EP1702827A1 - Bedienplatzsystem - Google Patents

Bedienplatzsystem Download PDF

Info

Publication number
EP1702827A1
EP1702827A1 EP06111067A EP06111067A EP1702827A1 EP 1702827 A1 EP1702827 A1 EP 1702827A1 EP 06111067 A EP06111067 A EP 06111067A EP 06111067 A EP06111067 A EP 06111067A EP 1702827 A1 EP1702827 A1 EP 1702827A1
Authority
EP
European Patent Office
Prior art keywords
sil4
die
channel
operator station
vicos
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP06111067A
Other languages
English (en)
French (fr)
Inventor
Wolfgang Grabe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP1702827A1 publication Critical patent/EP1702827A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L25/00Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
    • B61L25/06Indicating or recording the setting of track apparatus, e.g. of points, of signals
    • B61L25/08Diagrammatic displays
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks

Definitions

  • the invention relates to an operator station system according to the preamble of the claim.
  • Operator station systems in railway signaling technology must comply with safety requirements that are defined in the CENELEC standard in the form of safety levels SIL0 - not technically safe - up to SIL4 - with high signal integrity. If there is a safety request for SIL4 for the command output and no safety request for the command display, d. H. SILO, so far operator station systems are used, which correspond to safety level SIL4. This means according to the standard specification that the operator station system is to be executed with two channels. This inevitably involves a high level of hardware and software effort.
  • the invention has for its object to provide an operator station system of the generic type, which is less expensive, especially in terms of communication circuits, project planning and installation.
  • the well-known operator station system that fulfills the requirements of CENELEC SIL4 has hitherto been a two-channel system two VICOS OC 111 computers 1 and 2 formed.
  • the two computers 1 and 2 are used to control and monitor a signal box 3, which also corresponds to the security level SIL4.
  • the OC 101 calculator 4 can be used with SIL4 command output requirements.
  • a second channel according to FIG. 1 can be dispensed with.
  • the invention is not limited to the above-mentioned embodiment. Rather, a number of variants are conceivable, which make use of the features of the invention even with fundamentally different type of execution.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

Die Erfindung betrifft ein Bedienplatzsystem mit signaltechnisch sicherer Kommandoausgabe gemäß Sicherheitslevel CENELEC SIL4 und signaltechnisch nicht sicherer Kommandoanzeige für die Bedienung und Überwachung eines SIL4-Stellwerks (3). Ein derartiges Bedienplatzsystem mit nur einem Kanal ist möglich, wenn der Kanal mit einem Rechner (4) eines mehrere identische Rechner (1,2) aufweisenden, mehrkanaligen SIL4-Bedienplatzes sowohl hinsichtlich Hardware als auch hinsichtlich Software übereinstimmt.

Description

  • Die Erfindung betrifft ein Bedienplatzsystem gemäß dem Oberbegriff des Patentanspruchs. Bedienplatzsysteme in der Eisenbahnsignaltechnik müssen Sicherheitsanforderungen genügen, die in der CENELEC-Norm in Form von Sicherheitsstufen SIL0 - signaltechnisch nicht sicher - bis SIL4 - signaltechnisch hochgradig sicher - definiert sind. Besteht für die Kommandoausgabe eine Sicherheitsanforderung nach SIL4 und für die Kommandoanzeige keine Sicherheitsanforderung, d. h. SILO, werden bisher Bedienplatzsysteme eingesetzt, die insgesamt dem Sicherheitslevel SIL4 entsprechen. Das bedeutet nach der Normvorgabe, dass das Bedienplatzsystem zweikanalig auszuführen ist. Damit ist zwangsläufig ein hoher Hardware- und Softwareaufwand verbunden.
  • Der Erfindung liegt die Aufgabe zugrunde, ein Bedienplatzsystem der gattungsgemäßen Art anzugeben, das weniger aufwendig ist, insbesondere hinsichtlich Kommunikationsschaltungen, Projektierung und Installation.
  • Erfindungsgemäß wird die Aufgabe mit den kennzeichnenden Merkmalen des Patentanspruchs gelöst. Durch die Reduzierung auf nur einen Kanal ergibt sich ohne Sicherheitseinbuße eine erhebliche Einsparung. Durch den Wegfall des zweiten Kanals entfallen Kommunikationsschaltungen inklusive der zugehörigen Software. Projektierung und Installation werden bei verringertem Platzbedarf vereinfacht. Zusätzlich erhöht sich die Verfügbarkeit des Bedienplatzsystems um Faktor zwei. Statt mindestens zwei PCs wird nur noch ein PC zur Ausbildung des einzigen Kanals eingesetzt. Dieser PC muss identisch sein mit einem von mehreren PCs eines mehrkanaligen SIL4-Bedienplatzsystems sowohl hinsichtlich Hardware als auch hinsichtlich Software. Auf diese Weise gilt die SIL4-Zertifizierung unter den unten genannten Voraussetzungen auch für das Bedienplatzsystem gemäß der geforderten Sicherheit, nämlich Kommandoausgabe gemäß SIL4 und Kommandoanzeige signaltechnisch nicht sicher. Diese "gemischte" Sicherheitsanforderung ergibt sich aus der Überlegung, dass nicht eine falsche Anzeige bei korrekter Kommandoausgabe gefährlich ist, sondern ein verfälschtes Kommando, das trotzdem in der gewünschten Weise, d. h. als korrekt angezeigt wird. Folglich kann es sinnvoll sein, ein Bedienplatzsystem zu konzipieren, das nur bezüglich der Kommandoausgabe dem Sicherheitslevel SIL4 entspricht. Damit für diese Anforderung ein einkanaliges System eingesetzt werden kann, muss der entsprechende PC für die Kommandoausgabe SIL4-tauglich sein. Dazu müssen gemäß der Normvorgabe folgende vier Voraussetzungen erfüllt sein:
    1. 1. Die tolerierbare Gefährdungsrate pro Stunden und pro Funktion für SIL4 gemäß CENELEC EN 50129, Tabelle A-1 muss im Bereich von 10-9 und 10-8 liegen.
    2. 2. Die Software muss gemäß den Vorgaben von CENELEC EN 50128 entwickelt worden sein.
    3. 3. Die Projektierung, Projektierungsprüfung, Installation und Wartung müssen den Anforderungen von SIL4 gerecht werden.
    4. 4. Die Nutzung des Bedienplatzes muss den Anforderungen nach SIL4 entsprechen.
  • Der Nachweis dieser Anforderungen wird nachfolgend am Beispiel des VICOS-Systems näher erläutert. Es zeigen:
    • Figur 1 das Prinzip eines bekannten Bedienplatzsystems und
    • Figur 2 das beanspruchte Bedienplatzsystem.
  • Das bekannte Bedienplatzsystem, das die Anforderungen nach CENELEC SIL4 erfüllt, ist bisher als zweikanaliges System mit zwei VICOS OC 111-Rechnern 1 und 2 ausgebildet. Die beiden Rechner 1 und 2 dienen zur Ansteuerung und Überwachung eines Stellwerks 3, das ebenfalls der Sicherheitsstufe SIL4 entspricht.
  • Bei der in Figur 2 dargestellten beanspruchten Lösung ist nur noch ein VICOS OC 101- Rechner 4 vorgesehen. Dieser Bedienplatz ist für signaltechnisch sichere Ausgabe nach SIL4 und nicht signaltechnisch sicherer Anzeige ausgelegt. Bei der Verwendung des VICOS OC 101-Rechners 4 ist bisher davon ausgegangen worden, dass nur Sicherheitsanforderungen bis CENELEC SIL2 erfüllt werden können. Die nachfolgende Betrachtung bezüglich der oben genannten vier Voraussetzungen für die SIL4-Eignung führen jedoch überraschenderweise zu dem Ergebnis, dass die einkanalige Konfigurierung nach Figur 2 bezüglich der Kommandoausgabe den Sicherheitsanforderungen nach SIL4 genügt.
    • 1. Für den zweikanaligen Bedienplatz OC 111 existiert eine Gefährdungsanalyse, wobei für die zwei Ausfälle alte Bedienfolge und Verfälschung von Bedienfolgen für die Kommandorichtung eine Gefährdungsrate von 1,9 x 10-10 resultiert. Die Bedienplätze VICOS OC 111 und VICOS OC 101 unterscheiden sich darin, dass bei VICOS OS 111 für die Kommandofreigabe-Verfahren zwei hardwaremäßig unabhängige Rechner 1 und 2 und bei VICOS OC 101 nur ein Rechner 4 eingesetzt werden. Um die Gefährdungsrate, die sich für die Kommandorichtung beim Bedienplatz VICOS OC 101 ergibt, zu berechnen, muss zunächst betrachtet werden, welche Aufgabe der zweite Rechner 1 bzw. 2 im VICOS OC 111-System übernimmt.
      Regelbedienungen, also nicht freigabepflichtige Bedienungen, werden bei VICOS OC 111 auch nur einkanalig ausgeführt. Bei freigabepflichtigen Bedienungen liefert der Referenz-Rechner 1 bzw. 2 die Checksumme seiner Anzeige zum Vergleich mit der Checksumme des Bedien-Rechners 2 bzw. 1 an das Stellwerk 3. Dort können Fehler in der Anzeige aufgedeckt werden.
      Im vorliegenden Fall soll die Anzeige nicht SIL4 entsprechen. Gefährlich ist nicht, dass eine falsche Anzeige erscheint, gefährlich ist, dass das Kommando verfälscht wird und dann trotzdem die gewünschte Anzeige erscheint. Wird ein Ausfall des Bedienplatzes angenommen, infolge dessen immer Kommandos verfälscht würden, liegt die Wahrscheinlichkeit, dass die gewünschte Anzeige erscheint, bei < 10-2. Da die Anzeige zwei voneinander unabhängige Verfahren, nämlich Elementausleuchtung und Telegrammtext, umfasst, ergibt sich eine Wahrscheinlichkeit von < 10-4. Die Hardwarefehler, die zu einem Ausfall und damit letztlich zur Gefährdung führen können, betreffen die PC-Komponenten, die an dieser Funktion beteiligt sind. Unter Berücksichtigung dieser Komponenten, nämlich CPU, Hauptspeicher, Graphikkarte und Monitor, und den anfangs betrachteten Ausfällen "alte Bedienfolge" und "Verfälschung von Bedienfolgen" beträgt die Gesamtgefährdung 1,0 × 10-9. Dieser Wert ist ausrechend für SIL4.
    • 2. Für den OC 101-Rechner 4 wird die gleiche Software wie für den OC 111-Rechner 1 bzw. 2 eingesetzt. Damit ist diese Anforderung nach SIL4 gegeben.
    • 3. Sofern alle vorgeschriebenen Maßnahmen für den OC 101-Rechner 4 durchgeführt werden, wird SIL4 erreicht.
    • 4. Der Betrieb des Bedienplatzes OC 111 ist entsprechend SIL4 zugelassen. Es ist sicherzustellen, dass alle Maßnahmen, die für die Kommandoausgabe beim Bedienplatz OC 111 vorgesehen sind, auch beim Bedienplatz OC 101 projektiert werden.
  • Wenn die oben genannten Maßnahmen und Auflagen für den OC 101-Rechner 4 nachgewiesen werden, kann der OC 101-Rechner 4 folglich bei SIL4-Anforderungen bezüglich der Kommandoausgabe eingesetzt werden. Ein zweiter Kanal gemäß Figur 1 kann entfallen.
  • Die Erfindung beschränkt sich nicht auf das vorstehend genannte Ausführungsbeispiel. Vielmehr ist eine Anzahl von Varianten denkbar, welche auch bei grundsätzlich anders gearteter Ausführung von den Merkmalen der Erfindung Gebrauch machen.

Claims (1)

  1. Bedienplatzsystem mit signaltechnisch sicherer Kommandoausgabe gemäß Sicherheitslevel CENELEC SIL4 und signaltechnisch nicht sicherer Kommandoanzeige für die Bedienung und Überwachung eines SIL4-Stellwerks (3),
    dadurch gekennzeichnet,
    dass das Bedienplatzsystem einkanalig ausgebildet ist, wobei der Kanal mit einem Rechner (4) eines mehrere identische Rechner (1,2) aufweisenden, mehrkanaligen SIL4-Bedienplatzsystems sowohl hinsichtlich Hardware als auch hinsichtlich Software übereinstimmt.
EP06111067A 2005-03-16 2006-03-14 Bedienplatzsystem Withdrawn EP1702827A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510013194 DE102005013194A1 (de) 2005-03-16 2005-03-16 Bedienplatzsystem

Publications (1)

Publication Number Publication Date
EP1702827A1 true EP1702827A1 (de) 2006-09-20

Family

ID=36499495

Family Applications (1)

Application Number Title Priority Date Filing Date
EP06111067A Withdrawn EP1702827A1 (de) 2005-03-16 2006-03-14 Bedienplatzsystem

Country Status (2)

Country Link
EP (1) EP1702827A1 (de)
DE (1) DE102005013194A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2036800A3 (de) * 2007-09-11 2009-09-30 Deutsche Bahn AG Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebes von Schienenfahrzeugen
WO2013026761A1 (de) * 2011-08-24 2013-02-28 Siemens Aktiengesellschaft Bedieneinrichtung
EP3178720A1 (de) * 2015-12-08 2017-06-14 Thales Deutschland GmbH Verfahren zur steuerung eines schienenfahrzeugs in einem arbeitsbereich, steuerungssystem und verwendung einer externen steuerungsvorrichtung

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
PL2879008T3 (pl) * 2013-11-28 2018-11-30 Thales Management & Services Deutschland Gmbh Sposób obsługiwania krytycznego dla bezpieczeństwa polecenia w sieci komputerowej

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3323269A1 (de) * 1983-06-28 1985-01-10 Siemens AG, 1000 Berlin und 8000 München Einrichtung zum betrieb eines rechnergesteuerten stellwerkes
EP0473834A1 (de) * 1990-09-07 1992-03-11 Siemens Aktiengesellschaft Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks
GB2414327A (en) * 2004-05-20 2005-11-23 Balfour Beatty Plc Interlocking for a railway signalling system
WO2006051355A1 (en) * 2004-11-15 2006-05-18 Abb As A control system, a method to operate a control system, a computer data signal and a graphical user interface for rail-borne vehicles

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3323269A1 (de) * 1983-06-28 1985-01-10 Siemens AG, 1000 Berlin und 8000 München Einrichtung zum betrieb eines rechnergesteuerten stellwerkes
EP0473834A1 (de) * 1990-09-07 1992-03-11 Siemens Aktiengesellschaft Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks
GB2414327A (en) * 2004-05-20 2005-11-23 Balfour Beatty Plc Interlocking for a railway signalling system
WO2006051355A1 (en) * 2004-11-15 2006-05-18 Abb As A control system, a method to operate a control system, a computer data signal and a graphical user interface for rail-borne vehicles

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2036800A3 (de) * 2007-09-11 2009-09-30 Deutsche Bahn AG Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebes von Schienenfahrzeugen
DE102007043053B4 (de) 2007-09-11 2020-07-30 Db Netz Ag Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen
WO2013026761A1 (de) * 2011-08-24 2013-02-28 Siemens Aktiengesellschaft Bedieneinrichtung
CN103781692A (zh) * 2011-08-24 2014-05-07 西门子公司 操作装置
EP3178720A1 (de) * 2015-12-08 2017-06-14 Thales Deutschland GmbH Verfahren zur steuerung eines schienenfahrzeugs in einem arbeitsbereich, steuerungssystem und verwendung einer externen steuerungsvorrichtung
WO2017097836A1 (en) * 2015-12-08 2017-06-15 Thales Deutschland Gmbh Method for controlling a rail vehicle within a working area, control system and use of an external control device

Also Published As

Publication number Publication date
DE102005013194A1 (de) 2006-09-21

Similar Documents

Publication Publication Date Title
EP2731849B1 (de) Stellwerksrechner
WO2010148528A1 (de) Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks
EP1702827A1 (de) Bedienplatzsystem
DE102005023296B4 (de) Zugbeeinflussungssystem
DE2701925A1 (de) Fahrzeugsteuerungssystem mit hoher zuverlaessigkeit
EP3448735B1 (de) Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems
EP2193973B1 (de) Verfahren und Vorrichtung zur Prüfung von Zugbeeinflussungseinheiten mit Zustandsdaten von Streckensignalen bei Relaisstellwerken
EP0187876B1 (de) Installationssystem für eine Aufzugsanlage
DE102004035901B4 (de) Einrichtung zum Steuern eines sicherheitskritischen Prozesses
DE102005043305A1 (de) System-Architektur zur Steuerung und Überwachung von Komponenten einer Eisenbahnsicherungsanlage
EP0920391B1 (de) Verfahren zur steuerung und überwachung einer verkehrstechnischen anlage
DE3223779A1 (de) Fehlersichere adersparende lichtsignalsteuereinrichtung
DE102004033263B4 (de) Steuer-und Regeleinheit
EP2279480B1 (de) Verfahren und system zum überwachen eines sicherheitsbezogenen systems
DE102013209546A1 (de) Verfahren zum Ersetzen eines ersten Stellwerkes durch ein zweites Stellwerk
DE102008012953A1 (de) Überprüfung von Anzeigesystemen in Schienenfahrzeugen
WO2003047937A1 (de) Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens
DE2458224B2 (de) Datenverarbeitungssystem mit koordinierung der parallelarbeit von mindestens zwei datenverarbeitungsanlagen
EP2849986B1 (de) Verfahren und anordnung zum steuern einer technischen anlage
EP3646313B1 (de) Verfahren und vorrichtung zur ausgabe von bilddaten für eine sichere anzeige
DE102008038618A1 (de) Anzeige von Störungsmeldungen bei spurgebundenen Fahrzeugen, die eine Handlung des Fahrzeugführers erfordern
DE102004021456B3 (de) Vorrichtung zur Ansteuerung eines Feldelementes
WO2016016003A2 (de) Verfahren und vorrichtung zum betreiben einer eisenbahnsicherungsanlage
DE102018212686A1 (de) Verfahren zum Betreiben einer Rechenanlage
DD262930A5 (de) Verfahren und Anordnung zur Eingabe von Informationen in signaltechnisch sichere Rechenanlagen

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA HR MK YU

17P Request for examination filed

Effective date: 20061010

17Q First examination report despatched

Effective date: 20061113

AKX Designation fees paid

Designated state(s): DE EE GB LT LV

AXX Extension fees paid

Extension state: HR

Payment date: 20061010

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20070324