Interoperabilitätim ETCS Betrieb - Sicherheitsaspekte und ...ifev.rz.tu-bs.de/RailAutomation/RA2007/pdf/01_Newi_ETCS_OR_handout_070510HN.pdf · Movares ETCS OR handout.ppt-System

Movares ETCS OR handout.ppt

Interoperabilität im ETCS Betrieb -Sicherheitsaspekte und Harmonisierung

Braunschweig, Rail Automation 2007

Dipl.-Ing. Holger Newi


Inhalt Vortrag Teil 1

EU Spezifikationen

EU StatusSituation in Europa

TSI Betrieb und AnhängeStand der TSI Betrieb

Erstellungsprozess

Sicherheitsanalysen

Safety Group

Basis der Betriebsregeln

Veränderung, Anwendung, AusblickZusammenfassung

Regeln Übersicht

Regeln Beispiele

Szenario Einfahrt

Fragen

2 Methoden Sicherheitsanalyse

2 Beispiele Sicherheitsanalyse

Anwendung Betriebsregeln


Situation in Europa

seit 28. März 2006 (2006/679/EC)

TSI Signaltechnik für das Konventionelle Netz

seit 11. August 2006

(2006/920/EC)

TSI Verkehrsbetrieb und Verkehrssteuerung

gültig als Teil der TSI für das konventionelle Netz

seit 7. November 2006 (2006/860/EC)

TSI ERTMS für das Hochgeschwindigkeitsnetz

mit modifizierten Annex A (list of mandatory specifications)

seit 2002TSI ERTMS für das Hochgeschwindigkeitsnetz

seit 6. März 2007 (2007/153/EC)

Ein neuerer Annex A beider TSI

Diese Veränderung beinhaltet subset 108 (Liste von

Korrekturen zur Systemspezifikation ETCS SRS 2.3.0) und

das ETCS marker board

Technische Spezifikationen für ERTMS


Situation in Europa

Die European Railway Agency (ERA) beginnt die nationalen Betriebsvorschriften zu

untersuchen.

Die TSI Verkehrsbetrieb und Verkehrssteuerung und die dahinter steckenden

Analysen sind weitgehend unbekannt.

Benannte Stellen geben Konformitätserklärungen zu den Teilsystemen ab (Constituents).

Grenzüberschreitungen werden anhand den technischen und betrieblichen

Rahmenbedingungen spezifisch festgelegt.

Es gelten die nationalen Betriebsvorschriften.

Die nationalen Betriebsvorschriften werden entsprechend den Gegebenheiten erweitert.

Die verschiedenen Projekte mit ERTMS/ETCS definieren ihren Betrieb spezifisch.

EU Status


Anlage …

TSI …

Anlage B

Andere Vorschriften

Stand der TSI


TSI Betrieb

Anlage A

Betriebsvorschriften

RL 96/48

Europäisches

Hochgeschw. Netz

RL 2001/16

Konventionelles

Europäisches Netz


Stand der TSI

Offene ERTMS/GSM-R Betriebsvorschriften

Entwurf von 26 ERTMS/ETCS Betriebsregeln


Anlage A



Anlage A

Stand der TSI



Anlage B

Stand der TSI


Stand der TSI

Bremsleistung (offen)

Fahrzeug und Zug Kennzeichnung

Qualifikation

Prüfpunkte für ein SMS (informativ)

Informationen für ein EVU

Leitlinien zur Inbetriebnahme

Sprachkommunikation


Weitere Anlage C..T


- System Anforderungsspezifikation

- Funktionale Analyse (Betriebsszenarios)

- MMI Spezifikation (Fahrerstand)

- Human Factor Analysis

- Sicherheitsanalyse

- Testberichte von Zugbetriebsfahrten (Simulator oder Strecke)

Die Funktionale Analyse beinhaltete

Situationen, die während einer Zugfahrt

auftreten. Störungen durch Fehler sind dabei

einbezogen. Die Betriebsvorschriften werden

entwickelt unter Einbezug der Personen (Tf

und Fdl).


Spezifikationen (hier ETCS) Funktionale Analyse

Entwurf der

BetriebsvorschriftenHuman Factors

Sicherheitsanalyse

Tests

Betriebsvorschriften,

Anwenderhinweise

Erstellungsprozess



Sicherheitsanalyse

Die Sicherheitsanalyse liefert Empfehlungen zu Änderungen in:

a) Der Betriebsvorschrift

b) Der Spezifikation

Dabei werden offene Punkte geschlossen wie:

- Inkonsistenz:

- Spezifikationslücken,

- Widerspruch und Unvollständigkeit,

- menschliche Faktoren,

- notwendige Validation.

Die Erstellung der Betriebsregeln ist verbunden mit Sicherheitsanalysen



System und BetriebskenntnisseNotwendig

Breite AkzeptanzZiel

Identifizierung der Mindestanforderung

(WSA)

(RFI)

(Certifer)

(RAILCERT)

Personen

Safety Group EEIG für TSI Betrieb



ERTMS-ZUGKATEGORIEN

TRAIN AWAKENING AUF EINEM AWAKENING-GLEIS

RANGIERFAHRTEN IN SH DURCHFÜHREN

ABFAHRT DES ZUGS

ALLGEMEINE GRUNDSÄTZE FÜR LEVEL 1

VERHALTEN BEI STÖRUNGEN AN DER FAHRZEUGAUSRÜSTUNG

ZUG ZUR TANDEMFAHRT VORBEREITEN

(UNTERSTÜTZUNG)

ÜBERFAHREN EINES ÜBERGANGSPUNKTS BEI GESTÖRTEM BETRIEB von Level 1 auf Level 2 und von Level 2 auf Level 1

GENEHMIGUNG ZUM ÜBERFAHREN EINES EOA

IN NOTSITUATIONEN ZU TREFFENDE MASSNAHMEN

MASSNAHMEN BEI EINEM TRAIN TRIP

EINFAHRT AUF EIN BESETZTES GLEIS IN EINEM

BAHNHOF

ERTMS - Schriftliche Befehle Nummer 01 bis 06

VORBEREITUNG EINES ZUGS FÜR EINE TANDEMFAHRT

ZUGKONFIGURATION FÜR TANDEMFAHRT BEENDEN

DATENEINGABE

REAKTION DES TRIEBFAHRZEUGFÜHRERS JE NACH DMI / SIGNALISIERUNGSSYSTEM

FAHREN AUF SICHT

TRAIN AWAKENING AUSSERHALB EINER AWAKENING-SPUR

EINEN ZUG NACH DER UNTERSTÜTZUNG BEENDEN

VERHALTEN BEI UNGEPLANTEN ZEITWEILIGEN

GESCHWINDIGKEITSBEGRENZUNGEN

VERHALTEN BEI FEHLENDER FUNKVERBINDUNG

WIDERRUF EINER GENEHMIGUNG ZUR ZUGFAHRT

VERHALTEN BEI UNGEEIGNETER FAHRSTRASSE

NOTFAHRT

ERTMS-Textmeldungen


Anwendung der TSI Betrieb


Anwendung der TSI Betrieb



Fragen

Projektleiter fragt:

Welche Betriebsregeln sind notwendig für den Betrieb einer bestimmten Strecke, damit der Betrieb national sicherheitskonform und konform zu den nationalen Betriebsregeln ist?

Europa fragt:

Welche Betriebsregeln müssen mindestens beachtet werden, damit der Betrieb europaweit

sicherheitskonform und interoperabel ist?



Antwort: Sicherheitsanalyse Betrieb

Die Methoden einer Sicherheitsanalyse für den Betrieb sollen vorsichtig gewählt werden, um

in reeller Zeit brauchbare Ergebnisse zu bekommen.

Der Betrieb jedoch ist beeinflusst von Faktoren wie:

- Menschliches Versagen (Human factors),

- Existierende Betriebsvorschriften

- Fehlerentdeckung

-Verhaltensmuster während des Betriebs

Diese Normen gelten für „Bahnanwendungen“ und beinhalten Methoden und Prozesse für

Sicherheitsanalysen.

CENELEC EN50126/28/29 wird weitgehend für die Zulassung von Bahnsystemen angewendet.



Zwei Methoden zur Sicherheitsanalyse: 1. „Fragiler Punkt“

NeinJa

Ausführung der Regel fehlerhaft ?

Regel fehlerhaft ?

Unerwartetes Ereignis?

Schutzmechanismen ausreichend?

Personelle Reaktion ausreichend?

Schwere der Auswirkung: Fragiler Punkt

NeinJa

Ja

Nein

Nein

Schlussfolgerung zur Gefahrenvermeidung



Zwei Methoden zur Sicherheitsanalyse: 2. „offener Punkt“

- Schlussfolgerung zur Gefahrenvermeidung

- Analyse der Betriebssituation und Gefahren

- Identifikation der Frage und des Hintergrunds

Sicherheitsanalyse

- Offener Punkt

- Kommentare zu Regeln

- Regel

Fragestellung offener Punkt


Anwendung der Betriebsregeln

Sicherheitsanalysen – 2 Beispiele

OP 9 – Entry in full supervision coming from Level 0 area.

OP 10 – Knowledge by the driver of the EOA and the temporary speed

restrictions when running in OS mode

OP 12 – Change of the maximal speed for SR mode by the driver

OP25 – Need of WD 00222

FP1 – Obeying signals in OS mode

FP2 – Permission to move in SR level 1 FP3 – Confusion of SR and OS

speeds FP4 – Non-stopping control FP5 – Written orders

WD 00222 - React in

function of DMI/

Signalling System, Level

0,1,2

OP1 – Departure with a written order in Level 2 in normal situation

OP2 – Departure in SR mode in Level 2 in normal situation

OP3 - USE OF “TRACK AHEAD FREE”

OP4, 5, 6: Open Point dealing with data entry

FP1 - Non Detection of faults in awakening process

FP2 - Is the “awakening track” specified?

FP3 - Faulty selection of Levels

WD 00055 - Awakening on

an awakening track, level 0,

1, STM

WD 10138 - Awakening

outside an awakening track,

Level 0, 1, 2, STM

FP1 – Similarity of forms FP2 – Train locationWD 00011 – Documents

OP26 - INCLUSION OF TEXT MESSAGES IN THE RULESWD TEXT MESSAGES



Rule WD 10138 und 00055: Zugaufrüstung, Fragiler Punkt 1

Der Triebfahrzeugführer nimmt an, dass die Daten

vom System technisch validiert werden.

Fehler bei Anwendung der

Regel

Die Regel beinhaltet nicht die notwendige Validation

der Daten.

Fehler in der Regel

Ein Fehler während der Zugausrüstung mag technisch

nicht entdeckt werden und somit auch nicht vom

Triebfahrzeugführer. Zum Beispiel kann eine

fehlerhafte Fahreridentifikationsnummer (Driver ID)

zu einer ungültigen Fahrerlaubnis führen.

Unerwartetes Ereignis

keineSchutzmechanismen technisch

möglich, aber Fehlerentdeckung unwahrscheinlichSchutzmechanismen personell

Es wird geraten, dass die Regel präzise die

notwendigen Validationsschritte bei Dateneingabe

definiert, welche aufgrund der technischen

Spezifikation des Systems durchzuführen sind.

Schlussfolgerung

Zugkollision möglichSchwere der Auswirkungen



Rule WD 00222: Anzeige der EOA, Offener Punkt

Ist bei Annäherung der EOA eine eindeutige Identifikation der Distanz zur EOA notwendig,

damit keine Zwangsbremsung eintritt?

Es ist für ERTMS/ETCS keine Anzeige des Fahrerstands (DMI) im Betriebsmodus „Fahren auf Sicht“ (OS Mode) spezifiziert.

Das System überwacht das Ende der Fahrerlaubnis (End of Authority, EOA) bei Fahrten auf Sicht (OS Mode).

Fragestellung zum offenen Punkt


Zusammenfassung

Die TSI Betriebsregeln sind der “kleinste gemeinsame Nenner” in Europa.

Heute erwarten wir keine wesentliche Veränderung des Umfangs der Regeln.

Die TSI Betriebsregeln sind nicht vollständig. Sicherheitsanalysen sind

notwendig für jedes Anwendungsprojekt für ETCS.

Die TSI Betriebsregeln sind Fragmente, die bei der Erstellung der

Betriebsvorschriften für ETCS berücksichtigt werden müssen.

Die TSI Betriebsregeln können für ETCS Anwendungen verwendet werden,

sie sind validiert und abgestimmt für Europa.

Anwendung

Veränderungen der Systemspezifikation TSI haben Einfluss auf

Betriebsregeln. Es ist wahrscheinlich, dass die TSI Betriebsregeln sich noch

verändern.

Veränderung


Zusammenfassung

Es wird sich in Zukunft zeigen, ob weiter TSI Betriebsregeln für die

Interoperabilität notwendig werden.

Ausblick

Das Zusammenwirken der TSI Betriebsregeln in sequenziellen

Betriebsabläufen ist abhängig von den jeweiligen Betriebsvorschriften einer

Strecke. Es ist deshalb möglich, dass die Vorraussetzungen zur Anwendung

der TSI Betriebsregeln landesspezifisch oder sogar projektabhängig

unterschiedlich sind.

Ausblick


Vielen Dank für Ihre Aufmerksamkeit !

Movares Deutschland GmbHRichard-Wagner-Straße 138106 Braunschweigwww.movares.de E-Mail: [email protected]: +49 531 3802 374