ControlSafe™ CSC/CSP

ControlSafe Plattform Ausfallsicheres COTS-System mit SIL4-Zulassung für Zugsteuerung und Signalgebung

Ausfallsicheres COTS-System mit SIL4-Zulassung für Zugsteuerung und Signalgebung. Die ControlSafe Carbone-Plattform von SMART Embedded Computing ist eine modulare, skalierbare Lösung mit höchstmöglicher Verfügbarkeit von 99,9999%. Die gesamte sicherheitsrelevante Software der ControlSafe Plattform (CSP) sowie die Hardware erfüllen SIL4 (Zertifizierung nach EN50128 bzw. EN50129), alle RAMS-Prozesse (Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit) sind nach EN50126 zertifiziert. Somit eignet sich ControlSafe für Sicherheitsanwendungen des Bahnsektors und dient dort dem Investitionsschutz.

Die ControlSafe Plattform von SMART Embedded Computing besteht aus zwei redundanten und jeweils ausfallsicheren ControlSafe-Computern (CSC). Die beiden Rechner sind über eine Safety Relay Box miteinander verbunden Diese realisiert ein ausfallsicheres Rechnersystem, indem sie den Zustand der beiden CSC überwacht, einem von beiden den Zustand "Aktiv" und dem anderen den Zustand "Standby" zuweist und die Failover-Funktion zwischen den beiden CSC steuert. Der aktive CSC steuert die E/A-Module über eine Kundenanwendung, während auf dem Standby-CSC dieselbe Anwendung läuft aber ohne Ausgabemöglichkeit.

Die beiden CSC haben identische CPU-Boards, die im Lockstep-Modus arbeiten und einen 2oo2-Voting-Mechanismus realisieren. Das bewährte Betriebssystem VxWorks 653 von Wind River bietet sichere Partitionen für Kundenanwendungen.

Im Falle einer Diskrepanz zwischen den beiden CPUs meldet sicher der aktive CSC bei der SRB als nicht intakt, worauf diese den Standby-CSC aktiviert. Der fehlerhafte CSC wird außer Betrieb genommen und ist nach Reparatur wieder einsatzfähig. Diese Art der Sicherheitsarchitektur sorgt dafür, dass keine inkorrekten Signale an externe Komponenten ausgegeben werden.

Die ControlSafe-Plattform wurde im Hinblick auf höchstmögliche Systemverfügbarkeit von 99,9999% entwickelt, d.h. eine Systemausfallzeit von maximal einigen Sekunden im Jahr.

Für die Programmabläufe ist ein moderner Freescale-QorIQ Prozessor zuständig, der sich neben der erforderlichen Leistungsfähigkeit durch reduzierte Stromaufnahme auszeichnet und die für Bahnanwendungen erforderliche lange Lebensdauer bietet.

Die Lockstep-Architektur der ControlSafe Plattform, die moderne Hochleistungsprozessoren unterstützt, ermöglicht die zukünftige Prozessoraktualisierung unter Beibehaltung der E/A-Module.

Die Implementierung der 2oo2-voting Funktionen in Hardware ermöglicht Anwendungsentwicklern die Migration vorhandener Anwendungssoftware mit minimalen Modifikationen. Eine umfangreiche Ausstattung mit gut dokumentierten Application Programming Interfaces (API), die Zugriff auf die Systemparameter und Managementfunktionen bieten, erleichtert Anwendungsentwicklern und Systemintegratoren die Überwachung und Steuerung des Systems.

Die ControlSafe Plattform schließt E/A-Module mit Schnittstellen zu diversen Kommunikationsprotokollen ein, u.a. CAN, Ethernet, Ethernet Ring, MVB, GPS/Wireless, UART, digital und analog. Alle E/A-Module haben eine einheitliche Architektur mit demselben Freescale-CPU-Core und demselben Betriebssystem (Wind River Vx Works 653). Hierdurch reduziert sich der Komplexitätsgrad der Softwareentwicklungsumgebung. Alle E/A-Module kommunizieren über Ethernet, was eine nahtlose dezentrale Architektur ermöglicht, bei der zusätzliche Erweiterungen in der Peripherie eingebunden werden können. Alle Module ermöglichen die Online-Aktualisierung von