VERFAHREN UND ANORDNUNG ZUM STEUERN EINER TECHNISCHEN ANLAGE

Beschreibung

[0001] Die Erfindung bezieht sich auf eine Anordnung zum Steuern einer technischen Anlage, insbesondere einer Eisenbahngleisanlage, wobei die Anordnung einen Stellwerksrechner, der ein Umstellen der technischen Anlage veranlassen kann, und mindestens zwei Bedienplatzrechner umfasst, mit denen Bedienbefehle erzeugt und zu dem Stellwerksrechner übermittelt werden können.

[0002] Zur Steuerung einer technischen Anlage, insbesondere einer Eisenbahngleisanlage, ist für sicherheitsunkritische Regelbedienungen prinzipiell ein beliebiger Bedienplatzrechner, beispielsweise ein Standard-PC, einsetzbar; ein vorgegebenes Sicherheitsniveau muss in aller Regel nicht erreicht werden, da der zwischen dem Bedienplatzrechner und der technischen Anlage befindliche Stellwerksrechner gefährliche Bedienhandlungen ablehnen kann. Für den Fall, dass mit einem Bedienplatzrechner auch sicherheitsrelevante oder sicherheitskritische Bedienbefehle erzeugt werden sollen und eine Kontrolle durch den Stellwerksrechner unterdrückt oder umgangen werden soll, sind Vorkehrungen zu treffen, die eine Gefahrensituation in der technischen Anlage zuverlässig verhindern.

[0003] Die Patentschrift DE 36 39 788 C1 zeigt eine Anordnung zum Steuern einer Eisenbahngleisanlage, bei der sämtliche Informationen über einen, einem signaltechnisch sicheren Teil einer Eingabeeinrichtung vorgeschalteten signaltechnisch nicht sicheren Teil eingegeben werden, und dass sämtliche Informationen und Kommandos im signaltechnisch sicheren Teil automatisch auf signaltechnisch sichere Relevanz geprüft werden.

[0004] Der Erfindung liegt die Aufgabe zugrunde, eine Anordnung zum Steuern einer technischen Anlage anzugeben, die sich kostengünstig realisieren lässt und dennoch einen hohen Sicherheitsstandard gewährleistet.

[0005] Diese Aufgabe wird erfindungsgemäß durch eine Anordnung mit den Merkmalen gemäß Patentanspruch 1 gelöst. Vorteilhafte Ausgestaltungen der erfindungsgemäßen Anordnung sind in Unteransprüchen angegeben.

[0006] Danach ist vorgesehen, dass von den Bedienplatzrechnern zumindest ein Bedienplatzrechner ein sicherer

[0007] Bedienplatzrechner ist, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard erreicht, und zumindest ein Bedienplatzrechner ein unsicherer Bedienplatzrechner ist, dessen Sicherheitsniveau den vorgegebenen Mindeststandard unterschreitet, der sichere Bedienplatzrechner mit dem Stellwerksrechner über eine sichere Datenverbindung, die eine vorgegebene Übertragungssicherheit gewährleistet, verbunden ist, und der zumindest eine unsichere Bedienplatzrechner mittelbar mit dem Stellwerksrechner verbunden ist, nämlich über den sicheren Bedienplatzrechner, und die Bedienbefehle des unsicheren Rechners zu dem sicheren Bedienplatzrechner und über diesen und die sichere Datenverbindung zu dem Stellwerksrechner übermittelt werden.

[0008] Ein wesentlicher Vorteil der erfindungsgemäßen Anordnung besteht darin, dass bei dieser unsichere Rechner auch zur Erzeugung sicherheitsrelevanter Befehle verwendet werden können. Um ein ausreichendes Sicherheitsniveau zu erreichen, ist nämlich erfindungsgemäß vorgesehen, die Anbindung der unsicheren Rechner an den Stellwerksrechner nicht unmittelbar vorzusehen, sondern mittelbar über zumindest einen sicheren Rechner; dadurch wird gewährleistet, dass Bedienbefehle, insbesondere solche, die sicherheitsrelevant sind, ausschließlich von einem sicheren Rechner unmittelbar an den Stellwerksrechner übermittelt werden können, nicht hingegen unmittelbar von einem unsicheren Rechner. In dieser Weise ist es möglich, die von dem unsicheren Rechner kommenden Bedienbefehle auf Plausibilität und/oder auf Ausführbarkeit zu prüfen, bevor sie an den Stellwerksrechner zur schlussendlichen Umsetzung weitergeleitet werden. Zusammengefasst besteht der erfinderische Gedanke also darin, die Einbindung unsicherer Bedienplatzrechner zu ermöglichen, indem sichere Bedienrechner zwischengeschaltet werden.

[0009] Um sicherzustellen, dass alle Bedienplatzrechner stets auf dieselben Daten, die den Zustand der technischen Anlage anzeigen, zugreifen, wird es als vorteilhaft angesehen, wenn in dem oder einem der sicheren Bedienplatzrechner ein den Zustand der technischen Anlage beschreibender Datensatz zentral gespeichert ist und der unsichere Bedienplatzrechner derart programmiert ist, dass er unter Heranziehung des in dem sicheren Bedienplatzrechner gespeicherten Datensatzes und einer vom Bediener des unsicheren Rechners vorgegebenen Darstellungsweise bedienerindividuelle Anzeigesteuersignale erzeugt, die zu einer bedienerindividuellen Anzeige des durch den Datensatz definierten Zustands der technischen Anlage auf einer mit dem unsicheren Bedienplatzrechner verbundenen Anzeigeeinrichtung führen. Aufgrund der zentralen Speicherung des den Zustand der technischen Anlage beschreibenden Datensatzes ist sichergestellt, dass stets alle Bedienplatzrechner und alle mit den Bedienplatzrechnern verbundenen Anzeigeeinrichtungen stets denselben Datenstand berücksichtigen. Die Richtigkeit der Daten wird dadurch gewährleistet, dass diese in dem sicheren Rechner verwaltet und aktualisiert werden.

[0010] Um sicherzustellen, dass die zentrale Speicherung des Datensatzes in dem sicheren Bedienplatzrechner fehlerfrei erfolgt, wird es als vorteilhaft angesehen, wenn der sichere Bedienplatzrechner zumindest zwei redundant betriebene Speicherbereiche umfasst, in denen jeweils der den Zustand der technischen Anlage beschreibende Datensatz gespeichert ist.

[0011] Eine Kontrolle der in den zwei redundant betriebenen Speicherbereichen abgespeicherten Datensätze auf Übereinstimmung wird vorzugsweise von einem Vergleichsbaustein durchgeführt. Demgemäß wird es als vorteilhaft angesehen, wenn zwischen dem sicheren und dem unsicheren Bedienplatzrechner ein Vergleichsbaustein angeordnet ist und der Vergleichsbaustein derart ausgestaltet ist, dass er Daten des den Zustand der technischen Anlage beschreibenden Datensatzes zwecks Übertragung zum unsicheren Bedienrechner jeweils aus jedem der zumindest zwei redundant betriebenen Speicherbereiche ausliest und miteinander vergleicht und die ausgelesenen Daten an den unsicheren Bedienplatzrechner lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.

[0012] Der Vergleichsbaustein ist vorzugsweise eine separate Komponente, die in keinem der Bedienplatzrechner implementiert ist. Alternativ kann der Vergleichsbaustein auch in dem sicheren Bedienplatzrechner integriert sein.

[0013] Bezüglich der Ausgestaltung des sicheren Bedienplatzrechners wird es als vorteilhaft angesehen, wenn der sichere Bedienplatzrechner zumindest zwei redundant arbeitende Rechnereinheiten umfasst, die zumindest zwei redundant arbeitenden Rechnereinheiten des sicheren Bedienplatzrechners nach Erhalt eines sicherheitsrelevanten Bedienbefehls des unsicheren Bedienplatzrechners jeweils eine Bestätigungsaufforderung an den unsicheren Bedienplatzrechner übersenden, und zwar über den Vergleichsbaustein, und der Vergleichsbaustein derart ausgestaltet ist, dass er die Bestätigungsaufforderungen der zumindest zwei redundant arbeitenden Rechnereinheiten des sicheren Bedienplatzrechners miteinander vergleicht und an den unsicheren Bedienplatzrechner lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert. Durch das Erfordernis der Bestätigungsaufforderungen wird erreicht, dass der Vergleichsbaustein die Tätigkeit der zwei redundant arbeitenden Rechnereinheiten überprüfen und eingreifen kann, wenn sich anhand der Bestätigungsaufforderungen der zwei redundant arbeitenden Rechnereinheiten erkennen lässt, dass diese voneinander abweichende Ergebnisse produzieren.

[0014] Mit Blick auf eine Kontrolle der Arbeitsweise der redundant arbeitenden Rechnereinheiten des sicheren Bedienplatzrechners wird es darüber hinaus als vorteilhaft angesehen, wenn der Vergleichsbaustein auch die Schnittstelle zwischen dem Stellwerksrechner und dem sicheren Bedienplatzrechner überwacht. Demgemäß wird es als vorteilhaft angesehen, wenn der Vergleichsbaustein Steuersignale, die ein Umstellen der technischen Anlage bewirken würden, der zumindest zwei redundant arbeitenden Rechnereinheiten des sicheren Bedienplatzrechners miteinander vergleicht und an den Stellwerksrechner lediglich dann weiterleitet oder weiterleiten lässt, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.

[0015] Die Erfindung bezieht sich darüber hinaus auf ein Verfahren zum Steuern einer technischen Anlage, insbesondere einer Eisenbahngleisanlage, wobei mit einem Bedienplatzrechner Bedienbefehle erzeugt und zu einem mit der technischen Anlage in Verbindung stehenden Stellwerksrechner übermittelt werden und mit dem Stellwerksrechner ein Umstellen der technischen Anlage veranlasst wird.

[0016] Demnach ist es vorgesehen, dass die Bedienbefehle mit einem unsicheren Bedienplatzrechner, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard unterschreitet, erzeugt und über einen sicheren Bedienplatzrechner, dessen Sicherheitsniveau den vorgegebenen Mindeststandard erreicht, zu dem Stellwerksrechner übermittelt werden.

[0017] Bezüglich der Vorteile des erfindungsgemäßen Verfahrens sei auf die obigen Ausführungen im Zusammenhang mit der erfindungsgemäßen Anordnung verwiesen, da die Vorteile der erfindungsgemäßen Anordnung denen des erfindungsgemäßen Verfahrens im Wesentlichen entsprechen.

[0018] Als vorteilhaft wird es angesehen, wenn in dem sicheren Bedienplatzrechner ein den Zustand der technischen Anlage beschreibender Datensatz zentral gespeichert wird, mit dem unsicheren Bedienplatzrechner unter Heranziehung des in dem sicheren Bedienplatzrechner gespeicherten Datensatzes und einer vom Bediener des unsicheren Rechners vorgegebenen Darstellungsweise bedienerindividuelle Anzeigesteuersignale, die zu einer bedienerindividuellen Anzeige des durch den Datensatz definierten Zustands der technischen Anlage führen, erzeugt werden und die Anzeigesteuersignale auf einer mit dem unsicheren Bedienplatzrechner verbundenen Anzeigeeinrichtung angezeigt werden.

[0019] Darüber hinaus wird es als vorteilhaft angesehen, wenn der den Zustand der technischen Anlage beschreibende Datensatz redundant in zumindest zwei Speicherbereichen gespeichert wird und Daten des den Zustand der technischen Anlage beschreibenden Datensatzes zwecks Übertragung zum unsicheren Bedienrechner jeweils aus jedem der zumindest zwei Speicherbereiche ausgelesen und miteinander verglichen werden und die ausgelesenen Daten an den unsicheren Bedienplatzrechner lediglich dann weitergeleitet werden, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert wird.

[0020] Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen näher erläutert; dabei zeigen beispielhaft

Figur 1

ein erstes Ausführungsbeispiel für eine Anordnung zum Steuern einer technischen Anlage, wobei anhand der Anordnung auch das erfindungsgemäße Verfahren beispielhaft erläutert wird,

Figur 2

die Arbeitsweise der Anordnung gemäß Figur 1 im Falle eines an einem unsicheren Bedienplatzrechner eingegebenen sicherheitsrelevanten Bedienbefehls,

Figur 3

ein zweites Ausführungsbeispiel für eine erfindungsgemäße Anordnung und

Figur 4

ein drittes Ausführungsbeispiel für eine erfindungsgemäße Anordnung, bei der ein Vergleichsbaustein in einem sicheren Bedienplatzrechner integriert ist.

[0021] In den Figuren werden der Übersicht halber für identische oder vergleichbare Komponenten stets dieselben Bezugszeichen verwendet.

[0022] In der Figur 1 erkennt man eine Anordnung 10 zum Steuern einer technischen Anlage 20, bei der es sich beispielsweise um eine Eisenbahngleisanlage handeln kann. Die Anordnung 10 umfasst einen Stellwerksrechner 25, einen sicheren Bedienplatzrechner 30 sowie zwei unsichere Bedienplatzrechner 40 und 50. Mit den drei Bedienplatzrechnern 30, 40 und 50 steht jeweils eine Anzeigeeinrichtung 60, 70 bzw. 80 in Verbindung.

[0023] Die beiden unsicheren Bedienplatzrechner 40 und 50 stehen über einen Vergleichsbaustein 90 mit dem sicheren Bedienplatzrechner 30 in Verbindung; über den Vergleichsbaustein 90 ist eine mittelbare Verbindung zwischen den beiden unsicheren Bedienplatzrechnern 40 und 50 und dem Stellwerksrechner 25 möglich.

[0024] Die Figur 1 zeigt beispielhaft den Aufbau des sicheren Bedienplatzrechners 30 näher im Detail. Man erkennt zwei Speicherbereiche 100 und 110, die zum Speichern eines den Zustand der technischen Anlage 20 beschreibenden Datensatzes DS bestimmt sind. Der Datensatz DS ist in dem sicheren Bedienplatzrechner 30 also zweimal bzw. redundant abgespeichert, und zwar sowohl in dem Speicherbereich 100 als auch in dem Speicherbereich 110.

[0025] Darüber hinaus weist der sichere Bedienplatzrechner 30 zwei redundant arbeitende Rechnereinheiten 120 und 130 auf, die mit dem Vergleichsbaustein 90 in Verbindung stehen.

[0026] Die beiden Rechnereinheiten 120 und 130 können durch physikalisch separate Prozessoren bzw. Prozessoreinrichtungen gebildet sein; alternativ ist es möglich, die beiden Rechnereinheiten 120 und 130 lediglich softwaremäßig abzubilden bzw. nachzubilden und durch auf ein und derselben Prozessoreinrichtung laufende separate Softwaremodule zu realisieren.

[0027] In dem sicheren Bedienplatzrechner 30 sowie in den beiden unsicheren Bedienplatzrechnern 40 und 50 ist jeweils ein Anzeigesoftwaremodul ASM vorgesehen, das eine Anzeige des Zustands der technischen Anlage 20 auf der jeweils nachgeordneten Anzeigeeinrichtung 60, 70 oder 80 ermöglicht.

[0028] Bei dem Ausführungsbeispiel gemäß Figur 1 ist das Anzeigesoftwaremodul ASM des sicheren Bedienplatzrechners 30 in einem separaten Speicherbereich 140 gespeichert; alternativ kann das Anzeigesoftwaremodul ASM auch in dem Speicherbereich 100 oder dem Speicherbereich 110 gespeichert sein.

[0029] Das Anzeigesoftwaremodul ASM des sicheren Bedienplatzrechners 30 kann beispielsweise von einer separaten Rechnereinheit 150 ausgeführt werden, wie dies in der Figur 1 angedeutet ist. Alternativ kann das Anzeigesoftwaremodul ASM des sicheren Bedienplatzrechners 30 auch durch eine der beiden Rechnereinheiten 120 oder 130 oder redundant durch beide Rechnereinheiten 120 und 130 ausgeführt werden.

[0030] Die in der Figur 1 dargestellten drei Speicherbereiche 100, 110 und 140 des sicheren Bedienplatzrechners 30 können in physikalisch separaten Speichern angesiedelt sein; alternativ können sie sich auch in Abschnitten ein und desselben physikalischen Speichers befinden.

[0031] Im Folgenden soll die Arbeitsweise der Anordnung 10 gemäß Figur 1 mit Blick auf die Anzeige des Zustands der technischen Anlage 20 beispielhaft näher erläutert werden.

[0032] Soll beispielsweise der Zustand der technischen Anlage 20 auf der Anzeigeeinrichtung 80 angezeigt werden, so kann eine Bedienperson an dem unsicheren Bedienplatzrechner 50 ein Bediensignal BS3 eingeben, mit dem dem Anzeigesoftwaremodul ASM eine benutzerindividuelle Darstellungsweise des Zustands der technischen Anlage 20 vorgegeben bzw. beschrieben wird. Das Anzeigesoftwaremodul ASM wertet das Bediensignal BS3 aus und erzeugt ausgangsseitig ein bedienerindividuelles Anzeigesteuersignal AS3, mit dem die Anzeigeeinrichtung 80 angesteuert wird und der Zustand der technischen Anlage 20 gemäß den Vorgaben der Bedienperson angezeigt wird. Beispielsweise kann mit dem Bediensignal BS3 der Zoomfaktor oder der auf der Anzeigeeinrichtung 80 gezeigte Ausschnitt benutzerindividuell verändert werden.

[0033] Die Eingabe des Bediensignals BS3 in das Anzeigesoftwaremodul ASM kann über ein nicht gezeigtes Vorverarbeitungssoftwaremodul erfolgen, beispielsweise in Textform. Ein Beispiel für eine solche Textform kann beispielsweise lauten:

"acknowledge(success, "setDynamicObjectLengthOn-Path(Train01, 15) ") ()

acknowledge(success, "setAttribute(Train01, z, 10) ") ()

acknowledge(success, "proceduralGraphicObjectCommand(Train01,
setLineThickness, 9)")()

acknowledge(success, "proceduralGraphicObjectCommand(Train01, setTextureType,
SHADED_TWO_COLORS_ARROW, 255, 255, 255, 255, 255, 0, 0, 0)")()

leaveMouseOver(Lupe, Lupenbild)(16)

enterMouseOver(Lupe, Lupenbild)(15)

leaveMouseOver(Lupe, Lupenbild)(15)

enterMouseOver(Lupe, Lupenbild)(16)

mouseEvent(Lupe, Lupenbild, MouseButtonPress, Left-Button, 441, 588)(16)

mouseEvent(Lupe, Lupenbild, MouseButtonRelease, Left-Button, 441, 588) (16)"

[0034] Die Daten D, mit denen der Zustand der technischen Anlage 20 beschrieben wird, stammen dabei aus dem Datensatz DS, der in redundanter Weise in den beiden Speicherbereichen 100 und 110 des sicheren Bedienplatzrechners 30 abgespeichert ist. Um sicherzustellen, dass die Daten D tatsächlich den richtigen aktuellen Zustand der technischen Anlage 20 beschreiben, werden die Daten D aus den beiden Speicherbereichen 100 und 110 vom Vergleichsbaustein 90 auf Identität überprüft. Um diese Überprüfung zu ermöglichen, wird der Vergleichsbaustein 90 die Daten D, die aus den beiden Datensätzen DS der beiden Speicherbereiche 100 und 110 kommen, zunächst vergleichen und ausschließlich dann an das Anzeigesoftwaremodul ASM des unsicheren Bedienplatzrechners 50 weiterleiten, wenn die Daten D identisch sind.

[0035] Die den Zustand der technischen Anlage beschreibenden Daten D können beispielsweise in Textform übertragen werden. Zur Definition eines Zuges auf einem Streckenabschnitt der technischen Anlage 20 können beispielsweise folgende Daten übertragen werden:

"createProceduralGraphicObject(cTARGET_WIDGET, Train01, AnimatedMovingObject)

setDynamicObjectLengthOnPath(Train01, 15)

setAttribute(Train01, z, 10)"

[0036] Mit Hilfe des Vergleichsbausteins 90 ist somit sichergestellt, dass auf der Anzeigeeinrichtung 80 ausschließlich Daten angezeigt werden, die dem tatsächlichen aktuellen Zustand der technischen Anlage 20 entsprechen.

[0037] In entsprechender Weise kann der Zustand der technischen Anlage 20 auf den Anzeigeeinrichtungen 60 und 70 angezeigt werden, indem entsprechende Bediensignale BS1 oder BS2 in den sicheren Bedienplatzrechner 30 bzw. den unsicheren Bedienplatzrechner 40 eingegeben werden und entsprechende Anzeigesteuersignale AS1 und AS2 erzeugt werden. Beide Bedienplatzrechner 30 und 40 sind jeweils mit einem Anzeigesoftwaremodul ASM ausgestattet, das das jeweils anliegende Bediensignal BS1 bzw. BS2 auswertet und auf der Basis der bedienerseitig gewünschten Darstellungsweise den Zustand der technischen Anlage 20 auf der jeweiligen Anzeigeeinrichtung 60 oder 70 anzeigt.

[0038] Auch bei den Anzeigesoftwaremodulen ASM der beiden Bedienplatzrechner 30 und 40 wird dabei stets auf dieselben Datensätze DS zurückgegriffen, die auch von dem Bedienplatzrechner 50 - wie oben beschrieben - verwertet werden; mit anderen Worten werden die Datensätze DS, die die Daten D über den Zustand der technischen Anlage 20 enthalten, ausschließlich zentral gespeichert und verwaltet und von einem zentralen Punkt aus an die Anzeigesoftwaremodule ASM der jeweiligen Bedienplatzrechner 30, 40 und 50 übermittelt.

[0039] Die Daten D, die von den Anzeigesoftwaremodulen ASM des Bedienplatzrechners 30 oder des Bedienplatzrechners 40 angezeigt werden, werden von dem Vergleichsbaustein 90 ebenfalls auf Korrektheit überprüft, wie dies im Zusammenhang mit dem Bedienplatzrechner 50 oben bereits beschrieben worden ist. Dies bedeutet, dass auch bei den Anzeigesoftwaremodulen ASM der beiden Bedienplatzrechner 30 und 40 der Vergleichsbaustein 90 beim Auslesen der Daten D aus den beiden Speicherbereichen 100 und 110 eine Überprüfung der Daten auf Identität vornimmt und lediglich dann, wenn die Daten D aus den beiden Speicherbereichen 100 und 110 übereinstimmen, eine Weiterleitung der Daten an die jeweiligen Anzeigesoftwaremodule ASM vornehmen wird.

[0040] Die Figur 2 zeigt beispielhaft die Funktionsweise der Anordnung 10 gemäß Figur 1, wenn mit Hilfe eines der beiden unsicheren Bedienplatzrechner 40 und 50 ein sicherheitsrelevanter Bedienbefehl BB erzeugt wird, mit dem eine Umstellung der technischen Anlage 20 durch den Stellwerksrechner 25 erfolgen soll. Nach Erhalt des sicherheitsrelevanten Bedienbefehls BB werden die beiden Rechnereinheiten 120 und 130 den Bedienbefehl auswerten und eine Bestätigungsaufforderung BSA erzeugen und über den Vergleichsbaustein 90 an den unsicheren Bedienplatzrechner 50 senden. Der Vergleichsbaustein 90 wird dabei die Bestätigungsaufforderungen BSA der beiden Rechnereinheiten 120 und 130 auf Identität bzw. inhaltliche Übereinstimmung hin überprüfen und lediglich dann, wenn die beiden Bestätigungsaufforderungen BSA übereinstimmen, eine Weiterleitung an den unsicheren Bedienplatzrechner 50 vornehmen.

[0041] Andernfalls, wenn die beiden Bestätigungsaufforderungen BSA unterschiedlich sind, wird der Vergleichsbaustein 90 eine Weiterleitung unterbinden. In dieser Weise wird sichergestellt, dass die Abarbeitung eines sicherheitsrelevanten Bedienbefehls BB nur dann erfolgen kann, wenn die beiden Rechnereinheiten 120 und 130 den sicherheitsrelevanten Bedienbefehl BB in gleicher Weise verstehen und mit gleichen Bestätigungsaufforderungen BSA quittieren.

[0042] Sobald der unsichere Bedienplatzrechner 50 die Bestätigungsaufforderung BSA erhalten und mittels eines bedienerinitiierten Bestätigungssignals BSS inhaltlich bestätigt hat, werden die beiden Rechnereinheiten 120 und 130 eine Umsetzung des sicherheitsrelevanten Bedienbefehls BB vornehmen und ein Steuersignal STB erzeugen, das zum Stellwerksrechner 25 übermittelt wird. Mit dem Steuersignal STB wird dem Stellwerksrechner 25 mitgeteilt, dass die technische Anlage 20 umgestellt werden soll. Die Umstellung der technischen Anlage 20 wird dann vom Stellwerksrechner 25 vorgenommen.

[0043] Die Datenübertragung des Steuersignals STB vom sicheren Bedienplatzrechner 30 zum Stellwerksrechner 25 erfolgt über eine sichere Datenverbindung 200, um eine Verfälschung des Befehls zu vermeiden.

[0044] Um sicherzugehen, dass die beiden Rechnereinheiten 120 und 130 den sicherheitsrelevanten Bedienbefehl BB des Bedienplatzrechners 50 richtig umsetzen und ein korrektes Steuersignal STB für den Stellwerksrechner 25 erzeugen, kann eine Kontrolle der Arbeitsergebnisse der beiden Rechnereinheiten 120 und 130 durch den Vergleichsbaustein 90 erfolgen. Vorzugsweise wird der Vergleichsbaustein 90 die Erzeugung bzw. Weitergabe des Steuersignals STB über die sichere Datenverbindung 200 blockieren, wenn die beiden Rechnereinheiten 120 und 130 unterschiedliche Ergebnisse und unterschiedliche Steuersignale STB liefern.

[0045] Die Figur 3 zeigt ein zweites Ausführungsbeispiel für eine Anordnung 10 zum Steuern einer technischen Anlage 20. Im Unterschied zu dem Ausführungsbeispiel gemäß Figur 1 sind an dem sicheren Bedienplatzrechner 30 zwei Anzeigeeinrichtungen 60 und 61 angeschlossen, die jeweils von einem zugeordneten Anzeigersoftwaremodul ASM angesteuert werden. Die beiden Anzeigesoftwaremodule ASM können in dem Speicherbereich 100 und/oder dem Speicherbereich 110 oder auch in individuellen Speicherbereichen abgespeichert sein. Bei dem Ausführungsbeispiel gemäß Figur 3 wird davon ausgegangen, dass die beiden Anzeigesoftwaremodule ASM jeweils in individuellen Speicherbereichen 140 und 141 abgespeichert sind und von Rechnereinheiten 150 und 151 ausgeführt werden.

[0046] Durch die Ausstattung des sicheren Bedienplatzrechners 30 mit zwei Anzeigesoftwaremodulen ASM ist es möglich, unterschiedliche Darstellungen des Zustands der technischen Anlage 20 auf den beiden Anzeigeeinrichtungen 60 und 61 vorzusehen, in dem unterschiedliche Bediensignale BS1 und BS1' in die Anzeigesoftwaremodule ASM eingegeben werden. In dieser Weise ist es einer Bedienperson beispielsweise möglich, die Korrektheit der Arbeitsweise der Anzeigesoftwaremodule ASM zu überprüfen.

[0047] Um auch für die beiden Anzeigesoftwaremodule ASM des sicheren Bedienplatzrechners 30 eine Kontrolle der Daten D, die den Zustand der technischen Anlage 20 anzeigen, zu ermöglichen, werden die Daten D von den beiden Speicherbereichen 100 und 110 nicht unmittelbar zu den Anzeigesoftwaremodulen ASM übermittelt, sondern nur mittelbar über den Vergleichsbaustein 90. Ausschließlich dann, wenn die Daten D aus den beiden Speicherbereichen 100 und 110 übereinstimmen, wird der Vergleichsbaustein 90 die Daten D an die beiden Anzeigesoftwaremodule ASM im sicheren Bedienplatzrechner 30 weiterleiten, so dass auch nur dann eine Anzeige auf den beiden Anzeigeeinrichtungen 60 und 61 erfolgen kann. Bezüglich der gesicherten Darstellung des Zustands der technischen Anlage 20 entspricht die Arbeitsweise der Anordnung 10 gemäß Figur 3 somit der Anordnung 10 gemäß Figur 1, so dass auf die obigen Ausführungen verwiesen sei.

[0048] Die Figur 4 zeigt ein drittes Ausführungsbeispiel für eine Anordnung 10 zum Steuern einer technischen Anlage 20. Die Anordnung 10 gemäß Figur 4 entspricht im Wesentlichen dem Ausführungsbeispiel gemäß Figur 3 mit dem Unterschied, dass der Vergleichsbaustein 90 keine separate Komponente ist, sondern stattdessen in dem sicheren Bedienplatzrechner 30 integriert ist.

[0049] Der Vergleichsbaustein 90 kann in Form eines Softwaremoduls realisiert sein, das von einem der beiden Rechnereinheiten 120 oder 130 ausgeführt wird. Alternativ kann der Vergleichsbaustein 90 durch eine separate Hardwarekomponente gebildet sein, die in dem sicheren Bedienplatzrechner 30 vorgesehen wird.

[0050] Obwohl die Erfindung im Detail durch bevorzugte Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Bezugszeichenliste

[0051] 

10

Anordnung

20

technische Anlage

25

Stellwerksrechner

30

sicherer Bedienplatzrechner

40

unsicherer Bedienplatzrechner

50

unsicherer Bedienplatzrechner

60

Anzeigeeinrichtung

61

Anzeigeeinrichtung

70

Anzeigeeinrichtung

80

Anzeigeeinrichtung

90

Vergleichsbaustein

100

Speicherbereich

110

Speicherbereich

120

Rechnereinheit

130

Rechnereinheit

140

Speicherbereich

141

Speicherbereich

150

Rechnereinheit

151

Rechnereinheit

200

Datenverbindung

ASM

Anzeigesoftwaremodul

AS1-AS3

Anzeigesteuersignal

BB

Bedienbefehl

BSA

Bestätigungsaufforderung

BSS

Bestätigungssignal

BS1

Bediensignal

BS1'

Bediensignal

BS2

Bediensignal

BS3

Bediensignal

D

Daten

DS

Datensatz

STB

Steuersignal

Ansprüche

1. Anordnung (10) zum Steuern einer technischen Anlage (20), insbesondere einer Eisenbahngleisanlage, wobei die Anordnung (10) einen Stellwerksrechner (25), der ein Umstellen der technischen Anlage (20) veranlassen kann, und mindestens zwei Bedienplatzrechner (30, 40, 50) umfasst, mit denen Bedienbefehle (BB) erzeugt und zu dem Stellwerksrechner (25) übermittelt werden können,
wobei

- von den Bedienplatzrechnern (30, 40, 50) zumindest ein Bedienplatzrechner (30) ein sicherer Bedienplatzrechner (30) ist, dessen Sicherheitsniveau einen vorgegebenen Mindeststandard erreicht, und zumindest ein Bedienplatzrechner (40, 50) ein unsicherer Bedienplatzrechner (40, 50) ist, dessen Sicherheitsniveau den vorgegebenen Mindeststandard unterschreitet,

- der sichere Bedienplatzrechner (30) mit dem Stellwerksrechner (25) über eine sichere Datenverbindung (200), die eine vorgegebene Übertragungssicherheit gewährleistet, verbunden ist, und

- der zumindest eine unsichere Bedienplatzrechner (40, 50) mittelbar mit dem Stellwerksrechner (25) verbunden ist, nämlich über den sicheren Bedienplatzrechner (30), und die Bedienbefehle (BB) des unsicheren Bedienplatzrechners (40, 50) zu dem sicheren Bedienplatzrechner (30) und über diesen und die sichere Datenverbindung (200) zu dem Stellwerksrechner (25) übermittelt werden.

2. Anordnung (10) nach Anspruch 1,
dadurch gekennzeichnet, dass

- in dem sicheren Bedienplatzrechner (30) ein den Zustand der technischen Anlage (20) beschreibender Datensatz (DS) zentral gespeichert ist und

- der unsichere Bedienplatzrechner (40, 50) derart programmiert ist, dass er unter Heranziehung des in dem sicheren Bedienplatzrechner (30) gespeicherten Datensatzes (DS) und einer vom Bediener des unsicheren Bedienplatzrechners (40, 50) vorgegebenen Darstellungsweise bedienerindividuelle Anzeigesteuersignale (AS1-AS3) erzeugt, die zu einer bedienerindividuellen Anzeige des durch den Datensatz (DS) definierten Zustands der technischen Anlage (20) auf einer mit dem unsicheren Bedienplatzrechner (40, 50) verbundenen Anzeigeeinrichtung (70, 80) führen.

3. Anordnung (10) nach Anspruch 2,
dadurch gekennzeichnet, dass der sichere Bedienplatzrechner (30) zumindest zwei redundant betriebene Speicherbereiche (100, 110) umfasst, in denen jeweils der den Zustand der technischen Anlage (20) beschreibende Datensatz (DS) gespeichert ist.

4. Anordnung (10) nach Anspruch 3,
dadurch gekennzeichnet, dass

- zwischen dem sicheren und dem unsicheren Bedienplatzrechner (30, 40, 50) ein Vergleichsbaustein (90) angeordnet ist und

- der Vergleichsbaustein (90) derart ausgestaltet ist, dass er Daten (D) des den Zustand der technischen Anlage (20) beschreibenden Datensatzes (DS) zwecks Übertragung zum unsicheren Bedienplatzrechner (40, 50) jeweils aus jedem der zumindest zwei redundant betriebenen Speicherbereiche (100, 110) ausliest und miteinander vergleicht und die ausgelesenen Daten (D) an den unsicheren Bedienplatzrechner (40, 50) lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.

5. Anordnung (10) nach einem der voranstehenden Ansprüche,
dadurch gekennzeichnet, dass

- der sichere Bedienplatzrechner (30) zumindest zwei redundant arbeitende Rechnereinheiten (120, 130) umfasst,

- die zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren Bedienplatzrechners (30) nach Erhalt eines sicherheitsrelevanten Bedienbefehls (BB) des unsicheren Bedienplatzrechners (40, 50) jeweils eine Bestätigungsaufforderung (BSA) an den unsicheren Bedienplatzrechner (40, 50) übersenden, und zwar über den Vergleichsbaustein (90), und

- der Vergleichsbaustein (90) derart ausgestaltet ist, dass er die Bestätigungsaufforderungen (BSA) der zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren Bedienplatzrechners (30) miteinander vergleicht und an den unsicheren Bedienplatzrechner (40, 50) lediglich dann weiterleitet, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.

6. Anordnung (10) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass der Vergleichsbaustein (90) Steuersignale (STB), die ein Umstellen der technischen Anlage (20) bewirken würden, der zumindest zwei redundant arbeitenden Rechnereinheiten (120, 130) des sicheren Bedienplatzrechners (30) miteinander vergleicht und an den Stellwerksrechner (25) lediglich dann weiterleitet oder weiterleiten lässt, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert.

7. Verfahren zum Steuern einer technischen Anlage (20), insbesondere einer Eisenbahngleisanlage, wobei mit einem Bedienplatzrechner (30, 40, 50) Bedienbefehle (BB) erzeugt und zu einem mit der technischen Anlage (20) in Verbindung stehenden Stellwerksrechner (25) übermittelt werden und mit dem Stellwerksrechner (25) ein Umstellen der technischen Anlage (20) veranlasst wird,
wobei
die Bedienbefehle (BB) mit einem unsicheren Bedienplatzrechner (40, 50), dessen Sicherheitsniveau einen vorgegebenen Mindeststandard unterschreitet, erzeugt und über einen sicheren Bedienplatzrechner (30), dessen Sicherheitsniveau den vorgegebenen Mindeststandard erreicht, zu dem Stellwerksrechner (25) übermittelt werden.

8. Verfahren nach Anspruch 7,
dadurch gekennzeichnet, dass

- in dem sicheren Bedienplatzrechner (30) ein den Zustand der technischen Anlage (20) beschreibender Datensatz (DS) zentral gespeichert wird,

- mit dem unsicheren Bedienplatzrechner (40, 50) unter Heranziehung des in dem sicheren Bedienplatzrechner (30) gespeicherten Datensatzes (DS) und einer vom Bediener des unsicheren Rechners vorgegebenen Darstellungsweise bedienerindividuelle Anzeigesteuersignale (AS1-AS3), die zu einer bedienerindividuellen Anzeige des durch den Datensatz (DS) definierten Zustands der technischen Anlage (20) führen, erzeugt werden und

- die Anzeigesteuersignale (AS1-AS3) auf einer mit dem unsicheren Bedienplatzrechner (40, 50) verbundenen Anzeigeeinrichtung (70, 80) angezeigt werden.

9. Verfahren nach Anspruch 8,
dadurch gekennzeichnet, dass

- der den Zustand der technischen Anlage (20) beschreibende Datensatz (DS) redundant in zumindest zwei Speicherbereichen (100, 110) gespeichert wird und

- Daten (D) des den Zustand der technischen Anlage (20) beschreibenden Datensatzes (DS) zwecks Übertragung zum unsicheren Bedienplatzrechner (40, 50) jeweils aus jedem der zumindest zwei Speicherbereiche (100, 110) ausgelesen und miteinander verglichen werden und die ausgelesenen Daten (D) an den unsicheren Bedienplatzrechner (40, 50) lediglich dann weiterleitet werden, wenn diese übereinstimmen, und andernfalls eine Weiterleitung blockiert wird.

Claims

1. Assembly (10) for controlling a technical system (20), in particular a system of railway tracks, wherein the assembly (10) comprises an interlocking computer (25), which can trigger a change in the technical system (20), and at least two operator workstation computers (30, 40, 50), with which control commands (BB) can be generated and transferred to the interlocking computer (25),
wherein

- of the operator workstation computers (30, 40, 50), at least one operator workstation computer (30) is a secure operator workstation computer (30), the security level of which reaches a predetermined minimum standard, and at least one operator workstation computer (40, 50) is an unsecured operator workstation computer (40, 50), the security level of which does not reach the predetermined minimum standard,

- the secure operator workstation computer (30) is connected to the interlocking computer (25) by way of a secure data link (200), which ensures a predetermined transmission security, and

- the at least one unsecured operator workstation computer (40, 50) is indirectly connected to the interlocking computer (25), namely by way of the secure operator workstation computer (30), and the control commands (BB) of the unsecured operator workstation computer (40, 50) are transferred to the secure operator workstation computer (30) and by way of this and the secure data link (200) to the interlocking computer (25).

2. Assembly (10) according to claim 1,
characterised in that

- in the secure operator workstation computer (30), a data record (DS) describing the state of the technical system (20) is stored centrally, and

- the unsecured operator workstation computer (40, 50) is programmed such that, by using the data record (DS) stored in the secure operator workstation computer (30) and a mode of representation predetermined by the operator of the unsecured operator workstation computer (40, 50), it generates operator-individual display control signals (AS1-AS3), which produce an operator-individual display of the state of the technical system (20) defined by the data record (DS) on a display facility (70, 80) connected to the unsecured operator workstation computer (40, 50).

3. Assembly (10) according to claim 2,
characterised in that
the secure operator workstation computer (30) comprises at least two redundantly operating storage areas (100, 110), in which the data record (DS) describing the state of the technical system (20) is stored in each case.

4. Assembly (10) according to claim 3,
characterised in that

- a compare block (90) is arranged between the secure and the unsecured operator workstation computer (30, 40, 50) and

- the compare block (90) is embodied such that it reads out, from each of the at least two redundantly operating storage areas (100, 110), data (D) of the data record (DS) describing the state of the technical system (20), for the purpose of transmission to the unsecured operator workstation computer (40, 50) and compares them with one another and only then forwards the read-out data (D) to the unsecured operator workstation computer (40, 50) if they correspond and otherwise blocks their forwarding.

5. Assembly (10) according to one of the preceding claims, characterised in that

- the secure operator workstation computer (30) comprises at least two redundantly operating computer units (120, 130),

- the at least two redundantly operating computer units (120, 130) of the secure operator workstation computer (30), after receiving a security-relevant control command (BB) from the unsecured operator workstation computer (40, 50), conveys a confirmation request (BSA) to the unsecured operator workstation computer (40, 50) in each case, namely by way of the compare block (90), and

- the compare block (90) is embodied such that it compares the confirmation requests (BSA) of the at least two redundantly operating computer units (120, 130) of the secure operator workstation computer (30) with one another and then only forwards them to the unsecured operator workstation computer (40, 50) if they correspond and otherwise blocks their forwarding.

6. Assembly (10) according to one of the preceding claims, characterised in that
the compare block (90) compares control signals (STB), which would effect a change in the technical system (20), of the at least two redundantly operating computer units (120, 130) of the secure operator workstation computer (30) with one another and only then forwards them or allows them to be forwarded to the interlocking computer (25) if they correspond and otherwise blocks their forwarding.

7. Method for controlling a technical system (20), in particular a system of railway tracks, wherein control commands (BB) are generated with an operator workstation computer (30, 40, 50) and transferred to an interlocking computer (25) connected to the technical system (20) and a change in the technical system (20) is triggered with the interlocking computer (25),
wherein
the control commands (BB) are generated with an unsecured operator workstation computer (40, 50), the security level of which does not reach a predetermined minimum standard, and are transferred to the interlocking computer (25) by way of a secure operator workstation computer (30), the security level of which reaches the predetermined minimum standard.

8. Method according to claim 7,
characterised in that

- a data record (DS) describing the state of the technical system (20) is stored centrally in the secure operator workstation computer (30),

- with the unsecured operator workstation computer (40, 50) using the data record (DS) stored in the secure operator workstation computer (30) and a mode of representation predetermined by the operator of the unsecured computer, operator-individual display control signals (AS1-AS3), which produce an operator-individual display of the state of the technical system (20) defined by the data record (DS), are generated and

- the display control signals (AS1-AS3) are displayed on a display facility (70, 80) connected to the unsecured operator workstation computer (40, 50).

9. Method according to claim 8,
characterised in that

- the data record (DS) describing the state of the technical system (20) is stored redundantly in at least two storage areas (100, 110) and

- data (D) of the data record (DS) describing the state of the technical system (20) are read out from each of the at least two storage areas (100, 110) respectively for the purpose of transmission to the unsecured operator workstation computer (40, 50) and are compared with one another and the read-out data (D) are then forwarded to the unsecured operator workstation computer (40, 50) if they correspond and otherwise their forwarding is blocked.

Revendications

1. Agencement (10) de commande d'une installation (20) technique, notamment d'une installation de voie de chemin de fer, l'installation (10) comprenant un ordinateur (25) de poste d'aiguillage, qui peut provoquer un renversement de l'installation (20) technique, et au moins deux ordinateurs (30, 40, 50) d'emplacement de service, par lesquels des instructions (BB) de service peuvent être produites et être transmises à l'ordinateur (25) du poste d'aiguillage, dans lequel

- parmi les ordinateurs (30, 40, 50) d'emplacement de service, au moins un ordinateur (30) d'emplacement de service est un ordinateur (30) d'emplacement de service sécurisé, dont le niveau de sécurité atteint une norme minimum donnée à l'avance, et au moins un ordinateur (40, 50) d'emplacement de service est un ordinateur (40, 50) d'emplacement de service, dont le niveau de sécurité est inférieur à la norme minimum donnée à l'avance,

- l'ordinateur (30) d'emplacement de service sécurisé est relié à l'ordinateur (25) du poste d'aiguillage par une liaison (200) de données sécurisée, qui assure une sécurité de transmission donnée à l'avance et

- le au moins un ordinateur (40, 50) d'emplacement de service non sécurisé est relié indirectement à l'ordinateur (25) du poste d'aiguillage, à savoir par l'intermédiaire de l'ordinateur (30) d'emplacement de service sécurisé et les instructions (BB) de service de l'ordinateur (40, 50) d'emplacement de service non sécurisées sont transmises à l'ordinateur (30) d'emplacement de service sécurisé et par celui-ci et par la liaison (200) de données sécurisée à l'ordinateur (25) du poste d'aiguillage.

2. Agencement (10) suivant la revendication 1,
caractérisé en ce que

- un jeu (DS) de données décrivant l'état de l'installation (10) technique est mémorisé de manière centrale dans l'ordinateur (30) d'emplacement de service sécurisé et

- l'ordinateur (40, 50) d'emplacement de service non sécurisé est programmé de manière à produire, en tirant parti du jeu (DS) de données mémorisé dans l'ordinateur (30) d'emplacement de service sécurisé et d'un mode de représentation donné à l'avance par l'opérateur de l'ordinateur (40, 50) d'emplacement de service non sécurisé, des signaux (AS1 à AS3) de commande d'affichage individuels à l'opérateur, qui donnent un affichage individuel à l'opérateur, de l'état, défini par le jeu (DS) de données, de l'installation (20) technique à un dispositif (70, 80) d'affichage relié à l'ordinateur (40, 50) d'emplacement de service non sécurisé.

3. Agencement (10) suivant la revendication 2,
caractérisé en ce que l'ordinateur (30) d'emplacement de service sécurisé comprend au moins deux zones (100, 110) de mémoire fonctionnant de manière redondante, dans lesquelles est mémorisé respectivement le jeu (DS) de données décrivant l'état de l'installation (20) technique.

4. Agencement (10) suivant la revendication 3,
caractérisé en ce que

- un module (90) de comparaison est disposé entre l'ordinateur (30) d'emplacement de service sécurisé et l'ordinateur (40, 50) d'emplacement de service non sécurisé et

- le module (90) de comparaison est conformé de manière à déchiffrer des données du jeu (DS) de données décrivant l'état de l'installation (20) technique en vue de la transmission à l'ordinateur 40, 50) d'emplacement de service non sécurisé respectivement à partir de chacune des au moins deux zones (100, 110) de mémoire fonctionnant de manière redondante et à les comparer entre elles et à acheminer les données (D) déchiffrées à l'ordinateur (40, 50) d'emplacement de service non sécurisé, seulement si elles coïncident, et sinon à empêcher un acheminement.

5. Agencement (10) suivant l'une des revendications précédentes,
caractérisé en ce que

- l'ordinateur (30) d'emplacement de service sécurisé comprend au moins deux unités (120, 130) d'ordinateur fonctionnant de manière redondante,

- les au moins deux unités (120, 130) d'ordinateur fonctionnant de manière redondante de l'ordinateur (30) d'emplacement de service sécurisé envoie, après avoir reçu une instruction (BB) de service pertinente du point de vue de la sécurité de l'ordinateur (40, 50) d'emplacement de service non sécurisé, respectivement une demande (BSA) de confirmation à l'ordinateur (40, 50) d'emplacement de service non sécurisé et cela par l'intermédiaire du module (90) de comparaison et

- le module (90) de comparaison est conformé de manière à comparer entre elles les demandes (BSA) de confirmation des au moins deux unités (120, 130) d'ordinateur fonctionnant de manière redondante de l'ordinateur (30) d'emplacement de service sécurisé et à les acheminer à l'ordinateur (40, 50) d'emplacement de service non sécurisé, seulement si elles coïncident, sinon à empêcher un acheminement.

6. Agencement (10) suivant l'une des revendications précédentes, caractérisé en ce que
le module (90) de comparaison compare entre eux des signaux (STB) de commande, qui auraient provoqué un renversement de l'installation (20) technique, des au moins deux unités (120, 130) d'ordinateur fonctionnant de manière redondante de l'ordinateur (30) d'emplacement de service sécurisé et les achemine ou les laisse s'acheminer à l'ordinateur (25) du poste d'aiguillage, seulement s'ils coïncident, et sinon empêchent un acheminement.

7. Procédé de commande d'une installation (20) technique, notamment d'une installation de voie de chemin de fer, dans lequel,
par un ordinateur (30, 40, 50) d'emplacement de service, on produit des instructions (BB) de service et on les transmet à un ordinateur (25) de poste d'aiguillage en liaison avec l'installation (20) technique et on provoque un renversement de l'installation (20) technique par l'ordinateur (25) du poste d'aiguillage,
dans lequel
on produit les instructions (BB) de service par un ordinateur (40, 50) d'emplacement de service non sécurisé, dont le niveau de sécurité est inférieur à une norme minimum donnée à l'avance, et on les transmet à l'ordinateur (25) du poste d'aiguillage par l'intermédiaire d'un ordinateur (30) d'emplacement de service sécurisé, dont le niveau de sécurité atteint la norme minimum donnée à l'avance.

8. Procédé suivant la revendication 7,
caractérisé en ce que

- on mémorise de manière centrale dans l'ordinateur (30) d'emplacement de service sécurisé un jeu (DS) de données décrivant l'état de l'installation (20) technique,

- on produit par l'ordinateur (40, 50) d'emplacement de service non sécurisé, en tirant parti du jeu (DS) de données mémorisées dans l'ordinateur (30) d'emplacement de service sécurisé et d'un mode de représentation donné à l'avance par l'opérateur de l'ordinateur non sécurisé, des signaux (AS1 à AS3) de commande d'affichage individuels à l'opérateur, qui donne un affichage individuel à l'opérateur, de l'état, défini par le jeu (DS) de données, de l'installation (20) technique et

- on affiche les signaux (AS1 à AS3) de commande d'affichage sur un dispositif (70, 80) d'affichage relié à l'ordinateur (40, 50) d'emplacement de service non sécurisé.

9. Procédé suivant le revendication 8,
caractérisé en ce que

- on mémorise le jeu (DS) de données décrivant l'état de l'installation (20) technique d'une manière redondante dans au moins deux zones (100, 110) de mémoire et

- on déchiffre et on compare entre elles des données (D) du jeu (DS) de données décrivant l'état de l'installation (20) technique en vue de la transmission à l'ordinateur (40, 50) d'emplacement de service non sécurisé respectivement de chacune des au moins deux zones (100, 110) de mémoire et on achemine les données (D) déchiffrées à l'ordinateur (40, 50) d'emplacement de service non sécurisé, seulement si elles coïncident, et sinon on empêche un acheminement.

Zeichnung