ES2241743T3 - Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento. - Google Patents
Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento.Info
- Publication number
- ES2241743T3 ES2241743T3 ES01250330T ES01250330T ES2241743T3 ES 2241743 T3 ES2241743 T3 ES 2241743T3 ES 01250330 T ES01250330 T ES 01250330T ES 01250330 T ES01250330 T ES 01250330T ES 2241743 T3 ES2241743 T3 ES 2241743T3
- Authority
- ES
- Spain
- Prior art keywords
- computer
- terms
- computers
- secure
- commercial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L21/00—Station blocking between signal boxes in one yard
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L19/00—Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
- B61L19/06—Interlocking devices having electrical operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Safety Devices In Control Systems (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
- Road Repair (AREA)
- Control Of Steam Boilers And Waste-Gas Boilers (AREA)
- Hardware Redundancy (AREA)
- Control And Safety Of Cranes (AREA)
- Regulating Braking Force (AREA)
Abstract
Procedimiento para el control de un proceso de servicio ferroviario de seguridad crítica utilizando al menos un ordenador seguro en términos de tecnología de señalización, que emite a partir de comandos entrantes, de acuerdo con el reglamento de servicio ferroviario, de una manera segura en términos de tecnología de señalización, instrucciones de ajuste procesadas de una manera segura en términos de tecnología de señalización a elementos del proceso y alimenta mensajes procedentes desde allí a una supervisión del estado del proceso y al control del proceso, caracterizado porque en el ordenador seguro (SR*) solamente se deposita un software del sistema (V, PMS), cuyos programas facultan al ordenador seguro para realizar una entrada / salida segura en términos de tecnología de señalización y la comparación de datos segura en términos de tecnología de señalización, y porque el software (BO) específico de la administración ferroviaria, que contiene las condiciones y dependencias para el procesode servicio ferroviario, predeterminadas por una administración ferroviaria a través de su reglamento de servicio ferroviario, es depositado en al menos un ordenador comercial (R1, R2), seguro en términos de tecnología de señalización, porque desde el ordenador seguro en términos de tecnología de señalización, a partir de los comandos (K) y mensajes (M) alimentados al mismo, son generados encargos de procesamiento (A) y son transmitidos al o a los ordenadores comerciales, porque los encargos de procesamiento son procesados allí al menos dos veces de una manera independiente entre sí, porque los resultados (E) procesados en este caso y/o los resultados provisionales son transmitidos a los ordenadores seguros y es verificada allí la coincidencia de su contenido de una manera segura en términos de tecnología de señalización, siendo aceptados por el ordenador seguro solamente aquellos resultados y/o resultados provisionales y siendo emitidas solamente aquellas instrucciones de ajuste (SB) quese pueden derivar de ellos con seguridad en términos de tecnología de señalización al proceso (BA), que han sido proporcionados por el ordenador comercial al menos dos veces con contenido coincidente.
Description
Procedimiento para el control de un proceso de
seguridad crítica en el servicio ferroviario e instalación para la
realización de este procedimiento.
La invención se refiere a un procedimiento según
el preámbulo de la reivindicación 1 de la patente así como a una
instalación para la realización de este procedimiento según el
preámbulo de la reivindicación 12 de la patente.
Los procesos del servicio ferroviario pertenecen
a los procesos de seguridad crítica, porque las eventuales
funciones erróneas, si no son reconocidas oportunamente y se evita
su repercusión sobre el proceso, pueden conducir a daños reales
considerables y, dado el caso, también a amenazas para las
personas. Por este motivo, para el control de tales procesos se
emplean hasta ahora instalaciones seguras en términos de tecnología
de señalización, cuyo cometido es reconocer las funciones erróneas
tanto dentro del proceso a controlar como también dentro del
control del proceso propiamente dicho y conducir o bien dejar el
proceso a continuación en un estado seguro. Tales controles seguros
en términos de tecnología de señalización pueden estar realizados en
diferentes técnicas, por ejemplo en técnica de relés o en técnica
electrónica. En el caso del control de procesos seguros en términos
de tecnología de señalización a través de ordenador se emplean
hasta ahora ordenadores especiales caros, que procesan en dos
canales las tareas de procesamiento existentes y se comparan
continuamente en términos de tecnología de señalización con
seguridad con ciclos de procesamiento coincidentes en cuanto al
contenido. Solamente se realiza una salida de las instrucciones de
ajuste procesadas en elementos del proceso a controlar cuando ambos
canales de procesamiento han alcanzado en cada caso el mismo
resultado; en otro caso, se interrumpe la comunicación con el
proceso, a no ser que exista al menos un ordenador de reserva, que
puede asumir y asume realmente las funciones del ordenador
averiado.
Las funciones mencionadas anteriormente de la
entrada y salida segura de datos así como de la comparación de los
datos, dado el caso, con desconexión segura de elementos del
proceso, son provocadas a través de software del sistema de los
ordenadores seguros. Además, los ordenadores seguros contienen hasta
ahora también todavía el software específico de la administración
ferroviaria para el control del proceso propiamente dicho, es
decir, el funcionamiento del mecanismo de ajuste. El software
específico de la administración ferroviaria se determina a través
del reglamento de servicio de la administración ferroviaria
respectiva y describe, por ejemplo, las dependencias,
predeterminadas por ella, del ajuste de los itinerarios y de la
resolución de los itinerarios (Signal + Draht, 77 (1985) 12, páginas
259-265). El software específico de la
administración ferroviaria no sólo es diferente de una
administración ferroviaria a otra, sino al menos parcialmente
también diferente de una instalación a otra de la misma
administración ferroviaria. Esto significa que el software a cargar
y ejecutar en un ordenador seguro en términos de tecnología de
señalización es diferente de un caso de aplicación a otro, debiendo
verificarse y acreditarse para cada caso de aplicación la ausencia
de errores del software cargado a través de una verificación de la
seguridad. Esto conduce en cada ordenador, debido a la
multiplicación del software del sistema y del software específico
de la administración ferroviaria, a paquetes de software complejos,
que se pueden comprender mal y que son costosos de tiempo y caros en
la creación y en la verificación. El documento EP 0503336 A2
publica otro ejemplo de un control seguro en términos de tecnología
de señalización.
El cometido de la presente invención es indicar
un procedimiento para el control de un proceso de servicio
ferroviario de seguridad crítica según el preámbulo de la
reivindicación 1 de la patente, que es menos costoso en la creación
de los programas necesarios para el control seguro del proceso y
que posibilita reaccionar de una manera rápida y de coste favorable
a eventuales requerimientos modificados de un operador ferroviario
en el control de procesos. Además, cometido de la invención es
indicar una instalación para la realización de este
procedimiento.
La invención soluciona este cometido por medio de
las características de la reivindicación 1 o bien de la
reivindicación 12. La idea básica de la invención consiste en
trasladar el software específico de la administración ferroviaria
desde el o los ordenadores seguros en términos de tecnología de
señalización a ordenadores comerciales, que procesan datos allí al
menos dos veces y verificar con seguridad la coincidencia antes de
la salida en el proceso en los ordenadores seguros en términos de
tecnología de señalización. Los ordenadores seguros en términos de
tecnología de señalización tiene, además del cometido de la
comparación de los datos, esencialmente todavía el cometido de
detectar con seguridad los mensajes y comandos entrantes y
transmitirlos a los ordenadores comerciales sí como actuar con
seguridad sobre los elementos del proceso y, en caso de
interferencia, interrumpir con seguridad la comunicación con los
elementos del proceso en términos de tecnología de
señalización.
Otras configuraciones y desarrollos ventajosos
del procedimiento según la invención o bien de la instalación según
la invención, respectivamente, se indican en las reivindicaciones
dependientes.
A continuación se explica en detalle la invención
con la ayuda de un ejemplo de realización representado en el dibujo.
En el dibujo:
La figura 1 muestra de forma esquemática la
estructura de la instalación según la invención para el control de
un proceso de servicio ferroviario de seguridad crítica y
La figura 2 muestra la estructura de una
instalación correspondiente realizada según el estado de la
técnica.
La figura 2 muestra un ordenador seguro SR en
términos de tecnología de señalización conocido para el
procesamiento de un proceso a través de programas de procesamiento
con preferencia idénticos en dos canales de procesamiento K1, K2
independientes. El ordenador seguro SR representa un número
discrecional de ordenadores seguros en términos de tecnología de
señalización; su número se ajusta esencialmente al tamaño del
proceso a controlar. El proceso a controlar es un proceso de
servicio ferroviario, con el que debe actuarse sobre una
instalación ferroviaria. Como representación de los elementos del
proceso de la instalación ferroviaria se indican en el dibujo un
cambio de agujas W y una señal S. El control y la supervisión de los
elementos de procesos se realiza a través de circuitos de control y
de supervisión desarrollados a tal fin, que no se representan de
forma explícita en el dibujo y a través de los cuales se emiten
desde el ordenador seguro SR instrucciones de ajuste SB a los
elementos del proceso y desde allí se introducen mensajes M en el
ordenador seguro.
El ordenador seguro SR en términos de tecnología
de señalización emite los mensajes M transmitidos desde el proceso a
través de un bus de comunicación KB a un ordenador de entrada y
representación EAR. Éste sirve, entre otras cosas, para la
supervisión del proceso de servicio ferroviario de acuerdo con
reglas de representación establecidas en el reglamento de servicio
ferroviario respectivo; se realiza con preferencia como ordenador
de procedimiento seguro en términos de tecnología de señalización.
A través del ordenador de entrada y representación EAR se generan
también los comandos K para el control del proceso de servicio
ferroviario y se transmiten al ordenador seguro SR en términos de
tecnología de señalización. La entrada se puede realizar en este
caso a través de un operador, por ejemplo un jefe de circulación o,
en cambio, a través de una instalación automática, por ejemplo para
la formación automática de itinerarios o para la formación
guiada.
Los mensajes y comandos son procesados en el
ordenador seguro en términos de tecnología de señalización en dos
canales de acuerdo con las condiciones y dependencias establecidos
en el reglamento de servicio ferroviario respectivo de un operador
ferroviario. Los datos, direcciones y señales de control, que se
encuentran en cada caso en los buses de los dos sistemas de
procesamiento, son comparados continuamente con seguridad entre sí
en términos de tecnología de señalización, para poder reconocer las
eventuales desviaciones. Los programas de prueba se ocupan en este
caso de que los registros de entrada/salida del ordenador seguro
así como sus memorias de programa y de trabajo y sus registros de
direcciones sean verificados dentro de intervalos de tiempo mínimos
predeterminados para determinar si sus memorias pueden adoptar
tanto uno como también el otro estado. Las eventuales funciones
erróneas son reconocidas bajo el control del acontecimiento o del
tiempo y conducen a la desconexión segura de las instalaciones
exteriores: entonces no se pueden emitir ya instrucciones de ajuste
en los cambios de vía y se detienen las señales.
Puesto que las condiciones y dependencias,
predeterminadas a través del reglamento de servicio respectivo de
una administración ferroviaria, representadas en el dibujo por
medio de paraderos elípticos BO, están depositadas en las memorias
del programa del ordenador seguro SR y están combinadas con el
software del sistema, el software depositado en los ordenadores
seguros para el control del proceso de servicio ferroviario es un
software individual, que es muy complejo y es extraordinariamente
costoso tanto en la creación como también en la verificación.
En la instalación según la invención representada
en la figura 1 para el control de un proceso de servicio
ferroviario existe igualmente al menos un ordenador SR* seguro en
términos de tecnología de señalización con dos canales de
procesamiento K1* y K2* constituidos con preferencia idénticos y
accionados de forma idéntica. Su cometido es detectar con
seguridad, de una manera similar al ordenador seguro SR en términos
de tecnología de señalización de acuerdo con el estado de la
técnica, todos los mensajes M y comandos K alimentados al mismo y
llevar a cabo el procesamiento. Además, su cometido consiste en
emitir instrucciones de ajuste SB procesadas con seguridad en
términos de tecnología de señalización a los elementos del proceso
W, S de la instalación ferroviaria BA respectiva o bien procurar
que la emisión de instrucciones de ajuste de este tipo se
interrumpa con seguridad en términos de tecnología de señalización
en caso de interferencia. El procesamiento de las condiciones y
dependencias, definidas a través del reglamento de servicio
ferroviario respectivo, para el control y supervisión del proceso
de servicio ferroviario no se lleva a cabo, en oposición al estado
de la técnica, en el o en los ordenadores SR* seguros en términos de
tecnología de señalización, sino en ordenadores comerciales R1,
R2,... RN, en los que están depositados también los datos
específicos de las instalaciones para el control del proceso de
servicio ferroviario; los ordenadores R1, R2 están en
representación de una o varias parejas de ordenadores, donde cada
ordenador puede pertenecer también a varias parejas; a partir de
tres ordenadores se podrían formar, por lo tanto, tres parejas de
ordenadores. Los cometidos de procesamiento A, alimentados a ellos
desde el ordenador SR* seguro, son realizados por cada uno de ellos
de una manera independiente del otro respectivo de acuerdo con las
condiciones y dependencias establecidas para el control de procesos
en el reglamento de servicio ferroviario BO respectivo. Los dos
ordenadores de cada pareja de ordenadores comerciales R1, R2
transmiten sus resultados de trabajo a los ordenadores seguros SR*
en términos de tecnología de señalización, donde el primer
ordenador R1 o R2 en el tiempo fuerza un punto de espera con
supervisión del tiempo, en el que se espera el resultado de trabajo
del o de los otros ordenadores, o en el caso de que se exceda el
tiempo se lleva a cabo un tratamiento de interferencia. En la
figura 1 se representan de forma esquemática los mecanismos de
prueba PM para la determinación de la factibilidad de los mensajes
alimentados a las parejas de ordenadores comerciales R1, R2 y de las
firmas de las salidas procesadas por ellos y las zonas de la
memoria. Los comandos K alimentados a través del ordenador de
entrada y representación EAR al ordenador seguro SR* son
convertidos por éste en encargos de procesamiento A y son
transmitidos en forma de telegramas a los ordenadores comerciales
R1, R2; éstos conducen allí al procesamiento de acuerdo con las
condiciones y dependencias del reglamento de servicio ferroviario
BO respectivo.
Para el caso de que durante el procesamiento del
software específico de la administración ferroviaria a través de los
ordenadores comerciales éstos lleguen a puntos del programa, que
prevén la continuación del procesamiento de los programas solamente
después de un tiempo de espera predeterminado, el ordenador seguro
en términos de tecnología de señalización se ocupa de proporcionar,
a demanda correspondiente de los ordenadores comerciales, una
sincronización de los programas de procesamiento de los ordenadores
comerciales para la continuación del procesamiento de los programas
después de la expiración del tiempo de espera. Por ejemplo, después
de la expiración de un tiempo de espera de varios segundos, deben
inscribirse y evaluarse mensajes de sensores determinados por los
ordenadores comerciales.
Los resultados de procesamiento E, calculados por
la pareja de ordenadorescomerciales R1, R2, son alimentados como
telegramas al ordenador seguro SR* en términos de tecnología de
señalización, allí son distribuidos con seguridad en términos de
tecnología de señalización sobre los dos canales de procesamiento
K1*, K2* y son comparados con seguridad en términos de tecnología de
señalización para determinar la coincidencia. Para la distribución
segura de los mensajes y la comparación segura de los resultados
procesados por los ordenadores comerciales R1, R2 se representa en
el dibujo el bloque funcional V, en el que están depositados los
programas respectivos como software del sistema. Los mecanismos de
prueba PMS del ordenador seguro en términos de tecnología de
señalización están indicados con seguridad en términos de
tecnología de señalización, en oposición a los mecanismos de prueba
PM de los ordenadores comerciales R1, R2.
La ventaja especial de la instalación según la
invención frente a una instalación correspondiente según el estado
de la técnica consiste en que en el ordenador seguro en términos de
tecnología de señalización deben realizarse siempre sólo las
funciones de la entrada y salida segura y de la comparación segura
de los datos y, en concreto, de una manera independiente de los
requerimientos y condiciones establecidos en cada caso por los
reglamentos de servicio de las administraciones ferroviarias
individuales. De esta manera, no sólo el software del sistema, que
se ejecuta en el ordenador seguro o en los ordenadores seguros, es
sencillo y compresible; más bien es el mismo para todos los casos
de aplicación, por lo que no tiene que ser procesado de nuevo para
cada caso y someterse a una prueba de homologación. El software
específico de la administración ferroviaria, que se determina a
través de los diferentes reglamentos de servicio de las
administraciones ferroviarias individuales, es ejecutado en los
ordenadores comerciales. No es necesario verificar su colaboración
con el software del sistema de los ordenadores seguros. Más bien,
solamente es necesario mantener la interfaz específica entre
ordenadores seguros en términos de tecnología de señalización y
ordenadores comerciales y verificar la funcionalidad del software
en sí específico de la administración ferroviaria y que debe ser
implementado en los ordenadores comerciales, es decir, verificar si
determinadas entradas conducen también realmente a determinadas
salidas. Esta verificación de la funcionalidad tiene lugar de una
manera separada de la verificación del software del sistema y -a
diferencia de lo que sucede en el estado de la técnica- no está ya
incorporada en el software del sistema de los ordenadores seguros,
que, por su parte, es también más comprensible que en el estado de
la técnica.
El procesamiento del software específico de la
administración ferroviaria no tiene que ser realizado forzosamente
en el fabricante, responsable de la seguridad técnica de las
señales de la ejecución del proceso, de los ordenadores seguros en
términos de tecnología de señalización. En su lugar, es posible
asignar encargos para el procesamiento de los programas para los
ordenadores comerciales a oficinas de ingeniería cualificadas o
similares, que tienen que adaptar el software elaborado por ellas
con la administración ferroviaria respectiva y, por ejemplo, con una
autorizada de homologación como el Departamento Federal de
Ferrocarriles. De esta manera es posible adaptar los programas para
el control y supervisión de un proceso de servicio ferroviario de
seguridad crítica de una manera mucho más rápida y económica que
hasta ahora a las particularidades respectivas, sin que deban
tolerarse reducciones de ningún tipo de la seguridad.
En el ejemplo de realización explicado
anteriormente, los ordenadores comerciales R1, R2 representan uno o
varios sistemas de ordenadores dobles o sistemas de ordenadores
provistos con ordenadores redundantes, en cuyos ordenadores deben
ejecutarse programas idénticos, respectivamente, para el
procesamiento de las condiciones y dependencias predeterminadas a
través del reglamento de servicio ferroviario respectivo, donde por
los ordenadores comerciales individuales de una manera preferida o
bien sólo deben ser realizadas determinadas funciones parciales del
reglamento ferroviario o, en cambio, solamente deben actuar sobre
determinadas partes de las instalaciones ferroviarias. Pero también
se puede tomar la disposición de que en los ordenadores comerciales
R1, R2 se trate, respectivamente, de ordenadores individuales, en
los que los programas del software específico de la administración
ferroviaria, determinados a través del reglamento de servicio de
una administración ferroviaria, son ejecutados varias veces, pero al
menos dos veces sucesivamente de una manera independiente entre sí.
El software específico de la administración ferroviaria necesario a
tal fin puede estar diseñado de forma diversa o, en cambio, puede
tener el mismo contenido para ambos procesos de procesamiento.
Para la transmisión de los resultados elaborados
por los ordenadores comerciales al o a los ordenadores seguros en
términos de tecnología de señalización, se contempla de una manera
preferida una transmisión de datos segura en términos de tecnología
de señalización, en la que se transmiten los resultados procesados
en dos canales o bien en serie o en paralelo sobre dos canales al o
a los ordenadores seguros o, en cambio, en la que se transmiten dos
veces de una manera consecutiva a través de un solo canal. Un
segundo o tercer canal redundante eleva la disponibilidad. Las
eventuales falsificaciones de datos sobre la vía de transmisión
desde los ordenadores comerciales hacia los ordenadores seguros en
términos de tecnología de señalización y a la inversa pueden ser
reconocidas en el ordenador receptor a través de una firma
registrada por el ordenador emisor, que codifica el contenido del
telegrama a través de una especificación de cálculo. En el caso de
la transmisión en serie de datos a los ordenadores seguros, se
añaden a los datos identificaciones que posibilitan a los
ordenadores seguros en términos de tecnología de señalización
reconocer si los datos transmitidos son actuales y proceden
realmente de diferentes canales de los ordenadores comerciales o
bien son el resultado de diferentes procesos de procesamiento; en
el caso de la transmisión de datos a través de buses separados, los
ordenadores seguros en términos de tecnología de señalización
pueden reconocer a partir de los datos trasmitidos a ellos a través
de uno u otro bus, si estos datos proceden o no realmente de uno u
otro ordenador de una pareja de ordenadores comerciales.
En una configuración ventajosa de la invención,
el o los ordenadores comerciales pueden estar realizados, por así
decirlo, como ordenadores de puesto de mando, a través de los
cuales se pueden emitir desde un puesto de servicio ferroviario o
desde una instalación automática comandos para la realización al
proceso de servicio ferroviario y se pueden visualizar los
reconocimientos del proceso de servicio ferroviario. En los
ordenadores de puestos de mando se ejecutan entonces de una manera
independiente entre sí los programas para la entrada y
visualización de comandos y mensajes y los programas, a través de
los cuales se controlan los elementos del proceso de acuerdo con el
reglamento de servicio ferroviario. Los programas para la entrada
de comandos y la visualización de la ejecución del proceso se
pueden combinar también con los programas para el control del
proceso, como se predeterminan en cada caso a través del reglamento
de servicio ferroviario.
El o los ordenadores seguros en términos de
tecnología de señalización pueden estar realizados también como
sistema de m entre n ordenadores, en los que la decisión sobre si
y qué instrucciones de ajuste deben ser emitidas al proceso se toma
a través de la decisión de la mayoría de al menos dos ordenadores
intactos.
La emisión de las instrucciones de ajuste al
proceso se realiza en dos canales; cada ordenador tiene la
posibilidad de impedir la emisión de instrucciones en el caso de
que compruebe la existencia de errores de procesamiento.
El procedimiento según la invención y la
instalación según la invención se pueden aplicar con ventaja para
todos los procesos de servicio ferroviario de seguridad crítica.
Una aplicación de este tipo puede ser, por ejemplo, el control
seguro de un servicio ferroviario a través de un mecanismo de
ajuste, pero también, por ejemplo, el control seguro de un paso a
nivel, de una instalación de recuento de ejes así como de aparatos
de recorridos y de vehículos de un sistema de conducción automática
de trenes (LZB).
Claims (20)
1. Procedimiento para el control de un proceso de
servicio ferroviario de seguridad crítica utilizando al menos un
ordenador seguro en términos de tecnología de señalización, que
emite a partir de comandos entrantes, de acuerdo con el reglamento
de servicio ferroviario, de una manera segura en términos de
tecnología de señalización, instrucciones de ajuste procesadas de
una manera segura en términos de tecnología de señalización a
elementos del proceso y alimenta mensajes procedentes desde allí a
una supervisión del estado del proceso y al control del proceso,
caracterizado porque en el ordenador seguro (SR*) solamente
se deposita un software del sistema (V, PMS), cuyos programas
facultan al ordenador seguro para realizar una entrada/salida segura
en términos de tecnología de señalización y la comparación de datos
segura en términos de tecnología de señalización, y porque el
software (BO) específico de la administración ferroviaria, que
contiene las condiciones y dependencias para el proceso de servicio
ferroviario, predeterminadas por una administración ferroviaria a
través de su reglamento de servicio ferroviario, es depositado en
al menos un ordenador comercial (R1, R2), seguro en términos de
tecnología de señalización, porque desde el ordenador seguro en
términos de tecnología de señalización, a partir de los comandos (K)
y mensajes (M) alimentados al mismo, son generados encargos de
procesamiento (A) y son transmitidos al o a los ordenadores
comerciales, porque los encargos de procesamiento son procesados
allí al menos dos veces de una manera independiente entre sí, porque
los resultados (E) procesados en este caso y/o los resultados
provisionales son transmitidos a los ordenadores seguros y es
verificada allí la coincidencia de su contenido de una manera segura
en términos de tecnología de señalización, siendo aceptados por el
ordenador seguro solamente aquellos resultados y/o resultados
provisionales y siendo emitidas solamente aquellas instrucciones de
ajuste (SB) que se pueden derivar de ellos con seguridad en términos
de tecnología de señalización al proceso (BA), que han sido
proporcionados por el ordenador comercial al menos dos veces con
contenido coincidente.
2. Procedimiento según la reivindicación 1,
caracterizado porque para el procesamiento al menos dos veces
de encargos de procesamiento en el ordenador comercial se utiliza
software idéntico o diferente.
3. Procedimiento según la reivindicación 1 ó 2,
caracterizado porque los resultados de tiempo que se
obtienen durante el procesamiento del software (BO) específico de
la administración ferroviaria son sincronizados por el ordenador
seguro (SR*) en términos de tecnología de señalización a demanda de
los ordenadores comerciales.
4. Procedimiento según una de las
reivindicaciones 1 a 3, caracterizado porque los resultados
y/o los resultados provisionales calculados por el ordenador
comercial son transmitidos a través de canales de comunicación no
seguros en términos de tecnología de señalización a los ordenadores
seguros.
5. Procedimiento según una de las
reivindicaciones 1 a 4, caracterizado porque está prevista
una transmisión de datos en forma de telegrama y porque a los
telegramas se añaden firmas a partir de las cuales el ordenador
receptor respectivo puede reconocer si estos telegramas son
transmitidos de una manera no falsificada.
6. Procedimiento según una de las
reivindicaciones 1 a 5, caracterizado porque está prevista
una transmisión de datos en forma de telegrama y porque a los
telegramas se añaden firmas, a partir de las cuales el ordenador
seguro en términos de tecnología de señalización puede reconocer si
han aparecido falsificaciones en las memorias de programas y de
datos de los ordenadores comerciales o la CPU de un ordenador
comercial no procesa ya correctamente.
7. Procedimiento según una de las
reivindicaciones 1 a 6, caracterizado porque los encargos de
procesamiento son procesados esencialmente al mismo tiempo,
respectivamente, en al menos dos ordenadores comerciales (R1, R2) o
son procesados temporalmente en serie en un solo ordenador
individual y porque los resultados y/o los resultados provisionales
calculados son alimentados al ordenador seguro en cada caso por
parejas para la comparación.
8. Procedimiento según la reivindicación 7,
caracterizado porque a los telegramas se añaden
identificaciones, a partir de las cuales el ordenador seguro puede
reconocer si estos telegramas han sido procesados realmente por
separado.
9. Procedimiento según la reivindicación 7,
caracterizado porque desde el ordenador seguro, con la ayuda
de los mensajes de resultados de los ordenadores comerciales,
alimentados al mismo a través de diferentes entradas, se reconoce
si estos telegramas proceden de diferentes ordenadores.
10. Procedimiento según una de las
reivindicaciones 1 a 9, caracterizado porque se excluyen
errores sistemáticos en el software del sistema operativo (BO) de
los ordenadores comerciales a través del empleo de sistemas
operativos diversos sobre los ordenadores (R1 a Rn) implicados.
11. Procedimiento según una de las
reivindicaciones 1 a 10, caracterizado porque se excluyen
los errores sistemáticos de los ordenadores comerciales a través
del empleo de diferentes componentes de ordenadores sobre los
ordenadores (R1 a Rn) implicados.
12. Instalación para la realización de un
procedimiento para el control de un proceso de servicio ferroviario
de seguridad crítica con al menos un ordenador seguro en términos
de tecnología de señalización, que emite a partir de comandos
entrantes, de acuerdo con el reglamento de servicio ferroviario, de
una manera segura en términos de tecnología de señalización,
instrucciones de ajuste procesadas de una manera segura en términos
de tecnología de señalización para elementos del proceso y alimenta
mensajes procedentes desde allí a una supervisión del estado del
proceso y al control del proceso, caracterizada porque en el
ordenador seguro (SR*) en términos de tecnología de señalización
está implementado todavía un software de sistema, cuyos programas
facultan a los ordenadores seguros a realizar la entrada / salida
(K, E, M, A, SB) segura en términos de tecnología de señalización,
y la comparación de datos segura en términos de tecnología de
señalización, y porque está previsto al menos un ordenador
comercial (R1, R2) no seguro en términos de tecnología de
señalización, en el que está implementado el software específico de
la administración ferroviaria, que contiene las condiciones y
dependencias, predeterminadas por una administración ferroviaria a
través de su reglamento de servicio ferroviario (BO), para el
control del proceso de servicio ferroviario, porque el ordenador
seguro y el ordenador comercial están conectados en un sistema de
comunicación (BUS), a través del cual el ordenador seguro transmite
encargos de procesamiento (A) a los ordenadores comerciales y
recibe desde allí resultados (E) y/o resultados provisionales,
donde el ordenador comercial está instalado para ejecutar cada
encargo de procesamiento al menos dos veces de una manera
independiente entre sí, porque el ordenador seguro verifica la
coincidencia del contenido con seguridad en términos de tecnología
de señalización de los resultados y/o resultados provisionales
transmitidos al mismo al menos por parejas por el ordenador
comercial y, en función del resultado de la verificación, deriva a
partir de ello instrucciones de ajuste (SB) para elementos del
proceso (W, S) y provoca su emisión al proceso a través de
circuitos de excitación previstos para ello.
13. Instalación según la reivindicación 12,
caracterizada porque también en el ordenador comercial están
instalados solamente programas (BO), cuya funcionalidad ha sido
verificada.
14. Instalación según la reivindicación 12 ó 13,
caracterizada porque el ordenador comercial procesa los
encargos de procesamiento en cada caso al menos dos veces con
software idéntico o diferente.
15. Instalación según una de las reivindicaciones
12 a 14, caracterizada porque están previstos al menos dos
ordenadores comerciales que procesan los mismos encargos de
procesamiento por parejas de una manera independiente entre sí.
16. Instalación según una de las reivindicaciones
12 a 15, caracterizada porque para el procesamiento de
funcionalidades o funcionalidades parciales diferentes o para el
control y supervisión de diferentes partes de las instalaciones
están previstos en cada caso varios ordenadores comerciales (R1,
R2) en ejecución de un ordenador o de ordenadores múltiples.
17. Instalación según una de las reivindicaciones
12 a 16, caracterizada porque al menos un ordenador
comercial es un ordenador de puesto de mando, a través del cual se
pueden introducir comandos (K) en el ordenador seguro y se pueden
representar mensajes (M).
18. Instalación según una de las reivindicaciones
12 a 17, caracterizada porque el ordenador seguro es un
sistema de m entre n ordenadores.
19. Instalación según una de las reivindicaciones
12 a 18, caracterizada porque el ordenador seguro está
instalado para reconocer, a partir de identificaciones, que están
añadidas a los resultados y/o resultados provisionales transmitido
por al menos un ordenador comercial, si estos resultados y/o
resultados provisionales proceden de diferentes procesos de
procesamiento.
20. Instalación según la reivindicación 12,
caracterizada porque el ordenador seguro emite eventuales
instrucciones de ajuste en dos canales al proceso.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10053023 | 2000-10-13 | ||
DE10053023A DE10053023C1 (de) | 2000-10-13 | 2000-10-13 | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2241743T3 true ES2241743T3 (es) | 2005-11-01 |
Family
ID=7661086
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES01250330T Expired - Lifetime ES2241743T3 (es) | 2000-10-13 | 2001-09-19 | Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento. |
Country Status (6)
Country | Link |
---|---|
EP (1) | EP1197418B1 (es) |
AT (1) | ATE294724T1 (es) |
DE (2) | DE10053023C1 (es) |
DK (1) | DK1197418T3 (es) |
ES (1) | ES2241743T3 (es) |
PT (1) | PT1197418E (es) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7209811B1 (en) | 2001-11-22 | 2007-04-24 | Siemens Aktiengesellschaft | System and method for controlling a safety-critical railroad operating process |
DE102004021456B3 (de) * | 2004-04-29 | 2005-12-15 | Siemens Ag | Vorrichtung zur Ansteuerung eines Feldelementes |
FR2898706B1 (fr) * | 2006-03-17 | 2008-06-13 | Alstom Transport Sa | Dispositif de commande securise a diversification d'un systeme ferroviaire |
DE102007032805A1 (de) * | 2007-07-10 | 2009-01-15 | Siemens Ag | Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses |
DE102007043053B4 (de) | 2007-09-11 | 2020-07-30 | Db Netz Ag | Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen |
CZ303209B6 (cs) * | 2011-03-17 | 2012-05-23 | Ažd Praha S. R. O. | Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku |
FR2992083B1 (fr) | 2012-06-19 | 2014-07-04 | Alstom Transport Sa | Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur |
DE102012211273A1 (de) * | 2012-06-29 | 2014-01-02 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum Steuern einer technischen Anlage |
DE102015115074A1 (de) * | 2015-09-08 | 2017-03-09 | InfraView GmbH | Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen |
DE102017214992A1 (de) * | 2017-08-28 | 2019-02-28 | Siemens Aktiengesellschaft | Signaltechnisch sicheres System |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3323269A1 (de) * | 1983-06-28 | 1985-01-10 | Siemens AG, 1000 Berlin und 8000 München | Einrichtung zum betrieb eines rechnergesteuerten stellwerkes |
WO1992003787A1 (de) * | 1990-08-14 | 1992-03-05 | Siemens Aktiengesellschaft | Mehrrechnersystem hoher sicherheit mit drei rechnern |
DE4107639A1 (de) * | 1991-03-09 | 1992-09-10 | Standard Elektrik Lorenz Ag | Einrichtung zur signaltechnisch sicheren fernsteuerung einer unterstation in einer eisenbahnanlage |
-
2000
- 2000-10-13 DE DE10053023A patent/DE10053023C1/de not_active Expired - Fee Related
-
2001
- 2001-09-19 PT PT01250330T patent/PT1197418E/pt unknown
- 2001-09-19 ES ES01250330T patent/ES2241743T3/es not_active Expired - Lifetime
- 2001-09-19 EP EP01250330A patent/EP1197418B1/de not_active Expired - Lifetime
- 2001-09-19 DK DK01250330T patent/DK1197418T3/da active
- 2001-09-19 AT AT01250330T patent/ATE294724T1/de not_active IP Right Cessation
- 2001-09-19 DE DE50106087T patent/DE50106087D1/de not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
DK1197418T3 (da) | 2005-09-05 |
PT1197418E (pt) | 2005-09-30 |
ATE294724T1 (de) | 2005-05-15 |
DE50106087D1 (de) | 2005-06-09 |
EP1197418A1 (de) | 2002-04-17 |
EP1197418B1 (de) | 2005-05-04 |
DE10053023C1 (de) | 2002-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2241743T3 (es) | Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento. | |
ES2238591T3 (es) | Procedimiento y estructura de linea de alimentacion para la transmision de informaciones entre componentes electricos de un automovil. | |
US7140577B2 (en) | Remote system for monitoring and controlling railroad wayside equipment | |
ES2328726T3 (es) | Sistemas de control y proteccion ferroviarios. | |
US4763267A (en) | System for indicating track sections in an interlocking area as occupied or unoccupied | |
KR920011083B1 (ko) | 엘리베이터의 신호전송 방법 및 그의 장치 | |
ES2808097T3 (es) | Procedimiento para operar un dispositivo de localización, así como dispositivo de localización | |
KR20200017839A (ko) | 열차간 합의에 의한 선로 자원 공유 방법 및 그 장치 | |
ES2333550T3 (es) | Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal. | |
ES2754178T3 (es) | Recurso de reserva para un canal de ordenador defectuoso de un vehículo ferroviario | |
AU643709B2 (en) | System for transmitting control information to a train | |
US7209811B1 (en) | System and method for controlling a safety-critical railroad operating process | |
JP5975753B2 (ja) | 情報処理システム、出力制御装置、およびデータ生成装置 | |
ES2229697T3 (es) | Telegramas de datos cortos de un sistema de automatizacion. | |
JPWO2005049467A1 (ja) | エレベータ制御装置 | |
ES2780902T3 (es) | Sistemas críticos de seguridad ferroviaria con redundancia de tareas y capacidad de comunicaciones asimétricas | |
JP5025402B2 (ja) | 高安全制御装置 | |
KR100414031B1 (ko) | 다중계 처리장치 및 다중계 처리장치에 접속된 콘트롤러및 다중계 처리시스템 | |
JP4102306B2 (ja) | 安全性の要求される鉄道運転プロセスの制御方法およびこの方法を実施するための装置 | |
JP5612995B2 (ja) | 入力バイパス型のフェイルセーフ装置及びフェイルセーフ用プログラム | |
ES2905641T3 (es) | Concepto para monitorizar un tráfico de red entrante en un puesto de enclavamiento | |
WO2018163509A1 (ja) | 信号保安システム、地上管理装置、車上無線装置、及び、列車制御方法 | |
JP2009009277A (ja) | 2重系データ送受信回路及びそれを使用した列車制御装置 | |
ES2923182T3 (es) | Sistema de control de tráfico de tren y método para visualizar con seguridad una indicación de estado de una ruta y sistema de control de tren | |
JP5711622B2 (ja) | 故障検知機能付きats−p地上子 |