EP2036800A2 - Electronic element control that is safe for signalling for carrying out drive operations for rail vehicles - Google Patents

Electronic element control that is safe for signalling for carrying out drive operations for rail vehicles Download PDF

Info

Publication number
EP2036800A2
EP2036800A2 EP08011454A EP08011454A EP2036800A2 EP 2036800 A2 EP2036800 A2 EP 2036800A2 EP 08011454 A EP08011454 A EP 08011454A EP 08011454 A EP08011454 A EP 08011454A EP 2036800 A2 EP2036800 A2 EP 2036800A2
Authority
EP
European Patent Office
Prior art keywords
level
computer system
secure computer
safe
elements
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP08011454A
Other languages
German (de)
French (fr)
Other versions
EP2036800A3 (en
Inventor
Henning Kalberlah
Erik Bauer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Bahn AG
Original Assignee
Deutsche Bahn AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Bahn AG filed Critical Deutsche Bahn AG
Publication of EP2036800A2 publication Critical patent/EP2036800A2/en
Publication of EP2036800A3 publication Critical patent/EP2036800A3/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks

Definitions

  • the invention relates to a method and a device for fail-safe electronic control of elements that guide and secure the operation of rail vehicles.
  • the elements of the outside installation of the signal box such as Signals, switches, level crossings, block facilities, etc. must be safely controlled and monitored by the interlocking logic signal, that is, the elements of the outdoor facilities are sufficiently likely to be arbitrarily assumed errors in the system in a state that the safety of Driving operation is not endangered.
  • Signaling safety of positioning and monitoring devices is realized by means of safety-related components, whereby all components involved in the positioning and monitoring processes are checked accordingly.
  • an automation platform which comprises a plurality of modules, in particular CPU, power supply, module for safety-related signal processing, module for non-safety-related signal processing, communication module, connected via special interfaces with safety-related and non-safety-relevant components of the railway safety system.
  • the automation platform is a programmable logic controller (PLC).
  • PLC programmable logic controller
  • the predetermined software structure of the automation platform is usually arranged in such a modular or hierarchical manner that the logistics of the railway safety system, in particular the interlocking logistics, can be organized in function-specific software programs.
  • each load circuit at least two in series, regardless Having controllable each other, not technically safe switch for opening / closing of the circuit has.
  • the two switches can be controlled by independent computer channels of a secure computer system.
  • Each wire of the circuit contains one of the two switches.
  • At least one detector is provided for detecting a test voltage derived from a feed or test current flowing via the consumer or at least indirectly applied by the consumer and dependent on the operating state of the consumer. An inadequately closed or opened switch changes the voltage in a marked manner compared to the test voltage which is established when the switch position is correct.
  • the detector output signals are evaluated by the two computer channels of the secure computer system, and the computer system detects an untimely open / closed at least one of the switches from the occurrence of not expected at this time detector output signals.
  • Dependencies are stored in one or more non-signal-secure commercial computers.
  • the signal-technically secure computer generates from the commands and messages supplied to it processing jobs that are transmitted to the or the commercial computer and there at least twice processed independently.
  • the resulting results or intermediate results are transmitted back to the secure computer where they are signal-technically tested for consistency.
  • the system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a backup level and a process level.
  • a fully graphic system based on market standards represents the operating and monitoring level.
  • the backup level is formed by a secure computer system.
  • the components of the various levels communicate via corresponding data transmission devices.
  • the safety-related checks and algorithms for ensuring process security are performed exclusively by the secure computer system of the security level, whereas the computers or other components of the operating and monitoring level as well as the process level can meet lower security requirements.
  • the method is based on safety technology on a variant of the known process assurance, wherein according to the invention, the backup procedures, although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core.
  • the method allows for low cost, industry standard components that meet a lower level of security.
  • a major advantage of the method is that the high cost of secure software design, secure programming and testing, and secure hardware is only required at one point in the secure interlocking core.
  • Claim 2 describes how the method reliably triggers commands for controlling elements of the process level. A distinction must be made between the way in which commands are issued to the process level.
  • commands When commands are entered by the operator input at the operating and monitoring level, they are transmitted with a data transmission device to the secure computer system in the security level, where they are checked for plausibility. Plausible commands are re-coded and transmitted back to the control and monitoring levels. In the at least one computer of the operating and monitoring level of the newly coded command of the secure computer system is also checked for plausibility and the Transfer the result of the plausibility check in the final encoded form to the secure computer system in the backup level.
  • the command to control the element can be triggered by the secure computer.
  • the control is triggered directly by the secure computer system of the security level.
  • Claim 3 describes how the activation event generated by the command triggered in accordance with claim 2 is reliably monitored by signal technology.
  • the command for triggering an element of the process level After the command for triggering an element of the process level has been triggered by the secure computer system of the security level, it is transmitted via a data transmission device to the appropriate element in the process level.
  • the effect of this command results in at least one control event, the result of which is monitored by suitable sensors and reported back to the secure computer system in the backup level.
  • the results of each triggering event must be checked several times for the required logical and timely sequence. Since only one secure computer system is available in the safe interlocking core, all tests must be carried out there as well. This is realized by multiple, but time-delayed checks in the single secure computer system, so that for each result multiple dialogues arise, which are led to the final result.
  • an advantageous embodiment of the invention is that the secure computer system of the security level consists of a modular system for industrial automation systems. This eliminates the previously required costly special developments for railway operations.
  • a decentralizable process level is described, which is connected via a data network with the backup level.
  • logically passive components are used at the process level, which convert the transmitted data into digital input / output bits in a process-protected manner.
  • the decentralized process element converts only network telegrams of the safe interlocking core into digital outputs and reports changes to the digital inputs event-controlled or, on request, from the safe interlocking core, also via the communications network.
  • mechanisms triggered and monitored by the security level must cyclically check the communication in the process chain as well as the function of the elements in the process level. In the event of an error, at least the power supply to the associated element of the process level is reliably switched off by the fuse level.
  • the signal supply voltage is additionally separated in such a way that in the event of a fault only the elements belonging to the signal term "stop" are supplied with voltage.
  • the system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a backup level and a process level.
  • a fully graphic system based on market standards represents the operating and monitoring level.
  • the backup level is formed by a secure computer system.
  • the components of the various levels communicate via corresponding data transmission devices.
  • a secure computer system is only in the backup level. It performs the safety-related checks and algorithms to ensure process security, whereas the computers or other components of the operating and monitoring level as well as the process level meet lower safety requirements.
  • the device is based on safety technology on a variant of the known process assurance, wherein according to the invention, the backup procedures, although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core.
  • the backup procedures although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core.
  • all components outside the safe interlocking core that is, both for communication and for the process level, are industry standard components that satisfy a lower level of security.
  • a data communication device transmits the command to the secure computer system at the backup level.
  • the secure computer system checks the command for plausibility. Plausible commands are re-coded and transmitted back to the operating and monitoring level.
  • the at least one computer of the operating and monitoring level of the newly coded command of the secure computer system is also checked for plausibility and transfer the result of the plausibility check in final coded form to the secure computer system in the backup level.
  • a separate communication path ensures that the operation is explicitly desired in this form.
  • a doubled or non-equivalent contact must be concluded by the operator, and / or additionally coded digital addresses are read in and checked.
  • the secure computer triggers the command to control the element.
  • the secure computer system aborts the control of elements of the process level with a corresponding error message.
  • Claim 9 describes how the secure computer system reliably monitors the activation event generated by the command triggered in accordance with claim 8.
  • the command for triggering an element of the process level After the command for triggering an element of the process level has been triggered by the secure computer system of the security level, it is transmitted via a data transmission device to the appropriate element in the process level.
  • the effect of this command results in at least one control event, the result of which is monitored by suitable sensors and reported back to the secure computer system in the backup level.
  • suitable sensors for example, the feedback from optical sensors in the connection of light signals or the use of magnetic sensors, such as. industrial beros for monitoring the mechanically correct circulation of a switch in question.
  • the secure computer system After a positive check of all results for the triggering events, the secure computer system starts from a successful element control and reveals this. If the examination of at least one result of the triggering events contradicts the required logical and timely sequence, then the secure computer system assumes and also reveals a faulty element control.
  • an advantageous embodiment of the invention is that the secure computer system of the backup level consists of a fail-safe programmable logic controller (PLC).
  • PLC fail-safe programmable logic controller
  • the logic implemented on the PLC is programmed according to DIN EN 61131 and is therefore easy to port to other PLC systems.
  • a decentralizable process level is described, which is connected via a LAN (Local Area Network) with the backup level.
  • standard ET electronic disconnect bar
  • small PLC systems act as logically passive converters for the data transmitted via Ethernet or another standardized data network technology, so that there are digital input / output bits behind the converters.
  • the process level is the multiplier for the LST, the main cost and LCC share.
  • ETs are standard products of industrial automation and are offered with a similar range of services by many companies.
  • consistent decentralization places standard components close to the target object and controls them via LAN connections (copper cables or fiber-optic cables) from the safe interlocking core. This results in very short cable lengths and protected cable routes within the outdoor area. Thus, significantly lower induced voltages for safety and protection considerations on the cables are to be assumed.
  • watchdogs triggered and monitored by the protection level cyclically check the communication in the process chain and the function of the elements in the process level.
  • the fuse level safely disconnects at least the power supply to the associated element of the process level.
  • the signal supply voltage is additionally separated in such a way that in the event of an error only the elements belonging to the signal term "stop" are supplied with voltage.
  • the system architecture of an electronic interlocking for carrying out the driving operation of rail vehicles is divided into three levels of operation / monitoring, the fuse and the process elements
  • the fuse level (2) is formed by a secure computer system that can be used as a fail-safe PLC, such as a PLC.
  • a SIMATIC S7-F is formed.
  • process level (4) are the elements to be controlled outdoor facilities and other signaling devices, such as neighboring interlocking, level crossings, etc. For reasons of clarity, only the process element "signal" is named. The other process elements of the process level are only indicated by the dashed representation of the Ethernet.
  • the data is exchanged, for example, in an Ethernet LAN (5) between the security level (2) and the decentrally placed elements (6) of the process level (4).
  • This results in very short cable lengths and protected cable routes within the outdoor area.
  • significantly lower induced voltages are assumed on the cables.
  • Cable faults can be easily revealed, since only small ohmic resistances are to be assumed for the short cable paths.
  • Ground faults are only relevant as double faults due to galvanic isolation of the supply voltage and are revealed in terms of hardware and process safety.
  • simple earth faults can be detected by earth fault detectors.
  • ET Electronic interfaces
  • the interlocking core (3) triggers a data telegram in the first PLC cycle which resets a digital output (DA, 9) from the ET (7) of the addressed signal process element.
  • This reset controls a positively driven relay K1 (16).
  • K1 (16) has a normally closed contact in the circuit of the signal lamp.
  • the potential of the signal lamp voltage is passed to the normally open contact of the electronic relay (ELR, 17).
  • This potential is now detected by a digital input (8) of the process element and transmitted via the ET (7) via network (5) to the safe PLC (3).
  • the safe PLC (3) expects just this reaction (change of the status of the corresponding DE bits from 0 to 1) for triggering the next process step, namely the control of another digital output (9) of the process element.
  • This DA (9) now drives the ELR (17).
  • the ELR closes the circuit consisting of current source (10), NC contact relay K1 (16), NO contact of the ELR (17) and lamp filament (20). Since the relay contact of the K1 (16) is already closed, this is conserved, which significantly increases the life of the relay. A corresponding sequence when deleting the signal term also serves to protect the relay contact. The lifetime of the ELR (17), however, is not affected by the number of switching operations.
  • the safe interlocking core (3) can check for logical sequence and also evaluate the timely result of the optical feedback in a defined time window. After a positive check, the safe interlocking logic can proceed from a correct procedure and take into account the signal optics (20) operating in accordance with the regulations in the central lane logic.
  • non-signal-safe components only control the untimely display of a driving signal image with a THR of> 10 exp -4 per hour.
  • a watchdog (11) is used. This must be controlled in a defined pulse / pause ratio by a digital output (9) of the ET (7). If the pulse remains off in a defined time window, the watchdog (11) passivates the power supply (10). The impulse is generated by the safe interlocking core.
  • the digital output (9) of the ET (7) is not cyclically requested to output the watchdog pulse.
  • the pulse remains off, and the watchdog (11) interrupts the power supply (10).
  • the cyclic pulse and the required pulse / pause ratio, which the watchdog (11) expects, are very likely absent or pending in another pulse sequence.
  • the watchdog (11) detects this and interrupts the power supply (10).
  • the watchdog (11) itself switches the supply voltage of the ET (7) via the closer of a positively driven small relay (12). If the pulse remains off, the positively driven relay (12) drops out, and the supply voltage is interrupted.
  • the safe interlocking core (3) detects this by the absence of the Ethernet telegrams.
  • the watchdog pulse from the safe interlocking core (3) is briefly exposed.
  • the supply voltage at a DE of the ET is then expected via the NC contact of the positively driven relay (12). If the relay contacts are welded or there is another error in the communication chain of the watchdog pulse, this reveals itself in the test cycle.
  • the ET supply voltage is buffered behind the watchdog relay via a capacitor (13).
  • Each action on an element (6) of the process level (4) is initiated via the associated ET (7).
  • the deactivation of the DA (9) for relay 16 is not carried out. So also no feedback of the upcoming potential at the ELR (17) arrives.
  • the safe interlocking core (3) detects the error.
  • the safe interlocking core (3) detects the error.
  • control is sufficiently controllable by suitable positioning and protection of the sensor (15) from extraneous light.
  • the watchdog (11) is integrated into the overall chain of communication. As a result, errors in communication reveal promptly.
  • a base connection (burn main and secondary thread) is detected by triggering the fuse (22) and by the DE (8) on the ELR (17).
  • the optical sensor gives no positive feedback after connection. It can be triggered a switch to the secondary thread. In addition, information is sent to the dispatcher (main thread, for example, "red N1" is defective).
  • a decentralized process element KF (release command not shown) is installed on the operator station system via a separate communication path in conjunction with a pushbutton / key switch with a duplicated contact. This maps the KF operator dialog with the safe interlocking core.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

The method involves providing a signal-technical safe operation and observation level (1), a safety level (2) and a process level (4) containing elements to be controlled, and providing a data communication device between the elements of the levels. Safety-oriented examinations and algorithms are provided for ensuring a process safety by a safe computer system (3) of the safety level, where the computer system and/or other components of the operation and observation level and the process level are satisfied for smaller safety requirements. An independent claim is also included for a device for signal-technically safe electronic element control for execution of a drive operation of rail vehicles.

Description

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur signaltechnisch sicheren elektronischen Ansteuerung von Elementen, die den Fahrbetrieb von Schienenfahrzeugen leiten und sichern.The invention relates to a method and a device for fail-safe electronic control of elements that guide and secure the operation of rail vehicles.

Der Fahrbetrieb von Schienenfahrzeugen wird bei technisch gesicherten Strecken zentral von einem für den entsprechenden Infrastrukturbereich zuständigen Stellwerk geleitet und gesichert.In the case of technically secured routes, rail vehicle operation is centrally managed and secured by a signal box responsible for the relevant infrastructure area.

Die Elemente der Außenanlage des Stellwerks, wie z.B. Signale, Weichen, Bahnübergänge, Blockeinrichtungen etc. müssen von der Stellwerkslogik dabei signaltechnisch sicher gesteuert und überwacht werden, das heißt, dass sich die Elemente der Außenanlage mit hinreichend großer Wahrscheinlichkeit auch bei beliebig anzunehmenden Fehlern im System in einem Zustand befinden, der die Sicherheit des Fahrbetriebs nicht gefährdet.The elements of the outside installation of the signal box, such as Signals, switches, level crossings, block facilities, etc. must be safely controlled and monitored by the interlocking logic signal, that is, the elements of the outdoor facilities are sufficiently likely to be arbitrarily assumed errors in the system in a state that the safety of Driving operation is not endangered.

Die signaltechnische Sicherheit von Stell- und Überwachungseinrichtungen wird mithilfe sicherungstechnischer Bauelemente realisiert, wobei alle in die Stellund Überwachungsvorgänge eingebundenen Komponenten entsprechend überprüft werden.Signaling safety of positioning and monitoring devices is realized by means of safety-related components, whereby all components involved in the positioning and monitoring processes are checked accordingly.

Eine vergleichende Übersicht der bei verschiedenen Bahnverwaltungen im Einsatz befindlichen unterschiedlichen elektronischen Stellwerkstypen hinsichtlich der verwendeten Rechnerkomponenten, Systemstrukturen, Sicherheitskonzepte sowie Gestaltung von Hard- und Software ist in dem Artikel "Sicherungs- undA comparative overview of the different types of electronic interlocking systems used by various railway administrations with regard to the computer components, system structures, security concepts and design of hardware and software used is described in the article "Sicherungs- und

Telekommunikationstechnik" in Signal + Draht 3, 1997, beschrieben. Die im Einsatz befindlichen Systeme unterscheiden sich unter anderem hinsichtlich Ein- oder Zweikanaligkeit, sicherer beziehungsweise nicht sicherer Bediensysteme, Betriebskonzept und Kosten.Telecommunications technology "in Signal + Draht 3, 1997. The systems in use differ, among other things, with regard to single or dual-channel, safe or non-secure operating systems, operating concept and costs.

So ist insbesondere in deutschen ESTW eine sichere Anzeige und Bedienung erforderlich.Thus, in particular in German ESTW a secure display and operation is required.

Beispiele für die Systemarchitektur in deutschen ESTW finden sich in den Übersichtsartikeln "SIMIS D", in Signal + Draht 3, 2006 sowie "Die Bombardier-Lösung einer neuen ESTW-Bauform bei der DB AG", in Signal + Draht 5, 2005.Examples of the system architecture in German ESTW can be found in the overview articles "SIMIS D", in Signal + Draht 3, 2006 as well as "The Bombardier solution of a new ESTW design at DB AG", in Signal + Draht 5, 2005.

Alle etablierten, vornehmlich proprietären elektronischen LST-Konzepte basieren auf "Verfahrenssicherungen". Zum Beispiel besteht ein klassisches 2-von-3-Prozessorsystem aus marktüblichen elektronischen Bauteilen, wie beispielsweise dem Intel Pentium 1. Eine in den Standardprozessoren programmierte spezifische Applikation bildet die Sicherheitsmechanismen ab. Die Ergebnisse der Prüf-Applikationen werden auf aus Standard-Halbleiterbauelementen entworfenen Hardwarepartitionen verglichen und im Fehlerfall Sicherheitsabschaltungen ausgelöst.All established, predominantly proprietary electronic LST concepts are based on "process backups". For example, there is a classic 2-by-3 processor system from commercially available electronic components, such as the Intel Pentium 1. A programmed in the standard processors specific application maps the security mechanisms. The results of the test applications are compared to hardware partitions designed from standard semiconductor components and safety shutdowns are triggered in the event of a fault.

Teilweise werden die Grundsätze der Verfahrenssicherung bereits heute in der Eisenbahnsicherungstechnik angewendet.In some cases, the principles of process safety are already being applied in railway safety technology today.

Für sicherheitsgerichtete Bedienungen in einem Stellwerk ist eine Verfahrenssicherung von Quelle zu Senke implementiert. Die von der DB AG vorgeschriebene firmenneutrale SBS-Schnittstelle definiert entsprechende Dialoge. Über korrespondierende Prozeduren im sicheren Stellwerkskern und im Bedienplatz wird für den Fall einer sicherheitskritischen Bedienung eine Fehlfunktion der Schnittstelle und der Anzeige mit ausreichender Wahrscheinlichkeit ausgeschlossen.For safety-related operations in a signal box, process assurance from source to sink is implemented. The company-neutral SBS interface prescribed by DB AG defines appropriate dialogs. Corresponding procedures in the safe interlocking core and in the operating station preclude a malfunction of the interface and the display with sufficient probability in the event of safety-critical operation.

Um die hohen Sicherheitsanforderungen auch bei Bedienung und Anzeige zu erfüllen, war man allerdings bisher dazu gezwungen, nicht nur im Stellwerkskern sichere Rechnertechnik einzusetzen, sondern auch in den Bereichen der Elementsteuerung und Bedienung/Anzeige. Damit befinden sich an beiden Enden des Verfahrens, also bei Quelle und Senke, sichere und damit kostenintensive Komponenten.In order to meet the high safety requirements also in operation and display, but until now it was forced to use secure computer technology not only in the interlocking core, but also in the areas of element control and operation / display. Thus, at both ends of the process, ie at source and sink, there are safe and therefore cost-intensive components.

In DE 10 2005 043 305 A1 ist eine System-Architektur zur Steuerung und Überwachung von Komponenten einer Eisenbahnsicherungsanlage beschrieben. Hierbei ist eine Automatisierungsplattform, die mehrere Module, insbesondere CPU, Stromversorgung, Modul für sicherheitsrelevante Signalverarbeitung, Modul für nicht sicherheitsrelevante Signalverarbeitung, Kommunikationsmodul, umfasst, über spezielle Schnittstellen mit sicherheitsrelevanten und nicht sicherheitsrelevanten Komponenten der Eisenbahnsicherungsanlage verbunden. Als Automatisierungsplattform dient eine speicherprogrammierbare Steuerung (SPS). Die vorgegebene Softwarestruktur der Automatisierungsplattform ist üblicherweise derart modular oder hierarchisch geordnet, dass die Logistik der Eisenbahnsicherungsanlage, insbesondere die Stellwerkslogistik, in funktionsspezifischen Softwareprogrammen organisiert werden kann.In DE 10 2005 043 305 A1 describes a system architecture for controlling and monitoring components of a railway safety system. In this case, an automation platform, which comprises a plurality of modules, in particular CPU, power supply, module for safety-related signal processing, module for non-safety-related signal processing, communication module, connected via special interfaces with safety-related and non-safety-relevant components of the railway safety system. The automation platform is a programmable logic controller (PLC). The predetermined software structure of the automation platform is usually arranged in such a modular or hierarchical manner that the logistics of the railway safety system, in particular the interlocking logistics, can be organized in function-specific software programs.

Aus DE 196 06 894 C2 ist eine Einrichtung zur signaltechnisch sicheren Steuerung und Überwachung elektrischer Verbraucher im Eisenbahnwesen bekannt, bei der jeder Verbraucherstromkreis mindestens zwei in Reihe liegende, unabhängig voneinander steuerbare, signaltechnisch nicht sichere Schalter zum Öffnen/Schließen des Stromkreises aufweist. Die beiden Schalter sind durch unabhängige Rechnerkanäle eines sicheren Rechnersystems steuerbar. Jede Ader des Stromkreises enthält einen der beiden Schalter. Es ist mindestens ein Melder zum Erkennen einer aus einem über den Verbraucher fließenden Speise- oder Prüfstrom abgeleiteten oder vom Verbraucher mindestens mittelbar aufgeschalteten, vom Betriebszustand des Verbrauchers abhängigen Prüfspannung vorgesehen. Ein zur Unzeit geschlossener oder geöffneter Schalter verändert die Spannung in markanter Weise gegenüber der sich bei ordnungsgerechter Schalterstellung einstellenden Prüfspannung. Die Melder-Ausgangssignale werden von den beiden Rechnerkanälen des sicheren Rechnersystems bewertet, und das Rechnersystems erkennt ein unzeitiges Offensein/Geschlossensein mindestens eines der Schalter aus dem Auftreten von zu dieser Zeit nicht erwarteten Melder-Ausgangssignalen.Out DE 196 06 894 C2 a device for fail-safe control and monitoring of electrical consumers in the railway industry is known in which each load circuit at least two in series, regardless Having controllable each other, not technically safe switch for opening / closing of the circuit has. The two switches can be controlled by independent computer channels of a secure computer system. Each wire of the circuit contains one of the two switches. At least one detector is provided for detecting a test voltage derived from a feed or test current flowing via the consumer or at least indirectly applied by the consumer and dependent on the operating state of the consumer. An inadequately closed or opened switch changes the voltage in a marked manner compared to the test voltage which is established when the switch position is correct. The detector output signals are evaluated by the two computer channels of the secure computer system, and the computer system detects an untimely open / closed at least one of the switches from the occurrence of not expected at this time detector output signals.

Aus DE 100 53 023 C1 ist ein Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und eine Einrichtung zur Durchführung dieses Verfahrens bekannt. Hierbei wird mindestens ein signaltechnisch sicherer Rechner verwendet, der aus eingehenden Kommandos nach Maßgabe einer Bahnbetriebsordnung signaltechnisch sicher erarbeitete Stellbefehle signaltechnisch sicher an Prozesselemente ausgibt und von dort stammende Meldungen einer Prozesszustandsüberwachung und Prozesssteuerung zuführt. Dabei wird im sicheren Rechner lediglich eine Systemsoftware hinterlegt, deren Programme den sicheren Rechner befähigen, eine signaltechnisch sichere Ein-/Ausgabe und den signaltechnisch sicheren Datenvergleich vorzunehmen. Die für den Bahnbetriebsprozess entscheidenden vorgegebenen Bedingungen undOut DE 100 53 023 C1 For example, a method for controlling a safety-critical rail operation process and a device for carrying out this method are known. In this case, at least one signal-technically secure computer is used, the signaling commands safely issued from incoming commands in accordance with a Bahnbetriebsordnung signal-technically reliable control commands to process elements and from there originating messages a process state monitoring and process control supplies. Only a system software is stored in the secure computer whose programs enable the secure computer to make a signal-technically secure input / output and the signal-technically secure data comparison. The decisive conditions for the railway operating process and

Abhängigkeiten sind in einem oder mehreren nicht signaltechnisch sicheren kommerziellen Rechnern hinterlegt. Dabei erzeugt der signaltechnisch sichere Rechner aus den ihm zugeführten Kommandos und Meldungen Verarbeitungsaufträge, die an den oder die kommerziellen Rechner übermittelt werden und dort mindestens zweimal unabhängig voneinander abgearbeitet werden. Die dabei erarbeiteten Ergebnisse oder Zwischenergebnisse werden an den sicheren Rechner zurück übermittelt und dort signaltechnisch sicher auf inhaltliche Übereinstimmung geprüft.Dependencies are stored in one or more non-signal-secure commercial computers. In this case, the signal-technically secure computer generates from the commands and messages supplied to it processing jobs that are transmitted to the or the commercial computer and there at least twice processed independently. The resulting results or intermediate results are transmitted back to the secure computer where they are signal-technically tested for consistency.

Gemeinsamer Nachteil des oben beschriebenen Stands der Technik ist die immer noch recht aufwändige und damit kostspielige Systemarchitektur; auch bezogen auf die in Deutschland geforderte sichere Bedienung und Anzeige, die technisch umgesetzt werden muss.Common disadvantage of the above-described prior art is the still quite expensive and therefore expensive system architecture; also related on the required in Germany safe operation and display, which must be technically implemented.

Bei den etablierten Lösungen sorgen spezielle, herstellerspezifische "Stellteile" für die Anpassung an die bahnspezifischen Gegebenheiten und die Isolation.In the case of the established solutions, special, manufacturer-specific "control elements" ensure adaptation to the railway-specific conditions and the insulation.

Durch lange, sternförmige Kupferverbindungen zu den Außenelementen müssen hohe Spannungsfestigkeit und verschiedene Kabelfehler durch die Stellteile beherrscht werden. Dies führt klassischerweise zu aufwändigen bahnspezifischen Sonderentwicklungen.Long star-shaped copper connections to the outer elements mean that high voltage resistance and various cable faults must be controlled by the control elements. This traditionally leads to elaborate railway-specific special developments.

Traditionell wird bei den Stellteilkonzepten bisher nicht das gewünschte Ereignis ausgewertet. Beim Signal wird z. B. der Lampenstrom geprüft und daraus gefolgert, ob die Signallampe mit ausreichender Wahrscheinlichkeit leuchtet. Bei Weichen geht man von einer formschlüssigen Verbindung der Stellstangen und der Lager- und Übertragungsteile mit den Weichenzungen oder dem Herzstück aus und wertet entsprechende Schalterpakete (meistens im Weichenantriebsgehäuse) für die Rückmeldung des Zustandes der Weiche aus. Die verwendeten 4-Draht Schaltungen reduzieren und verkomplizieren dazu noch die Anzahl der Rückmeldungen und deren sicherungstechnische Plausibilitätsprüfungen.Traditionally, the desired event has not yet been evaluated in the control concepts. When signal z. B. the lamp current tested and concluded from whether the signal lamp is lit with sufficient probability. In points one starts from a positive connection of the adjusting rods and the bearing and transmission parts with the switch blades or the heart and evaluates appropriate switch packages (mostly in the point drive housing) for the feedback of the state of the switch. The 4-wire circuits used reduce and complicate the number of responses and their fuse-related plausibility checks.

Es ist somit Aufgabe der Erfindung, unter Verwendung industrieller Standards für Leit- und Sicherungstechnik in einem elektronischen Stellwerk die elektronische Ansteuerung von Elementen, die den Fahrbetrieb von Schienenfahrzeugen leiten und sichern zu realisieren und dabei möglichst effizient und kostengünstig den hohen Anforderungen hinsichtlich Sicherheit und Funktion im Netz der Deutschen Bahn AG zu genügen.It is therefore an object of the invention to realize the use of industrial standards for control and safety technology in an electronic interlocking the electronic control of elements that guide the driving of rail vehicles and secure and while the most efficient and cost-effective the high demands in terms of safety and function Network of Deutsche Bahn AG.

Hierbei ist auch die geforderte sichere Anzeige und Bedienung zu gewährleisten.In this case, the required safe display and operation is to ensure.

Diese Aufgabe wird gemäß den Merkmalen des Oberbegriffs des Patentanspruchs 1 gelöst.This object is achieved according to the features of the preamble of claim 1.

Die Systemarchitektur orientiert sich am bewährten industriellen Ebenenmodell, bestehend aus einer Bedien- und Beobachtungsebene, einer Sicherungsebene und einer Prozessebene.The system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a backup level and a process level.

Erfindungsgemäß stellt ein vollgrafisches, auf Marktstandards basierendes System die Bedien- und Beobachtungsebene dar.According to the invention, a fully graphic system based on market standards represents the operating and monitoring level.

Die Sicherungsebene wird von einem sicheren Rechnersystem gebildet.The backup level is formed by a secure computer system.

In der Prozessebene befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Blockeinrichtungen, Bahnübergänge, etc.In the process level are the elements of the outdoor facility to be controlled as well as other signaling equipment, such as neighboring signal boxes, block facilities, railroad crossings, etc.

Die Komponenten der verschiedenen Ebenen kommunizieren über entsprechende Datenübertragungseinrichtungen.The components of the various levels communicate via corresponding data transmission devices.

Die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit werden ausschließlich vom sicheren Rechnersystem der Sicherungsebene geleistet, wohingegen die Rechner beziehungsweise sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen können.The safety-related checks and algorithms for ensuring process security are performed exclusively by the secure computer system of the security level, whereas the computers or other components of the operating and monitoring level as well as the process level can meet lower security requirements.

Das Verfahren basiert sicherheitstechnisch auf einer Variante der bekannten Verfahrenssicherung, wobei erfindungsgemäß die Sicherungsprozeduren zwar jeweils konsequent an den Endpunkten (Quelle und Senke) der Aktionen greifen, die Zwischen- und Endergebnisse jedoch nur im sicheren Stellwerkskern geprüft werden. Somit lässt das Verfahren für alle Komponenten außerhalb des sicheren Stellwerkskerns, das heißt sowohl für die Kommunikation als auch für die Prozessebene, kostengünstige Komponenten nach Industriestandard zu, die einem geringeren Sicherheitslevel genügen.The method is based on safety technology on a variant of the known process assurance, wherein according to the invention, the backup procedures, although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core. Thus, for all components outside of the secure interlocking core, that is, both the communication and the process level, the method allows for low cost, industry standard components that meet a lower level of security.

Ein großer Vorteil des Verfahrens ist, dass der hohe Aufwand für sicheres Software-Design, sichere Programmierung und Prüfung sowie sichere Hardware nur an der einen Stelle im sicheren Stellwerkskern erforderlich ist.A major advantage of the method is that the high cost of secure software design, secure programming and testing, and secure hardware is only required at one point in the secure interlocking core.

Durch Anwendung der CENELEC-Normen ist eine quantitative Betrachtung des Fehlverhaltens einzelner Module, Programme und Datenverbindungen möglich, so dass sich unterschiedliche Arten der Verfahrenssicherung hinsichtlich der geforderten SIL berechnen lassen.By applying the CENELEC standards, a quantitative analysis of the malfunction of individual modules, programs and data connections is possible, so that different types of process assurance can be calculated with regard to the required SIL.

In Anspruch 2 ist beschrieben, wie von dem Verfahren Befehle zur Ansteuerung von Elementen der Prozessebene sicher ausgelöst werden. Dabei muss unterschieden werden, auf welchem Weg Befehle an die Prozessebene erteilt werden.Claim 2 describes how the method reliably triggers commands for controlling elements of the process level. A distinction must be made between the way in which commands are issued to the process level.

Wenn Befehle von der Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben werden, so werden diese mit einer Datenübertragungseinrichtung an das sichere Rechnersystem in der Sicherungsebene übertragen, und dort auf Plausibilität überprüft. Plausible Befehle werden neu codiert, und an die Bedien- und Beobachtungsebene zurück übertragen. In dem mindestens einen Rechner der Bedien- und Beobachtungsebene wird der neu codierte Befehl des sicheren Rechnersystems ebenfalls auf Plausibilität überprüft und das Ergebnis der Plausibilitätsprüfung in final codierter Form an das sichere Rechnersystem in der Sicherungsebene übertragen.When commands are entered by the operator input at the operating and monitoring level, they are transmitted with a data transmission device to the secure computer system in the security level, where they are checked for plausibility. Plausible commands are re-coded and transmitted back to the control and monitoring levels. In the at least one computer of the operating and monitoring level of the newly coded command of the secure computer system is also checked for plausibility and the Transfer the result of the plausibility check in the final encoded form to the secure computer system in the backup level.

Zusätzlich muss im Allgemeinen bei solchen sicherheitsrelevanten manuellen Bedieneingaben über einen separaten Kommunikationsweg gewährleistet werden, dass die Bedienung in dieser Form explizit gewünscht ist. Hierfür wird insbesondere ein gedoppelter oder antivalenter Kontakt geschlossen, und/oder werden zusätzlich codierte digitale Adressen eingelesen und geprüft.In addition, it must generally be ensured with such safety-relevant manual operating inputs via a separate communication path that the operation is explicitly desired in this form. For this purpose, in particular a doubled or antivalent contact is closed, and / or additionally encoded digital addresses are read in and checked.

Sind alle diese Bedingungen erfüllt, so ist mit ausreichender Sicherheit davon auszugehen, dass eine Elementansteuerung von der Bedien- und Beobachtungsebene einerseits tatsächlich gewünscht ist und andererseits der Befehl plausibel ist sowie die Kommunikation mit dem Element und die richtige Adressierung des Elementes in der Prozessebene einwandfrei funktioniert. Dementsprechend kann der Befehl zur Ansteuerung des Elements vom sicheren Rechner ausgelöst werden.If all these conditions are met, it can be assumed with sufficient certainty that an element control from the operating and monitoring level is actually desired and the command is plausible and the communication with the element and the correct addressing of the element in the process level are working properly , Accordingly, the command to control the element can be triggered by the secure computer.

Sobald jedoch mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt, muss die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher abgebrochen werden.However, as soon as at least one of the abovementioned plausibility checks of the commands used in at least one of the participating computers fails, the control of elements of the process level must be safely aborted with a corresponding error message.

Werden die Befehle zur Ansteuerung von mindestens einem Element der Prozessebene aufgrund des internen Programmablaufs im sicheren Rechnersystem der Sicherungsebene erteilt, so wird von dem sicheren Rechnersystem der Sicherungsebene die Ansteuerung direkt ausgelöst.If the commands for controlling at least one element of the process level are issued in the secure computer system of the security level due to the internal program sequence, the control is triggered directly by the secure computer system of the security level.

In Anspruch 3 ist beschrieben, wie das von dem gemäß Anspruch 2 ausgelösten Befehl erzeugte Ansteuerungsereignis signaltechnisch sicher überwacht wird.Claim 3 describes how the activation event generated by the command triggered in accordance with claim 2 is reliably monitored by signal technology.

Nachdem der Befehl zur Ansteuerung eines Elements der Prozessebene vom sicheren Rechnersystem der Sicherungsebene ausgelöst wurde, wird er über eine Datenübertragungseinrichtung an das passende Element in der Prozessebene übertragen. Die Wirkung dieses Befehls führt zu mindestens einem Ansteuerungsereignis, dessen Ergebnis von einer geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet wird. Die Ergebnisse eines jeden Ansteuerungsereignisses müssen mehrfach hinsichtlich der geforderten logischen und zeitgerechten Abfolge überprüft werden. Da nur ein sicheres Rechnersystem im sicheren Stellwerkskern zur Verfügung steht, müssen alle Prüfungen auch dort erfolgen. Dies wird durch mehrfache, aber zeitversetzte Prüfungen im einzigen sicheren Rechnersystem realisiert, so dass für jedes Ergebnis Mehrfachdialoge entstehen, die bis hin zum Endergebnis geführt werden. Nach positiver Prüfung aller Ergebnisse zu den Ansteuerungsereignissen wird im sicheren Rechnersystem von einer erfolgreichen Elementansteuerung ausgegangen und dies offenbart. Ergibt die Prüfung von mindestens einem Ergebnis der Ansteuerungsereignisse in mindestens einem der Mehrfachdialoge einen Widerspruch zur geforderten logischen und zeitgerechten Abfolge, so geht das sichere Rechnersystem von einer fehlerhaften Elementansteuerung aus und offenbart auch dies.After the command for triggering an element of the process level has been triggered by the secure computer system of the security level, it is transmitted via a data transmission device to the appropriate element in the process level. The effect of this command results in at least one control event, the result of which is monitored by suitable sensors and reported back to the secure computer system in the backup level. The results of each triggering event must be checked several times for the required logical and timely sequence. Since only one secure computer system is available in the safe interlocking core, all tests must be carried out there as well. This is realized by multiple, but time-delayed checks in the single secure computer system, so that for each result multiple dialogues arise, which are led to the final result. After a positive check of all results on the activation events, a successful element activation is assumed in the secure computer system and this is disclosed. If the examination of at least one result of the activation events in at least one of the multiple dialogs contradicts the required logical and timely sequence, then the secure computer system assumes and also reveals a faulty element activation.

Die mehrfache, zeitversetzte Prüfung der unterschiedlichen Ereignisse an nur einer Stelle im sicheren Stellwerkskern erfordert eine leistungsfähige Rechnerarchitektur. Sie muss sicherstellen, dass der Zeitaufwand für die je nach gewünschtem Sicherheitslevel erforderlichen Prüfungen und das anschließende Stellen der Elemente der Prozessebene nicht mehr Zeit aufgewendet wird, als die von der Zulassungsbehörde geforderte Maximalzeit, innerhalb der der Signalbegriff "Halt" gezeigt werden muss (Haltfallzeit).The multiple, time-staggered examination of the different events at only one point in the safe interlocking core requires a powerful computer architecture. It must ensure that the time required for the tests required according to the desired safety level and the subsequent placement of the elements of the process level does not take more time than the maximum time required by the approval authority, within which the signal term "stop" must be shown (holding time) ,

Die heute zur Verfügung stehenden, erprobten Prozessoren und Kommunikationssysteme machen dies möglich.Today's proven, proven processors and communication systems make this possible.

Gemäß Anspruch 4 besteht eine vorteilhafte Ausgestaltung der Erfindung darin, dass das sichere Rechnersystem der Sicherungsebene aus einem modularen System für Industrie-Automatisierungsanlagen besteht. Somit entfallen die bisher erforderlichen aufwändigen Sonderentwicklungen für den Bahnbetrieb.According to claim 4, an advantageous embodiment of the invention is that the secure computer system of the security level consists of a modular system for industrial automation systems. This eliminates the previously required costly special developments for railway operations.

In Anspruch 5 ist eine dezentralisierbare Prozessebene beschrieben, die über ein Datennetzwerk mit der Sicherungsebene verbunden ist. Hierbei werden auf der Prozessebene logisch passive Komponenten eingesetzt, die die übertragenen Daten auf digitale Ein-/Ausgabe-Bits verfahrensgesichert umsetzen. Grundsätzlich setzt das dezentrale Prozesselement lediglich Netzwerk-Telegramme des sicheren Stellwerkskerns in digitale Ausgaben um und meldet Änderungen der digitalen Eingänge ereignisgesteuert oder auf Anfrage vom sicheren Stellwerkskern, ebenfalls über das Kommunikations-Netzwerk.In claim 5, a decentralizable process level is described, which is connected via a data network with the backup level. In this process, logically passive components are used at the process level, which convert the transmitted data into digital input / output bits in a process-protected manner. Basically, the decentralized process element converts only network telegrams of the safe interlocking core into digital outputs and reports changes to the digital inputs event-controlled or, on request, from the safe interlocking core, also via the communications network.

Sowohl die Kommunikation in der gesamten Verfahrenskette als auch die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene müssen gemäß Anspruch 6 ständig überprüft werden. Bei den vom sicheren Stellwerkskern initiierten Aktionen geschieht dies über dialogorientierte Verfahrenssicherung.Both the communication in the entire process chain and the function of the decentralized, generally non-secure elements of the process level must be constantly checked according to claim 6. For actions initiated by the safe interlocking core, this is done via dialog-oriented process security.

Hierzu müssen von der Sicherungsebene getriggerte und überwachte Mechanismen zyklisch die Kommunikation in der Verfahrenskette sowie die Funktion der Elemente in der Prozessebene überprüfen. Im Fehlerfall wird von der Sicherungsebene zumindest die Stromversorgung zum zugehörigen Element der Prozessebene sicher abgeschaltet.For this purpose, mechanisms triggered and monitored by the security level must cyclically check the communication in the process chain as well as the function of the elements in the process level. In the event of an error, at least the power supply to the associated element of the process level is reliably switched off by the fuse level.

Gegebenenfalls wird zusätzlich die Signalversorgungsspannung derart separiert, dass im Fehlerfall nur die zum Signalbegriff "Halt" gehörenden Elemente mit Spannung versorgt werden.Optionally, the signal supply voltage is additionally separated in such a way that in the event of a fault only the elements belonging to the signal term "stop" are supplied with voltage.

In Anspruch 7 ist eine Vorrichtung beschrieben, die das in Anspruch 1 genannte Verfahren umsetzt.In claim 7, a device is described which implements the method mentioned in claim 1.

Die Systemarchitektur orientiert sich am bewährten industriellen Ebenenmodell, bestehend aus einer Bedien- und Beobachtungsebene, einer Sicherungsebene und einer Prozessebene.The system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a backup level and a process level.

Erfindungsgemäß stellt ein vollgrafisches, auf Marktstandards basierendes System die Bedien- und Beobachtungsebene dar.According to the invention, a fully graphic system based on market standards represents the operating and monitoring level.

Die Sicherungsebene wird von einem sicheren Rechnersystem gebildet.The backup level is formed by a secure computer system.

In der Prozessebene befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Blockeinrichtungen, Bahnübergänge, etc.In the process level are the elements of the outdoor facility to be controlled as well as other signaling equipment, such as neighboring signal boxes, block facilities, railroad crossings, etc.

Die Komponenten der verschiedenen Ebenen kommunizieren über entsprechende Datenübertragungseinrichtungen.The components of the various levels communicate via corresponding data transmission devices.

Ein sicheres Rechnersystem befindet sich nur in der Sicherungsebene. Es leistet die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit, wohingegen die Rechner beziehungsweise sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen.A secure computer system is only in the backup level. It performs the safety-related checks and algorithms to ensure process security, whereas the computers or other components of the operating and monitoring level as well as the process level meet lower safety requirements.

Die Vorrichtung basiert sicherheitstechnisch auf einer Variante der bekannten Verfahrenssicherung, wobei erfindungsgemäß die Sicherungsprozeduren zwar jeweils konsequent an den Endpunkten (Quelle und Senke) der Aktionen greifen, die Zwischen- und Endergebnisse jedoch nur im sicheren Stellwerkskern geprüft werden. Somit sind alle Komponenten außerhalb des sicheren Stellwerkskerns, das heißt sowohl für die Kommunikation als auch für die Prozessebene, Komponenten nach Industriestandard, die einem geringeren Sicherheitslevel genügen.The device is based on safety technology on a variant of the known process assurance, wherein according to the invention, the backup procedures, although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core. Thus, all components outside the safe interlocking core, that is, both for communication and for the process level, are industry standard components that satisfy a lower level of security.

Die aufwändige sichere Programmierung und Prüfung sowie teure Hardware ist nur an der einen Stelle im sicheren Stellwerkskern erforderlich.Time-consuming secure programming and testing as well as expensive hardware is only required at one point in the safe interlocking core.

Durch Anwendung der CENELEC-Normen ist eine quantitative Betrachtung des Fehlverhaltens einzelner Module, Programme und Datenverbindungen möglich, so dass sich unterschiedliche Arten der Verfahrenssicherung hinsichtlich der geforderten SIL berechnen lassen.By applying the CENELEC standards, a quantitative analysis of the malfunction of individual modules, programs and data connections is possible, so that different types of process assurance can be calculated with regard to the required SIL.

In Anspruch 8 ist beschrieben, wie die Vorrichtung Befehle zur Ansteuerung von Elementen der Prozessebene sicher auslöst. Dabei wird unterschieden, auf welchem Weg Befehle an die Prozessebene erteilt werden.In claim 8 is described how the device safely triggers commands for controlling elements of the process level. A distinction is made between the way in which commands are issued to the process level.

Wenn mindestens ein Befehl von der Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben wird, so überträgt eine Datenübertragungseinrichtung den Befehl an das sichere Rechnersystem in der Sicherungsebene. Das sichere Rechnersystem überprüft den Befehl auf Plausibilität. Plausible Befehle werden neu codiert und an die Bedien- und Beobachtungsebene zurück übertragen. In dem mindestens einen Rechner der Bedien- und Beobachtungsebene wird der neu codierte Befehl des sicheren Rechnersystems ebenfalls auf Plausibilität überprüft und das Ergebnis der Plausibilitätsprüfung in final codierter Form an das sichere Rechnersystem in der Sicherungsebene übertragen.When at least one command is input from the operator input at the control and observation level, a data communication device transmits the command to the secure computer system at the backup level. The secure computer system checks the command for plausibility. Plausible commands are re-coded and transmitted back to the operating and monitoring level. In the at least one computer of the operating and monitoring level of the newly coded command of the secure computer system is also checked for plausibility and transfer the result of the plausibility check in final coded form to the secure computer system in the backup level.

Zusätzlich gewährleistet im Allgemeinen bei solchen sicherheitsrelevanten manuellen Bedieneingaben ein separater Kommunikationsweg, dass die Bedienung in dieser Form explizit gewünscht ist. Hierfür muss vom Bediener insbesondere ein gedoppelter oder antivalenter Kontakt geschlossen werden, und/oder werden zusätzlich codierte digitale Adressen eingelesen und geprüft.In addition, in general with such safety-relevant manual operating inputs, a separate communication path ensures that the operation is explicitly desired in this form. For this purpose, in particular a doubled or non-equivalent contact must be concluded by the operator, and / or additionally coded digital addresses are read in and checked.

Sind diese Bedingungen erfüllt, so ist mit ausreichender Sicherheit davon auszugehen, dass eine Elementansteuerung von der Bedien- und Beobachtungsebene einerseits tatsächlich gewünscht ist und andererseits der Befehl plausibel ist sowie die Kommunikation mit dem Element in der Prozessebene einwandfrei funktioniert. Dementsprechend löst der sichere Rechner den Befehl zur Ansteuerung des Elements aus.If these conditions are met, it can be assumed with sufficient certainty that an element control from the operating and monitoring level is actually desired on the one hand and the command is plausible on the other hand and the communication with the element in the process level functions flawlessly. Accordingly, the secure computer triggers the command to control the element.

Sobald jedoch mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt, bricht das sichere Rechnersystem die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher ab.However, as soon as at least one of the abovementioned plausibility checks of the commands used in at least one of the participating computers fails, the secure computer system aborts the control of elements of the process level with a corresponding error message.

Werden die Befehle zur Ansteuerung von mindestens einem Element der Prozessebene aufgrund des internen Programmablaufs im sicheren Rechnersystem der Sicherungsebene erteilt, so löst das sichere Rechnersystem der Sicherungsebene die Ansteuerung direkt aus.If the commands for controlling at least one element of the process level are issued in the secure computer system of the security level due to the internal program execution, then the secure computer system of the security level triggers the control directly.

In Anspruch 9 ist beschrieben, wie das sichere Rechnersystem das von dem gemäß Anspruch 8 ausgelösten Befehl erzeugte Ansteuerungsereignis signaltechnisch sicher überwacht.Claim 9 describes how the secure computer system reliably monitors the activation event generated by the command triggered in accordance with claim 8.

Nachdem der Befehl zur Ansteuerung eines Elements der Prozessebene vom sicheren Rechnersystem der Sicherungsebene ausgelöst wurde, wird er über eine Datenübertragungseinrichtung an das passende Element in der Prozessebene übertragen. Die Wirkung dieses Befehls führt zu mindestens einem Ansteuerungsereignis, dessen Ergebnis von einer geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet wird. Als Endergebnisse der Ansteuerungsereignisse kommen beispielsweise die Rückmeldung von optischen Sensoren bei der Anschaltung von Lichtsignalen oder die Verwendung von magnetischen Sensoren, wie z.B. industrieller Beros zum Überwachen des mechanisch korrekten Umlaufs einer Weiche in Frage.After the command for triggering an element of the process level has been triggered by the secure computer system of the security level, it is transmitted via a data transmission device to the appropriate element in the process level. The effect of this command results in at least one control event, the result of which is monitored by suitable sensors and reported back to the secure computer system in the backup level. As final results of the driving events, for example, the feedback from optical sensors in the connection of light signals or the use of magnetic sensors, such as. industrial beros for monitoring the mechanically correct circulation of a switch in question.

Die Ergebnisse eines jeden Ansteuerungsereignisses müssen mehrfach hinsichtlich der geforderten logischen und zeitgerechten Abfolge überprüft werden. Da nur ein sicheres Rechnersystem im sicheren Stellwerkskern zur Verfügung steht, müssen alle Prüfungen auch dort erfolgen. Deshalb prüft die Software im sicheren Rechnersystem die Ergebnisse mehrfach, aber zeitversetzt, so dass für jedes Ergebnis Mehrfachdialoge entstehen, die bis hin zum Endergebnis geführt werden.The results of each triggering event must be checked several times for the required logical and timely sequence. Since only one secure computer system is available in the safe interlocking core, all tests must be carried out there as well. For this reason, the software in the secure computer system checks the results several times, but with a time lag, so that multiple dialogs result for each result, which are carried to the final result.

Nach positiver Prüfung aller Ergebnisse zu den Ansteuerungsereignissen geht das sichere Rechnersystem von einer erfolgreichen Elementansteuerung aus und offenbart dies. Ergibt die Prüfung von mindestens einem Ergebnis der Ansteuerungsereignisse einen Widerspruch zur geforderten logischen und zeitgerechten Abfolge, so geht das sichere Rechnersystem von einer fehlerhaften Elementansteuerung aus und offenbart auch dies.After a positive check of all results for the triggering events, the secure computer system starts from a successful element control and reveals this. If the examination of at least one result of the triggering events contradicts the required logical and timely sequence, then the secure computer system assumes and also reveals a faulty element control.

Die mehrfache, zeitversetzte Prüfung der unterschiedlichen Ereignisse an nur einer Stelle im sicheren Stellwerkskern erfordert eine leistungsfähige Rechnerarchitektur. Sie stellt sicher, dass der Zeitaufwand für die je nach gewünschtem Sicherheitslevel erforderlichen Prüfungen und das anschließende Stellen der Elemente der Prozessebene nicht mehr Zeit aufgewendet wird, als die von der Zulassungsbehörde geforderte Maximalzeit, innerhalb der der Signalbegriff "Halt" gezeigt werden muss (Haltfallzeit).The multiple, time-staggered examination of the different events at only one point in the safe interlocking core requires a powerful computer architecture. It ensures that the time required for the tests required according to the desired safety level and the subsequent placement of the elements of the process level is not spent more time than the maximum time required by the approval authority, within which the signal term "stop" must be shown (holding time) ,

Die heute zur Verfügung stehenden, erprobten Prozessoren und Kommunikationssysteme machen dies möglich.Today's proven, proven processors and communication systems make this possible.

Gemäß Anspruch 10 besteht eine vorteilhafte Ausgestaltung der Erfindung darin, dass das sichere Rechnersystem der Sicherungsebene aus einer fehlersicheren speicherprogrammierbaren Steuerung (SPS) besteht.According to claim 10, an advantageous embodiment of the invention is that the secure computer system of the backup level consists of a fail-safe programmable logic controller (PLC).

Die auf der SPS realisierte Logik wird nach DIN EN 61131 programmiert und ist somit aufwandsarm auf andere SPS Systeme portierbar.The logic implemented on the PLC is programmed according to DIN EN 61131 and is therefore easy to port to other PLC systems.

In Anspruch 11 ist eine dezentralisierbare Prozessebene beschrieben, die über ein LAN (Local Area Network) mit der Sicherungsebene verbunden ist. Hierbei agieren Standard-ET (elektronische Trennleiste) oder kleine SPS-Systeme verfahrensgesichert als logisch passive Umsetzer für die über Ethernet oder eine andere standardisierte Datennetztechnologie übertragenen Daten, so dass hinter den Umsetzern digitale Ein-/ Ausgabebits vorliegen.In claim 11, a decentralizable process level is described, which is connected via a LAN (Local Area Network) with the backup level. In this case, standard ET (electronic disconnect bar) or small PLC systems act as logically passive converters for the data transmitted via Ethernet or another standardized data network technology, so that there are digital input / output bits behind the converters.

Die Prozessebene macht als Multiplikator für die LST den Hauptkosten- und LCC-Anteil aus.The process level is the multiplier for the LST, the main cost and LCC share.

ETs sind Standardprodukte der Industrieautomatisierung und werden mit ähnlichem Leistungsspektrum von vielen Firmen angeboten.ETs are standard products of industrial automation and are offered with a similar range of services by many companies.

Durch neutrale Netzwerk-Adressierung und vergleichbare Leistungsmerkmale der Hersteller ergibt sich hier eine einfache Substituierbarkeit des gewählten Lieferanten.Neutral network addressing and comparable performance characteristics of the manufacturer result in a simple substitutability of the selected supplier.

Darüber hinaus sind mittlerweile kompakte kleine SPS-Systeme auf dem Markt. Auch diese können ET-Funktionen ausführen. Deren Einsatz ist ebenfalls möglich, bedingt jedoch eine CENELEC-konforme "Code Inspection".In addition, compact small PLC systems are now on the market. These too can perform ET functions. Their use is also possible, but requires a CENELEC-compliant "Code Inspection".

Erfindungsgemäß werden durch konsequente Dezentralisierung Standardkomponenten nah am Zielobjekt platziert und über LAN-Verbindungen (Kupferkabel oder LWL) vom sicheren Stellwerkskern gesteuert. Daraus resultieren sehr kurze Kabellängen und geschützte Kabelwege innerhalb der Außenanlage. Somit sind deutlich geringere induzierte Spannungen für Scherheits- und Schutzbetrachtungen auf den Kabeln anzunehmen.According to the invention, consistent decentralization places standard components close to the target object and controls them via LAN connections (copper cables or fiber-optic cables) from the safe interlocking core. This results in very short cable lengths and protected cable routes within the outdoor area. Thus, significantly lower induced voltages for safety and protection considerations on the cables are to be assumed.

Sowohl die Kommunikation in der gesamten Verfahrenskette als auch die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene müssen gemäß Anspruch 12 ständig überprüft werden.Both the communication in the entire process chain and the function of the decentralized, generally non-secure elements of the process level must be constantly checked according to claim 12.

Hierzu prüfen von der Sicherungsebene getriggerte und überwachte Watchdogs zyklisch die Kommunikation in der Verfahrenskette sowie die Funktion der Elemente in der Prozessebene. Im Fehlerfall schaltet die Sicherungsebene zumindest die Stromversorgung zum zugehörigen Element der Prozessebene sicher ab. Gegebenenfalls wird zusätzlich die Signalversorgungsspannung derart separiert, dass im Fehlerfall nur die zum Signalbegriff "Halt" gehörenden Elemente mit Spannung versorgt werden.For this, watchdogs triggered and monitored by the protection level cyclically check the communication in the process chain and the function of the elements in the process level. In the event of a fault, the fuse level safely disconnects at least the power supply to the associated element of the process level. Optionally, the signal supply voltage is additionally separated in such a way that in the event of an error only the elements belonging to the signal term "stop" are supplied with voltage.

Die Erfindung ist nachfolgend anhand einer Zeichnung mit zwei Figuren und eines Beispiels in einer vorteilhaften Ausführungsform näher erläutert.The invention is explained in more detail below with reference to a drawing with two figures and an example in an advantageous embodiment.

Die Zeichnung zeigt in

Fig. 1:
die Darstellung der dialogorientierten Sicherungskette zwischen sicherem Stellwerkskern und Prozessebene, inkl. Watchdog,
Fig. 2:
die Prinzipschaltung des Prozesselements "Signal" mit Ethernet-Schnittstelle, Elektronischer Trennleiste, Stromversorgung und Überwachung des Lichtstroms mit einem optischen Sensor.
The drawing shows in
Fig. 1:
the representation of the dialog-oriented security chain between safe interlocking core and process level, incl. watchdog,
Fig. 2:
the basic circuit of the process element "Signal" with Ethernet interface, electronic isolator, power supply and monitoring of the luminous flux with an optical sensor.

Die Systemarchitektur eines Elektronischen Stellwerks zum Durchführen des Fahrbetriebs von Schienenfahrzeugen gliedert sich in die drei Ebenen der Bedienung/Beobachtung, der Sicherung und der ProzesselementeThe system architecture of an electronic interlocking for carrying out the driving operation of rail vehicles is divided into three levels of operation / monitoring, the fuse and the process elements

Ein vollgrafisches, auf Marktstandards basierendes System, findet sich in der Bedien- und Beobachtungsebene (1).A fully graphic system based on market standards can be found at the operating and monitoring level (1).

Die Sicherungsebene (2) wird von einem sicheren Rechnersystem gebildet, das als fehlersichere SPS, wie z.B. einer SIMATIC S7-F ausgebildet ist.The fuse level (2) is formed by a secure computer system that can be used as a fail-safe PLC, such as a PLC. a SIMATIC S7-F is formed.

In der Prozessebene (4) befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Bahnübergänge, etc. Aus Gründen der Übersichtlichkeit ist nur das Prozesselement "Signal" benannt. Die anderen Prozesselemente der Prozessebene sind durch die gestrichelte Darstellung des Ethernets nur angedeutet.In the process level (4) are the elements to be controlled outdoor facilities and other signaling devices, such as neighboring interlocking, level crossings, etc. For reasons of clarity, only the process element "signal" is named. The other process elements of the process level are only indicated by the dashed representation of the Ethernet.

Über Kupferkabel werden die Daten beispielsweise in einem Ethernet-LAN (5) zwischen der Sicherungsebene (2) und den dezentral platzierten Elementen (6) der Prozessebene (4) ausgetauscht. Daraus resultieren sehr kurze Kabellängen und geschützte Kabelwege innerhalb der Außenanlage. Somit sind deutlich geringere induzierte Spannungen auf den Kabeln anzunehmen. Kabelfehler können einfach offenbart werden, da nur geringe ohmsche Widerstände bei den kurzen Kabelwegen anzunehmen sind. Erdschlüsse sind durch galvanische Trennung der Speisespannung erst als Doppelfehler relevant und offenbaren sich hardwaremäßig und in der Verfahrenssicherung. Darüber hinaus können einfache Erdschlüsse durch Erdschlussmelder erkannt werden.Via copper cables, the data is exchanged, for example, in an Ethernet LAN (5) between the security level (2) and the decentrally placed elements (6) of the process level (4). This results in very short cable lengths and protected cable routes within the outdoor area. Thus, significantly lower induced voltages are assumed on the cables. Cable faults can be easily revealed, since only small ohmic resistances are to be assumed for the short cable paths. Ground faults are only relevant as double faults due to galvanic isolation of the supply voltage and are revealed in terms of hardware and process safety. In addition, simple earth faults can be detected by earth fault detectors.

Als Schnittstelle zu den Elementen der Prozessebene werden elektronische Trennleisten (ET, 7) eingesetzt. Als logisch passive Komponenten setzen die ET (7) die über Ethernet (5) übertragenen Daten in digitale Ein-/ Ausgabebits um.Electronic interfaces (ET, 7) are used as an interface to the elements of the process level. As logically passive components set the ET (7) converts the data transmitted via Ethernet (5) into digital input / output bits.

Soll beispielsweise im Rahmen des automatischen, internen Programmablaufs der Fahrstraßeneinstellung eine Signalglühlampe (20) eingeschaltet werden, so sieht die Verfahrenskette zur sicheren Ansteuerung und Rückmeldung des Lampenfadens folgendermaßen aus:If, for example, a signal incandescent lamp (20) is to be switched on as part of the automatic, internal program sequence of the route setting, the process chain for the reliable activation and feedback of the lamp thread is as follows:

Der Stellwerkskern (3) löst im ersten SPS-Zyklus ein Daten-Telegramm aus, welches von der ET (7) des angesprochenen Signal-Prozesselements einen Digitalausgang (DA, 9) rücksetzt. Diese Rücksetzung steuert ein zwangsgeführtes Relais K1 (16) ab. K1 (16) hat einen Öffner im Stromkreis der Signallampe. Damit wird an den Schließerkontakt des elektronischen Relais (ELR, 17) das Potential der Signallampenspannung geleitet.The interlocking core (3) triggers a data telegram in the first PLC cycle which resets a digital output (DA, 9) from the ET (7) of the addressed signal process element. This reset controls a positively driven relay K1 (16). K1 (16) has a normally closed contact in the circuit of the signal lamp. Thus, the potential of the signal lamp voltage is passed to the normally open contact of the electronic relay (ELR, 17).

Dieses Potential wird nun von einem digitalen Eingang (8) des Prozesselementes detektiert und über die ET (7) per Netzwerk (5) an die sichere SPS (3) übermittelt. Die sichere SPS (3) erwartet eben diese Reaktion (Änderung des Status des entsprechenden DE-Bits von 0 auf 1) für das Auslösen des nächsten Prozess-Schrittes, nämlich der Ansteuerung eines weiteren digitalen Ausganges (9) des Prozesselementes. Dieser DA (9) steuert nun das ELR (17) an. Das ELR schließt den Stromkreis bestehend aus Stromquelle (10), Öffnerkontakt Relais K1 (16), Schließer des ELR (17) und Lampenfaden (20). Da der Relaiskontakt des K1 (16) bereits geschlossen ist, wird dieser geschont, was die Lebensdauer des Relais deutlich erhöht. Eine entsprechende Abfolge beim Löschen des Signalbegriffes dient ebenfalls zur Schonung des Relaiskontaktes. Die Lebensdauer des ELR (17) wird hingegen nicht durch die Anzahl der Schaltvorgänge beeinflusst.This potential is now detected by a digital input (8) of the process element and transmitted via the ET (7) via network (5) to the safe PLC (3). The safe PLC (3) expects just this reaction (change of the status of the corresponding DE bits from 0 to 1) for triggering the next process step, namely the control of another digital output (9) of the process element. This DA (9) now drives the ELR (17). The ELR closes the circuit consisting of current source (10), NC contact relay K1 (16), NO contact of the ELR (17) and lamp filament (20). Since the relay contact of the K1 (16) is already closed, this is conserved, which significantly increases the life of the relay. A corresponding sequence when deleting the signal term also serves to protect the relay contact. The lifetime of the ELR (17), however, is not affected by the number of switching operations.

Durch mindestens einen optischen Sensor (15) an der entsprechenden Signallampe wird nun erkannt, dass die Signalglühlampe korrekt leuchtet. Über einen digitalen Eingang (8) an der ET (7) wird diese Information an den sicheren Stellwerkskern (3) übermittelt. Damit ist die erwartete Reaktion (Änderung des Status des entsprechenden DE-Bits von 0 auf 1) zeitgerecht eingetreten. Der Stellwerkskern (3) kann auf logische Abfolge prüfen und auch das zeitgerechte Resultat der optischen Rückmeldung in einem definierten Zeitfenster auswerten. Nach positiver Prüfung kann die sichere Stellwerkslogik von einem korrekten Vorgang ausgehen und die bestimmungsgemäß arbeitende Signaloptik (20) in der zentralen Fahrstraßenlogik berücksichtigen.By at least one optical sensor (15) on the corresponding signal lamp is now recognized that the signal light bulb is lit correctly. This information is transmitted to the safe interlocking core (3) via a digital input (8) on the ET (7). Thus, the expected response (change of the status of the corresponding DE-bits from 0 to 1) has occurred in a timely manner. The interlocking core (3) can check for logical sequence and also evaluate the timely result of the optical feedback in a defined time window. After a positive check, the safe interlocking logic can proceed from a correct procedure and take into account the signal optics (20) operating in accordance with the regulations in the central lane logic.

Es ist anzunehmen, dass die nicht signaltechnisch sicheren Komponenten die unzeitige Anzeige eines Fahrt gebenden Signalbildes lediglich mit einer THR von>10 exp -4 pro Stunde beherrschen.It can be assumed that the non-signal-safe components only control the untimely display of a driving signal image with a THR of> 10 exp -4 per hour.

Die mögliche Fehlfunktion der Kommunikation, z.B. mit der Konsequenz dass ein anstehendes Grün nicht ausgeschaltet wird, ist zu überwachen. Ebenfalls die mögliche Fehlfunktion der ET.The possible malfunction of the communication, e.g. with the consequence that a pending green is not turned off, is to be monitored. Also the possible malfunction of the ET.

Hierfür wird ein Watchdog (11) eingesetzt. Dieser muss in einem definierten Puls-/ Pausenverhältnis von einem digitalen Ausgang (9) der ET (7) angesteuert werden. Bleibt der Impuls in einem definierten Zeitfenster aus, so passiviert der Watchdog (11) die Stromersorgung (10). Der Impuls wird vom sicheren Stellwerkskern generiert.For this purpose, a watchdog (11) is used. This must be controlled in a defined pulse / pause ratio by a digital output (9) of the ET (7). If the pulse remains off in a defined time window, the watchdog (11) passivates the power supply (10). The impulse is generated by the safe interlocking core.

Steht der zyklische Impuls beim Watchdog (11) an, so funktioniert die ET (7) und die Kommunikation zum sicheren Stellwerkskern (3).If the cyclic pulse is present at the watchdog (11), the ET (7) and the communication to the safe interlocking core (3) function.

Fällt die Kommunikation aus, wird der digitale Ausgang (9) der ET (7) nicht zyklisch zur Ausgabe des Watchdog-Impulses aufgefordert. Der Impuls bleibt aus, und der Watchdog (11) unterbricht die Stromversorgung (10).If the communication fails, the digital output (9) of the ET (7) is not cyclically requested to output the watchdog pulse. The pulse remains off, and the watchdog (11) interrupts the power supply (10).

Fällt die ET (7) aus, wird mit sehr hoher Wahrscheinlichkeit der zyklische Impuls und das erforderliche Puls-/ Pausenverhältnis, welches der Watchdog (11) erwartet, ausbleiben oder in einer anderen Pulsfolge anstehen. Der Watchdog (11) erkennt dies und unterbricht die Stromversorgung (10).If the ET (7) fails, the cyclic pulse and the required pulse / pause ratio, which the watchdog (11) expects, are very likely absent or pending in another pulse sequence. The watchdog (11) detects this and interrupts the power supply (10).

Der Watchdog (11) selbst schaltet über den Schließer eines zwangsgeführten Kleinrelais (12) die Versorgungsspannung der ET (7). Bleibt der Impuls aus, so fällt das zwangsgeführte Relais (12) ab, und die Versorgungsspannung wird unterbrochen. Der sichere Stellwerkskern (3) erkennt dies am Ausbleiben der Ethernet Telegramme.The watchdog (11) itself switches the supply voltage of the ET (7) via the closer of a positively driven small relay (12). If the pulse remains off, the positively driven relay (12) drops out, and the supply voltage is interrupted. The safe interlocking core (3) detects this by the absence of the Ethernet telegrams.

Zur Prüfung des zwangsgeführten Relais (12) und der gesamten Watchdog-Funktion wird der Watchdog-Impuls vom sicheren Stellwerkskern (3) kurz ausgesetzt. Über den Öffnerkontakt des zwangsgeführten Relais (12) wird dann die Versorgungsspannung an einem DE der ET erwartet. Sollten die Relaiskontakte verschweißt sein oder ein sonstiger Fehler in der Kommunikationskette des Watchdog-Impulses vorliegen, so offenbart sich dieser im Prüfzyklus. Für die Dauer der Unterbrechung der Versorgungsspannung wird die ET-Versorgungsspannung hinter dem Watchdog Relais über einen Kondensator (13) gepuffert.To test the positively driven relay (12) and the entire watchdog function, the watchdog pulse from the safe interlocking core (3) is briefly exposed. The supply voltage at a DE of the ET is then expected via the NC contact of the positively driven relay (12). If the relay contacts are welded or there is another error in the communication chain of the watchdog pulse, this reveals itself in the test cycle. For the duration of the interruption of the supply voltage, the ET supply voltage is buffered behind the watchdog relay via a capacitor (13).

Durch weitere Kontakte des zwangsgeführten Relais können bedarfsweise die Signalspannungen fahrtgebender Begriffe ab- (18) und die Signalspannung haltgebender Begriffe angeschaltet (19) werden.By further contacts of the positively driven relay, if necessary, the signal voltages driving terms off (18) and the signal voltage holding terms turned on (19).

Durch die Prozesskette der sicheren Software des Stellwerkskerns (3) werden weitere Fehler eines jeden Elementes und auch Zweitfehler offenbart:Through the process chain of the safe software of the interlocking core (3) further errors of each element and also secondary errors are revealed:

Defekt der ET (7):Defect of the ET (7):

Jede Aktion an einem Element (6) der Prozessebene (4) wird über die zugehörige ET (7) initiiert. Bei einem Defekt der ET wird das Absteuern des DA (9) für Relais 16 nicht ausgeführt. Also kommt auch keine Rückmeldung des anstehenden Potentials am ELR (17) an. Der sichere Stellwerkskern (3) erkennt den Fehler.Each action on an element (6) of the process level (4) is initiated via the associated ET (7). In the event of a defect in the ET, the deactivation of the DA (9) for relay 16 is not carried out. So also no feedback of the upcoming potential at the ELR (17) arrives. The safe interlocking core (3) detects the error.

Defekt am DA (9) in der ET (7):Defect at the DA (9) in the ET (7):

  1. 1. Durchlegiertes Relais (16):
    • Das Relais ist ständig angezogen. Die zugehörige Rückmeldung über DE (8) kommt nicht zustande. Der sichere Stellwerkskern (3) erkennt den Fehler.
    1. Deformed relay (16):
    • The relay is constantly energized. The corresponding feedback on DE (8) does not materialize. The safe interlocking core (3) detects the error.
  2. 2. Hochohmiges Relais (16):
    • Das Relais ist bereits im Grundzustand abgefallen. Die zugehörige Rückmeldung des Potentials am ELR (17) ist zur Unzeit da. Der sichere Stellwerkskern (3) erkennt den Fehler.
    2. High-impedance relay (16):
    • The relay has already fallen down in the ground state. The associated feedback of the potential at the ELR (17) is there at the wrong time. The safe interlocking core (3) detects the error.
Defekt am DE (8) in der ET (7):Defect at the DE (8) in the ET (7):

Rückmeldungen kommen nicht oder zur Unzeit an. Der sichere Stellwerkskern (3) erkennt den Fehler.Feedback is not received or made at the wrong time. The safe interlocking core (3) detects the error.

Eine weitere Zweitfehleroffenbarung ergibt sich durch die nachfolgende, identische Prozedur mit dem ELR (17), und zusätzlich durch das Rücklesen des Lichtes:Another second-error disclosure results from the following identical procedure with the ELR (17), and additionally by reading back the light:

Defekt bei der Rückmeldung des Lichts:Defective in the feedback of the light:

Lichtsensorik DE/ Sensor (15):

  1. 1. Durchlegiert:
    • Licht wird ständig detektiert. Die zugehörige Rückmeldung über DE (8) steht zur Unzeit an. Der sichere Stellwerkskern (3) erkennt den Fehler.
  2. 2. Hochohmig:
    • Licht wird nach Ansteuern des ELR (17) nicht detektiert. Der sichere Stellwerkskern (3) erkennt den Fehler.
Light sensor DE / sensor (15):
  1. 1. Alloyed:
    • Light is constantly detected. The associated feedback via DE (8) is at an inopportune time. The safe interlocking core (3) detects the error.
  2. 2. High impedance:
    • Light is not detected after driving the ELR (17). The safe interlocking core (3) detects the error.

Auch bei korrekt arbeitender Rückmeldung des Lichts können Fehler durch Fremdlichteinfall auftreten.Even if the feedback of the light is correct, faults due to extraneous light may occur.

Ein Fremdlichteinfall wirkt sich nur als Zweitfehler in Verbindung mit dem Erstfehler "defekte Ansteuerung/Ausleuchtung" aus. Eine Auswirkung entsteht nur dann, wenn exakt in dem Zeitfenster, in dem die optische Rückmeldung einer Ansteuerung der Signaloptik (20) ansteht, Fremdlicht einfällt und trotz nicht vorhandener Signalausleuchtung für eine positive Rückmeldung durch den optischen Sensor (15) sorgt.A foreign light incident only has a secondary effect in connection with the first fault "defective control / illumination". An effect arises only when exactly in the time window in which the optical feedback of a control of the signal optics (20) is pending, extraneous light is incident and despite not existing signal illumination for a positive feedback by the optical sensor (15).

Steht bereits vorher Fremdlicht an, erkennt dies der sichere Stellwerkskern (3), da der optische Sensor (15) zur Unzeit eine positive Rückmeldung bringt.If external light is already present, this is recognized by the safe interlocking core (3), since the optical sensor (15) gives a positive feedback at an inopportune time.

Der Fall des Fremdlichteinfalls genau im Zeitfenster der Begriffsansteuerung ist durch geeignete Positionierung und Schutz des Sensors (15) vor Fremdlicht ausreichend beherrschbar.The case of external light incidence precisely in the time window of the term control is sufficiently controllable by suitable positioning and protection of the sensor (15) from extraneous light.

Zur Fehleroffenbarung von Signaloptiken, die den Zustand über lange Zeit nicht wechseln, sind vom sicheren Stellwerkskern kurze Prüfzyklen durchzuführen, z.B. einmal pro 24h, wenn mehrere Gleisabschnitte vor dem Element frei sind.For the error disclosure of signal optics, which do not change the state for a long time, short test cycles must be performed by the safe interlocking core, e.g. once per 24h, when several track sections are free in front of the element.

Defekt in der Kommunikation:Defect in communication:

Durch Mehrfachtelegramme (14) zur Auslösung einer Aktion ergibt sich eine hohe rechnerische Fehlerbeherrschung. Im sicheren Stellwerkskern (3) wird über eine Plausibilitätsprüfung ein Kommunikationsfehler offenbart. Bei Unplausibilität eines Telegramms passiviert der sichere Stellwerkskern das System.Multiple telegrams (14) to trigger an action results in a high computational error control. In the safe interlocking core (3) a communication error is revealed via a plausibility check. If a telegram is implausible, the safe interlocking core passivates the system.

Da bei defekter Kommunikation keine zeitgerechte Abarbeitung des Vorgangs erfolgen kann, ist eine zusätzliche Sicherung gegeben.Since defective communication means that timely processing of the process can not take place, an additional backup is provided.

Darüber hinaus ist der Watchdog (11) in die Gesamtkette der Kommunikation eingebunden. Dadurch offenbaren sich Fehler in der Kommunikation zeitnah.In addition, the watchdog (11) is integrated into the overall chain of communication. As a result, errors in communication reveal promptly.

Berücksichtigt man die Mehrfachdialoge, die gegenläufige Ansteuerung von Relais (spannungslos durchgeschaltet) und ELR (angesteuert durchgeschaltet) in Kombination mit der dialogorientierten Prüfung des Verfahrens in der sicheren Stellwerkslogik, so sind Kommunikationsfehler mit einer Wahrscheinlichkeit, die SIL 4 entsprechen, auszuschließen.Taking into account the multiple dialogues, the opposite control of relays (de-energized switched on) and ELR (activated switched) in combination with the dialog-oriented check of the procedure in the safe interlocking logic, communication errors with a probability corresponding to SIL 4 are to be excluded.

Defekt im Lampensockel:Defect in the lamp socket:

Ein Sockelschluss (Haupt und Nebenfaden brennen) wird über das Auslösen der Sicherung (22) und durch den DE (8) am ELR (17) detektiert.A base connection (burn main and secondary thread) is detected by triggering the fuse (22) and by the DE (8) on the ELR (17).

Defekt am Hauptfaden:Defect at the main thread:

Der optische Sensor (15) gibt nach Anschaltung keine positive Rückmeldung. Es kann eine Umschaltung auf den Nebenfaden ausgelöst werden. Zusätzlich erfolgt eine Information an den Fahrdienstleiter (Hauptfaden z.B. "Rot N1" defekt).The optical sensor (15) gives no positive feedback after connection. It can be triggered a switch to the secondary thread. In addition, information is sent to the dispatcher (main thread, for example, "red N1" is defective).

Durch zeitversetzte, unabhängige Prozeduren im sicheren Stellwerkskern (3), deren Plausibilitätsprüfungen und das zeitgerechte Prüfen der Lichtemission der adressierten Lichtquelle (20) in der sicheren Software entsteht Verfahrenssicherheit, auch unter Einbeziehung der nicht sicheren Komponenten der Prozessebene (4).Time-staggered, independent procedures in the safe interlocking core (3), their plausibility checks and the timely testing of the light emission of the addressed light source (20) in the secure software result in process security, including the non-secure components of the process level (4).

Bei einer sicherheitsgerichteten manuellen Bedienung des Signals in der Bedien- und Beobachtungsebene (1) anstelle der oben beschriebenen automatischen Ansteuerung ist es im Allgemeinen erforderlich, dass vor der Auslösung des Befehls die manuelle Bedienung explizit bestätigt wird. Hierfür ist in diesem Beispiel ein dezentrales Prozesselement KF (Kommando Freigabe nicht eingezeichnet) über einen separaten Kommunikationsweg in Verbindung mit einem Taster/Schlüsseltaster mit einem gedoppelten Kontakt am Bedienplatz-System installiert. Dadurch wird der KF Bediendialog mit dem sicheren Stellwerkskern abgebildet.In the case of a safety-related manual operation of the signal in the operating and monitoring level (1) instead of the automatic control described above, it is generally required that the manual operation is explicitly confirmed before the command is triggered. For this purpose, in this example, a decentralized process element KF (release command not shown) is installed on the operator station system via a separate communication path in conjunction with a pushbutton / key switch with a duplicated contact. This maps the KF operator dialog with the safe interlocking core.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

11
Bedien- und BeobachtungsebeneOperating and observation level
22
Sicherungsebeneassurance level
33
Sicheres Rechnersystem (sicherer Stellwerkskern)Secure computer system (safe interlocking core)
44
Prozessebeneprocess level
55
EthernetEthernet
66
Prozesselementprocess element
77
Elektronische TrennleisteElectronic divider
88th
Digitaler EingangDigital input
99
Digitaler Ausgangdigital output
1010
Stromversorgungpower supply
1111
WatchdogWatchdog
1212
zwangsgeführtes Kleinrelaispositively driven small relay
1313
Pufferkondensatorbuffer capacitor
1414
MehrfachdialogeMultiple dialogs
1515
Optischer SensorOptical sensor
1616
Zwangsgeführtes Relais K1Forced-controlled relay K1
1717
Elektronisches Relais (ELR)Electronic relay (ELR)
1818
Schalter für fahrtzeigende BegriffeSwitch for time-indicating items
1919
Schalter für Haltbegriffe (rot)Halt term switch (red)
2020
Signalglühlampesignal light bulb
2121
Watchdog-RelaisWatchdog relay
2222
Sicherungfuse

Claims (12)

Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen, bestehend aus einer signaltechnisch sicheren Bedien- und Beobachtungsebene, einer Sicherungsebene und einer die anzusteuernden Elemente enthaltenden Prozessebene sowie Datenübertragungseinrichtungen zwischen den Komponenten dieser Ebenen, wobei entweder durch Bedienereingabe auf der Bedien- und Beobachtungsebene oder durch internen Programmablauf im sicheren Rechnersystem der Sicherungsebene Befehle zur Ansteuerung von mindestens einem Element der Prozessebene gegeben werden können, dadurch gekennzeichnet, dass die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit vom sicheren Rechnersystem der Sicherungsebene geleistet werden, wohingegen die Rechner bzw. sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen können.Method for signal-safe electronic element control for carrying out a driving operation of rail vehicles, consisting of a signal-technically safe operating and monitoring level, a backup level and a process level containing the elements to be controlled and data transmission devices between the components of these levels, either by operator input on the operating and monitoring level or by internal program flow in the secure computer system of the security level commands for controlling at least one element of the process level can be given, characterized in that the safety-related checks and algorithms to ensure the process security provided by the secure computer system of the backup level, whereas the computer or other components The operating and monitoring level as well as the process level can meet lower safety requirements. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach Anspruch 1, dadurch gekennzeichnet, dass - von dem sicheren Rechnersystem der Sicherungsebene die sicherheitsrelevante Ansteuerung von Elementen der Prozessebene ausgelöst wird, wenn i. bei Befehlen, die durch die Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben werden, die Befehle mit einer Datenübertragungseinrichtung an das sichere Rechnersystem in der Sicherungsebene übertragen, dort positiv auf Plausibilität überprüft und in neu codierter Form an die Bedien- und Beobachtungsebene zurück übertragen werden, die Software des mindestens einen Rechners der Bedien- und Beobachtungsebene den neu codierten Befehl des sicheren Rechnersystems ihrerseits positiv auf Plausibilität überprüft und das Ergebnis in final codierter Form erfolgreich an das sichere Rechnersystem in der Sicherungsebene überträgt, und wenn zusätzlich über einen separaten Kommunikationsweg des zugeordneten Prozesselementes für sicherheitsrelevante Bedienungen ein gedoppelter oder anti-valenter Kontakt und/oder zusätzlich codierte digitale Adressen eingelesen und positiv geprüft wurden. ii. durch internen Programmablauf im sicheren Rechnersystem der Sicherungsebene ein Befehl zur Ansteuerung von mindestens einem Element der Prozessebene erteilt wird, - die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher abgebrochen wird, sobald mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt. A method for fail-safe electronic element control for performing a driving operation of rail vehicles according to claim 1, characterized in that the security-relevant activation of elements of the process level is triggered by the secure computer system of the security level, if i. in the case of commands entered by the operator input on the operating and monitoring level, the commands are transmitted with a data transmission device to the secure computer system in the security level, checked positively for plausibility and transmitted back to the operating and monitoring level in newly coded form, the software of the at least one computer of the operating and monitoring level, in turn, positively checks the plausibility of the newly coded command of the secure computer system and successfully transmits the result in finally coded form to the secure computer system in the security level, and if additionally via a separate communication path of the assigned process element For safety-relevant operations, a duplicate or anti-valent contact and / or additionally coded digital addresses were read in and positively tested. ii. a command is issued to control at least one element of the process level by internal program execution in the secure computer system of the security level, - The control of elements of the process level is safely aborted with a corresponding error message as soon as at least one of the aforementioned plausibility checks of the commands used in at least one of the computers involved negative. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass - der Auslösebefehl zur Ansteuerung von Elementen der Prozessebene über eine Datenübertragungseinrichtung vom sicheren Rechnersystem der Sicherungsebene an das passende Element der Prozessebene übertragen wird und dort zu mindestens einem Ansteuerungsereignis führt, dessen Ergebnis von einer geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet wird, - die Ergebnisse der Ansteuerungsereignisse über Mehrfachdialoge im sicheren Rechnersystem der Sicherungsebene auf die geforderte logische und zeitgerechte Abfolge hin geprüft werden, - nach positivem Prüfungsergebnis aller Ergebnisse der Ansteuerungsereignisse im sicheren Rechnersystem von einer erfolgreichen Elementansteuerung ausgegangen wird und dies offenbart wird, - bei negativem Prüfungsergebnis von mindestens einem Ergebnis der Ansteuerungsereignisse von einer fehlerhaften Elementansteuerung ausgegangen und dies offenbart wird. Method for signal-safe electronic element control for carrying out a driving operation of rail vehicles according to at least one of the preceding claims, characterized in that - The trigger command for controlling elements of the process level is transmitted via a data transfer device from the secure computer system of the backup level to the appropriate element of the process level and there leads to at least one control event whose result is monitored by a suitable sensor and fed back to the secure computer system in the backup level . the results of the activation events are checked for the required logical and timely sequence via multiple dialogs in the secure computer system of the security level, - after a positive test result of all results of the activation events in the secure computer system, a successful element activation is assumed and this is disclosed, - If a negative test result of at least one result of the driving events of a faulty element drive is assumed and disclosed. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das sichere Rechnersystem der Sicherungsebene aus einem modularen System für Industrie-Automatisierungsanlagen besteht.Method for fail-safe electronic element control for performing a driving operation of rail vehicles according to at least one of the preceding claims, characterized in that the secure computer system of the security level consists of a modular system for industrial automation systems. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die dezentralisierbare Prozessebene über ein Daten-Netzwerk mit der Sicherungsebene verbunden ist, wobei von logisch passiven Komponenten die übertragenen Daten auf digitale Ein-/ Ausgabebits verfahrensgesichert umgesetzt werden.Method for signal-technically safe electronic element control for carrying out a driving operation of rail vehicles according to at least one of the preceding claims, characterized in that the decentralisierbare process level is connected via a data network with the backup level, wherein of logically passive components, the transmitted data to digital input / Output bits are implemented with process security. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass durch von der Sicherungsebene getriggerte und überwachte Mechanismen zyklisch die Kommunikation in der gesamten Verfahrenskette sowie die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene geprüft wird, und von der Sicherungsebene mindestens die Stromversorgung zum zugehörigen Element der Prozessebene im Fehlerfall abgeschaltet und gegebenenfalls zusätzlich die Signalversorgungsspannung derart separiert wird, dass im Fehlerfall nur die zum Signalbegriff "Halt" gehörenden Elemente mit Spannung versorgt werden.Method for signal-technically safe electronic element control for carrying out a driving operation of rail vehicles according to at least one of the preceding claims, characterized in that triggered by the security level and monitored mechanisms cyclically the communication in the entire process chain and the function of decentralized, generally non-secure elements of Process level is checked, and disconnected from the backup level at least the power supply to the associated element of the process level in case of failure and optionally additionally the signal supply voltage is separated so that only the elements belonging to the signal term "stop" elements are supplied with voltage in case of failure. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen, bestehend aus einer signaltechnisch sicheren Bedien- und Beobachtungsebene, einer Sicherungsebene und einer die anzusteuernden Elemente enthaltenden Prozessebene sowie Datenübertragungseinrichtungen zwischen den Komponenten dieser Ebenen, wobei entweder durch Bedienereingabe auf der Bedien- und Beobachtungsebene oder durch internen Programmablauf im sicheren Rechnersystem der Sicherungsebene Befehle zur Ansteuerung von mindestens einem Element der Prozessebene gegeben werden können, dadurch gekennzeichnet, dass die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit im sicheren Rechnersystem der Sicherungsebene erfolgen, wohingegen die Rechner bzw. sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen können.Device for fail-safe electronic element control for carrying out a driving operation of rail vehicles, consisting of a signal-technically safe operating and monitoring level, a backup level and the elements containing the elements to be controlled and process data transfer between the components of these levels, either by operator input on the control and observation level or by internal program flow in the secure computer system of the security level commands for controlling at least one element of the process level can be given, characterized in that the safety-related checks and algorithms to ensure the process safety in safe Computer system the backup level done, whereas the computer or other components of the operating and monitoring level and the process level can meet lower security requirements. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach Anspruch 7, dadurch gekennzeichnet, dass - das sichere Rechnersystem der Sicherungsebene die sicherheitsrelevante Ansteuerung von Elementen der Prozessebene auslöst, wenn i. bei Befehlen, die durch die Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben werden, die Befehle mit einer Datenübertragungseinrichtung an das sichere Rechnersystem in der Sicherungsebene übertragen, dort positiv auf Plausibilität überprüft und in neu codierter Form an die Bedien- und Beobachtungsebene zurück übertragen werden, die Software des mindestens einen Rechners der Bedien- und Beobachtungsebene den neu codierten Befehl des sicheren Rechnersystems ihrerseits positiv auf Plausibilität überprüft und das Ergebnis in final codierter Form erfolgreich an das sichere Rechnersystem in der Sicherungsebene überträgt, und wenn zusätzlich über einen separaten Kommunikationsweg des zugeordneten Prozesselementes für sicherheitsrelevante Bedienungen ein gedoppelter oder antivalenter Kontakt und/oder zusätzlich codierte digitale Adressen eingelesen und positiv geprüft wurden. ii. durch internen Programmablauf im sicheren Rechnersystem der Sicherungsebene ein Befehl zur Ansteuerung von mindestens einem Element der Prozessebene erteilt wird, - die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher abgebrochen wird, sobald mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt. Device for signal-safe electronic element control for performing a driving operation of rail vehicles according to claim 7, characterized in that - The secure computer system of the backup level triggers the safety-relevant control of elements of the process level, if i. in the case of commands entered by the operator input on the operating and monitoring level, the commands are transmitted with a data transmission device to the secure computer system in the security level, checked positively for plausibility and transmitted back to the operating and monitoring level in newly coded form, the software of the at least one computer of the operating and monitoring level, in turn, positively checks the plausibility of the newly coded command of the secure computer system and successfully transmits the result in finally coded form to the secure computer system in the security level, and if additionally via a separate communication path of the assigned process element For safety-relevant operations, a duplicate or non-equivalent contact and / or additionally encoded digital addresses were read in and positively tested. ii. a command is issued to control at least one element of the process level by internal program execution in the secure computer system of the security level, - The control of elements of the process level is safely aborted with a corresponding error message as soon as at least one of the aforementioned plausibility checks of the commands used in at least one of the computers involved negative. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass - der Auslösebefehl zur Ansteuerung von Elementen der Prozessebene über eine Datenübertragungseinrichtung vom sicheren Rechnersystem der Sicherungsebene an das passende Element der Prozessebene übertragen wird und dort zu mindestens einem Ansteuerungsereignis führt, dessen Ergebnis eine geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet, - das sichere Rechnersystem der Sicherungsebene die Ergebnisse der Ansteuerungsereignisse über Mehrfachdialoge auf die geforderte logische und zeitgerechte Abfolge hin prüft, - das sichere Rechnersystem nach positivem Prüfungsergebnis aller Ergebnisse der Ansteuerungsereignisse von einer erfolgreichen Elementansteuerung ausgeht und dies offenbart, - das sichere Rechnersystem bei negativem Prüfungsergebnis von mindestens einem Ergebnis der Ansteuerungsereignisse von einer fehlerhaften Elementansteuerung ausgeht und dies offenbart. Device for signal-safe electronic element control for performing a driving operation of rail vehicles according to at least one of the preceding claims, characterized in that - The trigger command for controlling elements of the process level is transmitted via a data transmission device from the secure computer system of the backup level to the appropriate element of the process level and there leads to at least one control event, the result monitors a suitable sensor and reported back to the secure computer system in the backup level, the secure computer system of the security level checks the results of the activation events via multiple dialogs in the required logical and timely sequence, the secure computer system assumes that the results of the activation events have been successfully checked by a successful element activation and discloses this, - The secure computer system assumes a negative examination result of at least one result of the driving events of a faulty element driver and disclosed. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das sichere Rechnersystem der Sicherungsebene aus einer fehlersicheren Speicherprogrammierbaren Steuerung (SPS) besteht.Device for fail-safe electronic element control for carrying out a driving operation of rail vehicles according to at least one of the preceding claims, characterized in that the safe computer system of the security level consists of a fail-safe programmable logic controller (PLC). Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die dezentralisierbare Prozessebene über LAN (Local Area Network) mit der Sicherungsebene verbunden ist, wobei Standard-ET (elektronische Trennleiste) oder kleine SPS-Systeme als logisch passive Umsetzer der über Ethernet oder eine andere Datennetztechnologie übertragenen Daten auf digitale Ein-/ Ausgabebits verfahrensgesichert agieren.Device for fail-safe electronic element control for performing a driving operation of rail vehicles according to at least one of the preceding claims, characterized in that the decentralizable process level via LAN (Local Area Network) is connected to the security level, with standard ET (electronic divider) or small PLC Systems act as logically passive converters of the data transmitted via Ethernet or another data network technology to digital input / output bits. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass von der Sicherungsebene getriggerte und überwachte Watchdogs zyklisch die Kommunikation in der gesamten Verfahrenskette sowie die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene prüfen und die Sicherungsebene mittels zwangsgeführter Kontakte des Watchdog-Relais mindestens die Stromversorgung zum zugehörigen Element der Prozessebene im Fehlerfall abschaltet und gegebenenfalls zusätzlich die Signalversorgungsspannung derart separiert, dass im Fehlerfall nur die zum Signalbegriff "Halt" gehörenden Elemente mit Spannung versorgt werden.Device for fail-safe electronic element control for performing a driving operation of rail vehicles according to at least one of the preceding claims, characterized in that triggered by the backup level and monitored watchdogs cyclically the communication in the entire process chain and the function of the decentralized, generally not secure elements of the process level check and the fuse level by means of positively driven contacts of the watchdog relay at least the power to the corresponding element of the process level in the event of failure switches off and optionally additionally separated the signal supply voltage so that only the elements belonging to the signal term "stop" elements are supplied with voltage in case of failure.
EP08011454A 2007-09-11 2008-06-24 Electronic element control that is safe for signalling for carrying out drive operations for rail vehicles Withdrawn EP2036800A3 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102007043053.3A DE102007043053B4 (en) 2007-09-11 2007-09-11 Signal-safe electronic element control for carrying out a driving operation of rail vehicles

Publications (2)

Publication Number Publication Date
EP2036800A2 true EP2036800A2 (en) 2009-03-18
EP2036800A3 EP2036800A3 (en) 2009-09-30

Family

ID=39956131

Family Applications (1)

Application Number Title Priority Date Filing Date
EP08011454A Withdrawn EP2036800A3 (en) 2007-09-11 2008-06-24 Electronic element control that is safe for signalling for carrying out drive operations for rail vehicles

Country Status (2)

Country Link
EP (1) EP2036800A3 (en)
DE (1) DE102007043053B4 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014001235A3 (en) * 2012-06-29 2014-06-19 Siemens Aktiengesellschaft Method and assembly for controlling a technical system
CN118170126A (en) * 2024-05-16 2024-06-11 唐山百川智能机器股份有限公司 Control system and method for full-automatic folding beacon bracket

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009033037A1 (en) 2009-07-02 2011-01-05 Deutsche Bahn Ag Method for data transmission of safety-relevant data from controller to process element over communication network, involves forming transaction number in controller from data to be transmitted by dynamic coding
DE102013223101A1 (en) * 2013-11-13 2015-05-13 Siemens Aktiengesellschaft Railway crossing safety system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10053023C1 (en) 2000-10-13 2002-09-05 Siemens Ag Method for controlling a safety-critical railway operating process and device for carrying out this method
DE19606894C2 (en) 1996-02-13 2003-01-23 Siemens Ag Device for the signal-safe control and monitoring of electrical consumers in the railway system
DE102005043305A1 (en) 2005-09-07 2007-03-15 Siemens Ag System architecture for controlling and monitoring components of a railway safety system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0473834B1 (en) * 1990-09-07 1994-06-22 Siemens Aktiengesellschaft Electronic interlocking control system, set up according to the local processor control principle
DE102005013194A1 (en) 2005-03-16 2006-09-21 Siemens Ag Workstation system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19606894C2 (en) 1996-02-13 2003-01-23 Siemens Ag Device for the signal-safe control and monitoring of electrical consumers in the railway system
DE10053023C1 (en) 2000-10-13 2002-09-05 Siemens Ag Method for controlling a safety-critical railway operating process and device for carrying out this method
DE102005043305A1 (en) 2005-09-07 2007-03-15 Siemens Ag System architecture for controlling and monitoring components of a railway safety system

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
"Die Bombardier-Lösung einer neuen ESTW-Bauform bei der DB AG", SIGNAL + DRAHT 5, 2005
"Sicherungs- und Telekommunikationstechnik", SIGNAL + DRAHT 3, 1997
"SIMIS D", SIGNAL + DRAHT 3, 2006
ANONYMOUS: "Systeme fur Signaltechnik", SCHEIDT UND BACHMAN, March 2006 (2006-03-01), pages 1 - 6, XP003024841
ANONYMOUS: "Systeme fur Signaltechnik", SCHEIDT UND BACHMAN, May 2007 (2007-05-01), pages 1 - 4, XP003024840
ANONYMOUS: "Systeme fur Signaltechnik", SCHEIDT UND BACHMAN, September 2005 (2005-09-01), pages 1 - 5, XP003024839
ANONYMOUS: "ZSB2000 SYSTEMBESCHREIBUNG LEIT-UND BEDIENSYSTEM", ZSB2000 SYSTEMBESCHREIBUNG LEIT-UND BEDIENSYSTEM, 28 September 2006 (2006-09-28), pages 1 - 27, XP003024842

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014001235A3 (en) * 2012-06-29 2014-06-19 Siemens Aktiengesellschaft Method and assembly for controlling a technical system
CN118170126A (en) * 2024-05-16 2024-06-11 唐山百川智能机器股份有限公司 Control system and method for full-automatic folding beacon bracket

Also Published As

Publication number Publication date
DE102007043053B4 (en) 2020-07-30
EP2036800A3 (en) 2009-09-30
DE102007043053A1 (en) 2009-03-12

Similar Documents

Publication Publication Date Title
EP1738382B2 (en) Safety switch for a fail-safe circuit
EP1738383B2 (en) Signaling device for a protective circuit
EP2720098B1 (en) Safety system for a plant comprising a test signal path with return path
EP2720094B1 (en) Safety system
DE102010025675B3 (en) Safety circuit arrangement for fail-safe switching on and off of a dangerous system
DE3706325C2 (en)
DE102004020995C5 (en) Signaling device for a safety circuit
EP1642179B1 (en) Device for automatically controlling a technical system operation
DE2817089A1 (en) HAZARD WARNING SYSTEM
EP2445771B1 (en) Method to create an electronic interlocking for replacing an existing interlocking
DE2951932C2 (en) Device for signaling safe control and monitoring
DE102009042368A1 (en) Control system for controlling safety-critical processes
EP0007579B1 (en) Circuit arrangement for monitoring the state of signalling systems, especially traffic light signalling systems
EP2691969A1 (en) Safety circuit assembly for switching a hazardous system on or off in a failsafe manner
DE102007043053B4 (en) Signal-safe electronic element control for carrying out a driving operation of rail vehicles
EP1672446B1 (en) Secure Input/Ouput assembly for a controller
EP3100121A1 (en) Method and apparatus for safely disconnecting an electrical load
EP1202313A1 (en) Device for safety engineering to supervise the switching position of mechanical contacts
EP2090492B1 (en) Method for realising a universal route securing technique with industrially available SPS components
EP2236389B1 (en) Method for settling error messages of a decentralised function unit in a securing system for rail-bound traffic
DE102009018140A1 (en) Safe switching device and modular fail-safe control system
DE19813389A1 (en) Safety control circuit e.g. for electrical relay
DE102006030911B3 (en) Relay unit for use in electrical or in electronic circuits, devices and components, has switching arrangement, consisting of two relay coils with separate contact sets per relay coil, fault indicator coil and additional working contact
DE102010038459A1 (en) Safety system, has safety module comprising system interface for direct contacting and communication with group protection unit, and load branch comprising another system interface for direct communication with safety module
DE3919558C2 (en)

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

TPAC Observations filed by third parties

Free format text: ORIGINAL CODE: EPIDOSNTIPA

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

AKX Designation fees paid
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20100331

REG Reference to a national code

Ref country code: DE

Ref legal event code: 8566