EP2036800A2 - Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebes von Schienenfahrzeugen - Google Patents

Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebes von Schienenfahrzeugen Download PDF

Info

Publication number
EP2036800A2
EP2036800A2 EP08011454A EP08011454A EP2036800A2 EP 2036800 A2 EP2036800 A2 EP 2036800A2 EP 08011454 A EP08011454 A EP 08011454A EP 08011454 A EP08011454 A EP 08011454A EP 2036800 A2 EP2036800 A2 EP 2036800A2
Authority
EP
European Patent Office
Prior art keywords
level
computer system
secure computer
safe
elements
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP08011454A
Other languages
English (en)
French (fr)
Other versions
EP2036800A3 (de
Inventor
Henning Kalberlah
Erik Bauer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Bahn AG
Original Assignee
Deutsche Bahn AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Bahn AG filed Critical Deutsche Bahn AG
Publication of EP2036800A2 publication Critical patent/EP2036800A2/de
Publication of EP2036800A3 publication Critical patent/EP2036800A3/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks

Definitions

  • the invention relates to a method and a device for fail-safe electronic control of elements that guide and secure the operation of rail vehicles.
  • the elements of the outside installation of the signal box such as Signals, switches, level crossings, block facilities, etc. must be safely controlled and monitored by the interlocking logic signal, that is, the elements of the outdoor facilities are sufficiently likely to be arbitrarily assumed errors in the system in a state that the safety of Driving operation is not endangered.
  • Signaling safety of positioning and monitoring devices is realized by means of safety-related components, whereby all components involved in the positioning and monitoring processes are checked accordingly.
  • an automation platform which comprises a plurality of modules, in particular CPU, power supply, module for safety-related signal processing, module for non-safety-related signal processing, communication module, connected via special interfaces with safety-related and non-safety-relevant components of the railway safety system.
  • the automation platform is a programmable logic controller (PLC).
  • PLC programmable logic controller
  • the predetermined software structure of the automation platform is usually arranged in such a modular or hierarchical manner that the logistics of the railway safety system, in particular the interlocking logistics, can be organized in function-specific software programs.
  • each load circuit at least two in series, regardless Having controllable each other, not technically safe switch for opening / closing of the circuit has.
  • the two switches can be controlled by independent computer channels of a secure computer system.
  • Each wire of the circuit contains one of the two switches.
  • At least one detector is provided for detecting a test voltage derived from a feed or test current flowing via the consumer or at least indirectly applied by the consumer and dependent on the operating state of the consumer. An inadequately closed or opened switch changes the voltage in a marked manner compared to the test voltage which is established when the switch position is correct.
  • the detector output signals are evaluated by the two computer channels of the secure computer system, and the computer system detects an untimely open / closed at least one of the switches from the occurrence of not expected at this time detector output signals.
  • Dependencies are stored in one or more non-signal-secure commercial computers.
  • the signal-technically secure computer generates from the commands and messages supplied to it processing jobs that are transmitted to the or the commercial computer and there at least twice processed independently.
  • the resulting results or intermediate results are transmitted back to the secure computer where they are signal-technically tested for consistency.
  • the system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a backup level and a process level.
  • a fully graphic system based on market standards represents the operating and monitoring level.
  • the backup level is formed by a secure computer system.
  • the components of the various levels communicate via corresponding data transmission devices.
  • the safety-related checks and algorithms for ensuring process security are performed exclusively by the secure computer system of the security level, whereas the computers or other components of the operating and monitoring level as well as the process level can meet lower security requirements.
  • the method is based on safety technology on a variant of the known process assurance, wherein according to the invention, the backup procedures, although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core.
  • the method allows for low cost, industry standard components that meet a lower level of security.
  • a major advantage of the method is that the high cost of secure software design, secure programming and testing, and secure hardware is only required at one point in the secure interlocking core.
  • Claim 2 describes how the method reliably triggers commands for controlling elements of the process level. A distinction must be made between the way in which commands are issued to the process level.
  • commands When commands are entered by the operator input at the operating and monitoring level, they are transmitted with a data transmission device to the secure computer system in the security level, where they are checked for plausibility. Plausible commands are re-coded and transmitted back to the control and monitoring levels. In the at least one computer of the operating and monitoring level of the newly coded command of the secure computer system is also checked for plausibility and the Transfer the result of the plausibility check in the final encoded form to the secure computer system in the backup level.
  • the command to control the element can be triggered by the secure computer.
  • the control is triggered directly by the secure computer system of the security level.
  • Claim 3 describes how the activation event generated by the command triggered in accordance with claim 2 is reliably monitored by signal technology.
  • the command for triggering an element of the process level After the command for triggering an element of the process level has been triggered by the secure computer system of the security level, it is transmitted via a data transmission device to the appropriate element in the process level.
  • the effect of this command results in at least one control event, the result of which is monitored by suitable sensors and reported back to the secure computer system in the backup level.
  • the results of each triggering event must be checked several times for the required logical and timely sequence. Since only one secure computer system is available in the safe interlocking core, all tests must be carried out there as well. This is realized by multiple, but time-delayed checks in the single secure computer system, so that for each result multiple dialogues arise, which are led to the final result.
  • an advantageous embodiment of the invention is that the secure computer system of the security level consists of a modular system for industrial automation systems. This eliminates the previously required costly special developments for railway operations.
  • a decentralizable process level is described, which is connected via a data network with the backup level.
  • logically passive components are used at the process level, which convert the transmitted data into digital input / output bits in a process-protected manner.
  • the decentralized process element converts only network telegrams of the safe interlocking core into digital outputs and reports changes to the digital inputs event-controlled or, on request, from the safe interlocking core, also via the communications network.
  • mechanisms triggered and monitored by the security level must cyclically check the communication in the process chain as well as the function of the elements in the process level. In the event of an error, at least the power supply to the associated element of the process level is reliably switched off by the fuse level.
  • the signal supply voltage is additionally separated in such a way that in the event of a fault only the elements belonging to the signal term "stop" are supplied with voltage.
  • the system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a backup level and a process level.
  • a fully graphic system based on market standards represents the operating and monitoring level.
  • the backup level is formed by a secure computer system.
  • the components of the various levels communicate via corresponding data transmission devices.
  • a secure computer system is only in the backup level. It performs the safety-related checks and algorithms to ensure process security, whereas the computers or other components of the operating and monitoring level as well as the process level meet lower safety requirements.
  • the device is based on safety technology on a variant of the known process assurance, wherein according to the invention, the backup procedures, although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core.
  • the backup procedures although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core.
  • all components outside the safe interlocking core that is, both for communication and for the process level, are industry standard components that satisfy a lower level of security.
  • a data communication device transmits the command to the secure computer system at the backup level.
  • the secure computer system checks the command for plausibility. Plausible commands are re-coded and transmitted back to the operating and monitoring level.
  • the at least one computer of the operating and monitoring level of the newly coded command of the secure computer system is also checked for plausibility and transfer the result of the plausibility check in final coded form to the secure computer system in the backup level.
  • a separate communication path ensures that the operation is explicitly desired in this form.
  • a doubled or non-equivalent contact must be concluded by the operator, and / or additionally coded digital addresses are read in and checked.
  • the secure computer triggers the command to control the element.
  • the secure computer system aborts the control of elements of the process level with a corresponding error message.
  • Claim 9 describes how the secure computer system reliably monitors the activation event generated by the command triggered in accordance with claim 8.
  • the command for triggering an element of the process level After the command for triggering an element of the process level has been triggered by the secure computer system of the security level, it is transmitted via a data transmission device to the appropriate element in the process level.
  • the effect of this command results in at least one control event, the result of which is monitored by suitable sensors and reported back to the secure computer system in the backup level.
  • suitable sensors for example, the feedback from optical sensors in the connection of light signals or the use of magnetic sensors, such as. industrial beros for monitoring the mechanically correct circulation of a switch in question.
  • the secure computer system After a positive check of all results for the triggering events, the secure computer system starts from a successful element control and reveals this. If the examination of at least one result of the triggering events contradicts the required logical and timely sequence, then the secure computer system assumes and also reveals a faulty element control.
  • an advantageous embodiment of the invention is that the secure computer system of the backup level consists of a fail-safe programmable logic controller (PLC).
  • PLC fail-safe programmable logic controller
  • the logic implemented on the PLC is programmed according to DIN EN 61131 and is therefore easy to port to other PLC systems.
  • a decentralizable process level is described, which is connected via a LAN (Local Area Network) with the backup level.
  • standard ET electronic disconnect bar
  • small PLC systems act as logically passive converters for the data transmitted via Ethernet or another standardized data network technology, so that there are digital input / output bits behind the converters.
  • the process level is the multiplier for the LST, the main cost and LCC share.
  • ETs are standard products of industrial automation and are offered with a similar range of services by many companies.
  • consistent decentralization places standard components close to the target object and controls them via LAN connections (copper cables or fiber-optic cables) from the safe interlocking core. This results in very short cable lengths and protected cable routes within the outdoor area. Thus, significantly lower induced voltages for safety and protection considerations on the cables are to be assumed.
  • watchdogs triggered and monitored by the protection level cyclically check the communication in the process chain and the function of the elements in the process level.
  • the fuse level safely disconnects at least the power supply to the associated element of the process level.
  • the signal supply voltage is additionally separated in such a way that in the event of an error only the elements belonging to the signal term "stop" are supplied with voltage.
  • the system architecture of an electronic interlocking for carrying out the driving operation of rail vehicles is divided into three levels of operation / monitoring, the fuse and the process elements
  • the fuse level (2) is formed by a secure computer system that can be used as a fail-safe PLC, such as a PLC.
  • a SIMATIC S7-F is formed.
  • process level (4) are the elements to be controlled outdoor facilities and other signaling devices, such as neighboring interlocking, level crossings, etc. For reasons of clarity, only the process element "signal" is named. The other process elements of the process level are only indicated by the dashed representation of the Ethernet.
  • the data is exchanged, for example, in an Ethernet LAN (5) between the security level (2) and the decentrally placed elements (6) of the process level (4).
  • This results in very short cable lengths and protected cable routes within the outdoor area.
  • significantly lower induced voltages are assumed on the cables.
  • Cable faults can be easily revealed, since only small ohmic resistances are to be assumed for the short cable paths.
  • Ground faults are only relevant as double faults due to galvanic isolation of the supply voltage and are revealed in terms of hardware and process safety.
  • simple earth faults can be detected by earth fault detectors.
  • ET Electronic interfaces
  • the interlocking core (3) triggers a data telegram in the first PLC cycle which resets a digital output (DA, 9) from the ET (7) of the addressed signal process element.
  • This reset controls a positively driven relay K1 (16).
  • K1 (16) has a normally closed contact in the circuit of the signal lamp.
  • the potential of the signal lamp voltage is passed to the normally open contact of the electronic relay (ELR, 17).
  • This potential is now detected by a digital input (8) of the process element and transmitted via the ET (7) via network (5) to the safe PLC (3).
  • the safe PLC (3) expects just this reaction (change of the status of the corresponding DE bits from 0 to 1) for triggering the next process step, namely the control of another digital output (9) of the process element.
  • This DA (9) now drives the ELR (17).
  • the ELR closes the circuit consisting of current source (10), NC contact relay K1 (16), NO contact of the ELR (17) and lamp filament (20). Since the relay contact of the K1 (16) is already closed, this is conserved, which significantly increases the life of the relay. A corresponding sequence when deleting the signal term also serves to protect the relay contact. The lifetime of the ELR (17), however, is not affected by the number of switching operations.
  • the safe interlocking core (3) can check for logical sequence and also evaluate the timely result of the optical feedback in a defined time window. After a positive check, the safe interlocking logic can proceed from a correct procedure and take into account the signal optics (20) operating in accordance with the regulations in the central lane logic.
  • non-signal-safe components only control the untimely display of a driving signal image with a THR of> 10 exp -4 per hour.
  • a watchdog (11) is used. This must be controlled in a defined pulse / pause ratio by a digital output (9) of the ET (7). If the pulse remains off in a defined time window, the watchdog (11) passivates the power supply (10). The impulse is generated by the safe interlocking core.
  • the digital output (9) of the ET (7) is not cyclically requested to output the watchdog pulse.
  • the pulse remains off, and the watchdog (11) interrupts the power supply (10).
  • the cyclic pulse and the required pulse / pause ratio, which the watchdog (11) expects, are very likely absent or pending in another pulse sequence.
  • the watchdog (11) detects this and interrupts the power supply (10).
  • the watchdog (11) itself switches the supply voltage of the ET (7) via the closer of a positively driven small relay (12). If the pulse remains off, the positively driven relay (12) drops out, and the supply voltage is interrupted.
  • the safe interlocking core (3) detects this by the absence of the Ethernet telegrams.
  • the watchdog pulse from the safe interlocking core (3) is briefly exposed.
  • the supply voltage at a DE of the ET is then expected via the NC contact of the positively driven relay (12). If the relay contacts are welded or there is another error in the communication chain of the watchdog pulse, this reveals itself in the test cycle.
  • the ET supply voltage is buffered behind the watchdog relay via a capacitor (13).
  • Each action on an element (6) of the process level (4) is initiated via the associated ET (7).
  • the deactivation of the DA (9) for relay 16 is not carried out. So also no feedback of the upcoming potential at the ELR (17) arrives.
  • the safe interlocking core (3) detects the error.
  • the safe interlocking core (3) detects the error.
  • control is sufficiently controllable by suitable positioning and protection of the sensor (15) from extraneous light.
  • the watchdog (11) is integrated into the overall chain of communication. As a result, errors in communication reveal promptly.
  • a base connection (burn main and secondary thread) is detected by triggering the fuse (22) and by the DE (8) on the ELR (17).
  • the optical sensor gives no positive feedback after connection. It can be triggered a switch to the secondary thread. In addition, information is sent to the dispatcher (main thread, for example, "red N1" is defective).
  • a decentralized process element KF (release command not shown) is installed on the operator station system via a separate communication path in conjunction with a pushbutton / key switch with a duplicated contact. This maps the KF operator dialog with the safe interlocking core.

Abstract

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur signaltechnisch sicheren elektronischen Ansteuerung von Elementen, die den Fahrbetrieb von Schienenfahrzeugen leiten und sichern. Hierbei wird unter Verwendung industrieller Standards für Leit- und Sicherungstechnik in einem elektronischen Stellwerk effizient und kostengünstig die elektronische Ansteuerung von Elementen, die den Fahrbetrieb von Schienenfahrzeugen leiten und sichern, dadurch realisiert, dass die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit ausschließlich vom sicheren Rechnersystem der Sicherungsebene geleistet werden, wohingegen die Rechner beziehungsweise sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen können. Hierbei ist auch die geforderte sichere Anzeige und Bedienung gewährleistet. Der hohe Aufwand für sicheres Software-Design, sichere Programmierung und Prüfung sowie sichere Hardware ist nur an der einen Stelle im sicheren Stellwerkskern erforderlich.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur signaltechnisch sicheren elektronischen Ansteuerung von Elementen, die den Fahrbetrieb von Schienenfahrzeugen leiten und sichern.
  • Der Fahrbetrieb von Schienenfahrzeugen wird bei technisch gesicherten Strecken zentral von einem für den entsprechenden Infrastrukturbereich zuständigen Stellwerk geleitet und gesichert.
  • Die Elemente der Außenanlage des Stellwerks, wie z.B. Signale, Weichen, Bahnübergänge, Blockeinrichtungen etc. müssen von der Stellwerkslogik dabei signaltechnisch sicher gesteuert und überwacht werden, das heißt, dass sich die Elemente der Außenanlage mit hinreichend großer Wahrscheinlichkeit auch bei beliebig anzunehmenden Fehlern im System in einem Zustand befinden, der die Sicherheit des Fahrbetriebs nicht gefährdet.
  • Die signaltechnische Sicherheit von Stell- und Überwachungseinrichtungen wird mithilfe sicherungstechnischer Bauelemente realisiert, wobei alle in die Stellund Überwachungsvorgänge eingebundenen Komponenten entsprechend überprüft werden.
  • Eine vergleichende Übersicht der bei verschiedenen Bahnverwaltungen im Einsatz befindlichen unterschiedlichen elektronischen Stellwerkstypen hinsichtlich der verwendeten Rechnerkomponenten, Systemstrukturen, Sicherheitskonzepte sowie Gestaltung von Hard- und Software ist in dem Artikel "Sicherungs- und
  • Telekommunikationstechnik" in Signal + Draht 3, 1997, beschrieben. Die im Einsatz befindlichen Systeme unterscheiden sich unter anderem hinsichtlich Ein- oder Zweikanaligkeit, sicherer beziehungsweise nicht sicherer Bediensysteme, Betriebskonzept und Kosten.
  • So ist insbesondere in deutschen ESTW eine sichere Anzeige und Bedienung erforderlich.
  • Beispiele für die Systemarchitektur in deutschen ESTW finden sich in den Übersichtsartikeln "SIMIS D", in Signal + Draht 3, 2006 sowie "Die Bombardier-Lösung einer neuen ESTW-Bauform bei der DB AG", in Signal + Draht 5, 2005.
  • Alle etablierten, vornehmlich proprietären elektronischen LST-Konzepte basieren auf "Verfahrenssicherungen". Zum Beispiel besteht ein klassisches 2-von-3-Prozessorsystem aus marktüblichen elektronischen Bauteilen, wie beispielsweise dem Intel Pentium 1. Eine in den Standardprozessoren programmierte spezifische Applikation bildet die Sicherheitsmechanismen ab. Die Ergebnisse der Prüf-Applikationen werden auf aus Standard-Halbleiterbauelementen entworfenen Hardwarepartitionen verglichen und im Fehlerfall Sicherheitsabschaltungen ausgelöst.
  • Teilweise werden die Grundsätze der Verfahrenssicherung bereits heute in der Eisenbahnsicherungstechnik angewendet.
  • Für sicherheitsgerichtete Bedienungen in einem Stellwerk ist eine Verfahrenssicherung von Quelle zu Senke implementiert. Die von der DB AG vorgeschriebene firmenneutrale SBS-Schnittstelle definiert entsprechende Dialoge. Über korrespondierende Prozeduren im sicheren Stellwerkskern und im Bedienplatz wird für den Fall einer sicherheitskritischen Bedienung eine Fehlfunktion der Schnittstelle und der Anzeige mit ausreichender Wahrscheinlichkeit ausgeschlossen.
  • Um die hohen Sicherheitsanforderungen auch bei Bedienung und Anzeige zu erfüllen, war man allerdings bisher dazu gezwungen, nicht nur im Stellwerkskern sichere Rechnertechnik einzusetzen, sondern auch in den Bereichen der Elementsteuerung und Bedienung/Anzeige. Damit befinden sich an beiden Enden des Verfahrens, also bei Quelle und Senke, sichere und damit kostenintensive Komponenten.
  • In DE 10 2005 043 305 A1 ist eine System-Architektur zur Steuerung und Überwachung von Komponenten einer Eisenbahnsicherungsanlage beschrieben. Hierbei ist eine Automatisierungsplattform, die mehrere Module, insbesondere CPU, Stromversorgung, Modul für sicherheitsrelevante Signalverarbeitung, Modul für nicht sicherheitsrelevante Signalverarbeitung, Kommunikationsmodul, umfasst, über spezielle Schnittstellen mit sicherheitsrelevanten und nicht sicherheitsrelevanten Komponenten der Eisenbahnsicherungsanlage verbunden. Als Automatisierungsplattform dient eine speicherprogrammierbare Steuerung (SPS). Die vorgegebene Softwarestruktur der Automatisierungsplattform ist üblicherweise derart modular oder hierarchisch geordnet, dass die Logistik der Eisenbahnsicherungsanlage, insbesondere die Stellwerkslogistik, in funktionsspezifischen Softwareprogrammen organisiert werden kann.
  • Aus DE 196 06 894 C2 ist eine Einrichtung zur signaltechnisch sicheren Steuerung und Überwachung elektrischer Verbraucher im Eisenbahnwesen bekannt, bei der jeder Verbraucherstromkreis mindestens zwei in Reihe liegende, unabhängig voneinander steuerbare, signaltechnisch nicht sichere Schalter zum Öffnen/Schließen des Stromkreises aufweist. Die beiden Schalter sind durch unabhängige Rechnerkanäle eines sicheren Rechnersystems steuerbar. Jede Ader des Stromkreises enthält einen der beiden Schalter. Es ist mindestens ein Melder zum Erkennen einer aus einem über den Verbraucher fließenden Speise- oder Prüfstrom abgeleiteten oder vom Verbraucher mindestens mittelbar aufgeschalteten, vom Betriebszustand des Verbrauchers abhängigen Prüfspannung vorgesehen. Ein zur Unzeit geschlossener oder geöffneter Schalter verändert die Spannung in markanter Weise gegenüber der sich bei ordnungsgerechter Schalterstellung einstellenden Prüfspannung. Die Melder-Ausgangssignale werden von den beiden Rechnerkanälen des sicheren Rechnersystems bewertet, und das Rechnersystems erkennt ein unzeitiges Offensein/Geschlossensein mindestens eines der Schalter aus dem Auftreten von zu dieser Zeit nicht erwarteten Melder-Ausgangssignalen.
  • Aus DE 100 53 023 C1 ist ein Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und eine Einrichtung zur Durchführung dieses Verfahrens bekannt. Hierbei wird mindestens ein signaltechnisch sicherer Rechner verwendet, der aus eingehenden Kommandos nach Maßgabe einer Bahnbetriebsordnung signaltechnisch sicher erarbeitete Stellbefehle signaltechnisch sicher an Prozesselemente ausgibt und von dort stammende Meldungen einer Prozesszustandsüberwachung und Prozesssteuerung zuführt. Dabei wird im sicheren Rechner lediglich eine Systemsoftware hinterlegt, deren Programme den sicheren Rechner befähigen, eine signaltechnisch sichere Ein-/Ausgabe und den signaltechnisch sicheren Datenvergleich vorzunehmen. Die für den Bahnbetriebsprozess entscheidenden vorgegebenen Bedingungen und
  • Abhängigkeiten sind in einem oder mehreren nicht signaltechnisch sicheren kommerziellen Rechnern hinterlegt. Dabei erzeugt der signaltechnisch sichere Rechner aus den ihm zugeführten Kommandos und Meldungen Verarbeitungsaufträge, die an den oder die kommerziellen Rechner übermittelt werden und dort mindestens zweimal unabhängig voneinander abgearbeitet werden. Die dabei erarbeiteten Ergebnisse oder Zwischenergebnisse werden an den sicheren Rechner zurück übermittelt und dort signaltechnisch sicher auf inhaltliche Übereinstimmung geprüft.
  • Gemeinsamer Nachteil des oben beschriebenen Stands der Technik ist die immer noch recht aufwändige und damit kostspielige Systemarchitektur; auch bezogen auf die in Deutschland geforderte sichere Bedienung und Anzeige, die technisch umgesetzt werden muss.
  • Bei den etablierten Lösungen sorgen spezielle, herstellerspezifische "Stellteile" für die Anpassung an die bahnspezifischen Gegebenheiten und die Isolation.
  • Durch lange, sternförmige Kupferverbindungen zu den Außenelementen müssen hohe Spannungsfestigkeit und verschiedene Kabelfehler durch die Stellteile beherrscht werden. Dies führt klassischerweise zu aufwändigen bahnspezifischen Sonderentwicklungen.
  • Traditionell wird bei den Stellteilkonzepten bisher nicht das gewünschte Ereignis ausgewertet. Beim Signal wird z. B. der Lampenstrom geprüft und daraus gefolgert, ob die Signallampe mit ausreichender Wahrscheinlichkeit leuchtet. Bei Weichen geht man von einer formschlüssigen Verbindung der Stellstangen und der Lager- und Übertragungsteile mit den Weichenzungen oder dem Herzstück aus und wertet entsprechende Schalterpakete (meistens im Weichenantriebsgehäuse) für die Rückmeldung des Zustandes der Weiche aus. Die verwendeten 4-Draht Schaltungen reduzieren und verkomplizieren dazu noch die Anzahl der Rückmeldungen und deren sicherungstechnische Plausibilitätsprüfungen.
  • Es ist somit Aufgabe der Erfindung, unter Verwendung industrieller Standards für Leit- und Sicherungstechnik in einem elektronischen Stellwerk die elektronische Ansteuerung von Elementen, die den Fahrbetrieb von Schienenfahrzeugen leiten und sichern zu realisieren und dabei möglichst effizient und kostengünstig den hohen Anforderungen hinsichtlich Sicherheit und Funktion im Netz der Deutschen Bahn AG zu genügen.
  • Hierbei ist auch die geforderte sichere Anzeige und Bedienung zu gewährleisten.
  • Diese Aufgabe wird gemäß den Merkmalen des Oberbegriffs des Patentanspruchs 1 gelöst.
  • Die Systemarchitektur orientiert sich am bewährten industriellen Ebenenmodell, bestehend aus einer Bedien- und Beobachtungsebene, einer Sicherungsebene und einer Prozessebene.
  • Erfindungsgemäß stellt ein vollgrafisches, auf Marktstandards basierendes System die Bedien- und Beobachtungsebene dar.
  • Die Sicherungsebene wird von einem sicheren Rechnersystem gebildet.
  • In der Prozessebene befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Blockeinrichtungen, Bahnübergänge, etc.
  • Die Komponenten der verschiedenen Ebenen kommunizieren über entsprechende Datenübertragungseinrichtungen.
  • Die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit werden ausschließlich vom sicheren Rechnersystem der Sicherungsebene geleistet, wohingegen die Rechner beziehungsweise sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen können.
  • Das Verfahren basiert sicherheitstechnisch auf einer Variante der bekannten Verfahrenssicherung, wobei erfindungsgemäß die Sicherungsprozeduren zwar jeweils konsequent an den Endpunkten (Quelle und Senke) der Aktionen greifen, die Zwischen- und Endergebnisse jedoch nur im sicheren Stellwerkskern geprüft werden. Somit lässt das Verfahren für alle Komponenten außerhalb des sicheren Stellwerkskerns, das heißt sowohl für die Kommunikation als auch für die Prozessebene, kostengünstige Komponenten nach Industriestandard zu, die einem geringeren Sicherheitslevel genügen.
  • Ein großer Vorteil des Verfahrens ist, dass der hohe Aufwand für sicheres Software-Design, sichere Programmierung und Prüfung sowie sichere Hardware nur an der einen Stelle im sicheren Stellwerkskern erforderlich ist.
  • Durch Anwendung der CENELEC-Normen ist eine quantitative Betrachtung des Fehlverhaltens einzelner Module, Programme und Datenverbindungen möglich, so dass sich unterschiedliche Arten der Verfahrenssicherung hinsichtlich der geforderten SIL berechnen lassen.
  • In Anspruch 2 ist beschrieben, wie von dem Verfahren Befehle zur Ansteuerung von Elementen der Prozessebene sicher ausgelöst werden. Dabei muss unterschieden werden, auf welchem Weg Befehle an die Prozessebene erteilt werden.
  • Wenn Befehle von der Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben werden, so werden diese mit einer Datenübertragungseinrichtung an das sichere Rechnersystem in der Sicherungsebene übertragen, und dort auf Plausibilität überprüft. Plausible Befehle werden neu codiert, und an die Bedien- und Beobachtungsebene zurück übertragen. In dem mindestens einen Rechner der Bedien- und Beobachtungsebene wird der neu codierte Befehl des sicheren Rechnersystems ebenfalls auf Plausibilität überprüft und das Ergebnis der Plausibilitätsprüfung in final codierter Form an das sichere Rechnersystem in der Sicherungsebene übertragen.
  • Zusätzlich muss im Allgemeinen bei solchen sicherheitsrelevanten manuellen Bedieneingaben über einen separaten Kommunikationsweg gewährleistet werden, dass die Bedienung in dieser Form explizit gewünscht ist. Hierfür wird insbesondere ein gedoppelter oder antivalenter Kontakt geschlossen, und/oder werden zusätzlich codierte digitale Adressen eingelesen und geprüft.
  • Sind alle diese Bedingungen erfüllt, so ist mit ausreichender Sicherheit davon auszugehen, dass eine Elementansteuerung von der Bedien- und Beobachtungsebene einerseits tatsächlich gewünscht ist und andererseits der Befehl plausibel ist sowie die Kommunikation mit dem Element und die richtige Adressierung des Elementes in der Prozessebene einwandfrei funktioniert. Dementsprechend kann der Befehl zur Ansteuerung des Elements vom sicheren Rechner ausgelöst werden.
  • Sobald jedoch mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt, muss die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher abgebrochen werden.
  • Werden die Befehle zur Ansteuerung von mindestens einem Element der Prozessebene aufgrund des internen Programmablaufs im sicheren Rechnersystem der Sicherungsebene erteilt, so wird von dem sicheren Rechnersystem der Sicherungsebene die Ansteuerung direkt ausgelöst.
  • In Anspruch 3 ist beschrieben, wie das von dem gemäß Anspruch 2 ausgelösten Befehl erzeugte Ansteuerungsereignis signaltechnisch sicher überwacht wird.
  • Nachdem der Befehl zur Ansteuerung eines Elements der Prozessebene vom sicheren Rechnersystem der Sicherungsebene ausgelöst wurde, wird er über eine Datenübertragungseinrichtung an das passende Element in der Prozessebene übertragen. Die Wirkung dieses Befehls führt zu mindestens einem Ansteuerungsereignis, dessen Ergebnis von einer geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet wird. Die Ergebnisse eines jeden Ansteuerungsereignisses müssen mehrfach hinsichtlich der geforderten logischen und zeitgerechten Abfolge überprüft werden. Da nur ein sicheres Rechnersystem im sicheren Stellwerkskern zur Verfügung steht, müssen alle Prüfungen auch dort erfolgen. Dies wird durch mehrfache, aber zeitversetzte Prüfungen im einzigen sicheren Rechnersystem realisiert, so dass für jedes Ergebnis Mehrfachdialoge entstehen, die bis hin zum Endergebnis geführt werden. Nach positiver Prüfung aller Ergebnisse zu den Ansteuerungsereignissen wird im sicheren Rechnersystem von einer erfolgreichen Elementansteuerung ausgegangen und dies offenbart. Ergibt die Prüfung von mindestens einem Ergebnis der Ansteuerungsereignisse in mindestens einem der Mehrfachdialoge einen Widerspruch zur geforderten logischen und zeitgerechten Abfolge, so geht das sichere Rechnersystem von einer fehlerhaften Elementansteuerung aus und offenbart auch dies.
  • Die mehrfache, zeitversetzte Prüfung der unterschiedlichen Ereignisse an nur einer Stelle im sicheren Stellwerkskern erfordert eine leistungsfähige Rechnerarchitektur. Sie muss sicherstellen, dass der Zeitaufwand für die je nach gewünschtem Sicherheitslevel erforderlichen Prüfungen und das anschließende Stellen der Elemente der Prozessebene nicht mehr Zeit aufgewendet wird, als die von der Zulassungsbehörde geforderte Maximalzeit, innerhalb der der Signalbegriff "Halt" gezeigt werden muss (Haltfallzeit).
  • Die heute zur Verfügung stehenden, erprobten Prozessoren und Kommunikationssysteme machen dies möglich.
  • Gemäß Anspruch 4 besteht eine vorteilhafte Ausgestaltung der Erfindung darin, dass das sichere Rechnersystem der Sicherungsebene aus einem modularen System für Industrie-Automatisierungsanlagen besteht. Somit entfallen die bisher erforderlichen aufwändigen Sonderentwicklungen für den Bahnbetrieb.
  • In Anspruch 5 ist eine dezentralisierbare Prozessebene beschrieben, die über ein Datennetzwerk mit der Sicherungsebene verbunden ist. Hierbei werden auf der Prozessebene logisch passive Komponenten eingesetzt, die die übertragenen Daten auf digitale Ein-/Ausgabe-Bits verfahrensgesichert umsetzen. Grundsätzlich setzt das dezentrale Prozesselement lediglich Netzwerk-Telegramme des sicheren Stellwerkskerns in digitale Ausgaben um und meldet Änderungen der digitalen Eingänge ereignisgesteuert oder auf Anfrage vom sicheren Stellwerkskern, ebenfalls über das Kommunikations-Netzwerk.
  • Sowohl die Kommunikation in der gesamten Verfahrenskette als auch die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene müssen gemäß Anspruch 6 ständig überprüft werden. Bei den vom sicheren Stellwerkskern initiierten Aktionen geschieht dies über dialogorientierte Verfahrenssicherung.
  • Hierzu müssen von der Sicherungsebene getriggerte und überwachte Mechanismen zyklisch die Kommunikation in der Verfahrenskette sowie die Funktion der Elemente in der Prozessebene überprüfen. Im Fehlerfall wird von der Sicherungsebene zumindest die Stromversorgung zum zugehörigen Element der Prozessebene sicher abgeschaltet.
  • Gegebenenfalls wird zusätzlich die Signalversorgungsspannung derart separiert, dass im Fehlerfall nur die zum Signalbegriff "Halt" gehörenden Elemente mit Spannung versorgt werden.
  • In Anspruch 7 ist eine Vorrichtung beschrieben, die das in Anspruch 1 genannte Verfahren umsetzt.
  • Die Systemarchitektur orientiert sich am bewährten industriellen Ebenenmodell, bestehend aus einer Bedien- und Beobachtungsebene, einer Sicherungsebene und einer Prozessebene.
  • Erfindungsgemäß stellt ein vollgrafisches, auf Marktstandards basierendes System die Bedien- und Beobachtungsebene dar.
  • Die Sicherungsebene wird von einem sicheren Rechnersystem gebildet.
  • In der Prozessebene befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Blockeinrichtungen, Bahnübergänge, etc.
  • Die Komponenten der verschiedenen Ebenen kommunizieren über entsprechende Datenübertragungseinrichtungen.
  • Ein sicheres Rechnersystem befindet sich nur in der Sicherungsebene. Es leistet die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit, wohingegen die Rechner beziehungsweise sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen.
  • Die Vorrichtung basiert sicherheitstechnisch auf einer Variante der bekannten Verfahrenssicherung, wobei erfindungsgemäß die Sicherungsprozeduren zwar jeweils konsequent an den Endpunkten (Quelle und Senke) der Aktionen greifen, die Zwischen- und Endergebnisse jedoch nur im sicheren Stellwerkskern geprüft werden. Somit sind alle Komponenten außerhalb des sicheren Stellwerkskerns, das heißt sowohl für die Kommunikation als auch für die Prozessebene, Komponenten nach Industriestandard, die einem geringeren Sicherheitslevel genügen.
  • Die aufwändige sichere Programmierung und Prüfung sowie teure Hardware ist nur an der einen Stelle im sicheren Stellwerkskern erforderlich.
  • Durch Anwendung der CENELEC-Normen ist eine quantitative Betrachtung des Fehlverhaltens einzelner Module, Programme und Datenverbindungen möglich, so dass sich unterschiedliche Arten der Verfahrenssicherung hinsichtlich der geforderten SIL berechnen lassen.
  • In Anspruch 8 ist beschrieben, wie die Vorrichtung Befehle zur Ansteuerung von Elementen der Prozessebene sicher auslöst. Dabei wird unterschieden, auf welchem Weg Befehle an die Prozessebene erteilt werden.
  • Wenn mindestens ein Befehl von der Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben wird, so überträgt eine Datenübertragungseinrichtung den Befehl an das sichere Rechnersystem in der Sicherungsebene. Das sichere Rechnersystem überprüft den Befehl auf Plausibilität. Plausible Befehle werden neu codiert und an die Bedien- und Beobachtungsebene zurück übertragen. In dem mindestens einen Rechner der Bedien- und Beobachtungsebene wird der neu codierte Befehl des sicheren Rechnersystems ebenfalls auf Plausibilität überprüft und das Ergebnis der Plausibilitätsprüfung in final codierter Form an das sichere Rechnersystem in der Sicherungsebene übertragen.
  • Zusätzlich gewährleistet im Allgemeinen bei solchen sicherheitsrelevanten manuellen Bedieneingaben ein separater Kommunikationsweg, dass die Bedienung in dieser Form explizit gewünscht ist. Hierfür muss vom Bediener insbesondere ein gedoppelter oder antivalenter Kontakt geschlossen werden, und/oder werden zusätzlich codierte digitale Adressen eingelesen und geprüft.
  • Sind diese Bedingungen erfüllt, so ist mit ausreichender Sicherheit davon auszugehen, dass eine Elementansteuerung von der Bedien- und Beobachtungsebene einerseits tatsächlich gewünscht ist und andererseits der Befehl plausibel ist sowie die Kommunikation mit dem Element in der Prozessebene einwandfrei funktioniert. Dementsprechend löst der sichere Rechner den Befehl zur Ansteuerung des Elements aus.
  • Sobald jedoch mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt, bricht das sichere Rechnersystem die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher ab.
  • Werden die Befehle zur Ansteuerung von mindestens einem Element der Prozessebene aufgrund des internen Programmablaufs im sicheren Rechnersystem der Sicherungsebene erteilt, so löst das sichere Rechnersystem der Sicherungsebene die Ansteuerung direkt aus.
  • In Anspruch 9 ist beschrieben, wie das sichere Rechnersystem das von dem gemäß Anspruch 8 ausgelösten Befehl erzeugte Ansteuerungsereignis signaltechnisch sicher überwacht.
  • Nachdem der Befehl zur Ansteuerung eines Elements der Prozessebene vom sicheren Rechnersystem der Sicherungsebene ausgelöst wurde, wird er über eine Datenübertragungseinrichtung an das passende Element in der Prozessebene übertragen. Die Wirkung dieses Befehls führt zu mindestens einem Ansteuerungsereignis, dessen Ergebnis von einer geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet wird. Als Endergebnisse der Ansteuerungsereignisse kommen beispielsweise die Rückmeldung von optischen Sensoren bei der Anschaltung von Lichtsignalen oder die Verwendung von magnetischen Sensoren, wie z.B. industrieller Beros zum Überwachen des mechanisch korrekten Umlaufs einer Weiche in Frage.
  • Die Ergebnisse eines jeden Ansteuerungsereignisses müssen mehrfach hinsichtlich der geforderten logischen und zeitgerechten Abfolge überprüft werden. Da nur ein sicheres Rechnersystem im sicheren Stellwerkskern zur Verfügung steht, müssen alle Prüfungen auch dort erfolgen. Deshalb prüft die Software im sicheren Rechnersystem die Ergebnisse mehrfach, aber zeitversetzt, so dass für jedes Ergebnis Mehrfachdialoge entstehen, die bis hin zum Endergebnis geführt werden.
  • Nach positiver Prüfung aller Ergebnisse zu den Ansteuerungsereignissen geht das sichere Rechnersystem von einer erfolgreichen Elementansteuerung aus und offenbart dies. Ergibt die Prüfung von mindestens einem Ergebnis der Ansteuerungsereignisse einen Widerspruch zur geforderten logischen und zeitgerechten Abfolge, so geht das sichere Rechnersystem von einer fehlerhaften Elementansteuerung aus und offenbart auch dies.
  • Die mehrfache, zeitversetzte Prüfung der unterschiedlichen Ereignisse an nur einer Stelle im sicheren Stellwerkskern erfordert eine leistungsfähige Rechnerarchitektur. Sie stellt sicher, dass der Zeitaufwand für die je nach gewünschtem Sicherheitslevel erforderlichen Prüfungen und das anschließende Stellen der Elemente der Prozessebene nicht mehr Zeit aufgewendet wird, als die von der Zulassungsbehörde geforderte Maximalzeit, innerhalb der der Signalbegriff "Halt" gezeigt werden muss (Haltfallzeit).
  • Die heute zur Verfügung stehenden, erprobten Prozessoren und Kommunikationssysteme machen dies möglich.
  • Gemäß Anspruch 10 besteht eine vorteilhafte Ausgestaltung der Erfindung darin, dass das sichere Rechnersystem der Sicherungsebene aus einer fehlersicheren speicherprogrammierbaren Steuerung (SPS) besteht.
  • Die auf der SPS realisierte Logik wird nach DIN EN 61131 programmiert und ist somit aufwandsarm auf andere SPS Systeme portierbar.
  • In Anspruch 11 ist eine dezentralisierbare Prozessebene beschrieben, die über ein LAN (Local Area Network) mit der Sicherungsebene verbunden ist. Hierbei agieren Standard-ET (elektronische Trennleiste) oder kleine SPS-Systeme verfahrensgesichert als logisch passive Umsetzer für die über Ethernet oder eine andere standardisierte Datennetztechnologie übertragenen Daten, so dass hinter den Umsetzern digitale Ein-/ Ausgabebits vorliegen.
  • Die Prozessebene macht als Multiplikator für die LST den Hauptkosten- und LCC-Anteil aus.
  • ETs sind Standardprodukte der Industrieautomatisierung und werden mit ähnlichem Leistungsspektrum von vielen Firmen angeboten.
  • Durch neutrale Netzwerk-Adressierung und vergleichbare Leistungsmerkmale der Hersteller ergibt sich hier eine einfache Substituierbarkeit des gewählten Lieferanten.
  • Darüber hinaus sind mittlerweile kompakte kleine SPS-Systeme auf dem Markt. Auch diese können ET-Funktionen ausführen. Deren Einsatz ist ebenfalls möglich, bedingt jedoch eine CENELEC-konforme "Code Inspection".
  • Erfindungsgemäß werden durch konsequente Dezentralisierung Standardkomponenten nah am Zielobjekt platziert und über LAN-Verbindungen (Kupferkabel oder LWL) vom sicheren Stellwerkskern gesteuert. Daraus resultieren sehr kurze Kabellängen und geschützte Kabelwege innerhalb der Außenanlage. Somit sind deutlich geringere induzierte Spannungen für Scherheits- und Schutzbetrachtungen auf den Kabeln anzunehmen.
  • Sowohl die Kommunikation in der gesamten Verfahrenskette als auch die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene müssen gemäß Anspruch 12 ständig überprüft werden.
  • Hierzu prüfen von der Sicherungsebene getriggerte und überwachte Watchdogs zyklisch die Kommunikation in der Verfahrenskette sowie die Funktion der Elemente in der Prozessebene. Im Fehlerfall schaltet die Sicherungsebene zumindest die Stromversorgung zum zugehörigen Element der Prozessebene sicher ab. Gegebenenfalls wird zusätzlich die Signalversorgungsspannung derart separiert, dass im Fehlerfall nur die zum Signalbegriff "Halt" gehörenden Elemente mit Spannung versorgt werden.
  • Die Erfindung ist nachfolgend anhand einer Zeichnung mit zwei Figuren und eines Beispiels in einer vorteilhaften Ausführungsform näher erläutert.
  • Die Zeichnung zeigt in
    • Fig. 1:
    die Darstellung der dialogorientierten Sicherungskette zwischen sicherem Stellwerkskern und Prozessebene, inkl. Watchdog,
    Fig. 2:
    die Prinzipschaltung des Prozesselements "Signal" mit Ethernet-Schnittstelle, Elektronischer Trennleiste, Stromversorgung und Überwachung des Lichtstroms mit einem optischen Sensor.
  • Die Systemarchitektur eines Elektronischen Stellwerks zum Durchführen des Fahrbetriebs von Schienenfahrzeugen gliedert sich in die drei Ebenen der Bedienung/Beobachtung, der Sicherung und der Prozesselemente
  • Ein vollgrafisches, auf Marktstandards basierendes System, findet sich in der Bedien- und Beobachtungsebene (1).
  • Die Sicherungsebene (2) wird von einem sicheren Rechnersystem gebildet, das als fehlersichere SPS, wie z.B. einer SIMATIC S7-F ausgebildet ist.
  • In der Prozessebene (4) befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Bahnübergänge, etc. Aus Gründen der Übersichtlichkeit ist nur das Prozesselement "Signal" benannt. Die anderen Prozesselemente der Prozessebene sind durch die gestrichelte Darstellung des Ethernets nur angedeutet.
  • Über Kupferkabel werden die Daten beispielsweise in einem Ethernet-LAN (5) zwischen der Sicherungsebene (2) und den dezentral platzierten Elementen (6) der Prozessebene (4) ausgetauscht. Daraus resultieren sehr kurze Kabellängen und geschützte Kabelwege innerhalb der Außenanlage. Somit sind deutlich geringere induzierte Spannungen auf den Kabeln anzunehmen. Kabelfehler können einfach offenbart werden, da nur geringe ohmsche Widerstände bei den kurzen Kabelwegen anzunehmen sind. Erdschlüsse sind durch galvanische Trennung der Speisespannung erst als Doppelfehler relevant und offenbaren sich hardwaremäßig und in der Verfahrenssicherung. Darüber hinaus können einfache Erdschlüsse durch Erdschlussmelder erkannt werden.
  • Als Schnittstelle zu den Elementen der Prozessebene werden elektronische Trennleisten (ET, 7) eingesetzt. Als logisch passive Komponenten setzen die ET (7) die über Ethernet (5) übertragenen Daten in digitale Ein-/ Ausgabebits um.
  • Soll beispielsweise im Rahmen des automatischen, internen Programmablaufs der Fahrstraßeneinstellung eine Signalglühlampe (20) eingeschaltet werden, so sieht die Verfahrenskette zur sicheren Ansteuerung und Rückmeldung des Lampenfadens folgendermaßen aus:
  • Der Stellwerkskern (3) löst im ersten SPS-Zyklus ein Daten-Telegramm aus, welches von der ET (7) des angesprochenen Signal-Prozesselements einen Digitalausgang (DA, 9) rücksetzt. Diese Rücksetzung steuert ein zwangsgeführtes Relais K1 (16) ab. K1 (16) hat einen Öffner im Stromkreis der Signallampe. Damit wird an den Schließerkontakt des elektronischen Relais (ELR, 17) das Potential der Signallampenspannung geleitet.
  • Dieses Potential wird nun von einem digitalen Eingang (8) des Prozesselementes detektiert und über die ET (7) per Netzwerk (5) an die sichere SPS (3) übermittelt. Die sichere SPS (3) erwartet eben diese Reaktion (Änderung des Status des entsprechenden DE-Bits von 0 auf 1) für das Auslösen des nächsten Prozess-Schrittes, nämlich der Ansteuerung eines weiteren digitalen Ausganges (9) des Prozesselementes. Dieser DA (9) steuert nun das ELR (17) an. Das ELR schließt den Stromkreis bestehend aus Stromquelle (10), Öffnerkontakt Relais K1 (16), Schließer des ELR (17) und Lampenfaden (20). Da der Relaiskontakt des K1 (16) bereits geschlossen ist, wird dieser geschont, was die Lebensdauer des Relais deutlich erhöht. Eine entsprechende Abfolge beim Löschen des Signalbegriffes dient ebenfalls zur Schonung des Relaiskontaktes. Die Lebensdauer des ELR (17) wird hingegen nicht durch die Anzahl der Schaltvorgänge beeinflusst.
  • Durch mindestens einen optischen Sensor (15) an der entsprechenden Signallampe wird nun erkannt, dass die Signalglühlampe korrekt leuchtet. Über einen digitalen Eingang (8) an der ET (7) wird diese Information an den sicheren Stellwerkskern (3) übermittelt. Damit ist die erwartete Reaktion (Änderung des Status des entsprechenden DE-Bits von 0 auf 1) zeitgerecht eingetreten. Der Stellwerkskern (3) kann auf logische Abfolge prüfen und auch das zeitgerechte Resultat der optischen Rückmeldung in einem definierten Zeitfenster auswerten. Nach positiver Prüfung kann die sichere Stellwerkslogik von einem korrekten Vorgang ausgehen und die bestimmungsgemäß arbeitende Signaloptik (20) in der zentralen Fahrstraßenlogik berücksichtigen.
  • Es ist anzunehmen, dass die nicht signaltechnisch sicheren Komponenten die unzeitige Anzeige eines Fahrt gebenden Signalbildes lediglich mit einer THR von>10 exp -4 pro Stunde beherrschen.
  • Die mögliche Fehlfunktion der Kommunikation, z.B. mit der Konsequenz dass ein anstehendes Grün nicht ausgeschaltet wird, ist zu überwachen. Ebenfalls die mögliche Fehlfunktion der ET.
  • Hierfür wird ein Watchdog (11) eingesetzt. Dieser muss in einem definierten Puls-/ Pausenverhältnis von einem digitalen Ausgang (9) der ET (7) angesteuert werden. Bleibt der Impuls in einem definierten Zeitfenster aus, so passiviert der Watchdog (11) die Stromersorgung (10). Der Impuls wird vom sicheren Stellwerkskern generiert.
  • Steht der zyklische Impuls beim Watchdog (11) an, so funktioniert die ET (7) und die Kommunikation zum sicheren Stellwerkskern (3).
  • Fällt die Kommunikation aus, wird der digitale Ausgang (9) der ET (7) nicht zyklisch zur Ausgabe des Watchdog-Impulses aufgefordert. Der Impuls bleibt aus, und der Watchdog (11) unterbricht die Stromversorgung (10).
  • Fällt die ET (7) aus, wird mit sehr hoher Wahrscheinlichkeit der zyklische Impuls und das erforderliche Puls-/ Pausenverhältnis, welches der Watchdog (11) erwartet, ausbleiben oder in einer anderen Pulsfolge anstehen. Der Watchdog (11) erkennt dies und unterbricht die Stromversorgung (10).
  • Der Watchdog (11) selbst schaltet über den Schließer eines zwangsgeführten Kleinrelais (12) die Versorgungsspannung der ET (7). Bleibt der Impuls aus, so fällt das zwangsgeführte Relais (12) ab, und die Versorgungsspannung wird unterbrochen. Der sichere Stellwerkskern (3) erkennt dies am Ausbleiben der Ethernet Telegramme.
  • Zur Prüfung des zwangsgeführten Relais (12) und der gesamten Watchdog-Funktion wird der Watchdog-Impuls vom sicheren Stellwerkskern (3) kurz ausgesetzt. Über den Öffnerkontakt des zwangsgeführten Relais (12) wird dann die Versorgungsspannung an einem DE der ET erwartet. Sollten die Relaiskontakte verschweißt sein oder ein sonstiger Fehler in der Kommunikationskette des Watchdog-Impulses vorliegen, so offenbart sich dieser im Prüfzyklus. Für die Dauer der Unterbrechung der Versorgungsspannung wird die ET-Versorgungsspannung hinter dem Watchdog Relais über einen Kondensator (13) gepuffert.
  • Durch weitere Kontakte des zwangsgeführten Relais können bedarfsweise die Signalspannungen fahrtgebender Begriffe ab- (18) und die Signalspannung haltgebender Begriffe angeschaltet (19) werden.
  • Durch die Prozesskette der sicheren Software des Stellwerkskerns (3) werden weitere Fehler eines jeden Elementes und auch Zweitfehler offenbart:
    • Defekt der ET (7):
  • Jede Aktion an einem Element (6) der Prozessebene (4) wird über die zugehörige ET (7) initiiert. Bei einem Defekt der ET wird das Absteuern des DA (9) für Relais 16 nicht ausgeführt. Also kommt auch keine Rückmeldung des anstehenden Potentials am ELR (17) an. Der sichere Stellwerkskern (3) erkennt den Fehler.
    • Defekt am DA (9) in der ET (7):
    1. 1. Durchlegiertes Relais (16):
      • Das Relais ist ständig angezogen. Die zugehörige Rückmeldung über DE (8) kommt nicht zustande. Der sichere Stellwerkskern (3) erkennt den Fehler.
    2. 2. Hochohmiges Relais (16):
      • Das Relais ist bereits im Grundzustand abgefallen. Die zugehörige Rückmeldung des Potentials am ELR (17) ist zur Unzeit da. Der sichere Stellwerkskern (3) erkennt den Fehler.
    Defekt am DE (8) in der ET (7):
  • Rückmeldungen kommen nicht oder zur Unzeit an. Der sichere Stellwerkskern (3) erkennt den Fehler.
  • Eine weitere Zweitfehleroffenbarung ergibt sich durch die nachfolgende, identische Prozedur mit dem ELR (17), und zusätzlich durch das Rücklesen des Lichtes:
    • Defekt bei der Rückmeldung des Lichts:
  • Lichtsensorik DE/ Sensor (15):
    1. 1. Durchlegiert:
      • Licht wird ständig detektiert. Die zugehörige Rückmeldung über DE (8) steht zur Unzeit an. Der sichere Stellwerkskern (3) erkennt den Fehler.
    2. 2. Hochohmig:
      • Licht wird nach Ansteuern des ELR (17) nicht detektiert. Der sichere Stellwerkskern (3) erkennt den Fehler.
  • Auch bei korrekt arbeitender Rückmeldung des Lichts können Fehler durch Fremdlichteinfall auftreten.
  • Ein Fremdlichteinfall wirkt sich nur als Zweitfehler in Verbindung mit dem Erstfehler "defekte Ansteuerung/Ausleuchtung" aus. Eine Auswirkung entsteht nur dann, wenn exakt in dem Zeitfenster, in dem die optische Rückmeldung einer Ansteuerung der Signaloptik (20) ansteht, Fremdlicht einfällt und trotz nicht vorhandener Signalausleuchtung für eine positive Rückmeldung durch den optischen Sensor (15) sorgt.
  • Steht bereits vorher Fremdlicht an, erkennt dies der sichere Stellwerkskern (3), da der optische Sensor (15) zur Unzeit eine positive Rückmeldung bringt.
  • Der Fall des Fremdlichteinfalls genau im Zeitfenster der Begriffsansteuerung ist durch geeignete Positionierung und Schutz des Sensors (15) vor Fremdlicht ausreichend beherrschbar.
  • Zur Fehleroffenbarung von Signaloptiken, die den Zustand über lange Zeit nicht wechseln, sind vom sicheren Stellwerkskern kurze Prüfzyklen durchzuführen, z.B. einmal pro 24h, wenn mehrere Gleisabschnitte vor dem Element frei sind.
    • Defekt in der Kommunikation:
  • Durch Mehrfachtelegramme (14) zur Auslösung einer Aktion ergibt sich eine hohe rechnerische Fehlerbeherrschung. Im sicheren Stellwerkskern (3) wird über eine Plausibilitätsprüfung ein Kommunikationsfehler offenbart. Bei Unplausibilität eines Telegramms passiviert der sichere Stellwerkskern das System.
  • Da bei defekter Kommunikation keine zeitgerechte Abarbeitung des Vorgangs erfolgen kann, ist eine zusätzliche Sicherung gegeben.
  • Darüber hinaus ist der Watchdog (11) in die Gesamtkette der Kommunikation eingebunden. Dadurch offenbaren sich Fehler in der Kommunikation zeitnah.
  • Berücksichtigt man die Mehrfachdialoge, die gegenläufige Ansteuerung von Relais (spannungslos durchgeschaltet) und ELR (angesteuert durchgeschaltet) in Kombination mit der dialogorientierten Prüfung des Verfahrens in der sicheren Stellwerkslogik, so sind Kommunikationsfehler mit einer Wahrscheinlichkeit, die SIL 4 entsprechen, auszuschließen.
    • Defekt im Lampensockel:
  • Ein Sockelschluss (Haupt und Nebenfaden brennen) wird über das Auslösen der Sicherung (22) und durch den DE (8) am ELR (17) detektiert.
    • Defekt am Hauptfaden:
  • Der optische Sensor (15) gibt nach Anschaltung keine positive Rückmeldung. Es kann eine Umschaltung auf den Nebenfaden ausgelöst werden. Zusätzlich erfolgt eine Information an den Fahrdienstleiter (Hauptfaden z.B. "Rot N1" defekt).
  • Durch zeitversetzte, unabhängige Prozeduren im sicheren Stellwerkskern (3), deren Plausibilitätsprüfungen und das zeitgerechte Prüfen der Lichtemission der adressierten Lichtquelle (20) in der sicheren Software entsteht Verfahrenssicherheit, auch unter Einbeziehung der nicht sicheren Komponenten der Prozessebene (4).
  • Bei einer sicherheitsgerichteten manuellen Bedienung des Signals in der Bedien- und Beobachtungsebene (1) anstelle der oben beschriebenen automatischen Ansteuerung ist es im Allgemeinen erforderlich, dass vor der Auslösung des Befehls die manuelle Bedienung explizit bestätigt wird. Hierfür ist in diesem Beispiel ein dezentrales Prozesselement KF (Kommando Freigabe nicht eingezeichnet) über einen separaten Kommunikationsweg in Verbindung mit einem Taster/Schlüsseltaster mit einem gedoppelten Kontakt am Bedienplatz-System installiert. Dadurch wird der KF Bediendialog mit dem sicheren Stellwerkskern abgebildet.
    • Bezugszeichenliste
    • 1
    Bedien- und Beobachtungsebene
    2
    Sicherungsebene
    3
    Sicheres Rechnersystem (sicherer Stellwerkskern)
    4
    Prozessebene
    5
    Ethernet
    6
    Prozesselement
    7
    Elektronische Trennleiste
    8
    Digitaler Eingang
    9
    Digitaler Ausgang
    10
    Stromversorgung
    11
    Watchdog
    12
    zwangsgeführtes Kleinrelais
    13
    Pufferkondensator
    14
    Mehrfachdialoge
    15
    Optischer Sensor
    16
    Zwangsgeführtes Relais K1
    17
    Elektronisches Relais (ELR)
    18
    Schalter für fahrtzeigende Begriffe
    19
    Schalter für Haltbegriffe (rot)
    20
    Signalglühlampe
    21
    Watchdog-Relais
    22
    Sicherung

Claims (12)

  1. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen, bestehend aus einer signaltechnisch sicheren Bedien- und Beobachtungsebene, einer Sicherungsebene und einer die anzusteuernden Elemente enthaltenden Prozessebene sowie Datenübertragungseinrichtungen zwischen den Komponenten dieser Ebenen, wobei entweder durch Bedienereingabe auf der Bedien- und Beobachtungsebene oder durch internen Programmablauf im sicheren Rechnersystem der Sicherungsebene Befehle zur Ansteuerung von mindestens einem Element der Prozessebene gegeben werden können, dadurch gekennzeichnet, dass die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit vom sicheren Rechnersystem der Sicherungsebene geleistet werden, wohingegen die Rechner bzw. sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen können.
  2. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach Anspruch 1, dadurch gekennzeichnet, dass
    - von dem sicheren Rechnersystem der Sicherungsebene die sicherheitsrelevante Ansteuerung von Elementen der Prozessebene ausgelöst wird, wenn
    i. bei Befehlen, die durch die Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben werden, die Befehle mit einer Datenübertragungseinrichtung an das sichere Rechnersystem in der Sicherungsebene übertragen, dort positiv auf Plausibilität überprüft und in neu codierter Form an die Bedien- und Beobachtungsebene zurück übertragen werden, die Software des mindestens einen Rechners der Bedien- und Beobachtungsebene den neu codierten Befehl des sicheren Rechnersystems ihrerseits positiv auf Plausibilität überprüft und das Ergebnis in final codierter Form erfolgreich an das sichere Rechnersystem in der Sicherungsebene überträgt, und wenn zusätzlich über einen separaten Kommunikationsweg des zugeordneten Prozesselementes für sicherheitsrelevante Bedienungen ein gedoppelter oder anti-valenter Kontakt und/oder zusätzlich codierte digitale Adressen eingelesen und positiv geprüft wurden.
    ii. durch internen Programmablauf im sicheren Rechnersystem der Sicherungsebene ein Befehl zur Ansteuerung von mindestens einem Element der Prozessebene erteilt wird,
    - die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher abgebrochen wird, sobald mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt.
  3. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass
    - der Auslösebefehl zur Ansteuerung von Elementen der Prozessebene über eine Datenübertragungseinrichtung vom sicheren Rechnersystem der Sicherungsebene an das passende Element der Prozessebene übertragen wird und dort zu mindestens einem Ansteuerungsereignis führt, dessen Ergebnis von einer geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet wird,
    - die Ergebnisse der Ansteuerungsereignisse über Mehrfachdialoge im sicheren Rechnersystem der Sicherungsebene auf die geforderte logische und zeitgerechte Abfolge hin geprüft werden,
    - nach positivem Prüfungsergebnis aller Ergebnisse der Ansteuerungsereignisse im sicheren Rechnersystem von einer erfolgreichen Elementansteuerung ausgegangen wird und dies offenbart wird,
    - bei negativem Prüfungsergebnis von mindestens einem Ergebnis der Ansteuerungsereignisse von einer fehlerhaften Elementansteuerung ausgegangen und dies offenbart wird.
  4. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das sichere Rechnersystem der Sicherungsebene aus einem modularen System für Industrie-Automatisierungsanlagen besteht.
  5. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die dezentralisierbare Prozessebene über ein Daten-Netzwerk mit der Sicherungsebene verbunden ist, wobei von logisch passiven Komponenten die übertragenen Daten auf digitale Ein-/ Ausgabebits verfahrensgesichert umgesetzt werden.
  6. Verfahren zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass durch von der Sicherungsebene getriggerte und überwachte Mechanismen zyklisch die Kommunikation in der gesamten Verfahrenskette sowie die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene geprüft wird, und von der Sicherungsebene mindestens die Stromversorgung zum zugehörigen Element der Prozessebene im Fehlerfall abgeschaltet und gegebenenfalls zusätzlich die Signalversorgungsspannung derart separiert wird, dass im Fehlerfall nur die zum Signalbegriff "Halt" gehörenden Elemente mit Spannung versorgt werden.
  7. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen, bestehend aus einer signaltechnisch sicheren Bedien- und Beobachtungsebene, einer Sicherungsebene und einer die anzusteuernden Elemente enthaltenden Prozessebene sowie Datenübertragungseinrichtungen zwischen den Komponenten dieser Ebenen, wobei entweder durch Bedienereingabe auf der Bedien- und Beobachtungsebene oder durch internen Programmablauf im sicheren Rechnersystem der Sicherungsebene Befehle zur Ansteuerung von mindestens einem Element der Prozessebene gegeben werden können, dadurch gekennzeichnet, dass die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit im sicheren Rechnersystem der Sicherungsebene erfolgen, wohingegen die Rechner bzw. sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen können.
  8. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach Anspruch 7, dadurch gekennzeichnet, dass
    - das sichere Rechnersystem der Sicherungsebene die sicherheitsrelevante Ansteuerung von Elementen der Prozessebene auslöst, wenn
    i. bei Befehlen, die durch die Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben werden, die Befehle mit einer Datenübertragungseinrichtung an das sichere Rechnersystem in der Sicherungsebene übertragen, dort positiv auf Plausibilität überprüft und in neu codierter Form an die Bedien- und Beobachtungsebene zurück übertragen werden, die Software des mindestens einen Rechners der Bedien- und Beobachtungsebene den neu codierten Befehl des sicheren Rechnersystems ihrerseits positiv auf Plausibilität überprüft und das Ergebnis in final codierter Form erfolgreich an das sichere Rechnersystem in der Sicherungsebene überträgt, und wenn zusätzlich über einen separaten Kommunikationsweg des zugeordneten Prozesselementes für sicherheitsrelevante Bedienungen ein gedoppelter oder antivalenter Kontakt und/oder zusätzlich codierte digitale Adressen eingelesen und positiv geprüft wurden.
    ii. durch internen Programmablauf im sicheren Rechnersystem der Sicherungsebene ein Befehl zur Ansteuerung von mindestens einem Element der Prozessebene erteilt wird,
    - die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher abgebrochen wird, sobald mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt.
  9. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass
    - der Auslösebefehl zur Ansteuerung von Elementen der Prozessebene über eine Datenübertragungseinrichtung vom sicheren Rechnersystem der Sicherungsebene an das passende Element der Prozessebene übertragen wird und dort zu mindestens einem Ansteuerungsereignis führt, dessen Ergebnis eine geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet,
    - das sichere Rechnersystem der Sicherungsebene die Ergebnisse der Ansteuerungsereignisse über Mehrfachdialoge auf die geforderte logische und zeitgerechte Abfolge hin prüft,
    - das sichere Rechnersystem nach positivem Prüfungsergebnis aller Ergebnisse der Ansteuerungsereignisse von einer erfolgreichen Elementansteuerung ausgeht und dies offenbart,
    - das sichere Rechnersystem bei negativem Prüfungsergebnis von mindestens einem Ergebnis der Ansteuerungsereignisse von einer fehlerhaften Elementansteuerung ausgeht und dies offenbart.
  10. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das sichere Rechnersystem der Sicherungsebene aus einer fehlersicheren Speicherprogrammierbaren Steuerung (SPS) besteht.
  11. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die dezentralisierbare Prozessebene über LAN (Local Area Network) mit der Sicherungsebene verbunden ist, wobei Standard-ET (elektronische Trennleiste) oder kleine SPS-Systeme als logisch passive Umsetzer der über Ethernet oder eine andere Datennetztechnologie übertragenen Daten auf digitale Ein-/ Ausgabebits verfahrensgesichert agieren.
  12. Vorrichtung zur signaltechnisch sicheren elektronischen Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen nach mindestens einem der vorigen Ansprüche, dadurch gekennzeichnet, dass von der Sicherungsebene getriggerte und überwachte Watchdogs zyklisch die Kommunikation in der gesamten Verfahrenskette sowie die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene prüfen und die Sicherungsebene mittels zwangsgeführter Kontakte des Watchdog-Relais mindestens die Stromversorgung zum zugehörigen Element der Prozessebene im Fehlerfall abschaltet und gegebenenfalls zusätzlich die Signalversorgungsspannung derart separiert, dass im Fehlerfall nur die zum Signalbegriff "Halt" gehörenden Elemente mit Spannung versorgt werden.
EP08011454A 2007-09-11 2008-06-24 Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebes von Schienenfahrzeugen Withdrawn EP2036800A3 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102007043053.3A DE102007043053B4 (de) 2007-09-11 2007-09-11 Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen

Publications (2)

Publication Number Publication Date
EP2036800A2 true EP2036800A2 (de) 2009-03-18
EP2036800A3 EP2036800A3 (de) 2009-09-30

Family

ID=39956131

Family Applications (1)

Application Number Title Priority Date Filing Date
EP08011454A Withdrawn EP2036800A3 (de) 2007-09-11 2008-06-24 Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebes von Schienenfahrzeugen

Country Status (2)

Country Link
EP (1) EP2036800A3 (de)
DE (1) DE102007043053B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014001235A3 (de) * 2012-06-29 2014-06-19 Siemens Aktiengesellschaft Verfahren und anordnung zum steuern einer technischen anlage

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009033037A1 (de) 2009-07-02 2011-01-05 Deutsche Bahn Ag Verfahren zur Datenübertragung sicherheitsrelevanter Daten von einem Controller an ein Prozesselement über ein Kommunikationsnetz
DE102013223101A1 (de) * 2013-11-13 2015-05-13 Siemens Aktiengesellschaft Bahnübergangssicherungssystem

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10053023C1 (de) 2000-10-13 2002-09-05 Siemens Ag Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE19606894C2 (de) 1996-02-13 2003-01-23 Siemens Ag Einrichtung zur signaltechnisch sicheren Steuerung und Überwachung elektrischer Verbraucher im Eisenbahnwesen
DE102005043305A1 (de) 2005-09-07 2007-03-15 Siemens Ag System-Architektur zur Steuerung und Überwachung von Komponenten einer Eisenbahnsicherungsanlage

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE59006247D1 (de) * 1990-09-07 1994-07-28 Siemens Ag Einrichtung zur Steuerung eines nach dem Bereichsrechnerprinzip organisierten elektronischen Stellwerks.
DE102005013194A1 (de) 2005-03-16 2006-09-21 Siemens Ag Bedienplatzsystem

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19606894C2 (de) 1996-02-13 2003-01-23 Siemens Ag Einrichtung zur signaltechnisch sicheren Steuerung und Überwachung elektrischer Verbraucher im Eisenbahnwesen
DE10053023C1 (de) 2000-10-13 2002-09-05 Siemens Ag Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
DE102005043305A1 (de) 2005-09-07 2007-03-15 Siemens Ag System-Architektur zur Steuerung und Überwachung von Komponenten einer Eisenbahnsicherungsanlage

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
"Die Bombardier-Lösung einer neuen ESTW-Bauform bei der DB AG", SIGNAL + DRAHT 5, 2005
"Sicherungs- und Telekommunikationstechnik", SIGNAL + DRAHT 3, 1997
"SIMIS D", SIGNAL + DRAHT 3, 2006
ANONYMOUS: "Systeme fur Signaltechnik", SCHEIDT UND BACHMAN, March 2006 (2006-03-01), pages 1 - 6, XP003024841
ANONYMOUS: "Systeme fur Signaltechnik", SCHEIDT UND BACHMAN, May 2007 (2007-05-01), pages 1 - 4, XP003024840
ANONYMOUS: "Systeme fur Signaltechnik", SCHEIDT UND BACHMAN, September 2005 (2005-09-01), pages 1 - 5, XP003024839
ANONYMOUS: "ZSB2000 SYSTEMBESCHREIBUNG LEIT-UND BEDIENSYSTEM", ZSB2000 SYSTEMBESCHREIBUNG LEIT-UND BEDIENSYSTEM, 28 September 2006 (2006-09-28), pages 1 - 27, XP003024842

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014001235A3 (de) * 2012-06-29 2014-06-19 Siemens Aktiengesellschaft Verfahren und anordnung zum steuern einer technischen anlage

Also Published As

Publication number Publication date
DE102007043053A1 (de) 2009-03-12
DE102007043053B4 (de) 2020-07-30
EP2036800A3 (de) 2009-09-30

Similar Documents

Publication Publication Date Title
EP1738382B2 (de) Sicherheitsschalteinrichtung für eine sicherheitsschaltung
EP1738383B2 (de) Meldegerät für eine sicherheitsschaltung
EP2720098B1 (de) Sicherheitssystem für eine Anlage umfassend einen Testsignalpfad mit Hin- und Rückleitungspfad
EP2720094B1 (de) Sicherheitssystem
DE102010025675B3 (de) Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage
DE3706325C2 (de)
DE102004020995C5 (de) Meldegerät für eine Sicherheitsschaltung
EP1642179B1 (de) Vorrichtung zum automatisierten steuern eines betriebsablaufs bei einer technischen anlage
DE2817089A1 (de) Gefahrenmeldeanlage
DE2951932C2 (de) Einrichtung zur signaltechnisch sicheren Steuerung und Überwachung
DE102009042368A1 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP0007579B1 (de) Schaltungsanordnung zur Überwachung des Zustands von Signalanlagen, insbesondere von Strassenverkehrs-Lichtsignalanlagen
EP2445771B1 (de) Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks
EP2691969A1 (de) Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
EP0192120B2 (de) Verfahren und Einrichtung zur Datenübertragung in der Fernwirktechnik
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
DE102007043053B4 (de) Signaltechnisch sichere elektronische Elementansteuerung zum Durchführen eines Fahrbetriebs von Schienenfahrzeugen
WO2015113994A1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
EP1202313A1 (de) Einrichtung in der Sicherheitstechnik zur Kontrolle der Schaltstellung mechanischer Schaltkontakte
EP2090492B1 (de) Verfahren zur Realisierung einer universellen Streckensicherungstechnik mittels industriell verfügbarer SPS-Komponenten
EP2236389B1 (de) Verfahren zum Absetzen von Störungsmeldungen von einer dezentralen Funktionseinheit in einem Sicherungssystem für schienengebundenen Verkehr
DE19813389A1 (de) Sicherheitsgerichtete Ansteuerschaltung
DE102006030911B3 (de) Schaltungsanordnung für eigenüberwachte Relaisfunktionseinheit
DE102010038459A1 (de) Sicherheitssystem
DE3919558C2 (de)

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

TPAC Observations filed by third parties

Free format text: ORIGINAL CODE: EPIDOSNTIPA

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

AKX Designation fees paid
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20100331

REG Reference to a national code

Ref country code: DE

Ref legal event code: 8566