DE10233879B4 - Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens - Google Patents

Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens Download PDF

Info

Publication number
DE10233879B4
DE10233879B4 DE2002133879 DE10233879A DE10233879B4 DE 10233879 B4 DE10233879 B4 DE 10233879B4 DE 2002133879 DE2002133879 DE 2002133879 DE 10233879 A DE10233879 A DE 10233879A DE 10233879 B4 DE10233879 B4 DE 10233879B4
Authority
DE
Germany
Prior art keywords
program
monitoring
safety
processing unit
central processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE2002133879
Other languages
English (en)
Other versions
DE10233879A1 (de
Inventor
Michael Hartig
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE2002133879 priority Critical patent/DE10233879B4/de
Publication of DE10233879A1 publication Critical patent/DE10233879A1/de
Application granted granted Critical
Publication of DE10233879B4 publication Critical patent/DE10233879B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/07Controlling traffic signals

Abstract

Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage (1), insbesondere Verkehrs-Signalanlage, wobei von einer ersten zentralen Recheneinheit (2) ein vorgebbares Steuerprogramm ausgeführt wird und dabei Steuerbefehle ausgegeben werden, wobei zum Anschalten von einen Soll-Zustand der Anlage (1) einstellenden Aktuatormitteln (4) die ausgegebenen Steuerbefehle von einem Schaltprogramm zu Schaltbefehlen weiterverarbeitet werden, und wobei von einem Überwachungsprogramm ein durch Sensormittel (5, 6) erfasster Ist-Zustand der Anlage (1) mit dem eingestellten Soll-Zustand verglichen und im Falle einer inakzeptablen Abweichung eine Sicherheitsmaßnahme ausgelöst wird, dadurch gekennzeichnet, dass von nur einer weiteren zentralen Recheneinheit (3) das Schaltprogramm und das Überwachungsprogramm ausgeführt wird, und dass deren Programmcodes in Speichermitteln (7, 8) verschlüsselt abgelegt sind.

Description

  • Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage, sowie Vorrichtung zur Durchführung des Verfahrens Die Erfindung betrifft ein Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage, nach dem Oberbegriff des Patentanspruches 1 sowie eine Vorrichtung zur Durchführung des Verfahrens nach dem Oberbegriff des Patentanspruches 9 ( DE 100 12 608 A1 ).
  • Rechner-gestützte Systeme finden heutzutage breite Anwendung auf allen Gebieten der Technik. Solche Systeme bestehen aus einer Zusammenstellung von Komponenten, typischerweise mechanische Teile, Computerhardware, Computersoftware, die kombiniert werden, um eine spezielle Aufgabe zu erfüllen. Das System hat Benutzer, für die es einen Dienst bereitstellt, und Betreiber, mit welchen es zu betrieblichen Zwecken in Wechselwirkung steht. Diese Wechselwirkung ist wesentlich für einen korrekten Betrieb des Systems, so dass Betreiber sogar als Teil des Systems angesehen werden können. In vielen Fällen sind Benutzer und Betreiber in der Tat ein und dieselbe Person. Es ist schon aus der täglichen Lebenserfahrung bekannt, dass solche rechner-gestützten Systeme oder Anlagen eine gewisse Fehleranfälligkeit aufweisen, die zur eingeschränkten Nutzung oder sogar zum völligen Ausfall des Systems führen kann.
  • Wenn die Fehlfunktion des Systems den Tod, ernsthafte Verletzungen oder schwere Schäden an Eigentum oder Umwelt zur Folge haben kann, spricht man von einem sicherheitskritischen System bzw. Anlage. Beispiele für sicherheitskritische Systeme sind Flugzeuge, Kernkraftwerke oder auch Straßenverkehrs-Signalanlagen, insbesondere deren Steuerungen.
  • Um die verlangten Aufgaben auch angesichts bestimmter Fehlerklassen erfüllen zu können, wird die Fehlertoleranz solcher Systeme oder Anlagen erhöht, indem zusätzliche Ressourcen in Form von Redundanz bereitgestellt werden. Hier unterscheidet man Hardware-Redundanz, bei der Hardwarekomponenten wie Prozessoren, Kommunikationen, Speicher und Energieversorgungen in mehrfacher Ausfertigung vorgesehen sind; Informations-Redundanz, wie z. B. Fehlerdetektion und Fehlerberichtigungscodes wie Prüfsummen oder Parität; Zeitredundanz, wobei zusätzliche Zeit eingeräumt wird, in der es möglich ist, einen Fehler zu detektieren und die misslungene Berechnung nochmal zu versuchen; sowie Software-Redundanz, wie Konsistenz- und Tauglichkeitsprüfungen aber auch N-Versions-Programmierung.
  • Die Ausstattung von sicherheitskritischen Systemen bzw. Anlagen mit Redundanz ist zunächst eine Frage des Kostenaufwandes. So ist es nicht selten, dass beispielsweise bei Flugzeugsteuerungen eine bestimmte Aufgabe parallel von einer Mehrzahl an redundanten Mikroprozessoren erfüllt wird, was zu entsprechend hohen Kosten führt. Bei sicherheitskritischen Anwendungen, die unter einem hohen Kostendruck in der Fertigung stehen, wie z. B. Steuerungen in Kraftfahrzeugen, speicherprogrammierbare Steuerungen, intelligente Verkehrssteuerungs- und -leitsysteme sowie im allgemeinen Automatisierungsbereich, ist es daher bekannt, von einem mehrfach redundanten zu einem Einrechnersystem überzugehen und dabei die Fehlertoleranz durch andere Maßnahmen zu erhöhen.
  • Aus der Offenlegungsschrift DE 42 19 557 A1 ist ein Rechnersystem zur Ansteuerung von sicherheitsrelevanten Stellgliedern, beispielsweise des Lenksystems eines Kraftfahrzeugs bekannt, welches als zweikanaliges Einrechnersystem ausgelegt ist. Das Sensorsystem ist redundant ausgelegt, wobei die Sensorsignale als Eingangsgrößen zur Bildung des Ansteuersignals gemäß einer ersten Funktion verknüpft werden. Zur Überprüfung wird das berechnete Ansteuersignal gemäß weiterer Funktionen bearbeitet, wobei diese Funktionen die bezüglich der jeweiligen Eingangsgröße invertierten ersten Funktionen sind. Durch den rechnerexternen Vergleich der zurückgerechneten Eingangsgrößen mit den Eingangsgrößen der redundanten Sensorsignale wird auf die fehlerfreie Funktion des Gesamtsystems geschlossen. Als weitere Überprüfung des Betriebes der Rechnermittel ist eine Watchdog-Schaltung vorgesehen, die in bekannter Weise bestimmte Triggerimpulse vom Rechner erhält bzw. bestimmte vorgebbare Impulse an den Rechner liefert. Anhand der Analyse des Datentransfers zwischen dem Rechner und der Watchdog-Schaltung kann auf den fehlerfreien Betrieb des Rechners geschlossen werden. Weiterhin ist vorgesehen, während des Betriebs und/oder vor der Inbetriebnahme des Rechnersystems programmgemäß "falsche" Vergleichswerte zu simulieren, wodurch die sicherheitsgerichteten Ansteuerungen des Stellgliedes veranlasst werden; auch hiermit kann die ordnungsgemäße Funktion des Systems überprüft werden.
  • Die Offenlegungsschrift DE 39 21 250 A1 offenbart ein Insassen-Sicherheitssystem für ein Fahrzeug, insbesondere Rückhaltesystem, wie Airbag, Gurtstraffer oder dergleichen, mit einer mindestens zwei Sensoren aufweisenden Sensoreinrichtung, einer mindestens zwei Aufbereitungsschaltungen umfassenden Aufbereitungseinrichtung für die Sensorsignale, einem Rechnersystem und einer aus mindestens zwei Stufen bestehenden Auslöseschaltung für eine Sicherheitseinrichtung. Das Rechnersystem ist als Einrechnersystem derart ausgebildet, dass es die Daten der beiden Aufbereitungsschaltungen in zwei zeitlich zueinander versetzten Programmen bearbeitet, was zu einer Quasi-Redundanz führt. Ferner ist eine Watchdog-Schaltung vorgesehen, die durch die beiden Programme getriggert wird und an einen Reset-Eingang des Rechnersystems angeschlossen ist.
  • Die internationale Veröffentlichung WO 96/13657 A1 zeigt eine Steuereinheit zur Steuerung der Antriebseinheit eines Fahrzeugs, wobei zur Durchführung von Steuerungs- und Überwa chungsfunktionen lediglich ein Rechenelement (Mikrocomputer) vorgesehen ist. Im Mikrocomputer sind dabei wenigstens zwei voneinander unabhängige Ebenen festgelegt: eine Steuer- und eine Überwachungsebene, die sich zumindest außerhalb des Fehlerfalls gegenseitig in ihrer Funktion nicht beeinflussende Kanäle innerhalb des Rechenelements schaffen. Durch eine dritte Ebene, die eine Ablaufkontrolle der zweiten Ebene durchführt, wird die Betriebssicherheit und Verfügbarkeit erhöht. Hier wird ein aktiver Watchdog verwendet, der die Ablaufkontrolle als Frage-Antwort-Spiel durchführt.
  • Aus der internationalen Veröffentlichung WO 96/20103 A1 ist ein Verfahren zur Überwachung der ordnungsgemäßen Funktion einer programmgesteuerten elektronischen Schaltung, z. B. eines Mikroprozessors, Mikrocomputers, Mikrocontrollers oder dergleichen bekannt, die für sicherheitskritische Regelsysteme, wie die Bremsanlage eines Kraftfahrzeuges, eingesetzt werden. Im Programmablauf der zu überwachenden Schaltung werden Datenworte erzeugt und zu vorgegebenen Zeitpunkten zu der Überwachungsschaltung (Watchdog) übertragen. Mit Hilfe der Überwachungsschaltung wird der Inhalt der Datenworte sowie der Zeitpunkt deren Auftretens mit Vorgaben verglichen, d. h. mit vorgegebenen Datenworten und vorgegebenem Zeitrahmen. Die im Programmablauf der zu überwachenden Schaltung erzeugten Datenworte ergeben eine vorgegebene Wortfolge, die mit Hilfe der Überwachungsschaltung auf Übereinstimmung mit einer entsprechenden Vorgabe verglichen wird.
  • Die Offenlegungsschrift DE 37 32 973 A1 offenbart eine Schaltungsanordnung zur Fehlerüberwachung von Rechenergebnissen, die in Form digitaler Signale auf parallelen Leitungen jeweils ein Datenwort bilden. Das Rechenwerk eines Mikroprozessors wird auf Fehler überprüft, indem der Mikroprozessor in gleichförmigen Zeitabständen wiederholt zur Ausgabe eines Datenwortpaares veranlasst wird. Die Schaltungsanordnung enthält zwei Komparatoren und einen diesen nachgeschalteten Impulsbildner. Solange der Mikroprozessor fehlerfrei arbeitet, erzeugt der Impulsbildner für jedes Datenwortpaar einen Nadelimpuls und folglich eine Reihe von Nadelimpulsen, deren zeitlicher Abstand nahezu konstant ist. Mit dem Auftreten eines Fehlers bricht diese Reihe von Nadelimpulsen ab, was von einem Zähler mit in Reihe an einer seiner Stufen liegendem Flipflop wahrgenommen wird, so dass das Flipflop ein Fehlersignal zur Abschaltung des Mikroprozessors auszugeben in der Lage ist.
  • Für viele sicherheitskritische Anlagen, insbesondere für Verkehrs-Signalanlagen, sind Einrechnersysteme noch nicht eingesetzt. So offenbart die Produktübersicht "SITRAFFIC C800V", herausgegeben von Siemens AG, ein Steuergerät für Lichtsignalanlagen mit einer Steuerungsbaugruppe und einer redundanten Signalsicherungsbaugruppe. Der Prozessor der Steuerungsbaugruppe übernimmt die Ansteuerung der Lampenschalter, während die Kontrolle der Ansteuerungen durch den Prozessor der Signalsicherungsbaugruppe erfolgt. Dadurch wird eine zweikanalige diversitäre Signalsicherung sowie eine strikte Trennung zwischen Ansteuerung der Lampenschalter und Kontrolle des Ergebnisses dieser Ansteuerung realisiert. Die Signalsicherung hat in erster Linie die Aufgabe, die Auswirkungen von verkehrsgefährdenden Zuständen im Signalsteuergerät oder in der Außenanlage auf die Signalgebung zu verhindern. Des Weiteren wird über die Signalsicherung die Funktionalität der Außenanlage überprüft. Die verkehrsgefährdenden Signalisierungszustände können durch Lampenausfall, ungewolltes Erscheinen oder Zeitverhinderungen von Signalen entstehen. Die Signalsicherung arbeitet funktional unabhängig vom Steuergerät und dessen Betriebsart, sie beeinträchtigt nicht die Anpassungsfähigkeit der Steuermaßnahmen an die Verkehrsverhältnisse. Es wird zwischen zwei Arten von Signalsicherungsfehlern unterschieden: Primäralarm bei verkehrsgefährdenden Zuständen, die zur sofortigen Abschaltung der Anlage und zu einer Meldung führen, und Sekundäralarm bei fehlerhaften Zuständen, die keine Verkehrsgefährdung darstellen und nur zu einer Meldung führen. Bei Systemfehlern werden die Relais ge trennt. Erfolgt auch dann noch keine Abschaltung, wird der FI-Schalter ausgelöst und das Steuergerät spannungslos geschaltet.
  • Die Offenlegungsschrift DE 100 12 608 A1 betrifft eine Verkehrssignalanlage mit Signalgebern, deren ordnungsgemäße Funktion im Hinblick auf den durch diese geregelten Straßenverkehr sicherheitsrelevant ist. Eine Signalgebersteuerung generiert Steuersignale, die einer Lampenschaltung der Lichtsignale eines Signalgebers zugeführt werden, wobei Ausgangstriacs die Endstufen der Lampenschaltung für das gesteuerte Ein- und Ausschalten der Lichtsignale bilden. Eine Überwachungsschaltung stellt mittels einer Mehrzahl von Sensoren fest, ob die jeweiligen Betriebszustände des Signalgebers tatsächlich mit denjenigen Signalzuständen übereinstimmen, die durch die aktuellen Werte der vorgegebenen Steuersignale definiert sind.
    •
  • Der Erfindung liegt die Aufgabe zugrunde ein Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere eine Verkehrs-Signalanlage, sowie eine Vorrichtung zur Durchführung des Verfahrens mit möglichst geringen Kosten und hoher Überwachungssicherheit bereitzustellen.
  • Die Aufgabe wird gelöst durch ein Verfahren der eingangs genannten Art, welches die Merkmale des kennzeichnenden Teils des Patentanspruches 1 aufweist sowie durch eine Vorrichtung der eingangs genannten Art mit den Merkmalen des kennzeichnenden Teiles von Patentanspruch 9. Indem zur Ausführung des Schalt- und Überwachungsprogramms nur eine weitere zentrale Recheneinheit vorgesehen ist, werden die Kosten für ein erfindungsgemäßes Verfahren stark herabgesetzt. Im Vergleich zu Verfahren mit mehreren weiteren zentralen Recheneinheiten gewinnt man mit einem erfindungsgemäßen Einrechnersystem die Unabhängigkeit von der Leistung und Zuverlässigkeit von übergreifenden Systembussen. Des Weiteren werden Angriffspunkte für Störungen verringert und damit das Sicherheitsrisiko ver bessert. Ferner ist keine sehr hohe Komplexität der Software erforderlich und der Spezifikationsbedarf für den Entwurf und die Implementierung von verteilten Anwendungen wird geringer. Indem die Programmcodes in Speichermitteln verschlüsselt abgelegt sind, wird über den beim Ablauf der Programme stattfindenden Entschlüsselungsvorgang auf bestimmte Datenbereiche der Hardware – also der weiteren zentralen Recheneinheit und Controllern – zugegriffen, wobei diese bei deren Nutzung auf ihre Funktionstüchtigkeit überprüft werden. Bei einer Fehlfunktion kann eine Sicherheitsmaßnahme, etwa eine Meldung oder sofortiges Abschalten der Anlage, ausgelöst werden. Hierdurch wird die Sicherheit der Anlage, welche mit dem erfindungsgemäßen Verfahren gesteuert und überwacht wird, wesentlich erhöht werden.
  • In einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens umfassen die Sensormittel einen ersten Sensor und einen zweiten Sensor, wobei ein Ist-Zustand der Anlage sowohl vom ersten Sensor als auch vom zweiten Sensor erfasst, über je einen eigenen Kanal an die weitere zentrale Recheneinheit übertragen und vom Überwachungsprogramm auf Übereinstimmung überprüft wird. Durch diese Hardware-Redundanz wird die Sicherheit erhöht, indem der Ist-Zustand der Anlage von zwei im Wesentlichen baugleichen Sensoren unabhängig voneinander erfasst wird, was wiederum in erster Linie die Zuverlässigkeit der Sensormittel erhöht. Es entsteht ein zweikanaliges Verfahren, bei dem der zum Vergleich mit dem Soll-Zustand der Anlage ermittelte Ist-Zustand zweifach ermittelt und auf Konsistenz überprüft wird.
  • In einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfassen die Speichermittel einen ersten Speicher und einen zweiten Speicher, wobei die Programmcodes des Schalt- und des Überwachungsprogramms sowohl im ersten Speicher als auch im zweiten Speicher abgelegt werden. Durch diese Software-Redundanz wird die Fehlertoleranz des Verfahrens weiter erhöht. Der Vergleich zwischen Ist- und Sollwert der Anlage kann in dieser Ausgestaltung des erfindungsgemäßen Verfahrens für jeden Kanal gesondert vorgenommen werden und die Ergebnisse miteinander verglichen werden. Bei fehlender Obereinstimmung der Vergleichsergebnisse kann eine Sicherheitsmaßnahme ausgelöst werden. Durch diese zusätzliche Hardware-Redundanz in den Speichermitteln ist auch eine für jeden Speicher verschiedene Verschlüsselung der Programmcodes möglich, so dass durch die Entschlüsselung beim Ablauf der Programme unterschiedliche Hardwarebereiche auf ihre Funktionalität überprüft werden. Denkbar ist auch, dass das erfindungsgemäße Verfahren bei Ausfall eines der beiden Speicher fortgesetzt werden kann, ohne dass die Anlage abgeschaltet werden muss.
  • In einer vorteilhaften Ausgestaltung der Erfindung wird die weitere zentrale Recheneinheit mittels einer Watchdog-Schaltung auf Fehlfunktionen überprüft und im Fehlerfall eine Sicherheitsmaßnahme ausgelöst. Mit einer mit einem Controller zusammenarbeitenden Watchdog-Schaltung werden in vorbestimmten, beispielsweise azyklischen, Zeitintervallen Aufgaben an die weitere zentrale Recheneinheit gestellt, deren Lösung bei Funktionstauglichkeit der weiteren zentralen Recheneinheit bekannt sind, so dass bei einer ausbleibenden oder anderen als erwarteten Rückmeldung an die Watchdog-Schaltung eine Fehlfunktion der weiteren zentralen Recheneinheit festgestellt werden kann. Durch diese Art Frage-und-Antwort-Spiel zwischen Watchdog und weiterer zentraler Recheneinheit wird letztere auf ihre Funktion hin überwacht und kann bei auftretenden Fehlern zum Beispiel abgeschaltet werden.
  • In einer bevorzugten Ausführungsform der Erfindung wird die Stromversorgung mittels eines Controllers auf Störungen überwacht und im Störfall eine Sicherheitsmaßnahme ausgelöst. Hierdurch können Ausfälle oder Unregelmäßigkeiten in der für die Anlage gelieferten Netzspannung festgestellt und bei für die Funktion des erfindungsgemäßen Verfahrens und damit der Anlage gefährdenden, anormalen Abweichungen zu einer Meldung oder Fernwartung bzw. auch zu einem Abschalten der Anlage führen.
  • In einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird das Auslösen von Sicherheitsmaßnahmen registriert und die Zeitdauer bis zur nächsten turnusmäßigen Wartung der Anlage entsprechend der Häufigkeit und/oder des Umfanges der Sicherheitsmaßnahmen verkürzt. Hierdurch können Sicherheitsmaßnahmen, die z. B. nicht zum Abschalten der Anlage geführt haben, sondern von der Überwachung abgefangen wurden, in einen abstrakten Fehlerspeicher festgehalten werden, wobei dessen Inhalt die Anzahl der zulässigen Betriebsstunden bis zur nächsten vorgesehenen Wartung vermindert, da davon ausgegangen werden kann, dass eine sicherheitskritische Anlage, bei der häufiger Sicherheitsmaßnahmen ausgelöst werden, früher zu überholen ist als eine mit weniger häufig auftretenden Fehlern.
  • In einer anderen bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens werden in einem Testbetrieb der Anlage zufällige Stör- bzw. Fehlerfälle erzeugt und die vom Überwachungsprogramm ausgelösten Sicherheitsmaßnahmen aufgezeichnet sowie zusammen mit dem Stör- bzw. Fehlerfall in eine Falldatenbank abgelegt, und im Normalbetrieb der Anlage tatsächlich auftretende Stör- bzw. Fehlerfälle zum Auslösen einer geeigneten Sicherheitsmaßnahme mit der Falldatenbank verglichen. Durch das Sammeln von Stör- bzw. Fehlerfällen zusammen mit geeigneten Sicherheitsmaßnahmen soll die sicherheitskritische Anlage gegen Störungen weitestgehend immunisiert werden.
  • Vorzugsweise wird ein unerlaubter Zugriff vom Steuerbereich in den sicherheitskritischen Schalt- und Überwachungsbereich durch eine Firewall verhindert. Hierdurch wird eine zusätzliche Sicherheitsmaßnahme zur Verfügung gestellt, die den sicherheitskritischen Bereich der weiteren zentralen Recheneinheit von dem durch den Benutzer der Anlage über Steuerprogramme beeinflussbaren Steuerbereich trennt.
  • Zu weiteren Vorteilen des erfindungsgemäßen Verfahrens wird auf ein Ausführungsbeispiel einer Steuerungs- und Überwachungsvorrichtung in der Zeichnung verwiesen, in deren einziger Figur schematisch eine Verkehrs-Signalanlage als sicherheitskritische Anlage dargestellt ist.
    •
  • Die Zeichnung zeigt schematisch als Beispiel für eine sicherheitskritische Anlage 1 eine Verkehrs-Signalanlage. Eine Licht-Signalanlage steuert beispielsweise den Straßenverkehr an einem Knotenpunkt, indem die Verkehrsteilnehmer über Lichtsignale von Signalgebern beeinflusst werden. Die Signalzeiten, wie z. B. Freigabezeiten, werden von einem Steuerprogramm, welches von einer ersten zentralen Recheneinheit 2 ausgeführt wird, vorgegeben. Entsprechend dem Ablauf des Steuerprogramms werden von der ersten zentralen Recheneinheit 2 Steuerbefehle an eine weitere zentrale Recheneinheit 3 ausgegeben.
  • Die nur eine weitere zentrale Recheneinheit 3 dient der Ausführung eines Schaltprogrammes. Dabei werden die ausgegebenen Steuerbefehle zu Schaltbefehlen weiterverarbeitet, welche an Aktuatormittel 4, die im vorliegenden Ausführungsbeispiel als Lampenschalter ausgebildet sind, weitergeleitet werden. Hierdurch wird ein gewisser vom Steuerprogramm vorgegebener Soll-Zustand der Licht-Signalanlage eingestellt, bei dem beispielsweise bestimmten Verkehrsströmen eine Freigabezeit eingeräumt wird, während dazu konkurrierenden Verkehrsströmen eine Sperrzeit auferlegt wird.
  • Zur Vermeidung von Unfällen durch Fehlschaltungen in den Signalgebern wird der Ist-Zustand der Anlage 1 durch Sensormittel erfasst, die erfindungsgemäß redundant durch einen ersten Sensor 5 und einen zweiten Sensor 6 gebildet werden.
  • Durch ein ebenfalls auf der weiteren zentralen Recheneinheit 3 ablaufendes Überwachungsprogramm werden die beiden Ist-Zustände miteinander verglichen, um eine verlässliche Aussage über den momentanen Signalisierungszustand der Anlage 1 zu gewinnen. Der gewonnene Ist-Zustand wird anschließend mit dem vorgegebenen Soll-Zustand verglichen, worauf bei einer inakzeptablen Abweichung eine Sicherheitsmaßnahme ausgelöst wird. Eine inakzeptable Abweichung könnte sein, dass eine der Lichtsignalgeber ausgefallen ist, oder ein anderes als das vorgegebene Lichtsignal aussendet. Als Sicherheitsmaßnahme könnte dann die gesamte Anlage 1 in einen Sperrzustand für alle Verkehrsströme geschaltet werden oder die Anlage ganz abgeschaltet werden.
  • Die Programmcodes der Schalt- und Überwachungsprogramme sind dabei in Speichermitteln verschlüsselt abgelegt, die aus ei nem ersten Speicher 7 und einem zweiten Speicher 8 bestehen. Durch die Verschlüsselung der Daten in den Speichern 7, 8 werden beim Ablauf der Programme die unterschiedlichsten Bereiche der zentralen Recheneinheit 3 benutzt und dadurch auf ihre Funktionstauglichkeit überprüft.
  • Die Kommunikation zwischen den beiden Kanälen zwischen der weiteren zentralen Recheneinheit 3 und den Sensor- bzw. Aktuatormitteln 5, 6 bzw. 4 wird über einen Controller 9 gesteuert und in Form einer Watchdog-Schaltung überwacht. Die Watchdog-Schaltung überprüft die Funktionsfähigkeit der weiteren zentralen Recheneinheit 3 durch unregelmäßiges Stellen bestimmter Aufgaben, die die Recheneinheit 3 durch bestimmte Antworten löst. Stimmen die Lösungen mit den Erwartungen der Watchdog-Schaltung 9 überein, so wird auf die Funktionsfähigkeit der zentralen Recheneinheit 3 geschlossen. Andernfalls kann der Controller 9 eine geeignete Sicherheitsmaßnahme auslösen, etwa Abschalten der Anlage 1.
  • Die Qualität der Stromversorgung wird durch einen Controller 10 überwacht, wobei in einem Störfall etwa bei wiederholtem Ausfall von Halbwellen oder fremdinduktionsbedingten Spitzen im Netzspannungsverlauf eine Sicherheitsmaßnahme ausgelöst wird. Je nach Ausmaß der Störung genügt als Sicherheitsmaßnahme die bloße Meldung der Störung oder aber es muss die Anlage 1 insgesamt abgeschaltet werden.
  • Zur Steuerung und Überwachung der Datenkommunikation zwischen der weiteren zentralen Recheneinheit 3 und dem ersten Speicher 7 bzw. zweiten Speicher 8 sind Controller 11 bzw. 12 vorgesehen.
  • Zwischen der ersten zentralen Recheneinheit 1, auf der das Steuerprogramm abläuft, und der weiteren zentralen Recheneinheit 3, auf der das Schalt- und das Überwachungsprogramm ablaufen, ist eine Firewall 13 vorgesehen, die den unerlaubten Übergriff vom Steuerbereich in den sicherheitskritischen Schalt- und Überwachungsbereich verhindert.
  • Beim Ablauf des Steuerprogramms auf der ersten zentralen Recheneinheit 2 wird auch auf in einem Speicher 14 abgelegten Verkehrsdaten, die beispielsweise durch nicht dargestellte Detektoren zum Erfassen des Verkehrszustandes an dem lichtsignalgesteuerten Knotenpunkt gewonnen werden, zugegriffen. Ferner muss das Steuerprogramm auf Entschlüsselungsmittel 15 zum Entschlüsseln der in den Speichermitteln 7, 8 abgelegten sicherheitsrelevanten Daten zugreifen können.
  • Die erfindungsgemäße Steuer- und Überwachungsvorrichtung für eine sicherheitskritische Anlage 1 umfasst somit Software-, Zeit-, Informations- und Hardware-Redundanz, was auf einen hohen Sicherheitsstandard hindeutet. Ein wesentliches Merkmal des Verfahrens ist die Dynamisierung aller sicherheitskritischen Haupt- und Nebenprozesse, also die dynamische Steuerung und Überwachung aller wichtigen Vorgänge wie Informationsquellen, die Zeit, den Softwareablauf und die Hardware (Aktuator- bzw. Sensormittel). Die zweikanalige diverse Software-Verarbeitungsstruktur und das dadurch gegebene zweikanalige diverse Überwachungskonzept stellt einen wesentlichen Sicherheitsaspekt dar. Mit zwei Datenquellen und Controllern im Bereich der Stromversorgung und Überwachung der Kommunikationskanäle wird ein virtuelles diverses Multikanalsystem generiert. Die Software-Redundanz bzw. Datenintegrität wird über die zufällige Induzierung von scheinbaren Fehlern und deren Aufspüren bei Herstellung der Software erzeugt. Es werden azyklisch angeforderte Zeitsignale und scheinbare Fehler als Datenstruktur an die Watchdog-Controller gesendet, welche wiederum zufällige weitere Aufgaben für die weitere zentrale Recheneinheit 3 generieren, wobei dezidierte Hardware-Bereiche bei der Bearbeitung der Software getestet werden. Die Hardware-Redundanz ist Teil dieses Vorgangs.
  • Die Zeitredundanz erfolgt über azyklische Triggersignale an den Interrupt-Request-Leitungen der weiteren zentralen Recheneinheit 3, welche durch das zufällige Induzieren von scheinbaren Fehlern entstehen.
  • Ein Ablauf der Lebensdauer der Anlage 1 wird extern von nicht dargestellten Controllern überwacht und binär fortlaufend in einem eigenen, nichtflüchtigen Speicher eingeschrieben. Es ist eine maximal erreichbare Zeit festgelegt, also z. B. 512 Byte als turnusmäßige Lebensdauer bis zur nächsten Wartung, deren Überschreitung zu festgelegten Maßnahmen führen kann, etwa einer Fernwartung.
  • In den Softwarealgorithmen ist ein Mechanismus vorgesehen, welcher bei der grenzwertigen Ausführung der Steuerung, also wenn z. B. Antwortzeiten bereits außerhalb eines vordefinierten Grenzbereichs liegen, aber noch innerhalb der Sicherheitsanforderung, die Lebenszeit schneller ablaufen lässt. Treten also Grenzbelastungen häufiger auf, läuft die Lebensuhr der Anlage schneller. Damit verfügt das erfindungsgemäße System über eine inhärente Detektion von Grenzbelastungen.
  • Der zu erstellende Programmcode wird mit den Methoden der formalen Logik untersucht bzw. mit einer Fehlereffektanalyse verifiziert. Bei einem Testbetrieb ist für eine gleichmäßige und stetige Belastung der Anlage 1 zu sorgen. Über Testprogrammgeneratoren, moduliert mit thermischem Rauschen, werden neben den regulären zufällige (chaotische) Programmabläufe erzwungen. Damit wird ein Laufabbild unter realen Bedingungen zuerst ohne und dann gemeinsam mit zufälligen (chaotischen) Einflüssen generiert. Damit soll das Verfahren gegen den Zufall (Chaos) virtuell weitestgehend immunisiert werden. Dieses Abbild gemeinsam mit der Immunisierung ist die logische Signatur des Systems und legt auch die Grenzen fest, in denen es sich bewegen kann. Beim Testbetrieb, der der Generierung der Signatur dient, werden sich Befehlshäufungen ergeben. Die sich daraus ergebende statistische Verteilung in Abhängigkeit der Zeit stellen die Makrosignatur des Systems dar. Die Mikrosignatur ergibt sich aus der – ebenfalls in Abhängigkeit der Zeit – Kombinatorik der sich im Testbetrieb ergebenden Befehlsfolgen. Die Signaturen werden in einer Falldatenbank abgelegt.

Claims (9)

  1. Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage (1), insbesondere Verkehrs-Signalanlage, wobei von einer ersten zentralen Recheneinheit (2) ein vorgebbares Steuerprogramm ausgeführt wird und dabei Steuerbefehle ausgegeben werden, wobei zum Anschalten von einen Soll-Zustand der Anlage (1) einstellenden Aktuatormitteln (4) die ausgegebenen Steuerbefehle von einem Schaltprogramm zu Schaltbefehlen weiterverarbeitet werden, und wobei von einem Überwachungsprogramm ein durch Sensormittel (5, 6) erfasster Ist-Zustand der Anlage (1) mit dem eingestellten Soll-Zustand verglichen und im Falle einer inakzeptablen Abweichung eine Sicherheitsmaßnahme ausgelöst wird, dadurch gekennzeichnet, dass von nur einer weiteren zentralen Recheneinheit (3) das Schaltprogramm und das Überwachungsprogramm ausgeführt wird, und dass deren Programmcodes in Speichermitteln (7, 8) verschlüsselt abgelegt sind.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Sensormittel einen ersten Sensor (5) und einen zweiten Sensor (6) umfassen, wobei ein Ist-Zustand der Anlage (1) sowohl vom ersten Sensor (5) als auch vom zweiten Sensor (6) erfasst, über je einen eigenen Kanal an die weitere zentrale Recheneinheit (3) übertragen und vom Überwachungsprogramm auf Übereinstimmung überprüft wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Speichermittel einen ersten Speicher (7) und einen zweiten Speicher (8) umfassen, wobei die Programmcodes des Schalt- und Überwachungsprogramms sowohl im ersten Speicher (7) als auch im zweiten Speicher (8) abgelegt werden.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die weitere zentrale Recheneinheit (3) mittels einer Watchdog-Schaltung (9) auf Fehlfunktionen überprüft und im Fehlerfall eine Sicherheitsmaßnahme ausgelöst wird.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Stromversorgung der Anlage (1) mittels eines Controllers (10) auf Störungen überwacht und im Störfall eine Sicherheitsmaßnahme ausgelöst wird.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das Auslösen von Sicherheitsmaßnahmen registriert wird und die Zeitdauer bis zur nächsten turnusmäßigen Wartung der Anlage (1) entsprechend der Häufigkeit und/oder des Umfanges der Sicherheitsmaßnahmen verkürzt wird.
  7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass in einem Testbetrieb der Anlage (1) zufällige Stör- bzw. Fehlerfälle erzeugt werden und die vom Überwachungsprogramm ausgelösten Sicherheitsmaßnahmen aufgezeichnet sowie zusammen mit dem Stör- bzw. Fehlerfall in eine Falldatenbank abgelegt werden, und dass im Normalbetrieb der Anlage (1) tatsächlich auftretende Stör- bzw. Fehlerfälle zum Auslösen einer geeigneten Sicherheitsmaßnahme mit der Falldatenbank verglichen werden.
  8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass ein unerlaubter Zugriff vom Steuerbereich in den sicherheitskritischen Schalt- und Überwachungsbereich durch eine Firewall (13) verhindert wird.
  9. Steuerungs- und Überwachungsvorrichtung einer sicherheitskritischen Anlage (1), insbesondere einer Verkehrs-Signalan lage, zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 8, mit einer ersten zentralen Recheneinheit (2) zur Ausführung eines vorgebbaren Steuerprogramms und zur Ausgabe von Steuerbefehlen, gekennzeichnet durch nur eine weitere zentrale Recheneinheit (3) zur Ausführung eines Schaltprogramms, wobei die ausgegebenen Steuerbefehle zu Schaltbefehlen weiterverarbeitbar sind, über welche einen Soll-Zustand der Anlage (1) einstellende Aktuatormittel (4) anschaltbar sind, sowie zur Ausführung eines Überwachungsprogramms, wobei ein durch Sensormittel (5, 6) erfasster Ist-Zustand der Anlage (1) mit dem eingestellten Soll-Zustand vergleichbar und im Falle einer inakzeptablen Abweichung eine Sicherheitsmaßnahme auslösbar ist, und durch Speichermittel (7, 8) zur verschlüsselten Ablage der Programmcodes.
DE2002133879 2002-07-25 2002-07-25 Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens Expired - Fee Related DE10233879B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2002133879 DE10233879B4 (de) 2002-07-25 2002-07-25 Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2002133879 DE10233879B4 (de) 2002-07-25 2002-07-25 Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens

Publications (2)

Publication Number Publication Date
DE10233879A1 DE10233879A1 (de) 2004-02-19
DE10233879B4 true DE10233879B4 (de) 2006-07-13

Family

ID=30469097

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2002133879 Expired - Fee Related DE10233879B4 (de) 2002-07-25 2002-07-25 Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens

Country Status (1)

Country Link
DE (1) DE10233879B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3582051A1 (de) * 2018-06-12 2019-12-18 Siemens Aktiengesellschaft Umfassende störungsanalyse von steuereinrichtungen und industriellen technischen anlagen

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3732973A1 (de) * 1987-09-30 1989-04-20 Vdo Schindling Schaltungsanordnung zur fehlerueberwachung zweier rechenergebnisse eines mikroprozessors
DE3921250A1 (de) * 1989-06-29 1991-01-03 Bosch Gmbh Robert Insassen-sicherheitssystem und verfahren zum betreiben desselben
DE4219557A1 (de) * 1991-10-28 1993-04-29 Coca Cola Co Getraenk-ausgabesystem unter verwendung einer steuereinrichtung fuer ein volumetrisches verhaeltnis
WO1996013657A1 (de) * 1994-10-29 1996-05-09 Robert Bosch Gmbh Verfahren und vorrichtung zur steuerung der antriebseinheit eines fahrzeugs
WO1996020103A1 (de) * 1994-12-23 1996-07-04 Itt Automotive Europe Gmbh Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung
DE10012608A1 (de) * 2000-03-15 2001-10-18 Siemens Ag Lampenschaltung eines Signalgebers einer Verkehrssignalanlage

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3732973A1 (de) * 1987-09-30 1989-04-20 Vdo Schindling Schaltungsanordnung zur fehlerueberwachung zweier rechenergebnisse eines mikroprozessors
DE3921250A1 (de) * 1989-06-29 1991-01-03 Bosch Gmbh Robert Insassen-sicherheitssystem und verfahren zum betreiben desselben
DE4219557A1 (de) * 1991-10-28 1993-04-29 Coca Cola Co Getraenk-ausgabesystem unter verwendung einer steuereinrichtung fuer ein volumetrisches verhaeltnis
WO1996013657A1 (de) * 1994-10-29 1996-05-09 Robert Bosch Gmbh Verfahren und vorrichtung zur steuerung der antriebseinheit eines fahrzeugs
WO1996020103A1 (de) * 1994-12-23 1996-07-04 Itt Automotive Europe Gmbh Verfahren und schaltungsanordnung zur überwachung der funktion einer programmgesteuerten schaltung
DE10012608A1 (de) * 2000-03-15 2001-10-18 Siemens Ag Lampenschaltung eines Signalgebers einer Verkehrssignalanlage

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Produktübersicht "SITRAFFIC C800U", Siemens AG, Ausgabe 003, 2000-03-31 *

Also Published As

Publication number Publication date
DE10233879A1 (de) 2004-02-19

Similar Documents

Publication Publication Date Title
EP0972388B1 (de) Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems
DE60309928T2 (de) Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems
EP1952238B1 (de) Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem
EP2422244B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
EP3841438B1 (de) Automatisierungssystem zur überwachung eines sicherheitskritischen prozesses
DE102019203251B3 (de) Verfahren und System zur sicheren Signalmanipulation für den Test integrierter Sicherheitsfunktionalitäten
WO2013164224A2 (de) Verfahren und vorrichtung zur überwachung von funktionen eines rechnersystems, vorzugsweise eines motorsteuersystems eines kraftfahrzeuges
EP1043641A2 (de) Fehlersicheres Automatisierungssystem mit Standard-CPU und Verfahren für ein fehlersicheres Automatisierungssystem
EP2989548A1 (de) Überwachung von redundanten komponenten
EP2726352B1 (de) Verfahren, system und computerprogrammprodukt zur funktionsüberwachung einer sicherheitsüberwachung einer kfz - steuereinheit
WO2017080793A2 (de) Verfahren zum betrieb eines mehrkernprozessors
EP1615087A2 (de) Steuer- und Regeleinheit
EP0996060A2 (de) Einzelprozessorsystem
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE102004015616B4 (de) Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren
DE10233879B4 (de) Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens
DE3938501A1 (de) Verfahren zum betrieb eines mehrkanaligen failsafe-rechnersystems und einrichtung zur durchfuehrung des verfahrens
DE10252990B3 (de) Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
EP3433682B1 (de) Sicherheitssteuerung und verfahren zum betreiben einer sicherheitssteuerung
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
EP3726313B1 (de) Sicherheitsschaltvorrichtung
EP1176508B1 (de) Anordnung zur Überwachung des ordnungsgemässen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems
EP3940467A1 (de) Steuerungssystem zur steuerung einer vorrichtung oder anlage
EP3048498B1 (de) Verfahren zum Auslesen von Diagnosedaten aus einer Sicherheitssteuerung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee