ETCS Wie weist man die Einhaltung eines Standards nach? Verkehrskolloquium 10.01.2013 Michael Meyer zu Hörste, DLR Institut für Verkehrssystemtechnik

www.dlr.de Folie 1 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 ETCS Wie weist man die Einhaltung eines Standards nach? Verkehrskolloquium 10.01.2013 Michael Meyer zu Hörste, DLR Institut für Verkehrssystemtechnik

www.dlr.de Folie 2 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Gliederung - ETCS: Die Idee eines Standards - Was muss nachgewiesen werden? - Wie erfolgt der Nachweis? - Sicherheit - Konformität vs. Interoperabilität - Was kommt?

www.dlr.de Folie 3 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 ETCS: Die Idee eines Standards

www.dlr.de Folie 4 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Das European Train Control System ETCS: Die Vision 1993 Quelle Bilder: ERRI A200

www.dlr.de Folie 5 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 -Entscheidung der europäischen Verkehrsminister: Analyse der Probleme im signaling and train control -1989 Historische Entwicklung Ein Spiegel des Abstimmungsprozesses -ERRI Group of railway experts (A200) : ETCS Anforderungen -1990 -Industrie (EUROSIG) und Bahnen (UIC, ERRI A200) beschließen enge Kooperation -1991 -EUROBALISE -EUROCAB -EURORADIO -Historische Entwicklung -EEIG Spec -SRS -RAMS -Test -1995-4th F.P.: Masterplan zur Entwicklung von ERTMS/ETCS im European Rail Network. -Interoperability Directive 96/48/EC 23 July 1996-1996 -1998 -UNISIG -Class P SRS -UNISIG -1999 -Spec -Class 1 SRS -verabschiedet -25. April 2000-2000 -2001 -TSI -verabschiedet 30. Mai -2002 2002 -Interoperability Directive 2001/16/EC -Laufzeit 20 Jahre

www.dlr.de Folie 6 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Gegenwärtige Entwicklung Eine Konsolidierung ist in Sicht -Laufzeit 20 Jahre -SRS -2.2.2 -verabschiedet -25. April 2002-2004 -SRS -2.3.0 -Verabschiedet -2. Februar 2006-2006 -Safety Directive 2004/49/EC -2007 -Interoperability Directive 2007/32/EC -SRS -2.3.0d / 2.3.2 -Verabschiedet -17. März 2008-2008 -Interoperability Directive 2008/57/EC -MoU Unterschrieben -4. Juli 2008-2012 -SRS -3.0.X -In Kraft -2015 -SRS -3.0.X -In Umsetzung -2002 -Gegenwärtige Entwicklung

www.dlr.de Folie 7 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Das European Train Control System ETCS: Was bedeutet Ein Standard? - Ein Standard heißt für ein Subsystem von ETCS: - Das System ist sicher, - es entspricht den Spezifikationen und - es arbeitet mit anderen Subsystemen von ETCS zusammen. Quelle Bilder: www.conrad.de

www.dlr.de Folie 8 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Was muss nachgewiesen werden?

www.dlr.de Folie 9 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Aspekte des Testens von ETCS Sicherheit (Safety) Ziel: Nachweis des sicheren Verhaltens Konformität Ziel: Nachweis, dass ETCS entsprechend der Spezifikation implementiert wurde Interoperabilität Ziel: Nachweis, dass ETCS mit anderer ETCS-Ausrüstungen zusammenarbeitet Bahntauglichkeit Ziel: Erfüllung der betrieblichen Aufgaben

www.dlr.de Folie 10 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Aspekte des Testens von ETCS Sicherheit (Safety) Ziel: Nachweis des sicheren Verhaltens EN 50126 / 50128 / 50129 Konformität Ziel: Nachweis, dass ETCS entsprechend der Spezifikation implementiert wurde ETCS Subset 076 (Tests) ETCS Subset 094 (Labor) Interoperabilität Ziel: Nachweis, dass ETCS mit anderer ETCS-Ausrüstungen zusammenarbeitet ETCS Subset 110 / 111 / 112 Bahntauglichkeit Ziel: Erfüllung der betrieblichen Aufgaben Spezifisch für Projekt / Land

www.dlr.de Folie 11 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Aspekte des Testens von ETCS Sicherheit Ziel Nachweis der Sicherheit und der Erfüllung der Sicherheitsanforderungen Test des zulässigen Verhaltens und der Sicherheitsreaktion im unzulässigen Bereich Eigenschaften Zu definieren gemäß EN 50126 und EN 50129 Typischerweise Grenzwerttests Durchführung in: Herstellerlaboren (vor HdF) Feldtests durch den Hersteller (vor HdF) Feldtests durch den Betreiber (HdF bis zur Zustimmung zur Zuverlässigkeitserprobung) gemäß Regularien des Eisenbahnbundesamtes Ergebnis Nachweis der Sicherheit gemäß EN 5012X HdF: Herbeiführung der Funktionsfähigkeit

www.dlr.de Folie 12 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Aspekte des Testens von ETCS Konformität Ziel Nachweis der vollständigen Implementierung der Systemanforderungen Kompatibilität der Versionen Direkter Nachweis der Konformität der Interoperabilitätskomponenten Indirekter Nachweis der Interoperabilität der fahrzeug- und streckenseitigen Teilsysteme Eigenschaften Nicht betrieblich realistisch / Generische Projektierung: keine Weichen, keine Bahnhöfe, etc. Optimiert auf Testdauer ohne Priorisierung Typischerweise Stichprobe mit charakteristischem Wert Testumgebung spezifiziert im ETCS subset 094 Ergebnis Input für EG-Prüferklärung gemäß TSI TSI: Technische Spezifikation der Interoperabilität

www.dlr.de Folie 13 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Architektur nach ETCS subset 094

www.dlr.de Folie 14 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Akkreditierte Labore - Drei Labore weltweit sind derzeit nach ISO 17025 akkreditiert: - LIF /CEDEX / Madrid - MULTITEL / Mons - RailSiTe / DLR / Braunschweig - Ein Verband der akkreditierten Labore ERTMS Reference Labs - ERL wurde im März 2012 gegründet

www.dlr.de Folie 15 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 DLR Rail Simulation and Testing RailSiTe RailSiTe : Labor für Test und Validation von Eisenbahnsicherungssystemen - Zertifiziertes ETCS-Referenzlabor lt. Subset-094 - Anerkannter Unterauftragnehmer der Benannten Stelle Interoperabilität (Eisenbahn-Cert, EBC) - Modularer Aufbau für Softwaresimulationen, Hardware-in-the-loop- und Cross-Reference-Tests - Spezifikation, Generierung und Konfiguration von Tests - Automatisierung von Testausführung und -auswertung Stellwerk GSM-R BÜ RBC Balise/Loop/GSM-R EVC Odometer DMI

www.dlr.de Folie 16 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Zahl von Features nach Kapiteln der SRS Kapitel der SRS (subset 026) Features Kapitel 3 Kapitel 4 Kapitel 5 Einzelne Anforderungen 56 48 52 Gemischte Anforderungen 389 468 292 Einzelne Anforderungen : Features, deren Testfälle nur Anforderungen aus einem Kapitel abdecken Gemischte Anforderungen: Features, deren Testfälle Anforderungen aus mehreren Kapiteln enthalten

www.dlr.de Folie 17 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Beziehung zwischen Anforderungen und Testfällen in der Traceability- Matrix

www.dlr.de Folie 18 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Beziehung zwischen Anforderungen und Testfällen (schematisch)

www.dlr.de Folie 19 www.dlr.de > Testen von ETCS Chart > M. 19 Meyer zu Hörste > 10.01.2013 Beziehung zwischen Anforderungen und Testfällen Problem: Wartbarkeit

www.dlr.de Folie 20 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Aspekte des Testens von ETCS Interoperabilität Ziel Nachweis der betrieblich korrekten Implementierung Betriebliche Kompatibilität der Subsysteme Direkter Nachweis der Interoperabilität der fahrzeug- und streckenseitigen Teilsysteme Eigenschaften Betrieblich realistisch: Realistische Projektierung: Weichen, Bahnhöfe, Fahrstraßen etc. Optimiert auf betriebliche Relevanz Typischerweise Stichprobe mit betrieblicher Relevanz Testumgebung spezifiziert im ETCS subset 110 / 111.X Ergebnis Demonstration der Interoperabilität

www.dlr.de Folie 21 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Architektur nach Subset 111

www.dlr.de Folie 22 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Betriebliche Relevanz der Anforderungen - Nur ein geringer Anteil der Anforderungen der SRS sind für den alltäglichen Regelbetrieb von Relevanz - Bei den restlichen Anforderungen variiert die Relevanz stark nach nationaler Betriebsordnung. Beispiele: - On Sight nach deutscher und französischer Sicht - Reversing nach deutscher und italienischer Sicht - Problem: was muss zum Nachweis der betrieblichen Eignung getestet werden? SRS: System Requirement Specification (ETCS Subset 026)

www.dlr.de Folie 23 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Betriebliche Relevanz der Anforderungen - Nur ein geringer Anteil der Anforderungen der SRS sind für den alltäglichen Regelbetrieb von Relevanz - Bei den restlichen Anforderungen variiert die Relevanz stark nach nationaler Betriebsordnung. Beispiele: - On Sight nach deutscher und französischer Sicht - Reversing nach deutscher und italienischer Sicht - Problem: was muss zum Nachweis der betrieblichen Eignung getestet werden? Problem: Vollständigkeit oder Relevanz? SRS: System Requirement Specification (ETCS Subset 026)

www.dlr.de Folie 24 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Aspekte des Testens von ETCS Bahntauglichkeit Ziel Nachweis der vollständigen Erfüllung der betrieblichen Anforderungen Kompatibilität der Versionen und Systeme Nachweis der Zuverlässigkeit Eigenschaften Typischerweise Feldtests: Betrieblich exakt unter Nutzung der realen Projektierung Typischerweise (vollständige) Befahrung des Streckenatlasses im Feldtest In Diskussion: Durchführung im Labor gem. ETCS subset 094 / 110 Ergebnis Inbetriebnahme-Genehmigung Derzeit Fahrzeug zu Strecke zugeordnet

www.dlr.de Folie 25 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Was kommt?

www.dlr.de Folie 26 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Reduzierung von Testaufwänden und dauern für Konformitätstests - Konformitätstests sind derzeit sehr langwierig und aufwändig aus verschiedenen Gründen - Ziel aktueller Arbeiten ist es, Dauer und Aufwand deutlich zu reduzieren - Ansätze: - Optimierung der Neu-Strukturierung, die u.a. aus Gründen der Wartbarkeit durchgeführt wird - Automatisierung von Testvorbereitung, -durchführung und -auswertung - Abstimmung von Zertifizierungstests und -reports (ERL)

www.dlr.de Folie 27 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Neustrukturierung der Konformitätstests für Baseline 3: Ansatz - Die Abbildung der Testfälle auf die SRS soll (so weit wie möglich) 1-zu-1 erfolgen. Hierarchie der Anforderungen - In Bezug auf Subset-076: Die Testfälle werden in einer Art definiert, dass sie unverändert genutzt werden können und einem hierarchischen Ansatz folgen. Hierarchie der Testfälle

www.dlr.de Folie 28 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Neustrukturierung der Konformitätstests für Baseline 3: Ziel Der Zusammenhang zwischen Anforderungen und Testfällen wird (so weit wie möglich) nach Kapiteln der SRS geordnet. => Transparenz zwischen Anforderung und Testfall wird verbessert. Bisher Ziel

www.dlr.de Folie 29 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Konvergenz von Subset 94 und 111 - Problem: Spezifische (aber ähnliche) Architekturen nach Testziel, daher verschiedene Adaptionen notwendig. Daraus resultieren Fragen an die Validität der Testergebnisse. - Ansatz: Schaffung einer konsistenten Landschaft zum Abgleich der Testergebnisse. Konformität (Subset 094) Interoperabilität (Subset 111) - Die Bearbeitung erfolgt ein einem Projekt der TEN-TEA, in dem Mitte 2013 erste Tests ausgeführt werden.

www.dlr.de Folie 30 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Zusammenfassung und Fazit Für eine Inbetriebnahme von ETCS sind Zulassungen und Tests erforderlich für den Nachweis von: Sicherheit Konformität Interoperabilität Bahntauglichkeit Aktuelle Herausforderungen: Kontinuierliche Fortschreibung der Test-Spezifikation Reduzierung der Testdauer und aufwände Sicherung der Konsistenz der verschiedenen Tests

www.dlr.de Folie 31 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Vielen Dank für die Aufmerksamkeit!

www.dlr.de Folie 32 > Testen von ETCS > M. Meyer zu Hörste > 10.01.2013 Gemeinsame Struktur der Testanforderungen und sequenzen -Quelle: Rail T&C