|
(11) | EP 0 503 336 A2 |
| (12) | EUROPÄISCHE PATENTANMELDUNG |
|
|
|
|
|||||||||||||||||||||||||||
| (54) | Einrichtung zur signaltechnisch sicheren Fernsteuerung einer Unterstation in einer Eisenbahnanlage |
| (57) Bei der Fernsteuerung von Unterstationen (UST1) in Eisenbahnanlagen wird ein Stellbefehl,
der eine Stellhandlung mit Sicherheitsverantwortung auslöst, zunächst ohne signaltechnische
Sicherheit in die Unterstation übertragen. Danach wird die Stellhandlung, bevor sie
ausgeführt wird, über den signaltechnisch sicher ausgelegten Meldeweg in die Zentralstation
(Z) zurückgespiegelt. Nach nochmaliger Kontrolle des Stellbefehls wird ein signaltechnisch
sicher wirkendes Ausführungskommando an die Unterstation übertragen. Als Ausführungskommando
wird ein in der Unterstation erzeugter, dort gespeicherter Sicherungscode verwendet.
Dieser wird zusammen mit der zu spiegelnden Stellhandlung an die Zentralstation übermittelt.
Als Ausführungskommando wird er in der Zentralstation erneut eingegeben, nicht sicher
zur Unterstation übertragen und dort mit dem ursprünglichen Sicherungscode verglichen.
Bei Übereinstimmung wird die Stellhandlung ausgeführt. |
[0002] Eine solche Einrichtung ist in ihren wesentlichen Teilen z.B. in einem Beitrag der Stadtbahn-Gesellschaft Rhein-Ruhr, Gelsenkirchen mit dem Titel "Konzeptionelle Festlegung der Verbindungsschaltung - Datenübertrager und -konzentrator - der Stadtbahn Rhein-Ruhr SSR" in der BMFT-Veröffentlichung "Statusseminar BMFT '82" enthalten.
[0003] Hier ist auf Seite 46 die Fernsteuerung von Streckenstellwerken von einem Zentralstellwerk aus beschrieben. Ein dem Streckenstellwerk zugeordneter, intelligenter Datenübertrager und - konzentrator (DÜK) empfängt Stellkommandos von dem Zentralstellwerk und leitet sie an das Strekkenstellwerk weiter. Signaltechnisch sicher auszuführende Kommandos werden vom Datenübertrager und -konzentrator signaltechnisch sicher an das Zentralstellwerk zurückgespiegelt und erst ausgeführt, wenn nach nochmaliger Kontrolle durch den Bediener ein von diesem eingegebenes, signaltechnisch sicher übertragenes Ausführungskommando empfangen wird.
[0004] Die bekannte Fernsteuerung benötigt neben einer für Regelbedienungen verwendeten Übertragungsleitung eine besondere, signaltechnisch sichere Kommandoleitung zur Übertragung des Ausführungskommandos.
[0005] Der Erfindung liegt die Aufgabe zugrunde, eine Fernsteuereinrichtung zu schaffen, die eine Übertragung signaltechnisch sicher auszuführender Kommandos ohne eine besondere, signaltechnisch sichere Kommandoleitung ermöglicht.
[0006] Eine Einrichtung, die diese Aufgabe löst, wird durch die Merkmale des Patentanspruchs 1 wiedergegeben. Die Einrichtung nach der Erfindung ermöglicht den Einsatz handelsüblicher, nicht sicherer Rechner, z.B. Personal Computer, in der Zentralstation. Besondere Sicherungsmaßnahmen beschränken sich dort auf die Prüfung der redundant empfangenen Meldebilddaten durch Vergleich. In der Unterstation können alle Prüf- und Sicherungsmaßnahmen mittels der beiden Rechnerkanäle ausgeführt werden. Besondere, signaltechnisch sicher arbeitende Schaltungsteile, wie sie z.B. zum Empfang eines sicheren Ausführungskommendos notwendig wären, können entfallen.
[0007] Weiterbildungen der Einrichtung nach der Erfindung sind Gegenstand der Unteransprüche. So erlaubt der Einsatz von Vorrechnern in den Rechnerkanälen der Unterstation gemäß Anspruch 2 eine Trennung der für die sichere Meldungsübertragung und den Kommandoempfang auszuführenden Verarbeitungsschritte von der Kommandoausgabe an die Stellelemente und der Erfassung von deren aktuellem Schaltzustand.
[0008] Der Gegenstand des Anspruchs 3 sichert die übertragene Meldungsinformation vor Verfälschung durch statisch gewordene Bitleitungen an parallelen Rechnerein- und ausgängen.
[0009] Die gemäß Anspruch 4 erforderliche manuelle Umschaltung des Bildschirms auf das zur Darstellung des Sicherungscodes befähigte Rechnersystem verhindert eine unbedachte routinemäßige Bestätigung angeforderter Hilfsbedienungen.
[0010] Anhand einer Figur soll nachstehend die Einrichtung nach der Erfindung ausführlich beschrieben werden.
[0011] In der Figur sind schematisch eine Zentralstation Z und eine Unterstation UST1 mit ihren wichtigsten Geräten sowie eine beide Stationen verbindende Übertragungsstrecke Ü dargestellt. An der Übertragungsstrecke können zusätzlich weitere Unterstationen UST2 angeschlossen sein.
[0012] Die Zentralstation enthält zwei Rechnersysteme R1, R2, z.B. Personal-Computer, die zur Darstellung eines gespeicherten Meldebildes über einen Umschalter MS wechselweise mit einer Anzeigeeinrichtung M verbunden werden können. Nur das Rechnersystem R1 besitzt eine manuelle Eingabe T und einen Drucker D zur Aufzeichnung protokollpflichter Handlungen. Auch die Datenausgabe auf die Übertragungsstrecke Ü über ein Modem MZ ist nur vom Rechnersystem R1 aus möglich.
[0014] Die Unterstation UST1 besitzt ein signaltechnisch sicheres Rechnersystem mit zwei Rechnerkanälen, die jeweils aus einem Hauptrechner UR1, UR2 und einem Vorrechner VR1, VR2 bestehen. Die beiden Hauptrechner sind über eine Nachbarrechnerverbindung NRB miteinander und über einen Steuer- und Meldebus SMB mit der zu steuernden Hardware STW der Unterstation verbunden.
[0015] Die Verbindung zur Übertragungsstrecke verläuft hier über die Vorrechner der Rechnerkanäle. Diese sind in Ausgaberichtung mit getrennten Ausgängen an ein Unterstationsmodem MU angeschlossen. Eingänge beider Vorrechner werden dagegen von einem gemeinsamen Ausgang des Modems aus, parallel beaufschlagt.
[0016] Steuerbefehle, die in der Zentralstation eingegeben werden und eine Stellhandlung ohne besondere Sicherheitsverantwortung in der Unterstation bewirken sollen, gelangen von der Eingabe T in das Rechnersystem R1. Das Rechnersystem erarbeitet das dem Steuerbefehl entsprechende Kommando und gibt dieses auf das Modem MZ aus, von wo aus es, z.B. als serielles, frequenzmoduliertes Datentelegramm, auf die Übertragungsstrecke ausgesendet wird.
[0017] Das Unterstationsmodem MU setzt das Datentelegramm in das ursprünglich eingegebene Kommando um und führt dieses den Vorrechnern beider Rechnerkanäle parallel zu.
[0018] Beide Rechnerkanäle decodieren nun den in dem empfangenen Kommando enthaltenen Steuerbefehl. Dabei tauschen sie Zwischenergebnisse und das Endergebnis über die Nachbarrechnerverbindung NRB gegenseitig aus und vergleichen ihr eigenes Ergebnis mit dem des Nachbarrechnerkanals. Bei von beiden Rechnerkanälen festgestellter Übereinstimmung der Ergebnisse wird der Steuerbefehl auf den Steuer- und Meldebus ausgegeben und die Stellhandlung damit ausgelöst.
[0019] Die Rückmeldung des Vollzugs der ausgelösten Stellhandlung erfolgt über Meldeleitungen des Steuer- und Meldebusses. Diese werden in regelmäßigen Zeitabständen sowie nach jeder Stellhandlung von beiden Rechnerkanälen auf ihren Schaltzustand hin abgefragt. Das Abfrageergebnis wird von beiden Vorrechnern getrennt dem Unterstationsmodem MU zugeführt und als Meldedatentelegramm zur Zentralstation übertragen. Hierbei gibt einer der Vorrechner seine Daten in invertierter Form auf das Modem aus. In der Zentralstation empfangen beide Rechnersysteme parallel die von beiden Rechnerkanälen der Unterstation übermittelten Meldedaten und führen einen Vergleich der einfach übertragenen Daten mit den invertiert übertragenen Daten durch. Bei Übereinstimmung werden die übertragenen aktuellen Schaltzustände abgespeichert und bei der Darstellung des Meldebildes berücksichtigt. Aus der Veränderung des Meldebildes erkennt der Bediener, ob der von ihm eingegebene Steuerbefehl ausgeführt wurde.
[0020] Soll eine Stellhandlung mit Sicherheitsverantwortung ausgeführt werden, so wird ein Steuerbefehl hierzu ebenfalls über die Bedieneinrichtung T in das Rechnersystem R1 eingegeben und als Kommando zur Unterstation übertragen. Üblicherweise wird ein Befehl mit Sicherheitsverantwortung bereits bei der Eingabe durch einen Zusatz oder eine besondere Form der Eingabe als solcher gekennzeichnet. Es kann aber auch erst in der Unterstation, z.B. durch Vergleich des eingegangenen Kommandos mit vorgespeicherten Listen sicherheitsrelevanter und nicht sicherheitsrelevanter Kommandos, ermittelt werden, ob der auszuführende Befehl Sicherheitsbedeutung hat. In jedem Falle stellen die Rechnerkanäle der Unterstation fest, wann ein von der Zentralstation her übertragenes Kommando eine Stellhandlung betrifft, die mit Sicherheitsverantwortung auszuführen ist.
[0021] In einem solchen Fall wird der in dem übertragenen Kommando enthaltene Steuerbefehl in der Unterstation zunächst signaltechnisch sicher zwischengespeichert. Die zugehörige Stellhandlung wird jedoch noch nicht vollzogen. Über den signaltechnisch sicheren Meldeweg wird ein besonders gekennzeichnetes Meldedatentelegramm an die Zentralstation übertragen, das die noch nicht vollzogene Stellhandlung simuliert vorwegnimmt. Der die Anzeigeeinrichtung steuernde Rechner stellt diese vorweggenommene Stellhandlung in besonderer Form oder Farbe an der Anzeigeeinrichtung dar. Die auszuführende Stellhandlung ist damit in die Zentralstation "zurückgespiegelt". Der Bediener kann nochmals kontrollieren, ob der gespiegelte Stellbefehl dem ursprünglich eingegebenen Stellbefehl entspricht und kann endgültig darüber befinden, ob der Stellbefehl ausgeführt werden soll.
[0022] Das hierzu erforderliche Ausführungskommando muß jedoch signaltechnisch sicher in der Unterstation vorliegen.
[0023] Um dies zu erreichen, enthalten die Rechnerkanäle der Unterstation ein Programm zur Erzeugung eines speziellen Sicherungscodes. Dieses Programm wird bei Erkennen eines eine Stellhandlung mit Sicherheitsverantwortung auslösenden Kommandos abgearbeitet und der ermittelte Sicherungscode wird zusammen mit den zur Spiegelung der vorzunehmenden Stellhandlung erforderlichen Daten in die Zentralstation übertragen. Der Sicherungscode kann nun in der Zentralstation angezeigt und nach erneuter Eingabe als Ausführungskommando in die Unterstation zurück übertragen werden. Er wird dort mit dem dort abgespeicherten, ursprünglich erzeugten Sicherungscode verglichen. Bei Übereinstimmung gilt das Ausführungskommando als gegeben. Die vorbereitete Stellhandlung wird ausgeführt.
[0024] In der Zentralstation enthält nur das nicht zur Kommandoübertragung verwendete Rechnersystem R2 ein Programm zum Empfang und zur Darstellung des Sicherungscodes. Das Rechnersystem R1 ist nicht in der Lage, den Sicherungscode aufzunehmen und anzuzeigen oder von sich aus zur Unterstation zurückzuübertragen.
[0025] Damit ist eine versehentliche Rückübertragung des Sicherungscodes ausgeschlossen. Eine Rückübertragung des Sicherungscodes ist nur möglich, wenn das Rechnersystem R2 mittels des z.B. manuell betätigbaren Umschalters MS mit der Anzeigeeinrichtung verbunden und damit in die Lage versetzt wird, den Sicherungscode dem Bediener anzuzeigen. Der Bediener ist gezwungen, den angezeigten Sicherungscode mittels der Bedieneinrichtung T in das Rechnersystem R1 einzugeben, wenn er dessen Übertragung an die Unterstelle und damit die Ausführung des vorbereiteten Stellbefehls bewirken will.
[0026] Um die Sicherheit bezüglich einer fehlerhaften versehentlichen Rückübertragung des Sicherungscodes noch weiter zu erhöhen, kann der Sicherungscode auch in verschlüsselter Form zur Zentralstation übertragen, im zweiten Rechner mit Hilfe eines nur dort enthaltenen Entschlüsselungsprogramms entschlüsselt in entschlüsselter Form zur Anzeige gebracht und nach erneuter Eingabe zur Unterstation zurückübertragen werden.
1. Einrichtung zur signaltechnisch sicheren Fernsteuerung einer eine Eisenbahnanlage
steuernden Unterstation, insbesondere eines dem Streckenbereich eines Bahnhofes zugeordneten
Unterstellwerks, welches ein Mehrrechnersystem mit mindestens zwei voneinander unabhängigen,
alle Ergebnisse parallel erarbeitenden und durch gegenseitigen Vergleich auf Übereinstimmung
prüfenden Rechnerkanälen aufweist, von einer Zentralstation aus, die mindestens zwei
voneinander unabhängige Rechnersysteme, eine Bedieneinrichtung und eine Anzeigeeinrichtung
enthält und über eine Datenverbindung mit dem Mehrrechnersystem der Unterstation verbunden
ist, wobei die Unterstation ein von der Zentralstation übertragenes, eine Stellhandlung
mit Sicherheitsverantwortung bewirkendes Kommando als solches erkennt, die Stellhandlung
in die Zentralstation zurückspiegelt und erst nach Empfang eines besonderen Ausführungsbefehls
ausführt, dadurch gekennzeichnet, daß zur Eingabe von Kommandos, die in der Unterstation
(UST1) Stellhandlungen mit Sicherheitsverantwortung bewirken, die Bedieneinrichtung
(T) der Zentralstation (Z) nur mit einem ersten Rechnersystem (R1) verbunden ist und
dieses Rechnersystem die Übertragung der Kommandos an die Unterstation bewirkt, daß
das Mehrrechnersystem der Unterstation ein Programm zur Erzeugung eines Sicherungscodes
besitzt, und zu jeder zurückzuspiegelnden Stellhandlung einen charakteristischen Sicherungscode
erzeugt und zur Zentralstation überträgt, daß nur ein nicht zur Kommandoübertragung
benutztes zweites Rechnersystem (R2) der Zentralstation ein Programm zur Aufnahme
und Anzeige des Sicherungscodes besitzt und diesen zusammen mit einem aktuellen Meldebild
und der gespiegelten Stellhandlung auf der Anzeigeeinrichtung anzeigt, daß als Ausführungsbefehl
der angezeigte Sicherungscode über die Bedieneinrichtung (T) in das erste Rechnersystem
(R1) eingegeben und von diesem zur Unterstation übertragen wird, daß der Sicherungscode
in der Unterstation mit dem dort gespeicherten, ursprünglich erzeugten Sicherungscode
verglichen wird und daß eine Ausführung der gespiegelten Stellhandlung erst erfolgt,
wenn dieser Vergleich Übereinstimmung ergeben hat.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Rechnerkanäle der
Unterstation aus je einem Hauptrechner (UR1, UR2) und je einem Vorrechner (VR1, VR2)
bestehen, und daß die Vorrechner den Empfang von Kommandos steuern und Meldungen signaltechnisch
sicher an die Zentralstation ausgeben.
3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß einer der Rechnerkanäle
der Unterstation seine Meldungsdaten in invertierter Form ausgibt und daß die Rechnersysteme
der Zentralstation eine Meldung nur dann als richtig weiterverarbeiten, wenn diese
in gewöhnlicher und in invertierter Form vorliegt.
4. Einrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß
die Anzeigeeinrichtung (M) mittels eines manuell bedienbaren Umschalters (MS) mit
den Rechnersystemen (R1, R2) wechselweise verbunden werden kann.