DE102004035901B4 - Einrichtung zum Steuern eines sicherheitskritischen Prozesses - Google Patents

Einrichtung zum Steuern eines sicherheitskritischen Prozesses Download PDF

Info

Publication number
DE102004035901B4
DE102004035901B4 DE102004035901.6A DE102004035901A DE102004035901B4 DE 102004035901 B4 DE102004035901 B4 DE 102004035901B4 DE 102004035901 A DE102004035901 A DE 102004035901A DE 102004035901 B4 DE102004035901 B4 DE 102004035901B4
Authority
DE
Germany
Prior art keywords
computer
channel
platform
proz
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102004035901.6A
Other languages
English (en)
Other versions
DE102004035901A1 (de
Inventor
Rainer Körner
Bernd Prade
Rudolf Temming
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102004035901.6A priority Critical patent/DE102004035901B4/de
Publication of DE102004035901A1 publication Critical patent/DE102004035901A1/de
Application granted granted Critical
Publication of DE102004035901B4 publication Critical patent/DE102004035901B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Einrichtung zum Steuern eines sicherheitskritischen Prozesses, insbesondere Bahnbetriebsprozesses, mit einem signaltechnisch sicheren Mehrrechnersystem (F-Plattform), welches Mittel zur Erzeugung von Telegrammen mit rechnerspezifischen Sicherungsanhängen aufweist und mehreren signaltechnisch sichereren Mehrkanalrechnern (F-Rechner), welche Mittel zur Zuordnung der von dem Mehrrechnersystem (F-Plattform) empfangenen Telegramme anhand der rechnerspezifischen Sicherungsanhänge zu den Rechnern (PC1, PC2, PC3, PC4) des Mehrrechnersystems (F-Plattform) aufweisen und Prozessanschaltungen (Proz) ansteuern, dadurch gekennzeichnet, dass das Mehrrechnersystem (F-Plattform) Synchronisationsmittel (Syn) und Sendeeinrichtungen zum Senden der synchronisierten Telegramme an die Mehrkanalrechner (F-Rechner) aufweist, wobei jeder Kanal (Kanal A, Kanal B) des Mehrkanalrechners (F-Rechner) über eine der Prozessanschaltungen (Proz) mit einem Schaltelement (1) und einer Rückleseverbindung (2) des zu steuernden Prozesses sowie direkt mit einer Sicherheitsabschaltung (3) des zu steuernden Prozesses verbunden ist.

Description

  • Die Erfindung bezieht sich auf eine Einrichtung zum Steuern eines sicherheitskritischen Prozesses, insbesondere Bahnbetriebsprozesses nach dem Oberbegriff des Anspruches 1.
  • Die nachfolgende Beschreibung bezieht sich im Wesentlichen auf die Anwendung der Einrichtung zur Steuerung von Bahnbetriebsprozessen, ohne dass die Erfindung auf diese spezielle Anwendung beschränkt ist. Die Erfindung umfasst die Ansteuerung sicherheitskritischer Prozesse aller Art, sofern das steuernde System hierarchisch aufgebaut ist, wobei einer Ebene mit einem Mehrrechnersystem eine Ebene mit mehreren Einzelrechnern, welche Prozessanschaltungen ansteuern, untergeordnet ist.
  • Bahnbetriebsprozesse gehören zu den sicherheitskritischen Prozessen, weil etwaige Fehlfunktionen, sollten sie nicht rechtzeitig erkannt und ihre Auswirkung auf den Prozess verhindert werden, zu erheblichen Sachschäden und gegebenenfalls auch zu Personengefährdungen führen können. Aus diesem Grunde werden für die Steuerung solcher Prozesse signaltechnisch sichere Einrichtungen eingesetzt, deren Aufgabe es ist, Fehlfunktionen sowohl des zu steuernden Prozesses als auch innerhalb der Prozesssteuerung selbst zu erkennen und den Prozess daraufhin in einen sicheren Zustand zu führen bzw. zu belassen.
  • Aus der DE 39 24 266 A1 ist ein Verfahren zum Betrieb einer signaltechnisch sicheren Schnittstelle zwischen zwei gleichartigen Mehrrechnersystemen bekannt, bei dem Datentelegramme mit Sicherungsanhängen und Nachrichtennummern zur Sicherstellung der gleichen Reihenfolge eingehender Datentelegramme bidirektional übertragen werden.
  • 1 zeigt das Grundprinzip der hierarchischen Strukturierung der Systemebenen. Einer Bedien- und Anzeige-Ebene ist dabei eine System-Logik-Ebene untergeordnet, welche die einzelnen Prozessanschaltungen (Proz) steuert. Der Buchstabe „F” in den Figuren steht für fail-safe, wodurch die signaltechnisch sichere Bauform zum Ausdruck gebracht wird. Das F-System gemäß 1 erfüllt die Sicherheitsanforderungen der Stufen SIL3 und SIL4 nach der CENELEC-Norm. Die F-System-Logik besteht im Wesentlichen aus Standardkomponenten wie handelsüblichen PCs. Die Kommunikation zwischen der Ebene F-System-Logik und der Ebene Prozessanschaltungen (Proz) basiert auf Standardkommunikationskomponenten. Üblicherweise erfolgt die Kommunikation zwischen den Ebenen nach dem Prinzip der einkanalig sicheren Datenübertragung, wobei auch Redundanz vorgesehen sein kann. In 1 ist zwischen den Ebenen F-System-Logik und Prozessanschaltungen (Proz) gestrichelt ein zweites Bussystem dargestellt, wodurch eine redundante Kommunikation und folglich eine Erhöhung der Verfügbarkeit erreichbar wird. Die Prozessanschaltungen (Proz) sind in der Regel Stellteile für Signale, Weichen und andere Feldelemente.
  • 2 zeigt den Aufbau der F-System-Logik nach dem Stand der Technik. Ein Mehrrechersystem (F-Plattform) mit vier Rechnern (PC1, PC2, PC3 und PC4) ist mit mehreren Mehrkanalrechnern (F-Rechner), von denen zwei dargestellt sind, verbunden. In den vier Rechnern (PC1, PC2, PC3 und PC4) läuft die identische Applikation (App) gemäß der F-System-Logik. Die Applikationen (App) müssen völlig synchron laufen. Die Synchronisation wird in den Mehrkanalrechnern (F-Rechner) durchgeführt. Für die redundante Kommunikation zwischen dem Mehrrechnersystem (F-Plattform) und den einzelnen mit den Prozessanschaltungen (Proz) verbundenen Mehrkanalrechnern (F-Rechner) sind zwei physikalische Kommunikationsverbindungen, aber vier logische Verbindungen erforderlich. An die Leistungsfähigkeit dieser Kommunikation werden sehr hohe Anforderungen gestellt. Ebenso muss der Mehrkanalrechner (F-Rechner), der die Synchronisation bewältigen muss, eine hohe Leistungsfähigkeit aufweisen. Die vier logischen Verbindungen werden mittels Cyclical Redundancy Check (CRC1, CRC2, CRC3 und CRC4), d. h. durch Prüfsummenbildung dahingehend überprüft, ob die zu übertragenden Telegramme unverändert geblieben sind. Üblicherweise werden die Daten dabei in Cyclical Data Format (SQ/DAT) übertragen.
  • Der Erfindung liegt die Aufgabe zugrunde, eine Einrichtung der gattungsgemäßen Art, insbesondere hinsichtlich der Kommunikationsverbindungen zwischen dem Mehrrechnersystem und den Mehrkanalrechnern, zu vereinfachen.
  • Erfindungsgemäß wird die Aufgabe mit den kennzeichnenden Merkmalen des Anspruchs 1 gelöst. Durch die Verlagerung der Synchronisation von der Ebene der Mehrkanalrechner in die Ebene Mehrrechnersystem ergibt sich eine Verringerung der Kommunikationslast. Dazu wird von jedem Rechner des Mehrrechnersystems an den zu übertragenden Telegrammen unter Einbeziehung eines rechnerspezifischen Parameters ein rechnerspezifischer Sicherungsanhang angefügt. Die rechnerspezifischen Parameter sind nur dem jeweiligen Herkunftsrechner und den Votern der Mehrkanalrechner bekannt. Die so erzeugten Telegramme werden synchronisiert und das resultierende Telegramm mit den rechnerspezifischen Sicherungsanhängen wird von dem Mehrrechnersystem an die Mehrkanalrechner gesendet. Diese kontrollieren den Sicherungsanhang und ermitteln den jeweiligen Herkunftsrechner. Aus Redundanzgründen werden zwei Telegramme übermittelt, so dass zwei physikalische Kommunikationsverbindungen, aber auch nur zwei logische Kommunikationsverbindungen benötigt werden. Dadurch verringert sich die Anzahl der Komponenten und damit auch der Projektierungsaufwand. Ein weiterer Vorteil gegenüber der bekannten Lösung gemäß 2 besteht darin, dass die Synchronisationskanäle zwischen den Rechnern des redundanten Mehrrechnersystems auch zur direkten Kommunikation zwischen den Systemrechnern genutzt werden können. Ein Dazwischenschalten eines Mehrkanalrechners der untergeordneten Ebene ist nicht mehr erforderlich.
  • Durch die reduzierte Kommunikationslast ist auch die direkte Kopplung der Prozessanschaltungen an die Mehrkanalrechner möglich. Die Prozessanschaltungen sind vorzugsweise als eigensichere Komponenten mit integrierten Prüfprogrammen, einer Sicherheitsabschaltung, einem Voter für den Vergleich der eingehenden Telegramme und mit zwei Kommunikationskanälen ausgebildet. Durch die Eigensicherheit der Prozessanschaltungen wird eine hohe Rückwirkungsfreiheit bei Änderung der Prozessanschaltungen auf die höheren Ebenen der F-System-Logik erreicht.
  • Die Mehrkanalrechner sind vorzugsweise zweikanalig aufgebaut, wobei jeder Kanal Ausgänge zur Schaltbeaufschlagung und zur Sicherheitsabschaltung des zu steuernden Prozesses und Rückleseeingänge aufweist.
  • Die Erfindung wird nachfolgend anhand figürlicher Darstellungen näher erläutert. Es zeigen:
  • 1 eine Prinzipdarstellung der Rechnerkonfiguration,
  • 2 eine Rechnerkonfiguration nach dem Stand der Technik,
  • 3 eine erste Variante einer erfindungsgemäßen Rechnerkonfiguration,
  • 4 eine zweite Variante einer erfindungsgemäßen Rechnerkonfiguration und
  • 5 Rechnerkomponenten.
  • Das Grundprinzip nach 1 ist nach dem Stand der Technik gemäß der oben erläuterten 2 ausgebildet. Danach ist die Synchronisationsfunktion Syn in der Ebene der Mehrkanalrechner F-Rechner angeordnet. Es ist ersichtlich, dass bei dieser Lösung zwischen der Ebene des Mehrrechnersystems F-Plattform und der Ebene der Mehrkanalrechner F-Rechner zwei physikalische und vier logische Kommunikationsverbindungen erforderlich sind.
  • Erfindungsgemäß wird die Funktion der Synchronisation in die Ebene des Mehrrechnersystems F-Plattform verlagert, wie 3 zeigt. Auf diese Weise ergibt sich eine Halbierung der Kommunikationslast. Die Telegramme, die von dem Mehrrechnersystem F-Plattform an die einzelnen Mehrkanalrechner F-Rechner zu senden sind, werden dazu von jedem Rechner PC1, PC2, PC3 und PC4 des Mehrrechnersystems F-Plattform unter Berücksichtigung der Rechner-ID, d. h. rechnerspezifisch, mit einem Sicherungsanhang versehen. Die Rechner-ID ist nur dem jeweiligen Rechner PC1, PC2, PC3 bzw. PC4 des Mehrrechnersystems F-Plattform und den Votern Voter der Mehrkanalrechner F-Rechner bekannt. Die auf diese Weise erzeugten Telegramme werden von dem Mehrrechnersystem F-Plattform redundant synchronisiert Syn und das resultierende Telegramm wird mit den rechnerspezifischen Sicherungsanhängen redundant an jeden der Mehrkanalrechner F-Rechner gesendet. Die Mehrkanalrechner F-Rechner sind mittels ihrer Voter Voter in der Lage, anhand der Rechner-ID die Rechnerbeteiligung zu prüfen. Wegen der redundanten Telegrammübertragung sind zwei physikalische Kommunikationsverbindungen und wegen der Datensynchronisation Syn im Mehrrechnersystem F-Plattform auch nur zwei logische Kommunikationsverbindungen erforderlich.
  • Durch die reduzierte Kommunikationslast ist auch die direkte Kopplung der Prozessanschaltungen Proz an das Mehrrechnersystem F-Plattform möglich, wie 4 zeigt. Die Kopplung kann sowohl einfach als auch redundant ausgeführt sein.
  • 5 veranschaulicht die Anbindung eines zu steuernden Prozesses mit der Last L an zweikanalig ausgeführte Prozessanschaltungen Proz und dem zugehörigen Mehrkanalrechner F-Rechner. Der Mehrkanalrechner F-Rechner ist mit zwei Rechnerkanälen Kanal A und Kanal B ausgestattet. Die Steuerbefehle für den Prozess werden dem Zweikanalrechner F-Rechner redundant zuführt und mittels der Voter Voter in den beiden Rechnerkanälen Kanal A und Kanal B miteinander verglichen und auf Übereinstimmung geprüft. Eine Verarbeitungslogik Logik des Rechnerkanals Kanal A bzw. Kanal B leitet Stellbefehle ab, die über Prozessanschaltungen Proz zweikanalig auf Schaltelemente 1 zur Steuerung der Last L einwirken. Über Rückleseverbindungen 2 stellt jeder Kanal Kanal A und Kanal B des Zweikanalrechners F-Rechner fest, ob der Betriebszustand des zu steuernden Prozesses mit dem aufgrund des Ansteuersignals für das Schaltelement 1 zu erwartenden Betriebszustand übereinstimmt. Der F-Rechner prüft die Fehlerfreiheit der Baugruppe und signalisiert diese mit den Schaltelementen zur Sicherheitsabschaltung 3. Es handelt sich somit um eine vierkanalige Zustimmung, um den Verbraucher L anzuschalten.
  • Die Erfindung beschränkt sich nicht auf die vorstehend angegebenen Ausführungsbeispiele. Vielmehr ist eine Anzahl von Varianten denkbar, welche auch bei grundsätzlich anders gearteter Ausführung von den Merkmalen der Erfindung Gebrauch machen.

Claims (3)

  1. Einrichtung zum Steuern eines sicherheitskritischen Prozesses, insbesondere Bahnbetriebsprozesses, mit einem signaltechnisch sicheren Mehrrechnersystem (F-Plattform), welches Mittel zur Erzeugung von Telegrammen mit rechnerspezifischen Sicherungsanhängen aufweist und mehreren signaltechnisch sichereren Mehrkanalrechnern (F-Rechner), welche Mittel zur Zuordnung der von dem Mehrrechnersystem (F-Plattform) empfangenen Telegramme anhand der rechnerspezifischen Sicherungsanhänge zu den Rechnern (PC1, PC2, PC3, PC4) des Mehrrechnersystems (F-Plattform) aufweisen und Prozessanschaltungen (Proz) ansteuern, dadurch gekennzeichnet, dass das Mehrrechnersystem (F-Plattform) Synchronisationsmittel (Syn) und Sendeeinrichtungen zum Senden der synchronisierten Telegramme an die Mehrkanalrechner (F-Rechner) aufweist, wobei jeder Kanal (Kanal A, Kanal B) des Mehrkanalrechners (F-Rechner) über eine der Prozessanschaltungen (Proz) mit einem Schaltelement (1) und einer Rückleseverbindung (2) des zu steuernden Prozesses sowie direkt mit einer Sicherheitsabschaltung (3) des zu steuernden Prozesses verbunden ist.
  2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Prozessanschaltungen (Proz) integraler Bestandteil der Mehrkanalrechner (F-Rechner) sind.
  3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Prozessanschaltungen (Proz) als eigensichere Komponenten mit Prüfprogrammen, Sicherheitsabschaltung, Voter und zwei Kommunikationskanälen ausgebildet sind.
DE102004035901.6A 2004-07-19 2004-07-19 Einrichtung zum Steuern eines sicherheitskritischen Prozesses Expired - Fee Related DE102004035901B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102004035901.6A DE102004035901B4 (de) 2004-07-19 2004-07-19 Einrichtung zum Steuern eines sicherheitskritischen Prozesses

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004035901.6A DE102004035901B4 (de) 2004-07-19 2004-07-19 Einrichtung zum Steuern eines sicherheitskritischen Prozesses

Publications (2)

Publication Number Publication Date
DE102004035901A1 DE102004035901A1 (de) 2006-03-16
DE102004035901B4 true DE102004035901B4 (de) 2016-02-04

Family

ID=35853238

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004035901.6A Expired - Fee Related DE102004035901B4 (de) 2004-07-19 2004-07-19 Einrichtung zum Steuern eines sicherheitskritischen Prozesses

Country Status (1)

Country Link
DE (1) DE102004035901B4 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE502007003081D1 (de) * 2006-03-29 2010-04-22 Tiefenbach Gmbh Einrichtung zur anschaltung und überwachung einer lichtsignalanlage im eisenbahnverkehr
FR2900381B1 (fr) * 2006-04-28 2016-10-14 Arion Entreprise Systeme de gestion automatique du deplacement d'au moins un vehicule sur une ligne de circulation
EP2125482B1 (de) * 2006-12-22 2014-05-14 Central Signal, LLC Vitale festkörpersteuerung
US8028961B2 (en) 2006-12-22 2011-10-04 Central Signal, Llc Vital solid state controller
DE102007004917B4 (de) * 2007-01-26 2010-09-30 Siemens Ag Verfahren und Anordnung zur Ansteuerung und Überwachung von Feldelementen
ITTO20090172A1 (it) * 2009-03-09 2010-09-10 Ansaldo Sts Spa Sistema di supporto alla protezione del personale di manutenzione su linee, in particolare su linee ferroviare, e relativo metodo
WO2011153115A2 (en) 2010-05-31 2011-12-08 Central Signal, Llc Roadway detection
ITGE20110034A1 (it) * 2011-03-31 2012-10-01 Automazione E Sicurezza Ferroviaria S R L Sistema di rappresentazione in sicurezza dello stato dell'equipaggiamento di un impianto di segnalamento ferroviario
DE102021209038A1 (de) 2021-08-18 2023-02-23 Siemens Mobility GmbH Verfahren zum automatischen Erkennen und Korrigieren von Speicherfehlern in einem sicheren mehrkanaligen Rechner

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3924266A1 (de) * 1989-07-22 1991-01-31 Standard Elektrik Lorenz Ag Verfahren zum betrieb einer signaltechnisch sicheren schnittstelle
DE19532639A1 (de) * 1995-08-23 1997-02-27 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3924266A1 (de) * 1989-07-22 1991-01-31 Standard Elektrik Lorenz Ag Verfahren zum betrieb einer signaltechnisch sicheren schnittstelle
DE19532639A1 (de) * 1995-08-23 1997-02-27 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten

Also Published As

Publication number Publication date
DE102004035901A1 (de) 2006-03-16

Similar Documents

Publication Publication Date Title
DE102009054157C5 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
EP1927914B1 (de) Sicherheitsmodul und Automatisierungssystem
DE10353950C5 (de) Steuerungssystem
EP1631014B1 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
WO2011060872A2 (de) Sicherheitsmodul für ein automatisierungsgerät
DE10142408A1 (de) Verfahren und Versorgungsleitungstruktur zur Übertragung von Informationen zwischen elektrischen Kraftfahrzeugkomponenten
EP1297394A1 (de) Redundantes steuerungssystem sowie steuerrechner und peripherieeinheit für ein derartiges steuerungssystem
DE102005014804A1 (de) Bordnetzsystem für ein Kraftfahrzeug sowie Steuergerät und intelligentes Energieversorgungsgerät für ein Bordnetzsystem eines Kraftfahrzeugs
EP1989470B1 (de) Sicherheitskonzept für eine getriebestellvorrichtung
DE10301504B3 (de) Einsignalübertragung sicherer Prozessinformation
CH701344A1 (de) Stellwerksteuerung.
DE102004035901B4 (de) Einrichtung zum Steuern eines sicherheitskritischen Prozesses
EP3100121B1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
DE102005023296B4 (de) Zugbeeinflussungssystem
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
EP2297619B1 (de) Überwachungssystem
EP1197418A1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
EP2433184A1 (de) Steuerungssystem zum steuern eines prozesses
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
WO2003047937A1 (de) Verfahren zum steuern eines sicherheitskritischen bahnbetriebsprozesses und einrichtung zur durchführung dieses verfahrens
WO2020052803A1 (de) Effiziente leitungstreibervorrichtung zur datenflusskontrolle
WO2011113405A1 (de) Steuergeräteanordnung
WO2012022362A1 (de) Vorrichtung und verfahren zum steuern einer maschine mit codiertem und nicht codiertem programmcode

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: SIEMENS MOBILITY GMBH, DE

Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, 80333 MUENCHEN, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee