EP2849986A2 - Verfahren und anordnung zum steuern einer technischen anlage - Google Patents

Verfahren und anordnung zum steuern einer technischen anlage

Info

Publication number
EP2849986A2
EP2849986A2 EP13733994.1A EP13733994A EP2849986A2 EP 2849986 A2 EP2849986 A2 EP 2849986A2 EP 13733994 A EP13733994 A EP 13733994A EP 2849986 A2 EP2849986 A2 EP 2849986A2
Authority
EP
European Patent Office
Prior art keywords
computer
secure
operating
operator
technical system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP13733994.1A
Other languages
English (en)
French (fr)
Other versions
EP2849986B1 (de
Inventor
Thomas METSCHULAT
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP2849986A2 publication Critical patent/EP2849986A2/de
Application granted granted Critical
Publication of EP2849986B1 publication Critical patent/EP2849986B1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems

Definitions

  • the invention relates to an arrangement for controlling a technical installation, in particular a railway track system, the arrangement comprising an interlocking computer, which can initiate a changeover of the technical installation, and at least two operator station computers with which generated and can be transmitted to the interlocking computer.
  • an arbitrary operator station computer for example a standard PC
  • a given Si ⁇ cherheitshiel must not be achieved in most cases because the interlocking computers located between the workstation computer and the technical system may refuse dangerous operating actions.
  • security or safety-critical Be ⁇ serving commands to be generated with a workstation computer and a check should be suppressed by the interlocking computers or circumvented precautions must be taken to prevent a dangerous situation in the technical installation reliable.
  • the invention has for its object to provide an arrangement for controlling a technical system, which can be implemented inexpensively and yet ensures a high safety standard.
  • At least one operator station computer is safe from the operator station computers
  • Operating station computer is whose security level reaches a predetermined minimum standard, and at least one control ⁇ platzrechner an unsafe operating system computer, the security level below the predetermined minimum standard, the secure operator's computer with the interlocking ⁇ computer via a secure data connection, which ensures a predetermined transmission security connected is
  • the at least one insecure operating console computer is indirectly connected to the interlocking computer, namely on the safe operator's computer, and the operating commands of the insecure computer to the secure operator's computer and transmitted via this and the secure data connection to the interlocking computer.
  • the connection of the unsafe computers to the interlocking computer is not provided directly, but indirectly via at least one secure computer; This ensures that control commands into ⁇ particular those which are relevant to safety, can be transmitted exclu ⁇ Lich from a secure computer directly to the factory computer manipulated, however, not directly from an insecure computer. In this way it is possible to come from the insecure machine operating commands for plausibility and / or feasibility Prue ⁇ fen before they are forwarded to the interlocking computers for eventual implementation.
  • the inventive idea therefore consists in enabling the integration of insecure operator station computers by interposing secure operator computers.
  • the technical system descriptive record is stored centrally and the unsafe operating computer is programmed so that it generates user-specific display control signals using the stored in the si ⁇ cheren workstation computer record and a predetermined by the operator of the unsafe computer display mode, the operator to an individual display by Define the data record defined state of the technical system on a connected to the non-secure terminal computer display device. Due to the central storage of the
  • the safe operating ⁇ personal computer comprises at least two redundant operated Speicherbe ⁇ rich, in each of which the state of the technical ⁇ rule system descriptive data is stored.
  • a check of the data stored in the two redundant operated SpeI ⁇ cher Schemeen records on match is preferably performed by a compare block.
  • a comparison device is arranged between the secure and insecure workstation computer and the comparison module is configured such that it the information about the state of the technical installation descriptive data set in order Götra ⁇ supply to unsafe operating computer in each case from each of the reads out at least two redundantly operated memory areas and compares with each other and the read data to the insecure terminal computer only forwarded if they match, and otherwise blocked forwarding.
  • the comparison module is preferably a separate compo ⁇ nent implemented in any of the workstation computer.
  • the comparison block can also be integrated in the secure operator station computer.
  • the secure operator ⁇ place computer comprises at least two redundantly operating computer units that at least two redundant working
  • Computer units of the secure operator workstation after receiving a security-related operating command of the insecure operating system computer each send a confirmation request to the non-secure operator workstation, via the comparison block, and the comparison block is configured such that it the confirmation prompts of at least two redundantly operating computer units of si ⁇ chere operator workstation together compares and forwards to the insecure console computer only if they match, and otherwise blocks a forwarding.
  • the requirement of the confirmation prompts ensures that the comparison module can check and intervene in the activity of the two redundantly operating computer units if it can be seen from the confirmation requests of the two redundantly operating computer units that they produce mutually differing results.
  • the comparison block also monitors the interface between the interlocking computer and the secure operator's computer. Accordingly, it is considered advantageous if the comparison block control signals that would cause a change of the technical system, the at least two redundant working computer units of the secure operator's computer compares with each other and to the interlocking computer only then forward or forward if they match, and otherwise block forwarding.
  • the invention also relates to a method for controlling a technical system, in particular a railroad track system, wherein Be ⁇ dienbetatione generated with an operator station and transmitted to a communicating with the technical system interlocking computer and causes the interlocking computer to change the technical system becomes.
  • the operating commands are generated with an insecure operating station computer whose security level falls below a predetermined minimum standard and transmitted to the interlocking computer via a secure operator station computer whose security level reaches the predetermined minimum standard.
  • the data record describing the state of the technical system is stored redundantly in at least two memory areas and data of the data record describing the state of the technical system are read from each of the at least two memory areas for transmission to the insecure operating computer are compared with each other and the read-out data are forwarded to the non-secure terminal computer only if they match, and otherwise a forwarding is blocked.
  • Figure 3 shows a second embodiment of an arrangement according OF INVENTION ⁇ dung and
  • Figure 4 shows a third embodiment of an arrangement according OF INVENTION ⁇ dung, in which aletssbau- stone is integrated into a secure workstation computer.
  • FIG. 1 an arrangement 10 for controlling a technical system 20, which is, for example, at a railway track can act.
  • the arrangement 10 comprises an interlocking computer 25, a safe operator station computer 30 and two insecure operator station computers 40 and 50.
  • the three operator station computers 30, 40 and 50 are each connected to a display device 60, 70 and 80, respectively.
  • the two insecure operating station computers 40 and 50 are connected via a comparison block 90 with the secure operator station computer 30 in conjunction; An indirect connection between the two insecure operating station computers 40 and 50 and the interlocking computer 25 is possible via the comparison module 90.
  • FIG. 1 shows, by way of example, the structure of the secure operating computer 30 in more detail. It can be seen two SpeI ⁇ cher Schemee 100 and 110 which are intended for storing a state of the technical installation 20 descriptive data set DS. The data record DS is thus stored twice or redundantly in the secure operator station computer 30, both in the memory area 100 and in the memory area 110.
  • the secure operator station computer 30 has two redundantly operating computer units 120 and 130, which are in communication with the comparison module 90.
  • the two computer units 120 and 130 may be formed by physically separate processors or processor devices; Alternatively, it is possible to map or simulate the two computer units 120 and 130 merely by software and to realize them by separate software modules running on one and the same processor device.
  • a display software module ASM is provided in the safe operator station computer 30 as well as in the two non-secure operator computer computers 40 and 50, which makes it possible to display the status of the technical system 20 on the respective downstream display device 60, 70 or 80.
  • the display ⁇ software module ASM the secure operator position computer 30 is stored in egg ⁇ nem separate memory area 140;
  • the display software module ASM may also be stored in the memory area 100 or the memory area 110.
  • the display software module ASM of the secure operator computer 30 can be executed, for example, by a separate computer unit 150, as indicated in FIG.
  • the display software module ASM of the secure operating computer 30 can also be executed by one of the two computer units 120 or 130 or redundantly by both computer units 120 and 130.
  • the three memory areas 100, 110 and 140 of the secure operator station computer 30 shown in FIG. 1 can be located in physically separate memories; alternatively they can also be located in sections of the same physical memory.
  • an operator can input an operating signal BS3 to the insecure operating station computer 50 with which the display software module ASM is given or described a user-specific representation of the state of the technical system 20.
  • the display software module ASM evaluates the control signal BS3, and the output side generates a user individual itatisteu ⁇ ersignal AS3 with which the display device 80 is driven and displayed the state of the technical installation 20 according to the pre ⁇ gave the operator. For example, with the operating signal BS3 the zoom factor or the Pointing device 80 shown user-individually changed.
  • the input of the operating signal BS3 into the display software module ASM can take place via a preprocessing software module (not shown), for example in text form.
  • a preprocessing software module (not shown), for example in text form.
  • An example of such a text form may be, for example:
  • mouseEvent magnifying glass, magnifying glass, MouseButtonRelease, LeftButton, 441, 588) (16) "
  • the data D originate from the data set DS, which is stored in a redundant manner in the two memory areas 100 and 110 of the secure operator station computer 30.
  • the comparison module 90 For identity.
  • the data D describing the state of the technical system can be transmitted, for example, in text form.
  • the following data for example, has to be transferred:
  • comparison block 90 With the aid of the comparison block 90, it is thus ensured that only data which corresponds to the actual current state of the technical installation 20 are displayed on the display device 80.
  • the state of the technical system 20 can be displayed on the display devices 60 and 70 by inputting corresponding operating signals BS1 or BS2 into the secure operator station computer 30 or the insecure operator station computer 40 and generating corresponding display control signals AS1 and AS2.
  • Both operator stations ⁇ computers 30 and 40 are each equipped with a display software module ASM, which evaluates the respective applied control signal BS1 or BS2 and based on the operator side ge ⁇ desired representation of the state of the technical Anla ⁇ ge 20 on the respective display device 60 or 70th indicates.
  • the same data sets DS are always used, which are also utilized by the operator station computer 50 as described above; with others Words are the records DS containing the data D on the stand to ⁇ the technical facility 20, only stored and managed centrally and serving space computer from a central point to the display software modules ASM the respective loading 30, transmitted 40 and 50th
  • the data D which are ⁇ shown differ from the display software modules ASM the workstation computer 30 or workstation computer 40 are also checked by the comparison module 90 is correct, as has already been described in connection with the work station computer 50 above.
  • the comparison module 90 when reading the data D from the two memory areas 100 and 110, the data is checked for identity and only if the data D from the two Memory areas 100 and 110, a transfer of data to the respective display software modules ASM will make.
  • Figure 2 shows an example of the operation of the Anord ⁇ voltage 10 according to Figure 1 when a safety-relevant operating command BB is generated using one of the two Unsi ⁇ Cheren operator position computer 40 and 50, to the effected a conversion of the industrial plant 20 by the interlocking computer 25 ,
  • the two computer units 120 and 130 evaluate the operating command and generate a confirmation request BSA and send it via the comparison module 90 to the insecure operating console computer 50.
  • the comparison block 90 is in this case of the two computer units 120 and 130 check the confirmation prompts BSA to identity or content Convention Stim ⁇ mung back and only when the two confirmation prompts BSA match, a forward each tung to the uncertain operator position computer 50 make.
  • the comparison block 90 becomes a Prevent forwarding. In this way, it is ensured that the execution of a safety-relevant operating command BB can only take place if the two computer units 120 and 130 understand the security-relevant operating command BB in the same way and acknowledge with the same confirmation prompts BSA.
  • the two computer units will carry out a conversion of the safety-relevant control command BB and 120 and 130 generate a control signal STB, which is transmitted to the interlocking computers 25th With the control signal STB to the railway control computer 25 is informed that the technical system is to be 20 ⁇ vice is. The conversion of the technical system 20 is then made by the interlocking computer 25.
  • the data transmission of the control signal STB from the secure operating terminal computer 30 to the interlocking computer 25 takes place via a secure data connection 200 in order to avoid a falsification of the command.
  • the comparison module 90th Preferably upstream of the comparison module 90 will block the generation or transmission of the control signal STB on the safe movement of such data ⁇ connection 200 when the two computer units 120 and 130 provide different results and different control signals STB.
  • FIG. 3 shows a second embodiment of an arrangement 10 for controlling a technical system 20.
  • two display devices 60 and 61 are connected, which are each controlled by an associated adosrsoftwaremodul ASM.
  • At the two ⁇ show software modules ASM can be stored in the memory area 100 and / or the storage area 110 or in individual storage areas.
  • the two display software module ASM are stored respectively in individual storage ⁇ areas 140 and 141 and are executed 150 and 151 of Rechnerein- units.
  • the data D from the two memory areas 100 and 110 are not transmitted directly to the display software modules ASM, but only indirectly via the comparison block 90. Only if the data D from the two memory areas 100 and 110 match, the comparison block 90 will forward the data D to the two display software module ASM in the secure terminal computer 30, so that only then a display the two display devices 60 and 61 can be done.
  • the mode of operation of the arrangement 10 according to FIG. 3 thus corresponds to the arrangement 10 according to FIG. 1, so that reference is made to the above statements.
  • FIG. 4 shows a third exemplary embodiment of an arrangement 10 for controlling a technical installation 20.
  • the arrangement 10 according to FIG. 4 essentially corresponds to the exemplary embodiment according to FIG. 3, with the difference that the comparison building block 90 is not a separate component but instead in the safe one Operator station computer 30 is integrated.
  • the comparison module 90 can be implemented in the form of a software module that is from one of the two computer units
  • comparison ⁇ block 90 may be formed by a separate hardware component, which is provided in the secure operator station computer 30.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung bezieht sich auf eine Anordnung (10) zum Steuern einer technischen Anlage (20), insbesondere einer Eisenbahngleisanlage, wobei die Anordnung (10) einen Stellwerksrechner (25), der ein Umstellen der technischen Anlage (20) veranlassen kann, und mindestens zwei Bedienplatzrechner (30, 40, 50) umfasst, mit denen Bedienbefehle (BB) erzeugt und zu dem Stellwerksrechner (25) übermittelt werden können. Erfindungsgemäß ist vorgesehen, dass von den Bedienplatzrechnern (30, 40, 50) zumindest ein Bedienplatzrechner (30) ein sicherer Bedienplatzrechner (30) ist, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard erreicht, und zumindest ein Bedienplatzrechner (40, 50) ein unsicherer Bedienplatzrechner (40, 50) ist, dessen Sicherheitsniveau den vorgegebenen Mindeststandard unterschreitet, der sichere Bedienplatzrechner (30) mit dem Stellwerksrechner (25) über eine sichere Datenverbindung (200), die eine vorgegebene Übertragungssicherheit gewährleistet, verbunden ist, und der zumindest eine unsichere Bedienplatzrechner (40, 50) mittelbar mit dem Stellwerksrechner (25) verbunden ist, nämlich über den sicheren Bedienplatzrechner (30), und die Bedienbefehle (BB) des unsicheren Bedienplatzrechners (40, 50) zu dem sicheren Bedienplatzrechner (30) und über diesen und die sichere Datenverbindung (200) zu dem Stellwerksrechner (25) übermittelt werden.

Description

Beschreibung
Verfahren und Anordnung zum Steuern einer technischen Anlage Die Erfindung bezieht sich auf eine Anordnung zum Steuern einer technischen Anlage, insbesondere einer Eisenbahngleisanlage, wobei die Anordnung einen Stellwerksrechner, der ein Umstellen der technischen Anlage veranlassen kann, und mindestens zwei Bedienplatzrechner umfasst, mit denen Bedienbe- fehle erzeugt und zu dem Stellwerksrechner übermittelt werden können .
Zur Steuerung einer technischen Anlage, insbesondere einer Eisenbahngleisanlage, ist für sicherheitsunkritische Regelbe- dienungen prinzipiell ein beliebiger Bedienplatzrechner, beispielsweise ein Standard-PC, einsetzbar; ein vorgegebenes Si¬ cherheitsniveau muss in aller Regel nicht erreicht werden, da der zwischen dem Bedienplatzrechner und der technischen Anlage befindliche Stellwerksrechner gefährliche Bedienhandlungen ablehnen kann. Für den Fall, dass mit einem Bedienplatzrechner auch sicherheitsrelevante oder sicherheitskritische Be¬ dienbefehle erzeugt werden sollen und eine Kontrolle durch den Stellwerksrechner unterdrückt oder umgangen werden soll, sind Vorkehrungen zu treffen, die eine Gefahrensituation in der technischen Anlage zuverlässig verhindern.
Der Erfindung liegt die Aufgabe zugrunde, eine Anordnung zum Steuern einer technischen Anlage anzugeben, die sich kostengünstig realisieren lässt und dennoch einen hohen Sicher- heitsstandard gewährleistet.
Diese Aufgabe wird erfindungsgemäß durch eine Anordnung mit den Merkmalen gemäß Patentanspruch 1 gelöst. Vorteilhafte Ausgestaltungen der erfindungsgemäßen Anordnung sind in Un- teransprüchen angegeben.
Danach ist erfindungsgemäß vorgesehen, dass von den Bedienplatzrechnern zumindest ein Bedienplatzrechner ein sicherer Bedienplatzrechner ist, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard erreicht, und zumindest ein Bedien¬ platzrechner ein unsicherer Bedienplatzrechner ist, dessen Sicherheitsniveau den vorgegebenen Mindeststandard unter- schreitet, der sichere Bedienplatzrechner mit dem Stellwerks¬ rechner über eine sichere Datenverbindung, die eine vorgegebene Übertragungssicherheit gewährleistet, verbunden ist, und der zumindest eine unsichere Bedienplatzrechner mittelbar mit dem Stellwerksrechner verbunden ist, nämlich über den siche- ren Bedienplatzrechner, und die Bedienbefehle des unsicheren Rechners zu dem sicheren Bedienplatzrechner und über diesen und die sichere Datenverbindung zu dem Stellwerksrechner übermittelt werden. Ein wesentlicher Vorteil der erfindungsgemäßen Anordnung besteht darin, dass bei dieser unsichere Rechner auch zur Erzeugung sicherheitsrelevanter Befehle verwendet werden können. Um ein ausreichendes Sicherheitsniveau zu erreichen, ist nämlich erfindungsgemäß vorgesehen, die Anbindung der unsi- cheren Rechner an den Stellwerksrechner nicht unmittelbar vorzusehen, sondern mittelbar über zumindest einen sicheren Rechner; dadurch wird gewährleistet, dass Bedienbefehle, ins¬ besondere solche, die sicherheitsrelevant sind, ausschlie߬ lich von einem sicheren Rechner unmittelbar an den Stell- werksrechner übermittelt werden können, nicht hingegen unmittelbar von einem unsicheren Rechner. In dieser Weise ist es möglich, die von dem unsicheren Rechner kommenden Bedienbefehle auf Plausibilität und/oder auf Ausführbarkeit zu prü¬ fen, bevor sie an den Stellwerksrechner zur schlussendlichen Umsetzung weitergeleitet werden. Zusammengefasst besteht der erfinderische Gedanke also darin, die Einbindung unsicherer Bedienplatzrechner zu ermöglichen, indem sichere Bedienrechner zwischengeschaltet werden. Um sicherzustellen, dass alle Bedienplatzrechner stets auf dieselben Daten, die den Zustand der technischen Anlage anzeigen, zugreifen, wird es als vorteilhaft angesehen, wenn in dem oder einem der sicheren Bedienplatzrechner ein den Zu- stand der technischen Anlage beschreibender Datensatz zentral gespeichert ist und der unsichere Bedienplatzrechner derart programmiert ist, dass er unter Heranziehung des in dem si¬ cheren Bedienplatzrechner gespeicherten Datensatzes und einer vom Bediener des unsicheren Rechners vorgegebenen Darstellungsweise bedienerindividuelle Anzeigesteuersignale erzeugt, die zu einer bedienerindividuellen Anzeige des durch den Datensatz definierten Zustands der technischen Anlage auf einer mit dem unsicheren Bedienplatzrechner verbundenen Anzeigeein- richtung führen. Aufgrund der zentralen Speicherung des den
Zustand der technischen Anlage beschreibenden Datensatzes ist sichergestellt, dass stets alle Bedienplatzrechner und alle mit den Bedienplatzrechnern verbundenen Anzeigeeinrichtungen stets denselben Datenstand berücksichtigen. Die Richtigkeit der Daten wird dadurch gewährleistet, dass diese in dem si¬ cheren Rechner verwaltet und aktualisiert werden.
Um sicherzustellen, dass die zentrale Speicherung des Datensatzes in dem sicheren Bedienplatzrechner fehlerfrei erfolgt, wird es als vorteilhaft angesehen, wenn der sichere Bedien¬ platzrechner zumindest zwei redundant betriebene Speicherbe¬ reiche umfasst, in denen jeweils der den Zustand der techni¬ schen Anlage beschreibende Datensatz gespeichert ist. Eine Kontrolle der in den zwei redundant betriebenen Spei¬ cherbereichen abgespeicherten Datensätze auf Übereinstimmung wird vorzugsweise von einem Vergleichsbaustein durchgeführt. Demgemäß wird es als vorteilhaft angesehen, wenn zwischen dem sicheren und dem unsicheren Bedienplatzrechner ein Ver- gleichsbaustein angeordnet ist und der Vergleichsbaustein derart ausgestaltet ist, dass er Daten des den Zustand der technischen Anlage beschreibenden Datensatzes zwecks Übertra¬ gung zum unsicheren Bedienrechner jeweils aus jedem der zumindest zwei redundant betriebenen Speicherbereiche ausliest und miteinander vergleicht und die ausgelesenen Daten an den unsicheren Bedienplatzrechner lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert . Der Vergleichsbaustein ist vorzugsweise eine separate Kompo¬ nente, die in keinem der Bedienplatzrechner implementiert ist. Alternativ kann der Vergleichsbaustein auch in dem si- cheren Bedienplatzrechner integriert sein.
Bezüglich der Ausgestaltung des sicheren Bedienplatzrechners wird es als vorteilhaft angesehen, wenn der sichere Bedien¬ platzrechner zumindest zwei redundant arbeitende Rechnerein- heiten umfasst, die zumindest zwei redundant arbeitenden
Rechnereinheiten des sicheren Bedienplatzrechners nach Erhalt eines sicherheitsrelevanten Bedienbefehls des unsicheren Bedienplatzrechners jeweils eine Bestätigungsaufforderung an den unsicheren Bedienplatzrechner übersenden, und zwar über den Vergleichsbaustein, und der Vergleichsbaustein derart ausgestaltet ist, dass er die Bestätigungsaufforderungen der zumindest zwei redundant arbeitenden Rechnereinheiten des si¬ cheren Bedienplatzrechners miteinander vergleicht und an den unsicheren Bedienplatzrechner lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert. Durch das Erfordernis der Bestätigungsaufforderungen wird erreicht, dass der Vergleichsbaustein die Tätigkeit der zwei redundant arbeitenden Rechnereinheiten überprüfen und eingreifen kann, wenn sich anhand der Bestätigungsauffor- derungen der zwei redundant arbeitenden Rechnereinheiten erkennen lässt, dass diese voneinander abweichende Ergebnisse produzieren .
Mit Blick auf eine Kontrolle der Arbeitsweise der redundant arbeitenden Rechnereinheiten des sicheren Bedienplatzrechners wird es darüber hinaus als vorteilhaft angesehen, wenn der Vergleichsbaustein auch die Schnittstelle zwischen dem Stellwerksrechner und dem sicheren Bedienplatzrechner überwacht. Demgemäß wird es als vorteilhaft angesehen, wenn der Ver- gleichsbaustein Steuersignale, die ein Umstellen der technischen Anlage bewirken würden, der zumindest zwei redundant arbeitenden Rechnereinheiten des sicheren Bedienplatzrechners miteinander vergleicht und an den Stellwerksrechner lediglich dann weiterleitet oder weiterleiten lässt, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.
Die Erfindung bezieht sich darüber hinaus auf ein Verfahren zum Steuern einer technischen Anlage, insbesondere einer Eisenbahngleisanlage, wobei mit einem Bedienplatzrechner Be¬ dienbefehle erzeugt und zu einem mit der technischen Anlage in Verbindung stehenden Stellwerksrechner übermittelt werden und mit dem Stellwerksrechner ein Umstellen der technischen Anlage veranlasst wird.
Erfindungsgemäß ist es vorgesehen, dass die Bedienbefehle mit einem unsicheren Bedienplatzrechner, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard unterschreitet, erzeugt und über einen sicheren Bedienplatzrechner, dessen Sicherheitsniveau den vorgegebenen Mindeststandard erreicht, zu dem Stellwerksrechner übermittelt werden.
Bezüglich der Vorteile des erfindungsgemäßen Verfahrens sei auf die obigen Ausführungen im Zusammenhang mit der erfindungsgemäßen Anordnung verwiesen, da die Vorteile der erfindungsgemäßen Anordnung denen des erfindungsgemäßen Verfahrens im Wesentlichen entsprechen. Als vorteilhaft wird es angesehen, wenn in dem sicheren Bedienplatzrechner ein den Zustand der technischen Anlage beschreibender Datensatz zentral gespeichert wird, mit dem unsicheren Bedienplatzrechner unter Heranziehung des in dem sicheren Bedienplatzrechner gespeicherten Datensatzes und einer vom Bediener des unsicheren Rechners vorgegebenen Darstellungsweise bedienerindividuelle Anzeigesteuersignale, die zu einer bedienerindividuellen Anzeige des durch den Datensatz definierten Zustands der technischen Anlage führen, erzeugt werden und die Anzeigesteuersignale auf einer mit dem unsi- cheren Bedienplatzrechner verbundenen Anzeigeeinrichtung angezeigt werden. Darüber hinaus wird es als vorteilhaft angesehen, wenn der den Zustand der technischen Anlage beschreibende Datensatz redundant in zumindest zwei Speicherbereichen gespeichert wird und Daten des den Zustand der technischen Anlage be- schreibenden Datensatzes zwecks Übertragung zum unsicheren Bedienrechner jeweils aus jedem der zumindest zwei Speicherbereiche ausgelesen und miteinander verglichen werden und die ausgelesenen Daten an den unsicheren Bedienplatzrechner lediglich dann weitergeleitet werden, wenn diese übereinstim- men, und andernfalls eine Weiterleitung blockiert wird.
Die Erfindung wird nachfolgend anhand von Ausführungsbeispie¬ len näher erläutert; dabei zeigen beispielhaft Figur 1 ein erstes Ausführungsbeispiel für eine Anordnung zum Steuern einer technischen Anlage, wobei anhand der Anordnung auch das erfindungsgemäße Ver¬ fahren beispielhaft erläutert wird, Figur 2 die Arbeitsweise der Anordnung gemäß Figur 1 im
Falle eines an einem unsicheren Bedienplatzrechner eingegebenen sicherheitsrelevanten Bedienbefehls, Figur 3 ein zweites Ausführungsbeispiel für eine erfin¬ dungsgemäße Anordnung und
Figur 4 ein drittes Ausführungsbeispiel für eine erfin¬ dungsgemäße Anordnung, bei der ein Vergleichsbau- stein in einem sicheren Bedienplatzrechner integriert ist.
In den Figuren werden der Übersicht halber für identische oder vergleichbare Komponenten stets dieselben Bezugszeichen verwendet .
In der Figur 1 erkennt man eine Anordnung 10 zum Steuern einer technischen Anlage 20, bei der es sich beispielsweise um eine Eisenbahngleisanlage handeln kann. Die Anordnung 10 um- fasst einen Stellwerksrechner 25, einen sicheren Bedienplatzrechner 30 sowie zwei unsichere Bedienplatzrechner 40 und 50. Mit den drei Bedienplatzrechnern 30, 40 und 50 steht jeweils eine Anzeigeeinrichtung 60, 70 bzw. 80 in Verbindung.
Die beiden unsicheren Bedienplatzrechner 40 und 50 stehen über einen Vergleichsbaustein 90 mit dem sicheren Bedienplatzrechner 30 in Verbindung; über den Vergleichsbaustein 90 ist eine mittelbare Verbindung zwischen den beiden unsicheren Bedienplatzrechnern 40 und 50 und dem Stellwerksrechner 25 möglich .
Die Figur 1 zeigt beispielhaft den Aufbau des sicheren Be- dienplatzrechners 30 näher im Detail. Man erkennt zwei Spei¬ cherbereiche 100 und 110, die zum Speichern eines den Zustand der technischen Anlage 20 beschreibenden Datensatzes DS bestimmt sind. Der Datensatz DS ist in dem sicheren Bedienplatzrechner 30 also zweimal bzw. redundant abgespeichert, und zwar sowohl in dem Speicherbereich 100 als auch in dem Speicherbereich 110.
Darüber hinaus weist der sichere Bedienplatzrechner 30 zwei redundant arbeitende Rechnereinheiten 120 und 130 auf, die mit dem Vergleichsbaustein 90 in Verbindung stehen.
Die beiden Rechnereinheiten 120 und 130 können durch physikalisch separate Prozessoren bzw. Prozessoreinrichtungen gebildet sein; alternativ ist es möglich, die beiden Rechnerein- heiten 120 und 130 lediglich softwaremäßig abzubilden bzw. nachzubilden und durch auf ein und derselben Prozessoreinrichtung laufende separate Softwaremodule zu realisieren.
In dem sicheren Bedienplatzrechner 30 sowie in den beiden un- sicheren Bedienplatzrechnern 40 und 50 ist jeweils ein Anzeigesoftwaremodul ASM vorgesehen, das eine Anzeige des Zustands der technischen Anlage 20 auf der jeweils nachgeordneten Anzeigeeinrichtung 60, 70 oder 80 ermöglicht. Bei dem Ausführungsbeispiel gemäß Figur 1 ist das Anzeige¬ softwaremodul ASM des sicheren Bedienplatzrechners 30 in ei¬ nem separaten Speicherbereich 140 gespeichert; alternativ kann das Anzeigesoftwaremodul ASM auch in dem Speicherbereich 100 oder dem Speicherbereich 110 gespeichert sein.
Das Anzeigesoftwaremodul ASM des sicheren Bedienplatzrechners 30 kann beispielsweise von einer separaten Rechnereinheit 150 ausgeführt werden, wie dies in der Figur 1 angedeutet ist.
Alternativ kann das Anzeigesoftwaremodul ASM des sicheren Be- dienplatzrechners 30 auch durch eine der beiden Rechnereinheiten 120 oder 130 oder redundant durch beide Rechnereinhei¬ ten 120 und 130 ausgeführt werden.
Die in der Figur 1 dargestellten drei Speicherbereiche 100, 110 und 140 des sicheren Bedienplatzrechners 30 können in physikalisch separaten Speichern angesiedelt sein; alternativ können sie sich auch in Abschnitten ein und desselben physi- kaiischen Speichers befinden.
Im Folgenden soll die Arbeitsweise der Anordnung 10 gemäß Fi¬ gur 1 mit Blick auf die Anzeige des Zustands der technischen Anlage 20 beispielhaft näher erläutert werden.
Soll beispielsweise der Zustand der technischen Anlage 20 auf der Anzeigeeinrichtung 80 angezeigt werden, so kann eine Bedienperson an dem unsicheren Bedienplatzrechner 50 ein Bediensignal BS3 eingeben, mit dem dem Anzeigesoftwaremodul ASM eine benutzerindividuelle Darstellungsweise des Zustands der technischen Anlage 20 vorgegeben bzw. beschrieben wird. Das Anzeigesoftwaremodul ASM wertet das Bediensignal BS3 aus und erzeugt ausgangsseitig ein bedienerindividuelles Anzeigesteu¬ ersignal AS3, mit dem die Anzeigeeinrichtung 80 angesteuert wird und der Zustand der technischen Anlage 20 gemäß den Vor¬ gaben der Bedienperson angezeigt wird. Beispielsweise kann mit dem Bediensignal BS3 der Zoomfaktor oder der auf der An- Zeigeeinrichtung 80 gezeigte Ausschnitt benutzerindividuell verändert werden.
Die Eingabe des Bediensignals BS3 in das Anzeigesoftwaremodul ASM kann über ein nicht gezeigtes Vorverarbeitungssoftwaremo- dul erfolgen, beispielsweise in Textform. Ein Beispiel für eine solche Textform kann beispielsweise lauten:
"acknowledge (success, "setDynamicObj ectLengthOn- Path (TrainOl, 15) ") ()
acknowledge ( success , "setAttribute (TrainOl, z, 10) ") ()
acknowledge (success, "proceduralGraphicObj ectCom- mand (TrainOl,
setLineThickness, 9)") ()
acknowledge (success, "proceduralGraphicObj ectCom- mand (TrainOl, setTextureType,
SHADED_TWO_COLORS_ARROW, 255, 255, 255, 255, 255, 0, 0 , 0 ) " ) ( )
leaveMouseOver (Lupe, Lupenbild) (16)
enterMouseOver (Lupe, Lupenbild) (15)
leaveMouseOver (Lupe, Lupenbild) (15)
enterMouseOver (Lupe, Lupenbild) (16)
mouseEvent (Lupe, Lupenbild, MouseButtonPress , Left- Button, 441, 588) (16)
mouseEvent (Lupe, Lupenbild, MouseButtonRelease, Left- Button, 441, 588) (16) "
Die Daten D, mit denen der Zustand der technischen Anlage 20 beschrieben wird, stammen dabei aus dem Datensatz DS, der in redundanter Weise in den beiden Speicherbereichen 100 und 110 des sicheren Bedienplatzrechners 30 abgespeichert ist. Um si¬ cherzustellen, dass die Daten D tatsächlich den richtigen aktuellen Zustand der technischen Anlage 20 beschreiben, werden die Daten D aus den beiden Speicherbereichen 100 und 110 vom Vergleichsbaustein 90 auf Identität überprüft. Um diese Über¬ prüfung zu ermöglichen, wird der Vergleichsbaustein 90 die Daten D, die aus den beiden Datensätzen DS der beiden Spei- cherbereiche 100 und 110 kommen, zunächst vergleichen und ausschließlich dann an das Anzeigesoftwaremodul ASM des unsi¬ cheren Bedienplatzrechners 50 weiterleiten, wenn die Daten D identisch sind.
Die den Zustand der technischen Anlage beschreibenden Daten D können beispielsweise in Textform übertragen werden. Zur Definition eines Zuges auf einem Streckenabschnitt der techni¬ schen Anlage 20 können beispielsweise folgende Daten übertra- gen werden:
"createProceduralGraphicObject ( cTARGET_WIDGET , TrainOl, AnimatedMovingObj ect )
setDynamicObj ectLengthOnPath (TrainOl, 15)
setAttribute (TrainOl, z, 10)"
Mit Hilfe des Vergleichsbausteins 90 ist somit sicherge¬ stellt, dass auf der Anzeigeeinrichtung 80 ausschließlich Daten angezeigt werden, die dem tatsächlichen aktuellen Zustand der technischen Anlage 20 entsprechen.
In entsprechender Weise kann der Zustand der technischen Anlage 20 auf den Anzeigeeinrichtungen 60 und 70 angezeigt werden, indem entsprechende Bediensignale BS1 oder BS2 in den sicheren Bedienplatzrechner 30 bzw. den unsicheren Bedienplatzrechner 40 eingegeben werden und entsprechende Anzeigesteuersignale AS1 und AS2 erzeugt werden. Beide Bedienplatz¬ rechner 30 und 40 sind jeweils mit einem Anzeigesoftwaremodul ASM ausgestattet, das das jeweils anliegende Bediensignal BS1 bzw. BS2 auswertet und auf der Basis der bedienerseitig ge¬ wünschten Darstellungsweise den Zustand der technischen Anla¬ ge 20 auf der jeweiligen Anzeigeeinrichtung 60 oder 70 anzeigt . Auch bei den Anzeigesoftwaremodulen ASM der beiden Bedienplatzrechner 30 und 40 wird dabei stets auf dieselben Datensätze DS zurückgegriffen, die auch von dem Bedienplatzrechner 50 - wie oben beschrieben - verwertet werden; mit anderen Worten werden die Datensätze DS, die die Daten D über den Zu¬ stand der technischen Anlage 20 enthalten, ausschließlich zentral gespeichert und verwaltet und von einem zentralen Punkt aus an die Anzeigesoftwaremodule ASM der jeweiligen Be- dienplatzrechner 30, 40 und 50 übermittelt.
Die Daten D, die von den Anzeigesoftwaremodulen ASM des Bedienplatzrechners 30 oder des Bedienplatzrechners 40 ange¬ zeigt werden, werden von dem Vergleichsbaustein 90 ebenfalls auf Korrektheit überprüft, wie dies im Zusammenhang mit dem Bedienplatzrechner 50 oben bereits beschrieben worden ist. Dies bedeutet, dass auch bei den Anzeigesoftwaremodulen ASM der beiden Bedienplatzrechner 30 und 40 der Vergleichsbaustein 90 beim Auslesen der Daten D aus den beiden Speicherbe- reichen 100 und 110 eine Überprüfung der Daten auf Identität vornimmt und lediglich dann, wenn die Daten D aus den beiden Speicherbereichen 100 und 110 übereinstimmen, eine Weiterleitung der Daten an die jeweiligen Anzeigesoftwaremodule ASM vornehmen wird.
Die Figur 2 zeigt beispielhaft die Funktionsweise der Anord¬ nung 10 gemäß Figur 1, wenn mit Hilfe eines der beiden unsi¬ cheren Bedienplatzrechner 40 und 50 ein sicherheitsrelevanter Bedienbefehl BB erzeugt wird, mit dem eine Umstellung der technischen Anlage 20 durch den Stellwerksrechner 25 erfolgen soll. Nach Erhalt des sicherheitsrelevanten Bedienbefehls BB werden die beiden Rechnereinheiten 120 und 130 den Bedienbefehl auswerten und eine Bestätigungsaufforderung BSA erzeugen und über den Vergleichsbaustein 90 an den unsicheren Bedien- platzrechner 50 senden. Der Vergleichsbaustein 90 wird dabei die Bestätigungsaufforderungen BSA der beiden Rechnereinheiten 120 und 130 auf Identität bzw. inhaltliche Übereinstim¬ mung hin überprüfen und lediglich dann, wenn die beiden Bestätigungsaufforderungen BSA übereinstimmen, eine Weiterlei- tung an den unsicheren Bedienplatzrechner 50 vornehmen.
Andernfalls, wenn die beiden Bestätigungsaufforderungen BSA unterschiedlich sind, wird der Vergleichsbaustein 90 eine Weiterleitung unterbinden. In dieser Weise wird sichergestellt, dass die Abarbeitung eines sicherheitsrelevanten Bedienbefehls BB nur dann erfolgen kann, wenn die beiden Rechnereinheiten 120 und 130 den sicherheitsrelevanten Bedienbe- fehl BB in gleicher Weise verstehen und mit gleichen Bestätigungsaufforderungen BSA quittieren.
Sobald der unsichere Bedienplatzrechner 50 die Bestätigungs¬ aufforderung BSA erhalten und mittels eines bedienerinitiier- ten Bestätigungssignals BSS inhaltlich bestätigt hat, werden die beiden Rechnereinheiten 120 und 130 eine Umsetzung des sicherheitsrelevanten Bedienbefehls BB vornehmen und ein Steuersignal STB erzeugen, das zum Stellwerksrechner 25 übermittelt wird. Mit dem Steuersignal STB wird dem Stellwerks- rechner 25 mitgeteilt, dass die technische Anlage 20 umge¬ stellt werden soll. Die Umstellung der technischen Anlage 20 wird dann vom Stellwerksrechner 25 vorgenommen.
Die Datenübertragung des Steuersignals STB vom sicheren Be- dienplatzrechner 30 zum Stellwerksrechner 25 erfolgt über eine sichere Datenverbindung 200, um eine Verfälschung des Befehls zu vermeiden.
Um sicherzugehen, dass die beiden Rechnereinheiten 120 und 130 den sicherheitsrelevanten Bedienbefehl BB des Bedienplatzrechners 50 richtig umsetzen und ein korrektes Steuer¬ signal STB für den Stellwerksrechner 25 erzeugen, kann eine Kontrolle der Arbeitsergebnisse der beiden Rechnereinheiten 120 und 130 durch den Vergleichsbaustein 90 erfolgen. Vor- zugsweise wird der Vergleichsbaustein 90 die Erzeugung bzw. Weitergabe des Steuersignals STB über die sichere Datenver¬ bindung 200 blockieren, wenn die beiden Rechnereinheiten 120 und 130 unterschiedliche Ergebnisse und unterschiedliche Steuersignale STB liefern.
Die Figur 3 zeigt ein zweites Ausführungsbeispiel für eine Anordnung 10 zum Steuern einer technischen Anlage 20. Im Unterschied zu dem Ausführungsbeispiel gemäß Figur 1 sind an dem sicheren Bedienplatzrechner 30 zwei Anzeigeeinrichtungen 60 und 61 angeschlossen, die jeweils von einem zugeordneten Anzeigersoftwaremodul ASM angesteuert werden. Die beiden An¬ zeigesoftwaremodule ASM können in dem Speicherbereich 100 und/oder dem Speicherbereich 110 oder auch in individuellen Speicherbereichen abgespeichert sein. Bei dem Ausführungsbei¬ spiel gemäß Figur 3 wird davon ausgegangen, dass die beiden Anzeigesoftwaremodule ASM jeweils in individuellen Speicher¬ bereichen 140 und 141 abgespeichert sind und von Rechnerein- heiten 150 und 151 ausgeführt werden.
Durch die Ausstattung des sicheren Bedienplatzrechners 30 mit zwei Anzeigesoftwaremodulen ASM ist es möglich, unterschiedliche Darstellungen des Zustands der technischen Anlage 20 auf den beiden Anzeigeeinrichtungen 60 und 61 vorzusehen, in dem unterschiedliche Bediensignale BS1 und BS1' in die Anzei¬ gesoftwaremodule ASM eingegeben werden. In dieser Weise ist es einer Bedienperson beispielsweise möglich, die Korrektheit der Arbeitsweise der Anzeigesoftwaremodule ASM zu überprüfen.
Um auch für die beiden Anzeigesoftwaremodule ASM des sicheren Bedienplatzrechners 30 eine Kontrolle der Daten D, die den Zustand der technischen Anlage 20 anzeigen, zu ermöglichen, werden die Daten D von den beiden Speicherbereichen 100 und 110 nicht unmittelbar zu den Anzeigesoftwaremodulen ASM übermittelt, sondern nur mittelbar über den Vergleichsbaustein 90. Ausschließlich dann, wenn die Daten D aus den beiden Speicherbereichen 100 und 110 übereinstimmen, wird der Vergleichsbaustein 90 die Daten D an die beiden Anzeigesoftware- module ASM im sicheren Bedienplatzrechner 30 weiterleiten, so dass auch nur dann eine Anzeige auf den beiden Anzeigeeinrichtungen 60 und 61 erfolgen kann. Bezüglich der gesicherten Darstellung des Zustands der technischen Anlage 20 entspricht die Arbeitsweise der Anordnung 10 gemäß Figur 3 somit der An- Ordnung 10 gemäß Figur 1, so dass auf die obigen Ausführungen verwiesen sei. Die Figur 4 zeigt ein drittes Ausführungsbeispiel für eine Anordnung 10 zum Steuern einer technischen Anlage 20. Die Anordnung 10 gemäß Figur 4 entspricht im Wesentlichen dem Ausführungsbeispiel gemäß Figur 3 mit dem Unterschied, dass der Vergleichsbaustein 90 keine separate Komponente ist, sondern stattdessen in dem sicheren Bedienplatzrechner 30 integriert ist .
Der Vergleichsbaustein 90 kann in Form eines Softwaremoduls realisiert sein, das von einem der beiden Rechnereinheiten
120 oder 130 ausgeführt wird. Alternativ kann der Vergleichs¬ baustein 90 durch eine separate Hardwarekomponente gebildet sein, die in dem sicheren Bedienplatzrechner 30 vorgesehen wird .
Obwohl die Erfindung im Detail durch bevorzugte Ausführungs¬ beispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
Bezugs zeichenliste
10 Anordnung
20 technische Anlage
25 Stellwerksrechner
30 sicherer Bedienplatzrechner
40 unsicherer Bedienplatzrechner
50 unsicherer Bedienplatzrechner
60 Anzeigeeinrichtung
61 Anzeigeeinrichtung
70 Anzeigeeinrichtung
80 Anzeigeeinrichtung
90 Vergleichsbaustein
100 Speicherbereich
110 Speicherbereich
120 Rechnereinheit
130 Rechnereinheit
140 Speicherbereich
141 Speicherbereich
150 Rechnereinheit
151 Rechnereinheit
200 Daten erbindung
ASM Anzeigesoftwaremodul
AS 1 -AS3 Anzeigesteuersignal
BB Bedienbefehl
BSA Bestätigungsaufforderung
BSS Bestätigungssignal
BS1 Bediensignal
BS1' Bediensignal
BS2 Bediensignal
BS3 Bediensignal
D Daten
DS Datensatz
STB Steuersignal

Claims

Patentansprüche
1. Anordnung (10) zum Steuern einer technischen Anlage (20), insbesondere einer Eisenbahngleisanlage, wobei die Anordnung (10) einen Stellwerksrechner (25), der ein Umstellen der technischen Anlage (20) veranlassen kann, und mindestens zwei Bedienplatzrechner (30, 40, 50) umfasst, mit denen Bedienbe¬ fehle (BB) erzeugt und zu dem Stellwerksrechner (25) übermit¬ telt werden können,
d a d u r c h g e k e n n z e i c h n e t, dass
von den Bedienplatzrechnern (30, 40, 50) zumindest ein Bedienplatzrechner (30) ein sicherer Bedienplatzrechner (30) ist, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard erreicht, und zumindest ein Bedienplatz¬ rechner (40, 50) ein unsicherer Bedienplatzrechner (40, 50) ist, dessen Sicherheitsniveau den vorgegebenen Mindeststandard unterschreitet,
der sichere Bedienplatzrechner (30) mit dem Stellwerks¬ rechner (25) über eine sichere Datenverbindung (200), die eine vorgegebene Übertragungssicherheit gewährleistet, verbunden ist, und
der zumindest eine unsichere Bedienplatzrechner (40, 50) mittelbar mit dem Stellwerksrechner (25) verbunden ist, nämlich über den sicheren Bedienplatzrechner (30), und die Bedienbefehle (BB) des unsicheren Bedienplatzrechners (40, 50) zu dem sicheren Bedienplatzrechner (30) und über diesen und die sichere Datenverbindung (200) zu dem
Stellwerksrechner (25) übermittelt werden.
Anordnung (10) nach Anspruch 1,
a d u r c h g e k e n n z e i c h n e t, dass
in dem sicheren Bedienplatzrechner (30) ein den Zustand der technischen Anlage (20) beschreibender Datensatz (DS) zentral gespeichert ist und
der unsichere Bedienplatzrechner (40, 50) derart programmiert ist, dass er unter Heranziehung des in dem sicheren Bedienplatzrechner (30) gespeicherten Datensatzes (DS) und einer vom Bediener des unsicheren Bedienplatzrechners (40, 50) vorgegebenen Darstellungsweise bedienerindividu¬ elle Anzeigesteuersignale (AS1-AS3) erzeugt, die zu einer bedienerindividuellen Anzeige des durch den Datensatz
(DS) definierten Zustands der technischen Anlage (20) auf einer mit dem unsicheren Bedienplatzrechner (40, 50) verbundenen Anzeigeeinrichtung (70, 80) führen.
3. Anordnung (10) nach Anspruch 2,
d a d u r c h g e k e n n z e i c h n e t, dass
der sichere Bedienplatzrechner (30) zumindest zwei redundant betriebene Speicherbereiche (100, 110) umfasst, in denen je¬ weils der den Zustand der technischen Anlage (20) beschrei¬ bende Datensatz (DS) gespeichert ist.
4. Anordnung (10) nach Anspruch 3,
d a d u r c h g e k e n n z e i c h n e t, dass
zwischen dem sicheren und dem unsicheren Bedienplatzrechner (30, 40, 50) ein Vergleichsbaustein (90) angeordnet ist und
der Vergleichsbaustein (90) derart ausgestaltet ist, dass er Daten (D) des den Zustand der technischen Anlage (20) beschreibenden Datensatzes (DS) zwecks Übertragung zum unsicheren Bedienplatzrechner (40, 50) jeweils aus jedem der zumindest zwei redundant betriebenen Speicherbereiche (100, 110) ausliest und miteinander vergleicht und die ausgelesenen Daten (D) an den unsicheren Bedienplatzrechner (40, 50) lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert .
5. Anordnung (10) nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
der sichere Bedienplatzrechner (30) zumindest zwei redundant arbeitende Rechnereinheiten (120, 130) umfasst, die zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren Bedienplatzrechners (30) nach Er¬ halt eines sicherheitsrelevanten Bedienbefehls (BB) des unsicheren Bedienplatzrechners (40, 50) jeweils eine Bes- tätigungsaufforderung (BSA) an den unsicheren Bedienplatzrechner (40, 50) übersenden, und zwar über den Vergleichsbaustein (90), und
der Vergleichsbaustein (90) derart ausgestaltet ist, dass er die Bestätigungsaufforderungen (BSA) der zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren Bedienplatzrechners (30) miteinander ver¬ gleicht und an den unsicheren Bedienplatzrechner (40, 50) lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.
6. Anordnung (10) nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
der Vergleichsbaustein (90) Steuersignale (STB), die ein Um- stellen der technischen Anlage (20) bewirken würden, der zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren Bedienplatzrechners (30) miteinander ver¬ gleicht und an den Stellwerksrechner (25) lediglich dann weiterleitet oder weiterleiten lässt, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.
7. Verfahren zum Steuern einer technischen Anlage (20), insbesondere einer Eisenbahngleisanlage, wobei mit einem Bedien¬ platzrechner (30, 40, 50) Bedienbefehle (BB) erzeugt und zu einem mit der technischen Anlage (20) in Verbindung stehenden Stellwerksrechner (25) übermittelt werden und mit dem Stell¬ werksrechner (25) ein Umstellen der technischen Anlage (20) veranlasst wird,
d a d u r c h g e k e n n z e i c h n e t, dass
die Bedienbefehle (BB) mit einem unsicheren Bedienplatzrechner (40, 50), dessen Sicherheitsniveau einen vorgegebenen Mindeststandard unterschreitet, erzeugt und über einen siche¬ ren Bedienplatzrechner (30), dessen Sicherheitsniveau den vorgegebenen Mindeststandard erreicht, zu dem Stellwerksrech- ner (25) übermittelt werden.
8. Verfahren nach Anspruch 7,
d a d u r c h g e k e n n z e i c h n e t, dass in dem sicheren Bedienplatzrechner (30) ein den Zustand der technischen Anlage (20) beschreibender Datensatz (DS) zentral gespeichert wird,
mit dem unsicheren Bedienplatzrechner (40, 50) unter Heranziehung des in dem sicheren Bedienplatzrechner (30) gespeicherten Datensatzes (DS) und einer vom Bediener des unsicheren Rechners vorgegebenen Darstellungsweise bedie¬ nerindividuelle Anzeigesteuersignale (AS1-AS3) , die zu einer bedienerindividuellen Anzeige des durch den Datensatz (DS) definierten Zustands der technischen Anlage (20) führen, erzeugt werden und
die Anzeigesteuersignale (AS1-AS3) auf einer mit dem un¬ sicheren Bedienplatzrechner (40, 50) verbundenen Anzeigeeinrichtung (70, 80) angezeigt werden.
9. Verfahren nach Anspruch 8,
d a d u r c h g e k e n n z e i c h n e t, dass
der den Zustand der technischen Anlage (20) beschreibende Datensatz (DS) redundant in zumindest zwei Speicherberei¬ chen (100, 110) gespeichert wird und
Daten (D) des den Zustand der technischen Anlage (20) beschreibenden Datensatzes (DS) zwecks Übertragung zum unsicheren Bedienplatzrechner (40, 50) jeweils aus jedem der zumindest zwei Speicherbereiche (100, 110) ausgelesen und miteinander verglichen werden und die ausgelesenen Daten (D) an den unsicheren Bedienplatzrechner (40, 50) lediglich dann weiterleitet werden, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert wird .
EP13733994.1A 2012-06-29 2013-06-24 Verfahren und anordnung zum steuern einer technischen anlage Active EP2849986B1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102012211273.1A DE102012211273A1 (de) 2012-06-29 2012-06-29 Verfahren und Anordnung zum Steuern einer technischen Anlage
PCT/EP2013/063098 WO2014001235A2 (de) 2012-06-29 2013-06-24 Verfahren und anordnung zum steuern einer technischen anlage

Publications (2)

Publication Number Publication Date
EP2849986A2 true EP2849986A2 (de) 2015-03-25
EP2849986B1 EP2849986B1 (de) 2016-04-27

Family

ID=48746454

Family Applications (1)

Application Number Title Priority Date Filing Date
EP13733994.1A Active EP2849986B1 (de) 2012-06-29 2013-06-24 Verfahren und anordnung zum steuern einer technischen anlage

Country Status (5)

Country Link
EP (1) EP2849986B1 (de)
CN (1) CN104411564B (de)
DE (1) DE102012211273A1 (de)
HK (1) HK1208013A1 (de)
WO (1) WO2014001235A2 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016205119A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft System zur Steuerung von Stellwerken im Bahnverkehr

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2036505C3 (de) * 1970-07-23 1978-10-05 Bayer Ag, 5090 Leverkusen Kationische Farbstoffe, Verfahren zu deren Herstellung und deren Verwendung
DE3639788C1 (en) * 1986-11-21 1988-03-03 Licentia Gmbh Method and arrangement for input of information into computer systems with secure signalling
DE10053023C1 (de) * 2000-10-13 2002-09-05 Siemens Ag Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE10116244C2 (de) * 2001-03-28 2003-05-08 Siemens Ag Verfahren zum Betreiben einer Bedienplatzeinrichtung
AU2002224742A1 (en) * 2001-11-22 2003-06-17 Siemens Aktiengesellschaft Method for controlling a safety-critical railway operating process and device for carrying out said method
DE102007004917B4 (de) * 2007-01-26 2010-09-30 Siemens Ag Verfahren und Anordnung zur Ansteuerung und Überwachung von Feldelementen
DE102007043053B4 (de) * 2007-09-11 2020-07-30 Db Netz Ag Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2014001235A2 *

Also Published As

Publication number Publication date
EP2849986B1 (de) 2016-04-27
DE102012211273A1 (de) 2014-01-02
HK1208013A1 (en) 2016-02-19
WO2014001235A2 (de) 2014-01-03
WO2014001235A3 (de) 2014-06-19
CN104411564B (zh) 2017-01-18
CN104411564A (zh) 2015-03-11

Similar Documents

Publication Publication Date Title
EP1857897B1 (de) Verfahren und System zur Erstellung oder Änderung sicherheitsrelevanter Daten für eine Steuerungseinrichtung
EP2731849B1 (de) Stellwerksrechner
WO2018137856A1 (de) Verfahren und vorrichtung zum rechnergestützten erstellen und ausführen einer steuerfunktion
EP2445771A1 (de) Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks
CN113903229A (zh) 一种列车电气故障注入与诊断仿真培训系统及培训方法
DE102007032805A1 (de) Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
WO2020025399A1 (de) Einrichtung und verfahren zum prüfen eines schaltschrankinhalts nach planungsbasierter montage
EP2726357B1 (de) Bedieneinrichtung
DE102012221714A1 (de) Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem
WO2019224131A1 (de) Änderung des inhalts eines wurzelzertifikatsspeichers
DE10053023C1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE102013017951A1 (de) Elektronische Steuervorrichtung und Verfahren zum Überprüfen einer Rücksetzfunktion
AT402909B (de) Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage
WO2014001235A2 (de) Verfahren und anordnung zum steuern einer technischen anlage
DE102007019035A1 (de) Verfahren und Prüfgerät zum Überprüfen der Funktionalität eines Streckenpunktes des spurengebundenen Verkehrs sowie Streckenpunkt und Anordnung
DE102005043305A1 (de) System-Architektur zur Steuerung und Überwachung von Komponenten einer Eisenbahnsicherungsanlage
WO2023052333A1 (de) Verfahren zur ansteuerung einer vielzahl von türen in einem fahrzeug
EP0920391B1 (de) Verfahren zur steuerung und überwachung einer verkehrstechnischen anlage
WO2014128036A1 (de) Verfahren zur fehleroffenbarung bei einem stellwerksrechnersystem und stellwerksrechnersystem
DE10353210A1 (de) Sichere Erfassung von Eingabewerten
EP1702827A1 (de) Bedienplatzsystem
EP1220094B1 (de) Verfahren zur Programmierung eines redundant ausgeführten Zielsystems mit Sicherheitsanforderung
WO2003047937A1 (de) Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens
DE102018129354A1 (de) Verfahren zum Bearbeiten von Anwendungsprogrammen auf einem verteilten Automatisierungssystem
DE102013211582A1 (de) Verfahren zur sicheren Parametrierung einer Automatisierungskomponente

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20141216

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAX Request for extension of the european patent (deleted)
GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

INTG Intention to grant announced

Effective date: 20151117

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

Ref country code: CH

Ref legal event code: NV

Representative=s name: SIEMENS SCHWEIZ AG, CH

REG Reference to a national code

Ref country code: AT

Ref legal event code: REF

Ref document number: 794411

Country of ref document: AT

Kind code of ref document: T

Effective date: 20160515

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502013002826

Country of ref document: DE

REG Reference to a national code

Ref country code: RO

Ref legal event code: EPE

REG Reference to a national code

Ref country code: NL

Ref legal event code: FP

REG Reference to a national code

Ref country code: LT

Ref legal event code: MG4D

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160727

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: PL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160728

Ref country code: ES

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160829

Ref country code: RS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: LV

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: HR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20160630

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502013002826

Country of ref document: DE

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SM

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

REG Reference to a national code

Ref country code: IE

Ref legal event code: MM4A

REG Reference to a national code

Ref country code: FR

Ref legal event code: ST

Effective date: 20170228

26N No opposition filed

Effective date: 20170130

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20160630

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20160624

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

REG Reference to a national code

Ref country code: CH

Ref legal event code: PCOW

Free format text: NEW ADDRESS: WERNER-VON-SIEMENS-STRASSE 1, 80333 MUENCHEN (DE)

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: HU

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT; INVALID AB INITIO

Effective date: 20130624

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20160624

Ref country code: MT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: MK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20160427

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FR

Payment date: 20180827

Year of fee payment: 11

REG Reference to a national code

Ref country code: DE

Ref legal event code: R081

Ref document number: 502013002826

Country of ref document: DE

Owner name: SIEMENS MOBILITY GMBH, DE

Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, 80333 MUENCHEN, DE

REG Reference to a national code

Ref country code: CH

Ref legal event code: PUE

Owner name: SIEMENS MOBILITY GMBH, DE

Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, DE

REG Reference to a national code

Ref country code: AT

Ref legal event code: PC

Ref document number: 794411

Country of ref document: AT

Kind code of ref document: T

Owner name: SIEMENS MOBILITY GMBH, DE

Effective date: 20190506

REG Reference to a national code

Ref country code: NL

Ref legal event code: PD

Owner name: SIEMENS MOBILITY GMBH; DE

Free format text: DETAILS ASSIGNMENT: CHANGE OF OWNER(S), ASSIGNMENT; FORMER OWNER NAME: SIEMENS AKTIENGESELLSCHAFT

Effective date: 20190829

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20190624

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20190624

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: RO

Payment date: 20200615

Year of fee payment: 8

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: RO

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20210624

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: CH

Payment date: 20230907

Year of fee payment: 11

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: NL

Payment date: 20240603

Year of fee payment: 12

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: AT

Payment date: 20240508

Year of fee payment: 12

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: TR

Payment date: 20240614

Year of fee payment: 12

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20240819

Year of fee payment: 12