Die Erfindung betrifft Stellwerke für den Eisenbahnverkehr. Sie betrifft insbesondere ein Verfahren zum Erstellen eines elektronischen Stellwerks sowie ein elektronisches Stellwerk.

Ein Grossteil der heute im Einsatz stehenden Stellwerke für den Eisenbahnverkehr sind Relaisstellwerke, d.h. elektrische Stellwerke. Bei Relaisstellwerken werden die sicherungstechnischen Abhängigkeiten vollständig elektrisch durch Signalrelais hergestellt.

Unterhalt und Betrieb dieser Stellwerke können zunehmend kostspielig und problematisch werden. Ausserdem ist die Integration der bestehenden Relaisstellwerke in Fernsteuerungs- und Automatisierungseinrichtungen mit grossen Kosten verbunden.

Daher werden die Relaisstellwerke zunehmend durch elektronische Stellwerke ersetzt. Bei elektronischen Stellwerken werden die sicherungstechnischen Abhängigkeiten durch eine Software in dafür vorgesehenen Computern realisiert. Zu diesem Zweck basieren elektronische Stellwerke gemäss dem Stand der Technik auf einem zentralen Rechner, auf welchem das gesamte Gleisbild in Form von Software abgebildet wird. Dementsprechend aufwendig ist die entsprechende Software und diese muss für jeden Bahnhof spezifisch angepasst und parametriert werden, was zu einem immensen Aufwand für die Zertifizierung führt.

Ein Ersatz von Relaisstellwerken durch elektronische Stellwerke erfordert auch aus diesem Grund grosse Investitionen für die Projektierung, den Neubau des Stellwerkes und insbesondere für den Ersatz der Aussenanlage sowie die neue Zertifizierung.

Die WO 2005/1 13315 zeigt ein Steuerungssystem für Eisenbahn-Signalanlagen, welches als Ersatz konventioneller relaisbasierter Systeme vorgesehen ist. Es werden Prozessoreinheiten benutzt, um die Funktion je einer Baueinheit einer Relais- Stellwerksteuerung zu übernehmen. Die dafür verwendeten Einheiten sind programmierbare Prozessorkarten, die mehrere Mikroprozessoren und einen Speicher aufweisen. Auch dieses Vorgehen beruht also wie elektronische Stellwerke auf Mikroprozessoren, die in einem Programm gesetzte Befehle abarbeiten; wobei dies so umgesetzt wird, dass die Schaltlogik eines relaisbasierten Systems äquivalent ersetzt wird. Aufgrund der notwendigen Verwendung von Mikroprozessoren weisen die programmierbaren Prozessoreinheiten der WO 2005/1 13315 jedoch die Nachteile von elektronischen Stellwerken bezüglich Zertifizierungsaufwand auf - programmierte Prozessorsysteme sind in sich enorm komplex, und Sprünge beim Abarbeiten einer Befehlskette aufgrund eines einzigen Fehlers können das System in einen völlig anderen Zustand versetzt werden, was ein grosses, bei der Zertifizierung entsprechend ins Gewicht fallendes Risiko darstellen kann.

Die Schrift US 5,922,034 zeigt einen programmierbare Gerätetreiber für

Eisenbahnsignalanlagen. Der Gerätetreiber fungiert als Ein- und/oder Ausgabeeinheit für eine bestimmte Funktion, bspw. ein Relais, eine Signalleuchte, einen Motor, einen Schalter etc. Er weist eine CPU und RAM Speicher auf. Verschiedene Gerätetreiber können seriell miteinander verbunden sein; sie werden durch einen zentralen Rechner angesteuert, welcher als elektronisches Stellwerk aufgefasst werden kann. Auch beim Ansatz gemäss US 5,922,034 bestehen die Nachteile des vorstehend diskutierten Systems.

Es ist eine Aufgabe der Erfindung, eine Lösung für den Ersatz von Relaisstellwerken zur Verfügung zu stellen, welche Nachteile des Standes der Technik überwindet und insbesondere weniger grosse Investitionen erfordert als Lösungen gemäss dem Stand der Technik. Erfϊndungsgemäss sollen ein Verfahren zum Erstellen eines elektronischen Stellwerks sowie ein elektronisches Stellwerk zur Verfügung gestellt werden, welche den Ersatz von Relaisstellwerken durch moderne Technologie erlauben, ohne dass ein zu grosser Aufwand für Änderungen gemacht werden müsste und ohne dass der Zertifizierungsaufwand zu gross wird.

Gemäss einem ersten Aspekt der Erfindung wird die Schaltlogik eines bestehenden Relaisstellwerks auf eine funktionell äquivalente Schaltung elektronischer Bauteile abgebildet. Es kommen also vorzugsweise zu den Bauteilen der Relaisschaltung funktionell identische/äquivalente Halbleiterbausteine zum Einsatz.

Die funktionell äquivalente Schaltung ist dabei eine konfigurierbare Logikschaltung, d.h. eine Schaltung deren Funktionsstruktur konfiguriert wird. Im Unterschied beispielsweise zu Computern oder gängigen Steuerungssystemen - und bspw. auch elektronischen Stellwerken - ist also nicht eine durch einen ,generischen ^? Mikroprozessor abzuarbeitende, in einem Speicher vorgelegte Sequenz von Befehlen vorgegeben, sondern eine Funktionsstruktur mit untereinander verschalteten Blöcken konfiguriert. Die Konfiguration einer konfigurierbaren Logikschaltung ist nicht zu verwechseln mit der Programmierung im konventionellen Sinn, d.h. mit der Erstellung von Software für einen Prozessor: Bei einer konfigurierbaren Logikschaltung werden Schaltungsstrukturen mittels Hardwarebeschreibungssprachen oder in Form von Schaltplänen erstellt und nachfolgend diese Strukturen zwecks Konfiguration in den Baustein übertragen. Dadurch werden in der konfigurierbaren Logikschaltung bestimmte Schalterstellungen aktiviert und/oder deaktiviert. Daraus ergibt sich eine konkret implementierte digitale Schaltung, die i.A. hochgradig parallel arbeitet, weil jede Einheit der Schalterstellung parallel arbeitet. Im Kontrast dazu führen auch die schnellsten Mikroprozessoren höchstens wenige und meist gar keine Operationen parallel aus.

Ein wichtiges Beispiel einer konfigui erbaren Logikschaltung ist ein so genannter ,Field Programmable Gate Array' (FPGA). Ein solcher kann Speicherzellen (z.B. EEPROM, EPROM, SRAM, Flash) aufweisen, in denen die Konfiguration gespeichert ist. Jeweils bei Inbetriebnahme wird die Konfiguration auf die eigentliche Schaltung übertragen. Gemäss einer alternativen Ausführungsform kann der FPGA auch permanent programmiert sein, indem die Verbindungen zwischen den Schalteinheiten permanent eingerichtet werden, bspw. mit der sogenannten ,antifuse'-Technologie.

Zu den FPGAs werden oft auch die Complex Programmable Logic Devices (CPLD) gerechnet, die ein weiteres Beispiel von konfigurierbaren Logikschaltungen darstellen.

Es wird also gemäss dem Ansatz der Erfindung kein - an sich funktionierendes, aber in der Implementierung mit grossem Aufwand verbundenes - Ersetzen der Relaisschaltung durch eine Software angestrebt, sondern die Relaisschaltung wird durch eine die gleichen Funktionen und die gleiche Charakteristik liefernde elektronische Schaltung auf Halbleiterbasis ersetzt.

Eine funktionell äquivalente Schaltung kann gemäss einem Ansatz vorliegen, wenn für jeden Ein- und Ausgang der Relaisstellwerk-Schaltlogik ein entsprechender Ein- bzw. Ausgang der funktionell äquivalenten Schaltung vorhanden ist und für den gleichen binären Input ein gleicher binärer Output erfolgt.

Zusätzlich zur Schaltung, welche die Logikeinheit bildet, weist das Stellwerk vorzugsweise eine Mehrzahl von Eingabe- und/oder Ausgabeeinheiten auf, welche die Interfaces zu den Elementen (Weichen, Signalen, Gleisfreimeldeeinheiten, Streckenblocküberwachungseinheiten) der Aussenanlage bilden. Diese enthalten in vielen Ausführungsformen keine Intelligenz' (d.h. keine Logik). In anderen Ausführungsformen, beispielsweise für besondere Signale, Weichen etc., können sie auch eine funktionale Logik aufweisen Sie sind abhängig vom Typ des anzusteuernden Elements und dienen nur der Umwandlung des Logiksignals in die physische Ansteuerung des entsprechenden Elements und damit bspw. der Verstärkung und der Potentialentkopplung zwischen der Logikeinheit und der Aussenanlage. Sie können ein Relais, einen Optokoppler und/oder einen Schütz und/oder andere an sich bekannte Bauteile aufweisen. Die Eingabe-und/oder Ausgabeeinheiten können im Stellwerk zentral angeordnet sein, d.h. im das Stellwerk beherbergende Gebäude und im Wesentlichen am Ort der Logikeinheit. Damit müssen beim Ersatz des Relaisstellwerks im Idealfall nur Komponenten ersetzt und installiert werden, die innerhalb des Gebäudes sind.

Zum erfindungsgemässen Vorgehen kann auch das Implementieren der Schaltung in einem Stellwerk gehören. Die Ausgänge der funktionell äquivalenten Schaltung werden mit den bestehenden anzusteuernden Komponenten (Weichen(-steuerungen), Signale, Barrieren (- Steuerungen)) verbunden, ohne dass diese markant angepasst oder gar ausgewechselt werden müssten.

Der Ansatz gemäss dem hier diskutierten Aspekt der Erfindung nimmt also im Unterscheid zum Stand der Technik Abstand vom an sich sehr mächtigen Werkzeug einer softwaremässigen Implementierung der Logikeinheit und macht einen Schritt hin zur vermeintlich aufwändigeren und weniger flexiblen Implementierung in Form einer programmierbaren Hardware.

Obwohl im Prinzip die Funktionalität einer Hardwareelektronik auch durch eine entsprechende Software zur Verfügung gestellt werden könnte, ist der vom ersten Aspekten der Erfindung gemachte, an sich einfache Schritt hin zu einer Schaltung elektronischer Bauteile von enormem Vorteil. Der Einsatz von Software ist nämlich immer mit dem Einsatz von Computersystemen verbunden, auf denen die Software läuft, und diese sind notwendigerweise sehr komplex. Auch ein einfacher moderner Computer hat buchstäblich Milliarden von Transistoren, verschiedene Datenspeicher, etc. und all diese Bauteile sind Teil des Stellwerks und müssen bei der Zertifizierung mit berücksichtigt werden. Eine Eigenschaft von softwareimplementierten Systemen wie beispielsweise den eingangs genannten Systemen gemäss dem Stand der Technik ist, dass beim sequentiellen Abarbeiten einer Befehlskette Sprünge vorkommen. Wenn aufgrund eines Fehlers (bspw. nach der Einwirkung eines ionisierenden Teilchens) die Sprungadresse einen Fehler aufweist, kann das System in einen völlig anderen Zustand versetzt werden, was zu einem Totalausfall führen kann. Bei einer physisch verdrahteten Logikschaltung kommen solche Sprünge hingegen nicht vor. Daher sind, um entsprechenden Sicherheitsanforderungen trotzdem zu genügen, konventionelle auf Software basierte elektronische Stellwerke zwar sehr mächtige Werkzeuge, beruhen jedoch auf ganz anderen Prinzipien als die Relaisstellwerke, und entsprechend aufwändig ist das Umrüsten und insbesondere das Zertifizieren, welches alle Teilsysteme mit umfasst. Beim Ansatz gemäss dem ersten Aspekt der Erfindung hingegen muss die Sicherheit der übernommenen, auf die konfigurierbare Logikschaltung abgebildeten Relais-Schaltlogik nicht neu nachgewiesen werden, da diese bereits nachgewiesen ist.

Durch den verblüffend einfachen Ansatz gemäss der Erfindung kann die Architektur des Relaisstellwerks im Wesentlichen beibehalten werden und somit entfällt ein wesentlicher Anteil der Projektierungskosten, und auch der gesamte Zertifizierungsprozess kann vereinfacht werden. Ausserdem kann das Stellwerk mit programmierbaren Bausteinen so realisiert werden, dass nur geringfügige Änderungen an den Aussenanlagen gemacht werden müssen. Die Wartung ist deutlich weniger aufwändig als bei herkömmlichen Relaisstellwerken. Schliesslich können Fernsteuer- und Automatisierungsaufgaben und die Integration in übergeordnete Systeme wie beispielsweise in ein Fernsteuerungssystem oder in untergeordnete Systeme wie beispielsweise das ETCS (European Train Control System) relativ einfach durch die eingesetzten Logikbausteine erfolgen.

Ein weiterer Vorteil gegenüber elektronischen Stellwerken ist die Geschwindigkeit. Im Vergleich zu der Software eines konventionellen elektronischen Stellwerks schaltet das gemäss dem ersten Aspekt der Erfindung ausgestaltete Stellwerk mit der logischen Schaltung um Grössenordnungen schneller.

Der erste Aspekt der Erfindung ist beispielsweise für Relaisstellwerke nach dem Verschlussplanprinzip aber auch für Relaisstell werke nach dem Spurplanprizip anwendbar. Aufgrund der Vorteile des erfindungsgemässen Vorgehens gegenüber elektronischen Stellwerken kann das zu ersetzende Stellwerk auch ein auf Software basierendes elektronisches Stellwerk sein, dessen Kernfunktion (Binäre Ausgabe in Funktion der binären Eingabe) ebenfalls durch eine feststehende elektronische Schaltung von Halbleiterbauteilen (i.A. mindestens ein FPGA oder ein vergleichbarer Baustein) ersetzt wird.

Gemäss einem zweiten Aspekt der Erfindung wird die Architektur einer zum ReI aisstell werk funktionell äquivalenten Schaltung erstellt, indem ein Verschlussplan oder ein Spurplan durch einen automatischen Übersetzer in eine logische Schaltung transformiert wird. Dabei kann der Verschlussplan bzw. der Spurplan in der Form einer Zeichnung, einer Tabelle oder in einer anderen technischen Form vorliegen.

Der automatische Übersetzer kann in der Form einer Computersoftware vorhanden sein, welche anhand von eindeutigen, vordefinierten Vorschriften dem Verschlussplan/Spurplan eine elektronische Schaltung zuordnet. Die Vorschriften sind somit jederzeit nachvollziehbar und können so ausgebildet sein, dass sie den Anforderungen sicherheitsrelevanter Systeme entsprechen. Sie können auch von einer für die Zertifizierung verantwortlichen Stelle überprüft werden.

Ein analoges Vorgehen kann auch lür zu ersetzende, auf Software basierende elektronische Stellwerke gewählt werden, wobei für das Schaltungslayout der logischen Schaltung, in welche die Logik transformiert wird, ein entsprechend alternatives, sich an der input-output- Logik der Software orientierendes Übersetzungsprogramm verwendet wird. Besonders günstig ist eine Kombination des ersten Aspekts der Erfindung mit dem zweiten Aspekt.

Um die Korrektheit einer durch Transformation erhaltenen logischen Schaltung zu verifizieren, kann diese optional mit einem Rückübersetzungsalgorithmus wieder in eine vergleichbare Form zum ursprünglichen Verschlussplan/Spurplan zurücktransformiert werden. Der Vergleich zwischen Verschlussplan/Spurplan und zurücktransformiertem Vergleichsplan kann ein Teil der sicherheitsrelevanten Überprüfung sein.

Gemäss einer ersten Ausführungsform nimmt nach der Rücktransformation ein Benutzer (bspw. eine Fachperson der Bahn) den Vergleich zwischen dem ursprünglichen Verschlussplan V/S und dem durch Rücktransformation erhaltenen

Vergleichsplan V7S' vor. Die Darstellung des Vergleichsplans VVS' erfolgt dann sinnvoll erweise wieder auf dieselbe Art, wie die Darstellung des ursprünglichen

Verschlussplans/Spurplans V/S. Es ist also sinnvoll, dass bei einer Zeichnung beispielsweise eine ähnliche Darstellung erfolgt, beispielsweise mit gleicher örtlicher

Position in der Darstellung oder gleicher Nummerierung oder Bezeichnung, oder dass bei der Verwendung von Namen für Variablen oder Signale dieselben Namen verwendet werden. Um diese Abbildung einfacher zu gestalten, werden vom

Übersetzer Metadaten erzeugt, die dann für die Rücktransformation wieder eingesetzt werden. Es versteht sich von selbst, dass diese Metadaten keine funktionale Aufgabe erfüllen; sie dienen lediglich der besseren Lesbarkeit des

Vergleichsplans V7S' für den Menschen.

Gemäss einer zweiten Ausführungsform kann der Vergleich zwischen dem Verschlussplan/Spurplan und dem Vergleichsplan durch den Computer vorgenommen werden. Das Stellwerk weist beispielsweise - wie an sich bekannt - eine Logikeinheit und Eingabe-Ausgabe-Einheiten auf, welche wie erwähnt in ihren Charakteristiken denjenigen des ersetzten Relaisstellwerks entsprechen. Die Logikeinheit verfugt vorzugsweise über mindestens einen Kommunikationseingang zur Steuerung, Automation, ETCS etc. Die Logikeinheit ist im Kern (d.h. in den Elementen, die aus einem binären Input einen binären Output ermitteln) vorzugsweise frei von Mikroprozessoren, d.h. von frei programmierbaren Einheiten.

Die Logikeinheit kann über Zusatzsysteme verfügen, die immer gewährleisten, dass die momentane Logikfunktion der ursprünglichen, bspw. durch die erwähnte Übersetzung ermittelte, Logikfunktion entspricht.

Die Eingabe-Ausgabe-Einheiten der elektronischen Schaltung verfügen wie erwähnt vorzugsweise über ähnliche Verbindungsstrukturen zu den Aussenanlagen (Weichensteuerungen, Signalen, Barrierensteuerungen etc.) wie die ersetzten Relaiseinheiten. Ebenfalls bevorzugt ist, dass die Eingabe- Ausgabe-Einheiten ähnliche äussere Abmessungen wie die Relaiseinheiten aufweisen. Jedes der bevorzugten Merkmale kann dazu beitragen, dass nur geringfügige oder gar keine Änderungen an den Aussenanlagen durchgeführt werden müssen.

Die Architektur der elektronischen Schaltung und der Eingabe-Ausgabeeinheiten kann gemäss einer ersten Ausführungsform vorsehen, dass die Logikeinheit sternförmig mit den Eingabe-Ausgabe-Einheiten verbunden ist.

In einer weiteren möglichen Architektur ist die Logikfunktion L ringförmig mit den Eingabe-Ausgabe-Einheiten verbunden. Dies vereinfacht vor allem die Verdrahtung. Der Ring kann als paralleles oder serielles System, elektrisch oder optisch, ohne oder mit Fehlerkorrektur, Einweg oder Zweiweg ausgeführt sein. Die möglichen Ausprägungen der Kommunikation haben unterschiedliche Kosten und unterschiedliche Eigenschaften: so kann ein optisch geführter Ring eine grosse Ausdehnung haben. Die Zweiwegkommunikation hat eine gewisse Fehlerredundanz.

Natürlich sind auch Kombinationen zwischen Stern- und Ringarchitekturen denkbar, bspw. eine Mehrzahl von Untereinheiten mit je einem oder mehreren Eingabe- Ausgabe-Einheiten, die unter sich ringförmig verbunden sind, wobei die Verbindung zwischen Logikeinheit und Untereinheit sternförmig ist.

Bei seriellen Systemen wird üblicherweise mit Datenpaketen gearbeitet, die periodisch übertragen werden. Es ist deshalb technisch einfach möglich, diesen

Systemzustand in einer Protokollierungseinheit (bspw. einer separaten „Black Box") mitzuhören und dann mitzuschreiben (zu speichern). Damit lassen sich alle Abläufe später durch einen Computer analysieren, der direkt mit der "Black-Box" B verbunden ist. Diese Analyse kann dabei sinnvollerweise auch während dem Betrieb erfolgen.

Um die Sicherheit des Systems zu erhöhen, können auch zwei Logikeinheiten hintereinander geschaltet werden. Die erste und die zweite Logikeinheit haben dabei vorzugsweise einen identischen Auftau und verfügen über identische Steuereingänge. Im normalen Betriebsfall sollten die Signale von beiden Logikeinheiten identisch sein. Sind sie nicht identisch, so liegt ein Fehler in einer der Logikeinheiten, oder in einem der übergeordneten System vor. Die Eingabe- Ausgabe-Einheiten können in diesem Fall in einen "sicheren Zustand" gehen (z.B. Signal auf rot stellen) und/oder einen Alarm auslösen. Der Alarm kann ggf. natürlich auch von der "Black-Box" B ausgelöst werden. Nachfolgend werden Ausfuhrungsformen der Erfindung anhand von schematischen Zeichnungen eingehender Beschrieben. In den Zeichnungen bezeichnen gleiche Bezugszeichen (Kennzeichnungsbuchstaben) gleiche oder analoge Elemente. Es zeigen:

- Figur 1 ein Verfahren gemäss dem ersten Aspekt der Erfindung zum Erstellen eines elektronischen Stellwerks;

Figur 2 ein Verfahren gemäss dem zweiten Aspekt der Erfindung zum Entwerfen einer logischen Schaltung für ein elektronisches Stellwerk;

Figur 3 eine erste Ausführungsform der Architektur der elektronischen Schaltung;

Figur 3a eine Variante der Ausfuhrungsform gemäss Figur 3;

Figur 4 eine weitere, alternative Ausfuhrungsform der Architektur der elektronischen Schaltung;

Figur 5 eine Variante der Ausführungsform gemäss Figur 4, mit zwei Logikeinheiten; und

Figur 6 ausgehend von der Ausführungsform gemäss Figur 4 schematisch die Anbindung an Elemente der Aussenanlage; und Figur 7 eine Stellwerkarchitektur der erfindungsgemässen Art in einem Beispiel.

Gemäss Figur 1 wird ein Verschlussplan V (oder, nicht dargestellt, ein Spurplan S) durch einen Computer Comp erfasst, wobei optional eine spezielle Eingabeeinheit I vorgesehen sein kann. Die Eingabeeinheit kann gegebenfalls auf das Format des Verschlussplans abgestimmt sein und bspw. einen Scanner sowie eine entsprechende Software zum Erkennen und Erfassen der Symbole im Verschlussplan aufweisen. Selbstverständlich kann auch der Verschlussplan schon von vorneherein in elektronisch lesbarer Form vorhanden sein. Aus dem erfassten Verschlussplan erstellt der Computer Comp eine Logikfunktion L#. Die Logikfunktion entspricht der elektronischen Darstellung einer logischen Schaltung. Sie wird auf eine physische logische Schaltung abgebildet, die einem programmierbaren Logikbaustein (FPGA) implementiert wird.

Das Verfahren zum Erstellen der Logikfunktion L# aus dem Verschlussplan V (bzw. einem Spurplan S) ist in einer speziellen, eine Verifikation ermöglichenden Ausführungsform schematisch in Figur 2 dargestellt. Aus dem Verschlussplan V bzw. dem Spurplan S wird eine geeignetes Übersetzungsprogramm T die Logikfunktion L# ermitteln. Das Übersetzungsprogramm legt in der hier dargestellten Ausfuhrungsform auch noch eine Datei M mit Metadaten an, die nicht sicherheitsrelevant sind und beispielsweise Informationen enthält, welche die Darstellung des Verschlussplans betreffen. Um eine Verifikation zu ermöglichen, wird aus der Logikfunktion L# durch ein Rückübersetzungsprogramm T ¹ im Sinne eines , Reverse Engineering' ein Vergleichsplan V7S' erstellt, welcher auf Basis der Metadaten so ausgestaltet wird, dass beispielsweise eine ähnliche Darstellung erfolgt oder dass bei der Verwendung von Namen für Variablen oder Signale dieselben Namen verwendet werden. Der Vergleich C wird durch eine überprüfende Person vorgenommen oder kann alternativ auch durch den/einen Computer erfolgen, wobei in diesem Fall die Metadaten anstatt für die Erstellung des Vergleichsplans V7S" verwendet zu werden auch dem vergleichenden Programm zur Verfugung gestellt werden können.

In Spezialfallen - bspw. bei einem nicht standardmässigen Signalstandort) kann ein Benutzer über eine entsprechende manuell zu bedienende Eingabemöglichkeit (Man) eine manuelle Anpassung vornehmen.

Die Umsetzung einer Logikfunktion L# auf einem FPGA, welches anschliessend als Logikeinheit ausgerüstet ist, ist an sich bekannt.

Als Variante zum vorstehend beschriebenen Verfahren ist es auch möglich, die implementierte Logikeinheit L anstatt die Logikfunktion L# reverse zu engineeren.

Figur 3 zeigt eine sternförmige Verbindung der Logik-Einheit L (auf der die Logikfunktion L# implementiert ist) mit den Eingabe- Ausgabe-Einheiten IO|...IO _n . Wie erwähnt haben in allen Ausführungsformen vorzugsweise die Eingabe-Ausgabe- Einheiten ähnliche Abmessung wie die ursprünglichen Relaiseinheiten und verfügen auch über ähnliche Verbindungsstrukturen zu den Aussenanlagen, so dass nur geringfügige oder gar keine Änderungen an den Aussenanlagen durchgeführt werden müssen.

Das Bezugszeichen S bezeichnet einen Kommunikationseingang für die Kommunikation mit einer Eingabeeinheit und/oder mit einem übergeordneten System. In einer Variante gemäss Figur 3a ist die Logik-Einheit L ebenfalls sternförmig mit den Eingabe-Ausgabe-Einheiten verbunden; allerdings über einen Switch X.

Die Architektur gemäss Figur 4 ist eine ringförmige Architektur. Die Logikeinheit L ist ringförmig mit den Eingabe-Ausgabe-Einheiten ICv..1O _n verbunden. Während bei einer sternförmigen Architektur die Verdrahtung konstruktionsgemäss parallel ist (auch bei einer parallelen Architektur kann optional ein serielles Protokoll verwendet werden), kann sie bei einer ringförmigen Architektur sowohl parallel als auch seriell ausgestaltet sein. Im dargestellten Ausfuhrungsbeispiel ist die Kommunikation seriell, d.h. das von der Logikeinheit bspw. periodisch ausgesandte Datenpaket beinhaltet Daten, die den gesamten Systemzustand (Schaltzustand jeder anzusteuernden Komponente) beinhalten. Jede Eingabe-Ausgabeeinheit wird adressiert und entnimmt dem Datenpaket die für sie benötigte Information. Weil jedes Datenpaket die gesamte Information beinhaltet, eignet es sich auch für die Überwachung des Systems und/oder die Protokollierung. Zu diesem Zweck wird das Signal über das Kommunikationssystem CB auch an eine „Blackbox" B weitergegeben. Dort werden die nacheinander eintreffenden Datenpakete abgespeichert und/oder analysiert, sinnvollerweise während dem Betrieb.

Durch ein weiteres Interface kann der kommunizierte Zustand zuverlässig an Leitsysteme oder für den Betrieb unter ETCS an das , Radio Block Center' (RBC) übermittelt werden. Auf demselben Weg können Fahrstrassen welche vom Leitsystem oder von einer Automatisierung angefordert werden an das digitale Stellwerk übermittelt werden.

Die Austuhrungsform gemäss Figur 5 weist nebst der Logikeinheit L eine zweite, funktionell äquivalente und eventuell identische Logikeinheit L* auf. Auch die Steuereingänge S, S* der Logikeinheiten sind identisch und werden identisch angesteuert. Die Steuersignale von L und L* werden durch das Kommunikationssystem CB an die Eingabe-Ausgabe-Einheiten 1O ₀ ...1O _n weitergegeben. Im normalen Betriebsfall sollten die Signale von L und L* identisch sein. Sind sie nicht identisch, so liegt ein Fehler in einer der Logikeinheiten L oder L*, oder in einem der übergeordneten System S oder S* vor. Die Eingabe- Ausgabe- Einheiten IOo—IO _n können in diesem Fall in einen "sicheren Zustand" gehen (z.B. Signal auf rot stellen) und einen Alarm auslösen. Der Alarm kann natürlich auch von der "Black-Box" B ausgelöst werden.

Ausführungsformen mit zwei Redundanz gewährleistenden Logikeinheiten können I O an sich auch bei Sternarchitekturen oder gemischten Architekturen verwendet werden.

Als spezielles Sicherheitsmerkmal von in vielen Fällen bevorzugten Ausführungsformen kann für die Logikeinheit L* ein anderes, mit der Logikeinheit L nicht baugleiches Fabrikat, unter Umständen eines anderen Anbieters verwendet 5 werden als für die Logikeinheit L. Dadurch wird eine diversitäre Redundanz erwirkt.

Es ist ein grosser Vorteil des erfindungsgemässen Vorgehens nach allen Aspekten der Erfindung, dass die Logikeinheit aufgrund des erfindungsgemässen Ansatzes durch ein vergleichsweise einfache Mittel realisierbar ist. Das erst ermöglicht den Ansatz zwei Logikeinheiten ganz unabhängig voneinander parallel arbeiten zu0 lassen, was bspw. bei elektronischen Stellwerken kaum in Frage käme. Das wiederum ermöglicht die sicherheitstechnisch oft sehr begehrenswerte diversitäre Redundanz. Die Unabhängigkeit der beiden Logikeinheiten kann beispielsweise bedeuten, dass die Logikeinheiten keine Zwischenresultate austauschen, oder gar dass gar keine Signale von der einen Steuereinheit durch die andere Steuereinheit verarbeitet werden.

Figur 6 zeigt schematisch anhand des Beispiels von Figur 4 die Anbindung an die Aussenanlage. Die fettgedruckte schwarze Linie symbolisiert die Grenze zwischen dem Gebäude, in welchem das Stellwerk vorhanden ist, und dem „Draussen". Die Eingabe- und/oder Ausgabeeinheiten sind jeweils einem anzusteuernden Element der Aussenanlage zugeordnet, bspw. die Einheit IO _{R I} dem Block Bl , die Einheit IOwi der Weiche Wl, die Einheit 10s n dem Signal Sl 1 etc. Die Schnittstelle zwischen der bestehenden Verkabelung der Aussenanlage und des ersetzten Stellwerks bildet ein Kabel Verteiler V, der ebenfalls bevorzugt im Gebäudeinneren vorhanden ist.

Figur 7 zeigt als Beispiel eine einfache Aussenanlage mit dem in der Figur unten dargestellten Schienenverlauf. Die Kästen Bl und B2 bezeichnen in der unteren Figurhälfte die Streckenblöcke 1 und 2, Wl und W2 bezeichnen Weichen, Sij sind Signale, und GFMl und GFM2 Gleisfreimeldeeinheiten. In der oberen Figurhälfte (in der Innenanlage) bezeichnen die entsprechend beschrifteten Kästen die den jeweiligen Elementen zugeordneten Eingabe- und/oder Ausgabeeinheiten.

Die Verkabelung der Logikeinheit (FPGA) in einer Ringarchitektur mit den Eingabe- und/oder Ausgabeeinheiten ist im hier gezeichneten Beispiel als Ethernetbus seriell ausgebildet. Die vom Kabelverteiler nach aussen weggehende Aussenverkabelung kann unverändert vom Relaisstell werk übernommen werden.