11. Newsletter 'Insight Transportation' (pdf 2,0 MB) - Berner & Mattner
11. Newsletter 'Insight Transportation' (pdf 2,0 MB) - Berner & Mattner
11. Newsletter 'Insight Transportation' (pdf 2,0 MB) - Berner & Mattner
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Nr. 11 / Dezember 2013<br />
Transportation<br />
Embedded Software –<br />
Erfolgreiche Zertifizierung<br />
nach EN 50128<br />
Systemarchitektur –<br />
Security-Betrachtungen<br />
im Safety-Life-Cycle<br />
Anwendungserfahrung –<br />
CSM-VO in der Leit- und<br />
Sicherungstechnik<br />
© fotolia.com: kalafoto
Transportation<br />
© fotolia.com: Tomas Sereda<br />
VORWORT<br />
Sehr geehrte Leserin,<br />
Sehr geehrter Leser,<br />
der Begriff Sicherheit ist in der Bahnbranche<br />
von zentraler Bedeutung, wobei<br />
er traditionell meistens im Sinne<br />
von „Betriebssicherheit“ verwendet<br />
wird. Genau diese Art von Sicherheit<br />
meinen wir, wenn wir von „Safety“-Engineering<br />
sprechen. Dieses Thema ist<br />
uns sehr wichtig. In nahezu jeder Ausgabe<br />
von „Insight Transportation“ berichten<br />
wir in mindestens einem Artikel<br />
über Verfahren, Methoden und Werkzeuge<br />
zum Nachweis der Betriebssicherheit<br />
bahntechnischer Systeme.<br />
In dieser Ausgabe erweitern wir unser<br />
Sicherheitsspektrum erstmalig um<br />
das Thema „Angriffssicherheit“. Den<br />
entsprechenden englischen Ausdruck<br />
„Security“ kennt man vor allem aus<br />
der klassischen IT-Welt, deren Technologien<br />
und Komponenten aber immer<br />
häufiger auch in bahntechnischen<br />
Systemen verwendet werden. Wir bei<br />
<strong>Berner</strong> & <strong>Mattner</strong> sehen uns dabei<br />
weniger im reinen IT-Geschäft, sondern<br />
wollen vielmehr einen Beitrag<br />
zur Security leisten, indem wir informations-<br />
und bahntechnisches Knowhow<br />
miteinander kombinieren. Deshalb<br />
freue ich mich, dass wir in dieser<br />
Ausgabe je einen Artikel zu dem Thema<br />
Safety und Security haben.<br />
Apropos Sicherheit: Die Entwicklung<br />
betriebssicherer Software für Antriebsund<br />
Bremssysteme von Zügen beherrschen<br />
unsere französischen Kollegen<br />
aus Toulouse aus dem Effeff. Mehr<br />
dazu gleich auf der nächsten Seite.<br />
Ich wünsche Ihnen viel Freude beim<br />
Lesen der Beiträge.<br />
Thorsten Hiebenthal<br />
Hauptabteilungsleiter Transportation<br />
IMPRESSUM<br />
INHALTSVERZEICHNIS<br />
Herausgeber:<br />
<strong>Berner</strong> & <strong>Mattner</strong> Systemtechnik GmbH<br />
Erwin-von-Kreibig-Str. 3<br />
80807 München<br />
Tel. +49 89 608090-0<br />
Fax +49 89 6098182<br />
www.berner-mattner.com<br />
marketing@berner-mattner.com<br />
Redaktion und Gestaltung:<br />
Thorsten Hiebenthal, Martina Heinze mit<br />
Dank an die Autoren der Beiträge<br />
© <strong>Berner</strong> & <strong>Mattner</strong> / Dezember 2013<br />
Vorwort 2<br />
Embedded Software für franz. Fahrzeughersteller – Erfolgreiche Zertifizierung 3<br />
CSM-VO in der Leit- und Sicherungstechnik – Erste Anwendungserfahrung 4<br />
Modellbasiertes Systems Engineering – Effizienter Entwicklungsprozess 7<br />
Security-Betrachtungen im Safety-Life-Cycle – Systemarchitektur im Umbruch 10<br />
Kurznachrichten 12<br />
Wenn Beleuchtung mitdenkt – Energieeffizienz durch intelligente Lichtsteuerung 13<br />
Inhouse Training – Vertiefende Schulung: Schienenfahrzeugtechnik Bremse 14<br />
- 2 -
Nr. 11 / Dezember 2013<br />
Embedded Software für<br />
Antriebs- und Bremssysteme<br />
Erfolgreiche Zertifizierung nach EN 50128<br />
Ein großer Bahnkunde von Assystem, France, hatte 2009 eine<br />
Reihe neuer Projekte zu bewältigen. Der französische Fahrzeughersteller<br />
beauftragte Assystem mit der Entwicklung und Wartung<br />
von Embedded Software für Antriebs- und Bremssysteme<br />
– Startpunkt einer langjährigen, guten Zusammenarbeit.<br />
Ein Beitrag von Christian Brotons<br />
Responsable Dévelopment<br />
Technology and Product Engineering<br />
Assystem, France<br />
E-Mail: cbrotons@assystem.com<br />
© fotolia.com: TEA<br />
2009 suchte der französische Fahrzeughersteller<br />
einen auf Softwareentwicklung<br />
spezialisierten Partner für die<br />
Entwicklung und Wartung der Embedded<br />
Software für Antriebs- und Bremssysteme.<br />
Diese sollte nach dem europäischen<br />
Qualitätsstandard EN 50128<br />
SSIL2 und auf Basis der, bei dem Unternehmen<br />
eingeführten Prozesse und<br />
Tools wie ControlBuild © , Clearcase © ,<br />
Reqtify © und Clearquest © entwickelt<br />
und gepflegt werden. Assystem erhielt<br />
den Zuschlag.<br />
Verschiedene Züge – verschiedene<br />
Programme<br />
Die Herausforderung: Zeitgleich galt es,<br />
verschiedene, sehr flexible Software für<br />
Hochgeschwindigkeitszüge, Lokomotiven<br />
und U-Bahnen zu entwickeln. Die<br />
Einhaltung der geforderten Qualitätsstandards<br />
sowie die Anwendung der<br />
vom Kunden vorgegebenen Tools, Software<br />
und Methoden gelang Assystem<br />
u. a. durch das perfekte Zusammenspiel<br />
seiner Back- und Frontoffices. Dabei<br />
stand sowohl die Koordination einer<br />
Reihe paralleler Projekte als auch<br />
die pünktliche Lieferung qualitativ und<br />
funktional hochwertiger Software im<br />
Vordergrund. Um dies zu gewährleisten,<br />
wurden mehrere Assystem-Teams<br />
in Frankreich und Rumänien erweitert<br />
und geschult. Das Ergebnis: eine harmonische<br />
und effiziente länderübergreifende<br />
Zusammenarbeit – von der<br />
Entwicklung in Toulouse über die Integration<br />
beim Kunden vor Ort bis zu den<br />
Tests in Rumänien.<br />
Vom Design über Test bis zur<br />
Dokumenterstellung<br />
Ob doppelstöckiger oder niederfluriger<br />
Triebzug oder Hochgeschwindigkeitszug<br />
– für jedes der Projekte entwickelte<br />
Assystem die Embedded Software,<br />
codierte und integrierte, analysierte<br />
und bearbeitete Change Requests<br />
(CR), kontrollierte Spezifikationen, prüfte<br />
Code und führte Integrationstests<br />
durch. Zusätzlich wurden Dokumente<br />
zur Qualität und Nachverfolgbarkeit erstellt<br />
und an Vor- und Nachbereitungen<br />
von Audits mitgewirkt.<br />
Arbeitspakete zum Festpreis<br />
Jedes Projekt wurde schrittweise gemäß<br />
den Spezifikationen des Kunden<br />
realisiert und entsprechend einer Tabelle<br />
von Arbeitseinheiten zum Festpreis<br />
abgerechnet. Mit Erfolg: Alle<br />
Softwarekomponenten wurden pünktlich<br />
nach EN 50128 zertifiziert.<br />
Das Plus für den Kunden: verbesserte<br />
Prozesse, geringere Kosten<br />
Der französische Fahrzeughersteller<br />
profitierte von homogenisierten Zertifizierungs-<br />
und Anforderungsprozessen<br />
und konnte somit den Gesamtprozess<br />
weiter verbessern. Die Übernahme<br />
des Teammanagements und die Schulung<br />
der Teammitglieder durch Assystem,<br />
aber auch die Einbeziehung der<br />
Teams in Rumänien bedeuten für den<br />
Kunden eine Entlastung der eigenen<br />
Teams sowie eine Reduzierung der<br />
Entwicklungskosten. <br />
- 3 -
Transportation<br />
© fotolia.com: dieposse86<br />
CSM-VO in der Leit- und<br />
Sicherungstechnik<br />
Erste Erfahrungen bei der Anwendung<br />
Um eine europäische Regelung zur Betrachtung der Sicherheit<br />
im Zulassungsprozess zu finden, wurde die Common-Safety-<br />
Method-Verordnung (CSM-VO; EG-Verordnung Nr. 352/2009 vom<br />
24.04.2009) entwickelt. Die Verordnung dient der Überwachung<br />
und Kontrolle von Gefährdungen, die durch Änderungen im System<br />
Bahn entstehen können. Im folgenden Artikel wird der Risikomanagementprozess<br />
nach der CSM-VO erläutert. Anhand eines<br />
Praxisbeispiels werden einige Erfahrungen bei der Durchführung<br />
ausgewählter Prozessschritte geschildert.<br />
Ein Beitrag von<br />
Dipl.-Ing. (FH) Nicola Mönig (l.)<br />
Systemingenieurin<br />
<strong>Berner</strong> & <strong>Mattner</strong>, München<br />
E-Mail: nicola.moenig@berner-mattner.com<br />
Dipl.-Inf. (FH) Cengiz Genc (m.)<br />
Teamleiter Signalling<br />
<strong>Berner</strong> & <strong>Mattner</strong>, München<br />
E-Mail: cengiz.genc@berner-mattner.com<br />
Dr. Bernhard Hulin (r.)<br />
Consultant Funktionale Sicherheit<br />
<strong>Berner</strong> & <strong>Mattner</strong>, München<br />
E-Mail: bernhard.hulin@berner-mattner.com<br />
Einführung der Verordnung<br />
CSM-VO<br />
Um die Anforderungen an Sicherheitsbetrachtungen<br />
und deren Ergebnisse<br />
in Europa vergleichbar zu gestalten,<br />
wurde die CSM-VO als harmonisiertes<br />
Konzept zur Risikobewertung entworfen.<br />
Die entstandene Verordnung basiert<br />
auf der EN 50126 und ergänzt diese<br />
in einigen Punkten. So werden zum<br />
Beispiel Risikoakzeptanzprinzipien definiert,<br />
welche in der EN 50126 nicht<br />
enthalten sind. Seit dem 01.07.2012 gilt<br />
die CSM-VO uneingeschränkt für alle<br />
Änderungen des Systems Bahn und<br />
damit auch für Infrastruktursysteme.<br />
Die Bewertung von Risiken ist durch<br />
die CSM-VO in mehrere Schritte unterteilt<br />
(siehe Abbildung 1), die wir in diesem<br />
Artikel erläutern.<br />
Was sind Änderungen?<br />
Bevor auf die einzelnen Schritte der<br />
Bewertung von Risiken eingegangen<br />
werden kann, ist zunächst zu klären,<br />
was eine Änderung im Sinne der<br />
Verordnung ist. Beispiel: Wie ist die<br />
Änderung der Abzweiggeschwindig-<br />
keit in einer ansonsten gleich bleibenden<br />
Weichenverbindung zu bewerten?<br />
Nach der Verordnung sind Änderungen<br />
des Systems Bahn zunächst Veränderungen<br />
betrieblicher, technischer<br />
oder organisatorischer Natur, die zu<br />
neuen Risiken führen können. So kann<br />
z. B. eine Änderung eines bestehenden<br />
technischen Systems durch die Erweiterung,<br />
Modifikation oder Wegnahme<br />
von Funktionalität gegeben sein. Aber<br />
auch die Neuentwicklung eines Systems<br />
oder die Einführung neuer Betriebsabläufe<br />
können eine Änderung<br />
im Sinne der CSM-VO sein.<br />
- 4 -
Nr. 11 / Dezember 2013<br />
Vorläufige Systemdefinition<br />
Änderung/Neuentwicklung<br />
Beschreibung: Systemumfang, Zweck des<br />
Systems, Sicherheitsimplikationen,<br />
technisches Konzept, Systemumgebung,<br />
Gefährdungen;<br />
Prüfung Sicherheitsrelevanz<br />
und Signifikanz<br />
Alle Änderungen, die einen Personenund/oder<br />
Umweltschaden verursachen<br />
können<br />
Bewertung von:<br />
• Folgen von Ausfällen<br />
• Innovativen Elementen<br />
• Komplexität<br />
• Überwachbarkeit<br />
• Umkehrbarkeit<br />
Hat das neue Verfahren/System<br />
Auswirkungen auf die Sicherheit?<br />
Ist die Auswirkung der sicherheitsrelevanten<br />
Änderung signifikant?<br />
Systemdefinition erstellen<br />
Gefährdungsermittlung und<br />
-einstufung<br />
Weiter je nach Ergebnis<br />
obiger Prüfungen<br />
Wahl des Akzeptanzprinzips<br />
Sicherheitsanforderungen<br />
Gefährdungsprotokoll erstellen<br />
Nachweis der Sicherheitsanforderungen<br />
Bild 1: Übersicht Prozess nach CSM-VO<br />
Prüfung der Signifikanz<br />
Der erste Schritt der Risikobewertung<br />
ist die Signifikanzprüfung, welche entscheidet,<br />
ob eine Änderung weiter untersucht<br />
werden muss. Die Basis dafür<br />
ist eine vorläufige Systemdefinition,<br />
anhand derer zuerst geprüft wird, ob<br />
die durchzuführenden Änderungen sicherheitsrelevant<br />
sind. Als sicherheitsrelevant<br />
gilt eine Änderung, sobald diese<br />
zu Personen- oder Umweltschäden<br />
führen kann. Die Bewertung der Sicherheitsrelevanz<br />
erfolgt durch einen<br />
Sachverständigen, der die Folgen von<br />
Ausfällen bewertet.<br />
Neben der Sicherheitsrelevanz werden<br />
weitere Kriterien zur Prüfung der Signifikanz<br />
einer Änderung herangezogen<br />
(z. B. Innovationsgrad, Komplexität,<br />
fehlende Möglichkeit einer Überwachung).<br />
Wird eine Änderung nicht als<br />
signifikant eingestuft, muss das CSM-<br />
Verfahren auch nicht weiter durchgeführt<br />
werden.<br />
Gefährdungsermittlung und<br />
-einstufung<br />
Häufigkeit von<br />
Gefahrenquellen<br />
Gefährdung<br />
1<br />
Bild 2: Gefährdungseinstufung<br />
Nach der Prüfung der Signifikanz folgt<br />
die Gefährdungsermittlung. In diesem<br />
Schritt werden sämtliche Gefährdungen,<br />
die durch die Änderung entstehen<br />
können, durch Sachverständige<br />
identifiziert. Für jede Gefährdung wird<br />
qualitativ das zugehörige Risiko geschätzt<br />
(z. B. Risikomatrix in Abbildung<br />
2). Gefährdungen, deren Risiko<br />
als „weitgehend akzeptabel“ gilt, müssen<br />
nach der Begründung der Dokumentation<br />
nicht weiter untersucht werden.<br />
Dies kann beispielsweise der Fall<br />
sein, wenn der Risikobeitrag der Änderung<br />
klein genug ist, sodass zusätzliche<br />
Sicherheitsmaßnahmen nicht gerechtfertigt<br />
sind.<br />
Risikostufen<br />
Häufig Unerwünscht Intolerabel Intolerabel Intolerabel<br />
Wahrscheinlich Tolerabel Unerwünscht Intolerabel Intolerabel<br />
Gelegentlich Tolerabel Unerwünscht Unerwünscht<br />
Selten Vernachlässigbar Tolerabel Unerwünscht Unerwünscht<br />
Unwahrscheinlich Vernachlässigbar Vernachlässigbar Tolerabel Tolerabel<br />
Unvorstellbar Vernachlässigbar Vernachlässigbar Vernachlässigbar Vernachlässigbar<br />
Unbedeutend Marginal Kritisch Katastrophal<br />
Gefahrenstufen<br />
Gefährdung<br />
2<br />
- 5 -
Transportation<br />
Wahl des Akzeptanzprinzips<br />
Bei Änderungen, welche zu einem<br />
höheren Risikobeitrag führen, ist im<br />
nächsten Schritt festzulegen, nach welchem<br />
Risikoakzeptanzprinzip die Risikobeherrschung<br />
nachgewiesen werden<br />
soll. Hierzu sieht die Verordnung<br />
verschiedene Verfahren vor:<br />
• y Beherrschung von Gefährdungen<br />
durch die Anwendung von anerkannten<br />
Regeln der Technik<br />
• y Nachweis der Ähnlichkeit zu einem<br />
Referenzsystem und Umsetzung<br />
der Sicherheitsmaßnahmen des<br />
Referenzsystems zur Beherrschung<br />
der Gefährdungen<br />
• y Qualitative oder quantitative Risikoabschätzung<br />
anhand eines Risikoakzeptanzkriteriums<br />
(explizite Risikoabschätzung,<br />
z. B. nach RAC-TS)<br />
Die Wahl des geeigneten Verfahrens<br />
ist von der Art der Änderung abhängig.<br />
So könnte beispielsweise für Änderungen,<br />
für die weder ein vergleichbares<br />
Referenzsystem noch eine entsprechende<br />
anerkannte Regel der Technik<br />
existiert, eine explizite Risikoabschätzung<br />
verwendet werden. Dies wäre<br />
z. B. bei der Entwicklung eines neuen<br />
Systems der Fall. In besonderen Fällen,<br />
z. B. bei erheblichen Gefährdungen,<br />
kann die Kombination mehrerer<br />
Verfahren notwendig sein.<br />
Aus der Durchführung der dargestellten<br />
Schritte ergeben sich umzusetzende<br />
Sicherheitsmaßnahmen zur Gefährdungsbeherrschung,<br />
welche bereits in<br />
die Bewertung der Risikoakzeptanz<br />
einfließen. Von diesen Maßnahmen<br />
werden Sicherheitsanforderungen abgeleitet.<br />
Deren Erfüllung ist nachzuweisen,<br />
damit das System als sicher<br />
gilt. Dies und auch die Ergebnisse der<br />
vorhergehenden Schritte des Risikomanagementverfahrens<br />
sind durch<br />
eine unabhängige Bewertungsstelle<br />
(Assessment Body) zu prüfen. Der gesamte<br />
Prozess der Risikobewertung ist<br />
iterativ, wird also ggf. mehrfach durchlaufen<br />
(z. B. nach Identifikation zusätzlicher<br />
Gefährdungen).<br />
Erfahrungen aus der Anwendung<br />
Bei der Anwendung der CSM-VO in<br />
ersten Projekten im Umfeld der Leitund<br />
Sicherungstechnik sind einige<br />
Erkenntnisse entstanden, deren Berücksichtigung<br />
die Arbeit mit der Verordnung<br />
erleichtern kann. Nachfolgend<br />
sind einige Beispiele dargestellt.<br />
Eine wichtige Erkenntnis bezieht sich<br />
auf den Zeitpunkt der Durchführung<br />
der Risikobewertung. In der Praxisanwendung<br />
zeigte sich, dass eine frühzeitige<br />
Bewertung vor der Spezifikation<br />
und Entwicklung einige Vorteile<br />
mit sich bringt. So können nachträgliche<br />
hohe Anpassungsaufwände vermieden<br />
werden, die von falschen Annahmen<br />
bezüglich des verbundenen<br />
Risikos oder fehlenden Sicherheitsanforderungen<br />
herrühren.<br />
Neben dem Zeitpunkt der Anwendung<br />
ist zu beachten, dass oft zum Zeitpunkt<br />
der Signifikanzprüfung noch keine vollständige<br />
oder gar keine Gefährdungs-<br />
- 6 -<br />
© istockphoto.com: peterspiro
Nr. 11 / Dezember 2013<br />
ermittlung stattgefunden hat. In solchen<br />
Fällen kann die Einstufung der<br />
Sicherheitsrelevanz einer Änderung<br />
häufig noch nicht vollumfänglich geklärt<br />
werden. Um die Signifikanzprüfung<br />
abschließen zu können, sollte<br />
dann die Gefährdungsermittlung vorgezogen<br />
werden.<br />
Mindestens so wichtig wie die Bewertung<br />
der Einzelkriterien der Signifikanzprüfung<br />
ist die Gewichtung dieser<br />
Kriterien bei der Bestimmung der Signifikanz.<br />
Da durch die CSM-VO keine<br />
Berechnungsvorschrift vorgegeben<br />
ist, können durch eine falsche Gewichtung<br />
schnell Fehlentscheidungen entstehen.<br />
Bei einer falschen Gewichtung<br />
könnte z. B. selbst bei Vorliegen<br />
von sicherheitsrelevanten Änderungen<br />
auf Grund einer geringen Komplexität<br />
und einem niedrigen Innovationsgrad<br />
entschieden werden, dass diese nicht<br />
signifikant sind.<br />
Fazit<br />
Die ersten Praxiserfahrungen mit der<br />
CSM-VO zeigen, dass bei der Anwendung<br />
einige Regeln zu berücksichtigen<br />
sind, um Probleme durch Verfahrensfehler<br />
oder z. B. hohe Kosten durch<br />
Nachbesserungen zu vermeiden.<br />
Außerdem sind einige Fragen entstanden,<br />
die in späteren Versionen der<br />
Verordnung bzw. bei konkreten Zulassungen<br />
von Systemen mit den Aufsichtsbehörden<br />
zu klären sind. Insbesondere<br />
bei essenziellen Schritten wie<br />
der Signifikanzprüfung ist zu beachten,<br />
dass durch die CSM-VO zwar die<br />
Kriterien zur Bestimmung, aber keine<br />
konkrete Bewertungsvorschrift oder<br />
Gewichtung der Kriterien vorgegeben<br />
sind. Wenn wichtige Kriterien wie die<br />
Sicherheitsrelevanz und die Ausfallfolgen<br />
nicht hinreichend bei der Bewertung<br />
berücksichtigt werden, kann<br />
dies zu falschen Ergebnissen führen.<br />
Neben Dingen, die bei der Durchführung<br />
der Risikobewertung zu beachten<br />
sind, spielt auch der Zeitpunkt der<br />
Risikobewertung eine wichtige Rolle.<br />
Die Bewertung sollte zum frühestmöglichen<br />
Zeitpunkt gestartet werden. Dadurch<br />
sind hohe Änderungsaufwände<br />
in einer späteren Phase einer Entwicklung<br />
vermeidbar, die beispielsweise<br />
durch eine nachträgliche Anpassung<br />
von Risikobewertungen entstehen können.<br />
<br />
Modellbasiertes Systems<br />
Engineering in der Bahntechnik<br />
Effizienter Entwicklungsprozess mit SysML<br />
Ständig wechselnde Anforderungen an neue Entwicklungen und<br />
deren Zulassung sowie auch an die Dokumentation bereits bestehender<br />
Systeme erfordern neue Werkzeuge in der funktionalen<br />
Analyse von bahntechnischen Systemen. Hierbei stoßen die<br />
gängigen, fließtextbasierten Methoden schnell an ihre Grenzen.<br />
Besonders in Bezug auf Wartbarkeit und Konsistenz sowie auch<br />
in der Nachverfolgung von Anforderungen rücken modellbasierte<br />
Ansätze immer mehr in den Vordergrund.<br />
Ein Beitrag von Sebastian Diekhoff<br />
Systemingenieur<br />
<strong>Berner</strong> & <strong>Mattner</strong>, Wien<br />
E-Mail: sebastian.diekhoff@berner-mattner.at<br />
<strong>Berner</strong> & <strong>Mattner</strong> setzt diese Methoden<br />
seit Jahren erfolgreich ein und ist<br />
damit ein wertvoller Entwicklungspartner<br />
für seine Kunden, insbesondere für<br />
Aufgaben im Bereich modellbasierter<br />
Entwicklungen sowie funktionaler Analyse<br />
und Reverse Engineering.<br />
SysML: Sprache der Wahl<br />
SysML (Systems Modeling Language)<br />
wurde im Jahr 2007 zum ersten Mal<br />
als Standard von der Object Management<br />
Group (OMG) veröffentlicht und<br />
ist zur Zeit in der Version 1.3 verfügbar.<br />
Sie ist eine, auf UML (Unified Modeling<br />
Language) basierende, standardisierte<br />
Sprache, die eine Untermenge<br />
von UML um spezielle, auf die Anforderungen<br />
des Systems Engineerings<br />
angepasste, Elemente erweitert. Dadurch<br />
bietet sie alle Sprachmittel, die<br />
- 7 -
Transportation<br />
das moderne modellbasierte Systems<br />
Engineering erfordert. Die Taxonomie<br />
von SysML gliedert sich in Strukturdiagramme<br />
(z. B. internes Blockdiagramm,<br />
Blockdefinitionsdiagramm),<br />
Verhaltensdiagramme (z. B. Aktivitätsdiagramm<br />
siehe Abb. 2, Zustandsdiagramm)<br />
und Anforderungsdiagramme.<br />
Use Case Definition<br />
Anlegen der pneumatischen Zugbremse<br />
Pneumatischer Bremsbefehl<br />
: CAN Input<br />
Pneumatischer Bremsbefehl<br />
Die Basis der Modellierung stellen die<br />
Anwendungsfälle, bzw. Use Cases,<br />
(Abb. 2) dar. Sie gliedern den zu modellierenden<br />
Gesamtumfang an Funktionen<br />
in abgeschlossene Teilbereiche,<br />
sodass – vor allem bei großen Projekten<br />
– eine Gliederung entsteht, deren<br />
Komplexität beherrschbar bleibt. Aus<br />
SysML-Sicht stellen die Anwendungsfälle<br />
eine Deklaration eines Systemverhaltens<br />
dar, das auf Basis von bestimmten<br />
Aktionen ein nach außen<br />
sichtbares Resultat bietet. Die Definition<br />
erfolgt auf einer abstrakten Ebene,<br />
da hierbei das interne Verhalten<br />
und die beteiligten Systemkomponenten<br />
nicht näher beschrieben werden. In<br />
der Abbildung 2 ist zu erkennen, dass<br />
der Triebfahrzeugführer als Akteur fungiert,<br />
der den Use Case startet, und<br />
die Schiene das Medium darstellt, an<br />
dem das Resultat sichtbar wird (hier<br />
die aufgebrachte Bremskraft).<br />
Absenken<br />
Einlesen des Befehls<br />
vom<br />
Triebfahrzeugführer<br />
(Bremsbefehl liegt vor)<br />
v<br />
Ansteuerung des<br />
HL-Drucks im Zug<br />
(Kein Bremsbefehl)<br />
HL-Druck : bar<br />
Statische Modelle<br />
Um den zuvor definierten Anwendungsfällen<br />
die realen Systemkomponenten<br />
zuweisen und die Interaktion<br />
zwischen den beteiligten Elementen<br />
beschreiben zu können, wird auf die<br />
Klasse der Strukturdiagramme zurückgegriffen.<br />
Die betroffenen Teile<br />
des Gesamtsystems werden mit Hilfe<br />
von Blockdefinitionsdiagrammen als<br />
SysML-Blöcke definiert, alle Schnittstellen<br />
der Komponente (sogenannte<br />
Ports) modelliert und eine Zuweisung<br />
zu den entsprechenden Anwendungsfällen<br />
allokiert.<br />
Über interne Blockdiagramme (Abb. 3)<br />
lassen sich nun Informationsflüsse<br />
zwischen den einzelnen Elementen<br />
darstellen. Hierbei kann es sich sowohl<br />
um physikalische, als auch logische Informationen<br />
handeln. Um die Komplexität<br />
der Diagramme überschaubar zu<br />
halten, werden nur diejenigen Blöcke<br />
herangezogen, die für den jeweiligen<br />
Anwendungsfall relevant sind. Für unseren<br />
Beispiel-Use-Case sind hier<br />
nur die Systemkomponenten Pneumatischer<br />
Bremshebel (für die Be-<br />
HL-Druck : bar<br />
Bremsdruck erhöhen<br />
Abb. 1: Aktivitätsdiagramm für das dynamische Verhalten<br />
<br />
Triebfahrzeugführer<br />
<br />
Absenken des zugweiten<br />
HL-Drucks<br />
Abb. 2: Use-Case-Definition<br />
<br />
Anlegen der<br />
pneumatischen Zugbremse<br />
<br />
v<br />
Ansteuerung des<br />
Bremszylinders<br />
Bremskraft : kN<br />
Pneumatische Bremskraft<br />
: kN<br />
<br />
<br />
Schiene<br />
<br />
Anlegen der pneumatischen Bremse<br />
auf dem lokalen Fahrzeug<br />
<br />
: Pneumatischer Bremshebel<br />
pneumatischer Bremsbefehl<br />
<br />
CAN input<br />
<br />
<br />
: Bremssteuerung<br />
HL Druck<br />
<br />
CAN output<br />
PHYS output<br />
PHYS input<br />
<br />
<br />
: Pneumatische Bremse<br />
Abb. 3: Statische Sicht auf die Systemkomponenten<br />
- 8 -
Nr. 11 / Dezember 2013<br />
nutzereingabe durch den Triebfahrzeugführer),<br />
Bremssteuerung (für die<br />
Absenkung des Hauptluftleitungsdrucks)<br />
und Pneumatische Bremse<br />
(für die Erzeugung der Bremskraft) von<br />
Bedeutung.<br />
Dynamische Modelle<br />
Für die vollständige Beschreibung eines<br />
Anwendungsfalls bedarf es der<br />
Modellierung des dynamischen Verhaltens<br />
innerhalb der zugewiesenen<br />
Systemkomponenten. Hierfür bietet<br />
SysML die Klasse der Verhaltensdiagramme.<br />
Je nach Art der zu beschreibenden<br />
Funktion stehen Zustandsdiagramme,<br />
Sequenzdiagramme und<br />
Aktivitätsdiagramme zur Verfügung.<br />
Im bahntechnischen Bereich haben<br />
sich die Aktivitätsdiagramme als das<br />
Werkzeug der Wahl bei der Beschreibung<br />
des dynamischen Verhaltens<br />
herausgestellt. Hingegen bieten Zustandsdiagramme<br />
alle notwendigen<br />
Sprachelemente für die Modellierung<br />
von unterschiedlichen Systemzuständen,<br />
zum Beispiel eines Zuges, inklusive<br />
der entsprechenden Übergangsbedingungen.<br />
In unserem Beispiel wird<br />
über ein Aktivitätsdiagramm die Funktion<br />
der einzelnen Systemkomponenten<br />
modelliert. So wird hier auf Basis<br />
des Inputs vom Triebfahrzeugführer<br />
(Pneumatischer Bremsbefehl) der<br />
Hauptluftleitungsdruck abgesenkt, sofern<br />
ein Bremsbefehl vorliegt. Dadurch<br />
wird in der pneumatischen Bremse ein<br />
Bremsdruck aufgebaut, der dann als<br />
pneumatische Bremskraft wieder nach<br />
außen abgegeben wird.<br />
Vorteile der modellbasierten Entwicklung<br />
und deren Anwendungen<br />
Gegenüber der herkömmlichen, fließtextbasierten<br />
Dokumentation liegen<br />
die Vorteile eines modellbasierten Ansatzes<br />
ganz klar in der Wartbarkeit und<br />
Konsistenz. Die einzelnen Komponenten<br />
des Modells werden nur einmal<br />
modelliert und anschließend an entsprechender<br />
Stelle instanziiert. Somit<br />
werden jegliche Änderungen an diesen<br />
Elementen sofort im gesamten<br />
Modell sichtbar und müssen nicht per<br />
Hand nachgezogen werden. Fehler,<br />
die durch manuelle Übertragung entstehen,<br />
sind somit ausgeschlossen.<br />
Dies stellt eine erhebliche Erleichterung<br />
im Entwicklungsprozess moderner,<br />
anspruchsvoller Systeme dar, da<br />
Änderungen leicht nachvollziehbar<br />
sind und konsistent umgesetzt werden<br />
können.<br />
SysML bietet zudem die Möglichkeit,<br />
Anforderungen direkt zu modellieren<br />
und über Anforderungsdiagramme in<br />
das Gesamtmodell zu integrieren, Testfälle<br />
aus dem Modell abzuleiten sowie<br />
modellbasiert zu testen. Dadurch<br />
deckt die Modellierung mit SysML<br />
weite Bereiche des V-Modells, einen<br />
(von einer Vielzahl von Normen geforderten)<br />
Entwicklungsstandard für<br />
die Planung und Durchführung von IT-<br />
Systementwicklungsprojekten, ab.<br />
Es ergibt sich eine Vielzahl an Möglichkeiten,<br />
unter anderem automatisierte<br />
Dokumentationsgenerierung aus dem<br />
Modell, einfache Versionierung und<br />
konsistente Nachvollziehbarkeit von<br />
Anforderungen und Sicherheitseinstufungen,<br />
die bei den heutigen Zulassungsverfahren<br />
(z. B. SIRF – Sicherheitsrichtlinie<br />
Fahrzeug) von großer<br />
Bedeutung sind. <br />
© fotolia.com: Yang Yu<br />
- 9 -
Transportation<br />
© dreamstime.com: Galina Barskaya<br />
Security-Betrachtungen<br />
im Safety-Life-Cycle<br />
Systemarchitektur im Umbruch<br />
Durch Weiterentwicklungen von Systemarchitekturen und die<br />
zunehmende Vernetzung bahntechnischer Systeme wird die sorgfältige<br />
Berücksichtigung der Angriffssicherheit (Security) immer<br />
bedeutender. Die Architektur leit- und sicherungstechnischer<br />
Systeme (LST-Systeme) befindet sich im Umbruch: Wurden bisher<br />
hauptsächlich spezifische bahntechnische Komponenten und<br />
Ende-zu-Ende-Kommunikationsverbindungen eingesetzt, entwickelt<br />
sich die Systemlandschaft hin zu generischen Rechnersystemen<br />
und deren Verbindung durch universelle Datennetzwerke<br />
mit Internettechnologie. Dies wiederum bedeutet, dass für LST-<br />
Systeme in Zukunft auch ähnliche Security-Implikationen wie für<br />
sonstige verteilte Rechnersysteme gelten werden.<br />
Ein Beitrag von<br />
Dipl.-Ing. (FH) Nicola Mönig (l.)<br />
Systemingenieurin<br />
<strong>Berner</strong> & <strong>Mattner</strong>, München<br />
E-Mail: nicola.moenig@berner-mattner.com<br />
Dr. Oliver Lemke (m.)<br />
Systemingenieur<br />
<strong>Berner</strong> & <strong>Mattner</strong>, Berlin<br />
E-Mail: oliver.lemke@berner-mattner.com<br />
Dipl.-Inf. (FH) Cengiz Genc (r.)<br />
Teamleiter Signalling<br />
<strong>Berner</strong> & <strong>Mattner</strong>, München<br />
E-Mail: cengiz.genc@berner-mattner.com<br />
Im folgenden Beitrag wird vorgeschlagen,<br />
in welchen Schritten des Lebenszyklus<br />
bahntechnischer Systeme eine<br />
systematische Berücksichtigung der<br />
Security zu den klassischen Safetyorientierten<br />
Betrachtungen erfolgen<br />
sollte.<br />
Grundsätzliche Abhängigkeiten<br />
von Betriebssicherheit, Angriffssicherheit<br />
und Verfügbarkeit<br />
In der Norm DIN EN 50126 werden die<br />
nichtfunktionalen Eigenschaften eines<br />
Systems unterteilt in Reliability (Zuverlässigkeit),<br />
Availability (Verfügbarkeit),<br />
Maintainability (Wartbarkeit) und Safety<br />
(Betriebssicherheit). Von besonderem<br />
Interesse bei Betrachtungen der<br />
Security (Angriffssicherheit) ist der Aspekt<br />
der Verfügbarkeit, da diese am<br />
einfachsten durch einen Angriff beeinflusst<br />
werden kann. Verfügbarkeit<br />
und Betriebssicherheit sind – unter anderem<br />
– abhängig von der Angriffssicherheit.<br />
So kann z. B. ein erfolgreicher<br />
Angriff auf ein RBC genutzt<br />
werden, um eine gefährliche Fahrerlaubnis<br />
für einen Zug zu erteilen (Betriebssicherheit)<br />
oder man nutzt einen<br />
Angriff auf das Datennetzwerk, um<br />
eine Überlastung und damit Verzögerungen<br />
von Stellkommandos hervorzurufen<br />
(Verfügbarkeit).<br />
Vorgehensweise zur Gewährleistung<br />
der Betriebssicherheit nach<br />
DIN EN 50126<br />
In der Norm DIN EN 50126 der Bahnanwendungen<br />
steht die Betriebssicherheit<br />
im Vordergrund. In der Risikoanalyse<br />
wird ermittelt, welche betrieblich<br />
relevanten Gefährdungen vom System<br />
ausgehen können und wie häufig<br />
diese maximal auftreten dürfen, damit<br />
das Gesamtsicherheitsziel garantiert<br />
erreicht wird. In der Gefährdungsanalyse<br />
werden Gefährdungen zunächst<br />
mit Ursachen und anschließend mit<br />
Gegenmaßnahmen versehen (Bild 1).<br />
- 10 -
Nr. 11 / Dezember 2013<br />
Erweiterung der bisherigen Vorgehensweise<br />
um die Betrachtung der<br />
Angriffssicherheit<br />
Zur Berücksichtigung von Anforderungen<br />
der Angriffssicherheit sind drei Erweiterungen<br />
dieses traditionellen Vorgehens<br />
sinnvoll:<br />
• y Erweiterung der Gefährdungsanalyse/Sicherheitsnachweis<br />
um<br />
die Betrachtung von mutwilligen<br />
Angriffsszenarien<br />
• y Erweiterung der Risikoanalyse um<br />
die Betrachtung wirtschaftlicher<br />
Schäden<br />
• y Prozessdefinition zur Identifikation<br />
von Gegenmaßnahmen zur Erhöhung<br />
der Angriffssicherheit<br />
Durch eine mangelnde Angriffssicherheit<br />
kann die Betriebssicherheit beeinflusst<br />
werden. In der Gefährdungsanalyse<br />
muss daher für jedes mögliche<br />
gefährliche Versagen überprüft werden,<br />
ob es ein Angriffsszenario gibt,<br />
Bild 1: Gefährdungsanalyse und Sicherheitsnachweis<br />
das dieses Ereignis ebenfalls hervorrufen<br />
kann (Erweiterung um „Analyse wirtschaftliche Schäden. Durch den<br />
Personenschäden ab und nicht auf<br />
der Angriffssicherheit“ in Bild 2). zunehmenden Einsatz herkömmlicher<br />
IT-Rechnersysteme und -Datennetze<br />
Wichtig dabei ist: Die bisherige Risikoanalyse<br />
muss nicht geändert werden, sen auch Angriffsszenarien für massi-<br />
in zukünftigen LST-Architekturen müs-<br />
da es nicht relevant ist, ob eine betriebliche<br />
Gefährdung durch ein Betriebssi-<br />
Denial-of-Service-Angriffe, berücksichve<br />
Betriebsbehinderungen, z. B. durch<br />
cherheitsproblem oder durch einen gezielten<br />
Angriff hervorgerufen wird. In rungen um wirtschaftliche Gefährduntigt<br />
werden. Bild 2 zeigt diese Erweite-<br />
beiden Fällen muss durch Gegenmaßnahmen<br />
verhindert werden, dass die nicht nur genutzt werden kann, um<br />
gen und stellt dar, wie der MitM-Angriff<br />
betriebliche Gefährdung öfter als in eine betriebliche Gefährdung hervorzurufen,<br />
sondern auch, um den Betrieb<br />
der Risikoanalyse ermittelt auftritt.<br />
zu hemmen.<br />
Die klassische Risikoanalyse zielt lediglich<br />
auf die Betriebssicherheit und Aus der Betrachtung der Betriebs- und<br />
insbesondere auf die Vermeidung von Angriffssicherheit ergeben sich zwei<br />
© dreamstime.com: Galina Barskaya<br />
Bild 2: Erweiterung um „Analyse der Angriffssicherheit“<br />
- 11 -
Transportation<br />
verschiedene Arten von Gegenmaßnahmen<br />
(zur Betriebssicherheit und<br />
zur Angriffssicherheit). Fraglich ist nun,<br />
wie der Umgang mit diesen beiden Arten<br />
von Gegenmaßnahmen gehandhabt<br />
wird. Hierzu gibt es 2 Optionen:<br />
• y Die Gegenmaßnahmen der Angriffssicherheit<br />
werden mit den<br />
Maßnahmen der Betriebssicherheit<br />
abgeglichen und in einen Satz<br />
gemeinsamer Gegenmaßnahmen<br />
zusammengeführt.<br />
• y Es wird eine Redundanz der Gegenmaßnahmen<br />
gebildet, d. h., beide<br />
Arten von Gegenmaßnahmen<br />
werden unabhängig voneinander<br />
implementiert.<br />
Für die Anwendung in der Bahntechnik<br />
sollte die Trennung von Gegenmaßnahmen<br />
der Betriebssicherheit und der<br />
Angriffssicherheit favorisiert werden,<br />
da der Lebenszyklus von Maßnahmen<br />
zur Angriffssicherheit üblicherweise<br />
deutlich kürzer als der zur Betriebssicherheit<br />
ist. Bei einer Trennung muss<br />
nur der Anteil angepasst werden, der<br />
sich auf die Angriffssicherheit bezieht.<br />
Eine Entwicklung beispielsweise eines<br />
AES-Algorithmus bei Einhaltung<br />
der umfangreichen SIL-4-Anforderungen<br />
der CENELEC wäre außerordentlich<br />
kosten- und zeitintensiv. Eine klare<br />
Aufgabenverteilung ermöglicht, die<br />
Maßnahmen zur Angriffssicherheit in<br />
einer Security-Architektur anzuordnen,<br />
in der dann die klassischen Maßnahmen<br />
zur Betriebssicherheit implementiert<br />
werden, ohne weiter auf die Angriffssicherheit<br />
eingehen zu müssen.<br />
Fazit<br />
Durch die zunehmende Verwendung<br />
standardisierter, kommerzieller IT-Systeme<br />
und -Datennetze zur Realisierung<br />
von Bahnsystemen entsteht eine<br />
erhöhte Gefahr für Angriffe auf LST-<br />
Systeme. Daher ist eine ausschließliche<br />
Betrachtung der Betriebssicherheit<br />
in einem Systemlebenszyklus<br />
nicht mehr ausreichend. Die bisherigen<br />
Verfahren der Gefährdungs- und<br />
Risikoanalyse sollten somit um eine<br />
Analyse der Angriffssicherheit erweitert<br />
werden, um weiterhin einen sicheren<br />
Betrieb von Bahnsystemen und<br />
Schutz vor wirtschaftlichen Schäden<br />
durch Angriffe gewährleisten zu können.<br />
Bei der Erweiterung dieser Betrachtungen<br />
sollte jedoch auf eine<br />
Trennung zwischen Maßnahmen der<br />
Betriebs- und der Angriffssicherheit<br />
geachtet werden, da sonst eine dauerhafte<br />
Lösung ohne hohe Zusatzkosten<br />
(z. B. durch eine regelmäßige Modernisierung<br />
der Maßnahmen für Angriffssicherheit)<br />
nicht realisierbar ist. <br />
>> Fachbeitrag: „Kriterien für die Auswahl<br />
eines Werkzeugs zur automatisierten<br />
Testfallgenerierung“<br />
Um die Umsetzung eines betrieblich-technischen<br />
Lastenhefts für ETCS effizient zu<br />
testen, wurde ein Werkzeug für die automatisierte<br />
Testfallgenerierung auf Basis<br />
bereits bestehender Aktivitätsdiagramme<br />
gesucht.<br />
Erschienen in Signal + Draht – Ausgabe<br />
Nr. 05/2013<br />
www.berner-mattner.com/de/fachartikel<br />
>> Fachbeitrag: „Smartphone & Co. als<br />
HMI“<br />
Die Ansprüche an die Mensch-Maschine-<br />
Schnittstelle ändern sich radikal. Bedienoberflächen<br />
von Maschinensteuerungen<br />
müssen sich mehr und mehr an den Konzepten<br />
von Tablets und Smartphones<br />
messen. Die industrielle Anwendung dieser<br />
„smarten“ Mobilgeräte hat zahlreiche<br />
Vorteile, birgt aber auch Risiken und verlangt<br />
daher ein sorgfältiges und methodisches<br />
Vorgehen.<br />
Erschienen in Computer Automation –<br />
Ausgabe Oktober 2013<br />
www.berner-mattner.com/de/fachartikel<br />
- 12 -<br />
Kurznachrichten<br />
>> Fachbeitrag: „Industrie 4.0 - Chancen<br />
und Risiken der Softwarezentrierung“<br />
Vernetzte intelligente Industrieanlagen für<br />
flexible, sich selbst steuernde Prozesse<br />
erhöhen den Softwareanteil in der Automatisierung.<br />
Daraus ergeben sich sowohl<br />
Chancen als auch Risiken.<br />
Erschienen in Elektronikpraxis – Ausgabe<br />
September 2013<br />
www.berner-mattner.com/de/fachartikel<br />
>> Lünendonk®-Studie veröffentlicht<br />
Die Assystem Gruppe Deutschland ist<br />
auch 2013 wieder unter den Top 25 der<br />
führenden Anbieter von Technologie-<br />
Beratung und Engineering-Services in<br />
Deutschland und rangiert auf Platz 16.<br />
www.luenendonk-shop.de/<br />
Lünendonk-Studien<br />
>> Assystem S.A.:<br />
+2,1 % Zuwachs im 1. Halbjahr 2013<br />
Am 9.9.2013 veröffentlichte Assystem die<br />
Ergebniszahlen für das 1. Halbjahr 2013:<br />
Insgesamt erreichte Assystem ein Wachstum<br />
von 2,1 % (1,6 % auf organischer Basis)<br />
mit einem Umsatz von € 436,0 Millionen.<br />
www.assystem.com<br />
Information<br />
© dreamstime.com: Ssuaphoto
Nr. 11 / Dezember 2013<br />
Über den Tellerrand geblickt:<br />
Ein Beitrag aus dem Bereich<br />
Machinery bei <strong>Berner</strong> & <strong>Mattner</strong><br />
© TRIDONIC<br />
Wenn Beleuchtung mitdenkt<br />
Energieeffizienz und Wohlbefinden<br />
durch intelligente Lichtsteuerung<br />
Meist unbemerkt halten moderne Beleuchtungssysteme Einzug in<br />
unseren Alltag. Dahinter stecken elektronische Lichtsteuerungen,<br />
die durch intelligentes Lichtmanagement dem Menschen individuellen<br />
Komfort und maximale Energieeffizienz garantieren. <strong>Berner</strong><br />
& <strong>Mattner</strong> trägt seit 2012 an den Standorten Wien und München<br />
dazu bei, dass die Beleuchtung der Zukunft smarter wird.<br />
www.tridonic.com<br />
Licht als Rhythmus unseres Lebens<br />
Das natürliche Licht, eine Kombination<br />
aus gerichtetem Sonnenlicht und<br />
diffusem Tageslicht, bestimmt den<br />
24-Stunden-Rhythmus des Tages. Der<br />
Wechsel des Lichtspektrums sowie die<br />
Veränderungen der Lichtintensität über<br />
den Tag ist die Basis für den menschlichen<br />
Biorhythmus und unterstützt unsere<br />
Aktivität, unser Zeitgefühl und somit<br />
auch unser Wohlbefinden.<br />
Revolution der künstlichen<br />
Beleuchtung<br />
Die rapide Entwicklung der LED-Technologie<br />
in den letzten Jahren hat neue<br />
Türen geöffnet. Auch in Raumsituationen<br />
ist nun eine kontinuierliche Abstimmung<br />
der künstlichen Beleuchtung<br />
auf die vorherrschende Tages- bzw.<br />
Jahreszeit sowie Arbeitsaufgaben und<br />
Tätigkeiten der Menschen möglich.<br />
LEDs sind die Leuchtmittel der Zukunft,<br />
die trotz ihrer kleinen Bauform, sehr<br />
hohe Lichtstärke, Energieeffizienz und<br />
Lebensdauer haben. Die präzise Steuerbarkeit<br />
der Farbe und Helligkeit der<br />
LEDs eröffnet neue Perspektiven der<br />
künstlichen Beleuchtung, die neben<br />
dem idealen Komfort eine Energieeinsparung<br />
von bis zu etwa 70 % erreicht.<br />
Intelligentes Lichtmanagement<br />
Damit die Beleuchtung intelligent wird,<br />
müssen LEDs richtig gesteuert werden.<br />
Moderne Beleuchtungslösungen<br />
basieren auf einem Feldbussystem wie<br />
z. B. DALI. Darin sind LEDs, Bedienelemente,<br />
Sensoren, Steuer- und Regelungseinrichtungen<br />
miteinander vernetzt<br />
und werden individuell adressiert.<br />
Diese Form der Vernetzung ermöglicht<br />
eine ständige Übertragung der Daten<br />
über die Zustände der einzelnen<br />
Komponenten an die Steuereinheit.<br />
Dessen Software verarbeitet dann die<br />
Daten und notwendige Änderungen<br />
der Farb- und Helligkeitswerte einzelner<br />
Leuchtmittel werden durchgeführt.<br />
Ein großer Vorteil dieses Netzwerkes<br />
besteht darin, dass im Falle einer Neugruppierung<br />
der Leuchtmittel keine<br />
zusätzlichen Verdrahtungen notwendig<br />
sind. Lediglich die Konfiguration<br />
des bestehenden Systems auf Bedienebene<br />
verlangt eine Anpassung.<br />
Das Beleuchtungsnetzwerk bietet zudem<br />
Schnittstellen an, um das System<br />
an ein bestehendes Gebäudemanagement<br />
anzubinden – so lassen sich<br />
auch Fremdsysteme, wie z. B. Jalousiesteuerungen<br />
in das Gesamtkonzept<br />
integrieren.<br />
All dies erfordert umfangreiche Softwarelösungen,<br />
an deren Entwicklung<br />
<strong>Berner</strong> und <strong>Mattner</strong> seit 2012 als Partner<br />
der Firma Tridonic bereits aktiv und<br />
erfolgreich beteiligt ist. <br />
- 13 -
Transportation<br />
© fotolia.com: Gina Sanders<br />
Inhouse Training<br />
Vertiefende Schulung:<br />
Schienenfahrzeugtechnik Bremse<br />
In vorangegangen <strong>Newsletter</strong>-Ausgaben haben wir unser Schulungskonzept<br />
Bahntechnik vorgestellt sowie ein Vertiefungsseminar<br />
aus dem Bereich der Leit- und Sicherungstechnik beschrieben.<br />
In diesem Artikel wenden wir uns der Fahrzeugtechnik zu und<br />
werfen einen Blick auf eine der grundlegendsten Fahrzeugfunktionen:<br />
die Bremse.<br />
Ein Beitrag von Dr. Ernst Reißner<br />
Systemingenieur<br />
<strong>Berner</strong> & <strong>Mattner</strong>, München<br />
E-Mail: ernst.reissner@berner-mattner.com<br />
Ziel der Schulung zur Bremse ist es,<br />
unseren Kolleginnen und Kollegen<br />
die grundlegenden Bremsfunktionen<br />
und die sich daraus ergebenden Anforderungen<br />
an die Bremse sowie deren<br />
technische Realisierung zu vermitteln.<br />
Da wir uns bei <strong>Berner</strong> & <strong>Mattner</strong><br />
im Rahmen von Kundenprojekten vor<br />
allem mit den funktionalen Systemeigenschaften<br />
beschäftigen, steht die<br />
Funktion im Vordergrund: Die Schulung<br />
hat nicht das Ziel, anschließend<br />
Bremsen konstruieren oder auslegen<br />
zu können.<br />
Zielgruppe sind alle Mitarbeiterinnen<br />
und Mitarbeiter, die die Grundlagenkurse<br />
zur Bahntechnik besucht haben<br />
und nun in einem unserer Schienenfahrzeugteams<br />
zum Einsatz kommen.<br />
Die Einleitung startet mit einem Rückblick<br />
auf die historische Entwicklung<br />
der Bremstechnik und der Darstellung<br />
der grundlegenden Systematik und<br />
Begriffe. So werden die drei wesentlichen<br />
Aufgaben einer Bremse genannt:<br />
• y Die Geschwindigkeit in gewollten<br />
Grenzen halten: Betriebsbremsung<br />
• y Gefahren abwenden: Schnellbremsung,<br />
Notbremsung und Zwangsbremsung<br />
• y Gegen Abrollen sichern: Feststellbremse.<br />
Und auch die beiden grundsätzlichen<br />
Bremsprinzipien und ihre Ausführungsformen:<br />
• y Kraftschlussabhängige Bremse:<br />
Klotzbremse, Scheibenbremse,<br />
generatorische Bremse und hydrodynamische<br />
Bremse<br />
• y Kraftschlussunabhängige Bremse:<br />
Magnetschienenbremse und elektrische<br />
Wirbelstrombremse.<br />
Im weiteren Verlauf liegt der Schwerpunkt<br />
bei der indirekten Bremse im<br />
Allgemeinen und der UIC-Druckluftbremse<br />
im Speziellen. Es wird erläutert,<br />
auf welchem Weg die Bremse<br />
wirkt (Wirkweg): von der Bereitstellung<br />
der Druckluft in der Hauptluftleitung<br />
(wie in Abbildung 1 dargestellt),<br />
dem Aufbau und der Funktion des<br />
Dreidruckventils (siehe Abbildung 2)<br />
bis zur Erzeugung der Bremskraft im<br />
Bremszylinder und der Verzögerung<br />
des Zugverbandes.<br />
- 14 -
Nr. 11 / Dezember 2013<br />
Nach der Darstellung der einzelnen<br />
Bremssysteme werden die verschiedenen<br />
Anwendungsbereiche der Bremssysteme<br />
sowie deren Stärken und<br />
Schwächen diskutiert. Speziell wird<br />
auf das Problem des Gleitens bei reibungsbasierten<br />
Bremssystemen eingegangen<br />
und der Gleitschutz dargestellt.<br />
Abbildung 3 zeigt die Wirkung<br />
des Gleitschutzes, nachdem ein Rad<br />
ins Gleiten gekommen ist.<br />
Nicht fehlen darf natürlich auch der<br />
Überblick über die wichtigsten Regelwerke<br />
und Normen wie z. B. die entsprechenden<br />
UIC-Merkblätter. Damit<br />
die Schulung nicht „zu trocken“ wird,<br />
werden Übungen durchgeführt wie das<br />
Berechnen des Bremsvermögens eines<br />
Zuges. Außerdem steuern unsere<br />
Experten auch Erfahrungen aus der<br />
Entwicklungs- und betrieblichen Anwendungspraxis<br />
bei.<br />
Die Schulungen bei <strong>Berner</strong> & <strong>Mattner</strong><br />
dienen aber auch dem fachlichen Austausch<br />
unter Kolleginnen und Kollegen.<br />
Der Referent stellt sein Wissen<br />
zur Verfügung, aber jeder Teilnehmer<br />
kann sich durch Fragen, Ergänzungen<br />
oder auch Widerspruch einbringen.<br />
Wissenstransfer ist keine Einbahnstraße:<br />
Schulungsinhalte fließen in die<br />
Projektarbeit ein und umgekehrt geben<br />
Erfahrungen in konkreten Projekten<br />
Anstoß zu neuen Schulungen, von<br />
denen wir Ihnen auch in den kommenden<br />
<strong>Newsletter</strong>n jeweils eine vorstellen<br />
werden. <br />
Abb. 3: Eingreifen des Gleitschutzes<br />
Auszug aus unserem<br />
Schulungsprogramm<br />
Abb. 1: Wirkweg der indirekten Bremse: Erzeugen des HL-Drucks<br />
Dreidruckventil – Füllabschluss<br />
Grundlagen<br />
• y Bahntechnik<br />
• y Leit- und Sicherungstechnik<br />
• y Schienenfahrzeuge<br />
• y Bahntechnische Standards und<br />
Normen<br />
• y Requirements Engineering<br />
• y Modellbasiertes Systems<br />
Engineering<br />
• y Systementwicklung<br />
• y ...<br />
Fahrzeuge<br />
• y Zugsteuerung<br />
• y Bremse<br />
• y Traktion<br />
• y ...<br />
Safety<br />
• y Funktionale Sicherheitsanalyse<br />
• y Hazard Analysis<br />
• y Zulassungsprozesse<br />
• y ...<br />
Abb. 2: Wirkweg der indirekten Bremse: Erzeugen des C-Drucks<br />
Leit- und Sicherungstechnik<br />
• y Elektronische Stellwerke<br />
• y Stellwerklogik<br />
• y ETCS<br />
• y ...<br />
- 15 -
Mit Sicherheit<br />
von der Spezifikation<br />
bis zur Zulassung<br />
Seit mehr als 10 Jahren realisiert <strong>Berner</strong> & <strong>Mattner</strong><br />
anspruchsvolle Projekte für Bahnbetreiber und<br />
Hersteller von bahntechnischen Systemen.<br />
Systems Engineering<br />
Software Engineering<br />
Test Engineering<br />
Safety Engineering<br />
Juli 2013<br />
Bahnsignaltechnik Rio –<br />
Implementierung von<br />
ERTMS in Südamerika<br />
Überwachungssysteme –<br />
Fehleroffenbarung als<br />
zentraler Baustein<br />
Bahntechnikschulung –<br />
Inhouseseminar zur<br />
Fahrwegssicherung<br />
Dezember 2012<br />
UML-Modellierung –<br />
Betrachtungen zur<br />
Wirtschaftlichkeit<br />
Quality Gates –<br />
Wertschöpfungsketten<br />
optimieren<br />
Mitarbeiterschulung –<br />
Bahntechnische Ausbildung<br />
Juli 2012<br />
Embedded Software –<br />
Höhere Leistung,<br />
bessere Bedienbarkeit<br />
Neue Technologien –<br />
Embedded Systeme im<br />
„Internet der Dinge“<br />
Vernetzte Systeme –<br />
Markterfolg durch neue<br />
Schnittstellenkonzepte<br />
Die vorangegangenen Ausgaben des <strong>Newsletter</strong>s „Insight Transportation“ finden Sie zum Download unter:<br />
www.berner-mattner.com/de/download-center/newsletter<br />
www.berner-mattner.com<br />
München - Berlin - Ingolstadt - Köln - Stuttgart - Wien - Wolfsburg