WO2014001235A2 - Verfahren und anordnung zum steuern einer technischen anlage - Google Patents

Verfahren und anordnung zum steuern einer technischen anlage Download PDF

Info

Publication number
WO2014001235A2
WO2014001235A2 PCT/EP2013/063098 EP2013063098W WO2014001235A2 WO 2014001235 A2 WO2014001235 A2 WO 2014001235A2 EP 2013063098 W EP2013063098 W EP 2013063098W WO 2014001235 A2 WO2014001235 A2 WO 2014001235A2
Authority
WO
WIPO (PCT)
Prior art keywords
computer
secure
operating
operator
technical system
Prior art date
Application number
PCT/EP2013/063098
Other languages
English (en)
French (fr)
Other versions
WO2014001235A3 (de
Inventor
Thomas METSCHULAT
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to EP13733994.1A priority Critical patent/EP2849986B1/de
Priority to CN201380029120.8A priority patent/CN104411564B/zh
Publication of WO2014001235A2 publication Critical patent/WO2014001235A2/de
Publication of WO2014001235A3 publication Critical patent/WO2014001235A3/de
Priority to HK15108733.8A priority patent/HK1208013A1/xx

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems

Definitions

  • a comparison device is arranged between the secure and insecure workstation computer and the comparison module is configured such that it the information about the state of the technical installation descriptive data set in order Götra ⁇ supply to unsafe operating computer in each case from each of the reads out at least two redundantly operated memory areas and compares with each other and the read data to the insecure terminal computer only forwarded if they match, and otherwise blocked forwarding.
  • the comparison module is preferably a separate compo ⁇ nent implemented in any of the workstation computer.
  • the comparison block can also be integrated in the secure operator station computer.
  • an operator can input an operating signal BS3 to the insecure operating station computer 50 with which the display software module ASM is given or described a user-specific representation of the state of the technical system 20.
  • the display software module ASM evaluates the control signal BS3, and the output side generates a user individual itatisteu ⁇ ersignal AS3 with which the display device 80 is driven and displayed the state of the technical installation 20 according to the pre ⁇ gave the operator. For example, with the operating signal BS3 the zoom factor or the Pointing device 80 shown user-individually changed.
  • the comparison module 90 can be implemented in the form of a software module that is from one of the two computer units

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung bezieht sich auf eine Anordnung (10) zum Steuern einer technischen Anlage (20), insbesondere einer Eisenbahngleisanlage, wobei die Anordnung (10) einen Stellwerksrechner (25), der ein Umstellen der technischen Anlage (20) veranlassen kann, und mindestens zwei Bedienplatzrechner (30, 40, 50) umfasst, mit denen Bedienbefehle (BB) erzeugt und zu dem Stellwerksrechner (25) übermittelt werden können. Erfindungsgemäß ist vorgesehen, dass von den Bedienplatzrechnern (30, 40, 50) zumindest ein Bedienplatzrechner (30) ein sicherer Bedienplatzrechner (30) ist, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard erreicht, und zumindest ein Bedienplatzrechner (40, 50) ein unsicherer Bedienplatzrechner (40, 50) ist, dessen Sicherheitsniveau den vorgegebenen Mindeststandard unterschreitet, der sichere Bedienplatzrechner (30) mit dem Stellwerksrechner (25) über eine sichere Datenverbindung (200), die eine vorgegebene Übertragungssicherheit gewährleistet, verbunden ist, und der zumindest eine unsichere Bedienplatzrechner (40, 50) mittelbar mit dem Stellwerksrechner (25) verbunden ist, nämlich über den sicheren Bedienplatzrechner (30), und die Bedienbefehle (BB) des unsicheren Bedienplatzrechners (40, 50) zu dem sicheren Bedienplatzrechner (30) und über diesen und die sichere Datenverbindung (200) zu dem Stellwerksrechner (25) übermittelt werden.

Description

Beschreibung
Verfahren und Anordnung zum Steuern einer technischen Anlage Die Erfindung bezieht sich auf eine Anordnung zum Steuern einer technischen Anlage, insbesondere einer Eisenbahngleisanlage, wobei die Anordnung einen Stellwerksrechner, der ein Umstellen der technischen Anlage veranlassen kann, und mindestens zwei Bedienplatzrechner umfasst, mit denen Bedienbe- fehle erzeugt und zu dem Stellwerksrechner übermittelt werden können .
Zur Steuerung einer technischen Anlage, insbesondere einer Eisenbahngleisanlage, ist für sicherheitsunkritische Regelbe- dienungen prinzipiell ein beliebiger Bedienplatzrechner, beispielsweise ein Standard-PC, einsetzbar; ein vorgegebenes Si¬ cherheitsniveau muss in aller Regel nicht erreicht werden, da der zwischen dem Bedienplatzrechner und der technischen Anlage befindliche Stellwerksrechner gefährliche Bedienhandlungen ablehnen kann. Für den Fall, dass mit einem Bedienplatzrechner auch sicherheitsrelevante oder sicherheitskritische Be¬ dienbefehle erzeugt werden sollen und eine Kontrolle durch den Stellwerksrechner unterdrückt oder umgangen werden soll, sind Vorkehrungen zu treffen, die eine Gefahrensituation in der technischen Anlage zuverlässig verhindern.
Der Erfindung liegt die Aufgabe zugrunde, eine Anordnung zum Steuern einer technischen Anlage anzugeben, die sich kostengünstig realisieren lässt und dennoch einen hohen Sicher- heitsstandard gewährleistet.
Diese Aufgabe wird erfindungsgemäß durch eine Anordnung mit den Merkmalen gemäß Patentanspruch 1 gelöst. Vorteilhafte Ausgestaltungen der erfindungsgemäßen Anordnung sind in Un- teransprüchen angegeben.
Danach ist erfindungsgemäß vorgesehen, dass von den Bedienplatzrechnern zumindest ein Bedienplatzrechner ein sicherer Bedienplatzrechner ist, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard erreicht, und zumindest ein Bedien¬ platzrechner ein unsicherer Bedienplatzrechner ist, dessen Sicherheitsniveau den vorgegebenen Mindeststandard unter- schreitet, der sichere Bedienplatzrechner mit dem Stellwerks¬ rechner über eine sichere Datenverbindung, die eine vorgegebene Übertragungssicherheit gewährleistet, verbunden ist, und der zumindest eine unsichere Bedienplatzrechner mittelbar mit dem Stellwerksrechner verbunden ist, nämlich über den siche- ren Bedienplatzrechner, und die Bedienbefehle des unsicheren Rechners zu dem sicheren Bedienplatzrechner und über diesen und die sichere Datenverbindung zu dem Stellwerksrechner übermittelt werden. Ein wesentlicher Vorteil der erfindungsgemäßen Anordnung besteht darin, dass bei dieser unsichere Rechner auch zur Erzeugung sicherheitsrelevanter Befehle verwendet werden können. Um ein ausreichendes Sicherheitsniveau zu erreichen, ist nämlich erfindungsgemäß vorgesehen, die Anbindung der unsi- cheren Rechner an den Stellwerksrechner nicht unmittelbar vorzusehen, sondern mittelbar über zumindest einen sicheren Rechner; dadurch wird gewährleistet, dass Bedienbefehle, ins¬ besondere solche, die sicherheitsrelevant sind, ausschlie߬ lich von einem sicheren Rechner unmittelbar an den Stell- werksrechner übermittelt werden können, nicht hingegen unmittelbar von einem unsicheren Rechner. In dieser Weise ist es möglich, die von dem unsicheren Rechner kommenden Bedienbefehle auf Plausibilität und/oder auf Ausführbarkeit zu prü¬ fen, bevor sie an den Stellwerksrechner zur schlussendlichen Umsetzung weitergeleitet werden. Zusammengefasst besteht der erfinderische Gedanke also darin, die Einbindung unsicherer Bedienplatzrechner zu ermöglichen, indem sichere Bedienrechner zwischengeschaltet werden. Um sicherzustellen, dass alle Bedienplatzrechner stets auf dieselben Daten, die den Zustand der technischen Anlage anzeigen, zugreifen, wird es als vorteilhaft angesehen, wenn in dem oder einem der sicheren Bedienplatzrechner ein den Zu- stand der technischen Anlage beschreibender Datensatz zentral gespeichert ist und der unsichere Bedienplatzrechner derart programmiert ist, dass er unter Heranziehung des in dem si¬ cheren Bedienplatzrechner gespeicherten Datensatzes und einer vom Bediener des unsicheren Rechners vorgegebenen Darstellungsweise bedienerindividuelle Anzeigesteuersignale erzeugt, die zu einer bedienerindividuellen Anzeige des durch den Datensatz definierten Zustands der technischen Anlage auf einer mit dem unsicheren Bedienplatzrechner verbundenen Anzeigeein- richtung führen. Aufgrund der zentralen Speicherung des den
Zustand der technischen Anlage beschreibenden Datensatzes ist sichergestellt, dass stets alle Bedienplatzrechner und alle mit den Bedienplatzrechnern verbundenen Anzeigeeinrichtungen stets denselben Datenstand berücksichtigen. Die Richtigkeit der Daten wird dadurch gewährleistet, dass diese in dem si¬ cheren Rechner verwaltet und aktualisiert werden.
Um sicherzustellen, dass die zentrale Speicherung des Datensatzes in dem sicheren Bedienplatzrechner fehlerfrei erfolgt, wird es als vorteilhaft angesehen, wenn der sichere Bedien¬ platzrechner zumindest zwei redundant betriebene Speicherbe¬ reiche umfasst, in denen jeweils der den Zustand der techni¬ schen Anlage beschreibende Datensatz gespeichert ist. Eine Kontrolle der in den zwei redundant betriebenen Spei¬ cherbereichen abgespeicherten Datensätze auf Übereinstimmung wird vorzugsweise von einem Vergleichsbaustein durchgeführt. Demgemäß wird es als vorteilhaft angesehen, wenn zwischen dem sicheren und dem unsicheren Bedienplatzrechner ein Ver- gleichsbaustein angeordnet ist und der Vergleichsbaustein derart ausgestaltet ist, dass er Daten des den Zustand der technischen Anlage beschreibenden Datensatzes zwecks Übertra¬ gung zum unsicheren Bedienrechner jeweils aus jedem der zumindest zwei redundant betriebenen Speicherbereiche ausliest und miteinander vergleicht und die ausgelesenen Daten an den unsicheren Bedienplatzrechner lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert . Der Vergleichsbaustein ist vorzugsweise eine separate Kompo¬ nente, die in keinem der Bedienplatzrechner implementiert ist. Alternativ kann der Vergleichsbaustein auch in dem si- cheren Bedienplatzrechner integriert sein.
Bezüglich der Ausgestaltung des sicheren Bedienplatzrechners wird es als vorteilhaft angesehen, wenn der sichere Bedien¬ platzrechner zumindest zwei redundant arbeitende Rechnerein- heiten umfasst, die zumindest zwei redundant arbeitenden
Rechnereinheiten des sicheren Bedienplatzrechners nach Erhalt eines sicherheitsrelevanten Bedienbefehls des unsicheren Bedienplatzrechners jeweils eine Bestätigungsaufforderung an den unsicheren Bedienplatzrechner übersenden, und zwar über den Vergleichsbaustein, und der Vergleichsbaustein derart ausgestaltet ist, dass er die Bestätigungsaufforderungen der zumindest zwei redundant arbeitenden Rechnereinheiten des si¬ cheren Bedienplatzrechners miteinander vergleicht und an den unsicheren Bedienplatzrechner lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert. Durch das Erfordernis der Bestätigungsaufforderungen wird erreicht, dass der Vergleichsbaustein die Tätigkeit der zwei redundant arbeitenden Rechnereinheiten überprüfen und eingreifen kann, wenn sich anhand der Bestätigungsauffor- derungen der zwei redundant arbeitenden Rechnereinheiten erkennen lässt, dass diese voneinander abweichende Ergebnisse produzieren .
Mit Blick auf eine Kontrolle der Arbeitsweise der redundant arbeitenden Rechnereinheiten des sicheren Bedienplatzrechners wird es darüber hinaus als vorteilhaft angesehen, wenn der Vergleichsbaustein auch die Schnittstelle zwischen dem Stellwerksrechner und dem sicheren Bedienplatzrechner überwacht. Demgemäß wird es als vorteilhaft angesehen, wenn der Ver- gleichsbaustein Steuersignale, die ein Umstellen der technischen Anlage bewirken würden, der zumindest zwei redundant arbeitenden Rechnereinheiten des sicheren Bedienplatzrechners miteinander vergleicht und an den Stellwerksrechner lediglich dann weiterleitet oder weiterleiten lässt, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.
Die Erfindung bezieht sich darüber hinaus auf ein Verfahren zum Steuern einer technischen Anlage, insbesondere einer Eisenbahngleisanlage, wobei mit einem Bedienplatzrechner Be¬ dienbefehle erzeugt und zu einem mit der technischen Anlage in Verbindung stehenden Stellwerksrechner übermittelt werden und mit dem Stellwerksrechner ein Umstellen der technischen Anlage veranlasst wird.
Erfindungsgemäß ist es vorgesehen, dass die Bedienbefehle mit einem unsicheren Bedienplatzrechner, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard unterschreitet, erzeugt und über einen sicheren Bedienplatzrechner, dessen Sicherheitsniveau den vorgegebenen Mindeststandard erreicht, zu dem Stellwerksrechner übermittelt werden.
Bezüglich der Vorteile des erfindungsgemäßen Verfahrens sei auf die obigen Ausführungen im Zusammenhang mit der erfindungsgemäßen Anordnung verwiesen, da die Vorteile der erfindungsgemäßen Anordnung denen des erfindungsgemäßen Verfahrens im Wesentlichen entsprechen. Als vorteilhaft wird es angesehen, wenn in dem sicheren Bedienplatzrechner ein den Zustand der technischen Anlage beschreibender Datensatz zentral gespeichert wird, mit dem unsicheren Bedienplatzrechner unter Heranziehung des in dem sicheren Bedienplatzrechner gespeicherten Datensatzes und einer vom Bediener des unsicheren Rechners vorgegebenen Darstellungsweise bedienerindividuelle Anzeigesteuersignale, die zu einer bedienerindividuellen Anzeige des durch den Datensatz definierten Zustands der technischen Anlage führen, erzeugt werden und die Anzeigesteuersignale auf einer mit dem unsi- cheren Bedienplatzrechner verbundenen Anzeigeeinrichtung angezeigt werden. Darüber hinaus wird es als vorteilhaft angesehen, wenn der den Zustand der technischen Anlage beschreibende Datensatz redundant in zumindest zwei Speicherbereichen gespeichert wird und Daten des den Zustand der technischen Anlage be- schreibenden Datensatzes zwecks Übertragung zum unsicheren Bedienrechner jeweils aus jedem der zumindest zwei Speicherbereiche ausgelesen und miteinander verglichen werden und die ausgelesenen Daten an den unsicheren Bedienplatzrechner lediglich dann weitergeleitet werden, wenn diese übereinstim- men, und andernfalls eine Weiterleitung blockiert wird.
Die Erfindung wird nachfolgend anhand von Ausführungsbeispie¬ len näher erläutert; dabei zeigen beispielhaft Figur 1 ein erstes Ausführungsbeispiel für eine Anordnung zum Steuern einer technischen Anlage, wobei anhand der Anordnung auch das erfindungsgemäße Ver¬ fahren beispielhaft erläutert wird, Figur 2 die Arbeitsweise der Anordnung gemäß Figur 1 im
Falle eines an einem unsicheren Bedienplatzrechner eingegebenen sicherheitsrelevanten Bedienbefehls, Figur 3 ein zweites Ausführungsbeispiel für eine erfin¬ dungsgemäße Anordnung und
Figur 4 ein drittes Ausführungsbeispiel für eine erfin¬ dungsgemäße Anordnung, bei der ein Vergleichsbau- stein in einem sicheren Bedienplatzrechner integriert ist.
In den Figuren werden der Übersicht halber für identische oder vergleichbare Komponenten stets dieselben Bezugszeichen verwendet .
In der Figur 1 erkennt man eine Anordnung 10 zum Steuern einer technischen Anlage 20, bei der es sich beispielsweise um eine Eisenbahngleisanlage handeln kann. Die Anordnung 10 um- fasst einen Stellwerksrechner 25, einen sicheren Bedienplatzrechner 30 sowie zwei unsichere Bedienplatzrechner 40 und 50. Mit den drei Bedienplatzrechnern 30, 40 und 50 steht jeweils eine Anzeigeeinrichtung 60, 70 bzw. 80 in Verbindung.
Die beiden unsicheren Bedienplatzrechner 40 und 50 stehen über einen Vergleichsbaustein 90 mit dem sicheren Bedienplatzrechner 30 in Verbindung; über den Vergleichsbaustein 90 ist eine mittelbare Verbindung zwischen den beiden unsicheren Bedienplatzrechnern 40 und 50 und dem Stellwerksrechner 25 möglich .
Die Figur 1 zeigt beispielhaft den Aufbau des sicheren Be- dienplatzrechners 30 näher im Detail. Man erkennt zwei Spei¬ cherbereiche 100 und 110, die zum Speichern eines den Zustand der technischen Anlage 20 beschreibenden Datensatzes DS bestimmt sind. Der Datensatz DS ist in dem sicheren Bedienplatzrechner 30 also zweimal bzw. redundant abgespeichert, und zwar sowohl in dem Speicherbereich 100 als auch in dem Speicherbereich 110.
Darüber hinaus weist der sichere Bedienplatzrechner 30 zwei redundant arbeitende Rechnereinheiten 120 und 130 auf, die mit dem Vergleichsbaustein 90 in Verbindung stehen.
Die beiden Rechnereinheiten 120 und 130 können durch physikalisch separate Prozessoren bzw. Prozessoreinrichtungen gebildet sein; alternativ ist es möglich, die beiden Rechnerein- heiten 120 und 130 lediglich softwaremäßig abzubilden bzw. nachzubilden und durch auf ein und derselben Prozessoreinrichtung laufende separate Softwaremodule zu realisieren.
In dem sicheren Bedienplatzrechner 30 sowie in den beiden un- sicheren Bedienplatzrechnern 40 und 50 ist jeweils ein Anzeigesoftwaremodul ASM vorgesehen, das eine Anzeige des Zustands der technischen Anlage 20 auf der jeweils nachgeordneten Anzeigeeinrichtung 60, 70 oder 80 ermöglicht. Bei dem Ausführungsbeispiel gemäß Figur 1 ist das Anzeige¬ softwaremodul ASM des sicheren Bedienplatzrechners 30 in ei¬ nem separaten Speicherbereich 140 gespeichert; alternativ kann das Anzeigesoftwaremodul ASM auch in dem Speicherbereich 100 oder dem Speicherbereich 110 gespeichert sein.
Das Anzeigesoftwaremodul ASM des sicheren Bedienplatzrechners 30 kann beispielsweise von einer separaten Rechnereinheit 150 ausgeführt werden, wie dies in der Figur 1 angedeutet ist.
Alternativ kann das Anzeigesoftwaremodul ASM des sicheren Be- dienplatzrechners 30 auch durch eine der beiden Rechnereinheiten 120 oder 130 oder redundant durch beide Rechnereinhei¬ ten 120 und 130 ausgeführt werden.
Die in der Figur 1 dargestellten drei Speicherbereiche 100, 110 und 140 des sicheren Bedienplatzrechners 30 können in physikalisch separaten Speichern angesiedelt sein; alternativ können sie sich auch in Abschnitten ein und desselben physi- kaiischen Speichers befinden.
Im Folgenden soll die Arbeitsweise der Anordnung 10 gemäß Fi¬ gur 1 mit Blick auf die Anzeige des Zustands der technischen Anlage 20 beispielhaft näher erläutert werden.
Soll beispielsweise der Zustand der technischen Anlage 20 auf der Anzeigeeinrichtung 80 angezeigt werden, so kann eine Bedienperson an dem unsicheren Bedienplatzrechner 50 ein Bediensignal BS3 eingeben, mit dem dem Anzeigesoftwaremodul ASM eine benutzerindividuelle Darstellungsweise des Zustands der technischen Anlage 20 vorgegeben bzw. beschrieben wird. Das Anzeigesoftwaremodul ASM wertet das Bediensignal BS3 aus und erzeugt ausgangsseitig ein bedienerindividuelles Anzeigesteu¬ ersignal AS3, mit dem die Anzeigeeinrichtung 80 angesteuert wird und der Zustand der technischen Anlage 20 gemäß den Vor¬ gaben der Bedienperson angezeigt wird. Beispielsweise kann mit dem Bediensignal BS3 der Zoomfaktor oder der auf der An- Zeigeeinrichtung 80 gezeigte Ausschnitt benutzerindividuell verändert werden.
Die Eingabe des Bediensignals BS3 in das Anzeigesoftwaremodul ASM kann über ein nicht gezeigtes Vorverarbeitungssoftwaremo- dul erfolgen, beispielsweise in Textform. Ein Beispiel für eine solche Textform kann beispielsweise lauten:
"acknowledge (success, "setDynamicObj ectLengthOn- Path (TrainOl, 15) ") ()
acknowledge ( success , "setAttribute (TrainOl, z, 10) ") ()
acknowledge (success, "proceduralGraphicObj ectCom- mand (TrainOl,
setLineThickness, 9)") ()
acknowledge (success, "proceduralGraphicObj ectCom- mand (TrainOl, setTextureType,
SHADED_TWO_COLORS_ARROW, 255, 255, 255, 255, 255, 0, 0 , 0 ) " ) ( )
leaveMouseOver (Lupe, Lupenbild) (16)
enterMouseOver (Lupe, Lupenbild) (15)
leaveMouseOver (Lupe, Lupenbild) (15)
enterMouseOver (Lupe, Lupenbild) (16)
mouseEvent (Lupe, Lupenbild, MouseButtonPress , Left- Button, 441, 588) (16)
mouseEvent (Lupe, Lupenbild, MouseButtonRelease, Left- Button, 441, 588) (16) "
Die Daten D, mit denen der Zustand der technischen Anlage 20 beschrieben wird, stammen dabei aus dem Datensatz DS, der in redundanter Weise in den beiden Speicherbereichen 100 und 110 des sicheren Bedienplatzrechners 30 abgespeichert ist. Um si¬ cherzustellen, dass die Daten D tatsächlich den richtigen aktuellen Zustand der technischen Anlage 20 beschreiben, werden die Daten D aus den beiden Speicherbereichen 100 und 110 vom Vergleichsbaustein 90 auf Identität überprüft. Um diese Über¬ prüfung zu ermöglichen, wird der Vergleichsbaustein 90 die Daten D, die aus den beiden Datensätzen DS der beiden Spei- cherbereiche 100 und 110 kommen, zunächst vergleichen und ausschließlich dann an das Anzeigesoftwaremodul ASM des unsi¬ cheren Bedienplatzrechners 50 weiterleiten, wenn die Daten D identisch sind.
Die den Zustand der technischen Anlage beschreibenden Daten D können beispielsweise in Textform übertragen werden. Zur Definition eines Zuges auf einem Streckenabschnitt der techni¬ schen Anlage 20 können beispielsweise folgende Daten übertra- gen werden:
"createProceduralGraphicObject ( cTARGET_WIDGET , TrainOl, AnimatedMovingObj ect )
setDynamicObj ectLengthOnPath (TrainOl, 15)
setAttribute (TrainOl, z, 10)"
Mit Hilfe des Vergleichsbausteins 90 ist somit sicherge¬ stellt, dass auf der Anzeigeeinrichtung 80 ausschließlich Daten angezeigt werden, die dem tatsächlichen aktuellen Zustand der technischen Anlage 20 entsprechen.
In entsprechender Weise kann der Zustand der technischen Anlage 20 auf den Anzeigeeinrichtungen 60 und 70 angezeigt werden, indem entsprechende Bediensignale BS1 oder BS2 in den sicheren Bedienplatzrechner 30 bzw. den unsicheren Bedienplatzrechner 40 eingegeben werden und entsprechende Anzeigesteuersignale AS1 und AS2 erzeugt werden. Beide Bedienplatz¬ rechner 30 und 40 sind jeweils mit einem Anzeigesoftwaremodul ASM ausgestattet, das das jeweils anliegende Bediensignal BS1 bzw. BS2 auswertet und auf der Basis der bedienerseitig ge¬ wünschten Darstellungsweise den Zustand der technischen Anla¬ ge 20 auf der jeweiligen Anzeigeeinrichtung 60 oder 70 anzeigt . Auch bei den Anzeigesoftwaremodulen ASM der beiden Bedienplatzrechner 30 und 40 wird dabei stets auf dieselben Datensätze DS zurückgegriffen, die auch von dem Bedienplatzrechner 50 - wie oben beschrieben - verwertet werden; mit anderen Worten werden die Datensätze DS, die die Daten D über den Zu¬ stand der technischen Anlage 20 enthalten, ausschließlich zentral gespeichert und verwaltet und von einem zentralen Punkt aus an die Anzeigesoftwaremodule ASM der jeweiligen Be- dienplatzrechner 30, 40 und 50 übermittelt.
Die Daten D, die von den Anzeigesoftwaremodulen ASM des Bedienplatzrechners 30 oder des Bedienplatzrechners 40 ange¬ zeigt werden, werden von dem Vergleichsbaustein 90 ebenfalls auf Korrektheit überprüft, wie dies im Zusammenhang mit dem Bedienplatzrechner 50 oben bereits beschrieben worden ist. Dies bedeutet, dass auch bei den Anzeigesoftwaremodulen ASM der beiden Bedienplatzrechner 30 und 40 der Vergleichsbaustein 90 beim Auslesen der Daten D aus den beiden Speicherbe- reichen 100 und 110 eine Überprüfung der Daten auf Identität vornimmt und lediglich dann, wenn die Daten D aus den beiden Speicherbereichen 100 und 110 übereinstimmen, eine Weiterleitung der Daten an die jeweiligen Anzeigesoftwaremodule ASM vornehmen wird.
Die Figur 2 zeigt beispielhaft die Funktionsweise der Anord¬ nung 10 gemäß Figur 1, wenn mit Hilfe eines der beiden unsi¬ cheren Bedienplatzrechner 40 und 50 ein sicherheitsrelevanter Bedienbefehl BB erzeugt wird, mit dem eine Umstellung der technischen Anlage 20 durch den Stellwerksrechner 25 erfolgen soll. Nach Erhalt des sicherheitsrelevanten Bedienbefehls BB werden die beiden Rechnereinheiten 120 und 130 den Bedienbefehl auswerten und eine Bestätigungsaufforderung BSA erzeugen und über den Vergleichsbaustein 90 an den unsicheren Bedien- platzrechner 50 senden. Der Vergleichsbaustein 90 wird dabei die Bestätigungsaufforderungen BSA der beiden Rechnereinheiten 120 und 130 auf Identität bzw. inhaltliche Übereinstim¬ mung hin überprüfen und lediglich dann, wenn die beiden Bestätigungsaufforderungen BSA übereinstimmen, eine Weiterlei- tung an den unsicheren Bedienplatzrechner 50 vornehmen.
Andernfalls, wenn die beiden Bestätigungsaufforderungen BSA unterschiedlich sind, wird der Vergleichsbaustein 90 eine Weiterleitung unterbinden. In dieser Weise wird sichergestellt, dass die Abarbeitung eines sicherheitsrelevanten Bedienbefehls BB nur dann erfolgen kann, wenn die beiden Rechnereinheiten 120 und 130 den sicherheitsrelevanten Bedienbe- fehl BB in gleicher Weise verstehen und mit gleichen Bestätigungsaufforderungen BSA quittieren.
Sobald der unsichere Bedienplatzrechner 50 die Bestätigungs¬ aufforderung BSA erhalten und mittels eines bedienerinitiier- ten Bestätigungssignals BSS inhaltlich bestätigt hat, werden die beiden Rechnereinheiten 120 und 130 eine Umsetzung des sicherheitsrelevanten Bedienbefehls BB vornehmen und ein Steuersignal STB erzeugen, das zum Stellwerksrechner 25 übermittelt wird. Mit dem Steuersignal STB wird dem Stellwerks- rechner 25 mitgeteilt, dass die technische Anlage 20 umge¬ stellt werden soll. Die Umstellung der technischen Anlage 20 wird dann vom Stellwerksrechner 25 vorgenommen.
Die Datenübertragung des Steuersignals STB vom sicheren Be- dienplatzrechner 30 zum Stellwerksrechner 25 erfolgt über eine sichere Datenverbindung 200, um eine Verfälschung des Befehls zu vermeiden.
Um sicherzugehen, dass die beiden Rechnereinheiten 120 und 130 den sicherheitsrelevanten Bedienbefehl BB des Bedienplatzrechners 50 richtig umsetzen und ein korrektes Steuer¬ signal STB für den Stellwerksrechner 25 erzeugen, kann eine Kontrolle der Arbeitsergebnisse der beiden Rechnereinheiten 120 und 130 durch den Vergleichsbaustein 90 erfolgen. Vor- zugsweise wird der Vergleichsbaustein 90 die Erzeugung bzw. Weitergabe des Steuersignals STB über die sichere Datenver¬ bindung 200 blockieren, wenn die beiden Rechnereinheiten 120 und 130 unterschiedliche Ergebnisse und unterschiedliche Steuersignale STB liefern.
Die Figur 3 zeigt ein zweites Ausführungsbeispiel für eine Anordnung 10 zum Steuern einer technischen Anlage 20. Im Unterschied zu dem Ausführungsbeispiel gemäß Figur 1 sind an dem sicheren Bedienplatzrechner 30 zwei Anzeigeeinrichtungen 60 und 61 angeschlossen, die jeweils von einem zugeordneten Anzeigersoftwaremodul ASM angesteuert werden. Die beiden An¬ zeigesoftwaremodule ASM können in dem Speicherbereich 100 und/oder dem Speicherbereich 110 oder auch in individuellen Speicherbereichen abgespeichert sein. Bei dem Ausführungsbei¬ spiel gemäß Figur 3 wird davon ausgegangen, dass die beiden Anzeigesoftwaremodule ASM jeweils in individuellen Speicher¬ bereichen 140 und 141 abgespeichert sind und von Rechnerein- heiten 150 und 151 ausgeführt werden.
Durch die Ausstattung des sicheren Bedienplatzrechners 30 mit zwei Anzeigesoftwaremodulen ASM ist es möglich, unterschiedliche Darstellungen des Zustands der technischen Anlage 20 auf den beiden Anzeigeeinrichtungen 60 und 61 vorzusehen, in dem unterschiedliche Bediensignale BS1 und BS1' in die Anzei¬ gesoftwaremodule ASM eingegeben werden. In dieser Weise ist es einer Bedienperson beispielsweise möglich, die Korrektheit der Arbeitsweise der Anzeigesoftwaremodule ASM zu überprüfen.
Um auch für die beiden Anzeigesoftwaremodule ASM des sicheren Bedienplatzrechners 30 eine Kontrolle der Daten D, die den Zustand der technischen Anlage 20 anzeigen, zu ermöglichen, werden die Daten D von den beiden Speicherbereichen 100 und 110 nicht unmittelbar zu den Anzeigesoftwaremodulen ASM übermittelt, sondern nur mittelbar über den Vergleichsbaustein 90. Ausschließlich dann, wenn die Daten D aus den beiden Speicherbereichen 100 und 110 übereinstimmen, wird der Vergleichsbaustein 90 die Daten D an die beiden Anzeigesoftware- module ASM im sicheren Bedienplatzrechner 30 weiterleiten, so dass auch nur dann eine Anzeige auf den beiden Anzeigeeinrichtungen 60 und 61 erfolgen kann. Bezüglich der gesicherten Darstellung des Zustands der technischen Anlage 20 entspricht die Arbeitsweise der Anordnung 10 gemäß Figur 3 somit der An- Ordnung 10 gemäß Figur 1, so dass auf die obigen Ausführungen verwiesen sei. Die Figur 4 zeigt ein drittes Ausführungsbeispiel für eine Anordnung 10 zum Steuern einer technischen Anlage 20. Die Anordnung 10 gemäß Figur 4 entspricht im Wesentlichen dem Ausführungsbeispiel gemäß Figur 3 mit dem Unterschied, dass der Vergleichsbaustein 90 keine separate Komponente ist, sondern stattdessen in dem sicheren Bedienplatzrechner 30 integriert ist .
Der Vergleichsbaustein 90 kann in Form eines Softwaremoduls realisiert sein, das von einem der beiden Rechnereinheiten
120 oder 130 ausgeführt wird. Alternativ kann der Vergleichs¬ baustein 90 durch eine separate Hardwarekomponente gebildet sein, die in dem sicheren Bedienplatzrechner 30 vorgesehen wird .
Obwohl die Erfindung im Detail durch bevorzugte Ausführungs¬ beispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
Bezugs zeichenliste
10 Anordnung
20 technische Anlage
25 Stellwerksrechner
30 sicherer Bedienplatzrechner
40 unsicherer Bedienplatzrechner
50 unsicherer Bedienplatzrechner
60 Anzeigeeinrichtung
61 Anzeigeeinrichtung
70 Anzeigeeinrichtung
80 Anzeigeeinrichtung
90 Vergleichsbaustein
100 Speicherbereich
110 Speicherbereich
120 Rechnereinheit
130 Rechnereinheit
140 Speicherbereich
141 Speicherbereich
150 Rechnereinheit
151 Rechnereinheit
200 Daten erbindung
ASM Anzeigesoftwaremodul
AS 1 -AS3 Anzeigesteuersignal
BB Bedienbefehl
BSA Bestätigungsaufforderung
BSS Bestätigungssignal
BS1 Bediensignal
BS1' Bediensignal
BS2 Bediensignal
BS3 Bediensignal
D Daten
DS Datensatz
STB Steuersignal

Claims

Patentansprüche
1. Anordnung (10) zum Steuern einer technischen Anlage (20), insbesondere einer Eisenbahngleisanlage, wobei die Anordnung (10) einen Stellwerksrechner (25), der ein Umstellen der technischen Anlage (20) veranlassen kann, und mindestens zwei Bedienplatzrechner (30, 40, 50) umfasst, mit denen Bedienbe¬ fehle (BB) erzeugt und zu dem Stellwerksrechner (25) übermit¬ telt werden können,
d a d u r c h g e k e n n z e i c h n e t, dass
von den Bedienplatzrechnern (30, 40, 50) zumindest ein Bedienplatzrechner (30) ein sicherer Bedienplatzrechner (30) ist, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard erreicht, und zumindest ein Bedienplatz¬ rechner (40, 50) ein unsicherer Bedienplatzrechner (40, 50) ist, dessen Sicherheitsniveau den vorgegebenen Mindeststandard unterschreitet,
der sichere Bedienplatzrechner (30) mit dem Stellwerks¬ rechner (25) über eine sichere Datenverbindung (200), die eine vorgegebene Übertragungssicherheit gewährleistet, verbunden ist, und
der zumindest eine unsichere Bedienplatzrechner (40, 50) mittelbar mit dem Stellwerksrechner (25) verbunden ist, nämlich über den sicheren Bedienplatzrechner (30), und die Bedienbefehle (BB) des unsicheren Bedienplatzrechners (40, 50) zu dem sicheren Bedienplatzrechner (30) und über diesen und die sichere Datenverbindung (200) zu dem
Stellwerksrechner (25) übermittelt werden.
Anordnung (10) nach Anspruch 1,
a d u r c h g e k e n n z e i c h n e t, dass
in dem sicheren Bedienplatzrechner (30) ein den Zustand der technischen Anlage (20) beschreibender Datensatz (DS) zentral gespeichert ist und
der unsichere Bedienplatzrechner (40, 50) derart programmiert ist, dass er unter Heranziehung des in dem sicheren Bedienplatzrechner (30) gespeicherten Datensatzes (DS) und einer vom Bediener des unsicheren Bedienplatzrechners (40, 50) vorgegebenen Darstellungsweise bedienerindividu¬ elle Anzeigesteuersignale (AS1-AS3) erzeugt, die zu einer bedienerindividuellen Anzeige des durch den Datensatz
(DS) definierten Zustands der technischen Anlage (20) auf einer mit dem unsicheren Bedienplatzrechner (40, 50) verbundenen Anzeigeeinrichtung (70, 80) führen.
3. Anordnung (10) nach Anspruch 2,
d a d u r c h g e k e n n z e i c h n e t, dass
der sichere Bedienplatzrechner (30) zumindest zwei redundant betriebene Speicherbereiche (100, 110) umfasst, in denen je¬ weils der den Zustand der technischen Anlage (20) beschrei¬ bende Datensatz (DS) gespeichert ist.
4. Anordnung (10) nach Anspruch 3,
d a d u r c h g e k e n n z e i c h n e t, dass
zwischen dem sicheren und dem unsicheren Bedienplatzrechner (30, 40, 50) ein Vergleichsbaustein (90) angeordnet ist und
der Vergleichsbaustein (90) derart ausgestaltet ist, dass er Daten (D) des den Zustand der technischen Anlage (20) beschreibenden Datensatzes (DS) zwecks Übertragung zum unsicheren Bedienplatzrechner (40, 50) jeweils aus jedem der zumindest zwei redundant betriebenen Speicherbereiche (100, 110) ausliest und miteinander vergleicht und die ausgelesenen Daten (D) an den unsicheren Bedienplatzrechner (40, 50) lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert .
5. Anordnung (10) nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
der sichere Bedienplatzrechner (30) zumindest zwei redundant arbeitende Rechnereinheiten (120, 130) umfasst, die zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren Bedienplatzrechners (30) nach Er¬ halt eines sicherheitsrelevanten Bedienbefehls (BB) des unsicheren Bedienplatzrechners (40, 50) jeweils eine Bes- tätigungsaufforderung (BSA) an den unsicheren Bedienplatzrechner (40, 50) übersenden, und zwar über den Vergleichsbaustein (90), und
der Vergleichsbaustein (90) derart ausgestaltet ist, dass er die Bestätigungsaufforderungen (BSA) der zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren Bedienplatzrechners (30) miteinander ver¬ gleicht und an den unsicheren Bedienplatzrechner (40, 50) lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.
6. Anordnung (10) nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
der Vergleichsbaustein (90) Steuersignale (STB), die ein Um- stellen der technischen Anlage (20) bewirken würden, der zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren Bedienplatzrechners (30) miteinander ver¬ gleicht und an den Stellwerksrechner (25) lediglich dann weiterleitet oder weiterleiten lässt, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.
7. Verfahren zum Steuern einer technischen Anlage (20), insbesondere einer Eisenbahngleisanlage, wobei mit einem Bedien¬ platzrechner (30, 40, 50) Bedienbefehle (BB) erzeugt und zu einem mit der technischen Anlage (20) in Verbindung stehenden Stellwerksrechner (25) übermittelt werden und mit dem Stell¬ werksrechner (25) ein Umstellen der technischen Anlage (20) veranlasst wird,
d a d u r c h g e k e n n z e i c h n e t, dass
die Bedienbefehle (BB) mit einem unsicheren Bedienplatzrechner (40, 50), dessen Sicherheitsniveau einen vorgegebenen Mindeststandard unterschreitet, erzeugt und über einen siche¬ ren Bedienplatzrechner (30), dessen Sicherheitsniveau den vorgegebenen Mindeststandard erreicht, zu dem Stellwerksrech- ner (25) übermittelt werden.
8. Verfahren nach Anspruch 7,
d a d u r c h g e k e n n z e i c h n e t, dass in dem sicheren Bedienplatzrechner (30) ein den Zustand der technischen Anlage (20) beschreibender Datensatz (DS) zentral gespeichert wird,
mit dem unsicheren Bedienplatzrechner (40, 50) unter Heranziehung des in dem sicheren Bedienplatzrechner (30) gespeicherten Datensatzes (DS) und einer vom Bediener des unsicheren Rechners vorgegebenen Darstellungsweise bedie¬ nerindividuelle Anzeigesteuersignale (AS1-AS3) , die zu einer bedienerindividuellen Anzeige des durch den Datensatz (DS) definierten Zustands der technischen Anlage (20) führen, erzeugt werden und
die Anzeigesteuersignale (AS1-AS3) auf einer mit dem un¬ sicheren Bedienplatzrechner (40, 50) verbundenen Anzeigeeinrichtung (70, 80) angezeigt werden.
9. Verfahren nach Anspruch 8,
d a d u r c h g e k e n n z e i c h n e t, dass
der den Zustand der technischen Anlage (20) beschreibende Datensatz (DS) redundant in zumindest zwei Speicherberei¬ chen (100, 110) gespeichert wird und
Daten (D) des den Zustand der technischen Anlage (20) beschreibenden Datensatzes (DS) zwecks Übertragung zum unsicheren Bedienplatzrechner (40, 50) jeweils aus jedem der zumindest zwei Speicherbereiche (100, 110) ausgelesen und miteinander verglichen werden und die ausgelesenen Daten (D) an den unsicheren Bedienplatzrechner (40, 50) lediglich dann weiterleitet werden, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert wird .
PCT/EP2013/063098 2012-06-29 2013-06-24 Verfahren und anordnung zum steuern einer technischen anlage WO2014001235A2 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
EP13733994.1A EP2849986B1 (de) 2012-06-29 2013-06-24 Verfahren und anordnung zum steuern einer technischen anlage
CN201380029120.8A CN104411564B (zh) 2012-06-29 2013-06-24 用于控制技术设备的方法和装置
HK15108733.8A HK1208013A1 (en) 2012-06-29 2015-09-08 Method and assembly for controlling a technical system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102012211273.1 2012-06-29
DE102012211273.1A DE102012211273A1 (de) 2012-06-29 2012-06-29 Verfahren und Anordnung zum Steuern einer technischen Anlage

Publications (2)

Publication Number Publication Date
WO2014001235A2 true WO2014001235A2 (de) 2014-01-03
WO2014001235A3 WO2014001235A3 (de) 2014-06-19

Family

ID=48746454

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2013/063098 WO2014001235A2 (de) 2012-06-29 2013-06-24 Verfahren und anordnung zum steuern einer technischen anlage

Country Status (5)

Country Link
EP (1) EP2849986B1 (de)
CN (1) CN104411564B (de)
DE (1) DE102012211273A1 (de)
HK (1) HK1208013A1 (de)
WO (1) WO2014001235A2 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016205119A1 (de) * 2016-03-29 2017-10-05 Siemens Aktiengesellschaft System zur Steuerung von Stellwerken im Bahnverkehr

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2036505C3 (de) * 1970-07-23 1978-10-05 Bayer Ag, 5090 Leverkusen Kationische Farbstoffe, Verfahren zu deren Herstellung und deren Verwendung
DE3639788C1 (en) * 1986-11-21 1988-03-03 Licentia Gmbh Method and arrangement for input of information into computer systems with secure signalling
DE10053023C1 (de) * 2000-10-13 2002-09-05 Siemens Ag Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE10116244C2 (de) * 2001-03-28 2003-05-08 Siemens Ag Verfahren zum Betreiben einer Bedienplatzeinrichtung
AU2002224742A1 (en) * 2001-11-22 2003-06-17 Siemens Aktiengesellschaft Method for controlling a safety-critical railway operating process and device for carrying out said method
DE102007004917B4 (de) * 2007-01-26 2010-09-30 Siemens Ag Verfahren und Anordnung zur Ansteuerung und Überwachung von Feldelementen
DE102007043053B4 (de) * 2007-09-11 2020-07-30 Db Netz Ag Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None

Also Published As

Publication number Publication date
EP2849986A2 (de) 2015-03-25
CN104411564A (zh) 2015-03-11
DE102012211273A1 (de) 2014-01-02
CN104411564B (zh) 2017-01-18
WO2014001235A3 (de) 2014-06-19
EP2849986B1 (de) 2016-04-27
HK1208013A1 (en) 2016-02-19

Similar Documents

Publication Publication Date Title
EP1857897B1 (de) Verfahren und System zur Erstellung oder Änderung sicherheitsrelevanter Daten für eine Steuerungseinrichtung
DE202005020802U1 (de) Steuersystem für Schienenfahrzeuge
EP2731849B1 (de) Stellwerksrechner
WO2018137856A1 (de) Verfahren und vorrichtung zum rechnergestützten erstellen und ausführen einer steuerfunktion
CH701344A1 (de) Stellwerksteuerung.
DE102007032805A1 (de) Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
CN113903229A (zh) 一种列车电气故障注入与诊断仿真培训系统及培训方法
WO2020025399A1 (de) Einrichtung und verfahren zum prüfen eines schaltschrankinhalts nach planungsbasierter montage
EP2726357B1 (de) Bedieneinrichtung
DE102012221714A1 (de) Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem
WO2019224131A1 (de) Änderung des inhalts eines wurzelzertifikatsspeichers
DE10053023C1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE102013017951A1 (de) Elektronische Steuervorrichtung und Verfahren zum Überprüfen einer Rücksetzfunktion
DE102005023296A1 (de) Zugbeeinflussungssystem
AT402909B (de) Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage
WO2014001235A2 (de) Verfahren und anordnung zum steuern einer technischen anlage
DE102005043305A1 (de) System-Architektur zur Steuerung und Überwachung von Komponenten einer Eisenbahnsicherungsanlage
WO2023052333A1 (de) Verfahren zur ansteuerung einer vielzahl von türen in einem fahrzeug
WO2014128036A1 (de) Verfahren zur fehleroffenbarung bei einem stellwerksrechnersystem und stellwerksrechnersystem
DE10353210A1 (de) Sichere Erfassung von Eingabewerten
EP1702827A1 (de) Bedienplatzsystem
EP0920391A1 (de) Verfahren und vorrichtung zur steuerung und überwachung einer verkehrstechnischen anlage
EP1220094B1 (de) Verfahren zur Programmierung eines redundant ausgeführten Zielsystems mit Sicherheitsanforderung
WO2003047937A1 (de) Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens
DE102018129354A1 (de) Verfahren zum Bearbeiten von Anwendungsprogrammen auf einem verteilten Automatisierungssystem

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13733994

Country of ref document: EP

Kind code of ref document: A2

WWE Wipo information: entry into national phase

Ref document number: 2013733994

Country of ref document: EP

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13733994

Country of ref document: EP

Kind code of ref document: A2