2 Vorstellung ausgewählter Stellwerkssysteme2.1 Die ESTW des deutschsprachigen Raumes2.2 EBILOCK2.3 British Rails SSI2.4 Westrace2.5 VPI2.1 Die ESTW des deutschsprachigen RaumesDen ESTW El S (SIEMENS), El L (auch ESTW L90; Alcatel SEL) und ELEKTRA (Alcatel Austria) ist in der deutschsprachigen Fachpresse bereits vielfach Aufmerksamkeit gewidmet worden [z. B. 1, 2, 3, 4, 5]. Um eine Vergleichbarkeit zu anderen Systeme zu schaffen, sollen deren wesentlichsten Eigenschaften noch einmal zusammenfassend dargestellt werden.2.1.1 SystemstrukturAllen drei ESTW ist gemein, daß sie zur Steuerung großer Bereiche geeignet sind, deren Umfang eine Größenordnung von bis zu 1000 Stelleinheiten erreichen kann. Von einer Zentrale aus werden mehrere, zumeist längs der Strecke aufgestellte Peripherierechner (Bereichsstellrechner, Elementansteuer-Modul, Peripheral Control Computer) gesteuert und von ihnen Meldungen eingelesen. Parallele oder serielle Busse sorgen für eine signaltechnisch sichere Datenübertragung. Die Einbindung von Relaisstellwerken ist dabei grundsätzlich möglich.2.1.2 Sicherheits- und VerfügbarkeitskonzepteAlle drei Stellwerke genügen sehr hohen Sicherheitsanforderungen (eingeordnet in bzw. vergleichbar mit AK 7 und 8 nach DIN 19250). Eine Besonderheit dieser ESTW ist die international durchaus nicht übliche Sicherheit in Bedienung und Anzeige. Im Hintergrund ablaufende Prüfprogramme sind in allen ESTW vorhanden und sollen daher im folgenden nicht weiter erwähnt werden.2.1.2.1 ESTW El SUm eine sichere Datenverarbeitung zu gewährleisten, werden eigenentwickelte Rechner in ver schiedenen Konfigurationen verwendet, die nach dem SIMIS-Prinzip arbeiten. Aus der SIMIS- Rechnerfamilie werden Rechner in 2v2- und 2v3-Konfiguration eingesetzt.Rechnersysteme, die nach dem SIMIS-Prinzip konzipiert sind, bestehen aus mindestens zwei voneinander unabhängigen, identisch aufgebauten, taktsynchron arbeitenden und identisch programmierten Mikrocomputern. In den Kanälen werden die Prozeßdaten parallel verarbeitet. Die Steuerwertausgaben an die Peripherie werden durch Hardware-Vergleicher fail-safe verglichen. 2.1.2.2 ESTW El LDer Sicherheitsbaustein SELMIS wird in allen Rechnern des El L mit Sicherheitsverantwortung eingesetzt. Um eine Technologieunabhängigkeit zu erreichen, wird der Kern des sicheren Bausteins, der aus marktgängigen Rechnerbaugruppen besteht, in eine sogenannte Sicherheitsschale eingebunden. Diese Sicherheitsschale ist ein System aus Hard- und Softwarekomponenten, welches handelsüblichen Rechnern erlaubt, Aufgaben mit Sicherheitsverantwortung zu übernehmen. Dadurch ist es möglich, auch zukünftige, leistungsstärkere Rechner und damit das immer günstiger werdende Preis/Leistungsverhältnis von Rechentechnik für das El L zu nutzen.Die Sicherheit des SELMIS beruht auf Mehrfachverarbeitung in voneinander unabhängigen parallelen Rechnerkanälen und dem Vergleich der Eingabe-, Prüf-, Zwischen- und Ausgabedaten mittels Software in den Rechnerkanälen selbst. Um eine hohe Verfügbarkeit zu erreichen, wurde vorrangig die 2v3-Konfiguration gewählt. 2.1.2.3 ESTW ELEKTRAUm die Sicherheitsanforderungen zu erfüllen, werden alle sicherheitsrelevanten Aktionen grundsätzlich zweikanalig verarbeitet. Deshalb ist das System in einen Logikkanal (A) und einen Sicherheitskanal (Safety Bag, B) geteilt [4]. Das bedeutet, daß hier die Sicherheitsredundanz auf Systemebene realisiert wird, während das bei allen anderen Systemen, die Hardwareredundanz zur Gewährleistung der Sicherheit nutzen, auf Baugruppen- oder Geräteebene geschieht! Außerdem wird bei ELEKTRA streng zwischen der Implementierung des Sicherheits- und des Verfügbarkeitskonzeptes getrennt. Eine hohe Verfügbarkeit wird durch redundante Rechner, die nach dem VOTRICS-Prinzip (Voting Triple Modular Redundant Computing System) arbeiten, erreicht. Die Sicherheit wird durch das zweikanalige und außerdem diversitär programmierte System gewährleistet. [6]2.2 EBILOCK1978 übergab die schwedische Firma Ericsson Signal ihr erstes ESTW in Göteborg (Schweden) dem Betrieb. Inzwischen gelangte die Firma über ABB zur ADtranz, in der sie mit dem Verkehrstechnik- Bereich des mittlerweile aufgelösten AEG-Konzerns vereinigt wurde.EBILOCK ist Teil einer kompletten Produktfamilie von Sicherungssystemen mit einheitlicher Technik. Dazu gehören die elektronischen Stellwerkssysteme (EBILOCK), Streckenblöcke (EBILINE) und Bahnübergangssicherungssysteme (EBIGATE). Um Betriebszentralen bilden zu können, wird das System EBICOS angeboten; zur Zugbeeinflussung steht das ATC-System EBICAB zur Verfügung. [7] EBILOCK ist zur Zeit hauptsächlich in Skandinavien im Einsatz. Die Einführung von EBILOCK in seiner Ursprungsform war bisher in Deutschland nicht möglich, da die Sicherheitsstruktur – diversitäre Software auf einkanaliger Hardware – für Eisenbahnsicherungsanlagen hier nicht üblich und bisher auch nicht zugelassen ist. Es wird jedoch daran gearbeitet, das System für den deutschen Markt zu modifizieren. 2.2.1 SystemstrukturKern der Anlage ist der Zentrale Sicherheitsbaustein (Interlocking Processor). Für Bedienung und Anzeige steht ein Terminal zur Verfügung, das direkt mit dem Interlocking Processor verbunden ist. Ist die Anlage sehr umfangreich, und sollen weitere Techniken integriert werden, so werden Bedienplatzsysteme vorgesehen. Das oben genannte Terminal wird dann für Instandhaltungszwecke oder als Rückfallebene für die Bedienung genutzt. [8]Der Zentrale Sicherheitsbaustein ist ein 16 Bit-Rechner mit firmenspezifischen und kommerziellen Baugruppen und beinhaltet die gesamte Stellwerkslogik. Um umfangreiche Anlagen steuern zu können, werden mehrere dieser Bausteine eingesetzt und mit einer seriellen, redundant ausgeführten Datenleitung verbunden (Bild 1). |
Bild 4: Beispielkonfiguration eines WESTRACE Small Interlocking
Bild 5: Sicherheitsprinzip im ESTW WESTRACE
Bei einem erkannten Fehler werden die Ausgänge durch das Output
Power Control Relay (OPCR) abgeschaltet. Dieses Typ-N-Relais wird durch
zwei Kanäle angesteuert und ist im Ordnungszustand angezogen. Der
erste Kanal (Primary Negation) wird direkt vom Zentralmodul gesteuert und
leitet damit den Abschaltbefehl weiter, den im Fehlerfall das Zentralmodul
selbst auslöst oder der über den Data and Primary Negation Bus
von den Ein-/Ausgabemodulen übermittelt wird. Der zweite Kanal (Second
Negation) ist ein Überwachungskanal, der alle Module verbindet und
am OPCR endet. In beiden Kanälen werden dynamisch wechselnde Signale
verwendet, die mit Hilfe eines Übertragers sicher UND-verknüpft
werden. Nur bei erfüllter UND-Bedingung (beide Eingänge wechseln
dyna misch) bleibt das OPCR angezogen [38]. Damit ein Signal im Fehlerfall
einen Haltbegriff zeigt, wird die entsprechende Signallampe zusätzlich
durch einen Öffnerkontakt des OPCR angesteuert.
Wird in einem E/A-Modul ein Fehler in einem Ein- oder Ausgang gefunden, so wird zunächst versucht, nur diesen abzuschalten (Graceful Degradation). Erst wenn der Versuch scheitert oder weitere Fehler hinzukommen wird das ganze System durch das OPCR abgeschaltet. Der Entwurf der Software erfolgt einkanalig. Erst auf der untersten
Übersetzungsebene wird mit zwei verschiedenen Übersetzungsverfahren
ein zweikanaliger Programmcode erzeugt (True- und Complement-Logik). Somit
beschränkt sich die Diversität der Software auf die Form des
Abspeicherns im EPROM. Die Ergebnisse der True- und Complement-Logik werden
Prozessorintern verglichen. Nur bei Gleichheit werden die Ergebnisse zur
Weiterverarbeitung bzw. Ausgabe zugelassen [9].
2.5 VPIGeneral Railway Signal (GRS) ist eine traditionsreiche amerikanische Signalbaufirma, dessen Erfahrungen bis zur Jahrhundertwende zurückreichen. GRS entwickelt und produziert auf dem Gebiet der elektronischen Sicherungstechnik Systeme mit einkanaliger Hardware; die Entwicklung mehrkanaliger Mikrorechentechnik für sichere Systeme hat GRS bereits vor Jahren eingestellt [13]. Heute gehört GRS zur europäischen Firma SASIB Railway.VPI (Vital Processor Interlocking) wurde Anfang der achtziger Jahre entwickelt und zeigt große Ähnlichkeit mit dem später von Westinghouse entwickelten System WESTRACE. Es hat bereits eine weite Verbreitung gefunden und wird u.a. in den USA, den Niederlanden, Spanien, Italien, Australien und Asien eingesetzt. 2.5.1 SystemstrukturKern des ESTW ist ein Prozessor in der zentralen Baugruppe, der die Verknüpfung der Stellwerksdaten vornimmt. Weitere Prozessoren anderer Baugruppen führen untergeordnete Aufgaben aus. An die zentrale Baugruppe können Ein- und Ausgabebaugruppen bis zur Leistungsgrenze des Zentralprozessors angeschlossen werden. Ist die geforderte Kapazität größer, werden mehrere VPI-Stellwerke vorgesehen, die über serielle Datenverbindungen miteinander kommunizieren. Somit werden auch große Anlagen beherrscht, wie z. B. das Grand Central Terminal in New York, bei dem 17 VPI-Systeme zusammenarbeiten [14]. Anlagen dieser Größe sind aber eher die Ausnahme.Von der übergeordneten Steuerzentrale (Control Center) können auch Relaisstellwerke ferngesteuert werden können. Im VPI erfolgt eine strikte Trennung von sicheren („vital") und nicht sicheren („non-vital") Steuerungsaufgaben. Für die nicht sicheren Aufgaben ist der Code System Emulator zuständig. Seine wichtigste Aufgabe ist es, die Verbindung mit den lokalen oder zentralen Bedieneinrichtungen zu realisieren. Weiterhin kann er lokale Betriebsleittechniken oder Fahrgastinformationssysteme steuern. Schnittstellen sind dabei die Non-vital Input- und Non-vital Output-Baugruppen, deren parallele Ausgänge wahlfrei beschaltet werden können. Spezielle Module können für eine „Train-to-Wayside"-Kommunikation eingesetzt werden [15]. Diese nicht sicheren Module ermöglichen einen Datenaustausch vom Fahrzeug zum Fahrweg. Die zentralen Stellwerksfunktionen werden in der CPU/PD-Baugruppe realisiert. Die Logik des Polynominal Deviders (PD) wurde deshalb hardwaremäßig implementiert, um die durch Polynomdivision entstandenen Sicherungscodes der durch das System zirkulierenden Prüfworte (siehe dazu 2.5.3) schnell auf Richtigkeit überprüfen zu können. Mehrere Baugruppentypen stehen für die Ausgabe von Stellbefehlen und das Einlesen von Meldungen zur Verfügung. Nachfolgend seien die wichtigsten genannt:
2.5.2 LeistungsparameterWie im ESTW WESTRACE können die Ein- und Ausgänge des VPI wahlfrei beschaltet werden. Insgesamt kann ein VPI je 320 sichere Ein- und Ausgänge steuern. Die Kapazität eines VPI wird aber nicht nur durch diese Zahl begrenzt. Auch die Anzahl der maximal adressierbaren Baugruppen, die Anzahl der Kommunikationsbaugruppen und deren Leistungsfähigkeit sowie die Verarbeitungskapazität des Zentralprozessors setzen Grenzen, die in der Gesamtheit betrachtet werden müssen. Die Leistungsfähigkeit liegt etwa zwischen der eines WESTRACE Small Interlocking und WESTRACE Large Interlocking.2.5.3 Sicherheits- und VerfügbarkeitskonzeptVPI ist ein System mit einkanaliger Hardware. Im Zentralrechner laufen die Programme der „Primary Logic", die die reine Anwenderlogik enthält, und der „Safety Assurance Logic" zyklisch nacheinander ab; letztere ist ein Prüfprogramm. Die Safety Assurance Logic (etwa: Algorithmus zur Gewährleistung der Sicherheit) ist eine GRS-eigene Entwicklung, die in allen sicherheitsrelevanten Produkten der Firma zum Einsatz kommt. [15]Während die Primary Logic die eigentlichen Stellwerksfunktionen wahrnimmt, wird durch die Sicherheitslogik die korrekte Ausführung der Programmabläufe und der Zustand der Ausgabebaugruppen überwacht. Die Überwachung geschieht durch Prüfworte, die durch das System zirkulieren und anschließend auf Korrektheit geprüft werden. Ein zweikanaliger Ansatz besteht in der Ablage der Daten im Speicher, welche darüber hinaus diversitär erfolgt. Die Verarbeitung der beiden Datensätze erfolgt seriell mit der gleichen Software. Der Hauptzyklus, in dem die Bearbeitung der Stellwerkslogik erfolgt, dauert eine Sekunde. Zwanzig mal, also alle 50 ms, wird er durch den Sicherheitszyklus unterbrochen. Dabei werden alle eingeschalteten, sicheren Ausgänge darauf geprüft, ob sie, gemäß des Speichers im Zentralrechner, auch eingeschaltet sein dürfen. Nicht geprüft werden die ausgeschalteten Ausgänge, auch wenn sie eingeschaltet sein müßten; dieser Fehler wirkt sich jedoch nur hemmend, nicht aber sicherheitskritisch aus. Wird im Haupt- und Sicherheitszyklus durch die Überwachungslogik kein Fehler erkannt, so wird über die Vital Relay Driver-Baugruppe ein Typ-N-Relais angesteuert. Diese Ansteuerung muß alle 50 ms „aufgefrischt" werden. Nur wenn das Relais angezogen ist, werden die Ausgabebaugruppen mit Energie versorgt. Es ist sichergestellt, daß das Relais spätestens 150 ms nach Erkennen eines Fehlers abfällt [14]. Um die Verfügbarkeit zu erhöhen, kann des System redundant ausgeführt, d. h. komplett verdoppelt werden. Damit im Fehlerfall ohne Verzögerung umgeschaltet werden kann, sind beide Systeme mit einer seriellen Datenleitung verbunden, die die Datenübertragung zur Erhaltung der Konsistenz der Daten gewährleistet. |