(19)
(11) EP 0 120 339 A1

(12) EUROPÄISCHE PATENTANMELDUNG

(43) Veröffentlichungstag:
03.10.1984  Patentblatt  1984/40

(21) Anmeldenummer: 84102198.3

(22) Anmeldetag:  01.03.1984
(51) Internationale Patentklassifikation (IPC)3B61L 27/00, G05B 9/02
(84) Benannte Vertragsstaaten:
AT CH DE LI NL

(30) Priorität: 25.03.1983 DE 3310975

(71) Anmelder: SIEMENS AKTIENGESELLSCHAFT
80333 München (DE)

(72) Erfinder:
  • Homeister, Manfred, Dipl.-Ing.
    D-3304 Wendeburg (DE)
  • Raimer, Jürgen, Ing. grad.
    D-3340 Wolfenbüttel (DE)


(56) Entgegenhaltungen: : 
   
       


    (54) Einrichtung zur sicheren Prozesssteuerung


    (57) Die Prozeßsteueraufträge werden von einem nicht sicheren Mikrocomputer (MC1) in Kommandodaten umgesetzt, in einer Ausgabeeinrichtung (AE) gespeichert und zu Prüfzwecken laufend zurückgelesen. Die rückgelesenen Daten gelangen auch auf einen weiteren Mikrocomputer (MC2). Nur wenn beide Mikrocomputer die rückgelesenen Daten übereinstimmend klassifizieren, ist eine Freigabe der gespeicherten Daten möglich:
    Klassifizieren beide Mikrocomputer die Daten als eine Regelbedienung betreffend, wird über eine sichere Verknüpfung (RV) die Ausgabe der Daten veranlaßt. Bei eine Hilfshandlung betreffenden Daten ist die Freigabe der Daten von einere zusätzlichen Betätigung von Freigabeschaltmittein (FS) durch den Veranlasser abhängig.



    Beschreibung


    [0001] Die Erfindung bezieht sich auf eine Einrichtung nach dem Oberbegriff des Patentanspruches 1.

    [0002] Bei der nicht vollautomatisierten Prozeßsteuerung haben sich vielerorts Bildschirmarbeitsplätze bewährt, von denen aus über eine beispielsweise alphanumerische Tastatur sowie eine optische Kontrollvorrichtung auf eine Datenverarbeitungsanlage und von dort auf den zu steuernden und/oder zu überwachenden Prozeß eingewirkt wird.

    [0003] Ein solcher Anwendungsfall ist beispielsweise in der Eisenbahnsignaltechnik bei der Steuerung eines Stellwerkes über ein oder mehrere sogenannte Nummernstellpulte gegeben. Bei dieser Art der Prozeßsteuerung sind von ihrer Bedeutung und Auswirkung auf den Prozeß grundsätzlich zwei Arten von Bedienungen zu unterscheiden und verschieden zu behandeln, nämlich sogenannte Regelbedienungen und sogenannte Hilfsbedienungen.Eine Regelbedienung kann nach ihrer Eingabe ohne weiteres Zutun des Bedieners an den Prozeß ausgegeben werden, weil ihre Zulässigkeit in einer gesonderten Sicherheitsebene außerhalb der Datenverarbeitungsanlage nach sicherungstechnischen Gesichtspunkten geprüft wird; ein eventueller Fehler kann nicht zu einem gefährlichen Zustand führen. Bei einer Hilfsbedienung wird die Zulässigkeit dieser Bedienung nicht mehr in einer gesonderten Sicherheitsebene geprüft, das heißt, die durch eine derartige Hilfsbedienung definierten Kommandodaten würden bei Ausgabe an den Prozeß gegebenenfalls zu einer Gefährdung führen können. Die Verarbeitung solcher Hilfsbedienungen ist daher vom Menschen in geeigneter Weise zu überwachen und zu steuern.

    [0004] Dies geschieht regelmäßig dadurch, daß die Datenverarbeitungsanlage vor der Ausgabe der Daten an den Prozeß dem Bediener Kontrolldaten zuführt, die den Bediener von der zur Ausführung anstehenden Hilfshandlung unterrichten und ihm die Möglichkeit geben, diese Daten entweder zurückzunehmen oder an den Prozeß freizugeben.

    [0005] Dabei hat die vom Bediener mit Prozeßsteueraufträgen beaufschlagte Datenverarbeitungsanlage selbst die Entscheidung darüber zu treffen, ob es sich bei einer Bedienung um eine Regel- oder eine Hilfsbedienung handelt, das heißt, ob die aus einer Bedienungshandlung abgeleiteten Kommandodaten direkt an den Prozeß weiterzugeben oder durch den Bediener gesondert zu autorisieren sind. Da mit der Möglichkeit gerechnet werden muß, daß die Datenverarbeitungsanlage einen eingegebenen Prozeßsteuerauftrag falsch klassifiziert und,obgleich es sich um eine Hilfsbedienung handelt, die entsprechenden Kommandodaten direkt an den Prozeß freigibt, ist die Datenverarbeitungsanlage nach sicherungstechnischen Gesichtspunkten aufzubauen. Als Einrichtung zur Datenverarbeitung kommt entweder eine signaltechnisch sichere Datenverarbeitungseinrichtung in Frage, die z.B. durch internen Vergleich der auf den Adreß-, Daten- und Steuerbussen zweier Mikrocomputer anliegenden Signale eventuelle Diskrepanzen zwischen den von beiden Mikrocomputern erarbeiteten Ergebnissen frühzeitig erkennt und daraufhin die Ausgabe von Daten an den Prozeß unterbindet oder aber es werden z.B. zwei nicht sicherungstechnisch arbeitende Mikrocomputer eingesetzt, deren Arbeitsergebnisse in einer externen, sicheren Vergleichseinrichtung miteinander verknüpft werdenunddLegemeinsam auf den zu steuernden Prozeß einwirken.

    [0006] Die zwischen die Bedienungseinrichtung und den Prozeß geschaltete Datenverarbeitungsanlage hat im wesentlichen die Funktion eines Umsetzers. Um eventuelle Fehler beim Umsetzen von Eingangs- in Ausgangsdaten erkennen zu können, ist es bekannt (DE-AS 22 60 738), die in einer elektronischen Decodiereinrichtung aus Eingangsdaten abgeleiteten Ausgangsdaten vor ihrer Ausgabe an den Prozeß in einer gesonderten Codiereinrichtung wieder in den Eingangscode umzusetzen und mit dem ursprünglichen Eingangscode zu vergleichen. Bei Übereinstimmung der ursprünglichen und der rückcodierten Information werden die von der elektronischen Decodiereinrichtung gebildeten Ausgangsdaten freigegeben; im anderen Fall werden sie gesperrt. Die bekannte elektronische Decodiereinrichtung bezieht die in den jeweiligen Eingangscode rückzubildenden Daten nicht aus einem Datenspeicher, aus dem die decodierten Signale später an den Prozeß weitergegeben werden, sondern aus einer vorgeschalteten Decodierstufe. Damit ist nicht gewährleistet, daß die später an den Prozeß freigegebenen Daten auch tatsächlich den Daten entsprechen, die von der zusätzlichen Codiereinrichtung für die Rückcodierung benutzt werden.

    [0007] Die bekannte elektronische Decodiereinrichtung ist nicht in der Lage, die ihr zugeführten Daten zu klassifizieren. Für den vorliegenden Fall der Prozeßsteuerung durch Regel- und Hilfsbedienungen heißt dies, daß die der Decodiereinrichtung zugeführten Daten von dieser grundsätzlich dann an den Prozeß ausgegeben werden, wenn sie von der Decodiereinrichtung ordnungsgerecht umgesetzt worden sind. Die bekannte elektronische Decodiereinrichtung kann daher nicht für die sichere Prozeßsteuerung verwendet werden, denn sie gibt keine Möglichkeit, gefährliche Kommandos (Hilfsbedienungen) von ungefährlichen Kommandos (Regelbedienungen) zu unterscheiden und beispielsweise bei einem fehlerhaften aber in sich sinnvollen Prozeßsteuerauftrag die Verbindung zum Prozeß aufzutrennen.

    [0008] Aufgabe der vorliegenden Erfindung ist es, eine Einrichtung nach dem Oberbegriff des Patentanspruches 1 so auszubilden, daß eine sichere Klassifizierung des jeweils anliegenden Prozeßsteuerauftrages möglich ist, wobei die Freigabe der aus einem Prozeßsteuerauftrag abgeleiteten Kommandodaten an den Prozeß entweder direkt (bei einer Regelbedienung) oder aber nach Autorisierung durch den den Prozeßsteuerauftrag veranlassenden Bediener (bei einer Hilfsbedienung) erfolgt.

    [0009] Die Erfindung löst diese Aufgabe durch die kennzeichnenden Merkmale des Patentanspruches 1. Vorteilhafte Aus-und Weiterbildungen der erfindungsgemäßen Einrichtung sind in den Unteransprüchen angegeben.

    [0010] Die Erfindung ist nachstehend näher erläutert, wobei auf die Zeichnung Bezug genommen ist.

    [0011] Die Zeichnung zeigt im oberen rechten Teil eine an sich bekannte Dateneingabeeinrichtung DE, über die von einem Bediener Prozeßsteueraufträge an den zu steuernden und/ oder zu überwachenden Prozeß vermittelt werden können. Die eingegebenen Prozeßsteueraufträge werden in einer nachgeordneten Datenverarbeitungsanlage DV in Kommandodaten umgesetzt und über eine Ausgabeeinrichtung AE an den Prozeß ausgegeben.

    [0012] Die Dateneingabeeinrichtung besteht aus einer beispielsweise alphanumerischen Eingabetastatur ET, über die ein Bediener die Prozeßsteueraufträgevorgibt. Die jeweils eingegebenen Prozeßsteueraufträge werden dem Bediener über ein Sichtgerät SG optisch dargestellt und können vom Bediener nach Sichtkontrolle über eine Taste T an die Datenverarbeitungsanlage DV ausgegeben werden.

    [0013] Die Datenverarbeitungsanlage DV besteht im wesentlichen aus zwei voneinander unabhängigen nicht sicherungstechnisch arbeitenden Mikrocomputern MC1 und MC2 sowie einer sicherungstechnisch arbeitenden Relaisverknüpfung RV.

    [0014] Die von der Dateneingabe DE kommenden Prozeßsteueraufträge gelangen zu dem Mikrocomputer MC1, der aus ihnen entsprechende Kommandodaten bildet wie sie für die Steuerung des Prozesses benötigt werden. Der Mikrocomputer MC1 gibt die von ihm erarbeiteten Kommandodaten aberroch nicht an den Prozeß weiter, sondern hinterlegt sie in einer Ausgabeeinrichtung AE. Diese Ausgabeeinrichtung besteht im wesentlichen aus einem Speicher, in dem die zugeführten Kommandodaten sicherungstechnisch abgelegt sind.

    [0015] Nach der Hinterlegung der Kommandodaten liest der Mikrocomputer MC1 die hinterlegten Daten zu Prüfzwecken zurück und vergleicht sie mit den von ihm erarbeiteten Daten.Die vom Mikrocomputer MC1 aus der Ausgabeeinrichtung AE zurückgelesenen Kommandodaten gelangen über einen in den Rückmeldekanal geschalteten sicherungstechnisch aufgebauten Eingabeverdoppler EV aber nicht nur auf den durch die Prozeßsteueraufträge direkt beaufschlagten MikrocomputerMC1 sondern auch auf den MikrocanputerMC2. Beide Mikrocomputer sind danit über die zur Ausführung anliegenden Kommandodaten informiert. Beidebewerten unabhängig voneinander die zur Ausführung anliegenden Kommandodaten hinsichtlich der Art der zur Ausführung kommenden Bedienungshandlung. Stellen beide Mikrocomputer unabhängig voneinander fest, daß es sich bei der zur Ausführung kommenden Bedienung um eine Regelbedienung handelt, die innerhalb des Prozesses gesondert auf Zulässigkeit geprüft wird, so geben beide Mikrocomputer die Ausgabe der in der Ausgabeeinrichtung AE gespeicherten Kommandodaten frei. Dies geschieht über die den beiden Mikrocomputern ausgangsseitig nachgeordnete sicherungstechnisch arbeitende Relaisverknüpfung RV. Kommen die beiden Mikrocomputer zu unterschiedlichen Klassifizierungsergebnissen, so sperrt die Relaisverknüpfung RV die Freigabe der in der AusgabeeinrichtungAE gespeicherten Kommandodaten. Die eingetretene Störung kann dem Bediener auf geeignete Weise zur Kenntnis gebracht werden, beispielsweise durch Anschalten eines optischen und/oder akustischen Melders. Das Ansprechen dieses Melders kann den Bediener zum Löschen der gespeicherten Daten und zur erneuten Vornahme der Bedienungshandlung veranlassen. Klassifizieren die beiden Mikrocomputer.dann die Bedienung als Regelbedienung, werden die durch die nochmalige Eingabe in der Ausgabeeinrichtung AE gegebenenfalls aktualisierten Kommandodaten freigegeben.

    [0016] Handelt es sich bei einer Bedienung um eine Hilfsbedienung, die in keiner nachgeordneten Sicherheitsebene überprüft wird, sondern innerhalb des zu steuernden und/oder zu überwachenden Prozesses direkt zur Auswirkung kommt, so können die beiden Mikrocomputer MC1 und MC2 von sich aus die Freigabe der dann in der Ausgabeeinrichtung AE gespeicherten Kommandodaten nicht veranlassen. Für die Freigabe ist die gezielte Mitwirkung des jeweils veranlassenden Bedieners erforderlich. Hierzu ermittelt der Mikrocomputer MC2 aus den ihm über den Eingabeverdoppler EV zugeführten Kommandodaten den jeweils zugehörigen Prozeßsteuerauftrag und führt diesen dem Bediener über eine gesonderte Kontrollanzeige KA zu. Der Bediener hat nun die Aufgabe, den ihm auf der Kontrollanzeige beispielsweise alphanumerisch dargestellten Prozeßsteuerauftrag mit dem von ihm in die Dateneingabeeinrichtung DE eingegebenen Auftrag zu vergleichen und zu entscheiden, ob dieser Auftrag zur Ausführung kommen soll oder nicht. Hat er sich für die Ausführung entschieden, so hat der Bediener ein gesondertes Freigabeschaltmittel FS zu betätigen. Dieses Freigabeschaltmittel wirkt über die Relaisverknüpfung RV mit einem entsprechenden Steuerkennzeichen auf die beiden Mikrocomputer MC1 und MC2 ein. Haben beide Mikrocomputer die zur Ausführung anliegende Bedienung als Hilfsbedienung klassifiziert und werden ihnen von der Relaisverknüpfung DE die durch die Betätigung des Freigabeschaltmittels FS ausgelösten Steuersignale zugeführt, so erarbeiten beide Mikrocomputer unabhängig voneinander Freigabesignale für die Ausgabe der in der Ausgabeeinrichtung AE gespeicherten Kommandodaten. Diese Freigaben werden in der Relaisverknüpfung ggf. nochmals mit der Freigabe durch die Freigabeschaltmittel FS verknüpft und führen dann zur Ausgabe der zur Ausführung anliegenden Kommandodaten.

    [0017] Verweigert der Bediener seine Zustimmung zur Freigabe der zur Ausführung anstehenden Kommandodaten, so werden nach Ablauf einer vorgebbaren Zeitspanne die in der Ausgabeeinrichtung AE stehenden Daten gelöscht und die beiden Mikrocomputer in die Grundstellung geführt.

    [0018] Solange die Kommandodaten in der Ausgabeeinrichtung AE gespeichert sind, aktualisieren die beiden Mikrocomputer durch ständiges Rücklesen der gespeicherten Daten und Klassifizierung dieser Daten ihre Freimeldungen.Stellt einer von ihnen oder beide eine Änderung der gespeicherten Daten fest, so nimmt der betroffende Mikrocomputer seine Freigabe an die Relaisverknüpfung RV augenblicklich zurück. Die Relaisverknüpfung unterbindet dabei die Ausgabe der in der Ausgabeeinrichtung AE gespeicherten Daten bzw. schaltet die Ausgabe augenblicklich ab, wenn die Freigabe schon erteilt ist. Eine solche Störung ist dem Bediener auf geeignete Art und Weise anzuzeigen. Die erneute Freigabe von in der Ausgabeeinrichtung gespeicherten Daten nach dem ordnungsgemäßen Verlauf einer Datenausgabe oder nach dem Sperren einer Ausgabe im Fehlerfall ist schaltungstechnisch von der vorherigen Grundstellung der Relaisverknüpfung RV abhängig zu machen. Die Relaisverknüpfung RV kann die Grundstellung nur einnehmen, wenn die in der Ausgabeeinrichtung AE anstehenden Kommandodaten gelöscht sind, beide Mikrocomputer ihre Ausgaben an die Relaisverknüpfung RV in eine ihre Bereitschaft für die nächste Bedienungsbearbeitung kennzeichnende Lage gebracht haben und das Freigabeschaltmittel am Bedienplatz ebenfalls die Grundstellung eingenommen hat.

    [0019] Sind mehrere Dateneingabeeinrichtungen vorhanden, so ist sicherzustellen, daß eine Freigabe der aus einer Hilfsbedienung abgeleiteten Kommandodaten nur von demjenigen Bediener aus vorgenommen werden kann, der die zugehörige Bedienung veranlaßt hat. Zu diesem Zweck hat der durch die Prozeßsteueraufträge direkt beaufschlagte Mikrocomputer MC1 denjenigen Bedienplatz zu ermitteln, von dem aus eine Hilfsbedienung eingegeben wurde und diesen der Relaisverknüpfung zu melden. Der durch die Prozeßsteuerdaten nicht direkt beaufschlagte Mikrocomputer hat aus der Kenntnis des in der Relaisverknüpfung gespeicherten Bedienplatzes heraus ausschließlich denjenigen Bedienplatz mit den rückgelesenen Prozeßsteuerdaten zu versorgen, der von dem anderen Mikrocomputer als veranlassend erkannt wurde. Die Relaisverknüpfung hat Schaltmittel zu beinhalten, welche eine Freigabebehandlung nur dann anerkennen, wenn sie von demjenigen Bedienplatz aus erfolgt, der zuvor als veranlassend erkannt wurde.

    [0020] Die erfindungsgemäße Einrichtung zur sicheren Prozeßsteuerung ist mit Vorteil überall dort einzusetzen, wo von insbesondere mehreren Bedienplätzen aus mit Sicherheitsverantwortung auf einen Prozeß einzuwirken ist. Ein bevorzugtes Anwendungsgebiet ist die Steuerung eines Stellwerks von mehreren Bedienplätzen aus, wobei von diesen Bedienplätzen aus sowohl Bedienungshandlungen auszuführen sind, die in der nachgeordneten Stellwerksebene auf Zulässigkeit überwacht werden, als auch Bedienungshandlungen, die insbesondere in Störsituationen die Sicherheit des Stellwerkes bewußt unterlaufen sollen, um den Betrieb einigermaßen flüssig halten zu können.


    Ansprüche

    1. Einrichtung zur sicheren Prozeßsteuerung unter Verwendung von zwei voneinander unabhängigen nicht sicherungstechnisch arbeitenden Mikrocomputern, die gemeinsam auf den zu steuernden Prozeß wirken und dabei sowohl Regelbedienungen, deren Zulässigkeit in einer gesonderten Sicherheitsebene außerhalb der Mikrocomputer geprüft wird, als auch Hilfsbedienungen, deren Zulässigkeit nicht mehr geprüft wird, zur Ausführung kommen lassen, insbesondere für die Steuerung eines Eisenbahnstellwerks von mindestens einem Bedienplatz aus, dadurch gekennzeichnet ,
    daß der eine Mikrocomputer (MC1) die zur Ausführung jeweils anliegenden Prozeßsteueraufträge in entsprechende Kommandodaten umsetzt, diese in einer Ausgabeeinrichtung (AE) speichert und die eingespeicherten Daten zurückliest, wobei die zurückgelesenen Daten über einen sicherungstechnischen Eingabeverdoppler (EV) gleichzeitig auch an den anderen Mikrocomputer (MC2) gelangen, daß beide Mikrocomputer unabhängig voneinander die ihnen zugeführten Daten nach der Art des jeweils anliegenden Prozeßsteuerauftrages klassifizieren und die Klassifizierungsergebnisse einer Relaisverknüpfung (RV) zuführen, die bei Übereinstimmung der Klassifizierungsergebnisse der beiden Mikrocomputer die Freigabe der in der Ausgabeeinrichtung (AE) gespeicherten Daten veranlaßt, sofern der jeweils klassifizierte Prozeßsteuerauftrag eine Regelbedienung betrifft, dagegen beim gemeinsamen Erkennen einer Hilfsbedienung die Freigabe der in der Ausgabeeinrichtung gespeicherten Daten von einer gesonderten über die Relaisverknüpfung (RV) geführten Zustimmung eines Bedieners abhängig macht.
     
    2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet , daß die Freigabe von in der Ausgabeeinrichtung (AE) gespeicherten Daten von der vorherigen Grundstellung der Relaisverknüpfung (RV) abhängig gemacht ist und daß die Grundstellung der Relaisverknüpfung von der Grundstellung der Ausgabeeinrichtung (AE), von der Grundstellung der beiden Mikrocomputerausgaben an die Relaisverknüpfung (RV) und von der Grundstellung der bei Zustimmung eines Bedieners zu einer Hilfshandlung einstellbaren Freigabeschaltmittel abhängig gemacht ist.
     
    3. Einrichtung nach Anspruch 1, dadurch gekennzeichnet , daß die beiden Mikrocomputer ihre Freigabenbeim Vorliegen der entsprechenden Voraussetzungen laufend aktualisieren.
     
    4. Einrichtung nach Anspruch 3, dadurch gekennzeichnet , daß die beiden Mikrocomputer die in der Ausgabeeinrichtung gespeicherten Kommandodaten durch Rücklesen dieser Daten auf Kontinuität überwachen, daß jeder Mikrocomputer für sich bei Änderung dieser Daten seine Freigabe an die Relaisverknüpfung (RV) zurücknimmtunddaßdie Relaisverknüpfung daraufhin die Ausgabe der in der Ausgabeeinrichtung (AE) gespeicherten Daten unterbindet.
     
    5. Einrichtung nach Anspruch 1, dadurch gekennzeichnet , daß der durch die Prozeßsteueraufträge jeweils nicht direkt beaufschlagte Mikrocomputer (MC2) die ihm über den Eingabeverdoppler (EV) übermittelten Kommandodaten beim Vorliegen einer Hilfsbedienung in die entsprechenden Prozeßsteueraufträge umsetzt und dem Bediener auf einem Sichtschirm (KA) zur Verfügung stellt.
     
    6. Einrichtung nach Anspruch 5, dadurch gekennzeichnet , daß der durch die Prozeßsteuerdaten direkt beaufschlagte Mikrocomputer (MC1) mindestens bei den Hilfsbedienungen denjenigen Bedienplatz ermittelt, von dem aus eine Hilfsbedienung eingegeben wurde, daß der durch die Prozeßsteuerdaten nicht direkt beaufschlagte Mikrocomputer (MC2) aus der Kenntnis des von dem jeweils anderen Mikrocomputer (MC1) ermittelten Bedienplatzes heraus ausschließlich denjenigen Bedienplatz mit den rückgelesenen Prozeßsteuerdaten versorgt, der voncbm durch die Prozeßsteuerdaten direkt beaufschlagten Mikrocomputer (MC1) als veranlassend erkannt wurde und daß die Relaisverknüpfung Schaltmittel beinhaltet, welche eine Freigabehandlung nur dann anerkennen,wenn sie von demjenigen Bedienplatz aus erfolgt ist, der zuvor als veranlassend erkannt wurde.
     
    7. Einrichtung nach Anspruch 6, dadurch gekennzeichnet , daß der von den Prozeßsteuerdaten direkt beaufschlagte Mikrocomputer (MC1) den von ihm jeweils ermittelten Bedienplatz der Relaisverknüpfung (RV) mitteilt und daß der andere Mikrocomputer (MC2) den jeweils ermittelten Bedienplatz dort erfragt.
     
    8. Einrichtung nach Anspruch 6, dadurch gekennzeichnet , daß der von den Prozeßsteuerdaten direkt beaufschlagte Mikrocomputer (MC1) den von ihm jeweils ermittelten Bedienplatz der Ausgabeeinrichtung (AE) zusammen mit den Kommandodaten mitteilt und daß der andere Mikrocomputer (MC2) den jeweils ermittelten Bedienplatz aus den rückgelesenen Daten entnimmt.
     
    9. Einrichtung nach Anspruch 6, dadurch gekennzeichnet , daß der von den Prozeßsteuerdaten direkt beaufschlagte Mikrocomputer (MC1) den von ihm jeweils ermittelten Bedienplatz dem anderen Mikrocomputer (MC2) direkt mitteilt.
     
    10. Einrichtung nach Anspruch 1, 5 oder 6, dadurch gekennzeichnet , daß die von der Relaisverknüpfung (RV) als ordnungsgerecht erkannte Freigabe einer Hilfsbedienung durch einen Bediener in beiden Mikrocomputern (MC1, MC2) zur Ausgabe entsprechender Hilfsfreigaben an die Relaisverknüpfung (RV) führt und daß die Relaisverknüpfung daraufhin die Freigabe der in der Ausgabeeinrichtung (AE) gespeicherten Kommandodaten veranlaßt.
     




    Zeichnung







    Recherchenbericht