AT402909B - Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage - Google Patents
Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage Download PDFInfo
- Publication number
- AT402909B AT402909B AT57893A AT57893A AT402909B AT 402909 B AT402909 B AT 402909B AT 57893 A AT57893 A AT 57893A AT 57893 A AT57893 A AT 57893A AT 402909 B AT402909 B AT 402909B
- Authority
- AT
- Austria
- Prior art keywords
- information
- image
- display
- image memory
- memory
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 70
- 230000015654 memory Effects 0.000 claims description 25
- 238000011144 upstream manufacturing Methods 0.000 claims description 6
- 230000011664 signaling Effects 0.000 claims description 4
- 230000009897 systematic effect Effects 0.000 claims 2
- 230000006870 function Effects 0.000 claims 1
- 238000013507 mapping Methods 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009413 insulation Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1608—Error detection by comparing the output signals of redundant hardware
- G06F11/1616—Error detection by comparing the output signals of redundant hardware where the redundant component is an I/O device or an adapter therefor
- G06F11/162—Displays
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L21/00—Station blocking between signal boxes in one yard
- B61L21/06—Vehicle-on-line indication; Monitoring locking and release of the route
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L25/00—Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
- B61L25/06—Indicating or recording the setting of track apparatus, e.g. of points, of signals
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Controls And Circuits For Display Device (AREA)
- Train Traffic Observation, Control, And Security (AREA)
Description
AT 402 909 B
Die vorliegende Erfindung betrifft ein Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage gemäss dem Oberbegriff des Patentanspruchs 1.
In den heute eingesetzten Anzeigen für die signaltechnischsichere Darstellung des Prozessabbilds von Eisenbahnanlagen werden die Farbsichtgeräte zweikanalig von zwei verschiedenen Rechnern angesteuert, um für den Prozesszustand eine Anzeige mit signaltechnischer Sicherheit zu gewährleisten. Bierbei wird speziell für diesen Zweck entwickelte Hard- und Software verwendet. Häufig wird ein spezieller Bildschirm-Controller verwendet. Dieser beinhaltet zwei Bildspeicher, welche je von einem separaten Rechner beschickt werden. Die Anzeige wird im Sekundentakt zwischen den beiden Bildspeichern umgeschaltet. Dadurch entsteht auf der Anzeige ein Blinken im Sekundenrhythmus, falls die beiden Bildspeicher nicht den gleichen Inhalt haben.
Solchermassen realisierte Anzeigen weisen zwar eine dauernde signaltechnische Sicherheit auf. Es handelt sich hierbei jedoch um Spezialentwicklungen. Dadurch wird die Verwendung von normierten grafischen Oberflächen mit einer vollgrafischen Anzeige verunmöglicht.
Ein Verfahren, das die vorhergehend beschriebenen Probleme und Nachteile aufweist, ist aus der Druckschrift "Signal + Draht, Heft 4, 1985, S. 67 bis 72, bekannt. Insbesondere ist dabei die Tatsache als nachteilig zu werten, dass solche Speziallösungen sehr teure Lösungen darstellen.
Ein spezielles Verfahren zur technischen Realisierung eines sicheren Rechners, jedoch unter Verwendung spezieller Prüfsummen, ist in der GB-PS-2 149 540 beschrieben.
Weiters ist aus der DE-C2-35 22 418 eine Einrichtung zur Gleisfreimeldung im Bereich eines Stellwerks bekannt, welche jedoch mit einem Gleisstrom-Kreissender und einem oder mehreren Gleisstrom-Kreisempfängern arbeitet.
Weiters ist aus der DE-A1-31 27 363 ein rechnergesteuertes Stellwerk bekannt, das jedoch unter Verwendung sicherer Rechner arbeitet.
Weiters ist aus der DE-C2-31 37 450 eine Sicherheits-Ausgabeschaltung für eine Datenverarbeitungsanlage bekannt, die jedoch nicht unter Verwendung von Standard-Hardware, sondern mit einer speziellen Taktversorgung arbeitet.
Weiters ist aus der DE-C2-32 11 265 ein zweikanaliges Fail Safe-Mikro-Computerschaltwerk für Eisenbahnsicherungsanlagen bekannt, das jedoch mit Mikrocomputern arbeitet, die in zwei Kanälen dieselben Informationen verarbeiten.
Schliesslich ist aus der DE-A1-39 38 501 ein Verfahren zu Betrieb eines mehrkanaligen Fail Safe-Rechner-Systems bekannt, bei dem jedoch Daten, die auf zwei mit der gleichen Software arbeitenden Kanäle erzeugt werden, mit Hilfe einer speziellen Hardware auf Übereinstimmung geprüft werden. Für die Realisierung normierter grafischer Oberflächen auf vollgrafischen Bildschirmen wird heute häufig die X-Window-Technik eingesetzt. Die Anzeige erfolgt hierbei durch ein X-Terminal oder eine Datenverarbeitungsanlage mit entsprechender Funktionalität. Bei einem solchen X-Terminal als Anzeige lässt sich jedoch das bewährte Konzept nicht mehr in der bisherigen Form realisieren. Es stellen sich folgende Probleme:
Die Hard- und Software im X-Terminal weist eine gewisse Komplexität auf. Sie kann nicht als fehlerfrei im Sinne von signaltechnischer Sicherheit gewertet werden. Die Ausführung nur mit einem Prozessor im Terminal und die Ansteuerung des Terminals von 2 Rechnern erreicht daher nicht die gleiche Wirkung wie bei den bekannten Systemen, weil damit die signaltechnische Sicherheit nur bis zum Eingang des X-Terminais gewährleistet wird. Eine Verdoppelung des X-Terminal-Prozessors wäre technisch schwierig zu realisieren. Insbesondere aber stellt sich das Problem, dass hierbei wieder eine nicht genormte Speziallösung entwickelt werden müsste. Dies wäre aufgrund der steigenden Komplexität moderner Technologie sehr aufwendig. Bei grafischen Oberflächen erfolgt die Bedienung nicht nur über die Tastatur, sondern auch über ein Zeigegerät. Die Position des Zeigegeräts wird auf dem Bildschirm durch einen Zeiger dargestellt. Bei jeder Bewegung des Zeigegeräts muss die Position des Zeigers auf dem Bildschirm sofort nachgeführt werden. Bei einem zyklischen Umschalten der Anzeige zwischen zwei Kanälen müssten die beiden Kanäle auf sehr aufwendige Art synchronisiert werden, damit der Zeiger bei den regelmässigen Umschaltungen auch während einer Bewegung des Zeigegeräts keine die Bedienung störenden Sprünge vollführt.
Der Erfindung liegt demgemäß die Aufgabe zugrunde, ein Verfahren gemäß dem Oberbegriff des Anspruchs 1 derart weiterzubilden, daß die signaltechnische Sicherheit mit möglichst geringem Aufwand erzielbar ist.
Diese Aufgabe wird erfindungsgemäß mit den im Kennzeichnungsteil des Anspruchs 1 angegebenen Verfahrensschritten gelöst.
Die angegebenen Verfahrensschritte ermöglichen es, zwei Standardrechner zu verwenden, die entsprechend preiswert sind. Darüber hinaus wird keine aufwendige Datenkopplungsvorrichtung für diese beiden Rechner benötigt. Somit entstehen bei der Durchführung des erfindinngsgemäßen Verfahrens wesentlich 2
AT 402 909 B geringere Kosten als bei dem bekannten Verfahren.
Weitere vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
Die Erfindung wird nun beispielsweise anhand einer Zeichnung näher beschrieben. Es zeigt:
Fig. 1 eine schematische Darstellung zur Erläuterung der Ueberprüfung des Elementzustands durch den zweiten Rechner gemäss einer ersten Variante des erfindungsgemässen Verfahrens, und Fig. 2 eine schematische Darstellung zur Erläuterung der Anzeigesicherung durch Rücklesen des Bildes gemäss einer weiteren Variante des erfindungsgemässen Verfahrens.
Gemäss einer ersten Variante des Verfahrens nach der vorliegenden Erfindung wird die signaltechnische Sicherheit durch einen Bildaufbau durch einen ersten Rechner 1 (Fig. 1) und eine Ueberprüfung des Elementzustands durch einen zweiten Rechner 2 gewährleistet. Der erste Rechner 1 bekommt eine externe Information ii, aus der er in eine ersten Verfahrensschritt (a) das anzuzeigende Bild B aufbaut, das an ein X-Terminal 3 ausgegeben wird. Das angezeigte Bild B ist im Grundzustand nicht sicher. Der zweite Rechner 2 bekommt eine externe Information 12, aus der er in einem zweiten Verfahrensschritt (b) ein Prozessabbild für die Sicherheitsprüfung bildet. Die Verfahrensschritte (a) und (b) können simultan durchgeführt werden. In einem dritten Verfahrensschritt (c) verarbeitet der Rechner 1 Befehle 4, die von einer Maus oder der Tastatur eingeleitet werden.
In einem vierten Verfahrensschritt (d) überprüft der Rechner 2 den Zustand aller Elemente, die einen Einfluss auf die Zulässigkeit eines kritischen Befehls haben könnten, mit seinem eigenen Prozessabbild Z. Für alle Elemente, die einen Zustand einnehmen, der zu einer gefährlichen Handlung des Fahrdienstleiters führen könnte, generiert der Rechner 2 eine Rückfrage R in Textform und verlangt eine Quittierung Q. Der Befehl F, der an das Stellwerk übertragen wird, besteht bei kritischen Bedienungen aus zwei Teilbefehlen F1 und F2. Die zwei Teilbefehle F1 und F2 werden von beiden Rechnern 1 bzw. 2 nur abgesetzt, wenn der Fahrdienstleiter die Rückfragen R vom Rechner 2 positiv quittiert (Q). Bei nichtkritischen Bedienungen genügt ein Teilbefehl, das heisst, F kann dann gleich F1 oder F2 sein. Die Quittierung Q kann über die X-Terminal-Tastatur und/oder Zeigegerät (Maus) oder über eine separate, direkt am Rechner 2 angeschlossene Kommandofreigabe-Taste erfolgen.
Beispiel
Eine Einfahrt kann wegen einer Stellwerkstörung nicht gestellt werden. Wird nun das Hilfssignal verwendet, so muss sich der Fahrdienstleiter auf gewisse Informationen auf der Anzeige verlassen können.
Hilfssignalfahrten müssten mit Start- und Ziel-Angabe eingestellt werden. So ist es dem Rechner 2 möglich, festzustellen, dass der Zug z.B. über eine falsch gestellte Weiche oder eine belegte Isolierung fahren soll. Rechner 2 fragt auch in diesem Fall zurück und verlangt eine Quittierung. Solche Hilfssignale entsprechen im wesentlichen den in anderen Systemen verwendeten sogenannten Ersatzsignalen.
Dieses Verfahren könnte die Sicherheit generell verbessern und evtl, auch mit einer in die Benützerfüh-rung des Leitsystems integrierten Verwendung von Checklisten kombiniert werden. Für sich alleine eingesetzt stellt sich bei diese Verfahren das grundsätzliche Problem, dass das System immer darüber informiert sein muss, wenn der Fahrdienstleiter eine Entscheidung gestützt auf die Anzeige trifft, welche bei fehlerhafter Anzeige eine Gefährdung bewirken kann, weil keine Überprüfung durch die Stellwerklogik möglich ist.
In weiterer Ausgestaltung dieses Verfahrens wird die Sicherheit durch ein Rücklesen des Bildes zyklisch oder in vorbestimmten Zeitpunkten gewährleistet. Ein erster Rechner 1 (Fig. 2) bekommt eine externe Information h, aus der er in einem ersten Verfahrensschritt (a) das anzuzeigende Bild B aufbaut, das an ein X-Terminal 3 ausgegeben wird. Ein zweiter Rechner 2 bekommt ebenfalls eine externe Information i2, aus der er in einem zweiten Verfahrensschritt (b) das entsprechende Prozessabbild Z aufbaut. In einem dritten Verfahrensschritt (c) fragt der Rechner 2 zyklisch und zusätzlich in bestimmten Situationen, z.B. bei einer Aenderung der entsprechenden Prozessinformationen im Prozessabbild des zweiten Rechners das Bild im X-Terminal ab, indem im Rechner 2 verglichen wird, ob die Informationen im Bild B mit dem Prozessabbild Z übereinstimmen, wobei bei korrekter Anzeige ein Meldezeichen M angezeigt wird. Eine Aenderung der entsprechenden Prozessinformationen kann beispielsweise durch eine lokale Bedienung einer fernbedienbaren Station stattfinden.
Bei dieser Variante sind folgende Einschränkungen zu beachten:
Das Abfragen vollgrafischer Bilder belastet die Datenverarbeitungsanlage stark und kann daher abhängig von der Anzahl der Arbeitsplätze nicht beliebig durchgeführt werden.
Je nach Ausstattung des X-Terminals wird das Bild direkt aus dem Bildspeicher oder aus einem dem Bildspeicher vorgelagerten Speicher zurückgelesen. Das Verhalten muss entsprechend berücksichtigt werden. 3
Claims (8)
- AT 402 909 B Das Zurücklesen des Fensterinhaltes aus dem Bildspeicher stellt dann gewisse Probleme für den Bildvergleich, wenn das entsprechende Fenster ganz oder teilweise überdeckt ist. In diesem Fall kann der Bildvergleich nur für die sichtbaren Ausschnitte durchgeführt werden. Im Hinblick auf die praktische Ausführung des Verfahrens zur Gewährleistung der logischen Zweikana-ligkeit auf einem Bedien- und Anzeigesystem ohne diversitäre Hard- und Software kann noch bemerkt werden, dass die Informationen über die beiden logischen Kanäle auf einem Anzeigesystem unterschiedich dargestellt werden können, z.B. über einen logischen Kanal grafisch und über den zweiten logischen Kanal in Textform, wobei der Bediener Unterschiede zwischen der Anzeige der Informationen und dem tatsächlichen Prozesszustand durch den Vergleich der über zwei logische Kanäle angezeigten Informationen feststellen und nach entsprechender Prüfung dieser Unterschiede durch Bedienungshandlungen "quittieren" kann. Die Datenverarbeitungsanlage kann aufgrund der eingeleiteten Bedienungshandlung feststellen, welchen Prozesszustand die für die Bedienungshandlung relevanten Prozessinformationen haben sollten, um auf dem zweiten logischen Kanal nur davon abweichende Prozessinformationen anzuzeigen, wobei es auch möglich ist, auf dem zweiten logischen Kanal lediglich die Prozessinformationen betreffend die eingeleitete Bedienungshandlung anzuzeigen. Im Hinblick auf die praktische Ausführung des Verfahrens für Handlungen ohne Bedienung am Bediensystem werden die benötigten Informationen auf der Anzeige des einen logischen Kanals nicht spontan, sondern nur aufgrund der Aenderung einer entsprechenden Prozessinformation im zweiten Prozessabbild geprüft. Bei einem Prozessabbild, das die logische Abbildung von Zuständen der Anlage darstellt, können die Zustände sowohl Weichenstellungen, Signalbegriffe, Gleisbelegungen oder andere reelle Zustände als auch rein logische interne Zustände, wie Sperrzustände oder Fahrstrassen, sein. Dabei kann die Kontrolle von Informationen auf der Anzeige durchgeführt werden durch gezieltes Rücklesen von Bildspeicherteilen oder generelles Rücklesen des ganzen Bildspeichers und anschliessenden Vergleich der Informationen mit einem zweiten Prozessabbild. Anstelle des Rücklesens des Bildspeichers ist auch ein Rücklesen eines dem Bildspeicher vorgelagerten Speichers mit Vergleich und anschliessendem Kopieren des dem Bildspeicher vorgelagerten Speichers in den Bildspeicher möglich unter der Bedingung, dass das korrekte Kopieren des dem Bildspeicher vorgelagerten Speichers in den Bildspeicher auf der Anzeige kontrolliert werden kann. Da bei vollgrafischen Anzeigen fehlerhafte Anzeigen von Informationen bestehend aus einer grösseren Anzahl von Bildpunkten, weiche der Benutzer nicht als fehlerhaft erkennen kann, sehr unwahrscheinlich sind, ist für die Informationskontrolle beim Rücklesen einer Information nicht notwendig, sämtliche betroffenen Bildpunkte zu berücksichtigen, sondern es genügt eine systematisch oder zufällig gebildete Auswahl davon. Aufgrund der verwendeten unterschiedlichen Funktionen, und zwar auch bei Verwendung von Standard-Hardware und Software ohne Anspruch auf signaltechnische Sicherheit, kann für die Sicherungsmassnahmen bei den über die beiden Kanäle ausgeführten Operationen eine funktionale Softwarediversität angenommen werden. Patentansprüche 1. Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage mit Hilfe von zwei eigenständigen Rechnern der Datenverarbeitungsanlage, wobei ein Prozessaobild auf der Benutzeroberfläche über ein Anzeigesystem dargestellt wird und wobei Benutzerbefehle zur Einflussnahme auf den Prozess über eine Bedienungseinrichtung eingebbar sind, dadurch gekennzeichnet, dass a) dem ersten Rechner (1) eine erste externe Information (ii) zugeführt wird, aus der dieser ein dem Zustand des Prozesses entsprechendes Bild (B) erzeugt und auf dem Anzeigesystem (3) darstellt, b) dem zweiten Rechner (2) eine zweite externe Information (12) zugeführt wird, aus der dieser ein für eine Sicherheitsprüfung relevantes zweites Prozessabbild (Z) erzeugt, c) der zweite Rechner (2) bei Eingabe von Benutzerbefehlen diese durch Vergleich mit dem für die Sicherheitsprüfung relevanten zweiten Prozessabbild (Z) auf ihre Zulässigkeit prüft, und dass d) der zweite Rechner (2) dann, wenn keine Benutzerbefehle vorliegen, das vom ersten Rechner (1) auf dem Anzeigesystem (3) dargestellte, dem Prozess entsprechende Bild (B) mit dem zweiten Prozessabbild (Z) in vorbestimmten Zeitabstänaen vergleicht und verifiziert.
- 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die vorbestimmten Zeitabstände zyklisch oder nach einer Änderung der entsprechenden Prozessinformationen im Prozessabbild (Z) des zweiten 4 AT 402 909 B Rechners (2) gewählt werden.
- 3. Verfahren nach Anspruch 1, zur Gewährleistung der logischen Zweikanaligkeit auf einem Bedien- und Anzeigesystem (3) ohne diversitäre Hard- und Software, dadurch gekennzeichnet, dass die Informa- 5 tionen über zwei logische Kanäle auf einem Anzeigesystem (3) unterschiedlich dargestellt werden.
- 4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass auf dem zweiten logischen Kanal lediglich die Prozessinformationen betreffend eine eingeleitete Bedienungshandlung angezeigt werden. io
- 5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Datenverarbeitungsanlage aufgrund der eingeleiteten Bedienungshandlung feststellt, welchen Prozesszustand die für die Bedienungshandlung relevanten Prozessinformationen haben sollten, und dass auf dem zweiten logischen Kanal nur davon abweichende Prozessinformationen angezeigt werden.
- 6. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die für Handlungen ohne Bedienung am Bediensystem benötigten Informationen auf der Anzeige eines logischen Kanals dann gezielt von der Datenverarbeitungsanlage automatisch kontrolliert werden, wenn sich die entsprechende Prozessinformation im zweiten Prozessabbild (Z) ändert.
- 7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Kontrolle von Informationen auf der Anzeige durch gezieltes Rücklesen von Bildspeicherteilen oder generelles Rücklesen des ganzen Bildspeichers und anschliessenden Vergleich der Informationen mit einem zweiten Prozessabbild (Z) oder durch Rücklesen eines dem Bildspeicher vorgelagerten Speichers mit Vergleich und anschliessendem Kopieren des dem Bildspeicher vorgelagerten Speichers in den Bildspeicher durchgeführt wird. 25
- 8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass für die Informationskontrolle beim Rücklesen einer Information nur eine systematisch oder zufällig gebildete Auswahl der betroffenen Bildpunkte verwendet wird und nicht sämtliche betroffenen Bildpunkte berücksichtigt werden. 30 Hiezu 1 Blatt Zeichnungen 35 40 45 50 5 55
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CH1399/92A CH683953A5 (de) | 1992-04-30 | 1992-04-30 | Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage. |
Publications (2)
Publication Number | Publication Date |
---|---|
ATA57893A ATA57893A (de) | 1997-02-15 |
AT402909B true AT402909B (de) | 1997-09-25 |
Family
ID=4209520
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
AT57893A AT402909B (de) | 1992-04-30 | 1993-03-23 | Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage |
Country Status (3)
Country | Link |
---|---|
AT (1) | AT402909B (de) |
CH (1) | CH683953A5 (de) |
DE (1) | DE4306470C2 (de) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19825257B4 (de) * | 1997-06-06 | 2005-11-17 | Tiefenbach Gmbh | Einrichtung zur Steuerung der Fahrzeuge in einer Gleisanlage |
DE19830926A1 (de) * | 1998-07-10 | 2000-01-13 | Alcatel Sa | Verfahren zur sicheren Anzeige des Zustandes einer signaltechnischen Anlage |
GB2348034A (en) | 1999-03-17 | 2000-09-20 | Westinghouse Brake & Signal | An interlocking for a railway system |
DE10252124B4 (de) * | 2002-11-04 | 2006-11-09 | Siemens Ag | Vorrichtung zur Geschwindigkeitsanzeige in Fahrzeugen |
ITTO20030447A1 (it) * | 2003-06-13 | 2004-12-14 | Ansaldo Segnalamento Ferroviario Sp A | Metodo di rappresentazione in sicurezza mediante |
FR2875309B1 (fr) * | 2004-09-15 | 2006-12-22 | Alstom Transport Sa | Dispositif et procede de controle d'une console |
DE102012212386A1 (de) * | 2012-07-16 | 2014-01-16 | Siemens Aktiengesellschaft | Prozessabbild einer technischen Anlage |
DE102012221714A1 (de) * | 2012-11-28 | 2014-05-28 | Siemens Aktiengesellschaft | Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem |
NO2696690T3 (de) * | 2014-01-29 | 2018-03-03 | ||
DE102014218191A1 (de) * | 2014-09-11 | 2016-03-17 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines Verkehrsleitsystems |
LT3549842T (lt) | 2018-04-06 | 2022-07-25 | Thales Management & Services Deutschland Gmbh | Traukinių eismo reguliavimo sistema ir maršrutų bei traukinių eismo reguliavimo sistemos būsenos indikacijos saugaus rodymo būdas |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3127363A1 (de) * | 1981-07-09 | 1983-01-27 | Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt | "rechnergesteuertes stellwerk" |
DE3137450C2 (de) * | 1981-09-21 | 1984-03-22 | Siemens AG, 1000 Berlin und 8000 München | Sicherheits-Ausgabeschaltung für eine Datenverarbeitungsanlage |
DE3211265C2 (de) * | 1982-03-26 | 1984-06-20 | Siemens AG, 1000 Berlin und 8000 München | Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen |
GB2149540A (en) * | 1983-11-10 | 1985-06-12 | Gen Signal Corp | Vital processor |
DE3522418C2 (de) * | 1985-06-22 | 1990-05-31 | Standard Elektrik Lorenz Ag, 7000 Stuttgart, De | |
DE3938501A1 (de) * | 1989-11-20 | 1991-05-23 | Siemens Ag | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3019713C2 (de) * | 1980-05-23 | 1983-05-26 | Standard Elektrik Lorenz Ag, 7000 Stuttgart | Bedieneinrichtung für Prozeßsteuerungen mit signaltechnisch sicheren Mehrrechnersystemen |
DE3911907A1 (de) * | 1989-04-12 | 1990-10-18 | Standard Elektrik Lorenz Ag | Verfahren zur staendigen pruefung einer signaltechnisch sicheren bildschirmdarstellung |
DE4005393A1 (de) * | 1990-02-21 | 1991-08-22 | Standard Elektrik Lorenz Ag | Einrichtung zur signaltechnisch sicheren darstellung eines meldebildes |
-
1992
- 1992-04-30 CH CH1399/92A patent/CH683953A5/de not_active IP Right Cessation
-
1993
- 1993-03-02 DE DE19934306470 patent/DE4306470C2/de not_active Expired - Lifetime
- 1993-03-23 AT AT57893A patent/AT402909B/de not_active IP Right Cessation
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3127363A1 (de) * | 1981-07-09 | 1983-01-27 | Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt | "rechnergesteuertes stellwerk" |
DE3137450C2 (de) * | 1981-09-21 | 1984-03-22 | Siemens AG, 1000 Berlin und 8000 München | Sicherheits-Ausgabeschaltung für eine Datenverarbeitungsanlage |
DE3211265C2 (de) * | 1982-03-26 | 1984-06-20 | Siemens AG, 1000 Berlin und 8000 München | Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen |
GB2149540A (en) * | 1983-11-10 | 1985-06-12 | Gen Signal Corp | Vital processor |
DE3522418C2 (de) * | 1985-06-22 | 1990-05-31 | Standard Elektrik Lorenz Ag, 7000 Stuttgart, De | |
DE3938501A1 (de) * | 1989-11-20 | 1991-05-23 | Siemens Ag | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens |
Non-Patent Citations (1)
Title |
---|
HALFPAP, H. ET AL.: SAFE L 90. SIGNAL + DRAHT 77(1985), HEFT 4, S. 67-72 * |
Also Published As
Publication number | Publication date |
---|---|
CH683953A5 (de) | 1994-06-15 |
ATA57893A (de) | 1997-02-15 |
DE4306470C2 (de) | 1995-07-06 |
DE4306470A1 (de) | 1993-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE2258917A1 (de) | Kontrollvorrichtung | |
AT402909B (de) | Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage | |
EP3712770B1 (de) | Überwachungseinheit für sicherheitsrelevante grafische benutzeroberflächen | |
DE102011081477A1 (de) | Stellwerksrechner | |
DE19703574A1 (de) | Verfahren zur sicheren Darstellung eines Bildes auf einem Monitor | |
DE3411015C2 (de) | ||
EP3074293B1 (de) | Verfahren zur fehleroffenbarung bei einem stellwerksrechnersystem und stellwerksrechnersystem | |
DE102011081479A1 (de) | Bedieneinrichtung | |
EP1197418B1 (de) | Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens | |
EP0970869B1 (de) | Verfahren zur sicheren Anzeige des Zustandes einer signaltechnischen Anlage | |
DE3324313A1 (de) | Einrichtung zur signaltechnisch sicheren darstellung von information auf einem datensichtgeraet | |
DE2940551C2 (de) | Bedien- und Anzeigeeinrichtung für rechnergesteuerte Eisenbahnsignalanlagen | |
EP0182134B1 (de) | Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen | |
EP0392328B1 (de) | Verfahren zur ständigen Prüfung einer signaltechnisch sicheren Bildschirmdarstellung | |
DE102008021241B4 (de) | Messwert-Anzeige, insbesondere im Führerstand eines Schienenfahrzeugs | |
DE3938501A1 (de) | Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens | |
EP0120339A1 (de) | Einrichtung zur sicheren Prozesssteuerung | |
EP2941738A1 (de) | Verfahren zur fehleroffenbarung bei einem stellwerksrechnersystem und stellwerksrechnersystem | |
DE102014218191A1 (de) | Verfahren zum Betreiben eines Verkehrsleitsystems | |
DE10214356B4 (de) | Messsteuerungsvorrichtung | |
EP0407875A2 (de) | Verfahren und Anordnung zur Konfiguration eines Steuerungssystems für Gleisanlagen | |
EP1596517A1 (de) | Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten | |
DE102008012953A1 (de) | Überprüfung von Anzeigesystemen in Schienenfahrzeugen | |
EP2849986B1 (de) | Verfahren und anordnung zum steuern einer technischen anlage | |
EP0447635B1 (de) | Verfahren zum Überprüfen von Sichtgerätesteuerungen auf Fehlerfreiheit in sicherungstechnischen Anlagen und Einrichtungen zum Durchführen dieses Verfahrens |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
REN | Ceased due to non-payment of the annual fee | ||
EIH | Change in the person of patent owner | ||
MK07 | Expiry |
Effective date: 20130323 |