DE19531923A1 - Einrichtung zur Realisierung von safe-life-Funktionen - Google Patents

Einrichtung zur Realisierung von safe-life-Funktionen

Info

Publication number
DE19531923A1
DE19531923A1 DE1995131923 DE19531923A DE19531923A1 DE 19531923 A1 DE19531923 A1 DE 19531923A1 DE 1995131923 DE1995131923 DE 1995131923 DE 19531923 A DE19531923 A DE 19531923A DE 19531923 A1 DE19531923 A1 DE 19531923A1
Authority
DE
Germany
Prior art keywords
systems
consumers
individual
feed
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE1995131923
Other languages
English (en)
Other versions
DE19531923B4 (de
Inventor
Bernhard Dipl Ing Poesel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE1995131923 priority Critical patent/DE19531923B4/de
Publication of DE19531923A1 publication Critical patent/DE19531923A1/de
Application granted granted Critical
Publication of DE19531923B4 publication Critical patent/DE19531923B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J1/00Circuit arrangements for dc mains or dc distribution networks
    • H02J1/10Parallel operation of dc sources
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Power Engineering (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Die Erfindung bezieht sich auf eine Einrichtung nach dem Oberbegriff des Patentanspruches 1. Unter safe-life-Funktio­ nen versteht man Funktionen, die durch Verwendung einer spe­ ziellen Hardware und/oder die Anwendung spezieller Software über den gesamten Lebenszyklus eines betrachteten Systems vorhanden sind, d. h. bei denen durch Redundanzmaßnahmen ein genügender Ausfallschutz gegen die Nichtausführbarkeit einer oder mehrerer Funktionen gegeben ist. Solche safe-life-Funk­ tionen werden beispielsweise in der Eisenbahnsignaltechnik gefordert, beispielsweise bei der Steuerung der Trag- und Bremssysteme von Magnetbahnen. Die vorstehend genannten Funk­ tionen müssen jederzeit realisierbar sein, um einen sicheren Bahnbetrieb zu gewährleisten. Für die Realisierung solcher safe-life-Funktionen ist es nicht nur erforderlich, die be­ treffenden Redundanzaggregate bereit zuhalten und auf Funkti­ onsfähigkeit zu überwachen; vielmehr ist es erforderlich, nachzuweisen, daß diese Redundanzaggregate im Einsatzfall auch tatsächlich in der Lage sind, auf die jeweils gesteuer­ ten Verbraucher in der geforderten Weise einzuwirken.
Aufgabe der Erfindung ist es, eine Einrichtung zur Realisierung derartiger safe-life-Funktionen anzugeben.
Die Erfindung löst diese Aufgabe durch die Anwendung der kennzeichnenden Merkmale des Patentanspruchs 1 bei einer als bekannt angenommenen Einrichtung nach dem Oberbegriff dieses Anspruches.
Das Problem bei der Lösung der der Erfindung zugrundeliegen­ den Aufgabe liegt darin, daß üblicherweise von einer aus­ schließlich aus Redundanzgründen vorgesehenen Einheit, z. B. einem Mehrrechnersystem, kein Zugriff auf die zu steuernden Prozeßelemente besteht, jedenfalls nicht hinsichtlich der Aufschaltung von Steuerungspotentialen oder Versorgungsspan­ nungen; lediglich Überwachungsmeldungen über den jeweiligen Betriebszustand der Prozeßelemente lassen sich auch von den Redundanzsystemen in der Standby-Phase empfangen und bewer­ ten. Dadurch, daß gemäß der vorliegenden Erfindung das oder die Redundanzsysteme zu bestimmten Zeitpunkten vorübergehend auf die Prozeßelemente einwirken müssen, wobei dann alle Systeme das Aufschalten von Steuerungs- oder Speisepotentia­ len auf die Versorgungsleitungen zu den Verbrauchern überwa­ chen, wird die Zugriffsmöglichkeit des jeweils dann betriebs­ führend geschalteten Systems kontrolliert. Durch Rechnerkopp­ lung unterrichten sich die einzelnen Mehrrechnersysteme, über die die Steuer- und/oder Speisesysteme für die Verbraucher geschaltet werden, von ihren jeweiligen Bewertungsergebnis­ sen, um so für jedes Rechnersystem zu einem sicheren Bewer­ tungsergebnis zu gelangen. Das Auskoppeln der jeweiligen Be­ wertungsergebnisse aus den Steuer- und Speiseleitungen zu den Verbrauchern geschieht über zueinander getrennte Koppel­ elemente.
Es ist sinnvoll, die einzelnen Steuer- und/oder Speisesysteme turnusmäßig im Wechsel betriebsführend zu schalten, wobei dann jeweils beim Wechsel auf ein anderes Steuer- und/oder Speisesystem das jeweils neu aufgeschaltete System auf seine Zugriffsmöglichkeit zu den Verbrauchern überprüft wird. Für die Überwachung der einzelnen Verbraucher sind diese jeweils zu Gruppen gleichartiger Verbraucher zusammengefaßt und an zugehörige Steuer- und/oder Versorgungsleitungen angeschlossen. Die einzelnen Gruppen von Verbrauchern werden zu Prüfzwecken jeweils gesondert angeschaltet und die Bewertungsergebnisse werden gesondert ausgewertet. Solche Gruppen von Verbrauchern sind z. B. die Schwebeeinrichtungen und die Bremseinrichtungen einer Magnetbahn oder deren Tür­ steuerungen.
Die Erfindung ist nachstehend anhand eines in der Zeichnung schematisch dargestellten Ausführungsbeispiels näher erläu­ tert.
Die Zeichnung zeigt zwei gleichartige Steuer- und/oder Spei­ sesysteme SYS1, SYS2, die bedarfsweise auf zugehörige Ver­ braucher SE1 bis SEn einwirken sollen. Jedes Steuer- und/oder Speisesystem wird im wesentlichen dargestellt durch ein sicheres Mehrrechnersystem, beispielsweise ein Zwei-von-drei- System. Die beiden Steuer- und/oder Speisesysteme SYS1, SYS2 können völlig gleichartig ausgeführt sein zum Ausführen der gleichen Funktionen. Es ist aber auch möglich, daß z. B. das nur in Ausnahmesituationen wirksam zu schaltende Redundanz­ system einen geringeren Funktionsumfang aufweist und mögli­ cherweise nur besonders wichtige Notfunktionen realisieren kann. Die Verbraucher SEI bis SEn sind über gemeinsame Zulei­ tungen TL an beide Steuer- und/oder Speisesysteme SE1, SE2 angeschlossen. Die Zuleitungen TL sind im dargestellten Aus­ führungsbeispiel als Doppelleitung ausgeführt, die durch sämtliche Fahrzeuge eines zu steuernden Zuges geschleift sind und an die in den einzelnen Fahrzeugen die jeweils zu steu­ ernden und/oder zu speisenden Verbraucher angeschlossen sind. Es ist angenommen, daß das Steuer- und/oder Speisesystem SYS1 das betriebsführende System ist. Einer der Rechner dieses Systems schaltet über einen symbolisch dargestellten sicheren Schaltkontakt S1 Steuer- und/oder Speisepotential auf eine der zu den Verbrauchern führenden Leitungen TL; die andere Leitung liegt ständig auf Bezugspotential.
Das Steuer- und/oder Speisesystem SYS1 überwacht das auf die Zuleitungen TL geschaltete Steuer- und/oder Speisepotential, indem es den Betriebszustand von an die Zuleitungen zu den Verbrauchern geschalteten Eingabe-Baugruppen einliest. Dabei ist für jeden Einzelrechner des Rechnersystems eine gesonder­ te Eingabe-Baugruppe vorgesehen. Die Eingabe-Baugruppen sind als Optokoppler ausgeführt, von denen in der Zeichnung nur jeweils die Leuchtdioden L1.1 bis L1.3 dargestellt sind. Zum Überwachen des jeweils aufgeschalteten Signals sind jeweils mehrere Optokoppler vorgesehen, um jedem Rechnerkanal die Information zugänglich zu machen.
Neben dem betriebsführenden Steuer- und/oder Speisesystem SYS1 ist auch das nicht betriebsführende Steuer- und/oder Speisesystem SYS2 dazu in der Lage, das vom betriebsführenden System auf die Zuleitungen TL geschaltete Steuer- und/oder Speisepotential zu erfassen und zu bewerten. Dies geschieht über die Optokoppler L2.1 bis L2.3 von entsprechenden Einga­ be-Baugruppen, die bei dem System SYS2 an die Zuleitungen zu den Verbrauchern geschaltet sind. Beide Steuer- und/oder Speisesysteme SYS1, SYS2 unterrichten sich über zugehörige Ein/Ausgabebaugruppen EA1, EA2 von ihren jeweiligen Bewer­ tungsergebnissen. Jedes System kann damit selbständig erken­ nen, ob das oder die anderen Systeme zu dem gleichen Bewer­ tungsergebnis gelangt sind wie es selbst. Wenn das nicht der Fall ist, werden bestimmte im Betriebsablauf der Systeme ver­ ankerte Reaktionen veranlaßt, die beispielsweise dazu führen, daß ein bislang betriebsführendes System abgeschaltet wird, wobei ein bislang nicht betriebsführendes System dann die Aufgaben oder einen Teil der Aufgaben des abgeschalteten Systems übernimmt. Ermittelt ein nicht betriebsführendes System eine Störung, die offenbar nur bei ihm auftritt, so setzt es eine entsprechende Störungsmeldung ab, über die eine möglichst rasche Reparatur des gestörten Systems veranlaßt werden kann.
Soll in vorgegebenen zeitlichen Abständen oder aber ereignis­ gesteuert die Zugriffsmöglichkeit eines nicht betriebsführen­ den Steuer- und/oder Überwachungssystems auf die Verbraucher überprüft werden, so ist vorübergehend kurzzeitig oder aber auch längerfristig die Berechtigung zur Betriebsführung min­ destens für bestimmte Funktionen auf das zu überprüfende System zu übertragen. Im dargestellten Ausführungsbeispiel wird hierzu der Kontakt S1 geöffnet und der Kontakt S2 ge­ schlossen. Wenn nun auch das Steuer- und/oder Speisesystem SYS2 in der Lage ist, Steuer- und/oder Speisepotential auf die Zuleitungen TL zu den Verbrauchern zu schalten, wird dies über die Optokoppler von den Rechnern des eigenen Systems und von den Rechnern des oder der übrigen Systeme erkannt. Durch Austausch der ermittelten Bewertungsergebnisse ist jedes Rechnersystem in der Lage, zu überprüfen, ob die übrigen Rechnersysteme zu dem gleichen Bewertungsergebnis gelangt sind wie es selbst. Ist dies der Fall, so ist die Zugriffs­ möglichkeit des angeschalteten Steuer- und/oder Speisesystems festgestellt worden; andernfalls liegt eine Störung vor, die zu einer vorgegebenen Reaktion führen muß.
Die Aufschaltung eines nicht betriebsführenden Steuer­ und/oder Speisesystems auf die Zuleitungen zu den Verbrau­ chern kann prinzipiell kurzzeitig oder auch über längere Zeitabschnitte erfolgen. Wenn dabei eine gewisse Wahrschein­ lichkeit für das Erkennen von nicht einwandfrei arbeitenden Redundanzsystemen besteht oder wenn die Redundanzsysteme nur bestimmte Teilfunktionen des üblicherweise betriebsführenden Systems ausführen, kann es von Vorteil sein, die Redundanz­ systeme zu Prüfzwecken nur sehr kurzzeitig aufzuschalten, so daß die Verbraucher selbst auf das dann möglicherweise aus­ bleibende Steuer- und/oder Speisepotential noch gar nicht reagieren können. Zwar erkennen die steuernden Rechner inner­ halb kürzester Zeit die eingetretenen Störung; durch die rasche Rückgabe der Betriebsführung an das zuvor betriebsfüh­ rende Steuer- und/oder Speisesystem hat die eingetretene Störung auf die an die Zuleitungen angeschlossenen Verbrau­ cher aber keine Auswirkungen.
Von jedem Steuer- und/oder Speisesystem kann es mehrere Zu­ leitungen zu unterschiedlichen Gruppen von gleichartigen Ver­ brauchern geben, die gesondert angeschaltet und gesondert überwacht werden. Alle diese Gruppen von Verbrauchern können jeweils gleichzeitig oder auch aufeinanderfolgend an- und ab­ geschaltet werden.
Kann ein Redundanzsystem nur ausgewählte Funktionen des übli­ cherweise betriebsführenden Systems ausführen, z. B. die soge­ nannten vitalen Funktionen wie z. B. die Trag- und Bremsfunk­ tionen, so ist es möglich, daß das System, das diese Funktio­ nen wegen einer Störung oder eines Defektes abgeben mußte, weiterhin einige der nicht von der Störung betroffenen Funk­ tionen wie z. B. die Steuerung von Fahrgastinformationen oder die Steuerung der Fahrzeugtüren wahrnimmt. In diesem Fall wirken gleichzeitig mehrere Steuer- und/oder Speisesysteme auf allerdings unterschiedliche Gruppen von Verbrauchern ein. Es ist aber auch möglich, im Störungsfall einige weniger vitale Funktionen überhaupt nicht mehr auszuführen.
Die erfindungsgemäße Einrichtung macht es erstmals möglich, auch den Zugriff von Redundanzsystemen auf die von ihnen zu steuernden und/oder zu speisenden Verbraucher zu überprüfen. Dies bildet die Voraussetzung dafür, daß das jeweilige Redun­ danzsystem im Störungsfall auch tatsächlich in der Lage ist, die Steuerung eines technischen Prozesses weiterzuführen. Sie ist daher besonders geeignet für die Anwendung in hochverfüg­ bar ausgeführten technischen Anlagen wie sie im Bahnbetrieb zur Anwendung kommen.

Claims (5)

1. Einrichtung zur Realisierung von safe-life-Funktionen in hochverfügbar ausgeführten technischen Anlagen zum Steuern und/oder Speisen von elektrischen Verbrauchern mit mindestens zwei unabhängigen, von jeweils einem Mehrrechnersystem ge­ steuerten Steuerungs- und/oder Speisesystemen, von denen jeweils eines betriebsführend ist, bedarfsweise aber durch ein anderes System ersetzt werden kann, dadurch gekennzeichnet,
daß die elektrischen Verbraucher (SE1 bis SEn) über Zuleitungen (TL) an alle Steuer- und/oder Speisesysteme angeschlossen sind,
daß in diesen Systemen Schaltmittel (S1, S2) vorgesehen sind zum Durchschalten der Zuleitungen zu den Verbrauchern ausschließlich für den Fall, daß das betreffende System betriebsführend ist,
daß in den Systemen an die Zuleitungen zu den Verbrauchern so viele Eingabe-Baugruppen (L1.1 bis L1.3; L2.1 bis L2.u) an­ geschlossen sind wie das zugehörige Mehrrechnersystem Ein­ zelrechner aufweist, wobei jeder Einzelrechner exklusiv das Ausgangssignal einer der Eingabe-Baugruppen bewertet und daß die einzelnen Steuer- und/oder Speisesysteme in vorgeb­ baren Zeitabständen und/oder zu bestimmten ereignisorientier­ ten Zeitpunkten mindestens vorübergehend in den betriebsfüh­ renden Zustand schaltbar sind, wobei jeweils alle Rechner der einzelnen Systeme die Ausgangssignale ihrer Eingabe-Baugrup­ pen zum Erkennen eines nicht funktionsfähigen Systems bewer­ ten.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Einzelrechner jedes Rechnersystems exklusiv mit einem Einzelrechner eines anderen Rechnersystems verbunden sind und daß die so verbundenen Einzelrechner mindestens die Bewer­ tungsergebnisse der ihnen zugeordneten Eingabe-Baugruppen austauschen.
3. Einrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnete daß die Eingabe-Baugruppen durch Optokoppler dargestellt sind.
4. Einrichtung nach Anspruch 1, dadurch gekennzeichnete daß die Dauer, für die die einzelnen Mehrrechnersysteme wäh­ rend der Prüfphasen betriebsführend schaltbar sind, unterhalb der Reaktionszeiten der Verbraucher auf An- und Abschalt­ signale liegen.
5. Einrichtung nach einen der Ansprüche 1 bis 4 dadurch gekennzeichnet, daß die elektrischen Verbraucher (SEI bis SEn) in Gruppen von gleichartigen Verbrauchern organisiert sind, die jeweils ge­ meinsam über gesonderte Zuleitungen (TL) an die Steuer­ und/oder Speisesysteme angeschlossen sind und daß diese Zu­ leitungen für die einzelnen Gruppen von Verbrauchern getrennt schaltbar sind.
DE1995131923 1995-08-16 1995-08-16 Einrichtung zur Realisierung von safe-life-Funktionen Expired - Fee Related DE19531923B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1995131923 DE19531923B4 (de) 1995-08-16 1995-08-16 Einrichtung zur Realisierung von safe-life-Funktionen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1995131923 DE19531923B4 (de) 1995-08-16 1995-08-16 Einrichtung zur Realisierung von safe-life-Funktionen

Publications (2)

Publication Number Publication Date
DE19531923A1 true DE19531923A1 (de) 1997-02-20
DE19531923B4 DE19531923B4 (de) 2004-05-06

Family

ID=7770779

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1995131923 Expired - Fee Related DE19531923B4 (de) 1995-08-16 1995-08-16 Einrichtung zur Realisierung von safe-life-Funktionen

Country Status (1)

Country Link
DE (1) DE19531923B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19918270A1 (de) * 1999-04-22 2000-10-26 Abb Patent Gmbh Verfahren zur bedarfsabhängigen Berechnung einer Funktion

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3906846C2 (de) * 1989-03-03 1994-02-17 Bodenseewerk Geraetetech Redundante Rechneranordnung für Steuersysteme
DE3924266A1 (de) * 1989-07-22 1991-01-31 Standard Elektrik Lorenz Ag Verfahren zum betrieb einer signaltechnisch sicheren schnittstelle
DE3928651A1 (de) * 1989-08-30 1991-03-07 Wabco Westinghouse Fahrzeug Elektronische schaltung zur ueberwachung eines endverstaerkers und seiner last
DE4136650A1 (de) * 1991-11-07 1993-05-13 Bosch Gmbh Robert Steuereinrichtung fuer eine verstelleinrichtung in einem fahrzeug

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19918270A1 (de) * 1999-04-22 2000-10-26 Abb Patent Gmbh Verfahren zur bedarfsabhängigen Berechnung einer Funktion

Also Published As

Publication number Publication date
DE19531923B4 (de) 2004-05-06

Similar Documents

Publication Publication Date Title
DE3003291C2 (de) Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke
EP0026377A2 (de) Rechnerarchitektur auf der Basis einer Multi-Mikrocomputerstruktur als fehlertolerantes System
EP0132548A1 (de) Einrichtung zum Betrieb eines rechnergesteuerten Stellwerkes
EP0109981B1 (de) Ausfallgesicherte Datenverarbeitungsanlage
EP3400452B1 (de) Transporteinheit mit zumindest einer anlage
WO2007076939A2 (de) Vorrichtung zum steuern mindestens einer maschine
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
EP1432593B1 (de) Steuerungs- und energieversorgungssystem für wenigstens zwei flugzeugsitzplätze
EP3448735B1 (de) Servereinrichtung betreibend eine software zur steuerung einer funktion eines schienengebundenen transportsicherungssystems
WO1997008617A2 (de) Einrichtung zur einkanaligen übertragung von aus zwei datenquellen stammenden daten
DE102005023296A1 (de) Zugbeeinflussungssystem
DE2647367C3 (de) Redundante Prozeßsteueranordnung
DE10053023C1 (de) Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE19531923A1 (de) Einrichtung zur Realisierung von safe-life-Funktionen
DE2939935A1 (de) Sichere datenverarbeitungseinrichtung
DE3137450C2 (de) Sicherheits-Ausgabeschaltung für eine Datenverarbeitungsanlage
DE3238692A1 (de) Datenuebertragungssystem
EP0358785A1 (de) Einrichtung zum Betrieb eines redundanten Mehrrechnersystems für die Steuerung eines elektronischen Stellwerkes in der Eisenbahnsignaltechnik
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
DE2023117A1 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE2458224A1 (de) Datenverarbeitungssystem mit koordinierung der parallelarbeit von mindestens zwei datenverarbeitungsanlagen
DE3239434C1 (de) Einrichtung zum Überwachen der Funktionsfähigkeit eines Mehr-Rechnersystems
CH654260A5 (en) Computer-controlled signal box
EP3414637A1 (de) Sicherheitsschaltvorrichtung
DE2148981C3 (de) Verfahren zur Erfassung und Steuerung de r Funktionszustande einzelner Systemeinheiten eines programmgesteuerten Verarbeitungssystems

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20110301