Verfahren und Vorrichtung zum Betreiben einer Eisenbahnsicherungsanlage Die Erfindung betrifft ein Verfahren zum Betreiben einer Ei- senbahnsicherungsanlange mit einer Betriebsleitzentrale, die komplexe Zustände verarbeitet, und mindestens einem Rückfall - System sowie eine diesbezügliche Vorrichtung.

Die Betriebssicherheit bei einem Fehler oder bei Totalausfall der Betriebsleitzentrale wird immer wichtiger, da bei hochverfügbaren Betriebsleitzentralen die Nutzung des Rückfallsystems immer seltener erforderlich wird und somit häufig Erfahrungen und ausreichendes Training fehlen. Das betrifft insbesondere Eisenbahnsicherungsanlagen, die nicht mit der herkömmlichen Eisenbahn-Logik arbeiten, sondern mit komplexeren Logiken, zum Beispiel Moving Block bei ETCS L3 - European Train Control System Level 3 - Varianten. Bei Moving Block- Systemen werden in der Betriebsleitzentrale MA - Movement Authorities - generiert und zum Schienenfahrzeug übertragen, wobei das Schienenfahrzeug Positionsdaten und andere Daten zurückmeldet. Bei einem Fehler oder bei Ausfall im System kann das Schienenfahrzeug unter Umständen noch die aktuell gültige MA zu Ende fahren und muss dann in einer Art Zugleitbetrieb gefahren werden.

Während des Normalbetriebes mit der Betriebsleitzentrale lässt sich der Zustand z des Betriebes aus Sicht der Betriebsleitzentrale in einem komplexen Zustandsraum Z be- schreiben, der neben der Streckentopologie unter anderem alle erteilten MA sowie den Zustand aller Schienenfahrzeuge enthält. Dieser komplexe Zustand z ist normalerweise für einen Bediener in der Betriebsleitzentrale schwer überschaubar, insbesondere wenn ein manueller Eingriff nur selten erforder- lieh ist. Die Benutzung des vorhandenen RückfallSystems im Notfall ist mit einem hohen Fehlerrisiko und damit erheblichem Gefahrenpotential für die Betriebssicherheit des Gesamtsystems verbunden .

Auch eine weitere Erhöhung des Zentralisierungsgrades, zum Beispiel durch Verlagerung von Funktionen der Betriebsleitzentrale oder des Rückfallsystems in eine Cloud wird dadurch bisher verhindert.

Der Erfindung liegt die Aufgabe zu Grunde, die Bedienung des Rückfallsystems derart zu vereinfachen, dass auch im Notfall eine ausreichend hohe Betriebssicherheit gewährleistet ist. Die Aufgabe wird verfahrensgemäß dadurch gelöst, dass die komplexen Zustände z in einfachere Zustände r, die manuell verarbeitbar sind, transformiert und an das Rückfallsystem übertragen werden. Die Aufgabe wird auch durch eine Vorrichtung gelöst, die eine Transformationseinrichtung zur Transformation der komplexen Zustände z in einfachere Zustände r, die manuell verarbeitbar sind, und eine Übertragungseinrichtung zur Übertragung der einfacheren Zustände r an das Rückfallsystem aufweist.

Durch die Transformation wird jedem komplexen Zustand z im Zustandsraum Z der Betriebsleitzentrale ein quasi traditioneller Zustand r aus einem Zustandsraum R des Rückfallsystems zugeordnet. Die Zustandsmächtigkeit des transformierten Zu- Standsraumes R kann zum Beispiel der eines Relaisstellwerks entsprechen. Dabei werden die MA auf traditionelle Gleisabschnitte und die Positionen der Schienenfahrzeuge auf die Belegung in diesen Abschnitten abgebildet. Die Gleisabschnitte müssen nicht vorgegeben sein, sondern können dynamisch aus der MA abgeleitet werden. Falls mehrere Rückfallsysteme vorhanden sind, verständigen sich diese untereinander, welches der Rückfallsysteme als Master-System fungieren soll. Nach Beendigung der Notfallsituation, das heißt bei Wiederbenutzbarkeit der Betriebsleitzentrale wird die Bedienberechtigung zusammen mit dem letzten aktuellen Zustand an die Betriebsleitzentrale rückübertragen.

Durch die Vereinfachung des Zustandsraumes , der eine Bedienung des Rückfallsystems durch Bedienpersonal in traditioneller Weise ermöglicht, ergibt sich eine Erhöhung der Betriebssicherheit, wobei üblicherweise ein Sicherheitsprotokoll ge- führt wird, das verhindert, dass unzeitige oder ungewollte Bedienungen ausgeführt werden.

Gemäß Anspruch 2 ist vorgesehen, dass jeder neue komplexe Zustand z transformiert und mit Zeitstempel und authentifiziert an das Rückfallsystem übertragen wird. Dadurch ist dem Rückfallsystem sicher und nachvollziehbar zu jedem Zeitpunkt der aktuelle Betriebszustand bekannt. Die Authentifizierung kann zum Beispiel kryptografisch erfolgen, wobei der Empfang der Zustandsdaten durch das Rückfallsystem an die Betriebsleit- zentrale bestätigt wird.

Eine weitere Erhöhung der Betriebssicherheit ergibt sich gemäß Anspruch 3 dadurch, dass zwischen der Betriebsleitzentrale und dem Rückfallsystem zyklisch Lebenszeichentelegramme übertragen werden. Dadurch ist gewährleistet, dass im Normalbetrieb mindestens ein Rückfallsystem aktiv ist.

Gemäß Anspruch 4 ist vorgesehen, dass bei einem Fehler oder bei Ausfall der Betriebsleitzentrale eine manuelle Bedienung mittels des Rückfallsystems erfolgt, wobei der aktuelle Zustand r zu einer neuen Movement Authority MA verarbeitet wird. Bei Ausfall, beispielsweise der Lebenszeichentelegramme der Betriebsleitzentrale, wird das Rückfallsystem aktiviert und somit dessen Bediener benachrichtigt. Nach einer Fehl- alarmüberprüfung wird dem Bediener der letzte Zustand r angezeigt. Er kann jetzt manuell eine neue MA erzeugen, wobei das Rückfallsystem Anfragen zurückweist, die Sicherheitsbedingun- gen verletzen, beispielsweise bei Fahrwegskonflikten. Der Be- diener hat außerdem die Möglichkeit, Systemzustände manuell zu ändern, beispielsweise wenn eine Weiche manuell umgestellt wurde. Die neue MA, die der Bediener mittels des Rückfallsys- tems erzeugt hat, wird entweder automatisch vom Rückfallsystem zum Schienenfahrzeug übermittelt oder telefonisch an den Fahrzeugführer durchgegeben. Dabei wird von dem Rückfallsystem ein Authentifizierungscode erzeugt, der von dem Fahrzeugrechner des Schienenfahrzeuges akzeptiert werden muss. Nur bei Akzeptanz wird die neue MA gültig.

Vorzugsweise ist gemäß Anspruch 5 vorgesehen, dass von mindestens einem Schienenfahrzeug eine direkte Datenübertragung zu dem Rückfallsystem erfolgt. Dadurch werden Fehlerquellen ausgeschlossen, wobei die aktuellen Zustandsdaten, insbesondere Position und Geschwindigkeit des Schienenfahrzeuges, von dem Rückfallsystem verarbeitet werden.

Gemäß Anspruch 7 ist das Rückfallsystem vorzugsweise als kon- ventionelles Rechensystem ausgebildet, welches über eine

Funkverbindung mit der Betriebsleitzentrale verbunden ist. Bei dem konventionellen Rechnersystem kann es sich zum Beispiel um ein Mobilgerät, wie beispielsweise Tablet, handeln. Über die Funkverbindung mit der Betriebsleitzentrale werden beispielsweise die Lebenszeichentelegramme übertragen und überwacht .

Gemäß Anspruch 8 ist vorgesehen, dass Funktionen der Betriebsleitzentrale und/oder des Rückfallsystems in einer Cloud implementiert sind. Dabei kann es sich um Teilfunktionen oder auch sämtliche Funktionen handeln, wobei die Betriebssicherheit beispielsweise durch mehrere Rückfallebenen weiter erhöht werden kann. Die Erfindung wird nachfolgend anhand einer Figur näher dargestellt . Die Figur zeigt die wesentlichen Komponenten einer Eisenbahnsicherungsanlage .

Die Eisenbahnsicherungsanlage umfasst im Wesentlichen eine Anzahl von Schienenfahrzeugen 1, die bei Normalbetrieb von einer Betriebsleitzentrale 2 und im Fehlerfall von einem Rückfallsystem 3 angesteuert werden. Die Betriebsleitzentrale 2 verarbeitet komplexe Zustände z, die die aktuellen Fahrdaten, beispielsweise Position und Geschwindigkeit, der Schie- nenfahrzeuge 1 in einem komplexen Zustandsraum Z umfassen.

Die Fahrdaten der Schienenfahrzeuge 1 werden ständig mittels Funkantennen 4 an die Betriebsleitzentrale 2 übertragen. Aus diesen Fahrdaten und weiteren Daten, insbesondere Fahrplandaten, generiert die Betriebsleitzentrale 2 für jedes Schienen- fahrzeug 1 eine Movement Authority MA, die unter anderem Vorgaben für ein Geschwindigkeitsprofil bis zu einer bestimmten anzufahrenden Position des Schienenfahrzeuges 1 beinhaltet. Gelichzeitig werden die komplexen Zustände z von der Betriebsleitzentrale 2 oder einem peripheren System in einfa- chere Zustände r transferiert und an das Rückfallsystem 3 übertragen. Vorzugsweise werden zusammen mit den transferierten Zuständen r Lebenszeichentelegramme, ZeitStempel und Au- thentifizierungsmerkmale zwischend der Betriebsleitzentrale 2 und dem Rückfallsystem 3 ausgetauscht. Die Fahrdaten des Schienenfahrzeuges 1, insbesondere über Satelliten 5 ermittelte Positionsdaten, werden außerdem per Funk direkt an das Rückfallsystem 3 übertragen. Auf diese Weise ist das Rückfallsystem 3 zu jeder Zeit über den aktuellen Zustand r der Eisenbahnsicherungsanlage informiert, so dass bei einem rele- vanten Fehler in der Betriebsleitzentrale 2, beispielsweise bei Ausbleiben der Lebenszeichentelegramme, jederzeit ein Ersatz der Betriebsleitzentrale 2 durch das Rückfallsystem 3 möglich ist. Die Zustände r, die auf dem Rückfallsystem 3 angezeigt und verarbeitet werden, entsprechen dabei dem Zu- Standsraum R bei einem Relaisstellwerk und sind somit - im Gegensatz zu den komplexen Zuständen z in der Betriebsleitzentrale 2 - von einem Bediener 6 überschaubar. Der Bediener 6 übernimmt die Ansteuerung der Schienenfahrzeuge 1 in herkömmlicher Weise mit Gleisabschnittsbetrachtung nur so lange, wie der Fehler der Betriebsleitzentrale 2 besteht. Die üblicherweise sehr hohen Sicherheitsstandards bei Eisenbahnsiche- rungsanlagen können auf diese Weise erfüllt werden, wobei neben einer Hardware-Realisierung auch eine Implementierung wenigstens einiger Funktionen der Betriebsleitzentrale 2 und/oder des Rückfallsystems 3 in einer Cloud möglich werden kann .