[0001] Die Erfindung betrifft ein Bahnübergangssicherungssystem mit einer Steuereinrichtung
für straßenseitige Komponenten, insbesondere Bahnschranken und Lichtzeichen, bei dem
die Steuereinrichtung einen signaltechnisch sicheren zweikanaligen Steuerrechner aufweist.
[0002] Für Bahnübergangssicherungssysteme ist ein hoher Sicherheitslevel - Safety Integrity
Level / SIL - Voraussetzung für eine Zulassung durch nationale Behörden. Die Sicherheitslevel
sind in der CENELEC Norm EN50129 von SIL0 - signaltechnisch nicht sicher - bis SIL4
- signaltechnisch hochgradig sicher - definiert. Der für Bahnübergangssicherungssysteme
vorgegebene Sicherheitslevel ist üblicherweise SIL4.
[0003] Aus der
DE 199 28 317 A1 ist eine Bahnübergangssicherungsanlage bekannt, in der einzelne Komponenten durch
Funkeinrichtungen miteinander verbunden sind.
[0004] Bekannt sind Bahnübergangssicherungssysteme auf der Basis zweikanaliger SIL4-Rechner
für die Steuereinrichtung und für Komponentenrechner mit mehrkanaliger Rücklesung
des Komponentenzustandes, wobei in den Kanälen der Rechner jeweils die gleiche Anwendersoftware
vorgesehen ist.
[0005] Aus der
DE 10 2007 032 805 A1 ist eine sichere einkanalige Kommunikation zum Steuern eines sicherheitskritischen
Bahnbetriebsprozesses bekannt.
[0006] Der Erfindung liegt die Aufgabe zugrunde, ein Bahnübergangssicherungssystem gattungsgemäßer
Art anzugeben, bei dem der SIL-Level möglichst vieler Systemrechner verringert werden
kann, wobei der geforderte SIL-Level für das Gesamtsystem, insbesondere SIL4, dennoch
sichergestellt ist.
[0007] Erfindungsgemäß wird die Aufgabe dadurch gelöst, dass den Komponenten signaltechnisch
nicht sichere Komponentenrechner zugeordnet sind, wobei die Komponentenrechner jeweils
einen ersten und einen zweiten einkanaligen Rechner mit diversitärer Hardware umfassen,
und dass der Steuerrechner und die Komponentenrechner Mittel zur Ansteuerung und Überwachung
der Komponenten mit folgendem Ablauf aufweisen:
- der Steuerrechner sendet einen Stellbefehl an die ersten Rechner, welche ihre zugeordnete
Komponente ansteuern,
- der erste und der zweite Rechner der Komponente ermitteln unabhängig voneinander die
Bestromung der Komponente und senden dieses Rückleseergebnis an den Steuerrechner
und
- der Steuerrechner vergleicht seinen Stellbefehl mit den Rückleseergebnissen der Komponenten
und vergleicht die Rückleseergebnisse miteinander, wobei bei Nichtübereinstimmung
mindestens eines der Vergleichsergebnisse eine Sicherheitsreaktion ausgelöst wird.
[0008] Durch die Zweifachrücklesung des tatsächlichen Schaltzustandes der Komponenten, das
heißt der Komponentenbestromung, mittels zweier diversitärer Rechner und durch den
steuerrechnerseitigen Vergleich sowohl seines Stellbefehles mit den Rückleseergebnissen
als auch der Rückleseergebnisse untereinander wird die geforderte signaltechnische
Sicherheit des Bahnübergangssicherungssystems auch mit signaltechnisch nicht sicheren
Komponentenrechnern erreicht. Auf diese Weise ergibt sich eine Vereinfachung der Komponentenrechner
und letztlich eine erhebliche Verringerung der Hardwarekosten. Die Aufspaltung des
Komponentenrechners in einen ersten und einen zweiten einkanaligen Rechner und deren
ablaufgemäßes Zusammenwirken mit dem signaltechnisch sicheren Steuerrechner führen
außerdem zu einer einfacheren Sicherheitsnachweisführung für die Zulassung des Gesamtsystems.
Die ersten und zweiten Rechner, die den anzusteuernden Komponenten, insbesondere Bahnschranken
und Lichtzeichen, des Bahnübergangssicherungssystems zugeordnet sind, können als SILO-Rechner
und damit als kommerzielle, preiswerte Rechner ausgeführt sein. Die Sicherheitsverantwortung
liegt bei ablaufgemäßer Ansteuerung und Überwachung der Komponenten bei dem Steuerrechner,
der vorzugsweise als SIL4-Rechner ausgeführt ist. Vorteilhaft ist darüber hinaus,
dass der Platzbedarf der beiden einkanaligen diversitären Rechner der einzelnen Komponenten
geringer ist als bei zweikanaliger, signaltechnisch sicherer Ausführung gemäß dem
Stand der Technik. Dabei fungiert der erste Rechner im Wesentlichen als Controller,
während der zweite Rechner auch als Kommunikationsmodul bezeichnet werden kann, da
dieser zweite Rechner zusätzlich die Kommunikation zwischen Komponentenrechner und
Steuerrechner managet.
[0009] Vorzugsweise sind der Steuerrechner und die Komponentenrechner gemäß Anspruch 2 in
einem Kommunikationsring angeordnet. Datentelegramme verschiedenster Art können auf
dem Kommunikationsring, beispielsweise via Ethernet, zwischen allen Rechnern bzw.
deren zugeordneten Komponenten und dem Steuerrechner schnell und sicher übertragen
werden. Einzelverbindungen des Steuerrechners mit jedem einzelnen Komponentenrechner
entfallen somit.
[0010] Zur Auslösung der Sicherheitsreaktion bei durch den Steuerrechner festgestellter
Nichtübereinstimmung mindestens eines der beiden Vergleichsergebnisse ist gemäß Anspruch
3 vorgesehen, dass der Steuerrechner an die ersten und zweiten Rechner Abschaltkommandos
sendet, wodurch der erste und/oder der zweite Rechner die zugeordnete Komponente in
einen signaltechnisch sicheren Zustand schaltet beziehungsweise schalten. Zusätzlich
oder alternativ kann die Sicherheitsreaktion gemäß Anspruch 4 auch dadurch ausgelöst
werden, dass der Steuerrechner die Kommunikationsverbindung zu den Komponentenrechnern
abbricht, wodurch die Komponenten automatisch in einen signaltechnisch sicheren Zustand
geschaltet werden.
[0011] Die Erfindung betrifft auch ein Verfahren gemäß Anspruch 5. Die Erfindung wird nachfolgend
anhand figürlicher Darstellungen näher erläutert. Es zeigen:
- Figur 1
- ein Bahnübergangssicherungssystem mit Bestromungsplan und
- Figur 2
- eine Detaildarstellung der wesentlichen Baugruppen zur Ansteuerung von Lichtsignalen
an einem Bahnübergang.
[0012] Figur 1 veranschaulicht einen Bahnübergang, bei dem eine Straße 1 ein Gleis 2 kreuzt.
Zur Sicherung des Bahnüberganges sind straßenseitig zwei Halbschranken 3a und 3b und
vier Lichtzeichen 4a, 4b, 4c und 4d vorgesehen, welche in einem Kommunikationsring
5 mit einem zweikanaligen signaltechnisch sicheren Steuerrechner 6 nach Art eines
SIL4-LCU / Level Crossing Unit verbunden sind. Der Steuerrechner 6 ist mit einer Kommunikationseinrichtung
7 ausgestattet, welche mit den Komponenten 3a, 3b, 4a, 4b, 4c und 4d zugeordneten
in Figur 2 dargestellten Komponentenrechnern 8a und 8b Datentelegramme via Ethernet
austauscht. Eine zentrale oder dezentrale Meldeeinrichtung 9 überträgt ein Meldesignal
an den Kommunikationsring 5, wenn sich ein Schienenfahrzeug dem Bahnübergang nähert,
so dass die Bahnschranken 3a und 3b abgesenkt und die Lichtzeichen 4a, 4b, 4c und
4d auf rot gestellt werden müssen. Dabei werden 24V-Ansteuersignale 24V_1 und 24V_2
für die Komponenten 3a, 3b, 4a, 4b, 4c und 4d sowie 220V-Betätigungsspannung für die
Bahnübergänge 3a und 3b erzeugt.
[0013] In Figur 2 sind die wesentlichen Baugruppen für die Ansteuerung der Komponentenrechner
am Beispiel zweier Komponentenrechner 8a und 8b für die Ansteuerung der beiden Lichtzeichen
4a und 4b dargestellt. Die Komponentenrechner 8a und 8b sind jeweils mit einem ersten
einkanaligen SILO-Rechner 10a beziehungsweise 10b und einem zweiten einkanaligen SILO-Rechner
11a beziehungsweise 11b ausgestattet. Die beiden Rechner 10a und 11a sowie 10b und
11b unterscheiden sich hardwaremäßig, so dass diversitäre Datenverarbeitungsprinzipien
resultieren.
[0014] Zur signaltechnisch sicheren Ansteuerung und Überwachung der Lichtzeichen 4a und
4b ist folgender Ablauf vorgesehen:
Der Steuerrechner 6 sendet einen Stellbefehl an die ersten Rechner 10a und 11a, welche
daraufhin ihr zugeordnetes Lichtzeichen 4a beziehungsweise 4b auf rot 12a beziehungsweise
12b schalten.
Der erste und der zweite Rechner 10a und 11a beziehungsweise 10b und 11b ermitteln
über Stromüberwachungseinrichtungen 13a und 14a beziehungsweise 13b und 14b unabhängig
voneinander die Bestromung des Lichtzeichens 4a beziehungsweise 4b, das heißt die
beiden Rechner 10a und 11a beziehungsweise 10b und 11b stellen fest, ob der gemäß
Stellbefehl des Steuerrechners 6 vorgesehene Rot-Zustand 12a beziehungsweise 12b des
Lichtzeichens 4a beziehungsweise 4b korrekt eingeschaltet wurde. Dieses Rückleseergebnis
wird von dem ersten Rechner 10a beziehungsweise 10b als erstes Telegramm 15a beziehungsweise
15b und von dem zweiten Rechner 11a beziehungsweise 11b als zweites Datentelegramm
16a beziehungsweise 16b über den Kommunikationsring 5 an den Steuerrechner 6 übermittelt.
Daraufhin vergleicht der Steuerrechner 6 seinen Stellbefehl mit den Rückleseergebnissen,
das heißt mit den Datentelegrammen 15a und 16a sowie 15b und 16b. Wenn die Datentelegramme
15a, 16a, 15b und 16b nicht zu dem Stellbefehl des Steuerrechners 6 passen, bedeutet
das, dass der Rot-Zustand 12a und/oder 12b des Lichtzeichens 4a und/oder 4b nicht
korrekt eingestellt wurde, wodurch der Steuerrechner 6 eine Sicherheitsreaktion auslöst,
die die Lichtzeichen 4a und 4b so lange in den Rot-Zustand 12a, 12b zwingt, bis die
Störung behoben ist. Die gleiche Sicherheitsreaktion erfolgt auch, wenn der Steuerrechner
6 durch Vergleich der Rot-zustandsspezifischen Datentelegramme 15a und 16a bezüglich
des Lichtzeichens 4a mit den Datentelegrammen 15b und 16b bezüglich des Lichtzeichens
4b eine Diskrepanz feststellt.
[0015] Die in Figur 2 beispielhaft dargestellte Konfiguration ermöglicht im Zusammenwirken
mit dem geschilderten Ablauf zur Ansteuerung und Überwachung von Bahnschranken 3a
und 3b und Lichtzeichen 4a, 4b, 4c und 4d, dass die Komponentenrechner 8a und 8b als
SILO-Rechner ausgeführt sein können, ohne die SIL4-Sicherheit des Gesamtsystems zu
gefährden. In Figur 2 ist außerdem ersichtlich, dass die ersten Rechner 10a und 10b
Controllerfunktionalität aufweisen, während die zweiten Rechner 11a und 11b darüber
hinaus die Ethernet-Kommunikation mit dem sicheren Rechner 6 steuern.
1. Bahnübergangssicherungssystem mit einer Steuereinrichtung für straßenseitige Komponenten
(3a, 3b; 4a, 4b, 4c, 4d), insbesondere Bahnschranken (3a, 3b) und Lichtzeichen (4a,
4b, 4c, 4d), bei dem die Steuereinrichtung einen signaltechnisch sicheren zweikanaligen
Steuerrechner (6) aufweist und
dadurch gekennzeichnet, dass den Komponenten (3a, 3b; 4a, 4b, 4c, 4d) signaltechnisch nicht sichere Komponentenrechner
(8a; 8b) zugeordnet sind, wobei die Komponentenrechner (8a; 8b) jeweils einen ersten
und einen zweiten einkanaligen Rechner (10a, 11a; 10b, 11b) mit diversitärer Hardware
umfassen, und
dass der Steuerrechner (6) und die Komponentenrechner (8a; 8b) Mittel zur Ansteuerung
und Überwachung der Komponenten (3a, 3b; 4a, 4b, 4c, 4d) mit folgendem Ablauf aufweisen:
- der Steuerrechner (6) sendet einen Stellbefehl an die ersten Rechner (10a; 10b),
welche ihre zugeordnete Komponente (4a; 4b) ansteuern,
- der erste und der zweite Rechner (10a, 11a; 10b, 11b) der Komponente (4a; 4b) ermitteln
unabhängig voneinander die Bestromung der Komponente (4a; 4b) und senden diese Rückleseergebnisse
an den Steuerrechner (6) und
- der Steuerrechner (6) vergleicht seinen Stellbefehl mit den Rückleseergebnissen
der Komponenten (4a; 4b) und vergleicht die Rückleseergebnisse miteinander, wobei
bei Nichtübereinstimmung mindestens eines der Vergleichsergebnisse eine Sicherheitsreaktion
ausgelöst wird.
2. Bahnübergangssicherungssystem nach Anspruch 1,
dadurch gekennzeichnet, dass der Steuerrechner (6) und die Komponentenrechner (8a; 8b) in einem Kommunikationsring
(5) angeordnet sind.
3. Bahnübergangssicherungssystem nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass der Steuerrechner (6) zur Auslösung der Sicherheitsreaktion an die ersten und zweiten
Rechner (10a, 11a; 10b, 11b) Abschaltkommandos sendet, wodurch der erste und/oder
der zweite Rechner (10a, 10b und/oder 11a, 11b) die zugeordnete Komponente (4a; 4b)
in einen signaltechnisch sicheren Zustand schaltet/schalten.
4. Bahnübergangssicherungssystem nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass der Steuerrechner (6) zur Auslösung der Sicherheitsreaktion die Kommunikationsverbindung
zu den Komponentenrechnern (8a; 8b) abbricht, wodurch die Komponenten (4a; 4b) in
einen signaltechnisch sicheren Zustand geschaltet werden.
5. Verfahren zur signaltechnisch sicheren Ansteuerung und Überwachung von straßenseitigen
Komponenten (3a, 3b; 4a, 4b, 4c, 4d) eines Bahnübergangsicherungssystems,
bei dem
- ein signaltechnisch sicherer zweikanaliger Steuerrechner (6) einen Stellbefehl an
einem ersten Rechner (10a; 10b) sendet, der eine ihm zugeordnete Komponente (4a; 4b)
ansteuert,
- der erste und ein zweiter Rechner (10a, 11a; 10b, 11b) der Komponente (4a; 4b) unabhängig
voneinander eine Bestromung der Komponente (4a; 4b) als Rückleseergebnisse ermitteln
und diese Rückleseergebnisse an den Steuerrechner (6) senden, wobei den Komponenten
(3a, 3b; 4a, 4b, 4c, 4d) signaltechnisch nicht sichere Komponentenrechner (8a; 8b)
zugeordnet sind, wobei die Komponentenrechner (8a; 8b) jeweils einen ersten und einen
zweiten einkanaligen Rechner (10a, 11a; 10b, 11b) mit diversitärer Hardware umfassen,
und
- der Steuerrechner (6) seinen Stellbefehl mit den Rückleseergebnissen und die Rückleseergebnisse
miteinander vergleicht, wobei bei Nichtübereinstimmung mindestens eines der Vergleichsergebnisse
eine Sicherheitsreaktion ausgelöst wird.
1. Level crossing safety system having a control device for roadside components (3a,
3b; 4a, 4b, 4c, 4d), in particular railway barriers (3a, 3b) and light signals (4a,
4b, 4c, 4d), in which
the control device has a failsafe two-channel control computer (6) and
characterised in that the components (3a, 3b; 4a, 4b, 4c, 4d) are assigned non-failsafe component computers
(8a; 8b), wherein the component computers (8a; 8b) each comprise a first and a second
single-channel computer (10a, 11a; 10b, 11b) with diverse hardware, and
that the control computer (6) and the component computer (8a; 8b) have means for actuating
and monitoring the components (3a, 3b; 4a, 4b, 4c, 4d) with the following sequence:
- the control computer (6) sends a control command to the first computers (10a; 10b),
which actuate their assigned component (4a; 4b),
- the first and the second computer (10a, 11a; 10b, 11b) of the component (4a; 4b)
determine independently of one another the energisation of the component (4a; 4b)
and send these readback results to the control computer (6) and
- the control computer (6) compares its control command with the readback results
of the components (4a; 4b) and compares the readback results with one another, wherein
a safety response is triggered if at least one of the comparison results does not
match.
2. Level crossing safety system according to claim 1, characterised in that
the control computer (6) and the component computer (8a; 8b) are arranged in a communication
ring (5).
3. Level crossing safety system according to one of the preceding claims,
characterised in that
the control computer (6) sends the first and second computers (10a, 11a; 10b, 11b)
deactivation commands to trigger the safety response, as a result of which the first
and/or the second computer (10a, 10b and/or 11a, 11b) switches/switch the assigned
component (4a; 4b) into a failsafe state.
4. Level crossing safety system according to one of the preceding claims,
characterised in that
the control computer (6) breaks off the communication connection to the component
computers (8a; 8b) to trigger the safety response, as a result of which the components
(4a; 4b) are switched into a failsafe state.
5. Method for the failsafe actuation and monitoring of roadside components (3a, 3b; 4a,
4b, 4c, 4d) of a level crossing safety system,
in which
- a failsafe two-channel control computer (6) sends a control command to a first computer
(10a; 10b) which actuates a component (4a; 4b) assigned to it,
- the first and a second computer (10a, 11a; 10b, 11b) of the component (4a; 4b) determine
independently of one another an energisation of the component (4a; 4b) as readback
results and send these readback results to the control computer (6), wherein the components
(3a, 3b; 4a, 4b, 4c, 4d) are assigned non-failsafe component computers (8a; 8b), wherein
the component computers (8a; 8b) each comprise a first and a second single-channel
computer (10a, 11a; 10b, 11b) with diverse hardware, and
- the control computer (6) compares its control command with the readback results
and the readback results with one another, wherein a safety response is triggered
if at least one of the comparison results does not match.
1. Système de sécurisation de passage à niveau, comprenant un dispositif de commande
de composants (3a, 3b, ; 4a, 4b, 4c, 4d) de côté de la route, notamment de barrières
(3a, 3b) de voie et de signalisations (4a, 4b, 4c, 4d) lumineuses,
dans lequel
le dispositif de commande a un ordinateur (6) de commande à deux canaux sécurisé en
technique du signal et
caractérisé en ce qu'aux composants (3a, 3b, ; 4a, 4b, 4c, 4d) est associé, en technique du signal, un
ordinateur (8a ; 8b) de composants non sécurisé, les ordinateurs (8a ; 8b) de composants
comprenant chacun un premier et un deuxième ordinateurs (10a, 11a ; 10b, 11b) à un
seul canal à matériel en diversité, et
en ce que l'ordinateur (6) de commande et les ordinateurs (8a ; 8b) de composants ont des moyens
de commande et de contrôle des composants (3a, 3b, ; 4a, 4b, 4c, 4d) avec le déroulement
suivant :
- l'ordinateur (6) de commande envoie une instruction de réglage au premier ordinateur
(10a ; 10b), qui commande ses composants (4a ; 4b) associés,
- le premier et le deuxième ordinateurs (10a, 11a ; 10b, 11b) de composants (4a ;
4b) déterminent, indépendamment l'un de l'autre, l'alimentation en courant des composants
(4a ; 4b) et envoient ces résultats de lecture en retour à l'ordinateur (6) de commande
et
- l'ordinateur (6) de commande compare son instruction de réglage aux résultats de
lecture en retour des composants (4a ; 4b) et compare les résultats de lecture en
retour entre eux, dans lequel, s'il n'y a pas coïncidence d'au moins l'un des résultats
de la comparaison, une réaction de sécurité est déclenchée.
2. Système de sécurisation de passage à niveau suivant la revendication 1,
caractérisé en ce que
l'ordinateur (6) de commande et les ordinateurs (8a ; 8b) de composants sont disposés
suivant un anneau (5) de communication.
3. Système de sécurisation de passage à niveau suivant l'une des revendications précédentes,
caractérisé en ce que
l'ordinateur (6) de commande envoie des instructions d'arrêt pour le déclenchement
de la réaction de sécurité au premier et au deuxième ordinateurs (10a,11a ; 10b, 11b),
grâce à quoi le premier et/ou le deuxième ordinateur (10a, 10b et/ou 11a, 11b) et/ou
les composants (4a ; 4b) associés est mis/sont mis dans un état sécurisé en technique
du signal.
4. Système de sécurisation de passage à niveau suivant l'une des revendications précédentes,
caractérisé en ce que
l'ordinateur (6) de commande interrompt, pour le déclenchement de la réaction de sécurité,
la liaison de de communication avec les ordinateurs (8a ; 8b) de composants, grâce
à quoi les composants (4a ; 4b) sont mis dans un état sécurisé en technique du signal.
5. Procédé de commande et de contrôle sécurisé en technique du signal de composants (3a,
3b, ; 4a, 4b, 4c, 4d) sur la voie d'un système de sécurisation d'un passage à niveau,
dans lequel
- un ordinateur (6) de commande à deux canaux sécurisé en technique du signal envoie
une instruction de réglage à un premier ordinateur (10a ; 10b), qui commande un composant
(4a ; 4b), qui lui est associé,
- le premier et un deuxième ordinateurs (10a, 11a ; 10b, 11b) des composants (4a ;
4b) déterminent, indépendamment l'un de l'autre, une alimentation en courant des composants
(4a ; 4b) comme résultats d'une lecture en retour et envoient ces résultats de lecture
en retour à l'ordinateur (6) de commande, des ordinateurs (8a ; 8b) de composants
non sécurisés en technique du signal étant affectés aux composants (3a, 3b; 4a, 4b,
4c, 4d), les ordinateurs (8a ; 8b) de composants comprenant chacun un premier et un
deuxième ordinateurs (10a, 11a ; 10b, 11b) à un seul canal à matériel en diversité,
et
- - l'ordinateur (6) de commande compare son instruction de réglage aux résultats
de lecture en retour des composants (4a ; 4b) et compare les résultats de lecture
en retour entre eux, dans lequel, s'il n'y a pas coïncidence d'au moins l'un des résultats
de la comparaison, une réaction de sécurité est déclenchée.