WO2013037675A2 - Steueranordnung - Google Patents

Steueranordnung Download PDF

Info

Publication number
WO2013037675A2
WO2013037675A2 PCT/EP2012/067250 EP2012067250W WO2013037675A2 WO 2013037675 A2 WO2013037675 A2 WO 2013037675A2 EP 2012067250 W EP2012067250 W EP 2012067250W WO 2013037675 A2 WO2013037675 A2 WO 2013037675A2
Authority
WO
WIPO (PCT)
Prior art keywords
processing results
computer
signals
input signals
master
Prior art date
Application number
PCT/EP2012/067250
Other languages
English (en)
French (fr)
Other versions
WO2013037675A3 (de
Inventor
Thomas BOTH
Matthias Holzmüller
Jürgen REUPKE
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2013037675A2 publication Critical patent/WO2013037675A2/de
Publication of WO2013037675A3 publication Critical patent/WO2013037675A3/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L21/00Station blocking between signal boxes in one yard
    • B61L21/04Electrical locking and release of the route; Electrical repeat locks

Definitions

  • the invention relates to a method for operating a control arrangement for controlling a technical system, in particular a railway system, wherein the control arrangement comprises at least two computing devices.
  • Technical equipment such as railway equipment, Kings ⁇ nen be controlled, for example, computing devices, such as those sold by Siemens AG under the product name SICAS S7.
  • the invention has for its object to provide a method for operating a control arrangement, which is particularly reliable and also particularly high safety requirements, as they are usually required, for example in the field of railway technology, is justified.
  • each of the computation devices processes the same input signals of the technical system and generates the same processing results and the computation devices communicate with each other via a first communication device and interchange all input signals present on the input side as well as all processing results based thereon Error signal is he testifies ⁇ when the input signals and / or the processing results differ from each other.
  • An essential advantage of the method according to the invention is that the at least two computing devices behind the other share not only their processing results, but their input signals, so that always ensured ⁇ that both computing devices work under the same entry requirements and achieve for this reason DIE same processing results. Due to the Austau ⁇ ULTRASONIC both of the input signals and the processing results ⁇ a particularly high degree of certainty Lacsi ⁇ is thus achievable. It is considered particularly advantageous if one of the
  • Calculating devices as a master computer and the one or other of the at least two computing devices is operated as a slave computer.
  • the computing devices additionally communicate with each other via a second communication device and the slave computer receives from the master computer via this second communication device life sign signals, provided that it works correctly, and the slave computer in case of interruption first communication device assumes the role of the master computer and transmits its processing resulting ⁇ nit in the form of control signals as a master computer to the controlled technical equipment, if it bens Hilsignale no LE receives via the second communication device. Otherwise, as long as it receives sign of life signals via the second communication device, the slave computer preferably retains its role as slave computer when the first communication device is interrupted.
  • the machining cycles preferably extend in each case from the time of reading the input data to the Erzeu ⁇ gen processing results based thereon. In addition, it is considered advantageous if the
  • Computing devices in each processing cycle each exchange all input signals and all processing results and compare. By exchanging all input signals and all processing results deviations or errors can be determined particularly reliably.
  • the master computer to the input signals and the processing results of the slave computer for a predetermined waiting time and after each of the predetermined waiting time his next processing cycle begins. If the input signals and / or the processing results do not occur within the predetermined waiting time, the master computer preferably continues to operate as a single computer.
  • the master computer and the slave computer respectively operate a computer-specific time base and the time base of the master computer and that of the slave computer the first communication interface (for example by slowing down the operation of one of the computers) are synchronized, wherein the slave computer adapts the time specification of its time base to that of the master computer.
  • the computer-individual time bases can be formed, for example, by counters whose counter readings are changed, for example incremented, by clock generators.
  • a particularly high processing reliability of the input signals is achieved in an advantageous manner if at least one of the computing devices processes the input signals each having ⁇ means of two control program modules that produce the same processing results at identi ⁇ rule input signals in the error-free case, but program codes differ with respect to their production , the processing results of the two control program modules are compared by means of a peripheral module and the processing results of the computation ⁇ device in the form of control signals to the technical system to be controlled only output when the processing results of the two control program modules match ⁇ vote.
  • each of the computing devices in each case runs at least one Steuerpro ⁇ program module for processing the input signals and for Erzeu ⁇ gene of the processing results and each of the rake ⁇ devices each at least one independent of the control program module operates separate synchronization program module for operating the first communication device and for comparing the processing results.
  • the actuators of the technical system to be controlled can evaluate the control signals of the control arrangement in a particularly simple manner and to enable simple maintenance, it is considered advantageous if the processing results of the computing devices are respectively communicated to the actuators of the technical system to be controlled an identifier from which the role of the respective computing device is recognizable as a master or slave computer and the actuators of the technical system to be controlled in each case carry those control signals which carry a master identifier, if such exist, and only substitute control signals with slave Execute identifier.
  • Such an identifier can be formed, for example, by a logical bit in the control signal.
  • the invention also relates to a control arrangement for controlling a technical system, in particular a railway system, wherein the control arrangement comprises at least two computing devices.
  • diesbe ⁇ schreib provided that the calculation means are formed such Removing that they process the same input signals of the technical system in the fault-free case, and produce the same processing results, and the computing devices communicate with each other via a first communication device in connection and are designed such that they generate both between themselves all input side speedsssig ⁇ dimensional and replace all processing results based thereon, and an error signal when the proces ⁇ processing results and / or the input signals differ from each other ⁇ .
  • the control arrangement forms an interlocking computer of a railway interlocking.
  • the invention also relates to an arrangement with a control arrangement as described above and a technical system which is controlled by the control arrangement.
  • at least one actuator of the technical system is in communication with the at least two computing devices of the control arrangement and to receive control signals from the latter, which at least one actuator is configured such that it receives the control signals with respect to an identifier that detects the respective control signal as being from the master controller.
  • Computer or slave computer incoming characterizes, evaluates and executes those ⁇ control signals that carry a master identifier. ⁇ preference, be a substitute control signals with slave identifier out ⁇ leads in the absence of control signals with master code.
  • Exterior of the railway system in particular a switch, a track-free reporting device or a signal generator forms.
  • Figure 1 shows a first embodiment of a
  • Figure 2 shows a second embodiment of a
  • FIG. 1 shows a technical installation, which may be, for example, a railway installation.
  • the railway system is designated by the reference numeral 10 and comprises a first actuator 20 and a second actuator 30.
  • the first actuator 20 may be, for example, a signal generator of the outer plant of the railway system and the second actuator 30 is a switch of the outer plant of the railway system ,
  • the two actuators 20 and 30 each have two interface modules 21 and 22 or 31 and 32 and are available via data distribution devices 40 and 50, which are, for example, so-called switches (in English or fachspra ⁇ chig for switch or Star distributor), communicates with a control assembly 60.
  • data distribution devices 40 and 50 which are, for example, so-called switches (in English or fachspra ⁇ chig for switch or Star distributor), communicates with a control assembly 60.
  • the control arrangement 60 comprises a first computing device 70 and a second computing device 80, which are in a data connection with each other via a first communication device 90.
  • the first communication device 90 may be a so-called "router", for example.
  • the first re ⁇ chen 70 a first control program module 71 and a second control program module 72 which are in communication with a Peri ⁇ pheriebaustein 73rd
  • the two control program modules 71 and 72 which differ from one another in terms of their program code, are programmed in such a way that they produce the same processing results in the case of identical input signals in the error-free case.
  • FIG. 1 also shows a synchronization module 74, which is connected to a time base 75 and - As will be explained in more detail below - is used to synchronize the first computing device 70 with the second computing device 80.
  • the second computing device 80 may be identical to the first computing device 70, which will be assumed hereinafter for the sake of simplicity. Accordingly, 80 also includes the second computing device has two Steuerprogrammmo ⁇ modules 81 and 82, a peripheral device 83, a synchronization tion program module 84 and a time base 85th
  • the control device 60 formed by the two computing devices 70 and 80 and the router 90 is also in communication with an operating device 100, which is, for example, an interlocking operating device for operating the railway system 10.
  • the switched between the operating ⁇ device 100 and the rail system 10 STEU ⁇ er Rhein 60 thus forms an interlocking computer of a railway system 10 associated railway signal box.
  • the two computing devices 70 and 80 of the control arrangement 60 evaluate the input signals applied to the input side.
  • such input ⁇ signals are formed by the control device 100 as well as by the two actuators 20 and 30th
  • the input signals of the f ⁇ th actuator 20 are designated in Figure 1 by the reference numeral Eal; the input signals of the second actuator 30 carry the reference Ea2.
  • the input signals generated by the control device 100 in the case of the operator side turned give ⁇ NEN operating commands are indicated in Figure 1 by the reference numeral Eb.
  • the two computing devices 70 and 80 evaluate the input signals Eal, Ea2 and Eb applied to the input side and generate processing results.
  • the two control program modules 71 and 72 of the first computing device 70 parallel the applied input signals and send their processing results to the peripheral device 73.
  • the peripheral device 73 sends its own processing results via the first communication device 90 to the second computing device 80 and checks whether its own processing results with which the second computing device 80 match.
  • the processing results of the ers ⁇ th calculation means 70 are indicated in Figure 1 with the reference numbers VI.
  • the two control program modules work 81 and 82 of the second arithmetic means 80. These also process the input side input signals and generate processing results are compared with those of the ers ⁇ th calculation means 70 and the peripheral device 83 and the first communication device 90 to the first computing device 70 arrive.
  • the processing results of the second computing device 80 are identified in FIG. 1 by the reference symbol V2.
  • the input signals present on the input side are also exchanged via the first communication device between the two computing devices 70 and 80.
  • the exchanged signals are input ⁇ identified in FIG 1 by reference numeral E.
  • the two arithmetic units 70 and 80 compare the input signals E and the obtained processing results VI and V2, respectively, with the own input signals and the own processing results and generate an error signal F if a deviation between the input signals and / or the processing results. results of work.
  • the two computing devices 70 and 80 are connected via the communication have agreed 90 that the first computing device 70 as a master computer (master technical language for "Mr.") and the second computing device 80 as a slave computer (slave technical language for "slave”) to be operated.
  • the peripheral module 73 of the first computing device 70 is provided with control signals STm for controlling the railway system 10 with a master identifier and transmitted via the data distribution device 40 to the two actuators 20 and 30.
  • the master identification in the control signal STm makes it possible to recognize the two actuators 20 and 30 such that the Steuersig ⁇ dimensional STm are generated by a master computer.
  • the computing device 80 which is thus operated in slave mode, generates in a corresponding manner control signals STs, which correspond in content to the control signals of the first computing device 70; In contrast, however, they contain a slave identifier instead of a master identifier.
  • the control signals STs generated by the computing device 80 which reach the two actuators 20 and 30 via the data distribution device 50, are thus recognizable as slave control signals on the actuator side.
  • the two actuators 20 and 30 thus each receive two control signals STm and STs via the data distributing devices 40 and 50, whereby they can recognize on the basis of the master identifier and the slave identifier which of the control signals from the master computer and that from the master computer. Calculator is coming.
  • Each of the two actuators 20 and 30 is configured such that in each case the control signals are evaluated and implemented with the master identifier vorran ⁇ gig, if such exist ⁇ gen. So, for example, it is assumed that the two actuators 20 and 30 both control signals STm with master identifier as well as control signals STs obtained with slave identifier, so the two actuators 20 and 30 respectively use the STE ⁇ control signals STm with the master identifier and discard the control signals STs with the slave identifier. However, if the two actuators 20 and 30 determine that there are only control signals STs with a slave identifier and control signals STm with a master identifier are missing, they will substitute the control signals with the slave identifier STs.
  • the two computing devices 70 and 80 determine that there is no reaction of the other computing device, they will preferably proceed as follows:
  • the second computing device 80 (slave computer) determines that no input signals E and no processing results VI are transmitted via the first communication device 90 by the first computing device 70 (master computer) , it assumes that the first computing device 70 has failed. In this case, it is provided its own control signals including a master identifier, and then send Steuersig ⁇ dimensional STm with master identifier instead of said control signals STs with slave identifier. In other words, therefore, the second computing device 80 will take over the function of a master computer and generate corresponding master control signals.
  • the master control signals STm of the second computing device 80 will pass via the data distribution device 50 to the two actuators 20 and 30, which thus continue to receive control signals STm with master identifier despite failure of the first computing device 70 and implement accordingly.
  • These components can, for example, be operated in such a way that the computing device operated as a slave computer adopts the respective time specification of the time base of the computing device operated as a master computer at least once per processing cycle. This has the consequence that the two time bases 75 and 85 work at least approximately in time or at the same time.
  • the master processor waits for a predetermined waiting time after sending the own processing results VI until it starts with the next processing cycle.
  • the predetermined waiting time is preferably dimensioned such that in the fault-free case munikations adopted the input signals and processing o ⁇ beitungsient of the other computer via the com- 90 must be transmitted.
  • FIG. 2 shows a second embodiment of an arrangement with a railway system 10, a control arrangement 60 and an operating device 100.
  • the two computing devices 70 and 80 not only on the first communication device 90, but also connected via a second communication ⁇ device 110 with each other.
  • the arrangement according to FIG. 2 can be operated, for example, as follows:
  • the two control devices 70 and 80 regularly generate life sign signals S1, which they exchange via the second communication device 110.
  • the two computing devices 70 and 80 know that the other computing device is still active and working.
  • Now there is a fault in the first communication device 90 so that no input signals E and no processing resulting ⁇ nisse VI and V2 more can be exchanged, the two computing devices 70 and 80 yet to determine whether the other computing device is still working and in is able to generate control signals STm or STs.
  • the second computing device 80 proceeds from the fact that the first computing device 70 is still operating correctly, and generated as Mas ⁇ ter-computer control signals STm and in part on the data encryption device 40 to the two actuators 20 and 30 forwards.
  • the second computing device 80 determines that neither the first communication device 90 nor the second communication device 110 receives signals from the computing device 70 operating as a master computer, it assumes that this first computing device 70 has failed completely and none Control signals generated more. In this case, it is provided with its own control signals with a master identifier and control signals STm on the
  • the second communication device 110 may be formed for example by a simple signal line, since only simple vital sign signals, not complex, however, Infor ⁇ mation as input signals and processing results need to be replaced.
  • the second communication device 110 may thus be constructed more cost-effective and technically simpler in an advantageous manner as the first communica ⁇ nikations worn 90 which guarantees has to make ⁇ a transmission of the input signals E, and the processing results of VI and V2. While the invention has been further illustrated and described in detail by the preferred embodiments, the invention is not limited by the disclosed examples, and other variations can be derived therefrom by those skilled in the art without departing from the scope of the invention.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Die Erfindung bezieht sich u. a. auf ein Verfahren zum Betreiben einer Steueranordnung (60) zur Steuerung einer technischen Anlage, insbesondere einer Eisenbahnanlage (10), wobei die Steueranordnung (60) zumindest zwei Recheneinrichtungen (70, 80) umfasst. Erfindungsgemäß ist vorgesehen, dass jede der Recheneinrichtungen (70, 80) im fehlerfreien Fall jeweils dieselben Eingangssignale (E, Ea1, Ea2, Eb) der technischen Anlage (10) verarbeitet und dieselben Verarbeitungsergebnisse (V1, V2) erzeugt und die Recheneinrichtungen (70, 80) miteinander über eine erste Kommunikationseinrichtung (90) in Verbindung stehen und untereinander sowohl alle eingangsseitig anliegenden Eingangssignale (E) als auch alle darauf beruhenden Verarbeitungsergebnisse (V1, V2) austauschen und ein Fehlersignal (F) erzeugt wird, wenn die Eingangssignale (E) und/oder die Verarbeitungsergebnisse (V1, V2) voneinander abweichen.

Description

Beschreibung
Steueranordnung Die Erfindung bezieht sich auf ein Verfahren zum Betreiben einer Steueranordnung zur Steuerung einer technischen Anlage, insbesondere einer Eisenbahnanlage, wobei die Steueranordnung zumindest zwei Recheneinrichtungen umfasst. Technische Anlagen, wie beispielsweise Eisenbahnanlagen, kön¬ nen beispielsweise mit Recheneinrichtungen gesteuert werden, wie sie von der Siemens AG unter dem Produktnamen SICAS S7 vertrieben werden. Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Betreiben einer Steueranordnung anzugeben, das besonders zuverlässig ist und auch besonders hohen Sicherheitsanforderungen, wie sie beispielsweise im Bereich der Eisenbahntechnik üblicherweise gefordert werden, gerecht wird.
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den Merkmalen gemäß Patentanspruch 1 gelöst. Vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sind in Unteransprüchen angegeben.
Danach ist erfindungsgemäß vorgesehen, dass jede der Recheneinrichtungen im fehlerfreien Fall jeweils dieselben Eingangssignale der technischen Anlage verarbeitet und dieselben Verarbeitungsergebnisse erzeugt und die Recheneinrichtungen miteinander über eine erste Kommunikationseinrichtung in Verbindung stehen und untereinander sowohl alle eingangsseitig anliegenden Eingangssignale als auch alle darauf beruhenden Verarbeitungsergebnisse austauschen und ein Fehlersignal er¬ zeugt wird, wenn die Eingangssignale und/oder die Verarbei- tungsergebnisse voneinander abweichen.
Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass die zumindest zwei Recheneinrichtungen un- tereinander nicht nur ihre Verarbeitungsergebnisse, sondern auch ihre Eingangssignale austauschen, so dass stets sicher¬ gestellt ist, dass beide Recheneinrichtungen unter gleichen Eingangsvoraussetzungen arbeiten und aus diesem Grunde die- selben Verarbeitungsergebnisse erzielen. Aufgrund des Austau¬ sches sowohl der Eingangssignale als auch der Verarbeitungs¬ ergebnisse ist somit ein besonders hohes Maß an Betriebssi¬ cherheit erreichbar. Als besonders vorteilhaft wird es angesehen, wenn eine der
Recheneinrichtungen als Master-Rechner und der oder die anderen der zumindest zwei Recheneinrichtungen als Slave-Rechner betrieben wird. Bei der letztgenannten Ausgestaltung ist es besonders vorteilhaft, wenn die Recheneinrichtungen zusätzlich über eine zweite Kommunikationseinrichtung miteinander in Verbindung stehen und der Slave-Rechner vom Master-Rechner über diese zweite Kommunikationseinrichtung Lebenszeichensignale erhält, sofern dieser korrekt arbeitet, und der Slave-Rechner bei Unterbrechung der ersten Kommunikationseinrichtung die Rolle des Master-Rechners übernimmt und seine Verarbeitungsergeb¬ nisse in Form von Steuersignalen als Master-Rechner an die zu steuernde technische Anlage weiterleitet, wenn er keine Le- benszeichensignale über die zweite Kommunikationseinrichtung erhält. Andernfalls, solange er also Lebenszeichensignale über die zweite Kommunikationseinrichtung erhält, behält der Slave-Rechner bei Unterbrechung der ersten Kommunikationseinrichtung vorzugsweise seine Rolle als Slave-Rechner bei.
Durch das Vorsehen einer zweiten Kommunikationseinrichtung wird die Arbeitssicherheit der Steueranordnung noch weiter erhöht, da nämlich im Falle des Ausfalls der ersten Kommunikationseinrichtung dennoch sichergestellt ist, dass die bei¬ den Recheneinrichtungen feststellen können, ob die jeweils andere Recheneinrichtung noch aktiv ist und ihrer vorgegebenen Rolle gerecht werden kann. So kann beispielsweise eine als Slave-Rechner betriebene Recheneinrichtung feststellen, dass die als Master-Rechner betriebene Recheneinrichtung noch arbeitet und die Steuerung der technischen Anlage noch selbst durchführen kann.
Um zu erreichen, dass die Recheneinrichtungen der Steueran- Ordnung auf Eingangssignale zurückgreifen, die sich zeitlich zumindest näherungsweise entsprechen, wird es als vorteilhaft angesehen, wenn die Recheneinrichtungen über die erste Kommunikationseinrichtung eine Zyklussynchronisation ihrer Bearbeitungszyklen durchführen.
Die Bearbeitungszyklen erstrecken sich vorzugsweise jeweils vom Zeitpunkt des Einlesens der Eingangsdaten bis zum Erzeu¬ gen der darauf beruhenden Verarbeitungsergebnisse. Darüber hinaus wird es als vorteilhaft angesehen, wenn die
Recheneinrichtungen in jedem Bearbeitungszyklus jeweils alle Eingangssignale und alle Verarbeitungsergebnisse austauschen und miteinander vergleichen. Durch einen Austausch aller Eingangssignale und aller Verarbeitungsergebnisse können sich Abweichungen bzw. Fehler besonders zuverlässig feststellen lassen .
Mit Blick auf eine besonders einfache, aber zuverlässige Zyk¬ lussynchronisation wird es als vorteilhaft angesehen, wenn im Rahmen der Zyklussynchronisation der Master-Rechner auf die Eingangssignale und die Verarbeitungsergebnisse des Slave- Rechners für eine vorgegebene Wartezeit wartet und jeweils nach Ablauf der vorgegebenen Wartezeit seinen nächsten Bearbeitungszyklus beginnt. Bei Ausbleiben der Eingangssignale und/oder der Verarbeitungsergebnisse innerhalb der vorgegebe¬ nen Wartezeit arbeitet der Master-Rechner vorzugsweise als Einzelrechner weiter.
Für eine über eine reine Zyklussynchronisation hinausgehende Zeit- und/oder Taktsynchronisation wird es als vorteilhaft angesehen, wenn der Master-Rechner und der Slave-Rechner jeweils eine rechnerindividuelle Zeitbasis betreiben und die Zeitbasis des Master-Rechners und die des Slave-Rechners über die erste Kommunikationsschnittstelle (beispielsweise durch Verlangsamung der Arbeitsweise eines der Rechner) synchronisiert werden, wobei der Slave-Rechner die Zeitangabe seiner Zeitbasis an die des Master-Rechners anpasst. Die rechnerin- dividuellen Zeitbasen können beispielsweise durch Zähler gebildet werden, deren Zählerstände durch Taktgeneratoren verändert, beispielsweise hochgezählt, werden.
Eine besonders hohe Verarbeitungssicherheit der Eingangssig- nale wird in vorteilhafter Weise erreicht, wenn zumindest eine der Recheneinrichtungen die Eingangssignale jeweils mit¬ tels zweier Steuerprogrammmodule verarbeitet, die bei identi¬ schen Eingangssignalen im fehlerfreien Fall dieselben Verarbeitungsergebnisse erzeugen, aber sich bezüglich ihres Pro- grammcodes unterscheiden, die Verarbeitungsergebnisse der beiden Steuerprogrammmodule mittels eines Peripheriebausteins verglichen werden und die Verarbeitungsergebnisse der Rechen¬ einrichtung in Form von Steuersignalen an die zu steuernde technische Anlage nur dann ausgegeben werden, wenn die Verar- beitungsergebnisse der beiden Steuerprogrammmodule überein¬ stimmen .
Mit Blick auf einen autarken Betrieb der ersten Kommunikationseinrichtung wird es als vorteilhaft angesehen, wenn jede der Recheneinrichtungen jeweils mindestens ein Steuerpro¬ grammmodul zum Verarbeiten der Eingangssignale und zum Erzeu¬ gen der Verarbeitungsergebnisse betreibt und jede der Rechen¬ einrichtungen jeweils mindestens ein von dem Steuerprogrammmodul unabhängiges separates Synchronisationsprogrammmodul zum Betreiben der ersten Kommunikationseinrichtung und zum Vergleichen der Verarbeitungsergebnisse betreibt.
Um zu erreichen, dass die zu steuernden Aktoren der technischen Anlage die Steuersignale der Steueranordnung besonders einfach auswerten können, und um eine einfache Wartung zu ermöglichen, wird es als vorteilhaft angesehen, wenn die Verarbeitungsergebnisse der Recheneinrichtungen an die zu steuernden Aktoren der technischen Anlage jeweils mit einer Kennung übersandt werden, aus der die Rolle der jeweiligen Recheneinrichtung als Master- oder Slave-Rechner erkennbar ist und die zu steuernden Aktoren der technischen Anlage jeweils diejenigen Steuersignale ausführen, die eine Master-Kennung tragen, sofern solche vorliegen, und nur ersatzweise Steuersignale mit Slave-Kennung ausführen. Eine solche Kennung kann beispielsweise durch ein logisches Bit im Steuersignal gebildet werden . Die Erfindung bezieht sich darüber hinaus auf eine Steueranordnung zur Steuerung einer technischen Anlage, insbesondere einer Eisenbahnanlage, wobei die Steueranordnung zumindest zwei Recheneinrichtungen umfasst. Erfindungsgemäß ist diesbe¬ züglich vorgesehen, dass die Recheneinrichtungen derart aus- gebildet sind, dass sie im fehlerfreien Fall dieselben Eingangssignale der technischen Anlage verarbeiten und dieselben Verarbeitungsergebnisse erzeugen, und die Recheneinrichtungen miteinander über eine erste Kommunikationseinrichtung in Verbindung stehen und derart ausgestaltet sind, dass sie unter- einander sowohl alle eingangsseitig anliegenden Eingangssig¬ nale als auch alle darauf beruhenden Verarbeitungsergebnisse austauschen und ein Fehlersignal erzeugen, wenn die Verarbei¬ tungsergebnisse und/oder die Eingangssignale voneinander ab¬ weichen .
Bezüglich der Vorteile der erfindungsgemäßen Steueranordnung sei auf die obigen Ausführungen im Zusammenhang mit dem erfindungsgemäßen Verfahren verwiesen, da die Vorteile des erfindungsgemäßen Verfahrens denen der erfindungsgemäßen Steu- eranordnung im Wesentlichen entsprechen.
Vorzugsweise bildet die Steueranordnung einen Stellwerksrechner eines Eisenbahnstellwerks. Die Erfindung bezieht sich darüber hinaus auf eine Anordnung mit einer Steueranordnung, wie sie oben beschrieben ist, sowie einer technischen Anlage, die von der Steueranordnung gesteuert wird. Erfindungsgemäß ist bezüglich einer solchen An- Ordnung vorgesehen, dass zumindest ein Aktor der technischen Anlage mit den zumindest zwei Recheneinrichtungen der Steueranordnung in Verbindung steht und von diesen Steuersignale erhält, der zumindest eine Aktor derart ausgestaltet ist, dass er die Steuersignale hinsichtlich einer Kennung, die das jeweilige Steuersignal als vom Master-Rechner oder Slave- Rechner kommend kennzeichnet, auswertet und diejenigen Steu¬ ersignale ausführt, die eine Master-Kennung tragen. Vorzugs¬ weise werden bei Ausbleiben von Steuersignalen mit Master- Kennung ersatzweise Steuersignale mit Slave-Kennung ausge¬ führt .
Bezüglich der Vorteile der erfindungsgemäßen Anordnung sei auf die obigen Ausführungen im Zusammenhang mit dem erfin- dungsgemäßen Verfahren verwiesen, da die Vorteile des erfindungsgemäßen Verfahrens denen der erfindungsgemäßen Anordnung im Wesentlichen entsprechen.
Als besonders vorteilhaft wird es angesehen, wenn die Steuer- anordnung einen Stellwerksrechner eines Eisenbahnsteilwerks bildet und der zumindest eine Aktor eine Komponente der
Außenanlage der Eisenbahnanlage, insbesondere eine Weiche, eine Gleisfreimeldeeinrichtung oder einen Signalgeber, bildet .
Die Erfindung wird nachfolgend anhand von Ausführungsbeispie¬ len näher erläutert; dabei zeigen beispielhaft:
Figur 1 ein erstes Ausführungsbeispiel für eine
erfindungsgemäße Anordnung, anhand derer das er¬ findungsgemäße Verfahren beispielhaft erläutert wird, und
Figur 2 ein zweites Ausführungsbeispiel für eine
erfindungsgemäße Anordnung. In den Figuren werden der Übersicht halber für identische oder vergleichbare Komponenten stets dieselben Bezugszeichen verwendet . Die Figur 1 zeigt eine technische Anlage, bei der es sich beispielsweise um eine Eisenbahnanlage handeln kann. Die Eisenbahnanlage ist mit dem Bezugszeichen 10 bezeichnet und umfasst einen ersten Aktor 20 sowie einen zweiten Aktor 30. Bei dem ersten Aktor 20 kann es sich beispielsweise um einen Signalgeber der Außenanlage der Eisenbahnanlage und bei dem zweiten Aktor 30 um eine Weiche der Außenanlage der Eisenbahnanlage handeln.
Die beiden Aktoren 20 und 30 weisen jeweils zwei Schnittstel- lenmodule 21 und 22 bzw. 31 und 32 auf und stehen über Daten- verteileinrichtungen 40 und 50, bei denen es sich beispielsweise um sogenannte Switches (englischsprachig bzw. fachspra¬ chig für Schalter bzw. Sternverteiler) handeln kann, mit einer Steueranordnung 60 in Verbindung.
Die Steueranordnung 60 umfasst eine erste Recheneinrichtung 70 sowie eine zweite Recheneinrichtung 80, die über eine erste Kommunikationseinrichtung 90 miteinander in einer Datenverbindung stehen. Bei der ersten Kommunikationseinrich- tung 90 kann es sich beispielsweise um einen so genannten "Router" handeln.
Wie sich in der Figur 1 erkennen lässt, weist die erste Re¬ cheneinrichtung 70 ein erstes Steuerprogrammmodul 71 sowie ein zweites Steuerprogrammmodul 72 auf, die mit einem Peri¬ pheriebaustein 73 in Verbindung stehen. Die beiden Steuerprogrammmodule 71 und 72, die sich hinsichtlich ihres Programmcodes voneinander unterscheiden, sind derart programmiert, dass sie bei identischen Eingangssignalen im fehlerfreien Fall dieselben Verarbeitungsergebnisse erzeugen.
Die Figur 1 zeigt darüber hinaus einen Synchronisationsbau¬ stein 74, der mit einer Zeitbasis 75 in Verbindung steht und - wie weiter unten noch näher erläutert werden wird - zur Synchronisation der ersten Recheneinrichtung 70 mit der zweiten Recheneinrichtung 80 dient. Die zweite Recheneinrichtung 80 kann mit der ersten Recheneinrichtung 70 identisch sein, wovon hier nachfolgend der Einfachheit halber ausgegangen wird. Demgemäß umfasst die zweite Recheneinrichtung 80 ebenfalls zwei Steuerprogrammmo¬ dule 81 und 82, einen Peripheriebaustein 83, ein Synchronisa- tionsprogrammmodul 84 sowie eine Zeitbasis 85.
Die durch die beiden Recheneinrichtungen 70 und 80 sowie den Router 90 gebildete Steuereinrichtung 60 steht außerdem mit einer Bedieneinrichtung 100 in Verbindung, bei der es sich beispielsweise um eine Stellwerksbedieneinrichtung zum Bedienen der Eisenbahnanlage 10 handelt. Die zwischen die Bedien¬ einrichtung 100 und die Eisenbahnanlage 10 geschaltete Steu¬ ereinrichtung 60 bildet somit einen Stellwerksrechner eines der Eisenbahnanlage 10 zugeordneten Eisenbahnstellwerks.
Die in der Figur 1 dargestellte Anordnung lässt sich bei¬ spielsweise wie folgt betreiben:
Die beiden Recheneinrichtungen 70 und 80 der Steueranordnung 60 werten die eingangsseitig anliegenden Eingangssignale aus. Bei der Darstellung gemäß Figur 1 werden derartige Eingangs¬ signale durch die Bedieneinrichtung 100 sowie durch die beiden Aktoren 20 und 30 gebildet. Die Eingangssignale des ers¬ ten Aktors 20 sind in der Figur 1 mit dem Bezugszeichen Eal bezeichnet; die Eingangssignale des zweiten Aktors 30 tragen das Bezugszeichen Ea2. Die von der Bedieneinrichtung 100 erzeugten Eingangssignale im Fall von bedienerseitig eingegebe¬ nen Bedienbefehlen sind in der Figur 1 mit dem Bezugszeichen Eb gekennzeichnet.
Die beiden Recheneinrichtungen 70 und 80 werten die eingangsseitig anliegenden Eingangssignale Eal, Ea2 und Eb aus und erzeugen Verarbeitungsergebnisse. Zu diesem Zweck verarbeiten die beiden Steuerprogrammmodule 71 und 72 der ersten Rechen¬ einrichtung 70 die anliegenden Eingangssignale parallel und senden ihre Verarbeitungsergebnisse zu dem Peripheriebaustein 73. Der Peripheriebaustein 73 sendet die eigenen Verarbei- tungsergebnisse über die erste Kommunikationseinrichtung 90 zur zweiten Recheneinrichtung 80 und prüft, ob die eigenen Verarbeitungsergebnisse mit denen der zweiten Recheneinrichtung 80 übereinstimmen. Die Verarbeitungsergebnisse der ers¬ ten Recheneinrichtung 70 sind in der Figur 1 mit dem Bezugs- zeichen VI gekennzeichnet.
In entsprechender Weise arbeiten die beiden Steuerprogrammmodule 81 und 82 der zweiten Recheneinrichtung 80. Auch diese verarbeiten die eingangsseitig anliegenden Eingangssignale und erzeugen Verarbeitungsergebnisse, die mit denen der ers¬ ten Recheneinrichtung 70 verglichen werden und über den Peripheriebaustein 83 und die erste Kommunikationseinrichtung 90 zur ersten Recheneinrichtung 70 gelangen. Die Verarbeitungsergebnisse der zweiten Recheneinrichtung 80 sind in der Figur 1 mit dem Bezugszeichen V2 gekennzeichnet.
Neben den Verarbeitungsergebnissen VI und V2 werden auch die eingangsseitig anliegenden Eingangssignale über die erste Kommunikationseinrichtung zwischen den beiden Recheneinrich- tungen 70 und 80 ausgetauscht. Die ausgetauschten Eingangs¬ signale sind in der Figur 1 mit dem Bezugszeichen E gekennzeichnet .
Die beiden Recheneinrichtungen 70 und 80 vergleichen die von der jeweils anderen Recheneinrichtung erhaltenen Eingangssignale E und die erhaltenen Verarbeitungsergebnisse VI bzw. V2 mit den eigenen Eingangssignalen und den eigenen Verarbeitungsergebnissen und erzeugen ein Fehlersignal F, wenn eine Abweichung zwischen den Eingangssignalen und/oder den Verar- beitungsergebnissen festgestellt wird.
Nachfolgend wird beispielhaft davon ausgegangen, dass die beiden Recheneinrichtungen 70 und 80 über die Kommunikations- einrichtung 90 vereinbart haben, dass die erste Recheneinrichtung 70 als Master-Rechner (Master fachsprachlich für "Herr") und die zweite Recheneinrichtung 80 als Slave-Rechner (Slave fachsprachlich für "Sklave") betrieben werden soll. Demgemäß wird der Peripheriebaustein 73 der ersten Recheneinrichtung 70 Steuersignale STm zur Steuerung der Eisenbahnanlage 10 mit einer Master-Kennung versehen und über die Daten- verteileinrichtung 40 zu den beiden Aktoren 20 und 30 übersenden. Die Master-Kennung im Steuersignal STm ermöglicht es den beiden Aktoren 20 und 30 zu erkennen, dass die Steuersig¬ nale STm von einem Master-Rechner erzeugt worden sind.
Die Recheneinrichtung 80, die also im Slave-Betrieb betrieben wird, erzeugt in entsprechender Weise Steuersignale STs, die inhaltlich den Steuersignalen der ersten Recheneinrichtung 70 entsprechen; im Unterschied dazu enthalten sie jedoch anstelle einer Master-Kennung eine Slave-Kennung. Die von der Recheneinrichtung 80 erzeugten Steuersignale STs, die über die Datenverteileinrichtung 50 zu den beiden Aktoren 20 und 30 gelangen, sind also als Slave-Steuersignale aktorseitig erkennbar .
Die beiden Aktoren 20 und 30 erhalten somit über die Daten- verteileinrichtungen 40 und 50 jeweils zwei Steuersignale STm und STs, wobei sie anhand der Master-Kennung und der Slave- Kennung erkennen können, welches der Steuersignale vom Master-Rechner und welches vom Slave-Rechner kommt.
Jeder der beiden Aktoren 20 und 30 ist derart ausgestaltet, dass jeweils die Steuersignale mit der Master-Kennung vorran¬ gig ausgewertet und umgesetzt werden, sofern solche vorlie¬ gen. Wird also beispielsweise davon ausgegangen, dass die beiden Aktoren 20 und 30 sowohl Steuersignale STm mit Master- Kennung als auch Steuersignale STs mit Slave-Kennung erhal- ten, so werden die beiden Aktoren 20 und 30 jeweils die Steu¬ ersignale STm mit der Master-Kennung verwerten und die Steuersignale STs mit der Slave-Kennung verwerfen. Stellen die beiden Aktoren 20 und 30 jedoch fest, dass lediglich Steuersignale STs mit einer Slave-Kennung vorliegen und Steuersignale STm mit einer Master-Kennung fehlen, so werden sie ersatzweise die Steuersignale mit der Slave-Kennung STs umsetzen.
Falls die beiden Recheneinrichtungen 70 und 80 im Rahmen ihres Datenaustausches über die erste Kommunikationseinrichtung 90 feststellen, dass eine Reaktion der jeweils anderen Re- cheneinrichtung ausbleibt, so werden sie vorzugsweise wie folgt vorgehen:
1. Ausfall der ersten Recheneinrichtung 70 (Master-Rechner): Stellt die zweite Recheneinrichtung 80 ( Slave-Rechner) fest, dass von der ersten Recheneinrichtung 70 (Master-Rechner) keine Eingangssignale E und keine Verarbeitungsergebnisse VI über die erste Kommunikationseinrichtung 90 übermittelt werden, so geht sie davon aus, dass die erste Recheneinrichtung 70 ausgefallen ist. In diesem Fall wird sie die eigenen Steu- ersignale mit einer Master-Kennung versehen und anstelle der Steuersignale STs mit Slave-Kennung anschließend Steuersig¬ nale STm mit Master-Kennung übersenden. Mit anderen Worten wird also die zweite Recheneinrichtung 80 die Funktion eines Master-Rechners übernehmen und entsprechende Master- Steuersignale erzeugen.
Die Master-Steuersignale STm der zweiten Recheneinrichtung 80 werden über die Datenverteileinrichtung 50 zu den beiden Aktoren 20 und 30 gelangen, die somit trotz Ausfalls der ersten Recheneinrichtung 70 weiterhin oder wieder Steuersignale STm mit Master-Kennung erhalten und entsprechend umsetzen können.
2. Ausfall der zweiten Recheneinrichtung 80 (Slave-Rechner): Stellt die erste Recheneinrichtung 70 (Master-Rechner) fest, dass von der zweiten Recheneinrichtung 80 über die Kommunikationseinrichtung 90 keine Eingangssignale E und keine Verar¬ beitungsergebnisse mehr übertragen werden, so wird die Re¬ cheneinrichtung 70 als Einzelrechner weiterarbeiten und wei- terhin in der Funktion als Master-Rechner Steuersignale erzeugen und mit der Master-Kennung über die Datenverteilein- richtung 40 an die beiden Aktoren 20 und 30 übermitteln. Um zu gewährleisten, dass die beiden Recheneinrichtungen 70 und 80 synchronisiert miteinander arbeiten, weisen die beiden Recheneinrichtungen jeweils die Synchronisationsprogrammmo¬ dule 74 bzw. 84 sowie die beiden Zeitbasen 75 bzw. 85 auf. Diese Komponenten können beispielsweise derart betrieben wer- den, dass die als Slave-Rechner betriebene Recheneinrichtung die jeweilige Zeitangabe der Zeitbasis der als Master-Rechner betriebenen Recheneinrichtung zumindest einmal pro Bearbeitungszyklus übernimmt. Dies hat zur Folge, dass die beiden Zeitbasen 75 und 85 zumindest näherungsweise im Takt bzw. zeitgleich arbeiten.
Um darüber hinaus auch eine Zyklussynchronisation der Bearbeitungszyklen zu erreichen, wird es als vorteilhaft angese¬ hen, wenn der Master-Rechner eine vorgegebene Wartezeit nach dem Übersenden der eigenen Verarbeitungsergebnisse VI wartet, bis er mit dem jeweils nächsten Bearbeitungszyklus beginnt. Die vorgegebene Wartezeit ist vorzugsweise derart bemessen, dass im fehlerfreien Fall die Eingangssignale und die Verar¬ beitungsergebnisse des jeweils anderen Rechners über die Kom- munikationseinrichtung 90 übertragen sein müssen.
Die Figur 2 zeigt ein zweites Ausführungsbeispiel für eine Anordnung mit einer Eisenbahnanlage 10, einer Steueranordnung 60 sowie einer Bedieneinrichtung 100. Im Unterschied zu dem Ausführungsbeispiel gemäß Figur 1 sind bei dem Ausführungs¬ beispiel gemäß Figur 2 die beiden Recheneinrichtungen 70 und 80 nicht nur über die erste Kommunikationseinrichtung 90, sondern darüber hinaus auch über eine zweite Kommunikations¬ einrichtung 110 miteinander verbunden.
Die Anordnung gemäß Figur 2 lässt sich beispielsweise wie folgt betreiben: Die beiden Steuereinrichtungen 70 und 80 erzeugen jeweils regelmäßig Lebenszeichensignale Sl, die sie über die zweite Kommunikationseinrichtung 110 austauschen. Damit wissen die beiden Recheneinrichtungen 70 und 80, dass die jeweils andere Recheneinrichtung noch aktiv ist und arbeitet. Kommt es nun zu einer Störung der ersten Kommunikationseinrichtung 90, so dass keine Eingangssignale E und keine Verarbeitungsergeb¬ nisse VI bzw. V2 mehr ausgetauscht werden können, so können die beiden Recheneinrichtungen 70 und 80 dennoch feststellen, ob die jeweils andere Recheneinrichtung noch arbeitet und in der Lage ist, Steuersignale STm bzw. STs zu erzeugen. Stellt beispielsweise die als Slave-Rechner arbeitende Rechenein¬ richtung 80 fest, dass zwar über die erste Kommunikationseinrichtung 90 von der als Master-Rechner arbeitenden Rechenein- richtung 70 keine Eingangssignale E und keine Verarbeitungs¬ ergebnisse VI empfangen werden, dennoch aber über die zweite Kommunikationseinrichtung 110 Lebenszeichensignale Sl einge¬ hen, so wird die zweite Recheneinrichtung 80 ihren Slave-Be- trieb weiter aufrechterhalten und ihre Steuersignale STs mit einer Slave-Kennung erzeugen und über die Datenverteilein- richtung 50 zu den beiden Aktoren 20 und 30 übermitteln. Die zweite Recheneinrichtung 80 geht dabei davon aus, dass die erste Recheneinrichtung 70 noch korrekt arbeitet und als Mas¬ ter-Rechner Steuersignale STm erzeugt und über die Datenver- teileinrichtung 40 an die beiden Aktoren 20 und 30 weiterleitet .
Stellt die zweite Recheneinrichtung 80 hingegen fest, dass weder über die erste Kommunikationseinrichtung 90 noch über die zweite Kommunikationseinrichtung 110 Signale der als Mas¬ ter-Rechner arbeitenden Recheneinrichtung 70 eingehen, so geht sie davon aus, dass diese erste Recheneinrichtung 70 völlig ausgefallen ist und keine Steuersignale mehr erzeugt. In diesem Fall wird sie die eigenen Steuersignale mit einer Master-Kennung versehen und als Steuersignale STm über die
Verteileinrichtung 50 an die beiden Aktoren 20 und 30 weiterleiten. Damit ist sichergestellt, dass auch im Falle eines Ausfalls der als Master-Rechner arbeitenden ersten Rechenein- richtung 70 Steuersignale mit einer Master-Kennung erzeugt und zu den beiden Aktoren 20 und 30 gesendet werden.
Die zweite Kommunikationseinrichtung 110 kann beispielsweise durch eine einfache Signalleitung gebildet sein, da lediglich einfache Lebenszeichensignale, nicht hingegen komplexe Infor¬ mationen, wie Eingangssignale und Verarbeitungsergebnisse ausgetauscht werden müssen. Die zweite Kommunikationseinrichtung 110 kann damit in vorteilhafter Weise kostengünstiger und technisch einfacher ausgebildet sein als die erste Kommu¬ nikationseinrichtung 90, die eine Übertragung der Eingangssignale E sowie der Verarbeitungsergebnisse VI und V2 gewähr¬ leisten muss. Obwohl die Erfindung im Detail durch die bevorzugten Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. Verfahren zum Betreiben einer Steueranordnung (60) zur Steuerung einer technischen Anlage, insbesondere einer Eisen- bahnanlage (10), wobei die Steueranordnung (60) zumindest zwei Recheneinrichtungen (70, 80) umfasst,
d a d u r c h g e k e n n z e i c h n e t, dass
- jede der Recheneinrichtungen (70, 80) im fehlerfreien Fall jeweils dieselben Eingangssignale (E, Eal, Ea2, Eb) der technischen Anlage (10) verarbeitet und dieselben Verar¬ beitungsergebnisse (VI, V2) erzeugt und
- die Recheneinrichtungen (70, 80) miteinander über eine
erste Kommunikationseinrichtung (90) in Verbindung stehen und untereinander sowohl alle eingangsseitig anliegenden Eingangssignale (E) als auch alle darauf beruhenden Verar¬ beitungsergebnisse (VI, V2) austauschen und ein Fehlersig¬ nal (F) erzeugt wird, wenn die Eingangssignale (E)
und/oder die Verarbeitungsergebnisse (VI, V2) voneinander abweichen .
2. Verfahren nach Anspruch 1,
d a d u r c h g e k e n n z e i c h n e t, dass
- eine der Recheneinrichtungen (70, 80) als Master-Rechner und der oder die anderen der zumindest zwei Recheneinrich- tungen (70, 80) als Slave-Rechner betrieben wird,
- die Recheneinrichtungen zusätzlich über eine zweite
Kommunikationseinrichtung (110) miteinander in Verbindung stehen und der Slave-Rechner vom Master-Rechner über diese zweite Kommunikationseinrichtung (110) Lebenszeichensig- nale (Sl) erhält, sofern dieser korrekt arbeitet,
- der Slave-Rechner bei Unterbrechung der ersten Kommunikationseinrichtung (90) die Rolle des Master-Rechners über¬ nimmt und seine Verarbeitungsergebnisse in Form von Steu¬ ersignalen (STm) als Master-Rechner an die zu steuernde technische Anlage weiterleitet, wenn er keine Lebenszei¬ chensignale (Sl) über die zweite Kommunikationseinrichtung erhält (110), und 1 b
- der Slave-Rechner bei Unterbrechung der ersten Kommunikationseinrichtung (90) seine Rolle als Slave-Rechner beibehält, solange er Lebenszeichensignale (Sl) über die zweite Kommunikationseinrichtung (110) erhält.
3. Verfahren nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
- die Recheneinrichtungen (70, 80) über die erste Kommunika¬ tionseinrichtung (90) eine Zyklussynchronisation ihrer Be- arbeitungszyklen durchführen,
- wobei sich die Bearbeitungszyklen jeweils vom Zeitpunkt des Einlesens der Eingangsdaten (E, Eal, Ea2, Eb) bis zum Erzeugen der darauf beruhenden Verarbeitungsergebnisse (VI, V2) erstrecken.
4. Verfahren nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
die Recheneinrichtungen (70, 80) in jedem Bearbeitungszyklus jeweils alle Eingangssignale (E, Eal, Ea2, Eb) und alle Ver- arbeitungsergebnisse (VI, V2) austauschen und miteinander vergleichen .
5. Verfahren nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
- eine der Recheneinrichtungen (70, 80) als Master-Rechner und der oder die anderen der zumindest zwei Recheneinrichtungen (70, 80) als Slave-Rechner betrieben wird und
- im Rahmen der Zyklussynchronisation der Master-Rechner auf die Eingangssignale (E, Eal, Ea2, Eb) und die Verarbei- tungsergebnisse (VI, V2) des Slave-Rechners wartet und nach Eintreffen der Eingangssignale und der Verarbeitungs¬ ergebnisse seinen nächsten Bearbeitungszyklus beginnt so¬ wie alternativ im Falle des Nichteintreffens der Eingangs¬ signale und der Verarbeitungsergebnisse nach Ablauf einer vorgegebenen Wartezeit seinen nächsten Bearbeitungszyklus beginnt .
Verfahren nach einem der voranstehenden Ansprüche, a d u r c h g e k e n n z e i c h n e t, dass
der Master-Rechner und der Slave-Rechner jeweils eine rechnerindividuelle Zeitbasis (75, 85) betreiben und die Zeitbasis (75, 85) des Master-Rechners und die des Slave-Rechners über die erste Kommunikationsschnittstelle (90) synchronisiert werden, wobei der Slave-Rechner die Zeitangabe seiner Zeitbasis (75, 85) an die des Master- Rechners anpasst.
Verfahren nach einem der voranstehenden Ansprüche, a d u r c h g e k e n n z e i c h n e t, dass
zumindest eine der Recheneinrichtungen (70, 80) die Eingangssignale (E, Eal, Ea2, Eb) jeweils mittels zweier Steuerprogrammmodule (71, 72, 81, 82) verarbeitet, die bei identischen Eingangssignalen (E, Eal, Ea2, Eb) im fehlerfreien Fall dieselben Verarbeitungsergebnisse (VI, V2) er¬ zeugen, aber sich bezüglich ihres Programmcodes unterscheiden,
die Verarbeitungsergebnisse der beiden Steuerprogrammmo¬ dule (71, 72, 81, 82) mittels eines Peripheriebausteins (73, 83) verglichen werden und
die Verarbeitungsergebnisse (VI, V2) der Recheneinrichtung (70, 80) in Form von Steuersignalen (STm, STs) an die zu steuernde technische Anlage nur dann ausgegeben werden, wenn die Verarbeitungsergebnisse (VI, V2) der beiden Steu¬ erprogrammmodule (71, 72, 81, 82) übereinstimmen.
Verfahren nach einem der voranstehenden Ansprüche, a d u r c h g e k e n n z e i c h n e t, dass
jede der Recheneinrichtungen (70, 80) jeweils mindestens ein Steuerprogrammmodul (71, 72, 81, 82) zum Verarbeiten der Eingangssignale (E, Eal, Ea2, Eb) und zum Erzeugen der Verarbeitungsergebnisse (VI, V2) betreibt und
jede der Recheneinrichtungen (70, 80) jeweils mindestens ein von dem Steuerprogrammmodul unabhängiges separates Synchronisationsprogrammmodul (74, 84) zum Betreiben der ersten Kommunikationseinrichtung (90) und zum Vergleichen der Verarbeitungsergebnisse (VI, V2) betreibt.
9. Verfahren nach einem der voranstehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass
- die Verarbeitungsergebnisse (VI, V2) der Recheneinrichtun- gen (70, 80) an die zu steuernden Aktoren (20, 30) der technischen Anlage jeweils mit einer Kennung übersandt werden, aus der die Rolle der jeweiligen Recheneinrichtung (70, 80) als Master- oder Slave-Rechner erkennbar ist und
- die zu steuernden Aktoren (20, 30) der technischen Anlage jeweils diejenigen Steuersignale (STm) ausführen, die eine
Master-Kennung tragen, sofern solche vorliegen, und nur ersatzweise Steuersignale (STs) mit Slave-Kennung ausfüh¬ ren .
10. Verfahren nach Anspruch 8,
d a d u r c h g e k e n n z e i c h n e t, dass
die Kennung durch ein logisches Bit im Steuersignal (STm,
STs) gebildet ist.
11. Steueranordnung (60) zur Steuerung einer technischen Anlage, insbesondere einer Eisenbahnanlage (10), wobei die Steueranordnung (60) zumindest zwei Recheneinrichtungen (70, 80) umfasst,
d a d u r c h g e k e n n z e i c h n e t, dass
- die Recheneinrichtungen (70, 80) derart ausgebildet sind, dass sie im fehlerfreien Fall dieselben Eingangssignale (E, Eal, Ea2, Eb) der technischen Anlage verarbeiten und dieselben Verarbeitungsergebnisse (VI, V2) erzeugen, und
- die Recheneinrichtungen (70, 80) miteinander über eine
erste Kommunikationseinrichtung (90) in Verbindung stehen und derart ausgestaltet sind, dass sie untereinander so¬ wohl alle eingangsseitig anliegenden Eingangssignale (E) als auch alle darauf beruhenden Verarbeitungsergebnisse (VI, V2) austauschen und ein Fehlersignal (F) erzeugen, wenn die Verarbeitungsergebnisse (VI, V2) und/oder die
Eingangssignale (E, Eal, Ea2, Eb) voneinander abweichen.
12. Anordnung mit einer Steueranordnung (60) nach Anspruch 10 und einer technischen Anlage, die von der Steueranordnung (60) gesteuert wird,
d a d u r c h g e k e n n z e i c h n e t, dass
- zumindest ein Aktor (20, 30) der technischen Anlage mit den zumindest zwei Recheneinrichtungen (70, 80) der Steu¬ eranordnung (60) in Verbindung steht und von diesen Steuersignale (STm, STs) erhält,
- der zumindest eine Aktor (20, 30) derart ausgestaltet ist, dass er die Steuersignale (STs, STm) hinsichtlich einer
Kennung, die das jeweilige Steuersignal (STs, STm) als vom Master-Rechner oder Slave-Rechner kommend kennzeichnet, auswertet und diejenigen Steuersignale (STm) ausführt, die eine Master-Kennung tragen, und bei Ausbleiben von Steuer- Signalen (STm) mit Master-Kennung ersatzweise Steuersignale (STs) mit Slave-Kennung ausführt.
PCT/EP2012/067250 2011-09-13 2012-09-05 Steueranordnung WO2013037675A2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE201110082598 DE102011082598A1 (de) 2011-09-13 2011-09-13 Steueranordnung
DE102011082598.3 2011-09-13

Publications (2)

Publication Number Publication Date
WO2013037675A2 true WO2013037675A2 (de) 2013-03-21
WO2013037675A3 WO2013037675A3 (de) 2013-05-10

Family

ID=47008479

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2012/067250 WO2013037675A2 (de) 2011-09-13 2012-09-05 Steueranordnung

Country Status (2)

Country Link
DE (1) DE102011082598A1 (de)
WO (1) WO2013037675A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109963763A (zh) * 2016-11-21 2019-07-02 三菱电机株式会社 管理基础设施中的传输资源的方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016203694A1 (de) * 2016-03-07 2017-09-07 Siemens Aktiengesellschaft Bahntechnische Anlage und Verfahren zum Betreiben einer bahntechnischen Anlage
DE102017201892A1 (de) 2017-02-07 2018-08-09 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Einstellen wenigstens einer Fahrstraße einer eisenbahntechnischen Anlage

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19942981A1 (de) * 1999-09-09 2001-03-22 Alcatel Sa Programmodul und Verfahren zum Erhöhen der Sicherheit eines softwaregesteuerten Systems
FR2799018B1 (fr) * 1999-09-28 2003-07-04 Matra Transp Internat Systeme informatique securise
DE10064928A1 (de) * 2000-12-23 2002-07-04 Alcatel Sa Verfahren, Taktgebermodul und Empfängermodul zur Synchronisierung eines Empfängermoduls
DE10319903B4 (de) * 2003-04-29 2007-05-31 Siemens Ag Eigensichere Rechneranordnung
EP1764694B1 (de) * 2005-09-16 2008-07-30 Siemens Transportation Systems S.A.S. Redundanzkontrollverfahren und Vorrichtung für sichere Rechnereinheiten

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109963763A (zh) * 2016-11-21 2019-07-02 三菱电机株式会社 管理基础设施中的传输资源的方法
CN109963763B (zh) * 2016-11-21 2021-03-23 三菱电机株式会社 管理基础设施中的传输资源的方法

Also Published As

Publication number Publication date
WO2013037675A3 (de) 2013-05-10
DE102011082598A1 (de) 2013-03-14

Similar Documents

Publication Publication Date Title
EP2504740B1 (de) Sicherheitsmodul für ein automatisierungsgerät
EP2504739B1 (de) Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen
EP1297394B1 (de) Redundantes steuerungssystem sowie steuerrechner und peripherieeinheit für ein derartiges steuerungssystem
EP1927914B1 (de) Sicherheitsmodul und Automatisierungssystem
DE102011082969B4 (de) Verfahren zum Betreiben eines Kommunikationsnetzwerkes und Netzwerkanordnung
EP1589386B1 (de) Prozesssteuerung
EP3622357B1 (de) Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität
EP2731849B1 (de) Stellwerksrechner
DE102014110017A1 (de) Steuer- und Datenübertragungssystem, Gateway-Modul, E/A-Modul und Verfahren zur Prozesssteuerung
EP2078253A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE102006004339A1 (de) Redundantes Kommunikationsnetzwerk
WO2013037675A2 (de) Steueranordnung
EP3214512B1 (de) Redundantes steuersystem für einen aktor und verfahren zu seiner redundanten steuerung
EP3273352B1 (de) Computerisiertes system
EP2648100A1 (de) Vorrichtung zur Prozessorüberwachung und Automatisierungsgerät mit einer solchen Vorrichtung
EP1591849A1 (de) Redundantes Automatisierungssystem umfassend ein Master- und ein Stand-by-Automatisierungsgerät
DE102016203090A1 (de) Steuergerät, insbesondere für ein Kraftfahrzeug, mit über Ethernet verbundenen Mikrocontrollern
DE102015218890A1 (de) Verfahren und Vorrichtung zum Generieren eines Ausgangsdatenstroms
EP1776617B1 (de) Verfahren zur sicheren positionsüberwachung
EP2806316B1 (de) Verfahren zum Betreiben eines Automatisierungssystems
EP2942686B1 (de) Steuerungs- und datenübertragungssystem zum übertragen von sicherheitsbezogenen daten über ein kommunikationsmedium
EP3565752B1 (de) Umschaltung zwischen element-controllern im bahnbetrieb
EP2520989A2 (de) Verfahren zum Betrieb eines hochverfügbaren Systems mit funktionaler Sicherheit sowie ein hochverfügbares System mit funktionaler Sicherheit
DE10319903B4 (de) Eigensichere Rechneranordnung
EP3989018B1 (de) Steuervorrichtung, ein schutzmodul für eine solche vorrichtung sowie ein entsprechendes verfahren

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12769944

Country of ref document: EP

Kind code of ref document: A2

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12769944

Country of ref document: EP

Kind code of ref document: A2