[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

AT402909B - Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage - Google Patents

Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage Download PDF

Info

Publication number
AT402909B
AT402909B AT57893A AT57893A AT402909B AT 402909 B AT402909 B AT 402909B AT 57893 A AT57893 A AT 57893A AT 57893 A AT57893 A AT 57893A AT 402909 B AT402909 B AT 402909B
Authority
AT
Austria
Prior art keywords
information
image
display
image memory
memory
Prior art date
Application number
AT57893A
Other languages
English (en)
Other versions
ATA57893A (de
Original Assignee
Siemens Integra Verkehrstechni
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Integra Verkehrstechni filed Critical Siemens Integra Verkehrstechni
Publication of ATA57893A publication Critical patent/ATA57893A/de
Application granted granted Critical
Publication of AT402909B publication Critical patent/AT402909B/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1616Error detection by comparing the output signals of redundant hardware where the redundant component is an I/O device or an adapter therefor
    • G06F11/162Displays
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/06Vehicle-on-line indication; Monitoring locking and release of the route
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L25/00Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
    • B61L25/06Indicating or recording the setting of track apparatus, e.g. of points, of signals

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Controls And Circuits For Display Device (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Description

AT 402 909 B
Die vorliegende Erfindung betrifft ein Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage gemäss dem Oberbegriff des Patentanspruchs 1.
In den heute eingesetzten Anzeigen für die signaltechnischsichere Darstellung des Prozessabbilds von Eisenbahnanlagen werden die Farbsichtgeräte zweikanalig von zwei verschiedenen Rechnern angesteuert, um für den Prozesszustand eine Anzeige mit signaltechnischer Sicherheit zu gewährleisten. Bierbei wird speziell für diesen Zweck entwickelte Hard- und Software verwendet. Häufig wird ein spezieller Bildschirm-Controller verwendet. Dieser beinhaltet zwei Bildspeicher, welche je von einem separaten Rechner beschickt werden. Die Anzeige wird im Sekundentakt zwischen den beiden Bildspeichern umgeschaltet. Dadurch entsteht auf der Anzeige ein Blinken im Sekundenrhythmus, falls die beiden Bildspeicher nicht den gleichen Inhalt haben.
Solchermassen realisierte Anzeigen weisen zwar eine dauernde signaltechnische Sicherheit auf. Es handelt sich hierbei jedoch um Spezialentwicklungen. Dadurch wird die Verwendung von normierten grafischen Oberflächen mit einer vollgrafischen Anzeige verunmöglicht.
Ein Verfahren, das die vorhergehend beschriebenen Probleme und Nachteile aufweist, ist aus der Druckschrift "Signal + Draht, Heft 4, 1985, S. 67 bis 72, bekannt. Insbesondere ist dabei die Tatsache als nachteilig zu werten, dass solche Speziallösungen sehr teure Lösungen darstellen.
Ein spezielles Verfahren zur technischen Realisierung eines sicheren Rechners, jedoch unter Verwendung spezieller Prüfsummen, ist in der GB-PS-2 149 540 beschrieben.
Weiters ist aus der DE-C2-35 22 418 eine Einrichtung zur Gleisfreimeldung im Bereich eines Stellwerks bekannt, welche jedoch mit einem Gleisstrom-Kreissender und einem oder mehreren Gleisstrom-Kreisempfängern arbeitet.
Weiters ist aus der DE-A1-31 27 363 ein rechnergesteuertes Stellwerk bekannt, das jedoch unter Verwendung sicherer Rechner arbeitet.
Weiters ist aus der DE-C2-31 37 450 eine Sicherheits-Ausgabeschaltung für eine Datenverarbeitungsanlage bekannt, die jedoch nicht unter Verwendung von Standard-Hardware, sondern mit einer speziellen Taktversorgung arbeitet.
Weiters ist aus der DE-C2-32 11 265 ein zweikanaliges Fail Safe-Mikro-Computerschaltwerk für Eisenbahnsicherungsanlagen bekannt, das jedoch mit Mikrocomputern arbeitet, die in zwei Kanälen dieselben Informationen verarbeiten.
Schliesslich ist aus der DE-A1-39 38 501 ein Verfahren zu Betrieb eines mehrkanaligen Fail Safe-Rechner-Systems bekannt, bei dem jedoch Daten, die auf zwei mit der gleichen Software arbeitenden Kanäle erzeugt werden, mit Hilfe einer speziellen Hardware auf Übereinstimmung geprüft werden. Für die Realisierung normierter grafischer Oberflächen auf vollgrafischen Bildschirmen wird heute häufig die X-Window-Technik eingesetzt. Die Anzeige erfolgt hierbei durch ein X-Terminal oder eine Datenverarbeitungsanlage mit entsprechender Funktionalität. Bei einem solchen X-Terminal als Anzeige lässt sich jedoch das bewährte Konzept nicht mehr in der bisherigen Form realisieren. Es stellen sich folgende Probleme:
Die Hard- und Software im X-Terminal weist eine gewisse Komplexität auf. Sie kann nicht als fehlerfrei im Sinne von signaltechnischer Sicherheit gewertet werden. Die Ausführung nur mit einem Prozessor im Terminal und die Ansteuerung des Terminals von 2 Rechnern erreicht daher nicht die gleiche Wirkung wie bei den bekannten Systemen, weil damit die signaltechnische Sicherheit nur bis zum Eingang des X-Terminais gewährleistet wird. Eine Verdoppelung des X-Terminal-Prozessors wäre technisch schwierig zu realisieren. Insbesondere aber stellt sich das Problem, dass hierbei wieder eine nicht genormte Speziallösung entwickelt werden müsste. Dies wäre aufgrund der steigenden Komplexität moderner Technologie sehr aufwendig. Bei grafischen Oberflächen erfolgt die Bedienung nicht nur über die Tastatur, sondern auch über ein Zeigegerät. Die Position des Zeigegeräts wird auf dem Bildschirm durch einen Zeiger dargestellt. Bei jeder Bewegung des Zeigegeräts muss die Position des Zeigers auf dem Bildschirm sofort nachgeführt werden. Bei einem zyklischen Umschalten der Anzeige zwischen zwei Kanälen müssten die beiden Kanäle auf sehr aufwendige Art synchronisiert werden, damit der Zeiger bei den regelmässigen Umschaltungen auch während einer Bewegung des Zeigegeräts keine die Bedienung störenden Sprünge vollführt.
Der Erfindung liegt demgemäß die Aufgabe zugrunde, ein Verfahren gemäß dem Oberbegriff des Anspruchs 1 derart weiterzubilden, daß die signaltechnische Sicherheit mit möglichst geringem Aufwand erzielbar ist.
Diese Aufgabe wird erfindungsgemäß mit den im Kennzeichnungsteil des Anspruchs 1 angegebenen Verfahrensschritten gelöst.
Die angegebenen Verfahrensschritte ermöglichen es, zwei Standardrechner zu verwenden, die entsprechend preiswert sind. Darüber hinaus wird keine aufwendige Datenkopplungsvorrichtung für diese beiden Rechner benötigt. Somit entstehen bei der Durchführung des erfindinngsgemäßen Verfahrens wesentlich 2
AT 402 909 B geringere Kosten als bei dem bekannten Verfahren.
Weitere vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
Die Erfindung wird nun beispielsweise anhand einer Zeichnung näher beschrieben. Es zeigt:
Fig. 1 eine schematische Darstellung zur Erläuterung der Ueberprüfung des Elementzustands durch den zweiten Rechner gemäss einer ersten Variante des erfindungsgemässen Verfahrens, und Fig. 2 eine schematische Darstellung zur Erläuterung der Anzeigesicherung durch Rücklesen des Bildes gemäss einer weiteren Variante des erfindungsgemässen Verfahrens.
Gemäss einer ersten Variante des Verfahrens nach der vorliegenden Erfindung wird die signaltechnische Sicherheit durch einen Bildaufbau durch einen ersten Rechner 1 (Fig. 1) und eine Ueberprüfung des Elementzustands durch einen zweiten Rechner 2 gewährleistet. Der erste Rechner 1 bekommt eine externe Information ii, aus der er in eine ersten Verfahrensschritt (a) das anzuzeigende Bild B aufbaut, das an ein X-Terminal 3 ausgegeben wird. Das angezeigte Bild B ist im Grundzustand nicht sicher. Der zweite Rechner 2 bekommt eine externe Information 12, aus der er in einem zweiten Verfahrensschritt (b) ein Prozessabbild für die Sicherheitsprüfung bildet. Die Verfahrensschritte (a) und (b) können simultan durchgeführt werden. In einem dritten Verfahrensschritt (c) verarbeitet der Rechner 1 Befehle 4, die von einer Maus oder der Tastatur eingeleitet werden.
In einem vierten Verfahrensschritt (d) überprüft der Rechner 2 den Zustand aller Elemente, die einen Einfluss auf die Zulässigkeit eines kritischen Befehls haben könnten, mit seinem eigenen Prozessabbild Z. Für alle Elemente, die einen Zustand einnehmen, der zu einer gefährlichen Handlung des Fahrdienstleiters führen könnte, generiert der Rechner 2 eine Rückfrage R in Textform und verlangt eine Quittierung Q. Der Befehl F, der an das Stellwerk übertragen wird, besteht bei kritischen Bedienungen aus zwei Teilbefehlen F1 und F2. Die zwei Teilbefehle F1 und F2 werden von beiden Rechnern 1 bzw. 2 nur abgesetzt, wenn der Fahrdienstleiter die Rückfragen R vom Rechner 2 positiv quittiert (Q). Bei nichtkritischen Bedienungen genügt ein Teilbefehl, das heisst, F kann dann gleich F1 oder F2 sein. Die Quittierung Q kann über die X-Terminal-Tastatur und/oder Zeigegerät (Maus) oder über eine separate, direkt am Rechner 2 angeschlossene Kommandofreigabe-Taste erfolgen.
Beispiel
Eine Einfahrt kann wegen einer Stellwerkstörung nicht gestellt werden. Wird nun das Hilfssignal verwendet, so muss sich der Fahrdienstleiter auf gewisse Informationen auf der Anzeige verlassen können.
Hilfssignalfahrten müssten mit Start- und Ziel-Angabe eingestellt werden. So ist es dem Rechner 2 möglich, festzustellen, dass der Zug z.B. über eine falsch gestellte Weiche oder eine belegte Isolierung fahren soll. Rechner 2 fragt auch in diesem Fall zurück und verlangt eine Quittierung. Solche Hilfssignale entsprechen im wesentlichen den in anderen Systemen verwendeten sogenannten Ersatzsignalen.
Dieses Verfahren könnte die Sicherheit generell verbessern und evtl, auch mit einer in die Benützerfüh-rung des Leitsystems integrierten Verwendung von Checklisten kombiniert werden. Für sich alleine eingesetzt stellt sich bei diese Verfahren das grundsätzliche Problem, dass das System immer darüber informiert sein muss, wenn der Fahrdienstleiter eine Entscheidung gestützt auf die Anzeige trifft, welche bei fehlerhafter Anzeige eine Gefährdung bewirken kann, weil keine Überprüfung durch die Stellwerklogik möglich ist.
In weiterer Ausgestaltung dieses Verfahrens wird die Sicherheit durch ein Rücklesen des Bildes zyklisch oder in vorbestimmten Zeitpunkten gewährleistet. Ein erster Rechner 1 (Fig. 2) bekommt eine externe Information h, aus der er in einem ersten Verfahrensschritt (a) das anzuzeigende Bild B aufbaut, das an ein X-Terminal 3 ausgegeben wird. Ein zweiter Rechner 2 bekommt ebenfalls eine externe Information i2, aus der er in einem zweiten Verfahrensschritt (b) das entsprechende Prozessabbild Z aufbaut. In einem dritten Verfahrensschritt (c) fragt der Rechner 2 zyklisch und zusätzlich in bestimmten Situationen, z.B. bei einer Aenderung der entsprechenden Prozessinformationen im Prozessabbild des zweiten Rechners das Bild im X-Terminal ab, indem im Rechner 2 verglichen wird, ob die Informationen im Bild B mit dem Prozessabbild Z übereinstimmen, wobei bei korrekter Anzeige ein Meldezeichen M angezeigt wird. Eine Aenderung der entsprechenden Prozessinformationen kann beispielsweise durch eine lokale Bedienung einer fernbedienbaren Station stattfinden.
Bei dieser Variante sind folgende Einschränkungen zu beachten:
Das Abfragen vollgrafischer Bilder belastet die Datenverarbeitungsanlage stark und kann daher abhängig von der Anzahl der Arbeitsplätze nicht beliebig durchgeführt werden.
Je nach Ausstattung des X-Terminals wird das Bild direkt aus dem Bildspeicher oder aus einem dem Bildspeicher vorgelagerten Speicher zurückgelesen. Das Verhalten muss entsprechend berücksichtigt werden. 3

Claims (8)

  1. AT 402 909 B Das Zurücklesen des Fensterinhaltes aus dem Bildspeicher stellt dann gewisse Probleme für den Bildvergleich, wenn das entsprechende Fenster ganz oder teilweise überdeckt ist. In diesem Fall kann der Bildvergleich nur für die sichtbaren Ausschnitte durchgeführt werden. Im Hinblick auf die praktische Ausführung des Verfahrens zur Gewährleistung der logischen Zweikana-ligkeit auf einem Bedien- und Anzeigesystem ohne diversitäre Hard- und Software kann noch bemerkt werden, dass die Informationen über die beiden logischen Kanäle auf einem Anzeigesystem unterschiedich dargestellt werden können, z.B. über einen logischen Kanal grafisch und über den zweiten logischen Kanal in Textform, wobei der Bediener Unterschiede zwischen der Anzeige der Informationen und dem tatsächlichen Prozesszustand durch den Vergleich der über zwei logische Kanäle angezeigten Informationen feststellen und nach entsprechender Prüfung dieser Unterschiede durch Bedienungshandlungen "quittieren" kann. Die Datenverarbeitungsanlage kann aufgrund der eingeleiteten Bedienungshandlung feststellen, welchen Prozesszustand die für die Bedienungshandlung relevanten Prozessinformationen haben sollten, um auf dem zweiten logischen Kanal nur davon abweichende Prozessinformationen anzuzeigen, wobei es auch möglich ist, auf dem zweiten logischen Kanal lediglich die Prozessinformationen betreffend die eingeleitete Bedienungshandlung anzuzeigen. Im Hinblick auf die praktische Ausführung des Verfahrens für Handlungen ohne Bedienung am Bediensystem werden die benötigten Informationen auf der Anzeige des einen logischen Kanals nicht spontan, sondern nur aufgrund der Aenderung einer entsprechenden Prozessinformation im zweiten Prozessabbild geprüft. Bei einem Prozessabbild, das die logische Abbildung von Zuständen der Anlage darstellt, können die Zustände sowohl Weichenstellungen, Signalbegriffe, Gleisbelegungen oder andere reelle Zustände als auch rein logische interne Zustände, wie Sperrzustände oder Fahrstrassen, sein. Dabei kann die Kontrolle von Informationen auf der Anzeige durchgeführt werden durch gezieltes Rücklesen von Bildspeicherteilen oder generelles Rücklesen des ganzen Bildspeichers und anschliessenden Vergleich der Informationen mit einem zweiten Prozessabbild. Anstelle des Rücklesens des Bildspeichers ist auch ein Rücklesen eines dem Bildspeicher vorgelagerten Speichers mit Vergleich und anschliessendem Kopieren des dem Bildspeicher vorgelagerten Speichers in den Bildspeicher möglich unter der Bedingung, dass das korrekte Kopieren des dem Bildspeicher vorgelagerten Speichers in den Bildspeicher auf der Anzeige kontrolliert werden kann. Da bei vollgrafischen Anzeigen fehlerhafte Anzeigen von Informationen bestehend aus einer grösseren Anzahl von Bildpunkten, weiche der Benutzer nicht als fehlerhaft erkennen kann, sehr unwahrscheinlich sind, ist für die Informationskontrolle beim Rücklesen einer Information nicht notwendig, sämtliche betroffenen Bildpunkte zu berücksichtigen, sondern es genügt eine systematisch oder zufällig gebildete Auswahl davon. Aufgrund der verwendeten unterschiedlichen Funktionen, und zwar auch bei Verwendung von Standard-Hardware und Software ohne Anspruch auf signaltechnische Sicherheit, kann für die Sicherungsmassnahmen bei den über die beiden Kanäle ausgeführten Operationen eine funktionale Softwarediversität angenommen werden. Patentansprüche 1. Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage mit Hilfe von zwei eigenständigen Rechnern der Datenverarbeitungsanlage, wobei ein Prozessaobild auf der Benutzeroberfläche über ein Anzeigesystem dargestellt wird und wobei Benutzerbefehle zur Einflussnahme auf den Prozess über eine Bedienungseinrichtung eingebbar sind, dadurch gekennzeichnet, dass a) dem ersten Rechner (1) eine erste externe Information (ii) zugeführt wird, aus der dieser ein dem Zustand des Prozesses entsprechendes Bild (B) erzeugt und auf dem Anzeigesystem (3) darstellt, b) dem zweiten Rechner (2) eine zweite externe Information (12) zugeführt wird, aus der dieser ein für eine Sicherheitsprüfung relevantes zweites Prozessabbild (Z) erzeugt, c) der zweite Rechner (2) bei Eingabe von Benutzerbefehlen diese durch Vergleich mit dem für die Sicherheitsprüfung relevanten zweiten Prozessabbild (Z) auf ihre Zulässigkeit prüft, und dass d) der zweite Rechner (2) dann, wenn keine Benutzerbefehle vorliegen, das vom ersten Rechner (1) auf dem Anzeigesystem (3) dargestellte, dem Prozess entsprechende Bild (B) mit dem zweiten Prozessabbild (Z) in vorbestimmten Zeitabstänaen vergleicht und verifiziert.
  2. 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die vorbestimmten Zeitabstände zyklisch oder nach einer Änderung der entsprechenden Prozessinformationen im Prozessabbild (Z) des zweiten 4 AT 402 909 B Rechners (2) gewählt werden.
  3. 3. Verfahren nach Anspruch 1, zur Gewährleistung der logischen Zweikanaligkeit auf einem Bedien- und Anzeigesystem (3) ohne diversitäre Hard- und Software, dadurch gekennzeichnet, dass die Informa- 5 tionen über zwei logische Kanäle auf einem Anzeigesystem (3) unterschiedlich dargestellt werden.
  4. 4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass auf dem zweiten logischen Kanal lediglich die Prozessinformationen betreffend eine eingeleitete Bedienungshandlung angezeigt werden. io
  5. 5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Datenverarbeitungsanlage aufgrund der eingeleiteten Bedienungshandlung feststellt, welchen Prozesszustand die für die Bedienungshandlung relevanten Prozessinformationen haben sollten, und dass auf dem zweiten logischen Kanal nur davon abweichende Prozessinformationen angezeigt werden.
  6. 6. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die für Handlungen ohne Bedienung am Bediensystem benötigten Informationen auf der Anzeige eines logischen Kanals dann gezielt von der Datenverarbeitungsanlage automatisch kontrolliert werden, wenn sich die entsprechende Prozessinformation im zweiten Prozessabbild (Z) ändert.
  7. 7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Kontrolle von Informationen auf der Anzeige durch gezieltes Rücklesen von Bildspeicherteilen oder generelles Rücklesen des ganzen Bildspeichers und anschliessenden Vergleich der Informationen mit einem zweiten Prozessabbild (Z) oder durch Rücklesen eines dem Bildspeicher vorgelagerten Speichers mit Vergleich und anschliessendem Kopieren des dem Bildspeicher vorgelagerten Speichers in den Bildspeicher durchgeführt wird. 25
  8. 8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass für die Informationskontrolle beim Rücklesen einer Information nur eine systematisch oder zufällig gebildete Auswahl der betroffenen Bildpunkte verwendet wird und nicht sämtliche betroffenen Bildpunkte berücksichtigt werden. 30 Hiezu 1 Blatt Zeichnungen 35 40 45 50 5 55
AT57893A 1992-04-30 1993-03-23 Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage AT402909B (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CH1399/92A CH683953A5 (de) 1992-04-30 1992-04-30 Verfahren zur Gewährleistung der signaltechnischen Sicherheit der Benutzeroberfläche einer Datenverarbeitungsanlage.

Publications (2)

Publication Number Publication Date
ATA57893A ATA57893A (de) 1997-02-15
AT402909B true AT402909B (de) 1997-09-25

Family

ID=4209520

Family Applications (1)

Application Number Title Priority Date Filing Date
AT57893A AT402909B (de) 1992-04-30 1993-03-23 Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage

Country Status (3)

Country Link
AT (1) AT402909B (de)
CH (1) CH683953A5 (de)
DE (1) DE4306470C2 (de)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19825257B4 (de) * 1997-06-06 2005-11-17 Tiefenbach Gmbh Einrichtung zur Steuerung der Fahrzeuge in einer Gleisanlage
DE19830926A1 (de) * 1998-07-10 2000-01-13 Alcatel Sa Verfahren zur sicheren Anzeige des Zustandes einer signaltechnischen Anlage
GB2348034A (en) 1999-03-17 2000-09-20 Westinghouse Brake & Signal An interlocking for a railway system
DE10252124B4 (de) * 2002-11-04 2006-11-09 Siemens Ag Vorrichtung zur Geschwindigkeitsanzeige in Fahrzeugen
ITTO20030447A1 (it) * 2003-06-13 2004-12-14 Ansaldo Segnalamento Ferroviario Sp A Metodo di rappresentazione in sicurezza mediante
FR2875309B1 (fr) * 2004-09-15 2006-12-22 Alstom Transport Sa Dispositif et procede de controle d'une console
DE102012212386A1 (de) * 2012-07-16 2014-01-16 Siemens Aktiengesellschaft Prozessabbild einer technischen Anlage
DE102012221714A1 (de) * 2012-11-28 2014-05-28 Siemens Aktiengesellschaft Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Stellwerksrechnersystem
NO2696690T3 (de) * 2014-01-29 2018-03-03
DE102014218191A1 (de) * 2014-09-11 2016-03-17 Siemens Aktiengesellschaft Verfahren zum Betreiben eines Verkehrsleitsystems
LT3549842T (lt) 2018-04-06 2022-07-25 Thales Management & Services Deutschland Gmbh Traukinių eismo reguliavimo sistema ir maršrutų bei traukinių eismo reguliavimo sistemos būsenos indikacijos saugaus rodymo būdas

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3127363A1 (de) * 1981-07-09 1983-01-27 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt "rechnergesteuertes stellwerk"
DE3137450C2 (de) * 1981-09-21 1984-03-22 Siemens AG, 1000 Berlin und 8000 München Sicherheits-Ausgabeschaltung für eine Datenverarbeitungsanlage
DE3211265C2 (de) * 1982-03-26 1984-06-20 Siemens AG, 1000 Berlin und 8000 München Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen
GB2149540A (en) * 1983-11-10 1985-06-12 Gen Signal Corp Vital processor
DE3522418C2 (de) * 1985-06-22 1990-05-31 Standard Elektrik Lorenz Ag, 7000 Stuttgart, De
DE3938501A1 (de) * 1989-11-20 1991-05-23 Siemens Ag Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3019713C2 (de) * 1980-05-23 1983-05-26 Standard Elektrik Lorenz Ag, 7000 Stuttgart Bedieneinrichtung für Prozeßsteuerungen mit signaltechnisch sicheren Mehrrechnersystemen
DE3911907A1 (de) * 1989-04-12 1990-10-18 Standard Elektrik Lorenz Ag Verfahren zur staendigen pruefung einer signaltechnisch sicheren bildschirmdarstellung
DE4005393A1 (de) * 1990-02-21 1991-08-22 Standard Elektrik Lorenz Ag Einrichtung zur signaltechnisch sicheren darstellung eines meldebildes

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3127363A1 (de) * 1981-07-09 1983-01-27 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt "rechnergesteuertes stellwerk"
DE3137450C2 (de) * 1981-09-21 1984-03-22 Siemens AG, 1000 Berlin und 8000 München Sicherheits-Ausgabeschaltung für eine Datenverarbeitungsanlage
DE3211265C2 (de) * 1982-03-26 1984-06-20 Siemens AG, 1000 Berlin und 8000 München Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen
GB2149540A (en) * 1983-11-10 1985-06-12 Gen Signal Corp Vital processor
DE3522418C2 (de) * 1985-06-22 1990-05-31 Standard Elektrik Lorenz Ag, 7000 Stuttgart, De
DE3938501A1 (de) * 1989-11-20 1991-05-23 Siemens Ag Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HALFPAP, H. ET AL.: SAFE L 90. SIGNAL + DRAHT 77(1985), HEFT 4, S. 67-72 *

Also Published As

Publication number Publication date
CH683953A5 (de) 1994-06-15
ATA57893A (de) 1997-02-15
DE4306470C2 (de) 1995-07-06
DE4306470A1 (de) 1993-11-04

Similar Documents

Publication Publication Date Title
DE2258917A1 (de) Kontrollvorrichtung
AT402909B (de) Verfahren zur gewährleistung der signaltechnischen sicherheit der benutzeroberfläche einer datenverarbeitungsanlage
EP3712770B1 (de) Überwachungseinheit für sicherheitsrelevante grafische benutzeroberflächen
DE102011081477A1 (de) Stellwerksrechner
DE19703574A1 (de) Verfahren zur sicheren Darstellung eines Bildes auf einem Monitor
DE3411015C2 (de)
EP3074293B1 (de) Verfahren zur fehleroffenbarung bei einem stellwerksrechnersystem und stellwerksrechnersystem
DE102011081479A1 (de) Bedieneinrichtung
EP1197418B1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
EP0970869B1 (de) Verfahren zur sicheren Anzeige des Zustandes einer signaltechnischen Anlage
DE3324313A1 (de) Einrichtung zur signaltechnisch sicheren darstellung von information auf einem datensichtgeraet
DE2940551C2 (de) Bedien- und Anzeigeeinrichtung für rechnergesteuerte Eisenbahnsignalanlagen
EP0182134B1 (de) Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen
EP0392328B1 (de) Verfahren zur ständigen Prüfung einer signaltechnisch sicheren Bildschirmdarstellung
DE102008021241B4 (de) Messwert-Anzeige, insbesondere im Führerstand eines Schienenfahrzeugs
DE3938501A1 (de) Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens
EP0120339A1 (de) Einrichtung zur sicheren Prozesssteuerung
EP2941738A1 (de) Verfahren zur fehleroffenbarung bei einem stellwerksrechnersystem und stellwerksrechnersystem
DE102014218191A1 (de) Verfahren zum Betreiben eines Verkehrsleitsystems
DE10214356B4 (de) Messsteuerungsvorrichtung
EP0407875A2 (de) Verfahren und Anordnung zur Konfiguration eines Steuerungssystems für Gleisanlagen
EP1596517A1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
DE102008012953A1 (de) Überprüfung von Anzeigesystemen in Schienenfahrzeugen
EP2849986B1 (de) Verfahren und anordnung zum steuern einer technischen anlage
EP0447635B1 (de) Verfahren zum Überprüfen von Sichtgerätesteuerungen auf Fehlerfreiheit in sicherungstechnischen Anlagen und Einrichtungen zum Durchführen dieses Verfahrens

Legal Events

Date Code Title Description
REN Ceased due to non-payment of the annual fee
EIH Change in the person of patent owner
MK07 Expiry

Effective date: 20130323