DE102007043053B4 - Signal-safe electronic element control for carrying out a driving operation of rail vehicles - Google Patents
Signal-safe electronic element control for carrying out a driving operation of rail vehicles Download PDFInfo
- Publication number
- DE102007043053B4 DE102007043053B4 DE102007043053.3A DE102007043053A DE102007043053B4 DE 102007043053 B4 DE102007043053 B4 DE 102007043053B4 DE 102007043053 A DE102007043053 A DE 102007043053A DE 102007043053 B4 DE102007043053 B4 DE 102007043053B4
- Authority
- DE
- Germany
- Prior art keywords
- level
- computer system
- secure computer
- security
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims abstract description 128
- 230000008569 process Effects 0.000 claims abstract description 110
- 238000012544 monitoring process Methods 0.000 claims abstract description 32
- 238000004891 communication Methods 0.000 claims abstract description 29
- 238000012360 testing method Methods 0.000 claims abstract description 26
- 230000005540 biological transmission Effects 0.000 claims abstract description 16
- 230000001960 triggered effect Effects 0.000 claims abstract description 15
- 238000005516 engineering process Methods 0.000 claims description 10
- 230000007246 mechanism Effects 0.000 claims description 3
- 230000003287 optical effect Effects 0.000 description 8
- 230000007547 defect Effects 0.000 description 7
- 230000011664 signaling Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000004913 activation Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 230000007257 malfunction Effects 0.000 description 5
- 230000002950 deficient Effects 0.000 description 4
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 3
- 101000879675 Streptomyces lavendulae Subtilisin inhibitor-like protein 4 Proteins 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 229910052802 copper Inorganic materials 0.000 description 3
- 239000010949 copper Substances 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 239000003990 capacitor Substances 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000005286 illumination Methods 0.000 description 2
- 241000859095 Bero Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000004907 flux Effects 0.000 description 1
- 230000005283 ground state Effects 0.000 description 1
- 230000003760 hair shine Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009413 insulation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000007935 neutral effect Effects 0.000 description 1
- 238000001208 nuclear magnetic resonance pulse sequence Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 210000002105 tongue Anatomy 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L21/00—Station blocking between signal boxes in one yard
- B61L21/04—Electrical locking and release of the route; Electrical repeat locks
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen, bestehend aus einer signaltechnisch sicheren Bedien- und Beobachtungsebene, einer Sicherungsebene und einer die anzusteuernden Elemente enthaltenden Prozessebene sowie Datenübertragungseinrichtungen zwischen den Komponenten dieser Ebenen, wobei entweder durch Bedienereingabe auf der Bedien- und Beobachtungsebene oder durch internen Programmablauf im sicheren Rechnersystem der Sicherungsebene Befehle zur Ansteuerung von mindestens einem Element der Prozessebene gegeben werden können, wobei die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit vom sicheren Rechnersystem der Sicherungsebene geleistet werden, wohingegen die Rechner bzw. sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen können, dadurch gekennzeichnet, dass- von dem sicheren Rechnersystem der Sicherungsebene die sicherheitsrelevante Ansteuerung von Elementen der Prozessebene ausgelöst wird, wenni. bei Befehlen, die durch die Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben werden, die Befehle mit einer Datenübertragungseinrichtung an das sichere Rechnersystem in der Sicherungsebene übertragen, dort positiv auf Plausibilität überprüft und in neu codierter Form an die Bedien- und Beobachtungsebene zurück über-tragen werden, die Software des mindestens einen Rechners der Bedien- und Beobachtungsebene den neu codierten Befehl des sicheren Rechnersystems ihrerseits positiv auf Plausibilität überprüft und das Ergebnis in final codierter Form erfolgreich an das sichere Rechnersystem in der Sicherungsebene überträgt, und wenn zusätzlich über einen separaten Kommunikationsweg des zugeordneten Prozesselementes für sicherheitsrelevante Bedienungen ein gedoppelter oder anti-valenter Kontakt und/oder zusätzlich codierte digitale Adressen eingelesen und positiv geprüft wurden,ii. durch internen Programmablauf im sicheren Rechnersystem der Sicherungsebene ein Befehl zur Ansteuerung von mindestens einem Element der Prozessebene erteilt wird,- die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher abgebrochen wird, sobald mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt.Method for signal-technically safe electronic element control for carrying out a driving operation of rail vehicles, consisting of a signal-technically safe operating and observation level, a safety level and a process level containing the elements to be controlled as well as data transmission devices between the components of these levels, either by operator input on the operating and observation level or commands to control at least one element of the process level can be given by internal program execution in the secure computer system at the security level, the safety-related tests and algorithms for ensuring process security being performed by the secure computer system at the security level, whereas the computers or other components of the operating and observation level and the process level can meet lower security requirements, characterized in that - by the secure computer system stem of the security level, the safety-relevant control of elements of the process level is triggered if i. In the case of commands that are entered by the operator input on the operating and monitoring level, the commands are transmitted to the secure computer system on the security level using a data transmission device, checked there for plausibility and transferred back to the operating and monitoring level in a new coded form the software of the at least one computer at the operating and monitoring level checks the newly coded command of the secure computer system positively for plausibility and successfully transmits the result in the final coded form to the secure computer system at the security level, and if additionally via a separate communication path of the assigned process element for safety-relevant operations, a double or anti-valent contact and / or additionally coded digital addresses were read in and checked positively, ii. a command to control at least one element of the process level is issued by internal program execution in the secure computer system of the security level, - the control of elements of the process level is safely terminated with a corresponding error message as soon as at least one of the aforementioned plausibility checks of the commands used in at least one of the participating computer is negative.
Description
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur signaltechnisch sicheren elektronischen Ansteuerung von Elementen, die den Fahrbetrieb von Schienenfahrzeugen leiten und sichern.The invention relates to a method and a device for the signal-technically safe electronic control of elements that guide and secure the running of rail vehicles.
Der Fahrbetrieb von Schienenfahrzeugen wird bei technisch gesicherten Strecken zentral von einem für den entsprechenden Infrastrukturbereich zuständigen Stellwerk geleitet und gesichert.The operation of rail vehicles on technically secured routes is managed and secured centrally by a signal box responsible for the relevant infrastructure area.
Die Elemente der Außenanlage des Stellwerks, wie z.B. Signale, Weichen, Bahnübergänge, Blockeinrichtungen etc. müssen von der Stellwerkslogik dabei signaltechnisch sicher gesteuert und überwacht werden, das heißt, dass sich die Elemente der Außenanlage mit hinreichend großer Wahrscheinlichkeit auch bei beliebig anzunehmenden Fehlern im System in einem Zustand befinden, der die Sicherheit des Fahrbetriebs nicht gefährdet.The elements of the external system of the signal box, e.g. Signals, switches, level crossings, block devices, etc. must be safely controlled and monitored by the signal box logic, which means that the elements of the outdoor area are in a state with a sufficient degree of probability, even in the event of any errors in the system, which ensure the safety of the system Driving operations not endangered.
Die signaltechnische Sicherheit von Stell- und Überwachungseinrichtungen wird mithilfe sicherungstechnischer Bauelemente realisiert, wobei alle in die Stell- und Überwachungsvorgänge eingebundenen Komponenten entsprechend überprüft werden.The signaling safety of actuating and monitoring devices is implemented with the help of safety-related components, with all components involved in the actuating and monitoring processes being checked accordingly.
Eine vergleichende Übersicht der bei verschiedenen Bahnverwaltungen im Einsatz befindlichen unterschiedlichen elektronischen Stellwerkstypen hinsichtlich der verwendeten Rechnerkomponenten, Systemstrukturen, Sicherheitskonzepte sowie Gestaltung von Hard- und Software ist in dem Artikel „Sicherungs- und Telekommunikationstechnik“ in Signal + Draht 3, 1997, beschrieben. Die im Einsatz befindlichen Systeme unterscheiden sich unter anderem hinsichtlich Ein- oder Zweikanaligkeit, sicherer beziehungsweise nicht sicherer Bediensysteme, Betriebskonzept und Kosten.A comparative overview of the different electronic interlocking types used by various railway administrations with regard to the computer components, system structures, security concepts and hardware and software design is described in the article "Security and Telecommunications Technology" in Signal + Draht 3, 1997. The systems in use differ among other things in terms of one or two channels, safe or non-safe operating systems, operating concept and costs.
So ist insbesondere in deutschen ESTW eine sichere Anzeige und Bedienung erforderlich.Safe display and operation is required, especially in German ESTW.
Beispiele für die Systemarchitektur in deutschen ESTW finden sich in den Übersichtsartikeln „SIMIS D“, in Signal + Draht 3, 2006 sowie „Die Bombardier-Lösung einer neuen ESTW-Bauform bei der DB AG“, in Signal + Draht 5, 2005.Examples of the system architecture in German ESTW can be found in the overview articles "SIMIS D", in Signal + Draht 3, 2006 and "The Bombardier solution for a new ESTW design at DB AG", in Signal + Draht 5, 2005.
Alle etablierten, vornehmlich proprietären elektronischen LST-Konzepte basieren auf „Verfahrenssicherungen“. Zum Beispiel besteht ein klassisches 2-von-3-Prozessorsystem aus marktüblichen elektronischen Bauteilen, wie beispielsweise dem Intel Pentium 1. Eine in den Standardprozessoren programmierte spezifische Applikation bildet die Sicherheitsmechanismen ab. Die Ergebnisse der Prüf-Applikationen werden auf aus Standard-Halbleiterbauelementen entworfenen Hardwarepartitionen verglichen und im Fehlerfall Sicherheitsabschaltungen ausgelöst.All established, primarily proprietary electronic LST concepts are based on "procedural safeguards". For example, a classic 2-out-of-3 processor system consists of commercially available electronic components, such as the Intel Pentium 1. A specific application programmed in the standard processors maps the security mechanisms. The results of the test applications are compared on hardware partitions designed from standard semiconductor components and safety shutdowns are triggered in the event of a fault.
Teilweise werden die Grundsätze der Verfahrenssicherung bereits heute in der Eisenbahnsicherungstechnik angewendet.Some of the principles of procedural security are already being used today in railway security technology.
Für sicherheitsgerichtete Bedienungen in einem Stellwerk ist eine Verfahrenssicherung von Quelle zu Senke implementiert. Die von der DB AG vorgeschriebene firmenneutrale SBS-Schnittstelle definiert entsprechende Dialoge. Über korrespondierende Prozeduren im sicheren Stellwerkskern und im Bedienplatz wird für den Fall einer sicherheitskritischen Bedienung eine Fehlfunktion der Schnittstelle und der Anzeige mit ausreichender Wahrscheinlichkeit ausgeschlossen.Process safety from source to sink is implemented for safety-related operations in a signal box. The company-neutral SBS interface prescribed by DB AG defines corresponding dialogues. Corresponding procedures in the safe signal box core and in the operator station rule out a malfunction of the interface and the display in the event of safety-critical operation.
Um die hohen Sicherheitsanforderungen auch bei Bedienung und Anzeige zu erfüllen, war man allerdings bisher dazu gezwungen, nicht nur im Stellwerkskern sichere Rechnertechnik einzusetzen, sondern auch in den Bereichen der Elementsteuerung und Bedienung/Anzeige. Damit befinden sich an beiden Enden des Verfahrens, also bei Quelle und Senke, sichere und damit kostenintensive Komponenten.In order to meet the high security requirements for operation and display, however, it was previously necessary not only to use secure computer technology in the signal box core, but also in the areas of element control and operation / display. This means that there are safe and therefore cost-intensive components at both ends of the process, i.e. at the source and sink.
In
Aus
Aus
Aus
Aus der Firmenschrift der Scheidt & Bachmann GmbH, „ZSB2000 Systembeschreibung Leit- und Bediensystem“ vom 28.09.206 ist das Stellwerk ZSB2000 bekannt, bei dem eine Systemarchitektur ein Leit- und Bediensystem, eine signaltechnisch sichere Leitebene sowie eine signaltechnisch sichere Feldebene umfasst. Die sicheren Ebenen kommunizieren signaltechnisch über eine Modemverbindung. Komponenten der Leit- und Bedienebene sind über eine zweite, unabhängige Modemstrecke untereinander verbunden.The ZSB2000 interlocking is known from the company publication of Scheidt & Bachmann GmbH, "ZSB2000 system description of control and operating system" from 28.09.206, in which a system architecture comprises a control and operating system, a signal-safe control level and a signal-safe field level. The safe levels communicate via a modem connection. Components of the control and operating level are interconnected via a second, independent modem link.
Gemeinsamer Nachteil des oben beschriebenen Stands der Technik ist die immer noch recht aufwändige und damit kostspielige Systemarchitektur; auch bezogen auf die in Deutschland geforderte sichere Bedienung und Anzeige, die technisch umgesetzt werden muss.A common disadvantage of the prior art described above is that the system architecture is still quite complex and therefore expensive; also in relation to the safe operation and display required in Germany, which has to be implemented technically.
Bei den etablierten Lösungen sorgen spezielle, herstellerspezifische „Stellteile“ für die Anpassung an die bahnspezifischen Gegebenheiten und die Isolation.In the established solutions, special, manufacturer-specific "control parts" ensure adaptation to the rail-specific conditions and insulation.
Durch lange, sternförmige Kupferverbindungen zu den Außenelementen müssen hohe Spannungsfestigkeit und verschiedene Kabelfehler durch die Stellteile beherrscht werden. Dies führt klassischerweise zu aufwändigen bahnspezifischen Sonderentwicklungen.Long, star-shaped copper connections to the outer elements mean that the control elements must be able to withstand high dielectric strength and various cable faults. Classically, this leads to complex rail-specific special developments.
Traditionell wird bei den Stellteilkonzepten bisher nicht das gewünschte Ereignis ausgewertet. Beim Signal wird z. B. der Lampenstrom geprüft und daraus gefolgert, ob die Signallampe mit ausreichender Wahrscheinlichkeit leuchtet. Bei Weichen geht man von einer formschlüssigen Verbindung der Stellstangen und der Lager- und Übertragungsteile mit den Weichenzungen oder dem Herzstück aus und wertet entsprechende Schalterpakete (meistens im Weichenantriebsgehäuse) für die Rückmeldung des Zustandes der Weiche aus. Die verwendeten 4-Draht Schaltungen reduzieren und verkomplizieren dazu noch die Anzahl der Rückmeldungen und deren sicherungstechnische Plausibilitätsprüfungen.Traditionally, the desired event has so far not been evaluated in the control concepts. The signal is e.g. B. checked the lamp current and inferred whether the signal lamp shines with sufficient probability. For turnouts, one assumes a positive connection of the control rods and the bearing and transmission parts with the turnout tongues or the centerpiece and evaluates appropriate switch packages (usually in the turnout drive housing) for the feedback of the condition of the turnout. The 4-wire circuits used reduce and complicate them the number of confirmations and their safety-related plausibility checks.
Es ist somit Aufgabe der Erfindung, unter Verwendung industrieller Standards für Leit- und Sicherungstechnik in einem elektronischen Stellwerk die elektronische Ansteuerung von Elementen, die den Fahrbetrieb von Schienenfahrzeugen leiten und sichern zu realisieren und dabei möglichst effizient und kostengünstig den hohen Anforderungen hinsichtlich Sicherheit und Funktion im Netz der Deutschen Bahn AG zu genügen.It is therefore an object of the invention, using industrial standards for control and security technology in an electronic signal box, to implement the electronic control of elements which guide and secure the operation of rail vehicles, and at the same time as efficiently and inexpensively as possible to meet the high requirements with regard to safety and function in Network of the Deutsche Bahn AG.
Hierbei ist auch die geforderte sichere Anzeige und Bedienung zu gewährleisten.The required safe display and operation must also be guaranteed.
Diese Aufgabe wird gemäß den Merkmalen des Oberbegriffs des Patentanspruchs 1 gelöst.This object is achieved according to the features of the preamble of claim 1.
Die Systemarchitektur orientiert sich am bewährten industriellen Ebenenmodell, bestehend aus einer Bedien- und Beobachtungsebene, einer Sicherungsebene und einer Prozessebene.The system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a security level and a process level.
Erfindungsgemäß stellt ein vollgrafisches, auf Marktstandards basierendes System die Bedien- und Beobachtungsebene dar.According to the invention, a fully graphical system based on market standards represents the operating and monitoring level.
Die Sicherungsebene wird von einem sicheren Rechnersystem gebildet.The security level is formed by a secure computer system.
In der Prozessebene befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Blockeinrichtungen, Bahnübergänge, etc.The elements of the outdoor area to be controlled as well as other signaling devices such as neighboring signal boxes, block devices, level crossings, etc. are located on the process level.
Die Komponenten der verschiedenen Ebenen kommunizieren über entsprechende Datenübertragungseinrichtungen.The components of the different levels communicate via corresponding data transmission devices.
Die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit werden ausschließlich vom sicheren Rechnersystem der Sicherungsebene geleistet, wohingegen die Rechner beziehungsweise sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen können.The safety-related tests and algorithms to ensure process security are carried out exclusively by the secure computer system at the security level, whereas the computers or other components of the operating and monitoring level and the process level can meet lower security requirements.
Das Verfahren basiert sicherheitstechnisch auf einer Variante der bekannten Verfahrenssicherung, wobei erfindungsgemäß die Sicherungsprozeduren zwar jeweils konsequent an den Endpunkten (Quelle und Senke) der Aktionen greifen, die Zwischen- und Endergebnisse jedoch nur im sicheren Stellwerkskern geprüft werden. Somit lässt das Verfahren für alle Komponenten außerhalb des sicheren Stellwerkskerns, das heißt sowohl für die Kommunikation als auch für die Prozessebene, kostengünstige Komponenten nach Industriestandard zu, die einem geringeren Sicherheitslevel genügen.In terms of safety technology, the method is based on a variant of the known method security, although according to the invention the security procedures always take effect consistently at the end points (source and sink) of the actions, the intermediate and final results are, however, only checked in the safe signal box core. Thus, the process allows for all components outside of the safe signal box core, i.e. for communication as well as for the process level, cost-effective components according to industry standards that meet a lower security level.
Ein großer Vorteil des Verfahrens ist, dass der hohe Aufwand für sicheres Software-Design, sichere Programmierung und Prüfung sowie sichere Hardware nur an der einen Stelle im sicheren Stellwerkskern erforderlich ist.A great advantage of the method is that the high effort for secure software design, secure programming and testing as well as secure hardware is only required at one point in the secure interlocking core.
Durch Anwendung der CENELEC-Normen ist eine quantitative Betrachtung des Fehlverhaltens einzelner Module, Programme und Datenverbindungen möglich, so dass sich unterschiedliche Arten der Verfahrenssicherung hinsichtlich der geforderten SIL berechnen lassen.By applying the CENELEC standards, a quantitative consideration of the malfunction of individual modules, programs and data connections is possible, so that different types of procedural security can be calculated with regard to the required SIL.
Es ist erfindungsgemäß vorgesehen, Befehle zur Ansteuerung von Elementen der Prozessebene sicher auszulösen. Dabei muss unterschieden werden, auf welchem Weg Befehle an die Prozessebene erteilt werden.It is provided according to the invention to safely trigger commands to control elements of the process level. A distinction must be made here in which way commands are issued to the process level.
Wenn Befehle von der Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben werden, so werden diese mit einer Datenübertragungseinrichtung an das sichere Rechnersystem in der Sicherungsebene übertragen, und dort auf Plausibilität überprüft. Plausible Befehle werden neu codiert, und an die Bedien- und Beobachtungsebene zurück übertragen. In dem mindestens einen Rechner der Bedien- und Beobachtungsebene wird der neu codierte Befehl des sicheren Rechnersystems ebenfalls auf Plausibilität überprüft und das Ergebnis der Plausibilitätsprüfung in final codierter Form an das sichere Rechnersystem in der Sicherungsebene übertragen.If commands are entered by the operator input on the operating and monitoring level, they are transmitted to the secure computer system in the security level using a data transmission device, and are checked there for plausibility. Plausible commands are re-encoded and transmitted back to the operating and monitoring level. The newly coded command of the secure computer system is also checked for plausibility in the at least one computer at the operating and monitoring level, and the result of the plausibility check is transmitted in final coded form to the secure computer system in the security level.
Zusätzlich muss im Allgemeinen bei solchen sicherheitsrelevanten manuellen Bedieneingaben über einen separaten Kommunikationsweg gewährleistet werden, dass die Bedienung in dieser Form explizit gewünscht ist. Hierfür wird insbesondere ein gedoppelter oder antivalenter Kontakt geschlossen, und/oder werden zusätzlich codierte digitale Adressen eingelesen und geprüft.In addition, in the case of such safety-relevant manual operator inputs, it must generally be ensured via a separate communication path that operation in this form is explicitly desired. For this purpose, in particular a double or non-equivalent contact is closed and / or additionally coded digital addresses are read in and checked.
Sind alle diese Bedingungen erfüllt, so ist mit ausreichender Sicherheit davon auszugehen, dass eine Elementansteuerung von der Bedien- und Beobachtungsebene einerseits tatsächlich gewünscht ist und andererseits der Befehl plausibel ist sowie die Kommunikation mit dem Element und die richtige Adressierung des Elementes in der Prozessebene einwandfrei funktioniert. Dementsprechend kann der Befehl zur Ansteuerung des Elements vom sicheren Rechner ausgelöst werden.If all of these conditions are met, it can be assumed with sufficient certainty that element control from the operating and monitoring level is actually desired on the one hand, and that the command is plausible on the other hand, and that communication with the element and the correct addressing of the element at the process level are working properly . Accordingly, the command to control the element can be triggered by the secure computer.
Sobald jedoch mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt, muss die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher abgebrochen werden.However, as soon as at least one of the aforementioned plausibility checks of the commands used in at least one of the participating If the computer fails, the control of elements of the process level must be safely canceled with an appropriate error message.
Werden die Befehle zur Ansteuerung von mindestens einem Element der Prozessebene aufgrund des internen Programmablaufs im sicheren Rechnersystem der Sicherungsebene erteilt, so wird von dem sicheren Rechnersystem der Sicherungsebene die Ansteuerung direkt ausgelöst.If the commands for controlling at least one element of the process level are issued on the basis of the internal program execution in the secure computer system of the security level, the control is triggered directly by the secure computer system of the security level.
In Anspruch 2 ist beschrieben, wie das von dem gemäß Anspruch 1 ausgelösten Befehl erzeugte Ansteuerungsereignis signaltechnisch sicher überwacht wird.
Nachdem der Befehl zur Ansteuerung eines Elements der Prozessebene vom sicheren Rechnersystem der Sicherungsebene ausgelöst wurde, wird er über eine Datenübertragungseinrichtung an das passende Element in der Prozessebene übertragen. Die Wirkung dieses Befehls führt zu mindestens einem Ansteuerungsereignis, dessen Ergebnis von einer geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet wird. Die Ergebnisse eines jeden Ansteuerungsereignisses müssen mehrfach hinsichtlich der geforderten logischen und zeitgerechten Abfolge überprüft werden. Da nur ein sicheres Rechnersystem im sicheren Stellwerkskern zur Verfügung steht, müssen alle Prüfungen auch dort erfolgen. Dies wird durch mehrfache, aber zeitversetzte Prüfungen im einzigen sicheren Rechnersystem realisiert, so dass für jedes Ergebnis Mehrfachdialoge entstehen, die bis hin zum Endergebnis geführt werden. Nach positiver Prüfung aller Ergebnisse zu den Ansteuerungsereignissen wird im sicheren Rechnersystem von einer erfolgreichen Elementansteuerung ausgegangen und dies offenbart. Ergibt die Prüfung von mindestens einem Ergebnis der Ansteuerungsereignisse in mindestens einem der Mehrfachdialoge einen Widerspruch zur geforderten logischen und zeitgerechten Abfolge, so geht das sichere Rechnersystem von einer fehlerhaften Elementansteuerung aus und offenbart auch dies.After the command to control an element of the process level has been triggered by the secure computer system of the security level, it is transmitted to the appropriate element in the process level via a data transmission device. The effect of this command leads to at least one activation event, the result of which is monitored by a suitable sensor system and reported back to the secure computer system at the security level. The results of each control event must be checked several times with regard to the required logical and timely sequence. Since only a secure computer system is available in the secure interlocking core, all tests must also be carried out there. This is achieved by multiple but time-delayed tests in the only secure computer system, so that multiple dialogs are created for each result, which lead to the end result. After a positive check of all results of the control events, a successful element control is assumed in the secure computer system and this is revealed. If the checking of at least one result of the control events in at least one of the multiple dialogs results in a contradiction to the required logical and timely sequence, the secure computer system assumes faulty element control and also reveals this.
Die mehrfache, zeitversetzte Prüfung der unterschiedlichen Ereignisse an nur einer Stelle im sicheren Stellwerkskern erfordert eine leistungsfähige Rechnerarchitektur. Sie muss sicherstellen, dass der Zeitaufwand für die je nach gewünschtem Sicherheitslevel erforderlichen Prüfungen und das anschließende Stellen der Elemente der Prozessebene nicht mehr Zeit aufgewendet wird, als die von der Zulassungsbehörde geforderte Maximalzeit, innerhalb der der Signalbegriff „Halt“ gezeigt werden muss (Haltfallzeit).The multiple, time-delayed testing of the different events at only one point in the safe signal box core requires a powerful computer architecture. It must ensure that the time required for the tests required depending on the desired level of safety and the subsequent setting of the elements of the process level is no longer than the maximum time required by the approval authority within which the signal term "stop" must be shown (stop time) .
Die heute zur Verfügung stehenden, erprobten Prozessoren und Kommunikationssysteme machen dies möglich.The tried and tested processors and communication systems available today make this possible.
Gemäß Anspruch 3 besteht eine vorteilhafte Ausgestaltung der Erfindung darin, dass das sichere Rechnersystem der Sicherungsebene aus einem modularen System für Industrie-Automatisierungsanlagen besteht. Somit entfallen die bisher erforderlichen aufwändigen Sonderentwicklungen für den Bahnbetrieb.According to
In Anspruch 4 ist eine dezentralisierbare Prozessebene beschrieben, die über ein Datennetzwerk mit der Sicherungsebene verbunden ist. Hierbei werden auf der Prozessebene logisch passive Komponenten eingesetzt, die die übertragenen Daten auf digitale Ein-/Ausgabe-Bits verfahrensgesichert umsetzen. Grundsätzlich setzt das dezentrale Prozesselement lediglich Netzwerk-Telegramme des sicheren Stellwerkskerns in digitale Ausgaben um und meldet Änderungen der digitalen Eingänge ereignisgesteuert oder auf Anfrage vom sicheren Stellwerkskern, ebenfalls über das Kommunikations-Netzwerk.A decentralizable process level is described in claim 4, which is connected to the security level via a data network. Logically passive components are used at the process level, which convert the transferred data to digital input / output bits in a process-safe manner. Basically, the decentralized process element only converts network telegrams from the safe interlocking core into digital outputs and reports changes to the digital inputs event-controlled or on request from the safe interlocking core, also via the communication network.
Sowohl die Kommunikation in der gesamten Verfahrenskette als auch die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene müssen gemäß Anspruch 5 ständig überprüft werden. Bei den vom sicheren Stellwerkskern initiierten Aktionen geschieht dies über dialogorientierte Verfahrenssicherung.Both the communication in the entire process chain and the function of the decentralized, generally non-secure elements of the process level must be checked continuously according to
Hierzu müssen von der Sicherungsebene getriggerte und überwachte Mechanismen zyklisch die Kommunikation in der Verfahrenskette sowie die Funktion der Elemente in der Prozessebene überprüfen. Im Fehlerfall wird von der Sicherungsebene zumindest die Stromversorgung zum zugehörigen Element der Prozessebene sicher abgeschaltet.Mechanisms triggered and monitored by the security level must cyclically check the communication in the process chain and the function of the elements in the process level. In the event of a fault, at least the power supply to the associated process level element is safely switched off from the security level.
Gegebenenfalls wird zusätzlich die Signalversorgungsspannung derart separiert, dass im Fehlerfall nur die zum Signalbegriff „Halt“ gehörenden Elemente mit Spannung versorgt werden.If necessary, the signal supply voltage is additionally separated in such a way that only the elements belonging to the signal term "Halt" are supplied with voltage in the event of a fault.
In Anspruch 6 ist eine Vorrichtung beschrieben, die das in Anspruch 1 genannte Verfahren umsetzt.In claim 6 an apparatus is described which implements the method mentioned in claim 1.
Die Systemarchitektur orientiert sich am bewährten industriellen Ebenenmodell, bestehend aus einer Bedien- und Beobachtungsebene, einer Sicherungsebene und einer Prozessebene.The system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a security level and a process level.
Erfindungsgemäß stellt ein vollgrafisches, auf Marktstandards basierendes System die Bedien- und Beobachtungsebene dar.According to the invention, a fully graphical system based on market standards represents the operating and monitoring level.
Die Sicherungsebene wird von einem sicheren Rechnersystem gebildet. The security level is formed by a secure computer system.
In der Prozessebene befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Blockeinrichtungen, Bahnübergänge, etc.The elements of the outdoor area to be controlled as well as other signaling devices such as neighboring signal boxes, block devices, level crossings, etc. are located on the process level.
Die Komponenten der verschiedenen Ebenen kommunizieren über entsprechende Datenübertragungseinrichtungen.The components of the different levels communicate via corresponding data transmission devices.
Ein sicheres Rechnersystem befindet sich nur in der Sicherungsebene. Es leistet die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit, wohingegen die Rechner beziehungsweise sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen.A secure computer system is only on the security level. It performs the safety-related tests and algorithms to ensure process security, whereas the computers or other components of the operating and monitoring level as well as the process level meet lower security requirements.
Die Vorrichtung basiert sicherheitstechnisch auf einer Variante der bekannten Verfahrenssicherung, wobei die Sicherungsprozeduren zwar jeweils konsequent an den Endpunkten (Quelle und Senke) der Aktionen greifen, die Zwischen- und Endergebnisse jedoch nur im sicheren Stellwerkskern geprüft werden. Somit sind alle Komponenten außerhalb des sicheren Stellwerkskerns, das heißt sowohl für die Kommunikation als auch für die Prozessebene, Komponenten nach Industriestandard, die einem geringeren Sicherheitslevel genügen.In terms of safety, the device is based on a variant of the known procedural safeguarding, the safeguarding procedures taking effect consistently at the end points (source and sink) of the actions, but the intermediate and end results are only checked in the safe signal box core. This means that all components outside the safe signal box core, i.e. both for communication and for the process level, are components according to industry standards that meet a lower security level.
Die aufwändige sichere Programmierung und Prüfung sowie teure Hardware ist nur an der einen Stelle im sicheren Stellwerkskern erforderlich.The complex, safe programming and testing as well as expensive hardware is only required at one point in the safe interlocking core.
Durch Anwendung der CENELEC-Normen ist eine quantitative Betrachtung des Fehlverhaltens einzelner Module, Programme und Datenverbindungen möglich, so dass sich unterschiedliche Arten der Verfahrenssicherung hinsichtlich der geforderten SIL berechnen lassen.By applying the CENELEC standards, a quantitative consideration of the malfunction of individual modules, programs and data connections is possible, so that different types of procedural security can be calculated with regard to the required SIL.
Erfindungsgemäß löst die Vorrichtung Befehle zur Ansteuerung von Elementen der Prozessebene sicher aus. Dabei wird unterschieden, auf welchem Weg Befehle an die Prozessebene erteilt werden.According to the invention, the device reliably triggers commands to control elements of the process level. A distinction is made in which way commands are issued to the process level.
Wenn mindestens ein Befehl von der Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben wird, so überträgt eine Datenübertragungseinrichtung den Befehl an das sichere Rechnersystem in der Sicherungsebene. Das sichere Rechnersystem überprüft den Befehl auf Plausibilität. Plausible Befehle werden neu codiert und an die Bedien- und Beobachtungsebene zurück übertragen. In dem mindestens einen Rechner der Bedien- und Beobachtungsebene wird der neu codierte Befehl des sicheren Rechnersystems ebenfalls auf Plausibilität überprüft und das Ergebnis der Plausibilitätsprüfung in final codierter Form an das sichere Rechnersystem in der Sicherungsebene übertragen. Zusätzlich gewährleistet im Allgemeinen bei solchen sicherheitsrelevanten manuellen Bedieneingaben ein separater Kommunikationsweg, dass die Bedienung in dieser Form explizit gewünscht ist. Hierfür muss vom Bediener insbesondere ein gedoppelter oder antivalenter Kontakt geschlossen werden, und/oder werden zusätzlich codierte digitale Adressen eingelesen und geprüft. Sind diese Bedingungen erfüllt, so ist mit ausreichender Sicherheit davon auszugehen, dass eine Elementansteuerung von der Bedien- und Beobachtungsebene einerseits tatsächlich gewünscht ist und andererseits der Befehl plausibel ist sowie die Kommunikation mit dem Element in der Prozessebene einwandfrei funktioniert. Dementsprechend löst der sichere Rechner den Befehl zur Ansteuerung des Elements aus.If at least one command is entered by the operator input on the operating and monitoring level, a data transmission device transmits the command to the secure computer system in the security level. The secure computer system checks the command for plausibility. Plausible commands are re-encoded and transmitted back to the operating and monitoring level. The newly coded command of the secure computer system is also checked for plausibility in the at least one computer at the operating and monitoring level, and the result of the plausibility check is transmitted in final coded form to the secure computer system in the security level. In addition, in the case of such safety-relevant manual control inputs, a separate communication path generally ensures that control in this form is explicitly desired. For this purpose, the operator must in particular make a double or non-equivalent contact and / or additionally encoded digital addresses are read in and checked. If these conditions are met, it can be assumed with sufficient certainty that element control from the operating and monitoring level is actually desired on the one hand and that the command is plausible on the other hand and communication with the element at the process level is working properly. The safe computer accordingly triggers the command to control the element.
Sobald jedoch mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt, bricht das sichere Rechnersystem die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher ab.However, as soon as at least one of the aforementioned plausibility checks of the commands used in at least one of the computers involved is negative, the secure computer system safely stops the activation of elements at the process level with a corresponding error message.
Werden die Befehle zur Ansteuerung von mindestens einem Element der Prozessebene aufgrund des internen Programmablaufs im sicheren Rechnersystem der Sicherungsebene erteilt, so löst das sichere Rechnersystem der Sicherungsebene die Ansteuerung direkt aus.If the commands for controlling at least one element of the process level are issued due to the internal program flow in the secure computer system of the security level, the secure computer system of the security level triggers the control directly.
In Anspruch 7 ist beschrieben, wie das sichere Rechnersystem das von dem gemäß Anspruch 6 ausgelösten Befehl erzeugte Ansteuerungsereignis signaltechnisch sicher überwacht.
Nachdem der Befehl zur Ansteuerung eines Elements der Prozessebene vom sicheren Rechnersystem der Sicherungsebene ausgelöst wurde, wird er über eine Datenübertragungseinrichtung an das passende Element in der Prozessebene übertragen. Die Wirkung dieses Befehls führt zu mindestens einem Ansteuerungsereignis, dessen Ergebnis von einer geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet wird. Als Endergebnisse der Ansteuerungsereignisse kommen beispielsweise die Rückmeldung von optischen Sensoren bei der Anschaltung von Lichtsignalen oder die Verwendung von magnetischen Sensoren, wie z.B. industrieller Beros zum Überwachen des mechanisch korrekten Umlaufs einer Weiche in Frage.After the command to control an element of the process level has been triggered by the secure computer system of the security level, it is transmitted to the appropriate element in the process level via a data transmission device. The effect of this command leads to at least one activation event, the result of which is monitored by a suitable sensor system and reported back to the secure computer system at the security level. The end results of the control events include, for example, the feedback from optical sensors when light signals are switched on or the use of magnetic sensors, such as industrial Beros for monitoring the mechanically correct circulation of a turnout in question.
Die Ergebnisse eines jeden Ansteuerungsereignisses müssen mehrfach hinsichtlich der geforderten logischen und zeitgerechten Abfolge überprüft werden. Da nur ein sicheres Rechnersystem im sicheren Stellwerkskern zur Verfügung steht, müssen alle Prüfungen auch dort erfolgen. Deshalb prüft die Software im sicheren Rechnersystem die Ergebnisse mehrfach, aber zeitversetzt, so dass für jedes Ergebnis Mehrfachdialoge entstehen, die bis hin zum Endergebnis geführt werden.The results of each control event must be checked several times with regard to the required logical and timely sequence become. Since only a secure computer system is available in the secure interlocking core, all tests must also be carried out there. For this reason, the software checks the results in the secure computer system several times, but with a time delay, so that multiple dialogs are created for each result, which lead to the final result.
Nach positiver Prüfung aller Ergebnisse zu den Ansteuerungsereignissen geht das sichere Rechnersystem von einer erfolgreichen Elementansteuerung aus und offenbart dies. Ergibt die Prüfung von mindestens einem Ergebnis der Ansteuerungsereignisse einen Widerspruch zur geforderten logischen und zeitgerechten Abfolge, so geht das sichere Rechnersystem von einer fehlerhaften Elementansteuerung aus und offenbart auch dies.After a positive check of all the results of the control events, the secure computer system assumes successful element control and reveals this. If the checking of at least one result of the control events reveals a contradiction to the required logical and timely sequence, the secure computer system assumes faulty element control and also reveals this.
Die mehrfache, zeitversetzte Prüfung der unterschiedlichen Ereignisse an nur einer Stelle im sicheren Stellwerkskern erfordert eine leistungsfähige Rechnerarchitektur. Sie stellt sicher, dass der Zeitaufwand für die je nach gewünschtem Sicherheitslevel erforderlichen Prüfungen und das anschließende Stellen der Elemente der Prozessebene nicht mehr Zeit aufgewendet wird, als die von der Zulassungsbehörde geforderte Maximalzeit, innerhalb der der Signalbegriff „Halt“ gezeigt werden muss (Haltfallzeit).The multiple, time-delayed testing of the different events at only one point in the safe signal box core requires a powerful computer architecture. It ensures that the time required for the tests required depending on the desired security level and the subsequent setting of the elements of the process level is no longer than the maximum time required by the approval authority within which the signal term "Halt" must be shown (stop time) .
Die heute zur Verfügung stehenden, erprobten Prozessoren und Kommunikationssysteme machen dies möglich.The tried and tested processors and communication systems available today make this possible.
Gemäß Anspruch 8 besteht eine vorteilhafte Ausgestaltung der Erfindung darin, dass das sichere Rechnersystem der Sicherungsebene aus einer fehlersicheren speicherprogrammierbaren Steuerung (SPS) besteht.According to
Die auf der SPS realisierte Logik wird nach DIN EN 61131 programmiert und ist somit aufwandsarm auf andere SPS Systeme portierbar.The logic implemented on the PLC is programmed according to DIN EN 61131 and can therefore be easily ported to other PLC systems.
In Anspruch 9 ist eine dezentralisierbare Prozessebene beschrieben, die über ein LAN (Local Area Network) mit der Sicherungsebene verbunden ist. Hierbei agieren Standard-ET (elektronische Trennleiste) oder kleine SPS-Systeme verfahrensgesichert als logisch passive Umsetzer für die über Ethernet oder eine andere standardisierte Datennetztechnologie übertragenen Daten, so dass hinter den Umsetzern digitale Ein-/ Ausgabebits vorliegen.A decentralizable process level is described in
Die Prozessebene macht als Multiplikator für die LST den Hauptkosten- und LCC-Anteil aus.The process level, as a multiplier for the LST, accounts for the main cost and LCC share.
ETs sind Standardprodukte der Industrieautomatisierung und werden mit ähnlichem Leistungsspektrum von vielen Firmen angeboten.ETs are standard products in industrial automation and are offered by many companies with a similar range of services.
Durch neutrale Netzwerk-Adressierung und vergleichbare Leistungsmerkmale der Hersteller ergibt sich hier eine einfache Substituierbarkeit des gewählten Lieferanten.Thanks to neutral network addressing and comparable performance features of the manufacturers, the selected supplier can be easily replaced.
Darüber hinaus sind mittlerweile kompakte kleine SPS-Systeme auf dem Markt. Auch diese können ET-Funktionen ausführen. Deren Einsatz ist ebenfalls möglich, bedingt jedoch eine CENELEC-konforme „Code Inspection“.In addition, compact small PLC systems are now on the market. These can also perform ET functions. It can also be used, but requires CENELEC-compliant "code inspection".
Erfindungsgemäß werden durch konsequente Dezentralisierung Standardkomponenten nah am Zielobjekt platziert und über LAN-Verbindungen (Kupferkabel oder LWL) vom sicheren Stellwerkskern gesteuert. Daraus resultieren sehr kurze Kabellängen und geschützte Kabelwege innerhalb der Außenanlage. Somit sind deutlich geringere induzierte Spannungen für Scherheits- und Schutzbetrachtungen auf den Kabeln anzunehmen.According to the invention, standard components are placed close to the target object through consistent decentralization and controlled by the secure signal box core via LAN connections (copper cable or fiber optic cable). This results in very short cable lengths and protected cable routes within the outdoor area. Thus, significantly lower induced voltages for safety and protection considerations on the cables can be assumed.
Sowohl die Kommunikation in der gesamten Verfahrenskette als auch die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene müssen gemäß Anspruch 10 ständig überprüft werden.Both the communication in the entire process chain and the function of the decentralized, generally not secure elements of the process level must be checked continuously according to
Hierzu prüfen von der Sicherungsebene getriggerte und überwachte Watchdogs zyklisch die Kommunikation in der Verfahrenskette sowie die Funktion der Elemente in der Prozessebene. Im Fehlerfall schaltet die Sicherungsebene zumindest die Stromversorgung zum zugehörigen Element der Prozessebene sicher ab. Gegebenenfalls wird zusätzlich die Signalversorgungsspannung derart separiert, dass im Fehlerfall nur die zum Signalbegriff „Halt“ gehörenden Elemente mit Spannung versorgt werden.For this purpose, watchdogs triggered and monitored by the security level cyclically check the communication in the process chain and the function of the elements in the process level. In the event of a fault, the fuse level safely switches off at least the power supply to the associated element of the process level. If necessary, the signal supply voltage is additionally separated in such a way that only the elements belonging to the signal term "Halt" are supplied with voltage in the event of a fault.
Die Erfindung ist nachfolgend anhand einer Zeichnung mit zwei Figuren und eines Beispiels in einer vorteilhaften Ausführungsform näher erläutert.The invention is explained in more detail below with reference to a drawing with two figures and an example in an advantageous embodiment.
Die Zeichnung zeigt in
-
1 : die Darstellung der dialogorientierten Sicherungskette zwischen sicherem Stellwerkskern und Prozessebene, inkl. Watchdog, -
2 : die Prinzipschaltung des Prozesselements „Signal“ mit Ethernet-Schnittstelle, Elektronischer Trennleiste, Stromversorgung und Überwachung des Lichtstroms mit einem optischen Sensor.
-
1 : the representation of the dialog-oriented security chain between the safe signal box core and the process level, including watchdog, -
2nd : the basic circuit of the process element "Signal" with Ethernet interface, electronic isolating strip, power supply and monitoring of the luminous flux with an optical sensor.
Die Systemarchitektur eines Elektronischen Stellwerks zum Durchführen des Fahrbetriebs von Schienenfahrzeugen gliedert sich in die drei Ebenen der Bedienung/Beobachtung, der Sicherung und der Prozesselemente Ein vollgrafisches, auf Marktstandards basierendes System, findet sich in der Bedien- und Beobachtungsebene (
Die Sicherungsebene (
In der Prozessebene (
Über Kupferkabel werden die Daten beispielsweise in einem Ethernet-LAN (
Als Schnittstelle zu den Elementen der Prozessebene werden elektronische Trennleisten (ET,
Soll beispielsweise im Rahmen des automatischen, internen Programmablaufs der Fahrstraßeneinstellung eine Signalglühlampe (
- Der Stellwerkskern (
3 ) löst im ersten SPS-Zyklus ein Daten-Telegramm aus, welches von der ET (7 ) des angesprochenen Signal-Prozesselements einen Digitalausgang (DA,9 ) rücksetzt. Diese Rücksetzung steuert ein zwangsgeführtes Relais K1 (16 ) ab. K1 (16 ) hat einen Öffner im Stromkreis der Signallampe.
- The signal box core (
3rd ) triggers a data telegram in the first PLC cycle, which is sent from the ET (7 ) of the addressed signal process element a digital output (DA,9 ) resets. This reset controls a positively driven relay K1 (16 ). K1 (16 ) has an NC contact in the signal lamp circuit.
Damit wird an den Schließerkontakt des elektronischen Relais (ELR,
Dieses Potential wird nun von einem digitalen Eingang (
Durch mindestens einen optischen Sensor (
Es ist anzunehmen, dass die nicht signaltechnisch sicheren Komponenten die unzeitige Anzeige eines Fahrt gebenden Signalbildes lediglich mit einer THR von >10 exp -4 pro Stunde beherrschen.It can be assumed that the non-signal-safe components can only handle the untimely display of a signal giving a journey with a THR of> 10 exp -4 per hour.
Die mögliche Fehlfunktion der Kommunikation, z.B. mit der Konsequenz dass ein anstehendes Grün nicht ausgeschaltet wird, ist zu überwachen. Ebenfalls die mögliche Fehlfunktion der ET.The possible malfunction of the communication, e.g. with the consequence that a pending green is not switched off must be monitored. Also the possible malfunction of the ET.
Hierfür wird ein Watchdog (
Steht der zyklische Impuls beim Watchdog (
Fällt die Kommunikation aus, wird der digitale Ausgang (
Fällt die ET (
Der Watchdog (
Zur Prüfung des zwangsgeführten Relais (
Durch weitere Kontakte des zwangsgeführten Relais können bedarfsweise die Signalspannungen fahrtgebender Begriffe ab- (
Durch die Prozesskette der sicheren Software des Stellwerkskerns (
Defekt der ET (
- Jede Aktion an einem Element (
6 ) der Prozessebene (4 ) wird über die zugehörige ET (7 ) initiiert. Bei einem Defekt der ET wird das Absteuern des DA (9 ) fürRelais 16 nicht ausgeführt. Also kommt auch keine Rückmeldung des anstehenden Potentials am ELR (17 ) an. Der sichere Stellwerkskern (3 ) erkennt den Fehler.
- Every action on an element (
6 ) the process level (4th ) is via the associated ET (7 ) initiated. If the ET is defective, the shutdown of the DA (9 ) forrelays 16 not executed. So there is no feedback of the potential at the ELR (17th ) on. The safe signal box core (3rd ) recognizes the error.
Defekt am DA (
- 1. Durchlegiertes Relais (
16 ):- Das Relais ist ständig angezogen. Die zugehörige Rückmeldung über DE (
8 ) kommt nicht zustande. Der sichere Stellwerkskern (3 ) erkennt den Fehler.
- Das Relais ist ständig angezogen. Die zugehörige Rückmeldung über DE (
- 2. Hochohmiges Relais (
16 ):- Das Relais ist bereits im Grundzustand abgefallen. Die zugehörige Rückmeldung des Potentials am ELR (
17 ) ist zur Unzeit da. Der sichere Stellwerkskern (3 ) erkennt den Fehler.
- Das Relais ist bereits im Grundzustand abgefallen. Die zugehörige Rückmeldung des Potentials am ELR (
- 1. Alloyed relay (
16 ):- The relay is constantly energized. The associated feedback via DE (
8th ) does not come about. The safe signal box core (3rd ) recognizes the error.
- The relay is constantly energized. The associated feedback via DE (
- 2.High-resistance relay (
16 ):- The relay has already dropped out in the basic state. The corresponding feedback of the potential at the ELR (
17th ) is out of time. The safe signal box core (3rd ) recognizes the error.
- The relay has already dropped out in the basic state. The corresponding feedback of the potential at the ELR (
Defekt am DE (
- Rückmeldungen kommen nicht oder zur Unzeit an. Der sichere Stellwerkskern (
3 ) erkennt den Fehler.
- Feedback does not arrive or arrives at the wrong time. The safe signal box core (
3rd ) recognizes the error.
Eine weitere Zweitfehleroffenbarung ergibt sich durch die nachfolgende, identische Prozedur mit dem ELR (
Defekt bei der Rückmeldung des Lichts: Lichtsensorik DE/ Sensor (
- 1. Durchlegiert:
- Licht wird ständig detektiert. Die zugehörige Rückmeldung über DE (
8 ) steht zur Unzeit an. Der sichere Stellwerkskern (3 ) erkennt den Fehler.
- Licht wird ständig detektiert. Die zugehörige Rückmeldung über DE (
- 2. Hochohmig:
- Licht wird nach Ansteuern des ELR (
17 ) nicht detektiert. Der sichere Stellwerkskern (3 ) erkennt den Fehler.
- Licht wird nach Ansteuern des ELR (
- 1. Alloyed:
- Light is constantly being detected. The associated feedback via DE (
8th ) is due at the wrong time. The safe signal box core (3rd ) recognizes the error.
- Light is constantly being detected. The associated feedback via DE (
- 2. High impedance:
- After the ELR (
17th ) not detected. The safe signal box core (3rd ) recognizes the error.
- After the ELR (
Auch bei korrekt arbeitender Rückmeldung des Lichts können Fehler durch Fremdlichteinfall auftreten.Even when the light is working correctly, errors due to incidence of extraneous light can occur.
Ein Fremdlichteinfall wirkt sich nur als Zweitfehler in Verbindung mit dem Erstfehler „defekte Ansteuerung/Ausleuchtung“ aus. Eine Auswirkung entsteht nur dann, wenn exakt in dem Zeitfenster, in dem die optische Rückmeldung einer Ansteuerung der Signaloptik (
Steht bereits vorher Fremdlicht an, erkennt dies der sichere Stellwerkskern (
Der Fall des Fremdlichteinfalls genau im Zeitfenster der Begriffsansteuerung ist durch geeignete Positionierung und Schutz des Sensors (
Zur Fehleroffenbarung von Signaloptiken, die den Zustand über lange Zeit nicht wechseln, sind vom sicheren Stellwerkskern kurze Prüfzyklen durchzuführen, z.B. einmal pro 24h, wenn mehrere Gleisabschnitte vor dem Element frei sind.In order to reveal signal optics that do not change their status over a long period of time, short signaling cycles must be carried out by the safe interlocking core, e.g. once every 24h when several track sections in front of the element are free.
Defekt in der Kommunikation:Communication defect:
Durch Mehrfachtelegramme (
Da bei defekter Kommunikation keine zeitgerechte Abarbeitung des Vorgangs erfolgen kann, ist eine zusätzliche Sicherung gegeben.Since the process cannot be processed on time if the communication is defective, additional security is provided.
Darüber hinaus ist der Watchdog (
Berücksichtigt man die Mehrfachdialoge, die gegenläufige Ansteuerung von Relais (spannungslos durchgeschaltet) und ELR (angesteuert durchgeschaltet) in Kombination mit der dialogorientierten Prüfung des Verfahrens in der sicheren Stellwerkslogik, so sind Kommunikationsfehler mit einer Wahrscheinlichkeit, die SIL
Defekt im Lampensockel:Defect in the lamp base:
Ein Sockelschluss (Haupt und Nebenfaden brennen) wird über das Auslösen der Sicherung (
Defekt am Hauptfaden:Defect on the main thread:
Der optische Sensor (
Es kann eine Umschaltung auf den Nebenfaden ausgelöst werden. Zusätzlich erfolgt eine Information an den Fahrdienstleiter (Hauptfaden z.B. „Rot N1“ defekt) .Switching to the secondary thread can be triggered. In addition, information is sent to the dispatcher (main thread e.g. "Red N1" defective).
Durch zeitversetzte, unabhängige Prozeduren im sicheren Stellwerkskern (
Bei einer sicherheitsgerichteten manuellen Bedienung des Signals in der Bedien- und Beobachtungsebene (
BezugszeichenlisteReference list
- 11
- Bedien- und BeobachtungsebeneOperating and monitoring level
- 22nd
- SicherungsebeneSecurity level
- 33rd
- Sicheres Rechnersystem (sicherer Stellwerkskern)Secure computer system (secure signal box core)
- 44th
- ProzessebeneProcess level
- 55
- EthernetEthernet
- 66
- ProzesselementProcess element
- 77
- Elektronische TrennleisteElectronic divider
- 88th
- Digitaler EingangDigital input
- 99
- Digitaler Ausgangdigital output
- 1010th
- StromversorgungPower supply
- 1111
- WatchdogWatchdog
- 1212th
- zwangsgeführtes Kleinrelaispositively driven small relay
- 1313
- PufferkondensatorBuffer capacitor
- 1414
- MehrfachdialogeMultiple dialogues
- 1515
- Optischer SensorOptical sensor
- 1616
- Zwangsgeführtes Relais K1Forced relay K1
- 1717th
- Elektronisches Relais (ELR)Electronic relay (ELR)
- 1818th
- Schalter für fahrtzeigende BegriffeSwitch for driving terms
- 1919th
- Schalter für Haltbegriffe (rot)Stop button (red)
- 2020
- SignalglühlampeSignal light bulb
- 2121
- Watchdog-RelaisWatchdog relay
- 2222
- SicherungFuse
Claims (10)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102007043053.3A DE102007043053B4 (en) | 2007-09-11 | 2007-09-11 | Signal-safe electronic element control for carrying out a driving operation of rail vehicles |
EP08011454A EP2036800A3 (en) | 2007-09-11 | 2008-06-24 | Electronic element control that is safe for signalling for carrying out drive operations for rail vehicles |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102007043053.3A DE102007043053B4 (en) | 2007-09-11 | 2007-09-11 | Signal-safe electronic element control for carrying out a driving operation of rail vehicles |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102007043053A1 DE102007043053A1 (en) | 2009-03-12 |
DE102007043053B4 true DE102007043053B4 (en) | 2020-07-30 |
Family
ID=39956131
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102007043053.3A Expired - Fee Related DE102007043053B4 (en) | 2007-09-11 | 2007-09-11 | Signal-safe electronic element control for carrying out a driving operation of rail vehicles |
Country Status (2)
Country | Link |
---|---|
EP (1) | EP2036800A3 (en) |
DE (1) | DE102007043053B4 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009033037A1 (en) | 2009-07-02 | 2011-01-05 | Deutsche Bahn Ag | Method for data transmission of safety-relevant data from controller to process element over communication network, involves forming transaction number in controller from data to be transmitted by dynamic coding |
DE102012211273A1 (en) * | 2012-06-29 | 2014-01-02 | Siemens Aktiengesellschaft | Method and arrangement for controlling a technical installation |
DE102013223101A1 (en) * | 2013-11-13 | 2015-05-13 | Siemens Aktiengesellschaft | Railway crossing safety system |
CN118170126A (en) * | 2024-05-16 | 2024-06-11 | 唐山百川智能机器股份有限公司 | Control system and method for full-automatic folding beacon bracket |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10053023C1 (en) | 2000-10-13 | 2002-09-05 | Siemens Ag | Method for controlling a safety-critical railway operating process and device for carrying out this method |
DE19606894C2 (en) | 1996-02-13 | 2003-01-23 | Siemens Ag | Device for the signal-safe control and monitoring of electrical consumers in the railway system |
EP1702827A1 (en) | 2005-03-16 | 2006-09-20 | Siemens Aktiengesellschaft | Control panel |
DE102005043305A1 (en) | 2005-09-07 | 2007-03-15 | Siemens Ag | System architecture for controlling and monitoring components of a railway safety system |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0473834B1 (en) * | 1990-09-07 | 1994-06-22 | Siemens Aktiengesellschaft | Electronic interlocking control system, set up according to the local processor control principle |
-
2007
- 2007-09-11 DE DE102007043053.3A patent/DE102007043053B4/en not_active Expired - Fee Related
-
2008
- 2008-06-24 EP EP08011454A patent/EP2036800A3/en not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19606894C2 (en) | 1996-02-13 | 2003-01-23 | Siemens Ag | Device for the signal-safe control and monitoring of electrical consumers in the railway system |
DE10053023C1 (en) | 2000-10-13 | 2002-09-05 | Siemens Ag | Method for controlling a safety-critical railway operating process and device for carrying out this method |
EP1702827A1 (en) | 2005-03-16 | 2006-09-20 | Siemens Aktiengesellschaft | Control panel |
DE102005043305A1 (en) | 2005-09-07 | 2007-03-15 | Siemens Ag | System architecture for controlling and monitoring components of a railway safety system |
Non-Patent Citations (5)
Title |
---|
Andreas Hermann : "SIMIS D - Neue Bauart aus der El S- Familie" In: SIGNAL + DRAHT (98) 3/2006 TELZLAFF VERLAG GMBH. DARMSTADT, DE, * |
Ludwig Wehner : "DAS ESTW DER BAUFORM SEL" In: SIGNAL + DRAHT, Bd. 76, Nr. 5, 1. Mai 1984, Seiten 83-88, XP009068645 ISSNI 0037-4997 TELZLAFF VERLAG GMBH. DARMSTADT, DE, |
Roland Sölch / Markus Burkhard : "DieBombardier-Lösung einer neuen ESTW-Bauform bei der DB AG" In: SIGNAL + DRAHT (97) 5/2005 TELZLAFF VERLAG GMBH. DARMSTADT, DE * |
Scheidt & Bachmann GmbH: ZBS2000 Systembeschreibung Leit- und Bediensystem (28.09.2006) - Firmenschrift * |
WEHNER L: "DAS ESTW DER BAUFORM SEL", SIGNAL UND DRAHT: SIGNALLING & DATACOMMUNICATION, EURAILPRESS, DE, vol. 76, no. 05, 1 May 1984 (1984-05-01), DE, pages 83 - 88, XP009068645, ISSN: 0037-4997 |
Also Published As
Publication number | Publication date |
---|---|
DE102007043053A1 (en) | 2009-03-12 |
EP2036800A3 (en) | 2009-09-30 |
EP2036800A2 (en) | 2009-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102012009494B4 (en) | Control device for controlling a security device | |
EP1738383B2 (en) | Signaling device for a protective circuit | |
EP1738382B2 (en) | Safety switch for a fail-safe circuit | |
EP2720098B1 (en) | Safety system for a plant comprising a test signal path with return path | |
EP2720094B1 (en) | Safety system | |
EP2445771B1 (en) | Method to create an electronic interlocking for replacing an existing interlocking | |
EP2720051B1 (en) | Safety system | |
DE102004020995C5 (en) | Signaling device for a safety circuit | |
DE102009042368A1 (en) | Control system for controlling safety-critical processes | |
WO2011161158A1 (en) | Safety circuit arrangement for the fail-safe connection or disconnection of a hazardous installation | |
DE2833761C3 (en) | Circuit arrangement for monitoring the status of signal systems, in particular road traffic light signal systems | |
DE2951932C2 (en) | Device for signaling safe control and monitoring | |
DE102007043053B4 (en) | Signal-safe electronic element control for carrying out a driving operation of rail vehicles | |
EP0192120B1 (en) | Data transmission process and device for remote control | |
EP1999001A1 (en) | Device for switching on and monitoring a traffic light installation for rail traffic | |
DE102011054968A1 (en) | Safety-related switching device | |
EP3100121A1 (en) | Method and apparatus for safely disconnecting an electrical load | |
DE19515633A1 (en) | Electrical installation for building | |
DE102008037108A1 (en) | System for setting an actuator | |
EP2236389B1 (en) | Method for settling error messages of a decentralised function unit in a securing system for rail-bound traffic | |
EP2090492A2 (en) | Method for realising a universal route securing technique with industrially available SPS components | |
DE102006030911B3 (en) | Relay unit for use in electrical or in electronic circuits, devices and components, has switching arrangement, consisting of two relay coils with separate contact sets per relay coil, fault indicator coil and additional working contact | |
DE2647367B2 (en) | Redundant process control arrangement | |
DE19620065C2 (en) | Circuit arrangement for monitoring the fault-free and / or for recognizing a faulty state of a system | |
DE3919558C2 (en) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R081 | Change of applicant/patentee |
Owner name: DB NETZ AG, DE Free format text: FORMER OWNER: DEUTSCHE BAHN AG, 10785 BERLIN, DE Effective date: 20110518 |
|
R012 | Request for examination validly filed |
Effective date: 20140506 |
|
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |