Hinsichtlich Sicherheit und Wirtschaftlichkeit im Bahnumfeld spielen Automatic Train Operation (ATO) und Automatic Train Protection (ATP) eine entscheidende Rolle. Der automatisierte Betrieb bringt viele Vorteile: Unfälle durch menschliches Versagen werden deutlich reduziert, Geschwindigkeitsbegrenzungen können optimal ausgenutzt und die Taktung auf den Gleisen erhöht werden. Um den zuverlässigen Betrieb zu gewährleisten, überwachen ATP-Systeme alle relevanten Funktionen. Die Daten der beiden Systeme werden meist in übergeordneten Automatic-Train-Control-Systemen in der Leitstelle eingespielt, wo im Notfall Mitarbeiter eingreifen und entsprechende Maßnahmen einleiten können.
Um die Sicherheit und/oder die Verfügbarkeit der Systeme zu gewährleisten, werden redundante Rechnerstrukturen eingesetzt. Je nachdem, was man erreichen möchte, wendet man unterschiedliche Redundanz-Konstellationen an. Möchte man ein hohes Maß an Sicherheit und Verfügbarkeit erreichen, wird typischerweise ein 2oo3- oder sogar 2oo4-System aufgebaut.
Dabei ist ein Voter, der die Rechenergebnisse vergleicht und auswertet, fester Bestandteil des Systems. Bei Abweichungen erkennt der Voter die fehlerhafte CPU, aber das System kann mit den zwei anderen Komponenten weiterlaufen.
Verwendet man modulare Systeme, beispielsweise CompactPCI, ist der Aufbau einer solchen Struktur mechanisch gesehen relativ trivial: Man verdreifacht einfach alle Karten. Allerdings brauchen drei Rechner auch mehr Platz, haben eine dreifache Verlustleistung, die Software und der Voter werden für drei Rechner entsprechend anspruchsvoll.
Komplexe Strukturen – so einfach wie möglich
Um die Sicherheitsstandards in Bahnanwendungen erfüllen zu können, wird man nie um solch komplexe Strukturen herumkommen. Allerdings sollen die Systeme auch immer schneller, weiter, besser und wirtschaftlicher sein. Wie erreiche ich also den gleichen Sicherheitslevel, bei geringerem Zeit- und Kostenaufwand?
Was wäre denn, wenn man alles noch etwas kompakter gestalten könnte und der Rechner nicht aus Einzelkarten aufgebaut werden müsste? Wenn mehrere Prozessoren auf einem Board untergebracht sind? Gibt es dann noch genügend Platz, um Überspannungen in den Griff zu bekommen? Können thermische Probleme auftreten?
MEN hat es gewagt und auf eine 6-HE-CompactPCI- bzw. VMEbus-Karte drei redundante Prozessoren gepackt. Neben dem dreifachen PowerPC-750-Prozessor sind auch der Hauptspeicher, die lokale Spannungsversorgung, die Taktgeber und Flash-Speicher redundant realisiert. Der Voter ist als IP-Core in einem FPGA (Field Programmable Gate Array) umgesetzt.
Die drei PowerPCs arbeiten in einer so genannten Lockstep-Architektur. Hierbei verhalten sich die Prozessoren absolut synchron. Für die Software stellen sie eine Einheit dar, die Redundanz wird sozusagen unsichtbar. Somit muss die Software selbst nicht redundant sein – der Aufwand für deren Integration reduziert sich dramatisch und senkt so auch die Entwicklungskosten.
Ursprünglich für den A400M entwickelt und damit auch gegen kosmische Strahlung geschützt und der Luftfahrt-Norm DO-245 entsprechend, war die inzwischen auch bahntaugliche CompactPCI-Version der Karte Grundbaustein für ein Advanced-Train-Management-System (ATMS) in Australien. Die Vorteile, die durch das ATMS entstanden sind: eine Steigerung der Gleisnutzung durch Kollisionsvermeidung und damit eine höhere Taktfrequenz der Züge, genauere Einhaltung der Fahrpläne, höhere Flexibilität und Effizienz des Schienennetzes, Kosteneinsparungen durch weniger Kraftstoffverbrauch, weniger streckenseitige Wartungsarbeiten, weniger Abnutzung der Züge und schließlich natürlich auch die Erhöhung
der Sicherheit.
Das System steuert sowohl lebenswichtige als auch nicht lebenswichtige Funktionen. Der nicht-kritische Teil wurde mit einem Hybridsystem, konfiguriert mit CompactPCI- und CompactPCI-Serial-Karten, realisiert. Die Steuerung des kritischen Teils übernehmen eine oder zwei der dreifach-redundanten Karten mit einem sicheren VxWorks-Cert-Betriebssystem und umfangreichen
BITE-Mechanismen. Nachdem die sicheren CPU-Karten schon für sich alleinstehend nach SIL 4 zertifiziert waren, sparte das zusätzlich Zeit und Kosten bei der Zertifizierung des Gesamtsystems.
Kompakt und sicher – ist das möglich?
Nachdem der Großteil der CompactPCI-basierenden Bahnsysteme inzwischen in 3 HE realisiert wird, lag es auf der Hand, diese Idee der On-Board-Redundanz auf ein noch kompakteres Format zu übertragen.
So folgte ein 3-HE-CompactPCI-PlusIO-SBC mit drei Intel-Atom-Prozessoren – diesmal jedoch mit zweifacher Redundanz. Während zwei Control-Prozessoren die sichere Steuereinheit bilden, übernimmt ein eigenständiger I/O-Prozessor die Kommunikation mit den Schnittstellen. Zwei unabhängige Supervisors prüfen dabei Spannung, Temperatur und Frequenzen, registrieren aber auch interne Fehler des jeweiligen Prozessors und können wie auch die Software jedes Control-Prozessors die Karte in einen sicheren Zustand schalten.
Dem FPGA-Baustein, der die Kommunikation mit der Ein-/Ausgabe steuert, steht ebenfalls ein eigener Supervisor für die Fehlererkennung zur Seite. Mit einem sicheren QNX-BSP (PikeOS auf Anfrage) ist die Hard- und Software komplett nach SIL 4 zertifiziert – ein entsprechendes Zertifizierungspaket erleichtert den Prozess für das Endsystem erheblich.
Inspiriert durch die Möglichkeiten dieses kompakten Bahnrechners entstand ein Konzept für ein komplettes, SIL-4-zertifiziertes System für Safe Train Control, das sich bei MEN gerade in Entwicklung befindet und erstmalig auf der InnoTrans 2014 vorgestellt wird. Dabei erhebt das MTCS (MEN Train Control System) den Anspruch, nicht nur eine weitere sichere Steuerung für dedizierte Anwendungen zu sein, sondern bietet eine offene, frei konfigurierbare Systemplattform zur Realisierung verschiedener Einzelfunktionen oder auch der Steuerung des kompletten Zuges. Mit eigens entwickelten, ebenso sicheren I/O-Karten und einem bahntauglichen Weitbereichsnetzteil, formt das Herz des MTCS die oben beschriebene zweifach-redundante CPU-Karte. Sollte das System in einer bereits bestehenden Infrastruktur zum Einsatz kommen, kann ein Steckplatz zur Anbindung bahntypischer Feldbusse wie MVB, CANopen, PROFINET etc. genutzt werden. Die Kommunikation zwischen den Einheiten erfolgt über Echtzeit-Ethernet und ist durch EN 50159-konforme Sicherheitsprotokolle (Black Channel) abgesichert. Wird nicht die gesamte Lösung inklusive Zertifizierungspaket für SIL 4 benötigt, können auch nur die sichere CPU-Karte mit Zertifizierungspaket für Hardware und/oder Software oder gleichermaßen die sicheren I/Os erworben werden.
Die Entwickler von MEN haben die Anforderungen des Markts verstanden und hier echte Pionierarbeit geleistet, um möglichst viele Anforderungen an moderne Zugsteuerungssysteme zu erfüllen: sicher, kompakt, flexibel und damit kostengünstig. Natürlich speziell auf Bahnanwendungen zugeschnitten und damit EN-50155-konform und entsprechend robust. Bahn frei also für eine
sichere moderne Zukunft!