WO2013117396A1 - Sicherheitsrelevantes system - Google Patents

Sicherheitsrelevantes system Download PDF

Info

Publication number
WO2013117396A1
WO2013117396A1 PCT/EP2013/050801 EP2013050801W WO2013117396A1 WO 2013117396 A1 WO2013117396 A1 WO 2013117396A1 EP 2013050801 W EP2013050801 W EP 2013050801W WO 2013117396 A1 WO2013117396 A1 WO 2013117396A1
Authority
WO
WIPO (PCT)
Prior art keywords
memory
safety
error
remanent
state
Prior art date
Application number
PCT/EP2013/050801
Other languages
English (en)
French (fr)
Inventor
Rudolf Temming
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2013117396A1 publication Critical patent/WO2013117396A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or vehicle train for signalling purposes ; On-board control or communication systems
    • B61L15/0063Multiple on-board control systems, e.g. "2 out of 3"-systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Safety Devices In Control Systems (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

Die Erfindung betrifft ein sicherheitsrelevantes System, insbesondere Eisenbahnsicherungssystem (2), mit einer im Fehlerfall reagierenden Einrichtung zum dauerhaften Erzwingen eines sicheren Zustandes, insbesondere Abschaltzustandes, des Systems, wobei besonders hohe Zuverlässigkeit bei verringertem Energiebedarf erreicht wird, indem die Einrichtung mindestens zwei remanente Speicher (4a, 4b) aufweist, wobei jeder Speicher (4a, 4b) im Fehlerfall den sicheren Zustand erzwingt.

Description

Beschreibung
Sicherheitsrelevantes System Die Erfindung betrifft ein sicherheitsrelevantes System, ins¬ besondere Eisenbahnsicherungssystem, mit einer im Fehlerfall reagierenden Einrichtung zum dauerhaften Erzwingen eines sicheren Zustandes, insbesondere Abschaltzustandes , des Sys¬ tems .
Die nachfolgende Beschreibung bezieht sich im Wesentlichen auf Eisenbahnsicherungssysteme, ohne dass die Erfindung auf diese spezielle Anwendung beschränkt ist. Vielmehr kann die Erfindung bei verschiedensten sicherheitsrelevanten Systemen, beispielsweise für industrielle Fertigungsprozesse oder Fahr¬ zeuge aller Art, eingesetzt werden.
Entsprechend der Norm EN 50129 muss für sicherheitsrelevante Systeme nach Auftreten des ersten Systemfehlers, beispiels- weise des Ausfalls einer Systemkomponente, ein sicherer Zu¬ stand erzwungen und beibehalten werden. Der sichere Zustand ist gegeben, wenn die Systemsicherheit auch nach einem Fehler oder Ausfall weiterhin bewahrt ist. Unter sicherheitsrelevantes System sind hier auch Teilsysteme subsumiert, deren Feh- lerverhalten separat betrachtet werden kann. Beispielsweise kann ein einzelnes Lichtsignal an einer Eisenbahnstrecke ein sicherheitsrelevantes System darstellen. Im Fehlerfall, bei¬ spielsweise Ausfall der Ansteuerbarkeit , muss gewährleistet sein, dass die Sicherheit des Bahnbetriebes nicht, beispiels- weise durch ein dauerleuchtendes Grünsignal, beeinträchtigt ist. Bei dem Beispiel wird das erreicht, indem das Grünsignal dauerhaft ausgeschaltet wird und - wenn möglich - das Rotsig¬ nal eingeschaltet wird. Für die Ausschaltung im Fehlerfall werden häufig Schmelzsi¬ cherungen eingesetzt. Nach deren Abschmelzen ist der Stromkreis dauerhaft unterbrochen. Weit verbreitet für diesen Zweck ist auch der Einsatz monostabiler Relais, die im feh- lerfreien Systemzustand aktiv sind und im Fehlerfall durch Stromlosschaltung der Relaisspule dauerhaft inaktiv werden, wodurch ein definierter Schaltzustand, zum Beispiel Stromkreisunterbrechung, eingenommen wird. Nach einer Sicherheits- abschaltung muss das Wartungspersonal beurteilen, ob das Sys¬ tem oder die Komponente wieder eingeschaltet werden darf. Auch der Einsatz von bistabilen Relais ist denkbar, wobei jedoch für Bahnbetriebsprozesse ein Risiko wegen Erschütterungen in Gleisnähe, die den Zustand des bistabilen Relais än- dern könnten, berücksichtigt werden muss.
Nachteilig bei diesen bekannten Einrichtungen zum fehlerbedingten Erzwingen des sicheren Systemzustandes ist neben den hohen Kosten für mehrfache Auslöseschaltungen bei Sicherungen und für Ansteuerung und Rücklesung bei Abschaltrelais vor allem deren geringe mittlere Betriebsdauer zwischen Ausfällen, auch als MTBF - Mean Time Between Failures - bezeichnet.
Der Erfindung liegt die Aufgabe zugrunde, diese Nachteile zu beseitigen und ein sicherheitsrelevantes System mit einer hinsichtlich Kosten und Verfügbarkeit verbesserten Einrichtung zum Erzwingen des sicheren Zustandes anzugeben.
Die Aufgabe wird erfindungsgemäß dadurch gelöst, dass die Einrichtung mindestens zwei remanente Speicher aufweist, wo¬ bei jeder Speicher im Fehlerfall den sicheren Zustand erzwingt .
Da der remanente Speicher einen wesentlich besseren MTBF als Relais oder Sicherungen aufweist, ergibt sich ein weiterer
Sicherheitsgewinn. Störanfällige und oft schwierig zu dimensionierende Auslöseschaltungen für Sicherungen sowie Ansteue- rungen für Abschaltrelais sind entbehrlich. Die Baugruppe mit dem remanenten Speicher wird im Gegensatz zu einer Baugruppe mit Sicherungen im Fehlerfall nicht zerstört und kann nach
Fehlerbehebung durch Software in den Ursprungszustand für ein fehlerfreies System zurückgesetzt werden. Der remanente Spei¬ cher ist außerdem unempfindlich gegenüber Erschütterungen in Gleisnähe oder im Fahrzeug. Vorteilhaft ist darüber hinaus, dass die Information über den sicheren Zustand auch nach Spannungswiederkehr vorliegt. Durch die Redundanz der rema- nenten Speicher ist auch der Fall, dass ein Speicher aus- fällt, abgesichert.
Gemäß Anspruch 2 ist vorgesehen, dass der remanente Speicher als EEPROM ausgebildet ist. Dieser nicht flüchtige elektroni¬ sche Speicherbaustein ist besonders kostengünstig und für di- verse Anwendungen vielfach bewährt. Der remanente Speicher kann natürlich auch auf Flash-Technologie beruhen oder in anderer Weise realisiert sein.
Um im Fehlerfall eine Abschaltung des sicherheitsrelevanten Systems zu bewirken, ist jeder remanente Speicher gemäß An¬ spruch 3 mit einem Schalter verbunden, der unmittelbar beim Auftreten des ersten Fehlers oder Ausfalls von dem jeweils zugeordneten remanenten Speicher zum Stromlosschalten des sicherheitsrelevanten Systems betätigt wird.
Bei einer besonders vorteilhaften Ausführungsform gemäß Anspruch 4 ist vorgesehen, dass jeder remanente Speicher einem Controller zugeordnet ist, wobei der Controller im fehlerfreien Systemzustand einen ersten Speicherwert und im Fehler- fall einen zweiten Speicherwert des Speichers setzt. Der
Controller verfügt ständig - üblicherweise durch zyklische Abfrage - über aktuelle Statusinformationen bezüglich des sicherheitsrelevanten Systems. Im Fehlerfall steuert der
Controller den remanenten Speicher derart an, dass dieser in seinen Remanenzzustand gebracht wird und infolgedessen ein Eingriff in das sicherheitsrelevante System ausgelöst wird, der dieses in den sicheren Zustand dauerhaft überführt. Be¬ sonders vorteilhaft ist, dass sicherheitsrelevante Systeme üblicherweise bereits mit Controllern und remanenten Spei- ehern ausgestattet sind, so dass diese primär für andere Funktionen vorgesehenen Baugruppen für die Sicherheitsabschaltfunktion mitbenutzt werden können. Dadurch ergeben sich keine zusätzlichen Kosten und auch kein zusätzlicher Platzbe- darf, wodurch auch Prüfkosten und Fertigungskosten gespart werden. Durch den geringen Energiebedarf des Controllers, vorzugsweise MikroControllers , ist ein dezentraler Einsatz des sicherheitsrelevanten Systems mit autonomer Energiever- sorgung problemlos möglich. Der erhebliche Leistungsbedarf eines Abschaltrelais erschwert hingegen einen dezentralen Einsatz beziehungsweise macht diesen unmöglich.
Die Erfindung wird nachfolgend anhand eines figürlich darge- stellten Ausführungsbeispiels näher erläutert.
Die Figur zeigt ein sicherheitsrelevantes System mit einer erfindungsgemäßen Einrichtung zur vorgeschriebenen Abschaltung des Systems bei definierten Ausfällen oder Fehlern des Systems. Die Einrichtung besteht im Wesentlichen aus zwei re¬ dundanten Betrachtungseinheiten la und lb, die auch Bestandteil des Systems, beispielsweise eines Eisenbahnsicherungs¬ systems 2, sein können, wobei jede Betrachtungseinheit la und lb einen MikroController 3a und 3b aufweist. Der Mikro- Controller 3a beziehungsweise 3b verfügt jeweils über einen remanenten Speicher 4a beziehungsweise 4b, welcher mit einer Prüfkomponente 5a beziehungsweise 5b und einer Anwendungskom¬ ponente 6a beziehungsweise 6b zusammenwirkt. Über die Anwen¬ dungskomponente 6a beziehungsweise 6b ist der remanente Spei- eher 4a beziehungsweise 4b mit einem Schalter 7a beziehungs¬ weise 7b im Strompfad 8 des sicherheitsrelevanten Systems verbunden. Im fehlerfreien Zustand, das heißt im Normalbetrieb, setzt der MikroController 3a beziehungsweise 3b einen Speicherwert, zum Beispiel AA Hex im remanenten Speicher 4a beziehungsweise 4b. Außerdem erfolgt eine zyklische Kommuni¬ kation 9 zwischen den beiden Prüfbaukomponenten 5a und 5b zwecks Austauschs des Systemzustandes. Wird ein Fehler im si¬ cherheitsrelevanten System erkannt, setzt der MikroController 3a beziehungsweise 3b den Speicherwert des remanenten Spei- chers 4a beziehungsweise 4b auf Sicherheitsabschaltung, zum Beispiel mittels eines Speicherwertes 55 Hex. Bei diesem Zu¬ stand endet die Kommunikation 9 zwischen den MikroControllern 3a und 3b. Der remanente Speicher 4a beziehungsweise 4b steu- ert aufgrund des fehlerbedingten Speicherwertes 55 Hex über die Anwendungskomponente 6a beziehungsweise 6b den jeweils zugeordneten Schalter 7a beziehungsweise 7b an, um den Strompfad 8 stromlos zu schalten und damit das sicherheitsrele- vante System in einen sicheren Zustand zu zwingen, beispielsweise abzuschalten.
Letztlich ersetzt der remanente Speicher 4a beziehungsweise 4b, der prinzipiell auch in nichtredundanter Bauform, das heißt nur einmal, vorgesehen sein kann, eine zusätzliche Kom¬ ponente mit Schmelzsicherungen oder Abschaltrelais, wodurch deren oben geschilderten Nachteile nicht auftreten.

Claims

Patentansprüche
1. Sicherheitsrelevantes System, insbesondere Eisenbahnsiche¬ rungssystem (2), mit einer im Fehlerfall reagierenden Ein- richtung zum dauerhaften Erzwingen eines sicheren Zustandes, insbesondere Abschaltzustandes , des Systems,
d a d u r c h g e k e n n z e i c h n e t , dass
die Einrichtung mindestens zwei remanente Speicher (4a, 4b) aufweist, wobei jeder Speicher (4a, 4b) im Fehlerfall den si- cheren Zustand erzwingt.
2. Sicherheitsrelevantes System nach Anspruch 1,
d a d u r c h g e k e n n z e i c h n e t , dass
der remanente Speicher (4a, 4b) als EEPROM ausgebildet ist.
3. Sicherheitsrelevantes System nach einem der vorangehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t , dass
jeder remanente Speicher (4a, 4b) einen Schalter (7a, 7b) zum Erzwingen des sicheren Zustandes ansteuert.
4. Sicherheitsrelevantes System nach einem der vorangehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t , dass
jeder remanente Speicher (4a, 4b) einem Controller zugeordnet ist, wobei der Controller im fehlerfreien Systemzustand einen ersten Speicherwert und im Fehlerfall einen zweiten Speicherwert des Speichers (4a, 4b) setzt.
PCT/EP2013/050801 2012-02-07 2013-01-17 Sicherheitsrelevantes system WO2013117396A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102012201803.4 2012-02-07
DE102012201803A DE102012201803A1 (de) 2012-02-07 2012-02-07 Sicherheitsrelevantes System

Publications (1)

Publication Number Publication Date
WO2013117396A1 true WO2013117396A1 (de) 2013-08-15

Family

ID=47632990

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2013/050801 WO2013117396A1 (de) 2012-02-07 2013-01-17 Sicherheitsrelevantes system

Country Status (2)

Country Link
DE (1) DE102012201803A1 (de)
WO (1) WO2013117396A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109229142A (zh) * 2017-07-10 2019-01-18 比亚迪股份有限公司 列车道岔控制系统及控制方法
CN109229143A (zh) * 2017-07-10 2019-01-18 比亚迪股份有限公司 列车道岔控制系统的控制方法及控制系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL2019206B1 (en) * 2017-07-10 2019-01-16 Vialis B V Control system for a railway crossing

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2854252A1 (de) * 1978-12-15 1980-06-19 Siemens Ag Einrichtung zum uebertragen einer streckeninformation an eine empfangseinrichtung auf einem fahrzeug
DE19532640A1 (de) * 1995-08-23 1997-02-27 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4342903A1 (de) * 1993-12-16 1995-06-22 Bosch Gmbh Robert Vorrichtung zum Überwachen wenigstens einer sicherheitsrelevanten Funktion eines Gerätes
DE102009033529A1 (de) * 2009-07-10 2011-01-13 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zum Steuern einer automatisierten Anlage, insbesondere eine Eisenbahnanlage
DE102010026012A1 (de) * 2010-06-29 2011-12-29 Siemens Aktiengesellschaft LED-Lichtsignal

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2854252A1 (de) * 1978-12-15 1980-06-19 Siemens Ag Einrichtung zum uebertragen einer streckeninformation an eine empfangseinrichtung auf einem fahrzeug
DE19532640A1 (de) * 1995-08-23 1997-02-27 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
EUE W ET AL: "SIMIS-C - DIE KOMPAKTVERSION DES SICHEREN MIKROCOMPUTER-SYSTEMS SIMIS", SIGNAL + DRAHT, TELZLAFF VERLAG GMBH. DARMSTADT, DE, vol. 79, no. 4, 1 April 1987 (1987-04-01), pages 81 - 85, XP000744323, ISSN: 0037-4997 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109229142A (zh) * 2017-07-10 2019-01-18 比亚迪股份有限公司 列车道岔控制系统及控制方法
CN109229143A (zh) * 2017-07-10 2019-01-18 比亚迪股份有限公司 列车道岔控制系统的控制方法及控制系统

Also Published As

Publication number Publication date
DE102012201803A1 (de) 2013-08-08

Similar Documents

Publication Publication Date Title
DE3614979C2 (de) Sicherheitssystem für eine Druckmaschine
EP3469620B1 (de) Stromverteiler und sicherungssystem für ein fahrzeug
WO1992017358A1 (de) Schaltungsanordnung für einen regler
WO2005052703A1 (de) Redundantes automatisierungssystem zur steuerung einer tech­nischen einrichtung sowie verfahren zum betrieb eines derar­tigen automatisierungssystems
DE102005014804A1 (de) Bordnetzsystem für ein Kraftfahrzeug sowie Steuergerät und intelligentes Energieversorgungsgerät für ein Bordnetzsystem eines Kraftfahrzeugs
WO2005106603A1 (de) Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät
EP2587512B1 (de) Sicherheitsgerichtetes Schaltgerät
WO2013117396A1 (de) Sicherheitsrelevantes system
EP2239752B2 (de) Sichere Schalteinrichtung und modulares fehlersicheres Steuerungssystem
EP3465898B1 (de) Sanftstarter, betriebsverfahren und schaltsystem
EP2985190B1 (de) Fahrzeugsteuerung für eine mobile arbeitsmaschine
EP0996060A2 (de) Einzelprozessorsystem
DE3522220A1 (de) Anordnung zur ausgabe von steuersignalen an stellelemente eines prozesses
WO2007028772A1 (de) System-architektur zur steuerung und überwachung von komponenten einer eisenbahnsicherungsanlage
DE102006030911B3 (de) Schaltungsanordnung für eigenüberwachte Relaisfunktionseinheit
DE102010038459A1 (de) Sicherheitssystem
DE10353405B4 (de) Sichere Störschalteinheit für Fahrzeuge, insbesondere für Schienenfahrzeuge
EP2769273B1 (de) Erweiterungsmodul für ein sicherheitssystem
DE10103951B4 (de) Energieversorgungseinrichtung für bordnetzgestützte, sicherheitsrelevante Systemkomponenten von Fahrzeugen
DE102015215847B3 (de) Vorrichtung und Verfahren zur Erhöhung der funktionalen Sicherheit in einem Fahrzeug.
DE102018130167A1 (de) Sicherer Werkzeugwechsler
DE102020112955B4 (de) Reiheneinbaugerät, Automatisierungssystem und Verfahren zur Prozessautomation
WO1999014989A1 (de) Steuervorrichtung für lichtanlagen von flughäfen
DE102004049136B4 (de) Schaltungsanordnung für Achszählanlagen und Stellwerke
EP4321949A1 (de) Modulare steuerungseinrichtung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13702362

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 13702362

Country of ref document: EP

Kind code of ref document: A1