen Anzeigerechner (ANSR) für die optische Darstellung des Prozeßgeschehens und der Zu­ fallszahl in räumlicher Nähe des durch das Kommando betroffe­ nen Elemente fortschaltet und daß der signaltechnisch sichere Rechner (EKIR) die von ihm generierte Zufallszahl (87) ver­ gleicht mit einer ihm vom Bediener über ein Eingabemedium (DET) mitteilbaren Zahl (87) und beim Feststellen überein­ stimmender Zahlen ein das anstehende Kommando freigebendes Kennzeichen an den für die Kommandobearbeitung zuständigen Rechner (BR2) übermittelt.
6. Einrichtung nach Anspruch 5, dadurch gekennzeichnet, daß das Eingabemedium als Tastatur (DET) ausgebildet ist.
7. Einrichtung nach Anspruch 5, dadurch gekennzeichnet, daß die Darstellung des Prozeßgeschehens und der Zufallszahl (87) auf einem Monitor (L) erfolgt, der nach einem signal­ technisch sicheren Darstellungsverfahren betrieben wird.
8. Einrichtung nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, daß jede Bedienungshandlung (Kommandoeingabe und/oder Eingabe einer Zufallszahl durch den Bediener) mit dem Betätigen einer gesonderten Taste abgeschlossen wird.
DE19944432419 1994-09-02 1994-09-02 Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens Expired - Fee Related DE4432419C2 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE19944432419 DE4432419C2 (de) 1994-09-02 1994-09-02 Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens
NL1001071A NL1001071C2 (nl) 1994-09-02 1995-08-25 Werkwijze voor het behandelen van vrijgaveplichtige commando's en inrichting voor het uitvoeren van de werkwijze.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19944432419 DE4432419C2 (de) 1994-09-02 1994-09-02 Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens

Publications (2)

Publication Number Publication Date
DE4432419A1 true DE4432419A1 (de) 1996-03-07
DE4432419C2 DE4432419C2 (de) 2003-04-24

Family

ID=6528004

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19944432419 Expired - Fee Related DE4432419C2 (de) 1994-09-02 1994-09-02 Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens

Country Status (2)

Country Link
DE (1) DE4432419C2 (de)
NL (1) NL1001071C2 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014012798A3 (de) * 2012-07-20 2014-06-26 Siemens Aktiengesellschaft Bedieneinrichtung zur eingabe von bedienbefehlen zur steuerung einer technischen anlage
EP2879008A1 (de) * 2013-11-28 2015-06-03 Thales Deutschland GmbH Verfahren zur Handhabung eines sicherheitskritischen Befehls in einem Computernetzwerk
EP3771613A1 (de) * 2019-08-02 2021-02-03 Siemens Mobility GmbH Verfahren und einrichtung zum steuern einer eisenbahntechnischen anlage
IT202200003482A1 (it) * 2022-02-24 2022-05-24 Rete Ferroviaria Italiana S P A Sistema e metodo per la rappresentazione dello stato di un impianto ferroviario in un terminale operatore di tipo commerciale su rete aperta

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3310975A1 (de) * 1983-03-25 1984-09-27 Siemens AG, 1000 Berlin und 8000 München Einrichtung zur sicheren prozesssteuerung
DE3522527C3 (de) * 1985-06-24 1995-04-20 Siemens Ag Bedienungseinrichtung für Stellwerke
JPH0667831A (ja) * 1992-08-14 1994-03-11 Canon Inc 選択入力方式

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014012798A3 (de) * 2012-07-20 2014-06-26 Siemens Aktiengesellschaft Bedieneinrichtung zur eingabe von bedienbefehlen zur steuerung einer technischen anlage
EP2879008A1 (de) * 2013-11-28 2015-06-03 Thales Deutschland GmbH Verfahren zur Handhabung eines sicherheitskritischen Befehls in einem Computernetzwerk
WO2015078700A1 (en) * 2013-11-28 2015-06-04 Thales Deutschland Gmbh Method for handling a safety critical command in a computer network
EP3771613A1 (de) * 2019-08-02 2021-02-03 Siemens Mobility GmbH Verfahren und einrichtung zum steuern einer eisenbahntechnischen anlage
DE102019211675A1 (de) * 2019-08-02 2021-02-04 Siemens Mobility GmbH Verfahren und Einrichtung zum Steuern einer eisenbahntechnischen Anlage
IT202200003482A1 (it) * 2022-02-24 2022-05-24 Rete Ferroviaria Italiana S P A Sistema e metodo per la rappresentazione dello stato di un impianto ferroviario in un terminale operatore di tipo commerciale su rete aperta
EP4234359A1 (de) 2022-02-24 2023-08-30 RFI S.p.A. System und verfahren zur anzeige des zustands einer eisenbahntransportanlage

Also Published As

Publication number Publication date
NL1001071A1 (nl) 1996-03-04
DE4432419C2 (de) 2003-04-24
NL1001071C2 (nl) 1998-04-20

Similar Documents

Publication Publication Date Title
DE19829366C2 (de) Verfahren zur Bereitstellung von fertigungsbezogenen Daten in einer Serienfertigung von Fertigungsobjekten, insbesondere von Kraftfahrzeugen
DE69922520T2 (de) Verfahren und vorrichtung zur betriebsueberwachung eines industriellen prozesses
DE102011001076B4 (de) Verfahren zur Verwaltung von Werkzeugen
DE19529571A1 (de) Bediengerät
WO2020002610A1 (de) Werkzeugmaschine mit steuervorrichtung
DE3820852C2 (de)
DE4432419C2 (de) Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens
DE102019120864B3 (de) Verfahren und Vorrichtung zur Planung von Wartungsarbeiten an wenigstens einer Maschine
DE4235751C2 (de) Verfahren und Einrichtung zur Ubertragung von Geschwindigkeits-Wechselzeicheninformationen
DE3310975A1 (de) Einrichtung zur sicheren prozesssteuerung
DE102006025523B4 (de) Fernsteuerung eines Drucktasten-Relaisstellwerks
DE3019713C2 (de) Bedieneinrichtung für Prozeßsteuerungen mit signaltechnisch sicheren Mehrrechnersystemen
DE10115897C2 (de) Verfahren und Vorrichtung zur Bereitstellung von Informationen für die Analyse von Fehlern bei einer technischen Anlage
EP0920391A1 (de) Verfahren und vorrichtung zur steuerung und überwachung einer verkehrstechnischen anlage
DE19920532A1 (de) Einrichtung zum Überwachen von Betriebsparametern an eine elektrische oder elektronische Steuerungseinrichtung aufweisenden Anlagen
EP0436884B1 (de) Verfahren zur Eingabe von Abtastzonen-Koordinaten bei automatischen Leseeinrichtungen für Briefe, Formulare o.ä.
AT398952B (de) Verfahren und anordnung zur eingabe von informationen in signaltechnisch sichere rechenanlagen
EP0448796B1 (de) Einrichtung zum Steuern eines Stellwerkes von mindestens einem abgesetzten Bedienplatz aus
DE3314868A1 (de) Terminal mit einem tasten-bildschirm
DE19539477A1 (de) Verfahren zur automatisierten optimalen Redundanz-Auslegung von Messungen für die Leittechnik in Kraftwerken
EP3793882B1 (de) Alarmierungsvorrichtung für ein schienenfahrzeug, schienenfahrzeug und system
AT397234B (de) Bedienplatz für ein elektronisches stellwerk
DE10008147C2 (de) Einrichtung zur Steuerung der Fahrzeuge in einer Gleisanlage
DE19959140B4 (de) Fehlerdiagnosesystem für Kraftfahrzeuge
EP1974868A2 (de) Verfahren zum Integrieren von Peripheriekomponenten in eine technische Anlage

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8304 Grant after examination procedure
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee