FUNKTIONALE SICHERHEIT BEI DER STEUERUNG VON BAHNAUTOMATISIERUNGSSYSTEMEN

EINE SYSTEMPLATTFORM FÜR SICHERHEITSRELEVANTE BORD- UND STRECKENSEITIGE ANWENDUNGEN

Download: Cyber Secure Products & Service Packages (PDF, 240 KB)

Das duagon SAFE CONTROL (d-SC) System ist eine sicherheitszertifizierte, modulare Bahnsteuerungsplattform. Es erfüllt die Bahnentwicklungsnormen EN 50126 (RAMS), EN 50128 (Software) und EN 50129 (Hardware) für funktionale Sicherheit, und alle Komponenten sind bis SIL 4 sicherheitszertifiziert.

Das d-SC-System ist für den Betrieb in sicherheitsrelevanten fahrzeugseitigen Anwendungen wie dem automatischen Zugbetrieb (ATO) und der automatischen Zugsicherung (ATP) sowie für streckenseitige Anwendungen wie Bahnübergängen oder computergesteuerten Stellwerkssystemen konzipiert. Das modulare System besteht aus der sicheren Steuerung (1oo2, 2oo2), den sicheren I/O-Funktionen und den Kommunikationsschnittstellen zur "Außenwelt".

Der modulare Aufbau ermöglicht es dem System, mit anderen Zugsystemen wie Service- oder Diagnoseeinheiten über jede Art von drahtgebundener oder drahtloser Schnittstelle zu kommunizieren. Zusätzlich können Feldbusschnittstellen wie MVB, CAN, Profinet und andere implementiert werden, um eine Verbindung zu anderen Netzwerken herzustellen. Dies erleichtert die Integration in ein TCN-Netzwerk sowie in regional unterschiedliche Zugsicherungssysteme wie ETCS, CTCS, ATCS, PTC oder Klub-U.

Die COTS Safe Controller unterstützen QNX out-of-the-box mit dem mitgelieferten sicherheitszertifizierten Board Support Package (BSP). Zusätzlich bietet duagon verschiedene Softwarepakete an, z.B. Prozessdatensynchronisation (SNYCH), modulares I/O-Framework (PACY) oder Hochverfügbarkeitssoftware (HA-SW), die es Kundenanwendungen ermöglicht, zwei redundante d-SC-Systeme in einem Hot-Standby-Setup zu nutzen.

Die robusten und schienenfertigen Komponenten entsprechen den Bahnnormen für Umwelt- und EMV-Bedingungen EN 50155 (Schienenfahrzeuge) und EN 50125-3 / EN 50121-4 (Signalisierung/Gleisanlage).

VORZERTIFIZIERTE, MODULARE OFFENE SYSTEME FÜR EINEN LANGFRISTIGEN EINSATZ

ZERTIFIZIERTE FUNKTIONSSICHERHEIT

Sparen Sie Kosten, Zeit und Risiko mit Vorzertifizierung
Die sicherheitstechnischen Komponenten von duagon werden mit Zertifizierungspaketen für die Hardware und die entsprechende Plattformsoftware auf Basis von QNX geliefert. Unabhängig von der endgültigen Anwendung sind die Komponenten bereits zertifiziert und beschleunigen Ihren gesamten Zertifizierungsprozess.

Nutzen Sie Synergien für alle sicherheitsrelevanten Anwendungen
Als modulare Sicherheitsplattform mit flexibler I/O-Konfiguration und Erweiterungsmöglichkeiten kann dieses System für alle sicherheitsrelevanten Anwendungen im Fahrzeug und auf der Strecke eingesetzt werden: von einzelnen Funktionen wie Signal- und Bahnübergangssteuerung bis hin zu komplexen Systemen für den automatischen Zugbetrieb oder die Zugsicherung (ATO/ATP).

Zertifizierung

EN 50126: Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit (RAMS)
EN 50128: Kommunikations-, Signal- und Verarbeitungssysteme - Software für Bahnsteuerungs- und Sicherungssysteme
EN 50129: Kommunikations-, Signal- und Datenverarbeitungssysteme und sicherheitsrelevante elektronische Systeme für die Signalisierung

MODULARITÄT IN I/O-KONFIGURATION UND SOFTWARE

Flexible Konfiguration für Steuerungseinheit oder Gesamtnetzwerk
Das duagon SAFE CONTROL-System basiert auf dem modularen 19"-CompactPCI-Standard, der eine skalierbare Plug-and-Play-ähnliche Systemkonfiguration ermöglicht, Kommunikation mit anderen Zugfunktionen wie Service oder Diagnose bietet und die Integration in bestehende Zugbusnetze unterstützt:

Der MH50C-Controller kann mit der genauen Anzahl der erforderlichen sicheren Kanäle und nicht sicheren Funktionen auf Basis von Standard CompactPCI-Karten konfiguriert werden.
Bis zu 63 externe sichere I/O-Module (mit vier bis acht Platinen pro Gerät) können an einen einzigen MH50C-Controller angeschlossen werden, was Verdrahtungskosten spart und die Betriebsstabilität erhöht.

Modularität in Bezug auf Software
Da alle Softwarefunktionen (SYNCH, EXCH) unabhängig voneinander sind, können nur die Teile im System konfiguriert werden, die wirklich benötigt werden. Das PACY I/O-Framework ist auch in sich modular, so dass Funktionen wie neue I/O-Module, neue Bussysteme oder neue Sicherheitsprotokolle einfach hinzugefügt werden können.

UNABHÄNGIGKEIT VON LIEFERANTEN

Vermeiden Sie Lock-in von Anbietern und behalten Sie die Kontrolle!
Als offene und modulare Plattform macht das duagon SAFE CONTROL-System Bahndienstleister und Bahnbetreiber unabhängig von einem Systemhersteller und gibt ihnen die volle Kontrolle über ihr Projekt.

Basierend auf Standards:

Standard CompactPCI-Industriestandard und x86-Host-Controller

Standard-Betriebssystem (QNX, Linux)
Standard EtherCAT mit Sicherheitsprotokoll FSoE
Standard-Kommunikationsschnittstellen zu TCN-Netzwerk, MVB, CANopen, ProfiNet, etc.
Standard POSIX Programmierinterface für "C"
"C"-Codegenerierung, z.B. mit modellbasierten Codegenerierungswerkzeugen wie ANSYS' SCADE oder MathWorks' Simulink.

LANGJÄHRIGE VERFÜGBARKEIT

Schützen Sie Ihre Investitionen vor dem Ausstieg aus dem Markt!
Das System basiert ausschließlich auf offenen Industriestandards für Hardware, Software und Kommunikation mit breiter Akzeptanz auf dem Markt. Dies garantiert Alternativen für jede Funktion, so dass der Endnutzer vor Veralterungsproblemen geschützt ist.

Verlängern Sie Ihren Projektlebenszyklus!
Die Lebensdauer ist durch das Familienkonzept und ein dahinter stehendes Life-Cycle-Management erweiterbar. Nach der garantierten Mindestverfügbarkeit von 10 Jahren für alle Teile stellt duagon seinen Kunden alle notwendigen Schritte und Dokumente (z.B. Änderungsfolgenanalyse, Redesign) für mögliche Nachfolgeprodukte zur Verfügung.

duagon garantiert:

10 Jahre Lieferung von identischen duagon-Boards pro Projekt
25 Jahre technische Unterstützung pro Projekt
Zeitlich unbegrenzte Lieferung von Funktionalität

SAFE CONTROL (d-SC) HARDWARE

SYSTEMBEISPIEL

Das Herzstück des modularen duagon SAFE CONTROL-Systems ist die Steuerung MH50C. Sie basiert auf dem SIL 4-zertifizierten Intel CPU-Board F75P. Der sichere Teil kann um weitere, nicht-vitale I/O-Funktionen erweitert werden, ohne die Sicherheit des Systems zu beeinträchtigen. Es kann als Standalone-Gerät und in Kombination mit bis zu 63 externen I/O-Boxen eingesetzt werden.

ECHTZEIT-ETHERNETKOMMUNIKATION

Die Kommunikation innerhalb des duagon SAFE CONTROL (d-SC)-Systems - zwischen der sicheren d-SC-Steuerung, den sicheren I/O-Boards und den sicheren Remote-I/O-Boxen - basiert vollständig auf einem standardisierten sicheren Echtzeit-Ethernet unter Verwendung von EtherCAT und FSoE (Fail Safe over EtherCAT).

Die Anwendung kann daher alle I/O-Funktionen auf die gleiche Weise behandeln. Alle Remote-I/O-Boxen sind in einer Ringtopologie mit dem Controller verbunden, die einzelne Ausfälle toleriert. Im Falle eines Kabelbruchs beispielsweise ist das System immer noch voll funktionsfähig, da alle I/O-Boxen auch vom anderen Ende des Rings aus erreichbar sind.

SOFTWARE-ARCHITEKTUR

TRENNUNG ZWISCHEN SICHEREN UND NICHT-VITALEN BEREICHEN

Die d-SC Software unterscheidet zwischen dem sicheren und dem nicht-vitalen Bereich, um Kosten und Zeit bei der Anwendungsentwicklung und Zertifizierung zu sparen. Diese Trennung ermöglicht es, nicht-vitale Anwendungen getrennt von sicheren Anwendungen zu entwickeln. Nicht-vitale Anwendungen können sichere Anwendungen nicht beeinflussen, da sie auf einem separaten Prozessor mit einem Standard-Linux-Betriebssystem ausgeführt werden.

Die sichere Anwendung läuft in einem sicheren Kernel des QNX-Echtzeitbetriebssystems und kann entweder direkt mit der Standardsprache "C" programmiert werden oder bietet POSIX-konforme APIs.

SICHERE ANWENDUNGSSCHNITTSTELLE

Da d-SC eine offene Mehrzweck-Hardwareplattform für verschiedene Arten von sicheren Anwendungen ist, benötigt der Softwareprogrammierer eine Schnittstelle, um vollen Zugriff auf die Steuerelektronik zu erhalten. Das PACY Safety I/O Framework bietet einen einfachen und modularen Zugang zu den sicheren I/O-Boards. PACY enthält auch eine sichere Kommunikationsschicht (Fail Safe over EtherCat, FSoE).

SICHERE KOMMUNIKATION

Um eine ordnungsgemäße Kommunikation zwischen der sicheren Steuerung und den sicheren I/O-Funktionen über Echtzeit-Ethernet zu gewährleisten, wird der Black-Channel-Ansatz angewendet. Die Anforderungen für den Transport sicherer Daten über nicht vertrauenswürdige Kommunikation sind in der EN 50159 definiert und werden mit dem sicheren Kommunikationsprotokoll FSoE (Fail Safe over EtherCat) sichergestellt.

SCHLÜSSELPRODUKTE

MH50C duagon SAFE CONTROL Vital System Controller

Modular Train Control System for Safe Applications in Transportation

F75P Vital Embedded Single Board Computer, 3 Intel Atom E6xx

3U CompactPCI PlusIO

KT8 d-SC Remote I/O Extension for 8 Cards

Modular Train Control System for Safe Applications in Transportation

K1 8 Safe Digital Outputs, High-Side Switching for d-SC

SIL 2 to SIL 4 Modular Train Control System I/O Board

ANWENDUNGSBEREICHE

SCHIENENFAHRZEUGE

Die duagon SAFE CONTROL-Plattform eignet sich sowohl für die Steuerung aller sicherheitsrelevanten Funktionen in neuen Zugmodellen als auch für die Umrüstung von Zügen. Dank ihrer Modularität lassen sich Automatisierungsfunktionen auch in Kombination mit anderen Teilen bereits vorhandener Zugsteuerungsanlagen einfach installieren und nachrüsten.

Installation als Herzstück eines jeden Zugsicherungs- und/oder Automatisierungssystems
Effizienzsteigerung der bereits vorhandenen ATO-, ATP- und ATS-Funktionen als Zentralcomputer
Schrittweiser Ersatz älterer Geräte durch eine standardisierte Allzweckplattform für alle sicheren Anwendungen
Fernsteuerung direkt an der Tür, am Rad, am Getriebe
Alles in einem: sicheres Steuerungssystem und nicht-vitales Kommunikationssystem - sicher getrennt durch strikte Partitionierung
Anbindung an die gesamte bestehende Zugkommunikation mit Ethernet und MVB, CAN-Bus etc.
Anbindung an das Führerstandsdisplay
Anbindung an die drahtlose Kommunikation mit der Außenwelt durch GSM-R, GPS, WLAN etc.
Senkung der Lebenszykluskosten durch einfache Wartung von Standardkomponenten
Längere Lebensdauer durch Verwendung standardisierter Technologien

STRECKENSEITIG

Das duagon SAFE CONTROL System eignet sich für die Steuerung von CBI (Computer Based Interlocking), wichtiger Telemetrie für das Zugmanagement und streckenseitiger Geräte wie Weichen, Signale oder Bahnübergänge. Da es sich um eine modulare Plattform handelt, kann es sowohl in neuen Stellwerken als auch für eine schonende Modernisierung und Automatisierung von älteren Relaisstellwerken eingesetzt werden. Bestehende Außenanlagen können erhalten und angepasst werden. Die äußerst kompakte Innenanlage eines Stellwerks ist klar getrennt und bildet die sichere Plattform (SIL) für die Steuerungs- und Automatisierungsebene.

Einführung von ETCS L2/L3 zur Optimierung von Sicherheit und Gleisbelastung
Halbierung der entstehenden Gelegenheitskosten für Relais-Stellwerke
Erhöhung der Leistungsfähigkeit der Stellwerke
Geringer Verkabelungsaufwand durch standardisierte Ethernet-Technologie
Vermeidung des kostspieligen Komplettaustausches durch CBIs (inkl. Außenanlagen)
Installation von einfacheren, kleineren und standardisierten Innenanlagen
Längere Betriebsdauer der Außenanlagen
Geringere Kosten für die Erweiterung der Gesamtkapazitäten
Senkung der Lebenszykluskosten durch einfache Wartung von Standardkomponenten
Verringerung der Abhängigkeit von einzelnen Lieferanten, was zu einem wachsenden Dienstleistungsangebot führt

KONTAKTIEREN SIE UNSER VERTRIEBSTEAM

Unser internationales Team von Ingenieuren und Verkaufsberatern ist für Sie da - egal, wo auf der Welt Sie sich befinden.

Wir bei duagon verfügen über eine breite Palette an Standardprodukten, die für den Einsatz in einer spezifischen Anwendungsumgebung angepasst werden können. Unser Vertriebsteam informiert Sie gerne über unser Standard-Hardware-Angebot, unsere Software-Technologie, die erforderlichen Normen und Zertifizierungen und entwickelt gemeinsam mit unseren Ingenieuren die optimale Lösung für Ihre spezifischen Anwendungsbedingungen.

Kontaktieren Sie uns

SICHERE ZUGSTEUERUNGSANWENDUNGEN

Eine Universalplattform für sichere Zug- und Streckenfunktionen

duagon SAFE CONTROL ist eine universelle Plattform für sichere Zug- und Streckenfunktionen, die auf Standardtechnologien basiert - und als solche offen für die Eigenschaften und Anforderungen der endgültigen Anwendung ist. Verschiedene Pakete und Dienstleistungen rund um d-SC helfen dem Kunden, Kosten zu sparen und die Markteinführung zu beschleunigen.

SIL4-ZERTIFIZIERTER (EN5012x) BAHNCOMPUTER FÜR SCHIENENFAHRZEUG- UND STRECKENANWENDUNGEN

Zertifizierte funktionale Sicherheit
Produktarchitektur: duagon SAFE CONTROL (d-SC)-Steuerung (mit sicherer CPU) und sicheren I/O
Modularität in der I/O-Konfiguration
Software-Architektur: getrennte Domänen für sichere und nicht sichere Software-Anwendungen
Echtzeit-Ethernet-Kommunikation: Sichere Kommunikation über FSoE
Prozessdaten-Anwendungsrahmen (PACY) - macht die Hardware für die Anwendung transparent
Hochverfügbare Softwareschicht, um Kundenanwendungen mit zwei redundanten d-SC-Steuerungen zu ermöglichen

ANWENDUNGSBEISPIELE

Kommunikationsbasierte Zugsteuerung

Die Anwendung

Redundante fahrzeugseitige Fahrzeugsteuerung im Zug und eine Zonensteuerung auf der Strecke
Sendet kritische Fahrzeuginformationen und empfängt Beschränkungen der Fahrberechtigung

Die Elektronik

Basierend auf dem Standardprodukt d-SC Controller MH50C
SIL 4 Zertifizierungspaket für F75P und I/O

Software

PACY I/O-Framework
Weitere Pakete: EXCH, SYNC
Betriebssystem: Linux Yocto für nicht-sichere CPU, QNX für sichere CPU

Produkte:

Bahnübergangssteuerung

Die Anwendung

Zentrale Steuerung für Bahnübergänge der nächsten Generation
Angeschlossen an alle Komponenten des Bahnübergangs, einschließlich Signale, Gleisstromkreise usw.

Die Elektronik

Basierend auf dem Standardprodukt d-SC Controller MH50C
SIL 4 Zertifizierungspaket für F75P und I/O

Software

PACY I/O-Framework
Weitere Pakete: EXCH, SYNC
Betriebssystem: Linux Yocto für nicht-sichere CPU, QNX für sichere CPU

Produkte:

Computerbasiertes Stellwerk

Die Anwendung

Zentrale Steuerung eines computergestützten Stellwerkssystems eines automatischen Personenbeförderers
Dezentralisierte Remote I/O zur Steuerung verschiedener Objekte entlang der Gleise

Die Elektronik

Basierend auf dem Standardprodukt d-SC Controller MH50C
Basierend auf mehreren Standard d-SC Remote I/O mit verschiedenen K-Karten-Konfigurationen
SIL 4 Zertifizierungspaket für F75P und I/O

Software

PACY I/O-Framework
Weitere Pakete: EXCH, SYNC
Betriebssystem: Linux Yocto für nicht-sichere CPU, QNX für sichere CPU

Produkte:

Automatischer Zugbetrieb

Die Anwendung

Redundante 2oo2-Bordnetzsteuerung mit erhöhter Verfügbarkeit
Zwei 2oo2-Steuerungen - eine aktiv, die andere im Hot-Standby - in einem EtherCAT-Ring, die Prozesszustandsgrößen synchronisieren

Die Elektronik

Basierend auf dem Standardprodukt d-SC CompactPCI Vital Processor F75P
SIL 4 Zertifizierungspaket für F75P

Software

Hochverfügbarkeitssoftware
Weitere Pakete: EXCH, SYNC
Betriebssystem: Linux Yocto für nicht-sichere CPU, QNX für sichere CPU

Produkte:

Vital Embedded Single Board Computer

KONFIGURIEREN SIE IHR SYSTEM

Unser internationales Team von Ingenieuren und Verkaufsberatern ist für Sie da - egal, wo auf der Welt Sie sich befinden.

Kontaktieren Sie uns

SAFE CONTROL PRODUKTFAMILIE

SYSTEME MIT EINZELBAUSTEINEN

Die robusten und bahntauglichen sicheren Steuerungskomponenten entsprechen den Bahnnormen für Umwelt- und EMV-Bedingungen EN 50155 (rollendes Material) und EN 50125-3 / EN 50121-4 (Signalisierung/Gleisanlage).

SAFE CONTROL SYSTEMS

D-SC CONTROLLER

The MH50C can act as the central component of a train control system lie ATO or ATP or trackside applications like ZC or ATP based on ERTMS/ETCS, PTC, PZB/Indusi or ZUB.

Downloads

MH50C Data Sheet Product Comparison: Safe computing systems

DETAILS

Features

For Applications up to SIL4 (EN5012x) or SIL3 (IEC61508)
Certified safe CPU board with 3 CPUs
Safe I/O boards
QNX safe operating system available
Certification packages available
Extensible by distributed safe I/O boxes connected via real-time Ethernet
Optional MVB, RS232, RS422, RS485, CAN, GPS
Compact 40 HP application-ready system
Rack-mounted or wall-mounted
For rolling stock and wayside applications

D-SC REMOTE I/O

KT8 is a safe remote I/O box certifiable up to SIL 4 for TCS applications like train control, ATO or ATP using the duagon SAFE CONTROL System.

Downloads

KT8 Data Sheet Product Comparison: Safe computing systems

DETAILS

Features

For Applications up to SIL4 (EN5012x) or SIL3 (IEC61508)
Safe I/O boards
Certification packages available
Distributed safe I/O and controller boxes connected via real-time Ethernet
Support for QNX safe operating system
Compact 40 HP housing for remote locations
Full EN 50155 compliance
Rack-mounted or wall-mounted

SAFE BOARD-LEVEL COMPUTERS

VITAL EMBEDDED SINGLE BOARD COMPUTER, 3 INTEL ATOM E6XX

The F75P is an x86 Intel Atom E680T based fail-safe vital embedded computer, certified to SIL 4 with onboard dual redundancy for functional safety and a third CPU for I/O communication. It targets safety-critical applications in embedded railway and wayside computers and in industrial automation. F75P is also part of the duagon SAFE CONTROL System.

Downloads

F75P Data Sheet

DETAILS

Features

2x Intel Atom E6xx, up to 1 GB DDR2 RAM (each) for onboard dual redundancy
1x Intel Atom E6xx, up to 2 GB DDR2 for I/O
Independent supervisors for each block
Fail-safe board architecture
Event logging
SIL 4 certification packages available for hardware and software (QNX)
TÜV Süd certified according to EN 50129 (SIL 4), EN 50128 (SIL 4) and IEC 61508 (SIL3)
Full EN 50155 compliance
-40 °C to +70 °C (+85 °C)
Conformal coating

SAFE I/O BOARDS

8 Safe Digital Outputs, High-Side Switching for d-SC

Features

High-side switch outputs (load to ground)
Fail-safe board architecture
Extensive supervision functions

Downloads

K1 Data Sheet Product Comparison: Safe I/O Boards

DETAILS

16 Safe Digital Inputs for d-SC

Features

Fail-safe board architecture
Extensive supervision functions

Downloads

K2 Data Sheet Product Comparison: Safe I/O Boards

DETAILS

8 Safe Digital Outputs, Low-Side Switching for d-SC

Features

Low-side switch outputs
Fail-safe board architecture
Extensive supervision functions

Downloads

K7 Data Sheet Product Comparison: Safe I/O Boards

DETAILS

KONTAKTIEREN SIE UNSER VERTRIEBSTEAM

Unser internationales Team von Ingenieuren und Verkaufsberatern ist für Sie da - egal, wo auf der Welt Sie sich befinden.

Kontaktieren Sie uns

DUAGON SAFE CONTROL (D-SC) SOFTWARE-ARCHITEKTUR

Trennung zwischen sicheren und nicht-vitalen Bereichen

Die d-SC Software unterscheidet zwischen dem sicheren und dem nicht-vitalen Bereich, um Kosten und Zeit bei der Anwendungsentwicklung und Zertifizierung zu sparen. Diese Trennung ermöglicht die Entwicklung von nicht-vitalen Anwendungen getrennt von sicheren Anwendungen. Nicht-vitale Anwendungen können sichere Anwendungen nicht beeinflussen, da sie auf einem separaten Prozessor ausgeführt werden.

DUAGON SAFE CONTROL HOCHVERFÜGBARKEITS-SOFTWARELÖSUNG

Die Hochverfügbarkeits-Softwareerweiterung erhöht die Verfügbarkeit des Systems durch Unterstützung der Controller-Redundanz, so dass der Ausfall eines einzelnen Controllers ausgeglichen werden kann. Bei dieser Konfiguration ist ein Controller aktiv, während sich der andere im Standby-Modus befindet. Fällt der aktive Controller aus, so übernimmt der Standby-Controller nahtlos den Status des aktiven Controllers. Dadurch wird sichergestellt, dass der Ausfall eines Controllers nicht zu einem Totalausfall des Systems führt und die Anwendung weiter funktionieren kann. Die defekte Hardware kann dann repariert oder neu gestartet werden, ohne dass das System selbst neu gestartet werden muss. Nach der Reparatur wird der reparierte Controller vom System neu synchronisiert, woraufhin er zum Standby-Controller wird und für die nächste Umschaltung bereit ist.

Das einzigartige Merkmal und der Haupteinsatzbereich von d-SC besteht darin, dass die beiden redundanten Steuerungen an ein gemeinsames I/O-Set angeschlossen werden können. Der große Vorteil der Verwendung gemeinsam genutzter I/Os im Vergleich zu Controllern mit eigenständigen I/Os besteht darin, dass ein Ausfall des Controllers nicht zu einem Verlust von I/Os führt (Fehlerdomänen sind unabhängig).

VORTEILE

Der Ausfall eines einzelnen Controllers kann ausgeglichen werden.
Der Ausfall eines Controllers führt nicht zum Verlust der I/Os
Unterbrechungsfreie Leistung
99%ige Verfügbarkeit
Schnelle Umschaltzeit
Hot-Standby-Einrichtung
Re-Synchronisation der reparierten Hardware
Einfache Integration
Verwendbar mit PACY-I/O, Y-COM I/O oder jedem anderen I/O Framework
Kunden können zwischen verschiedenen Hardware-Architekturen wählen

SICHERE BETRIEBSSYSTEME

Ohne Beeinflussung von nicht vitalen Anwendungen werden die sicheren Anwendungen auf zwei getrennten, redundanten Steuerprozessoren ausgeführt. Integritätstests, die den sicheren Betrieb jedes sicheren Prozessors gewährleisten, werden durch das sichere Betriebssystem bereitgestellt.

Diese Architektur ermöglicht die Entwicklung von sicheren Anwendungen auf einer d-SC-Plattform in Kombination mit allen auf dem Markt relevanten sicheren Betriebssystemen. Die Standardversion wird mit QNX ausgeliefert. PikeOS, VxWorks oder Integrity sind ebenfalls möglich, müssen aber individuell für den Kunden entwickelt werden.

Zusammen mit QNX werden die d-SC CPU- und I/O-Komponenten mit vorzertifizierten SIL 4-Hardware/Software-Paketen geliefert, was die Markteinführung noch weiter beschleunigt. Der QNX "Neutrino" Mikrokernel bietet wichtige sicherheitsrelevante Funktionen wie Speicherschutz, Interprozesskommunikation oder deterministisches Zeitmanagement. Er schützt Benutzerprozesse voreinander, sodass einzelne Prozesse auch unterschiedliche SIL-Stufen haben können.

PACY I/O Framework

Pacy ist ein Prozessdaten-Anwendungsrahmen, der die d-SC-Hardware für die Anwendung transparent macht. Es übernimmt die Kommunikation zwischen der CPU zusammen mit der kundenspezifischen Anwendungssoftware und den sicheren I/O-Karten.

Als transparente Abstraktionsschicht kümmert sich PACY um die Ausführung der Anwendungsbefehle und bietet eine API für die Programmiersprache "C". Entwickler können die I/O über "C" Variablen steuern, unabhängig von der Art der I/Os, die gesteuert werden müssen.

Als modulbasiertes Framework bietet PACY offene Schnittstellen, die eine flexible Erweiterung durch individuelle, kundenspezifische Module ermöglichen.

Das in PACY integrierte FSoE-Protokoll (Fail Safe over EtherCAT) ist für die sichere Datenübertragung und den Schutz des so genannten Black Channels verantwortlich.

Eine SIL-4-Zertifizierung nach EN 50128 wird es auch für PACY geben, inklusive der entsprechenden Dokumente.

PACY wird mit einem Tool konfiguriert, um die I/O-Konfiguration und das Mapping der Anwendungsvariablen auf die I/O-Schnittstellen zu definieren. Es ist auch möglich, dieselbe Anwendung mit verschiedenen I/O-Konfigurationen auszuführen.

FUNKTIONEN DES SYNCHRONISATIONSDIENSTES

Die Funktionen des Synchronisationsdienstes sind Teil der zertifizierten Plattformsoftware und haben SIL 4 Qualität nach EN 50128. Die Funktion des Synchronisations- und Vergleichsdienstes stellt sicher, dass beide sicheren Prozessoren die gleichen Eingangsdaten verwenden und prüft, ob die berechneten Ausgangsdaten gleich sind. Zusätzlich kann die Anwendung diesen Dienst zur zeitlichen logischen Überwachung des Anwendungsprogramms nutzen, wie es die EN 50129 für SIL 3- oder 4-Anwendungen fordert.

Die folgende Abbildung zeigt eine repräsentative Sicherheitsanwendung, die Synch-Dienste verwendet, um die Ausführung der redundanten Architektur der beiden Steuerungsprozessoren zu synchronisieren.

FUNKTIONEN DES SYNCHRONISIERTEN KOMMUNIKATIONSDIENSTES

Externe Systeme, die mit den sicheren d-SC-Steuerungen über Ethernet mittels UDP oder TCP kommunizieren, sehen beide Prozessoren als "eine Instanz", aufgrund der Y-COM-Servicefunktionen von duagon. Eingehende Frames werden durch den Y-COM-Server, der auf dem nicht-vitalen Prozessor läuft, an beide sicheren Domänenprozessoren verteilt, während ausgehende Frames zwischen beiden sicheren Domänenprozessoren synchronisiert werden. Die Nutzlast ist gemischt, d. h. jede sichere CPU erzeugt einen Teil des ausgehenden Übertragungsrahmens, und der Y-COM-Server auf den nicht-vitalen Prozessoren sendet diesen Rahmen an das externe System.

LINUX-BETRIEBSSYSTEM

Während die sicheren Anwendungen auf zwei getrennten redundanten Steuerprozessoren ausgeführt werden, steuert ein dritter Prozessor alle nicht vitalen Anwendungen. Das Betriebssystem, das auf diesem dritten Prozessor läuft, kann sowohl Linux als auch ein anderes der bekannten Echtzeitbetriebssysteme sein. Da es sich bei d-SC um eine offene Standard-Hardware-Plattform handelt, wird idealerweise Linux als Betriebssystem verwendet, das vollständig auf Open-Source-Technologie basiert. Linux ist kostenlos und wird durch ein breites, von der Community getragenes Produktangebot unterstützt. Die Installation von Anwendungen ist einfach, ebenso wie das Ändern von Optionen, und es verfügt über Sicherheitsfunktionen.

KONTAKTIEREN SIE UNSER VERTRIEBSTEAM

Unser internationales Team von Ingenieuren und Verkaufsberatern ist für Sie da - egal, wo auf der Welt Sie sich befinden.

Kontaktieren Sie uns

Häufig gestellte Fragen

Ja. Dank seiner Modularität ist d-SC einfach zu installieren und kann nachträglich Sicherheits- und Automatisierungsfunktionen in jede Art von älteren Schienenfahrzeugen nachrüsten.

d-SC kann auch für eine sanfte Modernisierung und Automatisierung älterer elektronischer Stellwerkseinrichtungen verwendet werden und unterstützt die Installation von einfacheren, kleineren und standardisierten Innenanlagen.

Die modulare CompactPCI-Hardwarearchitektur ermöglicht die Erweiterung der MH50C-Steuerung mit weiteren Kommunikations- und Schnittstellenkarten, wobei auch Standard-PCI-Express-Mini-Karten und ähnliche moderne Geräte verwendet werden können:

Anbindung an bestehende TCN-Netzwerke über MVB- und WTB-Eisenbahn-Feldbus-Schnittstellenkarten
Anbindung an vorhandene Zuggeräte über CAN, ProfiNet und andere Feldbus-Schnittstellenkarten
Anbindung an Standard-Switches und Router über Ethernet
Anbindung an alle gängigen fahrzeuginternen und externen Kommunikationsschnittstellen über Wi-Fi, Funk, GPS, RS485 etc.

d-SC basiert ausschließlich auf offenen Industriestandards in den Bereichen Hardware, Software und Kommunikation, so dass der Endanwender herstellerunabhängig bleibt und vor Veralterungsproblemen geschützt ist:

Standard-PC-Hardware-Architektur mit modernstem x86-Host-Controller
Standard 19" CompactPCI Industriestandard
Standard-Betriebssysteme (QNX, Linux)
Standard-Ethernet-Kommunikation mit sicherem Echtzeit-EtherCAT
Standard-Kommunikationsschnittstellen zu TCN-Netzwerk, MVB, CANopen, ProfiNet etc.
Standard POSIX Programmierschnittstelle für "C"

d-SC trennt die Steuerungselektronik (die Rechnerhardware) von der Steuerungsfunktion (die Anwendungssoftware).

d-SC öffnet die wesentlichen Schnittstellen zwischen der Steuerelektronik und der Applikation.

Als völlig offene Plattform ist d-SC der erste Bahncomputer, der Bahndienstleister und Bahnbetreiber unabhängig von einem Lösungsanbieter macht und ihnen die volle Kontrolle über ihr Projekt gibt.

d-SC ist modular in Bezug auf die Hardware, basierend auf der bewährten 19" CompactPCI-Technologie:

Der MH50C-Controller kann mit der exakten Anzahl der benötigten sicheren I/O-Kanäle und nicht sicheren Funktionen auf der Basis von Standard CompactPCI-Karten konfiguriert werden.

d-SC ist modular in Bezug auf den I/O-Standort:

Bis zu 63 dezentrale I/O-Boxen (mit vier bis acht Karten pro Gerät) können an einen MH50C-Controller angeschlossen werden, was enorme Verdrahtungskosten spart und die Betriebsstabilität erhöht.

d-SC ist modular in Bezug auf die Software:

Bereit zur Integration aller modernen Echtzeit-Betriebssystem-BSPs, wobei QNX als Standard-Betriebssystem verwendet wird
Bereit, RTOS für sichere Funktionen mit Linux für nicht sichere Funktionen zu mischen und anzupassen
Bereit für die Kommunikation über die Echtzeitvariante des Standard-Ethernet EtherCAT
Bereit für die Programmierung auf der Basis verschiedener Standardumgebungen

d-SC ist im Hinblick auf die Zertifizierung modular aufgebaut:

Da die komplette d-SC Lösung "sichere" und "nicht sichere" Teile enthalten kann, werden verschiedene SIL 4 Zertifizierungspakete angeboten.
Alle Zertifikate sind entweder nur für die Hardware oder als Bundle zusammen mit den sicheren Komponenten des QNX Echtzeitbetriebssystems erhältlich.

d-SC ist die zentrale Computerplattform für fahrzeugseitige ATO- und ATP-Funktionen (Automated Train Operation and Protection).
d-SC kann das Herzstück eines CBTC-Systems (Communication Based Train Control) sein.
d-SC hat Schnittstellen zu allen bestehenden Zugkommunikationsstandards wie MVB, WTB, CAN usw.
d-SC hat Schnittstellen zur Außenwelt über drahtlose Kommunikation mit GSM-R, GPS, WLAN usw.

d-SC entspricht der Norm EN 50121-4 für EMV-Bestimmungen am Fahrweg, die die Emission und Störfestigkeit von Signal- und Telekommunikationsgeräten definiert.
d-SC ist die zentrale Rechnerplattform für elektronische Stellwerke in Signalsteuerungssystemen.
d-SC kann als Zentralrechner in ATO/ATP-Anwendungen eingesetzt werden, z. B. als Zonensteuerung, Bahnsteigtürsteuerung usw.
d-SC kann als Steuereinheit für alle Arten von streckenseitigen Anlagen wie Bahnübergänge, Signale, LEU usw. verwendet werden.
d-SC deckt einen Teil der Funktionen des europäischen ETCS ab, sowie z.B. CTCS, ATMS, PTC oder Klub-U.

d-SC besteht aus SIL 4 Hard- und Softwarekomponenten, die nach EN 50126, EN 50128 und EN 50129 vorzertifiziert sind, was zu einer erheblichen Zeit- und Kosteneinsparung für die Endanwendung führt.
Ein einziges F75P (sicheres CPU-Board) oder MH50C (sicherer d-SC-Controller) ist bereits eine 2oo2-Einheit gemäß EN 50129. 2oo2
Der MH50C ist ausfallsicher ausgelegt.
Er unterstützt die doppelte Ausführung von Software auf zwei redundanten Prozessoren.
Er unterstützt Cross-Checking zwischen zwei redundanten Prozessoren.
Die sichere Kommunikation mit den I/O basiert auf Sicherheitsprotokollen.

Das Echtzeit-Betriebssystem QNX ist international etabliert und bietet eine breite Palette von Entwicklungswerkzeugen.

Der sichere QNX Neutrino Mikrokernel unterstützt die Partitionierung der Anwendung. Partitionierung spart Kosten und Entwicklungszeit durch:

Trennung von sicheren und nicht sicheren Funktionen auf derselben Plattform
Kombination verschiedener SILs auf einer Plattform, z.B. SIL 2 für ATO und SIL 4 für ATP

Darüber hinaus ermöglicht die Mikrokernel-Struktur die Trennung von Anwendungsprozessen von Protokollstapeln und Treibern.

QNX unterstützt auch Message Passing, so dass die Anwendung Prozessorgrenzen überschreiten kann.

d-SC kann auch zusammen mit anderen sicheren Betriebssystemen verwendet werden:

d-SC ist vorbereitet für die Unterstützung von GreenHills Integrity, Sysgo PikeOS und Wind River VxWorks 7 Safety Profile.
Ein Demo-BSP für PikeOS ist von Sysgo erhältlich.
Integrity und VxWorks 7 Safety Profile werden auf Anfrage zur Verfügung gestellt.

Linux - aufgrund seiner Quelloffenheit ist es unabhängig von der Hardwareplattform, bietet eine riesige Auswahl an frei verfügbaren Entwicklungswerkzeugen sowie Peripherietreibern und wird weltweit eingesetzt.
Warum macht es überhaupt Sinn, die sicheren von den nicht sicheren Anwendungen zu trennen?
Die Kombination von zwei Betriebssystemen - QNX und Linux - auf einer Hardwareplattform - d-SC - beschränkt den Aufwand der Anwendungsprogrammierung auf die sicheren Teile. Das macht die Software-Entwicklung und die anschließende Zertifizierung einfacher und schneller, was zu deutlich geringeren Gesamtkosten führt.
Durch die Abstraktion der Peripherie kann die Anwendung auf das breite Angebot an peripherer Linux-Treiberunterstützung zurückgreifen

EtherCAT ist ein Echtzeit-Ethernet-Standard, der auf Open Ethernet basiert und die Voraussetzungen erfüllt, um die Kommunikation zwischen d-SC-Komponenten sicher zu machen:

EtherCAT ist deterministisch, mit Zykluszeiten von ≤ 5 ms.
EtherCAT ist in der Lage, ohne Switches zu arbeiten.
EtherCAT unterstützt eine Ringtopologie, die im Falle eines Kabelbruchs oder eines Stromausfalls an einem Remote-I/O die Kontinuität des Betriebs gewährleistet.
Die sichere Kommunikationsschicht von EtherCAT (FSoE) stellt einen Ende-zu-Ende-Schutz für die sichere I/O-Karte her.
Jedes Paket, das die sichere Domäne verlässt, wird in einem Umschlag gekapselt, der vom Empfänger des Pakets (der sicheren I/O-Karte) geprüft wird. Mit dieser Methode werden Fehler wie Paketverdopplung, Verlust, falsche Reihenfolge, Korruption, falsche Adressierung usw. abgedeckt.
FSoE deckt die Anforderungen der EN 50159 ab.

Ja - und: Die Verwendung eines offenen Systems wie d-SC bedeutet, dass sich das Obsoleszenzmanagement auf einzelne standardisierte Teile des Computersystems beschränken kann. Die Funktion des Zuges oder der Strecke selbst wird dadurch nicht beeinträchtigt und gefährdet.
duagon garantiert die Langzeitverfügbarkeit aller Teile des d-SC für einen Zeitraum von mindestens 10 Jahren, um die spezifischen Anforderungen von Bahnanwendungen bestmöglich zu erfüllen.
Für den Nachfolger des sicheren CPU-Boards wird duagon ein BSP mit identischen APIs zur Verfügung stellen, so dass der Quellcode der Anwendung unverändert bleiben kann.

ZERTIFIZIERTE FUNKTIONSSICHERHEIT

MODULARITÄT IN I/O-KONFIGURATION UND SOFTWARE

UNABHÄNGIGKEIT VON LIEFERANTEN

LANGJÄHRIGE VERFÜGBARKEIT

SCHIENENFAHRZEUGE

STRECKENSEITIG

Kontaktieren Sie uns

Kommunikationsbasierte Zugsteuerung

Die Anwendung

Die Elektronik

Software

Produkte:

Bahnübergangssteuerung

Die Anwendung

Die Elektronik

Software

Produkte:

Computerbasiertes Stellwerk

Die Anwendung

Die Elektronik

Software

Produkte:

Automatischer Zugbetrieb

Die Anwendung

Die Elektronik

Software

Produkte:

Kontaktieren Sie uns

D-SC CONTROLLER

Features

D-SC REMOTE I/O

Features

VITAL EMBEDDED SINGLE BOARD COMPUTER, 3 INTEL ATOM E6XX

Features

Features

Features

Features

Kontaktieren Sie uns

VORTEILE

Kontaktieren Sie uns

IST DAS DUAGON SAFE CONTROL (D-SC)-SYSTEM MIT BEREITS BESTEHENDEN SYSTEMEN KOMPATIBEL UND WIE KANN ES INTEGRIERT WERDEN?

Warum wird duagon SAFE CONTROL (d-SC) als offenes System bezeichnet?

Warum wird das duagon SAFE CONTROL (d-SC) als modulares System bezeichnet?

Welche Arten von Schienenfahrzeug-Anwendungen können mit duagon SAFE CONTROL (d-SC) abgedeckt werden?

Welche Arten von streckenseitigen Anwendungen können mit duagon SAFE CONTROL (d-SC) abgedeckt werden?

Welche Möglichkeiten der Sicherheitskonfiguration gibt es bei duagon SAFE CONTROL (d-SC)?

Warum QNX als sicheres Standard-Betriebssystem für duagon SAFE CONTROL (d-SC) wählen?

Welches Betriebssystem sollte für die nicht sicheren Teile der Anwendung verwendet werden?

Warum verwendet duagon SAFE CONTROL (d-SC) EtherCAT für die Kommunikation?

Ist die Lebensdauer von duagon SAFE CONTROL durch ein Life-Cycle-Management gewährleistet?

Kontaktieren Sie uns