Verfahren zur Fehleroffenbarung bei einem Stellwerksrechnersystem und Ste11werksrechnersystem

Die Erfindung betrifft ein Verfahren zur Fehlerof fenbarung bei einem Stellwerksrechnersystem mit einem Bedienkanal , dessen Eingangssigna1e signaltechni sch sichere Zustandsme1dungen einer Eisenbahnsicherungsanlage repräsent ieren und dessen Ausgangssignale zur Bedienung mindestens eines Elementes , beispielsweise eines Lichtsignals , der Eisenbahns icherungsan- läge ausgebildet sind und auf einem Dis lay visual isiert werden sowie ein Ste11 erksrechnersystem zur Durchführung des Verfahrens .

Im Rahmen von Hi 1 fsbedienungen an dem Ste11 erksrechnersystem ist sicherzustel len , dass die Entseheidungsgrundlage , d . h . das Meldebi Id auf dem Display, das dem Bediener angezeigt wird, dem tatsächl ichen Zustand der Ei senbahnsicherungsanlage entspricht . Das primäre Z i e1 der Hi 1 fsbedienung besteht darin, dem Bediener eine mögl ichst sichere Entsehe i dungsgrund läge in kri tischen Si tuationen anzubieten . Die Bi 1dsi cherung beruht dabei prinz ipiel 1 auf den Vergleich zweier Bi Ider , näml ich dem Bi Id. auf dem Display, das dem Bediener zur Verfü- gung gestel 11 wird, und dem Bi 1d eines Referenzsystems , welches dieselbe Darstel lung erzeugt .

Bei einem bekannten derartigen System sind dazu ein Bedienkanal und ein Referenzkanal vorgesehen . Diese Rechnerkanä1 e verarbei ten die Informati onen der Ei senbahnsicherungsanlage , welche eine sichere Meldequel le , bei spie1 sweise ein ESTW e1ektroni sehes Stel Iwerk - darstellt . Der Bedienkanal und der Referenzkana1 sind hinsichtl ich ihrer Eingangss ignale und verwendeten Algori thmen identi sch . Bei fehlerfrei er Signal verarbei tung stimmen das Referenzbild des Referenzkana1s und das Zustandsbi Id des Bedienkanals überein . Um diese Übereinstimmung festzuste I len, werden in beiden Kanälen Prüfsummen ermittelt und im Rahmen der Hi 1 fsbedienung an die sichere Meldequelle zum Vergleich übermi ttel .

Bei diesem bekann en Verfahren wird das vollständige Di splay- bi Id. pixelgenau geprüft . Es wird folgl ich ein deutl ich größerer Bildbereich als notwendig geprüft und mögl iche Fehler in einem weniger relevanten oder sogar irrelevanten Bi Idbereich des Displays können eine Kommando freigäbe verhindern . Nachtei 1 ig ist neben dem Hintergrundtest sämtl icher Bi Idpixel vor Allem der erhebl iche Au fwand, für den Prüfsummenverg1 eich . Dami t verbunden sind sehr hohe S IL Anforderungen an die Ein- zelSysteme . Die Sicherhei tsstufen SIL sind in der CENELEC- Norm EN50129 von SIL 0 - si gnaltechnisch nicht sicher - bis SIL 4 - s ignal technisch. hochgradig sicher - definiert .

Darüber hinaus müssen die Bildschirmgrößen für Zustandsbi Id und Referenzbi. Id identisch sein , so dass Zoomen während der Hi 1 fsbedienung nicht mögl ich ist.

Der Erfindung liegt die Aufgabe zugrunde , ein Verfahren und ein Ste11werksrechnersystem gattungsgemäßer Art anzugeben, welche bei hochgradig sicherer Fehlerof fenbarung i rrelevante Pixel fehler tolerieren und eine höhere Verfügbarkei t aufwei - sen , wobei mögl ichst niedr i ge SIL Anforderungen anzustreben sind .

Verfahrensgemäß wird die Aufgabe dadurch gelöst , dass bei Einleitung der Bedienung des Elementes optisch kodi erte , ins - besondere QR - Quick Response - kodi erte , elementspez i f i sehe Pixeldaten des Displays gelesen und mit e1 ementspez i f isehen Daten eines Prozessabbi Ides der signal technisch si cheren Zu- standsme1düngen vergl i chen werden . Die Au fgäbe wird auch mit einem Stellwerksrechnersystem gelöst, bei dem ein Referenzsystem mit einem Rück1esekana1 zum Lesen optisch kodierter , insbesondereQR - Quick Response - kodierter , elementspez i fi scher Pi xeldaten des Displays bei Einlei tung der Bedienung des Elementes und einen Logikkanal zum Erzeugen eines Prozessabbi 1des der signa1 techn i sch sicheren Zustandsmeldungen der Eisenbahnsicherungsanl age vorgese hen ist, wobei der Rück1esekana1 und. der Logikkanal mit einem Vergleicher verbunden sind.

Auf diese Weise erhäl t der Bediener eine gesicherte Entsehei - dungsgrundlage , bei der das Sicherungsver ahren wesentl ich vereinfacht und tolerant gegen unwesen11 iche Pixel fehler ist gegenüber der bekannten Lösung mit dem kompletten Auslesen des Bi 1dschi rminha11es und der Rückrechnung in ein Prozessabbi Id ist das beanspruchte Verfahren wesentl ich einfacher , da nicht der gesamte Bi 1dschirminha11 komplett rückgerechnet wird , sondern nur die aktuel len Zustandsänderungen auf opti schem Wege, vorzugsweise über QR-Codes , maschinenlesbar über tragen werden und quasi nachgezogen werden .

Die Systementwi ck1 ungskosten reduzieren sich, da die SIL-

Anforderungen wei tgehend in das Referenzsystem a1s e igenstan- dige Komponente verlagert werden . Im Ideal fal 1 ist über den Bedienkanal ledi gl ich ein SIL Level von 0 erforder1 ich und für das Referenzsystem ein SIL-Level kleiner a1 s 4, abhängig von der erforderl ichen Sicherheit des Gesamtsystems . Somit wi rd eine klarere rennung zwischen si cherer und nicht siehe rer Funktionalität erreicht . Zudem erlaubt die erfindungsge--- mäße Lösung auch das Zoomen, da der QR Code Zustandsinforma - tionen enthält , die nicht vom verwendeten Bild abhängig sind.

Da das Referenzsystem nur den Bildantei 1 der für den darge stellten E1ementzustand si gni f ikanten Text - bzw . Grafik

Pixel auswertet , ist das Verfahren insgesamt deutlich weniger anfäl 1 ig gegen Pi xel fehler a1 s das bekannte Verfahren . Da durch erhöht sich die Verfügbarkei t des Stel Iwerkssystems . Vortei 1haft ist wei terhin , dass die Software des Bedi enkanals wegen des niedrigen Si cherhei ts1eve1 s einfacher getauscht werden kann, ohne die Systemzu1assung zu gefährden . Darüber hinaus besteht der Vorteil , dass die Funktion des Bedienplatzes nur geringfügig für die Ausgabe der Zustandsände rungen in Form von QR-Codes erweitert werden muss . Es ist aber auch mögl i ch , den Bedienplatz unverändert bei zubehal ten und den QR Code auf einem separaten Ausgabegerät darzustel 1en .

In einer besonders zu bevorzugenden Aus führungs form gemäß An- spruch 3 ist vorgesehen, dass der Rück1 esekanal zur Ausgabe von ersten Prü fsummen und der Logikkanal zur Ausgabe von zweiten Prüfsummen ausgebi Idet sind . Die beiden Prüfsummen werden durch das Referenzsystem in der für den Kommandof rei gabeprozess übl ichen Weise an die sichere Meldequelle , beispielsweise ein ESTW - E1ektroni sches Stel Iwerk - oder ein ETCS - European Train Control System - übertragen , um dort mi teinander vergl ichen zu werden .

Nachfolgend wird die Erfindung anhand einer figürl ichen Darstellung näher erläutert . Die Figur zeigt wesentl iche Bau gruppen eines erfindungsgemäßen Stel Iwerksrechnersystems .

Anstel le der bekannten , im Wesentl ichen identischen Rechner kanäle sind ein a 1 s Bedienkanal 1 fungierender Bedienplatzrechner und ein Referenzsystem 2 vorgesehen , die sehr unter- schied! iche Algorithmen für sehr unterschied1 iche Aufgaben- stel lungen verwenden .

Der Bedienkanal 1 erzeugt aus signa11echnisch sicheren Me1 düngen einer Eisenbahnsicherungsanlage 3 mitte1 s einer pro -- j ektierten Stellwerks1ogi k ein Prozessabbild 4, welches zur Visua1 i si erung einer entsprechenden Text- und/oder Graphi k darstel lung auf einem Display 5 kondi ti oniert wird . Die Bedienung, um z . B . ein Lichtsignal von HALT auf FAHRT zu ste1 - 1en , muss a1 s Hi 1 fsbedienung ausgeführt werden , wei 1 das Stel Iwerk ansonsten seine Si cherhei tsrege1n verletzen würde . Die Hi 1 fsbedi enung wird durch den Bedienkanal 1 an das Ste11 - werk gesendet . Gleichzeitig mit der Einleitung der Bedienung wird die auf den Dis lay 5 angezeigte Farbdarste 1 1ung von dem ReferenzSystem 2 hinsichtl ich Pixel fehler und Fehler bei der Signalverarbeitung im Bedienkanal 1 überprüft . Dazu werden die bedie nungsspez i f isehen Zustandsänderungen zunächst als QR - Quick

Response - Codes erzeugt und von einem QR-Code Leser 7 eines

Rüc k 1 esekana 1s 8 des Referenzsystems 2 ausgelesen . Die entsprechenden Bi Idpixel werden in einem Rechner 9 in ein maschinenlesbares zwei tes Prozessabbi Id. 10 gewandelt , welches eine Prü fsummenbi ldung ermögl icht . ϊn einem Logikkanal 11 des ReferenzSystems 2 wird eine zweite Prüfsumme über ein Prozessabbi 1d 12 dieses Logikkanals 11 gebildet. Das Prozessabbi 1d 12 wird - wie bei dem Bedienkanal das Prozessabbi 1d. 4 - direkt aus der projektierten Stellwerkslogik und dami t di rekt aus den signa 11echni sch sicheren Zustandsme 1düngen der Eisenbahnsicherungsan 1age 3 gebildet .

Die Prüfsummen des Rück 1esekana 1s 8 und des Logikkanals 11 werden von einem Vergleicher 13, der vorzugsweise Bestandtei 1 des s igna 11echnisch sicheren Bereichs der Ξte 11werksanläge ist, mi teinander vergl ichen . Nur bei Übereins immung der beiden Prü fsummen kann davon ausgegangen werden, dass die Signalverarbeitung in dem Bedienkanal 1 fehlerfrei abgelaufen ist und das Display 5 in den relevanten Pi xe 1bereichen fehlerfrei ist, so dass die Kommandofreigabe erfolgen kann . Bei diesem Ξicherungsverfahren werden die für die momentane Bedienhandlung nicht erforder 1 ichen Pixelbereiche des Displays 5 ignoriert , wodurch sich eine hohe Verfügbarkei t des Gesamt - Systems ergibt .

Durch das Zusammens i e 1 von Bedienkanal 1 und Referenzsystem

2 mit den beiden unabhäng igen Kanälen 8 und 11 für die Pixel auswer ung und für die Prozessauswertung ergi bt sich eine hohe signa 1 1echnisehe Sicherheit , wobei der durch das Referenzsystem 2 gesicherte Bedienkanal 1 ein Si cherhei tslevel SIL 0 aufweisen kann . Dadurch beschränkt sich der Funkt ions-- umfang mit SIL größer 0 auf das ReferenzSystem 2 und kann - bezogen auf das Gesamtsystem - gegenüber der bekannten Aus- führungs form deutl ich reduziert werden .