Connecting IT and Transport
© Funkwerk Information Technologies GmbH
Alister: ein elektronisches Regional-Stellwerk
auf Basis von SPS-Technik
Reiner Saykowski
Rail Automation 2009
Braunschweig, 16.06.2009
Was erwartet Sie?
Motivation und Einleitung
Das Gesamtkonzept
Der Bedienplatz
© Funkwerk Information Technologies GmbH 2
Der Bedienplatz
Der SPS-basierte Stellwerkskern
Zusammenfassung
Wer bin ich?
Reiner Saykowski, Funkwerk IT, Kiel
� Diplom-Informatiker, Universität Kiel
� Studienschwerpunkt: Einsatz Formaler Methoden
� Berufserfahrungen
© Funkwerk Information Technologies GmbH
� Berufserfahrungen
� Luftfahrindustrie (Airbus)
� Autobahnleitsysteme
� Consulting
� Technischer Projektleiter bei Funkwerk IT seit 1999
� Projekt SBS, Hamburger HOCHBAHN
� ESTW-R Lindaunis
3
So fing alles an…
© Funkwerk Information Technologies GmbH 4
Bei der DB bewegt sich was!
� ESTW-R wird „erfunden“: Elektronisches Stellwerk für Regionalstrecken
� Einsatz nur auf Regionalstrecken
� Funktionale Einschränkungen
� Akzeptanz des Einsatzes von COTS-Produkten
Öffnung des Marktes für alternative Anbieter
© Funkwerk Information Technologies GmbH
� Öffnung des Marktes für alternative Anbieter
� Keine Gesamtausschreibung
� Mündet in das Pilotprojekt ESTW-R Lindaunis
5
Pilotprojekt der DB AG "ESTW-R Lindaunis"
© Funkwerk Information Technologies GmbH
� Betriebsstellen: Eckernförde, Süderbrarup, Sörup, Schleibrücke Lindaunis
� neue Bedienzentrale in Eckernförde.
6
Das ESTW-R Lindaunis wurde modular ausgeschrieben
Lieferbestandteile Funkwerk IT:
� Stellwerkstechnik
� Bedienzentrale (“sicherer Bedienplatz”
� Signale (LED-Technik)
� Modulgebäude
© Funkwerk Information Technologies GmbH
� PT1 Kabelplanung
� PT2 Planung
Nicht Lieferbestandteile Funkwerk IT:
� Weichen, Schlüsselsperre
� Achszählsystem
� BÜ-Anpassung
� Brückenansteuerung
7
Betriebliche Charakteristika der Pilotstrecke
� Eingleisige Strecke; Zugkreuzungen in Eckernförde, Süderbrarup und Sörup
� Sehr einfacher Spurplan, insgesamt 7 elektrische Weichen
� kaum Güterverkehr
� im Regelfall ein Zug pro Stunde und Richtung (Ausnahme Kiel - Eckernförde mit 2 Zügen)
© Funkwerk Information Technologies GmbH
Kiel - Eckernförde mit 2 Zügen)
� Bewegliche Brücke in Lindaunis (Signalabhängig)
8
Es gibt viele Herausforderungen
� Projekt erfolgreich abschließen
� Eines der ersten Stellwerke, das in Deutschland komplett nach der CENELEC entwickelt wird
� Strikte Trennung von Generischen Anteilen (Generische Plattform und Generische Applikation) und Spezifischen Anteilen (Spezifische Applikation)
© Funkwerk Information Technologies GmbH
Anteilen (Spezifische Applikation)
� Zulassung des Produkts
9
© Funkwerk Information Technologies GmbH 10
Das Gesamtkonzept
Das Projekt besteht aus zwei Projekten
Bedienplatz
© Funkwerk Information Technologies GmbH 11
Stellwerk
Jedes Projekt besteht aus zwei Generischen Anteilen
© Funkwerk Information Technologies GmbH 12
Die zentrale Steuerung arbeitet mit dezentralen Komponenten
Bedienplatz
Stellwerk:zentral
Stellwerk:zentral
...
Leitebene
Sicherungsebene
© Funkwerk Information Technologies GmbH 13
Stellwerk:dezentral
Stellwerk:dezentral
...
Außenanlagen-element
Stellebene
Außenanlagen-element
Element derAußenanlage
Die Mischung macht‘s: Lichtwellen- und Kupferkabel
© Funkwerk Information Technologies GmbH 14
© Funkwerk Information Technologies GmbH 15
Der Bedienplatz
Welches sind die Aufgaben des Bedienplatzes?
� Sichere Anzeige des Meldebildes in grafischen Oberflächen Lupe und Bereichsübersicht (Berü)
� Weitere tabellarische Darstellungen des Betriebsgeschehens : Kommunikationsanzeige (KA), Dialogmanager, Dokumentation
� Senden von Regelbedienhandlungen an das Stellwerk
© Funkwerk Information Technologies GmbH
� Senden von Regelbedienhandlungen an das Stellwerk
� Durchführung von KF-Bedienungen zusammen mit dem Stellwerk
� Zugnummernfunktionalität
� Zuglenkung
16
Welches sind die Entwicklungsziele des Bedienplatzes?
� Unbedingte Lastenheftkonformität (mittlerweile implizit bestätigt durch VTZ 124)
� Anzeigekatalog Lupe/Berü wurde pixelgenau umgesetzt
� Die Modellierung dynamischer Bedienabläufe wurde kontinuierlich mit existierenden Stellwerken verglichen
� Bei Designentscheidungen wurde immer wieder die Kompatibilität zu den anderen Stellwerkstypen berücksichtigt
© Funkwerk Information Technologies GmbH
Kompatibilität zu den anderen Stellwerkstypen berücksichtigt (Beispiel: Großschreibung von Meldungstexten)
� Strikte Trennung GP / GA / SA
� „Sicherheit“ nahezu transparent für den Fahrdienstleiter
� Projektierungsdaten werden aus XML-Dateien eingelesen
� Akzeptanz durch den Fahrdienstleiter / Instandhalter
� Bildwechsel per Drag & Drop
� Systemübersicht
17
Vergleich unabhängiger Informationen liefert die Sicherheit
� Aufgabe: Sichere Anzeige des Meldebildes des Stellwerkes
� Lösung: Unabhängige Anzeige des Meldebildes auf zwei Rechnern und Vergleich der beiden Bilder
© Funkwerk Information Technologies GmbH
� Vergleich ist exakt durchführbar, weil digitale DVI-Signale pixelweise verglichen werden können
18
Architektur Bedienplatz
Sicherer Bedienplatz
1x CRT
2x oder 3x TFT
GrafikkarteGrafikkarte
PS2PS2
VGA
Redundanz-
umschalter
GA ESTW-R Bedienzentrale GA ESTW-R Bedienzentrale
MTD
GA ESTW-R Bedienzentrale
GA ESTW-R Bedienzentrale
ADM
Alister Bedienzentrale GP DE
Alister Bedienzentrale GP DE
Alister Bedienzentrale Alister BedienzentraleAlister Bedienzentrale GP DE
Extender
Extender
Tastatur
Maus
Netzwerkdrucker
Tastatur Maus
LAN
LAN
LAN
LAN
Alister
SA
Alister Alister
© Funkwerk Information Technologies GmbH
GA ESTW-RBedienzentrale
ESTW-R lokal 1
BOR-KOM
LWL-Kabel
Ethernet
Bild-speich.DVI
VGA
Grafikkarte
Bild-speich. DVI
VGA
Grafikkarte
BOR 1 BOR 2
DVI DVI
Ethernet-LAN
redundant
Ethernet
Ethernet
...
Funkuhr
Alister BedienzentraleGP DE
Alister BedienzentraleGP DE
BSV
Alister Bedienzentrale GP DE
ESTW-R lokal 2 ESTW-R lokal n
Außenanlagen (Weichen,
Signale etc.)
Außenanlagen (Weichen,
Signale etc.)
Außenanlagen (Weichen,
Signale etc.)
Ethernet Ethernet Ethernet Ethernet Ethernet
LANLAN LAN LAN LAN LAN LAN LAN
Alister
SA
Alister
SA
ZLV Bus
Terminal-
server
GA ESTW-R Logik
Alister PLC GP DE
Alister PLC GP DE
GA ESTW-R Logik
Alister PLC GP DE
Alister PLC GP DE
GA ESTW-R Logik
Alister PLC GP DE
Alister PLC GP DE
n <= 10
Alister PLC GP DE Alister PLC GP DE Alister PLC GP DE
19
Die Anzeige ist permanent sicher
� Pixelweiser Bildvergleich alle 500 ms
� Vergleich wird unabhängig vom angezeigten Bild oder sonstiger Randbedingungen permanent durchgeführt
� Regelmäßige, absichtliche Verfälschung des Outputs von BOR2
Trennung von sicherheitsrelevanten Rechnern (BOR, BSV)
© Funkwerk Information Technologies GmbH
� Trennung von sicherheitsrelevanten Rechnern (BOR, BSV) und nicht-sicherheitsrelevanten Rechnern (MTD, ADM)
� Komplettes Prozessabbild alle 500 ms vom Stellwerk
� KF-Sperre wird im Stellwerk als Teil des Prozessabbildes gehalten
20
Lupe Eckernförde
© Funkwerk Information Technologies GmbH 21
Bereichsübersicht ESTW-R Lindaunis
© Funkwerk Information Technologies GmbH 22
© Funkwerk Information Technologies GmbH 23
Der SPS-basierte Stellwerkskern
Welches sind die Aufgaben des Stellwerks?
� Realisieren der Stellwerkslogik
� Durchführen von Regelbedienungen nach Anforderung des Bedienplatzes
� Durchführen von KF-Bedienungen nach Anforderung des Bedienplatzes
Versorgen des Bedienplatzes mit Zustandsdaten
© Funkwerk Information Technologies GmbH
� Versorgen des Bedienplatzes mit Zustandsdaten
� Ansteuern und Überwachung der Außenanlagenelemente
� Sicheres Speichern von Merkhinweisen, logischen Sperren etc.
24
Welches sind die Entwicklungsziele für das Stellwerk?
� Umsetzen des Lastenhefts F1R für ESTW-R
� Analyse
� Berücksichtigung verwandter Lastenhefte
� Erstellen einer vollständigen Spezifikation der Stellwerkslogik
� Einsatz von SPS-basierten COTS-Produkten
© Funkwerk Information Technologies GmbH
� Konsequente Trennung zwischen GP / GA / SA
� Entwicklung nach CENELEC SIL 4
25
SPSen sind eine nahe liegende Realisierungsplattform für
Stellwerke
Was zeichnet SPSen aus?
� Lösen von Aufgaben mit überwiegend logisch-kombinatorischer binärer oder digitaler Signalverarbeitung
� Echtzeitnahe Signalverarbeitung, insbesondere von Ein-und Ausgabereaktionen
Dezentraler Einsatz, auch bei ungünstigeren Umgebungs-
© Funkwerk Information Technologies GmbH
� Dezentraler Einsatz, auch bei ungünstigeren Umgebungs-und Umweltbedingungen
� Hohe Zuverlässigkeit
-> Einsatz im Bereich von Stellwerken scheint nahe liegend!
26
SPS-Programmierung sieht ganz einfach aus
� Verschiedene Programmiermöglichkeiten:
� Grafisch: Kontaktplan, Funktionsbausteinsprache oder Ablaufsprache
� Nicht grafisch: Anweisungsliste, Strukturierter Text
� Code ist leicht lesbar und leicht verständlich, ABER: Lesen ist leichter als Schreiben
© Funkwerk Information Technologies GmbH
ist leichter als Schreiben
� Eigenschaften von SPSen:
� Zyklische Verarbeitung: Eingabe, Verarbeitung, Ausgabe
� Deutlich eingeschränkter Sprachumfang gegenüber herkömmlichen Programmiersprachen
� Wenig Toolunterstützung
27
SPS-Programmierung: ein Beispiel
© Funkwerk Information Technologies GmbH 28
Die Suche nach der passenden Stellwerksplattform
Ursprüngliche Idee:
� Verwendung diversitärer SPSen, die sich gegenseitig überwachen
� Verwendung verschiedener Protokolle
� Diverse Zulassungsfragen konnten nicht zufrieden stellend beantwortet werden
© Funkwerk Information Technologies GmbH
Konsequenz:
� Suche nach Alternativen, die zugelassen sind oder zulassbar sind und SPS-basiert arbeiten.
� Strategie Funkwerk
� Suche eines Partners mit höchster Kompetenz bzgl. der Lieferung sicherer Plattformen
� Konzentration von Funkwerk auf die Entwicklung der signaltechnischen Applikation (ESTW-R)
29
HIMA-Anteile: alles ist seit Jahren sicher im Einsatz
Steuerung F30
� Zwei taktsynchrone Mikroprozessoren
� Hardware-Vergleicher
� Umfangreiche Tests zur Laufzeit
Remote IO-Modul F3DIO 20/8
� Automatische Selbsttests der Ein- und
© Funkwerk Information Technologies GmbH
� Automatische Selbsttests der Ein- und Ausgänge
� Ruhestromprinzip für Eingänge
� Rücklesen des Ausgänge
� energieloser Zustand im Fehlerfall
Kommunikation
� Safeethernet auf Ethernet-Basis zwischen beliebigen HIMA-Komponenten
30
Zusätzlich zu den HIMA-Komponenten sind noch
Anpassbaugruppen zu erstellen
Zentrale Komponente: Steuerung F30
Dezentrale Komponenten:
© Funkwerk Information Technologies GmbH 31
IO-Module F3DIO 20/08
und
Anpassbaugruppe (PCM, SCM, KCM, UCM)
Modularisierung wird großgeschrieben: GA / GP / SA
� Alister PLC GP DE: Generische Plattform für das ESTW-R in Deutschland, bestehend aus drei Komponenten:
� Stellwerksplattform (Alister PLC GP): HIMA Steuerung, HIMA IO-Module und Kommunikation Steuerung – IO-Module
� Anpassbaugruppen: PCM, SCM, KCM, UCM
© Funkwerk Information Technologies GmbH
� „Treiber“ für die Schnittstellen des Stellwerkskerns, also für die Anpassbaugruppen und die Bedienzentrale
� Alister GA ESTW-R Logik: Generische Applikation ESTW-R Logik beschreibt die Funktionalität eines ESTW-R aus rein logischer Sicht
� SA: Spezfische Applikation = Projektierung
32
Modularisierung grafisch dargestellt
© Funkwerk Information Technologies GmbH 33
Die GP-Ausgangssituation ist schwierig
Die Ausgangssituation:
� Es gibt keine Lastenhefte für die Ansteuerung von Außenanlagenelementen.
� Es gibt keine verfügbaren Schnittstellendokumente für Außenanlagenelemente.
� ABER: Es gibt Außenelemente.
© Funkwerk Information Technologies GmbH
� UND: Die Außenelemente müssen sicher angeschlossen werden!
Und das haben wir daraus gemacht …
34
Der Lösungsweg erfolgt in vielen, kleinen Schritten
� Erstellen eines Dokuments „Außenanlagenelement“, z.B. Weiche: beschreibt das Verhalten der Weiche
� Erstellen eines Schnittstellendokuments „zum Außenanlagenelement“
� Konstruktion einer „passenden“ Anpassbaugruppe
� PCM Weiche
© Funkwerk Information Technologies GmbH
� PCM Weiche
� SCM alle Signaltypen
� KCM Schlüsselsperre
� UCM universell (nur Potentialtrennung)
� Schnittstellendokument Anpassbaugruppe – Treiber-SW
� Spezifikation der Treiber-SW
� Schnittstellendokument Treiber-SW – Logik-SW
35
Der Lösungsweg erfolgt in vielen, kleinen Schritten
Weiche
0 1
SSt.
2
PlanungPCM
3
SSt.
5
SpezifikationGP Weiche
6
© Funkwerk Information Technologies GmbH 36
Weiche
WeichenantriebWeiche
KonstruktionPCM
4 PCM
ImplementierungGP Weiche
7
Weichenantrieb
PCMSW GPWeiche
SSt Weiche SSt PCM
Auch die Stellwerkslogik lässt sich Modularisieren
Fahrstraßenlogik
Weiche Signal BÜ Block
Stellwerkslogik GAKommanmdo-Verarbeitung
© Funkwerk Information Technologies GmbH 37
PhysikalischeAnsteuerung /
Protokollabwicklung: GPWeiche Signal BÜ Block
Bedien-platz
Die Charakterisierung der Weiche durch Zustände
Die Weiche wird aus logischer Sicht durch folgende Zustände charakterisiert:
� Weichenlage (rechts / links)
� Überwachung der Endlage (ja / nein)
� aufgefahren (ja / nein)
© Funkwerk Information Technologies GmbH
� Freimeldung (ja / nein)
� Freimeldung Profilraum (ja / nein)
� Umstellsperre (ja / nein)
� Sperrung WLK (ja / nein)
� Befahrbarkeitssperre (ja / nein)
� Verschluss (ja / nein)
� Folgeabhängigkeit wirksam (ja / nein)
38
Die Charakterisierung der Weiche durch Zustände (2)
� Reservierung (ja / nein)
� Beanspruchung (13 Möglichkeiten, z.B. nicht, FW-Z, FW-R, D-Weg, FL, FW-Z+FL+D-Weg, …)
� Flankenschutz gesichert (ja / nein)
� aktuelle Zustandsdaten vorhanden (ja / nein)
© Funkwerk Information Technologies GmbH
� Ausmultipliziert ergibt das 106.496 verschiedene, logische Zustände.
� Die Zustände der Einzelelemente (das Prozessabbild) werden dem Bedienplatz zyklisch und hochfrequent zur Verfügung gestellt. Auf dieser Basis wird die Darstellung ermittelt.
39
Anforderungen WU: Tabellendarstellung
Information Wert für erlaubten Startzustand
a) Weichenlage egal
b) Überwachung der Endlage egal
c) Weichenauffahrung nein
d) Freimeldung ja
e) Freimeldung Profilraum ja
© Funkwerk Information Technologies GmbH
e) Freimeldung Profilraum ja
f) Umstellsperre nein
g) Sperrung der Weichenlaufkette egal
h) Befahrbarkeitssperre egal
i) Verschluss nein
j) Folgeabhängigkeit wirksam nein
k) Reservierung egal
l) Beanspruchung egal
m) Flankenschutz gesichert egal
n) aktuelle Zustandsdaten ja
40
Anforderungen WU: Zustandsübergangsdiagramm
© Funkwerk Information Technologies GmbH 41
Programmierung: Kommando WU
© Funkwerk Information Technologies GmbH 42
Die Einzelelemente bilden die Basis für die Spezifikation der
Fahrstraßenlogik
Semiformale Spezifikation der Stellwerkslogik:
� Die Charakterisierung der Einzelelemente wie Weiche, Signal, BÜ, … erfolgt durch Zustände.
� Die Charakterisierung des Verhaltens der Einzelelementeerfolgt durch tabellarische Beschreibung und zusätzlich in Form von Zustandsdiagrammen.
© Funkwerk Information Technologies GmbH
� Die Verbindung der Einzelelemente zu Fahrstraßen erfolgt in verbaler Form auf Basis von Tabellen.
43
Spezifikation von Fahrstraßenlogik ist sehr komplex
Die Einstellung von Fahrstraßen erfolgt in 22 Einzelschritten.
Die Auflösung von Fahrstraßen erfolgt entweder durch Bedienkommandos oder zugbewirkt. Die zugbewirkte Auflösung erfolgt in 27 Einzelschritten.
Beispiel „Schritt B1: Zulassungsprüfung Teil 1, Reservierung Bahnhofsteil“
© Funkwerk Information Technologies GmbH
Reservierung Bahnhofsteil“GA Logik prüft die Erfüllung der Bedingungen für die Zulassungsprüfung Zugstraße (ZPZ) für den Fahrweg der Zugstraße elementweise. Erfüllt das zu prüfende Fahrwegelement alle erforderlichen Bedingungen, reserviert GA Logik das Fahrwegelement für die gewünschte Zugstraße. Im Ergebnis der Reservierung setzt GA Logik das Reservierungskennzeichen für das positiv geprüfte Fahrwegelement.
44
Zulassungsprüfung der Fahrwegelemente (Bahnhof)
Abschnitt Element Zustand Element gemäß
Einfahrzugstraße
Ausfahrzugstraße Zentralblockzugstraße
E1 E3 A Zb1 A_Bl Zb Zbl
4.3.4.1 Weiche SYSANF1758 x x x --- x --- ---
4.3.4.2 Schlüsselsperre SYSANF1826 x x x --- x --- ---
4.3.4.3 Gleisabschnitt SYSANF1854 x x x --- x --- ---
4.3.4.4 Hauptsignal als Startsignal SYSANF1887 x x x --- x --- ---
© Funkwerk Information Technologies GmbH
4.3.4.4 Hauptsignal als Startsignal SYSANF1887 x x x --- x --- ---
4.3.4.4 Hauptsignal als Zielsignal SYSANF1889 x --- ---
--- --- --- ---
4.3.4.5 allein stehendes Vorsignal / Vorsignalwiederholer des Startsignals
SYSANF1913 x x ---
--- --- --- ---
4.3.4.6 Geschwindigkeitsanzeiger (Zs3) am Mast des Startsignals
SYSANF1923 x x x --- x --- ---
4.3.4.6 Geschwindigkeitsanzeiger (Zs3) allein stehend
SYSANF1923 x x ---
--- --- --- ---
45
Mit dem Kommando WU durch das Stellwerk
Bedienzentrale
GP DEBORGA
Fahrstraße
1
3 2 6a
7a
© Funkwerk Information Technologies GmbH 46
GA GP
Außenanlagenelemente
GAWeiche
GAWeiche
GAWeiche GP DE
Weiche
GP DEWeiche
GP DEWeiche
5a
4
3 2
33
5b5a
5b5b
5a
6a
6b
7b
© Funkwerk Information Technologies GmbH 47
Zusammenfassung
Die Gesamtlösung besteht aus vielen Detaillösungen
ESTW-RFunktionsumfangPilotprojekt
Lindaunis
Modularisierung:Bedienplatz -Stellwerk
Vorgehen GP: vielekleine Schritte
Technischverfahrensgesicherter
Ankopplung derAußenanlagen
© Funkwerk Information Technologies GmbH 48
SPS-Programmierung
Modularisierung:GP - GA - SA
GemeinsameProjektierung
Auswahl derStellwerksplattform
Zentrale Steuerung,dezentrale IO-Module,Anpassbaugruppen
Stellwerkslogik: Basissind die
Einzelelemente
verfahrensgesicherterBedienplatz
SemiformaleSpezifikation
Connecting IT and Transport
© Funkwerk Information Technologies GmbH
Vielen Dank für Ihre Aufmerksamkeit!
Reiner Saykowski
Funkwerk Information Technologies GmbH
Edisonstraße 3, 24145 Kiel
Telefon 0431/2481-312
Email: [email protected]
Top Related