Hard- und Software für HMIs
Gesicherte Ein- und Ausgabe
Fortsetzung des Artikels von Teil 1
Hardwarekomponenten für sichere HMIs
Die Anforderungen an Größe der Anzeige, Komplexität der Anwendung, Verfügbarkeit und Sicherheit bestimmen die Auswahl der am besten geeigneten Bausteine. Für höchste Anforderungen an Sicherheit und Verfügbarkeit können die Systeme als Dual Display konfiguriert werden. In diesem Fall wird im Standardbetrieb die Information über beide Anzeigen verteilt dargestellt; bei Ausfall eines der Displaysysteme schaltet das noch funktionsfähige andere System in einen Degraded Mode, der die essenziellen Informationen zur Verfügung stellt.
Jobangebote+ passend zum Thema
In dieser Konfiguration besteht jedes Teilsystem aus Anzeigeeinheit, Controller sowie Safety-Controller (Bild 2). Auf diese Weise kann SIL2 nach EN 50128 auch bei Ausfall eines Teilsystems noch sicher erfüllt werden. Im Rahmen eines integrierten Führerstandskonzepts können so auch mehr als zwei Anzeigesysteme kombiniert werden. Typische Anwendungen für SIL2-Dual-Display-Konfigurationen sind ETCS-DMI (Bild 3).
Falls eine sichere Eingabe und Ausgabe benötigt wird, aber geringere Anforderungen an die Verfügbarkeit gestellt werden, kann auf eine Single-Display-SIL2-Konfiguration zurückgegriffen werden. Für Anwendungen ohne Sicherheitsnachweis können Konfigurationen ohne Safety-Controller eingesetzt werden.
Für höchste Anforderungen an die Leistungsfähigkeit bietet sich eine Plattform auf Basis des Ryzen 1404 von AMD mit Vega-GPU an. Auf dieser Basis können komplette, leistungshungrige Anwendungen oder Systeme mit mehreren Container-basierten Applikationen direkt im Displaysystem realisiert werden.
Die Displaysysteme sind jeweils mit kapazitiver Touchscreen-Technik ausgestattet und erfüllen höchste Anforderungen an Helligkeit, Kontrast und Ablesewinkel. Der Safety-Controller ist bis SIL3 nach EN 50128 zertifiziert. Er baut auf dem ARM7-basierten Mikrocontroller Hercules von Texas Instruments und einem FPGA auf. Das hauseigene Echtzeit-Betriebssystem AnzenOS von Bachleitner Technology ist ebenfalls bis SIL3 zertifiziert. Der Safety-Controller arbeitet im Lockstep-Modus und verfügt über umfangreiche Selbsttest- und Überwachungsfunktionen.
Softwarekomponenten für zwei Echtzeit-Betriebssysteme
Das System setzt auf zwei Betriebssystemen auf, einem Echtzeit-Linux für die i.MX6- und AMD-Ryzen-basierten Controller sowie dem hauseigenen Echtzeit-Betriebs-system AnzenOS von Bachleitner Technology.
AnzenOS ist ein Betriebssystem mit minimalem Footprint und harten Echtzeit-fähigkeiten. Es ist nach EN 50128 bis SIL3 vom TÜV Nord zertifiziert und wird in verschiedenen Anwendungen erfolgreich eingesetzt, u.a. in ETCS-DMI. Neben dem ARM-Cortex-R werden auch die Aurix-Mikrocontroller von Infineon unterstützt. Durch die POSIX- Konformität ist ein hohes Maß an Portabilität der Softwareapplikationen gewährleistet.
Neben einem sicheren Betriebssystem wird vor allem ein sicherer Grafik-Stack benötigt. Als Standard hat sich hier OpenGL SC durchgesetzt. Der Markt für Grafikbibliotheken mit Certification-Kit bzw. zertifizierten Grafik-Stacks ist sehr beschränkt. Alle verfügbaren Stacks stammen aus der Luftfahrt und sind entsprechend teuer und damit für den Einsatz im Bahnbereich unwirtschaftlich. Daher wurde eine eigene Grafikbibliothek entwickelt, die OpenGL-SC-kompatibel ist. Da der Aufwand für Test und Verifikation auf SIL2-Anwendungen abgestimmt ist, entsteht ein erheblicher Kostenvorteil gegenüber den Bibliotheken, die auf den Standards aus der Luftfahrt aufbauen.
Ein weiteres wichtiges Element ist – bei redundanten Konfigurationen mit zwei Displays – das Reconfiguration Management. Hierzu wurde ein Framework geschaffen, das es erlaubt, auf den redundanten Knoten jeweils die identische Software zu nutzen.
Im nominalen Modus, wenn alle Subsysteme korrekt funktionieren, entscheidet jedes Display selbst, welchen Bildausschnitt es darstellt. Dafür kennt jede Einheit ihre Position, z.B. linker Bildschirm. Falls eine Displayeinheit ausfällt, geht das andere System in den Degraded Mode über, mit dem dafür definierten Funktionsumfang.
System- und Softwareentwicklungsprozess
Bei Elektronik- und Softwaresystemen für Steuerungs- und Überwachungssysteme im Bahnbereich sind die Standards EN 50126, EN 50129 und EN 50128 zu beachten. Diese Normen beschreiben Anforderungen an den Spezifikationsprozess, die Sicherheitsanalyse und den Entwicklungs- und Testprozess sowie an die eingesetzten Methoden und Werkzeuge.
Für die schnelle Entwicklung von sicheren, komplexen Anwendungen mit graphischer Bedienoberfläche bietet sich der Einsatz von ANSYS SCADE Display und ANSYS SCADE Suite an. Diese Werkzeuge ermöglichen einen modellbasierten Entwicklungsprozess. Mithilfe der nach EN 50128 bis SIL3/4 zertifizierten Tools SCADE Test, SCADE Test Model Coverage und den Codegeneratoren SCADE KCG und SCADE Display KCG lassen sich sichere Anwendungen mit bis zu 50 % Ersparnis an Zeit und Kosten entwickeln. Die sichere OpenGL-SC-Bibliothek aus dem modularen Stack ist optimal auf SCADE Display abgestimmt.
Auf Wunsch sind auch Bibliotheken an bewährten Widgets erhältlich, die den Weg zum eigenen ETCS-DMI oder zum TCMS-HMI (Train Control & Management System – Human Machine Interface) erheblich beschleunigen.
Ein vollständiges Angebot an Consulting und entwicklungsbegleitenden Dienstleistungen unterstützt den Anwender bei der Entwicklung, sodass auch für Hersteller ohne Erfahrung mit Sicherheitsanwendungen und -Systemen ein verlässlicher Einstieg gewährleistet ist.
| ETCS |
|---|
|
Das europäische Zugbeeinflussungssystem (ETCS, European Train Control System) ist ein grundlegender Bestandteil des zukünftigen einheitlichen europäischen Eisenbahnverkehrsleitsystems ERTMS (European Rail Traffic Management System). ETCS soll langfristig die über 20 verschiedenen Zugbeeinflussungssysteme in Europa ablösen. ETCS kann in verschiedenen Leveln implementiert werden. Auf reinen ETCS-Strecken – in Deutschland bislang nur die Schnellfahrstrecke VDE8 zwischen Bamberg und Erfurt – entfallen die Streckensignale. Der Triebfahrzeugführer erhält die Information zu Streckenfreigabe und erlaubter Höchstgeschwindigkeit über das ETCS-DMI dargestellt. Obwohl das ETCS-Onboard-System den Zug automatisch anhält, sind dennoch einige sicherheitsrelevante Überwachungs- und Eingabeaufgaben noch in der Verantwortung des Triebfahrzeugführers. Daher muss dieses Displaysystem zertifiziert werden und in der Regel den Safety Integrity Level 2 erfüllen. |
Literatur
[1] DIN EN 50155:2018-05. Bahnanwendungen – Elektronische Einrichtungen auf Schienenfahrzeugen; Deutsche Fassung EN 50155:2017, Beuth Verlag, Mai 2018.
[2] DIN EN 50128:2012-03. Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Software für Eisenbahnsteuerungs- und Überwachungssysteme; Deutsche Fassung EN 50128:2011, Beuth Verlag, März 2012.
[3] DIN EN 50126-1:2018-10. Bahnanwendungen – Spezifikation und Nachweis von Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit (RAMS) – Teil 1: Generischer RAMS-Prozess; Deutsche Fassung EN 50126-1:2017, Beuth Verlag, Oktober 2018.
[4] DIN EN 50129:2019-06. Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Sicherheitsbezogene elektronische Systeme für Signaltechnik; Deutsche Fassung EN 50129:2018 + AC:2019, Beuth Verlag, Juni 2019.
[5] Rail, ETCS Levels and Modes. Europäische Kommission, Generaldirektion Mobilität und Verkehr, Website, https://ec.europa.eu/transport/modes/rail/ertms/etcs-levels-and-modes_en.
Der Autor
Jakob Gärtner
beschäftigt sich seit mehr als 20 Jahren mit Aspekten der Entwicklung von sicheren Systemen und Software. Bei Railergy kümmert er sich insbesondere um Fragen der Weiterentwicklung von ETCS (European Train Control System) und ATO (Automatic Train Operation) sowie die Entwicklung neuer Architekturen für Onboard-Systeme.
j.gaertner@railergy.com
- Gesicherte Ein- und Ausgabe
- Hardwarekomponenten für sichere HMIs
Lesen Sie mehr zum Thema
