[go: up one dir, main page]

WO2003047937A1 - Method for controlling a safety-critical railway operating process and device for carrying out said method - Google Patents

Method for controlling a safety-critical railway operating process and device for carrying out said method Download PDF

Info

Publication number
WO2003047937A1
WO2003047937A1 PCT/DE2001/004485 DE0104485W WO03047937A1 WO 2003047937 A1 WO2003047937 A1 WO 2003047937A1 DE 0104485 W DE0104485 W DE 0104485W WO 03047937 A1 WO03047937 A1 WO 03047937A1
Authority
WO
WIPO (PCT)
Prior art keywords
computer
commercial
secure
computers
railway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/DE2001/004485
Other languages
German (de)
French (fr)
Inventor
Volker Goericke
Bernd Prade
Ralf Schiwasinske
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to CA002467972A priority Critical patent/CA2467972A1/en
Priority to PCT/DE2001/004485 priority patent/WO2003047937A1/en
Priority to HK05102045.6A priority patent/HK1069363B/en
Priority to JP2003549144A priority patent/JP4102306B2/en
Priority to CNB018238238A priority patent/CN1289345C/en
Priority to KR10-2004-7007825A priority patent/KR20040063935A/en
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to AU2002224742A priority patent/AU2002224742A1/en
Priority to MXPA04004840A priority patent/MXPA04004840A/en
Publication of WO2003047937A1 publication Critical patent/WO2003047937A1/en
Anticipated expiration legal-status Critical
Priority to US11/173,159 priority patent/US7209811B1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1497Details of time redundant execution on a single processing unit
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1625Error detection by comparing the output signals of redundant hardware in communications, e.g. transmission, interfaces
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level

Definitions

  • the invention relates to a method according to the preamble of patent claim 1 and to a device for carrying out this method according to the preamble of patent claim 12.
  • railway operating processes are part of the safety-critical processes, because any malfunctions, if they are not recognized in time and their effects on the process are prevented, can lead to considerable damage to property and possibly also to persons.
  • signaling-safe devices have been used for the control of such processes, the task of which is to detect malfunctions both within the process to be controlled and within the process control itself, and then to lead or leave the process in a safe state.
  • Such signal-safe controls can be implemented using different techniques, for example in relay technology or in electronic technology.
  • expensive special computers have been used for signal-safe process control via computers, which process the pending processing orders in two channels and continuously compare signal-wise with regard to processing sequences that match in terms of content.
  • Issued control commands are only output to the process elements of the process to be controlled if both processing channels have each reached the same result; otherwise the connection to the process will be broken unless it is gives at least one spare computer, which can take over the functions of the failed computer and actually takes over.
  • the secure computers also still contain the railway administration-specific software for the actual process control, e.g. interlocking operation.
  • the railway administration-specific software is determined by the operating regulations of the respective railway administration and describes e.g. B. the predefined dependencies of the route setting and the driving street resolution (Signal + Draht, 77 (1985) 12, p.259-265).
  • the railway administration-specific software not only differs from railway administration to railway administration, but at least partially also from installation to installation of the same railway administration.
  • the object of the present invention is to provide a method for
  • Controlling a safety-critical rail operating process according to the preamble of claim 1, which is less complex to prepare for the safe Process control required programs and that allows to react quickly and inexpensively to any changed requirements of a rail operator for process control. It is also an object of the invention to provide a device for performing this method.
  • the invention solves this problem by the features of claim 1 and claim 12.
  • the basic idea of the invention is to outsource the railway management-specific software from the computer or computers that are secure in terms of signal technology to commercial computers, to process the data there at least twice and before output to check the process in the signal-safe computers for consistency.
  • the signal-safe computers essentially also have the task of securely recording the incoming messages and commands and transmitting them to the commercial computers, as well as having a reliable effect on the process elements and, in the event of a malfunction, securely connecting the process elements interrupt.
  • FIG. 1 shows schematically in FIG. 1 the structure of the device according to the invention for controlling a safety-critical device
  • FIG. 2 shows a known, signal-technically secure computer SR for processing a process via preferably identical processing programs in two independent processing channels K1, K2.
  • the secure computer SR stands for any number of signal-technically secure computers; their number essentially depends on the size of the process to be controlled.
  • the process to be controlled is a railway operating process that is intended to act on a railway installation BA. Representing the process elements of
  • the signal-safe computer SR sends the messages M transmitted to it by the process via a communication bus
  • the commands K for controlling the railway operating process are also generated via the input and display computer EAR and transmitted to the signal-safe computer SR.
  • the input can be done by an operator, e.g. B. a dispatcher, or by an automatic z. B. for self-service or pass-through operation.
  • the messages and commands are processed on two channels in the signal-safe computer according to the conditions and dependencies specified in the respective operating regulations of a railway operator.
  • Test programs ensure that the input / output registers of the secure computer, as well as its program and work memory and its address register, are checked within a specified minimum period of time to determine whether their memory can be in one or the other state. Any malfunctions are detected in an event or time-controlled manner and lead to the safe shutdown of the outdoor facilities: control commands on turnouts can then no longer be issued and the signals stop.
  • the device according to the invention for controlling a railroad operating process shown in FIG. 1 there is also at least one signal-safe computer SR * with two processing channels K1 * and K2 * which are preferably constructed identically and operated identically. His job is it, similar to that of the signal-technically secure computer SR according to the state of the art, reliably detects all the messages M and commands K supplied to it and feeds them for processing. Furthermore, it is his task to issue control commands SB, which have been developed in a signal-safe manner, to the process elements W, S of the respective rail system BA, or to ensure that the output of such control commands in the event of a fault does not occur, in terms of signaling.
  • control commands SB which have been developed in a signal-safe manner, to the process elements W, S of the respective rail system BA, or to ensure that the output of such control commands in the event of a fault does not occur, in terms of signaling.
  • the processing of the conditions and dependencies for the control and monitoring of the railway operating process defined by the respective Railway Operating Regulations BO does not take place in or in the signal-safe computers SR *, but in commercial computers R1, R2, ... Rn , in which the system-specific data for controlling the railway operating process are also stored; the computers R1, R2 represent one or more pairs of computers, each computer also being able to belong to several pairs; three computers could be formed from three computers. They carry out processing orders A supplied to them by the secure computer SR *, each independently of the other according to the conditions and dependencies defined for the process control in the respective rail operating regulations BO.
  • the two computers of each commercial computer pair R1, R2 transmit their work results to the signal-technically secure computer SR *, the first computer R1 or R2 in time forcing a waiting point with time monitoring, at which the work result of the further computer or computers is waited for, or in the event of a timeout, fault handling is carried out.
  • Test mechanisms PM for the plausibility of the messages supplied to the commercial computer pairs R1, R2 and the signatures of the outputs and memory areas they have developed are indicated schematically in FIG. 1.
  • the input and display rights ner EAR commands K fed to the secure computer SR * are converted by the latter into processing orders A and transmitted in the form of telegrams to the commercial computers R1, R2; there they lead to processing according to the conditions and dependencies of the respective rail operating regulations BO.
  • the signal-technically secure computer ensures that the processing programs of the processing computers are synchronized on request of the commercial computers commercial computer for further processing of the programs after the waiting time.
  • the sensor message determined by the commercial computers should be read in and evaluated.
  • the processing results E determined by the commercial computer pair Rl, R2 are sent as telegrams to the signaling-safe computer SR *, where they are safely distributed over the two processing channels Kl *, K2 * and compared in terms of signaling to ensure they match.
  • the function block V in which the relevant programs are stored as system software is shown in the drawing for the secure distribution of messages and the reliable comparison of the results worked out by the commercial computers R1, R2.
  • the test mechanisms PMS of the computer which is secure in terms of signal technology are implemented in a signal-safe manner.
  • the particular advantage of the device according to the invention over a corresponding device designed according to the state of the art is that only the functions of safe input and output and safe data comparison can be implemented in the signal-technically safe computer, regardless of those by the operating rules of individual railway administrations each set requirements and conditions.
  • This not only makes the system software running in the secure computer or in the secure computers simple and clear; Rather, it is the same for all applications, so it no longer has to be developed from case to case and subjected to an approval test.
  • the railway administration-specific software which is determined by the different operating regulations of the individual railway administrations, runs on the commercial computers. Their interaction with the system software of the secure computers does not have to be checked.
  • the development of the railway management-specific software does not necessarily have to be carried out by the manufacturer responsible for the signaling security of the process for the signaling-safe computer. Rather, it is possible to place orders to develop the programs for the commercial computers to qualified engineering firms or the like, which the software they have developed with the respective railway administration and z. B. an approval authority such as the Federal Railway Authority. This makes it possible to adapt the programs for controlling and monitoring a safety-critical rail operating process much faster and cheaper than before, without having to accept any loss of safety.
  • the commercial computers R1, R2 stand for one or more double computer systems or computer systems provided with redundant computers, in the individual computers of which identical programs for processing the conditions and dependencies specified by the respective railway operating regulations are to run, of which individual commercial computers, preferably either only certain sub-functions of the operating regulations are to be implemented or only certain parts of the railway systems are to be affected.
  • the arrangement can also be such that the commercial computers R1, R2 are each individual computers, in which the programs of the railway administration-specific software determined by the operating regulations of a railway administration are processed independently several times, but at least twice in succession.
  • the railway management-specific software required for this can be designed in a diversified manner or the content can be the same for both processing operations.
  • a non-signal-safe computer is preferably used for the transmission of the results developed by the commercial computers to the computer-safe computer Data transmission in question, in which either the two-channel serial or parallel results are transmitted on two channels to the safe computer or computers, or in which they are transmitted twice in succession over only one channel.
  • a second or third redundant channel increases availability. Any data falsifications on the transmission path from the commercial computers to the signal-technically secure computers and vice versa can be recognized in the receiving computer by a signature entered by the sending computer, which codes the telegram content using a calculation rule.
  • the commercial computer can be designed as a so-called operator station computer, by means of which a railway operator or an automatic can issue commands for execution to the railway operating process and the feedback of the railway operating process can be visualized.
  • the programs for entering and visualizing commands and messages and the programs that control the process elements in accordance with the railway operating regulations then run independently of one another in the operator station computers.
  • the programs for the Command inputs and the visualization of the process can also be combined with the programs for process control as they are specified by the railway operating regulations.
  • the computer (s) that are secure in terms of signaling technology can also be designed as m of n computer systems, in which the decision as to whether and which control commands are to be issued to the process is made by a majority decision by at least two intact computers.
  • control commands are output to the process in two channels; every computer has the option of preventing the issuing of control commands when processing errors are detected.
  • the method according to the invention and the device according to the invention can be used with advantage for all safety-critical railway operating processes.
  • Such an application can e.g. B. the safe control of a railway operation through an interlocking but also z.
  • LZB regular train control

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Safety Devices In Control Systems (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

The invention relates to a method for controlling a safety-critical railway operating process in which the programme necessary for the above is divided into a system software (V,PMS) and a software (BO) specific for railway management. External commands (K) and messages (M), which affect the control, are recorded and transmitted to commercial computers (R1,R2) in which the actual process control runs, by means of the system software running in one or several secure signalling computers (SR*), as defined by the relevant railway operating condition. The processing of the programme specific for railway management can occur in two channels, parallel or serially, whereby the monitoring of whether the commercial computers have reached the same result is carried out in the secure signalling computers. The output (SB) to the process (BA) for control also occurs from there, so long as the secure comparison recognises that the commercial computers have provided the corresponding process result at least twice, otherwise the signalling connection to the process elements (W,S) is securely cut. The advantage of the invention is that the same software can always be used for the secure signalling computers and the railway management software can be separately developed and checked without being linked to the system software. Significant cost and time savings can thus be made relative to the state of the art without affecting safety.

Description

-Besehrei-bung - Description

Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Ver- fahrensMethod for controlling a safety-critical rail operating process and device for carrying out this method

Die Erfindung bezieht sich auf ein Verfahren nach dem Oberbegriff des Patentanspruches 1 sowie auf eine Einrichtung zur Durchführung dieses Verfahrens nach dem Oberbegriff des Pa- tentanspruches 12.The invention relates to a method according to the preamble of patent claim 1 and to a device for carrying out this method according to the preamble of patent claim 12.

Bahnbetriebsprozesse gehören zu den sicherheitskritischen Prozessen, weil etwaige Fehlfunktionen, sollten sie nicht rechtzeitig erkannt und ihre Auswirkung auf den Prozess ver- hindert werden, zu erheblichen Sachschäden und gegebenenfalls auch zu Personengefährdungen führen können. Aus diesem Grunde werden für die Steuerung solcher Prozesse bislang signaltechnisch sichere Einrichtungen eingesetzt, deren Aufgabe es ist, Fehlfunktionen sowohl innerhalb des zu steuernden Prozesses als auch innerhalb der Prozesssteuerung selbst zu erkennen und den Prozess daraufhin in einen sicheren Zustand zu führen bzw. zu belassen. Solche signaltechnisch sicheren Steuerungen können in unterschiedlichen Techniken ausgeführt sein, beispielsweise in Relaistechnik oder in elektronischer Technik. Bei der signaltechnisch sicheren Prozesssteuerung über Rechner werden bislang teuere Spezialrechner eingesetzt, die die anstehenden Verarbeitungsaufträge zweikanalig abarbeiten und sich laufend signaltechnisch sicher auf inhaltlich übereinstimmende Verarbeitungsabläufe vergleichen. Eine Ausgabe er- arbeiteter Stellbefehle an die Prozesselemente des zu steuernden Prozesses erfolgt nur, wenn beide Verarbeitungskanäle jeweils zum gleichen Ergebnis gelangt sind; andernfalls wird die Verbindung zum Prozess hin unterbrochen, es sei denn, es gibt mindestens einen Reserverechner, der die Funktionen des ausgefallenen Rechners übernehmen kann und tatsächlich übernimmt.Railway operating processes are part of the safety-critical processes, because any malfunctions, if they are not recognized in time and their effects on the process are prevented, can lead to considerable damage to property and possibly also to persons. For this reason, signaling-safe devices have been used for the control of such processes, the task of which is to detect malfunctions both within the process to be controlled and within the process control itself, and then to lead or leave the process in a safe state. Such signal-safe controls can be implemented using different techniques, for example in relay technology or in electronic technology. Up to now, expensive special computers have been used for signal-safe process control via computers, which process the pending processing orders in two channels and continuously compare signal-wise with regard to processing sequences that match in terms of content. Issued control commands are only output to the process elements of the process to be controlled if both processing channels have each reached the same result; otherwise the connection to the process will be broken unless it is gives at least one spare computer, which can take over the functions of the failed computer and actually takes over.

Die vorgenannten Funktionen der sicheren Ein- und Ausgabe von Daten sowie des Datenvergleichs mit gegebenenfalls sicherer Abschaltung von Prozesselementen werden veranlasst durch die Systemsoftware der sicheren Rechner. Daneben beinhalten die sicheren Rechner bislang auch noch die bahnverwaltungsspezi- fische Software für die eigentliche Prozesssteuerung, z.B. den Stellwerksbetrieb. Die bahnverwaltungsspezifische Software wird bestimmt durch die Betriebsordnung der jeweiligen Bahnverwaltung und beschreibt z. B. die von ihr vorgegebenen Abhängigkeiten der Fahrstraßeneinstellung und der Fahr- Straßenauflösung (Signal+Draht, 77 (1985) 12 , S.259-265). Die bahnverwaltungsspezifische Software ist nicht nur von Bahnverwaltung zu Bahnverwaltung verschieden, sondern mindestens partiell auch von Anlage zu Anlage der gleichen Bahnverwaltung. Das bedeutet, dass- die in einen signaltechnisch siche- ren Rechner zu ladende und dort ablaufende Software von Anwendungsfall zu Anwendungsfall verschieden ist, wobei für jeden Anwendungsfall die Fehlerfreiheit der geladenen Software durch einen Sicherheitsnachweis nachgewiesen oder glaubhaft gemacht werden muss. Dies führt durch die Vermengung der Sys- temsoftware und der bahnverwaltungsspezifischen Software in jedem Rechner zu komplexen Softwarepaketen, die schlecht überschaubar sind und die zeitaufwendig und teuer in der Erstellung und in der Prüfung sind.The above-mentioned functions of the safe input and output of data as well as the data comparison with possibly safe shutdown of process elements are initiated by the system software of the safe computers. In addition, the secure computers also still contain the railway administration-specific software for the actual process control, e.g. interlocking operation. The railway administration-specific software is determined by the operating regulations of the respective railway administration and describes e.g. B. the predefined dependencies of the route setting and the driving street resolution (Signal + Draht, 77 (1985) 12, p.259-265). The railway administration-specific software not only differs from railway administration to railway administration, but at least partially also from installation to installation of the same railway administration. This means that the software to be loaded into and running in a signal-technically secure computer differs from application to application, whereby the freedom from errors of the loaded software must be proven or credible for each application by means of a security certificate. Due to the mixing of the system software and the course management-specific software in each computer, this leads to complex software packages that are difficult to understand and that are time-consuming and expensive to create and test.

Aufgabe der vorliegenden Erfindung ist es, ein Verfahren zumThe object of the present invention is to provide a method for

Steuern eines sicherheitskritischen Bahnbetriebsprozesses nach dem Oberbegriff des Patentanspruches 1 anzugeben, das weniger aufwendig ist in der Erstellung der für die sichere Prozesssteuerung erforderlichen Programme und das es ermöglicht, auf etwaige geänderte Anforderungen eines Bahnbetreibers an die Prozesssteuerung rasch und kostengünstig zu reagieren. Es ist ferner Aufgabe der Erfindung, eine Einrichtung zur Durchführung dieses Verfahrens anzugeben.Controlling a safety-critical rail operating process according to the preamble of claim 1, which is less complex to prepare for the safe Process control required programs and that allows to react quickly and inexpensively to any changed requirements of a rail operator for process control. It is also an object of the invention to provide a device for performing this method.

Die Erfindung löst diese Aufgabe durch die Merkmale des Anspruches 1 bzw. des Anspruches 12. Die Grundidee der Erfindung besteht darin, die bahnverwaltungsspezifische Software aus dem oder den signaltechnisch sicheren Rechnern auf kommerzielle Rechner auszulagern, die Daten dort jeweils mindestens zweimal zu verarbeiten und vor Ausgabe an den Prozess in den signaltechnisch sicheren Rechnern sicher auf Übereinstimmung zu prüfen. Die signaltechnisch sicheren Rechnern haben neben der Aufgabe des Datenvergleichs im Wesentlichen noch die Aufgabe, die eingehenden Meldungen und Kommandos sicher zu erfassen und an die kommerziellen Rechnern zu übermitteln sowie sicher auf die Prozesselemente einzuwirken und im Störungsfall die Verbindung zu den Prozesselementen signaltech- nisch sicher zu unterbrechen.The invention solves this problem by the features of claim 1 and claim 12. The basic idea of the invention is to outsource the railway management-specific software from the computer or computers that are secure in terms of signal technology to commercial computers, to process the data there at least twice and before output to check the process in the signal-safe computers for consistency. In addition to the task of data comparison, the signal-safe computers essentially also have the task of securely recording the incoming messages and commands and transmitting them to the commercial computers, as well as having a reliable effect on the process elements and, in the event of a malfunction, securely connecting the process elements interrupt.

Vorteilhafte Ausgestaltungen und Weiterbildungen des erfindungsgemäßen Verfahrens bzw. der erfindungsgemäßen Einrichtung sind in den Unteransprüchen angegeben.Advantageous refinements and developments of the method according to the invention and the device according to the invention are specified in the subclaims.

Die Erfindung ist nachstehend anhand eines in der Zeichnung dargestellten Ausführungsbeispieles näher erläutert. Die Zeichnung zeigt in Figur 1 schematisch den Aufbau der erfindungsgemäßen Ein- richtung zur Steuerung eines sicherheitskritischenThe invention is explained below with reference to an embodiment shown in the drawing. The drawing shows schematically in FIG. 1 the structure of the device according to the invention for controlling a safety-critical device

Bahnbetriebsprozesses und in Figur 2 den Aufbau einer entsprechenden nach dem Stand der Technik ausgeführten Einrichtung. Figur 2 zeigt einen bekannten signaltechnisch sicheren Rechner SR zur Bearbeitung eines Prozesses über vorzugsweise identische Verarbeitungsprogramme in zwei unabhängigen Verar- beitungskanälen Kl,K2. Der sichere Rechner SR steht für eine beliebige Anzahl von signaltechnisch sicheren Rechnern; ihre Anzahl richtet sich im Wesentlichen nach der Größe des zu steuernden Prozesses. Der zu steuernde Prozess ist ein Bahn- betriebsprozess, mit dem auf eine Bahnanlage BA eingewirkt werden soll . Stellvertretend für die Prozesselemente derRailway operating process and in Figure 2 the structure of a corresponding device designed according to the prior art. FIG. 2 shows a known, signal-technically secure computer SR for processing a process via preferably identical processing programs in two independent processing channels K1, K2. The secure computer SR stands for any number of signal-technically secure computers; their number essentially depends on the size of the process to be controlled. The process to be controlled is a railway operating process that is intended to act on a railway installation BA. Representing the process elements of

Bahnanlage sind in der Zeichnung eine Weiche W und ein Signal S angedeutet. Die Steuerung und die Überwachung der Prozesselemente geschieht durch dafür entwickelte Steuer- und Überwachungsschaltungen, die in der Zeichnung nicht explizit dar- gestellt sind und über die vom sicheren Rechner SR Stellbefehle SB an die Prozesselemente ausgegeben und von dort Meldungen M in den sicheren Rechner eingegeben werden.Railway system a switch W and a signal S are indicated in the drawing. The process elements are controlled and monitored by control and monitoring circuits developed for this purpose, which are not explicitly shown in the drawing and via which the safe computer SR issues control commands SB to the process elements and from there messages M are entered into the safe computer ,

Der signaltechnisch sichere Rechner SR gibt die ihm vom Pro- zess übermittelten Meldungen M über einen KommunikationsbusThe signal-safe computer SR sends the messages M transmitted to it by the process via a communication bus

KB an einen Eingabe- und Anzeigerechner EAR aus. Dieser dient u.a. der Überwachung des Bahnbetriebsprozesses nach in der jeweiligen Bahnbetriebsordnung festgelegten Darstellungsregeln; er ist vorzugsweise als signaltechnisch verfahrensge- sicherter Rechner ausgeführt. Über den Eingabe- und Anzeigerechner EAR werden auch die Kommandos K zur Steuerung des Bahnbetriebsprozesses erzeugt und an den signaltechnisch sicheren Rechner SR übertragen. Die Eingabe kann dabei durch einen Bediener, z. B. einen Fahrdienstleiter, erfolgen oder aber durch eine Automatik z. B. für den Selbststellbetrieb oder den Durchleitbetrieb. Die Meldungen und Kommandos werden im signaltechnisch sicheren Rechner nach den in der jeweiligen Betriebsordnung eines Bahnbetreibers festgelegten Bedingungen und Abhängigkeiten zweikanalig verarbeitet. Die auf den Bussen der beiden Verar- beitungssysteme jeweils anliegenden Daten, Adressen und Steuersignale werden laufend signaltechnisch sicher miteinander verglichen, um etwaige Abweichungen sofort erkennen zu können. Prüfprogramme sorgen dabei dafür, dass die Ein/Ausgaberegister des sicheren Rechners sowie seine Pro- gramm- und Arbeitsspeicher und seine Adressenregister innerhalb vorgegebener MindestZeitspannen daraufhin überprüft werden, ob ihre Speicher sowohl den einen als auch den anderen Zustand einnehmen können. Etwaige Fehlfunktionen werden so ereignis- oder zeitgesteuert erkannt und führen zum sicheren Abschalten der Außenanlagen: Stellbefehle an Weichen können dann nicht mehr ausgegeben werden und die Signale gehen auf Halt.KB to an input and display computer EAR. This serves, among other things, to monitor the railway operating process in accordance with the rules of presentation laid down in the respective railway operating regulations; it is preferably designed as a computer which is procedurally secure. The commands K for controlling the railway operating process are also generated via the input and display computer EAR and transmitted to the signal-safe computer SR. The input can be done by an operator, e.g. B. a dispatcher, or by an automatic z. B. for self-service or pass-through operation. The messages and commands are processed on two channels in the signal-safe computer according to the conditions and dependencies specified in the respective operating regulations of a railway operator. The data, addresses and control signals present on the buses of the two processing systems are constantly compared with one another in terms of signal technology so that any deviations can be recognized immediately. Test programs ensure that the input / output registers of the secure computer, as well as its program and work memory and its address register, are checked within a specified minimum period of time to determine whether their memory can be in one or the other state. Any malfunctions are detected in an event or time-controlled manner and lead to the safe shutdown of the outdoor facilities: control commands on turnouts can then no longer be issued and the signals stop.

Dadurch, dass die durch die jeweilige Betriebsordnung einer Bahnverwaltung vorgegebenen Bedingungen und Abhängigkeiten, in der Zeichnung repräsentiert durch elliptische Platzhalter BO, in den Programmspeichern des sicheren Rechners SR hinterlegt und mit der Systemsoftware vermengt sind, ist die zur Steuerung des Bahnbetriebsprozesses in den sicheren Rechnern hinterlegte Softwaren eine individuelle Software, die sehr komplex und sowohl in der Erstellung als auch in der Prüfung außerordentlich aufwendig ist.Due to the fact that the conditions and dependencies specified by the respective operating regulations of a railway administration, represented in the drawing by elliptical placeholders BO, are stored in the program memories of the secure computer SR and are mixed with the system software, the one for controlling the railway operating process is stored in the secure computers Software is an individual software that is very complex and extremely complex to create and test.

Bei der in Figur 1 dargestellten erfindungsgemäßen Einrich- tung zur Steuerung eines Bahnbetriebsprozesses gibt es ebenfalls mindestens einen signaltechnisch sicheren Rechner SR* mit zwei vorzugsweise identisch aufgebauten und identisch betriebenen Verarbeitungskanälen Kl* und K2*. Seine Aufgabe ist es, ähnlich der des signaltechnisch sicheren Rechners SR nach dem Stand der Technik, alle ihm zugeführten Meldungen M und Kommandos K sicher zu erfassen und der Verarbeitung zuzuführen. Ferner ist es seine Aufgabe, signaltechnisch sicher er- arbeitete Stellbefehle SB an die Prozesselemente W, S der jeweiligen Bahnanlage BA auszugeben bzw. dafür zu sorgen, dass die Ausgabe derartiger Stellbefehle im Störungsfall signaltechnisch sicher unterbleibt. Die Abarbeitung der durch die jeweilige Bahnbetriebsordnung BO definierten Bedingungen und Abhängigkeiten für die Steuerung und Überwachung des Bahnbetriebsprozesses geschieht im Gegensatz zum Stand der Technik nicht in dem oder in den signaltechnisch sicheren Rechnern SR*, sondern in kommerziellen Rechnern Rl, R2 , ... Rn, in denen auch die anlagenspezifischen Daten für die Steuerung des Bahnbetriebsprozesses hinterlegt sind; die Rechner Rl, R2 stehen stellvertretend für ein oder mehrere Rechnerpaare, wobei jeder Rechner auch mehreren Paaren angehören kann; aus drei Rechnern ließen sich also drei Rechnerpaare bilden. Sie führen ihnen vom sicheren Rechner SR* zugeführte Verarbei- tungsauf räge A jeder für sich unabhängig vom jeweils anderen nach den für die Prozesssteuerung in der jeweiligen Bahnbetriebsordnung BO festgelegten Bedingungen und Abhängigkeiten durch. Die beiden Rechner eines jeden kommerziellen Rechnerpaares Rl, R2 übermitteln ihre Arbeitsergebnisse an den sig- naltechnisch sicheren Rechner SR*, wobei der zeitlich erste Rechner Rl oder R2 einen Wartepunkt mit Zeitüberwachung erzwingt, an dem auf das Arbeitsergebnis des oder der weiteren Rechner gewartet wird, oder bei Zeitüberschreitungen eine Störungsbehandlung durchgeführt wird. Prüfmechanismen PM für die Plausibilität der den kommerziellen Rechnerpaaren Rl, R2 zugeführten Meldungen und der Signaturen der von ihnen erarbeiteten Ausgaben und Speicherbereiche sind in Figur 1 schematisch angedeutet . Die über den Eingabe - und Anzeigerech- ner EAR dem sicheren Rechner SR* zugeführten Kommandos K werden von diesem in Verarbeitungsaufträge A umgesetzt und in Form von Telegrammen an die kommerziellen Rechner Rl, R2 übermittelt; sie führen dort zur Abarbeitung nach den Bedin- gungen und Abhängigkeiten der jeweiligen Bahnbetriebsordnung BO.In the device according to the invention for controlling a railroad operating process shown in FIG. 1, there is also at least one signal-safe computer SR * with two processing channels K1 * and K2 * which are preferably constructed identically and operated identically. His job is it, similar to that of the signal-technically secure computer SR according to the state of the art, reliably detects all the messages M and commands K supplied to it and feeds them for processing. Furthermore, it is his task to issue control commands SB, which have been developed in a signal-safe manner, to the process elements W, S of the respective rail system BA, or to ensure that the output of such control commands in the event of a fault does not occur, in terms of signaling. In contrast to the state of the art, the processing of the conditions and dependencies for the control and monitoring of the railway operating process defined by the respective Railway Operating Regulations BO does not take place in or in the signal-safe computers SR *, but in commercial computers R1, R2, ... Rn , in which the system-specific data for controlling the railway operating process are also stored; the computers R1, R2 represent one or more pairs of computers, each computer also being able to belong to several pairs; three computers could be formed from three computers. They carry out processing orders A supplied to them by the secure computer SR *, each independently of the other according to the conditions and dependencies defined for the process control in the respective rail operating regulations BO. The two computers of each commercial computer pair R1, R2 transmit their work results to the signal-technically secure computer SR *, the first computer R1 or R2 in time forcing a waiting point with time monitoring, at which the work result of the further computer or computers is waited for, or in the event of a timeout, fault handling is carried out. Test mechanisms PM for the plausibility of the messages supplied to the commercial computer pairs R1, R2 and the signatures of the outputs and memory areas they have developed are indicated schematically in FIG. 1. The input and display rights ner EAR commands K fed to the secure computer SR * are converted by the latter into processing orders A and transmitted in the form of telegrams to the commercial computers R1, R2; there they lead to processing according to the conditions and dependencies of the respective rail operating regulations BO.

Für den Fall, daß bei der Abarbeitung der bahnverwaltungsspezifischen Software durch die kommerziellen Rechner von diesen Programmpunkte erreicht werden, die die Weiterbehandlung der Programme erst nach einer vorgegebenen Wartezeit vorsehen, sorgt der signaltechnisch sichere Rechner auf entsprechende Anforderung der kommerziellen Rechner für ein Synchronisation der Verarbeitungsprogramme der kommerziellen Rechner zur Weiterbehandlung der Programme nach Ablauf der Wartezeit.In the event that the processing of the railway management-specific software is achieved by the commercial computers from these program points, which only provide for further processing of the programs after a predetermined waiting time, the signal-technically secure computer ensures that the processing programs of the processing computers are synchronized on request of the commercial computers commercial computer for further processing of the programs after the waiting time.

Beispielsweisen sollen nach Ablauf einer Wartezeit von mehreren Sekunden von den kommerziellen Rechnern bestimmte Sensormeldung eingelesen und bewertet werden.For example, after a waiting time of several seconds, the sensor message determined by the commercial computers should be read in and evaluated.

Die von dem kommerziellen Rechnerpaar Rl, R2 ermittelten Verarbeitungsergebnisse E werden als Telegramme dem signaltechnisch sicheren Rechner SR* zugeführt, dort signaltechnisch sicher auf die beiden Verarbeitungskanäle Kl*, K2* verteilt und signaltechnisch sicher auf Übereinstimmung verglichen. Für das sichere Verteilen von Meldungen und das sichere Vergleichen der von den kommerziellen Rechnern Rl, R2 erarbeiteten Ergebnisse steht in der Zeichnung der Funktionsblock V, in dem die diesbezüglichen Programme als Systemsoftware hinterlegt sind. Die Prüfmechanismen PMS des signaltechnisch si- cheren Rechners sind signaltechnisch sicher ausgeführt im Gegensatz zu den Prüf echanismen PM der kommerziellen Rechner Rl , R2. Der besondere Vorteil der erfindungsgemäßen Einrichtung gegenüber einer entsprechenden nach dem Stand der Technik ausgebildeten Einrichtung ist der, dass im signaltechnisch sicheren Rechner immer nur die Funktionen der sicheren Ein- und Ausgabe und des sicheren Datenvergleichs zu realisieren sind und zwar unabhängig von den durch die Betriebsordnungen der einzelnen Bahnverwaltungen jeweils festgelegten Anforderungen und Bedingungen. Damit wird nicht nur die im sicheren Rechner oder in den sicheren Rechnern ablaufende Systemsoftware ein- fach und übersichtlich; sie ist vielmehr für alle Anwendungsfälle gleich, muss also nicht mehr neu von Fall zu Fall erarbeitet und einer Zulassungsprüfung unterzogen werden. Die bahnverwaltungsspezifische Software, die durch die unterschiedlichen Betriebsordnungen der einzelnen Bahnverwaltungen bestimmt wird, läuft in den kommerziellen Rechnern ab. Ihr Zusammenwirken mit der Systemsoftware der sicheren Rechner muss nicht geprüft werden. Vielmehr ist lediglich erforderlich, die spezifizierte Schnittstelle zwischen signaltechnisch sicherem und kommerziellem Rechner einzuhalten und die in den kommerziellen Rechnern zu implementierende bahnverwaltungsspezifische Software in sich auf ihre Funktionalität zu prüfen, d. h. zu prüfen, ob bestimmte Eingaben auch tatsächlich zu bestimmten Ausgaben führen. Diese Funktionalitätsprüfung findet getrennt von der Prüfung der Systemsoftware statt und ist -anders als beim Stand der Technik- nicht mehr eingebunden in die Systemsoftware der sicheren Rechner, die ihrerseits auch übersichtlicher ist als beim Stand der Technik.The processing results E determined by the commercial computer pair Rl, R2 are sent as telegrams to the signaling-safe computer SR *, where they are safely distributed over the two processing channels Kl *, K2 * and compared in terms of signaling to ensure they match. The function block V in which the relevant programs are stored as system software is shown in the drawing for the secure distribution of messages and the reliable comparison of the results worked out by the commercial computers R1, R2. In contrast to the test mechanisms PM of the commercial computers R1, R2, the test mechanisms PMS of the computer which is secure in terms of signal technology are implemented in a signal-safe manner. The particular advantage of the device according to the invention over a corresponding device designed according to the state of the art is that only the functions of safe input and output and safe data comparison can be implemented in the signal-technically safe computer, regardless of those by the operating rules of individual railway administrations each set requirements and conditions. This not only makes the system software running in the secure computer or in the secure computers simple and clear; Rather, it is the same for all applications, so it no longer has to be developed from case to case and subjected to an approval test. The railway administration-specific software, which is determined by the different operating regulations of the individual railway administrations, runs on the commercial computers. Their interaction with the system software of the secure computers does not have to be checked. Rather, it is only necessary to adhere to the specified interface between signal-safe and commercial computers and to check the functionality of the railway administration-specific software to be implemented in the commercial computers, ie to check whether certain inputs actually lead to certain outputs. This functionality check takes place separately from the check of the system software and, unlike in the prior art, is no longer integrated into the system software of the secure computers, which in turn is also clearer than in the prior art.

Die Erarbeitung der bahnverwaltungsspezifischen Software muss nicht zwangsweise bei dem für die signaltechnische Sicherheit des Prozessgeschehens erantwortlichen Hersteller für die signaltechnisch sicheren Rechner erfolgen. Vielmehr ist es möglich, Aufträge zur Erarbeitung der Programme für die kom- merziellen Rechner an qualifizierte Ingenieurbüros oder dergleichen zu vergeben, die die von ihnen erarbeitet Software mit der jeweiligen Bahnverwaltung und z. B. einer Genehmigungsbehörde wie dem Eisenbahnbundesamt abzugleichen haben. Damit wird es möglich, die Programme zum Steuern und Überwachen eines sicherheitskritischen Bahnbetriebsprozesses sehr viel schneller und preiswerter als bisher den jeweiligen Gegebenheiten anzupassen, ohne dass dadurch irgend welche Einbußen an Sicherheit in Kauf genommen werden müssen.The development of the railway management-specific software does not necessarily have to be carried out by the manufacturer responsible for the signaling security of the process for the signaling-safe computer. Rather, it is possible to place orders to develop the programs for the commercial computers to qualified engineering firms or the like, which the software they have developed with the respective railway administration and z. B. an approval authority such as the Federal Railway Authority. This makes it possible to adapt the programs for controlling and monitoring a safety-critical rail operating process much faster and cheaper than before, without having to accept any loss of safety.

Bei dem vorstehend erläuterten Ausführungsbeispiel stehen die kommerziellen Rechner Rl, R2 für ein- oder mehrere Doppelrechnersysteme oder mit redundanten Rechnern versehene Rechnersysteme, in deren Einzelrechnern jeweils identische Pro- gramme zum Abarbeiten der durch die jeweilige Bahnbetriebsordnung vorgegebenen Bedingungen und Abhängigkeiten ablaufen sollen, wobei von den einzelnen kommerziellen Rechnern vorzugsweise entweder jeweils nur bestimmte Teilfunktionen der Betriebsordnung zu realisieren sind oder aber jeweils nur auf bestimmte Teile der Bahnanlagen einzuwirken ist. Die Anordnung kann aber auch so getroffen sein, dass es sich bei den kommerziellen Rechnern Rl, R2 jeweils um Einzelrechner handelt, in denen die durch die Betriebsordnung einer Bahnverwaltung bestimmten Programme der bahnverwaltungsspezifischen Software mehrmals, mindestens jedoch zweimal nacheinander unabhängig voneinander abgearbeitet werden. Die hierfür erforderliche bahnverwaltungsspezifische Software kann diversitär ausgelegt sein oder aber für beide Verarbeitungsvorgänge inhaltlich gleich sein.In the exemplary embodiment explained above, the commercial computers R1, R2 stand for one or more double computer systems or computer systems provided with redundant computers, in the individual computers of which identical programs for processing the conditions and dependencies specified by the respective railway operating regulations are to run, of which individual commercial computers, preferably either only certain sub-functions of the operating regulations are to be implemented or only certain parts of the railway systems are to be affected. However, the arrangement can also be such that the commercial computers R1, R2 are each individual computers, in which the programs of the railway administration-specific software determined by the operating regulations of a railway administration are processed independently several times, but at least twice in succession. The railway management-specific software required for this can be designed in a diversified manner or the content can be the same for both processing operations.

Für die Übermittlung der von den kommerziellen Rechnern erarbeiteten Ergebnissen an den oder die signaltechnisch sicheren Rechner kommt vorzugsweise eine nicht signaltechnisch sichere Datenübertragung infrage, bei der entweder die zweikanalig seriell oder parallel erarbeiteten Ergebnisse auf zwei Kanälen an den oder die sicheren Rechner übermittelt werden oder aber bei der sie über nur einen Kanal zweimal nacheinander übermittelt werden. Ein zweiter oder dritter redundanter Kanal erhöht die Verfügbarkeit. Etwaige Datenverfälschungen auf dem Übertragungsweg von den kommerziellen Rechnern zu den signaltechnisch sicheren Rechnern und umgekehrt sind im empfangenden Rechner durch eine vom absendenden Rechner einge- tragene Signatur erkennbar, die den Telegramminhalt über eine Rechenvorschrift kodiert. Bei der seriellen Übertragung von Daten an die sicheren Rechner sind den Daten Kennungen beizugeben, die es den signaltechnisch sicheren Rechnern ermöglichen, zu erkennen, ob die übermittelten Daten aktuell sind und tatsächlich aus unterschiedlichen Rechnerkanälen der kommerziellen Rechnern stammen bzw. das Ergebnis unterschiedlicher Verarbeitungsvorgänge sind; bei der Datenübertragung über getrennte Busse können die signaltechnisch sicheren Rechner aus den ihnen über den einen oder anderen Bus über- ittelten Daten erkennen, ob diese Daten auch tatsächlich von dem einen oder anderen Rechner eines kommerziellen Rechnerpaares stammen oder nicht.A non-signal-safe computer is preferably used for the transmission of the results developed by the commercial computers to the computer-safe computer Data transmission in question, in which either the two-channel serial or parallel results are transmitted on two channels to the safe computer or computers, or in which they are transmitted twice in succession over only one channel. A second or third redundant channel increases availability. Any data falsifications on the transmission path from the commercial computers to the signal-technically secure computers and vice versa can be recognized in the receiving computer by a signature entered by the sending computer, which codes the telegram content using a calculation rule. In the case of serial transmission of data to the secure computers, identifiers must be added to the data, which enable the computers with secure signals to recognize whether the transmitted data is up-to-date and actually comes from different computer channels of the commercial computers or is the result of different processing operations; in the case of data transmission via separate buses, the signal-safe computers can recognize from the data transmitted to them via one or the other bus whether or not these data actually originate from one or the other computer of a commercial computer pair.

In vorteilhafter Ausgestaltung der Erfindung können der oder die kommerziellen Rechner als sogenannte Bedienplatzrechner ausgeführt sein, über die von einem Bahnbediensteten oder von einer Automatik Kommandos zur Ausführung an den Bahnbetriebs- prozess ausgegeben und die Rückmeldungen des Bahnbetriebsprozesses visualisiert werden können. In den Bedienplatzrechnern laufen dann unabhängig voneinander die Programme zur Eingabe und Visualisierung von Kommandos und Meldungen und die Programme ab, über die die Prozesselemente entsprechend der Bahnbetriebsordnung gesteuert werden. Die Programme für die Kommandoeingäbe und die Visualisierung des Prozessgeschehens können auch mit den Programmen zur Prozesssteuerung, wie sie durch die Bahnbetriebsordnung jeweils vorgegeben sind, kombiniert sein.In an advantageous embodiment of the invention, the commercial computer (s) can be designed as a so-called operator station computer, by means of which a railway operator or an automatic can issue commands for execution to the railway operating process and the feedback of the railway operating process can be visualized. The programs for entering and visualizing commands and messages and the programs that control the process elements in accordance with the railway operating regulations then run independently of one another in the operator station computers. The programs for the Command inputs and the visualization of the process can also be combined with the programs for process control as they are specified by the railway operating regulations.

Der oder die signaltechnisch sicheren Rechner können auch als m von n-RechnerSystem ausgeführt sein, bei denen die Entscheidung darüber, ob und welche Stellbefehle an den Prozess ausgegeben werden sollen, durch MehrheitsentScheidung von mindestens zwei intakten Rechnern getroffen wird.The computer (s) that are secure in terms of signaling technology can also be designed as m of n computer systems, in which the decision as to whether and which control commands are to be issued to the process is made by a majority decision by at least two intact computers.

Die Ausgabe der Stellbefehle an den Prozess geschieht zweikanalig; jeder Rechner hat die Möglichkeit, die Ausgabe von Stellbefehlen beim Feststellen von Verarbeitungsfehlem zu verhindern.The control commands are output to the process in two channels; every computer has the option of preventing the issuing of control commands when processing errors are detected.

Das erfindungsgemäße Verfahren und die erfindungsgemäße Einrichtung lassen sich für alle sicherheitskritischen Bahnbetriebsprozesse mit Vorteil anwenden. Eine solche Anwendung kann z. B. die sichere Steuerung eines Bahnbetriebes durch ein Stellwerk sein aber auch z. B. die sichere Steuerung eines Bahnüberganges, einer Achszähl nläge sowie von Strecken- und Fahrzeuggeräten einer Linienzugbeeinflussung (LZB) . The method according to the invention and the device according to the invention can be used with advantage for all safety-critical railway operating processes. Such an application can e.g. B. the safe control of a railway operation through an interlocking but also z. B. the safe control of a level crossing, an Achszähl nläge and track and vehicle devices a regular train control (LZB).

Claims

Patentansprüche claims 1. Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses unter Verwendung mindestens eines signaltech- nisch sicheren Rechners, der aus eingehenden Kommandos nach Maßgabe einer Bahnbetriebsordnung signaltechnisch sicher erarbeitete Stellbefehle signaltechnisch sicher an Prozesselemente ausgibt und von dort stammende Meldungen einer Prozesszustandsüberwachung und Prozesssteuerung zuführt, d a d u r c h g e k e n n z e i c h n e t , dass im sicheren Rechner (SR*) lediglich eine System-Software (V,PMS) hinterlegt wird, deren Programme den sicheren Rechner befähigen, eine signaltechnisch sichere Ein/Ausgabe und den signaltechnisch sicheren Datenvergleich vorzunehmen, und dass die bahnverwaltungsspezifische Software (BO) , die die von einer Bahnverwaltung durch deren Bahnbetriebsordnung vorgegebenen Bedingungen und Abhängigkeiten für den Bahnbetriebsprozess beinhaltet, in mindestens einem nicht signaltechnisch sicheren kommerziellen Rechner (R1,R2) hinterlegt wird, dass vom signaltechnisch sicheren Rechner aus den ihm zugeführten Kommandos (K) und Meldungen (M) Verarbeitungsaufträge (A) erzeugt und an den oder die kommerziellen Rechner über- mittelt werden, dass die Verarbeitungsaufträge dort mindestens zweimal unabhängig voneinander abgearbeitet werden, dass die dabei erarbeiteten Ergebnisse (E) und/oder Zwischenergebnisse an den sicheren Rechner übermittelt und dort sig- naltechnisch sicher auf inhaltliche Übereinstimmung geprüft werden, wobei vom sicheren Rechner nur solche Ergebnisse und/oder Zwischenergebnisse akzeptiert und daraus ableitbare Stellbe- fehle (SB) signaltechnisch sicher an den Prozess (BA) ausgegeben werden, die von dem kommerziellen Rechner mindestens zweifach übereinstimmend zur Verfügung gestellt wurden.1. A method for controlling a safety-critical rail operating process using at least one signal-technically safe computer which, from incoming commands in accordance with a rail operating order, outputs control commands which have been developed in a signal-safe manner to process elements and feeds messages from there to a process status monitoring and process control, characterized in that in secure computer (SR *), only a system software (V, PMS) is stored, the programs of which enable the secure computer to carry out a signal-safe input / output and signal-safe data comparison, and that the railway management-specific software (BO) that the contains a condition given by a railway administration through its railway operating regulations and dependencies for the railway operation process, is stored in at least one non-signal-safe commercial computer (R1, R2) that the signaling techni secure computers are generated from the commands (K) and messages (M) it receives and processing orders (A) are sent to the commercial computer (s) so that the processing orders are processed there at least twice independently of one another, so that the results obtained ( E) and / or intermediate results are transmitted to the secure computer and there are signal-technically checked for conformity in terms of content, with only such results and / or intermediate results being accepted by the secure computer and setting instructions derived therefrom failures (SB) are signaled safely to the process (BA), which were made available by the commercial computer at least twice in accordance. 2. Verfahren nach Anspruch 1, d a du r c h g e k e n n z e i c h n e t , dass für das mindestens zweimalige Abarbeiten von Verarbeitungsaufträgen im kommerziellen Rechner identische oder di- versitäre Software verwendet wird.2. The method according to claim 1, which also means that identical or diverse software is used for the processing of processing orders in the commercial computer at least twice. 3. Verfahren nach Anspruch 1 oder 2 , d a d u r c h g e k e n n z e i c h n e t , dass die bei der Abarbeitung der bahnverwaltungsspezifischen Software (BO) sich ergebenden Zeitereignisse vom signaltech- nisch sicheren Rechner (SR*) auf Anforderung der kommerziellen Rechner synchronisiert werden.3. The method according to claim 1 or 2, so that the time events resulting from the processing of the railway management-specific software (BO) are synchronized by the signal-technically secure computer (SR *) at the request of the commercial computer. 4. Verfahren nach einem der Ansprüche 1 bis 3 , d a d u r c h g e k e n n z e i c h n e t , dass die vom kommerziellen Rechner ermittelten Ergebnisse und/oder Zwischenergebnisse über nicht signaltechnisch sichere Kommunikationskanäle an den sicheren Rechner übermittelt werden.4. The method according to any one of claims 1 to 3, so that the results and / or intermediate results determined by the commercial computer are transmitted to the secure computer via communication channels that are not secure in terms of signal technology. 5. Verfahren nach einem der Ansprüche 1 bis 4, d a d u r c h g e k e n n z e i c h n e t , dass eine telegrammweise Datenübertragung vorgesehen ist und dass den Telegrammen Signaturen beigegeben werden, aus denen der jeweils empfangende Rechner erkennen kann, ob diese Tele- gramme unverfälscht übertragen wurden.5. The method according to any one of claims 1 to 4, that data transmission is provided and that the telegrams are accompanied by signatures from which the receiving computer can recognize whether these telegrams have been transmitted in an unadulterated manner. 6. Verfahren nach einem der Ansprüche 1 bis 5, d a d u r c h g e k e n n z e i c h n e t , dass eine telegrammweise Datenübertragung vorgesehen ist und dass den Telegrammen Signaturen beigegeben werden, aus denen der signaltechnisch sichere Rechner erkennen kann, ob in den Programm- und Datenspeichern der kommerziellen Rechner Ver- fälschungen aufgetreten sind oder die CPU eines kommerziellen Rechners nicht mehr korrekt arbeitet.6. The method according to any one of claims 1 to 5, characterized in that data transmission by telegram is provided and that the telegrams are accompanied by signatures from which the signal-safe computer can recognize whether falsifications have occurred in the program and data memories of the commercial computers or whether the CPU of a commercial computer no longer works correctly. 7. Verfahren nach einem der Ansprüche 1 bis 6, d a d u r c h g e k e n n z e i c h n e t , dass die Verarbeitungsaufträge in mindestens jeweils zwei kommerziellen Rechnern (R1,R2) im wesentlichen zeitgleich abgearbeitet werden oder zeitlich seriell in nur einem einzigen Rechner und dass die ermittelten Ergebnisse und/oder Zwischenergebnisse dem sicheren Rechner für den Vergleich je- weils paarweise zugeführt werden.7. The method according to any one of claims 1 to 6, characterized in that the processing orders in at least two commercial computers (R1, R2) are processed essentially at the same time or serially in time in only one computer and that the results and / or intermediate results determined secure computers for comparison can be fed in pairs. 8. Verfahren nach Anspruch 7 , d a d u r c h g e k e n n z e i c h n e t , dass den Telegrammen Kennungen beigegeben werden, aus denen der sichere Rechner erkennen kann, ob diese Telegramme tatsächlich getrennt erarbeitet wurden.8. The method according to claim 7, so that the telegrams are given identifiers from which the secure computer can recognize whether these telegrams were actually processed separately. 9. Verfahren nach Anspruch 7 , d a d u r c h g e k e n n z e i c h n e t , dass von dem sicheren Rechner anhand der ihm über verschiedene Eingänge zugeführten Ergebnismeldungen der kommerziellen Rechner erkannt wird, ob diese Telegramme von verschiedenen Rechnern stammen.9. The method as claimed in claim 7, so that the secure computer recognizes whether the telegrams originate from different computers on the basis of the result reports of the commercial computers fed to it via various inputs. 10. Verfahren nach einem der Ansprüche 1 bis 9, d a d u r c h g e k e n n z e i c h n e t , dass systematische Fehler in der Betriebssystem-Software (BO) der kommerziellen Rechner durch Einsatz von diversitären Be- triebsSystemen auf den beteiligten Rechnern (Rl bis Rn) ausgeschlossen werden.10. The method according to any one of claims 1 to 9, characterized in that systematic errors in the operating system software (BO) of the commercial computer through the use of diverse loading drive systems on the computers involved (Rl to Rn) can be excluded. 11. Verfahren nach einem der Ansprüche 1 bis 10, d a d u r c h g e k e n n z e i c h n e t , dass systematische Fehler in der Hardware der kommerziellen Rechner durch Einsatz von diversitären Rechnerkomponenten (Motherboard, CPU, Speicher) auf den beteiligten Rechnern (Rl bis Rn) ausgeschlossen werden.11. The method according to any one of claims 1 to 10, so that systematic errors in the hardware of the commercial computers are excluded by using diverse computer components (motherboard, CPU, memory) on the computers involved (Rl to Rn). 12. Einrichtung zur Durchführung eines Verfahrens zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses mit mindestens einem signaltechnisch sicheren Rechner, der aus eingehenden Kommandos nach Maßgabe einer Bahnbetriebsordnung sig- naltechnisch sicher erarbeitete Stellbefehle für12. Device for carrying out a method for controlling a safety-critical railroad operating process with at least one computer that is secure in terms of signal technology and that provides control commands for signals that have been safely generated from incoming commands in accordance with a railroad operating code Prozesselemente .ausgibt und von dort stammende Meldungen einer Prozesszustandsüberwachung und Prozesssteuerung zuführt, d a d u r c h g e k e n n z e i c h n e t , dass im signaltechnisch sicheren Rechner (SR*) lediglich noch eine System-Software implementiert ist, deren Programme den sicheren Rechner befähigen, die signaltechnisch sichere Ein/Ausgabe (K,E,M,A,SB) und den signaltechnisch sicheren Datenvergleich vorzunehmen, und dass mindestens ein nicht signaltechnisch sicherer kommerzieller Rechner (Rl, R2 ) vorgesehen ist, in dem die bahnverwaltungsspezifische Software implementiert ist, die die von einer Bahnverwaltung durch ihre Bahnbetriebsordnung (BO) vorgegebenen Bedingungen und Abhängigkeiten für die Steuerung des Bahnbetriebsprozesses beinhaltet, dass der sichere Rechner und der kommerzielle Rechner an ein KommunikationsSystem (BUS) angeschlossen sind, über das der sichere Rechner Verarbeitungsaufträge (A) an den kommerziel- len Rechner übermittelt und von dort Ergebnisse (E) und/oderOutputs process elements and feeds messages from there to process status monitoring and process control, characterized in that only system software is implemented in the signal-safe computer (SR *), the programs of which enable the safe computer to perform the signal-safe input / output (K, E, M, A, SB) and the signal-related secure data comparison, and that at least one non-signal-secure commercial computer (Rl, R2) is provided, in which the railway management-specific software is implemented, which is used by a railway administration through its railway operating regulations (BO ) Predefined conditions and dependencies for the control of the railway operating process include that the secure computer and the commercial computer are connected to a communication system (BUS), via which the secure computer processes processing orders (A) to the commercial len computer and from there results (E) and / or Zwischenergebnisse erhält, wobei der kommerzielle Rechner dazu eingerichtet ist, jeden Verarbeitungsauftrag mindestens zweimal unabhängig voneinan- der auszuführen, dass der sichere Rechner die ihm vom kommerziellen Rechner mindestens jeweils paarweise übermittelten Ergebnisse und/oder Zwischenergebnisse signaltechnisch sicher auf inhaltliche Übereinstimmung prüft und in Abhängigkeit vom Prü- fungsergebnis daraus Stellbefehle (SB) für ProzesselementeIntermediate results are obtained, with the commercial computer being set up to execute each processing job at least twice independently of one another, so that the secure computer uses signals to reliably check the results and / or intermediate results transmitted to it by the commercial computer in pairs, depending on the content, and depending on the test - Result of this, control commands (SB) for process elements (W, S) ableitet und ihre Ausgabe an den Prozess über dafür vorgesehene Treiber veranlasst.(W, S) derives and arranges their output to the process via dedicated drivers. 13. Einrichtung nach Anspruch 12, d a d u r c h g e k e n n z e i c h n e t , dass auch im kommerziellen Rechner nur Programme (BO) installiert sind, deren Funktionalität nachgewiesen wurde.13. The device as claimed in claim 12, so that only programs (BO) are installed in the commercial computer, the functionality of which has been demonstrated. 14. Einrichtung nach Anspruch 12 oder 13, d a du r c h g e k e n n z e i c h n e t , dass der kommerzielle Rechner die Verarbeitungsaufträge mit identischer oder diversitärer Software jeweils mindestens zweimal abarbeitet .14. Device according to claim 12 or 13, so that the commercial computer processes the processing orders with identical or diversified software at least twice in each case. 15. Einrichtung nach einem der Ansprüche 12 bis 14, d a d u r c h g e k e n n z e i c h n e t , dass mindestens zwei die gleichen Verarbeitungsaufträge paarweise unabhängig voneinander abarbeitende kommerzielle Rechner vorgesehen sind.15. Device according to one of claims 12 to 14, so that at least two commercial computers which process the same processing orders in pairs independently of one another are provided. 16. Einrichtung nach einem der Ansprüche 12 bis 15, d a d u r c h g e k e n n z e i c h n e t , 17 dass zur Abarbeitung unterschiedlicher Funktionalitäten oder Teilfunktionalitäten oder zum Steuern und Überwachen unterschiedlicher Anlagenteile jeweils mehrere kommerzielle Rechner (Rl, R2) in Einrechner- oder Mehrrechnerausführung vorge- sehen sind.16. Device according to one of claims 12 to 15, characterized in 17 that for the processing of different functionalities or partial functionalities or for the control and monitoring of different system parts, several commercial computers (Rl, R2) are provided in single-computer or multi-computer versions. 17. Einrichtung nach einem der Ansprüche 12 bis 16, d a d u r c h g e k e n n z e i c h n e t, dass der mindestens eine kommerzielle Rechner ein Bedien- platzrechner ist, über den Kommandos (K) an den sicheren17. Device according to one of claims 12 to 16, so that the at least one commercial computer is a workstation computer, via the commands (K) to the secure ones Rechner einzugeben und Meldungen (M) zur Anzeige zu bringen sind.Enter the computer and display messages (M). 18. Einrichtung nach einem der Ansprüche 12 bis 17 , d a d u r c h g e k e n n z e i c h n e t, dass der sichere Rechner ein m v n-Rechnersystem ist.18. Device according to one of claims 12 to 17, d a d u r c h g e k e n n z e i c h n e t that the secure computer is a m v n computer system. 19. Einrichtung nach einem der Ansprüche 12 bis 18, d a d u r c h g e k e n n z e i c h n e t, dass der sichere Rechner dazu eingerichtet ist, aus Kennungen, die den von dem mindestens einen kommerziellen Rechner übermittelten Ergebnissen und/oder Zwischenergebnissen beigegeben sind, zu erkennen, ob diese Ergebnisse und/oder Zwischenergebnisse aus verschiedenen Verarbeitungsprozessen stammen.19. Device according to one of claims 12 to 18, characterized in that the secure computer is set up to recognize from identifiers that are added to the results transmitted by the at least one commercial computer and / or intermediate results, whether these results and / or Interim results come from different processing processes. 20. Einrichtung nach Anspruch 12, d a d u r c h g e k e n n z e i c h n e t, dass der sichere Rechner etwaige Stellbefehle zweikanalig an den Prozess ausgibt. 20. The device as claimed in claim 12, so that the secure computer outputs any control commands to the process in two channels.
PCT/DE2001/004485 2001-11-22 2001-11-22 Method for controlling a safety-critical railway operating process and device for carrying out said method Ceased WO2003047937A1 (en)

Priority Applications (9)

Application Number Priority Date Filing Date Title
PCT/DE2001/004485 WO2003047937A1 (en) 2001-11-22 2001-11-22 Method for controlling a safety-critical railway operating process and device for carrying out said method
HK05102045.6A HK1069363B (en) 2001-11-22 Method for controlling a safety-critical railway operating process and device for carrying out said method
JP2003549144A JP4102306B2 (en) 2001-11-22 2001-11-22 Method for controlling railway operation process requiring safety and apparatus for carrying out this method
CNB018238238A CN1289345C (en) 2001-11-22 2001-11-22 Method for controlling safety-critical railway operating process and device for carrying out said method
KR10-2004-7007825A KR20040063935A (en) 2001-11-22 2001-11-22 Method for controlling a safety-critical railway operating process and device for carrying out said method
CA002467972A CA2467972A1 (en) 2001-11-22 2001-11-22 Method for controlling a safety-critical railroad operating process and device for carrying out said method
AU2002224742A AU2002224742A1 (en) 2001-11-22 2001-11-22 Method for controlling a safety-critical railway operating process and device for carrying out said method
MXPA04004840A MXPA04004840A (en) 2001-11-22 2001-11-22 Method for controlling a safety-critical railway operating process and device for carrying out said method.
US11/173,159 US7209811B1 (en) 2001-11-22 2005-07-05 System and method for controlling a safety-critical railroad operating process

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/DE2001/004485 WO2003047937A1 (en) 2001-11-22 2001-11-22 Method for controlling a safety-critical railway operating process and device for carrying out said method

Related Child Applications (2)

Application Number Title Priority Date Filing Date
US10496082 A-371-Of-International 2001-11-22
US11/173,159 Continuation US7209811B1 (en) 2001-11-22 2005-07-05 System and method for controlling a safety-critical railroad operating process

Publications (1)

Publication Number Publication Date
WO2003047937A1 true WO2003047937A1 (en) 2003-06-12

Family

ID=5648319

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2001/004485 Ceased WO2003047937A1 (en) 2001-11-22 2001-11-22 Method for controlling a safety-critical railway operating process and device for carrying out said method

Country Status (7)

Country Link
JP (1) JP4102306B2 (en)
KR (1) KR20040063935A (en)
CN (1) CN1289345C (en)
AU (1) AU2002224742A1 (en)
CA (1) CA2467972A1 (en)
MX (1) MXPA04004840A (en)
WO (1) WO2003047937A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013218814A1 (en) * 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Method for operating a safety-critical system
EP4293957A1 (en) * 2022-06-16 2023-12-20 Siemens Mobility GmbH Method and assembly for creating a control signal

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2929056B1 (en) * 2008-03-19 2010-04-16 Alstom Transport Sa DEVICE FOR DETECTING A SECURITY THRESHOLD OF A RAIL SYSTEM
DE102012211273A1 (en) * 2012-06-29 2014-01-02 Siemens Aktiengesellschaft Method and arrangement for controlling a technical installation
CN105822665A (en) * 2016-06-02 2016-08-03 株洲时代新材料科技股份有限公司 Integrated metal joint bearing in low-floor vehicle fixed hinge and assembly method thereof
CN112462731B (en) * 2020-10-16 2022-06-24 北京西南交大盛阳科技股份有限公司 Safety supervision control method, safety supervision control device, computer equipment and safety supervision system
JP7524750B2 (en) * 2020-12-08 2024-07-30 トヨタ自動車株式会社 Vehicle control device, vehicle control method, and control program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0132548A1 (en) * 1983-06-28 1985-02-13 Siemens Aktiengesellschaft Device for operating a computer-controlled signal box
WO1992003787A1 (en) * 1990-08-14 1992-03-05 Siemens Aktiengesellschaft Highly safe multi-computer system with three computers
EP0503336A2 (en) * 1991-03-09 1992-09-16 Alcatel SEL Aktiengesellschaft Arrangement for fail-safe remote control of a substation in a railway system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0132548A1 (en) * 1983-06-28 1985-02-13 Siemens Aktiengesellschaft Device for operating a computer-controlled signal box
WO1992003787A1 (en) * 1990-08-14 1992-03-05 Siemens Aktiengesellschaft Highly safe multi-computer system with three computers
EP0503336A2 (en) * 1991-03-09 1992-09-16 Alcatel SEL Aktiengesellschaft Arrangement for fail-safe remote control of a substation in a railway system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013218814A1 (en) * 2013-09-19 2015-03-19 Siemens Aktiengesellschaft Method for operating a safety-critical system
WO2015039878A1 (en) * 2013-09-19 2015-03-26 Siemens Aktiengesellschaft Software updating of non-critical components in dual safety-critical distributed systems
US10229036B2 (en) 2013-09-19 2019-03-12 Siemens Mobility GmbH Software update of non-critical components in dual safety-critical distributed systems
EP4293957A1 (en) * 2022-06-16 2023-12-20 Siemens Mobility GmbH Method and assembly for creating a control signal

Also Published As

Publication number Publication date
CN1289345C (en) 2006-12-13
HK1069363A1 (en) 2005-05-20
CA2467972A1 (en) 2003-06-12
MXPA04004840A (en) 2004-08-02
CN1558848A (en) 2004-12-29
JP4102306B2 (en) 2008-06-18
JP2005511386A (en) 2005-04-28
KR20040063935A (en) 2004-07-14
AU2002224742A1 (en) 2003-06-17

Similar Documents

Publication Publication Date Title
DE3706325C2 (en)
DE102009054157B3 (en) Control system for controlling safety-critical and non-safety-critical processes
DE10030329C1 (en) Redundant control system as well as control computer and peripheral unit for such a control system
DE4032033C2 (en)
EP2445771B1 (en) Method to create an electronic interlocking for replacing an existing interlocking
EP0132548A1 (en) Device for operating a computer-controlled signal box
EP2731849B1 (en) Signal box computer
DE2701925C3 (en) Vehicle control with two on-board computers
EP1197418B1 (en) Control method for a safety critical railway operation process and device for carrying out this method
EP1860564A1 (en) Method and device for exchanging data based on the OPC communication protocol between the redundant components of a process control system
WO2003047937A1 (en) Method for controlling a safety-critical railway operating process and device for carrying out said method
AT402909B (en) METHOD FOR GUARANTEING THE SIGNAL TECHNICAL SECURITY OF THE USER INTERFACE OF A DATA PROCESSING SYSTEM
WO1997008617A2 (en) Device for single-channel transmission of data from two sources
DE102004035901B4 (en) Device for controlling a safety-critical process
EP0920391B1 (en) Process of controlling and monitoring a traffic control system
EP2418580B1 (en) Method for operating a network and network
EP2228723B1 (en) Method for error treatment of a computer system
DE102005023296B4 (en) Train Control System
WO2004036324A1 (en) Method and automation device provided with redundant control units for controlling peripheral equipment via a bus system
EP2849986B1 (en) Method and assembly for controlling a technical system
DE10116244C2 (en) Method for operating a control panel device
WO2011113405A1 (en) Controller arrangement
DE102008038618A1 (en) Failure condition indicating method for track-bound vehicle, involves activating lights by output devices during reception of control signal in cab or activating failure indicator lamp during reception of control signal
EP0952523A1 (en) Functional unit for a prgammable controller having redundancy function
DE2148981C3 (en) Method for recording and controlling the functional states of individual system units of a program-controlled processing system

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AU BG BR CA CN CO CZ HU IN JP KR MA MX PH PL SK US ZA

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2003549144

Country of ref document: JP

Ref document number: 2467972

Country of ref document: CA

Ref document number: 00665/KOLNP/2004

Country of ref document: IN

Ref document number: 665/KOLNP/2004

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: PA/A/2004/004840

Country of ref document: MX

Ref document number: 1020047007825

Country of ref document: KR

WWE Wipo information: entry into national phase

Ref document number: 20018238238

Country of ref document: CN