-
Verfahren
zum Steuern und Überwachen
einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage,
sowie Vorrichtung zur Durchführung
des Verfahrens Die Erfindung betrifft ein Verfahren zum Steuern
und Überwachen
einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage,
nach dem Oberbegriff des Patentanspruches 1 sowie eine Vorrichtung
zur Durchführung
des Verfahrens nach dem Oberbegriff des Patentanspruches 9 (
DE 100 12 608 A1 ).
-
Rechner-gestützte Systeme
finden heutzutage breite Anwendung auf allen Gebieten der Technik. Solche
Systeme bestehen aus einer Zusammenstellung von Komponenten, typischerweise
mechanische Teile, Computerhardware, Computersoftware, die kombiniert
werden, um eine spezielle Aufgabe zu erfüllen. Das System hat Benutzer,
für die
es einen Dienst bereitstellt, und Betreiber, mit welchen es zu betrieblichen
Zwecken in Wechselwirkung steht. Diese Wechselwirkung ist wesentlich
für einen
korrekten Betrieb des Systems, so dass Betreiber sogar als Teil des
Systems angesehen werden können.
In vielen Fällen
sind Benutzer und Betreiber in der Tat ein und dieselbe Person.
Es ist schon aus der täglichen
Lebenserfahrung bekannt, dass solche rechner-gestützten Systeme
oder Anlagen eine gewisse Fehleranfälligkeit aufweisen, die zur
eingeschränkten
Nutzung oder sogar zum völligen
Ausfall des Systems führen
kann.
-
Wenn
die Fehlfunktion des Systems den Tod, ernsthafte Verletzungen oder
schwere Schäden
an Eigentum oder Umwelt zur Folge haben kann, spricht man von einem
sicherheitskritischen System bzw. Anlage. Beispiele für sicherheitskritische
Systeme sind Flugzeuge, Kernkraftwerke oder auch Straßenverkehrs-Signalanlagen,
insbesondere deren Steuerungen.
-
Um
die verlangten Aufgaben auch angesichts bestimmter Fehlerklassen
erfüllen
zu können, wird
die Fehlertoleranz solcher Systeme oder Anlagen erhöht, indem
zusätzliche
Ressourcen in Form von Redundanz bereitgestellt werden. Hier unterscheidet
man Hardware-Redundanz, bei der Hardwarekomponenten wie Prozessoren,
Kommunikationen, Speicher und Energieversorgungen in mehrfacher
Ausfertigung vorgesehen sind; Informations-Redundanz, wie z. B.
Fehlerdetektion und Fehlerberichtigungscodes wie Prüfsummen
oder Parität;
Zeitredundanz, wobei zusätzliche
Zeit eingeräumt
wird, in der es möglich
ist, einen Fehler zu detektieren und die misslungene Berechnung
nochmal zu versuchen; sowie Software-Redundanz, wie Konsistenz-
und Tauglichkeitsprüfungen
aber auch N-Versions-Programmierung.
-
Die
Ausstattung von sicherheitskritischen Systemen bzw. Anlagen mit
Redundanz ist zunächst eine
Frage des Kostenaufwandes. So ist es nicht selten, dass beispielsweise
bei Flugzeugsteuerungen eine bestimmte Aufgabe parallel von einer
Mehrzahl an redundanten Mikroprozessoren erfüllt wird, was zu entsprechend
hohen Kosten führt.
Bei sicherheitskritischen Anwendungen, die unter einem hohen Kostendruck
in der Fertigung stehen, wie z. B. Steuerungen in Kraftfahrzeugen,
speicherprogrammierbare Steuerungen, intelligente Verkehrssteuerungs- und
-leitsysteme sowie im allgemeinen Automatisierungsbereich, ist es
daher bekannt, von einem mehrfach redundanten zu einem Einrechnersystem überzugehen
und dabei die Fehlertoleranz durch andere Maßnahmen zu erhöhen.
-
Aus
der Offenlegungsschrift
DE
42 19 557 A1 ist ein Rechnersystem zur Ansteuerung von
sicherheitsrelevanten Stellgliedern, beispielsweise des Lenksystems
eines Kraftfahrzeugs bekannt, welches als zweikanaliges Einrechnersystem
ausgelegt ist. Das Sensorsystem ist redundant ausgelegt, wobei die
Sensorsignale als Eingangsgrößen zur
Bildung des Ansteuersignals gemäß einer
ersten Funktion verknüpft
werden. Zur Überprüfung wird
das berechnete Ansteuersignal gemäß weiterer Funktionen bearbeitet,
wobei diese Funktionen die bezüglich
der jeweiligen Eingangsgröße invertierten
ersten Funktionen sind. Durch den rechnerexternen Vergleich der zurückgerechneten
Eingangsgrößen mit
den Eingangsgrößen der
redundanten Sensorsignale wird auf die fehlerfreie Funktion des
Gesamtsystems geschlossen. Als weitere Überprüfung des Betriebes der Rechnermittel
ist eine Watchdog-Schaltung vorgesehen, die in bekannter Weise bestimmte
Triggerimpulse vom Rechner erhält
bzw. bestimmte vorgebbare Impulse an den Rechner liefert. Anhand
der Analyse des Datentransfers zwischen dem Rechner und der Watchdog-Schaltung kann auf
den fehlerfreien Betrieb des Rechners geschlossen werden. Weiterhin
ist vorgesehen, während
des Betriebs und/oder vor der Inbetriebnahme des Rechnersystems
programmgemäß "falsche" Vergleichswerte
zu simulieren, wodurch die sicherheitsgerichteten Ansteuerungen
des Stellgliedes veranlasst werden; auch hiermit kann die ordnungsgemäße Funktion
des Systems überprüft werden.
-
Die
Offenlegungsschrift
DE
39 21 250 A1 offenbart ein Insassen-Sicherheitssystem für ein Fahrzeug,
insbesondere Rückhaltesystem,
wie Airbag, Gurtstraffer oder dergleichen, mit einer mindestens zwei
Sensoren aufweisenden Sensoreinrichtung, einer mindestens zwei Aufbereitungsschaltungen
umfassenden Aufbereitungseinrichtung für die Sensorsignale, einem
Rechnersystem und einer aus mindestens zwei Stufen bestehenden Auslöseschaltung
für eine
Sicherheitseinrichtung. Das Rechnersystem ist als Einrechnersystem
derart ausgebildet, dass es die Daten der beiden Aufbereitungsschaltungen
in zwei zeitlich zueinander versetzten Programmen bearbeitet, was
zu einer Quasi-Redundanz führt.
Ferner ist eine Watchdog-Schaltung vorgesehen, die durch die beiden
Programme getriggert wird und an einen Reset-Eingang des Rechnersystems
angeschlossen ist.
-
Die
internationale Veröffentlichung
WO 96/13657 A1 zeigt eine Steuereinheit zur Steuerung der Antriebseinheit
eines Fahrzeugs, wobei zur Durchführung von Steuerungs- und Überwa chungsfunktionen
lediglich ein Rechenelement (Mikrocomputer) vorgesehen ist. Im Mikrocomputer
sind dabei wenigstens zwei voneinander unabhängige Ebenen festgelegt: eine
Steuer- und eine Überwachungsebene,
die sich zumindest außerhalb
des Fehlerfalls gegenseitig in ihrer Funktion nicht beeinflussende
Kanäle
innerhalb des Rechenelements schaffen. Durch eine dritte Ebene,
die eine Ablaufkontrolle der zweiten Ebene durchführt, wird
die Betriebssicherheit und Verfügbarkeit
erhöht.
Hier wird ein aktiver Watchdog verwendet, der die Ablaufkontrolle
als Frage-Antwort-Spiel durchführt.
-
Aus
der internationalen Veröffentlichung
WO 96/20103 A1 ist ein Verfahren zur Überwachung der ordnungsgemäßen Funktion
einer programmgesteuerten elektronischen Schaltung, z. B. eines
Mikroprozessors, Mikrocomputers, Mikrocontrollers oder dergleichen
bekannt, die für
sicherheitskritische Regelsysteme, wie die Bremsanlage eines Kraftfahrzeuges,
eingesetzt werden. Im Programmablauf der zu überwachenden Schaltung werden
Datenworte erzeugt und zu vorgegebenen Zeitpunkten zu der Überwachungsschaltung
(Watchdog) übertragen.
Mit Hilfe der Überwachungsschaltung
wird der Inhalt der Datenworte sowie der Zeitpunkt deren Auftretens
mit Vorgaben verglichen, d. h. mit vorgegebenen Datenworten und
vorgegebenem Zeitrahmen. Die im Programmablauf der zu überwachenden
Schaltung erzeugten Datenworte ergeben eine vorgegebene Wortfolge,
die mit Hilfe der Überwachungsschaltung auf Übereinstimmung
mit einer entsprechenden Vorgabe verglichen wird.
-
Die
Offenlegungsschrift
DE
37 32 973 A1 offenbart eine Schaltungsanordnung zur Fehlerüberwachung
von Rechenergebnissen, die in Form digitaler Signale auf parallelen
Leitungen jeweils ein Datenwort bilden. Das Rechenwerk eines Mikroprozessors
wird auf Fehler überprüft, indem
der Mikroprozessor in gleichförmigen
Zeitabständen
wiederholt zur Ausgabe eines Datenwortpaares veranlasst wird. Die
Schaltungsanordnung enthält
zwei Komparatoren und einen diesen nachgeschalteten Impulsbildner.
Solange der Mikroprozessor fehlerfrei arbeitet, erzeugt der Impulsbildner
für jedes
Datenwortpaar einen Nadelimpuls und folglich eine Reihe von Nadelimpulsen,
deren zeitlicher Abstand nahezu konstant ist. Mit dem Auftreten
eines Fehlers bricht diese Reihe von Nadelimpulsen ab, was von einem
Zähler
mit in Reihe an einer seiner Stufen liegendem Flipflop wahrgenommen
wird, so dass das Flipflop ein Fehlersignal zur Abschaltung des
Mikroprozessors auszugeben in der Lage ist.
-
Für viele
sicherheitskritische Anlagen, insbesondere für Verkehrs-Signalanlagen, sind
Einrechnersysteme noch nicht eingesetzt. So offenbart die Produktübersicht "SITRAFFIC C800V", herausgegeben von
Siemens AG, ein Steuergerät
für Lichtsignalanlagen
mit einer Steuerungsbaugruppe und einer redundanten Signalsicherungsbaugruppe.
Der Prozessor der Steuerungsbaugruppe übernimmt die Ansteuerung der
Lampenschalter, während
die Kontrolle der Ansteuerungen durch den Prozessor der Signalsicherungsbaugruppe
erfolgt. Dadurch wird eine zweikanalige diversitäre Signalsicherung sowie eine strikte
Trennung zwischen Ansteuerung der Lampenschalter und Kontrolle des
Ergebnisses dieser Ansteuerung realisiert. Die Signalsicherung hat
in erster Linie die Aufgabe, die Auswirkungen von verkehrsgefährdenden
Zuständen
im Signalsteuergerät
oder in der Außenanlage
auf die Signalgebung zu verhindern. Des Weiteren wird über die
Signalsicherung die Funktionalität
der Außenanlage überprüft. Die
verkehrsgefährdenden
Signalisierungszustände
können durch
Lampenausfall, ungewolltes Erscheinen oder Zeitverhinderungen von
Signalen entstehen. Die Signalsicherung arbeitet funktional unabhängig vom Steuergerät und dessen
Betriebsart, sie beeinträchtigt
nicht die Anpassungsfähigkeit
der Steuermaßnahmen
an die Verkehrsverhältnisse.
Es wird zwischen zwei Arten von Signalsicherungsfehlern unterschieden:
Primäralarm
bei verkehrsgefährdenden Zuständen, die
zur sofortigen Abschaltung der Anlage und zu einer Meldung führen, und
Sekundäralarm bei
fehlerhaften Zuständen,
die keine Verkehrsgefährdung
darstellen und nur zu einer Meldung führen. Bei Systemfehlern werden
die Relais ge trennt. Erfolgt auch dann noch keine Abschaltung, wird
der FI-Schalter ausgelöst
und das Steuergerät
spannungslos geschaltet.
-
Die
Offenlegungsschrift
DE
100 12 608 A1 betrifft eine Verkehrssignalanlage mit Signalgebern, deren
ordnungsgemäße Funktion
im Hinblick auf den durch diese geregelten Straßenverkehr sicherheitsrelevant
ist. Eine Signalgebersteuerung generiert Steuersignale, die einer
Lampenschaltung der Lichtsignale eines Signalgebers zugeführt werden,
wobei Ausgangstriacs die Endstufen der Lampenschaltung für das gesteuerte
Ein- und Ausschalten der Lichtsignale bilden. Eine Überwachungsschaltung
stellt mittels einer Mehrzahl von Sensoren fest, ob die jeweiligen
Betriebszustände
des Signalgebers tatsächlich mit
denjenigen Signalzuständen übereinstimmen,
die durch die aktuellen Werte der vorgegebenen Steuersignale definiert
sind.
-
Der
Erfindung liegt die Aufgabe zugrunde ein Verfahren zum Steuern und Überwachen
einer sicherheitskritischen Anlage, insbesondere eine Verkehrs-Signalanlage,
sowie eine Vorrichtung zur Durchführung des Verfahrens mit möglichst
geringen Kosten und hoher Überwachungssicherheit
bereitzustellen.
-
Die
Aufgabe wird gelöst
durch ein Verfahren der eingangs genannten Art, welches die Merkmale des
kennzeichnenden Teils des Patentanspruches 1 aufweist sowie durch
eine Vorrichtung der eingangs genannten Art mit den Merkmalen des
kennzeichnenden Teiles von Patentanspruch 9. Indem zur Ausführung des
Schalt- und Überwachungsprogramms nur
eine weitere zentrale Recheneinheit vorgesehen ist, werden die Kosten
für ein
erfindungsgemäßes Verfahren
stark herabgesetzt. Im Vergleich zu Verfahren mit mehreren weiteren
zentralen Recheneinheiten gewinnt man mit einem erfindungsgemäßen Einrechnersystem
die Unabhängigkeit
von der Leistung und Zuverlässigkeit
von übergreifenden
Systembussen. Des Weiteren werden Angriffspunkte für Störungen verringert
und damit das Sicherheitsrisiko ver bessert. Ferner ist keine sehr
hohe Komplexität der
Software erforderlich und der Spezifikationsbedarf für den Entwurf
und die Implementierung von verteilten Anwendungen wird geringer.
Indem die Programmcodes in Speichermitteln verschlüsselt abgelegt
sind, wird über
den beim Ablauf der Programme stattfindenden Entschlüsselungsvorgang
auf bestimmte Datenbereiche der Hardware – also der weiteren zentralen
Recheneinheit und Controllern – zugegriffen,
wobei diese bei deren Nutzung auf ihre Funktionstüchtigkeit überprüft werden.
Bei einer Fehlfunktion kann eine Sicherheitsmaßnahme, etwa eine Meldung oder
sofortiges Abschalten der Anlage, ausgelöst werden. Hierdurch wird die
Sicherheit der Anlage, welche mit dem erfindungsgemäßen Verfahren
gesteuert und überwacht
wird, wesentlich erhöht werden.
-
In
einer vorteilhaften Ausführungsform
des erfindungsgemäßen Verfahrens
umfassen die Sensormittel einen ersten Sensor und einen zweiten
Sensor, wobei ein Ist-Zustand der Anlage sowohl vom ersten Sensor
als auch vom zweiten Sensor erfasst, über je einen eigenen Kanal
an die weitere zentrale Recheneinheit übertragen und vom Überwachungsprogramm
auf Übereinstimmung überprüft wird. Durch
diese Hardware-Redundanz wird die Sicherheit erhöht, indem der Ist-Zustand der
Anlage von zwei im Wesentlichen baugleichen Sensoren unabhängig voneinander
erfasst wird, was wiederum in erster Linie die Zuverlässigkeit
der Sensormittel erhöht.
Es entsteht ein zweikanaliges Verfahren, bei dem der zum Vergleich
mit dem Soll-Zustand der Anlage ermittelte Ist-Zustand zweifach
ermittelt und auf Konsistenz überprüft wird.
-
In
einer weiteren bevorzugten Ausführungsform
des erfindungsgemäßen Verfahrens
umfassen die Speichermittel einen ersten Speicher und einen zweiten
Speicher, wobei die Programmcodes des Schalt- und des Überwachungsprogramms
sowohl im ersten Speicher als auch im zweiten Speicher abgelegt
werden. Durch diese Software-Redundanz wird die Fehlertoleranz des
Verfahrens weiter erhöht. Der
Vergleich zwischen Ist- und Sollwert der Anlage kann in dieser Ausgestaltung
des erfindungsgemäßen Verfahrens
für jeden
Kanal gesondert vorgenommen werden und die Ergebnisse miteinander
verglichen werden. Bei fehlender Obereinstimmung der Vergleichsergebnisse
kann eine Sicherheitsmaßnahme
ausgelöst
werden. Durch diese zusätzliche
Hardware-Redundanz in den Speichermitteln ist auch eine für jeden
Speicher verschiedene Verschlüsselung
der Programmcodes möglich,
so dass durch die Entschlüsselung
beim Ablauf der Programme unterschiedliche Hardwarebereiche auf
ihre Funktionalität überprüft werden.
Denkbar ist auch, dass das erfindungsgemäße Verfahren bei Ausfall eines
der beiden Speicher fortgesetzt werden kann, ohne dass die Anlage
abgeschaltet werden muss.
-
In
einer vorteilhaften Ausgestaltung der Erfindung wird die weitere
zentrale Recheneinheit mittels einer Watchdog-Schaltung auf Fehlfunktionen überprüft und im
Fehlerfall eine Sicherheitsmaßnahme
ausgelöst.
Mit einer mit einem Controller zusammenarbeitenden Watchdog-Schaltung
werden in vorbestimmten, beispielsweise azyklischen, Zeitintervallen
Aufgaben an die weitere zentrale Recheneinheit gestellt, deren Lösung bei
Funktionstauglichkeit der weiteren zentralen Recheneinheit bekannt
sind, so dass bei einer ausbleibenden oder anderen als erwarteten
Rückmeldung
an die Watchdog-Schaltung eine Fehlfunktion der weiteren zentralen
Recheneinheit festgestellt werden kann. Durch diese Art Frage-und-Antwort-Spiel
zwischen Watchdog und weiterer zentraler Recheneinheit wird letztere
auf ihre Funktion hin überwacht
und kann bei auftretenden Fehlern zum Beispiel abgeschaltet werden.
-
In
einer bevorzugten Ausführungsform
der Erfindung wird die Stromversorgung mittels eines Controllers
auf Störungen überwacht
und im Störfall eine
Sicherheitsmaßnahme
ausgelöst.
Hierdurch können
Ausfälle
oder Unregelmäßigkeiten
in der für die
Anlage gelieferten Netzspannung festgestellt und bei für die Funktion
des erfindungsgemäßen Verfahrens
und damit der Anlage gefährdenden,
anormalen Abweichungen zu einer Meldung oder Fernwartung bzw. auch
zu einem Abschalten der Anlage führen.
-
In
einer weiteren bevorzugten Ausführungsform
des erfindungsgemäßen Verfahrens
wird das Auslösen
von Sicherheitsmaßnahmen
registriert und die Zeitdauer bis zur nächsten turnusmäßigen Wartung
der Anlage entsprechend der Häufigkeit und/oder
des Umfanges der Sicherheitsmaßnahmen verkürzt. Hierdurch
können
Sicherheitsmaßnahmen, die
z. B. nicht zum Abschalten der Anlage geführt haben, sondern von der Überwachung
abgefangen wurden, in einen abstrakten Fehlerspeicher festgehalten
werden, wobei dessen Inhalt die Anzahl der zulässigen Betriebsstunden bis
zur nächsten
vorgesehenen Wartung vermindert, da davon ausgegangen werden kann,
dass eine sicherheitskritische Anlage, bei der häufiger Sicherheitsmaßnahmen
ausgelöst
werden, früher
zu überholen
ist als eine mit weniger häufig
auftretenden Fehlern.
-
In
einer anderen bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens
werden in einem Testbetrieb der Anlage zufällige Stör- bzw. Fehlerfälle erzeugt
und die vom Überwachungsprogramm
ausgelösten
Sicherheitsmaßnahmen
aufgezeichnet sowie zusammen mit dem Stör- bzw. Fehlerfall in eine Falldatenbank
abgelegt, und im Normalbetrieb der Anlage tatsächlich auftretende Stör- bzw.
Fehlerfälle zum
Auslösen
einer geeigneten Sicherheitsmaßnahme
mit der Falldatenbank verglichen. Durch das Sammeln von Stör- bzw.
Fehlerfällen
zusammen mit geeigneten Sicherheitsmaßnahmen soll die sicherheitskritische
Anlage gegen Störungen
weitestgehend immunisiert werden.
-
Vorzugsweise
wird ein unerlaubter Zugriff vom Steuerbereich in den sicherheitskritischen Schalt-
und Überwachungsbereich
durch eine Firewall verhindert. Hierdurch wird eine zusätzliche
Sicherheitsmaßnahme
zur Verfügung
gestellt, die den sicherheitskritischen Bereich der weiteren zentralen Recheneinheit
von dem durch den Benutzer der Anlage über Steuerprogramme beeinflussbaren
Steuerbereich trennt.
-
Zu
weiteren Vorteilen des erfindungsgemäßen Verfahrens wird auf ein
Ausführungsbeispiel
einer Steuerungs- und Überwachungsvorrichtung
in der Zeichnung verwiesen, in deren einziger Figur schematisch
eine Verkehrs-Signalanlage als sicherheitskritische Anlage dargestellt
ist.
-
Die
Zeichnung zeigt schematisch als Beispiel für eine sicherheitskritische
Anlage 1 eine Verkehrs-Signalanlage. Eine Licht-Signalanlage
steuert beispielsweise den Straßenverkehr
an einem Knotenpunkt, indem die Verkehrsteilnehmer über Lichtsignale
von Signalgebern beeinflusst werden. Die Signalzeiten, wie z. B.
Freigabezeiten, werden von einem Steuerprogramm, welches von einer
ersten zentralen Recheneinheit 2 ausgeführt wird, vorgegeben. Entsprechend
dem Ablauf des Steuerprogramms werden von der ersten zentralen Recheneinheit 2 Steuerbefehle
an eine weitere zentrale Recheneinheit 3 ausgegeben.
-
Die
nur eine weitere zentrale Recheneinheit 3 dient der Ausführung eines
Schaltprogrammes. Dabei werden die ausgegebenen Steuerbefehle zu Schaltbefehlen
weiterverarbeitet, welche an Aktuatormittel 4, die im vorliegenden
Ausführungsbeispiel als
Lampenschalter ausgebildet sind, weitergeleitet werden. Hierdurch
wird ein gewisser vom Steuerprogramm vorgegebener Soll-Zustand der Licht-Signalanlage
eingestellt, bei dem beispielsweise bestimmten Verkehrsströmen eine
Freigabezeit eingeräumt wird,
während
dazu konkurrierenden Verkehrsströmen
eine Sperrzeit auferlegt wird.
-
Zur
Vermeidung von Unfällen
durch Fehlschaltungen in den Signalgebern wird der Ist-Zustand der
Anlage 1 durch Sensormittel erfasst, die erfindungsgemäß redundant
durch einen ersten Sensor 5 und einen zweiten Sensor 6 gebildet
werden.
-
Durch
ein ebenfalls auf der weiteren zentralen Recheneinheit 3 ablaufendes Überwachungsprogramm
werden die beiden Ist-Zustände
miteinander verglichen, um eine verlässliche Aussage über den momentanen
Signalisierungszustand der Anlage 1 zu gewinnen. Der gewonnene
Ist-Zustand wird anschließend
mit dem vorgegebenen Soll-Zustand verglichen, worauf bei einer inakzeptablen
Abweichung eine Sicherheitsmaßnahme
ausgelöst
wird. Eine inakzeptable Abweichung könnte sein, dass eine der Lichtsignalgeber
ausgefallen ist, oder ein anderes als das vorgegebene Lichtsignal
aussendet. Als Sicherheitsmaßnahme
könnte
dann die gesamte Anlage 1 in einen Sperrzustand für alle Verkehrsströme geschaltet
werden oder die Anlage ganz abgeschaltet werden.
-
Die
Programmcodes der Schalt- und Überwachungsprogramme
sind dabei in Speichermitteln verschlüsselt abgelegt, die aus ei nem
ersten Speicher 7 und einem zweiten Speicher 8 bestehen. Durch
die Verschlüsselung
der Daten in den Speichern 7, 8 werden beim Ablauf
der Programme die unterschiedlichsten Bereiche der zentralen Recheneinheit 3 benutzt
und dadurch auf ihre Funktionstauglichkeit überprüft.
-
Die
Kommunikation zwischen den beiden Kanälen zwischen der weiteren zentralen
Recheneinheit 3 und den Sensor- bzw. Aktuatormitteln 5, 6 bzw. 4 wird über einen
Controller 9 gesteuert und in Form einer Watchdog-Schaltung überwacht.
Die Watchdog-Schaltung überprüft die Funktionsfähigkeit
der weiteren zentralen Recheneinheit 3 durch unregelmäßiges Stellen
bestimmter Aufgaben, die die Recheneinheit 3 durch bestimmte
Antworten löst. Stimmen
die Lösungen
mit den Erwartungen der Watchdog-Schaltung 9 überein,
so wird auf die Funktionsfähigkeit
der zentralen Recheneinheit 3 geschlossen. Andernfalls
kann der Controller 9 eine geeignete Sicherheitsmaßnahme auslösen, etwa
Abschalten der Anlage 1.
-
Die
Qualität
der Stromversorgung wird durch einen Controller 10 überwacht,
wobei in einem Störfall
etwa bei wiederholtem Ausfall von Halbwellen oder fremdinduktionsbedingten
Spitzen im Netzspannungsverlauf eine Sicherheitsmaßnahme ausgelöst wird.
Je nach Ausmaß der
Störung
genügt
als Sicherheitsmaßnahme
die bloße
Meldung der Störung
oder aber es muss die Anlage 1 insgesamt abgeschaltet werden.
-
Zur
Steuerung und Überwachung
der Datenkommunikation zwischen der weiteren zentralen Recheneinheit 3 und
dem ersten Speicher 7 bzw. zweiten Speicher 8 sind
Controller 11 bzw. 12 vorgesehen.
-
Zwischen
der ersten zentralen Recheneinheit 1, auf der das Steuerprogramm
abläuft,
und der weiteren zentralen Recheneinheit 3, auf der das Schalt-
und das Überwachungsprogramm
ablaufen, ist eine Firewall 13 vorgesehen, die den unerlaubten Übergriff
vom Steuerbereich in den sicherheitskritischen Schalt- und Überwachungsbereich
verhindert.
-
Beim
Ablauf des Steuerprogramms auf der ersten zentralen Recheneinheit 2 wird
auch auf in einem Speicher 14 abgelegten Verkehrsdaten,
die beispielsweise durch nicht dargestellte Detektoren zum Erfassen
des Verkehrszustandes an dem lichtsignalgesteuerten Knotenpunkt
gewonnen werden, zugegriffen. Ferner muss das Steuerprogramm auf
Entschlüsselungsmittel 15 zum
Entschlüsseln
der in den Speichermitteln 7, 8 abgelegten sicherheitsrelevanten
Daten zugreifen können.
-
Die
erfindungsgemäße Steuer-
und Überwachungsvorrichtung
für eine
sicherheitskritische Anlage 1 umfasst somit Software-,
Zeit-, Informations- und Hardware-Redundanz, was auf einen hohen
Sicherheitsstandard hindeutet. Ein wesentliches Merkmal des Verfahrens
ist die Dynamisierung aller sicherheitskritischen Haupt- und Nebenprozesse,
also die dynamische Steuerung und Überwachung aller wichtigen
Vorgänge
wie Informationsquellen, die Zeit, den Softwareablauf und die Hardware
(Aktuator- bzw. Sensormittel). Die zweikanalige diverse Software-Verarbeitungsstruktur
und das dadurch gegebene zweikanalige diverse Überwachungskonzept stellt einen
wesentlichen Sicherheitsaspekt dar. Mit zwei Datenquellen und Controllern
im Bereich der Stromversorgung und Überwachung der Kommunikationskanäle wird
ein virtuelles diverses Multikanalsystem generiert. Die Software-Redundanz
bzw. Datenintegrität
wird über
die zufällige
Induzierung von scheinbaren Fehlern und deren Aufspüren bei
Herstellung der Software erzeugt. Es werden azyklisch angeforderte
Zeitsignale und scheinbare Fehler als Datenstruktur an die Watchdog-Controller
gesendet, welche wiederum zufällige
weitere Aufgaben für
die weitere zentrale Recheneinheit 3 generieren, wobei dezidierte
Hardware-Bereiche bei der Bearbeitung der Software getestet werden.
Die Hardware-Redundanz ist Teil dieses Vorgangs.
-
Die
Zeitredundanz erfolgt über
azyklische Triggersignale an den Interrupt-Request-Leitungen der
weiteren zentralen Recheneinheit 3, welche durch das zufällige Induzieren
von scheinbaren Fehlern entstehen.
-
Ein
Ablauf der Lebensdauer der Anlage 1 wird extern von nicht
dargestellten Controllern überwacht
und binär
fortlaufend in einem eigenen, nichtflüchtigen Speicher eingeschrieben.
Es ist eine maximal erreichbare Zeit festgelegt, also z. B. 512
Byte als turnusmäßige Lebensdauer
bis zur nächsten Wartung,
deren Überschreitung
zu festgelegten Maßnahmen
führen
kann, etwa einer Fernwartung.
-
In
den Softwarealgorithmen ist ein Mechanismus vorgesehen, welcher
bei der grenzwertigen Ausführung
der Steuerung, also wenn z. B. Antwortzeiten bereits außerhalb
eines vordefinierten Grenzbereichs liegen, aber noch innerhalb der
Sicherheitsanforderung, die Lebenszeit schneller ablaufen lässt. Treten
also Grenzbelastungen häufiger
auf, läuft
die Lebensuhr der Anlage schneller. Damit verfügt das erfindungsgemäße System über eine
inhärente
Detektion von Grenzbelastungen.
-
Der
zu erstellende Programmcode wird mit den Methoden der formalen Logik
untersucht bzw. mit einer Fehlereffektanalyse verifiziert. Bei einem Testbetrieb
ist für
eine gleichmäßige und
stetige Belastung der Anlage 1 zu sorgen. Über Testprogrammgeneratoren,
moduliert mit thermischem Rauschen, werden neben den regulären zufällige (chaotische) Programmabläufe erzwungen.
Damit wird ein Laufabbild unter realen Bedingungen zuerst ohne und dann
gemeinsam mit zufälligen
(chaotischen) Einflüssen
generiert. Damit soll das Verfahren gegen den Zufall (Chaos) virtuell
weitestgehend immunisiert werden. Dieses Abbild gemeinsam mit der
Immunisierung ist die logische Signatur des Systems und legt auch
die Grenzen fest, in denen es sich bewegen kann. Beim Testbetrieb,
der der Generierung der Signatur dient, werden sich Befehlshäufungen
ergeben. Die sich daraus ergebende statistische Verteilung in Abhängigkeit der
Zeit stellen die Makrosignatur des Systems dar. Die Mikrosignatur
ergibt sich aus der – ebenfalls
in Abhängigkeit
der Zeit – Kombinatorik
der sich im Testbetrieb ergebenden Befehlsfolgen. Die Signaturen
werden in einer Falldatenbank abgelegt.