-
Die Erfindung bezieht sich auf eine Einrichtung zum Steuern eines sicherheitskritischen Prozesses, insbesondere Bahnbetriebsprozesses nach dem Oberbegriff des Anspruches 1.
-
Die nachfolgende Beschreibung bezieht sich im Wesentlichen auf die Anwendung der Einrichtung zur Steuerung von Bahnbetriebsprozessen, ohne dass die Erfindung auf diese spezielle Anwendung beschränkt ist. Die Erfindung umfasst die Ansteuerung sicherheitskritischer Prozesse aller Art, sofern das steuernde System hierarchisch aufgebaut ist, wobei einer Ebene mit einem Mehrrechnersystem eine Ebene mit mehreren Einzelrechnern, welche Prozessanschaltungen ansteuern, untergeordnet ist.
-
Bahnbetriebsprozesse gehören zu den sicherheitskritischen Prozessen, weil etwaige Fehlfunktionen, sollten sie nicht rechtzeitig erkannt und ihre Auswirkung auf den Prozess verhindert werden, zu erheblichen Sachschäden und gegebenenfalls auch zu Personengefährdungen führen können. Aus diesem Grunde werden für die Steuerung solcher Prozesse signaltechnisch sichere Einrichtungen eingesetzt, deren Aufgabe es ist, Fehlfunktionen sowohl des zu steuernden Prozesses als auch innerhalb der Prozesssteuerung selbst zu erkennen und den Prozess daraufhin in einen sicheren Zustand zu führen bzw. zu belassen.
-
Aus der
DE 39 24 266 A1 ist ein Verfahren zum Betrieb einer signaltechnisch sicheren Schnittstelle zwischen zwei gleichartigen Mehrrechnersystemen bekannt, bei dem Datentelegramme mit Sicherungsanhängen und Nachrichtennummern zur Sicherstellung der gleichen Reihenfolge eingehender Datentelegramme bidirektional übertragen werden.
-
1 zeigt das Grundprinzip der hierarchischen Strukturierung der Systemebenen. Einer Bedien- und Anzeige-Ebene ist dabei eine System-Logik-Ebene untergeordnet, welche die einzelnen Prozessanschaltungen (Proz) steuert. Der Buchstabe „F” in den Figuren steht für fail-safe, wodurch die signaltechnisch sichere Bauform zum Ausdruck gebracht wird. Das F-System gemäß 1 erfüllt die Sicherheitsanforderungen der Stufen SIL3 und SIL4 nach der CENELEC-Norm. Die F-System-Logik besteht im Wesentlichen aus Standardkomponenten wie handelsüblichen PCs. Die Kommunikation zwischen der Ebene F-System-Logik und der Ebene Prozessanschaltungen (Proz) basiert auf Standardkommunikationskomponenten. Üblicherweise erfolgt die Kommunikation zwischen den Ebenen nach dem Prinzip der einkanalig sicheren Datenübertragung, wobei auch Redundanz vorgesehen sein kann. In 1 ist zwischen den Ebenen F-System-Logik und Prozessanschaltungen (Proz) gestrichelt ein zweites Bussystem dargestellt, wodurch eine redundante Kommunikation und folglich eine Erhöhung der Verfügbarkeit erreichbar wird. Die Prozessanschaltungen (Proz) sind in der Regel Stellteile für Signale, Weichen und andere Feldelemente.
-
2 zeigt den Aufbau der F-System-Logik nach dem Stand der Technik. Ein Mehrrechersystem (F-Plattform) mit vier Rechnern (PC1, PC2, PC3 und PC4) ist mit mehreren Mehrkanalrechnern (F-Rechner), von denen zwei dargestellt sind, verbunden. In den vier Rechnern (PC1, PC2, PC3 und PC4) läuft die identische Applikation (App) gemäß der F-System-Logik. Die Applikationen (App) müssen völlig synchron laufen. Die Synchronisation wird in den Mehrkanalrechnern (F-Rechner) durchgeführt. Für die redundante Kommunikation zwischen dem Mehrrechnersystem (F-Plattform) und den einzelnen mit den Prozessanschaltungen (Proz) verbundenen Mehrkanalrechnern (F-Rechner) sind zwei physikalische Kommunikationsverbindungen, aber vier logische Verbindungen erforderlich. An die Leistungsfähigkeit dieser Kommunikation werden sehr hohe Anforderungen gestellt. Ebenso muss der Mehrkanalrechner (F-Rechner), der die Synchronisation bewältigen muss, eine hohe Leistungsfähigkeit aufweisen. Die vier logischen Verbindungen werden mittels Cyclical Redundancy Check (CRC1, CRC2, CRC3 und CRC4), d. h. durch Prüfsummenbildung dahingehend überprüft, ob die zu übertragenden Telegramme unverändert geblieben sind. Üblicherweise werden die Daten dabei in Cyclical Data Format (SQ/DAT) übertragen.
-
Der Erfindung liegt die Aufgabe zugrunde, eine Einrichtung der gattungsgemäßen Art, insbesondere hinsichtlich der Kommunikationsverbindungen zwischen dem Mehrrechnersystem und den Mehrkanalrechnern, zu vereinfachen.
-
Erfindungsgemäß wird die Aufgabe mit den kennzeichnenden Merkmalen des Anspruchs 1 gelöst. Durch die Verlagerung der Synchronisation von der Ebene der Mehrkanalrechner in die Ebene Mehrrechnersystem ergibt sich eine Verringerung der Kommunikationslast. Dazu wird von jedem Rechner des Mehrrechnersystems an den zu übertragenden Telegrammen unter Einbeziehung eines rechnerspezifischen Parameters ein rechnerspezifischer Sicherungsanhang angefügt. Die rechnerspezifischen Parameter sind nur dem jeweiligen Herkunftsrechner und den Votern der Mehrkanalrechner bekannt. Die so erzeugten Telegramme werden synchronisiert und das resultierende Telegramm mit den rechnerspezifischen Sicherungsanhängen wird von dem Mehrrechnersystem an die Mehrkanalrechner gesendet. Diese kontrollieren den Sicherungsanhang und ermitteln den jeweiligen Herkunftsrechner. Aus Redundanzgründen werden zwei Telegramme übermittelt, so dass zwei physikalische Kommunikationsverbindungen, aber auch nur zwei logische Kommunikationsverbindungen benötigt werden. Dadurch verringert sich die Anzahl der Komponenten und damit auch der Projektierungsaufwand. Ein weiterer Vorteil gegenüber der bekannten Lösung gemäß 2 besteht darin, dass die Synchronisationskanäle zwischen den Rechnern des redundanten Mehrrechnersystems auch zur direkten Kommunikation zwischen den Systemrechnern genutzt werden können. Ein Dazwischenschalten eines Mehrkanalrechners der untergeordneten Ebene ist nicht mehr erforderlich.
-
Durch die reduzierte Kommunikationslast ist auch die direkte Kopplung der Prozessanschaltungen an die Mehrkanalrechner möglich. Die Prozessanschaltungen sind vorzugsweise als eigensichere Komponenten mit integrierten Prüfprogrammen, einer Sicherheitsabschaltung, einem Voter für den Vergleich der eingehenden Telegramme und mit zwei Kommunikationskanälen ausgebildet. Durch die Eigensicherheit der Prozessanschaltungen wird eine hohe Rückwirkungsfreiheit bei Änderung der Prozessanschaltungen auf die höheren Ebenen der F-System-Logik erreicht.
-
Die Mehrkanalrechner sind vorzugsweise zweikanalig aufgebaut, wobei jeder Kanal Ausgänge zur Schaltbeaufschlagung und zur Sicherheitsabschaltung des zu steuernden Prozesses und Rückleseeingänge aufweist.
-
Die Erfindung wird nachfolgend anhand figürlicher Darstellungen näher erläutert. Es zeigen:
-
1 eine Prinzipdarstellung der Rechnerkonfiguration,
-
2 eine Rechnerkonfiguration nach dem Stand der Technik,
-
3 eine erste Variante einer erfindungsgemäßen Rechnerkonfiguration,
-
4 eine zweite Variante einer erfindungsgemäßen Rechnerkonfiguration und
-
5 Rechnerkomponenten.
-
Das Grundprinzip nach 1 ist nach dem Stand der Technik gemäß der oben erläuterten 2 ausgebildet. Danach ist die Synchronisationsfunktion Syn in der Ebene der Mehrkanalrechner F-Rechner angeordnet. Es ist ersichtlich, dass bei dieser Lösung zwischen der Ebene des Mehrrechnersystems F-Plattform und der Ebene der Mehrkanalrechner F-Rechner zwei physikalische und vier logische Kommunikationsverbindungen erforderlich sind.
-
Erfindungsgemäß wird die Funktion der Synchronisation in die Ebene des Mehrrechnersystems F-Plattform verlagert, wie 3 zeigt. Auf diese Weise ergibt sich eine Halbierung der Kommunikationslast. Die Telegramme, die von dem Mehrrechnersystem F-Plattform an die einzelnen Mehrkanalrechner F-Rechner zu senden sind, werden dazu von jedem Rechner PC1, PC2, PC3 und PC4 des Mehrrechnersystems F-Plattform unter Berücksichtigung der Rechner-ID, d. h. rechnerspezifisch, mit einem Sicherungsanhang versehen. Die Rechner-ID ist nur dem jeweiligen Rechner PC1, PC2, PC3 bzw. PC4 des Mehrrechnersystems F-Plattform und den Votern Voter der Mehrkanalrechner F-Rechner bekannt. Die auf diese Weise erzeugten Telegramme werden von dem Mehrrechnersystem F-Plattform redundant synchronisiert Syn und das resultierende Telegramm wird mit den rechnerspezifischen Sicherungsanhängen redundant an jeden der Mehrkanalrechner F-Rechner gesendet. Die Mehrkanalrechner F-Rechner sind mittels ihrer Voter Voter in der Lage, anhand der Rechner-ID die Rechnerbeteiligung zu prüfen. Wegen der redundanten Telegrammübertragung sind zwei physikalische Kommunikationsverbindungen und wegen der Datensynchronisation Syn im Mehrrechnersystem F-Plattform auch nur zwei logische Kommunikationsverbindungen erforderlich.
-
Durch die reduzierte Kommunikationslast ist auch die direkte Kopplung der Prozessanschaltungen Proz an das Mehrrechnersystem F-Plattform möglich, wie 4 zeigt. Die Kopplung kann sowohl einfach als auch redundant ausgeführt sein.
-
5 veranschaulicht die Anbindung eines zu steuernden Prozesses mit der Last L an zweikanalig ausgeführte Prozessanschaltungen Proz und dem zugehörigen Mehrkanalrechner F-Rechner. Der Mehrkanalrechner F-Rechner ist mit zwei Rechnerkanälen Kanal A und Kanal B ausgestattet. Die Steuerbefehle für den Prozess werden dem Zweikanalrechner F-Rechner redundant zuführt und mittels der Voter Voter in den beiden Rechnerkanälen Kanal A und Kanal B miteinander verglichen und auf Übereinstimmung geprüft. Eine Verarbeitungslogik Logik des Rechnerkanals Kanal A bzw. Kanal B leitet Stellbefehle ab, die über Prozessanschaltungen Proz zweikanalig auf Schaltelemente 1 zur Steuerung der Last L einwirken. Über Rückleseverbindungen 2 stellt jeder Kanal Kanal A und Kanal B des Zweikanalrechners F-Rechner fest, ob der Betriebszustand des zu steuernden Prozesses mit dem aufgrund des Ansteuersignals für das Schaltelement 1 zu erwartenden Betriebszustand übereinstimmt. Der F-Rechner prüft die Fehlerfreiheit der Baugruppe und signalisiert diese mit den Schaltelementen zur Sicherheitsabschaltung 3. Es handelt sich somit um eine vierkanalige Zustimmung, um den Verbraucher L anzuschalten.
-
Die Erfindung beschränkt sich nicht auf die vorstehend angegebenen Ausführungsbeispiele. Vielmehr ist eine Anzahl von Varianten denkbar, welche auch bei grundsätzlich anders gearteter Ausführung von den Merkmalen der Erfindung Gebrauch machen.