EP2036800A2 - Electronic element control that is safe for signalling for carrying out drive operations for rail vehicles - Google Patents
Electronic element control that is safe for signalling for carrying out drive operations for rail vehicles Download PDFInfo
- Publication number
- EP2036800A2 EP2036800A2 EP08011454A EP08011454A EP2036800A2 EP 2036800 A2 EP2036800 A2 EP 2036800A2 EP 08011454 A EP08011454 A EP 08011454A EP 08011454 A EP08011454 A EP 08011454A EP 2036800 A2 EP2036800 A2 EP 2036800A2
- Authority
- EP
- European Patent Office
- Prior art keywords
- level
- computer system
- secure computer
- safe
- elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L21/00—Station blocking between signal boxes in one yard
- B61L21/04—Electrical locking and release of the route; Electrical repeat locks
Definitions
- the invention relates to a method and a device for fail-safe electronic control of elements that guide and secure the operation of rail vehicles.
- the elements of the outside installation of the signal box such as Signals, switches, level crossings, block facilities, etc. must be safely controlled and monitored by the interlocking logic signal, that is, the elements of the outdoor facilities are sufficiently likely to be arbitrarily assumed errors in the system in a state that the safety of Driving operation is not endangered.
- Signaling safety of positioning and monitoring devices is realized by means of safety-related components, whereby all components involved in the positioning and monitoring processes are checked accordingly.
- an automation platform which comprises a plurality of modules, in particular CPU, power supply, module for safety-related signal processing, module for non-safety-related signal processing, communication module, connected via special interfaces with safety-related and non-safety-relevant components of the railway safety system.
- the automation platform is a programmable logic controller (PLC).
- PLC programmable logic controller
- the predetermined software structure of the automation platform is usually arranged in such a modular or hierarchical manner that the logistics of the railway safety system, in particular the interlocking logistics, can be organized in function-specific software programs.
- each load circuit at least two in series, regardless Having controllable each other, not technically safe switch for opening / closing of the circuit has.
- the two switches can be controlled by independent computer channels of a secure computer system.
- Each wire of the circuit contains one of the two switches.
- At least one detector is provided for detecting a test voltage derived from a feed or test current flowing via the consumer or at least indirectly applied by the consumer and dependent on the operating state of the consumer. An inadequately closed or opened switch changes the voltage in a marked manner compared to the test voltage which is established when the switch position is correct.
- the detector output signals are evaluated by the two computer channels of the secure computer system, and the computer system detects an untimely open / closed at least one of the switches from the occurrence of not expected at this time detector output signals.
- Dependencies are stored in one or more non-signal-secure commercial computers.
- the signal-technically secure computer generates from the commands and messages supplied to it processing jobs that are transmitted to the or the commercial computer and there at least twice processed independently.
- the resulting results or intermediate results are transmitted back to the secure computer where they are signal-technically tested for consistency.
- the system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a backup level and a process level.
- a fully graphic system based on market standards represents the operating and monitoring level.
- the backup level is formed by a secure computer system.
- the components of the various levels communicate via corresponding data transmission devices.
- the safety-related checks and algorithms for ensuring process security are performed exclusively by the secure computer system of the security level, whereas the computers or other components of the operating and monitoring level as well as the process level can meet lower security requirements.
- the method is based on safety technology on a variant of the known process assurance, wherein according to the invention, the backup procedures, although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core.
- the method allows for low cost, industry standard components that meet a lower level of security.
- a major advantage of the method is that the high cost of secure software design, secure programming and testing, and secure hardware is only required at one point in the secure interlocking core.
- Claim 2 describes how the method reliably triggers commands for controlling elements of the process level. A distinction must be made between the way in which commands are issued to the process level.
- commands When commands are entered by the operator input at the operating and monitoring level, they are transmitted with a data transmission device to the secure computer system in the security level, where they are checked for plausibility. Plausible commands are re-coded and transmitted back to the control and monitoring levels. In the at least one computer of the operating and monitoring level of the newly coded command of the secure computer system is also checked for plausibility and the Transfer the result of the plausibility check in the final encoded form to the secure computer system in the backup level.
- the command to control the element can be triggered by the secure computer.
- the control is triggered directly by the secure computer system of the security level.
- Claim 3 describes how the activation event generated by the command triggered in accordance with claim 2 is reliably monitored by signal technology.
- the command for triggering an element of the process level After the command for triggering an element of the process level has been triggered by the secure computer system of the security level, it is transmitted via a data transmission device to the appropriate element in the process level.
- the effect of this command results in at least one control event, the result of which is monitored by suitable sensors and reported back to the secure computer system in the backup level.
- the results of each triggering event must be checked several times for the required logical and timely sequence. Since only one secure computer system is available in the safe interlocking core, all tests must be carried out there as well. This is realized by multiple, but time-delayed checks in the single secure computer system, so that for each result multiple dialogues arise, which are led to the final result.
- an advantageous embodiment of the invention is that the secure computer system of the security level consists of a modular system for industrial automation systems. This eliminates the previously required costly special developments for railway operations.
- a decentralizable process level is described, which is connected via a data network with the backup level.
- logically passive components are used at the process level, which convert the transmitted data into digital input / output bits in a process-protected manner.
- the decentralized process element converts only network telegrams of the safe interlocking core into digital outputs and reports changes to the digital inputs event-controlled or, on request, from the safe interlocking core, also via the communications network.
- mechanisms triggered and monitored by the security level must cyclically check the communication in the process chain as well as the function of the elements in the process level. In the event of an error, at least the power supply to the associated element of the process level is reliably switched off by the fuse level.
- the signal supply voltage is additionally separated in such a way that in the event of a fault only the elements belonging to the signal term "stop" are supplied with voltage.
- the system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a backup level and a process level.
- a fully graphic system based on market standards represents the operating and monitoring level.
- the backup level is formed by a secure computer system.
- the components of the various levels communicate via corresponding data transmission devices.
- a secure computer system is only in the backup level. It performs the safety-related checks and algorithms to ensure process security, whereas the computers or other components of the operating and monitoring level as well as the process level meet lower safety requirements.
- the device is based on safety technology on a variant of the known process assurance, wherein according to the invention, the backup procedures, although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core.
- the backup procedures although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core.
- all components outside the safe interlocking core that is, both for communication and for the process level, are industry standard components that satisfy a lower level of security.
- a data communication device transmits the command to the secure computer system at the backup level.
- the secure computer system checks the command for plausibility. Plausible commands are re-coded and transmitted back to the operating and monitoring level.
- the at least one computer of the operating and monitoring level of the newly coded command of the secure computer system is also checked for plausibility and transfer the result of the plausibility check in final coded form to the secure computer system in the backup level.
- a separate communication path ensures that the operation is explicitly desired in this form.
- a doubled or non-equivalent contact must be concluded by the operator, and / or additionally coded digital addresses are read in and checked.
- the secure computer triggers the command to control the element.
- the secure computer system aborts the control of elements of the process level with a corresponding error message.
- Claim 9 describes how the secure computer system reliably monitors the activation event generated by the command triggered in accordance with claim 8.
- the command for triggering an element of the process level After the command for triggering an element of the process level has been triggered by the secure computer system of the security level, it is transmitted via a data transmission device to the appropriate element in the process level.
- the effect of this command results in at least one control event, the result of which is monitored by suitable sensors and reported back to the secure computer system in the backup level.
- suitable sensors for example, the feedback from optical sensors in the connection of light signals or the use of magnetic sensors, such as. industrial beros for monitoring the mechanically correct circulation of a switch in question.
- the secure computer system After a positive check of all results for the triggering events, the secure computer system starts from a successful element control and reveals this. If the examination of at least one result of the triggering events contradicts the required logical and timely sequence, then the secure computer system assumes and also reveals a faulty element control.
- an advantageous embodiment of the invention is that the secure computer system of the backup level consists of a fail-safe programmable logic controller (PLC).
- PLC fail-safe programmable logic controller
- the logic implemented on the PLC is programmed according to DIN EN 61131 and is therefore easy to port to other PLC systems.
- a decentralizable process level is described, which is connected via a LAN (Local Area Network) with the backup level.
- standard ET electronic disconnect bar
- small PLC systems act as logically passive converters for the data transmitted via Ethernet or another standardized data network technology, so that there are digital input / output bits behind the converters.
- the process level is the multiplier for the LST, the main cost and LCC share.
- ETs are standard products of industrial automation and are offered with a similar range of services by many companies.
- consistent decentralization places standard components close to the target object and controls them via LAN connections (copper cables or fiber-optic cables) from the safe interlocking core. This results in very short cable lengths and protected cable routes within the outdoor area. Thus, significantly lower induced voltages for safety and protection considerations on the cables are to be assumed.
- watchdogs triggered and monitored by the protection level cyclically check the communication in the process chain and the function of the elements in the process level.
- the fuse level safely disconnects at least the power supply to the associated element of the process level.
- the signal supply voltage is additionally separated in such a way that in the event of an error only the elements belonging to the signal term "stop" are supplied with voltage.
- the system architecture of an electronic interlocking for carrying out the driving operation of rail vehicles is divided into three levels of operation / monitoring, the fuse and the process elements
- the fuse level (2) is formed by a secure computer system that can be used as a fail-safe PLC, such as a PLC.
- a SIMATIC S7-F is formed.
- process level (4) are the elements to be controlled outdoor facilities and other signaling devices, such as neighboring interlocking, level crossings, etc. For reasons of clarity, only the process element "signal" is named. The other process elements of the process level are only indicated by the dashed representation of the Ethernet.
- the data is exchanged, for example, in an Ethernet LAN (5) between the security level (2) and the decentrally placed elements (6) of the process level (4).
- This results in very short cable lengths and protected cable routes within the outdoor area.
- significantly lower induced voltages are assumed on the cables.
- Cable faults can be easily revealed, since only small ohmic resistances are to be assumed for the short cable paths.
- Ground faults are only relevant as double faults due to galvanic isolation of the supply voltage and are revealed in terms of hardware and process safety.
- simple earth faults can be detected by earth fault detectors.
- ET Electronic interfaces
- the interlocking core (3) triggers a data telegram in the first PLC cycle which resets a digital output (DA, 9) from the ET (7) of the addressed signal process element.
- This reset controls a positively driven relay K1 (16).
- K1 (16) has a normally closed contact in the circuit of the signal lamp.
- the potential of the signal lamp voltage is passed to the normally open contact of the electronic relay (ELR, 17).
- This potential is now detected by a digital input (8) of the process element and transmitted via the ET (7) via network (5) to the safe PLC (3).
- the safe PLC (3) expects just this reaction (change of the status of the corresponding DE bits from 0 to 1) for triggering the next process step, namely the control of another digital output (9) of the process element.
- This DA (9) now drives the ELR (17).
- the ELR closes the circuit consisting of current source (10), NC contact relay K1 (16), NO contact of the ELR (17) and lamp filament (20). Since the relay contact of the K1 (16) is already closed, this is conserved, which significantly increases the life of the relay. A corresponding sequence when deleting the signal term also serves to protect the relay contact. The lifetime of the ELR (17), however, is not affected by the number of switching operations.
- the safe interlocking core (3) can check for logical sequence and also evaluate the timely result of the optical feedback in a defined time window. After a positive check, the safe interlocking logic can proceed from a correct procedure and take into account the signal optics (20) operating in accordance with the regulations in the central lane logic.
- non-signal-safe components only control the untimely display of a driving signal image with a THR of> 10 exp -4 per hour.
- a watchdog (11) is used. This must be controlled in a defined pulse / pause ratio by a digital output (9) of the ET (7). If the pulse remains off in a defined time window, the watchdog (11) passivates the power supply (10). The impulse is generated by the safe interlocking core.
- the digital output (9) of the ET (7) is not cyclically requested to output the watchdog pulse.
- the pulse remains off, and the watchdog (11) interrupts the power supply (10).
- the cyclic pulse and the required pulse / pause ratio, which the watchdog (11) expects, are very likely absent or pending in another pulse sequence.
- the watchdog (11) detects this and interrupts the power supply (10).
- the watchdog (11) itself switches the supply voltage of the ET (7) via the closer of a positively driven small relay (12). If the pulse remains off, the positively driven relay (12) drops out, and the supply voltage is interrupted.
- the safe interlocking core (3) detects this by the absence of the Ethernet telegrams.
- the watchdog pulse from the safe interlocking core (3) is briefly exposed.
- the supply voltage at a DE of the ET is then expected via the NC contact of the positively driven relay (12). If the relay contacts are welded or there is another error in the communication chain of the watchdog pulse, this reveals itself in the test cycle.
- the ET supply voltage is buffered behind the watchdog relay via a capacitor (13).
- Each action on an element (6) of the process level (4) is initiated via the associated ET (7).
- the deactivation of the DA (9) for relay 16 is not carried out. So also no feedback of the upcoming potential at the ELR (17) arrives.
- the safe interlocking core (3) detects the error.
- the safe interlocking core (3) detects the error.
- control is sufficiently controllable by suitable positioning and protection of the sensor (15) from extraneous light.
- the watchdog (11) is integrated into the overall chain of communication. As a result, errors in communication reveal promptly.
- a base connection (burn main and secondary thread) is detected by triggering the fuse (22) and by the DE (8) on the ELR (17).
- the optical sensor gives no positive feedback after connection. It can be triggered a switch to the secondary thread. In addition, information is sent to the dispatcher (main thread, for example, "red N1" is defective).
- a decentralized process element KF (release command not shown) is installed on the operator station system via a separate communication path in conjunction with a pushbutton / key switch with a duplicated contact. This maps the KF operator dialog with the safe interlocking core.
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Description
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur signaltechnisch sicheren elektronischen Ansteuerung von Elementen, die den Fahrbetrieb von Schienenfahrzeugen leiten und sichern.The invention relates to a method and a device for fail-safe electronic control of elements that guide and secure the operation of rail vehicles.
Der Fahrbetrieb von Schienenfahrzeugen wird bei technisch gesicherten Strecken zentral von einem für den entsprechenden Infrastrukturbereich zuständigen Stellwerk geleitet und gesichert.In the case of technically secured routes, rail vehicle operation is centrally managed and secured by a signal box responsible for the relevant infrastructure area.
Die Elemente der Außenanlage des Stellwerks, wie z.B. Signale, Weichen, Bahnübergänge, Blockeinrichtungen etc. müssen von der Stellwerkslogik dabei signaltechnisch sicher gesteuert und überwacht werden, das heißt, dass sich die Elemente der Außenanlage mit hinreichend großer Wahrscheinlichkeit auch bei beliebig anzunehmenden Fehlern im System in einem Zustand befinden, der die Sicherheit des Fahrbetriebs nicht gefährdet.The elements of the outside installation of the signal box, such as Signals, switches, level crossings, block facilities, etc. must be safely controlled and monitored by the interlocking logic signal, that is, the elements of the outdoor facilities are sufficiently likely to be arbitrarily assumed errors in the system in a state that the safety of Driving operation is not endangered.
Die signaltechnische Sicherheit von Stell- und Überwachungseinrichtungen wird mithilfe sicherungstechnischer Bauelemente realisiert, wobei alle in die Stellund Überwachungsvorgänge eingebundenen Komponenten entsprechend überprüft werden.Signaling safety of positioning and monitoring devices is realized by means of safety-related components, whereby all components involved in the positioning and monitoring processes are checked accordingly.
Eine vergleichende Übersicht der bei verschiedenen Bahnverwaltungen im Einsatz befindlichen unterschiedlichen elektronischen Stellwerkstypen hinsichtlich der verwendeten Rechnerkomponenten, Systemstrukturen, Sicherheitskonzepte sowie Gestaltung von Hard- und Software ist in dem Artikel "Sicherungs- undA comparative overview of the different types of electronic interlocking systems used by various railway administrations with regard to the computer components, system structures, security concepts and design of hardware and software used is described in the article "Sicherungs- und
Telekommunikationstechnik" in Signal + Draht 3, 1997, beschrieben. Die im Einsatz befindlichen Systeme unterscheiden sich unter anderem hinsichtlich Ein- oder Zweikanaligkeit, sicherer beziehungsweise nicht sicherer Bediensysteme, Betriebskonzept und Kosten.Telecommunications technology "in Signal + Draht 3, 1997. The systems in use differ, among other things, with regard to single or dual-channel, safe or non-secure operating systems, operating concept and costs.
So ist insbesondere in deutschen ESTW eine sichere Anzeige und Bedienung erforderlich.Thus, in particular in German ESTW a secure display and operation is required.
Beispiele für die Systemarchitektur in deutschen ESTW finden sich in den Übersichtsartikeln "SIMIS D", in Signal + Draht 3, 2006 sowie "Die Bombardier-Lösung einer neuen ESTW-Bauform bei der DB AG", in Signal + Draht 5, 2005.Examples of the system architecture in German ESTW can be found in the overview articles "SIMIS D", in Signal + Draht 3, 2006 as well as "The Bombardier solution of a new ESTW design at DB AG", in Signal + Draht 5, 2005.
Alle etablierten, vornehmlich proprietären elektronischen LST-Konzepte basieren auf "Verfahrenssicherungen". Zum Beispiel besteht ein klassisches 2-von-3-Prozessorsystem aus marktüblichen elektronischen Bauteilen, wie beispielsweise dem Intel Pentium 1. Eine in den Standardprozessoren programmierte spezifische Applikation bildet die Sicherheitsmechanismen ab. Die Ergebnisse der Prüf-Applikationen werden auf aus Standard-Halbleiterbauelementen entworfenen Hardwarepartitionen verglichen und im Fehlerfall Sicherheitsabschaltungen ausgelöst.All established, predominantly proprietary electronic LST concepts are based on "process backups". For example, there is a classic 2-by-3 processor system from commercially available electronic components, such as the Intel Pentium 1. A programmed in the standard processors specific application maps the security mechanisms. The results of the test applications are compared to hardware partitions designed from standard semiconductor components and safety shutdowns are triggered in the event of a fault.
Teilweise werden die Grundsätze der Verfahrenssicherung bereits heute in der Eisenbahnsicherungstechnik angewendet.In some cases, the principles of process safety are already being applied in railway safety technology today.
Für sicherheitsgerichtete Bedienungen in einem Stellwerk ist eine Verfahrenssicherung von Quelle zu Senke implementiert. Die von der DB AG vorgeschriebene firmenneutrale SBS-Schnittstelle definiert entsprechende Dialoge. Über korrespondierende Prozeduren im sicheren Stellwerkskern und im Bedienplatz wird für den Fall einer sicherheitskritischen Bedienung eine Fehlfunktion der Schnittstelle und der Anzeige mit ausreichender Wahrscheinlichkeit ausgeschlossen.For safety-related operations in a signal box, process assurance from source to sink is implemented. The company-neutral SBS interface prescribed by DB AG defines appropriate dialogs. Corresponding procedures in the safe interlocking core and in the operating station preclude a malfunction of the interface and the display with sufficient probability in the event of safety-critical operation.
Um die hohen Sicherheitsanforderungen auch bei Bedienung und Anzeige zu erfüllen, war man allerdings bisher dazu gezwungen, nicht nur im Stellwerkskern sichere Rechnertechnik einzusetzen, sondern auch in den Bereichen der Elementsteuerung und Bedienung/Anzeige. Damit befinden sich an beiden Enden des Verfahrens, also bei Quelle und Senke, sichere und damit kostenintensive Komponenten.In order to meet the high safety requirements also in operation and display, but until now it was forced to use secure computer technology not only in the interlocking core, but also in the areas of element control and operation / display. Thus, at both ends of the process, ie at source and sink, there are safe and therefore cost-intensive components.
In
Aus
Aus
Abhängigkeiten sind in einem oder mehreren nicht signaltechnisch sicheren kommerziellen Rechnern hinterlegt. Dabei erzeugt der signaltechnisch sichere Rechner aus den ihm zugeführten Kommandos und Meldungen Verarbeitungsaufträge, die an den oder die kommerziellen Rechner übermittelt werden und dort mindestens zweimal unabhängig voneinander abgearbeitet werden. Die dabei erarbeiteten Ergebnisse oder Zwischenergebnisse werden an den sicheren Rechner zurück übermittelt und dort signaltechnisch sicher auf inhaltliche Übereinstimmung geprüft.Dependencies are stored in one or more non-signal-secure commercial computers. In this case, the signal-technically secure computer generates from the commands and messages supplied to it processing jobs that are transmitted to the or the commercial computer and there at least twice processed independently. The resulting results or intermediate results are transmitted back to the secure computer where they are signal-technically tested for consistency.
Gemeinsamer Nachteil des oben beschriebenen Stands der Technik ist die immer noch recht aufwändige und damit kostspielige Systemarchitektur; auch bezogen auf die in Deutschland geforderte sichere Bedienung und Anzeige, die technisch umgesetzt werden muss.Common disadvantage of the above-described prior art is the still quite expensive and therefore expensive system architecture; also related on the required in Germany safe operation and display, which must be technically implemented.
Bei den etablierten Lösungen sorgen spezielle, herstellerspezifische "Stellteile" für die Anpassung an die bahnspezifischen Gegebenheiten und die Isolation.In the case of the established solutions, special, manufacturer-specific "control elements" ensure adaptation to the railway-specific conditions and the insulation.
Durch lange, sternförmige Kupferverbindungen zu den Außenelementen müssen hohe Spannungsfestigkeit und verschiedene Kabelfehler durch die Stellteile beherrscht werden. Dies führt klassischerweise zu aufwändigen bahnspezifischen Sonderentwicklungen.Long star-shaped copper connections to the outer elements mean that high voltage resistance and various cable faults must be controlled by the control elements. This traditionally leads to elaborate railway-specific special developments.
Traditionell wird bei den Stellteilkonzepten bisher nicht das gewünschte Ereignis ausgewertet. Beim Signal wird z. B. der Lampenstrom geprüft und daraus gefolgert, ob die Signallampe mit ausreichender Wahrscheinlichkeit leuchtet. Bei Weichen geht man von einer formschlüssigen Verbindung der Stellstangen und der Lager- und Übertragungsteile mit den Weichenzungen oder dem Herzstück aus und wertet entsprechende Schalterpakete (meistens im Weichenantriebsgehäuse) für die Rückmeldung des Zustandes der Weiche aus. Die verwendeten 4-Draht Schaltungen reduzieren und verkomplizieren dazu noch die Anzahl der Rückmeldungen und deren sicherungstechnische Plausibilitätsprüfungen.Traditionally, the desired event has not yet been evaluated in the control concepts. When signal z. B. the lamp current tested and concluded from whether the signal lamp is lit with sufficient probability. In points one starts from a positive connection of the adjusting rods and the bearing and transmission parts with the switch blades or the heart and evaluates appropriate switch packages (mostly in the point drive housing) for the feedback of the state of the switch. The 4-wire circuits used reduce and complicate the number of responses and their fuse-related plausibility checks.
Es ist somit Aufgabe der Erfindung, unter Verwendung industrieller Standards für Leit- und Sicherungstechnik in einem elektronischen Stellwerk die elektronische Ansteuerung von Elementen, die den Fahrbetrieb von Schienenfahrzeugen leiten und sichern zu realisieren und dabei möglichst effizient und kostengünstig den hohen Anforderungen hinsichtlich Sicherheit und Funktion im Netz der Deutschen Bahn AG zu genügen.It is therefore an object of the invention to realize the use of industrial standards for control and safety technology in an electronic interlocking the electronic control of elements that guide the driving of rail vehicles and secure and while the most efficient and cost-effective the high demands in terms of safety and function Network of Deutsche Bahn AG.
Hierbei ist auch die geforderte sichere Anzeige und Bedienung zu gewährleisten.In this case, the required safe display and operation is to ensure.
Diese Aufgabe wird gemäß den Merkmalen des Oberbegriffs des Patentanspruchs 1 gelöst.This object is achieved according to the features of the preamble of
Die Systemarchitektur orientiert sich am bewährten industriellen Ebenenmodell, bestehend aus einer Bedien- und Beobachtungsebene, einer Sicherungsebene und einer Prozessebene.The system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a backup level and a process level.
Erfindungsgemäß stellt ein vollgrafisches, auf Marktstandards basierendes System die Bedien- und Beobachtungsebene dar.According to the invention, a fully graphic system based on market standards represents the operating and monitoring level.
Die Sicherungsebene wird von einem sicheren Rechnersystem gebildet.The backup level is formed by a secure computer system.
In der Prozessebene befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Blockeinrichtungen, Bahnübergänge, etc.In the process level are the elements of the outdoor facility to be controlled as well as other signaling equipment, such as neighboring signal boxes, block facilities, railroad crossings, etc.
Die Komponenten der verschiedenen Ebenen kommunizieren über entsprechende Datenübertragungseinrichtungen.The components of the various levels communicate via corresponding data transmission devices.
Die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit werden ausschließlich vom sicheren Rechnersystem der Sicherungsebene geleistet, wohingegen die Rechner beziehungsweise sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen können.The safety-related checks and algorithms for ensuring process security are performed exclusively by the secure computer system of the security level, whereas the computers or other components of the operating and monitoring level as well as the process level can meet lower security requirements.
Das Verfahren basiert sicherheitstechnisch auf einer Variante der bekannten Verfahrenssicherung, wobei erfindungsgemäß die Sicherungsprozeduren zwar jeweils konsequent an den Endpunkten (Quelle und Senke) der Aktionen greifen, die Zwischen- und Endergebnisse jedoch nur im sicheren Stellwerkskern geprüft werden. Somit lässt das Verfahren für alle Komponenten außerhalb des sicheren Stellwerkskerns, das heißt sowohl für die Kommunikation als auch für die Prozessebene, kostengünstige Komponenten nach Industriestandard zu, die einem geringeren Sicherheitslevel genügen.The method is based on safety technology on a variant of the known process assurance, wherein according to the invention, the backup procedures, although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core. Thus, for all components outside of the secure interlocking core, that is, both the communication and the process level, the method allows for low cost, industry standard components that meet a lower level of security.
Ein großer Vorteil des Verfahrens ist, dass der hohe Aufwand für sicheres Software-Design, sichere Programmierung und Prüfung sowie sichere Hardware nur an der einen Stelle im sicheren Stellwerkskern erforderlich ist.A major advantage of the method is that the high cost of secure software design, secure programming and testing, and secure hardware is only required at one point in the secure interlocking core.
Durch Anwendung der CENELEC-Normen ist eine quantitative Betrachtung des Fehlverhaltens einzelner Module, Programme und Datenverbindungen möglich, so dass sich unterschiedliche Arten der Verfahrenssicherung hinsichtlich der geforderten SIL berechnen lassen.By applying the CENELEC standards, a quantitative analysis of the malfunction of individual modules, programs and data connections is possible, so that different types of process assurance can be calculated with regard to the required SIL.
In Anspruch 2 ist beschrieben, wie von dem Verfahren Befehle zur Ansteuerung von Elementen der Prozessebene sicher ausgelöst werden. Dabei muss unterschieden werden, auf welchem Weg Befehle an die Prozessebene erteilt werden.
Wenn Befehle von der Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben werden, so werden diese mit einer Datenübertragungseinrichtung an das sichere Rechnersystem in der Sicherungsebene übertragen, und dort auf Plausibilität überprüft. Plausible Befehle werden neu codiert, und an die Bedien- und Beobachtungsebene zurück übertragen. In dem mindestens einen Rechner der Bedien- und Beobachtungsebene wird der neu codierte Befehl des sicheren Rechnersystems ebenfalls auf Plausibilität überprüft und das Ergebnis der Plausibilitätsprüfung in final codierter Form an das sichere Rechnersystem in der Sicherungsebene übertragen.When commands are entered by the operator input at the operating and monitoring level, they are transmitted with a data transmission device to the secure computer system in the security level, where they are checked for plausibility. Plausible commands are re-coded and transmitted back to the control and monitoring levels. In the at least one computer of the operating and monitoring level of the newly coded command of the secure computer system is also checked for plausibility and the Transfer the result of the plausibility check in the final encoded form to the secure computer system in the backup level.
Zusätzlich muss im Allgemeinen bei solchen sicherheitsrelevanten manuellen Bedieneingaben über einen separaten Kommunikationsweg gewährleistet werden, dass die Bedienung in dieser Form explizit gewünscht ist. Hierfür wird insbesondere ein gedoppelter oder antivalenter Kontakt geschlossen, und/oder werden zusätzlich codierte digitale Adressen eingelesen und geprüft.In addition, it must generally be ensured with such safety-relevant manual operating inputs via a separate communication path that the operation is explicitly desired in this form. For this purpose, in particular a doubled or antivalent contact is closed, and / or additionally encoded digital addresses are read in and checked.
Sind alle diese Bedingungen erfüllt, so ist mit ausreichender Sicherheit davon auszugehen, dass eine Elementansteuerung von der Bedien- und Beobachtungsebene einerseits tatsächlich gewünscht ist und andererseits der Befehl plausibel ist sowie die Kommunikation mit dem Element und die richtige Adressierung des Elementes in der Prozessebene einwandfrei funktioniert. Dementsprechend kann der Befehl zur Ansteuerung des Elements vom sicheren Rechner ausgelöst werden.If all these conditions are met, it can be assumed with sufficient certainty that an element control from the operating and monitoring level is actually desired and the command is plausible and the communication with the element and the correct addressing of the element in the process level are working properly , Accordingly, the command to control the element can be triggered by the secure computer.
Sobald jedoch mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt, muss die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher abgebrochen werden.However, as soon as at least one of the abovementioned plausibility checks of the commands used in at least one of the participating computers fails, the control of elements of the process level must be safely aborted with a corresponding error message.
Werden die Befehle zur Ansteuerung von mindestens einem Element der Prozessebene aufgrund des internen Programmablaufs im sicheren Rechnersystem der Sicherungsebene erteilt, so wird von dem sicheren Rechnersystem der Sicherungsebene die Ansteuerung direkt ausgelöst.If the commands for controlling at least one element of the process level are issued in the secure computer system of the security level due to the internal program sequence, the control is triggered directly by the secure computer system of the security level.
In Anspruch 3 ist beschrieben, wie das von dem gemäß Anspruch 2 ausgelösten Befehl erzeugte Ansteuerungsereignis signaltechnisch sicher überwacht wird.
Nachdem der Befehl zur Ansteuerung eines Elements der Prozessebene vom sicheren Rechnersystem der Sicherungsebene ausgelöst wurde, wird er über eine Datenübertragungseinrichtung an das passende Element in der Prozessebene übertragen. Die Wirkung dieses Befehls führt zu mindestens einem Ansteuerungsereignis, dessen Ergebnis von einer geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet wird. Die Ergebnisse eines jeden Ansteuerungsereignisses müssen mehrfach hinsichtlich der geforderten logischen und zeitgerechten Abfolge überprüft werden. Da nur ein sicheres Rechnersystem im sicheren Stellwerkskern zur Verfügung steht, müssen alle Prüfungen auch dort erfolgen. Dies wird durch mehrfache, aber zeitversetzte Prüfungen im einzigen sicheren Rechnersystem realisiert, so dass für jedes Ergebnis Mehrfachdialoge entstehen, die bis hin zum Endergebnis geführt werden. Nach positiver Prüfung aller Ergebnisse zu den Ansteuerungsereignissen wird im sicheren Rechnersystem von einer erfolgreichen Elementansteuerung ausgegangen und dies offenbart. Ergibt die Prüfung von mindestens einem Ergebnis der Ansteuerungsereignisse in mindestens einem der Mehrfachdialoge einen Widerspruch zur geforderten logischen und zeitgerechten Abfolge, so geht das sichere Rechnersystem von einer fehlerhaften Elementansteuerung aus und offenbart auch dies.After the command for triggering an element of the process level has been triggered by the secure computer system of the security level, it is transmitted via a data transmission device to the appropriate element in the process level. The effect of this command results in at least one control event, the result of which is monitored by suitable sensors and reported back to the secure computer system in the backup level. The results of each triggering event must be checked several times for the required logical and timely sequence. Since only one secure computer system is available in the safe interlocking core, all tests must be carried out there as well. This is realized by multiple, but time-delayed checks in the single secure computer system, so that for each result multiple dialogues arise, which are led to the final result. After a positive check of all results on the activation events, a successful element activation is assumed in the secure computer system and this is disclosed. If the examination of at least one result of the activation events in at least one of the multiple dialogs contradicts the required logical and timely sequence, then the secure computer system assumes and also reveals a faulty element activation.
Die mehrfache, zeitversetzte Prüfung der unterschiedlichen Ereignisse an nur einer Stelle im sicheren Stellwerkskern erfordert eine leistungsfähige Rechnerarchitektur. Sie muss sicherstellen, dass der Zeitaufwand für die je nach gewünschtem Sicherheitslevel erforderlichen Prüfungen und das anschließende Stellen der Elemente der Prozessebene nicht mehr Zeit aufgewendet wird, als die von der Zulassungsbehörde geforderte Maximalzeit, innerhalb der der Signalbegriff "Halt" gezeigt werden muss (Haltfallzeit).The multiple, time-staggered examination of the different events at only one point in the safe interlocking core requires a powerful computer architecture. It must ensure that the time required for the tests required according to the desired safety level and the subsequent placement of the elements of the process level does not take more time than the maximum time required by the approval authority, within which the signal term "stop" must be shown (holding time) ,
Die heute zur Verfügung stehenden, erprobten Prozessoren und Kommunikationssysteme machen dies möglich.Today's proven, proven processors and communication systems make this possible.
Gemäß Anspruch 4 besteht eine vorteilhafte Ausgestaltung der Erfindung darin, dass das sichere Rechnersystem der Sicherungsebene aus einem modularen System für Industrie-Automatisierungsanlagen besteht. Somit entfallen die bisher erforderlichen aufwändigen Sonderentwicklungen für den Bahnbetrieb.According to claim 4, an advantageous embodiment of the invention is that the secure computer system of the security level consists of a modular system for industrial automation systems. This eliminates the previously required costly special developments for railway operations.
In Anspruch 5 ist eine dezentralisierbare Prozessebene beschrieben, die über ein Datennetzwerk mit der Sicherungsebene verbunden ist. Hierbei werden auf der Prozessebene logisch passive Komponenten eingesetzt, die die übertragenen Daten auf digitale Ein-/Ausgabe-Bits verfahrensgesichert umsetzen. Grundsätzlich setzt das dezentrale Prozesselement lediglich Netzwerk-Telegramme des sicheren Stellwerkskerns in digitale Ausgaben um und meldet Änderungen der digitalen Eingänge ereignisgesteuert oder auf Anfrage vom sicheren Stellwerkskern, ebenfalls über das Kommunikations-Netzwerk.In
Sowohl die Kommunikation in der gesamten Verfahrenskette als auch die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene müssen gemäß Anspruch 6 ständig überprüft werden. Bei den vom sicheren Stellwerkskern initiierten Aktionen geschieht dies über dialogorientierte Verfahrenssicherung.Both the communication in the entire process chain and the function of the decentralized, generally non-secure elements of the process level must be constantly checked according to claim 6. For actions initiated by the safe interlocking core, this is done via dialog-oriented process security.
Hierzu müssen von der Sicherungsebene getriggerte und überwachte Mechanismen zyklisch die Kommunikation in der Verfahrenskette sowie die Funktion der Elemente in der Prozessebene überprüfen. Im Fehlerfall wird von der Sicherungsebene zumindest die Stromversorgung zum zugehörigen Element der Prozessebene sicher abgeschaltet.For this purpose, mechanisms triggered and monitored by the security level must cyclically check the communication in the process chain as well as the function of the elements in the process level. In the event of an error, at least the power supply to the associated element of the process level is reliably switched off by the fuse level.
Gegebenenfalls wird zusätzlich die Signalversorgungsspannung derart separiert, dass im Fehlerfall nur die zum Signalbegriff "Halt" gehörenden Elemente mit Spannung versorgt werden.Optionally, the signal supply voltage is additionally separated in such a way that in the event of a fault only the elements belonging to the signal term "stop" are supplied with voltage.
In Anspruch 7 ist eine Vorrichtung beschrieben, die das in Anspruch 1 genannte Verfahren umsetzt.In
Die Systemarchitektur orientiert sich am bewährten industriellen Ebenenmodell, bestehend aus einer Bedien- und Beobachtungsebene, einer Sicherungsebene und einer Prozessebene.The system architecture is based on the proven industrial level model, consisting of an operating and monitoring level, a backup level and a process level.
Erfindungsgemäß stellt ein vollgrafisches, auf Marktstandards basierendes System die Bedien- und Beobachtungsebene dar.According to the invention, a fully graphic system based on market standards represents the operating and monitoring level.
Die Sicherungsebene wird von einem sicheren Rechnersystem gebildet.The backup level is formed by a secure computer system.
In der Prozessebene befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Blockeinrichtungen, Bahnübergänge, etc.In the process level are the elements of the outdoor facility to be controlled as well as other signaling equipment, such as neighboring signal boxes, block facilities, railroad crossings, etc.
Die Komponenten der verschiedenen Ebenen kommunizieren über entsprechende Datenübertragungseinrichtungen.The components of the various levels communicate via corresponding data transmission devices.
Ein sicheres Rechnersystem befindet sich nur in der Sicherungsebene. Es leistet die sicherheitsgerichteten Prüfungen und Algorithmen zur Gewährleistung der Verfahrenssicherheit, wohingegen die Rechner beziehungsweise sonstigen Komponenten der Bedien- und Beobachtungsebene sowie der Prozessebene geringeren Sicherheitsansprüchen genügen.A secure computer system is only in the backup level. It performs the safety-related checks and algorithms to ensure process security, whereas the computers or other components of the operating and monitoring level as well as the process level meet lower safety requirements.
Die Vorrichtung basiert sicherheitstechnisch auf einer Variante der bekannten Verfahrenssicherung, wobei erfindungsgemäß die Sicherungsprozeduren zwar jeweils konsequent an den Endpunkten (Quelle und Senke) der Aktionen greifen, die Zwischen- und Endergebnisse jedoch nur im sicheren Stellwerkskern geprüft werden. Somit sind alle Komponenten außerhalb des sicheren Stellwerkskerns, das heißt sowohl für die Kommunikation als auch für die Prozessebene, Komponenten nach Industriestandard, die einem geringeren Sicherheitslevel genügen.The device is based on safety technology on a variant of the known process assurance, wherein according to the invention, the backup procedures, although consistently at the endpoints (source and sink) take the actions, the intermediate and final results, however, are checked only in the safe interlocking core. Thus, all components outside the safe interlocking core, that is, both for communication and for the process level, are industry standard components that satisfy a lower level of security.
Die aufwändige sichere Programmierung und Prüfung sowie teure Hardware ist nur an der einen Stelle im sicheren Stellwerkskern erforderlich.Time-consuming secure programming and testing as well as expensive hardware is only required at one point in the safe interlocking core.
Durch Anwendung der CENELEC-Normen ist eine quantitative Betrachtung des Fehlverhaltens einzelner Module, Programme und Datenverbindungen möglich, so dass sich unterschiedliche Arten der Verfahrenssicherung hinsichtlich der geforderten SIL berechnen lassen.By applying the CENELEC standards, a quantitative analysis of the malfunction of individual modules, programs and data connections is possible, so that different types of process assurance can be calculated with regard to the required SIL.
In Anspruch 8 ist beschrieben, wie die Vorrichtung Befehle zur Ansteuerung von Elementen der Prozessebene sicher auslöst. Dabei wird unterschieden, auf welchem Weg Befehle an die Prozessebene erteilt werden.In
Wenn mindestens ein Befehl von der Bedienereingabe auf der Bedien- und Beobachtungsebene eingegeben wird, so überträgt eine Datenübertragungseinrichtung den Befehl an das sichere Rechnersystem in der Sicherungsebene. Das sichere Rechnersystem überprüft den Befehl auf Plausibilität. Plausible Befehle werden neu codiert und an die Bedien- und Beobachtungsebene zurück übertragen. In dem mindestens einen Rechner der Bedien- und Beobachtungsebene wird der neu codierte Befehl des sicheren Rechnersystems ebenfalls auf Plausibilität überprüft und das Ergebnis der Plausibilitätsprüfung in final codierter Form an das sichere Rechnersystem in der Sicherungsebene übertragen.When at least one command is input from the operator input at the control and observation level, a data communication device transmits the command to the secure computer system at the backup level. The secure computer system checks the command for plausibility. Plausible commands are re-coded and transmitted back to the operating and monitoring level. In the at least one computer of the operating and monitoring level of the newly coded command of the secure computer system is also checked for plausibility and transfer the result of the plausibility check in final coded form to the secure computer system in the backup level.
Zusätzlich gewährleistet im Allgemeinen bei solchen sicherheitsrelevanten manuellen Bedieneingaben ein separater Kommunikationsweg, dass die Bedienung in dieser Form explizit gewünscht ist. Hierfür muss vom Bediener insbesondere ein gedoppelter oder antivalenter Kontakt geschlossen werden, und/oder werden zusätzlich codierte digitale Adressen eingelesen und geprüft.In addition, in general with such safety-relevant manual operating inputs, a separate communication path ensures that the operation is explicitly desired in this form. For this purpose, in particular a doubled or non-equivalent contact must be concluded by the operator, and / or additionally coded digital addresses are read in and checked.
Sind diese Bedingungen erfüllt, so ist mit ausreichender Sicherheit davon auszugehen, dass eine Elementansteuerung von der Bedien- und Beobachtungsebene einerseits tatsächlich gewünscht ist und andererseits der Befehl plausibel ist sowie die Kommunikation mit dem Element in der Prozessebene einwandfrei funktioniert. Dementsprechend löst der sichere Rechner den Befehl zur Ansteuerung des Elements aus.If these conditions are met, it can be assumed with sufficient certainty that an element control from the operating and monitoring level is actually desired on the one hand and the command is plausible on the other hand and the communication with the element in the process level functions flawlessly. Accordingly, the secure computer triggers the command to control the element.
Sobald jedoch mindestens eine der zuvor genannten Plausibilitätsüberprüfungen der verwendeten Befehle in mindestens einem der beteiligten Rechner negativ ausfällt, bricht das sichere Rechnersystem die Ansteuerung von Elementen der Prozessebene mit einer entsprechenden Fehlermeldung sicher ab.However, as soon as at least one of the abovementioned plausibility checks of the commands used in at least one of the participating computers fails, the secure computer system aborts the control of elements of the process level with a corresponding error message.
Werden die Befehle zur Ansteuerung von mindestens einem Element der Prozessebene aufgrund des internen Programmablaufs im sicheren Rechnersystem der Sicherungsebene erteilt, so löst das sichere Rechnersystem der Sicherungsebene die Ansteuerung direkt aus.If the commands for controlling at least one element of the process level are issued in the secure computer system of the security level due to the internal program execution, then the secure computer system of the security level triggers the control directly.
In Anspruch 9 ist beschrieben, wie das sichere Rechnersystem das von dem gemäß Anspruch 8 ausgelösten Befehl erzeugte Ansteuerungsereignis signaltechnisch sicher überwacht.
Nachdem der Befehl zur Ansteuerung eines Elements der Prozessebene vom sicheren Rechnersystem der Sicherungsebene ausgelöst wurde, wird er über eine Datenübertragungseinrichtung an das passende Element in der Prozessebene übertragen. Die Wirkung dieses Befehls führt zu mindestens einem Ansteuerungsereignis, dessen Ergebnis von einer geeigneten Sensorik überwacht und an das sichere Rechnersystem in der Sicherungsebene zurückgemeldet wird. Als Endergebnisse der Ansteuerungsereignisse kommen beispielsweise die Rückmeldung von optischen Sensoren bei der Anschaltung von Lichtsignalen oder die Verwendung von magnetischen Sensoren, wie z.B. industrieller Beros zum Überwachen des mechanisch korrekten Umlaufs einer Weiche in Frage.After the command for triggering an element of the process level has been triggered by the secure computer system of the security level, it is transmitted via a data transmission device to the appropriate element in the process level. The effect of this command results in at least one control event, the result of which is monitored by suitable sensors and reported back to the secure computer system in the backup level. As final results of the driving events, for example, the feedback from optical sensors in the connection of light signals or the use of magnetic sensors, such as. industrial beros for monitoring the mechanically correct circulation of a switch in question.
Die Ergebnisse eines jeden Ansteuerungsereignisses müssen mehrfach hinsichtlich der geforderten logischen und zeitgerechten Abfolge überprüft werden. Da nur ein sicheres Rechnersystem im sicheren Stellwerkskern zur Verfügung steht, müssen alle Prüfungen auch dort erfolgen. Deshalb prüft die Software im sicheren Rechnersystem die Ergebnisse mehrfach, aber zeitversetzt, so dass für jedes Ergebnis Mehrfachdialoge entstehen, die bis hin zum Endergebnis geführt werden.The results of each triggering event must be checked several times for the required logical and timely sequence. Since only one secure computer system is available in the safe interlocking core, all tests must be carried out there as well. For this reason, the software in the secure computer system checks the results several times, but with a time lag, so that multiple dialogs result for each result, which are carried to the final result.
Nach positiver Prüfung aller Ergebnisse zu den Ansteuerungsereignissen geht das sichere Rechnersystem von einer erfolgreichen Elementansteuerung aus und offenbart dies. Ergibt die Prüfung von mindestens einem Ergebnis der Ansteuerungsereignisse einen Widerspruch zur geforderten logischen und zeitgerechten Abfolge, so geht das sichere Rechnersystem von einer fehlerhaften Elementansteuerung aus und offenbart auch dies.After a positive check of all results for the triggering events, the secure computer system starts from a successful element control and reveals this. If the examination of at least one result of the triggering events contradicts the required logical and timely sequence, then the secure computer system assumes and also reveals a faulty element control.
Die mehrfache, zeitversetzte Prüfung der unterschiedlichen Ereignisse an nur einer Stelle im sicheren Stellwerkskern erfordert eine leistungsfähige Rechnerarchitektur. Sie stellt sicher, dass der Zeitaufwand für die je nach gewünschtem Sicherheitslevel erforderlichen Prüfungen und das anschließende Stellen der Elemente der Prozessebene nicht mehr Zeit aufgewendet wird, als die von der Zulassungsbehörde geforderte Maximalzeit, innerhalb der der Signalbegriff "Halt" gezeigt werden muss (Haltfallzeit).The multiple, time-staggered examination of the different events at only one point in the safe interlocking core requires a powerful computer architecture. It ensures that the time required for the tests required according to the desired safety level and the subsequent placement of the elements of the process level is not spent more time than the maximum time required by the approval authority, within which the signal term "stop" must be shown (holding time) ,
Die heute zur Verfügung stehenden, erprobten Prozessoren und Kommunikationssysteme machen dies möglich.Today's proven, proven processors and communication systems make this possible.
Gemäß Anspruch 10 besteht eine vorteilhafte Ausgestaltung der Erfindung darin, dass das sichere Rechnersystem der Sicherungsebene aus einer fehlersicheren speicherprogrammierbaren Steuerung (SPS) besteht.According to
Die auf der SPS realisierte Logik wird nach DIN EN 61131 programmiert und ist somit aufwandsarm auf andere SPS Systeme portierbar.The logic implemented on the PLC is programmed according to DIN EN 61131 and is therefore easy to port to other PLC systems.
In Anspruch 11 ist eine dezentralisierbare Prozessebene beschrieben, die über ein LAN (Local Area Network) mit der Sicherungsebene verbunden ist. Hierbei agieren Standard-ET (elektronische Trennleiste) oder kleine SPS-Systeme verfahrensgesichert als logisch passive Umsetzer für die über Ethernet oder eine andere standardisierte Datennetztechnologie übertragenen Daten, so dass hinter den Umsetzern digitale Ein-/ Ausgabebits vorliegen.In
Die Prozessebene macht als Multiplikator für die LST den Hauptkosten- und LCC-Anteil aus.The process level is the multiplier for the LST, the main cost and LCC share.
ETs sind Standardprodukte der Industrieautomatisierung und werden mit ähnlichem Leistungsspektrum von vielen Firmen angeboten.ETs are standard products of industrial automation and are offered with a similar range of services by many companies.
Durch neutrale Netzwerk-Adressierung und vergleichbare Leistungsmerkmale der Hersteller ergibt sich hier eine einfache Substituierbarkeit des gewählten Lieferanten.Neutral network addressing and comparable performance characteristics of the manufacturer result in a simple substitutability of the selected supplier.
Darüber hinaus sind mittlerweile kompakte kleine SPS-Systeme auf dem Markt. Auch diese können ET-Funktionen ausführen. Deren Einsatz ist ebenfalls möglich, bedingt jedoch eine CENELEC-konforme "Code Inspection".In addition, compact small PLC systems are now on the market. These too can perform ET functions. Their use is also possible, but requires a CENELEC-compliant "Code Inspection".
Erfindungsgemäß werden durch konsequente Dezentralisierung Standardkomponenten nah am Zielobjekt platziert und über LAN-Verbindungen (Kupferkabel oder LWL) vom sicheren Stellwerkskern gesteuert. Daraus resultieren sehr kurze Kabellängen und geschützte Kabelwege innerhalb der Außenanlage. Somit sind deutlich geringere induzierte Spannungen für Scherheits- und Schutzbetrachtungen auf den Kabeln anzunehmen.According to the invention, consistent decentralization places standard components close to the target object and controls them via LAN connections (copper cables or fiber-optic cables) from the safe interlocking core. This results in very short cable lengths and protected cable routes within the outdoor area. Thus, significantly lower induced voltages for safety and protection considerations on the cables are to be assumed.
Sowohl die Kommunikation in der gesamten Verfahrenskette als auch die Funktion der dezentralen, im Allgemeinen nicht sicheren Elemente der Prozessebene müssen gemäß Anspruch 12 ständig überprüft werden.Both the communication in the entire process chain and the function of the decentralized, generally non-secure elements of the process level must be constantly checked according to
Hierzu prüfen von der Sicherungsebene getriggerte und überwachte Watchdogs zyklisch die Kommunikation in der Verfahrenskette sowie die Funktion der Elemente in der Prozessebene. Im Fehlerfall schaltet die Sicherungsebene zumindest die Stromversorgung zum zugehörigen Element der Prozessebene sicher ab. Gegebenenfalls wird zusätzlich die Signalversorgungsspannung derart separiert, dass im Fehlerfall nur die zum Signalbegriff "Halt" gehörenden Elemente mit Spannung versorgt werden.For this, watchdogs triggered and monitored by the protection level cyclically check the communication in the process chain and the function of the elements in the process level. In the event of a fault, the fuse level safely disconnects at least the power supply to the associated element of the process level. Optionally, the signal supply voltage is additionally separated in such a way that in the event of an error only the elements belonging to the signal term "stop" are supplied with voltage.
Die Erfindung ist nachfolgend anhand einer Zeichnung mit zwei Figuren und eines Beispiels in einer vorteilhaften Ausführungsform näher erläutert.The invention is explained in more detail below with reference to a drawing with two figures and an example in an advantageous embodiment.
Die Zeichnung zeigt in
- Fig. 1:
- die Darstellung der dialogorientierten Sicherungskette zwischen sicherem Stellwerkskern und Prozessebene, inkl. Watchdog,
- Fig. 2:
- die Prinzipschaltung des Prozesselements "Signal" mit Ethernet-Schnittstelle, Elektronischer Trennleiste, Stromversorgung und Überwachung des Lichtstroms mit einem optischen Sensor.
- Fig. 1:
- the representation of the dialog-oriented security chain between safe interlocking core and process level, incl. watchdog,
- Fig. 2:
- the basic circuit of the process element "Signal" with Ethernet interface, electronic isolator, power supply and monitoring of the luminous flux with an optical sensor.
Die Systemarchitektur eines Elektronischen Stellwerks zum Durchführen des Fahrbetriebs von Schienenfahrzeugen gliedert sich in die drei Ebenen der Bedienung/Beobachtung, der Sicherung und der ProzesselementeThe system architecture of an electronic interlocking for carrying out the driving operation of rail vehicles is divided into three levels of operation / monitoring, the fuse and the process elements
Ein vollgrafisches, auf Marktstandards basierendes System, findet sich in der Bedien- und Beobachtungsebene (1).A fully graphic system based on market standards can be found at the operating and monitoring level (1).
Die Sicherungsebene (2) wird von einem sicheren Rechnersystem gebildet, das als fehlersichere SPS, wie z.B. einer SIMATIC S7-F ausgebildet ist.The fuse level (2) is formed by a secure computer system that can be used as a fail-safe PLC, such as a PLC. a SIMATIC S7-F is formed.
In der Prozessebene (4) befinden sich die anzusteuernden Elemente der Außenanlage sowie andere signaltechnische Einrichtungen, wie Nachbarstellwerke, Bahnübergänge, etc. Aus Gründen der Übersichtlichkeit ist nur das Prozesselement "Signal" benannt. Die anderen Prozesselemente der Prozessebene sind durch die gestrichelte Darstellung des Ethernets nur angedeutet.In the process level (4) are the elements to be controlled outdoor facilities and other signaling devices, such as neighboring interlocking, level crossings, etc. For reasons of clarity, only the process element "signal" is named. The other process elements of the process level are only indicated by the dashed representation of the Ethernet.
Über Kupferkabel werden die Daten beispielsweise in einem Ethernet-LAN (5) zwischen der Sicherungsebene (2) und den dezentral platzierten Elementen (6) der Prozessebene (4) ausgetauscht. Daraus resultieren sehr kurze Kabellängen und geschützte Kabelwege innerhalb der Außenanlage. Somit sind deutlich geringere induzierte Spannungen auf den Kabeln anzunehmen. Kabelfehler können einfach offenbart werden, da nur geringe ohmsche Widerstände bei den kurzen Kabelwegen anzunehmen sind. Erdschlüsse sind durch galvanische Trennung der Speisespannung erst als Doppelfehler relevant und offenbaren sich hardwaremäßig und in der Verfahrenssicherung. Darüber hinaus können einfache Erdschlüsse durch Erdschlussmelder erkannt werden.Via copper cables, the data is exchanged, for example, in an Ethernet LAN (5) between the security level (2) and the decentrally placed elements (6) of the process level (4). This results in very short cable lengths and protected cable routes within the outdoor area. Thus, significantly lower induced voltages are assumed on the cables. Cable faults can be easily revealed, since only small ohmic resistances are to be assumed for the short cable paths. Ground faults are only relevant as double faults due to galvanic isolation of the supply voltage and are revealed in terms of hardware and process safety. In addition, simple earth faults can be detected by earth fault detectors.
Als Schnittstelle zu den Elementen der Prozessebene werden elektronische Trennleisten (ET, 7) eingesetzt. Als logisch passive Komponenten setzen die ET (7) die über Ethernet (5) übertragenen Daten in digitale Ein-/ Ausgabebits um.Electronic interfaces (ET, 7) are used as an interface to the elements of the process level. As logically passive components set the ET (7) converts the data transmitted via Ethernet (5) into digital input / output bits.
Soll beispielsweise im Rahmen des automatischen, internen Programmablaufs der Fahrstraßeneinstellung eine Signalglühlampe (20) eingeschaltet werden, so sieht die Verfahrenskette zur sicheren Ansteuerung und Rückmeldung des Lampenfadens folgendermaßen aus:If, for example, a signal incandescent lamp (20) is to be switched on as part of the automatic, internal program sequence of the route setting, the process chain for the reliable activation and feedback of the lamp thread is as follows:
Der Stellwerkskern (3) löst im ersten SPS-Zyklus ein Daten-Telegramm aus, welches von der ET (7) des angesprochenen Signal-Prozesselements einen Digitalausgang (DA, 9) rücksetzt. Diese Rücksetzung steuert ein zwangsgeführtes Relais K1 (16) ab. K1 (16) hat einen Öffner im Stromkreis der Signallampe. Damit wird an den Schließerkontakt des elektronischen Relais (ELR, 17) das Potential der Signallampenspannung geleitet.The interlocking core (3) triggers a data telegram in the first PLC cycle which resets a digital output (DA, 9) from the ET (7) of the addressed signal process element. This reset controls a positively driven relay K1 (16). K1 (16) has a normally closed contact in the circuit of the signal lamp. Thus, the potential of the signal lamp voltage is passed to the normally open contact of the electronic relay (ELR, 17).
Dieses Potential wird nun von einem digitalen Eingang (8) des Prozesselementes detektiert und über die ET (7) per Netzwerk (5) an die sichere SPS (3) übermittelt. Die sichere SPS (3) erwartet eben diese Reaktion (Änderung des Status des entsprechenden DE-Bits von 0 auf 1) für das Auslösen des nächsten Prozess-Schrittes, nämlich der Ansteuerung eines weiteren digitalen Ausganges (9) des Prozesselementes. Dieser DA (9) steuert nun das ELR (17) an. Das ELR schließt den Stromkreis bestehend aus Stromquelle (10), Öffnerkontakt Relais K1 (16), Schließer des ELR (17) und Lampenfaden (20). Da der Relaiskontakt des K1 (16) bereits geschlossen ist, wird dieser geschont, was die Lebensdauer des Relais deutlich erhöht. Eine entsprechende Abfolge beim Löschen des Signalbegriffes dient ebenfalls zur Schonung des Relaiskontaktes. Die Lebensdauer des ELR (17) wird hingegen nicht durch die Anzahl der Schaltvorgänge beeinflusst.This potential is now detected by a digital input (8) of the process element and transmitted via the ET (7) via network (5) to the safe PLC (3). The safe PLC (3) expects just this reaction (change of the status of the corresponding DE bits from 0 to 1) for triggering the next process step, namely the control of another digital output (9) of the process element. This DA (9) now drives the ELR (17). The ELR closes the circuit consisting of current source (10), NC contact relay K1 (16), NO contact of the ELR (17) and lamp filament (20). Since the relay contact of the K1 (16) is already closed, this is conserved, which significantly increases the life of the relay. A corresponding sequence when deleting the signal term also serves to protect the relay contact. The lifetime of the ELR (17), however, is not affected by the number of switching operations.
Durch mindestens einen optischen Sensor (15) an der entsprechenden Signallampe wird nun erkannt, dass die Signalglühlampe korrekt leuchtet. Über einen digitalen Eingang (8) an der ET (7) wird diese Information an den sicheren Stellwerkskern (3) übermittelt. Damit ist die erwartete Reaktion (Änderung des Status des entsprechenden DE-Bits von 0 auf 1) zeitgerecht eingetreten. Der Stellwerkskern (3) kann auf logische Abfolge prüfen und auch das zeitgerechte Resultat der optischen Rückmeldung in einem definierten Zeitfenster auswerten. Nach positiver Prüfung kann die sichere Stellwerkslogik von einem korrekten Vorgang ausgehen und die bestimmungsgemäß arbeitende Signaloptik (20) in der zentralen Fahrstraßenlogik berücksichtigen.By at least one optical sensor (15) on the corresponding signal lamp is now recognized that the signal light bulb is lit correctly. This information is transmitted to the safe interlocking core (3) via a digital input (8) on the ET (7). Thus, the expected response (change of the status of the corresponding DE-bits from 0 to 1) has occurred in a timely manner. The interlocking core (3) can check for logical sequence and also evaluate the timely result of the optical feedback in a defined time window. After a positive check, the safe interlocking logic can proceed from a correct procedure and take into account the signal optics (20) operating in accordance with the regulations in the central lane logic.
Es ist anzunehmen, dass die nicht signaltechnisch sicheren Komponenten die unzeitige Anzeige eines Fahrt gebenden Signalbildes lediglich mit einer THR von>10 exp -4 pro Stunde beherrschen.It can be assumed that the non-signal-safe components only control the untimely display of a driving signal image with a THR of> 10 exp -4 per hour.
Die mögliche Fehlfunktion der Kommunikation, z.B. mit der Konsequenz dass ein anstehendes Grün nicht ausgeschaltet wird, ist zu überwachen. Ebenfalls die mögliche Fehlfunktion der ET.The possible malfunction of the communication, e.g. with the consequence that a pending green is not turned off, is to be monitored. Also the possible malfunction of the ET.
Hierfür wird ein Watchdog (11) eingesetzt. Dieser muss in einem definierten Puls-/ Pausenverhältnis von einem digitalen Ausgang (9) der ET (7) angesteuert werden. Bleibt der Impuls in einem definierten Zeitfenster aus, so passiviert der Watchdog (11) die Stromersorgung (10). Der Impuls wird vom sicheren Stellwerkskern generiert.For this purpose, a watchdog (11) is used. This must be controlled in a defined pulse / pause ratio by a digital output (9) of the ET (7). If the pulse remains off in a defined time window, the watchdog (11) passivates the power supply (10). The impulse is generated by the safe interlocking core.
Steht der zyklische Impuls beim Watchdog (11) an, so funktioniert die ET (7) und die Kommunikation zum sicheren Stellwerkskern (3).If the cyclic pulse is present at the watchdog (11), the ET (7) and the communication to the safe interlocking core (3) function.
Fällt die Kommunikation aus, wird der digitale Ausgang (9) der ET (7) nicht zyklisch zur Ausgabe des Watchdog-Impulses aufgefordert. Der Impuls bleibt aus, und der Watchdog (11) unterbricht die Stromversorgung (10).If the communication fails, the digital output (9) of the ET (7) is not cyclically requested to output the watchdog pulse. The pulse remains off, and the watchdog (11) interrupts the power supply (10).
Fällt die ET (7) aus, wird mit sehr hoher Wahrscheinlichkeit der zyklische Impuls und das erforderliche Puls-/ Pausenverhältnis, welches der Watchdog (11) erwartet, ausbleiben oder in einer anderen Pulsfolge anstehen. Der Watchdog (11) erkennt dies und unterbricht die Stromversorgung (10).If the ET (7) fails, the cyclic pulse and the required pulse / pause ratio, which the watchdog (11) expects, are very likely absent or pending in another pulse sequence. The watchdog (11) detects this and interrupts the power supply (10).
Der Watchdog (11) selbst schaltet über den Schließer eines zwangsgeführten Kleinrelais (12) die Versorgungsspannung der ET (7). Bleibt der Impuls aus, so fällt das zwangsgeführte Relais (12) ab, und die Versorgungsspannung wird unterbrochen. Der sichere Stellwerkskern (3) erkennt dies am Ausbleiben der Ethernet Telegramme.The watchdog (11) itself switches the supply voltage of the ET (7) via the closer of a positively driven small relay (12). If the pulse remains off, the positively driven relay (12) drops out, and the supply voltage is interrupted. The safe interlocking core (3) detects this by the absence of the Ethernet telegrams.
Zur Prüfung des zwangsgeführten Relais (12) und der gesamten Watchdog-Funktion wird der Watchdog-Impuls vom sicheren Stellwerkskern (3) kurz ausgesetzt. Über den Öffnerkontakt des zwangsgeführten Relais (12) wird dann die Versorgungsspannung an einem DE der ET erwartet. Sollten die Relaiskontakte verschweißt sein oder ein sonstiger Fehler in der Kommunikationskette des Watchdog-Impulses vorliegen, so offenbart sich dieser im Prüfzyklus. Für die Dauer der Unterbrechung der Versorgungsspannung wird die ET-Versorgungsspannung hinter dem Watchdog Relais über einen Kondensator (13) gepuffert.To test the positively driven relay (12) and the entire watchdog function, the watchdog pulse from the safe interlocking core (3) is briefly exposed. The supply voltage at a DE of the ET is then expected via the NC contact of the positively driven relay (12). If the relay contacts are welded or there is another error in the communication chain of the watchdog pulse, this reveals itself in the test cycle. For the duration of the interruption of the supply voltage, the ET supply voltage is buffered behind the watchdog relay via a capacitor (13).
Durch weitere Kontakte des zwangsgeführten Relais können bedarfsweise die Signalspannungen fahrtgebender Begriffe ab- (18) und die Signalspannung haltgebender Begriffe angeschaltet (19) werden.By further contacts of the positively driven relay, if necessary, the signal voltages driving terms off (18) and the signal voltage holding terms turned on (19).
Durch die Prozesskette der sicheren Software des Stellwerkskerns (3) werden weitere Fehler eines jeden Elementes und auch Zweitfehler offenbart:Through the process chain of the safe software of the interlocking core (3) further errors of each element and also secondary errors are revealed:
Jede Aktion an einem Element (6) der Prozessebene (4) wird über die zugehörige ET (7) initiiert. Bei einem Defekt der ET wird das Absteuern des DA (9) für Relais 16 nicht ausgeführt. Also kommt auch keine Rückmeldung des anstehenden Potentials am ELR (17) an. Der sichere Stellwerkskern (3) erkennt den Fehler.Each action on an element (6) of the process level (4) is initiated via the associated ET (7). In the event of a defect in the ET, the deactivation of the DA (9) for
-
1. Durchlegiertes Relais (16):
- Das Relais ist ständig angezogen. Die zugehörige Rückmeldung über DE (8) kommt nicht zustande. Der sichere Stellwerkskern (3) erkennt den Fehler.
- The relay is constantly energized. The corresponding feedback on DE (8) does not materialize. The safe interlocking core (3) detects the error.
-
2. Hochohmiges Relais (16):
- Das Relais ist bereits im Grundzustand abgefallen. Die zugehörige Rückmeldung des Potentials am ELR (17) ist zur Unzeit da. Der sichere Stellwerkskern (3) erkennt den Fehler.
- The relay has already fallen down in the ground state. The associated feedback of the potential at the ELR (17) is there at the wrong time. The safe interlocking core (3) detects the error.
Rückmeldungen kommen nicht oder zur Unzeit an. Der sichere Stellwerkskern (3) erkennt den Fehler.Feedback is not received or made at the wrong time. The safe interlocking core (3) detects the error.
Eine weitere Zweitfehleroffenbarung ergibt sich durch die nachfolgende, identische Prozedur mit dem ELR (17), und zusätzlich durch das Rücklesen des Lichtes:Another second-error disclosure results from the following identical procedure with the ELR (17), and additionally by reading back the light:
Lichtsensorik DE/ Sensor (15):
- 1. Durchlegiert:
- Licht wird ständig detektiert. Die zugehörige Rückmeldung über DE (8) steht zur Unzeit an. Der sichere Stellwerkskern (3) erkennt den Fehler.
- 2. Hochohmig:
- Licht wird nach Ansteuern des ELR (17) nicht detektiert. Der sichere Stellwerkskern (3) erkennt den Fehler.
- 1. Alloyed:
- Light is constantly detected. The associated feedback via DE (8) is at an inopportune time. The safe interlocking core (3) detects the error.
- 2. High impedance:
- Light is not detected after driving the ELR (17). The safe interlocking core (3) detects the error.
Auch bei korrekt arbeitender Rückmeldung des Lichts können Fehler durch Fremdlichteinfall auftreten.Even if the feedback of the light is correct, faults due to extraneous light may occur.
Ein Fremdlichteinfall wirkt sich nur als Zweitfehler in Verbindung mit dem Erstfehler "defekte Ansteuerung/Ausleuchtung" aus. Eine Auswirkung entsteht nur dann, wenn exakt in dem Zeitfenster, in dem die optische Rückmeldung einer Ansteuerung der Signaloptik (20) ansteht, Fremdlicht einfällt und trotz nicht vorhandener Signalausleuchtung für eine positive Rückmeldung durch den optischen Sensor (15) sorgt.A foreign light incident only has a secondary effect in connection with the first fault "defective control / illumination". An effect arises only when exactly in the time window in which the optical feedback of a control of the signal optics (20) is pending, extraneous light is incident and despite not existing signal illumination for a positive feedback by the optical sensor (15).
Steht bereits vorher Fremdlicht an, erkennt dies der sichere Stellwerkskern (3), da der optische Sensor (15) zur Unzeit eine positive Rückmeldung bringt.If external light is already present, this is recognized by the safe interlocking core (3), since the optical sensor (15) gives a positive feedback at an inopportune time.
Der Fall des Fremdlichteinfalls genau im Zeitfenster der Begriffsansteuerung ist durch geeignete Positionierung und Schutz des Sensors (15) vor Fremdlicht ausreichend beherrschbar.The case of external light incidence precisely in the time window of the term control is sufficiently controllable by suitable positioning and protection of the sensor (15) from extraneous light.
Zur Fehleroffenbarung von Signaloptiken, die den Zustand über lange Zeit nicht wechseln, sind vom sicheren Stellwerkskern kurze Prüfzyklen durchzuführen, z.B. einmal pro 24h, wenn mehrere Gleisabschnitte vor dem Element frei sind.For the error disclosure of signal optics, which do not change the state for a long time, short test cycles must be performed by the safe interlocking core, e.g. once per 24h, when several track sections are free in front of the element.
Durch Mehrfachtelegramme (14) zur Auslösung einer Aktion ergibt sich eine hohe rechnerische Fehlerbeherrschung. Im sicheren Stellwerkskern (3) wird über eine Plausibilitätsprüfung ein Kommunikationsfehler offenbart. Bei Unplausibilität eines Telegramms passiviert der sichere Stellwerkskern das System.Multiple telegrams (14) to trigger an action results in a high computational error control. In the safe interlocking core (3) a communication error is revealed via a plausibility check. If a telegram is implausible, the safe interlocking core passivates the system.
Da bei defekter Kommunikation keine zeitgerechte Abarbeitung des Vorgangs erfolgen kann, ist eine zusätzliche Sicherung gegeben.Since defective communication means that timely processing of the process can not take place, an additional backup is provided.
Darüber hinaus ist der Watchdog (11) in die Gesamtkette der Kommunikation eingebunden. Dadurch offenbaren sich Fehler in der Kommunikation zeitnah.In addition, the watchdog (11) is integrated into the overall chain of communication. As a result, errors in communication reveal promptly.
Berücksichtigt man die Mehrfachdialoge, die gegenläufige Ansteuerung von Relais (spannungslos durchgeschaltet) und ELR (angesteuert durchgeschaltet) in Kombination mit der dialogorientierten Prüfung des Verfahrens in der sicheren Stellwerkslogik, so sind Kommunikationsfehler mit einer Wahrscheinlichkeit, die SIL 4 entsprechen, auszuschließen.Taking into account the multiple dialogues, the opposite control of relays (de-energized switched on) and ELR (activated switched) in combination with the dialog-oriented check of the procedure in the safe interlocking logic, communication errors with a probability corresponding to SIL 4 are to be excluded.
Ein Sockelschluss (Haupt und Nebenfaden brennen) wird über das Auslösen der Sicherung (22) und durch den DE (8) am ELR (17) detektiert.A base connection (burn main and secondary thread) is detected by triggering the fuse (22) and by the DE (8) on the ELR (17).
Der optische Sensor (15) gibt nach Anschaltung keine positive Rückmeldung. Es kann eine Umschaltung auf den Nebenfaden ausgelöst werden. Zusätzlich erfolgt eine Information an den Fahrdienstleiter (Hauptfaden z.B. "Rot N1" defekt).The optical sensor (15) gives no positive feedback after connection. It can be triggered a switch to the secondary thread. In addition, information is sent to the dispatcher (main thread, for example, "red N1" is defective).
Durch zeitversetzte, unabhängige Prozeduren im sicheren Stellwerkskern (3), deren Plausibilitätsprüfungen und das zeitgerechte Prüfen der Lichtemission der adressierten Lichtquelle (20) in der sicheren Software entsteht Verfahrenssicherheit, auch unter Einbeziehung der nicht sicheren Komponenten der Prozessebene (4).Time-staggered, independent procedures in the safe interlocking core (3), their plausibility checks and the timely testing of the light emission of the addressed light source (20) in the secure software result in process security, including the non-secure components of the process level (4).
Bei einer sicherheitsgerichteten manuellen Bedienung des Signals in der Bedien- und Beobachtungsebene (1) anstelle der oben beschriebenen automatischen Ansteuerung ist es im Allgemeinen erforderlich, dass vor der Auslösung des Befehls die manuelle Bedienung explizit bestätigt wird. Hierfür ist in diesem Beispiel ein dezentrales Prozesselement KF (Kommando Freigabe nicht eingezeichnet) über einen separaten Kommunikationsweg in Verbindung mit einem Taster/Schlüsseltaster mit einem gedoppelten Kontakt am Bedienplatz-System installiert. Dadurch wird der KF Bediendialog mit dem sicheren Stellwerkskern abgebildet.In the case of a safety-related manual operation of the signal in the operating and monitoring level (1) instead of the automatic control described above, it is generally required that the manual operation is explicitly confirmed before the command is triggered. For this purpose, in this example, a decentralized process element KF (release command not shown) is installed on the operator station system via a separate communication path in conjunction with a pushbutton / key switch with a duplicated contact. This maps the KF operator dialog with the safe interlocking core.
- 11
- Bedien- und BeobachtungsebeneOperating and observation level
- 22
- Sicherungsebeneassurance level
- 33
- Sicheres Rechnersystem (sicherer Stellwerkskern)Secure computer system (safe interlocking core)
- 44
- Prozessebeneprocess level
- 55
- EthernetEthernet
- 66
- Prozesselementprocess element
- 77
- Elektronische TrennleisteElectronic divider
- 88th
- Digitaler EingangDigital input
- 99
- Digitaler Ausgangdigital output
- 1010
- Stromversorgungpower supply
- 1111
- WatchdogWatchdog
- 1212
- zwangsgeführtes Kleinrelaispositively driven small relay
- 1313
- Pufferkondensatorbuffer capacitor
- 1414
- MehrfachdialogeMultiple dialogs
- 1515
- Optischer SensorOptical sensor
- 1616
- Zwangsgeführtes Relais K1Forced-controlled relay K1
- 1717
- Elektronisches Relais (ELR)Electronic relay (ELR)
- 1818
- Schalter für fahrtzeigende BegriffeSwitch for time-indicating items
- 1919
- Schalter für Haltbegriffe (rot)Halt term switch (red)
- 2020
- Signalglühlampesignal light bulb
- 2121
- Watchdog-RelaisWatchdog relay
- 2222
- Sicherungfuse
Claims (12)
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102007043053.3A DE102007043053B4 (en) | 2007-09-11 | 2007-09-11 | Signal-safe electronic element control for carrying out a driving operation of rail vehicles |
Publications (2)
Publication Number | Publication Date |
---|---|
EP2036800A2 true EP2036800A2 (en) | 2009-03-18 |
EP2036800A3 EP2036800A3 (en) | 2009-09-30 |
Family
ID=39956131
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP08011454A Withdrawn EP2036800A3 (en) | 2007-09-11 | 2008-06-24 | Electronic element control that is safe for signalling for carrying out drive operations for rail vehicles |
Country Status (2)
Country | Link |
---|---|
EP (1) | EP2036800A3 (en) |
DE (1) | DE102007043053B4 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014001235A3 (en) * | 2012-06-29 | 2014-06-19 | Siemens Aktiengesellschaft | Method and assembly for controlling a technical system |
CN118170126A (en) * | 2024-05-16 | 2024-06-11 | 唐山百川智能机器股份有限公司 | Control system and method for full-automatic folding beacon bracket |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009033037A1 (en) | 2009-07-02 | 2011-01-05 | Deutsche Bahn Ag | Method for data transmission of safety-relevant data from controller to process element over communication network, involves forming transaction number in controller from data to be transmitted by dynamic coding |
DE102013223101A1 (en) * | 2013-11-13 | 2015-05-13 | Siemens Aktiengesellschaft | Railway crossing safety system |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10053023C1 (en) | 2000-10-13 | 2002-09-05 | Siemens Ag | Method for controlling a safety-critical railway operating process and device for carrying out this method |
DE19606894C2 (en) | 1996-02-13 | 2003-01-23 | Siemens Ag | Device for the signal-safe control and monitoring of electrical consumers in the railway system |
DE102005043305A1 (en) | 2005-09-07 | 2007-03-15 | Siemens Ag | System architecture for controlling and monitoring components of a railway safety system |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0473834B1 (en) * | 1990-09-07 | 1994-06-22 | Siemens Aktiengesellschaft | Electronic interlocking control system, set up according to the local processor control principle |
DE102005013194A1 (en) | 2005-03-16 | 2006-09-21 | Siemens Ag | Workstation system |
-
2007
- 2007-09-11 DE DE102007043053.3A patent/DE102007043053B4/en not_active Expired - Fee Related
-
2008
- 2008-06-24 EP EP08011454A patent/EP2036800A3/en not_active Withdrawn
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19606894C2 (en) | 1996-02-13 | 2003-01-23 | Siemens Ag | Device for the signal-safe control and monitoring of electrical consumers in the railway system |
DE10053023C1 (en) | 2000-10-13 | 2002-09-05 | Siemens Ag | Method for controlling a safety-critical railway operating process and device for carrying out this method |
DE102005043305A1 (en) | 2005-09-07 | 2007-03-15 | Siemens Ag | System architecture for controlling and monitoring components of a railway safety system |
Non-Patent Citations (7)
Title |
---|
"Die Bombardier-Lösung einer neuen ESTW-Bauform bei der DB AG", SIGNAL + DRAHT 5, 2005 |
"Sicherungs- und Telekommunikationstechnik", SIGNAL + DRAHT 3, 1997 |
"SIMIS D", SIGNAL + DRAHT 3, 2006 |
ANONYMOUS: "Systeme fur Signaltechnik", SCHEIDT UND BACHMAN, March 2006 (2006-03-01), pages 1 - 6, XP003024841 |
ANONYMOUS: "Systeme fur Signaltechnik", SCHEIDT UND BACHMAN, May 2007 (2007-05-01), pages 1 - 4, XP003024840 |
ANONYMOUS: "Systeme fur Signaltechnik", SCHEIDT UND BACHMAN, September 2005 (2005-09-01), pages 1 - 5, XP003024839 |
ANONYMOUS: "ZSB2000 SYSTEMBESCHREIBUNG LEIT-UND BEDIENSYSTEM", ZSB2000 SYSTEMBESCHREIBUNG LEIT-UND BEDIENSYSTEM, 28 September 2006 (2006-09-28), pages 1 - 27, XP003024842 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014001235A3 (en) * | 2012-06-29 | 2014-06-19 | Siemens Aktiengesellschaft | Method and assembly for controlling a technical system |
CN118170126A (en) * | 2024-05-16 | 2024-06-11 | 唐山百川智能机器股份有限公司 | Control system and method for full-automatic folding beacon bracket |
Also Published As
Publication number | Publication date |
---|---|
DE102007043053B4 (en) | 2020-07-30 |
EP2036800A3 (en) | 2009-09-30 |
DE102007043053A1 (en) | 2009-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1738382B2 (en) | Safety switch for a fail-safe circuit | |
EP1738383B2 (en) | Signaling device for a protective circuit | |
EP2720098B1 (en) | Safety system for a plant comprising a test signal path with return path | |
EP2720094B1 (en) | Safety system | |
DE102010025675B3 (en) | Safety circuit arrangement for fail-safe switching on and off of a dangerous system | |
DE3706325C2 (en) | ||
DE102004020995C5 (en) | Signaling device for a safety circuit | |
EP1642179B1 (en) | Device for automatically controlling a technical system operation | |
DE2817089A1 (en) | HAZARD WARNING SYSTEM | |
EP2445771B1 (en) | Method to create an electronic interlocking for replacing an existing interlocking | |
DE2951932C2 (en) | Device for signaling safe control and monitoring | |
DE102009042368A1 (en) | Control system for controlling safety-critical processes | |
EP0007579B1 (en) | Circuit arrangement for monitoring the state of signalling systems, especially traffic light signalling systems | |
EP2691969A1 (en) | Safety circuit assembly for switching a hazardous system on or off in a failsafe manner | |
DE102007043053B4 (en) | Signal-safe electronic element control for carrying out a driving operation of rail vehicles | |
EP1672446B1 (en) | Secure Input/Ouput assembly for a controller | |
EP3100121A1 (en) | Method and apparatus for safely disconnecting an electrical load | |
EP1202313A1 (en) | Device for safety engineering to supervise the switching position of mechanical contacts | |
EP2090492B1 (en) | Method for realising a universal route securing technique with industrially available SPS components | |
EP2236389B1 (en) | Method for settling error messages of a decentralised function unit in a securing system for rail-bound traffic | |
DE102009018140A1 (en) | Safe switching device and modular fail-safe control system | |
DE19813389A1 (en) | Safety control circuit e.g. for electrical relay | |
DE102006030911B3 (en) | Relay unit for use in electrical or in electronic circuits, devices and components, has switching arrangement, consisting of two relay coils with separate contact sets per relay coil, fault indicator coil and additional working contact | |
DE102010038459A1 (en) | Safety system, has safety module comprising system interface for direct contacting and communication with group protection unit, and load branch comprising another system interface for direct communication with safety module | |
DE3919558C2 (en) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
AK | Designated contracting states |
Kind code of ref document: A2 Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR |
|
AX | Request for extension of the european patent |
Extension state: AL BA MK RS |
|
TPAC | Observations filed by third parties |
Free format text: ORIGINAL CODE: EPIDOSNTIPA |
|
PUAL | Search report despatched |
Free format text: ORIGINAL CODE: 0009013 |
|
AK | Designated contracting states |
Kind code of ref document: A3 Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR |
|
AX | Request for extension of the european patent |
Extension state: AL BA MK RS |
|
AKX | Designation fees paid | ||
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN |
|
18D | Application deemed to be withdrawn |
Effective date: 20100331 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: 8566 |