[0001] Die Erfindung bezieht sich auf eine Anordnung zum Steuern einer technischen Anlage,
insbesondere einer Eisenbahngleisanlage, wobei die Anordnung einen Stellwerksrechner,
der ein Umstellen der technischen Anlage veranlassen kann, und mindestens zwei Bedienplatzrechner
umfasst, mit denen Bedienbefehle erzeugt und zu dem Stellwerksrechner übermittelt
werden können.
[0002] Zur Steuerung einer technischen Anlage, insbesondere einer Eisenbahngleisanlage,
ist für sicherheitsunkritische Regelbedienungen prinzipiell ein beliebiger Bedienplatzrechner,
beispielsweise ein Standard-PC, einsetzbar; ein vorgegebenes Sicherheitsniveau muss
in aller Regel nicht erreicht werden, da der zwischen dem Bedienplatzrechner und der
technischen Anlage befindliche Stellwerksrechner gefährliche Bedienhandlungen ablehnen
kann. Für den Fall, dass mit einem Bedienplatzrechner auch sicherheitsrelevante oder
sicherheitskritische Bedienbefehle erzeugt werden sollen und eine Kontrolle durch
den Stellwerksrechner unterdrückt oder umgangen werden soll, sind Vorkehrungen zu
treffen, die eine Gefahrensituation in der technischen Anlage zuverlässig verhindern.
[0003] Die Patentschrift
DE 36 39 788 C1 zeigt eine Anordnung zum Steuern einer Eisenbahngleisanlage, bei der sämtliche Informationen
über einen, einem signaltechnisch sicheren Teil einer Eingabeeinrichtung vorgeschalteten
signaltechnisch nicht sicheren Teil eingegeben werden, und dass sämtliche Informationen
und Kommandos im signaltechnisch sicheren Teil automatisch auf signaltechnisch sichere
Relevanz geprüft werden.
[0004] Der Erfindung liegt die Aufgabe zugrunde, eine Anordnung zum Steuern einer technischen
Anlage anzugeben, die sich kostengünstig realisieren lässt und dennoch einen hohen
Sicherheitsstandard gewährleistet.
[0005] Diese Aufgabe wird erfindungsgemäß durch eine Anordnung mit den Merkmalen gemäß Patentanspruch
1 gelöst. Vorteilhafte Ausgestaltungen der erfindungsgemäßen Anordnung sind in Unteransprüchen
angegeben.
[0006] Danach ist vorgesehen, dass von den Bedienplatzrechnern zumindest ein Bedienplatzrechner
ein sicherer
[0007] Bedienplatzrechner ist, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard
erreicht, und zumindest ein Bedienplatzrechner ein unsicherer Bedienplatzrechner ist,
dessen Sicherheitsniveau den vorgegebenen Mindeststandard unterschreitet, der sichere
Bedienplatzrechner mit dem Stellwerksrechner über eine sichere Datenverbindung, die
eine vorgegebene Übertragungssicherheit gewährleistet, verbunden ist, und der zumindest
eine unsichere Bedienplatzrechner mittelbar mit dem Stellwerksrechner verbunden ist,
nämlich über den sicheren Bedienplatzrechner, und die Bedienbefehle des unsicheren
Rechners zu dem sicheren Bedienplatzrechner und über diesen und die sichere Datenverbindung
zu dem Stellwerksrechner übermittelt werden.
[0008] Ein wesentlicher Vorteil der erfindungsgemäßen Anordnung besteht darin, dass bei
dieser unsichere Rechner auch zur Erzeugung sicherheitsrelevanter Befehle verwendet
werden können. Um ein ausreichendes Sicherheitsniveau zu erreichen, ist nämlich erfindungsgemäß
vorgesehen, die Anbindung der unsicheren Rechner an den Stellwerksrechner nicht unmittelbar
vorzusehen, sondern mittelbar über zumindest einen sicheren Rechner; dadurch wird
gewährleistet, dass Bedienbefehle, insbesondere solche, die sicherheitsrelevant sind,
ausschließlich von einem sicheren Rechner unmittelbar an den Stellwerksrechner übermittelt
werden können, nicht hingegen unmittelbar von einem unsicheren Rechner. In dieser
Weise ist es möglich, die von dem unsicheren Rechner kommenden Bedienbefehle auf Plausibilität
und/oder auf Ausführbarkeit zu prüfen, bevor sie an den Stellwerksrechner zur schlussendlichen
Umsetzung weitergeleitet werden. Zusammengefasst besteht der erfinderische Gedanke
also darin, die Einbindung unsicherer Bedienplatzrechner zu ermöglichen, indem sichere
Bedienrechner zwischengeschaltet werden.
[0009] Um sicherzustellen, dass alle Bedienplatzrechner stets auf dieselben Daten, die den
Zustand der technischen Anlage anzeigen, zugreifen, wird es als vorteilhaft angesehen,
wenn in dem oder einem der sicheren Bedienplatzrechner ein den Zustand der technischen
Anlage beschreibender Datensatz zentral gespeichert ist und der unsichere Bedienplatzrechner
derart programmiert ist, dass er unter Heranziehung des in dem sicheren Bedienplatzrechner
gespeicherten Datensatzes und einer vom Bediener des unsicheren Rechners vorgegebenen
Darstellungsweise bedienerindividuelle Anzeigesteuersignale erzeugt, die zu einer
bedienerindividuellen Anzeige des durch den Datensatz definierten Zustands der technischen
Anlage auf einer mit dem unsicheren Bedienplatzrechner verbundenen Anzeigeeinrichtung
führen. Aufgrund der zentralen Speicherung des den Zustand der technischen Anlage
beschreibenden Datensatzes ist sichergestellt, dass stets alle Bedienplatzrechner
und alle mit den Bedienplatzrechnern verbundenen Anzeigeeinrichtungen stets denselben
Datenstand berücksichtigen. Die Richtigkeit der Daten wird dadurch gewährleistet,
dass diese in dem sicheren Rechner verwaltet und aktualisiert werden.
[0010] Um sicherzustellen, dass die zentrale Speicherung des Datensatzes in dem sicheren
Bedienplatzrechner fehlerfrei erfolgt, wird es als vorteilhaft angesehen, wenn der
sichere Bedienplatzrechner zumindest zwei redundant betriebene Speicherbereiche umfasst,
in denen jeweils der den Zustand der technischen Anlage beschreibende Datensatz gespeichert
ist.
[0011] Eine Kontrolle der in den zwei redundant betriebenen Speicherbereichen abgespeicherten
Datensätze auf Übereinstimmung wird vorzugsweise von einem Vergleichsbaustein durchgeführt.
Demgemäß wird es als vorteilhaft angesehen, wenn zwischen dem sicheren und dem unsicheren
Bedienplatzrechner ein Vergleichsbaustein angeordnet ist und der Vergleichsbaustein
derart ausgestaltet ist, dass er Daten des den Zustand der technischen Anlage beschreibenden
Datensatzes zwecks Übertragung zum unsicheren Bedienrechner jeweils aus jedem der
zumindest zwei redundant betriebenen Speicherbereiche ausliest und miteinander vergleicht
und die ausgelesenen Daten an den unsicheren Bedienplatzrechner lediglich dann weiterleitet,
wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.
[0012] Der Vergleichsbaustein ist vorzugsweise eine separate Komponente, die in keinem der
Bedienplatzrechner implementiert ist. Alternativ kann der Vergleichsbaustein auch
in dem sicheren Bedienplatzrechner integriert sein.
[0013] Bezüglich der Ausgestaltung des sicheren Bedienplatzrechners wird es als vorteilhaft
angesehen, wenn der sichere Bedienplatzrechner zumindest zwei redundant arbeitende
Rechnereinheiten umfasst, die zumindest zwei redundant arbeitenden Rechnereinheiten
des sicheren Bedienplatzrechners nach Erhalt eines sicherheitsrelevanten Bedienbefehls
des unsicheren Bedienplatzrechners jeweils eine Bestätigungsaufforderung an den unsicheren
Bedienplatzrechner übersenden, und zwar über den Vergleichsbaustein, und der Vergleichsbaustein
derart ausgestaltet ist, dass er die Bestätigungsaufforderungen der zumindest zwei
redundant arbeitenden Rechnereinheiten des sicheren Bedienplatzrechners miteinander
vergleicht und an den unsicheren Bedienplatzrechner lediglich dann weiterleitet, wenn
diese übereinstimmen, und andernfalls eine Weiterleitung blockiert. Durch das Erfordernis
der Bestätigungsaufforderungen wird erreicht, dass der Vergleichsbaustein die Tätigkeit
der zwei redundant arbeitenden Rechnereinheiten überprüfen und eingreifen kann, wenn
sich anhand der Bestätigungsaufforderungen der zwei redundant arbeitenden Rechnereinheiten
erkennen lässt, dass diese voneinander abweichende Ergebnisse produzieren.
[0014] Mit Blick auf eine Kontrolle der Arbeitsweise der redundant arbeitenden Rechnereinheiten
des sicheren Bedienplatzrechners wird es darüber hinaus als vorteilhaft angesehen,
wenn der Vergleichsbaustein auch die Schnittstelle zwischen dem Stellwerksrechner
und dem sicheren Bedienplatzrechner überwacht. Demgemäß wird es als vorteilhaft angesehen,
wenn der Vergleichsbaustein Steuersignale, die ein Umstellen der technischen Anlage
bewirken würden, der zumindest zwei redundant arbeitenden Rechnereinheiten des sicheren
Bedienplatzrechners miteinander vergleicht und an den Stellwerksrechner lediglich
dann weiterleitet oder weiterleiten lässt, wenn diese übereinstimmen, und andernfalls
eine Weiterleitung blockiert.
[0015] Die Erfindung bezieht sich darüber hinaus auf ein Verfahren zum Steuern einer technischen
Anlage, insbesondere einer Eisenbahngleisanlage, wobei mit einem Bedienplatzrechner
Bedienbefehle erzeugt und zu einem mit der technischen Anlage in Verbindung stehenden
Stellwerksrechner übermittelt werden und mit dem Stellwerksrechner ein Umstellen der
technischen Anlage veranlasst wird.
[0016] Demnach ist es vorgesehen, dass die Bedienbefehle mit einem unsicheren Bedienplatzrechner,
dessen Sicherheitsniveau einen vorgegebenen Mindeststandard unterschreitet, erzeugt
und über einen sicheren Bedienplatzrechner, dessen Sicherheitsniveau den vorgegebenen
Mindeststandard erreicht, zu dem Stellwerksrechner übermittelt werden.
[0017] Bezüglich der Vorteile des erfindungsgemäßen Verfahrens sei auf die obigen Ausführungen
im Zusammenhang mit der erfindungsgemäßen Anordnung verwiesen, da die Vorteile der
erfindungsgemäßen Anordnung denen des erfindungsgemäßen Verfahrens im Wesentlichen
entsprechen.
[0018] Als vorteilhaft wird es angesehen, wenn in dem sicheren Bedienplatzrechner ein den
Zustand der technischen Anlage beschreibender Datensatz zentral gespeichert wird,
mit dem unsicheren Bedienplatzrechner unter Heranziehung des in dem sicheren Bedienplatzrechner
gespeicherten Datensatzes und einer vom Bediener des unsicheren Rechners vorgegebenen
Darstellungsweise bedienerindividuelle Anzeigesteuersignale, die zu einer bedienerindividuellen
Anzeige des durch den Datensatz definierten Zustands der technischen Anlage führen,
erzeugt werden und die Anzeigesteuersignale auf einer mit dem unsicheren Bedienplatzrechner
verbundenen Anzeigeeinrichtung angezeigt werden.
[0019] Darüber hinaus wird es als vorteilhaft angesehen, wenn der den Zustand der technischen
Anlage beschreibende Datensatz redundant in zumindest zwei Speicherbereichen gespeichert
wird und Daten des den Zustand der technischen Anlage beschreibenden Datensatzes zwecks
Übertragung zum unsicheren Bedienrechner jeweils aus jedem der zumindest zwei Speicherbereiche
ausgelesen und miteinander verglichen werden und die ausgelesenen Daten an den unsicheren
Bedienplatzrechner lediglich dann weitergeleitet werden, wenn diese übereinstimmen,
und andernfalls eine Weiterleitung blockiert wird.
[0020] Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen näher erläutert;
dabei zeigen beispielhaft
- Figur 1
- ein erstes Ausführungsbeispiel für eine Anordnung zum Steuern einer technischen Anlage,
wobei anhand der Anordnung auch das erfindungsgemäße Verfahren beispielhaft erläutert
wird,
- Figur 2
- die Arbeitsweise der Anordnung gemäß Figur 1 im Falle eines an einem unsicheren Bedienplatzrechner
eingegebenen sicherheitsrelevanten Bedienbefehls,
- Figur 3
- ein zweites Ausführungsbeispiel für eine erfindungsgemäße Anordnung und
- Figur 4
- ein drittes Ausführungsbeispiel für eine erfindungsgemäße Anordnung, bei der ein Vergleichsbaustein
in einem sicheren Bedienplatzrechner integriert ist.
[0021] In den Figuren werden der Übersicht halber für identische oder vergleichbare Komponenten
stets dieselben Bezugszeichen verwendet.
[0022] In der Figur 1 erkennt man eine Anordnung 10 zum Steuern einer technischen Anlage
20, bei der es sich beispielsweise um eine Eisenbahngleisanlage handeln kann. Die
Anordnung 10 umfasst einen Stellwerksrechner 25, einen sicheren Bedienplatzrechner
30 sowie zwei unsichere Bedienplatzrechner 40 und 50. Mit den drei Bedienplatzrechnern
30, 40 und 50 steht jeweils eine Anzeigeeinrichtung 60, 70 bzw. 80 in Verbindung.
[0023] Die beiden unsicheren Bedienplatzrechner 40 und 50 stehen über einen Vergleichsbaustein
90 mit dem sicheren Bedienplatzrechner 30 in Verbindung; über den Vergleichsbaustein
90 ist eine mittelbare Verbindung zwischen den beiden unsicheren Bedienplatzrechnern
40 und 50 und dem Stellwerksrechner 25 möglich.
[0024] Die Figur 1 zeigt beispielhaft den Aufbau des sicheren Bedienplatzrechners 30 näher
im Detail. Man erkennt zwei Speicherbereiche 100 und 110, die zum Speichern eines
den Zustand der technischen Anlage 20 beschreibenden Datensatzes DS bestimmt sind.
Der Datensatz DS ist in dem sicheren Bedienplatzrechner 30 also zweimal bzw. redundant
abgespeichert, und zwar sowohl in dem Speicherbereich 100 als auch in dem Speicherbereich
110.
[0025] Darüber hinaus weist der sichere Bedienplatzrechner 30 zwei redundant arbeitende
Rechnereinheiten 120 und 130 auf, die mit dem Vergleichsbaustein 90 in Verbindung
stehen.
[0026] Die beiden Rechnereinheiten 120 und 130 können durch physikalisch separate Prozessoren
bzw. Prozessoreinrichtungen gebildet sein; alternativ ist es möglich, die beiden Rechnereinheiten
120 und 130 lediglich softwaremäßig abzubilden bzw. nachzubilden und durch auf ein
und derselben Prozessoreinrichtung laufende separate Softwaremodule zu realisieren.
[0027] In dem sicheren Bedienplatzrechner 30 sowie in den beiden unsicheren Bedienplatzrechnern
40 und 50 ist jeweils ein Anzeigesoftwaremodul ASM vorgesehen, das eine Anzeige des
Zustands der technischen Anlage 20 auf der jeweils nachgeordneten Anzeigeeinrichtung
60, 70 oder 80 ermöglicht.
[0028] Bei dem Ausführungsbeispiel gemäß Figur 1 ist das Anzeigesoftwaremodul ASM des sicheren
Bedienplatzrechners 30 in einem separaten Speicherbereich 140 gespeichert; alternativ
kann das Anzeigesoftwaremodul ASM auch in dem Speicherbereich 100 oder dem Speicherbereich
110 gespeichert sein.
[0029] Das Anzeigesoftwaremodul ASM des sicheren Bedienplatzrechners 30 kann beispielsweise
von einer separaten Rechnereinheit 150 ausgeführt werden, wie dies in der Figur 1
angedeutet ist. Alternativ kann das Anzeigesoftwaremodul ASM des sicheren Bedienplatzrechners
30 auch durch eine der beiden Rechnereinheiten 120 oder 130 oder redundant durch beide
Rechnereinheiten 120 und 130 ausgeführt werden.
[0030] Die in der Figur 1 dargestellten drei Speicherbereiche 100, 110 und 140 des sicheren
Bedienplatzrechners 30 können in physikalisch separaten Speichern angesiedelt sein;
alternativ können sie sich auch in Abschnitten ein und desselben physikalischen Speichers
befinden.
[0031] Im Folgenden soll die Arbeitsweise der Anordnung 10 gemäß Figur 1 mit Blick auf die
Anzeige des Zustands der technischen Anlage 20 beispielhaft näher erläutert werden.
[0032] Soll beispielsweise der Zustand der technischen Anlage 20 auf der Anzeigeeinrichtung
80 angezeigt werden, so kann eine Bedienperson an dem unsicheren Bedienplatzrechner
50 ein Bediensignal BS3 eingeben, mit dem dem Anzeigesoftwaremodul ASM eine benutzerindividuelle
Darstellungsweise des Zustands der technischen Anlage 20 vorgegeben bzw. beschrieben
wird. Das Anzeigesoftwaremodul ASM wertet das Bediensignal BS3 aus und erzeugt ausgangsseitig
ein bedienerindividuelles Anzeigesteuersignal AS3, mit dem die Anzeigeeinrichtung
80 angesteuert wird und der Zustand der technischen Anlage 20 gemäß den Vorgaben der
Bedienperson angezeigt wird. Beispielsweise kann mit dem Bediensignal BS3 der Zoomfaktor
oder der auf der Anzeigeeinrichtung 80 gezeigte Ausschnitt benutzerindividuell verändert
werden.
[0033] Die Eingabe des Bediensignals BS3 in das Anzeigesoftwaremodul ASM kann über ein nicht
gezeigtes Vorverarbeitungssoftwaremodul erfolgen, beispielsweise in Textform. Ein
Beispiel für eine solche Textform kann beispielsweise lauten:
"acknowledge(success, "setDynamicObjectLengthOn-Path(Train01, 15) ") ()
acknowledge(success, "setAttribute(Train01, z, 10) ") ()
acknowledge(success, "proceduralGraphicObjectCommand(Train01,
setLineThickness, 9)")()
acknowledge(success, "proceduralGraphicObjectCommand(Train01, setTextureType,
SHADED_TWO_COLORS_ARROW, 255, 255, 255, 255, 255, 0, 0, 0)")()
leaveMouseOver(Lupe, Lupenbild)(16)
enterMouseOver(Lupe, Lupenbild)(15)
leaveMouseOver(Lupe, Lupenbild)(15)
enterMouseOver(Lupe, Lupenbild)(16)
mouseEvent(Lupe, Lupenbild, MouseButtonPress, Left-Button, 441, 588)(16)
mouseEvent(Lupe, Lupenbild, MouseButtonRelease, Left-Button, 441, 588) (16)"
[0034] Die Daten D, mit denen der Zustand der technischen Anlage 20 beschrieben wird, stammen
dabei aus dem Datensatz DS, der in redundanter Weise in den beiden Speicherbereichen
100 und 110 des sicheren Bedienplatzrechners 30 abgespeichert ist. Um sicherzustellen,
dass die Daten D tatsächlich den richtigen aktuellen Zustand der technischen Anlage
20 beschreiben, werden die Daten D aus den beiden Speicherbereichen 100 und 110 vom
Vergleichsbaustein 90 auf Identität überprüft. Um diese Überprüfung zu ermöglichen,
wird der Vergleichsbaustein 90 die Daten D, die aus den beiden Datensätzen DS der
beiden Speicherbereiche 100 und 110 kommen, zunächst vergleichen und ausschließlich
dann an das Anzeigesoftwaremodul ASM des unsicheren Bedienplatzrechners 50 weiterleiten,
wenn die Daten D identisch sind.
[0035] Die den Zustand der technischen Anlage beschreibenden Daten D können beispielsweise
in Textform übertragen werden. Zur Definition eines Zuges auf einem Streckenabschnitt
der technischen Anlage 20 können beispielsweise folgende Daten übertragen werden:
"createProceduralGraphicObject(cTARGET_WIDGET, Train01, AnimatedMovingObject)
setDynamicObjectLengthOnPath(Train01, 15)
setAttribute(Train01, z, 10)"
[0036] Mit Hilfe des Vergleichsbausteins 90 ist somit sichergestellt, dass auf der Anzeigeeinrichtung
80 ausschließlich Daten angezeigt werden, die dem tatsächlichen aktuellen Zustand
der technischen Anlage 20 entsprechen.
[0037] In entsprechender Weise kann der Zustand der technischen Anlage 20 auf den Anzeigeeinrichtungen
60 und 70 angezeigt werden, indem entsprechende Bediensignale BS1 oder BS2 in den
sicheren Bedienplatzrechner 30 bzw. den unsicheren Bedienplatzrechner 40 eingegeben
werden und entsprechende Anzeigesteuersignale AS1 und AS2 erzeugt werden. Beide Bedienplatzrechner
30 und 40 sind jeweils mit einem Anzeigesoftwaremodul ASM ausgestattet, das das jeweils
anliegende Bediensignal BS1 bzw. BS2 auswertet und auf der Basis der bedienerseitig
gewünschten Darstellungsweise den Zustand der technischen Anlage 20 auf der jeweiligen
Anzeigeeinrichtung 60 oder 70 anzeigt.
[0038] Auch bei den Anzeigesoftwaremodulen ASM der beiden Bedienplatzrechner 30 und 40 wird
dabei stets auf dieselben Datensätze DS zurückgegriffen, die auch von dem Bedienplatzrechner
50 - wie oben beschrieben - verwertet werden; mit anderen Worten werden die Datensätze
DS, die die Daten D über den Zustand der technischen Anlage 20 enthalten, ausschließlich
zentral gespeichert und verwaltet und von einem zentralen Punkt aus an die Anzeigesoftwaremodule
ASM der jeweiligen Bedienplatzrechner 30, 40 und 50 übermittelt.
[0039] Die Daten D, die von den Anzeigesoftwaremodulen ASM des Bedienplatzrechners 30 oder
des Bedienplatzrechners 40 angezeigt werden, werden von dem Vergleichsbaustein 90
ebenfalls auf Korrektheit überprüft, wie dies im Zusammenhang mit dem Bedienplatzrechner
50 oben bereits beschrieben worden ist. Dies bedeutet, dass auch bei den Anzeigesoftwaremodulen
ASM der beiden Bedienplatzrechner 30 und 40 der Vergleichsbaustein 90 beim Auslesen
der Daten D aus den beiden Speicherbereichen 100 und 110 eine Überprüfung der Daten
auf Identität vornimmt und lediglich dann, wenn die Daten D aus den beiden Speicherbereichen
100 und 110 übereinstimmen, eine Weiterleitung der Daten an die jeweiligen Anzeigesoftwaremodule
ASM vornehmen wird.
[0040] Die Figur 2 zeigt beispielhaft die Funktionsweise der Anordnung 10 gemäß Figur 1,
wenn mit Hilfe eines der beiden unsicheren Bedienplatzrechner 40 und 50 ein sicherheitsrelevanter
Bedienbefehl BB erzeugt wird, mit dem eine Umstellung der technischen Anlage 20 durch
den Stellwerksrechner 25 erfolgen soll. Nach Erhalt des sicherheitsrelevanten Bedienbefehls
BB werden die beiden Rechnereinheiten 120 und 130 den Bedienbefehl auswerten und eine
Bestätigungsaufforderung BSA erzeugen und über den Vergleichsbaustein 90 an den unsicheren
Bedienplatzrechner 50 senden. Der Vergleichsbaustein 90 wird dabei die Bestätigungsaufforderungen
BSA der beiden Rechnereinheiten 120 und 130 auf Identität bzw. inhaltliche Übereinstimmung
hin überprüfen und lediglich dann, wenn die beiden Bestätigungsaufforderungen BSA
übereinstimmen, eine Weiterleitung an den unsicheren Bedienplatzrechner 50 vornehmen.
[0041] Andernfalls, wenn die beiden Bestätigungsaufforderungen BSA unterschiedlich sind,
wird der Vergleichsbaustein 90 eine Weiterleitung unterbinden. In dieser Weise wird
sichergestellt, dass die Abarbeitung eines sicherheitsrelevanten Bedienbefehls BB
nur dann erfolgen kann, wenn die beiden Rechnereinheiten 120 und 130 den sicherheitsrelevanten
Bedienbefehl BB in gleicher Weise verstehen und mit gleichen Bestätigungsaufforderungen
BSA quittieren.
[0042] Sobald der unsichere Bedienplatzrechner 50 die Bestätigungsaufforderung BSA erhalten
und mittels eines bedienerinitiierten Bestätigungssignals BSS inhaltlich bestätigt
hat, werden die beiden Rechnereinheiten 120 und 130 eine Umsetzung des sicherheitsrelevanten
Bedienbefehls BB vornehmen und ein Steuersignal STB erzeugen, das zum Stellwerksrechner
25 übermittelt wird. Mit dem Steuersignal STB wird dem Stellwerksrechner 25 mitgeteilt,
dass die technische Anlage 20 umgestellt werden soll. Die Umstellung der technischen
Anlage 20 wird dann vom Stellwerksrechner 25 vorgenommen.
[0043] Die Datenübertragung des Steuersignals STB vom sicheren Bedienplatzrechner 30 zum
Stellwerksrechner 25 erfolgt über eine sichere Datenverbindung 200, um eine Verfälschung
des Befehls zu vermeiden.
[0044] Um sicherzugehen, dass die beiden Rechnereinheiten 120 und 130 den sicherheitsrelevanten
Bedienbefehl BB des Bedienplatzrechners 50 richtig umsetzen und ein korrektes Steuersignal
STB für den Stellwerksrechner 25 erzeugen, kann eine Kontrolle der Arbeitsergebnisse
der beiden Rechnereinheiten 120 und 130 durch den Vergleichsbaustein 90 erfolgen.
Vorzugsweise wird der Vergleichsbaustein 90 die Erzeugung bzw. Weitergabe des Steuersignals
STB über die sichere Datenverbindung 200 blockieren, wenn die beiden Rechnereinheiten
120 und 130 unterschiedliche Ergebnisse und unterschiedliche Steuersignale STB liefern.
[0045] Die Figur 3 zeigt ein zweites Ausführungsbeispiel für eine Anordnung 10 zum Steuern
einer technischen Anlage 20. Im Unterschied zu dem Ausführungsbeispiel gemäß Figur
1 sind an dem sicheren Bedienplatzrechner 30 zwei Anzeigeeinrichtungen 60 und 61 angeschlossen,
die jeweils von einem zugeordneten Anzeigersoftwaremodul ASM angesteuert werden. Die
beiden Anzeigesoftwaremodule ASM können in dem Speicherbereich 100 und/oder dem Speicherbereich
110 oder auch in individuellen Speicherbereichen abgespeichert sein. Bei dem Ausführungsbeispiel
gemäß Figur 3 wird davon ausgegangen, dass die beiden Anzeigesoftwaremodule ASM jeweils
in individuellen Speicherbereichen 140 und 141 abgespeichert sind und von Rechnereinheiten
150 und 151 ausgeführt werden.
[0046] Durch die Ausstattung des sicheren Bedienplatzrechners 30 mit zwei Anzeigesoftwaremodulen
ASM ist es möglich, unterschiedliche Darstellungen des Zustands der technischen Anlage
20 auf den beiden Anzeigeeinrichtungen 60 und 61 vorzusehen, in dem unterschiedliche
Bediensignale BS1 und BS1' in die Anzeigesoftwaremodule ASM eingegeben werden. In
dieser Weise ist es einer Bedienperson beispielsweise möglich, die Korrektheit der
Arbeitsweise der Anzeigesoftwaremodule ASM zu überprüfen.
[0047] Um auch für die beiden Anzeigesoftwaremodule ASM des sicheren Bedienplatzrechners
30 eine Kontrolle der Daten D, die den Zustand der technischen Anlage 20 anzeigen,
zu ermöglichen, werden die Daten D von den beiden Speicherbereichen 100 und 110 nicht
unmittelbar zu den Anzeigesoftwaremodulen ASM übermittelt, sondern nur mittelbar über
den Vergleichsbaustein 90. Ausschließlich dann, wenn die Daten D aus den beiden Speicherbereichen
100 und 110 übereinstimmen, wird der Vergleichsbaustein 90 die Daten D an die beiden
Anzeigesoftwaremodule ASM im sicheren Bedienplatzrechner 30 weiterleiten, so dass
auch nur dann eine Anzeige auf den beiden Anzeigeeinrichtungen 60 und 61 erfolgen
kann. Bezüglich der gesicherten Darstellung des Zustands der technischen Anlage 20
entspricht die Arbeitsweise der Anordnung 10 gemäß Figur 3 somit der Anordnung 10
gemäß Figur 1, so dass auf die obigen Ausführungen verwiesen sei.
[0048] Die Figur 4 zeigt ein drittes Ausführungsbeispiel für eine Anordnung 10 zum Steuern
einer technischen Anlage 20. Die Anordnung 10 gemäß Figur 4 entspricht im Wesentlichen
dem Ausführungsbeispiel gemäß Figur 3 mit dem Unterschied, dass der Vergleichsbaustein
90 keine separate Komponente ist, sondern stattdessen in dem sicheren Bedienplatzrechner
30 integriert ist.
[0049] Der Vergleichsbaustein 90 kann in Form eines Softwaremoduls realisiert sein, das
von einem der beiden Rechnereinheiten 120 oder 130 ausgeführt wird. Alternativ kann
der Vergleichsbaustein 90 durch eine separate Hardwarekomponente gebildet sein, die
in dem sicheren Bedienplatzrechner 30 vorgesehen wird.
[0050] Obwohl die Erfindung im Detail durch bevorzugte Ausführungsbeispiele näher illustriert
und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele
eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden,
ohne den Schutzumfang der Erfindung zu verlassen.
Bezugszeichenliste
[0051]
- 10
- Anordnung
- 20
- technische Anlage
- 25
- Stellwerksrechner
- 30
- sicherer Bedienplatzrechner
- 40
- unsicherer Bedienplatzrechner
- 50
- unsicherer Bedienplatzrechner
- 60
- Anzeigeeinrichtung
- 61
- Anzeigeeinrichtung
- 70
- Anzeigeeinrichtung
- 80
- Anzeigeeinrichtung
- 90
- Vergleichsbaustein
- 100
- Speicherbereich
- 110
- Speicherbereich
- 120
- Rechnereinheit
- 130
- Rechnereinheit
- 140
- Speicherbereich
- 141
- Speicherbereich
- 150
- Rechnereinheit
- 151
- Rechnereinheit
- 200
- Datenverbindung
- ASM
- Anzeigesoftwaremodul
- AS1-AS3
- Anzeigesteuersignal
- BB
- Bedienbefehl
- BSA
- Bestätigungsaufforderung
- BSS
- Bestätigungssignal
- BS1
- Bediensignal
- BS1'
- Bediensignal
- BS2
- Bediensignal
- BS3
- Bediensignal
- D
- Daten
- DS
- Datensatz
- STB
- Steuersignal
1. Anordnung (10) zum Steuern einer technischen Anlage (20), insbesondere einer Eisenbahngleisanlage,
wobei die Anordnung (10) einen Stellwerksrechner (25), der ein Umstellen der technischen
Anlage (20) veranlassen kann, und mindestens zwei Bedienplatzrechner (30, 40, 50)
umfasst, mit denen Bedienbefehle (BB) erzeugt und zu dem Stellwerksrechner (25) übermittelt
werden können,
wobei
- von den Bedienplatzrechnern (30, 40, 50) zumindest ein Bedienplatzrechner (30) ein
sicherer Bedienplatzrechner (30) ist, dessen Sicherheitsniveau einen vorgegebenen
Mindeststandard erreicht, und zumindest ein Bedienplatzrechner (40, 50) ein unsicherer
Bedienplatzrechner (40, 50) ist, dessen Sicherheitsniveau den vorgegebenen Mindeststandard
unterschreitet,
- der sichere Bedienplatzrechner (30) mit dem Stellwerksrechner (25) über eine sichere
Datenverbindung (200), die eine vorgegebene Übertragungssicherheit gewährleistet,
verbunden ist, und
- der zumindest eine unsichere Bedienplatzrechner (40, 50) mittelbar mit dem Stellwerksrechner
(25) verbunden ist, nämlich über den sicheren Bedienplatzrechner (30), und die Bedienbefehle
(BB) des unsicheren Bedienplatzrechners (40, 50) zu dem sicheren Bedienplatzrechner
(30) und über diesen und die sichere Datenverbindung (200) zu dem Stellwerksrechner
(25) übermittelt werden.
2. Anordnung (10) nach Anspruch 1,
dadurch gekennzeichnet, dass
- in dem sicheren Bedienplatzrechner (30) ein den Zustand der technischen Anlage (20)
beschreibender Datensatz (DS) zentral gespeichert ist und
- der unsichere Bedienplatzrechner (40, 50) derart programmiert ist, dass er unter
Heranziehung des in dem sicheren Bedienplatzrechner (30) gespeicherten Datensatzes
(DS) und einer vom Bediener des unsicheren Bedienplatzrechners (40, 50) vorgegebenen
Darstellungsweise bedienerindividuelle Anzeigesteuersignale (AS1-AS3) erzeugt, die
zu einer bedienerindividuellen Anzeige des durch den Datensatz (DS) definierten Zustands
der technischen Anlage (20) auf einer mit dem unsicheren Bedienplatzrechner (40, 50)
verbundenen Anzeigeeinrichtung (70, 80) führen.
3. Anordnung (10) nach Anspruch 2,
dadurch gekennzeichnet, dass der sichere Bedienplatzrechner (30) zumindest zwei redundant betriebene Speicherbereiche
(100, 110) umfasst, in denen jeweils der den Zustand der technischen Anlage (20) beschreibende
Datensatz (DS) gespeichert ist.
4. Anordnung (10) nach Anspruch 3,
dadurch gekennzeichnet, dass
- zwischen dem sicheren und dem unsicheren Bedienplatzrechner (30, 40, 50) ein Vergleichsbaustein
(90) angeordnet ist und
- der Vergleichsbaustein (90) derart ausgestaltet ist, dass er Daten (D) des den Zustand
der technischen Anlage (20) beschreibenden Datensatzes (DS) zwecks Übertragung zum
unsicheren Bedienplatzrechner (40, 50) jeweils aus jedem der zumindest zwei redundant
betriebenen Speicherbereiche (100, 110) ausliest und miteinander vergleicht und die
ausgelesenen Daten (D) an den unsicheren Bedienplatzrechner (40, 50) lediglich dann
weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.
5. Anordnung (10) nach einem der voranstehenden Ansprüche,
dadurch gekennzeichnet, dass
- der sichere Bedienplatzrechner (30) zumindest zwei redundant arbeitende Rechnereinheiten
(120, 130) umfasst,
- die zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren
Bedienplatzrechners (30) nach Erhalt eines sicherheitsrelevanten Bedienbefehls (BB)
des unsicheren Bedienplatzrechners (40, 50) jeweils eine Bestätigungsaufforderung
(BSA) an den unsicheren Bedienplatzrechner (40, 50) übersenden, und zwar über den
Vergleichsbaustein (90), und
- der Vergleichsbaustein (90) derart ausgestaltet ist, dass er die Bestätigungsaufforderungen
(BSA) der zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren
Bedienplatzrechners (30) miteinander vergleicht und an den unsicheren Bedienplatzrechner
(40, 50) lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine
Weiterleitung blockiert.
6. Anordnung (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass der Vergleichsbaustein (90) Steuersignale (STB), die ein Umstellen der technischen
Anlage (20) bewirken würden, der zumindest zwei redundant arbeitenden Rechnereinheiten
(120, 130) des sicheren Bedienplatzrechners (30) miteinander vergleicht und an den
Stellwerksrechner (25) lediglich dann weiterleitet oder weiterleiten lässt, wenn diese
übereinstimmen, und andernfalls eine Weiterleitung blockiert.
7. Verfahren zum Steuern einer technischen Anlage (20), insbesondere einer Eisenbahngleisanlage,
wobei mit einem Bedienplatzrechner (30, 40, 50) Bedienbefehle (BB) erzeugt und zu
einem mit der technischen Anlage (20) in Verbindung stehenden Stellwerksrechner (25)
übermittelt werden und mit dem Stellwerksrechner (25) ein Umstellen der technischen
Anlage (20) veranlasst wird,
wobei
die Bedienbefehle (BB) mit einem unsicheren Bedienplatzrechner (40, 50), dessen Sicherheitsniveau
einen vorgegebenen Mindeststandard unterschreitet, erzeugt und über einen sicheren
Bedienplatzrechner (30), dessen Sicherheitsniveau den vorgegebenen Mindeststandard
erreicht, zu dem Stellwerksrechner (25) übermittelt werden.
8. Verfahren nach Anspruch 7,
dadurch gekennzeichnet, dass
- in dem sicheren Bedienplatzrechner (30) ein den Zustand der technischen Anlage (20)
beschreibender Datensatz (DS) zentral gespeichert wird,
- mit dem unsicheren Bedienplatzrechner (40, 50) unter Heranziehung des in dem sicheren
Bedienplatzrechner (30) gespeicherten Datensatzes (DS) und einer vom Bediener des
unsicheren Rechners vorgegebenen Darstellungsweise bedienerindividuelle Anzeigesteuersignale
(AS1-AS3), die zu einer bedienerindividuellen Anzeige des durch den Datensatz (DS)
definierten Zustands der technischen Anlage (20) führen, erzeugt werden und
- die Anzeigesteuersignale (AS1-AS3) auf einer mit dem unsicheren Bedienplatzrechner
(40, 50) verbundenen Anzeigeeinrichtung (70, 80) angezeigt werden.
9. Verfahren nach Anspruch 8,
dadurch gekennzeichnet, dass
- der den Zustand der technischen Anlage (20) beschreibende Datensatz (DS) redundant
in zumindest zwei Speicherbereichen (100, 110) gespeichert wird und
- Daten (D) des den Zustand der technischen Anlage (20) beschreibenden Datensatzes
(DS) zwecks Übertragung zum unsicheren Bedienplatzrechner (40, 50) jeweils aus jedem
der zumindest zwei Speicherbereiche (100, 110) ausgelesen und miteinander verglichen
werden und die ausgelesenen Daten (D) an den unsicheren Bedienplatzrechner (40, 50)
lediglich dann weiterleitet werden, wenn diese übereinstimmen, und andernfalls eine
Weiterleitung blockiert wird.
1. Assembly (10) for controlling a technical system (20), in particular a system of railway
tracks, wherein the assembly (10) comprises an interlocking computer (25), which can
trigger a change in the technical system (20), and at least two operator workstation
computers (30, 40, 50), with which control commands (BB) can be generated and transferred
to the interlocking computer (25),
wherein
- of the operator workstation computers (30, 40, 50), at least one operator workstation
computer (30) is a secure operator workstation computer (30), the security level of
which reaches a predetermined minimum standard, and at least one operator workstation
computer (40, 50) is an unsecured operator workstation computer (40, 50), the security
level of which does not reach the predetermined minimum standard,
- the secure operator workstation computer (30) is connected to the interlocking computer
(25) by way of a secure data link (200), which ensures a predetermined transmission
security, and
- the at least one unsecured operator workstation computer (40, 50) is indirectly
connected to the interlocking computer (25), namely by way of the secure operator
workstation computer (30), and the control commands (BB) of the unsecured operator
workstation computer (40, 50) are transferred to the secure operator workstation computer
(30) and by way of this and the secure data link (200) to the interlocking computer
(25).
2. Assembly (10) according to claim 1,
characterised in that
- in the secure operator workstation computer (30), a data record (DS) describing
the state of the technical system (20) is stored centrally, and
- the unsecured operator workstation computer (40, 50) is programmed such that, by
using the data record (DS) stored in the secure operator workstation computer (30)
and a mode of representation predetermined by the operator of the unsecured operator
workstation computer (40, 50), it generates operator-individual display control signals
(AS1-AS3), which produce an operator-individual display of the state of the technical
system (20) defined by the data record (DS) on a display facility (70, 80) connected
to the unsecured operator workstation computer (40, 50).
3. Assembly (10) according to claim 2,
characterised in that
the secure operator workstation computer (30) comprises at least two redundantly operating
storage areas (100, 110), in which the data record (DS) describing the state of the
technical system (20) is stored in each case.
4. Assembly (10) according to claim 3,
characterised in that
- a compare block (90) is arranged between the secure and the unsecured operator workstation
computer (30, 40, 50) and
- the compare block (90) is embodied such that it reads out, from each of the at least
two redundantly operating storage areas (100, 110), data (D) of the data record (DS)
describing the state of the technical system (20), for the purpose of transmission
to the unsecured operator workstation computer (40, 50) and compares them with one
another and only then forwards the read-out data (D) to the unsecured operator workstation
computer (40, 50) if they correspond and otherwise blocks their forwarding.
5. Assembly (10) according to one of the preceding claims,
characterised in that
- the secure operator workstation computer (30) comprises at least two redundantly
operating computer units (120, 130),
- the at least two redundantly operating computer units (120, 130) of the secure operator
workstation computer (30), after receiving a security-relevant control command (BB)
from the unsecured operator workstation computer (40, 50), conveys a confirmation
request (BSA) to the unsecured operator workstation computer (40, 50) in each case,
namely by way of the compare block (90), and
- the compare block (90) is embodied such that it compares the confirmation requests
(BSA) of the at least two redundantly operating computer units (120, 130) of the secure
operator workstation computer (30) with one another and then only forwards them to
the unsecured operator workstation computer (40, 50) if they correspond and otherwise
blocks their forwarding.
6. Assembly (10) according to one of the preceding claims, characterised in that
the compare block (90) compares control signals (STB), which would effect a change
in the technical system (20), of the at least two redundantly operating computer units
(120, 130) of the secure operator workstation computer (30) with one another and only
then forwards them or allows them to be forwarded to the interlocking computer (25)
if they correspond and otherwise blocks their forwarding.
7. Method for controlling a technical system (20), in particular a system of railway
tracks, wherein control commands (BB) are generated with an operator workstation computer
(30, 40, 50) and transferred to an interlocking computer (25) connected to the technical
system (20) and a change in the technical system (20) is triggered with the interlocking
computer (25),
wherein
the control commands (BB) are generated with an unsecured operator workstation computer
(40, 50), the security level of which does not reach a predetermined minimum standard,
and are transferred to the interlocking computer (25) by way of a secure operator
workstation computer (30), the security level of which reaches the predetermined minimum
standard.
8. Method according to claim 7,
characterised in that
- a data record (DS) describing the state of the technical system (20) is stored centrally
in the secure operator workstation computer (30),
- with the unsecured operator workstation computer (40, 50) using the data record
(DS) stored in the secure operator workstation computer (30) and a mode of representation
predetermined by the operator of the unsecured computer, operator-individual display
control signals (AS1-AS3), which produce an operator-individual display of the state
of the technical system (20) defined by the data record (DS), are generated and
- the display control signals (AS1-AS3) are displayed on a display facility (70, 80)
connected to the unsecured operator workstation computer (40, 50).
9. Method according to claim 8,
characterised in that
- the data record (DS) describing the state of the technical system (20) is stored
redundantly in at least two storage areas (100, 110) and
- data (D) of the data record (DS) describing the state of the technical system (20)
are read out from each of the at least two storage areas (100, 110) respectively for
the purpose of transmission to the unsecured operator workstation computer (40, 50)
and are compared with one another and the read-out data (D) are then forwarded to
the unsecured operator workstation computer (40, 50) if they correspond and otherwise
their forwarding is blocked.
1. Agencement (10) de commande d'une installation (20) technique, notamment d'une installation
de voie de chemin de fer, l'installation (10) comprenant un ordinateur (25) de poste
d'aiguillage, qui peut provoquer un renversement de l'installation (20) technique,
et au moins deux ordinateurs (30, 40, 50) d'emplacement de service, par lesquels des
instructions (BB) de service peuvent être produites et être transmises à l'ordinateur
(25) du poste d'aiguillage, dans lequel
- parmi les ordinateurs (30, 40, 50) d'emplacement de service, au moins un ordinateur
(30) d'emplacement de service est un ordinateur (30) d'emplacement de service sécurisé,
dont le niveau de sécurité atteint une norme minimum donnée à l'avance, et au moins
un ordinateur (40, 50) d'emplacement de service est un ordinateur (40, 50) d'emplacement
de service, dont le niveau de sécurité est inférieur à la norme minimum donnée à l'avance,
- l'ordinateur (30) d'emplacement de service sécurisé est relié à l'ordinateur (25)
du poste d'aiguillage par une liaison (200) de données sécurisée, qui assure une sécurité
de transmission donnée à l'avance et
- le au moins un ordinateur (40, 50) d'emplacement de service non sécurisé est relié
indirectement à l'ordinateur (25) du poste d'aiguillage, à savoir par l'intermédiaire
de l'ordinateur (30) d'emplacement de service sécurisé et les instructions (BB) de
service de l'ordinateur (40, 50) d'emplacement de service non sécurisées sont transmises
à l'ordinateur (30) d'emplacement de service sécurisé et par celui-ci et par la liaison
(200) de données sécurisée à l'ordinateur (25) du poste d'aiguillage.
2. Agencement (10) suivant la revendication 1,
caractérisé en ce que
- un jeu (DS) de données décrivant l'état de l'installation (10) technique est mémorisé
de manière centrale dans l'ordinateur (30) d'emplacement de service sécurisé et
- l'ordinateur (40, 50) d'emplacement de service non sécurisé est programmé de manière
à produire, en tirant parti du jeu (DS) de données mémorisé dans l'ordinateur (30)
d'emplacement de service sécurisé et d'un mode de représentation donné à l'avance
par l'opérateur de l'ordinateur (40, 50) d'emplacement de service non sécurisé, des
signaux (AS1 à AS3) de commande d'affichage individuels à l'opérateur, qui donnent
un affichage individuel à l'opérateur, de l'état, défini par le jeu (DS) de données,
de l'installation (20) technique à un dispositif (70, 80) d'affichage relié à l'ordinateur
(40, 50) d'emplacement de service non sécurisé.
3. Agencement (10) suivant la revendication 2,
caractérisé en ce que l'ordinateur (30) d'emplacement de service sécurisé comprend au moins deux zones
(100, 110) de mémoire fonctionnant de manière redondante, dans lesquelles est mémorisé
respectivement le jeu (DS) de données décrivant l'état de l'installation (20) technique.
4. Agencement (10) suivant la revendication 3,
caractérisé en ce que
- un module (90) de comparaison est disposé entre l'ordinateur (30) d'emplacement
de service sécurisé et l'ordinateur (40, 50) d'emplacement de service non sécurisé
et
- le module (90) de comparaison est conformé de manière à déchiffrer des données du
jeu (DS) de données décrivant l'état de l'installation (20) technique en vue de la
transmission à l'ordinateur 40, 50) d'emplacement de service non sécurisé respectivement
à partir de chacune des au moins deux zones (100, 110) de mémoire fonctionnant de
manière redondante et à les comparer entre elles et à acheminer les données (D) déchiffrées
à l'ordinateur (40, 50) d'emplacement de service non sécurisé, seulement si elles
coïncident, et sinon à empêcher un acheminement.
5. Agencement (10) suivant l'une des revendications précédentes,
caractérisé en ce que
- l'ordinateur (30) d'emplacement de service sécurisé comprend au moins deux unités
(120, 130) d'ordinateur fonctionnant de manière redondante,
- les au moins deux unités (120, 130) d'ordinateur fonctionnant de manière redondante
de l'ordinateur (30) d'emplacement de service sécurisé envoie, après avoir reçu une
instruction (BB) de service pertinente du point de vue de la sécurité de l'ordinateur
(40, 50) d'emplacement de service non sécurisé, respectivement une demande (BSA) de
confirmation à l'ordinateur (40, 50) d'emplacement de service non sécurisé et cela
par l'intermédiaire du module (90) de comparaison et
- le module (90) de comparaison est conformé de manière à comparer entre elles les
demandes (BSA) de confirmation des au moins deux unités (120, 130) d'ordinateur fonctionnant
de manière redondante de l'ordinateur (30) d'emplacement de service sécurisé et à
les acheminer à l'ordinateur (40, 50) d'emplacement de service non sécurisé, seulement
si elles coïncident, sinon à empêcher un acheminement.
6. Agencement (10) suivant l'une des revendications précédentes, caractérisé en ce que
le module (90) de comparaison compare entre eux des signaux (STB) de commande, qui
auraient provoqué un renversement de l'installation (20) technique, des au moins deux
unités (120, 130) d'ordinateur fonctionnant de manière redondante de l'ordinateur
(30) d'emplacement de service sécurisé et les achemine ou les laisse s'acheminer à
l'ordinateur (25) du poste d'aiguillage, seulement s'ils coïncident, et sinon empêchent
un acheminement.
7. Procédé de commande d'une installation (20) technique, notamment d'une installation
de voie de chemin de fer, dans lequel,
par un ordinateur (30, 40, 50) d'emplacement de service, on produit des instructions
(BB) de service et on les transmet à un ordinateur (25) de poste d'aiguillage en liaison
avec l'installation (20) technique et on provoque un renversement de l'installation
(20) technique par l'ordinateur (25) du poste d'aiguillage,
dans lequel
on produit les instructions (BB) de service par un ordinateur (40, 50) d'emplacement
de service non sécurisé, dont le niveau de sécurité est inférieur à une norme minimum
donnée à l'avance, et on les transmet à l'ordinateur (25) du poste d'aiguillage par
l'intermédiaire d'un ordinateur (30) d'emplacement de service sécurisé, dont le niveau
de sécurité atteint la norme minimum donnée à l'avance.
8. Procédé suivant la revendication 7,
caractérisé en ce que
- on mémorise de manière centrale dans l'ordinateur (30) d'emplacement de service
sécurisé un jeu (DS) de données décrivant l'état de l'installation (20) technique,
- on produit par l'ordinateur (40, 50) d'emplacement de service non sécurisé, en tirant
parti du jeu (DS) de données mémorisées dans l'ordinateur (30) d'emplacement de service
sécurisé et d'un mode de représentation donné à l'avance par l'opérateur de l'ordinateur
non sécurisé, des signaux (AS1 à AS3) de commande d'affichage individuels à l'opérateur,
qui donne un affichage individuel à l'opérateur, de l'état, défini par le jeu (DS)
de données, de l'installation (20) technique et
- on affiche les signaux (AS1 à AS3) de commande d'affichage sur un dispositif (70,
80) d'affichage relié à l'ordinateur (40, 50) d'emplacement de service non sécurisé.
9. Procédé suivant le revendication 8,
caractérisé en ce que
- on mémorise le jeu (DS) de données décrivant l'état de l'installation (20) technique
d'une manière redondante dans au moins deux zones (100, 110) de mémoire et
- on déchiffre et on compare entre elles des données (D) du jeu (DS) de données décrivant
l'état de l'installation (20) technique en vue de la transmission à l'ordinateur (40,
50) d'emplacement de service non sécurisé respectivement de chacune des au moins deux
zones (100, 110) de mémoire et on achemine les données (D) déchiffrées à l'ordinateur
(40, 50) d'emplacement de service non sécurisé, seulement si elles coïncident, et
sinon on empêche un acheminement.