DE102012201803A1 - Sicherheitsrelevantes System - Google Patents

Sicherheitsrelevantes System Download PDF

Info

Publication number
DE102012201803A1
DE102012201803A1 DE102012201803A DE102012201803A DE102012201803A1 DE 102012201803 A1 DE102012201803 A1 DE 102012201803A1 DE 102012201803 A DE102012201803 A DE 102012201803A DE 102012201803 A DE102012201803 A DE 102012201803A DE 102012201803 A1 DE102012201803 A1 DE 102012201803A1
Authority
DE
Germany
Prior art keywords
memory
safety
error
remanent
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102012201803A
Other languages
English (en)
Inventor
Rudolf Temming
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102012201803A priority Critical patent/DE102012201803A1/de
Priority to PCT/EP2013/050801 priority patent/WO2013117396A1/de
Publication of DE102012201803A1 publication Critical patent/DE102012201803A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or vehicle train for signalling purposes ; On-board control or communication systems
    • B61L15/0063Multiple on-board control systems, e.g. "2 out of 3"-systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems

Abstract

Die Erfindung betrifft ein sicherheitsrelevantes System, insbesondere Eisenbahnsicherungssystem (2), mit einer im Fehlerfall reagierenden Einrichtung zum dauerhaften Erzwingen eines sicheren Zustandes, insbesondere Abschaltzustandes, des Systems, wobei besonders hohe Zuverlässigkeit bei verringertem Energiebedarf erreicht wird, indem die Einrichtung mindestens zwei remanente Speicher (4a, 4b) aufweist, wobei jeder Speicher (4a, 4b) im Fehlerfall den sicheren Zustand erzwingt.

Description

  • Die Erfindung betrifft ein sicherheitsrelevantes System, insbesondere Eisenbahnsicherungssystem, mit einer im Fehlerfall reagierenden Einrichtung zum dauerhaften Erzwingen eines sicheren Zustandes, insbesondere Abschaltzustandes, des Systems.
  • Die nachfolgende Beschreibung bezieht sich im Wesentlichen auf Eisenbahnsicherungssysteme, ohne dass die Erfindung auf diese spezielle Anwendung beschränkt ist. Vielmehr kann die Erfindung bei verschiedensten sicherheitsrelevanten Systemen, beispielsweise für industrielle Fertigungsprozesse oder Fahrzeuge aller Art, eingesetzt werden.
  • Entsprechend der Norm EN 50129 muss für sicherheitsrelevante Systeme nach Auftreten des ersten Systemfehlers, beispielsweise des Ausfalls einer Systemkomponente, ein sicherer Zustand erzwungen und beibehalten werden. Der sichere Zustand ist gegeben, wenn die Systemsicherheit auch nach einem Fehler oder Ausfall weiterhin bewahrt ist. Unter sicherheitsrelevantes System sind hier auch Teilsysteme subsumiert, deren Fehlerverhalten separat betrachtet werden kann. Beispielsweise kann ein einzelnes Lichtsignal an einer Eisenbahnstrecke ein sicherheitsrelevantes System darstellen. Im Fehlerfall, beispielsweise Ausfall der Ansteuerbarkeit, muss gewährleistet sein, dass die Sicherheit des Bahnbetriebes nicht, beispielsweise durch ein dauerleuchtendes Grünsignal, beeinträchtigt ist. Bei dem Beispiel wird das erreicht, indem das Grünsignal dauerhaft ausgeschaltet wird und – wenn möglich – das Rotsignal eingeschaltet wird.
  • Für die Ausschaltung im Fehlerfall werden häufig Schmelzsicherungen eingesetzt. Nach deren Abschmelzen ist der Stromkreis dauerhaft unterbrochen. Weit verbreitet für diesen Zweck ist auch der Einsatz monostabiler Relais, die im fehlerfreien Systemzustand aktiv sind und im Fehlerfall durch Stromlosschaltung der Relaisspule dauerhaft inaktiv werden, wodurch ein definierter Schaltzustand, zum Beispiel Stromkreisunterbrechung, eingenommen wird. Nach einer Sicherheitsabschaltung muss das Wartungspersonal beurteilen, ob das System oder die Komponente wieder eingeschaltet werden darf. Auch der Einsatz von bistabilen Relais ist denkbar, wobei jedoch für Bahnbetriebsprozesse ein Risiko wegen Erschütterungen in Gleisnähe, die den Zustand des bistabilen Relais ändern könnten, berücksichtigt werden muss.
  • Nachteilig bei diesen bekannten Einrichtungen zum fehlerbedingten Erzwingen des sicheren Systemzustandes ist neben den hohen Kosten für mehrfache Auslöseschaltungen bei Sicherungen und für Ansteuerung und Rücklesung bei Abschaltrelais vor allem deren geringe mittlere Betriebsdauer zwischen Ausfällen, auch als MTBF – Mean Time Between Failures – bezeichnet.
  • Der Erfindung liegt die Aufgabe zugrunde, diese Nachteile zu beseitigen und ein sicherheitsrelevantes System mit einer hinsichtlich Kosten und Verfügbarkeit verbesserten Einrichtung zum Erzwingen des sicheren Zustandes anzugeben.
  • Die Aufgabe wird erfindungsgemäß dadurch gelöst, dass die Einrichtung mindestens zwei remanente Speicher aufweist, wobei jeder Speicher im Fehlerfall den sicheren Zustand erzwingt.
  • Da der remanente Speicher einen wesentlich besseren MTBF als Relais oder Sicherungen aufweist, ergibt sich ein weiterer Sicherheitsgewinn. Störanfällige und oft schwierig zu dimensionierende Auslöseschaltungen für Sicherungen sowie Ansteuerungen für Abschaltrelais sind entbehrlich. Die Baugruppe mit dem remanenten Speicher wird im Gegensatz zu einer Baugruppe mit Sicherungen im Fehlerfall nicht zerstört und kann nach Fehlerbehebung durch Software in den Ursprungszustand für ein fehlerfreies System zurückgesetzt werden. Der remanente Speicher ist außerdem unempfindlich gegenüber Erschütterungen in Gleisnähe oder im Fahrzeug. Vorteilhaft ist darüber hinaus, dass die Information über den sicheren Zustand auch nach Spannungswiederkehr vorliegt. Durch die Redundanz der remanenten Speicher ist auch der Fall, dass ein Speicher ausfällt, abgesichert.
  • Gemäß Anspruch 2 ist vorgesehen, dass der remanente Speicher als EEPROM ausgebildet ist. Dieser nicht flüchtige elektronische Speicherbaustein ist besonders kostengünstig und für diverse Anwendungen vielfach bewährt. Der remanente Speicher kann natürlich auch auf Flash-Technologie beruhen oder in anderer Weise realisiert sein.
  • Um im Fehlerfall eine Abschaltung des sicherheitsrelevanten Systems zu bewirken, ist jeder remanente Speicher gemäß Anspruch 3 mit einem Schalter verbunden, der unmittelbar beim Auftreten des ersten Fehlers oder Ausfalls von dem jeweils zugeordneten remanenten Speicher zum Stromlosschalten des sicherheitsrelevanten Systems betätigt wird.
  • Bei einer besonders vorteilhaften Ausführungsform gemäß Anspruch 4 ist vorgesehen, dass jeder remanente Speicher einem Controller zugeordnet ist, wobei der Controller im fehlerfreien Systemzustand einen ersten Speicherwert und im Fehlerfall einen zweiten Speicherwert des Speichers setzt. Der Controller verfügt ständig – üblicherweise durch zyklische Abfrage – über aktuelle Statusinformationen bezüglich des sicherheitsrelevanten Systems. Im Fehlerfall steuert der Controller den remanenten Speicher derart an, dass dieser in seinen Remanenzzustand gebracht wird und infolgedessen ein Eingriff in das sicherheitsrelevante System ausgelöst wird, der dieses in den sicheren Zustand dauerhaft überführt. Besonders vorteilhaft ist, dass sicherheitsrelevante Systeme üblicherweise bereits mit Controllern und remanenten Speichern ausgestattet sind, so dass diese primär für andere Funktionen vorgesehenen Baugruppen für die Sicherheitsabschaltfunktion mitbenutzt werden können. Dadurch ergeben sich keine zusätzlichen Kosten und auch kein zusätzlicher Platzbedarf, wodurch auch Prüfkosten und Fertigungskosten gespart werden. Durch den geringen Energiebedarf des Controllers, vorzugsweise Mikrocontrollers, ist ein dezentraler Einsatz des sicherheitsrelevanten Systems mit autonomer Energieversorgung problemlos möglich. Der erhebliche Leistungsbedarf eines Abschaltrelais erschwert hingegen einen dezentralen Einsatz beziehungsweise macht diesen unmöglich.
  • Die Erfindung wird nachfolgend anhand eines figürlich dargestellten Ausführungsbeispiels näher erläutert.
  • Die Figur zeigt ein sicherheitsrelevantes System mit einer erfindungsgemäßen Einrichtung zur vorgeschriebenen Abschaltung des Systems bei definierten Ausfällen oder Fehlern des Systems. Die Einrichtung besteht im Wesentlichen aus zwei redundanten Betrachtungseinheiten 1a und 1b, die auch Bestandteil des Systems, beispielsweise eines Eisenbahnsicherungssystems 2, sein können, wobei jede Betrachtungseinheit 1a und 1b einen Mikrocontroller 3a und 3b aufweist. Der Mikrocontroller 3a beziehungsweise 3b verfügt jeweils über einen remanenten Speicher 4a beziehungsweise 4b, welcher mit einer Prüfkomponente 5a beziehungsweise 5b und einer Anwendungskomponente 6a beziehungsweise 6b zusammenwirkt. Über die Anwendungskomponente 6a beziehungsweise 6b ist der remanente Speicher 4a beziehungsweise 4b mit einem Schalter 7a beziehungsweise 7b im Strompfad 8 des sicherheitsrelevanten Systems verbunden. Im fehlerfreien Zustand, das heißt im Normalbetrieb, setzt der Mikrocontroller 3a beziehungsweise 3b einen Speicherwert, zum Beispiel AA Hex im remanenten Speicher 4a beziehungsweise 4b. Außerdem erfolgt eine zyklische Kommunikation 9 zwischen den beiden Prüfbaukomponenten 5a und 5b zwecks Austauschs des Systemzustandes. Wird ein Fehler im sicherheitsrelevanten System erkannt, setzt der Mikrocontroller 3a beziehungsweise 3b den Speicherwert des remanenten Speichers 4a beziehungsweise 4b auf Sicherheitsabschaltung, zum Beispiel mittels eines Speicherwertes 55 Hex. Bei diesem Zustand endet die Kommunikation 9 zwischen den Mikrocontrollern 3a und 3b. Der remanente Speicher 4a beziehungsweise 4b steuert aufgrund des fehlerbedingten Speicherwertes 55 Hex über die Anwendungskomponente 6a beziehungsweise 6b den jeweils zugeordneten Schalter 7a beziehungsweise 7b an, um den Strompfad 8 stromlos zu schalten und damit das sicherheitsrelevante System in einen sicheren Zustand zu zwingen, beispielsweise abzuschalten.
  • Letztlich ersetzt der remanente Speicher 4a beziehungsweise 4b, der prinzipiell auch in nichtredundanter Bauform, das heißt nur einmal, vorgesehen sein kann, eine zusätzliche Komponente mit Schmelzsicherungen oder Abschaltrelais, wodurch deren oben geschilderten Nachteile nicht auftreten.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • Norm EN 50129 [0003]

Claims (4)

  1. Sicherheitsrelevantes System, insbesondere Eisenbahnsicherungssystem (2), mit einer im Fehlerfall reagierenden Einrichtung zum dauerhaften Erzwingen eines sicheren Zustandes, insbesondere Abschaltzustandes, des Systems, dadurch gekennzeichnet, dass die Einrichtung mindestens zwei remanente Speicher (4a, 4b) aufweist, wobei jeder Speicher (4a, 4b) im Fehlerfall den sicheren Zustand erzwingt.
  2. Sicherheitsrelevantes System nach Anspruch 1, dadurch gekennzeichnet, dass der remanente Speicher (4a, 4b) als EEPROM ausgebildet ist.
  3. Sicherheitsrelevantes System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass jeder remanente Speicher (4a, 4b) einen Schalter (7a, 7b) zum Erzwingen des sicheren Zustandes ansteuert.
  4. Sicherheitsrelevantes System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass jeder remanente Speicher (4a, 4b) einem Controller zugeordnet ist, wobei der Controller im fehlerfreien Systemzustand einen ersten Speicherwert und im Fehlerfall einen zweiten Speicherwert des Speichers (4a, 4b) setzt.
DE102012201803A 2012-02-07 2012-02-07 Sicherheitsrelevantes System Withdrawn DE102012201803A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102012201803A DE102012201803A1 (de) 2012-02-07 2012-02-07 Sicherheitsrelevantes System
PCT/EP2013/050801 WO2013117396A1 (de) 2012-02-07 2013-01-17 Sicherheitsrelevantes system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102012201803A DE102012201803A1 (de) 2012-02-07 2012-02-07 Sicherheitsrelevantes System

Publications (1)

Publication Number Publication Date
DE102012201803A1 true DE102012201803A1 (de) 2013-08-08

Family

ID=47632990

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012201803A Withdrawn DE102012201803A1 (de) 2012-02-07 2012-02-07 Sicherheitsrelevantes System

Country Status (2)

Country Link
DE (1) DE102012201803A1 (de)
WO (1) WO2013117396A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3428037A1 (de) * 2017-07-10 2019-01-16 Vialis B.V. Steuerungssystem für einen bahnübergang

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109229143B (zh) * 2017-07-10 2020-09-15 比亚迪股份有限公司 列车道岔控制系统的控制方法及控制系统
CN109229142B (zh) * 2017-07-10 2021-01-01 比亚迪股份有限公司 列车道岔控制系统及控制方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4342903A1 (de) * 1993-12-16 1995-06-22 Bosch Gmbh Robert Vorrichtung zum Überwachen wenigstens einer sicherheitsrelevanten Funktion eines Gerätes
DE102009033529A1 (de) * 2009-07-10 2011-01-13 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zum Steuern einer automatisierten Anlage, insbesondere eine Eisenbahnanlage
DE102010026012A1 (de) * 2010-06-29 2011-12-29 Siemens Aktiengesellschaft LED-Lichtsignal

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2854252C2 (de) * 1978-12-15 1984-05-30 Siemens AG, 1000 Berlin und 8000 München Einrichtung zum Übertragen einer Streckeninformation an eine Empfangseinrichtung auf einem Fahrzeug
DE19532640C2 (de) * 1995-08-23 2000-11-30 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4342903A1 (de) * 1993-12-16 1995-06-22 Bosch Gmbh Robert Vorrichtung zum Überwachen wenigstens einer sicherheitsrelevanten Funktion eines Gerätes
DE102009033529A1 (de) * 2009-07-10 2011-01-13 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zum Steuern einer automatisierten Anlage, insbesondere eine Eisenbahnanlage
DE102010026012A1 (de) * 2010-06-29 2011-12-29 Siemens Aktiengesellschaft LED-Lichtsignal

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Norm EN 50129

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3428037A1 (de) * 2017-07-10 2019-01-16 Vialis B.V. Steuerungssystem für einen bahnübergang
NL2019206B1 (en) * 2017-07-10 2019-01-16 Vialis B V Control system for a railway crossing

Also Published As

Publication number Publication date
WO2013117396A1 (de) 2013-08-15

Similar Documents

Publication Publication Date Title
DE3614979C2 (de) Sicherheitssystem für eine Druckmaschine
EP3469620B1 (de) Stromverteiler und sicherungssystem für ein fahrzeug
EP0577641B1 (de) Schaltungsanordnung für einen regler
EP3014365B1 (de) Sicherheitsschaltvorrichtung zur detektion von fehlerhaften eingängen
EP3539192A1 (de) Leistungsverteiler und bordnetz mit zumindest einem leistungsverteiler
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102005014804A1 (de) Bordnetzsystem für ein Kraftfahrzeug sowie Steuergerät und intelligentes Energieversorgungsgerät für ein Bordnetzsystem eines Kraftfahrzeugs
DE102016207020A1 (de) Sicherungssystem für mindestens einen Verbraucher eines Fahrzeugs
DE102017104977A1 (de) Bordnetzanordnung für ein Kraftfahrzeug
EP2587512B1 (de) Sicherheitsgerichtetes Schaltgerät
DE102012201803A1 (de) Sicherheitsrelevantes System
WO2016005187A1 (de) Steueranordnung für sicherheitsrelevante aktoren
EP2239752B2 (de) Sichere Schalteinrichtung und modulares fehlersicheres Steuerungssystem
EP0996060A2 (de) Einzelprozessorsystem
EP3187376B1 (de) Fahrzeugsteuerung für eine mobile arbeitsmaschine
EP2237118B1 (de) Sicherheitssystem zur Sicherung einer fehlersicheren Steuerung elektrischer Anlagen und Sicherheitssteuerung damit
WO2002071600A2 (de) Sicherheitsschaltvorrichtung
DE10103951B4 (de) Energieversorgungseinrichtung für bordnetzgestützte, sicherheitsrelevante Systemkomponenten von Fahrzeugen
DE102018130167A1 (de) Sicherer Werkzeugwechsler
EP1529707B1 (de) Eigensichere Störschalteinheit für Fahrzeuge, insbesondere für Schienenfahrzeuge
DE2023117B2 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE102017221793A1 (de) Sicherungstechnische Einrichtung für eine sicherungstechnische Anlage
EP2769273B1 (de) Erweiterungsmodul für ein sicherheitssystem
WO1999014989A1 (de) Steuervorrichtung für lichtanlagen von flughäfen
WO2019224017A1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140902