EP0120339A1 - Einrichtung zur sicheren Prozesssteuerung - Google Patents
Einrichtung zur sicheren Prozesssteuerung Download PDFInfo
- Publication number
- EP0120339A1 EP0120339A1 EP84102198A EP84102198A EP0120339A1 EP 0120339 A1 EP0120339 A1 EP 0120339A1 EP 84102198 A EP84102198 A EP 84102198A EP 84102198 A EP84102198 A EP 84102198A EP 0120339 A1 EP0120339 A1 EP 0120339A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- data
- process control
- microcomputer
- operator
- microcomputers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L21/00—Station blocking between signal boxes in one yard
- B61L21/04—Electrical locking and release of the route; Electrical repeat locks
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/30—Trackside multiple control systems, e.g. switch-over between different systems
Definitions
- the invention relates to a device according to the preamble of claim 1.
- screen workstations have proven themselves in many places, from which, for example, an alphanumeric keyboard and an optical control device act on a data processing system and from there on the process to be controlled and / or monitored.
- Such an application is given, for example, in railway signaling technology when controlling an interlocking system via one or more so-called number control desks.
- two types of operations must be distinguished and treated differently in terms of their importance and effect on the process, namely so-called control operations and so-called auxiliary operations.
- a control operation can be output to the process without further action by the operator after it has been entered, because their admissibility is checked on a separate security level outside of the data processing system from a security perspective; a possible error cannot lead to a dangerous condition.
- the admissibility of this control is no longer checked at a separate security level, that is to say that the command data defined by such an auxiliary control could possibly result in a hazard when output to the process.
- the processing of such auxiliary controls is therefore to be monitored and controlled appropriately by humans.
- the data processing system charged by the operator with process control orders must make the decision as to whether an operation is a regular or an auxiliary operation, that is to say whether the command data derived from an operation is to be passed on directly to the process or by the operator to be authorized separately. Since the possibility must be expected that the data processing system will incorrectly classify an entered process control order and, although it is an auxiliary operation, the corresponding command data will be released directly to the process, the data processing system is to be set up according to safety aspects.
- the data processing system connected between the operating device and the process essentially has the function of a converter.
- it is known (DE-AS 22 60 738) to convert the output data derived from input data in an electronic decoding device back into the input code in a separate coding device before they are output to the process and compare with the original input code. If the original and the back-coded information match, the output data formed by the electronic decoding device are released; otherwise they will be blocked.
- the known electronic decoding device does not obtain the data to be reconstructed in the respective input code from a data memory from which the decoded signals are later passed on to the process, but from an upstream decoding stage. This does not guarantee that the data later released to the process actually correspond to the data used by the additional coding device for the back coding.
- the known electronic decoding device is not able to classify the data supplied to it.
- the known electronic decoding device can therefore not be used for safe process control, since it does not offer the possibility of distinguishing dangerous commands (auxiliary controls) from harmless commands (control controls) and disconnect the connection to the process, for example, in the case of a faulty but meaningful process control order.
- the object of the present invention is to design a device according to the preamble of claim 1 so that a reliable classification of the respective process control order is possible, the release of the command data derived from a process control order to the process either directly (in a regular operation) or after authorization by the operator initiating the process control order (with an auxiliary operator).
- the drawing shows in the upper right part a data input device DE known per se, via which process control orders can be conveyed by an operator to the process to be controlled and / or monitored.
- the process control orders entered are converted into command data in a downstream data processing system DV and output to the process via an output device AE.
- the data input device consists of, for example, an alphanumeric input keyboard ET, via which an operator specifies the process control orders.
- the each Process control orders entered are visually represented to the operator via a display device SG and can be output by the operator after visual inspection via a key T to the data processing system DV.
- the data processing system DV essentially consists of two independent microcomputers MC1 and MC2 which do not operate in a safety-related manner and a relay link RV which operates in a safety-related manner.
- the process control orders coming from the data input DE arrive at the microcomputer MC1, which uses them to form corresponding command data as they are required for controlling the process.
- the microcomputer MC1 does not pass on the command data it has developed to the process, but instead stores them in an output device AE.
- This output device essentially consists of a memory in which the command data supplied are stored for security purposes.
- the microcomputer MC1 reads the stored data back for testing purposes and compares it with the data it has worked out the microcomputer MC1 directly acted upon by the process control orders but also on the microcan computer MC2. Both microcomputers are then informed of the command data available for execution. Both independently evaluate the command data to be executed with regard to the type of operation to be carried out. If both microcomputers independently determine that the operation being carried out is a regular operation that is checked separately for admissibility within the process, both give Mikrocom Computer free the output of the command data stored in the output device AE. This takes place via the relay link RV working downstream of the two microcomputers on the output side.
- the relay link RV blocks the release of the command data stored in the output device AE.
- the operator can be informed of the malfunction in a suitable manner, for example by switching on an optical and / or acoustic detector. The response of this detector can cause the operator to delete the stored data and to carry out the operation again. If the two microcomputers classify the operation as a control operation, the command data which may have been updated by the repeated input in the output device AE are released.
- the two microcomputers MC1 and MC2 can then release themselves do not cause the command data stored in the output device AE.
- the targeted involvement of the respective initiating operator is required for the release.
- the microcomputer MC2 determines the associated process control job from the command data supplied to it via the input doubler EV and feeds it to the operator via a separate control display KA.
- the operator now has the task of displaying the process control, for example alphanumerically, on the control display compare the order with the order he entered into the data input device DE and decide whether this order should be carried out or not.
- release switching means acts on the two microcomputers MC1 and MC2 via the relay link RV with a corresponding control indicator. If both microcomputers classify the operation to be carried out as auxiliary operation and if the relay link DE supplies them with the control signals triggered by the actuation of the release switching means FS, then both microcomputers independently generate release signals for the output of the command data stored in the output device AE. In the relay linkage, these releases are possibly linked again with the release by the release switching means FS and then lead to the output of the command data pending for execution.
- the data in the output device AE are deleted after a predeterminable period of time and the two microcomputers are brought into the basic position.
- the two microcomputers update their free messages by continuously reading back the stored data and classifying this data. If one or both of them detects a change in the stored data, the microcomputer concerned releases its release to the relay link RV back instantly.
- the relay link prevents the Output of the data stored in the output device AE or switches the output off immediately when the release has already been granted. The operator must be informed of such a fault in a suitable manner.
- the re-release of data stored in the output device after the correct course of a data output or after the blocking of an output in the event of a fault is to be made in terms of circuitry from the previous basic setting of the relay link RV.
- the relay link RV can only assume the basic position if the command data pending in the output device AE has been deleted, both microcomputers have put their outputs to the relay link RV into a position which indicates their readiness for the next operation processing and the release switching means at the operator station has also assumed the basic position .
- the microcomputer MC1 which is directly acted upon by the process control orders, has to determine the operator station from which an auxiliary operator was entered and to report this to the relay linkage. From the knowledge of the operator station stored in the relay link, the microcomputer which is not directly acted upon by the process control data has to supply only the operator station with the read back process control data which was recognized by the other microcomputer as being necessary.
- the relay linkage has to contain switching means which only recognize a release treatment if they are from that operator station that was previously recognized as initiating.
- the device for secure process control according to the invention can advantageously be used wherever a process is to be acted on from several operator stations with safety responsibility.
- a preferred field of application is the control of a signal box from several operator stations, whereby both operator actions are to be carried out from these operator stations, which are monitored for admissibility in the downstream signal box level, as well as operator actions which are intended to deliberately undermine the safety of the signal box, particularly in the event of malfunctions to be able to keep the operation relatively smooth.
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Safety Devices In Control Systems (AREA)
- Container Filling Or Packaging Operations (AREA)
- Selective Calling Equipment (AREA)
- Train Traffic Observation, Control, And Security (AREA)
Abstract
Description
- Die Erfindung bezieht sich auf eine Einrichtung nach dem Oberbegriff des Patentanspruches 1.
- Bei der nicht vollautomatisierten Prozeßsteuerung haben sich vielerorts Bildschirmarbeitsplätze bewährt, von denen aus über eine beispielsweise alphanumerische Tastatur sowie eine optische Kontrollvorrichtung auf eine Datenverarbeitungsanlage und von dort auf den zu steuernden und/oder zu überwachenden Prozeß eingewirkt wird.
- Ein solcher Anwendungsfall ist beispielsweise in der Eisenbahnsignaltechnik bei der Steuerung eines Stellwerkes über ein oder mehrere sogenannte Nummernstellpulte gegeben. Bei dieser Art der Prozeßsteuerung sind von ihrer Bedeutung und Auswirkung auf den Prozeß grundsätzlich zwei Arten von Bedienungen zu unterscheiden und verschieden zu behandeln, nämlich sogenannte Regelbedienungen und sogenannte Hilfsbedienungen.Eine Regelbedienung kann nach ihrer Eingabe ohne weiteres Zutun des Bedieners an den Prozeß ausgegeben werden, weil ihre Zulässigkeit in einer gesonderten Sicherheitsebene außerhalb der Datenverarbeitungsanlage nach sicherungstechnischen Gesichtspunkten geprüft wird; ein eventueller Fehler kann nicht zu einem gefährlichen Zustand führen. Bei einer Hilfsbedienung wird die Zulässigkeit dieser Bedienung nicht mehr in einer gesonderten Sicherheitsebene geprüft, das heißt, die durch eine derartige Hilfsbedienung definierten Kommandodaten würden bei Ausgabe an den Prozeß gegebenenfalls zu einer Gefährdung führen können. Die Verarbeitung solcher Hilfsbedienungen ist daher vom Menschen in geeigneter Weise zu überwachen und zu steuern.
- Dies geschieht regelmäßig dadurch, daß die Datenverarbeitungsanlage vor der Ausgabe der Daten an den Prozeß dem Bediener Kontrolldaten zuführt, die den Bediener von der zur Ausführung anstehenden Hilfshandlung unterrichten und ihm die Möglichkeit geben, diese Daten entweder zurückzunehmen oder an den Prozeß freizugeben.
- Dabei hat die vom Bediener mit Prozeßsteueraufträgen beaufschlagte Datenverarbeitungsanlage selbst die Entscheidung darüber zu treffen, ob es sich bei einer Bedienung um eine Regel- oder eine Hilfsbedienung handelt, das heißt, ob die aus einer Bedienungshandlung abgeleiteten Kommandodaten direkt an den Prozeß weiterzugeben oder durch den Bediener gesondert zu autorisieren sind. Da mit der Möglichkeit gerechnet werden muß, daß die Datenverarbeitungsanlage einen eingegebenen Prozeßsteuerauftrag falsch klassifiziert und,obgleich es sich um eine Hilfsbedienung handelt, die entsprechenden Kommandodaten direkt an den Prozeß freigibt, ist die Datenverarbeitungsanlage nach sicherungstechnischen Gesichtspunkten aufzubauen. Als Einrichtung zur Datenverarbeitung kommt entweder eine signaltechnisch sichere Datenverarbeitungseinrichtung in Frage, die z.B. durch internen Vergleich der auf den Adreß-, Daten- und Steuerbussen zweier Mikrocomputer anliegenden Signale eventuelle Diskrepanzen zwischen den von beiden Mikrocomputern erarbeiteten Ergebnissen frühzeitig erkennt und daraufhin die Ausgabe von Daten an den Prozeß unterbindet oder aber es werden z.B. zwei nicht sicherungstechnisch arbeitende Mikrocomputer eingesetzt, deren Arbeitsergebnisse in einer externen, sicheren Vergleichseinrichtung miteinander verknüpft werdenunddLegemeinsam auf den zu steuernden Prozeß einwirken.
- Die zwischen die Bedienungseinrichtung und den Prozeß geschaltete Datenverarbeitungsanlage hat im wesentlichen die Funktion eines Umsetzers. Um eventuelle Fehler beim Umsetzen von Eingangs- in Ausgangsdaten erkennen zu können, ist es bekannt (DE-AS 22 60 738), die in einer elektronischen Decodiereinrichtung aus Eingangsdaten abgeleiteten Ausgangsdaten vor ihrer Ausgabe an den Prozeß in einer gesonderten Codiereinrichtung wieder in den Eingangscode umzusetzen und mit dem ursprünglichen Eingangscode zu vergleichen. Bei Übereinstimmung der ursprünglichen und der rückcodierten Information werden die von der elektronischen Decodiereinrichtung gebildeten Ausgangsdaten freigegeben; im anderen Fall werden sie gesperrt. Die bekannte elektronische Decodiereinrichtung bezieht die in den jeweiligen Eingangscode rückzubildenden Daten nicht aus einem Datenspeicher, aus dem die decodierten Signale später an den Prozeß weitergegeben werden, sondern aus einer vorgeschalteten Decodierstufe. Damit ist nicht gewährleistet, daß die später an den Prozeß freigegebenen Daten auch tatsächlich den Daten entsprechen, die von der zusätzlichen Codiereinrichtung für die Rückcodierung benutzt werden.
- Die bekannte elektronische Decodiereinrichtung ist nicht in der Lage, die ihr zugeführten Daten zu klassifizieren. Für den vorliegenden Fall der Prozeßsteuerung durch Regel- und Hilfsbedienungen heißt dies, daß die der Decodiereinrichtung zugeführten Daten von dieser grundsätzlich dann an den Prozeß ausgegeben werden, wenn sie von der Decodiereinrichtung ordnungsgerecht umgesetzt worden sind. Die bekannte elektronische Decodiereinrichtung kann daher nicht für die sichere Prozeßsteuerung verwendet werden, denn sie gibt keine Möglichkeit, gefährliche Kommandos (Hilfsbedienungen) von ungefährlichen Kommandos (Regelbedienungen) zu unterscheiden und beispielsweise bei einem fehlerhaften aber in sich sinnvollen Prozeßsteuerauftrag die Verbindung zum Prozeß aufzutrennen.
- Aufgabe der vorliegenden Erfindung ist es, eine Einrichtung nach dem Oberbegriff des Patentanspruches 1 so auszubilden, daß eine sichere Klassifizierung des jeweils anliegenden Prozeßsteuerauftrages möglich ist, wobei die Freigabe der aus einem Prozeßsteuerauftrag abgeleiteten Kommandodaten an den Prozeß entweder direkt (bei einer Regelbedienung) oder aber nach Autorisierung durch den den Prozeßsteuerauftrag veranlassenden Bediener (bei einer Hilfsbedienung) erfolgt.
- Die Erfindung löst diese Aufgabe durch die kennzeichnenden Merkmale des Patentanspruches 1. Vorteilhafte Aus-und Weiterbildungen der erfindungsgemäßen Einrichtung sind in den Unteransprüchen angegeben.
- Die Erfindung ist nachstehend näher erläutert, wobei auf die Zeichnung Bezug genommen ist.
- Die Zeichnung zeigt im oberen rechten Teil eine an sich bekannte Dateneingabeeinrichtung DE, über die von einem Bediener Prozeßsteueraufträge an den zu steuernden und/ oder zu überwachenden Prozeß vermittelt werden können. Die eingegebenen Prozeßsteueraufträge werden in einer nachgeordneten Datenverarbeitungsanlage DV in Kommandodaten umgesetzt und über eine Ausgabeeinrichtung AE an den Prozeß ausgegeben.
- Die Dateneingabeeinrichtung besteht aus einer beispielsweise alphanumerischen Eingabetastatur ET, über die ein Bediener die Prozeßsteueraufträgevorgibt. Die jeweils eingegebenen Prozeßsteueraufträge werden dem Bediener über ein Sichtgerät SG optisch dargestellt und können vom Bediener nach Sichtkontrolle über eine Taste T an die Datenverarbeitungsanlage DV ausgegeben werden.
- Die Datenverarbeitungsanlage DV besteht im wesentlichen aus zwei voneinander unabhängigen nicht sicherungstechnisch arbeitenden Mikrocomputern MC1 und MC2 sowie einer sicherungstechnisch arbeitenden Relaisverknüpfung RV.
- Die von der Dateneingabe DE kommenden Prozeßsteueraufträge gelangen zu dem Mikrocomputer MC1, der aus ihnen entsprechende Kommandodaten bildet wie sie für die Steuerung des Prozesses benötigt werden. Der Mikrocomputer MC1 gibt die von ihm erarbeiteten Kommandodaten aberroch nicht an den Prozeß weiter, sondern hinterlegt sie in einer Ausgabeeinrichtung AE. Diese Ausgabeeinrichtung besteht im wesentlichen aus einem Speicher, in dem die zugeführten Kommandodaten sicherungstechnisch abgelegt sind.
- Nach der Hinterlegung der Kommandodaten liest der Mikrocomputer MC1 die hinterlegten Daten zu Prüfzwecken zurück und vergleicht sie mit den von ihm erarbeiteten Daten.Die vom Mikrocomputer MC1 aus der Ausgabeeinrichtung AE zurückgelesenen Kommandodaten gelangen über einen in den Rückmeldekanal geschalteten sicherungstechnisch aufgebauten Eingabeverdoppler EV aber nicht nur auf den durch die Prozeßsteueraufträge direkt beaufschlagten MikrocomputerMC1 sondern auch auf den MikrocanputerMC2. Beide Mikrocomputer sind danit über die zur Ausführung anliegenden Kommandodaten informiert. Beidebewerten unabhängig voneinander die zur Ausführung anliegenden Kommandodaten hinsichtlich der Art der zur Ausführung kommenden Bedienungshandlung. Stellen beide Mikrocomputer unabhängig voneinander fest, daß es sich bei der zur Ausführung kommenden Bedienung um eine Regelbedienung handelt, die innerhalb des Prozesses gesondert auf Zulässigkeit geprüft wird, so geben beide Mikrocomputer die Ausgabe der in der Ausgabeeinrichtung AE gespeicherten Kommandodaten frei. Dies geschieht über die den beiden Mikrocomputern ausgangsseitig nachgeordnete sicherungstechnisch arbeitende Relaisverknüpfung RV. Kommen die beiden Mikrocomputer zu unterschiedlichen Klassifizierungsergebnissen, so sperrt die Relaisverknüpfung RV die Freigabe der in der AusgabeeinrichtungAE gespeicherten Kommandodaten. Die eingetretene Störung kann dem Bediener auf geeignete Weise zur Kenntnis gebracht werden, beispielsweise durch Anschalten eines optischen und/oder akustischen Melders. Das Ansprechen dieses Melders kann den Bediener zum Löschen der gespeicherten Daten und zur erneuten Vornahme der Bedienungshandlung veranlassen. Klassifizieren die beiden Mikrocomputer.dann die Bedienung als Regelbedienung, werden die durch die nochmalige Eingabe in der Ausgabeeinrichtung AE gegebenenfalls aktualisierten Kommandodaten freigegeben.
- Handelt es sich bei einer Bedienung um eine Hilfsbedienung, die in keiner nachgeordneten Sicherheitsebene überprüft wird, sondern innerhalb des zu steuernden und/oder zu überwachenden Prozesses direkt zur Auswirkung kommt, so können die beiden Mikrocomputer MC1 und MC2 von sich aus die Freigabe der dann in der Ausgabeeinrichtung AE gespeicherten Kommandodaten nicht veranlassen. Für die Freigabe ist die gezielte Mitwirkung des jeweils veranlassenden Bedieners erforderlich. Hierzu ermittelt der Mikrocomputer MC2 aus den ihm über den Eingabeverdoppler EV zugeführten Kommandodaten den jeweils zugehörigen Prozeßsteuerauftrag und führt diesen dem Bediener über eine gesonderte Kontrollanzeige KA zu. Der Bediener hat nun die Aufgabe, den ihm auf der Kontrollanzeige beispielsweise alphanumerisch dargestellten Prozeßsteuerauftrag mit dem von ihm in die Dateneingabeeinrichtung DE eingegebenen Auftrag zu vergleichen und zu entscheiden, ob dieser Auftrag zur Ausführung kommen soll oder nicht. Hat er sich für die Ausführung entschieden, so hat der Bediener ein gesondertes Freigabeschaltmittel FS zu betätigen. Dieses Freigabeschaltmittel wirkt über die Relaisverknüpfung RV mit einem entsprechenden Steuerkennzeichen auf die beiden Mikrocomputer MC1 und MC2 ein. Haben beide Mikrocomputer die zur Ausführung anliegende Bedienung als Hilfsbedienung klassifiziert und werden ihnen von der Relaisverknüpfung DE die durch die Betätigung des Freigabeschaltmittels FS ausgelösten Steuersignale zugeführt, so erarbeiten beide Mikrocomputer unabhängig voneinander Freigabesignale für die Ausgabe der in der Ausgabeeinrichtung AE gespeicherten Kommandodaten. Diese Freigaben werden in der Relaisverknüpfung ggf. nochmals mit der Freigabe durch die Freigabeschaltmittel FS verknüpft und führen dann zur Ausgabe der zur Ausführung anliegenden Kommandodaten.
- Verweigert der Bediener seine Zustimmung zur Freigabe der zur Ausführung anstehenden Kommandodaten, so werden nach Ablauf einer vorgebbaren Zeitspanne die in der Ausgabeeinrichtung AE stehenden Daten gelöscht und die beiden Mikrocomputer in die Grundstellung geführt.
- Solange die Kommandodaten in der Ausgabeeinrichtung AE gespeichert sind, aktualisieren die beiden Mikrocomputer durch ständiges Rücklesen der gespeicherten Daten und Klassifizierung dieser Daten ihre Freimeldungen.Stellt einer von ihnen oder beide eine Änderung der gespeicherten Daten fest, so nimmt der betroffende Mikrocomputer seine Freigabe an die Relaisverknüpfung RV augenblicklich zurück. Die Relaisverknüpfung unterbindet dabei die Ausgabe der in der Ausgabeeinrichtung AE gespeicherten Daten bzw. schaltet die Ausgabe augenblicklich ab, wenn die Freigabe schon erteilt ist. Eine solche Störung ist dem Bediener auf geeignete Art und Weise anzuzeigen. Die erneute Freigabe von in der Ausgabeeinrichtung gespeicherten Daten nach dem ordnungsgemäßen Verlauf einer Datenausgabe oder nach dem Sperren einer Ausgabe im Fehlerfall ist schaltungstechnisch von der vorherigen Grundstellung der Relaisverknüpfung RV abhängig zu machen. Die Relaisverknüpfung RV kann die Grundstellung nur einnehmen, wenn die in der Ausgabeeinrichtung AE anstehenden Kommandodaten gelöscht sind, beide Mikrocomputer ihre Ausgaben an die Relaisverknüpfung RV in eine ihre Bereitschaft für die nächste Bedienungsbearbeitung kennzeichnende Lage gebracht haben und das Freigabeschaltmittel am Bedienplatz ebenfalls die Grundstellung eingenommen hat.
- Sind mehrere Dateneingabeeinrichtungen vorhanden, so ist sicherzustellen, daß eine Freigabe der aus einer Hilfsbedienung abgeleiteten Kommandodaten nur von demjenigen Bediener aus vorgenommen werden kann, der die zugehörige Bedienung veranlaßt hat. Zu diesem Zweck hat der durch die Prozeßsteueraufträge direkt beaufschlagte Mikrocomputer MC1 denjenigen Bedienplatz zu ermitteln, von dem aus eine Hilfsbedienung eingegeben wurde und diesen der Relaisverknüpfung zu melden. Der durch die Prozeßsteuerdaten nicht direkt beaufschlagte Mikrocomputer hat aus der Kenntnis des in der Relaisverknüpfung gespeicherten Bedienplatzes heraus ausschließlich denjenigen Bedienplatz mit den rückgelesenen Prozeßsteuerdaten zu versorgen, der von dem anderen Mikrocomputer als veranlassend erkannt wurde. Die Relaisverknüpfung hat Schaltmittel zu beinhalten, welche eine Freigabebehandlung nur dann anerkennen, wenn sie von demjenigen Bedienplatz aus erfolgt, der zuvor als veranlassend erkannt wurde.
- Die erfindungsgemäße Einrichtung zur sicheren Prozeßsteuerung ist mit Vorteil überall dort einzusetzen, wo von insbesondere mehreren Bedienplätzen aus mit Sicherheitsverantwortung auf einen Prozeß einzuwirken ist. Ein bevorzugtes Anwendungsgebiet ist die Steuerung eines Stellwerks von mehreren Bedienplätzen aus, wobei von diesen Bedienplätzen aus sowohl Bedienungshandlungen auszuführen sind, die in der nachgeordneten Stellwerksebene auf Zulässigkeit überwacht werden, als auch Bedienungshandlungen, die insbesondere in Störsituationen die Sicherheit des Stellwerkes bewußt unterlaufen sollen, um den Betrieb einigermaßen flüssig halten zu können.
Claims (10)
daß der eine Mikrocomputer (MC1) die zur Ausführung jeweils anliegenden Prozeßsteueraufträge in entsprechende Kommandodaten umsetzt, diese in einer Ausgabeeinrichtung (AE) speichert und die eingespeicherten Daten zurückliest, wobei die zurückgelesenen Daten über einen sicherungstechnischen Eingabeverdoppler (EV) gleichzeitig auch an den anderen Mikrocomputer (MC2) gelangen, daß beide Mikrocomputer unabhängig voneinander die ihnen zugeführten Daten nach der Art des jeweils anliegenden Prozeßsteuerauftrages klassifizieren und die Klassifizierungsergebnisse einer Relaisverknüpfung (RV) zuführen, die bei Übereinstimmung der Klassifizierungsergebnisse der beiden Mikrocomputer die Freigabe der in der Ausgabeeinrichtung (AE) gespeicherten Daten veranlaßt, sofern der jeweils klassifizierte Prozeßsteuerauftrag eine Regelbedienung betrifft, dagegen beim gemeinsamen Erkennen einer Hilfsbedienung die Freigabe der in der Ausgabeeinrichtung gespeicherten Daten von einer gesonderten über die Relaisverknüpfung (RV) geführten Zustimmung eines Bedieners abhängig macht.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
AT84102198T ATE25220T1 (de) | 1983-03-25 | 1984-03-01 | Einrichtung zur sicheren prozesssteuerung. |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19833310975 DE3310975A1 (de) | 1983-03-25 | 1983-03-25 | Einrichtung zur sicheren prozesssteuerung |
DE3310975 | 1983-03-25 |
Publications (3)
Publication Number | Publication Date |
---|---|
EP0120339A1 true EP0120339A1 (de) | 1984-10-03 |
EP0120339B1 EP0120339B1 (de) | 1987-01-28 |
EP0120339B2 EP0120339B2 (de) | 1991-07-03 |
Family
ID=6194696
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP84102198A Expired - Lifetime EP0120339B2 (de) | 1983-03-25 | 1984-03-01 | Einrichtung zur sicheren Prozesssteuerung |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP0120339B2 (de) |
AT (1) | ATE25220T1 (de) |
DE (2) | DE3310975A1 (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0448796A2 (de) * | 1990-03-29 | 1991-10-02 | Siemens Aktiengesellschaft | Einrichtung zum Steuern eines Stellwerkes von mindestens einem abgesetzten Bedienplatz aus |
DE4107639A1 (de) * | 1991-03-09 | 1992-09-10 | Standard Elektrik Lorenz Ag | Einrichtung zur signaltechnisch sicheren fernsteuerung einer unterstation in einer eisenbahnanlage |
EP1038752A1 (de) * | 1999-03-17 | 2000-09-27 | Westinghouse Brake And Signal Holdings Limited | Stellwerkanlage für Eisenbahnen |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4432419C2 (de) * | 1994-09-02 | 2003-04-24 | Siemens Ag | Verfahren zum Behandeln freigabepflichtiger Kommandos und Einrichtung zur Durchführung des Verfahrens |
DE19742330C1 (de) * | 1997-09-19 | 1998-10-29 | Siemens Ag | Verfahren zum Abschotten sicherheitsrelevanter Datenverarbeitungsanlagen gegen Beeinflussungen aus anderen Datennetzen sowie hierzu geeignete Einrichtung |
DE19828452A1 (de) * | 1998-06-26 | 1999-12-30 | Alcatel Sa | Bedienplatzeinrichtung für signaltechnische Anlagen |
AU737646B2 (en) * | 1999-05-21 | 2001-08-23 | Hitachi Information & Control Systems Inc. | Plant operating and monitoring system, and plant operating and monitoring method |
DE10261450B4 (de) * | 2002-12-31 | 2007-10-11 | Danfoss Drives A/S | Elektromotor mit integrierter elektronischer Steuereinrichtung |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CH535154A (de) * | 1972-02-18 | 1973-03-31 | Stin | Elektronische Decodiereinrichtung für eine Fernsteuereinrichtung in Eisenbahnanlagen |
DE2303828A1 (de) * | 1973-01-26 | 1974-08-01 | Standard Elektrik Lorenz Ag | Steuerverfahren mit drei parallel betriebenen rechnern |
-
1983
- 1983-03-25 DE DE19833310975 patent/DE3310975A1/de not_active Withdrawn
-
1984
- 1984-03-01 AT AT84102198T patent/ATE25220T1/de not_active IP Right Cessation
- 1984-03-01 EP EP84102198A patent/EP0120339B2/de not_active Expired - Lifetime
- 1984-03-01 DE DE8484102198T patent/DE3462231D1/de not_active Expired
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CH535154A (de) * | 1972-02-18 | 1973-03-31 | Stin | Elektronische Decodiereinrichtung für eine Fernsteuereinrichtung in Eisenbahnanlagen |
DE2303828A1 (de) * | 1973-01-26 | 1974-08-01 | Standard Elektrik Lorenz Ag | Steuerverfahren mit drei parallel betriebenen rechnern |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0448796A2 (de) * | 1990-03-29 | 1991-10-02 | Siemens Aktiengesellschaft | Einrichtung zum Steuern eines Stellwerkes von mindestens einem abgesetzten Bedienplatz aus |
EP0448796A3 (en) * | 1990-03-29 | 1993-03-24 | Siemens Aktiengesellschaft | Control device for an interlocking system of at least one remote control panel |
DE4107639A1 (de) * | 1991-03-09 | 1992-09-10 | Standard Elektrik Lorenz Ag | Einrichtung zur signaltechnisch sicheren fernsteuerung einer unterstation in einer eisenbahnanlage |
EP0503336A2 (de) * | 1991-03-09 | 1992-09-16 | Alcatel SEL Aktiengesellschaft | Einrichtung zur signaltechnisch sicheren Fernsteuerung einer Unterstation in einer Eisenbahnanlage |
EP0503336A3 (de) * | 1991-03-09 | 1994-02-23 | Sel Alcatel Ag | |
EP1038752A1 (de) * | 1999-03-17 | 2000-09-27 | Westinghouse Brake And Signal Holdings Limited | Stellwerkanlage für Eisenbahnen |
US6308117B1 (en) | 1999-03-17 | 2001-10-23 | Westinghouse Brake & Signal Holdings Ltd. | Interlocking for a railway system |
Also Published As
Publication number | Publication date |
---|---|
ATE25220T1 (de) | 1987-02-15 |
EP0120339B2 (de) | 1991-07-03 |
EP0120339B1 (de) | 1987-01-28 |
DE3310975A1 (de) | 1984-09-27 |
DE3462231D1 (en) | 1987-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0875810B1 (de) | Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten | |
DE3522418C2 (de) | ||
EP2445771B1 (de) | Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks | |
DE2258917B2 (de) | Regelvorrichtung mit mindestens zwei parallelen signalkanaelen | |
EP1055159B1 (de) | Fehlersichere prozesseingabe und prozessausgabe | |
EP0120339B1 (de) | Einrichtung zur sicheren Prozesssteuerung | |
DE3522220C2 (de) | Schaltungsanordnung zur sicheren Ansteuerung von Stellelementen eines Prozesses | |
AT402909B (de) | Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage | |
DE19826875A1 (de) | Numerische Steuerung mit einem räumlich getrennten Eingabegerät | |
DE3432130A1 (de) | Numerische steuerungsvorrichtung | |
DE4022954A1 (de) | Fehlerdetektor bei redundant vorgesehenen signalgebern | |
EP1197418A1 (de) | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens | |
DE3108871A1 (de) | Einrichtung zur funktionspruefung eines mehrrechnersystems | |
DE3938501A1 (de) | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens | |
EP3343301B1 (de) | Verfahren zum programmieren einer sicherheitssteuerung | |
EP0077450A2 (de) | Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage | |
EP1760558B1 (de) | Vorrichtung und Verfahren zur Untersuchung der Sicherheit einer technischen Einrichtung | |
EP2937745B1 (de) | Sicherheitssteuerung zum sicheren Betreiben einer technischen Anlage und Verfahren zum Betreiben der Sicherheitssteuerung | |
DE3012159C2 (de) | Anordnung zur gesicherten Datenausgabe | |
EP3048498B1 (de) | Verfahren zum Auslesen von Diagnosedaten aus einer Sicherheitssteuerung | |
DE19949710B4 (de) | Verfahren und Einrichtung zur fehlersicheren Kommunikation zwischen Zentraleinheiten eines Steuerungssystems | |
DE102015113366B3 (de) | Lichtgitter und Verfahren zum Rücksetzen einer Konfiguration | |
DE3127363A1 (de) | "rechnergesteuertes stellwerk" | |
EP0281890B1 (de) | Sicherheitsschaltwerk mit mehreren dieselben Daten verarbeitenden Mikrocomputern | |
EP4321949A1 (de) | Modulare steuerungseinrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
AK | Designated contracting states |
Designated state(s): AT CH DE LI NL |
|
17P | Request for examination filed |
Effective date: 19841026 |
|
17Q | First examination report despatched |
Effective date: 19860423 |
|
GRAA | (expected) grant |
Free format text: ORIGINAL CODE: 0009210 |
|
AK | Designated contracting states |
Kind code of ref document: B1 Designated state(s): AT CH DE LI NL |
|
REF | Corresponds to: |
Ref document number: 25220 Country of ref document: AT Date of ref document: 19870215 Kind code of ref document: T |
|
REF | Corresponds to: |
Ref document number: 3462231 Country of ref document: DE Date of ref document: 19870305 |
|
PLBI | Opposition filed |
Free format text: ORIGINAL CODE: 0009260 |
|
26 | Opposition filed |
Opponent name: STANDARD ELEKTRIK LORENZ AG Effective date: 19871016 |
|
NLR1 | Nl: opposition has been filed with the epo |
Opponent name: STANDARD ELEKTRIK LORENZ AG |
|
PUAH | Patent maintained in amended form |
Free format text: ORIGINAL CODE: 0009272 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: PATENT MAINTAINED AS AMENDED |
|
27A | Patent maintained in amended form |
Effective date: 19910703 |
|
AK | Designated contracting states |
Kind code of ref document: B2 Designated state(s): AT CH DE LI NL |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: AEN |
|
NLR2 | Nl: decision of opposition | ||
NLR3 | Nl: receipt of modified translations in the netherlands language after an opposition procedure | ||
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: DE Payment date: 19920521 Year of fee payment: 9 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: CH Payment date: 19920622 Year of fee payment: 9 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: AT Payment date: 19930224 Year of fee payment: 10 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: LI Effective date: 19930331 Ref country code: CH Effective date: 19930331 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: NL Payment date: 19930331 Year of fee payment: 10 |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: PL |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: DE Effective date: 19931201 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: AT Effective date: 19940301 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: NL Effective date: 19941001 |
|
NLV4 | Nl: lapsed or anulled due to non-payment of the annual fee |