EP0120339A1 - Einrichtung zur sicheren Prozesssteuerung - Google Patents

Einrichtung zur sicheren Prozesssteuerung Download PDF

Info

Publication number
EP0120339A1
EP0120339A1 EP84102198A EP84102198A EP0120339A1 EP 0120339 A1 EP0120339 A1 EP 0120339A1 EP 84102198 A EP84102198 A EP 84102198A EP 84102198 A EP84102198 A EP 84102198A EP 0120339 A1 EP0120339 A1 EP 0120339A1
Authority
EP
European Patent Office
Prior art keywords
data
process control
microcomputer
operator
microcomputers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP84102198A
Other languages
English (en)
French (fr)
Other versions
EP0120339B2 (de
EP0120339B1 (de
Inventor
Manfred Dipl.-Ing. Homeister
Jürgen Ing. grad. Raimer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to AT84102198T priority Critical patent/ATE25220T1/de
Publication of EP0120339A1 publication Critical patent/EP0120339A1/de
Application granted granted Critical
Publication of EP0120339B1 publication Critical patent/EP0120339B1/de
Publication of EP0120339B2 publication Critical patent/EP0120339B2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems

Definitions

  • the invention relates to a device according to the preamble of claim 1.
  • screen workstations have proven themselves in many places, from which, for example, an alphanumeric keyboard and an optical control device act on a data processing system and from there on the process to be controlled and / or monitored.
  • Such an application is given, for example, in railway signaling technology when controlling an interlocking system via one or more so-called number control desks.
  • two types of operations must be distinguished and treated differently in terms of their importance and effect on the process, namely so-called control operations and so-called auxiliary operations.
  • a control operation can be output to the process without further action by the operator after it has been entered, because their admissibility is checked on a separate security level outside of the data processing system from a security perspective; a possible error cannot lead to a dangerous condition.
  • the admissibility of this control is no longer checked at a separate security level, that is to say that the command data defined by such an auxiliary control could possibly result in a hazard when output to the process.
  • the processing of such auxiliary controls is therefore to be monitored and controlled appropriately by humans.
  • the data processing system charged by the operator with process control orders must make the decision as to whether an operation is a regular or an auxiliary operation, that is to say whether the command data derived from an operation is to be passed on directly to the process or by the operator to be authorized separately. Since the possibility must be expected that the data processing system will incorrectly classify an entered process control order and, although it is an auxiliary operation, the corresponding command data will be released directly to the process, the data processing system is to be set up according to safety aspects.
  • the data processing system connected between the operating device and the process essentially has the function of a converter.
  • it is known (DE-AS 22 60 738) to convert the output data derived from input data in an electronic decoding device back into the input code in a separate coding device before they are output to the process and compare with the original input code. If the original and the back-coded information match, the output data formed by the electronic decoding device are released; otherwise they will be blocked.
  • the known electronic decoding device does not obtain the data to be reconstructed in the respective input code from a data memory from which the decoded signals are later passed on to the process, but from an upstream decoding stage. This does not guarantee that the data later released to the process actually correspond to the data used by the additional coding device for the back coding.
  • the known electronic decoding device is not able to classify the data supplied to it.
  • the known electronic decoding device can therefore not be used for safe process control, since it does not offer the possibility of distinguishing dangerous commands (auxiliary controls) from harmless commands (control controls) and disconnect the connection to the process, for example, in the case of a faulty but meaningful process control order.
  • the object of the present invention is to design a device according to the preamble of claim 1 so that a reliable classification of the respective process control order is possible, the release of the command data derived from a process control order to the process either directly (in a regular operation) or after authorization by the operator initiating the process control order (with an auxiliary operator).
  • the drawing shows in the upper right part a data input device DE known per se, via which process control orders can be conveyed by an operator to the process to be controlled and / or monitored.
  • the process control orders entered are converted into command data in a downstream data processing system DV and output to the process via an output device AE.
  • the data input device consists of, for example, an alphanumeric input keyboard ET, via which an operator specifies the process control orders.
  • the each Process control orders entered are visually represented to the operator via a display device SG and can be output by the operator after visual inspection via a key T to the data processing system DV.
  • the data processing system DV essentially consists of two independent microcomputers MC1 and MC2 which do not operate in a safety-related manner and a relay link RV which operates in a safety-related manner.
  • the process control orders coming from the data input DE arrive at the microcomputer MC1, which uses them to form corresponding command data as they are required for controlling the process.
  • the microcomputer MC1 does not pass on the command data it has developed to the process, but instead stores them in an output device AE.
  • This output device essentially consists of a memory in which the command data supplied are stored for security purposes.
  • the microcomputer MC1 reads the stored data back for testing purposes and compares it with the data it has worked out the microcomputer MC1 directly acted upon by the process control orders but also on the microcan computer MC2. Both microcomputers are then informed of the command data available for execution. Both independently evaluate the command data to be executed with regard to the type of operation to be carried out. If both microcomputers independently determine that the operation being carried out is a regular operation that is checked separately for admissibility within the process, both give Mikrocom Computer free the output of the command data stored in the output device AE. This takes place via the relay link RV working downstream of the two microcomputers on the output side.
  • the relay link RV blocks the release of the command data stored in the output device AE.
  • the operator can be informed of the malfunction in a suitable manner, for example by switching on an optical and / or acoustic detector. The response of this detector can cause the operator to delete the stored data and to carry out the operation again. If the two microcomputers classify the operation as a control operation, the command data which may have been updated by the repeated input in the output device AE are released.
  • the two microcomputers MC1 and MC2 can then release themselves do not cause the command data stored in the output device AE.
  • the targeted involvement of the respective initiating operator is required for the release.
  • the microcomputer MC2 determines the associated process control job from the command data supplied to it via the input doubler EV and feeds it to the operator via a separate control display KA.
  • the operator now has the task of displaying the process control, for example alphanumerically, on the control display compare the order with the order he entered into the data input device DE and decide whether this order should be carried out or not.
  • release switching means acts on the two microcomputers MC1 and MC2 via the relay link RV with a corresponding control indicator. If both microcomputers classify the operation to be carried out as auxiliary operation and if the relay link DE supplies them with the control signals triggered by the actuation of the release switching means FS, then both microcomputers independently generate release signals for the output of the command data stored in the output device AE. In the relay linkage, these releases are possibly linked again with the release by the release switching means FS and then lead to the output of the command data pending for execution.
  • the data in the output device AE are deleted after a predeterminable period of time and the two microcomputers are brought into the basic position.
  • the two microcomputers update their free messages by continuously reading back the stored data and classifying this data. If one or both of them detects a change in the stored data, the microcomputer concerned releases its release to the relay link RV back instantly.
  • the relay link prevents the Output of the data stored in the output device AE or switches the output off immediately when the release has already been granted. The operator must be informed of such a fault in a suitable manner.
  • the re-release of data stored in the output device after the correct course of a data output or after the blocking of an output in the event of a fault is to be made in terms of circuitry from the previous basic setting of the relay link RV.
  • the relay link RV can only assume the basic position if the command data pending in the output device AE has been deleted, both microcomputers have put their outputs to the relay link RV into a position which indicates their readiness for the next operation processing and the release switching means at the operator station has also assumed the basic position .
  • the microcomputer MC1 which is directly acted upon by the process control orders, has to determine the operator station from which an auxiliary operator was entered and to report this to the relay linkage. From the knowledge of the operator station stored in the relay link, the microcomputer which is not directly acted upon by the process control data has to supply only the operator station with the read back process control data which was recognized by the other microcomputer as being necessary.
  • the relay linkage has to contain switching means which only recognize a release treatment if they are from that operator station that was previously recognized as initiating.
  • the device for secure process control according to the invention can advantageously be used wherever a process is to be acted on from several operator stations with safety responsibility.
  • a preferred field of application is the control of a signal box from several operator stations, whereby both operator actions are to be carried out from these operator stations, which are monitored for admissibility in the downstream signal box level, as well as operator actions which are intended to deliberately undermine the safety of the signal box, particularly in the event of malfunctions to be able to keep the operation relatively smooth.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Container Filling Or Packaging Operations (AREA)
  • Selective Calling Equipment (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

Die Prozeßsteueraufträge werden von einem nicht sicheren Mikrocomputer (MC1) in Kommandodaten umgesetzt, in einer Ausgabeeinrichtung (AE) gespeichert und zu Prüfzwecken laufend zurückgelesen. Die rückgelesenen Daten gelangen auch auf einen weiteren Mikrocomputer (MC2). Nur wenn beide Mikrocomputer die rückgelesenen Daten übereinstimmend klassifizieren, ist eine Freigabe der gespeicherten Daten möglich:
Klassifizieren beide Mikrocomputer die Daten als eine Regelbedienung betreffend, wird über eine sichere Verknüpfung (RV) die Ausgabe der Daten veranlaßt. Bei eine Hilfshandlung betreffenden Daten ist die Freigabe der Daten von einere zusätzlichen Betätigung von Freigabeschaltmittein (FS) durch den Veranlasser abhängig.

Description

  • Die Erfindung bezieht sich auf eine Einrichtung nach dem Oberbegriff des Patentanspruches 1.
  • Bei der nicht vollautomatisierten Prozeßsteuerung haben sich vielerorts Bildschirmarbeitsplätze bewährt, von denen aus über eine beispielsweise alphanumerische Tastatur sowie eine optische Kontrollvorrichtung auf eine Datenverarbeitungsanlage und von dort auf den zu steuernden und/oder zu überwachenden Prozeß eingewirkt wird.
  • Ein solcher Anwendungsfall ist beispielsweise in der Eisenbahnsignaltechnik bei der Steuerung eines Stellwerkes über ein oder mehrere sogenannte Nummernstellpulte gegeben. Bei dieser Art der Prozeßsteuerung sind von ihrer Bedeutung und Auswirkung auf den Prozeß grundsätzlich zwei Arten von Bedienungen zu unterscheiden und verschieden zu behandeln, nämlich sogenannte Regelbedienungen und sogenannte Hilfsbedienungen.Eine Regelbedienung kann nach ihrer Eingabe ohne weiteres Zutun des Bedieners an den Prozeß ausgegeben werden, weil ihre Zulässigkeit in einer gesonderten Sicherheitsebene außerhalb der Datenverarbeitungsanlage nach sicherungstechnischen Gesichtspunkten geprüft wird; ein eventueller Fehler kann nicht zu einem gefährlichen Zustand führen. Bei einer Hilfsbedienung wird die Zulässigkeit dieser Bedienung nicht mehr in einer gesonderten Sicherheitsebene geprüft, das heißt, die durch eine derartige Hilfsbedienung definierten Kommandodaten würden bei Ausgabe an den Prozeß gegebenenfalls zu einer Gefährdung führen können. Die Verarbeitung solcher Hilfsbedienungen ist daher vom Menschen in geeigneter Weise zu überwachen und zu steuern.
  • Dies geschieht regelmäßig dadurch, daß die Datenverarbeitungsanlage vor der Ausgabe der Daten an den Prozeß dem Bediener Kontrolldaten zuführt, die den Bediener von der zur Ausführung anstehenden Hilfshandlung unterrichten und ihm die Möglichkeit geben, diese Daten entweder zurückzunehmen oder an den Prozeß freizugeben.
  • Dabei hat die vom Bediener mit Prozeßsteueraufträgen beaufschlagte Datenverarbeitungsanlage selbst die Entscheidung darüber zu treffen, ob es sich bei einer Bedienung um eine Regel- oder eine Hilfsbedienung handelt, das heißt, ob die aus einer Bedienungshandlung abgeleiteten Kommandodaten direkt an den Prozeß weiterzugeben oder durch den Bediener gesondert zu autorisieren sind. Da mit der Möglichkeit gerechnet werden muß, daß die Datenverarbeitungsanlage einen eingegebenen Prozeßsteuerauftrag falsch klassifiziert und,obgleich es sich um eine Hilfsbedienung handelt, die entsprechenden Kommandodaten direkt an den Prozeß freigibt, ist die Datenverarbeitungsanlage nach sicherungstechnischen Gesichtspunkten aufzubauen. Als Einrichtung zur Datenverarbeitung kommt entweder eine signaltechnisch sichere Datenverarbeitungseinrichtung in Frage, die z.B. durch internen Vergleich der auf den Adreß-, Daten- und Steuerbussen zweier Mikrocomputer anliegenden Signale eventuelle Diskrepanzen zwischen den von beiden Mikrocomputern erarbeiteten Ergebnissen frühzeitig erkennt und daraufhin die Ausgabe von Daten an den Prozeß unterbindet oder aber es werden z.B. zwei nicht sicherungstechnisch arbeitende Mikrocomputer eingesetzt, deren Arbeitsergebnisse in einer externen, sicheren Vergleichseinrichtung miteinander verknüpft werdenunddLegemeinsam auf den zu steuernden Prozeß einwirken.
  • Die zwischen die Bedienungseinrichtung und den Prozeß geschaltete Datenverarbeitungsanlage hat im wesentlichen die Funktion eines Umsetzers. Um eventuelle Fehler beim Umsetzen von Eingangs- in Ausgangsdaten erkennen zu können, ist es bekannt (DE-AS 22 60 738), die in einer elektronischen Decodiereinrichtung aus Eingangsdaten abgeleiteten Ausgangsdaten vor ihrer Ausgabe an den Prozeß in einer gesonderten Codiereinrichtung wieder in den Eingangscode umzusetzen und mit dem ursprünglichen Eingangscode zu vergleichen. Bei Übereinstimmung der ursprünglichen und der rückcodierten Information werden die von der elektronischen Decodiereinrichtung gebildeten Ausgangsdaten freigegeben; im anderen Fall werden sie gesperrt. Die bekannte elektronische Decodiereinrichtung bezieht die in den jeweiligen Eingangscode rückzubildenden Daten nicht aus einem Datenspeicher, aus dem die decodierten Signale später an den Prozeß weitergegeben werden, sondern aus einer vorgeschalteten Decodierstufe. Damit ist nicht gewährleistet, daß die später an den Prozeß freigegebenen Daten auch tatsächlich den Daten entsprechen, die von der zusätzlichen Codiereinrichtung für die Rückcodierung benutzt werden.
  • Die bekannte elektronische Decodiereinrichtung ist nicht in der Lage, die ihr zugeführten Daten zu klassifizieren. Für den vorliegenden Fall der Prozeßsteuerung durch Regel- und Hilfsbedienungen heißt dies, daß die der Decodiereinrichtung zugeführten Daten von dieser grundsätzlich dann an den Prozeß ausgegeben werden, wenn sie von der Decodiereinrichtung ordnungsgerecht umgesetzt worden sind. Die bekannte elektronische Decodiereinrichtung kann daher nicht für die sichere Prozeßsteuerung verwendet werden, denn sie gibt keine Möglichkeit, gefährliche Kommandos (Hilfsbedienungen) von ungefährlichen Kommandos (Regelbedienungen) zu unterscheiden und beispielsweise bei einem fehlerhaften aber in sich sinnvollen Prozeßsteuerauftrag die Verbindung zum Prozeß aufzutrennen.
  • Aufgabe der vorliegenden Erfindung ist es, eine Einrichtung nach dem Oberbegriff des Patentanspruches 1 so auszubilden, daß eine sichere Klassifizierung des jeweils anliegenden Prozeßsteuerauftrages möglich ist, wobei die Freigabe der aus einem Prozeßsteuerauftrag abgeleiteten Kommandodaten an den Prozeß entweder direkt (bei einer Regelbedienung) oder aber nach Autorisierung durch den den Prozeßsteuerauftrag veranlassenden Bediener (bei einer Hilfsbedienung) erfolgt.
  • Die Erfindung löst diese Aufgabe durch die kennzeichnenden Merkmale des Patentanspruches 1. Vorteilhafte Aus-und Weiterbildungen der erfindungsgemäßen Einrichtung sind in den Unteransprüchen angegeben.
  • Die Erfindung ist nachstehend näher erläutert, wobei auf die Zeichnung Bezug genommen ist.
  • Die Zeichnung zeigt im oberen rechten Teil eine an sich bekannte Dateneingabeeinrichtung DE, über die von einem Bediener Prozeßsteueraufträge an den zu steuernden und/ oder zu überwachenden Prozeß vermittelt werden können. Die eingegebenen Prozeßsteueraufträge werden in einer nachgeordneten Datenverarbeitungsanlage DV in Kommandodaten umgesetzt und über eine Ausgabeeinrichtung AE an den Prozeß ausgegeben.
  • Die Dateneingabeeinrichtung besteht aus einer beispielsweise alphanumerischen Eingabetastatur ET, über die ein Bediener die Prozeßsteueraufträgevorgibt. Die jeweils eingegebenen Prozeßsteueraufträge werden dem Bediener über ein Sichtgerät SG optisch dargestellt und können vom Bediener nach Sichtkontrolle über eine Taste T an die Datenverarbeitungsanlage DV ausgegeben werden.
  • Die Datenverarbeitungsanlage DV besteht im wesentlichen aus zwei voneinander unabhängigen nicht sicherungstechnisch arbeitenden Mikrocomputern MC1 und MC2 sowie einer sicherungstechnisch arbeitenden Relaisverknüpfung RV.
  • Die von der Dateneingabe DE kommenden Prozeßsteueraufträge gelangen zu dem Mikrocomputer MC1, der aus ihnen entsprechende Kommandodaten bildet wie sie für die Steuerung des Prozesses benötigt werden. Der Mikrocomputer MC1 gibt die von ihm erarbeiteten Kommandodaten aberroch nicht an den Prozeß weiter, sondern hinterlegt sie in einer Ausgabeeinrichtung AE. Diese Ausgabeeinrichtung besteht im wesentlichen aus einem Speicher, in dem die zugeführten Kommandodaten sicherungstechnisch abgelegt sind.
  • Nach der Hinterlegung der Kommandodaten liest der Mikrocomputer MC1 die hinterlegten Daten zu Prüfzwecken zurück und vergleicht sie mit den von ihm erarbeiteten Daten.Die vom Mikrocomputer MC1 aus der Ausgabeeinrichtung AE zurückgelesenen Kommandodaten gelangen über einen in den Rückmeldekanal geschalteten sicherungstechnisch aufgebauten Eingabeverdoppler EV aber nicht nur auf den durch die Prozeßsteueraufträge direkt beaufschlagten MikrocomputerMC1 sondern auch auf den MikrocanputerMC2. Beide Mikrocomputer sind danit über die zur Ausführung anliegenden Kommandodaten informiert. Beidebewerten unabhängig voneinander die zur Ausführung anliegenden Kommandodaten hinsichtlich der Art der zur Ausführung kommenden Bedienungshandlung. Stellen beide Mikrocomputer unabhängig voneinander fest, daß es sich bei der zur Ausführung kommenden Bedienung um eine Regelbedienung handelt, die innerhalb des Prozesses gesondert auf Zulässigkeit geprüft wird, so geben beide Mikrocomputer die Ausgabe der in der Ausgabeeinrichtung AE gespeicherten Kommandodaten frei. Dies geschieht über die den beiden Mikrocomputern ausgangsseitig nachgeordnete sicherungstechnisch arbeitende Relaisverknüpfung RV. Kommen die beiden Mikrocomputer zu unterschiedlichen Klassifizierungsergebnissen, so sperrt die Relaisverknüpfung RV die Freigabe der in der AusgabeeinrichtungAE gespeicherten Kommandodaten. Die eingetretene Störung kann dem Bediener auf geeignete Weise zur Kenntnis gebracht werden, beispielsweise durch Anschalten eines optischen und/oder akustischen Melders. Das Ansprechen dieses Melders kann den Bediener zum Löschen der gespeicherten Daten und zur erneuten Vornahme der Bedienungshandlung veranlassen. Klassifizieren die beiden Mikrocomputer.dann die Bedienung als Regelbedienung, werden die durch die nochmalige Eingabe in der Ausgabeeinrichtung AE gegebenenfalls aktualisierten Kommandodaten freigegeben.
  • Handelt es sich bei einer Bedienung um eine Hilfsbedienung, die in keiner nachgeordneten Sicherheitsebene überprüft wird, sondern innerhalb des zu steuernden und/oder zu überwachenden Prozesses direkt zur Auswirkung kommt, so können die beiden Mikrocomputer MC1 und MC2 von sich aus die Freigabe der dann in der Ausgabeeinrichtung AE gespeicherten Kommandodaten nicht veranlassen. Für die Freigabe ist die gezielte Mitwirkung des jeweils veranlassenden Bedieners erforderlich. Hierzu ermittelt der Mikrocomputer MC2 aus den ihm über den Eingabeverdoppler EV zugeführten Kommandodaten den jeweils zugehörigen Prozeßsteuerauftrag und führt diesen dem Bediener über eine gesonderte Kontrollanzeige KA zu. Der Bediener hat nun die Aufgabe, den ihm auf der Kontrollanzeige beispielsweise alphanumerisch dargestellten Prozeßsteuerauftrag mit dem von ihm in die Dateneingabeeinrichtung DE eingegebenen Auftrag zu vergleichen und zu entscheiden, ob dieser Auftrag zur Ausführung kommen soll oder nicht. Hat er sich für die Ausführung entschieden, so hat der Bediener ein gesondertes Freigabeschaltmittel FS zu betätigen. Dieses Freigabeschaltmittel wirkt über die Relaisverknüpfung RV mit einem entsprechenden Steuerkennzeichen auf die beiden Mikrocomputer MC1 und MC2 ein. Haben beide Mikrocomputer die zur Ausführung anliegende Bedienung als Hilfsbedienung klassifiziert und werden ihnen von der Relaisverknüpfung DE die durch die Betätigung des Freigabeschaltmittels FS ausgelösten Steuersignale zugeführt, so erarbeiten beide Mikrocomputer unabhängig voneinander Freigabesignale für die Ausgabe der in der Ausgabeeinrichtung AE gespeicherten Kommandodaten. Diese Freigaben werden in der Relaisverknüpfung ggf. nochmals mit der Freigabe durch die Freigabeschaltmittel FS verknüpft und führen dann zur Ausgabe der zur Ausführung anliegenden Kommandodaten.
  • Verweigert der Bediener seine Zustimmung zur Freigabe der zur Ausführung anstehenden Kommandodaten, so werden nach Ablauf einer vorgebbaren Zeitspanne die in der Ausgabeeinrichtung AE stehenden Daten gelöscht und die beiden Mikrocomputer in die Grundstellung geführt.
  • Solange die Kommandodaten in der Ausgabeeinrichtung AE gespeichert sind, aktualisieren die beiden Mikrocomputer durch ständiges Rücklesen der gespeicherten Daten und Klassifizierung dieser Daten ihre Freimeldungen.Stellt einer von ihnen oder beide eine Änderung der gespeicherten Daten fest, so nimmt der betroffende Mikrocomputer seine Freigabe an die Relaisverknüpfung RV augenblicklich zurück. Die Relaisverknüpfung unterbindet dabei die Ausgabe der in der Ausgabeeinrichtung AE gespeicherten Daten bzw. schaltet die Ausgabe augenblicklich ab, wenn die Freigabe schon erteilt ist. Eine solche Störung ist dem Bediener auf geeignete Art und Weise anzuzeigen. Die erneute Freigabe von in der Ausgabeeinrichtung gespeicherten Daten nach dem ordnungsgemäßen Verlauf einer Datenausgabe oder nach dem Sperren einer Ausgabe im Fehlerfall ist schaltungstechnisch von der vorherigen Grundstellung der Relaisverknüpfung RV abhängig zu machen. Die Relaisverknüpfung RV kann die Grundstellung nur einnehmen, wenn die in der Ausgabeeinrichtung AE anstehenden Kommandodaten gelöscht sind, beide Mikrocomputer ihre Ausgaben an die Relaisverknüpfung RV in eine ihre Bereitschaft für die nächste Bedienungsbearbeitung kennzeichnende Lage gebracht haben und das Freigabeschaltmittel am Bedienplatz ebenfalls die Grundstellung eingenommen hat.
  • Sind mehrere Dateneingabeeinrichtungen vorhanden, so ist sicherzustellen, daß eine Freigabe der aus einer Hilfsbedienung abgeleiteten Kommandodaten nur von demjenigen Bediener aus vorgenommen werden kann, der die zugehörige Bedienung veranlaßt hat. Zu diesem Zweck hat der durch die Prozeßsteueraufträge direkt beaufschlagte Mikrocomputer MC1 denjenigen Bedienplatz zu ermitteln, von dem aus eine Hilfsbedienung eingegeben wurde und diesen der Relaisverknüpfung zu melden. Der durch die Prozeßsteuerdaten nicht direkt beaufschlagte Mikrocomputer hat aus der Kenntnis des in der Relaisverknüpfung gespeicherten Bedienplatzes heraus ausschließlich denjenigen Bedienplatz mit den rückgelesenen Prozeßsteuerdaten zu versorgen, der von dem anderen Mikrocomputer als veranlassend erkannt wurde. Die Relaisverknüpfung hat Schaltmittel zu beinhalten, welche eine Freigabebehandlung nur dann anerkennen, wenn sie von demjenigen Bedienplatz aus erfolgt, der zuvor als veranlassend erkannt wurde.
  • Die erfindungsgemäße Einrichtung zur sicheren Prozeßsteuerung ist mit Vorteil überall dort einzusetzen, wo von insbesondere mehreren Bedienplätzen aus mit Sicherheitsverantwortung auf einen Prozeß einzuwirken ist. Ein bevorzugtes Anwendungsgebiet ist die Steuerung eines Stellwerks von mehreren Bedienplätzen aus, wobei von diesen Bedienplätzen aus sowohl Bedienungshandlungen auszuführen sind, die in der nachgeordneten Stellwerksebene auf Zulässigkeit überwacht werden, als auch Bedienungshandlungen, die insbesondere in Störsituationen die Sicherheit des Stellwerkes bewußt unterlaufen sollen, um den Betrieb einigermaßen flüssig halten zu können.

Claims (10)

1. Einrichtung zur sicheren Prozeßsteuerung unter Verwendung von zwei voneinander unabhängigen nicht sicherungstechnisch arbeitenden Mikrocomputern, die gemeinsam auf den zu steuernden Prozeß wirken und dabei sowohl Regelbedienungen, deren Zulässigkeit in einer gesonderten Sicherheitsebene außerhalb der Mikrocomputer geprüft wird, als auch Hilfsbedienungen, deren Zulässigkeit nicht mehr geprüft wird, zur Ausführung kommen lassen, insbesondere für die Steuerung eines Eisenbahnstellwerks von mindestens einem Bedienplatz aus, dadurch gekennzeichnet ,
daß der eine Mikrocomputer (MC1) die zur Ausführung jeweils anliegenden Prozeßsteueraufträge in entsprechende Kommandodaten umsetzt, diese in einer Ausgabeeinrichtung (AE) speichert und die eingespeicherten Daten zurückliest, wobei die zurückgelesenen Daten über einen sicherungstechnischen Eingabeverdoppler (EV) gleichzeitig auch an den anderen Mikrocomputer (MC2) gelangen, daß beide Mikrocomputer unabhängig voneinander die ihnen zugeführten Daten nach der Art des jeweils anliegenden Prozeßsteuerauftrages klassifizieren und die Klassifizierungsergebnisse einer Relaisverknüpfung (RV) zuführen, die bei Übereinstimmung der Klassifizierungsergebnisse der beiden Mikrocomputer die Freigabe der in der Ausgabeeinrichtung (AE) gespeicherten Daten veranlaßt, sofern der jeweils klassifizierte Prozeßsteuerauftrag eine Regelbedienung betrifft, dagegen beim gemeinsamen Erkennen einer Hilfsbedienung die Freigabe der in der Ausgabeeinrichtung gespeicherten Daten von einer gesonderten über die Relaisverknüpfung (RV) geführten Zustimmung eines Bedieners abhängig macht.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet , daß die Freigabe von in der Ausgabeeinrichtung (AE) gespeicherten Daten von der vorherigen Grundstellung der Relaisverknüpfung (RV) abhängig gemacht ist und daß die Grundstellung der Relaisverknüpfung von der Grundstellung der Ausgabeeinrichtung (AE), von der Grundstellung der beiden Mikrocomputerausgaben an die Relaisverknüpfung (RV) und von der Grundstellung der bei Zustimmung eines Bedieners zu einer Hilfshandlung einstellbaren Freigabeschaltmittel abhängig gemacht ist.
3. Einrichtung nach Anspruch 1, dadurch gekennzeichnet , daß die beiden Mikrocomputer ihre Freigabenbeim Vorliegen der entsprechenden Voraussetzungen laufend aktualisieren.
4. Einrichtung nach Anspruch 3, dadurch gekennzeichnet , daß die beiden Mikrocomputer die in der Ausgabeeinrichtung gespeicherten Kommandodaten durch Rücklesen dieser Daten auf Kontinuität überwachen, daß jeder Mikrocomputer für sich bei Änderung dieser Daten seine Freigabe an die Relaisverknüpfung (RV) zurücknimmtunddaßdie Relaisverknüpfung daraufhin die Ausgabe der in der Ausgabeeinrichtung (AE) gespeicherten Daten unterbindet.
5. Einrichtung nach Anspruch 1, dadurch gekennzeichnet , daß der durch die Prozeßsteueraufträge jeweils nicht direkt beaufschlagte Mikrocomputer (MC2) die ihm über den Eingabeverdoppler (EV) übermittelten Kommandodaten beim Vorliegen einer Hilfsbedienung in die entsprechenden Prozeßsteueraufträge umsetzt und dem Bediener auf einem Sichtschirm (KA) zur Verfügung stellt.
6. Einrichtung nach Anspruch 5, dadurch gekennzeichnet , daß der durch die Prozeßsteuerdaten direkt beaufschlagte Mikrocomputer (MC1) mindestens bei den Hilfsbedienungen denjenigen Bedienplatz ermittelt, von dem aus eine Hilfsbedienung eingegeben wurde, daß der durch die Prozeßsteuerdaten nicht direkt beaufschlagte Mikrocomputer (MC2) aus der Kenntnis des von dem jeweils anderen Mikrocomputer (MC1) ermittelten Bedienplatzes heraus ausschließlich denjenigen Bedienplatz mit den rückgelesenen Prozeßsteuerdaten versorgt, der voncbm durch die Prozeßsteuerdaten direkt beaufschlagten Mikrocomputer (MC1) als veranlassend erkannt wurde und daß die Relaisverknüpfung Schaltmittel beinhaltet, welche eine Freigabehandlung nur dann anerkennen,wenn sie von demjenigen Bedienplatz aus erfolgt ist, der zuvor als veranlassend erkannt wurde.
7. Einrichtung nach Anspruch 6, dadurch gekennzeichnet , daß der von den Prozeßsteuerdaten direkt beaufschlagte Mikrocomputer (MC1) den von ihm jeweils ermittelten Bedienplatz der Relaisverknüpfung (RV) mitteilt und daß der andere Mikrocomputer (MC2) den jeweils ermittelten Bedienplatz dort erfragt.
8. Einrichtung nach Anspruch 6, dadurch gekennzeichnet , daß der von den Prozeßsteuerdaten direkt beaufschlagte Mikrocomputer (MC1) den von ihm jeweils ermittelten Bedienplatz der Ausgabeeinrichtung (AE) zusammen mit den Kommandodaten mitteilt und daß der andere Mikrocomputer (MC2) den jeweils ermittelten Bedienplatz aus den rückgelesenen Daten entnimmt.
9. Einrichtung nach Anspruch 6, dadurch gekennzeichnet , daß der von den Prozeßsteuerdaten direkt beaufschlagte Mikrocomputer (MC1) den von ihm jeweils ermittelten Bedienplatz dem anderen Mikrocomputer (MC2) direkt mitteilt.
10. Einrichtung nach Anspruch 1, 5 oder 6, dadurch gekennzeichnet , daß die von der Relaisverknüpfung (RV) als ordnungsgerecht erkannte Freigabe einer Hilfsbedienung durch einen Bediener in beiden Mikrocomputern (MC1, MC2) zur Ausgabe entsprechender Hilfsfreigaben an die Relaisverknüpfung (RV) führt und daß die Relaisverknüpfung daraufhin die Freigabe der in der Ausgabeeinrichtung (AE) gespeicherten Kommandodaten veranlaßt.
EP84102198A 1983-03-25 1984-03-01 Einrichtung zur sicheren Prozesssteuerung Expired - Lifetime EP0120339B2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AT84102198T ATE25220T1 (de) 1983-03-25 1984-03-01 Einrichtung zur sicheren prozesssteuerung.

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19833310975 DE3310975A1 (de) 1983-03-25 1983-03-25 Einrichtung zur sicheren prozesssteuerung
DE3310975 1983-03-25

Publications (3)

Publication Number Publication Date
EP0120339A1 true EP0120339A1 (de) 1984-10-03
EP0120339B1 EP0120339B1 (de) 1987-01-28
EP0120339B2 EP0120339B2 (de) 1991-07-03

Family

ID=6194696

Family Applications (1)

Application Number Title Priority Date Filing Date
EP84102198A Expired - Lifetime EP0120339B2 (de) 1983-03-25 1984-03-01 Einrichtung zur sicheren Prozesssteuerung

Country Status (3)

Country Link
EP (1) EP0120339B2 (de)
AT (1) ATE25220T1 (de)
DE (2) DE3310975A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0448796A2 (de) * 1990-03-29 1991-10-02 Siemens Aktiengesellschaft Einrichtung zum Steuern eines Stellwerkes von mindestens einem abgesetzten Bedienplatz aus
DE4107639A1 (de) * 1991-03-09 1992-09-10 Standard Elektrik Lorenz Ag Einrichtung zur signaltechnisch sicheren fernsteuerung einer unterstation in einer eisenbahnanlage
EP1038752A1 (de) * 1999-03-17 2000-09-27 Westinghouse Brake And Signal Holdings Limited Stellwerkanlage für Eisenbahnen

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4432419C2 (de) * 1994-09-02 2003-04-24 Siemens Ag Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens
DE19742330C1 (de) * 1997-09-19 1998-10-29 Siemens Ag Verfahren zum Abschotten sicherheitsrelevanter Datenverarbeitungsanlagen gegen Beeinflussungen aus anderen Datennetzen sowie hierzu geeignete Einrichtung
DE19828452A1 (de) * 1998-06-26 1999-12-30 Alcatel Sa Bedienplatzeinrichtung für signaltechnische Anlagen
AU737646B2 (en) * 1999-05-21 2001-08-23 Hitachi Information & Control Systems Inc. Plant operating and monitoring system, and plant operating and monitoring method
DE10261450B4 (de) * 2002-12-31 2007-10-11 Danfoss Drives A/S Elektromotor mit integrierter elektronischer Steuereinrichtung

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CH535154A (de) * 1972-02-18 1973-03-31 Stin Elektronische Decodiereinrichtung für eine Fernsteuereinrichtung in Eisenbahnanlagen
DE2303828A1 (de) * 1973-01-26 1974-08-01 Standard Elektrik Lorenz Ag Steuerverfahren mit drei parallel betriebenen rechnern

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CH535154A (de) * 1972-02-18 1973-03-31 Stin Elektronische Decodiereinrichtung für eine Fernsteuereinrichtung in Eisenbahnanlagen
DE2303828A1 (de) * 1973-01-26 1974-08-01 Standard Elektrik Lorenz Ag Steuerverfahren mit drei parallel betriebenen rechnern

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0448796A2 (de) * 1990-03-29 1991-10-02 Siemens Aktiengesellschaft Einrichtung zum Steuern eines Stellwerkes von mindestens einem abgesetzten Bedienplatz aus
EP0448796A3 (en) * 1990-03-29 1993-03-24 Siemens Aktiengesellschaft Control device for an interlocking system of at least one remote control panel
DE4107639A1 (de) * 1991-03-09 1992-09-10 Standard Elektrik Lorenz Ag Einrichtung zur signaltechnisch sicheren fernsteuerung einer unterstation in einer eisenbahnanlage
EP0503336A2 (de) * 1991-03-09 1992-09-16 Alcatel SEL Aktiengesellschaft Einrichtung zur signaltechnisch sicheren Fernsteuerung einer Unterstation in einer Eisenbahnanlage
EP0503336A3 (de) * 1991-03-09 1994-02-23 Sel Alcatel Ag
EP1038752A1 (de) * 1999-03-17 2000-09-27 Westinghouse Brake And Signal Holdings Limited Stellwerkanlage für Eisenbahnen
US6308117B1 (en) 1999-03-17 2001-10-23 Westinghouse Brake & Signal Holdings Ltd. Interlocking for a railway system

Also Published As

Publication number Publication date
ATE25220T1 (de) 1987-02-15
EP0120339B2 (de) 1991-07-03
EP0120339B1 (de) 1987-01-28
DE3310975A1 (de) 1984-09-27
DE3462231D1 (en) 1987-03-05

Similar Documents

Publication Publication Date Title
EP0875810B1 (de) Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
DE3522418C2 (de)
EP2445771B1 (de) Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
EP1055159B1 (de) Fehlersichere prozesseingabe und prozessausgabe
EP0120339B1 (de) Einrichtung zur sicheren Prozesssteuerung
DE3522220C2 (de) Schaltungsanordnung zur sicheren Ansteuerung von Stellelementen eines Prozesses
AT402909B (de) Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage
DE19826875A1 (de) Numerische Steuerung mit einem räumlich getrennten Eingabegerät
DE3432130A1 (de) Numerische steuerungsvorrichtung
DE4022954A1 (de) Fehlerdetektor bei redundant vorgesehenen signalgebern
EP1197418A1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE3108871A1 (de) Einrichtung zur funktionspruefung eines mehrrechnersystems
DE3938501A1 (de) Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens
EP3343301B1 (de) Verfahren zum programmieren einer sicherheitssteuerung
EP0077450A2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
EP1760558B1 (de) Vorrichtung und Verfahren zur Untersuchung der Sicherheit einer technischen Einrichtung
EP2937745B1 (de) Sicherheitssteuerung zum sicheren Betreiben einer technischen Anlage und Verfahren zum Betreiben der Sicherheitssteuerung
DE3012159C2 (de) Anordnung zur gesicherten Datenausgabe
EP3048498B1 (de) Verfahren zum Auslesen von Diagnosedaten aus einer Sicherheitssteuerung
DE19949710B4 (de) Verfahren und Einrichtung zur fehlersicheren Kommunikation zwischen Zentraleinheiten eines Steuerungssystems
DE102015113366B3 (de) Lichtgitter und Verfahren zum Rücksetzen einer Konfiguration
DE3127363A1 (de) "rechnergesteuertes stellwerk"
EP0281890B1 (de) Sicherheitsschaltwerk mit mehreren dieselben Daten verarbeitenden Mikrocomputern
EP4321949A1 (de) Modulare steuerungseinrichtung

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Designated state(s): AT CH DE LI NL

17P Request for examination filed

Effective date: 19841026

17Q First examination report despatched

Effective date: 19860423

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT CH DE LI NL

REF Corresponds to:

Ref document number: 25220

Country of ref document: AT

Date of ref document: 19870215

Kind code of ref document: T

REF Corresponds to:

Ref document number: 3462231

Country of ref document: DE

Date of ref document: 19870305

PLBI Opposition filed

Free format text: ORIGINAL CODE: 0009260

26 Opposition filed

Opponent name: STANDARD ELEKTRIK LORENZ AG

Effective date: 19871016

NLR1 Nl: opposition has been filed with the epo

Opponent name: STANDARD ELEKTRIK LORENZ AG

PUAH Patent maintained in amended form

Free format text: ORIGINAL CODE: 0009272

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: PATENT MAINTAINED AS AMENDED

27A Patent maintained in amended form

Effective date: 19910703

AK Designated contracting states

Kind code of ref document: B2

Designated state(s): AT CH DE LI NL

REG Reference to a national code

Ref country code: CH

Ref legal event code: AEN

NLR2 Nl: decision of opposition
NLR3 Nl: receipt of modified translations in the netherlands language after an opposition procedure
PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 19920521

Year of fee payment: 9

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: CH

Payment date: 19920622

Year of fee payment: 9

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: AT

Payment date: 19930224

Year of fee payment: 10

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Effective date: 19930331

Ref country code: CH

Effective date: 19930331

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: NL

Payment date: 19930331

Year of fee payment: 10

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DE

Effective date: 19931201

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AT

Effective date: 19940301

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NL

Effective date: 19941001

NLV4 Nl: lapsed or anulled due to non-payment of the annual fee