DE102019207790A1 - Anlagenkomponente, sicherheitsrelevante Anlage und Betriebsverfahren - Google Patents

Anlagenkomponente, sicherheitsrelevante Anlage und Betriebsverfahren Download PDF

Info

Publication number
DE102019207790A1
DE102019207790A1 DE102019207790.0A DE102019207790A DE102019207790A1 DE 102019207790 A1 DE102019207790 A1 DE 102019207790A1 DE 102019207790 A DE102019207790 A DE 102019207790A DE 102019207790 A1 DE102019207790 A1 DE 102019207790A1
Authority
DE
Germany
Prior art keywords
operating
modules
monitoring
system components
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102019207790.0A
Other languages
English (en)
Inventor
Jens Braband
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Priority to DE102019207790.0A priority Critical patent/DE102019207790A1/de
Priority to PCT/EP2020/063251 priority patent/WO2020239437A1/de
Publication of DE102019207790A1 publication Critical patent/DE102019207790A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Safety Devices In Control Systems (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

In einer Ausführungsform umfasst die Anlage (1) mehreren Anlagenkomponenten (2) und eine Kommunikationsleitung (6), über die die Anlagenkomponenten (2) untereinander verbunden sind. Die Anlagenkomponenten (2) umfassen je ein anzusteuerndes Dienstelement (4) und eine Ansteuereinheit (3) mit einem Betriebsmodul (31) und mit einem Überwachungsmodul (32). Die Dienstelemente (4) werden jeweils über eine Ansteuerschnittstelle (33) mittels der Betriebsmodule (31) angesteuert. Über Rückleseschnittstellen (34) erfolgt eine Überwachung von Betriebszuständen der Dienstelemente (4) durch die Überwachungsmodule (32). Unterbrecherschnittstellen (35) dienen dazu, im Falle einer Fehlfunktion eine Zurücksetzung des zumindest einen Dienstelements (4) durch das zugehörige Überwachungsmodul (32) in einen vordefinierten Zustand durchzuführen. Die Anlage (1) ist für eine dezentrale Ansteuerung der Anlagenkomponenten (2) mittels der Ansteuereinheiten (3) eingerichtet.

Description

  • Es werden eine Anlagenkomponente für eine sicherheitsrelevante Anlage und eine sicherheitsrelevante Anlage mit mehreren solchen Anlagenkomponenten angegeben. Darüber hinaus wird ein Betriebsverfahren für eine solche Anlage angegeben.
  • Die Druckschrift WO 2018/234039 A1 betrifft ein Verfahren zum Übermitteln von Nachrichten in einer sicherheitsrelevanten Anlage.
  • Eine zu lösende Aufgabe liegt darin, eine sicherheitsrelevante Anlage anzugeben, die effizient aufgebaut ist.
  • Diese Aufgabe wird unter anderem durch Anlagenkomponenten, durch eine modular aufgebaute sicherheitsrelevante Anlage sowie durch ein Betriebsverfahren mit den Merkmalen der unabhängigen Ansprüche gelöst. Bevorzugte Weiterbildungen sind Gegenstand der übrigen Ansprüche.
  • In einer Ausführungsform umfasst die Anlagenkomponente eine Ansteuereinheit und ein anzusteuerndes Dienstelement oder mehrere anzusteuernde Dienstelemente. Das mindestens eine Dienstelement ist zum Beispiel eine Lichtquelle, ein Motor, ein Aktuator, eine Schranke, eine Weiche oder ein Sensor, also ein Steuerelement oder ein Schaltelement. Die Ansteuereinheit umfasst ein Betriebsmodul und ein Überwachungsmodul, die bevorzugt voneinander unabhängige Software-Module sind. Außerdem umfasst die Ansteuereinheit eine Ansteuerschnittstelle, eine Rückleseschnittstelle, eine Unterbrecherschnittstelle sowie eine Kommunikationsschnittstelle.
  • Die Ansteuerschnittstelle ist für eine Ansteuerung des zugeordneten, zumindest einen Dienstelements durch das Betriebsmodul eingerichtet. Die Rückleseschnittstelle ist dazu eingerichtet, dass durch das Überwachungsmodul ein Betriebszustand des zumindest einen zugeordneten Dienstelements erfasst wird. Die Unterbrecherschnittstelle ist im Fehlerfall für eine Zurücksetzung des zumindest einen Dienstelements durch das zugehörige Überwachungsmodul eingerichtet. Schließlich dient die Kommunikationsschnittstelle für eine externe Kommunikation, insbesondere für eine Kommunikation zwischen verschiedenen Anlagenkomponenten.
  • Zum Beispiel in der Eisenbahntechnik geht ein Trend, genau wie in anderen Sektoren mit Sicherheitsverantwortung, wie im Automobilbereich oder in der Industrieautomatisierung, hin zur Nutzung von COTS-Komponenten (COTS: Connection Oriented Transport Service), die alle Prozessoren mitbringen, und zwar schon bei sehr kleinen Elementen, wie LEDs, Schaltern oder einfachen Anzeigeelementen. Trotzdem werden in der Regel immer noch proprietäre sichere Rechner benötigt, und sei es nur zu einem Voting wie zum Beispiel bei DS3 (DS3: Distributed Smart Safe System).
  • Eine Idee der hier beschriebenen Anlage ist an den Bereich der Schwarmintelligenz angelehnt und liegt darin, Sicherheitsaufgaben mittels einfacher, als atomar bezeichenbarer Elemente aufzubauen, die sich insbesondere bis auf ihre identitätsabhängige Projektierung gleich verhalten und die sehr ähnlich aufgebaut sein können. Diese atomaren Elemente bilden die Anlagenkomponenten der sicherheitsrelevanten Anlage.
  • Jedes atomare Element besteht bevorzugt aus einem, im einfachsten Fall binären, Dienstelement, das zum Beispiel ein Steuerelement oder ein Schaltelement ist, wie eine Lampe oder ein Schalter oder ein Aktuator. Zu dem Dienstelement gibt es eine Ansteuerschnittstelle, eine Unterbrecherschnittstelle und eine Rückleseschnittstelle. Außerdem ist pro atomarem Element ein Prozessor mit Kommunikationsschnittstellen vorhanden. Eine Kommunikationsschnittstelle des atomaren Elements ist zum Beispiel durch einen Bus, durch eine WLAN-Verbindung oder durch eine 5G-Verbindung realisiert.
  • Auf den Prozessoren der atomaren Elemente laufen je mindesten zwei Software-Systeme, also zumindest das Betriebsmodul und das Überwachungsmodul, die sich in Aufbau und Datenspeicherung bevorzugt unterscheiden und beispielsweise nach dem Coded Processing-Prinzip oder nach dem Watchdog-Prinzip arbeiten. Jeder Prozessor hat für jeden Kanal eine eigene Identität, erforderlichenfalls auch Authentifizierungsmechanismen wie zum Beispiel PKI (Public Key Infrastructure), wenn eine relativ hohe Sicherheit bei der Datenübertragung gefordert ist. Weiterhin kennt bevorzugt jedes einzelne atomare Element die Funktionalität der gesamten sicherheitsrelevanten Anlage, woraus seine eigene Funktion zum Beispiel ausschließlich durch Projektierung abgeleitet wird. Ein Beispiel sind endliche Zustandsautomaten, da viele Sicherheitssysteme zustandsbasiert sind.
  • Die sicherheitsrelevante Anlage arbeitet zyklisch. Hierfür sind geeignete Protokolle bekannt, die eine Zeitsynchronisation und/oder eine Zustandssynchronisation leisten können, zum Beispiel BFT (BFT: Byzantine Fault Tolerance) oder Raft, je nach den konkreten Anforderungen.
  • Die Arbeitsweise der sicherheitsrelevanten Anlage ist nun insbesondere wie folgt:
    • - In jedem Zyklus bestimmt jedes atomare Element seine Eingangswerte, falls das betreffende atomare Element ein Sensor ist, oder seinen Zustand.
    • - Diese Eingangswerte oder dieser Zustand werden/wird mit allen anderen atomaren Elementen synchronisiert. Die Kommunikation erfolgt dabei mindestens zweikanalig mit einem betriebsführenden und mit mindestens einem überwachenden Kanal, kann alternativ aber auch einkanalig erfolgen.
    • - Aus der Synchronisierung wird der neue Gesamtzustand des Systems bestimmt.
    • - Nun werden die Ausgangswerte des Systems in Übereinstimmung mit dem Gesamtzustand gesetzt, falls Abweichungen bestehen.
  • Als Anwendungsbeispiele dienen Lichtsignalanlagen oder Bahnübergänge oder einfache Stellwerke. Alle diese vergleichsweise einfachen Systeme werden derzeit üblicherweise von einem zentralen sicheren Rechner gesteuert. Mittlerweile können jedoch Peripherie-Geräte über relativ intelligente Komponenten verfügen, zum Beispiel Steuerschaltungen von LEDs. Bei der hier beschriebenen Anlage wird die Intelligenz der Peripherie-Geräte zur Steuerung und zur Kontrolle der Anlage herangezogen, sodass keine oder nur wenige zusätzliche Komponenten nötig sind. Dies wird insbesondere durch die Aufteilung in die Betriebsmodule und Überwachungsmodule sowie durch die Kommunikation zwischen den Anlagenkomponenten erzielt.
  • Alternativ zu einfachen Anlagenkomponenten lassen sich auch Systemen mit komplexeren diskreten Eingabewerten und/oder Ausgabewerten mit dem hier beschriebenen Konzept verwalten. Dabei ist sicherzustellen, dass die Überwachungsmodule direkt einen betriebshemmenden Zustand ansteuern können.
  • Eine Idee der hier beschriebenen Anlage liegt somit zusammenfassend in der Zerlegung in atomare Untereinheiten, die alle ähnlich nach demselben Sicherungsprinzip aufgebaut sind. Mit diesem Konzept ist es möglich, auf proprietäre Sicherheitshardware zu verzichten.
  • In einer Ausführungsform umfasst die sicherheitsrelevante Anlage mehreren Anlagenkomponenten und eine Kommunikationsleitung. Die Kommunikationsschnittstellen der Anlagenkomponenten sind mittels der Kommunikationsleitung untereinander verbunden. Die Kommunikationsleitung kann dabei kabelgebunden oder drahtlos gestaltet sein. Die Anlage ist frei von einem Zentralrechner für eine zentralisierte Ansteuerung der Anlagenkomponenten. Das heißt, die Anlage ist für eine dezentrale Ansteuerung der Anlagenkomponenten bevorzugt ausschließlich mittels der Ansteuereinheiten eingerichtet.
  • Gemäß zumindest einer Ausführungsform sind in den Anlagenkomponenten jeweils die Ansteuereinheit und das mindestens eine zugehörige Dienstelement monolithisch integriert. Das heißt, die Anlagenkomponenten sind Bauteile, die als solche ohne die Zusammenfügung weiterer Komponenten verbaut werden können. Insbesondere sind die Ansteuereinheit und das mindestens eine zugehörige Dienstelement mechanisch fest miteinander verbunden und/oder befinden sich in einem gemeinsamen Gehäuse und/oder auf einem gemeinsamen Träger wie einer Platine.
  • Gemäß zumindest einer Ausführungsform sind die Betriebsmodule und die Überwachungsmodule voneinander unabhängige Software-Module. Es ist möglich, dass innerhalb der Ansteuereinheiten jeweils eine direkte Kommunikation zwischen den Überwachungsmodulen und den Betriebsmodulen unterbunden ist. Die Überwachungsmodule und die Betriebsmodule können bevorzugt nur indirekt über die Kommunikationsleitung miteinander kommunizieren.
  • Alternativ zu einer flexiblen Programmierung als Software können die Betriebsmodule und die Überwachungsmodule als Hardware implementiert sein, zum Beispiel in einem anwenderspezifischen Schaltkreis.
  • Gemäß zumindest einer Ausführungsform sind die Überwachungsmodule und die Betriebsmodule innerhalb der jeweiligen Ansteuereinheit in einem gemeinsamen Mikroprozessor implementiert. Die Module können in unterschiedlichen Bereichen des Mikroprozessors lokalisiert sein und/oder in einem Multitasking-Modus ausgeführt werden. Insbesondere laufen die Überwachungsmodule und die Betriebsmodule parallel.
  • Gemäß zumindest einer Ausführungsform sind die Überwachungsmodule und die Betriebsmodule innerhalb der Ansteuereinheiten jeweils in einem eigenen Mikroprozessor implementiert. Das heißt, in den Ansteuereinheiten befinden sich je mindestens zwei separate Mikroprozessoren.
  • Gemäß zumindest einer Ausführungsform umfassen einige oder alle Anlagenkomponenten einen oder mehrere Betriebszustandssensoren. Die Betriebszustandssensoren sind jeweils an die Rückleseschnittstelle der zugehörigen Betriebseinheit angeschlossen oder sind ein Teil der Rückleseschnittstelle. Die Betriebszustandssensoren sind durch einen oder mehrere der folgenden Sensoren gebildet: Temperatursensor, Farbsensor, Helligkeitssensor, Stromsensor, Spannungssensor, Widerstandssensor, Abstandssensor, Lagesensor, Beschleunigungssensor, Uhr.
  • Die Unterbrecherschnittstellen der Anlagenkomponenten können je eine Unterbrechereinheit, zum Beispiel einen Schalter, aufweisen oder an eine Unterbrechereinheit angeschlossen sein, wobei dann die Unterbrechereinheit mittels der zugeordneten Unterbrecherschnittstelle angesteuert wird.
  • Gemäß zumindest einer Ausführungsform sind die Kommunikationsschnittstellen einiger oder aller Ansteuereinheiten baugleich. Hierdurch lässt sich eine effiziente Kommunikation zwischen den Ansteuereinheiten erreichen.
  • Gemäß zumindest einer Ausführungsform sind einige oder alle Überwachungsmodule untereinander konstruktionsgleich oder baugleich. Konstruktionsgleich bedeutet insbesondere, dass die Überwachungsmodule den gleichen prinzipiellen Aufbau und/oder die gleichen Routinen aufweisen. Eine Designanpassung zwischen den Überwachungsmodulen liegt zum Beispiel nur darin, dass verschiedenartige Betriebszustandssensoren angeschlossen sind.
  • Gemäß zumindest einer Ausführungsform umfasst die Anlage mindestens vier oder mindestens sechs der Anlagenkomponenten. Alternativ oder zusätzlich liegt die Anzahl der Anlagenkomponenten bei höchstens 50 oder bei höchstens 30 oder bei höchstens 15. Durch die vergleichsweise geringe Anzahl von Anlagenkomponenten ist eine schnelle Synchronisierung zwischen den Ansteuereinheiten möglich. Zum Beispiel beträgt eine Zykluszeit zum Synchronisieren der Betriebseinheiten untereinander und/oder eine Prüfzeit für das Überwachen der Dienstelemente höchstens 0,5 s oder höchstens 0,2 s oder höchstens 0,05 s. Die Prüfzeit ist insbesondere die Zeitspanne, die von den Überwachungsmodulen maximal benötigt wird um festzustellen, ob das zugeordnete Dienstelement den korrekten Zustand aufweist.
  • Darüber hinaus wird ein Betriebsverfahren für eine sicherheitsrelevante Anlage, wie oben beschrieben, angegeben. Merkmale des Betriebsverfahrens sind daher auch für die Anlage offenbart und umgekehrt.
  • Das Betriebsverfahren beinhaltet insbesondere, dass
    • - die Dienstelemente durch die Betriebsmodule angesteuert werden,
    • - Betriebszustände der Dienstelemente durch die Überwachungsmodule überwacht werden,
    • - im Falle einer Fehlfunktion zumindest eines der Dienstelemente durch zumindest eines der Überwachungsmodule in einen vordefinierten Grundzustand geschaltet wird, und
    • - sich die Betriebseinheiten untereinander über die Kommunikationsleitung zyklisch synchronisieren.
  • Eine Korrekturzeit für das Zurückschalten in den Grundzustand ist bevorzugt maximal die Prüfzeit. Der Grundzustand ist beispielsweise ein Aus-Zustand des betreffenden Dienstelementes oder eine zuvor festgelegte Position des Dienstelementes, zum Beispiel wenn das Dienstelement ein Motor oder eine Weiche ist.
  • Handelt es sich bei einem der Dienstelemente um eine sicherheitsrelevante Komponente wie eine Weiche oder eine Schranke, so kann das Zurückschalten in den Grundzustand bedeuten, dass ein anderes Dienstelement in einen bestimmten Zustand versetzt wird. Zum Beispiel wird das andere Dienstelement, wie ein Stoppsignal, dauerhaft angeschaltet.
  • Die oben genannten Eigenschaften, Merkmale und Vorteile der Erfindung und die Art und Weise, wie diese erreicht werden, werden durch die folgende Beschreibung der Ausführungsbeispiele der Erfindung in Verbindung mit den entsprechenden Figuren weitergehend erläutert, wobei
    • die 1 und 2 schematische Darstellungen von hier beschriebenen sicherheitsrelevanten Anlagen zeigen,
    • die 3 bis 5 schematische Schnittdarstellungen von Anlagenkomponenten für hier beschriebene Anlagen zeigen, und 6 eine schematische Darstellung eines Betriebsverfahrens für hier beschriebenen Anlagen zeigt.
  • In 1 ist ein Ausführungsbeispiel einer sicherheitsrelevanten Anlage 1 dargestellt. Die Anlage 1 umfasst mehrere Anlagenkomponenten 2, von denen lediglich eine detaillierter illustriert ist. Die Anlagenkomponenten 2 umfassen je ein Dienstelement 4, zum Beispiel Lichtquellen. Ferner weist jede der Anlagenkomponenten 2 eine Ansteuereinheit 3 auf.
  • Die Anlagenkomponenten 2 können weitgehend baugleich sein. Beispielsweise unterscheiden sich die Anlagenkomponenten 2 nur in ihren Dienstelementen 4 voneinander. Die Anlagenkomponenten 2 sind zum Beispiel Lichtzeichen, die Anlage 1 ist eine Ampelanlage. Die Anlagenkomponenten 2 sind räumlich getrennte, separate Bauteile.
  • Die Ansteuereinheiten 3 umfassen je ein Betriebsmodul 31 und ein Überwachungsmodul 32 sowie eine Ansteuerschnittstelle 33, eine Rückleseschnittstelle 34, eine Unterbrecherschnittstelle 35 sowie eine Kommunikationsschnittstelle 36. Die Anlagenkomponenten 2 sind untereinander mittels einer Kommunikationsleitung 6 verbunden. Die Kommunikationsleitung 6 ist insbesondere frei von einem externen Zugang und verbindet ausschließlich die Anlagenkomponenten 2 miteinander. Die Betriebsmodule 31, die Überwachungsmodule 32 und die Dienstelemente 4 sind einander bevorzugt eineindeutig zugeordnet. Die Schnittstellen 33, 34, 35 können Kabelverbindungen sein.
  • Pro Anlagenkomponente 2 sind in 1 zwei Anbindungen an die Kommunikationsleitung 6 vorhanden. Diese beiden Anbindungen können je physisch voneinander getrennt sein oder alternativ physisch vereint sein, sodass dann nur eine programmiertechnische Trennung der Anbindungen vorliegt.
  • Eine Ansteuerung des Dienstelements 4 der Anlagenkomponenten 2 erfolgt je über deren Ansteuerschnittstelle 33 durch das betreffende Betriebsmodul 31. Über die Rückleseschnittstelle 34 erfolgt eine Erfassung eines aktuellen Betriebszustands des Dienstelements 4 durch das Überwachungsmodul 32. Mit anderen Worten wird mit dem Überwachungsmodul 32 überprüft, ob das Dienstelement 4 den Zustand einnimmt, der vom Betriebsmodul 31 vorgegeben wird. Ist dem nicht so, so wird das Dienstelement 4 über die Unterbrecherschnittstelle 35 durch das Überwachungsmodul 32 in einen zuvor festgelegten Grundzustand geschaltet. Insbesondere wird bei Fehlzuständen ein Betrieb des Dienstelements 4 unterbrochen. Dieses Zurückschalten wirkt bevorzugt unmittelbar auf das Dienstelement 4, ohne dass das zugeordnete Betriebsmodul 31 beteiligt ist.
  • Das Betriebsmodul 31 und das Überwachungsmodul 32 sind Software-Module, die auf einem gemeinsamen Prozessor laufen, wobei die Module 31, 32 untereinander nicht direkt miteinander kommunizieren, sondern eigenständige Software-Systeme bilden. Eine Synchronisierung aller Module 31, 32 untereinander erfolgt über die Kommunikationsleitung 6.
  • Im Ausführungsbeispiel der 2 ist die Anlage 1 ein Teil eines Bahnbetriebssystems. Die Anlagenkomponente 2a, 2b sind Lichtsignale, die Anlagenkomponente 2c ist ein Schrankenstellmotor an einer Schranke an einer Straße 71 und die Anlagenkomponente 2d ist ein Sensor und/oder ein Signal für ein nicht gezeichnetes Schienenfahrzeug. Optional umfasst die Anlage 1 als Anlagenkomponente 2e eine Weiche an Schienen 72.
  • Eine Kommunikation zwischen den nahe beieinander liegenden Anlagenkomponenten 2a, 2b, die im gleichen Gehäuse verbaut sein können, erfolgt kabelgebunden oder drahtlos. Eine Kommunikation zwischen den Anlagenkomponenten 2c, 2d, 2e und hin zu den Anlagenkomponenten 2a, 2b erfolgt bevorzugt drahtlos, zum Beispiel mittels 5G, symbolisiert durch eine Strichlinie.
  • Im Ausführungsbeispiel der 3 ist gezeigt, dass die Anlagenkomponente 2 einen optionalen Betriebszustandssensor 5 umfasst, wie auch in allen anderen Ausführungsbeispielen möglich. Es sind beispielsweise mehrere der Dienstelemente 4 vorhanden, die gemeinsam von dem Betriebsmodul 31 angesteuert werden. Der Betriebszustandssensor 5 ist insbesondere ein Helligkeitssensor oder ein Widerstandssensor, mit dem der Betriebszustand der Dienstelemente 4 bestimmt wird. Die Module 31, 32 sind in separaten Prozessoren untergebracht. Optional ist eine gemeinsame Speichereinheit 37 vorhanden.
  • Gemäß 4 handelt es sich bei dem Dienstelement 4 um einen LED-Chip, der zusammen mit der Ansteuereinheit 3 und dem optionalen Betriebszustandssensor 5 in einem Gehäuse 81, das zum Beispiel aus einem spritzgegossenen Kunststoff ist, untergebracht ist. Über elektrische Kontaktflächen 82 erfolgt eine Anbindung an die nicht gezeichnete Kommunikationsleitung.
  • Beim Ausführungsbeispiel der 5 handelt es sich beim Dienstelement 4 der Anlagenkomponente 2 um einen Motor. Über die Rückleseschnittstelle 34 wird etwa eine Position oder Drehgeschwindigkeit bestimmt. Entspricht ein Signal an der Rückleseschnittstelle 34 nicht dem, was durch das Betriebsmodul 31 vorgegeben ist, so setzt das Überwachungsmodul 32 das Dienstelement 4 in einen bestimmten Zustand. Wie auch in allen anderen Ausführungsbeispielen ist es prinzipiell möglich, dass die Unterbrecherschnittstelle 35 nicht an einer Zuleitung zum Dienstelement 4 ansetzt, sondern ein Signal direkt an das Betriebsmodul 31 sendet.
  • In 6 ist ein Betriebsverfahren für eine Anlage 1 illustriert. Die Pfeile symbolisieren die jeweiligen Kommunikationsrichtungen und Einwirkmöglichkeiten. Die Betriebsmodule 31 senden Betriebsdaten an die Dienstelemente 4. Mittels der Überwachungsmodule 32 werden die Betriebszustände der Dienstelemente 4 kontrolliert. Stimmt der ermittelte Betriebszustand nicht mit dem durch das Betriebsmodul 31 gesetzten Zustand überein, so greift das betreffende Überwachungsmodul 32 ein und setzt den Betriebszustand zurück. Der Eingriff kann, wie gezeichnet, direkt auf die Ansteuerschnittstelle 34 oder auf eine Ansteuerleitung erfolgen, oder auch, anders als gezeichnet, direkt auf das betreffende Dienstelement 4 oder direkt auf das betreffende Betriebsmodul 31. Stimmen der durch das Betriebsmodul 31 gesetzte Zustand und der ermittelte Zustand wieder überein, so wird der Eingriff durch das Überwachungsmodul 32 beendet.
  • Die Betriebsmodule 31 sind bevorzugt untereinander konstruktionsgleich, also nach dem gleichen Konzept aufgebaut und, soweit möglich, mit den gleichen Komponenten realisiert. Dies gilt in gleicher Weise für die Überwachungsmodule 32. Die Anlagenkomponenten 2 unterscheiden sich insbesondere nur in ihren Dienstelementen 4 und damit verbunden in der Ansteuerung sowie der Kontrolle der Dienstelemente 4.
  • Eine Synchronisierung zwischen allen Modulen 31, 32 erfolgt bidirektional über die Kommunikationsleitung 6, zum Beispiel mit einer Periodizität von höchstens 0,5 s. Optional ist an die Kommunikationsleitung 6 eine Zugangsvorrichtung 9 angeschlossen, über die zum Beispiel eine Wartung und/oder eine Fehleranalyse erfolgt. Ansonsten ist bevorzugt keine Kommunikation mit der Anlage 1 vorgesehen.
  • Obwohl die Erfindung anhand von Ausführungsbeispielen detailliert dargestellt und beschrieben wurde, ist die Erfindung nicht auf die offenbarten Ausführungsbeispiele und die darin erläuterten konkreten Merkmalskombinationen beschränkt. Weitere Variationen der Erfindung können von einem Fachmann erhalten werden, ohne den Schutzumfang der beanspruchten Erfindung zu verlassen.
  • Bezugszeichenliste
    • 1
    sicherheitsrelevante Anlage
    2
    Anlagenkomponente
    3
    Ansteuereinheit
    31
    Betriebsmodul
    32
    Überwachungsmodul
    33
    Ansteuerschnittstelle
    34
    Rückleseschnittstelle
    35
    Unterbrecherschnittstelle
    36
    Kommunikationsschnittstelle
    37
    Speichereinheit
    4
    Dienstelement
    5
    Betriebszustandssensor
    6
    Kommunikationsleitung
    71
    Straße
    72
    Schiene
    81
    Gehäuse
    82
    elektrische Kontaktfläche
    9
    Zugangsvorrichtung
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2018/234039 A1 [0002]

Claims (12)

  1. Anlagenkomponente (2) mit einer Ansteuereinheit (3) und mit mindestens einem anzusteuernden Dienstelement (4), wobei - die Ansteuereinheit (3) ein Betriebsmodul (31) und ein Überwachungsmodul (32) umfasst, - die Ansteuereinheit (3) außerdem eine Ansteuerschnittstelle (33), eine Rückleseschnittstelle (34), eine Unterbrecherschnittstelle (35) sowie eine Kommunikationsschnittstelle (36) umfasst, - die Ansteuerschnittstelle (33) für eine Ansteuerung des zumindest einen Dienstelements (4) durch das Betriebsmodul (31) eingerichtet ist, - die Rückleseschnittstelle (34) für eine Erfassung eines Betriebszustands des zumindest einen Dienstelements (4) durch das Überwachungsmodul (32) eingerichtet ist, - die Unterbrecherschnittstelle (35) für eine Zurücksetzung des zumindest einen Dienstelements (4) in einen Grundzustand durch das Überwachungsmodul (32) eingerichtet ist, und - die Kommunikationsschnittstelle (36) für eine externe Kommunikation eingerichtet ist.
  2. Sicherheitsrelevante Anlage (1) mit mehreren Anlagenkomponenten (2) nach dem vorherigen Anspruch und mit einer Kommunikationsleitung (6), wobei - die Kommunikationsschnittstellen (36) der Anlagenkomponenten (2) untereinander mittels der Kommunikationsleitung (6) verbunden sind, und - die Anlage (1) für eine dezentrale Ansteuerung der Anlagenkomponenten (2) mittels der Ansteuereinheiten (3) eingerichtet ist und keinen Zentralrechner für eine zentralisierte Ansteuerung der Anlagenkomponenten (2) aufweist.
  3. Anlage (1) nach dem vorhergehenden Anspruch, bei der zumindest einige der Dienstelemente (4) aus der folgenden Gruppe ausgewählt sind: Lichtquelle, Motor, Aktuator, Schranke, Weiche, Sensor.
  4. Anlage (1) nach einem der Ansprüche 2 und 3, bei der in den Anlagenkomponenten (2) jeweils die Ansteuereinheit (3) und das mindestens eine zugehörige Dienstelement (4) monolithisch integriert sind, wobei die Betriebsmodule (31) und die Überwachungsmodule (32) voneinander unabhängige Software-Module sind, und wobei innerhalb der Ansteuereinheiten (3) eine direkte Kommunikation zwischen den Überwachungsmodulen (32) und den Betriebsmodulen (21) unterbunden ist.
  5. Anlage (1) nach einem der Ansprüche 2 bis 4, bei der die Überwachungsmodule (32) und die Betriebsmodule (31) innerhalb der jeweiligen Ansteuereinheit (2) in einem gemeinsamen Mikroprozessor implementiert sind.
  6. Anlage (1) nach einem der Ansprüche 2 bis 4, bei der die Überwachungsmodule (32) und die Betriebsmodule (31) innerhalb der Ansteuereinheiten (3) jeweils in einem eigenen Mikroprozessor implementiert sind.
  7. Anlage (1) nach einem der Ansprüche 2 bis 6, bei der die Kommunikationsschnittstellen (36) untereinander baugleich sind und zumindest einige der Überwachungsmodule (32) untereinander konstruktionsgleich sind, wobei sich in den Ansteuereinheiten (3) jeweils das Betriebsmodul (31) und das Überwachungsmodul (32) hinsichtlich Aufbau und Datenspeicherung voneinander unterscheiden.
  8. Anlage (1) nach einem der Ansprüche 2 bis 7, bei der zumindest einige der Anlagenkomponenten (2) zumindest einen Betriebszustandssensor (5) umfassen, wobei die Betriebszustandssensoren (5) jeweils an die Rückleseschnittstelle (34) der zugehörigen Betriebseinheit (3) gekoppelt sind.
  9. Anlage (1) nach einem der Ansprüche 2 bis 8, umfassend mindestens vier und höchstens 30 der Anlagenkomponenten (2), wobei die Anlagenkomponenten (2) voneinander separat angeordnete Bauteile sind und die Kommunikationsleitung (6) einen betriebsführenden und mindestens einen überwachenden Kanal beinhaltet, und wobei zumindest einige der Dienstelemente (4) binäre Steuerelemente oder Schaltelemente sind.
  10. Anlage (1) nach einem der Ansprüche 2 bis 9, die eine Lichtsignalanlage, ein Stellwerk, ein Bahnübergang und/oder eine Bahnbetriebsanlage oder ein Teil zumindest eines dieser sicherheitsrelevanten Systeme ist.
  11. Betriebsverfahren, mit dem eine sicherheitsrelevante Anlage (1) nach einem der Ansprüche 2 bis 10 betrieben wird, wobei - die Dienstelemente (4) durch die Betriebsmodule (31) angesteuert werden, - Betriebszustände der Dienstelemente (4) durch die Überwachungsmodule (32) überwacht werden, - im Falle einer Fehlfunktion das betreffende Dienstelement (4) durch das zugeordnete Überwachungsmodul (32) in einen Grundzustand geschaltet wird, und - sich die Betriebsmodule (31) und die Überwachungsmodule (32) der Betriebseinheiten (3) untereinander über die Kommunikationsleitung (6) zyklisch synchronisieren.
  12. Betriebsverfahren nach dem vorhergehenden Anspruch, wobei eine Zykluszeit zum Synchronisieren der Betriebseinheiten (3) untereinander und eine Prüfzeit für das Überwachen der Dienstelemente (4) höchstens 0,5 s betragen.
DE102019207790.0A 2019-05-28 2019-05-28 Anlagenkomponente, sicherheitsrelevante Anlage und Betriebsverfahren Withdrawn DE102019207790A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102019207790.0A DE102019207790A1 (de) 2019-05-28 2019-05-28 Anlagenkomponente, sicherheitsrelevante Anlage und Betriebsverfahren
PCT/EP2020/063251 WO2020239437A1 (de) 2019-05-28 2020-05-13 Anlagenkomponente, sicherheitsrelevante anlage und betriebsverfahren

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019207790.0A DE102019207790A1 (de) 2019-05-28 2019-05-28 Anlagenkomponente, sicherheitsrelevante Anlage und Betriebsverfahren

Publications (1)

Publication Number Publication Date
DE102019207790A1 true DE102019207790A1 (de) 2020-12-03

Family

ID=70918389

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019207790.0A Withdrawn DE102019207790A1 (de) 2019-05-28 2019-05-28 Anlagenkomponente, sicherheitsrelevante Anlage und Betriebsverfahren

Country Status (2)

Country Link
DE (1) DE102019207790A1 (de)
WO (1) WO2020239437A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021001792B3 (de) 2021-04-07 2022-05-25 Sew-Eurodrive Gmbh & Co Kg Automatisierungssystem und Verfahren zum Betrieb eines Automatisierungssystems

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017064554A1 (en) * 2015-10-13 2017-04-20 Schneider Electric Industries Sas Method for arranging workloads in a software defined automation system
US20190159032A1 (en) * 2016-04-29 2019-05-23 Siemens Aktiengesellschaft Redundantly Operable Industrial Communication System, Method for Operation Thereof and Radio subscriber Station
US10348481B1 (en) * 2018-04-30 2019-07-09 Cisco Technology, Inc. Clock harmonization in deterministic networks

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180284746A1 (en) * 2016-05-09 2018-10-04 StrongForce IoT Portfolio 2016, LLC Methods and systems for data collection optimization in an industrial internet of things environment
DE102017210513A1 (de) 2017-06-22 2018-12-27 Siemens Aktiengesellschaft Verfahren zum Übermitteln einer Nachricht in einer sicherheitsrelevanten Anlage

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017064554A1 (en) * 2015-10-13 2017-04-20 Schneider Electric Industries Sas Method for arranging workloads in a software defined automation system
US20190159032A1 (en) * 2016-04-29 2019-05-23 Siemens Aktiengesellschaft Redundantly Operable Industrial Communication System, Method for Operation Thereof and Radio subscriber Station
US10348481B1 (en) * 2018-04-30 2019-07-09 Cisco Technology, Inc. Clock harmonization in deterministic networks

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021001792B3 (de) 2021-04-07 2022-05-25 Sew-Eurodrive Gmbh & Co Kg Automatisierungssystem und Verfahren zum Betrieb eines Automatisierungssystems
WO2022214310A1 (de) 2021-04-07 2022-10-13 Sew-Eurodrive Gmbh & Co. Kg Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
DE102022000991A1 (de) 2021-04-07 2022-10-13 Sew-Eurodrive Gmbh & Co Kg Automatisierungssystem und Verfahren zum Betrieb eines Automatisierungssystem

Also Published As

Publication number Publication date
WO2020239437A1 (de) 2020-12-03

Similar Documents

Publication Publication Date Title
EP1540428B1 (de) Redundante steuergeräteanordnung
EP1950096B1 (de) Modulares System
DE102011110184A1 (de) Modulare Steuervorrichtung
EP2620820B1 (de) Modulanordnung
WO1996031815A1 (de) Einrichtung zur eigensicheren signalanpassung
EP2445771B1 (de) Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks
DE102011110182A1 (de) Modulare Steuerungsvorrichtung
DE102009042368A1 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE202009018199U1 (de) Freischaltsteuergerät
DE102017123615A1 (de) Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale
EP3100121B1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
DE102019207790A1 (de) Anlagenkomponente, sicherheitsrelevante Anlage und Betriebsverfahren
WO2011120801A1 (de) Timermodul und verfahren zur überprüfung eines ausgangssignals
EP3415399B1 (de) System zur ausfallsicheren versorgung eines elektrischen verbrauchers mit einem redundant ausgeführten energiebus
DE102010038459A1 (de) Sicherheitssystem
CH658025A5 (en) Electronic signal box
EP1400882A2 (de) Vorrichtung zur Automatisierung und/oder Steuerung von Werkzeug-oder Produktionsmaschinen
EP0888707B1 (de) Baugruppe mit einer schaltungsanordnung
EP1501714B1 (de) Prozessanschaltungen fuer das sichere betreiben von sicherungstechnischen einrichtungen
DE102018103873A1 (de) Steuergerät für einen Elektromotor und Aktor
DE102020112955B4 (de) Reiheneinbaugerät, Automatisierungssystem und Verfahren zur Prozessautomation
DE102018203887B4 (de) Steuergerät für ein Mehrspannungsbordnetz eines Fahrzeugs und Mehrspannungsbordnetz
EP3977211A1 (de) Steueranlage und verfahren zum betreiben einer steueranlage
DE10328384B4 (de) Steuerbare Einrichtung zur sicherheitsgerichteten Auswahl
DE102018117896A1 (de) Netzwerkvorrichtung zur Sicherung der Verfügbarkeit eines Netzwerkgerätes

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee