ESTW - Vorstellung der Stellwerkssysteme

Elektronische Stellwerke - ein internationaler Überblick

2 Vorstellung ausgewählter Stellwerkssysteme

2.1 Die ESTW des deutschsprachigen Raumes

Den ESTW El S (SIEMENS), El L (auch ESTW L90; Alcatel SEL) und ELEKTRA (Alcatel Austria) ist in der deutschsprachigen Fachpresse bereits vielfach Aufmerksamkeit gewidmet worden [z. B. 1, 2, 3, 4, 5]. Um eine Vergleichbarkeit zu anderen Systeme zu schaffen, sollen deren wesentlichsten Eigenschaften noch einmal zusammenfassend dargestellt werden.

2.1.1 Systemstruktur

Allen drei ESTW ist gemein, daß sie zur Steuerung großer Bereiche geeignet sind, deren Umfang eine Größenordnung von bis zu 1000 Stelleinheiten erreichen kann. Von einer Zentrale aus werden mehrere, zumeist längs der Strecke aufgestellte Peripherierechner (Bereichsstellrechner, Elementansteuer-Modul, Peripheral Control Computer) gesteuert und von ihnen Meldungen eingelesen. Parallele oder serielle Busse sorgen für eine signaltechnisch sichere Datenübertragung. Die Einbindung von Relaisstellwerken ist dabei grundsätzlich möglich.

2.1.2 Sicherheits- und Verfügbarkeitskonzepte

Alle drei Stellwerke genügen sehr hohen Sicherheitsanforderungen (eingeordnet in bzw. vergleichbar mit AK 7 und 8 nach DIN 19250). Eine Besonderheit dieser ESTW ist die international durchaus nicht übliche Sicherheit in Bedienung und Anzeige. Im Hintergrund ablaufende Prüfprogramme sind in allen ESTW vorhanden und sollen daher im folgenden nicht weiter erwähnt werden.

2.1.2.1 ESTW El S

Um eine sichere Datenverarbeitung zu gewährleisten, werden eigenentwickelte Rechner in ver schiedenen Konfigurationen verwendet, die nach dem SIMIS-Prinzip arbeiten. Aus der SIMIS- Rechnerfamilie werden Rechner in 2v2- und 2v3-Konfiguration eingesetzt.
Rechnersysteme, die nach dem SIMIS-Prinzip konzipiert sind, bestehen aus mindestens zwei voneinander unabhängigen, identisch aufgebauten, taktsynchron arbeitenden und identisch programmierten Mikrocomputern. In den Kanälen werden die Prozeßdaten parallel verarbeitet. Die Steuerwertausgaben an die Peripherie werden durch Hardware-Vergleicher fail-safe verglichen.

2.1.2.2 ESTW El L

Der Sicherheitsbaustein SELMIS wird in allen Rechnern des El L mit Sicherheitsverantwortung eingesetzt. Um eine Technologieunabhängigkeit zu erreichen, wird der Kern des sicheren Bausteins, der aus marktgängigen Rechnerbaugruppen besteht, in eine sogenannte Sicherheitsschale eingebunden. Diese Sicherheitsschale ist ein System aus Hard- und Softwarekomponenten, welches handelsüblichen Rechnern erlaubt, Aufgaben mit Sicherheitsverantwortung zu übernehmen. Dadurch ist es möglich, auch zukünftige, leistungsstärkere Rechner und damit das immer günstiger werdende Preis/Leistungsverhältnis von Rechentechnik für das El L zu nutzen.

Die Sicherheit des SELMIS beruht auf Mehrfachverarbeitung in voneinander unabhängigen parallelen Rechnerkanälen und dem Vergleich der Eingabe-, Prüf-, Zwischen- und Ausgabedaten mittels Software in den Rechnerkanälen selbst. Um eine hohe Verfügbarkeit zu erreichen, wurde vorrangig die 2v3-Konfiguration gewählt.

2.1.2.3 ESTW ELEKTRA

Um die Sicherheitsanforderungen zu erfüllen, werden alle sicherheitsrelevanten Aktionen grundsätzlich zweikanalig verarbeitet. Deshalb ist das System in einen Logikkanal (A) und einen Sicherheitskanal (Safety Bag, B) geteilt [4]. Das bedeutet, daß hier die Sicherheitsredundanz auf Systemebene realisiert wird, während das bei allen anderen Systemen, die Hardwareredundanz zur Gewährleistung der Sicherheit nutzen, auf Baugruppen- oder Geräteebene geschieht! Außerdem wird bei ELEKTRA streng zwischen der Implementierung des Sicherheits- und des Verfügbarkeitskonzeptes getrennt. Eine hohe Verfügbarkeit wird durch redundante Rechner, die nach dem VOTRICS-Prinzip (Voting Triple Modular Redundant Computing System) arbeiten, erreicht. Die Sicherheit wird durch das zweikanalige und außerdem diversitär programmierte System gewährleistet. [6]

2.2 EBILOCK

1978 übergab die schwedische Firma Ericsson Signal ihr erstes ESTW in Göteborg (Schweden) dem Betrieb. Inzwischen gelangte die Firma über ABB zur ADtranz, in der sie mit dem Verkehrstechnik- Bereich des mittlerweile aufgelösten AEG-Konzerns vereinigt wurde.

EBILOCK ist Teil einer kompletten Produktfamilie von Sicherungssystemen mit einheitlicher Technik. Dazu gehören die elektronischen Stellwerkssysteme (EBILOCK), Streckenblöcke (EBILINE) und Bahnübergangssicherungssysteme (EBIGATE). Um Betriebszentralen bilden zu können, wird das System EBICOS angeboten; zur Zugbeeinflussung steht das ATC-System EBICAB zur Verfügung. [7]

EBILOCK ist zur Zeit hauptsächlich in Skandinavien im Einsatz. Die Einführung von EBILOCK in seiner Ursprungsform war bisher in Deutschland nicht möglich, da die Sicherheitsstruktur – diversitäre Software auf einkanaliger Hardware – für Eisenbahnsicherungsanlagen hier nicht üblich und bisher auch nicht zugelassen ist. Es wird jedoch daran gearbeitet, das System für den deutschen Markt zu modifizieren.

2.2.1 Systemstruktur

Kern der Anlage ist der Zentrale Sicherheitsbaustein (Interlocking Processor). Für Bedienung und Anzeige steht ein Terminal zur Verfügung, das direkt mit dem Interlocking Processor verbunden ist. Ist die Anlage sehr umfangreich, und sollen weitere Techniken integriert werden, so werden Bedienplatzsysteme vorgesehen. Das oben genannte Terminal wird dann für Instandhaltungszwecke oder als Rückfallebene für die Bedienung genutzt. [8]

Der Zentrale Sicherheitsbaustein ist ein 16 Bit-Rechner mit firmenspezifischen und kommerziellen Baugruppen und beinhaltet die gesamte Stellwerkslogik. Um umfangreiche Anlagen steuern zu können, werden mehrere dieser Bausteine eingesetzt und mit einer seriellen, redundant ausgeführten Datenleitung verbunden (Bild 1).

Bild 1: Systemstruktur des ESTW EBILOCK

Die Datenübertragung wird durch Ringleitungen realisiert, die am Zentralen Sicherheitsbaustein beginnen und enden. Bei Kabelbruch an beliebiger Stelle der Schleife arbeitet somit das System ohne Einschränkung weiter.

Jedes Feldelement hat sein eigenes Objektsteuergerät (OSG). Dieses beinhaltet einen Mikroprozessor, diversitäre Software für den speziellen Anwendungsfall sowie Baugruppen für die Verbindung zum Zentralen Sicherheitsbaustein und die Ansteuerung der Elemente [8]. Das OSG wird ohne Redundanz verwendet, was gerade an kritischen Elementen (z. B. Einfahrweiche) hinsichtlich der Flüssigkeit des Bahnbetriebs verwundert.
Im Steuergeräteschrank, der in der Außenanlage aufgestellt wird, sind die Objektsteuergeräte zusammen mit den Konzentratoren untergebracht. Letztere übernehmen die Regenerierung der Signale und bilden in einer Schleife Anschlußpunkte, an welche die Objektsteuergeräte angeschaltet werden. Über Modem kommunizieren die Konzentratoren untereinander und mit dem Zentralen Sicherheitsbaustein. Bei Ausfall der Versorgungsenergie eines Konzentrators werden die Signale durchgeschaltet, so daß die anderen Schleifenelemente davon nicht betroffen sind. [8]

Die Zugbeeinflussung erfolgt über Balisen, die vom Objektsteuergerät für Signale angesteuert werden. Diese Balisen übertragen mehr Informationen als nur den aktuellen Signalbegriff und bilden damit die streckenseitige Kommunikationseinrichtung des ATC-Systems EBICAB.

2.2.2 Leistungsparameter

Etwa 300 Objektsteuergeräte (OSG) können von einem Zentralen Sicherheitsbaustein des EBILOCK 850 gesteuert werden [8]. In der abgespeckten Variante EBILOCK 950 sind es 100.

2.2.3 Sicherheits- und Verfügbarkeitskonzept

Alle sicheren Verarbeitungen werden sequentiell von zwei diversitären Programmen (A und B) vorgenommen. Diese haben zwar identische Funktionen und arbeiten auf einkanaliger Hardware, nutzen jedoch die Hardware diversitär (z. B. Benutzung unterschiedlicher Register). Jedes der zwei diversitären Programme wird von einem eigenen Entwicklungsteam programmiert.

Die berechneten Daten der Programme A und B werden nacheinander zum OSG übertragen, wo sie verglichen werden. Nur wenn die Ergebnisse übereinstimmen, wird der Stellbefehl ausgeführt. Die nacheinander übertragenen, durch diversiäre Software errechneten Meldungen des OSG an den Zentralen Sicherheitsbaustein werden in letzterem durch Software verglichen (Bild 2).

Bild 2: Sicherheitsprinzip im EBILOCK-Stellwerk

Um die Verfügbarkeit zu erhöhen, kann der Zentrale Sicherheitsbaustein redundant vorgesehen werden. Dabei erhält der Redundanzrechner ständig alle Daten vom Arbeitsrechner, wobei garantiert ist, daß diese nicht älter als 20 Sekunden sind. Nach einer Umschaltung arbeitet der Redundanzrechner mit den Daten weiter und aktualisiert sie gemäß der Meldungen von den OSG. Freigebende Befehle werden jedoch für zwei Minuten blockiert. [8]

2.3 British Rails SSI

Solid State Interlocking (SSI) ist eigentlich die englische Sammelbezeichnung für elektronische Stellwerkstechnik. British Rails SSI ist ein offener Standard, der Anfang der 80er Jahre von den englischen Signalbaufirmen GEC-General Signal Ltd und Westinghouse Signals Ltd unter Führung von British Rail (BR) entwickelt wurde. Das erste Stellwerk dieser Art wurde 1985 in Betrieb genommen.

Heute gehört SSI zu den weltweit am häufigsten eingesetzten ESTW. Der weltweite Erfolg läßt sich u. a. durch eine große Flexibilität erklären, da das SSI große Vorteile bei der Anpassung des Systems an die Bedingungen fremder Bahngesellschaften bietet, wenn sich alle betrieblichen Bedingungen in Verschlußtabellen darstellen lassen. Komplizierte Funktionen wie z. B. Ersatzschutz sind dabei zwar nicht zu realisieren, werden aber auch in den meisten Teilen der Welt nicht gefordert.

2.3.1 Systemstruktur

Kern des Systems ist das sichere Interlocking Multi-Processor Modul (I/L MPM). Über das nicht sichere Panel Processor Modul (PPM) werden die Ein- und Ausgaben vom und zum Bediener bearbeitet. Zusammen mit dem Diagnostic Multi-Processor Modul (Diag MPM) und den Data Link Modulen (DLM) bilden sie das Interlocking Cubicle – den Stellwerkskern. Ein Interlocking Cubicle kann einen mittelgroßen Bahnhof steuern. Ist mehr Kapazität nötig, so werden weitere Interlocking Cubicles hinzugefügt. Für Diagnosezwecke steht das Technician's Terminal zur Verfügung, welches über das Diag MPM mit den Interlocking Cubicles kommuniziert (Bild 3).

Bild 3: Systemstruktur des ESTW SSI mit Stelltisch

Die Verbindung zur Außenanlage und zu weiteren Stellwerken wird durch Data Link Modules, an die das Bussystem angeschlossen ist, erreicht. Die Trackside Functional Modules (TFM) schließlich bilden die Stellrechner in der Nähe der zu steuernden Elemente.

Das Interlocking Multi-Processor Modul (I/L MPM) arbeitet als sicheres System in einer 2v3- Konfiguration mit Softwarevergleich und ist in allen Kanälen in Hard- und Software identisch. Hier werden alle sicherungstechnischen Verknüpfungen ausgeführt.
Die Trackside Functional Modules (TFM) bieten, als direkte Schnittstelle zur Außenanlage, jeweils acht sichere Ein- und Ausgänge. Es wird in Signal- und Weichen-TFM unterschieden. Inzwischen wurden weitere Arten entwickelt, vor allem, um sich an die Bedürfnisse anderer Bahnverwaltungen anzupassen [16]. Die TFM sind 2v2-Rechnersysteme mit Softwarevergleich. Auch hier sind die Rechnerkanäle in Hard- und Software identisch aufgebaut.

In Schaltschränken, die sich in der Außenanlage befinden, werden die TFM untergebracht. British Rail läßt eine Stellentfernung von 180 m zu. Wie im ESTW EBILOCK müssen viele Schränke in der Außenanlage aufgestellt werden, wodurch die Peripherierechner nicht zentral angeordnet sind. Die Wartung vereinfacht sich aber dadurch, daß in den Schränken lediglich drei verschiedene Modultypen benötigt werden, die im Fehlerfall leicht ausgetauscht werden können.

Die TFM übernehmen die Kommandos von den I/L MPM, geben entsprechende Befehle aus und überwachen deren Ausführung. Weiterhin lesen sie die Meldungen der Außenanlage ein, senden die Istzustände an die I/L MPM und überprüfen die Ausgangstreiber und Eingangsstufen.

Das Signal Modul besitzt acht reguläre Ausgänge, von denen die Signallampen direkt angesteuert werden. Zusätzlich werden die Lampen der roten Signallaternen an einen besonderen Ausgang angeschlossen, der im Falle eines Fehlers im Modul oder bei Unterbrechung der Kommunikation mit dem Interlocking Cubicle gewährleistet, daß das Signal einen Haltbegriff zeigt. Neben den Signallampen werden die Magneten des britischen punktförmigen Zugbeeinflussungssystems gesteuert und Meldungen von Gleisstromkreisen oder anderen Einrichtungen eingelesen. Je nach Bestückung des Lichtsignals können von einem Signal Modul ein oder zwei Signale angesteuert werden.
Der Standard-Weichenantrieb von British Rail arbeitet elektro-hydraulisch. Um die Weiche zu stellen treibt ein Elektromotor eine Pumpe an. Die Auswahl eines von zwei Ventilen bestimmt, ob die Weiche die Position „normal" oder „reverse" einnimmt („Plus- oder Minusstellung"). In der englischen Sicherungstechnik werden in der Regel gekuppelte Weichen eingesetzt. Die Topologie der Bahnhöfe ist zumeist so gestaltet, daß auf diese Weise der Flankenschutz gewährleistet wird. Man spricht dabei von einem „Set of points". Zwei solcher Sets können von einem Modul gesteuert werden, in der Regel also vier Weichen.

Über Kontakte an den Spitzenverschlüssen (Clamp Locks) wird ein codiertes Signal erzeugt, welches die Endlagen meldet und in das Weichen Modul eingelesen wird. Weitere Eingänge stehen für Meldungen von Gleisstromkreisen bereit. [17]

2.3.2 Leistungsparameter

Ein Interlocking Cubicle kann maximal 63 TFM steuern [17]. Geht man davon aus, daß zu jedem Stellelement ein Gleisstromkreis gehört und eine weitere Anzahl von Gleisstromkreisen hinzukommt, so beträgt die Gesamtkapazität eines Stellwerkskerns etwa 200 Feldelemente.

2.3.3 Sicherheits- und Verfügbarkeitskonzept

Da das SSI unter der Leitung von BR entwickelt worden ist, fordert BR keine Sicherheitsnachweise. BR bescheinigt den Herstellern aber, daß SSI von BR für den Einsatz auf Bahnen mit Personenverkehr zugelassen ist. Daß die sicherungstechnischen Einrichtungen gemäß der von BR geforderten Qualitätsnorm hergestellt werden, wird von BR überprüft und zertifiziert. Beide Aussagen treffen auch für das anschließend beschriebene System WESTRACE zu.

Die Sicherheit im I/L MPM wird durch ein klassisches 2v3-Rechnersystem mit Softwarevergleich erreicht. Alle drei Rechner vergleichen ihre Ausgaben, ihren Speicherinhalt und ausgewählte Systemdaten. Für die Abschaltung im Fehlerfall steht eine Sicherheits-Abschalt-Baugruppe zur Verfügung, die den betroffenen Rechner spannungslos schaltet. Diese Sicherheitsabschaltung kann durch den Rechner selbst oder durch einen der anderen zwei Rechner erfolgen. [17]

Ebenso wird im TFM verfahren, mit dem Unterschied, daß dieser als 2v2-System ausgebildet ist. Im Fehlerfall steht damit keine Verfügbarkeitsredundanz zur Verfügung! Ein TFM steuert zwar nur maximal vier Weichen oder zwei Signale, wodurch die Auswirkungen lokal begrenzt bleiben, dennoch sind die betroffenen Elemente dann weder überwach- noch steuerbar. Fällt beispielsweise das TFM aus, welches die Weichenverbindung mit der Einfahrweiche steuert, so ist keine Fahrstraße dieses Bahnhofskopfes mehr einstellbar.

2.4 Westrace

Für die Planung der „Elektronischen Sicherungstechnik der zweiten Generation" führten die Tochterfirmen der „Hawker-Siddeley Group" – Westinghouse Brake and Signal (Großbritannien), Westinghouse Brake and Signal (Australien), Safetran (USA) und Dimetronic (Spanien) – Ende der 80er Jahre eine Marktanalyse mit der Aufgabe einer grundsätzlichen Neubeurteilung der Signalisierungssysteme durch. Das Projekt erhielt den Namen WESTRACE (Westinghouse Train Radio and Advanced Control Equipment). Im Ergebnis dieser Untersuchung herrschte bei den Experten die übereinstimmen de Meinung, daß das Projekt die Möglichkeiten der modernen Funktechnik ausnutzen sollte, um eine „sichere Zweiwege-Kommunikation" zwischen Zügen und ortsfesten Einrichtungen zu erhalten.

Das bisherige ESTW SSI war nach Meinung von Westinghouse sehr erfolgreich und hatte weltweit eine große Akzeptanz gefunden. SSI bildet aber keine optimale Lösung für lange Strecken mit kleinen Betriebsstellen, wie sie weltweit im Fern- (meist außerhalb Europas) und Nahverkehr (U- und Stadtbahnen) anzutreffen sind. Außerdem sollte das neue System noch flexibler als SSI sein.
Westinghouse bevorzugt SSI für mittlere und große Stellwerke. Darüber hinaus wird daran gedacht, SSI mit WESTRACE als Bereichsrechner (statt TFM) zu kombinieren.

WESTRACE ist für eine fortschreitende Vervollständigung mit Funktionsmodulen vorgesehen. Dabei wurde mit Kleinstellwerken begonnen. Während die Grundmodule von allen Tochterfirmen gemeinsam entwickelt wurden, werden weitere Spezialmodule in den einzelnen Landesgesellschafen unter Einhaltung der vorgegebenen Spezifikation entwickelt, wie z. B. das ATP-Modul WESTECT von Westinghouse Australien [9]. Inzwischen wurde auch ein Funkkommunikationssystem (ESTW – Fahrzeug) entwickelt. Erste Einsätze des ESTW WESTRACE erfolgten in Australien, Spanien (Nahverkehr) und Großbritannien (U-Bahn).

2.4.1 Systemstruktur

Das Hardwarekonzept besteht aus der Zusammenstellung von Funktionsmodulen, die innerhalb der Leistungsgrenzen in beliebiger Kombination um ein Zentralmodul zu einem System konfiguriert werden. Da WESTRACE eine geringere Leistungsfähigkeit besitzt als alle zuvor beschriebenen ESTW, fallen die Stellbereiche sehr viel kleiner aus. Die kleineren Stellbereiche haben den Vorteil erheblicher Kabelkosteneinsparung, da die einzelnen (kleinen) Stellwerke nur durch ein serielles Datenkabel verbunden werden. Dafür ist die gesamte Steuerlogik über die Bahnanlage verteilt.
Klein- und Kleinststellwerke (Small Interlocking) sind das hauptsächliche Anwendungsgebiet von WESTRACE (Bild 4). Meistens bekommt jeder Bahnhofskopf sein eigenes WESTRACE-Stellwerk. Nur bei Stellbereichen mit sehr wenigen Elementen werden Ein- und Ausgabemodule „ferngesteuert" (Remote I/O).

Übersteigt die Anzahl der benötigten Ein- und Ausgaben die Kapazität eines „Small Interlocking", so wird ein „Large Interlocking" eingesetzt. Dabei kommt im VLM ein leistungsstärkerer Prozessor zum Einsatz, der die ausgelagerten Ein- und Ausgabemodule fernsteuert.

Bild 4: Beispielkonfiguration eines WESTRACE Small Interlocking

Als Systemkern benötigt WESTRACE das Vital Logic Module (VLM, Sicheres Logik-Modul) für die zentrale Bearbeitung. Dieses Modul ist über Betriebs- und Funktionsüberwachungsbusse mit den nachfolgend aufgeführten Ein- und Ausgangsmodulen verbunden.
Das Vital Parallel Input Module (VPIM) ist ein Schnittstellen-Modul mit zwölf sicheren Eingängen. Diese werden zum Einlesen der aktuellen Zustände von Feldelementen wie z. B. Gleisfreimeldungen oder Weichenüberwachungsmeldungen genutzt. Es sei angemerkt, daß die Weichenüberwachung wie beim SSI durch gesonderte Prüfstromkreise realisiert wird – im Gegensatz zur deutschen Art der Weichenüberwachung, die durch Prüfströme in den Stellstrom-Adern erfolgt.

Für die sichere Steuerung von Signalrelais, die ihrerseits die Stellelemente anschalten, steht das Vital Relay Output Module (VROM) zur Verfügung. Ein VROM kann bis zu acht Ausgänge ansteuern.

Das Vital Lamp Output Module (VLOM) ist ein sicheres Modul für die direkte Ansteuerung von Signallampen und zur Überwachung der Lampenfäden (einschließlich Kaltfadenprüfung). Es kann für Gleich- und Wechselstrom eingesetzt werden sowie für Stand- und Blinklicht.

Die Vital Telemetry Modules (VTC) ermöglichen die sichere Kommunikation der Stellwerke untereinander. Über das Non-Vital Communications Module (NVC) erfolgt der Anschluß an die nicht sicherheitsrelevanten Bedieneinrichtungen. [9]

Eine Funk-Zugbeeinflussung (Advanced Train Control System, ATCS) wurde auf Grundlage der WESTRACE-Module von Westinghouse (Australien) entwickelt. Dabei sind drei Systeme notwendig: Wayside Interface Unit (Ortsfeste Einrichtung), On Board Computer (Fahrzeugeinrichtung) und Central Despatch Computer (Bedieneinrichtung). [10]

2.4.2 Leistungsparameter

Eine Angabe von beherrschbaren Stell- und Meldeelementen pro Stellwerk ist nur eingeschränkt möglich, da lediglich die Anzahl der sicheren Ein- und Ausgänge bekannt ist. Wie diese verwendet werden, steht dem Anwender frei. Einschließlich der ferngesteuerten I/O-Module besitzt ein ESTW WESTRACE folgende Leistungsgrenzen [10]:

	Small Interlocking	Large Interlocking
Nicht sichere Eingänge	48	150
Nicht sichere Ausgänge	64	200
Sichere Eingänge	48	440
Sichere (Relais-) Ausgänge	48	320
Sichere Lampenansteuerungen	32	keine Angabe

2.4.3 Sicherheits- und Verfügbarkeitskonzept

WESTRACE ist ein System mit einkanaliger Hard- und zweikanaliger Software. Jedes Modul (Rechner) enthält einen Prozessor, der für sein Modul einen Selbsttest durchführt. Zusätzlich wird auch jedes Nachbar-Modul geprüft, was durch einen eigenen Bus geschieht, der die Module ringförmig miteinander verbindet. Über den „Data and Primary Negation Bus" werden, neben dem Austausch von Betriebsdaten, auch die Informationen über diese Funktionstests an das Zentralmodul gesendet. Bei einem negativen Ergebnis wird über den Data and Primary Negation Bus ein Befehl zur Systemabschaltung ausgegeben [10]. In der Minimalkonfiguration arbeiten drei Module zusammen und überwachen sich dabei gegenseitig (Bild 5).

Bild 5: Sicherheitsprinzip im ESTW WESTRACE

Bei einem erkannten Fehler werden die Ausgänge durch das Output Power Control Relay (OPCR) abgeschaltet. Dieses Typ-N-Relais wird durch zwei Kanäle angesteuert und ist im Ordnungszustand angezogen. Der erste Kanal (Primary Negation) wird direkt vom Zentralmodul gesteuert und leitet damit den Abschaltbefehl weiter, den im Fehlerfall das Zentralmodul selbst auslöst oder der über den Data and Primary Negation Bus von den Ein-/Ausgabemodulen übermittelt wird. Der zweite Kanal (Second Negation) ist ein Überwachungskanal, der alle Module verbindet und am OPCR endet. In beiden Kanälen werden dynamisch wechselnde Signale verwendet, die mit Hilfe eines Übertragers sicher UND-verknüpft werden. Nur bei erfüllter UND-Bedingung (beide Eingänge wechseln dyna misch) bleibt das OPCR angezogen [38]. Damit ein Signal im Fehlerfall einen Haltbegriff zeigt, wird die entsprechende Signallampe zusätzlich durch einen Öffnerkontakt des OPCR angesteuert.

Wird in einem E/A-Modul ein Fehler in einem Ein- oder Ausgang gefunden, so wird zunächst versucht, nur diesen abzuschalten (Graceful Degradation). Erst wenn der Versuch scheitert oder weitere Fehler hinzukommen wird das ganze System durch das OPCR abgeschaltet.

Der Entwurf der Software erfolgt einkanalig. Erst auf der untersten Übersetzungsebene wird mit zwei verschiedenen Übersetzungsverfahren ein zweikanaliger Programmcode erzeugt (True- und Complement-Logik). Somit beschränkt sich die Diversität der Software auf die Form des Abspeicherns im EPROM. Die Ergebnisse der True- und Complement-Logik werden Prozessorintern verglichen. Nur bei Gleichheit werden die Ergebnisse zur Weiterverarbeitung bzw. Ausgabe zugelassen [9].
Zur Erhöhung der Verfügbarkeit kann ein „Hot Standby System" hinzugefügt werden, welches letztlich die Verdopplung der gesamten Anlagensteuerung bedeutet. Die redundante Auslegung wird aber eher als „Sonderausstattung" angesehen.

2.5 VPI

General Railway Signal (GRS) ist eine traditionsreiche amerikanische Signalbaufirma, dessen Erfahrungen bis zur Jahrhundertwende zurückreichen. GRS entwickelt und produziert auf dem Gebiet der elektronischen Sicherungstechnik Systeme mit einkanaliger Hardware; die Entwicklung mehrkanaliger Mikrorechentechnik für sichere Systeme hat GRS bereits vor Jahren eingestellt [13]. Heute gehört GRS zur europäischen Firma SASIB Railway.

VPI (Vital Processor Interlocking) wurde Anfang der achtziger Jahre entwickelt und zeigt große Ähnlichkeit mit dem später von Westinghouse entwickelten System WESTRACE. Es hat bereits eine weite Verbreitung gefunden und wird u.a. in den USA, den Niederlanden, Spanien, Italien, Australien und Asien eingesetzt.

2.5.1 Systemstruktur

Kern des ESTW ist ein Prozessor in der zentralen Baugruppe, der die Verknüpfung der Stellwerksdaten vornimmt. Weitere Prozessoren anderer Baugruppen führen untergeordnete Aufgaben aus. An die zentrale Baugruppe können Ein- und Ausgabebaugruppen bis zur Leistungsgrenze des Zentralprozessors angeschlossen werden. Ist die geforderte Kapazität größer, werden mehrere VPI-Stellwerke vorgesehen, die über serielle Datenverbindungen miteinander kommunizieren. Somit werden auch große Anlagen beherrscht, wie z. B. das Grand Central Terminal in New York, bei dem 17 VPI-Systeme zusammenarbeiten [14]. Anlagen dieser Größe sind aber eher die Ausnahme.
Von der übergeordneten Steuerzentrale (Control Center) können auch Relaisstellwerke ferngesteuert werden können.

Im VPI erfolgt eine strikte Trennung von sicheren („vital") und nicht sicheren („non-vital") Steuerungsaufgaben. Für die nicht sicheren Aufgaben ist der Code System Emulator zuständig. Seine wichtigste Aufgabe ist es, die Verbindung mit den lokalen oder zentralen Bedieneinrichtungen zu realisieren. Weiterhin kann er lokale Betriebsleittechniken oder Fahrgastinformationssysteme steuern. Schnittstellen sind dabei die Non-vital Input- und Non-vital Output-Baugruppen, deren parallele Ausgänge wahlfrei beschaltet werden können.

Spezielle Module können für eine „Train-to-Wayside"-Kommunikation eingesetzt werden [15]. Diese nicht sicheren Module ermöglichen einen Datenaustausch vom Fahrzeug zum Fahrweg.

Die zentralen Stellwerksfunktionen werden in der CPU/PD-Baugruppe realisiert. Die Logik des Polynominal Deviders (PD) wurde deshalb hardwaremäßig implementiert, um die durch Polynomdivision entstandenen Sicherungscodes der durch das System zirkulierenden Prüfworte (siehe dazu 2.5.3) schnell auf Richtigkeit überprüfen zu können.

Mehrere Baugruppentypen stehen für die Ausgabe von Stellbefehlen und das Einlesen von Meldungen zur Verfügung. Nachfolgend seien die wichtigsten genannt:

Direct Input – Einlesen von Meldungen
Lamp Driver Output – Ansteuerung von Signallampen
Single Break Output – Ansteuerung von Ausgaberelais (Abschaltung einpolig)
Double Break Output – Ansteuerung von Ausgaberelais (Abschaltung zweipolig). [15]

2.5.2 Leistungsparameter

Wie im ESTW WESTRACE können die Ein- und Ausgänge des VPI wahlfrei beschaltet werden. Insgesamt kann ein VPI je 320 sichere Ein- und Ausgänge steuern. Die Kapazität eines VPI wird aber nicht nur durch diese Zahl begrenzt. Auch die Anzahl der maximal adressierbaren Baugruppen, die Anzahl der Kommunikationsbaugruppen und deren Leistungsfähigkeit sowie die Verarbeitungskapazität des Zentralprozessors setzen Grenzen, die in der Gesamtheit betrachtet werden müssen. Die Leistungsfähigkeit liegt etwa zwischen der eines WESTRACE Small Interlocking und WESTRACE Large Interlocking.

2.5.3 Sicherheits- und Verfügbarkeitskonzept

VPI ist ein System mit einkanaliger Hardware. Im Zentralrechner laufen die Programme der „Primary Logic", die die reine Anwenderlogik enthält, und der „Safety Assurance Logic" zyklisch nacheinander ab; letztere ist ein Prüfprogramm. Die Safety Assurance Logic (etwa: Algorithmus zur Gewährleistung der Sicherheit) ist eine GRS-eigene Entwicklung, die in allen sicherheitsrelevanten Produkten der Firma zum Einsatz kommt. [15]
Während die Primary Logic die eigentlichen Stellwerksfunktionen wahrnimmt, wird durch die Sicherheitslogik die korrekte Ausführung der Programmabläufe und der Zustand der Ausgabebaugruppen überwacht. Die Überwachung geschieht durch Prüfworte, die durch das System zirkulieren und anschließend auf Korrektheit geprüft werden. Ein zweikanaliger Ansatz besteht in der Ablage der Daten im Speicher, welche darüber hinaus diversitär erfolgt. Die Verarbeitung der beiden Datensätze erfolgt seriell mit der gleichen Software.

Der Hauptzyklus, in dem die Bearbeitung der Stellwerkslogik erfolgt, dauert eine Sekunde. Zwanzig mal, also alle 50 ms, wird er durch den Sicherheitszyklus unterbrochen. Dabei werden alle eingeschalteten, sicheren Ausgänge darauf geprüft, ob sie, gemäß des Speichers im Zentralrechner, auch eingeschaltet sein dürfen. Nicht geprüft werden die ausgeschalteten Ausgänge, auch wenn sie eingeschaltet sein müßten; dieser Fehler wirkt sich jedoch nur hemmend, nicht aber sicherheitskritisch aus.

Wird im Haupt- und Sicherheitszyklus durch die Überwachungslogik kein Fehler erkannt, so wird über die Vital Relay Driver-Baugruppe ein Typ-N-Relais angesteuert. Diese Ansteuerung muß alle 50 ms „aufgefrischt" werden. Nur wenn das Relais angezogen ist, werden die Ausgabebaugruppen mit Energie versorgt. Es ist sichergestellt, daß das Relais spätestens 150 ms nach Erkennen eines Fehlers abfällt [14].

Um die Verfügbarkeit zu erhöhen, kann des System redundant ausgeführt, d. h. komplett verdoppelt werden. Damit im Fehlerfall ohne Verzögerung umgeschaltet werden kann, sind beide Systeme mit einer seriellen Datenleitung verbunden, die die Datenübertragung zur Erhaltung der Konsistenz der Daten gewährleistet.

Autor: Uli M@schek, letzte Änderung am 28.10.1999