Embed Size (px)
Citation preview
© Siemens AG 2015 siemens.com/mobility
Entwicklung von Bahnautomatisierungssystemen: Eine Herausforderung für die Softwareentwicklung
Mobility Management
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 2 Mobility Division / Mobility Management
Inhalt
Vorstellung Mobility Management
Das sicherheitsrelevante System Bahn
Herausforderungen
• Aus der Vergangenheit
• In der Zukunft
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 3 Mobility Division / Mobility Management
Siemens Mobility Management Zahlen und Fakten
Austin
Pittsburgh
New York Novato Louisville Marion Jacksonville
London
Poole Chippenham
Caracas
São Paolo Midrand
Singapur
Mumbai
Dubai
Peking X'ian
Rouiba Madrid
Wallisellen
Ankara
Vienna
Zilina
Lissabon
Châtillon
Augsburg Berlin Braunschweig
Erlangen Hamburg München
Brisbane Melbourne Mitarbeiter: 12.200
Stammhaus: Berlin Stammhaus Segment-Stammhaus Standort
Brünn
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 4 Mobility Division / Mobility Management
Portfolio-Überblick Bahnautomatisierung
Mainline Mass Transit Freight & Products
Leit- und Sicherungstechnik sowie Steuerungs- und Überwachungs-systeme zur Gewährleistung eines sicheren und effizienten Fernverkehrs
Zugbeeinflussungs- und Signal-systeme zur Überwachung aller Zugfahrten für einen effizienten und wirtschaftlichen Nahverkehr
Lösungen für die besonderen Anforderungen von Rangier-bahnhöfen und den Industrie-, Minen- und Güterverkehr für eine Lieferung “just-in-time”
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 5 Mobility Division / Mobility Management
Schranken-antrieb
Bahnübergangs-sicherungsanlage
Zugfunk (GSM-R)
Funkanrückmelder
ETCS-Fahrzeuggerät
Eurobalise
Betriebsleitzentrale
Gleisstrom-kreis
Euroloop
Elektronisches Stellwerk
Kompaktsignal
ETCS- Signal
Funkstreckenzentrale (RBC)
Lineside Electronic Unit (LEU)
Achszähler
Bahnautomatisierung Mainline
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 6 Mobility Division / Mobility Management
Herausforderung: Sehr lange Produktlebenszyklen
Bestandsaufnahme Stellwerkstechnik in Deutschland: • Etwa 1.000 mechanische Stellwerke
• Mehrere hundert elektromechanische Stellwerke
• Etwa 40% Alttechnik von vor dem zweiten Weltkrieg
• Relaisstellwerke verschiedener Bauformen von 1950 bis Ende 1980er
• Elektronische Stellwerke (computergesteuert) seit Ende 1980er
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 7 Mobility Division / Mobility Management
Herausforderung: Sehr lange Produktlebenszyklen
Von moderner Zugbeeinflussung… ! Eurobalisen ! Übertragung Signalbegriff auf
den Zug ! Übertragung von Datenpaketen
(mehrere Bytes) ! Übertragung von Fahrprofilen ! Verbesserte Ortung
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 8 Mobility Division / Mobility Management
Herausforderung: Sehr lange Produktlebenszyklen
… zu historischen Varianten ! Indusi (links)
! ab 1930 ! Induktive Übertragung
! Krokodil (rechts) ! ab 1920 ! Übertragung +/- 20V
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 9 Mobility Division / Mobility Management
Herausforderung: Funktionale Sicherheit
Sicherheit (EN 50126): • Freiheit von nicht akzeptablen Risiken
Risiko (EN 50126):
• Die Wahrscheinlichkeit des Auftretens einer Gefahr, die einen Schaden verursacht, sowie der Schweregrad eines Schadens
Vereinfacht:
Risiko = Schadensausmaß * Schadenshäufigkeit
Risiko- und Gefährdungsanalyse
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 10 Mobility Division / Mobility Management
Risikoklassifikation und Safety Integrity Level Gefährdungsrate (pro Funktion pro Stunde)
Risikoklassifikation
häufig 10-4-10-5 unzulässig unzulässig unzulässig unzulässig
wahrscheinlich 10-5-10-6 unzulässig unzulässig unzulässig Grenzrisiko
gelegentlich 10-6-10-7 unzulässig unzulässig Grenzrisiko zulässig
kaum vorstellbar 10-7-10-8 unzulässig Grenzrisiko zulässig zulässig
unwahrscheinlich 10-8-10-9 Grenzrisiko zulässig zulässig zulässig
unglaublich 10-9-10-10 zulässig zulässig zulässig zulässig
katastrophal
kritisch
marginal
unbedeutend
Schadensausmaß
SAFETY INTEGRITY
LEVEL Tolerable Hazard Rate
THR per hour and per function
4 10-9<THR < 10-8 3 10-8 < THR < 10-7 2 10-7 < THR < 10-6 1 10-6 < THR < 10-5
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 11 Mobility Division / Mobility Management
Welche Fehler führen zu Gefährdungen?
Klassifikation von Fehlern: • Physische (zufällige) Fehler
• Hardwarefehler als Folge von Alterung
• Verschleiß • ausgefallene Transistoren Ursache: Physik
• Systematische Fehler • mangelhafter Entwurf • Programmierfehler • fehlerhafte Dimensionierung der
Hardware Ursache: Mensch
Quantifizierbar („Ausfallraten“)
Versagen der Signal-
technik
ODER
systemati-sche Fehler
Ausfälle u. Störungen
Nicht quantifizierbar, daher qualitative Stufung (SILs)
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 12 Mobility Division / Mobility Management
Beherrschung von physischen Fehlern - Mehrkanaligkeit
Kanal 1
Eingabe Ausgabe
Kanal 3
Kanal 2 Voter
Definition: 2-out-of-3 (2oo3 oder 2v3)
1. 2 der 3 Kanäle müssen funktionstüchtig sein und dasselbe Ergebnis errechnen
2. Das Ergebnis der 2 gleichen Kanäle wird zur Weiterverarbeitung verwendet
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 13 Mobility Division / Mobility Management
Beherrschung von systematischen Fehlern in der Software – EN 50128
Ergebnisse
Phase
Ver Val
Quelle: EN 50128
! Verfahren und technische Anforderungen für die Entwicklung von programmierbaren elektronischen Systemen
! gesamter Bereich der Sicherheitsanwendungen
! Gilt für jegliche sicherheitsrelevante Software, die in Eisenbahnsteuerungs- und -überwachungssystemen verwendet wird, einschließlich:
• Anwendungsprogrammierung;
• Betriebssysteme;
• unterstützende Werkzeuge;
• Firmware.
! gilt auch für Änderungen und Erweiterungen an bestehender Software
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 14 Mobility Division / Mobility Management
EN 50128 – Rollen und Unabhängigkeiten
Anerkannter Fachbetrieb: Der Gutachter kann auch der entwickelnden Firma unterstellt sein, wenn eine ausreichende Unabhängigkeit zur entwickelnden Abteilung gewährleistet ist Voraussetzung:
Anerkennung durch Zulassungsbehörde wie z.B. EBA
Quelle: EN 50128
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 15 Mobility Division / Mobility Management
EN 50128 – Aufgaben und Rollen
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 16 Mobility Division / Mobility Management
Testende-Kriterien
Testende-Kriterien ! Code-Abdeckung EN 50128, DO-178 C
• Anweisungsüberdeckung • Pfadüberdeckung • Modified Condition/Decision Coverage (MC/DC)
! Funktionsüberdeckung
! Requirementsüberdeckung
! Schnittstellenüberdeckung
Test
Applikation
Herausforderung des Testens:
! Der Testling besitzt einen großen internen Zustandsraum (vielleicht 21000 interne Zustände)
! Testfälle sind separat zu erstellen ! 215 manuell erstellte Testfälle sind schon sehr viel,
aber bestimmt nicht erschöpfend
Eddington number N_edd = 136×2256
= 1.57×1079
Zum Vergleich: • Anzahl Elektronen im
sichtbaren Universum
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 17 Mobility Division / Mobility Management
EN 50128 - Zusammenfassung
❍ Vorgaben für den Entwicklungsprozess
❍ Festlegung von Maßnahmen und Tools
❍ Anforderungen an Dokumente
❍ Unabhängige Stellen
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 18 Mobility Division / Mobility Management
Herausforderung: Immer komplexere Systeme
Heute Morgen
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 19 Mobility Division / Mobility Management
InnoTrans-Studie – Stellwerk in der Cloud
• Integration von Stellwerkstechnik und Betriebsleittechnik
• Flexibilisierung: Verlagerung der Funktion z. B. von München nach Berlin
• Integration weiterer Dienste wie z. B. Diagnose und weiterer Subsysteme
• IT-Security
© Siemens AG 2015
GI-Vortrag 2015-10-01 Page 20 Mobility Division / Mobility Management
Dr. Ralf Pinger MO MM R&D PPD PI
Siemens AG Mobility Division Mobility Management Research & Development Portfolio, Processes. & Documentation Portfolio & Innovation Management
Ackerstraße 22 38126 Braunschweig Deutschland
E-Mail: [email protected]
Kontakt
