Zur Steuerung und Überwachung auch umfangreicher Prozeßge¬ schehen werden heute nahezu ausschließlich Rechner oder RechnerSysteme verwendet. So werden z. B. zum Sichern des Bahnverkehrs elektronische Stellwerke eingesetzt, die aus einer Vielzahl von in sich sicheren Rechnersystemen beste¬ hen. Diese Rechner behandeln einzelne Komponenten des Prozeßgeschehens "Bahnanlage" entweder zentral wie z. B. bei der Eingabe von Kommandos und der Ausgabe von Meldungen oder aber dezentral wie z. B. bei der Steuerung des eigent¬ lichen Stellwerksgeschehens. Die letztgenannten Rechner, die sogenannten Bereichsrechner oder Bereichs-Stellrechner, sind bestimmten Teilen der zu steuernden Anlage zugeordnet. Sie beinhalten eine anwenderunabhängige Systemsoftware, d. h. diejenigen Programme, welche die Rechner in die Lage versetzen, als Stellwerk zu arbeiten, und eine bahnverwal- tungsspezifische Software, welche die logischen Stellwerks¬ und Blockbedingungen der jeweiligen Bahnverwaltung bein¬ haltet; die Systemsoftware und die bahnverwaltungsspezi- fische Software sind bei allen Bereichsrechnern ein und desselben Stellwerkes gleich. Um die ihnen zugewiesenen Stellwerksfunktionen erfüllen zu können, müssen die Be¬ reichsrechner auch Kenntnis haben von den anlagenspezifi¬ schen Daten mindestens derjenigen Fahrwegelemente, die zu dem von ihnen gesteuerten Teilbereich der Anlage gehören. Zu diesen anlagenspezifischen Daten gehören Angaben über die jeweils vorhandenen Fahrwegelemente und ihre Anordnung im Gleis in bezug auf die Nachbarfahrwegelemente. Diese Daten sind bei jedem Bereichsrechner unterschiedlich; sie

werden von den Bereichsrechnern in einer Aufrüstphase aus Speichern eines zentralen Rechners individuell abgerufen. Zum Abarbeiten von Stellwerksfunktionen ruft der Bereichs- rechner die entsprechenden, in seinem Speicher hinterlegten Unterprogramme z. B. für die Weichenumstellung oder die Flankenschutzsuche ab und verknüpft sie mit den jeweils infrage kommenden anlagenspezifischen Daten, daß __ . B. mit den Daten einer bestimmten Weiche oder den Daten der in die Flankenschutzsuche einzubeziehenden konkreten Fahrweg- elementen. Die anlagenspezifischen Daten werden bei der

Projektierung eines Stellwerkes vom Projektierer aufgenom¬ men, wobei dessen Arbeit unterstützt wird durch speziell entwickelte elektronische Hilfsmittel. Diese Hilfsmittel ihrerseits bestehen aus einer Eingabe- und Datenεicht- Station und sind so konzipiert, daß der Projektierer lediglich die jeweils relevanten Daten an vorgegebenen Stellen in auf einem Sichtgerät formatiert erscheinenden Listen einzutragen hat. Dabei findet gleichzeitig eine Vollständigkeitskontrolle statt. Weitere Projektierungs- Werkzeuge gestatten eine quantitative Auflistung der für eine Stellwerksanlage benötigten Hardware, die Erstellung der Belegungspläne für Schränke und Rechnerrahmen, die Pläne zur Innenanlageverkabelung und die Erstellung der Pläne der Außenanlage und deren Verkabelung (Signal + Draht, 77(1985)12, Seiten 259 bis 265).

Während es für die eigentlichen Projektierungsarbeiten, also die Auflistung der Element- und Anlagendaten, sowie die Erstellung von Fertigungsunterlagen gut funktionierende Hilfsmittel zu einer mindestens teilweise automatisierten Erstellung dieser Unterlagen gibt, trifft dies für die Erstellung der Systemsoftware und der bahnverwaltungsspe¬ zifischen Software und ihre Verknüpfung miteinander nicht zu. Die Erstellung und vor allem die Prüfung dieser Soft-

wäre ist außerordentlich zeit- und kostenaufwendig, weil sie regelmäßig in einer an die Betriebsweise von Rechnern angepaßten Programmiersprache und nicht in einer problem¬ orientierten Sprache erfolgt, welche das eigentliche Stell¬ werksgeschehen in einer für den Entwickler verständlichen Form beschreibt. Durch die Notwendigkeit, für diese Soft¬ ware einen Sicherheitsnachweis zu führen, vergrößern sich die Kosten und die Zeitspannen bis zum Inbetriebgehen derartiger Stellwerke erheblich.

Ändern sich die bislang berücksichtigten anwendungsspezi¬ fischen Forderungen an eine Steuerungsanlage, weil andere Bedingungen an das Prozeßgeschehen gestellt werden, so sind umfangreiche Programmierarbeiten zur Erstellung einer entsprechend abgewandelten AnwenderSoftware nötig; mindestens bei sicherheitsrelevanten Prozeßsteuerungen ist dann auch ein gesonderter Sicherheitsnachweis erforderlich. Auch bei Änderungen der zu steuernden Anlage selbst müssen umfangreiche Neuprojektierungsarbeiten bewerkstelligt werden, auch wenn diese gegebenenfalls durch den Einsatz von speziellen Hilfsmitteln mindestens zum Teil zu automatisieren sind.

Ansätze in Richtung auf eine für den Entwickler verständ- liehe und übersichtliche problemangepaßte Programmierung im Gegensatz zu einer ausschließlich rechnerorientierten Pro¬ grammierung gibt es bei der sogenannten objektorientierten Programmierung (Computer Magazin 7-8/91, Seiten 34 bis 40) . Bei der objektorientierten Programmierung wird zunächst das anwendungsorientierte Objekt "Steuerungssystem", z. B. "Stellwerk", in mehrere Ebenen von hierarchisch gegliederten Objektklassen unterteilt, von denen die höheren Klassen, z. B. die Signale, die allgemeineren und die nach unten hin gelegenen Klassen die spezielleren

Objekte, z. B. die Vor- und Hauptsignale, beschreiben. Die einzelnen Objektklassen fassen jeweils Individualob ekte mit gleichen Eigenschaften zusammen. Die Beschreibung der Objekte und Objekttypen erfolgt innerhalb der einzelnen Klassen, wobei in Richtung auf die unteren Hierarchieebene immer speziellere Eigenschaften, in denen sich die Objekte voneinander unterscheiden, beschrieben sind. Innerhalb der einzelnen Ebenen sind auch die Verarbeitungsprogramme für die Objekte, die sogenannten Methoden, definiert. Sie be- stehen wie herkömmliche Recherprogramme aus einer Abfolge von Befehlen zur Lösung einzelner Teilprobleme und müssen durch einen Programmierer nach den Anweisungen des Ent¬ wicklers erstellt werden. Es ist nicht vorherzusagen, wie mehrere solcher Teilprogramme wirken, wenn sie miteinander kombiniert werden. Insbesondere ist nicht auszuschließen, daß Programmfehler, die sich in ein Teilprogramm einge¬ schlichen haben, Auswirkungen auf das kombinierte Programm haben können, die nicht vorhersehbar und nur schwer auszumachen sind. Ein schwerwiegendes Problem objektorien- tierter Programmierung ist der Umstand, daß es keine Gewähr für Echtzeitverhalten gibt, weil nicht von vornherein erkennbar ist, wieviele Objekte in einer Bearbeitungsfolge miteinander zu verknüpfen sind.

Aufgabe der Erfindung ist es, ein Verfahren nach dem Ober¬ begriff des Patentanspruches 1 anzugeben, mit deren Hilfe es möglich ist, auf übersichtliche und verständliche weise eine Automatentafel zur vollständigen, Beschreibung des Zustandsübergangs- und Ergebnisverhaltens eines komplexen Steuerungssytems zu generieren sowie eine Einrichtung zur Durchführung dieses Verfahrens anzugeben, die es gestattet, die Automatentafel weitgehend automatisch und damit fehlerfrei zu erstellen. Ferner ist es Aufgabe der

Erfindung, eine so erstellte Automatentafel für die Steuerung eines Prozeßgeschehens zu verwenden.

Die Erfindung löst diese Aufgabe durch die kennzeichnenden Merkmale der Ansprüche l, 6 bzw. 9. Vorteilhafte Ausge¬ staltungen der Erfindung sind in den auf diese Ansprüche direkt oder indirekt rückbezogenen Unteransprüchen angegeben.

Die Merkmale des Anspruches l beschreiben die Verfahrens- schritte zum Generieren der Automatentafel, wie sie später von einem Rechner oder Rechnersystem zur Behandlung einer bestimmten Steuerungsaufgabe abzuarbeiten ist. Ein wesent¬ licher Vorteil dieses Verfahrens besteht darin, daß das je- weils zu lösende Problem zunächst in einer rechnerunabhän¬ gigen Fachsprache definiert und später durch einen schematischen Vorgang in ein für einen Rechner lesbares Programm umgesetzt wird, wobei durch eine spezielle Dar¬ stellung der Umfang für die bei der Problemlösung von einem Rechner abzuarbeitenden Bedingungen handhabbar gehalten werden kann. Das Zustandsübergangs- und Ergebnisverhalten der Objekte wird nicht durch die Ausgangs- und Folgezustände angegeben, sondern durch logische Funktionen, nach denen sich die Folgezustände und Ergebnisse aus den Ausgangszuständen errechnen lassen.

Anspruch 2 benennt nähere Ausgestaltungen zu den für die einzelnen Objekte in der Automatentafel abzuspeichernden Zustandswerten und zu den Gesetzmäßigkeiten für den Zustandswechsel.

Die nach dem Anspruch 3 vorgesehene Aufteilung von Zu- standsübergangsfunktionen in durch Eingabesymbole ausgelö¬ ste Funktionen und in Folgefunktionen, die vom jeweils

erreichten Zustandswert des Steuerungsprozesses abhängig sind, macht es möglich, die einzelnen Zustandsübergangsbe- dingungen von ihrem Umfang her überschaubar zu machen und die beabsichtige Zustandsänderung über eine Folge von Zwi- schenzuständen zu erreichen, deren Zustandsänderungsfunk- tionen so häufig angewendet werden, bis sich keine neuen Folgezustände oder Ergebnisse mehr einstellen.

Als besonders vorteilhaft wird die Darstellung der logischen Gleichungen in Form von Binary Decision Diagrams gemäß Anspruch 4 angesehen, weil diese Darstellung bei Abspeicherung der Gleichungen mit noch vertretbarem Aufwand an Speichervolumen gestattet und weil es genügend Werkzeuge für die BDD-Darstellung von Funktionen gibt.

Durch Umsetzen der in der Automatentafel in kompakter Form niedergelegten Funktionen zum Berechnen von Folgezuständen und Ergebnissen in eine an die hardware des oder der Rechner, die die Automatentafel abarbeiten sollen, geeignete Form gemäß Anspruch 5 läßt sich eine besonders effiziente Prozeßsteuerung erreichen.

Anspruch 6 sieht die Verwendung eines Rechners oder Rech¬ nersystems für die automatische Bestimmung der elementaren Zustandsübergangs- und Ergebnisfunktionen der Steuerungsob¬ jekte einer Steuerungsanlage vor. Diese Zustandsübergangs- und Ergebnisfunktionen werden damit durch einen Rechner unabhängig von weiteren Mitwirkungen eines Menschen gene¬ riert, was zur Folge hat, daß die fertige Automatentafel, wenn dieser Generierungsprozeß abgeschlossen ist, auch tatsächlich fehlerfrei vorliegt. Der Sicherheitsnachweis für die Anwendung einer Automatentafel erstreckt sich damit im wesentlichen nur auf die Überprüfung der logischen Ge¬ setzmäßigkeiten der in der Fachsprache verwendeten Sprach-

mittel, nicht aber auf die konkreten Einzelobjekte und auf den Generierungsprozeß.

Die automatische Generierung der elementaren Zustandsüber- gangs- und Ergebnisfunktionen läßt gemäß Anspruch 7 be¬ stimmte Fehler, die sich bei der Formulierung der Fach- sprachenausdrücke eingeschlichen haben könnten, bereits in der Erstellungsphase der Automatentafel dadurch erkennbar werden, daß der jeweilige Folgezustand bzw. die Ausgabe nicht ermittelbar ist.

Gemäß Anspruch 8 ist es von Vorteil, die Variablen, die bei einem solchen Fehler mitgewirkt haben, zu einer späteren Fehleranalyse abzuspeichern.

Anspruch 9 beinhaltet die Verwendung der nach den Merkmalen der vorangehenden Ansprüche erstellten Automatentafel für die Steuerung einer ganz bestimmten Anlage, für die diese Automatentafel zuvor erstellt wurde.

Anspruch 10 nennt zwei Alternativen für die Abarbeitung der Automatentafel in einem Rechner oder RechnerSystem.

Der Rechner oder das Rechnersystem, über das das Steue- rungssystem betrieben werden soll, ist gemäß Anspruch 11 mit Speichern zum Hinterlegen der Automatentafel und der gültigen Zustandswerte der einzelnen Objekte zu versehen, wobei die Anordnung so getroffen ist, daß gemäß Anspruch 12 die jeweils berechneten Folgezustandswerte die davor aktu- eilen Zustandswerte in den Speichern überschreiben.

Gemäß Anspruch 13 ist vorgesehen, daß im Rechner bzw. Rech¬ nersystem aus der Automatentafel die einzelnen zustands- übergangsfunktionen abgelegt sind und daß von einem Einga-

besymbol jeweils auf diejenigen Objektzustände hingewiesen wird, die sich bei diesem Eingabesymbol für das Objekt ändern können; nur diese Zustände müssen neu berechnet werden, alle übrigen bleiben bestehen.

Entsprechend der bei der Generierung der Automatentafel gewählten Unterteilung in Zustandsübergangs- und Ergebnis- funktionen, die durch Eingaben oder durch den jeweils er¬ reichten Anlagenzustand angereizt werden, werden gemäß Anspruch 14 auch in dem Rechner bzw. Rechnersystem zur Anwendung der Automatentafel entsprechende Bearbeitungs¬ aufteilungen vorgenommen.

Zum Berechnen zeitabhängiger Zustandsänderungsfunktionen sollen die Rechner bzw. Rechnersysteme gemäß Anspruch 15 über Timer verfügen, die nach Abarbeiten der Automatentafel gestartet werden und die bei ihrem Ablauf wieder als Eingaben auf den Automaten selbst einwirken. Dies ist deshalb erforderlich, weil die Automatentafel nur die Generierung von Folgezuεtänden ermöglicht, nicht jedoch Zeitbedingungen dabei berücksichtigt, wie sie für die Steuerung von Prozeßgeschehen erforderlich sein können.

Die Erfindung ist nachstehend anhand von in der Zeichnung dargestellten Ausführungsbeispielen näher erläutert.

Figur l zeigt schematisch den Weg von der Erstellung einer Automatentafel bis zu ihrer Verwendung für die Steuerung eines bestimmten Prozeßgeschehens, Figur 2 die Bildung der Automatentafel,

Figur 3 ein Schema zum Bestimmen der Zustandsübergangs- und

Ergebnisfunktionen eines Objektes und Figur 4 ein Beispiel für die nach der Erfindung vorgesehene

Darstellung logischer Funktionen in Form von Binary Decision Diagramms.

Figur 1 zeigt in einer schematischen Darstellung den Weg zum Herstellen eines Programms und die Anwendung dieses Programms zur Lösung der Steuerungsaufgaben eines belie¬ bigen Prozeßgeschehens. Die Beschreibung der steuerungs- aufgabe und damit die Programmgestaltung basieren auf einer Modellbetrachtung des ausführenden Schaltwerks als endli- eher Automat AUT mit Ein- und Ausgaben . Dieser Automat kommuniziert mit seiner Umgebung über zwei Kanäle: Aus einer Bedienebene empfängt der Automat Informationen über Bedienungshandlungen, die z. B. durch Eingaben eines Bedie¬ ners von Hand an einer Tastatur ausgelöst oder durch ein bestimmtes zuvor festgelegtes Ereignis angereizt werden können. In umgekehrter Richtung sendet der Automat Informa¬ tionen über Systemzustände an die Bedienebene, beispiels¬ weise zum Zwecke der Anzeige oder zum Zwecke der Proto¬ kollierung. An die Stellebene sendet der Automat Befehle für die Elemente (Objekte) des jeweils betrachteten

Steuerungssystems und er empfängt von dort Meldungen über die Zustände der einzelnen Prozeßelemente; jede derartige Meldung verändert seinen internen Zustand, der durch die Summe aller Einzelzustände seiner Objekte definiert ist.

Der Automat AUT verfügt über ein logisches Abbild des Be¬ triebszustandes des Steuerungssystems (Zustandsraum) , das zum Teil eine direkte physische Entsprechung besitzt in Form von Einzelzuständen der Prozeßelemente, zum Teil aber auch ausschließlich logische Bedeutung hat in Form von

Zustandswerten von in bestimmter Form logisch verknüpften Elementen. Zum besseren Verständnis dieser und der folgenden Ausführung sei dem Automaten eine bestimmte Steuerungsaufgabe zugewiesen, nämlich die Steuerung eines

Stellwerkes für den Eisenbahnbetrieb. Die dem Automat bekannten und von ihm verwalteten Zustände beziehen sich dann auf die gegenständlich vorhandenen Prozeßelemente und betreffen z. B. die Lage von Weichen, den Frei- und Besetztzustand von Gleisabschnitten und die jeweils angeschalteten Lichtsignalbegriffe sowie die Topographie der zu steuernden Anlage. Zu den Betriebszuständen mit ausschließlich logischer Bedeutung gehören z. B. die Bildungszustände der einzelnen Fahrstraßen während ihres Aufbaus und Auflδsens.

Um seine Aufgabe als freiprogrammierbares Schaltwerk zur Steuerung des Prozeßgeschehens "Stellwerk" ausführen zu können, muß der Automat neben der Kenntnis der aktuellen Zustände der zu steuernden Objekte auch Bescheid wissen darüber, wie aus den gegenwärtigen Objektzuständen auf Folgezustände überzugehen ist. Ein neuer Folgezustand eines Objektes kann beispielsweise in einer neuen Weichenlage, in einer Änderung des Freimeldezustandes oder in einer Änderung eines angeschalteten Signalbegriffes bestehen; eine Ausgabe an den Prozeß als Ergebnis eines bestimmten Eingabesymbols und eines Objektzustandes kann z. B. in einem Stellimpuls zum Einleiten eines Weichenumlaufs oder im Anschalten eines Lichtsignalstellers bestehen, üblicher- weise greift der Automat AUT hierzu auf eine Automatentafel AT zu, in der die jeweiligen Folgezustände eines Objektes und ggf. zu veranlassende Ausgaben (Ergebnisse) in Abhängigkeit von den gegenwärtigen Objektzuständen und den jeweiligen EingabeSymbolen (Eingaben und Meldungen) aufge- listet sind. Diese Automatentafeln sind, abhängig von der Komplexität des jeweiligen Steuerungssystems, meist recht aufwendig.

Bei umfangreichen SteuerungsSystemen wie beispielsweise bei Stellwerken ist die Anzahl der Objekte des Steuerungs¬ systems und die Komplexität der logischen Verknüpfungen, also die Anzahl der gegenwärtigen und der zukünftigen Objektzustände so groß, daß diese nicht mehr explizit, d. h. durch vollständige Aufzählung, vom Menschen angegeben werden können; die Wahrscheinlichkeit, daß bei der Erstel¬ lung der Automatentafel durch den Menschen fehlerhafte Zustände formuliert werden, ist außerordentlich groß. Die Erfindung, soweit sie sich auf die Erstellung der Automa¬ tentafel bezieht, geht von der Erkenntnis aus, daß die Zustandsmenge und die Zustandsübergänge der Objekte eines SteuerungsSystems wegen der Gleichheit und der Ähnlichkeit der physikalischen und logischen Objekte ein hohes Maß an Regelmäßigkeit aufweisen und daß auch bei großen Systemen die Zustandsübergänge meist nur von einem sehr kleinen Ausschnitt des Zustandsraumes, d. h. einzelnen Zuständen dieser Objekte, abhängen und daß diese mit ihrem Folge- zustand auch nur einen kleinen Teil der Zustandsmenge verändern. Sie geht deshalb von der Überlegung aus, daß es möglich sein müßte, eine Automatentafel zu erstellen, in der das Zustandsübergangs- und Ergebnisverhalten der Objekte durch logische Funktionen beschreibbar ist, die auf bestimmte augenblickliche Zustände der Objekte anzuwenden sind. d. h. die Folgezustände und Ergebnisse liegen nicht vorab vorausbestimmt in der Automatentafel vor, sondern werden aus den gegenwärtigen Zuständen unter Verwendung von in der Automatentafel hinterlegten Funktionen fallweise berechnet. Die Erfindung sieht vor, daß das komplexe Zustandsübergangs- und Ergebnisverhalten der Objekte in mehreren aufeinander aufbauenden Schritten analysiert und in Funktionen umgesetzt wird, wobei die Bedingungen zum Beginn der Generierungsphase noch recht allgemein gehalten und in ihrer Formulierung möglichst prozeßnah ausgeführt

sein sollen, um dann schrittweise immer komplexer zu werden, bis sie schließlich ihren Endzustand in den elementaren objektbezogenen Zustandsübergangs- und Ergebnisfunktionen der Automatentafel des Steuerungssystems gefunden haben. Nach einer besonders vorteilhaften

Ausbildung des erfindungsgemäßen Verfahrens sollen die komplexen Zustandsübergangs- und Ergebnisfunktionen inner¬ halb der Automatentafel in einer komprimierten Form darge¬ stellt werden, die einerseits den Speieheraufwand für die Automatentafel begrenzt und andererseits, was mindestens ebenso wichtig ist, die Bearbeitungszeiten für die Über¬ gangsfunktionen kurz macht. Ein wesentlicher Vorteil der vorausbezeichneten Automatentafel ist der, daß das Funktionsverhalten des Gesamtsystems vor Einschalten des Systems bekannt ist.

Für die Erstellung der Automatentafel, die nachfolgend anhand der Figur 2 erläutert ist, benötigt der Entwickler Eingabewerkzeuge, mit denen er die Betriebsordnung BO, also die anwenderorientierten Regeln für die Bearbeitung des Betriebsgeschehens und die Projektierungsdaten PD der Anlage in Form der Topographie der konkreten Anlageobjekte, der erfindungsgemäßen Generierung zuführt. Wie das im einzelnen geschieht, ist aus Figur 2 ersichtlich, die hierzu wiederum Bezug nimmt auf die übrigen Figuren der Zeichnung.

In der Betriebsordnung BO ist festgelegt, unter welchen Bedingungen auf ein Objekt z. B. des Typs Weiche eingewirkt werden darf. So darf eine Weiche nur dann umgestellt werden, wenn sie frei und nicht verschlossen ist. Diese Bedingungen sind für eine entsprechende Umstellerlaubnis aufzuprüfen und müssen in geeigneter Form abgespeichert vorliegen. Im ersten Schritt, der sogenannten Zustandsat-

tributkodierung, erfolgt die Bestimmung des Speicherauf¬ wandes, der zum Beschreiben des Zustandsraumes der einzelnen Objekttypen als Teil des Zustandsraumes des Gesamtsystems benötigt wird. Unter Objekttypen werden hier die unterschiedlichen Arten von Objekten verstanden bezogen auf das Steuersystem "Stellwerk", also Weichen, Signale, Gleise und Fahrstraßen. Jedes Zustandsattribut, d. h. jede Zustandsart, beinhaltet eine von zwei möglichen Alternati¬ ven. So kann z. B. bezüglich des Freimeldezustandes einer weiche gesagt werden, daß sie entweder freigemeldet oder besetztgemeldet ist. Für die Darstellung dieses Zustands¬ attributes wird ein Bit benötigt, das abhängig vom jewei¬ ligen Wert, durch eine Meldung entweder auf high oder low gesetzt wird. Eine Weiche kann sich, was ihre Lage angeht, üblicherweise nur entweder in der Pluslage oder in der Minuslage befinden, oder aber sie läuft gerade in eine dieser Endlagen und befindet sich zwischen diesen. Für die Darstellung dieser beiden Alternativpaare werden zwei Bits zur Zustandsbeschreibung benötigt. Insgesamt gibt es für die Zustandsattributbeschreibung von Weichen noch sehr viel mehr Parameter wie z. B. den Fahrstraßenverschluß, die Auffahrmeldung oder die Stδrungsmeldung. Alle diese Zustandsattribute werden für jeden Objekttyp der Steue¬ rungsanlage bestimmt und in ihrer Zuordnung zueinander festgelegt, d. h. es wird genau gesagt, an welcher stelle innerhalb der Zustandsattributbeschreibung z. B. der Feimeldezustand und wo der Lagezustand kodiert hinterlegt ist. Ferner werden in der Phase der Zustandsattributkodie¬ rung die Anzahl und die Lage der Bits im Zustandsvektor für die Beschreibung der unveränderlichen Merkmale der ver¬ schiedenen Objekttypen ermittelt und als Platzhalter für die konkreten Objektdaten typbezogen hinterlegt. Am Ende der Zustandsattributkodierungsphase liegen für alle Objekttypen eines Steuerungssystems Schablonen vor, die

besagen, welche Zustände und Merkmale für ein Objekt des betreffenden Typs beschrieben werden müssen, damit der Automat später ein umfassendes Bild über den Zustandsraum des betreffenden Objektes gewinnen kann.

Der zweite Schritt, die sogenannte Zustandsinstantiierung, beinhaltet die Anwendung der zuvor gefundenen Schablonen auf die in der Anlagenbeschreibung, den Projetierungsdaten PD der Anlage, enthaltenen Steuerungsobjekte. Hierdurch entsteht ein Vektor von Aussagenvariablen, die den Zu¬ standsraum des Gesamtsystems repräsentiert. Würde man z. B. zum Beschreiben der möglichen Zustände des Elementtyps Weiche drei Bits benötigen und würde die Anlage hundert Weichen enthalten, so würde der Bitvektor für die Beschrei- bung aller Weichen des Systems 300 Bits umfassen. Tatsäch¬ lich ist der Speicherbedarf allein für die Beschreibung der Weichen sehr viel größer, weil für die Weichen neben den veränderbaren Zustandsangaben - wie bereits ausgeführt - auch unveränderbare Merkmale zu hinterlegen sind. Dies geschieht dadurch, daß für jede Weiche ein zugehöriger Name festgelegt und die Lage dieser weiche im Gleisplan exakt angegeben wird. Hierzu wird die Gleisanlage z. B. in Segmente unterteilt, die jeweils der Position eines der gegenständlichen Objekte entsprechen. Die einzelnen Segmen- te sind an den Endpunkten mit Nachbarsegmenten verbunden. Ein Segment kann dabei einem Objekt mit einer realen Längenausdehung, z. B. einem Gleis, entsprechen, es kann aber auch lediglich als Markierung für den Standort eines punktfόrmigen Objektes, z. B. eines Signals, dienen. Auch einem solchen punktfόrmigen Objekt ist ein Segment mit zwei unterscheidbaren Endpunkten zugeordnet, wodurch sich für dieses Objekt eine fahrrichtungsabhängige Kennzeichnung ergibt. Die Punkte, an denen die Segmente miteinander ver¬ bunden sind, können willkürlich numeriert werden und dienen

zur Beschreibung von Pfaden innerhalb der zu steuernden Anlage, die zu verschiedenen Beschreibungszwecken wie z. B. für einen Fahrweg, einen Durchrutschweg oder für die Flankenschutzsuche benötigt werden. Die Topographie einer Gleisanlage wird damit z. B. durch einen beschrifteten

Graphen repräsentiert, aus dem die Verbindungsstruktur der Objekte hervorgeht. Für die Beschreibung von Fahrstraßen und Fahrwegen werden die jeweils zu beteiligenden Fahrwegelernente aufgelistet und für die einzelnen Fahrstraßen oder Fahrwege objektbezogen abgelegt. Eine andere Möglichkeit zur Topographiebeschreibung besteht z. B. in der listenmäßigen Erfassung von Nachbarschaftsbeziehungen.

Neben der Kenntnis der Zustände und Merkmale der einzelnen Objekte benötigt der Automat über die Automatentafel Kennt¬ nis über das Zustandsübergangs- und Ergebnisverhalten der Objekte, um hieraus Folgezustände der Objekte und Ausgaben ermitteln zu können. Nach der Lehre der vorliegenden Erfindung soll das Zustandsübergangs- und Ergebnisverhalten der einzelnen Objekte durch Angabe von Funktionen beschrie¬ ben werden, nach denen sich die Folgezustände und die Ergebnisse jeweils aus den augenblicklichen Zuständen der betreffenden Objekte und den auf sie wirkenden Eingabe- Symbolen errechnen lassen. Für die Erstellung der Automa¬ tentafel ist es daher erforderlich, die entsprechenden Übergangsbedingungen zu ermitteln und festzulegen. Dies geschieht zunächst auf Elementtypebene, d. h. ohne konkre¬ ten Bezug zu einem bestimmten Objekt. Die Beschreibung der logischen Gesetzmäßigkeiten des Zustandsubergangsverhaltens der Objekte beim Übergang aus einem gegenwärtigen Zustand in einen direkten Folgezustand sowie die Beschreibung des Ergebnisverhaltens der Steuerungsobjekttypen ergibt sich aus der Betriebsordnung BO, in der anzugeben ist, unter

welchen Bedingungen sich derartige Änderungen bzw. Ausgaben ergeben sollen. Für die spätere Generierung der Automaten¬ tafel werden diese logischen Gesetzmäßigkeiten in der Betriebsordnung in einer anwendungsorientierten Fachsprache beschrieben, deren Sprachmittel die Bedingungen für das Erreichen des jeweiligen Folgezustandes oder Ergebnisses als logische Verknüpfung von elementaren Zustandswerten angeben. Konkret für den Anwendungsfall Weiche heißt dies z. B., daß eine Weiche nach Eingabe des entsprechenden Steuerkommandos (Eingabesymbol) nur dann umlaufen darf, wenn sie auch umstellbar ist. "Umstellbar" als Sprach¬ begriff einer anwendungsbezogenen Fachsprache beinhaltet begrifflich, daß die Weiche frei ist und sich in einer Endlage befindet. Dabei kann sie nur dann z. B. nach Minus laufen, wenn sie zuvor die Pluslage eingenommen hatte. Die Transitionsbedingung (Zustandsübergangsbedingung) einer Weiche für den Lauf nach Minus auf Elementtypebene lautet dann z. B.

umstellbar(Weiche) Λplus(Weiche) ** laufNachMinus(Weiche)

Der Folgezustand, gekennzeichnet durch **, "Lauf nach Minus(Weiche) "wird fachsprachlich durch die Bedingungen "umstellbar(Weiche) Λ plus (Weiche)" beschrieben. Die Fachsprache und deren Sprachmittel die vom Entwickler gewählt, optimiert und festgelegt werden, sind immer problembezogen und unterscheiden sich in Abhängigkeit vom jeweiligen Anwendungsfall. Für den Anwendungsfall Stellwerk sind die Sprachmittel unabhängig von der Topographie der zu steuernden Anlage und den Funktionsbedingungen der jeweiligen Betriebsordnung, die von Anwender zu Anwender verschieden sein kann, gleich, wobei allerdings bei unterschiedlichen Betriebsordnungen verschiedener Betreiber die Sprachmittel durchaus unterschiedliche logische Ver-

knüpfungen von Zustandswerten beinhalten können, so bei¬ spielsweise, wenn eine Weiche nur umstellbar sein darf, wenn sie zuvor auch verschlossen war. In diesem Falle muß entweder in den Ausgangs-Zustandswert der Weichenlage der Verschluß impliziert sein oder aber es muß ein zusätzliches Zustandsattribut bereitgestellt werden, das in die Transitionsbedingungen aufzunehmen ist.

In einem folgenden Verfahrensschritt erfolgt die Instanti- ierung der Transitionsbedingungen auf Objektebene. Ähnlich wie bei der Zustandsinstantiierung werden hier die auf den jeweiligen Objekttyp bezogenen Transitionsbedingungen durch Anwendung der zuvor gefundenen Schablone auf die einzelnen Objekte bestimmt und damit vervielfältigt nach der Anzahl der vorhandenen Objekte. Bezogen auf das vorstehend angezo¬ gene Beispiel des Umlaufs einer Weiche nach Minus ergibt sich z. B. für die Weiche W001 eines konkreten Gleisplans die Transitionsbedingung

umstellbar(W001) Λ (W001)** laufNachMinus(WO01) .

Auch nach der Transitioneninstantiierung liegen die Ände¬ rungsbedingungen noch in fachsprachlicher Ausführung vor, die vom Anwender noch ohne weiteres lesbar sind. Dies die vom Anwender ohne weiteres lesbar ist. Dies ändert sich in den folgenden Verfahrensschritten, von denen der erste die sogenannte Expansion- und Transitionkodierung beinhaltet. Hierunter wird verstanden die Ermittlung der elementaren Zustandsübergangs- und Ergebnisfunktionen aller Steuerungsobjekte und ihre Kodierung in binärer Form. Beim Expandieren werden zunächst nur die zuvor verwendeten Sprachmittel der Fachsprache durch die entsprechenden elementaren Zustandswerte ersetzt. Für das angenommene Beispiel heißt dies

(plus(W001) V minus(WOOD) Λ frei (WOOD Λplus(WOOl) ** laufNachMinus(WOOD ) .

Die so gefundenen elementaren Zustandsubergangsfunktionen für die einzelnen Objekte werden nun kodiert unter Verwen¬ dung der zuvor für die Objekte festgelegten Kodierungspara¬ meter. Dabei gibt es nicht nur die erläuterten Zustands¬ werte für die jeweiligen Ausgangszustände, sondern auch entsprechende Zustandswerte für die Folgezustände; für beide wurden bei der Zustandsinstantiierung entsprechende Speicherbereiche reserviert.

In entsprechender Weise wird auch das Zustandsübergangs- sowie Ergebnisverhalten aller anderen Objekte durch fach¬ sprachliche Umschreibungen von Änderungs- bzw. Ergebnisbe¬ dingungen bestimmt und durch Instantiierung, Expansion und Kodierung objektbedingt beschrieben.

Am Ende der Expansions- und Transitionskodierungsphase sind für alle Objekte alle möglichen gegenwärtigen Zustände in Zuordnung zu den zukünftigen Zuständen bekannt, wobei immer nur jeweils einer der gegenwärtigen Zustandswerte eines Objektes den tatsächlichen Zustandswert trifft. Um nun von den möglichen gegenwärtigen Zustandswerten zu dem jeweils zugehörigen zukünftigen Zustandswert zu gelangen, wird aus den zuvor bestimmten und für ein bestimmtes Objekt bei einem bestimmten Eingabesymbol geltenden Transitionsbedin¬ gungen ein Boole'sches Gleichungssystem gewonnen und mit der Methode der Boole'sehen Unifikation gelöst. Die Lösung eines Boole'sehen Gleichungssystems geschieht analog zur Lösung eines linearen Gleichungssystems. Die Boole'sehen Gleichungen werden so aufgestellt, daß sie eine Formali- sierung der Aussage "fi _n p ( ^z - ^B - umstellen) respektiert alle Tansitionen zu inp (z. B. umstellen)" bilden. Jede

Gleichung des Systems ist von der Form f( ...C^...Zj ...) = 1, d. h. wahr, wobei der Term auf der linken Seite aus einer kodierten, expandierten Transition her vorgeht und sowohl Aussagevariablen enthält, die sich auf den aktuellen Zustand des Objektes beziehen ( . . . C . . . ) als auch auf seinen Folgezustand (...Zj ...) . Für die Lösung des Gleichungssystems werden die Aussagevariablen Cj_ als Konstanten betrachtet und das Gleichungssystem nach Zj aufgelöst. Dadurch ergibt sich jedes Zj als Funktion Zj = fj ( ...C-j_...) . Die Funktionen fj bilden gemeinsam die Funktion fi _n p- Jedes fj bestimmt den Wert des j-en bits im Folgezustand in Abhängigkeit von den Bits des gegenwärtigen Zustands.

Diese Zusammenhänge sind nachfolgend anhand der Figur 3 graphisch verdeutlicht. Das Beispiel bezieht sich auf das Umstellen einer Weiche. Liegt die Weiche in der Minuslage und ist sie frei, so kann sie auf einen entsprechenden Umsteuerbefehl (Eingabesymbol) nach Plus umlaufen und sie bleibt dabei frei. Liegt die Weiche in Pluslage und ist sie frei, so kann sie auf einen entsprechenden Umsteuerbefehl nach Minus umlaufen, wobei sie dann ebenfalls frei bleibt. Unterhalb dieser beiden in Figur 3 angegebenen Transitions- bedingungen sind jeweils drei einen möglichen Gesamtzustand einer Weiche im Zustandsvektor beschreibende elementare Zustandswerte aufgeführt. Die ersten beiden Zustandsbits beziehen sich entsprechend der bei der Zustands- instantiierung festgelegten Zuordnung auf die Weichenlage, das dritte Zustandsbit bezeichnet den augenblicklichen Frei/Besetztzustand einer Weiche. Die jeweils links stehende Bitkombination kennzeichnet den augenblicklichen Zustand einer Weiche, die rechte Bitkombination den zugehörigen Folgezustand wie er durch das Eingabesymbol "umstellen" angereizt wird. Im ersten Fall wird der gegenwärtige Zustandswert durch drei Bits der Wertigkeit l

dargestellt. Der neue Zustand der Weiche nach Beginn des Umlaufs beinhaltet Bitkombinationen, die dem Lauf nach plus und dem Freizustand der Weiche entsprechen; die Bitkombinationen für den Folgezustand entsprechen inhaltlich den Bitkombinationen für die Kennzeichnung der entsprechenden augenblicklichen Zustandswerte. Für den Lauf nach plus war bei der Zustandsinstantiierung die Bitfolge 00 festgelegt worden. Durch Anwendung bekannter mathematischer Algorithmen werden nun durch Dreiecke verdeutlichten Funktionen bestimmt, welche die

Eingangsvariablen 11 in die dargestellten Ausgangsvariablen 00 umsetzen. In entsprechender Weise verhält es sich mit den Funktionen beim Umsetzen der Eingangsvariablen 10 für die aus der Pluslage umlaufende Weiche beim Umsetzen in die Ausgangsvariablen 01. Durch Anwendung der Methode der

Boole'sehen Unifikation gelangt man in bekannter Weise zu Funktionen fi und f2, die jeweils für die im Beispiel zwei Eingangsvariablen und eine Ausgangsvariable Gültigkeit haben, unabhängig von deren jeweiligen binären Werten.

Würde man dem Automaten die so gefundenen Funktionen über die Automatentafel mitteilen, so wäre er in der Lage, die Steuerung des Prozeßgeschehens zu übernehmen. Um die nach der Erfindung vorgesehenen Beschreibung des Zustandsübergangs- und Ergebnisverhaltens der Objekte durch Zustandsübergangs- und Ergebnisfunktionen in einer einzigen Automatentafel für das gesamte System handhabbar zu machen, sieht das erfindungsgemäße Verfahren vor, die Boole'sehen Gleichungen für die Beschreibung des Zustandsübergangs- und Ergebnisverhaltens in kompakter Weise darzustellen, bei- spielsweise in Form von Binary Decision Diagramms (BDD) . Die Darstellung logischer Funktionen als Binary Decision Diagramms als solche ist an sich bekannt (IEEE Transaction on Computers, Vol. C35 Nr. 8, August 1986, Seiten 677 bis 691) ; ihr Einsatz zu einer effizienten Speicherung von

SteuerungsInformationen ist jedoch neu. Die Ermittlung der Automatentafel durch Lösen der zuvor ermittelten Gleichungen für das Zustandsübergangs- und Ergebnisverhaltens geschieht unter Anwendung der kompakten Darstellungsform deren Gleichungen mit dem Ergebnis, daß auch die Zustandsübergangs- und Ergebnisfunktionen dieser kompakten Darstellungsform genügen. Die entstehende Automatentafel kann für ein konkretes Zielsystem in eine andere, für dieses Zielsystem optimierte Darstellung überführt werden.

Die Wirkungsweise der Binary Decision Diagramms (BDD) für die effiziente Abspeicherung der Funktionen zum Ermitteln von Folgezuständen und Ergebnissen aus den augenblicklichen Zustandswerten von Objekten ist nachfolgend anhand der Figur 4 näher erläutert. Es ist angenommen, daß die Funk¬ tion f(A, B, C) zum Umsetzen von Eingangsvariablen in Ausgangsvariable der Bedingung A Λ B V C genügt. Für diese Funktionen ergibt sich der in Figur 4 dargestellte Graph, dessen Schichten den Variablen der Boole'sehen Funktion entsprechen. Dieser Graph läßt sich als graphische Darstel¬ lung einer Entscheidungstabelle auffassen, weil das Aus¬ werten der Funktion geschieht, indem ein Pfad vom Stamm bis zu einer Wurzel verfolgt wird, wobei die Entscheidung über den jeweiligen Weg an den Verzweigungspunkten durch die Verknüpfungsregel der Boole'sehen Funktion vorgegeben ist. Falls die Variable, die dem jeweiligen Niveau entspricht, den Wahrheitswert 0 besitzt, verweist diese Variable auf den jeweils linken Suchweg, weist sie den Wahrheitswert l auf, dann verweist sie auf den rechten Suchweg. Die Wur- zelenden repräsentieren die Wahrheitswerte 0 oder l: Endet ein Suchlauf bei einer 0-Wurzel, ist der Wert der Funktion für die konkreten Variablen gleich 0, endet er bei einer l- Wurzel, so ist der Wert gleich l. Für eine Funktion f = A Λ B V C, bei der die Variable A den Werte 0, B den

Wert l und C den Wert 0 haben, ergibt sich der im oberen Graph der Figur 4 gestrichelt angedeutete Suchweg, der als Ergebnis den Wert 0 angibt.

Die durch die Anwendung der Binary Decision Diagramms be- wirkte Verkürzung des Laufweges beim Bestimmen einer Funk¬ tion beruht darauf, daß jeweils mehrfach vorkommende Teil- wurzeln jeweils nur einmal abgespeichert sind, um so zu einer möglichst kompakten Darstellung zu gelangen. Das dem Graph im oberen Teil der Figur 4 entsprechende Diagramm in BDD-Darstellung ist im unteren Teil der Figur 4 angegeben. Ganz offensichtlich ist es so, daß die Funktion nur dann den Wert l annimmt, wenn sowohl A den Wert l als auch B den Wert l haben, egal welchen Wert C dabei einnimmt, oder wenn C den Wert 1 einnimmt, egal welchen Wert A oder B auf- weisen. Bezüglich des ersten Terms A = l, B = l endet die Wurzel am Knoten U, bezüglich der Variablen C beginnt der eigentliche Entscheidungsvorgang erst am Knoten V. Zu die¬ sem Knoten gelangt man auf dem rechten Strang, wenn sowohl A als auch B jeweils den Wert l einnehmen und auf den linken Strang, wenn diese Variablen jeweils den wert 0 einnehmen. Auf diesem linken Strang verfährt man auch wenn nur eine der Variablen A oder B den wert 0 einnimmt, weil die logische Verknüpfung dieser Werte ebenfalls zum Wert 0 führt. Unabhängig von den logischen Werten der Variablen A und B endet der Suchvorgang für die Variable C = 0 am

Knoten W und bei der Variablen C = l am Knoten X. Die an den Endknoten U, W und X angegebenen Werte stellen das Ergebnis der angenommenen Funktion dar.

In ein und demselben Binary Decision Diagramm lassen sich mehrere Boole'sehe Funktionen darstellen, indem man für jede Funktion einen Einstiegsknoten markiert und von dort zu den Wurzelspitzen durchlaufend die entsprechende Funk¬ tion in der geschilderten Weise darstellt. Solche Diagramme

für mehrere Boole'sehe Funktionen werden als BDD-Geflecht bezeichnet.

Das Auffinden der Ergebniswerte von Funktionen auf kürze¬ sten Weg nach dem Prinzip von BDD's ist nicht auf die gra- phische Darstellung in einem sich verzweigenden Graph be¬ schränkt, sondern läßt sich durch eine entsprechende Pro¬ grammstruktur auch in einem Rechner realisieren, wobei es Rechnerroutinen für die Bestimmung von BDD-Darstellungen aus beliebigen Funktionen gibt. Die Erfindung nutzt die Existenz derartiger BDD's, um die Zustandsübergangs- und Ergebnisfunktionen, die sie zum Bestimmen der jeweiligen Folgezustände und Ergebnisse bei der Steuerung eines umfangreichen Prozeßgeschehens verwendet, auf besonders effiziente Weise darzustellen und in einem Speicher zu hinterlegen. Der Vorteil der Hinterlegung der Übergangs- funktionen in BDD-Darstellung ist neben der Begrenzung des Speicherbedarfes die Verkürzung der Bearbeitungszeit zum Auffinden der Folgezustandswerte, was sich an dem sehr einfachen Ausführungsbeispiel der Figur 4 daran zeigt, daß zur Lösung der angenommenen Funktion auf herkömmliche Art und Weise stets vier Knoten durchlaufen werden müssen, während dies in BDD-Darstellung nur drei Knoten sind. Dieser Einsparungseffekt ist bei komplizierteren Funktionen wie sie sich real bei der Bestimmung der Übergangsfunk- tionen großer Steuerungssysteme darstellen, noch beträcht¬ lich höher als in dem simblen Ausführungsbeispiel der Figur 4.

Die Sammlung der objektbezogenen Funktionen zusammen mit Angaben, welches Bit eines Nachfolgezustandes unter welchen Bedingungen (Eingabesymbol) jeweils ausgerechnet werden soll, bildet die Automatentafel, wie sie durch die Anwen¬ dung des erfindungsgemäßen Verfahrens dargestellt ist. Auf die Anwendung der Automatentafel in einem Rechner oder

Rechnersystem zur Steuerung eines Prozeßgeschehens wird später näher eingegangen.

Die Beschreibung der Steuerungsfunktionen eines Stellwerkes oder eines anderen umfangreichen Prozeßgeschehens jeweils als Abfolge eines gegenwärtigen Zustandes und eines Folge¬ zustandes (Fig. 3) ist außerordentlich aufwendig. Oftmals ist es einfacher, einen Zustandsübergang nicht in Abhängig¬ keit von einem bestimmten Eingabesymbol zu beschreiben, sondern in Abhängigkeit von einem schon existierenden internen Zwischenzustand des Steuerungssystems. Nach einer besonders vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens werden deshalb einzelne Übergangsfunktionen nicht unmittelbar durch ein Eingabesymbol angereizt, sondern durch den jeweils erreichten Zwischenzustand der Anlage. Für jedes Objekt sind die zugehörigen Zustands¬ ubergangsfunktionen, deren Ausführung vom jeweils erreichten Zwischenzustand des Objektes abhängig sind, festzulegen und diese Funktionen kommen bei der Abarbeitung der Automatentafel zur Anwendung, sobald das Eingabesymbol auf das betreffende Objekt verwiesen hat und die dadurch angereizte direkte Transitionbedingung abgearbeitet wurde. Der erreichte Folgezustand veranlaßt dann die Abarbeitung der Transitionsbedingungen, die durch den Folgezustand angereizt werden. So werden jeweils nach Abarbeitung eines EingabeSymbols die zustandsorientierten Zustandsüber- gangsbedingungen solange aufeinanderfolgend abgearbeitet, bis sich kein neuer Folgezustand des Gesamtsystems und keine Ausgabe mehr einstellt. Danach kann sich ein folgendes Eingabesymbol durchsetzen und eine weitere Behandlung dieses oder eines anderen Objektes veranlassen.

Ein besonderer Vorteil des erfindungsgemäßen Verfahrens besteht darin, daß dann, wenn die Gesamtheit der Transi¬ tionen eines Eingabesymbols versehentlich so spezifiziert

wurde, daß zu einem gegenwärtigen Zustand sich widerspre¬ chende Bedingungen für den Folgezustand angegeben sind, schon in der Entwicklungsphase, also bei der Erstellung der Automatentafel, dieser Fehler dadurch erkannt wird, daß es keine alle Übergangsfunktionen eines Objektes beschreibende Boole'sehe Gleichung gibt, d. h. das Gleichungssystem keine Lösung besitzt. Die weitere Generierung der Automatentafel wird dann unterbrochen und aus der bis dahin anfallenden Information kann eine Beschreibung der Zustände erzeugt werden, für die das Automatenverhalten Undefiniert ist. Alle Gegenwartszustände, zu denen Folgezustände wider¬ sprüchlich spezifiziert wurden, können zur Fehleranalyse abgespeichert und ausgegeben werden.

Nach dem Abspeichern der Zustandsübergangs- und Ergebnis- funktionen in der Automatentafel läßt sich eine Aussage darüber gewinnen, wie lange ein Rechner, der die Automa¬ tentafel zur Lösung eines bestimmten Problems abarbeiten soll, für die Bearbeitung der einzelnen Vorgänge benötigen wird. Es läßt sich so abschätzen, ob der Automat Echt- zeitverhalten hat.

Die Erfindung sieht in vorteilhafter Weise den Einsatz eines Rechners zur Durchführung des erfindungsgemäßen Verfahrens der Erstellung einer Automatentafel vor; es kann sowohl ein Einzelrechner als auch ein Rechnersystem zur Anwendung kommen. Seine Aufgabe ist es u. a., die elemen¬ taren Zustandsübergangs- und Ergebnisfunktionen sämtlicher Steuerungsobjekte der Steuerungsanlage durch Anwendung der definierten logischen Gesetzmäßigkeiten des Zustandsüber¬ gangs- und Ergebnisverhaltens der Steuerungsobjekttypen auf die Steuerungsobjekte der konkreten Steuerungsanlage zu ermitteln, d. h. er hat mindestens die Expansion und Tran¬ sitionen-Codierung, ggf. auch die Zustands- und Transi¬ tionen-Instantiierung durchzuführen. Diese Vorgänge laufen

dann unabhängig von der Mitwirkung eines Bedieners ab und sind daher weitestgehend fehlerunempfindlich. Eine weitere Aufgabe dieses Rechners ist die Ermittlung der elementaren Übergangs- und Ergebnisfunktionen und die Darstellung dieser Funktionen z. B. in Form von Binary Decision Diagrams.

Die Arbeit dieses Rechners nach der Erstellung der Automa¬ tentafel ist beendet. Die Automatentafel kann in Gestalt einer Diskette, eines EPROMS oder eines sonstigen Speicher- mittels vom Entwicklungsrechner getrennt und einem oder mehreren Rechnern gegenständlich oder inhaltlich zugeführt werden, die für die Steuerung des eigentlichen Prozeßge¬ schehens vorgesehen sind. Dieser Rechner oder dieses Rechnersystem dient dann zum Abarbeiten der nach dem erfin- dungsgemäßen Verfahren und der Einrichtung zur Durchführung des Verfahrens erstellten speziellen Automatentafel. Dabei kann die Anordnung so getroffen sein, daß auf dem Rechner oder Rechnersystem ein an dessen spezielle Hardware ange¬ paßtes Automatenprogramm abläuft, das mit den in der Auto- matentafel abgelegten elementaren Zustandsübergangs- und Ergebnisfunktionen arbeitet oder aber dem Rechner/Rechner- System kann die Automatentafel in kodierter Form über einen Compiler in für ihn abarbeitbarer Form zugeführt werden. Das Automatenprogramm erhält aus dem zu steuernden Prozeß Zustandmeldungen der Steuerungsobjekte sowie Eingaben als Eingabesymbole und es veranlaßt Ausgaben an die Steuerungsobjekte sowie Meldungen als Ausgabesymbole (Fig.i) . Die jeweiligen Ausgaben und Meldungen werden durch die dem Automaten zugeführten Eingabesymbole sowie die jeweils erreichten internen Zwischenzuständen der Objekte nach Maßgabe der aus der Automatentafel aufgerufenen Zustandsübergangs- und Ergebnisfunktionen errechnet und überschreiben dann entweder bestimmte Zustandswerte im

Zustandsvektor oder sie veranlassen die Ausgabe von Stell- impulsen für die Prozeßelemente.

Der Rechner bzw. das Rechnersystem des Automaten verfügt über Speicher zum Ablegen der Automatentafel und zum Ver- walten der jeweils gültigen Zustandswerte für alle vorkom¬ menden Steuerungsobjekte. Die Zustandswerte der einzelnen Objekte werden in Form eines Datenvektors festgehalten und der Rechner bzw. das Rechnersystem überschreibt die jeweils aktuellen Zustandswerte beim Berechnen von Zustandsänderun- gen durch die jeweils sich ergebenden neuen Werte und ver¬ ändert damit den Zustandsvektor.

Für jeden einem Objekt zugeordneten Folgezustandswert, der verschieden sein kann vom jeweiligen Ausgangszustandswert, ist eine eigene Zustandsübergangsfunktion zum Auffinden des jeweiligen Folgezustandes hinterlegt (Fig. 3) . Jedes eine Zustandsänderung veranlassende Eingabesymbol verweist min¬ destens mittelbar auf das oder die jeweils zu ändernden Zu¬ stände eines Steuerungsobjektes sowie die in Frage kommen¬ den Zustandsänderungsfunktionen. Aus diesem Grunde brauchen diese Änderungsfunktionen nur auf diejenigen Variablen des Datenvektor angewendet werden, die sich tatsächlich ändern; alle sich nicht ändernden Zustandswerte bleiben unverändert erhalten. Durch diese Maßnahme wird der zeitliche Aufwand für die Bestimmung der Folgezustände und Ergebnisse und auch der Aufwand für die Speicherung der Änderungsfunktio¬ nen gegenüber einer Ausbildung verringert, bei der sich die Änderungsfunktionen auf alle Variablen des betreffenden Objektes beziehen.

Entsprechend der Generierung der Automatentafel gibt es neben Zustandsübergangs- und Ergebnisfunktionen, auf die

Eingabesymbole direkt hinweisen, weitere Zustandsübergangs- und Ergebnisfunktionen in der Automatentafel, deren Behand-

lungen allein vom Erreichen eines bestimmten inneren Zu¬ standes der Steuerungsanlage als Ergebnis der Ausführung einer vorangegangenen Zustandsänderungsfunktion abhängen. Das Abarbeiten dieser vom inneren Zustand der Steuerungs- anläge abhängigen Zustandsänderungsfunktionen erspart die vollständige eingabesymbolbezogene Beschreibung dieser Funktionen und die mehrfache Hinterlegung solcher Zustandsubergangsfunktionen, die im Rahmen einer Objektbehandlung mehrfach abgearbeitet werden können.

Bei der Steuerung eines Prozeßgeschehens kommt es häufig darauf an, daß bestimmte Zeitparameter eingehalten werden. So wird z. B. ein eingeleiteter Stellvorgang abgebrochen, wenn der Stellvorgang nicht innerhalb einer bestimmten Zeit abgeschlossen werden kann. Derartige zeitabhängige Schalt- Vorgänge sind über die Automatentafel nicht ohne weiteres anreizbar, weil die Automatentafel nur die Berechnung der jeweiligen Folgezustände eines Objektes beschreibt als Reaktion auf bestimmte EingabeSymbole oder innere Zustände. Um dennoch derartige zeitabhängige Vorgänge realisieren zu können, soll der Rechner bzw. das Rechnersystem oder eine besondere Hardware zum Berechnen zeitabhängiger Zustandsän- derungen über Timer verfügen, die vom Automaten durch Ausgabe spezieller AusgabeSymbole individuell zu starten sind und deren Ablauf bewirkt, daß dem Automaten entsprechende Eingabesymbole zugeführt werden. Diese Maßnahme macht es möglich, auch zeitabhängige Steuer- Vorgänge auszuführen, obgleich diese eigentlich im Programm der Automatentafel nicht vorgesehen sind.

Die Erfindung wurde vorstehend anhand eines sehr einfachen Ausführungsbeispieles der Eisenbahnsignaltechnik, nämlich dem Einzelumstellen einer Weiche, erläutert. Das Verfahren zum Erstellen der Änderungsfunktionen zum Abarbeiten von Fahrstraßenaufträgen geschieht in genau der gleichen Weise

wie bei der Einzelumstellung einer Weiche, nur daß das Objekt, nämlich die jeweilige Fahrstraße, mehrere Einzelob¬ jekte aufweist, die in der Beschreibung des Fahrstraßenob¬ jektes hinterlegt sind und den Aufruf der jeweils zugehδri- gen Zustandsvariablen im Datenvektor bei der Behandlung der Fahrstraße ermöglichen. Für die Behandlung einer Fahrstraße gelten wiederum an das jeweilige Problem, nämlich die FahrStraßenbehandlung angepaßte Sprachmittel der Fachspra¬ che für das stellwerksgeschehen.

Das relevante Sprachmittel "Zulassungsprüfung" für den Vorgang der Zulassungsprüfung im Rahmen der FahrStraßenbildung würde als Transitionsbedingung auf Elementtypebene beinhalten: Für einen Pfad im Gleisplan von Start nach Ziel soll gelten: Alle Elemente der Fahrstraße sollen frei und nicht gesperrt sein (oder eine oder mehrere andere Bedingungen erfüllen, die durch die Betriebsordnung vorgegeben sind) .

Für AllePfadObjekte (Objekt, Fahrweg,frei(Objekt) Λnicht geperrt(Objekt) .

Der Ausdruck "für AllePfadObjekte" bindet die Variable "Objekt" = Fahrwegelement an jedes Objekt auf einem konkreten ahrweg. Er wird als Quantor bezeichnet, weil er Bedingungen (hier: freiΛnicht gesperrt) an eine Gruppe von Objekten (Fahrwegelemente) bindet und damit diese Bedingungen quantifiziert. Quantoren stellen nichts anderes dar als kompakte Schreibweisen für immer wiederkehrende Ausdruckweisen, die leichter zu überblicken sind als die unabgekürzte Form ihrer elementaren Zustandswerte; sie bilden die Sprachmittel der Fachsprache, wobei ihr begifflicher Inhalt vorgegeben ist durch das zu beschreibende Prozeßgeschehen. Die expandierte Transitionenbedingung der Zulassungsprüfung einer konkreten

Fahrstraße zwischen einem Startelement S21 und einem Zielelement S22 über die Fahrwegelemente W04 und W05 würde lauten:

frei(S2l) Λnicht gesperrt(S21) Λfrei(W04) Λnicht gesperrt(W04) Λfrei(W05) Λnicht gesperrt(W05) Λfrei(S22) Λ nicht gesperrt(W05) ** Folgezustand.

Die an der Fahrstraßenbildung konkret zu beteiligenden, über Quantoren anzusprechenden Fahrwegelemente S21, W04, W05, S22 ergeben sich aus der Anforderung einer ganz bestimmten Fahrstraße aus der Vielzahl der möglichen Fahrstraßen.

Es gibt auch Quantoren für die Bindung von Bedingungen an ganz bestimmte Objekte einer Vielzahl von Objekten, z. B. bei der Flankenschutzsuche. Dort soll das letzte Pfadobjekt auf einem Flankenschutzpfad Flankenschutz bieten. Der Quantor "Flankenschutz" beinhaltet für LetztesPfadObjekt(Objekt,fls_Pfad,fls_bieten(Objekt)

Der Quantor bindet hier die Variable Objekt, für das die Bedingung fls_bieten(Objekt) = Flankenschutz bieten gilt, an das letzte Objekt auf dem Flankenschutzpfad fls_Pfad.

Das Expandieren und Codieren der konkreten Transitionsbedingungen beschieht wieder automatisch im Rechner, der die Automatentabelle erstellt, durch Einsetzen der jeweils relevanten elementaren Zustandswerte in die durch die Quantoren und die zugehörigen Eingabesymbole (Anfordern einer ganz bestimmten Fahrstraße) bezeichneten Transitionsbedingungen. Die zunächst verwendeten Sprachmittel sind damit ersetzt durch eine Folge von Zustanswerten, die vorhanden sein müssen, damit ein Folgezustand einer Fahrstraße erreicht werden kann. Hieraus

werden Boole'sehe Gleichungen gebildet und die sich daraus ergebenden Zustandsänderungsfunktionen werden nach Umsetzung in BDD's in der Automatentafel abgelegt.

Die Erfindung ist, obgleich beschrieben anhand von Ausfüh- rungsbeispielen der Eisenbahnsignaltechnik, mit Vorteil auch bei der Steuerung anderer vorzugsweise komplexer Pro¬ zeßgeschehen zu verwenden, beispielsweise zur Steuerung von Energieversorgungsanlagen oder zum Betrieb von Verkehrs- leitsystemen. Dabei kommt es nicht darauf an, ob das Prozeßgeschehen durch nur einen oder durch mehrere Rechner gesteuert wird, die gemeinsam Zugriff haben auf eine ge¬ meinsame Automatentafel oder getrennt zugreifen auf ent¬ sprechend ihrem Prozeßgeschehen angepaßte verteilte Automatentafelteile oder ob die steuernden Rechner einfach, redundant oder signaltechnisch sicher und ggf. redundant ausgeführt sind.

Ein ganz entscheidender Vorteil der Erfindung ist darin zu sehen, daß der Sicherheitsnachweis für die Richtigkeit der in der Automatentafel hinterlegten Zustandsübergangsfunk- tionen im wesentlichen nur in der Bewahrheitung der logi¬ schen Verknüpfung elementarer Zustandswerte in den Sprach¬ mitteln der gewählten Fachsprache besteht. Wenn diese Be¬ dingung erfüllt ist und die Projektierungsdaten fehlerfrei sind, ist auch die erstellte Automatentafel mit sehr großer Wahrscheinlichkeit fehlerfrei, weil die Umsetzung in die elementaren Zustandswerte der einzelnen Objekte der Steue¬ rungsanlage und die Bestimmung der Änderungsfunktionen durch einen Rechner unabhängig von der Sorgfalt eines Menschen geschieht. Bei etwaigen Änderungen der Außenanlage bedarf es keines neuen Sicherheitsnachweises, weil sich an den dem Sicherheitsnachweis zu unterziehenden Gesetzmäßig¬ keiten nichts geändert hat. Es muß lediglich eine neue Automatentafel erstellt werden, in der das erfindungsgemäße

Verfahren unter Verwendung geänderter Projektierungsdaten nochmals angewendet wird.

Unterschiedliche Anwender, z. B. verschiedene Bahnverwal¬ tungen, stellen ggf. unterschiedliche Anforderungen an die Prozeßsteuerung. Das führt zu unterschiedlichen Sprachmit¬ teln für unterschiedliche Anwender oder aber dazu, daß für unterschiedliche Anwender diese Sprachmittel zwar gleich sind, aber unterschiedliche logische Gesetzmäßigkeiten beinhalten. Sind Sicherheitsnachweise zu erbringen, so sind sie auf alle Sprachmittel der verwendeten Fachsprache anzuwenden.

Die in den ausführenden Rechnern zur Anwendung kommenden Automatentafeln sind verschieden in Abhängigkeit von der jeweils zur Anwendung kommenden Betriebsordnung und den Projektierungsdaten der jeweils zu steuernden Anlage; sie sind prinzipiell unabhängig von der hardware der verwendeten Rechner, können aber zurecht als Optimierung an diese angepaßt werden. Das Automatenprogramm zur Abarbeitung der Automatentafel ist von der zur Ausführung verwendeten hardware abhängig, aber für alle Anwender und alle Anwendungen gleich. Es muß nur dann geändert werden, wenn sich die Technologie der ausführenden Rechner ändert, weil z. B. andere Prozessoren zur Realisierung des Schalt¬ werkes verwendet werden.