Mit einer Länge von 31,8 km ist die Transrapid-Versuchsanlage Emsland (TVE) die derzeit größte Testanlage für Magnetschwebefahrzeuge weltweit. Der Transrapid verfügt über eine Leit- und Sicherungstechnik, die einen vollautomatischen führerlosen Fahrbetrieb erlaubt. Bis allerdings ein automatisiertes Leit- und Sicherungssystem bestimmungsgemäß eingesetzt werden darf, muss eine Inbetriebnahme- und Erprobungsphase vorangegangen sein. Die Sicherheit darf sich dabei jedoch nicht auf die zu erprobende Technik stützen. Ergo kommen hierfür auf der TVE so genannte Zusatzbetriebsleittechniken zum Einsatz.

Die bisherige Zusatzbetriebsleittechnik Weichen (ZBW) der Versuchsanlage basierte auf der Transrapid-Betriebsleittechnik der ersten Generation, die auf einer Widerstands-Transistor-Logik beruht. Aufgrund des beträchtlichen Alters traten mit der Zeit erhebliche Verfügbarkeitsprobleme auf. Gleichzeitig kam von Seiten der IABG (Industrie-Anlagen-Betriebsgesellschaft), die seit 1984 für die Betriebsführung der TVE ver­antwortlich ist, die Forderung auf, eine Zusatzbetriebsleittechnik Weichen zu entwickeln, welche künftig auch für Inbetriebnahmen von Anwendungsstrecken einsetzbar ist.

Die neue ZBW sollte auf Basis der vorhandenen Weichensensorik – in der Regel berührungslose induktive Sensoren – das Signalbild erfassen, daraus eine sichere Weichenlage bilden und diese in der Leitzentrale signalisieren. Ferner musste sie eine aus der Leitzentrale veranlasste Verstellsperre an den Weichen sicher ausführen. Dies sollte manuell und über eine Prozess-Schnittstelle möglich sein. Die ZBW nimmt dabei nur Sicherungsaufgaben war; das Verstellen der Weiche erfolgt durch eine eigenständige Steuerungseinheit, die von der ZBW die technische Freigabe zum Verstellen benötigt.

Die Anforderungen an die Safety-Lösung

Für die Weichen­sicherung der Trans- rapid-Versuchsanlage Emsland wurde die höchste Sicherheitsstufe SIL 4 festgelegt.

© Hima

Grundlage für den Betrieb der TVE ist das Gesetz über den Bau und den Betrieb von Versuchsanlagen zur Erprobung von Techniken für den spurgeführten Verkehr (SpurVerkErpG). Danach sind die Grundsätze für Sicherheit und Ordnung in einer Betriebsvorschrift zu regeln. In der Vergangenheit wurde auf der TVE die Mü8004 angewandt. Mit den neuen Ausführungsgrundlagen für Magnetschnellbahnen wurde auf die Cenelec-Normen gewechselt. Demnach müssen neue betriebsleittechnische Einrichtungen der DIN EN 50126 (Bahnnorm für Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit),

DIN EN 50128 (Bahnnorm für sicherheitsrelevante Software) und DIN EN 50129 (Bahnnorm für sicherheitsrelevante elektronische Systeme der Signaltechnik) entsprechen. Gemäß dieser Normen sind für Funktionen mit Sicherheitsrelevanz Anforderungsstufen festzulegen. Wegen des hohen Gefährdungspotenzials durch das Überfahren von Spurwechsel-Einrichtungen mit hoher Geschwindigkeit und um zukünftige Integrationsschritte nicht zu verbauen, wurde für die ZBW schließlich die Anforderungsstufe SIL 4 festgelegt.

Konkret werden auf der Versuchsanlage Emsland drei Weichen betrieben:

■ Weiche 1 ist eine Langsamfahrweiche und verbindet das Versuchszentrum mit dem Hauptfahrweg.
■ Die Weichen 2 und 3 sind Schnellfahrweichen und ermöglichen einen kon­tinuierlichen Fahrbetrieb durch die Schleifen.

Weichen 1 und 2 werden über Kulissen-Arme verstellt und durch mechanische Riegel in ihrer Endlage gehalten. Im verriegelten Zustand und bei abgeschalteter Energie für die Riegel- und Stellmotoren ist ein selbstständiges Verlassen einer eingenommenen Endlage ausgeschlossen. Die Erfassung der Endlagen- und Riegelpositionen erfolgt über berührungslose redundante Sensoren, die Energie-Abschaltung geschieht über ein Haupteinspeiseschütz. Schließlich wird die wirk­same Abschaltung der Stell-Energie durch eine 3-phasige Spannungsrücklesung geprüft. Hingegen wird die Weiche 3 über Hydraulikzylinder verstellt und durch Aufbau eines permanenten Haltedrucks aktiv in einer Endlagenposition gehalten.

Die Druckmelder übernehmen die Endlagensignalisierung. Hydraulische Sperrventile, die einen Gegendruck zum Haltedruck verhindern, sorgen für die Verriegelung der Weiche 3. Fällt die Hydraulikanlage aus, wird der im Zylinder vorhandene Haltedruck über Senkbremsventile eingeschlossen. Zusätzlich ist der Übergang vom Biegekörper auf den festen Fahrweg mit einer Klappbrückenvorrichtung verriegelt. Als ergänzende Sicherungsfunktion der ZBW ist der Haltedruck der Weiche 3 permanent zu überwachen, um einen möglichen Druckverlust frühzeitig zu erkennen und zu signalisieren.

Das Lösungskonzept

Das neue Sicherheitssystem übernimmt eine unabhängige signaltechnische Einbindung der entfernten Weichen zur Zentrale.

© Hima

Die signaltechnische Problemstellung lag in erster Linie in der Aufnahme der digitalen Eingabe- und Ausgabesignale an der Weiche vor Ort sowie deren sichere Verarbeitung und Übertragung zur Zentrale. Ferner sollten Systeme ohne Sicherheitszulassung Zugriff auf die Lage-Information und die Möglichkeit zum Aktivieren einer Verstellsperre erhalten, ohne dass dabei die zugewiesenen Sicherheitsfunktionen in irgendeiner Weise beeinträchtigt werden. – Und all dies unter der Randbedingung, die Komplexität und somit den Begutachtungsaufwand so gering wie möglich zu halten.

Fündig wurden die Verantwortlichen der IABG schließlich im Umfeld der Prozess- und Anlagenautomatisierung. Die dort eingesetzten sicherheitsgerichteten Steuerungen bieten in der Regel eine einfache grafische Programmierumgebung. Die sichere Datenübertragung zwischen den Eingabe- und Ausgabebaugruppen und den Verarbeitungseinheiten ist bei ihnen Bestandteil des Betriebssystems und muss somit nicht vom Applikationshersteller gesondert entwickelt werden. Gegenüber aufwendigen Speziallösungen haben diese so genannten COTS-Lösungen (Commercial off-the-shelf) zudem deutliche Vorteile hinsichtlich Sicherheit, Flexibilität und Zukunftsfähigkeit bei gleichzeitig niedrigeren Investitions- und Betriebskosten. Nicht zuletzt können die modularen Systeme mit den jeweiligen Anforderungen wachsen.

Konkret entschied sich die IABG zur Umsetzung ihrer signaltechnischen Anforderungen für das Himatrix-System. Die modularen Sicherheitssteuerungen und Remote-I/O-Module dieser Serie basieren auf Safety-Technologie von Hima und wurden vom TÜV Süd nach den genannten, bahnspezifischen Normen bis SIL 4 zertifiziert. Diese Zertifizierung schließt das Protokoll „Safeethernet“ für die Datenübertragung und das Engineering-Tool „Elop II Factory“ mit ein. Da die Programmierung des Sicherheitssystems in der Funktionsbausteinsprache nach IEC 61131-3 mit Funktionsbausteinen erfolgen kann, war ein aufwendiger Software-Entwicklungsprozess gemäß DIN EN 50128 nicht erforderlich. Auch musste die Norm DIN EN 50159 für sicherheitsrelevante Datenübertragung nicht angewendet werden, da das Himatrix-System dieses Themengebiet vollständig abdeckt.

Die Vorgehensweise bei dem Projekt gab letztlich die DIN EN 50126 vor. Aufgrund der überschaubaren Komplexität und des abgrenzbaren Aufwands wurden einzelne RAMS-Phasen (Reliability, Availability, Maintainability und Safety) aus dieser Norm zu drei Projektphasen zusammengefasst. Nach Abschluss jeder Phase erfolgte eine Prüfung durch einen von der Genehmigungsbehörde benannten Gutachter. Im März kam es zur abschließenden Abnahme.

Aufbau der Hard- und Software

Im Hardware-Manager erfolgt die Konfiguration der einzelnen Baugruppen. Über Variablenlisten wird dem Softwarekern dort ein hardwareunabhängiger Zugang zur Außenwelt ermöglicht. Außer den Vorprüfungen ist in den In- und Out-Modulen keine Logik implementiert; die Verifikation konzentriert sich im Wesentlichen auf die korrekte Zuordnung der Signale.

© Hima

Die auf der Grundlage des erarbeiteten Konzeptes umgesetzte Safety-Lösung sieht wie folgt aus: Über Safeethernet sind alle digitalen Eingabe-/Ausgabe-Baugruppen mit der zentralen Verarbeitungseinheit verbunden. An den Weichen werden die Sensoren und die Schaltglieder integriert, und in der Zentrale werden die Pulte für die Leitstandsoperateure angesteuert. Externe Systeme sind über die Prozess-Schnittstelle OPC (OLE for Process Control) eingebunden. Um die geforderte Sicherheit der Gesamtanwendung einschließlich aller angeschlossenen Komponenten zu erreichen, galt es durch die sichere Steuerung spezifische Überwachungsprozesse zu implementieren. Hierzu bot das Safety-System Funktionen wie etwa „Line-Control“, die Fremdspannung oder Aderbruch erkennen kann. Dazu werden Testmuster auf die Ausgangsspannung aufgeprägt, die dann zurückgelesen werden.Zusätzlich sind weitere prozessabhängige Prüfungen erforderlich, die abhängig vom Prozess erfolgen müssen.

Für die Prüfbarkeit der Programmierung wurde eine Struktur mit drei vertikalen Prozess-Ebenen entworfen. In der ersten Ebene mit den Eingangsmodulen werden die Eingangssignale aufbereitet und einer vom eigentlichen Weichenverstellvorgang unabhängigen Prüfung unterzogen. Dazu gehören die Auswertung des Line-Con­trols, die Prüfung bei Signalpaaren auf Antivalenz (digitales Signalpaar muss gegensinnig sein: 0-1 oder 1-0) beziehungsweise Valenz (Signalpaar muss identisch sein: 0-0 oder 1-1) und die Schaltzeitüberwachung.

In der zweiten Ebene ist die eigentliche Logik für die Prüfung des Verstell­vorgangs und die Generierung der Lagensignale sowie der sicherheitsrelevanten Ausgaben hinterlegt. Hier wird im Wesentlichen geprüft, ob alle Signale entsprechend einer definierten Schrittfolge und innerhalb zulässiger Zeiten schalten. Ferner erfolgt auf dieser Ebene die Überwachung aller statischen Signale im Zustand einer gegen Verstellen gesicherten Weiche. Die dritte Ebene mit den Ausgabemodulen stellt schließlich die Verknüpfung zur Außenwelt her. Hier werden nur Ausgabesignale konvertiert und rangiert.

Deutlich verkürzte Prüfroutinen

Die kompakte Zentrale der ZBW mit einer Zentral- und zwei IO-Einheiten.

© Hima

Das Engineering-Tool der Himatrix-Serie beinhaltet einen Online-Manager für die Online-Beobachtung aller externen und internen Prozessvariablen. Da die Programmierung nur grafisch und ausschließlich mit IEC-61131-3-Funktionsbausteinen erfolgte, vereinfachte beziehungsweise verkürzte es die Prüfung der korrekten Programmierung erheblich. Der Anwendungsentwickler konnte sich so voll auf die Umsetzung der Weichensicherungsfunktionen konzentrieren. Dadurch war in wenigen Tagen mithilfe eines Testrahmens und des Online-Managers eine nahezu vollständige Verifikation möglich.

Für zukünftige Transrapid-Anwendungen würden sich für die Zusatzbetriebsleittechnik Weichen (ZBW) noch andere Einsatzmöglichkeiten als sicheres Inbetriebnahmewerkzeug bieten. Eine Hochskalierung auf weitere Weichen und Mehrwegeweichen wurde bei der Auslegung deshalb vorsorglich mit berücksichtigt.

Neben der beschriebenen Anwendung eignet sich die Safety-Lösung mit ihrem Ursprung in der Prozess- und Anlagenautomatisierung für weitere sicherheitsrelevante Applikationen im Bahnumfeld wie etwa Stellwerke, Tunnel, Züge und Wagons. Dabei macht es keinen Unterschied, ob ein zentrales oder dezentrales, redundantes oder nicht redundantes Steuerungssystem gefordert ist.

Autoren: Thomas Bell ist Branchenmanager Bahntechnik bei Hima.

Bernhard Immken ist Abteilungsleiter Betriebsleittechnik bei der IABG.

Die IABG

Die IABG mbH wurde 1961 auf Initiative des Bundes als zentrale Analyse- und Testeinrichtung für die Luftfahrtindustrie und das Verteidigungsministe­rium gegründet und ist heute ein europäisches technisch-wissenschaftliches Dienst­leistungsunternehmen. Über 1000 Mitarbeiter sind an vierzehn Standorten in Deutschland und der EU beschäftigt.

Das Dienstleistungsspektrum umfasst analytische, technische und operationelle Lösungen in den Branchen Automotive, InfoKom, Verkehr, Umwelt und Energietechnik, Luftfahrt, Raumfahrt sowie Verteidigung und Sicherheit. 1993 wurde die IABG privatisiert und ist heute ein eigentümergeführtes Unternehmen.