Click here to load reader

Alister: ein elektronisches Regional-Stellwerk auf Basis ...ifev.rz.tu-bs.de/RailAutomation/RA2009/2_Saykowski.pdf · Alister PLC GP DE Alister PLC GP DE Alister PLC GP DE 19. Die

  • View
    2

  • Download
    0

Embed Size (px)

Text of Alister: ein elektronisches Regional-Stellwerk auf Basis...

  • Connecting IT and Transport

    © Funkwerk Information Technologies GmbH

    Alister: ein elektronisches Regional-Stellwerk

    auf Basis von SPS-Technik

    Reiner Saykowski

    Rail Automation 2009

    Braunschweig, 16.06.2009

  • Was erwartet Sie?

    Motivation und Einleitung

    Das Gesamtkonzept

    Der Bedienplatz

    © Funkwerk Information Technologies GmbH 2

    Der Bedienplatz

    Der SPS-basierte Stellwerkskern

    Zusammenfassung

  • Wer bin ich?

    Reiner Saykowski, Funkwerk IT, Kiel

    � Diplom-Informatiker, Universität Kiel

    � Studienschwerpunkt: Einsatz Formaler Methoden

    � Berufserfahrungen

    © Funkwerk Information Technologies GmbH

    � Berufserfahrungen

    � Luftfahrindustrie (Airbus)

    � Autobahnleitsysteme

    � Consulting

    � Technischer Projektleiter bei Funkwerk IT seit 1999

    � Projekt SBS, Hamburger HOCHBAHN

    � ESTW-R Lindaunis

    3

  • So fing alles an…

    © Funkwerk Information Technologies GmbH 4

  • Bei der DB bewegt sich was!

    � ESTW-R wird „erfunden“: Elektronisches Stellwerk für Regionalstrecken

    � Einsatz nur auf Regionalstrecken

    � Funktionale Einschränkungen

    � Akzeptanz des Einsatzes von COTS-Produkten

    Öffnung des Marktes für alternative Anbieter

    © Funkwerk Information Technologies GmbH

    � Öffnung des Marktes für alternative Anbieter

    � Keine Gesamtausschreibung

    � Mündet in das Pilotprojekt ESTW-R Lindaunis

    5

  • Pilotprojekt der DB AG "ESTW-R Lindaunis"

    © Funkwerk Information Technologies GmbH

    � Betriebsstellen: Eckernförde, Süderbrarup, Sörup, Schleibrücke Lindaunis

    � neue Bedienzentrale in Eckernförde.

    6

  • Das ESTW-R Lindaunis wurde modular ausgeschrieben

    Lieferbestandteile Funkwerk IT:

    � Stellwerkstechnik

    � Bedienzentrale (“sicherer Bedienplatz”

    � Signale (LED-Technik)

    � Modulgebäude

    © Funkwerk Information Technologies GmbH

    � PT1 Kabelplanung

    � PT2 Planung

    Nicht Lieferbestandteile Funkwerk IT:

    � Weichen, Schlüsselsperre

    � Achszählsystem

    � BÜ-Anpassung

    � Brückenansteuerung

    7

  • Betriebliche Charakteristika der Pilotstrecke

    � Eingleisige Strecke; Zugkreuzungen in Eckernförde, Süderbrarup und Sörup

    � Sehr einfacher Spurplan, insgesamt 7 elektrische Weichen

    � kaum Güterverkehr

    � im Regelfall ein Zug pro Stunde und Richtung (Ausnahme Kiel - Eckernförde mit 2 Zügen)

    © Funkwerk Information Technologies GmbH

    Kiel - Eckernförde mit 2 Zügen)

    � Bewegliche Brücke in Lindaunis (Signalabhängig)

    8

  • Es gibt viele Herausforderungen

    � Projekt erfolgreich abschließen

    � Eines der ersten Stellwerke, das in Deutschland komplett nach der CENELEC entwickelt wird

    � Strikte Trennung von Generischen Anteilen (Generische Plattform und Generische Applikation) und Spezifischen Anteilen (Spezifische Applikation)

    © Funkwerk Information Technologies GmbH

    Anteilen (Spezifische Applikation)

    � Zulassung des Produkts

    9

  • © Funkwerk Information Technologies GmbH 10

    Das Gesamtkonzept

  • Das Projekt besteht aus zwei Projekten

    Bedienplatz

    © Funkwerk Information Technologies GmbH 11

    Stellwerk

  • Jedes Projekt besteht aus zwei Generischen Anteilen

    © Funkwerk Information Technologies GmbH 12

  • Die zentrale Steuerung arbeitet mit dezentralen Komponenten

    Bedienplatz

    Stellwerk:zentral

    Stellwerk:zentral

    ...

    Leitebene

    Sicherungsebene

    © Funkwerk Information Technologies GmbH 13

    Stellwerk:dezentral

    Stellwerk:dezentral

    ...

    Außenanlagen-element

    Stellebene

    Außenanlagen-element

    Element derAußenanlage

  • Die Mischung macht‘s: Lichtwellen- und Kupferkabel

    © Funkwerk Information Technologies GmbH 14

  • © Funkwerk Information Technologies GmbH 15

    Der Bedienplatz

  • Welches sind die Aufgaben des Bedienplatzes?

    � Sichere Anzeige des Meldebildes in grafischen Oberflächen Lupe und Bereichsübersicht (Berü)

    � Weitere tabellarische Darstellungen des Betriebsgeschehens : Kommunikationsanzeige (KA), Dialogmanager, Dokumentation

    � Senden von Regelbedienhandlungen an das Stellwerk

    © Funkwerk Information Technologies GmbH

    � Senden von Regelbedienhandlungen an das Stellwerk

    � Durchführung von KF-Bedienungen zusammen mit dem Stellwerk

    � Zugnummernfunktionalität

    � Zuglenkung

    16

  • Welches sind die Entwicklungsziele des Bedienplatzes?

    � Unbedingte Lastenheftkonformität (mittlerweile implizit bestätigt durch VTZ 124)

    � Anzeigekatalog Lupe/Berü wurde pixelgenau umgesetzt

    � Die Modellierung dynamischer Bedienabläufe wurde kontinuierlich mit existierenden Stellwerken verglichen

    � Bei Designentscheidungen wurde immer wieder die Kompatibilität zu den anderen Stellwerkstypen berücksichtigt

    © Funkwerk Information Technologies GmbH

    Kompatibilität zu den anderen Stellwerkstypen berücksichtigt (Beispiel: Großschreibung von Meldungstexten)

    � Strikte Trennung GP / GA / SA

    � „Sicherheit“ nahezu transparent für den Fahrdienstleiter

    � Projektierungsdaten werden aus XML-Dateien eingelesen

    � Akzeptanz durch den Fahrdienstleiter / Instandhalter

    � Bildwechsel per Drag & Drop

    � Systemübersicht

    17

  • Vergleich unabhängiger Informationen liefert die Sicherheit

    � Aufgabe: Sichere Anzeige des Meldebildes des Stellwerkes

    � Lösung: Unabhängige Anzeige des Meldebildes auf zwei Rechnern und Vergleich der beiden Bilder

    © Funkwerk Information Technologies GmbH

    � Vergleich ist exakt durchführbar, weil digitale DVI-Signale pixelweise verglichen werden können

    18

  • Architektur Bedienplatz

    Sicherer Bedienplatz

    1x CRT

    2x oder 3x TFT

    GrafikkarteGrafikkarte

    PS2PS2

    VGA

    Redundanz-

    umschalter

    GA ESTW-R Bedienzentrale GA ESTW-R Bedienzentrale

    MTD

    GA ESTW-R Bedienzentrale

    GA ESTW-R Bedienzentrale

    ADM

    Alister Bedienzentrale GP DE

    Alister Bedienzentrale GP DE

    Alister Bedienzentrale Alister BedienzentraleAlister Bedienzentrale GP DE

    Extender

    Extender

    Tastatur

    Maus

    Netzwerkdrucker

    Tastatur Maus

    LAN

    LAN

    LAN

    LAN

    Alister

    SA

    Alister Alister

    © Funkwerk Information Technologies GmbH

    GA ESTW-RBedienzentrale

    ESTW-R lokal 1

    BOR-KOM

    LWL-Kabel

    Ethernet

    Bild-speich.DVI

    VGA

    Grafikkarte

    Bild-speich. DVI

    VGA

    Grafikkarte

    BOR 1 BOR 2

    DVI DVI

    Ethernet-LAN

    redundant

    Ethernet

    Ethernet

    ...

    Funkuhr

    Alister BedienzentraleGP DE

    Alister BedienzentraleGP DE

    BSV

    Alister Bedienzentrale GP DE

    ESTW-R lokal 2 ESTW-R lokal n

    Außenanlagen (Weichen,

    Signale etc.)

    Außenanlagen (Weichen,

    Signale etc.)

    Außenanlagen (Weichen,

    Signale etc.)

    Ethernet Ethernet Ethernet Ethernet Ethernet

    LANLAN LAN LAN LAN LAN LAN LAN

    Alister

    SA

    Alister

    SA

    ZLV Bus

    Terminal-

    server

    GA ESTW-R Logik

    Alister PLC GP DE

    Alister PLC GP DE

    GA ESTW-R Logik

    Alister PLC GP DE

    Alister PLC GP DE

    GA ESTW-R Logik

    Alister PLC GP DE

    Alister PLC GP DE

    n

  • Die Anzeige ist permanent sicher

    � Pixelweiser Bildvergleich alle 500 ms

    � Vergleich wird unabhängig vom angezeigten Bild oder sonstiger Randbedingungen permanent durchgeführt

    � Regelmäßige, absichtliche Verfälschung des Outputs von BOR2

    Trennung von sicherheitsrelevanten Rechnern (BOR, BSV)

    © Funkwerk Information Technologies GmbH

    � Trennung von sicherheitsrelevanten Rechnern (BOR, BSV) und nicht-sicherheitsrelevanten Rechnern (MTD, ADM)

    � Komplettes Prozessabbild alle 500 ms vom Stellwerk

    � KF-Sperre wird im Stellwerk als Teil des Prozessabbildes gehalten

    20

  • Lupe Eckernförde

    © Funkwerk Information Technologies GmbH 21

  • Bereichsübersicht ESTW-R Lindaunis

    © Funkwerk Information Technologies GmbH 22

  • © Funkwerk Information Technologies GmbH 23

    Der SPS-basierte Stellwerkskern

  • Welches sind die Aufgaben des Stellwerks?

    � Realisieren der Stellwerkslogik

    � Durchführen von Regelbedienungen nach Anforderung des Bedienplatzes

    � Durchführen von KF-Bedienungen nach Anforderung des Bedienplatzes

    Versorgen des Bedienplatzes mit Zustandsdaten

    © Funkwerk Information Technologies GmbH

    � Versorgen des Bedienplatzes mit Zustandsdaten

    � Ansteuern und Überwachung der Außenanlagenelemente

    � Sicheres Speichern von Merkhinweisen, logischen Sperren etc.

    24

  • Welches sind die Entwicklungsziele für das Stellwerk?

    � Umsetzen des Lastenhefts F1R für ESTW-R

    � Analyse

    � Berücksichtigung verwandter Lastenhefte

    � Erstellen einer vollständigen Spezifikation der Stellwerkslogik

    � Einsatz von SPS-basierten COTS-Produkten

    © Funkwerk Information Technologies GmbH

    � Konsequente Trennung zwischen GP / GA / SA

    � Entwicklung nach CENELEC SIL 4

    25

  • SPSen sind eine nahe liegende Realisierungsplattform für

    Stellwerke

    Was zeichnet SPSen aus?

    � Lösen von Aufgaben mit überwiegend logisch-kombinatorischer binärer oder digitaler Signalverarbeitung

    � Echtzeitnahe Signalverarbeitung, insbesondere von Ein-und Ausgabereaktionen

    Dezentraler Einsatz, auch bei ungünstigeren Umgebungs-

    © Funkwerk Information Technologies GmbH

    � Dezentraler Einsatz, auch bei ungünstigeren Umgebungs-und Umweltbedingungen

    � Hohe Zuverlässigkeit

    -> Einsatz im Bereich von Stellwerken scheint nahe liegend!

    26

  • SPS-Programmierung sieht ganz einfach aus

    � Verschiedene Programmiermöglichkeiten:

    � Grafisch: Kontaktplan, Funktionsbausteinsprache oder Ablaufsprache

    � Nicht grafisch: Anweisungsliste, Strukturierter Text

    � Code ist leicht lesbar und leicht verständlich, ABER: Lesen ist leichter als Schreiben

    © Funkwerk Information Technologies GmbH

    ist leichter als Schreiben

    � Eigenschaften von SPSen:

    � Zyklische Verarbeitung: Eingabe, Verarbeitung, Ausgabe

    � Deutlich eingeschränkter Sprachumfang gegenüber herkömmlichen Programmiersprachen

    � Wenig Toolunterstützung

    27

  • SPS-Programmierung: ein Beispiel

    © Funkwerk Information Technologies GmbH 28

  • Die Suche nach der passenden Stellwerksplattform

    Ursprüngliche Idee:

    � Verwendung diversitärer SPSen, die sich gegenseitig überwachen

    � Verwendung verschiedener Protokolle

    � Diverse Zulassungsfragen konnten nicht zufrieden stellend beantwortet werden

    © Funkwerk Information Technologies GmbH

    Konsequenz:

    � Suche nach Alternativen, die zugelassen sind oder zulassbar sind und SPS-basiert arbeiten.

    � Strategie Funkwerk

    � Suche eines Partners mit höchster Kompetenz bzgl. der Lieferung sicherer Plattformen

    � Konzentration von Funkwerk auf die Entwicklung der signaltechnischen Applikation (ESTW-R)

    29

  • HIMA-Anteile: alles ist seit Jahren sicher im Einsatz

    Steuerung F30

    � Zwei taktsynchrone Mikroprozessoren

    � Hardware-Vergleicher

    � Umfangreiche Tests zur Laufzeit

    Remote IO-Modul F3DIO 20/8

    � Automatische Selbsttests der Ein- und

    © Funkwerk Information Technologies GmbH

    � Automatische Selbsttests der Ein- und Ausgänge

    � Ruhestromprinzip für Eingänge

    � Rücklesen des Ausgänge

    � energieloser Zustand im Fehlerfall

    Kommunikation

    � Safeethernet auf Ethernet-Basis zwischen beliebigen HIMA-Komponenten

    30

  • Zusätzlich zu den HIMA-Komponenten sind noch

    Anpassbaugruppen zu erstellen

    Zentrale Komponente: Steuerung F30

    Dezentrale Komponenten:

    © Funkwerk Information Technologies GmbH 31

    IO-Module F3DIO 20/08

    und

    Anpassbaugruppe (PCM, SCM, KCM, UCM)

  • Modularisierung wird großgeschrieben: GA / GP / SA

    � Alister PLC GP DE: Generische Plattform für das ESTW-R in Deutschland, bestehend aus drei Komponenten:

    � Stellwerksplattform (Alister PLC GP): HIMA Steuerung, HIMA IO-Module und Kommunikation Steuerung – IO-Module

    � Anpassbaugruppen: PCM, SCM, KCM, UCM

    © Funkwerk Information Technologies GmbH

    � „Treiber“ für die Schnittstellen des Stellwerkskerns, also für die Anpassbaugruppen und die Bedienzentrale

    � Alister GA ESTW-R Logik: Generische Applikation ESTW-R Logik beschreibt die Funktionalität eines ESTW-R aus rein logischer Sicht

    � SA: Spezfische Applikation = Projektierung

    32

  • Modularisierung grafisch dargestellt

    © Funkwerk Information Technologies GmbH 33

  • Die GP-Ausgangssituation ist schwierig

    Die Ausgangssituation:

    � Es gibt keine Lastenhefte für die Ansteuerung von Außenanlagenelementen.

    � Es gibt keine verfügbaren Schnittstellendokumente für Außenanlagenelemente.

    � ABER: Es gibt Außenelemente.

    © Funkwerk Information Technologies GmbH

    � UND: Die Außenelemente müssen sicher angeschlossen werden!

    Und das haben wir daraus gemacht …

    34

  • Der Lösungsweg erfolgt in vielen, kleinen Schritten

    � Erstellen eines Dokuments „Außenanlagenelement“, z.B. Weiche: beschreibt das Verhalten der Weiche

    � Erstellen eines Schnittstellendokuments „zum Außenanlagenelement“

    � Konstruktion einer „passenden“ Anpassbaugruppe

    � PCM Weiche

    © Funkwerk Information Technologies GmbH

    � PCM Weiche

    � SCM alle Signaltypen

    � KCM Schlüsselsperre

    � UCM universell (nur Potentialtrennung)

    � Schnittstellendokument Anpassbaugruppe – Treiber-SW

    � Spezifikation der Treiber-SW

    � Schnittstellendokument Treiber-SW – Logik-SW

    35

  • Der Lösungsweg erfolgt in vielen, kleinen Schritten

    Weiche

    0 1

    SSt.

    2

    PlanungPCM

    3

    SSt.

    5

    SpezifikationGP Weiche

    6

    © Funkwerk Information Technologies GmbH 36

    Weiche

    WeichenantriebWeiche

    KonstruktionPCM

    4 PCM

    ImplementierungGP Weiche

    7

    Weichenantrieb

    PCMSW GPWeiche

    SSt Weiche SSt PCM

  • Auch die Stellwerkslogik lässt sich Modularisieren

    Fahrstraßenlogik

    Weiche Signal BÜ Block

    Stellwerkslogik GAKommanmdo-Verarbeitung

    © Funkwerk Information Technologies GmbH 37

    PhysikalischeAnsteuerung /

    Protokollabwicklung: GPWeiche Signal BÜ Block

    Bedien-platz

  • Die Charakterisierung der Weiche durch Zustände

    Die Weiche wird aus logischer Sicht durch folgende Zustände charakterisiert:

    � Weichenlage (rechts / links)

    � Überwachung der Endlage (ja / nein)

    � aufgefahren (ja / nein)

    © Funkwerk Information Technologies GmbH

    � Freimeldung (ja / nein)

    � Freimeldung Profilraum (ja / nein)

    � Umstellsperre (ja / nein)

    � Sperrung WLK (ja / nein)

    � Befahrbarkeitssperre (ja / nein)

    � Verschluss (ja / nein)

    � Folgeabhängigkeit wirksam (ja / nein)

    38

  • Die Charakterisierung der Weiche durch Zustände (2)

    � Reservierung (ja / nein)

    � Beanspruchung (13 Möglichkeiten, z.B. nicht, FW-Z, FW-R, D-Weg, FL, FW-Z+FL+D-Weg, …)

    � Flankenschutz gesichert (ja / nein)

    � aktuelle Zustandsdaten vorhanden (ja / nein)

    © Funkwerk Information Technologies GmbH

    � Ausmultipliziert ergibt das 106.496 verschiedene, logische Zustände.

    � Die Zustände der Einzelelemente (das Prozessabbild) werden dem Bedienplatz zyklisch und hochfrequent zur Verfügung gestellt. Auf dieser Basis wird die Darstellung ermittelt.

    39

  • Anforderungen WU: Tabellendarstellung

    Information Wert für erlaubten Startzustand

    a) Weichenlage egal

    b) Überwachung der Endlage egal

    c) Weichenauffahrung nein

    d) Freimeldung ja

    e) Freimeldung Profilraum ja

    © Funkwerk Information Technologies GmbH

    e) Freimeldung Profilraum ja

    f) Umstellsperre nein

    g) Sperrung der Weichenlaufkette egal

    h) Befahrbarkeitssperre egal

    i) Verschluss nein

    j) Folgeabhängigkeit wirksam nein

    k) Reservierung egal

    l) Beanspruchung egal

    m) Flankenschutz gesichert egal

    n) aktuelle Zustandsdaten ja

    40

  • Anforderungen WU: Zustandsübergangsdiagramm

    © Funkwerk Information Technologies GmbH 41

  • Programmierung: Kommando WU

    © Funkwerk Information Technologies GmbH 42

  • Die Einzelelemente bilden die Basis für die Spezifikation der

    Fahrstraßenlogik

    Semiformale Spezifikation der Stellwerkslogik:

    � Die Charakterisierung der Einzelelemente wie Weiche, Signal, BÜ, … erfolgt durch Zustände.

    � Die Charakterisierung des Verhaltens der Einzelelementeerfolgt durch tabellarische Beschreibung und zusätzlich in Form von Zustandsdiagrammen.

    © Funkwerk Information Technologies GmbH

    � Die Verbindung der Einzelelemente zu Fahrstraßen erfolgt in verbaler Form auf Basis von Tabellen.

    43

  • Spezifikation von Fahrstraßenlogik ist sehr komplex

    Die Einstellung von Fahrstraßen erfolgt in 22 Einzelschritten.

    Die Auflösung von Fahrstraßen erfolgt entweder durch Bedienkommandos oder zugbewirkt. Die zugbewirkte Auflösung erfolgt in 27 Einzelschritten.

    Beispiel „Schritt B1: Zulassungsprüfung Teil 1, Reservierung Bahnhofsteil“

    © Funkwerk Information Technologies GmbH

    Reservierung Bahnhofsteil“GA Logik prüft die Erfüllung der Bedingungen für die Zulassungsprüfung Zugstraße (ZPZ) für den Fahrweg der Zugstraße elementweise. Erfüllt das zu prüfende Fahrwegelement alle erforderlichen Bedingungen, reserviert GA Logik das Fahrwegelement für die gewünschte Zugstraße. Im Ergebnis der Reservierung setzt GA Logik das Reservierungskennzeichen für das positiv geprüfte Fahrwegelement.

    44

  • Zulassungsprüfung der Fahrwegelemente (Bahnhof)

    Abschnitt Element Zustand Element gemäß

    Einfahrzugstraße

    Ausfahrzugstraße Zentralblockzugstraße

    E1 E3 A Zb1 A_Bl Zb Zbl

    4.3.4.1 Weiche SYSANF1758 x x x --- x --- ---

    4.3.4.2 Schlüsselsperre SYSANF1826 x x x --- x --- ---

    4.3.4.3 Gleisabschnitt SYSANF1854 x x x --- x --- ---

    4.3.4.4 Hauptsignal als Startsignal SYSANF1887 x x x --- x --- ---

    © Funkwerk Information Technologies GmbH

    4.3.4.4 Hauptsignal als Startsignal SYSANF1887 x x x --- x --- ---

    4.3.4.4 Hauptsignal als Zielsignal SYSANF1889 x --- ---

    --- --- --- ---

    4.3.4.5 allein stehendes Vorsignal / Vorsignalwiederholer des Startsignals

    SYSANF1913 x x ---

    --- --- --- ---

    4.3.4.6 Geschwindigkeitsanzeiger (Zs3) am Mast des Startsignals

    SYSANF1923 x x x --- x --- ---

    4.3.4.6 Geschwindigkeitsanzeiger (Zs3) allein stehend

    SYSANF1923 x x ---

    --- --- --- ---

    45

  • Mit dem Kommando WU durch das Stellwerk

    Bedienzentrale

    GP DEBORGA

    Fahrstraße

    1

    3 2 6a

    7a

    © Funkwerk Information Technologies GmbH 46

    GA GP

    Außenanlagenelemente

    GAWeiche

    GAWeiche

    GAWeiche GP DE

    Weiche

    GP DEWeiche

    GP DEWeiche

    5a

    4

    3 2

    33

    5b5a

    5b5b

    5a

    6a

    6b

    7b

  • © Funkwerk Information Technologies GmbH 47

    Zusammenfassung

  • Die Gesamtlösung besteht aus vielen Detaillösungen

    ESTW-RFunktionsumfangPilotprojekt

    Lindaunis

    Modularisierung:Bedienplatz -Stellwerk

    Vorgehen GP: vielekleine Schritte

    Technischverfahrensgesicherter

    Ankopplung derAußenanlagen

    © Funkwerk Information Technologies GmbH 48

    SPS-Programmierung

    Modularisierung:GP - GA - SA

    GemeinsameProjektierung

    Auswahl derStellwerksplattform

    Zentrale Steuerung,dezentrale IO-Module,Anpassbaugruppen

    Stellwerkslogik: Basissind die

    Einzelelemente

    verfahrensgesicherterBedienplatz

    SemiformaleSpezifikation

  • Connecting IT and Transport

    © Funkwerk Information Technologies GmbH

    Vielen Dank für Ihre Aufmerksamkeit!

    Reiner Saykowski

    Funkwerk Information Technologies GmbH

    Edisonstraße 3, 24145 Kiel

    Telefon 0431/2481-312

    Email: [email protected]