Alister: ein elektronisches Regional-Stellwerk auf Basis...

Connecting IT and Transport

Alister: ein elektronisches Regional-Stellwerk

auf Basis von SPS-Technik

Reiner Saykowski

Rail Automation 2009

Braunschweig, 16.06.2009

Was erwartet Sie?

Motivation und Einleitung

Das Gesamtkonzept

Der Bedienplatz

Der SPS-basierte Stellwerkskern

Zusammenfassung

Wer bin ich?

Reiner Saykowski, Funkwerk IT, Kiel

� Diplom-Informatiker, Universität Kiel

� Studienschwerpunkt: Einsatz Formaler Methoden

� Berufserfahrungen

� Luftfahrindustrie (Airbus)

� Autobahnleitsysteme

� Consulting

� Technischer Projektleiter bei Funkwerk IT seit 1999

� Projekt SBS, Hamburger HOCHBAHN

� ESTW-R Lindaunis

So fing alles an…

Bei der DB bewegt sich was!

� ESTW-R wird „erfunden“: Elektronisches Stellwerk für Regionalstrecken

� Einsatz nur auf Regionalstrecken

� Funktionale Einschränkungen

� Akzeptanz des Einsatzes von COTS-Produkten

Öffnung des Marktes für alternative Anbieter

� Öffnung des Marktes für alternative Anbieter

� Keine Gesamtausschreibung

� Mündet in das Pilotprojekt ESTW-R Lindaunis

Pilotprojekt der DB AG "ESTW-R Lindaunis"

� Betriebsstellen: Eckernförde, Süderbrarup, Sörup, Schleibrücke Lindaunis

� neue Bedienzentrale in Eckernförde.

Das ESTW-R Lindaunis wurde modular ausgeschrieben

Lieferbestandteile Funkwerk IT:

� Stellwerkstechnik

� Bedienzentrale (“sicherer Bedienplatz”

� Signale (LED-Technik)

� Modulgebäude

� PT1 Kabelplanung

� PT2 Planung

Nicht Lieferbestandteile Funkwerk IT:

� Weichen, Schlüsselsperre

� Achszählsystem

� BÜ-Anpassung

� Brückenansteuerung

Betriebliche Charakteristika der Pilotstrecke

� Eingleisige Strecke; Zugkreuzungen in Eckernförde, Süderbrarup und Sörup

� Sehr einfacher Spurplan, insgesamt 7 elektrische Weichen

� kaum Güterverkehr

� im Regelfall ein Zug pro Stunde und Richtung (Ausnahme Kiel - Eckernförde mit 2 Zügen)

Kiel - Eckernförde mit 2 Zügen)

� Bewegliche Brücke in Lindaunis (Signalabhängig)

Es gibt viele Herausforderungen

� Projekt erfolgreich abschließen

� Eines der ersten Stellwerke, das in Deutschland komplett nach der CENELEC entwickelt wird

� Strikte Trennung von Generischen Anteilen (Generische Plattform und Generische Applikation) und Spezifischen Anteilen (Spezifische Applikation)

Anteilen (Spezifische Applikation)

� Zulassung des Produkts

Das Gesamtkonzept

Das Projekt besteht aus zwei Projekten

Bedienplatz

Stellwerk

Jedes Projekt besteht aus zwei Generischen Anteilen

Die zentrale Steuerung arbeitet mit dezentralen Komponenten

Bedienplatz

Stellwerk:zentral

Leitebene

Sicherungsebene

Stellwerk:dezentral

Außenanlagen-element

Stellebene

Außenanlagen-element

Element derAußenanlage

Die Mischung macht‘s: Lichtwellen- und Kupferkabel

Der Bedienplatz

Welches sind die Aufgaben des Bedienplatzes?

� Sichere Anzeige des Meldebildes in grafischen Oberflächen Lupe und Bereichsübersicht (Berü)

� Weitere tabellarische Darstellungen des Betriebsgeschehens : Kommunikationsanzeige (KA), Dialogmanager, Dokumentation

� Senden von Regelbedienhandlungen an das Stellwerk

� Durchführung von KF-Bedienungen zusammen mit dem Stellwerk

� Zugnummernfunktionalität

� Zuglenkung

Welches sind die Entwicklungsziele des Bedienplatzes?

� Unbedingte Lastenheftkonformität (mittlerweile implizit bestätigt durch VTZ 124)

� Anzeigekatalog Lupe/Berü wurde pixelgenau umgesetzt

� Die Modellierung dynamischer Bedienabläufe wurde kontinuierlich mit existierenden Stellwerken verglichen

� Bei Designentscheidungen wurde immer wieder die Kompatibilität zu den anderen Stellwerkstypen berücksichtigt

Kompatibilität zu den anderen Stellwerkstypen berücksichtigt (Beispiel: Großschreibung von Meldungstexten)

� Strikte Trennung GP / GA / SA

� „Sicherheit“ nahezu transparent für den Fahrdienstleiter

� Projektierungsdaten werden aus XML-Dateien eingelesen

� Akzeptanz durch den Fahrdienstleiter / Instandhalter

� Bildwechsel per Drag & Drop

� Systemübersicht

Vergleich unabhängiger Informationen liefert die Sicherheit

� Aufgabe: Sichere Anzeige des Meldebildes des Stellwerkes

� Lösung: Unabhängige Anzeige des Meldebildes auf zwei Rechnern und Vergleich der beiden Bilder

� Vergleich ist exakt durchführbar, weil digitale DVI-Signale pixelweise verglichen werden können

Architektur Bedienplatz

Sicherer Bedienplatz

1x CRT

2x oder 3x TFT

GrafikkarteGrafikkarte

PS2PS2

Redundanz-

umschalter

GA ESTW-R Bedienzentrale GA ESTW-R Bedienzentrale

GA ESTW-R Bedienzentrale

Alister Bedienzentrale GP DE

Alister Bedienzentrale Alister BedienzentraleAlister Bedienzentrale GP DE

Extender

Tastatur

Netzwerkdrucker

Tastatur Maus

Alister

Alister Alister

GA ESTW-RBedienzentrale

ESTW-R lokal 1

BOR-KOM

LWL-Kabel

Ethernet

Bild-speich.DVI

Grafikkarte

Bild-speich. DVI

Grafikkarte

BOR 1 BOR 2

DVI DVI

Ethernet-LAN

redundant

Ethernet

Funkuhr

Alister BedienzentraleGP DE

Alister Bedienzentrale GP DE

ESTW-R lokal 2 ESTW-R lokal n

Außenanlagen (Weichen,

Signale etc.)

Ethernet Ethernet Ethernet Ethernet Ethernet

LANLAN LAN LAN LAN LAN LAN LAN

Alister

ZLV Bus

Terminal-

server

GA ESTW-R Logik

Alister PLC GP DE

GA ESTW-R Logik

Alister PLC GP DE

GA ESTW-R Logik

Alister PLC GP DE

n <= 10

Alister PLC GP DE Alister PLC GP DE Alister PLC GP DE

Die Anzeige ist permanent sicher

� Pixelweiser Bildvergleich alle 500 ms

� Vergleich wird unabhängig vom angezeigten Bild oder sonstiger Randbedingungen permanent durchgeführt

� Regelmäßige, absichtliche Verfälschung des Outputs von BOR2

Trennung von sicherheitsrelevanten Rechnern (BOR, BSV)

� Trennung von sicherheitsrelevanten Rechnern (BOR, BSV) und nicht-sicherheitsrelevanten Rechnern (MTD, ADM)

� Komplettes Prozessabbild alle 500 ms vom Stellwerk

� KF-Sperre wird im Stellwerk als Teil des Prozessabbildes gehalten

Lupe Eckernförde

Bereichsübersicht ESTW-R Lindaunis

Der SPS-basierte Stellwerkskern

Welches sind die Aufgaben des Stellwerks?

� Realisieren der Stellwerkslogik

� Durchführen von Regelbedienungen nach Anforderung des Bedienplatzes

� Durchführen von KF-Bedienungen nach Anforderung des Bedienplatzes

Versorgen des Bedienplatzes mit Zustandsdaten

� Versorgen des Bedienplatzes mit Zustandsdaten

� Ansteuern und Überwachung der Außenanlagenelemente

� Sicheres Speichern von Merkhinweisen, logischen Sperren etc.

Welches sind die Entwicklungsziele für das Stellwerk?

� Umsetzen des Lastenhefts F1R für ESTW-R

� Analyse

� Berücksichtigung verwandter Lastenhefte

� Erstellen einer vollständigen Spezifikation der Stellwerkslogik

� Einsatz von SPS-basierten COTS-Produkten

� Konsequente Trennung zwischen GP / GA / SA

� Entwicklung nach CENELEC SIL 4

SPSen sind eine nahe liegende Realisierungsplattform für

Stellwerke

Was zeichnet SPSen aus?

� Lösen von Aufgaben mit überwiegend logisch-kombinatorischer binärer oder digitaler Signalverarbeitung

� Echtzeitnahe Signalverarbeitung, insbesondere von Ein-und Ausgabereaktionen

Dezentraler Einsatz, auch bei ungünstigeren Umgebungs-

� Dezentraler Einsatz, auch bei ungünstigeren Umgebungs-und Umweltbedingungen

� Hohe Zuverlässigkeit

-> Einsatz im Bereich von Stellwerken scheint nahe liegend!

SPS-Programmierung sieht ganz einfach aus

� Verschiedene Programmiermöglichkeiten:

� Grafisch: Kontaktplan, Funktionsbausteinsprache oder Ablaufsprache

� Nicht grafisch: Anweisungsliste, Strukturierter Text

� Code ist leicht lesbar und leicht verständlich, ABER: Lesen ist leichter als Schreiben

ist leichter als Schreiben

� Eigenschaften von SPSen:

� Zyklische Verarbeitung: Eingabe, Verarbeitung, Ausgabe

� Deutlich eingeschränkter Sprachumfang gegenüber herkömmlichen Programmiersprachen

� Wenig Toolunterstützung

SPS-Programmierung: ein Beispiel

Die Suche nach der passenden Stellwerksplattform

Ursprüngliche Idee:

� Verwendung diversitärer SPSen, die sich gegenseitig überwachen

� Verwendung verschiedener Protokolle

� Diverse Zulassungsfragen konnten nicht zufrieden stellend beantwortet werden

Konsequenz:

� Suche nach Alternativen, die zugelassen sind oder zulassbar sind und SPS-basiert arbeiten.

� Strategie Funkwerk

� Suche eines Partners mit höchster Kompetenz bzgl. der Lieferung sicherer Plattformen

� Konzentration von Funkwerk auf die Entwicklung der signaltechnischen Applikation (ESTW-R)

HIMA-Anteile: alles ist seit Jahren sicher im Einsatz

Steuerung F30

� Zwei taktsynchrone Mikroprozessoren

� Hardware-Vergleicher

� Umfangreiche Tests zur Laufzeit

Remote IO-Modul F3DIO 20/8

� Automatische Selbsttests der Ein- und

� Automatische Selbsttests der Ein- und Ausgänge

� Ruhestromprinzip für Eingänge

� Rücklesen des Ausgänge

� energieloser Zustand im Fehlerfall

Kommunikation

� Safeethernet auf Ethernet-Basis zwischen beliebigen HIMA-Komponenten

Zusätzlich zu den HIMA-Komponenten sind noch

Anpassbaugruppen zu erstellen

Zentrale Komponente: Steuerung F30

Dezentrale Komponenten:

IO-Module F3DIO 20/08

Anpassbaugruppe (PCM, SCM, KCM, UCM)

Modularisierung wird großgeschrieben: GA / GP / SA

� Alister PLC GP DE: Generische Plattform für das ESTW-R in Deutschland, bestehend aus drei Komponenten:

� Stellwerksplattform (Alister PLC GP): HIMA Steuerung, HIMA IO-Module und Kommunikation Steuerung – IO-Module

� Anpassbaugruppen: PCM, SCM, KCM, UCM

� „Treiber“ für die Schnittstellen des Stellwerkskerns, also für die Anpassbaugruppen und die Bedienzentrale

� Alister GA ESTW-R Logik: Generische Applikation ESTW-R Logik beschreibt die Funktionalität eines ESTW-R aus rein logischer Sicht

� SA: Spezfische Applikation = Projektierung

Modularisierung grafisch dargestellt

Die GP-Ausgangssituation ist schwierig

Die Ausgangssituation:

� Es gibt keine Lastenhefte für die Ansteuerung von Außenanlagenelementen.

� Es gibt keine verfügbaren Schnittstellendokumente für Außenanlagenelemente.

� ABER: Es gibt Außenelemente.

� UND: Die Außenelemente müssen sicher angeschlossen werden!

Und das haben wir daraus gemacht …

Der Lösungsweg erfolgt in vielen, kleinen Schritten

� Erstellen eines Dokuments „Außenanlagenelement“, z.B. Weiche: beschreibt das Verhalten der Weiche

� Erstellen eines Schnittstellendokuments „zum Außenanlagenelement“

� Konstruktion einer „passenden“ Anpassbaugruppe

� PCM Weiche

� SCM alle Signaltypen

� KCM Schlüsselsperre

� UCM universell (nur Potentialtrennung)

� Schnittstellendokument Anpassbaugruppe – Treiber-SW

� Spezifikation der Treiber-SW

� Schnittstellendokument Treiber-SW – Logik-SW

Der Lösungsweg erfolgt in vielen, kleinen Schritten

Weiche

PlanungPCM

SpezifikationGP Weiche

Weiche

WeichenantriebWeiche

KonstruktionPCM

ImplementierungGP Weiche

Weichenantrieb

PCMSW GPWeiche

SSt Weiche SSt PCM

Auch die Stellwerkslogik lässt sich Modularisieren

Fahrstraßenlogik

Weiche Signal BÜ Block

Stellwerkslogik GAKommanmdo-Verarbeitung

PhysikalischeAnsteuerung /

Protokollabwicklung: GPWeiche Signal BÜ Block

Bedien-platz

Die Charakterisierung der Weiche durch Zustände

Die Weiche wird aus logischer Sicht durch folgende Zustände charakterisiert:

� Weichenlage (rechts / links)

� Überwachung der Endlage (ja / nein)

� aufgefahren (ja / nein)

� Freimeldung (ja / nein)

� Freimeldung Profilraum (ja / nein)

� Umstellsperre (ja / nein)

� Sperrung WLK (ja / nein)

� Befahrbarkeitssperre (ja / nein)

� Verschluss (ja / nein)

� Folgeabhängigkeit wirksam (ja / nein)

Die Charakterisierung der Weiche durch Zustände (2)

� Reservierung (ja / nein)

� Beanspruchung (13 Möglichkeiten, z.B. nicht, FW-Z, FW-R, D-Weg, FL, FW-Z+FL+D-Weg, …)

� Flankenschutz gesichert (ja / nein)

� aktuelle Zustandsdaten vorhanden (ja / nein)

� Ausmultipliziert ergibt das 106.496 verschiedene, logische Zustände.

� Die Zustände der Einzelelemente (das Prozessabbild) werden dem Bedienplatz zyklisch und hochfrequent zur Verfügung gestellt. Auf dieser Basis wird die Darstellung ermittelt.

Anforderungen WU: Tabellendarstellung

Information Wert für erlaubten Startzustand

a) Weichenlage egal

b) Überwachung der Endlage egal

c) Weichenauffahrung nein

d) Freimeldung ja

e) Freimeldung Profilraum ja

f) Umstellsperre nein

g) Sperrung der Weichenlaufkette egal

h) Befahrbarkeitssperre egal

i) Verschluss nein

j) Folgeabhängigkeit wirksam nein

k) Reservierung egal

l) Beanspruchung egal

m) Flankenschutz gesichert egal

n) aktuelle Zustandsdaten ja

Anforderungen WU: Zustandsübergangsdiagramm

Programmierung: Kommando WU

Die Einzelelemente bilden die Basis für die Spezifikation der

Fahrstraßenlogik

Semiformale Spezifikation der Stellwerkslogik:

� Die Charakterisierung der Einzelelemente wie Weiche, Signal, BÜ, … erfolgt durch Zustände.

� Die Charakterisierung des Verhaltens der Einzelelementeerfolgt durch tabellarische Beschreibung und zusätzlich in Form von Zustandsdiagrammen.

� Die Verbindung der Einzelelemente zu Fahrstraßen erfolgt in verbaler Form auf Basis von Tabellen.

Spezifikation von Fahrstraßenlogik ist sehr komplex

Die Einstellung von Fahrstraßen erfolgt in 22 Einzelschritten.

Die Auflösung von Fahrstraßen erfolgt entweder durch Bedienkommandos oder zugbewirkt. Die zugbewirkte Auflösung erfolgt in 27 Einzelschritten.

Beispiel „Schritt B1: Zulassungsprüfung Teil 1, Reservierung Bahnhofsteil“

Reservierung Bahnhofsteil“GA Logik prüft die Erfüllung der Bedingungen für die Zulassungsprüfung Zugstraße (ZPZ) für den Fahrweg der Zugstraße elementweise. Erfüllt das zu prüfende Fahrwegelement alle erforderlichen Bedingungen, reserviert GA Logik das Fahrwegelement für die gewünschte Zugstraße. Im Ergebnis der Reservierung setzt GA Logik das Reservierungskennzeichen für das positiv geprüfte Fahrwegelement.

Zulassungsprüfung der Fahrwegelemente (Bahnhof)

Abschnitt Element Zustand Element gemäß

Einfahrzugstraße

Ausfahrzugstraße Zentralblockzugstraße

E1 E3 A Zb1 A_Bl Zb Zbl

4.3.4.1 Weiche SYSANF1758 x x x --- x --- ---

4.3.4.2 Schlüsselsperre SYSANF1826 x x x --- x --- ---

4.3.4.3 Gleisabschnitt SYSANF1854 x x x --- x --- ---

4.3.4.4 Hauptsignal als Startsignal SYSANF1887 x x x --- x --- ---

4.3.4.4 Hauptsignal als Zielsignal SYSANF1889 x --- ---

--- --- --- ---

4.3.4.5 allein stehendes Vorsignal / Vorsignalwiederholer des Startsignals

SYSANF1913 x x ---

--- --- --- ---

4.3.4.6 Geschwindigkeitsanzeiger (Zs3) am Mast des Startsignals

SYSANF1923 x x x --- x --- ---

4.3.4.6 Geschwindigkeitsanzeiger (Zs3) allein stehend

SYSANF1923 x x ---

--- --- --- ---

Mit dem Kommando WU durch das Stellwerk

Bedienzentrale

GP DEBORGA

Fahrstraße

3 2 6a

Außenanlagenelemente

GAWeiche

GAWeiche GP DE

Weiche

GP DEWeiche

Zusammenfassung

Die Gesamtlösung besteht aus vielen Detaillösungen

ESTW-RFunktionsumfangPilotprojekt

Lindaunis

Modularisierung:Bedienplatz -Stellwerk

Vorgehen GP: vielekleine Schritte

Technischverfahrensgesicherter

Ankopplung derAußenanlagen

SPS-Programmierung

Modularisierung:GP - GA - SA

GemeinsameProjektierung

Auswahl derStellwerksplattform

Zentrale Steuerung,dezentrale IO-Module,Anpassbaugruppen

Stellwerkslogik: Basissind die

Einzelelemente

verfahrensgesicherterBedienplatz

SemiformaleSpezifikation

Connecting IT and Transport

Vielen Dank für Ihre Aufmerksamkeit!

Reiner Saykowski

Funkwerk Information Technologies GmbH

Edisonstraße 3, 24145 Kiel

Telefon 0431/2481-312

Email: Reiner.Saykowski@Funkwerk-IT.com

Alister: ein elektronisches Regional-Stellwerk auf Basis...

Documents

Alister Krouli - CHANOKH

Os escolhidos as cronicas de alister mcgrath

klasgebruik. voor Enkel - slptech.beslptech.be/Cursussen/PLC/PLC Blok2 Opbouw PLC wm.pdf · OPBOUW VA EEN PIC ---( I ~ PLC "Q }- BLOK Opbouw van een PLC Om een PLC te gebruiken, moet

Proyector multimedia MODELO PLC-XT25/PLC-XT25L · Proyector multimedia MODELO PLC-XT25/PLC-XT25L* PLC-XT21/PLC-XT21L* PLC-XT20/PLC-XT20L* PLC-XT25K/PLC-XT20K (*Modelos sin lente)

PELATIHAN PROGRAMMABLE LOGIC CONTROLLER UNTUK … file1. Overview Sistem Kontrol PLC: Lingkup penggunaan PLC. Cara pengoperasian PLC secara umum. Komponen PLC. Contoh aplikasi PLC

O voo dos exilados alister mcgrath

Presentation - Alister Lee

Teologia para amadores Alister Mcgrath

Alister Crowley - Canon de La Misa

A Vida de C. S. Lewis - Do Ate - Alister McGrath

Alister Krouli - GOECIA

Alister McGrath - O delírio de Dawkins

51074902 Alister Krouli Ji Djing

PLC300 - catalogo.weg.com.brcatalogo.weg.com.br/files/...plc300-50028018-catalogo-portugues-br.pdf · PLC 300HP PLC 300HS PLC 300HPC PLC 300HSC PLC 300BP PLC 300BS Tensão Alimentação

Alister McGrath ● Teologia Pura e Simples

Crowley, Alister - El Continente Perdido y Otros Ensayos (Deleted 4c55c051-Dbaa60-4017b04f)

ALISTER Avocats AARPI : expertises spécifiques en droit des … · 2015-09-18 · ALISTER est un cabinet de droit des affaires fondé en 2008 sous la forme moderne d’une AARPI,

Omron Plc BaslangicOMRON PLC BASLANGIC

A.3 · gp-pro ex a-2 a.1 a.1.1 ËÁÒÂàËµØ 1 % 2! " ˘ gp ˇˆ˙ ˝/plc ˜ˆ## 2 3 2 ˘ ˇˆ˙ ˝/plc gp-pro ex

Alister mc grath o deus de dawkins - genes, memes e o sentido da vida