ES2241743T3 - Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento. - Google Patents

Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento.

Info

Publication number
ES2241743T3
ES2241743T3 ES01250330T ES01250330T ES2241743T3 ES 2241743 T3 ES2241743 T3 ES 2241743T3 ES 01250330 T ES01250330 T ES 01250330T ES 01250330 T ES01250330 T ES 01250330T ES 2241743 T3 ES2241743 T3 ES 2241743T3
Authority
ES
Spain
Prior art keywords
computer
terms
computers
secure
commercial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES01250330T
Other languages
English (en)
Inventor
Volker Goericke
Bernd Prade
Ralf Schiwasinske
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Application granted granted Critical
Publication of ES2241743T3 publication Critical patent/ES2241743T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Road Repair (AREA)
  • Control Of Steam Boilers And Waste-Gas Boilers (AREA)
  • Hardware Redundancy (AREA)
  • Control And Safety Of Cranes (AREA)
  • Regulating Braking Force (AREA)

Abstract

Procedimiento para el control de un proceso de servicio ferroviario de seguridad crítica utilizando al menos un ordenador seguro en términos de tecnología de señalización, que emite a partir de comandos entrantes, de acuerdo con el reglamento de servicio ferroviario, de una manera segura en términos de tecnología de señalización, instrucciones de ajuste procesadas de una manera segura en términos de tecnología de señalización a elementos del proceso y alimenta mensajes procedentes desde allí a una supervisión del estado del proceso y al control del proceso, caracterizado porque en el ordenador seguro (SR*) solamente se deposita un software del sistema (V, PMS), cuyos programas facultan al ordenador seguro para realizar una entrada / salida segura en términos de tecnología de señalización y la comparación de datos segura en términos de tecnología de señalización, y porque el software (BO) específico de la administración ferroviaria, que contiene las condiciones y dependencias para el procesode servicio ferroviario, predeterminadas por una administración ferroviaria a través de su reglamento de servicio ferroviario, es depositado en al menos un ordenador comercial (R1, R2), seguro en términos de tecnología de señalización, porque desde el ordenador seguro en términos de tecnología de señalización, a partir de los comandos (K) y mensajes (M) alimentados al mismo, son generados encargos de procesamiento (A) y son transmitidos al o a los ordenadores comerciales, porque los encargos de procesamiento son procesados allí al menos dos veces de una manera independiente entre sí, porque los resultados (E) procesados en este caso y/o los resultados provisionales son transmitidos a los ordenadores seguros y es verificada allí la coincidencia de su contenido de una manera segura en términos de tecnología de señalización, siendo aceptados por el ordenador seguro solamente aquellos resultados y/o resultados provisionales y siendo emitidas solamente aquellas instrucciones de ajuste (SB) quese pueden derivar de ellos con seguridad en términos de tecnología de señalización al proceso (BA), que han sido proporcionados por el ordenador comercial al menos dos veces con contenido coincidente.

Description

Procedimiento para el control de un proceso de seguridad crítica en el servicio ferroviario e instalación para la realización de este procedimiento.
La invención se refiere a un procedimiento según el preámbulo de la reivindicación 1 de la patente así como a una instalación para la realización de este procedimiento según el preámbulo de la reivindicación 12 de la patente.
Los procesos del servicio ferroviario pertenecen a los procesos de seguridad crítica, porque las eventuales funciones erróneas, si no son reconocidas oportunamente y se evita su repercusión sobre el proceso, pueden conducir a daños reales considerables y, dado el caso, también a amenazas para las personas. Por este motivo, para el control de tales procesos se emplean hasta ahora instalaciones seguras en términos de tecnología de señalización, cuyo cometido es reconocer las funciones erróneas tanto dentro del proceso a controlar como también dentro del control del proceso propiamente dicho y conducir o bien dejar el proceso a continuación en un estado seguro. Tales controles seguros en términos de tecnología de señalización pueden estar realizados en diferentes técnicas, por ejemplo en técnica de relés o en técnica electrónica. En el caso del control de procesos seguros en términos de tecnología de señalización a través de ordenador se emplean hasta ahora ordenadores especiales caros, que procesan en dos canales las tareas de procesamiento existentes y se comparan continuamente en términos de tecnología de señalización con seguridad con ciclos de procesamiento coincidentes en cuanto al contenido. Solamente se realiza una salida de las instrucciones de ajuste procesadas en elementos del proceso a controlar cuando ambos canales de procesamiento han alcanzado en cada caso el mismo resultado; en otro caso, se interrumpe la comunicación con el proceso, a no ser que exista al menos un ordenador de reserva, que puede asumir y asume realmente las funciones del ordenador averiado.
Las funciones mencionadas anteriormente de la entrada y salida segura de datos así como de la comparación de los datos, dado el caso, con desconexión segura de elementos del proceso, son provocadas a través de software del sistema de los ordenadores seguros. Además, los ordenadores seguros contienen hasta ahora también todavía el software específico de la administración ferroviaria para el control del proceso propiamente dicho, es decir, el funcionamiento del mecanismo de ajuste. El software específico de la administración ferroviaria se determina a través del reglamento de servicio de la administración ferroviaria respectiva y describe, por ejemplo, las dependencias, predeterminadas por ella, del ajuste de los itinerarios y de la resolución de los itinerarios (Signal + Draht, 77 (1985) 12, páginas 259-265). El software específico de la administración ferroviaria no sólo es diferente de una administración ferroviaria a otra, sino al menos parcialmente también diferente de una instalación a otra de la misma administración ferroviaria. Esto significa que el software a cargar y ejecutar en un ordenador seguro en términos de tecnología de señalización es diferente de un caso de aplicación a otro, debiendo verificarse y acreditarse para cada caso de aplicación la ausencia de errores del software cargado a través de una verificación de la seguridad. Esto conduce en cada ordenador, debido a la multiplicación del software del sistema y del software específico de la administración ferroviaria, a paquetes de software complejos, que se pueden comprender mal y que son costosos de tiempo y caros en la creación y en la verificación. El documento EP 0503336 A2 publica otro ejemplo de un control seguro en términos de tecnología de señalización.
El cometido de la presente invención es indicar un procedimiento para el control de un proceso de servicio ferroviario de seguridad crítica según el preámbulo de la reivindicación 1 de la patente, que es menos costoso en la creación de los programas necesarios para el control seguro del proceso y que posibilita reaccionar de una manera rápida y de coste favorable a eventuales requerimientos modificados de un operador ferroviario en el control de procesos. Además, cometido de la invención es indicar una instalación para la realización de este procedimiento.
La invención soluciona este cometido por medio de las características de la reivindicación 1 o bien de la reivindicación 12. La idea básica de la invención consiste en trasladar el software específico de la administración ferroviaria desde el o los ordenadores seguros en términos de tecnología de señalización a ordenadores comerciales, que procesan datos allí al menos dos veces y verificar con seguridad la coincidencia antes de la salida en el proceso en los ordenadores seguros en términos de tecnología de señalización. Los ordenadores seguros en términos de tecnología de señalización tiene, además del cometido de la comparación de los datos, esencialmente todavía el cometido de detectar con seguridad los mensajes y comandos entrantes y transmitirlos a los ordenadores comerciales sí como actuar con seguridad sobre los elementos del proceso y, en caso de interferencia, interrumpir con seguridad la comunicación con los elementos del proceso en términos de tecnología de señalización.
Otras configuraciones y desarrollos ventajosos del procedimiento según la invención o bien de la instalación según la invención, respectivamente, se indican en las reivindicaciones dependientes.
A continuación se explica en detalle la invención con la ayuda de un ejemplo de realización representado en el dibujo. En el dibujo:
La figura 1 muestra de forma esquemática la estructura de la instalación según la invención para el control de un proceso de servicio ferroviario de seguridad crítica y
La figura 2 muestra la estructura de una instalación correspondiente realizada según el estado de la técnica.
La figura 2 muestra un ordenador seguro SR en términos de tecnología de señalización conocido para el procesamiento de un proceso a través de programas de procesamiento con preferencia idénticos en dos canales de procesamiento K1, K2 independientes. El ordenador seguro SR representa un número discrecional de ordenadores seguros en términos de tecnología de señalización; su número se ajusta esencialmente al tamaño del proceso a controlar. El proceso a controlar es un proceso de servicio ferroviario, con el que debe actuarse sobre una instalación ferroviaria. Como representación de los elementos del proceso de la instalación ferroviaria se indican en el dibujo un cambio de agujas W y una señal S. El control y la supervisión de los elementos de procesos se realiza a través de circuitos de control y de supervisión desarrollados a tal fin, que no se representan de forma explícita en el dibujo y a través de los cuales se emiten desde el ordenador seguro SR instrucciones de ajuste SB a los elementos del proceso y desde allí se introducen mensajes M en el ordenador seguro.
El ordenador seguro SR en términos de tecnología de señalización emite los mensajes M transmitidos desde el proceso a través de un bus de comunicación KB a un ordenador de entrada y representación EAR. Éste sirve, entre otras cosas, para la supervisión del proceso de servicio ferroviario de acuerdo con reglas de representación establecidas en el reglamento de servicio ferroviario respectivo; se realiza con preferencia como ordenador de procedimiento seguro en términos de tecnología de señalización. A través del ordenador de entrada y representación EAR se generan también los comandos K para el control del proceso de servicio ferroviario y se transmiten al ordenador seguro SR en términos de tecnología de señalización. La entrada se puede realizar en este caso a través de un operador, por ejemplo un jefe de circulación o, en cambio, a través de una instalación automática, por ejemplo para la formación automática de itinerarios o para la formación guiada.
Los mensajes y comandos son procesados en el ordenador seguro en términos de tecnología de señalización en dos canales de acuerdo con las condiciones y dependencias establecidos en el reglamento de servicio ferroviario respectivo de un operador ferroviario. Los datos, direcciones y señales de control, que se encuentran en cada caso en los buses de los dos sistemas de procesamiento, son comparados continuamente con seguridad entre sí en términos de tecnología de señalización, para poder reconocer las eventuales desviaciones. Los programas de prueba se ocupan en este caso de que los registros de entrada/salida del ordenador seguro así como sus memorias de programa y de trabajo y sus registros de direcciones sean verificados dentro de intervalos de tiempo mínimos predeterminados para determinar si sus memorias pueden adoptar tanto uno como también el otro estado. Las eventuales funciones erróneas son reconocidas bajo el control del acontecimiento o del tiempo y conducen a la desconexión segura de las instalaciones exteriores: entonces no se pueden emitir ya instrucciones de ajuste en los cambios de vía y se detienen las señales.
Puesto que las condiciones y dependencias, predeterminadas a través del reglamento de servicio respectivo de una administración ferroviaria, representadas en el dibujo por medio de paraderos elípticos BO, están depositadas en las memorias del programa del ordenador seguro SR y están combinadas con el software del sistema, el software depositado en los ordenadores seguros para el control del proceso de servicio ferroviario es un software individual, que es muy complejo y es extraordinariamente costoso tanto en la creación como también en la verificación.
En la instalación según la invención representada en la figura 1 para el control de un proceso de servicio ferroviario existe igualmente al menos un ordenador SR* seguro en términos de tecnología de señalización con dos canales de procesamiento K1* y K2* constituidos con preferencia idénticos y accionados de forma idéntica. Su cometido es detectar con seguridad, de una manera similar al ordenador seguro SR en términos de tecnología de señalización de acuerdo con el estado de la técnica, todos los mensajes M y comandos K alimentados al mismo y llevar a cabo el procesamiento. Además, su cometido consiste en emitir instrucciones de ajuste SB procesadas con seguridad en términos de tecnología de señalización a los elementos del proceso W, S de la instalación ferroviaria BA respectiva o bien procurar que la emisión de instrucciones de ajuste de este tipo se interrumpa con seguridad en términos de tecnología de señalización en caso de interferencia. El procesamiento de las condiciones y dependencias, definidas a través del reglamento de servicio ferroviario respectivo, para el control y supervisión del proceso de servicio ferroviario no se lleva a cabo, en oposición al estado de la técnica, en el o en los ordenadores SR* seguros en términos de tecnología de señalización, sino en ordenadores comerciales R1, R2,... RN, en los que están depositados también los datos específicos de las instalaciones para el control del proceso de servicio ferroviario; los ordenadores R1, R2 están en representación de una o varias parejas de ordenadores, donde cada ordenador puede pertenecer también a varias parejas; a partir de tres ordenadores se podrían formar, por lo tanto, tres parejas de ordenadores. Los cometidos de procesamiento A, alimentados a ellos desde el ordenador SR* seguro, son realizados por cada uno de ellos de una manera independiente del otro respectivo de acuerdo con las condiciones y dependencias establecidas para el control de procesos en el reglamento de servicio ferroviario BO respectivo. Los dos ordenadores de cada pareja de ordenadores comerciales R1, R2 transmiten sus resultados de trabajo a los ordenadores seguros SR* en términos de tecnología de señalización, donde el primer ordenador R1 o R2 en el tiempo fuerza un punto de espera con supervisión del tiempo, en el que se espera el resultado de trabajo del o de los otros ordenadores, o en el caso de que se exceda el tiempo se lleva a cabo un tratamiento de interferencia. En la figura 1 se representan de forma esquemática los mecanismos de prueba PM para la determinación de la factibilidad de los mensajes alimentados a las parejas de ordenadores comerciales R1, R2 y de las firmas de las salidas procesadas por ellos y las zonas de la memoria. Los comandos K alimentados a través del ordenador de entrada y representación EAR al ordenador seguro SR* son convertidos por éste en encargos de procesamiento A y son transmitidos en forma de telegramas a los ordenadores comerciales R1, R2; éstos conducen allí al procesamiento de acuerdo con las condiciones y dependencias del reglamento de servicio ferroviario BO respectivo.
Para el caso de que durante el procesamiento del software específico de la administración ferroviaria a través de los ordenadores comerciales éstos lleguen a puntos del programa, que prevén la continuación del procesamiento de los programas solamente después de un tiempo de espera predeterminado, el ordenador seguro en términos de tecnología de señalización se ocupa de proporcionar, a demanda correspondiente de los ordenadores comerciales, una sincronización de los programas de procesamiento de los ordenadores comerciales para la continuación del procesamiento de los programas después de la expiración del tiempo de espera. Por ejemplo, después de la expiración de un tiempo de espera de varios segundos, deben inscribirse y evaluarse mensajes de sensores determinados por los ordenadores comerciales.
Los resultados de procesamiento E, calculados por la pareja de ordenadorescomerciales R1, R2, son alimentados como telegramas al ordenador seguro SR* en términos de tecnología de señalización, allí son distribuidos con seguridad en términos de tecnología de señalización sobre los dos canales de procesamiento K1*, K2* y son comparados con seguridad en términos de tecnología de señalización para determinar la coincidencia. Para la distribución segura de los mensajes y la comparación segura de los resultados procesados por los ordenadores comerciales R1, R2 se representa en el dibujo el bloque funcional V, en el que están depositados los programas respectivos como software del sistema. Los mecanismos de prueba PMS del ordenador seguro en términos de tecnología de señalización están indicados con seguridad en términos de tecnología de señalización, en oposición a los mecanismos de prueba PM de los ordenadores comerciales R1, R2.
La ventaja especial de la instalación según la invención frente a una instalación correspondiente según el estado de la técnica consiste en que en el ordenador seguro en términos de tecnología de señalización deben realizarse siempre sólo las funciones de la entrada y salida segura y de la comparación segura de los datos y, en concreto, de una manera independiente de los requerimientos y condiciones establecidos en cada caso por los reglamentos de servicio de las administraciones ferroviarias individuales. De esta manera, no sólo el software del sistema, que se ejecuta en el ordenador seguro o en los ordenadores seguros, es sencillo y compresible; más bien es el mismo para todos los casos de aplicación, por lo que no tiene que ser procesado de nuevo para cada caso y someterse a una prueba de homologación. El software específico de la administración ferroviaria, que se determina a través de los diferentes reglamentos de servicio de las administraciones ferroviarias individuales, es ejecutado en los ordenadores comerciales. No es necesario verificar su colaboración con el software del sistema de los ordenadores seguros. Más bien, solamente es necesario mantener la interfaz específica entre ordenadores seguros en términos de tecnología de señalización y ordenadores comerciales y verificar la funcionalidad del software en sí específico de la administración ferroviaria y que debe ser implementado en los ordenadores comerciales, es decir, verificar si determinadas entradas conducen también realmente a determinadas salidas. Esta verificación de la funcionalidad tiene lugar de una manera separada de la verificación del software del sistema y -a diferencia de lo que sucede en el estado de la técnica- no está ya incorporada en el software del sistema de los ordenadores seguros, que, por su parte, es también más comprensible que en el estado de la técnica.
El procesamiento del software específico de la administración ferroviaria no tiene que ser realizado forzosamente en el fabricante, responsable de la seguridad técnica de las señales de la ejecución del proceso, de los ordenadores seguros en términos de tecnología de señalización. En su lugar, es posible asignar encargos para el procesamiento de los programas para los ordenadores comerciales a oficinas de ingeniería cualificadas o similares, que tienen que adaptar el software elaborado por ellas con la administración ferroviaria respectiva y, por ejemplo, con una autorizada de homologación como el Departamento Federal de Ferrocarriles. De esta manera es posible adaptar los programas para el control y supervisión de un proceso de servicio ferroviario de seguridad crítica de una manera mucho más rápida y económica que hasta ahora a las particularidades respectivas, sin que deban tolerarse reducciones de ningún tipo de la seguridad.
En el ejemplo de realización explicado anteriormente, los ordenadores comerciales R1, R2 representan uno o varios sistemas de ordenadores dobles o sistemas de ordenadores provistos con ordenadores redundantes, en cuyos ordenadores deben ejecutarse programas idénticos, respectivamente, para el procesamiento de las condiciones y dependencias predeterminadas a través del reglamento de servicio ferroviario respectivo, donde por los ordenadores comerciales individuales de una manera preferida o bien sólo deben ser realizadas determinadas funciones parciales del reglamento ferroviario o, en cambio, solamente deben actuar sobre determinadas partes de las instalaciones ferroviarias. Pero también se puede tomar la disposición de que en los ordenadores comerciales R1, R2 se trate, respectivamente, de ordenadores individuales, en los que los programas del software específico de la administración ferroviaria, determinados a través del reglamento de servicio de una administración ferroviaria, son ejecutados varias veces, pero al menos dos veces sucesivamente de una manera independiente entre sí. El software específico de la administración ferroviaria necesario a tal fin puede estar diseñado de forma diversa o, en cambio, puede tener el mismo contenido para ambos procesos de procesamiento.
Para la transmisión de los resultados elaborados por los ordenadores comerciales al o a los ordenadores seguros en términos de tecnología de señalización, se contempla de una manera preferida una transmisión de datos segura en términos de tecnología de señalización, en la que se transmiten los resultados procesados en dos canales o bien en serie o en paralelo sobre dos canales al o a los ordenadores seguros o, en cambio, en la que se transmiten dos veces de una manera consecutiva a través de un solo canal. Un segundo o tercer canal redundante eleva la disponibilidad. Las eventuales falsificaciones de datos sobre la vía de transmisión desde los ordenadores comerciales hacia los ordenadores seguros en términos de tecnología de señalización y a la inversa pueden ser reconocidas en el ordenador receptor a través de una firma registrada por el ordenador emisor, que codifica el contenido del telegrama a través de una especificación de cálculo. En el caso de la transmisión en serie de datos a los ordenadores seguros, se añaden a los datos identificaciones que posibilitan a los ordenadores seguros en términos de tecnología de señalización reconocer si los datos transmitidos son actuales y proceden realmente de diferentes canales de los ordenadores comerciales o bien son el resultado de diferentes procesos de procesamiento; en el caso de la transmisión de datos a través de buses separados, los ordenadores seguros en términos de tecnología de señalización pueden reconocer a partir de los datos trasmitidos a ellos a través de uno u otro bus, si estos datos proceden o no realmente de uno u otro ordenador de una pareja de ordenadores comerciales.
En una configuración ventajosa de la invención, el o los ordenadores comerciales pueden estar realizados, por así decirlo, como ordenadores de puesto de mando, a través de los cuales se pueden emitir desde un puesto de servicio ferroviario o desde una instalación automática comandos para la realización al proceso de servicio ferroviario y se pueden visualizar los reconocimientos del proceso de servicio ferroviario. En los ordenadores de puestos de mando se ejecutan entonces de una manera independiente entre sí los programas para la entrada y visualización de comandos y mensajes y los programas, a través de los cuales se controlan los elementos del proceso de acuerdo con el reglamento de servicio ferroviario. Los programas para la entrada de comandos y la visualización de la ejecución del proceso se pueden combinar también con los programas para el control del proceso, como se predeterminan en cada caso a través del reglamento de servicio ferroviario.
El o los ordenadores seguros en términos de tecnología de señalización pueden estar realizados también como sistema de m entre n ordenadores, en los que la decisión sobre si y qué instrucciones de ajuste deben ser emitidas al proceso se toma a través de la decisión de la mayoría de al menos dos ordenadores intactos.
La emisión de las instrucciones de ajuste al proceso se realiza en dos canales; cada ordenador tiene la posibilidad de impedir la emisión de instrucciones en el caso de que compruebe la existencia de errores de procesamiento.
El procedimiento según la invención y la instalación según la invención se pueden aplicar con ventaja para todos los procesos de servicio ferroviario de seguridad crítica. Una aplicación de este tipo puede ser, por ejemplo, el control seguro de un servicio ferroviario a través de un mecanismo de ajuste, pero también, por ejemplo, el control seguro de un paso a nivel, de una instalación de recuento de ejes así como de aparatos de recorridos y de vehículos de un sistema de conducción automática de trenes (LZB).

Claims (20)

1. Procedimiento para el control de un proceso de servicio ferroviario de seguridad crítica utilizando al menos un ordenador seguro en términos de tecnología de señalización, que emite a partir de comandos entrantes, de acuerdo con el reglamento de servicio ferroviario, de una manera segura en términos de tecnología de señalización, instrucciones de ajuste procesadas de una manera segura en términos de tecnología de señalización a elementos del proceso y alimenta mensajes procedentes desde allí a una supervisión del estado del proceso y al control del proceso, caracterizado porque en el ordenador seguro (SR*) solamente se deposita un software del sistema (V, PMS), cuyos programas facultan al ordenador seguro para realizar una entrada/salida segura en términos de tecnología de señalización y la comparación de datos segura en términos de tecnología de señalización, y porque el software (BO) específico de la administración ferroviaria, que contiene las condiciones y dependencias para el proceso de servicio ferroviario, predeterminadas por una administración ferroviaria a través de su reglamento de servicio ferroviario, es depositado en al menos un ordenador comercial (R1, R2), seguro en términos de tecnología de señalización, porque desde el ordenador seguro en términos de tecnología de señalización, a partir de los comandos (K) y mensajes (M) alimentados al mismo, son generados encargos de procesamiento (A) y son transmitidos al o a los ordenadores comerciales, porque los encargos de procesamiento son procesados allí al menos dos veces de una manera independiente entre sí, porque los resultados (E) procesados en este caso y/o los resultados provisionales son transmitidos a los ordenadores seguros y es verificada allí la coincidencia de su contenido de una manera segura en términos de tecnología de señalización, siendo aceptados por el ordenador seguro solamente aquellos resultados y/o resultados provisionales y siendo emitidas solamente aquellas instrucciones de ajuste (SB) que se pueden derivar de ellos con seguridad en términos de tecnología de señalización al proceso (BA), que han sido proporcionados por el ordenador comercial al menos dos veces con contenido coincidente.
2. Procedimiento según la reivindicación 1, caracterizado porque para el procesamiento al menos dos veces de encargos de procesamiento en el ordenador comercial se utiliza software idéntico o diferente.
3. Procedimiento según la reivindicación 1 ó 2, caracterizado porque los resultados de tiempo que se obtienen durante el procesamiento del software (BO) específico de la administración ferroviaria son sincronizados por el ordenador seguro (SR*) en términos de tecnología de señalización a demanda de los ordenadores comerciales.
4. Procedimiento según una de las reivindicaciones 1 a 3, caracterizado porque los resultados y/o los resultados provisionales calculados por el ordenador comercial son transmitidos a través de canales de comunicación no seguros en términos de tecnología de señalización a los ordenadores seguros.
5. Procedimiento según una de las reivindicaciones 1 a 4, caracterizado porque está prevista una transmisión de datos en forma de telegrama y porque a los telegramas se añaden firmas a partir de las cuales el ordenador receptor respectivo puede reconocer si estos telegramas son transmitidos de una manera no falsificada.
6. Procedimiento según una de las reivindicaciones 1 a 5, caracterizado porque está prevista una transmisión de datos en forma de telegrama y porque a los telegramas se añaden firmas, a partir de las cuales el ordenador seguro en términos de tecnología de señalización puede reconocer si han aparecido falsificaciones en las memorias de programas y de datos de los ordenadores comerciales o la CPU de un ordenador comercial no procesa ya correctamente.
7. Procedimiento según una de las reivindicaciones 1 a 6, caracterizado porque los encargos de procesamiento son procesados esencialmente al mismo tiempo, respectivamente, en al menos dos ordenadores comerciales (R1, R2) o son procesados temporalmente en serie en un solo ordenador individual y porque los resultados y/o los resultados provisionales calculados son alimentados al ordenador seguro en cada caso por parejas para la comparación.
8. Procedimiento según la reivindicación 7, caracterizado porque a los telegramas se añaden identificaciones, a partir de las cuales el ordenador seguro puede reconocer si estos telegramas han sido procesados realmente por separado.
9. Procedimiento según la reivindicación 7, caracterizado porque desde el ordenador seguro, con la ayuda de los mensajes de resultados de los ordenadores comerciales, alimentados al mismo a través de diferentes entradas, se reconoce si estos telegramas proceden de diferentes ordenadores.
10. Procedimiento según una de las reivindicaciones 1 a 9, caracterizado porque se excluyen errores sistemáticos en el software del sistema operativo (BO) de los ordenadores comerciales a través del empleo de sistemas operativos diversos sobre los ordenadores (R1 a Rn) implicados.
11. Procedimiento según una de las reivindicaciones 1 a 10, caracterizado porque se excluyen los errores sistemáticos de los ordenadores comerciales a través del empleo de diferentes componentes de ordenadores sobre los ordenadores (R1 a Rn) implicados.
12. Instalación para la realización de un procedimiento para el control de un proceso de servicio ferroviario de seguridad crítica con al menos un ordenador seguro en términos de tecnología de señalización, que emite a partir de comandos entrantes, de acuerdo con el reglamento de servicio ferroviario, de una manera segura en términos de tecnología de señalización, instrucciones de ajuste procesadas de una manera segura en términos de tecnología de señalización para elementos del proceso y alimenta mensajes procedentes desde allí a una supervisión del estado del proceso y al control del proceso, caracterizada porque en el ordenador seguro (SR*) en términos de tecnología de señalización está implementado todavía un software de sistema, cuyos programas facultan a los ordenadores seguros a realizar la entrada / salida (K, E, M, A, SB) segura en términos de tecnología de señalización, y la comparación de datos segura en términos de tecnología de señalización, y porque está previsto al menos un ordenador comercial (R1, R2) no seguro en términos de tecnología de señalización, en el que está implementado el software específico de la administración ferroviaria, que contiene las condiciones y dependencias, predeterminadas por una administración ferroviaria a través de su reglamento de servicio ferroviario (BO), para el control del proceso de servicio ferroviario, porque el ordenador seguro y el ordenador comercial están conectados en un sistema de comunicación (BUS), a través del cual el ordenador seguro transmite encargos de procesamiento (A) a los ordenadores comerciales y recibe desde allí resultados (E) y/o resultados provisionales, donde el ordenador comercial está instalado para ejecutar cada encargo de procesamiento al menos dos veces de una manera independiente entre sí, porque el ordenador seguro verifica la coincidencia del contenido con seguridad en términos de tecnología de señalización de los resultados y/o resultados provisionales transmitidos al mismo al menos por parejas por el ordenador comercial y, en función del resultado de la verificación, deriva a partir de ello instrucciones de ajuste (SB) para elementos del proceso (W, S) y provoca su emisión al proceso a través de circuitos de excitación previstos para ello.
13. Instalación según la reivindicación 12, caracterizada porque también en el ordenador comercial están instalados solamente programas (BO), cuya funcionalidad ha sido verificada.
14. Instalación según la reivindicación 12 ó 13, caracterizada porque el ordenador comercial procesa los encargos de procesamiento en cada caso al menos dos veces con software idéntico o diferente.
15. Instalación según una de las reivindicaciones 12 a 14, caracterizada porque están previstos al menos dos ordenadores comerciales que procesan los mismos encargos de procesamiento por parejas de una manera independiente entre sí.
16. Instalación según una de las reivindicaciones 12 a 15, caracterizada porque para el procesamiento de funcionalidades o funcionalidades parciales diferentes o para el control y supervisión de diferentes partes de las instalaciones están previstos en cada caso varios ordenadores comerciales (R1, R2) en ejecución de un ordenador o de ordenadores múltiples.
17. Instalación según una de las reivindicaciones 12 a 16, caracterizada porque al menos un ordenador comercial es un ordenador de puesto de mando, a través del cual se pueden introducir comandos (K) en el ordenador seguro y se pueden representar mensajes (M).
18. Instalación según una de las reivindicaciones 12 a 17, caracterizada porque el ordenador seguro es un sistema de m entre n ordenadores.
19. Instalación según una de las reivindicaciones 12 a 18, caracterizada porque el ordenador seguro está instalado para reconocer, a partir de identificaciones, que están añadidas a los resultados y/o resultados provisionales transmitido por al menos un ordenador comercial, si estos resultados y/o resultados provisionales proceden de diferentes procesos de procesamiento.
20. Instalación según la reivindicación 12, caracterizada porque el ordenador seguro emite eventuales instrucciones de ajuste en dos canales al proceso.
ES01250330T 2000-10-13 2001-09-19 Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento. Expired - Lifetime ES2241743T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10053023 2000-10-13
DE10053023A DE10053023C1 (de) 2000-10-13 2000-10-13 Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens

Publications (1)

Publication Number Publication Date
ES2241743T3 true ES2241743T3 (es) 2005-11-01

Family

ID=7661086

Family Applications (1)

Application Number Title Priority Date Filing Date
ES01250330T Expired - Lifetime ES2241743T3 (es) 2000-10-13 2001-09-19 Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento.

Country Status (6)

Country Link
EP (1) EP1197418B1 (es)
AT (1) ATE294724T1 (es)
DE (2) DE10053023C1 (es)
DK (1) DK1197418T3 (es)
ES (1) ES2241743T3 (es)
PT (1) PT1197418E (es)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7209811B1 (en) 2001-11-22 2007-04-24 Siemens Aktiengesellschaft System and method for controlling a safety-critical railroad operating process
DE102004021456B3 (de) * 2004-04-29 2005-12-15 Siemens Ag Vorrichtung zur Ansteuerung eines Feldelementes
FR2898706B1 (fr) * 2006-03-17 2008-06-13 Alstom Transport Sa Dispositif de commande securise a diversification d'un systeme ferroviaire
DE102007032805A1 (de) * 2007-07-10 2009-01-15 Siemens Ag Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
DE102007043053B4 (de) 2007-09-11 2020-07-30 Db Netz Ag Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen
CZ303209B6 (cs) * 2011-03-17 2012-05-23 Ažd Praha S. R. O. Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku
FR2992083B1 (fr) 2012-06-19 2014-07-04 Alstom Transport Sa Calculateur, ensemble de communication comportant un tel calculateur, systeme de gestion ferroviaire comportant un tel ensemble, et procede de fiabilisation de donnees dans un calculateur
DE102012211273A1 (de) * 2012-06-29 2014-01-02 Siemens Aktiengesellschaft Verfahren und Anordnung zum Steuern einer technischen Anlage
DE102015115074A1 (de) * 2015-09-08 2017-03-09 InfraView GmbH Meldesystem zur Verarbeitung von Meldungen in technischen Anlagen
DE102017214992A1 (de) * 2017-08-28 2019-02-28 Siemens Aktiengesellschaft Signaltechnisch sicheres System

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3323269A1 (de) * 1983-06-28 1985-01-10 Siemens AG, 1000 Berlin und 8000 München Einrichtung zum betrieb eines rechnergesteuerten stellwerkes
WO1992003787A1 (de) * 1990-08-14 1992-03-05 Siemens Aktiengesellschaft Mehrrechnersystem hoher sicherheit mit drei rechnern
DE4107639A1 (de) * 1991-03-09 1992-09-10 Standard Elektrik Lorenz Ag Einrichtung zur signaltechnisch sicheren fernsteuerung einer unterstation in einer eisenbahnanlage

Also Published As

Publication number Publication date
DK1197418T3 (da) 2005-09-05
PT1197418E (pt) 2005-09-30
ATE294724T1 (de) 2005-05-15
DE50106087D1 (de) 2005-06-09
EP1197418A1 (de) 2002-04-17
EP1197418B1 (de) 2005-05-04
DE10053023C1 (de) 2002-09-05

Similar Documents

Publication Publication Date Title
ES2241743T3 (es) Procedimiento para el control de un proceso de seguridad critica en el servicio ferroviario e instalacion para la realizacion de este procedimiento.
ES2238591T3 (es) Procedimiento y estructura de linea de alimentacion para la transmision de informaciones entre componentes electricos de un automovil.
US7140577B2 (en) Remote system for monitoring and controlling railroad wayside equipment
ES2328726T3 (es) Sistemas de control y proteccion ferroviarios.
US4763267A (en) System for indicating track sections in an interlocking area as occupied or unoccupied
KR920011083B1 (ko) 엘리베이터의 신호전송 방법 및 그의 장치
ES2808097T3 (es) Procedimiento para operar un dispositivo de localización, así como dispositivo de localización
KR20200017839A (ko) 열차간 합의에 의한 선로 자원 공유 방법 및 그 장치
ES2333550T3 (es) Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal.
ES2754178T3 (es) Recurso de reserva para un canal de ordenador defectuoso de un vehículo ferroviario
AU643709B2 (en) System for transmitting control information to a train
US7209811B1 (en) System and method for controlling a safety-critical railroad operating process
JP5975753B2 (ja) 情報処理システム、出力制御装置、およびデータ生成装置
ES2229697T3 (es) Telegramas de datos cortos de un sistema de automatizacion.
JPWO2005049467A1 (ja) エレベータ制御装置
ES2780902T3 (es) Sistemas críticos de seguridad ferroviaria con redundancia de tareas y capacidad de comunicaciones asimétricas
JP5025402B2 (ja) 高安全制御装置
KR100414031B1 (ko) 다중계 처리장치 및 다중계 처리장치에 접속된 콘트롤러및 다중계 처리시스템
JP4102306B2 (ja) 安全性の要求される鉄道運転プロセスの制御方法およびこの方法を実施するための装置
JP5612995B2 (ja) 入力バイパス型のフェイルセーフ装置及びフェイルセーフ用プログラム
ES2905641T3 (es) Concepto para monitorizar un tráfico de red entrante en un puesto de enclavamiento
WO2018163509A1 (ja) 信号保安システム、地上管理装置、車上無線装置、及び、列車制御方法
JP2009009277A (ja) 2重系データ送受信回路及びそれを使用した列車制御装置
ES2923182T3 (es) Sistema de control de tráfico de tren y método para visualizar con seguridad una indicación de estado de una ruta y sistema de control de tren
JP5711622B2 (ja) 故障検知機能付きats−p地上子