EP3831692B1 - Steuerungssystem für ein verkehrsnetz und verfahren zur vorbereitung und/oder anpassung eines solchen steuerungssystems - Google Patents

Steuerungssystem für ein verkehrsnetz und verfahren zur vorbereitung und/oder anpassung eines solchen steuerungssystems Download PDF

Info

Publication number
EP3831692B1
EP3831692B1 EP19214093.7A EP19214093A EP3831692B1 EP 3831692 B1 EP3831692 B1 EP 3831692B1 EP 19214093 A EP19214093 A EP 19214093A EP 3831692 B1 EP3831692 B1 EP 3831692B1
Authority
EP
European Patent Office
Prior art keywords
control system
traffic network
knowledge base
elements
central unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
EP19214093.7A
Other languages
English (en)
French (fr)
Other versions
EP3831692A1 (de
Inventor
Albrecht Schroth
Carsten Schneider
Björn Becker
Björn-Olaf Schmidt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Rail GTS Deutschland GmbH
Original Assignee
Hitachi Rail GTS Deutschland GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=68808153&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=EP3831692(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Priority to DK19214093.7T priority Critical patent/DK3831692T3/da
Priority to PT192140937T priority patent/PT3831692T/pt
Priority to ES19214093T priority patent/ES3021416T3/es
Priority to EP19214093.7A priority patent/EP3831692B1/de
Priority to PL19214093.7T priority patent/PL3831692T3/pl
Priority to HUE19214093A priority patent/HUE071548T2/hu
Priority to FIEP19214093.7T priority patent/FI3831692T3/fi
Application filed by Hitachi Rail GTS Deutschland GmbH filed Critical Hitachi Rail GTS Deutschland GmbH
Priority to AU2020398331A priority patent/AU2020398331A1/en
Priority to PCT/EP2020/083896 priority patent/WO2021110586A1/de
Priority to CA3159709A priority patent/CA3159709A1/en
Priority to IL293404A priority patent/IL293404A/en
Priority to KR1020227019206A priority patent/KR20220106772A/ko
Publication of EP3831692A1 publication Critical patent/EP3831692A1/de
Publication of EP3831692B1 publication Critical patent/EP3831692B1/de
Application granted granted Critical
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/20Trackside control of safe travel of vehicle or train, e.g. braking curve calculation

Definitions

  • the invention relates to a control system for a traffic network, a method for preparing/adapting such a control system and the use of the control system and/or method.
  • Control systems for traffic networks are used, among other things, to set routes and control signaling.
  • customer specifications according to which the control is to take place are converted manually or using generators into code, which is then executed during operation. If the customer specification changes or a new customer is acquired, new code must be created. This must first be validated and verified, which is extremely time-consuming.
  • EP 1 490 253 B1 Such a system is known, for example, from EP 1 490 253 B1 .
  • a control system for a traffic network i.e. a traffic control system, controls the field elements of the traffic infrastructure, e.g. sets switches, etc. and ensures safe traffic, e.g. flank protection. Traffic control is carried out at a high safety level, preferably at SIL-4.
  • EP 1 490 253 B1 discloses a method for generating logical control units for station facilities.
  • the control and monitoring logic is generated automatically and redundantly and is used to control and monitor various elements, such as signals, switches, track circuits and the like.
  • a database for the system configuration and a database for a state machine are generated.
  • the database for the system configuration contains station-specific data or applications.
  • two logical control units are generated in parallel using two generation programs that are as different as possible. These logical control units are based on two diversified binary files with Boolean variables.
  • a knowledge base for conflict resolution in traffic management systems for controlling rail vehicles is known from the state of the art, e.g. the ARAMIS system from Thales.
  • the knowledge base is constantly updated during operation by evaluating solutions to conflicts that have already been resolved during operation and storing this evaluation in the knowledge base in order to be able to resolve future conflicts better.
  • a traffic management system takes over the strategic planning of traffic at the timetable level. Heuristic methods can be used here, as traffic management works at SIL-0 level. It has no direct access to the field elements, such as tracks, switches, etc. of the traffic infrastructure.
  • the traffic management system uses the control system to fulfil its tasks. Since such traffic management systems operate at SIL-0, the mode of operation known there is not suitable for control systems. Therefore, such systems are not suitable as a control system.
  • the object of the invention is to improve the safety and efficiency of a control system for a traffic network in such a way that frequent validation and verification due to changes in customer specifications can be dispensed with and a very high safety level, e.g. preferably SIL-4, can still be achieved.
  • a very high safety level e.g. preferably SIL-4
  • the control system according to the invention for a transport network has an output interface which is set up to output outputs to the transport network during an operating phase, wherein the outputs can change states of elements of the transport network.
  • the control system also has an input interface which is set up to receive inputs from the transport network during the operating phase, wherein the inputs relate to states of elements of the transport network.
  • inputs and outputs are processed by the system.
  • Elements of a rail-based transport network e.g. a train system, are, for example, field elements such as a signal, a track, a switch, a level crossing, an overhead line, an intersection or a train.
  • so-called zones for, e.g., construction sites or shunting operations are elements of a train system.
  • the control system comprises a knowledge base that was generated from a rule base during a preparation phase of the control system outside the operating phase of the control system.
  • the knowledge base is mapped in the form of rules, whereby the rules comprise conditions that query flags and properties of the above-described elements (entities) of the rail-based transport network, as well as actions that can be carried out on these elements.
  • the data stored in the knowledge base therefore has a data structure that comprises the triplet of bit switch, property and action.
  • the rules which can be in text form, for example, are thus mapped to the above storage structures consisting of bit switches, properties and elements of the transport network. This form allows a computer to process the rules simply and efficiently.
  • a property represents general data, e.g. with integer or float as the data type.
  • a property for a signal is the signal color (aspect), e.g. "red”, “yellow”, “green”.
  • a property for a switch is e.g. the position: “position left”, “position right”.
  • a bit switch represents binary information.
  • a bit switch is the locking state “yes", “no”.
  • a bit switch is the occupancy: “yes", “no”.
  • An action is an executable command.
  • an action is the movement "turn around”.
  • an action is "show aspect", e.g. show signal image "green”.
  • the knowledge base is a database with structured, machine-interpretable knowledge.
  • the knowledge stored in the knowledge base includes rules, sequences of rules, so-called flows, and unconditional actions - this corresponds to a rule without conditions. They are also referred to as "degenerate" rules. Such actions are always carried out.
  • the knowledge base is structured according to an ontology.
  • An ontology is a formally ordered representation of a Set of concepts and the relationships between them.
  • the ontology is based on data models. This allows knowledge about the transport system to be stored and used in a digitalized and formal form.
  • the ontology contains inference and integrity rules, i.e. rules for drawing conclusions and ensuring their validity.
  • the ontology thus represents knowledge as a network of information with logical relations and can therefore represent complex data models.
  • Queries can be another component of the data model. These enable the creation of loops, e.g. "foreach ⁇ Element> do”, as well as aggregations, e.g. "all ⁇ Elements> are”, which can be used within conditions. Aggregations are special queries that are used in the conditions queried by the rules to query conditions for a set of elements.
  • the knowledge base is preferably rigid, i.e. it does not change.
  • "Rigid knowledge base” means that the knowledge base is created or changed exclusively outside the operating phase, preferably during the preparation phase before an operating phase or between different operating phases.
  • “Outside the operating phase” means that the operating phase and the preparation phase do not overlap in time, i.e. they are temporally disjoint.
  • the knowledge base according to the invention is not changed. This makes it possible to ensure that the behavior of the control system is deterministically predictable and that safety requirements for a safe system (SIL 4) can be easily met.
  • the control system is therefore preferably a control system for a safety-critical (i.e. critical with regard to accident prevention) system, e.g. a train control system or a train protection system.
  • a train control system is responsible for the current traffic control and a train protection system ensures that trains are protected, i.e. in particular that they do not collide. This can be done, for example, by flank protection.
  • the knowledge base can be modified accordingly during the preparation phase. This does not change the course of the operational phase, i.e. no new code needs to be generated, validated and verified.
  • the knowledge base is a knowledge base that was generated from a rule base during the preparation phase.
  • the control system is a rule-based system with a rule base from which the knowledge base is generated.
  • the rule base is a formalized description of rules, e.g. in XML, and represents the customer specification.
  • control system comprises a state database.
  • the state database contains possible, in particular all, states (properties) of the elements of the traffic network.
  • the elements of the transport network are assigned to one or more different domains.
  • a domain is a problem area or an application area within the transport network; a train system, for example, includes the domains: route control, signaling, indications, e.g. for users such as operators or customers.
  • the status database is preferably the same for all domains, i.e. it includes states of all elements of all domains.
  • the control system has a condition evaluator that is designed to evaluate the conditions for one or more, preferably all, domains of the traffic network.
  • the condition evaluator checks whether the conditions stored in the rules, which are formulated in so-called expressions, apply. Expressions are logical expressions that can be evaluated as "true” or “false”, i.e. "applicable” or “not applicable”. The current states and the properties of the elements of the traffic system are used for this purpose. This evaluation of the conditions takes place during the operating phase of the control system.
  • the condition evaluation unit is generic for all domains. States of elements of the traffic system are received, e.g. via a central unit (govenor - see below), and evaluated against given conditions, e.g. within a flow. Depending on the result of the evaluation, the condition evaluation unit triggers actions (e.g. within the flow) that are issued as a command to the traffic network via the central unit and can result in changes in the state of the elements of the traffic network. The condition evaluation unit reports back to the central unit whether the execution of the flow was successful.
  • the conditions are integrated in the knowledge base. They were therefore created during the preparation phase of the control system and are rigid during the operating phase. This means that the expressions evaluated in the condition evaluation component do not change during the operating phase.
  • the only variable is the current states of the elements of the traffic system that come in via the input interface of the control system. The result of the evaluation of the expressions therefore changes depending on the current states of the traffic system.
  • the knowledge base is created in a preparation phase that is outside, preferably before, the operating phase of the control system. Outside the preparation phase means that the operating phase and the preparation phase do not overlap in time, i.e. they are temporally disjoint.
  • the preparation phase serves to prepare the operating phase. It can be before a first operating phase or between two operating phases of the control system. If the central unit encounters errors during the creation of the knowledge base in the preparation phase, e.g. an unknown element, the creation process is aborted and the error in the rule base from which the knowledge base is to be created is pointed out. In this way, the correctness and thus the consistency of the system can be ensured in the preparation phase. This is particularly relevant for safety-critical systems, e.g. SIL-4 systems.
  • the selected data structure is also defined in advance. and limited so that the security aspect can be even better guaranteed.
  • control system has at least one central unit.
  • the at least one central unit is set up to receive the inputs of the transport network via the input interface and to output the outputs to the transport network via the output interface.
  • the at least one central unit is further set up to pass on the received state of an element of the transport network for processing after receiving an input.
  • the received state of the element of the transport network is preferably passed on to the condition evaluation component for processing. The passing on can take place, for example, via the knowledge base.
  • a central unit can contain generic and domain-specific units.
  • the generic units can be used equally for all domains.
  • the domain-specific units are each specific to one domain.
  • a separate central unit specialized for the corresponding domain can be used for each domain of the traffic system.
  • At least one central unit is set up to generate the knowledge base before the control system is put into operation.
  • One knowledge base can be generated for each central unit, which relates to the respective domain of the central unit.
  • the central unit In the case of a central unit that has generic and domain-specific elements, the central unit generates a domain-specific knowledge base for each domain.
  • the status database is the same across all domains and for all knowledge bases and central units. All central units require the factual information from the status database, e.g. possible positions of a switch, as a basis.
  • the time of commissioning refers to the start of the operational phase after the preparation phase.
  • a well-defined system is provided, that is known in advance and does not change during the operational phase.
  • a well-defined system does not contain, for example, contradictory conditions and/or conditions that are always "true” or always “false”.
  • By generating the knowledge base in the preparation phase and making a well-defined system available testing is possible in advance and a high level of safety can be ensured. For example, it is possible to simulate operating states of the system with the system that is ready for use at that time, e.g. using simulators that simulate the current states of the switches, signals, etc. This can be used to verify that all requirements have been implemented correctly and that nothing has been overlooked. This means that undesirable behavior of the system can be corrected very quickly.
  • control system comprises a system registry database with executable files corresponding to the actions contained in the at least one knowledge base.
  • control system is a train control system for a train system and is arranged in a signal box. It is also applicable to systems in which, for example, traffic flows must be controlled according to certain rules, e.g. in traffic control for cars or aircraft.
  • the at least one central unit and other units mentioned above or below are preferably designed as software components that run on a common hardware, e.g. a control computer, or on different hardware units.
  • the invention also relates to a method for preparing and/or adapting a control system.
  • a knowledge base is generated from a rule base during a preparation phase of the control system outside of an operating phase of the control system.
  • the preparation phase serves to prepare the operating phase and therefore preferably occurs before the operating phase of the control system.
  • the period for creating the at least one knowledge base therefore does not overlap with the operating phase. This means that the at least one knowledge base is rigid and does not change during the operating phase.
  • a control system can be adapted to any customer specifications by simply setting up/modifying the knowledge base according to the customer-specific rules. All other components of the control system can continue to be used unchanged without incurring any security risk. Revalidation and verification is not necessary.
  • the method according to the invention enables simple and secure individual configuration of the security system.
  • the at least one knowledge base is generated from a rule base during the preparation phase.
  • the central unit encounters errors during the preparation phase of the knowledge base creation, e.g. an unknown element, the creation process is aborted and the error in the rule base from which the knowledge base is to be created is pointed out. This means that it can be ensured that the system is well defined in the preparation phase. This is particularly relevant for safety-critical systems, e.g. SIL-4 systems.
  • the selected data structure is also defined and limited in advance so that the safety aspect can be guaranteed even better.
  • At least one knowledge base is checked for consistency and completeness during the preparation phase.
  • the check is carried out under Use of a state database.
  • the state database contains the possible states of the elements of the transport network.
  • the preparation phase checks whether the data stored in the knowledge base has a data structure that preferably only includes the triplet of bit switch, property and action or the quadruple of bit switch, property, action and query.
  • condition evaluation component evaluates the conditions for one or more, preferably all, domains of the transport network.
  • the condition evaluation component is activated during the execution of a flow of the knowledge base and reacts to inputs from the transport network that affect the states of elements of the transport network.
  • control system and/or the method described above are advantageously used in a safety-critical system with safety level SIL4.
  • Fig. 1 shows a schematic of a control system 10 for a traffic network 50.
  • the control system 10 receives inputs from the traffic network 50 via an input interface 28.
  • the inputs relate to states of elements of the traffic network 50, in particular the change of states.
  • the control system 10 issues outputs to the traffic network 50 via an output interface 26.
  • the outputs are suitable for changing states of elements of the traffic network.
  • a central unit 12 receives the inputs of the traffic network 50 via the input interface 28.
  • the central unit 12 outputs the outputs to the traffic network 50 via the output interface 26.
  • the control system 10 can also have several central units 12 (not shown). For example, different central units 12 can be provided for different domains. However, it is also possible to cover several domains in one central unit 12. In this case, the central unit 12 has generic (the same for all domains) and specific (specific to one domain) units.
  • the central unit 12 is the central instance of the control system 10. In a preparation phase, it loads rules from a rule base 18 and generates a knowledge base 16 from them.
  • the rules define the conditions under which actions Ac ( Fig. 2 ) that relate to the rules are executed.
  • Actions Ac are executable files stored in a system registry database 24 .
  • the knowledge base 16 can be updated via the input interface 28.
  • the central unit 12 also ensures that the actions Ac stored in the system register database 24 match the rules of the rule base 18 and the context of the control system 10.
  • queries Qu are also stored. Queries Qu are queries to the knowledge base 16 that the central unit 12 can execute. For example, a query Qu can be executed on the topology of the traffic network 50. This can be used to query static information, for example to find out a start signal for a route.
  • Actions Ac are executed in an operating phase following the preparation phase when the associated rule "fires", ie the associated condition is evaluated to "true".
  • the central unit 12 triggers a condition evaluation component 14 when it is informed of a change in a state in the traffic network 50 via the input interface 28.
  • the condition evaluation component 14 evaluates the state change. If a condition associated with a rule is evaluated to "true”, the rule "fires" and the associated action Ac or the associated actions Ac is/are executed.
  • a rule describes a condition under which an action Ac is carried out, as a Boolean expression with comparison operations for the properties.
  • the Boolean expressions refer to the states and properties of the traffic network 50.
  • the system register database 24 ensures that the relationships between the rules and the actions Ac and, if applicable, requests Qu are defined, that the actions Ac and, if applicable, requests Qu are unique and that the central unit 12 has access to the actions Ac and, if applicable, requests Qu.
  • the condition evaluation component 14 stores the rules in an optimized form, ensures that all states checked by the rules are present in a state database 22 and optimizes the evaluation of the conditions of a rule.
  • the state database 22 stores all possible states of all elements of the traffic network.
  • State changes in the traffic network 50 can be caused, for example, by participants in the traffic network 50, i.e. elements such as trains. Examples are that a section of track is occupied or left by a train, or that a train is driven onto a switch. State changes in the traffic network 50 can also be caused, for example, by field elements (elements in the field). Examples are that a switch loses monitoring, i.e. is defective in some way, or that a signal is set. State changes in the traffic network 50 can also be caused, for example, by commands from an operator. Examples are an emergency stop, i.e. a signal is set hard to "red". This state change of the signal of the traffic network 50 triggers an event, which in turn leads to a reaction from the control system 10. State changes in the traffic network 50 can also be commands from the control system 10 itself. Examples are setting a route, which may lead to a switch being bypassed. This rotation of the switch in turn triggers events that are monitored by the control system 10.
  • control system 10 communicates with the traffic network 50 by the central unit 12 in the knowledge base flows F, F.1 ( Fig. 2 ).
  • knowledge base flows F, F.1 Within the framework of flows F, F.1, rules are evaluated and the execution of actions Ac is triggered. The actions Ac in turn trigger commands to the traffic network 50.
  • a safety reaction can occur: e.g. everything is "red”, all traffic in the traffic network 50 stops. This detects such an inconsistent state and the system goes into the safe state.
  • the control system 10 also has a user interface (not shown) via which a person, e.g. an operator, can communicate with the control system 10.
  • a route can be set via the user interface, for example.
  • a display on e.g. a screen of the user interface is the result of so-called indication rules.
  • the display depends on the state of the traffic network 50, e.g. a switch is "on the left” is calculated using rules and shown on the display.
  • the result of the rules is passed on to the display via actions Ac.
  • a command of the operator is forwarded to the control system 10 by means of an event. This event is evaluated by the central unit 12.
  • the central unit 12 can comprise a parser, e.g. XML parser, (not shown) and a flow specifications loader (not shown), both of which are generic for all domains.
  • the parser and the flow specifications loader are software components within the central unit 12.
  • the central unit 12 uses the parser to read in the rules when creating the knowledge base 16.
  • the central unit 12 also uses the flow specifications loader to load the actions Ac and queries Qu from a system registry database 20 when creating the flows F, F.1 of the knowledge base 16.
  • a flow F is a rule or a sequence of rules with associated actions Ac.
  • a flow F can execute the following elements: Activity Rule RA, Activity Action AcA, Activity Assignment AssA and Activity Query QuA.
  • the activity Rule RA contains Boolean expressions including comparison operations for properties that are evaluated in the condition evaluation component 14.
  • the condition evaluation component 14 uses the state database 22 for this purpose and receives information about state changes from the central unit 12. If a rule is evaluated to "true" during the activity Rule RA, one of the following activities is executed: Activity Action AcA, Activity Assignment AssA and Activity Query QuA. During the activity Action AcA, at least one action Ac is executed.
  • At least one query Qu is executed. Queries Qu are queries to the knowledge base 16 that the central unit 12 can execute.
  • a new value is assigned to a piece of data in the knowledge base. A data item that is not in Fig. 2
  • the activity shown can be a query that queries the conditions for a set of elements (aggregation).
  • Flows F.1 are structured like flows F, i.e. rules, sequences of rules or just actions Ac that are executed unconditionally.
  • the flows F.1 are triggered by the condition evaluation component 14.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Traffic Control Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

  • Die Erfindung betrifft ein Steuerungssystem für ein Verkehrsnetz, ein Verfahren zur Vorbereitung/Anpassung eines solchen Steuerungssystems sowie die Verwendung des Steuerungssystems und/oder Verfahrens.
    • Hintergrund der Erfindung:
  • Steuerungssysteme für Verkehrsnetze werden u.a. verwendet, um Fahrstraßen zu stellen und Signalgebung zu kontrollieren. Dazu werden Kundenspezifikationen, nach denen die Steuerung erfolgen soll, manuell oder mittels Generatoren in Code umgewandelt, der dann im Betrieb ausgeführt wird. Ändert sich die Kundenspezifikation bzw. kommt es zu einer neuen Kunden Akquisition, muss neuer Code erstellt werden. Dieser muss zunächst validiert und verifiziert werden, was jedoch extrem zeitaufwändig ist. Ein solches System ist beispielsweise bekannt aus EP 1 490 253 B1 .
  • Ein Steuerungssystem für ein Verkehrsnetz, also ein Verkehrssteuerungssystem, steuert die Feldelemente der Verkehrsinfrastruktur, stellt also z. B. Weichen, etc. und sorgt für einen sicheren Verkehr, z.B. Flankenschutz. Die Verkehrssteuerung erfolgt auf einem hohen Sicherheitslevel, vorzugsweise auf SIL-4.
  • Aus der EP3213974A1 ist ein Verfahren zur Validierung und Verifizierung von Autorisierungen bekannt.
  • EP 1 490 253 B1 offenbart ein Verfahren zum Erzeugen logischer Steuereinheiten für Bahnhofsanlagen. Es erfolgt eine automatische und redundante Erzeugung der Steuerungs- und Überwachungslogik, welche zur Steuerung und Überwachung von verschiedenen Elementen, wie z. B. Signale, Weichen, Gleisstromkreise und ähnlichem verwendet wird. Hierzu wird eine Datenbank für die Systemkonfiguration und eine Datenbank für einen Zustandsautomaten generiert. Die Datenbank für die Systemkonfiguration enthält dabei bahnhofspezifische Daten bzw. Applikationen. Ausgehend von demselben Stationsplan und derselben Zustandstabelle werden durch zwei möglichst unterschiedliche Generierungsprogramme parallel zwei logische Steuerungseinheiten erzeugt. Diese logischen Steuerungseinheiten basieren auf zwei diversifizierten Binärdateien mit Boolschen Variablen.
  • Aus dem Stand der Technik ist darüber die Verwendung einer Wissensbasis zur Konfliktlösung in Verkehrsmanagementsystemen zur Steuerung von Schienenfahrzeugen bekannt, z.B. dem ARAMIS System von Thales. Dabei wird die Wissensbasis während des Betriebs ständig aktualisiert, indem als gut befundene Lösungen von im Betrieb bereits gelösten Konflikte bewertet werden und diese Bewertung in der Wissensbasis gespeichert wird, um zukünftige Konflikte besser lösen zu können. Ein Verkehrsmanagementsystem übernimmt die strategische Planung des Verkehrs auf der Fahrplanebene. Dabei können heuristische Methoden eingesetzt werden, da das Verkehrsmanagement auf SIL-0-Ebene arbeitet. Es hat keinen direkten Zugriff auf die Feldelemente, wie z. B. Gleise, Weichen, etc. der Verkehrsinfrastruktur. Das Verkehrsmanagementsystem bedient sich des Steuerungssystems zur Erfüllung seiner Aufgaben. Da derartige Verkehrsmanagementsysteme auf SIL-0 arbeiten, ist die dort bekannte Arbeitsweise nicht für Steuerungssysteme geeignet. Daher eignen sich derartige Systeme nicht als Steuerungssystem.
    • Aufgabe der Erfindung:
  • Es ist Aufgabe der Erfindung, die Sicherheit und Effizienz eines Steuerungssystems für ein Verkehrsnetz dahingehend zu verbessern, dass auf häufige Validierung und Verifizierung aufgrund von Änderungen der Kundenspezifikationen verzichtet und trotzdem ein sehr hohes Sicherheitslevel, z. B. von vorzugsweise SIL-4 werden kann.
  • Diese Aufgabe wird gelöst durch ein Steuerungssystem gemäß Anspruch 1, durch ein Verfahren gemäß Anspruch 11 sowie eine Verwendung gemäß Anspruch 15. Die abhängigen Ansprüche betreffen vorteilhafte Weiterbildungen der Erfindung.
    • Beschreibung der Erfindung
  • Das erfindungsgemäße Steuerungssystem für ein Verkehrsnetz weist eine Ausgabeschnittstelle auf, die eingerichtet ist, während einer Betriebsphase Ausgaben an das Verkehrsnetz auszugeben, wobei die Ausgaben Zustände von Elementen des Verkehrsnetzes verändern können. Das Steuerungssystem weist weiter eine Eingabeschnittstelle auf, die eingerichtet ist, während der Betriebsphase Eingaben vom Verkehrsnetz zu empfangen, wobei die Eingaben Zustände von Elementen des Verkehrsnetzes betreffen. Während der Betriebsphase werden Eingaben und Ausgaben vom System verarbeitet. Elemente eines schienengebundenen Verkehrsnetzes, z. B. eines Zugsystems, sind z. B. Feldelemente wie ein Signal, ein Gleis, eine Weiche, ein Bahnübergang, eine Oberleitung, eine Kreuzung oder ein Zug. Außerdem sind sog. Zonen für z. B. Baustellen oder Rangierbetrieb Elemente eines Zugsystems.
  • Das erfindungsgemäße Steuerungssystem umfasst eine Wissensbasis, die während einer Vorbereitungsphase des Steuerungssystems außerhalb der Betriebsphase des Steuerungssystems aus einer Regelbasis erzeugt wurde. Die Wissensbasis wird in Form von Regeln abgebildet, wobei die Regeln aus Bedingungen, welche Bitschalter (engl. Flags) sowie Eigenschaften (engl. Properties) der oben beschriebenen Elemente (engl. Entities) des schienengebundenen Verkehrsnetzes abfragen, sowie Aktionen (engl. Actions), die auf diesen Elementen ausgeführt werden können, umfassen. Die in der Wissensbasis hinterlegten Daten weisen also eine Datenstruktur auf, die das Tripel Bitschalter, Eigenschaft und Aktion umfasst. Somit werden die Regeln, die beispielsweise in Textform vorliegen können, auf die obigen Speicherstrukturen bestehend aus Bitschaltern, Eigenschaften und Elementen des Verkehrsnetzes abgebildet. Diese Form erlaubt es einem Rechner, die Regeln einfach und effizient zu verarbeiten.
  • Eine Eigenschaft repräsentiert allgemeine Daten, z. B. mit Integer oder Float als Datentyp. Eine Eigenschaft ist z. B. für ein Signal die Signalfarbe (Aspekt), z. B. "rot", "gelb", "grün". Eine Eigenschaft für eine Weiche ist z. B. die Lage: "Lage links", "Lage rechts". Ein Bitschalter repräsentiert eine binäre Information. Ein Bitschalter ist z. B. für eine Weiche der Verriegelungszustand "ja", "nein". Ein Bitschalter ist z. B. für ein Gleis die Belegung: "ja", "nein". Eine Aktion ist ein ausführbares Kommando. Eine Aktion ist z. B. für eine Weiche die Bewegung "laufe um". Eine Aktion ist z. B. für ein Signal "zeige Aspekt", z. B. zeige Signalbild "grün".
  • Die Wissensbasis (engl. Knowledge Base) ist eine Datenbank mit strukturiertem, maschinell interpretierbarem Wissen. Das in der Wissensbasis abgelegte Wissen umfasst Regeln (engl. Rules), Abfolgen von Regeln, sog. Flows, sowie nicht an Bedingungen geknüpfte Aktionen - dies entspricht einer Regel ohne Bedingung. Man spricht auch von "entarteten" Regeln. Derartige Aktionen werden immer ausgeführt.
  • In einer Ausführungsform der Erfindung ist die Wissensbasis gemäß einer Ontologie strukturiert. Eine Ontologie ist eine formal geordnete Darstellung einer Menge von Begrifflichkeiten und der zwischen ihnen bestehenden Beziehungen. Die Ontologie basiert auf Datenmodellen. Hierdurch kann Wissen über das Verkehrssystem in digitalisierter und formaler Form gespeichert und verwendet werden. Die Ontologie enthält Inferenz- und Integritätsregeln, also Regeln zu Schlussfolgerungen und zur Gewährleistung ihrer Gültigkeit. Die Ontologie repräsentiert damit Wissen als ein Netzwerk von Informationen mit logischen Relationen und kann damit komplexe Datenmodelle darstellen.
  • Ein weiterer Bestandteil des Datenmodells können Abfragen (engl. Queries) sein. Diese ermöglichen den Aufbau von Schleifen, z. B. "foreach <Element> do", sowie Aggregationen, z. B. "all <Elements> are", die im Rahmen von Bedingungen eingesetzt werden können. Aggregationen sind spezielle Anfragen, die in den Bedingungen, welche von den Regeln abgefragt werden, benutzt werden um Bedingungen für eine Menge von Elementen abzufragen.
  • Während der Betriebsphase ist die Wissensbasis bevorzugt starr, d. h. sie ändert sich nicht. "Starre Wissensbasis" bedeutet, dass die Wissensbasis ausschließlich außerhalb der Betriebsphase, bevorzugt während der Vorbereitungsphase vor einer Betriebsphase oder zwischen verschiedenen Betriebsphasen, erstellt oder verändert wird. "Außerhalb der Betriebsphase" bedeutet, dass sich die Betriebsphase und die Vorbereitungsphase zeitlich nicht überlappen, d. h. sie sind zeitlich disjunkt. Während der Betriebsphase wird die erfindungsgemäße Wissensbasis nicht verändert. Hierdurch kann erreicht werde, dass das Verhalten des Steuerungssystems deterministisch vorhersagbar ist und Sicherheitsanforderungen an ein sicheres System (SIL 4) einfach erfüllt werden können. Das Steuerungssystem ist damit bevorzugt ein Steuerungssystem für ein sicherheitskritisches (also kritisch bzgl. Unfallvermeidung) System, z. B. ein Zugsteuerungssystem oder ein Zugsicherungssystem. Ein Zugsteuerungssystem ist dabei für die aktuelle Verkehrssteuerung zuständig und ein Zugsicherungssystem stellt sicher, dass Züge gesichert werden, also insbesondere nicht zusammenstoßen. Dies kann beispielsweise durch Flankenschutz geschehen.
  • Ändert sich die Kundenspezifikation oder wird ein neuer Kunde aquiriert kann die Wissensbasis während der Vorbereitungsphase entsprechend modifiziert werden. Am Ablauf der Betriebsphase ändert sich dadurch nichts, d.h. es muss kein neuer Code generiert, validiert und verifiziert werden.
  • Erfindungsgemäß handelt es sich bei der Wissensbasis um eine Wissensbasis, die während der Vorbereitungsphase aus einer Regelbasis erzeugt wurde. Das Steuerungssystem ist ein regelbasiertes System mit einer Regelbasis, aus der die Wissensbasis generiert wird. Die Regelbasis ist dabei eine formalisierte Beschreibung von Regeln, z. B. in XML und repräsentiert die Kundenspezifikation.
  • In einer Ausführungsform umfasst das Steuerungssystem eine Zustandsdatenbank. Die Zustandsdatenbank weist als Datenbestand mögliche, insbesondere alle, Zustände (Eigenschaften) der Elemente des Verkehrsnetzes auf.
  • In einer Ausführungsform sind die Elemente des Verkehrsnetzes einer oder mehreren verschiedenen Domänen zugeordnet. Eine Domäne ist ein Problemfeld oder auch ein Anwendungsgebiet innerhalb des Verkehrsnetzes, ein Zugsystem umfasst z.B. die Domänen: Fahrstraßensteuerung, Signalisierung, Anzeigen (engl. Indications), z. B. für Benutzer, wie z. B. Operatoren oder Kunden. Die Zustandsdatenbank ist bevorzugt für alle Domänen dieselbe, d. h. sie umfasst Zustände aller Elemente aller Domänen.
  • In einer Ausführungsform weist das Steuerungssystem eine Bedingungsauswertekomponente (engl. condition evaluator) auf, die ausgebildet ist, die Bedingungen für eine oder mehrere, vorzugsweise alle, Domänen des Verkehrsnetzes auszuwerten. Die Bedingungsauswertekomponente überprüft, ob die in den Regeln hinterlegten Bedingungen, die in sogenannten Ausdrücken (engl. expressions) formuliert sind, zutreffen. Ausdrücke sind logische Ausdrücke, die als "wahr" oder "falsch", also "zutreffend" oder "nicht zutreffend" evaluiert werden können. Hierzu werden die aktuellen Zustände, sowie die Eigenschaften der Elemente des Verkehrssystems herangezogen. Diese Auswertung der Bedingungen erfolgt während der Betriebsphase des Steuerungssystems.
  • Die Bedingungsauswerteeinheit ist generisch für all Domänen. Zustände von Elementen des Verkehrssystems werden, z. B. über eine Zentraleinheit (engl. Govenor - s.u.), empfangen und z. B. im Rahmen eines Flows gegenüber gegebenen Bedingungen ausgewertet. Die Bedingungsauswerteeinheit triggert abhängig vom Ergebnis der Auswertung Aktionen (z. B. innerhalb des Flows), die über die Zentraleinheit als Befehl an das Verkehrsnetz ausgegeben werden und Zustandsänderungen der Elemente des Verkehrsnetzes zur Folge haben können. An die Zentraleinheit zurückgemeldet wird von der Bedingungsauswerteeinheit, ob die Ausführung des Flows erfolgreich war.
  • Die Bedingungen sind in der Wissensbasis integriert. Sie sind also während der Vorbereitungsphase des Steuerungssystems erzeugt worden und während der Betriebsphase starr. Dies bedeutet, dass sich die Ausdrücke, die in der Bedingungsauswertekomponente ausgewertet werden, während der Betriebsphase nicht ändern. Variabel sind lediglich die aktuellen Zustände der Elemente des Verkehrssystems, die über die Eingabeschnittstelle des Steuerungssystems hereinkommen. Das Ergebnis der Auswertung der Ausdrücke ändert sich damit in Abhängigkeit von den aktuellen Zuständen des Verkehrssystems.
  • Die Erzeugung der Wissensbasis erfolgt in einer Vorbereitungsphase, die außerhalb, bevorzugt vor, der Betriebsphase des Steuersystems liegt. Außerhalb der Vorbereitungsphase bedeutet, dass sich die Betriebsphase und die Vorbereitungsphase zeitlich nicht überlappen, d. h. sie sind zeitlich disjunkt. Die Vorbereitungsphase dient der Vorbereitung der Betriebsphase. Sie kann vor einer ersten Betriebsphase oder zwischen zwei Betriebsphasen des Steuerungssystems liegen. Stößt die Zentraleinheit während der Erstellung der Wissensbasis in der Vorbereitungsphase auf Fehler, z. B. ein unbekanntes Element, wird der Erstellvorgang abgebrochen und auf den Fehler in der Regelbasis, aus der die Wissensbasis erstellt werden soll, hingewiesen. Somit kann bereits in der Vorbereitungsphase die Korrektheit und somit die Konsistenz des Systems sichergestellt werden. Dies ist insbesondere für sicherheitskritische Systeme (safety-critical systems), z. B. SIL-4 Systeme, relevant. Die gewählte Datenstruktur ist außerdem vorab definiert und limitiert, so dass der Sicherheitsaspekt noch besser gewährleistet werden kann.
  • In einer Ausführungsform weist das erfindungsgemäße Steuerungssystem mindestens eine Zentraleinheit auf. Die mindestens eine Zentraleinheit ist eingerichtet, über die Eingabeschnittstelle die Eingaben des Verkehrsnetzes zu erhalten und über die Ausgabeschnittstelle die Ausgaben an das Verkehrsnetz auszugeben. Die mindestens eine Zentraleinheit ist weiter dazu eingerichtet, nach Erhalt einer Eingabe den erhaltenen Zustand eines Elements des Verkehrsnetzes zur Verarbeitung weiterzugeben. Bevorzugt wird der erhaltene Zustand des Elements des Verkehrsnetzes an die Bedingungsauswertekomponente zur Verarbeitung weitergegeben. Die Weitergabe kann beispielsweise über die Wissensbasis erfolgen.
  • In einer Zentraleinheit können generische und domänenspezifische Einheiten vorgesehen sein. Die generischen Einheiten sind für alle Domänen gleichermaßen verwendbar. Die domänenspezifischen Einheiten sind jeweils für eine Domäne spezifisch. Alternativ kann für jede Domäne des Verkehrssystems eine separate, auf die entsprechende Domäne spezialisierte Zentraleinheit verwendet werden.
  • Die mindestens eine Zentraleinheit ist eingerichtet, die Wissensbasis vor Inbetriebnahme des Steuerungssystems zu erzeugen. Pro Zentraleinheit kann dabei eine Wissensbasis erzeugt werden, die sich auf die jeweilige Domäne der Zentraleinheit bezieht. Im Falle einer Zentraleinheit, die generische und domänenspezifische Elemente aufweist, erzeugt die Zentraleinheit eine domänenspezifische Wissensbasis pro Domäne. Die Zustandsdatenbank ist über alle Domänen und für alles Wissensbasen und Zentraleinheiten die gleiche. Alle Zentraleinheiten benötigen die faktischen Informationen der Zustandsdatenbank, z. B. mögliche Lagen einer Weiche, als Basis.
  • Der Zeitpunkt der Inbetriebnahme bezieht sich auf den Start der Betriebsphase nach der Vorbereitungsphase. Durch die Generierung der Wissensbasis während der Vorbereitungsphase wird ein wohldefiniertes System zur Verfügung gestellt, das vorab bekannt ist und sich während der Betriebsphase nicht ändert. Ein wohldefiniertes System enthält dabei beispielsweise keine widersprüchlichen Bedingungen und/oder keine Bedingungen, die immer "wahr" oder immer "falsch" sind. Durch die Generierung der Wissensbasis in der Vorbereitungsphase und das Zur-Verfügung-Stellen eines wohldefinierten Systems ist ein Testen vorab möglich und es kann ein hohes Sicherheitsniveau sichergestellt werden. So ist es bspw. möglich, mit dem zu diesem Zeitpunkt einsatzbereiten System Betriebszustände des Systems zu simulieren, z.B. über Simulatoren, die aktuellen Zustände der Weichen, Signale, etc. simulieren. Es kann damit verifiziert werden, dass die gesamten Anforderungen korrekt umgesetzt wurden und dass nichts übersehen wurde. Hierdurch kann unerwünschtes Verhalten des Systems sehr schnell korrigiert werden.
  • In einer Ausführungsform der Erfindung weist das Steuerungssystem eine Systemregister-Datenbank (engl. System Registry) mit ausführbaren Dateien entsprechend den in der mindestens einen Wissensbasis enthaltenen Aktionen auf.
  • Bevorzugt ist das Steuerungssystem ein Zugsteuerungssystem für ein Zugsystem und ist in einem Stellwerk angeordnet. Es ist ebenfalls anwendbar auf Systeme, bei denen z. B. Verkehrsströme nach bestimmten Regel geführt werden müssen, z. B. bei der Verkehrssteuerung für Autos oder Flugzeuge.
  • Die mindestens eine Zentraleinheit und andere oben oder im folgenden erwähnte Einheiten (z.B. die Bedingungsauswerteeinheit, Wissensbasis, Regelbasis usw.) sind vorzugsweise als Softwarekomponenten ausgebildet, die auf einer gemeinsamen Hardware, z. B. einem Steuerrechner laufen oder aber auf verschiedenen Hardwareeinheiten.
  • Durch die Gliederung in verschiedene Softwarekomponenten kann das System schnell auf andere Gegebenheiten, z. B. andere Bahnsysteme, andere Betreiber, angepasst werden und einzelne Softwarekomponenten können wiederverwendet werden.
  • Die Erfindung betrifft auch ein Verfahren zur Vorbereitung und/oder Anpassung eines Steuersystems. Bei dem erfindungsgemäßen Verfahren wird eine Wissensbasis während einer Vorbereitungsphase des Steuersystems außerhalb einer Betriebsphase des Steuersystems aus einer Regelbasis erzeugt. Die Vorbereitungsphase dient der Vorbereitung der Betriebsphase und liegt daher zeitlich vorzugsweise vor der Betriebsphase des Steuerungssystems. Der Zeitraum für die Erstellung der mindestens einen Wissensbasis überlappt daher zeitlich nicht mit der Betriebsphase. Das bedeutet, dass die mindestens eine Wissensbasis während der Betriebsphase starr ist und sich nicht ändert.
  • Mit dem erfindungsgemäßen Verfahren kann ein Steuerungssystem an beliebige Kundenspezifikationen angepasst werden, indem lediglich die Wissensbasis gemäß den kundenspezifischen Regeln aufgebaut/modifiziert wird. Alle anderen Komponenten des Steuerungssystems können unverändert weiterbenutzt werden, ohne ein Sicherheitsrisiko einzugehen. Eine erneute Validierung und Verifikation ist nicht notwendig. Das erfindungsgemäße Verfahren ermöglicht eine einfache und sichere individuelle Konfiguration des Sicherungssystems.
  • Bevorzugt wird die mindestens eine Wissensbasis während der Vorbereitungsphase aus einer Regelbasis erzeugt.
  • Stößt die Zentraleinheit während der Erstellung der Wissensbasis in der Vorbereitungsphase auf Fehler, z. B. ein unbekanntes Element, wird der Erstellvorgang abgebrochen und auf den Fehler in der Regelbasis, aus der die Wissensbasis erstellt werden soll, hingewiesen. Somit kann bereits in der Vorbereitungsphase sichergestellt werden, dass das System wohldefiniert ist. Dies ist insbesondere für sicherheitskritische Systeme, z. B. SIL-4 Systeme, relevant. Die gewählte Datenstruktur ist außerdem vorab definiert und limitiert, so dass der Sicherheitsaspekt noch besser gewährleistet werden kann.
  • Bevorzugt wird die mindestens eine Wissensbasis während der Vorbereitungsphase auf Konsistenz und Vollständigkeit geprüft. Die Überprüfung erfolgt unter Verwendung einer Zustandsdatenbank. Die Zustandsdatenbank umfasst die möglichen Zustände der Elemente des Verkehrsnetzes.
  • Insbesondere wird geprüft, ob die durch Eigenschaften und Bitschalter definierten Zustände aus der Wissensbasis in der Zustandsdatenbank und die Aktionen aus der Wissensbasis sowie ggf. Anfragen in der Systemregister-Datenbank hinterlegt sind. In der Vorbereitungsphase wird also überprüft, ob alle in der Wissensbasis vorhandenen Aktionen, Eigenschaften, Bitschalter und evtl. Anfragen in den jeweiligen Datenbanken verfügbar sind. Durch diesen Schritt wird sichergestellt, dass alle Zustände, für die in der Wissensbasis Regeln hinterlegt sind, vorab definiert sind.
  • Darüber hinaus wird in der Vorbereitungsphase überprüft, ob die in der Wissensbasis abgelegten Daten eine Datenstruktur aufweisen, die vorzugsweise ausschließlich das Tripel Bitschalter, Eigenschaft und Aktion oder das Quadrupel Bitschalter, Eigenschaft, Aktion und Anfrage umfasst.
  • In einer Verfahrensvariante wertet die Bedingungsauswertekomponenten die Bedingungen für eine oder mehrere, vorzugsweise alle, Domänen des Verkehrsnetzes. Die Bedingungsauswertekomponenten wird dabei während der Ausführung eines Flows der Wissensbasis aktiviert und reagiert auf Eingaben vom Verkehrsnetz, die die Zustände von Elementen des Verkehrsnetzes betreffen.
  • Das vorstehend beschriebene Steuerungssystem und/oder das vorstehend beschriebene Verfahren finden vorteilhafterweise in einem sicherheitskritischen System mit Sicherheitslevel SIL4 Anwendung.
  • Weitere Vorteile der Erfindung ergeben sich aus den Ansprüchen, der Beschreibung und den Figuren. Ebenso können die vorstehend genannten und noch weiter ausgeführten Merkmale jeweils einzeln für sich oder zu mehreren, in beliebigen Kombinationen Verwendung finden. Die gezeigten und beschriebenen Ausführungsformen sind nicht als abschließende Aufzählung zu verstehen, sondern haben vielmehr beispielhaften Charakter für die Schilderung der Erfindung.
  • Es zeigen schematisch:
    • Fig. 1
    ein erfindungsgemäßes Steuerungssystem für ein Verkehrsnetz;
    Fig. 2
    Elemente einer Wissensbasis eines erfindungsgemäßen Steuerungssystems.
  • Fig. 1 zeigt schematisch ein Steuerungssystem 10 für ein Verkehrsnetz 50. Über eine Eingabeschnittstelle 28 erhält das Steuerungssystem 10 Eingaben vom Verkehrsnetz 50. Die Eingaben betreffen Zustände von Elementen des Verkehrsnetzes 50, insbesondere die Änderung von Zuständen. Über eine Ausgabeschnittstelle 26 gibt das Steuerungssystem 10 Ausgaben an das Verkehrsnetz 50 aus. Die Ausgaben sind geeignet, Zustände von Elementen des Verkehrsnetzes zu ändern.
  • Eine Zentraleinheit 12 empfängt die Eingaben des Verkehrsnetzes 50 über die Eingabeschnittstelle 28. Die Zentraleinheit 12 gibt die Ausgaben an das Verkehrsnetz 50 aus über die Ausgabeschnittstelle 26 aus. Das Steuerungssystem 10 kann auch mehrere Zentraleinheiten 12 aufweisen (nicht gezeigt). Z. B. kann für verschiedene Domänen verschiedene Zentraleinheiten 12 vorgesehen sein. Es ist jedoch auch möglich, mehrere Domänen in einer Zentraleinheit 12 abzudecken. In diesem Fall weist die Zentraleinheit 12 generische (für alle Domänen gleiche) und spezifische (für eine Domäne spezifisch) Einheiten auf.
  • Die Zentraleinheit 12 ist die zentrale Instanz des Steuerungssystems 10. Sie lädt in einer Vorbereitungsphase Regeln aus einer Regelbasis 18 und generiert daraus eine Wissensbasis 16. Die Regeln definieren die Bedingungen, unter denen Aktionen Ac (Fig. 2), die sich auf die Regeln beziehen, ausgeführt werden. Aktionen Ac sind ausführbare Dateien, die in einer Systemregister-Datenbank 24 gespeichert sind.
  • In der Vorbereitungsphase kann die Wissensbasis 16 über die Eingabeschnittstelle 28 aktualisiert werden. Die Zentraleinheit 12 stellt in der Vorbereitungsphase außerdem sicher, dass die Aktionen Ac, die in der Systemregister-Datenbank 24 gespeichert sind, mit den Regeln der Regelbasis 18 und dem Kontext des Steuerungssystems 10 zusammenpassen. In der Systemregister-Datenbank 24 sind außerdem Anfragen Qu gespeichert. Anfragen Qu sind Anfragen an die Wissensbasis 16, die die Zentraleinheit 12 ausführen kann. Z. B. kann eine Anfrage Qu auf die Topologie des Verkehrsnetzes 50 ausgeführt werden. Hierdurch können z. B. statische Informationen erfragt werden, um z. B. ein Start-Signal einer Fahrstraße herauszufinden.
  • Aktionen Ac werden in einer der Vorbereitungsphase nachfolgenden Betriebsphase ausgeführt, wenn die zughörige Regel "feuert", d. h. die zugehörige Bedingung zu "true" evaluiert wird. In der Betriebsphase triggert die Zentraleinheit 12 eine Bedingungsauswertekomponente 14 wenn sie über die Eingabeschnittstelle 28 die Änderung eines Zustandes im Verkehrsnetz 50 mitgeteilt bekommt. Die Bedingungsauswertekomponente 14 wertet die Zustandsänderung aus. Wenn eine zu einer Regel gehörige Bedingung zu "true" evaluiert wird, "feuert" die Regel und die zugehörige Aktion Ac oder die zugehörigen Aktionen Ac wird/werden ausgeführt.
  • Zum Beispiel: 
 Regel
    when Bedingung1 then Aktion1
    when Bedingung2 then Aktion2, Aktion3
    otherwise AktionN
 Ende Regel
  • Eine Regel beschreibt eine Bedingung unter der eine Aktion Ac ausgeführt wird, als booleschen Ausdruck mit Vergleichsoperationen für die Eigenschaften. Die booleschen Ausdrücke beziehen sich auf die Zustände und Eigenschaften des Verkehrsnetzes 50. Während der Vorbereitungsphase und vor der Erstellung der Wissensbasis 16 werden die Regeln in der Regelbasis 18 auf Konsistenz überprüft, um sicherzustellen, dass die Regeln in System wirklich gebraucht werden und um sie für eine effiziente Abarbeitung zu optimieren. Diese Überprüfung auf Konsistenz erfolgt bevorzugt durch eine separate Software, die diese Überprüfung automatisch ausführt.
  • In der Systemregister-Datenbank 24 wird sichergestellt, dass die Beziehungen zwischen den Regeln und den Aktionen Ac und ggf. Anfragen Qu definiert sind, dass die Aktionen Ac und ggf. Anfragen Qu eindeutig sind und dass die Zentraleinheit 12 Zugriff auf die Aktionen Ac und ggf. Anfragen Qu hat.
  • Die Bedingungsauswertekomponente 14 speichert die Regeln in optimierter Form, stellt sicher, dass alle Zustände, die von den Regeln überprüft werden, in einer Zustandsdatenbank 22 vorhanden sind und optimiert die Evaluierung der Bedingungen einer Regel. Die Zustandsdatenbank 22 speichert alle möglichen Zustände aller Elemente des Verkehrsnetzes.
  • Zustandsänderungen im Verkehrsnetz 50 können z. B. durch Teilnehmer des Verkehrsnetzes 50, also Elemente wie z. B. Züge bewirkt werden. Beispiele sind, dass ein Gleisabschnitt von einem Zug belegt oder verlassen wird, oder dass eine Weiche von einem Zug aufgefahren wird. Zustandsänderungen im Verkehrsnetz 50 können z. B. auch von Feldelementen (Elementen im Feld) bewirkt werden. Beispiele sind, dass eine Weiche die Überwachung verliert, d. h. in irgendeiner Form defekt ist, oder dass ein Signal gestellt wird. Zustandsänderungen im Verkehrsnetz 50 können z. B. auch durch Kommandos eines Operators bewirkt werden. Beispiele sind ein Nothalt, d. h. ein Signal wird hart auf "rot" gestellt. Diese Zustandsänderung des Signals des Verkehrsnetzes 50 triggert ein Ereignis, das wiederum zu einer Reaktion des Steuerungssystems 10 führt. Zustandsänderungen des Verkehrsnetzes 50 können auch Kommandos des Steuerungssystems 10 selbst sein. Beispiele sind das Stellen einer Fahrstraße, was evtl. zum Umlaufen einer Weiche führt. Dieses Umlaufen der Weiche triggert wiederum Ereignisse, die von dem Steuerungssystem 10 überwacht werden.
  • Zusammenfassend kommuniziert das Steuerungssystem 10 mit dem Verkehrsnetz 50, indem die Zentraleinheit 12 in der Wissensbasis Flows F, F.1 (Fig. 2) auslöst. Im Rahmen von Flows F, F.1 werden Regeln ausgewertet und die Ausführung von Aktionen Ac ausgelöst. Die Aktionen Ac wiederum lösen Kommandos an das Verkehrsnetz 50 aus.
  • Die Zentraleinheit 12 erhält vom Flow F, F.1 die Rückmeldung ob seine Ausführung erfolgreich war. Ein Flow F, F.1 ist dann erfolgreich wenn
    • alle Bedingungen erfolgreich evaluiert werden konnten und
    • alle Regeln, die gefeuert haben (Bedingung ist "true"), ausgeführt werden konnten und
    • alle Aktionen Ac als Teil der Regeln ausgeführt werden konnten.
  • Die Zentraleinheit 12 erhält negativen Bescheid wenn,
    • z. B. eine Bedingung von einem Element des Verkehrsnetzes 50 abgefragt wurde, das z.B. die in der Bedingung abgefragten Bitschalter/Zustände nicht kennt,
    • z. B. eine Aktion Ac nicht erfolgreich von einem Element des Verkehrsnetzes 50 abgearbeitet werden konnte.
  • Bei einem solchen negativen Bescheid kann es zu einer Sicherheits-Reaktion kommen: z.B. alles "rot", aller Verkehr im Verkehrsnetz 50 stoppt. Damit wird ein solcher inkonsistenter Zustand detektiert und das System geht in den sicheren Zustand über.
  • Das Steuerungssystem 10 hat außerdem eine Benutzerschnittstelle (nicht dargestellt) aufweisen, über die eine Person, z. B. ein Operator, mit dem Steuerungssystem 10 kommunizieren kann. Über die Benutzerschnittstelle kann z. B. eine Fahrstraße eingestellt werden. Eine Anzeige auf z. B. einem Bildschirm der Benutzerschnittstelle ist das Ergebnis von sog. Indication-Regeln. Die Anzeige ist abhängig vom Zustand des Verkehrsnetzes 50, z.B. eine Weiche liegt "links" wird über Regeln berechnet und so auf der Anzeige dargestellt. Für komplexere Darstellungen, z. B. bei Fahrstraßen, die den Zustand "überwacht" haben, wird das Ergebnis der Regeln über Aktionen Ac an die Anzeige weitergegeben. Ein Kommando des Operators wird mit Hilfe eines Ereignisses an das Steuerungssystem 10 weitergeleitet. Dieses Ereignis wird von der Zentraleinheit 12 ausgewertet.
  • Die Zentraleinheit 12 kann einen Parser, z. B. XML-Parser, (nicht dargestellt) sowie einen Flow-SpecificationsLoader (nicht dargestellt) umfassen, die beide generisch für alle Domänen sind. Der Parser und der Flow-SpecificationsLoader sind Softwarekomponenten innerhalb der Zentraleinheit 12. Die Zentraleinheit 12 bedient sich des Parsers um die Regeln beim Erstellen der Wissensbasis 16 einzulesen. Die Zentraleinheit 12 bedient sich außerdem des Flow-SpecificationsLoader, um die Aktionen Ac und Anfragen Qu beim Erstellen der Flows F, F.1 der Wissensbasis 16 aus einer Systemregister-Datenbank (engl. System Registry) 20 zu laden.
  • In Fig. 2 sind schematisch Elemente der Wissensbasis 16 dargestellt. Ein Flow F ist eine Regel oder eine Abfolge von Regeln mit damit verbundenen Aktionen Ac. Ein Flow F kann die folgenden Elemente ausführen: Aktivität Regel RA, Aktivität Aktion AcA, Aktivität Zuweisung AssA und Aktivität Anfrage QuA. Die Aktivität Regel RA beinhaltet boolesche Ausdrücke inklusive Vergleichsoperationen für Eigenschaften, die in der Bedingungsauswertekomponente 14 ausgewertet werden. Die Bedingungsauswertekomponente 14 greift hierfür auf die Zustandsdatenbank 22 zurück und erhält Informationen über Zustandsänderungen von der Zentraleinheit 12. Falls eine Regel während der Aktivität Regel RA zu "true" evaluiert wird, wird eine der folgenden Aktivitäten ausgeführt: Aktivität Aktion AcA, Aktivität Zuweisung AssA und Aktivität Anfrage QuA. Während der Aktivität Aktion AcA wird mind. eine Aktion Ac ausgeführt. Während der Aktivität Anfrage QuA wird mind. eine Anfrage Qu ausgeführt. Anfragen Qu sind Anfragen an die Wissensbasis 16, die die Zentraleinheit 12 ausführen kann. Während der Aktivität Zuweisung AssA wird einem Datum der Wissensbasis ein neuer Wert zugewiesen. Eine nicht in Fig. 2 dargestellt Aktivität kann eine Anfrage sein, die Bedingungen für eine Menge von Elementen abfragen (Aggregation).
  • Flows F.1 sind von der Struktur wie die Flows F aufgebaut, also Regeln, Abfolgen von Regeln oder nur Aktionen Ac, die bedingungslos ausgeführt werden. Die Flows F.1 werden von der Bedingungsauswertekomponente 14 angestoßen.
    • Bezugszeichenliste
    • 10
    Steuerungssystem
    12
    Zentraleinheit
    14
    Bedingungsauswertekomponente
    16
    Wissensbasis
    18
    Regelbasis
    20
    Systemregister-Datenbank
    22
    Zustandsdatenbank
    24
    Register-Datenbank
    26
    Ausgabeschnittstelle
    28
    Eingabeschnittstelle
    50
    Verkehrsnetz
    Ac
    Aktion
    Qu
    Anfrage
    F
    Flow
    F.1
    weiterer Flow
    RA
    Aktivität Regel
    AcA
    Aktivität Aktion
    AssA
    Aktivität Zuweisung
    QuA
    Aktivität Anfrage

    Claims (15)

    1. Steuerungssystem (10) für ein Verkehrsnetz (50),
      aufweisend eine Ausgabeschnittstelle (26), die eingerichtet ist, während einer Betriebsphase Ausgaben an das Verkehrsnetz (50) auszugeben, wobei die Ausgaben Zustände von Elementen des Verkehrsnetzes (50) verändern können,
      weiter aufweisend eine Eingabeschnittstelle (28), die eingerichtet ist, während der Betriebsphase Eingaben (28) vom Verkehrsnetz (50) zu empfangen, wobei die Eingaben Zustände von Elementen des Verkehrsnetzes (50) betreffen,
      dadurch gekennzeichnet, dass das Steuerungssystem (10) eine Wissensbasis (16) umfasst, die während einer Vorbereitungsphase außerhalb der Betriebsphase aus einer Regelbasis (18) erzeugt wurde, und wobei die in der Wissensbasis (16) hinterlegten Daten eine Datenstruktur aufweisen, die ein Tripel Bitschalter, Eigenschaft und Aktion umfasst.
    2. Steuerungssystem nach Anspruch 1, dadurch gekennzeichnet, dass die Wissensbasis (16) während der Betriebsphase starr ist.
    3. Steuerungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Steuerungssystem (10) mindestens eine Zustandsdatenbank (22) aufweist, die mögliche Zustände der Elemente des Verkehrsnetzes (50) umfasst.
    4. Steuerungssystem nach Anspruch 3, dadurch gekennzeichnet, dass die Elemente des Verkehrsnetzes (50) einer oder mehreren verschiedenen Domänen zugeordnet sind, wobei eine Domäne ein Problemfeld oder ein Anwendungsgebiet innerhalb des Verkehrsnetzes (50) darstellt.
    5. Steuerungssystem nach Anspruch 4, dadurch gekennzeichnet, dass es eine Bedingungsauswertekomponente (14) aufweist, die ausgebildet ist, Bedingungen für eine oder mehrere, vorzugsweise alle, Domänen des Verkehrsnetzes (50) auszuwerten.
    6. Steuerungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es mindestens eine Zentraleinheit (12) aufweist, die eingerichtet ist, über die Eingabeschnittstelle (28) die Eingaben des Verkehrsnetzes zu erhalten und über die Ausgabeschnittstelle (26) die Ausgaben an das Verkehrsnetz auszugeben, wobei die mindestens eine Zentraleinheit (12) weiter eingerichtet ist, nach Erhalt einer Eingabe des Verkehrsnetzes (50) die Eingabe an die Wissensbasis (16) weiterzuleiten.
    7. Steuerungssystem nach Anspruch 6 und 4, dadurch gekennzeichnet, dass für jede Domäne eine Zentraleinheit (12) vorgesehen ist.
    8. Steuerungssystem nach Anspruch 6 oder 7 in Verbindung mit Anspruch 3, dadurch gekennzeichnet, dass die mindestens eine Zentraleinheit (12) eingerichtet ist, die Zustandsdatenbank (22) vor Inbetriebnahme des Steuerungssystems (10) zu erzeugen.
    9. Steuerungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Steuerungssystem (10) eine Systemregister-Datenbank (20) mit ausführbaren Dateien entsprechend den in der Wissensbasis (16) enthaltenen Aktionen (Ac) umfasst.
    10. Steuerungssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Steuerungssystem ein Zugsteuerungssystem ist und insbesondere in einem Stellwerk angeordnet ist.
    11. Verfahren zur Vorbereitung und/oder Anpassung eines Steuerungssystems (10) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Wissensbasis (16) während der Vorbereitungsphase des Steuerungssystems (10) außerhalb der Betriebsphase des Steuerungssystems (10) aus einer Regelbasis (18) erzeugt wird.
    12. Verfahren nach Anspruch 11 in Verbindung mit dem Steuerungssystem nach Anspruch 3, gekennzeichnet durch den Schritt, dass die Wissensbasis (16) während der Vorbereitungsphase auf Konsistenz und Vollständigkeit überprüft wird, wobei die Überprüfung unter Verwendung der Zustandsdatenbank (22) erfolgt, wobei die Zustandsdatenbank (22) mögliche Zustände der Elemente des Verkehrsnetzes (50) umfasst.
    13. Verfahren nach Anspruch 12 in Verbindung mit dem Steuerungssystem nach Anspruch 5, gekennzeichnet dadurch, dass die Bedingungsauswertekomponente (14) die Bedingungen für eine oder mehrere, vorzugsweise alle, Domänen des Verkehrsnetzes (50) auswertet.
    14. Verfahren gemäß einem der Ansprüche 11 bis 13 für ein sicherheitskritisches System mit mindestens Sicherheitslevel SIL 4.
    15. Verwendung eines Steuerungssystems gemäß einem der Ansprüche 1 bis 10 in einem sicherheitskritischen System mit mindestens Sicherheitslevel SIL 4.
    EP19214093.7A 2019-12-06 2019-12-06 Steuerungssystem für ein verkehrsnetz und verfahren zur vorbereitung und/oder anpassung eines solchen steuerungssystems Active EP3831692B1 (de)

    Priority Applications (12)

    Application Number Priority Date Filing Date Title
    PT192140937T PT3831692T (pt) 2019-12-06 2019-12-06 Sistema de comando para uma rede de tráfego e procedimento para preparação e/ou adaptação desse sistema de comando
    ES19214093T ES3021416T3 (en) 2019-12-06 2019-12-06 Control system for a traffic network and method for preparing and/or adapting such a control system
    EP19214093.7A EP3831692B1 (de) 2019-12-06 2019-12-06 Steuerungssystem für ein verkehrsnetz und verfahren zur vorbereitung und/oder anpassung eines solchen steuerungssystems
    PL19214093.7T PL3831692T3 (pl) 2019-12-06 2019-12-06 Układ sterowania dla sieci transportowej i sposób przygotowania i/albo dopasowania takiego układu sterowania
    HUE19214093A HUE071548T2 (hu) 2019-12-06 2019-12-06 Közlekedési hálózat vezérlõrendszere, valamint eljárás egy ilyen vezérlõrendszer elõkészítésére és/vagy módosítására
    FIEP19214093.7T FI3831692T3 (fi) 2019-12-06 2019-12-06 Liikenneverkon ohjausjärjestelmä ja menetelmä tällaisen ohjausjärjestelmän valmistelemiseksi ja/tai mukauttamiseksi
    DK19214093.7T DK3831692T3 (da) 2019-12-06 2019-12-06 Styresystem til et trafiknetværk og fremgangsmåde til forberedelse og/eller tilpasning af et sådant styresystem
    PCT/EP2020/083896 WO2021110586A1 (de) 2019-12-06 2020-11-30 Steuerungssystem für ein verkehrsnetz und verfahren zur vorbereitung und/oder anpassung eines solchen steuerungssystems
    CA3159709A CA3159709A1 (en) 2019-12-06 2020-11-30 Control system for a traffic network and method for preparing and/or adapting such a control system
    AU2020398331A AU2020398331A1 (en) 2019-12-06 2020-11-30 Control system for a traffic network and method for preparing and/or adapting such a control system
    IL293404A IL293404A (en) 2019-12-06 2020-11-30 A control system for a traffic network and a method for preparing and/or adjusting such a control system
    KR1020227019206A KR20220106772A (ko) 2019-12-06 2020-11-30 교통망을 위한 제어 시스템 및 이러한 제어 시스템을 준비 및/또는 적응시키기 위한 방법

    Applications Claiming Priority (1)

    Application Number Priority Date Filing Date Title
    EP19214093.7A EP3831692B1 (de) 2019-12-06 2019-12-06 Steuerungssystem für ein verkehrsnetz und verfahren zur vorbereitung und/oder anpassung eines solchen steuerungssystems

    Publications (2)

    Publication Number Publication Date
    EP3831692A1 EP3831692A1 (de) 2021-06-09
    EP3831692B1 true EP3831692B1 (de) 2025-01-15

    Family

    ID=68808153

    Family Applications (1)

    Application Number Title Priority Date Filing Date
    EP19214093.7A Active EP3831692B1 (de) 2019-12-06 2019-12-06 Steuerungssystem für ein verkehrsnetz und verfahren zur vorbereitung und/oder anpassung eines solchen steuerungssystems

    Country Status (12)

    Country Link
    EP (1) EP3831692B1 (de)
    KR (1) KR20220106772A (de)
    AU (1) AU2020398331A1 (de)
    CA (1) CA3159709A1 (de)
    DK (1) DK3831692T3 (de)
    ES (1) ES3021416T3 (de)
    FI (1) FI3831692T3 (de)
    HU (1) HUE071548T2 (de)
    IL (1) IL293404A (de)
    PL (1) PL3831692T3 (de)
    PT (1) PT3831692T (de)
    WO (1) WO2021110586A1 (de)

    Citations (11)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4122523A (en) 1976-12-17 1978-10-24 General Signal Corporation Route conflict analysis system for control of railroads
    EP0132548B1 (de) 1983-06-28 1988-03-30 Siemens Aktiengesellschaft Einrichtung zum Betrieb eines rechnergesteuerten Stellwerkes
    DE3735682A1 (de) 1986-10-29 1988-05-11 Alcatel Nv Einrichtung zum steuern eines stellwerks
    EP0581281A1 (de) 1992-07-30 1994-02-02 Aeg Transportation Systems, Inc. Regelbasierte Verriegelungsvorrichtung unter Verwendung von virtuellen Gattern
    DE10030305A1 (de) 2000-05-11 2001-11-29 Schreck Mieves Gmbh Verfahren und System zur Optimierung der Instandhaltung von Fahrwegen, insbesondere von Gleisanlagen
    EP1490253B1 (de) * 2002-02-22 2008-07-02 Alstom Ferroviaria S.P.A. Verfahren und vorrichtung zur erzeugung logischer steuereinheiten für in eisenbahnstationen basierten lebenswichtigen rechnergeräten
    US7539624B2 (en) 1994-09-01 2009-05-26 Harris Corporation Automatic train control system and method
    US20090143928A1 (en) 2007-11-30 2009-06-04 Ghaly Nabil N Method & apparatus for an interlocking control device
    AU2006243884B2 (en) 2000-08-17 2010-06-10 General Electric Company Method and apparatus for vehicle management
    EP3258400A1 (de) 2016-06-14 2017-12-20 ALSTOM Transport Technologies Verfahren und entwurfssystem zum entwerfen eines verriegelungsteuerungssystems
    EP3564091A1 (de) 2018-04-30 2019-11-06 Siemens Aktiengesellschaft Verfahren und anordnung zur fehlerdetektion in einem weichensystem

    Family Cites Families (1)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    ES2844725T3 (es) 2016-03-03 2021-07-22 Thales Man & Services Deutschland Gmbh Método de control de vehículos en caso de situación de conflicto y sistema de apoyo a la decisión

    Patent Citations (11)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4122523A (en) 1976-12-17 1978-10-24 General Signal Corporation Route conflict analysis system for control of railroads
    EP0132548B1 (de) 1983-06-28 1988-03-30 Siemens Aktiengesellschaft Einrichtung zum Betrieb eines rechnergesteuerten Stellwerkes
    DE3735682A1 (de) 1986-10-29 1988-05-11 Alcatel Nv Einrichtung zum steuern eines stellwerks
    EP0581281A1 (de) 1992-07-30 1994-02-02 Aeg Transportation Systems, Inc. Regelbasierte Verriegelungsvorrichtung unter Verwendung von virtuellen Gattern
    US7539624B2 (en) 1994-09-01 2009-05-26 Harris Corporation Automatic train control system and method
    DE10030305A1 (de) 2000-05-11 2001-11-29 Schreck Mieves Gmbh Verfahren und System zur Optimierung der Instandhaltung von Fahrwegen, insbesondere von Gleisanlagen
    AU2006243884B2 (en) 2000-08-17 2010-06-10 General Electric Company Method and apparatus for vehicle management
    EP1490253B1 (de) * 2002-02-22 2008-07-02 Alstom Ferroviaria S.P.A. Verfahren und vorrichtung zur erzeugung logischer steuereinheiten für in eisenbahnstationen basierten lebenswichtigen rechnergeräten
    US20090143928A1 (en) 2007-11-30 2009-06-04 Ghaly Nabil N Method & apparatus for an interlocking control device
    EP3258400A1 (de) 2016-06-14 2017-12-20 ALSTOM Transport Technologies Verfahren und entwurfssystem zum entwerfen eines verriegelungsteuerungssystems
    EP3564091A1 (de) 2018-04-30 2019-11-06 Siemens Aktiengesellschaft Verfahren und anordnung zur fehlerdetektion in einem weichensystem

    Non-Patent Citations (3)

    * Cited by examiner, † Cited by third party
    Title
    GOERIGK W, SCHAEFER H: "Neue Wege in der Entwicklung von SPS-basierten elektronischen Stellwerken", SIGNAL UND DRAHT: SIGNALLING & DATACOMMUNICATION, EURAILPRESS, DE, vol. 103, no. 10, 1 October 2011 (2011-10-01), DE , pages 14 - 19, XP001569146, ISSN: 0037-4997
    GOERIGK WOLFGANG, VON HANXLEDEN REINHARD, HASSELBRING WILHELM, HENNINGS GREGOR, JUNG REINER, NEUSTOCK HOLGER, SCHAEFER HEIKO, SCHN: "Entwurf einer domänenspezifischen Sprache für elektronische Stellwerke *", LNI, 1 January 2012 (2012-01-01), XP093330950, Retrieved from the Internet <URL:https://menges.informatik.uni-kiel.de/dsl4rtsys.pdf>
    SCHUBATH, GROTHEER: "Neues SIMIS-W-Stellwerk in Polen", SIGNAL + DRAHT , vol. 94, June 2002 (2002-06-01), XP093189443

    Also Published As

    Publication number Publication date
    KR20220106772A (ko) 2022-07-29
    EP3831692A1 (de) 2021-06-09
    WO2021110586A1 (de) 2021-06-10
    DK3831692T3 (da) 2025-04-14
    IL293404A (en) 2022-07-01
    HUE071548T2 (hu) 2025-09-28
    FI3831692T3 (fi) 2025-04-11
    CA3159709A1 (en) 2021-06-10
    AU2020398331A1 (en) 2022-06-09
    PT3831692T (pt) 2025-04-14
    ES3021416T3 (en) 2025-05-26
    PL3831692T3 (pl) 2025-07-14

    Similar Documents

    Publication Publication Date Title
    DE60318959T2 (de) Einrichtung und verfahren zur prüfung von logischen eisenbahn-software-engines für kommandoanlagen insbesondere stationsanlagen
    DE60017457T2 (de) Verfahren zur isolierung eines fehlers in fehlernachrichten
    WO2018137856A1 (de) Verfahren und vorrichtung zum rechnergestützten erstellen und ausführen einer steuerfunktion
    EP0856792B1 (de) Verfahren zur sicheren Darstellung eines Bildes auf einem Monitor
    EP2927819A1 (de) Verfahren zur automatischen Verarbeitung einer Anzahl von Protokolldateien eines Automatisierungssystems
    WO2024126442A1 (de) Verfahren zum automatischen erstellen eines testskripts
    EP3831692B1 (de) Steuerungssystem für ein verkehrsnetz und verfahren zur vorbereitung und/oder anpassung eines solchen steuerungssystems
    WO2016146504A1 (de) Verfahren und vorrichtung zum verarbeiten und übertragen von daten innerhalb eines funktional sicheren elektrischen, elektronischen und/oder programmierbar elektronischen systems
    WO2021233696A1 (de) Verfahren zur sicheren nutzung von kryptografischem material
    EP0920391B1 (de) Verfahren zur steuerung und überwachung einer verkehrstechnischen anlage
    EP3312073B1 (de) Verfahren zur prüfung eines eisenbahnsystems und eisenbahnsystem
    EP2193973B1 (de) Verfahren und Vorrichtung zur Prüfung von Zugbeeinflussungseinheiten mit Zustandsdaten von Streckensignalen bei Relaisstellwerken
    EP3448735B1 (de) Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems
    DE19640346A1 (de) Verfahren zum Überprüfen eines gemäß einem Kommunikationsprotokoll durchgeführten Datenaustausches
    DE102005023296B4 (de) Zugbeeinflussungssystem
    EP3483033A1 (de) Verfahren und onboard-steuereinheit zum steuern und/oder überwachen von komponenten eines schienenfahrzeugs
    DE10017708B4 (de) Verfahren zum Steuern von Mechanismen und technischen Systemen, Einrichtung und Steuerungssoftware
    EP3686080B1 (de) Verfahren zum sicheren bedienen einer eisenbahntechnischen anlage und netzwerkknoten eines datennetzwerks
    EP3580114B1 (de) Verfahren und vorrichtung zum einstellen wenigstens einer fahrstrasse einer eisenbahntechnischen anlage
    DE102018204904A1 (de) Vorrichtung und Verfahren zur Überwachung eines Objekts im Schienenverkehr
    EP3987365B1 (de) Selbstlernende routine für kompatibilitätsprüfung
    DE102018217728A1 (de) Verfahren und Vorrichtung zum Schätzen von mindestens einer Leistungskennzahl eines Systems
    EP4541688A1 (de) Leittechnik-system für die steuerung industrieller prozess mit mehrschichtigem runtime-framework und konfigurierbarer systemüberprüfung
    AT521931B1 (de) Verfahren zum Vergleich von zwei Modellen die nebenläufige Systeme beschreiben
    EP4509384A1 (de) Leittechnik-system für die steuerung industrieller prozess mit mehrschichtigem runtime-framework

    Legal Events

    Date Code Title Description
    PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

    Free format text: ORIGINAL CODE: 0009012

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED

    AK Designated contracting states

    Kind code of ref document: A1

    Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

    17P Request for examination filed

    Effective date: 20211117

    RAV Requested validation state of the european patent: fee paid

    Extension state: TN

    Effective date: 20211117

    Extension state: MA

    Effective date: 20211117

    RAX Requested extension states of the european patent have changed

    Extension state: ME

    Payment date: 20211117

    Extension state: BA

    Payment date: 20211117

    RBV Designated contracting states (corrected)

    Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

    RAP1 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: GTS DEUTSCHLAND GMBH

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: EXAMINATION IS IN PROGRESS

    17Q First examination report despatched

    Effective date: 20230531

    GRAP Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOSNIGR1

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: GRANT OF PATENT IS INTENDED

    RIC1 Information provided on ipc code assigned before grant

    Ipc: B61L 27/20 20220101ALI20240729BHEP

    Ipc: B61L 27/04 20060101ALI20240729BHEP

    Ipc: B61L 27/00 20060101AFI20240729BHEP

    INTG Intention to grant announced

    Effective date: 20240807

    RAP3 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: HITACHI RAIL GTS DEUTSCHLAND GMBH

    GRAS Grant fee paid

    Free format text: ORIGINAL CODE: EPIDOSNIGR3

    GRAA (expected) grant

    Free format text: ORIGINAL CODE: 0009210

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: THE PATENT HAS BEEN GRANTED

    AK Designated contracting states

    Kind code of ref document: B1

    Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: EP

    Ref country code: GB

    Ref legal event code: FG4D

    Free format text: NOT ENGLISH

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R096

    Ref document number: 502019012801

    Country of ref document: DE

    REG Reference to a national code

    Ref country code: IE

    Ref legal event code: FG4D

    Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

    REG Reference to a national code

    Ref country code: FI

    Ref legal event code: FGE

    REG Reference to a national code

    Ref country code: DK

    Ref legal event code: T3

    Effective date: 20250409

    Ref country code: PT

    Ref legal event code: SC4A

    Ref document number: 3831692

    Country of ref document: PT

    Date of ref document: 20250414

    Kind code of ref document: T

    Free format text: AVAILABILITY OF NATIONAL TRANSLATION

    Effective date: 20250408

    REG Reference to a national code

    Ref country code: SE

    Ref legal event code: TRGR

    REG Reference to a national code

    Ref country code: NL

    Ref legal event code: FP

    REG Reference to a national code

    Ref country code: ES

    Ref legal event code: FG2A

    Ref document number: 3021416

    Country of ref document: ES

    Kind code of ref document: T3

    Effective date: 20250526

    P01 Opt-out of the competence of the unified patent court (upc) registered

    Free format text: CASE NUMBER: APP_20149/2025

    Effective date: 20250428

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: RS

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20250415

    REG Reference to a national code

    Ref country code: LT

    Ref legal event code: MG9D

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: IS

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20250515

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: HR

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20250115

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: LV

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20250115

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: BG

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20250115

    Ref country code: GR

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20250416

    REG Reference to a national code

    Ref country code: SK

    Ref legal event code: T3

    Ref document number: E 46481

    Country of ref document: SK

    REG Reference to a national code

    Ref country code: HU

    Ref legal event code: AG4A

    Ref document number: E071548

    Country of ref document: HU

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: SM

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20250115

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R026

    Ref document number: 502019012801

    Country of ref document: DE

    PLBI Opposition filed

    Free format text: ORIGINAL CODE: 0009260

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: EE

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20250115

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: L10

    Free format text: ST27 STATUS EVENT CODE: U-0-0-L10-L00 (AS PROVIDED BY THE NATIONAL OFFICE)

    Effective date: 20251022

    PLAX Notice of opposition and request to file observation + time limit sent

    Free format text: ORIGINAL CODE: EPIDOSNOBS2

    26 Opposition filed

    Opponent name: SIEMENS MOBILITY GMBH

    Effective date: 20251014

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: PT

    Payment date: 20251124

    Year of fee payment: 7

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: U11

    Free format text: ST27 STATUS EVENT CODE: U-0-0-U10-U11 (AS PROVIDED BY THE NATIONAL OFFICE)

    Effective date: 20260101

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: DE

    Payment date: 20251126

    Year of fee payment: 7

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: GB

    Payment date: 20251127

    Year of fee payment: 7

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: NO

    Payment date: 20251210

    Year of fee payment: 7

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: AT

    Payment date: 20251126

    Year of fee payment: 7

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: IT

    Payment date: 20251126

    Year of fee payment: 7

    Ref country code: FI

    Payment date: 20251211

    Year of fee payment: 7

    Ref country code: DK

    Payment date: 20251212

    Year of fee payment: 7

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: NL

    Payment date: 20251215

    Year of fee payment: 7

    Ref country code: FR

    Payment date: 20251128

    Year of fee payment: 7

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: BE

    Payment date: 20251231

    Year of fee payment: 7

    Ref country code: TR

    Payment date: 20251127

    Year of fee payment: 7

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: SE

    Payment date: 20251126

    Year of fee payment: 7

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: CZ

    Payment date: 20251125

    Year of fee payment: 7

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: PL

    Payment date: 20251128

    Year of fee payment: 7

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: RO

    Payment date: 20251127

    Year of fee payment: 7

    VS25 Lapsed in a validation state [announced via postgrant information from nat. office to epo]

    Ref country code: MA

    Free format text: FAILURE TO ELECT DOMICILE IN THE NATIONAL COUNTRY

    Effective date: 20250416

    PLBB Reply of patent proprietor to notice(s) of opposition received

    Free format text: ORIGINAL CODE: EPIDOSNOBS3