11. Newsletter 'Insight Transportation' (pdf 2,0 MB) - Berner & Mattner

Nr. 11 / Dezember 2013
Transportation
Embedded Software –
Erfolgreiche Zertifizierung
nach EN 50128
Systemarchitektur –
Security-Betrachtungen
im Safety-Life-Cycle
Anwendungserfahrung –
CSM-VO in der Leit- und
Sicherungstechnik
© fotolia.com: kalafoto

Transportation
© fotolia.com: Tomas Sereda
VORWORT
Sehr geehrte Leserin,
Sehr geehrter Leser,
der Begriff Sicherheit ist in der Bahnbranche
von zentraler Bedeutung, wobei
er traditionell meistens im Sinne
von „Betriebssicherheit“ verwendet
wird. Genau diese Art von Sicherheit
meinen wir, wenn wir von „Safety“-Engineering
sprechen. Dieses Thema ist
uns sehr wichtig. In nahezu jeder Ausgabe
von „Insight Transportation“ berichten
wir in mindestens einem Artikel
über Verfahren, Methoden und Werkzeuge
zum Nachweis der Betriebssicherheit
bahntechnischer Systeme.
In dieser Ausgabe erweitern wir unser
Sicherheitsspektrum erstmalig um
das Thema „Angriffssicherheit“. Den
entsprechenden englischen Ausdruck
„Security“ kennt man vor allem aus
der klassischen IT-Welt, deren Technologien
und Komponenten aber immer
häufiger auch in bahntechnischen
Systemen verwendet werden. Wir bei
Berner & Mattner sehen uns dabei
weniger im reinen IT-Geschäft, sondern
wollen vielmehr einen Beitrag
zur Security leisten, indem wir informations-
und bahntechnisches Knowhow
miteinander kombinieren. Deshalb
freue ich mich, dass wir in dieser
Ausgabe je einen Artikel zu dem Thema
Safety und Security haben.
Apropos Sicherheit: Die Entwicklung
betriebssicherer Software für Antriebsund
Bremssysteme von Zügen beherrschen
unsere französischen Kollegen
aus Toulouse aus dem Effeff. Mehr
dazu gleich auf der nächsten Seite.
Ich wünsche Ihnen viel Freude beim
Lesen der Beiträge.
Thorsten Hiebenthal
Hauptabteilungsleiter Transportation
IMPRESSUM
INHALTSVERZEICHNIS
Herausgeber:
Berner & Mattner Systemtechnik GmbH
Erwin-von-Kreibig-Str. 3
80807 München
Tel. +49 89 608090-0
Fax +49 89 6098182
www.berner-mattner.com
marketing@berner-mattner.com
Redaktion und Gestaltung:
Thorsten Hiebenthal, Martina Heinze mit
Dank an die Autoren der Beiträge
© Berner & Mattner / Dezember 2013
Vorwort 2
Embedded Software für franz. Fahrzeughersteller – Erfolgreiche Zertifizierung 3
CSM-VO in der Leit- und Sicherungstechnik – Erste Anwendungserfahrung 4
Modellbasiertes Systems Engineering – Effizienter Entwicklungsprozess 7
Security-Betrachtungen im Safety-Life-Cycle – Systemarchitektur im Umbruch 10
Kurznachrichten 12
Wenn Beleuchtung mitdenkt – Energieeffizienz durch intelligente Lichtsteuerung 13
Inhouse Training – Vertiefende Schulung: Schienenfahrzeugtechnik Bremse 14
- 2 -

Nr. 11 / Dezember 2013
Embedded Software für
Antriebs- und Bremssysteme
Erfolgreiche Zertifizierung nach EN 50128
Ein großer Bahnkunde von Assystem, France, hatte 2009 eine
Reihe neuer Projekte zu bewältigen. Der französische Fahrzeughersteller
beauftragte Assystem mit der Entwicklung und Wartung
von Embedded Software für Antriebs- und Bremssysteme
– Startpunkt einer langjährigen, guten Zusammenarbeit.
Ein Beitrag von Christian Brotons
Responsable Dévelopment
Technology and Product Engineering
Assystem, France
E-Mail: cbrotons@assystem.com
© fotolia.com: TEA
2009 suchte der französische Fahrzeughersteller
einen auf Softwareentwicklung
spezialisierten Partner für die
Entwicklung und Wartung der Embedded
Software für Antriebs- und Bremssysteme.
Diese sollte nach dem europäischen
Qualitätsstandard EN 50128
SSIL2 und auf Basis der, bei dem Unternehmen
eingeführten Prozesse und
Tools wie ControlBuild © , Clearcase © ,
Reqtify © und Clearquest © entwickelt
und gepflegt werden. Assystem erhielt
den Zuschlag.
Verschiedene Züge – verschiedene
Programme
Die Herausforderung: Zeitgleich galt es,
verschiedene, sehr flexible Software für
Hochgeschwindigkeitszüge, Lokomotiven
und U-Bahnen zu entwickeln. Die
Einhaltung der geforderten Qualitätsstandards
sowie die Anwendung der
vom Kunden vorgegebenen Tools, Software
und Methoden gelang Assystem
u. a. durch das perfekte Zusammenspiel
seiner Back- und Frontoffices. Dabei
stand sowohl die Koordination einer
Reihe paralleler Projekte als auch
die pünktliche Lieferung qualitativ und
funktional hochwertiger Software im
Vordergrund. Um dies zu gewährleisten,
wurden mehrere Assystem-Teams
in Frankreich und Rumänien erweitert
und geschult. Das Ergebnis: eine harmonische
und effiziente länderübergreifende
Zusammenarbeit – von der
Entwicklung in Toulouse über die Integration
beim Kunden vor Ort bis zu den
Tests in Rumänien.
Vom Design über Test bis zur
Dokumenterstellung
Ob doppelstöckiger oder niederfluriger
Triebzug oder Hochgeschwindigkeitszug
– für jedes der Projekte entwickelte
Assystem die Embedded Software,
codierte und integrierte, analysierte
und bearbeitete Change Requests
(CR), kontrollierte Spezifikationen, prüfte
Code und führte Integrationstests
durch. Zusätzlich wurden Dokumente
zur Qualität und Nachverfolgbarkeit erstellt
und an Vor- und Nachbereitungen
von Audits mitgewirkt.
Arbeitspakete zum Festpreis
Jedes Projekt wurde schrittweise gemäß
den Spezifikationen des Kunden
realisiert und entsprechend einer Tabelle
von Arbeitseinheiten zum Festpreis
abgerechnet. Mit Erfolg: Alle
Softwarekomponenten wurden pünktlich
nach EN 50128 zertifiziert.
Das Plus für den Kunden: verbesserte
Prozesse, geringere Kosten
Der französische Fahrzeughersteller
profitierte von homogenisierten Zertifizierungs-
und Anforderungsprozessen
und konnte somit den Gesamtprozess
weiter verbessern. Die Übernahme
des Teammanagements und die Schulung
der Teammitglieder durch Assystem,
aber auch die Einbeziehung der
Teams in Rumänien bedeuten für den
Kunden eine Entlastung der eigenen
Teams sowie eine Reduzierung der
Entwicklungskosten.
- 3 -

Transportation
© fotolia.com: dieposse86
CSM-VO in der Leit- und
Sicherungstechnik
Erste Erfahrungen bei der Anwendung
Um eine europäische Regelung zur Betrachtung der Sicherheit
im Zulassungsprozess zu finden, wurde die Common-Safety-
Method-Verordnung (CSM-VO; EG-Verordnung Nr. 352/2009 vom
24.04.2009) entwickelt. Die Verordnung dient der Überwachung
und Kontrolle von Gefährdungen, die durch Änderungen im System
Bahn entstehen können. Im folgenden Artikel wird der Risikomanagementprozess
nach der CSM-VO erläutert. Anhand eines
Praxisbeispiels werden einige Erfahrungen bei der Durchführung
ausgewählter Prozessschritte geschildert.
Ein Beitrag von
Dipl.-Ing. (FH) Nicola Mönig (l.)
Systemingenieurin
Berner & Mattner, München
E-Mail: nicola.moenig@berner-mattner.com
Dipl.-Inf. (FH) Cengiz Genc (m.)
Teamleiter Signalling
Berner & Mattner, München
E-Mail: cengiz.genc@berner-mattner.com
Dr. Bernhard Hulin (r.)
Consultant Funktionale Sicherheit
Berner & Mattner, München
E-Mail: bernhard.hulin@berner-mattner.com
Einführung der Verordnung
CSM-VO
Um die Anforderungen an Sicherheitsbetrachtungen
und deren Ergebnisse
in Europa vergleichbar zu gestalten,
wurde die CSM-VO als harmonisiertes
Konzept zur Risikobewertung entworfen.
Die entstandene Verordnung basiert
auf der EN 50126 und ergänzt diese
in einigen Punkten. So werden zum
Beispiel Risikoakzeptanzprinzipien definiert,
welche in der EN 50126 nicht
enthalten sind. Seit dem 01.07.2012 gilt
die CSM-VO uneingeschränkt für alle
Änderungen des Systems Bahn und
damit auch für Infrastruktursysteme.
Die Bewertung von Risiken ist durch
die CSM-VO in mehrere Schritte unterteilt
(siehe Abbildung 1), die wir in diesem
Artikel erläutern.
Was sind Änderungen?
Bevor auf die einzelnen Schritte der
Bewertung von Risiken eingegangen
werden kann, ist zunächst zu klären,
was eine Änderung im Sinne der
Verordnung ist. Beispiel: Wie ist die
Änderung der Abzweiggeschwindig-
keit in einer ansonsten gleich bleibenden
Weichenverbindung zu bewerten?
Nach der Verordnung sind Änderungen
des Systems Bahn zunächst Veränderungen
betrieblicher, technischer
oder organisatorischer Natur, die zu
neuen Risiken führen können. So kann
z. B. eine Änderung eines bestehenden
technischen Systems durch die Erweiterung,
Modifikation oder Wegnahme
von Funktionalität gegeben sein. Aber
auch die Neuentwicklung eines Systems
oder die Einführung neuer Betriebsabläufe
können eine Änderung
im Sinne der CSM-VO sein.
- 4 -

Nr. 11 / Dezember 2013
Vorläufige Systemdefinition
Änderung/Neuentwicklung
Beschreibung: Systemumfang, Zweck des
Systems, Sicherheitsimplikationen,
technisches Konzept, Systemumgebung,
Gefährdungen;
Prüfung Sicherheitsrelevanz
und Signifikanz
Alle Änderungen, die einen Personenund/oder
Umweltschaden verursachen
können
Bewertung von:
• Folgen von Ausfällen
• Innovativen Elementen
• Komplexität
• Überwachbarkeit
• Umkehrbarkeit
Hat das neue Verfahren/System
Auswirkungen auf die Sicherheit?
Ist die Auswirkung der sicherheitsrelevanten
Änderung signifikant?
Systemdefinition erstellen
Gefährdungsermittlung und
-einstufung
Weiter je nach Ergebnis
obiger Prüfungen
Wahl des Akzeptanzprinzips
Sicherheitsanforderungen
Gefährdungsprotokoll erstellen
Nachweis der Sicherheitsanforderungen
Bild 1: Übersicht Prozess nach CSM-VO
Prüfung der Signifikanz
Der erste Schritt der Risikobewertung
ist die Signifikanzprüfung, welche entscheidet,
ob eine Änderung weiter untersucht
werden muss. Die Basis dafür
ist eine vorläufige Systemdefinition,
anhand derer zuerst geprüft wird, ob
die durchzuführenden Änderungen sicherheitsrelevant
sind. Als sicherheitsrelevant
gilt eine Änderung, sobald diese
zu Personen- oder Umweltschäden
führen kann. Die Bewertung der Sicherheitsrelevanz
erfolgt durch einen
Sachverständigen, der die Folgen von
Ausfällen bewertet.
Neben der Sicherheitsrelevanz werden
weitere Kriterien zur Prüfung der Signifikanz
einer Änderung herangezogen
(z. B. Innovationsgrad, Komplexität,
fehlende Möglichkeit einer Überwachung).
Wird eine Änderung nicht als
signifikant eingestuft, muss das CSM-
Verfahren auch nicht weiter durchgeführt
werden.
Gefährdungsermittlung und
-einstufung
Häufigkeit von
Gefahrenquellen
Gefährdung
1
Bild 2: Gefährdungseinstufung
Nach der Prüfung der Signifikanz folgt
die Gefährdungsermittlung. In diesem
Schritt werden sämtliche Gefährdungen,
die durch die Änderung entstehen
können, durch Sachverständige
identifiziert. Für jede Gefährdung wird
qualitativ das zugehörige Risiko geschätzt
(z. B. Risikomatrix in Abbildung
2). Gefährdungen, deren Risiko
als „weitgehend akzeptabel“ gilt, müssen
nach der Begründung der Dokumentation
nicht weiter untersucht werden.
Dies kann beispielsweise der Fall
sein, wenn der Risikobeitrag der Änderung
klein genug ist, sodass zusätzliche
Sicherheitsmaßnahmen nicht gerechtfertigt
sind.
Risikostufen
Häufig Unerwünscht Intolerabel Intolerabel Intolerabel
Wahrscheinlich Tolerabel Unerwünscht Intolerabel Intolerabel
Gelegentlich Tolerabel Unerwünscht Unerwünscht
Selten Vernachlässigbar Tolerabel Unerwünscht Unerwünscht
Unwahrscheinlich Vernachlässigbar Vernachlässigbar Tolerabel Tolerabel
Unvorstellbar Vernachlässigbar Vernachlässigbar Vernachlässigbar Vernachlässigbar
Unbedeutend Marginal Kritisch Katastrophal
Gefahrenstufen
Gefährdung
2
- 5 -

Transportation
Wahl des Akzeptanzprinzips
Bei Änderungen, welche zu einem
höheren Risikobeitrag führen, ist im
nächsten Schritt festzulegen, nach welchem
Risikoakzeptanzprinzip die Risikobeherrschung
nachgewiesen werden
soll. Hierzu sieht die Verordnung
verschiedene Verfahren vor:
• y Beherrschung von Gefährdungen
durch die Anwendung von anerkannten
Regeln der Technik
• y Nachweis der Ähnlichkeit zu einem
Referenzsystem und Umsetzung
der Sicherheitsmaßnahmen des
Referenzsystems zur Beherrschung
der Gefährdungen
• y Qualitative oder quantitative Risikoabschätzung
anhand eines Risikoakzeptanzkriteriums
(explizite Risikoabschätzung,
z. B. nach RAC-TS)
Die Wahl des geeigneten Verfahrens
ist von der Art der Änderung abhängig.
So könnte beispielsweise für Änderungen,
für die weder ein vergleichbares
Referenzsystem noch eine entsprechende
anerkannte Regel der Technik
existiert, eine explizite Risikoabschätzung
verwendet werden. Dies wäre
z. B. bei der Entwicklung eines neuen
Systems der Fall. In besonderen Fällen,
z. B. bei erheblichen Gefährdungen,
kann die Kombination mehrerer
Verfahren notwendig sein.
Aus der Durchführung der dargestellten
Schritte ergeben sich umzusetzende
Sicherheitsmaßnahmen zur Gefährdungsbeherrschung,
welche bereits in
die Bewertung der Risikoakzeptanz
einfließen. Von diesen Maßnahmen
werden Sicherheitsanforderungen abgeleitet.
Deren Erfüllung ist nachzuweisen,
damit das System als sicher
gilt. Dies und auch die Ergebnisse der
vorhergehenden Schritte des Risikomanagementverfahrens
sind durch
eine unabhängige Bewertungsstelle
(Assessment Body) zu prüfen. Der gesamte
Prozess der Risikobewertung ist
iterativ, wird also ggf. mehrfach durchlaufen
(z. B. nach Identifikation zusätzlicher
Gefährdungen).
Erfahrungen aus der Anwendung
Bei der Anwendung der CSM-VO in
ersten Projekten im Umfeld der Leitund
Sicherungstechnik sind einige
Erkenntnisse entstanden, deren Berücksichtigung
die Arbeit mit der Verordnung
erleichtern kann. Nachfolgend
sind einige Beispiele dargestellt.
Eine wichtige Erkenntnis bezieht sich
auf den Zeitpunkt der Durchführung
der Risikobewertung. In der Praxisanwendung
zeigte sich, dass eine frühzeitige
Bewertung vor der Spezifikation
und Entwicklung einige Vorteile
mit sich bringt. So können nachträgliche
hohe Anpassungsaufwände vermieden
werden, die von falschen Annahmen
bezüglich des verbundenen
Risikos oder fehlenden Sicherheitsanforderungen
herrühren.
Neben dem Zeitpunkt der Anwendung
ist zu beachten, dass oft zum Zeitpunkt
der Signifikanzprüfung noch keine vollständige
oder gar keine Gefährdungs-
- 6 -
© istockphoto.com: peterspiro

Nr. 11 / Dezember 2013
ermittlung stattgefunden hat. In solchen
Fällen kann die Einstufung der
Sicherheitsrelevanz einer Änderung
häufig noch nicht vollumfänglich geklärt
werden. Um die Signifikanzprüfung
abschließen zu können, sollte
dann die Gefährdungsermittlung vorgezogen
werden.
Mindestens so wichtig wie die Bewertung
der Einzelkriterien der Signifikanzprüfung
ist die Gewichtung dieser
Kriterien bei der Bestimmung der Signifikanz.
Da durch die CSM-VO keine
Berechnungsvorschrift vorgegeben
ist, können durch eine falsche Gewichtung
schnell Fehlentscheidungen entstehen.
Bei einer falschen Gewichtung
könnte z. B. selbst bei Vorliegen
von sicherheitsrelevanten Änderungen
auf Grund einer geringen Komplexität
und einem niedrigen Innovationsgrad
entschieden werden, dass diese nicht
signifikant sind.
Fazit
Die ersten Praxiserfahrungen mit der
CSM-VO zeigen, dass bei der Anwendung
einige Regeln zu berücksichtigen
sind, um Probleme durch Verfahrensfehler
oder z. B. hohe Kosten durch
Nachbesserungen zu vermeiden.
Außerdem sind einige Fragen entstanden,
die in späteren Versionen der
Verordnung bzw. bei konkreten Zulassungen
von Systemen mit den Aufsichtsbehörden
zu klären sind. Insbesondere
bei essenziellen Schritten wie
der Signifikanzprüfung ist zu beachten,
dass durch die CSM-VO zwar die
Kriterien zur Bestimmung, aber keine
konkrete Bewertungsvorschrift oder
Gewichtung der Kriterien vorgegeben
sind. Wenn wichtige Kriterien wie die
Sicherheitsrelevanz und die Ausfallfolgen
nicht hinreichend bei der Bewertung
berücksichtigt werden, kann
dies zu falschen Ergebnissen führen.
Neben Dingen, die bei der Durchführung
der Risikobewertung zu beachten
sind, spielt auch der Zeitpunkt der
Risikobewertung eine wichtige Rolle.
Die Bewertung sollte zum frühestmöglichen
Zeitpunkt gestartet werden. Dadurch
sind hohe Änderungsaufwände
in einer späteren Phase einer Entwicklung
vermeidbar, die beispielsweise
durch eine nachträgliche Anpassung
von Risikobewertungen entstehen können.
Modellbasiertes Systems
Engineering in der Bahntechnik
Effizienter Entwicklungsprozess mit SysML
Ständig wechselnde Anforderungen an neue Entwicklungen und
deren Zulassung sowie auch an die Dokumentation bereits bestehender
Systeme erfordern neue Werkzeuge in der funktionalen
Analyse von bahntechnischen Systemen. Hierbei stoßen die
gängigen, fließtextbasierten Methoden schnell an ihre Grenzen.
Besonders in Bezug auf Wartbarkeit und Konsistenz sowie auch
in der Nachverfolgung von Anforderungen rücken modellbasierte
Ansätze immer mehr in den Vordergrund.
Ein Beitrag von Sebastian Diekhoff
Systemingenieur
Berner & Mattner, Wien
E-Mail: sebastian.diekhoff@berner-mattner.at
Berner & Mattner setzt diese Methoden
seit Jahren erfolgreich ein und ist
damit ein wertvoller Entwicklungspartner
für seine Kunden, insbesondere für
Aufgaben im Bereich modellbasierter
Entwicklungen sowie funktionaler Analyse
und Reverse Engineering.
SysML: Sprache der Wahl
SysML (Systems Modeling Language)
wurde im Jahr 2007 zum ersten Mal
als Standard von der Object Management
Group (OMG) veröffentlicht und
ist zur Zeit in der Version 1.3 verfügbar.
Sie ist eine, auf UML (Unified Modeling
Language) basierende, standardisierte
Sprache, die eine Untermenge
von UML um spezielle, auf die Anforderungen
des Systems Engineerings
angepasste, Elemente erweitert. Dadurch
bietet sie alle Sprachmittel, die
- 7 -

Transportation
das moderne modellbasierte Systems
Engineering erfordert. Die Taxonomie
von SysML gliedert sich in Strukturdiagramme
(z. B. internes Blockdiagramm,
Blockdefinitionsdiagramm),
Verhaltensdiagramme (z. B. Aktivitätsdiagramm
siehe Abb. 2, Zustandsdiagramm)
und Anforderungsdiagramme.
Use Case Definition
Anlegen der pneumatischen Zugbremse
Pneumatischer Bremsbefehl
: CAN Input
Pneumatischer Bremsbefehl
Die Basis der Modellierung stellen die
Anwendungsfälle, bzw. Use Cases,
(Abb. 2) dar. Sie gliedern den zu modellierenden
Gesamtumfang an Funktionen
in abgeschlossene Teilbereiche,
sodass – vor allem bei großen Projekten
– eine Gliederung entsteht, deren
Komplexität beherrschbar bleibt. Aus
SysML-Sicht stellen die Anwendungsfälle
eine Deklaration eines Systemverhaltens
dar, das auf Basis von bestimmten
Aktionen ein nach außen
sichtbares Resultat bietet. Die Definition
erfolgt auf einer abstrakten Ebene,
da hierbei das interne Verhalten
und die beteiligten Systemkomponenten
nicht näher beschrieben werden. In
der Abbildung 2 ist zu erkennen, dass
der Triebfahrzeugführer als Akteur fungiert,
der den Use Case startet, und
die Schiene das Medium darstellt, an
dem das Resultat sichtbar wird (hier
die aufgebrachte Bremskraft).
Absenken
Einlesen des Befehls
vom
Triebfahrzeugführer
(Bremsbefehl liegt vor)
v
Ansteuerung des
HL-Drucks im Zug
(Kein Bremsbefehl)
HL-Druck : bar
Statische Modelle
Um den zuvor definierten Anwendungsfällen
die realen Systemkomponenten
zuweisen und die Interaktion
zwischen den beteiligten Elementen
beschreiben zu können, wird auf die
Klasse der Strukturdiagramme zurückgegriffen.
Die betroffenen Teile
des Gesamtsystems werden mit Hilfe
von Blockdefinitionsdiagrammen als
SysML-Blöcke definiert, alle Schnittstellen
der Komponente (sogenannte
Ports) modelliert und eine Zuweisung
zu den entsprechenden Anwendungsfällen
allokiert.
Über interne Blockdiagramme (Abb. 3)
lassen sich nun Informationsflüsse
zwischen den einzelnen Elementen
darstellen. Hierbei kann es sich sowohl
um physikalische, als auch logische Informationen
handeln. Um die Komplexität
der Diagramme überschaubar zu
halten, werden nur diejenigen Blöcke
herangezogen, die für den jeweiligen
Anwendungsfall relevant sind. Für unseren
Beispiel-Use-Case sind hier
nur die Systemkomponenten Pneumatischer
Bremshebel (für die Be-
HL-Druck : bar
Bremsdruck erhöhen
Abb. 1: Aktivitätsdiagramm für das dynamische Verhalten
Triebfahrzeugführer
Absenken des zugweiten
HL-Drucks
Abb. 2: Use-Case-Definition
Anlegen der
pneumatischen Zugbremse
v
Ansteuerung des
Bremszylinders
Bremskraft : kN
Pneumatische Bremskraft
: kN
Schiene
Anlegen der pneumatischen Bremse
auf dem lokalen Fahrzeug
: Pneumatischer Bremshebel
pneumatischer Bremsbefehl
CAN input
: Bremssteuerung
HL Druck
CAN output
PHYS output
PHYS input
: Pneumatische Bremse
Abb. 3: Statische Sicht auf die Systemkomponenten
- 8 -

Nr. 11 / Dezember 2013
nutzereingabe durch den Triebfahrzeugführer),
Bremssteuerung (für die
Absenkung des Hauptluftleitungsdrucks)
und Pneumatische Bremse
(für die Erzeugung der Bremskraft) von
Bedeutung.
Dynamische Modelle
Für die vollständige Beschreibung eines
Anwendungsfalls bedarf es der
Modellierung des dynamischen Verhaltens
innerhalb der zugewiesenen
Systemkomponenten. Hierfür bietet
SysML die Klasse der Verhaltensdiagramme.
Je nach Art der zu beschreibenden
Funktion stehen Zustandsdiagramme,
Sequenzdiagramme und
Aktivitätsdiagramme zur Verfügung.
Im bahntechnischen Bereich haben
sich die Aktivitätsdiagramme als das
Werkzeug der Wahl bei der Beschreibung
des dynamischen Verhaltens
herausgestellt. Hingegen bieten Zustandsdiagramme
alle notwendigen
Sprachelemente für die Modellierung
von unterschiedlichen Systemzuständen,
zum Beispiel eines Zuges, inklusive
der entsprechenden Übergangsbedingungen.
In unserem Beispiel wird
über ein Aktivitätsdiagramm die Funktion
der einzelnen Systemkomponenten
modelliert. So wird hier auf Basis
des Inputs vom Triebfahrzeugführer
(Pneumatischer Bremsbefehl) der
Hauptluftleitungsdruck abgesenkt, sofern
ein Bremsbefehl vorliegt. Dadurch
wird in der pneumatischen Bremse ein
Bremsdruck aufgebaut, der dann als
pneumatische Bremskraft wieder nach
außen abgegeben wird.
Vorteile der modellbasierten Entwicklung
und deren Anwendungen
Gegenüber der herkömmlichen, fließtextbasierten
Dokumentation liegen
die Vorteile eines modellbasierten Ansatzes
ganz klar in der Wartbarkeit und
Konsistenz. Die einzelnen Komponenten
des Modells werden nur einmal
modelliert und anschließend an entsprechender
Stelle instanziiert. Somit
werden jegliche Änderungen an diesen
Elementen sofort im gesamten
Modell sichtbar und müssen nicht per
Hand nachgezogen werden. Fehler,
die durch manuelle Übertragung entstehen,
sind somit ausgeschlossen.
Dies stellt eine erhebliche Erleichterung
im Entwicklungsprozess moderner,
anspruchsvoller Systeme dar, da
Änderungen leicht nachvollziehbar
sind und konsistent umgesetzt werden
können.
SysML bietet zudem die Möglichkeit,
Anforderungen direkt zu modellieren
und über Anforderungsdiagramme in
das Gesamtmodell zu integrieren, Testfälle
aus dem Modell abzuleiten sowie
modellbasiert zu testen. Dadurch
deckt die Modellierung mit SysML
weite Bereiche des V-Modells, einen
(von einer Vielzahl von Normen geforderten)
Entwicklungsstandard für
die Planung und Durchführung von IT-
Systementwicklungsprojekten, ab.
Es ergibt sich eine Vielzahl an Möglichkeiten,
unter anderem automatisierte
Dokumentationsgenerierung aus dem
Modell, einfache Versionierung und
konsistente Nachvollziehbarkeit von
Anforderungen und Sicherheitseinstufungen,
die bei den heutigen Zulassungsverfahren
(z. B. SIRF – Sicherheitsrichtlinie
Fahrzeug) von großer
Bedeutung sind.
© fotolia.com: Yang Yu
- 9 -

Transportation
© dreamstime.com: Galina Barskaya
Security-Betrachtungen
im Safety-Life-Cycle
Systemarchitektur im Umbruch
Durch Weiterentwicklungen von Systemarchitekturen und die
zunehmende Vernetzung bahntechnischer Systeme wird die sorgfältige
Berücksichtigung der Angriffssicherheit (Security) immer
bedeutender. Die Architektur leit- und sicherungstechnischer
Systeme (LST-Systeme) befindet sich im Umbruch: Wurden bisher
hauptsächlich spezifische bahntechnische Komponenten und
Ende-zu-Ende-Kommunikationsverbindungen eingesetzt, entwickelt
sich die Systemlandschaft hin zu generischen Rechnersystemen
und deren Verbindung durch universelle Datennetzwerke
mit Internettechnologie. Dies wiederum bedeutet, dass für LST-
Systeme in Zukunft auch ähnliche Security-Implikationen wie für
sonstige verteilte Rechnersysteme gelten werden.
Ein Beitrag von
Dipl.-Ing. (FH) Nicola Mönig (l.)
Systemingenieurin
Berner & Mattner, München
E-Mail: nicola.moenig@berner-mattner.com
Dr. Oliver Lemke (m.)
Systemingenieur
Berner & Mattner, Berlin
E-Mail: oliver.lemke@berner-mattner.com
Dipl.-Inf. (FH) Cengiz Genc (r.)
Teamleiter Signalling
Berner & Mattner, München
E-Mail: cengiz.genc@berner-mattner.com
Im folgenden Beitrag wird vorgeschlagen,
in welchen Schritten des Lebenszyklus
bahntechnischer Systeme eine
systematische Berücksichtigung der
Security zu den klassischen Safetyorientierten
Betrachtungen erfolgen
sollte.
Grundsätzliche Abhängigkeiten
von Betriebssicherheit, Angriffssicherheit
und Verfügbarkeit
In der Norm DIN EN 50126 werden die
nichtfunktionalen Eigenschaften eines
Systems unterteilt in Reliability (Zuverlässigkeit),
Availability (Verfügbarkeit),
Maintainability (Wartbarkeit) und Safety
(Betriebssicherheit). Von besonderem
Interesse bei Betrachtungen der
Security (Angriffssicherheit) ist der Aspekt
der Verfügbarkeit, da diese am
einfachsten durch einen Angriff beeinflusst
werden kann. Verfügbarkeit
und Betriebssicherheit sind – unter anderem
– abhängig von der Angriffssicherheit.
So kann z. B. ein erfolgreicher
Angriff auf ein RBC genutzt
werden, um eine gefährliche Fahrerlaubnis
für einen Zug zu erteilen (Betriebssicherheit)
oder man nutzt einen
Angriff auf das Datennetzwerk, um
eine Überlastung und damit Verzögerungen
von Stellkommandos hervorzurufen
(Verfügbarkeit).
Vorgehensweise zur Gewährleistung
der Betriebssicherheit nach
DIN EN 50126
In der Norm DIN EN 50126 der Bahnanwendungen
steht die Betriebssicherheit
im Vordergrund. In der Risikoanalyse
wird ermittelt, welche betrieblich
relevanten Gefährdungen vom System
ausgehen können und wie häufig
diese maximal auftreten dürfen, damit
das Gesamtsicherheitsziel garantiert
erreicht wird. In der Gefährdungsanalyse
werden Gefährdungen zunächst
mit Ursachen und anschließend mit
Gegenmaßnahmen versehen (Bild 1).
- 10 -

Nr. 11 / Dezember 2013
Erweiterung der bisherigen Vorgehensweise
um die Betrachtung der
Angriffssicherheit
Zur Berücksichtigung von Anforderungen
der Angriffssicherheit sind drei Erweiterungen
dieses traditionellen Vorgehens
sinnvoll:
• y Erweiterung der Gefährdungsanalyse/Sicherheitsnachweis
um
die Betrachtung von mutwilligen
Angriffsszenarien
• y Erweiterung der Risikoanalyse um
die Betrachtung wirtschaftlicher
Schäden
• y Prozessdefinition zur Identifikation
von Gegenmaßnahmen zur Erhöhung
der Angriffssicherheit
Durch eine mangelnde Angriffssicherheit
kann die Betriebssicherheit beeinflusst
werden. In der Gefährdungsanalyse
muss daher für jedes mögliche
gefährliche Versagen überprüft werden,
ob es ein Angriffsszenario gibt,
Bild 1: Gefährdungsanalyse und Sicherheitsnachweis
das dieses Ereignis ebenfalls hervorrufen
kann (Erweiterung um „Analyse wirtschaftliche Schäden. Durch den
Personenschäden ab und nicht auf
der Angriffssicherheit“ in Bild 2). zunehmenden Einsatz herkömmlicher
IT-Rechnersysteme und -Datennetze
Wichtig dabei ist: Die bisherige Risikoanalyse
muss nicht geändert werden, sen auch Angriffsszenarien für massi-
in zukünftigen LST-Architekturen müs-
da es nicht relevant ist, ob eine betriebliche
Gefährdung durch ein Betriebssi-
Denial-of-Service-Angriffe, berücksichve
Betriebsbehinderungen, z. B. durch
cherheitsproblem oder durch einen gezielten
Angriff hervorgerufen wird. In rungen um wirtschaftliche Gefährduntigt
werden. Bild 2 zeigt diese Erweite-
beiden Fällen muss durch Gegenmaßnahmen
verhindert werden, dass die nicht nur genutzt werden kann, um
gen und stellt dar, wie der MitM-Angriff
betriebliche Gefährdung öfter als in eine betriebliche Gefährdung hervorzurufen,
sondern auch, um den Betrieb
der Risikoanalyse ermittelt auftritt.
zu hemmen.
Die klassische Risikoanalyse zielt lediglich
auf die Betriebssicherheit und Aus der Betrachtung der Betriebs- und
insbesondere auf die Vermeidung von Angriffssicherheit ergeben sich zwei
© dreamstime.com: Galina Barskaya
Bild 2: Erweiterung um „Analyse der Angriffssicherheit“
- 11 -

Transportation
verschiedene Arten von Gegenmaßnahmen
(zur Betriebssicherheit und
zur Angriffssicherheit). Fraglich ist nun,
wie der Umgang mit diesen beiden Arten
von Gegenmaßnahmen gehandhabt
wird. Hierzu gibt es 2 Optionen:
• y Die Gegenmaßnahmen der Angriffssicherheit
werden mit den
Maßnahmen der Betriebssicherheit
abgeglichen und in einen Satz
gemeinsamer Gegenmaßnahmen
zusammengeführt.
• y Es wird eine Redundanz der Gegenmaßnahmen
gebildet, d. h., beide
Arten von Gegenmaßnahmen
werden unabhängig voneinander
implementiert.
Für die Anwendung in der Bahntechnik
sollte die Trennung von Gegenmaßnahmen
der Betriebssicherheit und der
Angriffssicherheit favorisiert werden,
da der Lebenszyklus von Maßnahmen
zur Angriffssicherheit üblicherweise
deutlich kürzer als der zur Betriebssicherheit
ist. Bei einer Trennung muss
nur der Anteil angepasst werden, der
sich auf die Angriffssicherheit bezieht.
Eine Entwicklung beispielsweise eines
AES-Algorithmus bei Einhaltung
der umfangreichen SIL-4-Anforderungen
der CENELEC wäre außerordentlich
kosten- und zeitintensiv. Eine klare
Aufgabenverteilung ermöglicht, die
Maßnahmen zur Angriffssicherheit in
einer Security-Architektur anzuordnen,
in der dann die klassischen Maßnahmen
zur Betriebssicherheit implementiert
werden, ohne weiter auf die Angriffssicherheit
eingehen zu müssen.
Fazit
Durch die zunehmende Verwendung
standardisierter, kommerzieller IT-Systeme
und -Datennetze zur Realisierung
von Bahnsystemen entsteht eine
erhöhte Gefahr für Angriffe auf LST-
Systeme. Daher ist eine ausschließliche
Betrachtung der Betriebssicherheit
in einem Systemlebenszyklus
nicht mehr ausreichend. Die bisherigen
Verfahren der Gefährdungs- und
Risikoanalyse sollten somit um eine
Analyse der Angriffssicherheit erweitert
werden, um weiterhin einen sicheren
Betrieb von Bahnsystemen und
Schutz vor wirtschaftlichen Schäden
durch Angriffe gewährleisten zu können.
Bei der Erweiterung dieser Betrachtungen
sollte jedoch auf eine
Trennung zwischen Maßnahmen der
Betriebs- und der Angriffssicherheit
geachtet werden, da sonst eine dauerhafte
Lösung ohne hohe Zusatzkosten
(z. B. durch eine regelmäßige Modernisierung
der Maßnahmen für Angriffssicherheit)
nicht realisierbar ist.
>> Fachbeitrag: „Kriterien für die Auswahl
eines Werkzeugs zur automatisierten
Testfallgenerierung“
Um die Umsetzung eines betrieblich-technischen
Lastenhefts für ETCS effizient zu
testen, wurde ein Werkzeug für die automatisierte
Testfallgenerierung auf Basis
bereits bestehender Aktivitätsdiagramme
gesucht.
Erschienen in Signal + Draht – Ausgabe
Nr. 05/2013
www.berner-mattner.com/de/fachartikel
>> Fachbeitrag: „Smartphone & Co. als
HMI“
Die Ansprüche an die Mensch-Maschine-
Schnittstelle ändern sich radikal. Bedienoberflächen
von Maschinensteuerungen
müssen sich mehr und mehr an den Konzepten
von Tablets und Smartphones
messen. Die industrielle Anwendung dieser
„smarten“ Mobilgeräte hat zahlreiche
Vorteile, birgt aber auch Risiken und verlangt
daher ein sorgfältiges und methodisches
Vorgehen.
Erschienen in Computer Automation –
Ausgabe Oktober 2013
www.berner-mattner.com/de/fachartikel
- 12 -
Kurznachrichten
>> Fachbeitrag: „Industrie 4.0 - Chancen
und Risiken der Softwarezentrierung“
Vernetzte intelligente Industrieanlagen für
flexible, sich selbst steuernde Prozesse
erhöhen den Softwareanteil in der Automatisierung.
Daraus ergeben sich sowohl
Chancen als auch Risiken.
Erschienen in Elektronikpraxis – Ausgabe
September 2013
www.berner-mattner.com/de/fachartikel
>> Lünendonk®-Studie veröffentlicht
Die Assystem Gruppe Deutschland ist
auch 2013 wieder unter den Top 25 der
führenden Anbieter von Technologie-
Beratung und Engineering-Services in
Deutschland und rangiert auf Platz 16.
www.luenendonk-shop.de/
Lünendonk-Studien
>> Assystem S.A.:
+2,1 % Zuwachs im 1. Halbjahr 2013
Am 9.9.2013 veröffentlichte Assystem die
Ergebniszahlen für das 1. Halbjahr 2013:
Insgesamt erreichte Assystem ein Wachstum
von 2,1 % (1,6 % auf organischer Basis)
mit einem Umsatz von € 436,0 Millionen.
www.assystem.com
Information
© dreamstime.com: Ssuaphoto

Nr. 11 / Dezember 2013
Über den Tellerrand geblickt:
Ein Beitrag aus dem Bereich
Machinery bei Berner & Mattner
© TRIDONIC
Wenn Beleuchtung mitdenkt
Energieeffizienz und Wohlbefinden
durch intelligente Lichtsteuerung
Meist unbemerkt halten moderne Beleuchtungssysteme Einzug in
unseren Alltag. Dahinter stecken elektronische Lichtsteuerungen,
die durch intelligentes Lichtmanagement dem Menschen individuellen
Komfort und maximale Energieeffizienz garantieren. Berner
& Mattner trägt seit 2012 an den Standorten Wien und München
dazu bei, dass die Beleuchtung der Zukunft smarter wird.
www.tridonic.com
Licht als Rhythmus unseres Lebens
Das natürliche Licht, eine Kombination
aus gerichtetem Sonnenlicht und
diffusem Tageslicht, bestimmt den
24-Stunden-Rhythmus des Tages. Der
Wechsel des Lichtspektrums sowie die
Veränderungen der Lichtintensität über
den Tag ist die Basis für den menschlichen
Biorhythmus und unterstützt unsere
Aktivität, unser Zeitgefühl und somit
auch unser Wohlbefinden.
Revolution der künstlichen
Beleuchtung
Die rapide Entwicklung der LED-Technologie
in den letzten Jahren hat neue
Türen geöffnet. Auch in Raumsituationen
ist nun eine kontinuierliche Abstimmung
der künstlichen Beleuchtung
auf die vorherrschende Tages- bzw.
Jahreszeit sowie Arbeitsaufgaben und
Tätigkeiten der Menschen möglich.
LEDs sind die Leuchtmittel der Zukunft,
die trotz ihrer kleinen Bauform, sehr
hohe Lichtstärke, Energieeffizienz und
Lebensdauer haben. Die präzise Steuerbarkeit
der Farbe und Helligkeit der
LEDs eröffnet neue Perspektiven der
künstlichen Beleuchtung, die neben
dem idealen Komfort eine Energieeinsparung
von bis zu etwa 70 % erreicht.
Intelligentes Lichtmanagement
Damit die Beleuchtung intelligent wird,
müssen LEDs richtig gesteuert werden.
Moderne Beleuchtungslösungen
basieren auf einem Feldbussystem wie
z. B. DALI. Darin sind LEDs, Bedienelemente,
Sensoren, Steuer- und Regelungseinrichtungen
miteinander vernetzt
und werden individuell adressiert.
Diese Form der Vernetzung ermöglicht
eine ständige Übertragung der Daten
über die Zustände der einzelnen
Komponenten an die Steuereinheit.
Dessen Software verarbeitet dann die
Daten und notwendige Änderungen
der Farb- und Helligkeitswerte einzelner
Leuchtmittel werden durchgeführt.
Ein großer Vorteil dieses Netzwerkes
besteht darin, dass im Falle einer Neugruppierung
der Leuchtmittel keine
zusätzlichen Verdrahtungen notwendig
sind. Lediglich die Konfiguration
des bestehenden Systems auf Bedienebene
verlangt eine Anpassung.
Das Beleuchtungsnetzwerk bietet zudem
Schnittstellen an, um das System
an ein bestehendes Gebäudemanagement
anzubinden – so lassen sich
auch Fremdsysteme, wie z. B. Jalousiesteuerungen
in das Gesamtkonzept
integrieren.
All dies erfordert umfangreiche Softwarelösungen,
an deren Entwicklung
Berner und Mattner seit 2012 als Partner
der Firma Tridonic bereits aktiv und
erfolgreich beteiligt ist.
- 13 -

Transportation
© fotolia.com: Gina Sanders
Inhouse Training
Vertiefende Schulung:
Schienenfahrzeugtechnik Bremse
In vorangegangen Newsletter-Ausgaben haben wir unser Schulungskonzept
Bahntechnik vorgestellt sowie ein Vertiefungsseminar
aus dem Bereich der Leit- und Sicherungstechnik beschrieben.
In diesem Artikel wenden wir uns der Fahrzeugtechnik zu und
werfen einen Blick auf eine der grundlegendsten Fahrzeugfunktionen:
die Bremse.
Ein Beitrag von Dr. Ernst Reißner
Systemingenieur
Berner & Mattner, München
E-Mail: ernst.reissner@berner-mattner.com
Ziel der Schulung zur Bremse ist es,
unseren Kolleginnen und Kollegen
die grundlegenden Bremsfunktionen
und die sich daraus ergebenden Anforderungen
an die Bremse sowie deren
technische Realisierung zu vermitteln.
Da wir uns bei Berner & Mattner
im Rahmen von Kundenprojekten vor
allem mit den funktionalen Systemeigenschaften
beschäftigen, steht die
Funktion im Vordergrund: Die Schulung
hat nicht das Ziel, anschließend
Bremsen konstruieren oder auslegen
zu können.
Zielgruppe sind alle Mitarbeiterinnen
und Mitarbeiter, die die Grundlagenkurse
zur Bahntechnik besucht haben
und nun in einem unserer Schienenfahrzeugteams
zum Einsatz kommen.
Die Einleitung startet mit einem Rückblick
auf die historische Entwicklung
der Bremstechnik und der Darstellung
der grundlegenden Systematik und
Begriffe. So werden die drei wesentlichen
Aufgaben einer Bremse genannt:
• y Die Geschwindigkeit in gewollten
Grenzen halten: Betriebsbremsung
• y Gefahren abwenden: Schnellbremsung,
Notbremsung und Zwangsbremsung
• y Gegen Abrollen sichern: Feststellbremse.
Und auch die beiden grundsätzlichen
Bremsprinzipien und ihre Ausführungsformen:
• y Kraftschlussabhängige Bremse:
Klotzbremse, Scheibenbremse,
generatorische Bremse und hydrodynamische
Bremse
• y Kraftschlussunabhängige Bremse:
Magnetschienenbremse und elektrische
Wirbelstrombremse.
Im weiteren Verlauf liegt der Schwerpunkt
bei der indirekten Bremse im
Allgemeinen und der UIC-Druckluftbremse
im Speziellen. Es wird erläutert,
auf welchem Weg die Bremse
wirkt (Wirkweg): von der Bereitstellung
der Druckluft in der Hauptluftleitung
(wie in Abbildung 1 dargestellt),
dem Aufbau und der Funktion des
Dreidruckventils (siehe Abbildung 2)
bis zur Erzeugung der Bremskraft im
Bremszylinder und der Verzögerung
des Zugverbandes.
- 14 -

Nr. 11 / Dezember 2013
Nach der Darstellung der einzelnen
Bremssysteme werden die verschiedenen
Anwendungsbereiche der Bremssysteme
sowie deren Stärken und
Schwächen diskutiert. Speziell wird
auf das Problem des Gleitens bei reibungsbasierten
Bremssystemen eingegangen
und der Gleitschutz dargestellt.
Abbildung 3 zeigt die Wirkung
des Gleitschutzes, nachdem ein Rad
ins Gleiten gekommen ist.
Nicht fehlen darf natürlich auch der
Überblick über die wichtigsten Regelwerke
und Normen wie z. B. die entsprechenden
UIC-Merkblätter. Damit
die Schulung nicht „zu trocken“ wird,
werden Übungen durchgeführt wie das
Berechnen des Bremsvermögens eines
Zuges. Außerdem steuern unsere
Experten auch Erfahrungen aus der
Entwicklungs- und betrieblichen Anwendungspraxis
bei.
Die Schulungen bei Berner & Mattner
dienen aber auch dem fachlichen Austausch
unter Kolleginnen und Kollegen.
Der Referent stellt sein Wissen
zur Verfügung, aber jeder Teilnehmer
kann sich durch Fragen, Ergänzungen
oder auch Widerspruch einbringen.
Wissenstransfer ist keine Einbahnstraße:
Schulungsinhalte fließen in die
Projektarbeit ein und umgekehrt geben
Erfahrungen in konkreten Projekten
Anstoß zu neuen Schulungen, von
denen wir Ihnen auch in den kommenden
Newslettern jeweils eine vorstellen
werden.
Abb. 3: Eingreifen des Gleitschutzes
Auszug aus unserem
Schulungsprogramm
Abb. 1: Wirkweg der indirekten Bremse: Erzeugen des HL-Drucks
Dreidruckventil – Füllabschluss
Grundlagen
• y Bahntechnik
• y Leit- und Sicherungstechnik
• y Schienenfahrzeuge
• y Bahntechnische Standards und
Normen
• y Requirements Engineering
• y Modellbasiertes Systems
Engineering
• y Systementwicklung
• y ...
Fahrzeuge
• y Zugsteuerung
• y Bremse
• y Traktion
• y ...
Safety
• y Funktionale Sicherheitsanalyse
• y Hazard Analysis
• y Zulassungsprozesse
• y ...
Abb. 2: Wirkweg der indirekten Bremse: Erzeugen des C-Drucks
Leit- und Sicherungstechnik
• y Elektronische Stellwerke
• y Stellwerklogik
• y ETCS
• y ...
- 15 -

Mit Sicherheit
von der Spezifikation
bis zur Zulassung
Seit mehr als 10 Jahren realisiert Berner & Mattner
anspruchsvolle Projekte für Bahnbetreiber und
Hersteller von bahntechnischen Systemen.
Systems Engineering
Software Engineering
Test Engineering
Safety Engineering
Juli 2013
Bahnsignaltechnik Rio –
Implementierung von
ERTMS in Südamerika
Überwachungssysteme –
Fehleroffenbarung als
zentraler Baustein
Bahntechnikschulung –
Inhouseseminar zur
Fahrwegssicherung
Dezember 2012
UML-Modellierung –
Betrachtungen zur
Wirtschaftlichkeit
Quality Gates –
Wertschöpfungsketten
optimieren
Mitarbeiterschulung –
Bahntechnische Ausbildung
Juli 2012
Embedded Software –
Höhere Leistung,
bessere Bedienbarkeit
Neue Technologien –
Embedded Systeme im
„Internet der Dinge“
Vernetzte Systeme –
Markterfolg durch neue
Schnittstellenkonzepte
Die vorangegangenen Ausgaben des Newsletters „Insight Transportation“ finden Sie zum Download unter:
www.berner-mattner.com/de/download-center/newsletter
www.berner-mattner.com
München - Berlin - Ingolstadt - Köln - Stuttgart - Wien - Wolfsburg