BAHNÜBERGANGSSICHERUNGSSYSTEM

Beschreibung

[0001] Die Erfindung betrifft ein Bahnübergangssicherungssystem mit einer Steuereinrichtung für straßenseitige Komponenten, insbesondere Bahnschranken und Lichtzeichen, bei dem die Steuereinrichtung einen signaltechnisch sicheren zweikanaligen Steuerrechner aufweist.

[0002] Für Bahnübergangssicherungssysteme ist ein hoher Sicherheitslevel - Safety Integrity Level / SIL - Voraussetzung für eine Zulassung durch nationale Behörden. Die Sicherheitslevel sind in der CENELEC Norm EN50129 von SIL0 - signaltechnisch nicht sicher - bis SIL4 - signaltechnisch hochgradig sicher - definiert. Der für Bahnübergangssicherungssysteme vorgegebene Sicherheitslevel ist üblicherweise SIL4.

[0003] Aus der DE 199 28 317 A1 ist eine Bahnübergangssicherungsanlage bekannt, in der einzelne Komponenten durch Funkeinrichtungen miteinander verbunden sind.

[0004] Bekannt sind Bahnübergangssicherungssysteme auf der Basis zweikanaliger SIL4-Rechner für die Steuereinrichtung und für Komponentenrechner mit mehrkanaliger Rücklesung des Komponentenzustandes, wobei in den Kanälen der Rechner jeweils die gleiche Anwendersoftware vorgesehen ist.

[0005] Aus der DE 10 2007 032 805 A1 ist eine sichere einkanalige Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses bekannt.

[0006] Der Erfindung liegt die Aufgabe zugrunde, ein Bahnübergangssicherungssystem gattungsgemäßer Art anzugeben, bei dem der SIL-Level möglichst vieler Systemrechner verringert werden kann, wobei der geforderte SIL-Level für das Gesamtsystem, insbesondere SIL4, dennoch sichergestellt ist.

[0007] Erfindungsgemäß wird die Aufgabe dadurch gelöst, dass den Komponenten signaltechnisch nicht sichere Komponentenrechner zugeordnet sind, wobei die Komponentenrechner jeweils einen ersten und einen zweiten einkanaligen Rechner mit diversitärer Hardware umfassen, und dass der Steuerrechner und die Komponentenrechner Mittel zur Ansteuerung und Überwachung der Komponenten mit folgendem Ablauf aufweisen:

• der Steuerrechner sendet einen Stellbefehl an die ersten Rechner, welche ihre zugeordnete Komponente ansteuern,
• der erste und der zweite Rechner der Komponente ermitteln unabhängig voneinander die Bestromung der Komponente und senden dieses Rückleseergebnis an den Steuerrechner und
• der Steuerrechner vergleicht seinen Stellbefehl mit den Rückleseergebnissen der Komponenten und vergleicht die Rückleseergebnisse miteinander, wobei bei Nichtübereinstimmung mindestens eines der Vergleichsergebnisse eine Sicherheitsreaktion ausgelöst wird.

[0008] Durch die Zweifachrücklesung des tatsächlichen Schaltzustandes der Komponenten, das heißt der Komponentenbestromung, mittels zweier diversitärer Rechner und durch den steuerrechnerseitigen Vergleich sowohl seines Stellbefehles mit den Rückleseergebnissen als auch der Rückleseergebnisse untereinander wird die geforderte signaltechnische Sicherheit des Bahnübergangssicherungssystems auch mit signaltechnisch nicht sicheren Komponentenrechnern erreicht. Auf diese Weise ergibt sich eine Vereinfachung der Komponentenrechner und letztlich eine erhebliche Verringerung der Hardwarekosten. Die Aufspaltung des Komponentenrechners in einen ersten und einen zweiten einkanaligen Rechner und deren ablaufgemäßes Zusammenwirken mit dem signaltechnisch sicheren Steuerrechner führen außerdem zu einer einfacheren Sicherheitsnachweisführung für die Zulassung des Gesamtsystems. Die ersten und zweiten Rechner, die den anzusteuernden Komponenten, insbesondere Bahnschranken und Lichtzeichen, des Bahnübergangssicherungssystems zugeordnet sind, können als SILO-Rechner und damit als kommerzielle, preiswerte Rechner ausgeführt sein. Die Sicherheitsverantwortung liegt bei ablaufgemäßer Ansteuerung und Überwachung der Komponenten bei dem Steuerrechner, der vorzugsweise als SIL4-Rechner ausgeführt ist. Vorteilhaft ist darüber hinaus, dass der Platzbedarf der beiden einkanaligen diversitären Rechner der einzelnen Komponenten geringer ist als bei zweikanaliger, signaltechnisch sicherer Ausführung gemäß dem Stand der Technik. Dabei fungiert der erste Rechner im Wesentlichen als Controller, während der zweite Rechner auch als Kommunikationsmodul bezeichnet werden kann, da dieser zweite Rechner zusätzlich die Kommunikation zwischen Komponentenrechner und Steuerrechner managet.

[0009] Vorzugsweise sind der Steuerrechner und die Komponentenrechner gemäß Anspruch 2 in einem Kommunikationsring angeordnet. Datentelegramme verschiedenster Art können auf dem Kommunikationsring, beispielsweise via Ethernet, zwischen allen Rechnern bzw. deren zugeordneten Komponenten und dem Steuerrechner schnell und sicher übertragen werden. Einzelverbindungen des Steuerrechners mit jedem einzelnen Komponentenrechner entfallen somit.

[0010] Zur Auslösung der Sicherheitsreaktion bei durch den Steuerrechner festgestellter Nichtübereinstimmung mindestens eines der beiden Vergleichsergebnisse ist gemäß Anspruch 3 vorgesehen, dass der Steuerrechner an die ersten und zweiten Rechner Abschaltkommandos sendet, wodurch der erste und/oder der zweite Rechner die zugeordnete Komponente in einen signaltechnisch sicheren Zustand schaltet beziehungsweise schalten. Zusätzlich oder alternativ kann die Sicherheitsreaktion gemäß Anspruch 4 auch dadurch ausgelöst werden, dass der Steuerrechner die Kommunikationsverbindung zu den Komponentenrechnern abbricht, wodurch die Komponenten automatisch in einen signaltechnisch sicheren Zustand geschaltet werden.

[0011] Die Erfindung betrifft auch ein Verfahren gemäß Anspruch 5. Die Erfindung wird nachfolgend anhand figürlicher Darstellungen näher erläutert. Es zeigen:

Figur 1

ein Bahnübergangssicherungssystem mit Bestromungsplan und

Figur 2

eine Detaildarstellung der wesentlichen Baugruppen zur Ansteuerung von Lichtsignalen an einem Bahnübergang.

[0012] Figur 1 veranschaulicht einen Bahnübergang, bei dem eine Straße 1 ein Gleis 2 kreuzt. Zur Sicherung des Bahnüberganges sind straßenseitig zwei Halbschranken 3a und 3b und vier Lichtzeichen 4a, 4b, 4c und 4d vorgesehen, welche in einem Kommunikationsring 5 mit einem zweikanaligen signaltechnisch sicheren Steuerrechner 6 nach Art eines SIL4-LCU / Level Crossing Unit verbunden sind. Der Steuerrechner 6 ist mit einer Kommunikationseinrichtung 7 ausgestattet, welche mit den Komponenten 3a, 3b, 4a, 4b, 4c und 4d zugeordneten in Figur 2 dargestellten Komponentenrechnern 8a und 8b Datentelegramme via Ethernet austauscht. Eine zentrale oder dezentrale Meldeeinrichtung 9 überträgt ein Meldesignal an den Kommunikationsring 5, wenn sich ein Schienenfahrzeug dem Bahnübergang nähert, so dass die Bahnschranken 3a und 3b abgesenkt und die Lichtzeichen 4a, 4b, 4c und 4d auf rot gestellt werden müssen. Dabei werden 24V-Ansteuersignale 24V_1 und 24V_2 für die Komponenten 3a, 3b, 4a, 4b, 4c und 4d sowie 220V-Betätigungsspannung für die Bahnübergänge 3a und 3b erzeugt.

[0013] In Figur 2 sind die wesentlichen Baugruppen für die Ansteuerung der Komponentenrechner am Beispiel zweier Komponentenrechner 8a und 8b für die Ansteuerung der beiden Lichtzeichen 4a und 4b dargestellt. Die Komponentenrechner 8a und 8b sind jeweils mit einem ersten einkanaligen SILO-Rechner 10a beziehungsweise 10b und einem zweiten einkanaligen SILO-Rechner 11a beziehungsweise 11b ausgestattet. Die beiden Rechner 10a und 11a sowie 10b und 11b unterscheiden sich hardwaremäßig, so dass diversitäre Datenverarbeitungsprinzipien resultieren.

[0014] Zur signaltechnisch sicheren Ansteuerung und Überwachung der Lichtzeichen 4a und 4b ist folgender Ablauf vorgesehen:

Der Steuerrechner 6 sendet einen Stellbefehl an die ersten Rechner 10a und 11a, welche daraufhin ihr zugeordnetes Lichtzeichen 4a beziehungsweise 4b auf rot 12a beziehungsweise 12b schalten.

Der erste und der zweite Rechner 10a und 11a beziehungsweise 10b und 11b ermitteln über Stromüberwachungseinrichtungen 13a und 14a beziehungsweise 13b und 14b unabhängig voneinander die Bestromung des Lichtzeichens 4a beziehungsweise 4b, das heißt die beiden Rechner 10a und 11a beziehungsweise 10b und 11b stellen fest, ob der gemäß Stellbefehl des Steuerrechners 6 vorgesehene Rot-Zustand 12a beziehungsweise 12b des Lichtzeichens 4a beziehungsweise 4b korrekt eingeschaltet wurde. Dieses Rückleseergebnis wird von dem ersten Rechner 10a beziehungsweise 10b als erstes Telegramm 15a beziehungsweise 15b und von dem zweiten Rechner 11a beziehungsweise 11b als zweites Datentelegramm 16a beziehungsweise 16b über den Kommunikationsring 5 an den Steuerrechner 6 übermittelt. Daraufhin vergleicht der Steuerrechner 6 seinen Stellbefehl mit den Rückleseergebnissen, das heißt mit den Datentelegrammen 15a und 16a sowie 15b und 16b. Wenn die Datentelegramme 15a, 16a, 15b und 16b nicht zu dem Stellbefehl des Steuerrechners 6 passen, bedeutet das, dass der Rot-Zustand 12a und/oder 12b des Lichtzeichens 4a und/oder 4b nicht korrekt eingestellt wurde, wodurch der Steuerrechner 6 eine Sicherheitsreaktion auslöst, die die Lichtzeichen 4a und 4b so lange in den Rot-Zustand 12a, 12b zwingt, bis die Störung behoben ist. Die gleiche Sicherheitsreaktion erfolgt auch, wenn der Steuerrechner 6 durch Vergleich der Rot-zustandsspezifischen Datentelegramme 15a und 16a bezüglich des Lichtzeichens 4a mit den Datentelegrammen 15b und 16b bezüglich des Lichtzeichens 4b eine Diskrepanz feststellt.

[0015] Die in Figur 2 beispielhaft dargestellte Konfiguration ermöglicht im Zusammenwirken mit dem geschilderten Ablauf zur Ansteuerung und Überwachung von Bahnschranken 3a und 3b und Lichtzeichen 4a, 4b, 4c und 4d, dass die Komponentenrechner 8a und 8b als SILO-Rechner ausgeführt sein können, ohne die SIL4-Sicherheit des Gesamtsystems zu gefährden. In Figur 2 ist außerdem ersichtlich, dass die ersten Rechner 10a und 10b Controllerfunktionalität aufweisen, während die zweiten Rechner 11a und 11b darüber hinaus die Ethernet-Kommunikation mit dem sicheren Rechner 6 steuern.

Ansprüche

1. Bahnübergangssicherungssystem mit einer Steuereinrichtung für straßenseitige Komponenten (3a, 3b; 4a, 4b, 4c, 4d), insbesondere Bahnschranken (3a, 3b) und Lichtzeichen (4a, 4b, 4c, 4d), bei dem die Steuereinrichtung einen signaltechnisch sicheren zweikanaligen Steuerrechner (6) aufweist und
dadurch gekennzeichnet, dass den Komponenten (3a, 3b; 4a, 4b, 4c, 4d) signaltechnisch nicht sichere Komponentenrechner (8a; 8b) zugeordnet sind, wobei die Komponentenrechner (8a; 8b) jeweils einen ersten und einen zweiten einkanaligen Rechner (10a, 11a; 10b, 11b) mit diversitärer Hardware umfassen, und
dass der Steuerrechner (6) und die Komponentenrechner (8a; 8b) Mittel zur Ansteuerung und Überwachung der Komponenten (3a, 3b; 4a, 4b, 4c, 4d) mit folgendem Ablauf aufweisen:

- der Steuerrechner (6) sendet einen Stellbefehl an die ersten Rechner (10a; 10b), welche ihre zugeordnete Komponente (4a; 4b) ansteuern,

- der erste und der zweite Rechner (10a, 11a; 10b, 11b) der Komponente (4a; 4b) ermitteln unabhängig voneinander die Bestromung der Komponente (4a; 4b) und senden diese Rückleseergebnisse an den Steuerrechner (6) und

- der Steuerrechner (6) vergleicht seinen Stellbefehl mit den Rückleseergebnissen der Komponenten (4a; 4b) und vergleicht die Rückleseergebnisse miteinander, wobei bei Nichtübereinstimmung mindestens eines der Vergleichsergebnisse eine Sicherheitsreaktion ausgelöst wird.

2. Bahnübergangssicherungssystem nach Anspruch 1,
dadurch gekennzeichnet, dass der Steuerrechner (6) und die Komponentenrechner (8a; 8b) in einem Kommunikationsring (5) angeordnet sind.

3. Bahnübergangssicherungssystem nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass der Steuerrechner (6) zur Auslösung der Sicherheitsreaktion an die ersten und zweiten Rechner (10a, 11a; 10b, 11b) Abschaltkommandos sendet, wodurch der erste und/oder der zweite Rechner (10a, 10b und/oder 11a, 11b) die zugeordnete Komponente (4a; 4b) in einen signaltechnisch sicheren Zustand schaltet/schalten.

4. Bahnübergangssicherungssystem nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass der Steuerrechner (6) zur Auslösung der Sicherheitsreaktion die Kommunikationsverbindung zu den Komponentenrechnern (8a; 8b) abbricht, wodurch die Komponenten (4a; 4b) in einen signaltechnisch sicheren Zustand geschaltet werden.

5. Verfahren zur signaltechnisch sicheren Ansteuerung und Überwachung von straßenseitigen Komponenten (3a, 3b; 4a, 4b, 4c, 4d) eines Bahnübergangsicherungssystems,
bei dem

- ein signaltechnisch sicherer zweikanaliger Steuerrechner (6) einen Stellbefehl an einem ersten Rechner (10a; 10b) sendet, der eine ihm zugeordnete Komponente (4a; 4b) ansteuert,

- der erste und ein zweiter Rechner (10a, 11a; 10b, 11b) der Komponente (4a; 4b) unabhängig voneinander eine Bestromung der Komponente (4a; 4b) als Rückleseergebnisse ermitteln und diese Rückleseergebnisse an den Steuerrechner (6) senden, wobei den Komponenten (3a, 3b; 4a, 4b, 4c, 4d) signaltechnisch nicht sichere Komponentenrechner (8a; 8b) zugeordnet sind, wobei die Komponentenrechner (8a; 8b) jeweils einen ersten und einen zweiten einkanaligen Rechner (10a, 11a; 10b, 11b) mit diversitärer Hardware umfassen, und

- der Steuerrechner (6) seinen Stellbefehl mit den Rückleseergebnissen und die Rückleseergebnisse miteinander vergleicht, wobei bei Nichtübereinstimmung mindestens eines der Vergleichsergebnisse eine Sicherheitsreaktion ausgelöst wird.

Claims

1. Level crossing safety system having a control device for roadside components (3a, 3b; 4a, 4b, 4c, 4d), in particular railway barriers (3a, 3b) and light signals (4a, 4b, 4c, 4d), in which
the control device has a failsafe two-channel control computer (6) and
characterised in that the components (3a, 3b; 4a, 4b, 4c, 4d) are assigned non-failsafe component computers (8a; 8b), wherein the component computers (8a; 8b) each comprise a first and a second single-channel computer (10a, 11a; 10b, 11b) with diverse hardware, and
that the control computer (6) and the component computer (8a; 8b) have means for actuating and monitoring the components (3a, 3b; 4a, 4b, 4c, 4d) with the following sequence:

- the control computer (6) sends a control command to the first computers (10a; 10b), which actuate their assigned component (4a; 4b),

- the first and the second computer (10a, 11a; 10b, 11b) of the component (4a; 4b) determine independently of one another the energisation of the component (4a; 4b) and send these readback results to the control computer (6) and

- the control computer (6) compares its control command with the readback results of the components (4a; 4b) and compares the readback results with one another, wherein a safety response is triggered if at least one of the comparison results does not match.

2. Level crossing safety system according to claim 1, characterised in that
the control computer (6) and the component computer (8a; 8b) are arranged in a communication ring (5).

3. Level crossing safety system according to one of the preceding claims,
characterised in that
the control computer (6) sends the first and second computers (10a, 11a; 10b, 11b) deactivation commands to trigger the safety response, as a result of which the first and/or the second computer (10a, 10b and/or 11a, 11b) switches/switch the assigned component (4a; 4b) into a failsafe state.

4. Level crossing safety system according to one of the preceding claims,
characterised in that
the control computer (6) breaks off the communication connection to the component computers (8a; 8b) to trigger the safety response, as a result of which the components (4a; 4b) are switched into a failsafe state.

5. Method for the failsafe actuation and monitoring of roadside components (3a, 3b; 4a, 4b, 4c, 4d) of a level crossing safety system,
in which

- a failsafe two-channel control computer (6) sends a control command to a first computer (10a; 10b) which actuates a component (4a; 4b) assigned to it,

- the first and a second computer (10a, 11a; 10b, 11b) of the component (4a; 4b) determine independently of one another an energisation of the component (4a; 4b) as readback results and send these readback results to the control computer (6), wherein the components (3a, 3b; 4a, 4b, 4c, 4d) are assigned non-failsafe component computers (8a; 8b), wherein the component computers (8a; 8b) each comprise a first and a second single-channel computer (10a, 11a; 10b, 11b) with diverse hardware, and

- the control computer (6) compares its control command with the readback results and the readback results with one another, wherein a safety response is triggered if at least one of the comparison results does not match.

Revendications

1. Système de sécurisation de passage à niveau, comprenant un dispositif de commande de composants (3a, 3b, ; 4a, 4b, 4c, 4d) de côté de la route, notamment de barrières (3a, 3b) de voie et de signalisations (4a, 4b, 4c, 4d) lumineuses,
dans lequel
le dispositif de commande a un ordinateur (6) de commande à deux canaux sécurisé en technique du signal et
caractérisé en ce qu'aux composants (3a, 3b, ; 4a, 4b, 4c, 4d) est associé, en technique du signal, un ordinateur (8a ; 8b) de composants non sécurisé, les ordinateurs (8a ; 8b) de composants comprenant chacun un premier et un deuxième ordinateurs (10a, 11a ; 10b, 11b) à un seul canal à matériel en diversité, et
en ce que l'ordinateur (6) de commande et les ordinateurs (8a ; 8b) de composants ont des moyens de commande et de contrôle des composants (3a, 3b, ; 4a, 4b, 4c, 4d) avec le déroulement suivant :

- l'ordinateur (6) de commande envoie une instruction de réglage au premier ordinateur (10a ; 10b), qui commande ses composants (4a ; 4b) associés,

- le premier et le deuxième ordinateurs (10a, 11a ; 10b, 11b) de composants (4a ; 4b) déterminent, indépendamment l'un de l'autre, l'alimentation en courant des composants (4a ; 4b) et envoient ces résultats de lecture en retour à l'ordinateur (6) de commande et

- l'ordinateur (6) de commande compare son instruction de réglage aux résultats de lecture en retour des composants (4a ; 4b) et compare les résultats de lecture en retour entre eux, dans lequel, s'il n'y a pas coïncidence d'au moins l'un des résultats de la comparaison, une réaction de sécurité est déclenchée.

2. Système de sécurisation de passage à niveau suivant la revendication 1,
caractérisé en ce que
l'ordinateur (6) de commande et les ordinateurs (8a ; 8b) de composants sont disposés suivant un anneau (5) de communication.

3. Système de sécurisation de passage à niveau suivant l'une des revendications précédentes,
caractérisé en ce que
l'ordinateur (6) de commande envoie des instructions d'arrêt pour le déclenchement de la réaction de sécurité au premier et au deuxième ordinateurs (10a,11a ; 10b, 11b), grâce à quoi le premier et/ou le deuxième ordinateur (10a, 10b et/ou 11a, 11b) et/ou les composants (4a ; 4b) associés est mis/sont mis dans un état sécurisé en technique du signal.

4. Système de sécurisation de passage à niveau suivant l'une des revendications précédentes,
caractérisé en ce que
l'ordinateur (6) de commande interrompt, pour le déclenchement de la réaction de sécurité, la liaison de de communication avec les ordinateurs (8a ; 8b) de composants, grâce à quoi les composants (4a ; 4b) sont mis dans un état sécurisé en technique du signal.

5. Procédé de commande et de contrôle sécurisé en technique du signal de composants (3a, 3b, ; 4a, 4b, 4c, 4d) sur la voie d'un système de sécurisation d'un passage à niveau,
dans lequel

- un ordinateur (6) de commande à deux canaux sécurisé en technique du signal envoie une instruction de réglage à un premier ordinateur (10a ; 10b), qui commande un composant (4a ; 4b), qui lui est associé,

- le premier et un deuxième ordinateurs (10a, 11a ; 10b, 11b) des composants (4a ; 4b) déterminent, indépendamment l'un de l'autre, une alimentation en courant des composants (4a ; 4b) comme résultats d'une lecture en retour et envoient ces résultats de lecture en retour à l'ordinateur (6) de commande, des ordinateurs (8a ; 8b) de composants non sécurisés en technique du signal étant affectés aux composants (3a, 3b; 4a, 4b, 4c, 4d), les ordinateurs (8a ; 8b) de composants comprenant chacun un premier et un deuxième ordinateurs (10a, 11a ; 10b, 11b) à un seul canal à matériel en diversité, et

- - l'ordinateur (6) de commande compare son instruction de réglage aux résultats de lecture en retour des composants (4a ; 4b) et compare les résultats de lecture en retour entre eux, dans lequel, s'il n'y a pas coïncidence d'au moins l'un des résultats de la comparaison, une réaction de sécurité est déclenchée.

Zeichnung