flammini p 18 32

15
1. INTRODUZIONE L e infrastrutture di trasporto su rotaia, in- cluse ferrovie, tranvie e metropolitane, sono percepite come uno dei segni tangibili del livello di civilizzazione di un territorio, riu- scendo a spostare notevoli masse di indivi- dui attraverso zone rurali o urbane con un li- vello di capillarità elevato, una maggiore si- curezza rispetto al trasporto su gomma e un ridotto impatto ambientale, dovuto essen- zialmente alla trazione elettrica (assenza di gas di scarico) e alla possibilità di installazio- ne underground, con una conseguente ridu- zione del traffico stradale in superficie. Allo scopo di rendere la sicurezza di tali siste- mi meno dipendente dalla supervisione uma- na – per sua natura fallibile, come testimonia- to dai tragici episodi di cronaca anche recente [1] – è in atto negli ultimi decenni una transi- zione dai tradizionali meccanismi di segnala- zione luminosa (che vanno interpretati dai macchinisti) ai moderni sistemi di controllo computerizzati (computer-based) basati su segnali virtuali, interpretabili in modo autono- mo dal sistema di controllo di bordo. Bisogna dire che anche la gestione delle tra- dizionali logiche di segnalamento, finalizzate essenzialmente ad attivare i segnali luminosi e muovere i deviatoi (noti ai più come “scam- bi”), si sta spostando progressivamente da una realizzazione tramite relè (dispositivi elettromeccanici) a sistemi computerizzati cosiddetti di “gestione della via” (o inter- locking). Affinché l’automazione sia comple- ta, però, anche la trasmissione dei segnali da terra a bordo deve essere realizzata attraver- so sistemi di elaborazione e comunicazione dati digitali. Questo è ciò che avviene nei si- stemi di Automatic Train Protection (ATP), in cui è il sistema di bordo a ricevere i segnali virtuali e ad attivare automaticamente la fre- natura in caso di pericolo. Tali segnali sono trasmessi attraverso opportuni pacchetti da- ti che contengono, tra le altre informazioni, la distanza che il treno è autorizzato a percorre- re in modo sicuro e le limitazioni di velocità della tratta. Infine, nei sistemi di Automatic Train Control (ATC), abbastanza diffusi negli impianti metropolitani (si veda per esempio, la nuova Linea C di Roma [2]), la funzionalità MONDO DIGITALE n.4 - dicembre 2010 Da alcuni anni siamo abituati a viaggiare a bordo dei treni cosiddetti ad Alta Velocità (AV), il cui movimento è gestito da un sistema di controllo che sin- tetizza i risultati di decenni di ricerche in ambito ICT. In particolare, si tratta del primo sistema ferroviario in Italia (e non solo) a sostituire i segnali lumi- nosi con segnali “virtuali”, ovvero realizzati tramite pacchetti dati trasmessi su reti wireless. In quest’articolo descriveremo il funzionamento del siste- ma AV, cogliendo l’occasione per illustrare i concetti fondamentali che ac- comunano i moderni sistemi di controllo ferroviario. Francesco Flammini SISTEMI DI CONTROLLO PER L’ALTA VELOCITÀ FERROVIARIA 18 4

Upload: francesco-ruggiero

Post on 12-Aug-2015

50 views

Category:

Documents


7 download

DESCRIPTION

Alta velocità ferroviaria

TRANSCRIPT

Page 1: Flammini p 18 32

1. INTRODUZIONE

L e infrastrutture di trasporto su rotaia, in-cluse ferrovie, tranvie e metropolitane,

sono percepite come uno dei segni tangibilidel livello di civilizzazione di un territorio, riu-scendo a spostare notevoli masse di indivi-dui attraverso zone rurali o urbane con un li-vello di capillarità elevato, una maggiore si-curezza rispetto al trasporto su gomma e unridotto impatto ambientale, dovuto essen-zialmente alla trazione elettrica (assenza digas di scarico) e alla possibilità di installazio-ne underground, con una conseguente ridu-zione del traffico stradale in superficie.Allo scopo di rendere la sicurezza di tali siste-mi meno dipendente dalla supervisione uma-na – per sua natura fallibile, come testimonia-to dai tragici episodi di cronaca anche recente[1] – è in atto negli ultimi decenni una transi-zione dai tradizionali meccanismi di segnala-zione luminosa (che vanno interpretati daimacchinisti) ai moderni sistemi di controllocomputerizzati (computer-based) basati susegnali virtuali, interpretabili in modo autono-mo dal sistema di controllo di bordo.

Bisogna dire che anche la gestione delle tra-dizionali logiche di segnalamento, finalizzateessenzialmente ad attivare i segnali luminosie muovere i deviatoi (noti ai più come “scam-bi”), si sta spostando progressivamente dauna realizzazione tramite relè (dispositivielettromeccanici) a sistemi computerizzaticosiddetti di “gestione della via” (o inter-locking). Affinché l’automazione sia comple-ta, però, anche la trasmissione dei segnali daterra a bordo deve essere realizzata attraver-so sistemi di elaborazione e comunicazionedati digitali. Questo è ciò che avviene nei si-stemi di Automatic Train Protection (ATP), incui è il sistema di bordo a ricevere i segnalivirtuali e ad attivare automaticamente la fre-natura in caso di pericolo. Tali segnali sonotrasmessi attraverso opportuni pacchetti da-ti che contengono, tra le altre informazioni, ladistanza che il treno è autorizzato a percorre-re in modo sicuro e le limitazioni di velocitàdella tratta. Infine, nei sistemi di AutomaticTrain Control (ATC), abbastanza diffusi negliimpianti metropolitani (si veda per esempio,la nuova Linea C di Roma [2]), la funzionalità

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

Da alcuni anni siamo abituati a viaggiare a bordo dei treni cosiddetti ad Alta

Velocità (AV), il cui movimento è gestito da un sistema di controllo che sin-

tetizza i risultati di decenni di ricerche in ambito ICT. In particolare, si tratta

del primo sistema ferroviario in Italia (e non solo) a sostituire i segnali lumi-

nosi con segnali “virtuali”, ovvero realizzati tramite pacchetti dati trasmessi

su reti wireless. In quest’articolo descriveremo il funzionamento del siste-

ma AV, cogliendo l’occasione per illustrare i concetti fondamentali che ac-

comunano i moderni sistemi di controllo ferroviario.

Francesco Flammini

SISTEMI DI CONTROLLOPER L’ALTA VELOCITÀFERROVIARIA

18

4

Page 2: Flammini p 18 32

di ATP è complementata da quella di Auto-matic Train Operation (ATO), che è in grado difar muovere il treno senza l’intervento delmacchinista, consentendo quindi di realizza-re sistemi completamente driverless (senzaconducente).Il moderno standard ERTMS/ETCS (Euro-pean Railway Traffic Management System /European Train Control System) [3] appar-tiene alla categoria dei sistemi ATP evoluti:pur non prevedendo una parte ATO, la velo-cità del treno è supervisionata dal sistemaal punto tale che il macchinista deve soltan-to seguire le indicazioni che compaiono sul-la strumentazione di bordo, ovvero sulcockpit DMI (Driver Machine Interface; Figu-ra 1). Tale standard, nato con lo scopo di mi-gliorare prestazioni, sicurezza, affidabilità einteroperabilità delle linee ferroviarie trans-europee, è stato adottato in Italia su tutte lenuove linee AV, in cui sono completamenteassenti i tradizionali segnali luminosi. Per-tanto, la marcia a vista da parte del macchi-nista non è consentita se non in condizionidi degrado (esempio, malfunzionamento dialcuni apparati) e ad una velocità molto ri-dotta (poche decine di km/h). D’altronde, avelocità elevate (fino a 300 km/h) il macchi-nista non avrebbe alcuna possibilità di in-terpretare visivamente un segnale lateralereagendo per tempo ad eventuali situazionidi pericolo, dal momento che lo spazio me-dio di frenatura per l’arresto completo deltreno è dell’ordine dei chilometri. Si trattaquindi di una classe di sistemi di controlloche appartengono alla categoria real-timesafety-critical [4]: un eventuale malfunzio-namento (che può essere anche un ritardonella risposta del sistema) può avere conse-guenze catastrofiche in termini di incolu-mità dei passeggeri oltre che di danni al-l’ambiente circostante. Attualmente esisto-no diverse linee ferroviarie basate sullostandard ERTMS/ETCS già in esercizio in Eu-ropa (con l’Italia tra i pionieri, con la trattaAV Roma-Napoli attivata nel Dicembre 2005[5]) e numerosi progetti in corso nel restodel mondo, per un investimento totale checopre quasi 40.000 km, realizzati da consor-zi che comprendono le aziende AnsaldoSTS, Alcatel, Alstom, Bombardier, InvensysRail e Siemens [3].

2. DESCRIZIONE GENERALE

In questo e nei paragrafi che seguono verran-no descritte nel dettaglio l’architettura e lefunzionalità del sistema Alta Velocità, che, co-me anticipato, si basa sullo standard europeoERTMS/ETCS. Come vedremo, la trattazioneconsentirà di approfondire molti aspetti che siapplicano in generale ai moderni sistemi dicontrollo e segnalamento ferroviario [6].Al fine di spiegare in modo chiaro i principi difunzionamento del sistema ATP è opportunoinnanzitutto introdurre il concetto di “modellodi frenatura”. Si tratta di un modello matemati-co che si applica in linea teorica a qualsiasi vei-colo terrestre a guida vincolata e consente diprevedere l’andamento della velocità in fun-zione dello spazio a partire dai seguenti dati:� distanza obiettivo (per esempio, quella diun potenziale ostacolo lungo il percorso);� velocità attuale del veicolo;� caratteristiche fisiche del veicolo e del si-stema di frenatura (esempio, massa, pesofrenato ecc.).A partire da tali dati è possibile costruire unacurva come quella mostrata nella figura 2.Una volta noto il modello di frenatura è facile,ragionando a ritroso, determinare istante peristante qual è la velocità massima a cui puòviaggiare il veicolo affinché possa arrestarsiin modo sicuro prima del punto pericoloso,che nel caso ferroviario può essere rappre-sentato da un segnale di arresto (o di “via im-

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

19

0

0

0

1

FIGURA 1Un cockpit DMI ERTMS/ETCS (Fonte: <http://upload.wikimedia.org/wikipedia/-commons/e/e9/F%C3%BChrerstand_ICE_1_ETCS.jpg)

Page 3: Flammini p 18 32

pedita”). Chiaramente, la velocità massimapuò essere limitata da altri fattori, quali ca-ratteristiche fisiche della linea: presenza dicurve più o meno strette, deviatoi, tratti conrallentamenti temporanei dovuti a squadre dilavoro in linea ecc.Il modello di frenatura va rielaborato ogniqualvolta variano uno o più dei parametri coin-volti (esempio, la distanza obiettivo). Il siste-ma di bordo ha quindi lo scopo di elaborare lacurva di protezione e verificare che la velocitàattuale del treno sia sempre al di sotto di quel-la massima definita dal modello, come riporta-to schematicamente nella figura 3. Possonoessere presenti più curve leggermente “sfasa-te” tra loro in modo da definire reazioni diverse(esempio, allerta audio-visiva sul cockpit delmacchinista, frenatura elettrica, frenaturapneumatica o di emergenza). Inoltre, è possi-bile che alla distanza obiettivo la velocità co-siddetta “di rilascio” non debba essere neces-

sariamente nulla, ma solo al di sotto di un cer-to limite (esempio, 15 km/h)1.Affinché il sistema di bordo possa elaborarela curva di protezione, esso deve ricevere dalsistema di segnalamento di terra almeno leseguenti informazioni:� autorizzazione al movimento, ovvero lospazio che il treno è autorizzato a percorrerein modo sicuro, da cui viene ricavata la di-stanza obiettivo del modello di frenatura;� profili di velocità, ovvero le limitazioni di ve-locità statiche (dovute alle caratteristiche fisi-che della linea) o dinamiche (dovute a rallen-tamenti temporanei per lavori in corso), da cuiviene ricavato il tetto di velocità del modello difrenatura.Per contro, affinché il sistema di terra (tracksi-de) possa fornire le suddette informazioni albordo (on-board), esso deve ricevere almenole seguenti informazioni:� posizione attuale del treno lungo la linea everso di percorrenza:� libertà del percorso o stato della linea avalle della posizione del treno.L’architettura di riferimento del sistemaERTMS/ETCS cosiddetto di livello 2 utilizzatosulle linee ferroviarie ad Alta Velocità è ripor-tata nella figura 4. Un siffatto sistema con-sente l’elaborazione e lo scambio di informa-zioni tra il sistema di bordo e quello di terrautilizzando diversi mezzi trasmissivi cablati owireless. In particolare, lo stato della linea èricevuto attraverso una rete geografica in fi-bra ottica (WAN,Wide Area Network) dal co-siddetto sistema di interlocking (IXL), che trale altre cose riceve lo stato di libe-ro/occupato dei circuiti di binario nell’area dipropria competenza. Un circuito di binario(track circuit, in inglese) è una sorta di loop

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

0

0

0

1

20

Tetto di velocità

Curva di protezione

Velocità di rilascio

Punto di allerta Punto obiettivo

Segnale di allerta Segnale di arresto

FIGURA 2Rappresentazione schematica della curva di protezione elaborata dal sistemadi bordo treno

1 Un modello del genere è comune a praticamente tutti i sistemi evoluti di ATP, compreso quello denominatoSCMT (Sistema Controllo Marcia Treno) impiegato in Italia sulle linea non ad Alta Velocità (riferimento [7]).

FIGURA 3Compiti del sistemadi controllo di bordo

treno

Logicadi sistema

Applicazione modellodi frenatura

Elaborazione modello di frenaturaParametri percostruzionemodello

Parametri persupervisione

marcia

Page 4: Flammini p 18 32

elettrico (la cui lunghezza può superare unchilometro in piena linea), realizzato attra-verso le rotaie, atto a rilevare la presenza dimateriale rotabile (treni, locomotori, carrelliecc.) che con i loro assi lo cortocircuitano. Laposizione del treno è invece rilevata attraver-so le cosiddette boe (o balise; Figura 5) stati-che, ovvero dispositivi “passivi” installati fi-sicamente tra le rotaie in gruppi omogenei2 efissati alle traverse, che all’atto del passag-gio del treno vengono energizzati per effettoinduttivo e trasmettono in modalità wirelessun telegramma fisso che contiene la chilo-metrica della linea (in altre parole, fungonoda milestones). La posizione rilevata dal si-stema di bordo, attraverso il cosiddetto cap-tatore BTM (Balise Transmission Module),viene quindi trasmessa a terra attraverso unmessaggio radio GSM-R, una versione dellostandard GSM usata in ambito ferroviario an-che per le comunicazioni vocali. A questopunto il sistema di terra attraverso il cosid-detto Radio Block Center (RBC) ha a disposi-zione tutte le informazioni per elaborare etrasmettere al treno, sempre tramite GSM-R,un messaggio contenente autorizzazione almovimento e profilo di velocità. Tutte questeelaborazioni devono soddisfare dei vincoli diritardo massimo consentito, quantificati nelcorso delle attività di hazard analysis [8].Il riquadro 1 fornisce ulteriori elementi di ap-profondimento in relazione alle modalità di

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

21

0

0

0

1

2 In AV tali gruppi, detti anche “punti informativi”,sono costituiti tipicamente da due boe, il che assi-cura un certo livello di ridondanza e consente alsistema di bordo di rilevare il verso di marcia alpassaggio sul singolo punto informativo.

RIQUADRO 1 - Trasmissione dati terra-bordo in ambito ferroviarioVale la pena citare che in altri livelli implementativi di ERTMS/ETCS e in diffe-renti sistemi di segnalamento, la trasmissione di informazioni da terra a bor-do può avvenire attraverso altri meccanismi, tra cui:1. circuiti di binario o loop con codifica dei segnali, che vengono poi ricevu-ti dal bordo attraverso specifici captatori (è il caso per esempio del cosid-detto BACC, Blocco Automatico a Correnti Codificate);2. boe attive (o “commutate”) che replicano l’aspetto del segnale essendoconnesse ad opportuni encoder lungo linea; esse trasmettono informazionidinamiche sottoforma di telegrammi radio;3. radio-segnalamento Wi-Fi, diffuso soprattutto nei sistemi CBTC (Commu-nication Based Train Control) in ambito metropolitano;4. satellite, in cui la posizione del treno è ricavata attraverso sistemi di geo-referenziazione tipo GPS (Global Positioning System), come accade in alcu-ni sistemi americani di PTC (Positive Train Control).Non tutte le suddette modalità trasmissive, variamente combinabili tra loro,consentono un aggiornamento continuo delle informazioni da terra a bordo.Per esempio, l’uso di boe commutate abilita una modalità di segnalamentodiscontinuo, dato che le informazioni aggiornate sullo stato della linea sonoricevute dal bordo unicamente all’atto della captazione del punto informativo.I looppermettonoun tipodi segnalamentocosiddettosemi-continuo, dalmo-mento che le informazioni sono aggiornate ovunque sia il treno, ma con un li-vello di granularità inferiore rispetto ad un sistema continuo di radio-segnala-mento (esempio, GSM-R, Wi-Fi) dato che esse dovranno rimanere necessaria-mente le stesse per tutta la lunghezza del circuito. Un comportamento analo-go (segnalamento semi-continuo) si ha con l’utilizzo del cosiddetto radio infill,tramite il quale si estende il raggio di azione di una boa commutata in mododa coprire una lunghezza maggiore. È intuitivamente evidente che la granula-rità superiore del radio-segnalamento continuo consente un migliore sfrutta-mento della capacità della linea, visto che non costringe a trasmettere infor-mazioni in modo conservativo (secondo una logicaworst case).Vale la pena di osservare che lo standard ERTMS/ETCS prevede la coesistenzadi eventuali sistemi di segnalamento pre-esistenti nel caso di transito sulle li-nee “storiche”, per esempio in Italia ciò avviene quando il treno deve entrarenelle stazioni non AV, attrezzate con sistemi come SCMT. La coesistenza è pos-sibile avendo previsto un’architettura a livelli sovrapposti, in cui quello “na-zionale” coincide con il cosiddetto livello STM (SpecificTransmissionModule).

FIGURA 4Schema semplificato del sistema ERTMS/ETCSdi livello 2

FIGURA 5Una balise ERTMS/ETCS (Fonte: <http://www.bahnindustrie.at/upload/bilder/-95/story/5096-96pk%28etcs-balise%29.jpg)

Page 5: Flammini p 18 32

trasmissione delle informazioni di controllo inambito ferroviario.

3. GESTIONE DEGLI ITINERARI

Se il treno avesse la sola possibilità di percor-rere un unico binario tra un punto di origine euno di destinazione, la logica precedentemen-te introdotta sarebbe grossomodo sufficienteal funzionamento del sistema. La realtà è chel’origine e la destinazione del movimento di unrotabile è tipicamente una stazione, e, comeben sanno i viaggiatori, diverse stazioni pos-sono essere attraversate anche durante il per-corso. Una stazione è fondamentalmente unaparte del sistema ferroviario tipicamente piùampia (la cui area è detta in gergo “piazzale”)costituita da un numero di binari paralleli (di“stazionamento”, “corsa”, “interconnessio-ne”, “manovra” ecc.) superiore a 2 e relativideviatoi (switch points in inglese) che consen-tono di instradare i treni sui diversi binari. Ilpercorso di un treno dall’ingresso all’uscita - oallo stazionamento - in una stazione è detto“itinerario”. Un itinerario copre un certo nume-ro di circuiti di binario e di deviatoi. Il sistemadi controllo che si occupa dell’instradamentodei treni sugli itinerari è detto in gergo di “ge-stione della via” o in inglese interlocking (IXL).In genere ogni sistema di stazione ha un nu-mero predefinito di itinerari preconfigurati chedevono essere formati di volta in volta per con-sentire il passaggio del treno. La formazione diun itinerario può essere automatica o coman-data da un operatore (esempio, il capostazio-ne, in caso di stazioni presenziate) ed è subor-dinata al superamento di tutta una serie dicontrolli, tra cui:� stato di libero di tutti i circuiti di binario in-clusi nell’itinerario;

� corretta operabilità dei deviatoi lungo l’iti-nerario;� assenza di condizioni di fuori servizio.Se le suddette condizioni sono soddisfatte, l’i-tinerario viene formato e al treno viene inviatoun segnale (virtuale) di via libera per l’ingres-so in stazione. Altrimenti, a seconda delle si-tuazioni, il transito non può essere concesso opuò essere concesso solo con opportune limi-tazioni di velocità e procedure manuali perconsentire al macchinista il controllo visivodel percorso.Nel caso delle stazioni AV, lo stato degli itine-rari deve essere trasmesso anche al sistemaRBC in modo tale che questo possa estenderel’autorizzazione al movimento in modo da co-prire l’itinerario in stazione. La trasmissione diqueste informazioni può avvenire in modo:�sincrono: tutto lo statoviene trasmessoognitot millisecondi, indipendentemente dal fattoche vi siano state variazioni;�asincrono: lo stato (o parte di esso) viene tra-smesso solo quando si verifica una variazione.Nel caso di trasmissione asincrona, deve esse-re assicurato un controllo di vitalità per evitareche una perdita di connessione possa rendereil sistema silente nei confronti di variazioni distato senza che RBC possa avere la possibilitàdi accorgersene.La figura 6 mostra lo schema di un possibile si-stema di gestione degli itinerari (routes). A si-nistra è mostrata una possibile visualizzazionesull’interfaccia operatore (MMI,ManMachineInterface), con lo stato di libero/occupato deicircuiti di binario e degli itinerari. A destra èmostrata la connessione WAN verso eventualialtri sistemi IXL (nel caso il sistema sia dedica-to ad una sola stazione) e verso il sistema diautomazione che si occupa a più alto livellodella supervisione della marcia dei treni. Al

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

0

0

0

1

22

Circuito di binario

Enti fisici di controllo

Elaboratore IXLElaboratore

di comunicazione

WAN

IXL limitrofi

Sistema diautomazione

Interfacciaoperatore

DeviatoioSegnale

Stazione

Itinerario

FIGURA 6Schema di un possibile sistema di gestione degli itinerari

Page 6: Flammini p 18 32

centro è mostrato il sistema di elaborazionevero e proprio, alloggiato in armadi (rack) posi-zionati a volte in posti periferici lungo la linea,che è connesso con le entità fisiche di control-lo in campo (sensori e attuatori) attraversoprotocolli di comunicazione proprietari (peresempio seriali).

4. DISTANZIAMENTO TRENI

Il sottosistema di AV responsabile di garantireun adeguato distanziamento tra un treno el’altro, oltre che le altre informazioni necessa-rie ad assicurare la marcia sicura del treno, è ilgià citato Radio Block Center (RBC). Fonda-mentalmente, il RBC ha lo scopo di inviare pe-riodicamente al sistema di bordo del treno deimessaggi radio contenenti le informazioni dicui esso ha bisogno per transitare in sicurezza.I più importanti tra questi sono i seguenti:�Movement Authority (MA), ovvero autoriz-zazione al movimento, con specificata la di-stanza che il treno è autorizzato a percorrereed i relativi profili di velocità statici (pacchettiSSP,Static SpeedProfile) o dinamici (pacchet-ti TSR, Temporary Speed Restrictions).� Emergency Stop, ovvero arresti d’emergen-za, che possono essere condizionati (il trenodeve arrestarsi solo se non ha superato un

certo punto) o incondizionati (il treno deve ar-restarsi immediatamente in qualsiasi condi-zione) e possono essere comandati manual-mente dall’interfaccia operatore RBC presen-te al centro di controllo.Al messaggio di MA possono essere aggiunteinformazioni cosiddette di linking, che ripor-tano ID e posizione dei punti informativi com-presi nella MA (riquadro 2).Unmessaggiodi tipoparticolareè il cosiddettoGeneral Message, che è il più semplice di tuttidalmomentocheha l’unicoscopodi segnalareperiodicamente la “vitalità” del sistema RBC inassenza di altri messaggi da trasmettere (per-ché per esempio non vi sono state variazioni distato significative rispetto alle ultime informa-zioni inviate). In assenza di messaggi di vita-lità, infatti, il sistemadibordononpotrebbeac-corgersi del fatto che non sta ricevendo infor-mazioni perché nulla è cambiato (situazione si-cura) o perché vi è stato un problema (perditadi connessione radio, guasto di RBC ecc.) edesso non è più sotto la supervisione di RBC (si-tuazione di pericolo). Come vedremo nel para-grafo successivo, esiste una specifica logica dibordo che consente di proteggersi nei confron-ti di quest’ultima eventualità.Alcune tipologiedimessaggi sono impiegatinel-la fase di hand-shacking tra il sistema di bordo

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

23

0

0

0

1

RIQUADRO 2 - Logica di appuntamentoTra le informazioni inviabili al bordo rientrano le liste dei punti informativi in appuntamento (linked balise groups).Si tratta, in altre parole, dei gruppi di boe che il treno capterà durante il percorso e delle relative distanze (parame-tro D_LINK). Questa informazione serve per realizzare la cosiddetta “logica di appuntamento”, ovvero un ulteriorecontrollo che garantisce:� il corretto posizionamento dei punti informativi (può capitare che questi si stacchino o vengano rimossi in mo-do doloso), fattore critico per l’attendibilità dell’autorizzazione al movimento;� la non esplosione dell’errore odometrico, qualora il treno “perdesse” uno o più punti informativi;� il corretto instradamento lungo gli itinerari (se l’itinerario non è quello previsto, le boe captate saranno diverse).La reazione del sistema di bordo ad un mancato appuntamento (considerata un’opportuna finestra di tolleranza)è configurabile e può anche coincidere con l’applicazione della frenatura.Una rappresentazione schematica della logica di appuntamento è riportata nella figura.

Esempio di punti informativi in appuntamento (Fonte: rif. [24])

LRBG

D_LINK (1)

0 1 2 3

D_LINK (2) D_LINK (3)

Page 7: Flammini p 18 32

e quello di terra ad inizio missione (SOM, StartOf Mission), in cui tra le altre cose viene verifi-cata la compatibilità delle versioni software dibordo e terra, e delle caratteristiche fisiche deltrenoconquelledella linea.Laprimafasedique-sto colloquio è mostrata nella figura 7.Altre tipologie di messaggi vengono adottatepergestire laproceduracosiddettadiRBCHand-Over (HO) che si realizza quando un treno de-ve transitaredall’areadigiurisdizionediunRBCa quella di un altro RBC (per esempio perché gliRBC controllanoaree limitate per ragioni di pre-stazioni, o perché si sta attraversando un confi-ne tra due stati). Tale procedura - di livello ap-plicativo - non va confusa con quella di livello

più basso che consiste nel passaggio del trenodall’area di copertura di una BTS (Base Tran-sceiver Station) GSM-R a quella di un’altra. Laprocedura di HO, descritta schematicamentenella figura 8, ha lo scopo di evitare che il tre-nopossa fermarsio rallentare lasuacorsa incor-rispondenza del confine tra le aree di compe-tenza di due RBC limitrofi. Per far sì che ciò nonaccada, quando il treno si avvicina al confine(condizionesegnalatadaopportuneboe) il RBCcosiddetto “accettante” (accepting) deve tra-smettere al RBC “cedente” (handing-over) leinformazioni relative allo stato del percorso avalle del punto di confine (border), in modo cheil cedente possa integrare la MA da trasmettereal treno con quella “concessa” dall’accettante.La logica di distanziamento di RBC al livello2 di ERTMS/ETCS si basa sul principio del“blocco fisso” (per approfondimenti, riqua-dro 3 a p. 25).

5. CONTROLLO DELLA MARCIA

Come precedentemente descritto, il sistema dibordo ERTMS/ETCS ha lo scopo di elaborare ilprofilodi velocitàdinamicodel treno, cioè lacur-va di protezione, la cui distanza obiettivo coin-cide con la fine della MA (EoA,EndofAuthority)e il cui tetto è dato dal profilo di velocità più re-strittivo (MRSP,Most Restrictive Speed Profile)tra quelli statici (SSP) e dinamici (TSR).L’architettura di riferimento del sistema di bor-do usato in AV è mostrata nella figura 9 A. Si

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

0

0

0

1

24

Preparazione della sessione di comunicazione in accordocon le specifiche EURORADIO

Bordo

Apertura di una sessionedi comunicazione

Sessionedi comunicazione

instaurataper il bordo

Sessionedi comunicazione

instaurataper la terra

Versione sistema RBC/RIU

Sessione instaurata

Terra

FIGURA 7Instaurazione

di una sessionedi comunicazionetra bordo e terra(Fonte: rif. [24])

MA inviata da RBC “cedente”

Richiesta informazionisul percorso

Informazioni sul percorso

Informazioni sul percorsoda RBC “cedente”

Informazioni sul percorsoda RBC “accettante”

Punto informativodi confine

RBC“cedente”

LRBG MA

RBC“accettante”

FIGURA 8La procedura di RBC hand-over (Fonte: rif. [24])

Page 8: Flammini p 18 32

tratta di un sistema real-time embedded il cuinucleo vitale di elaborazione è denominatoEVC (European Vital Computer) ed è connessocon diverse unità di I/O periferiche attraversoun apposito bus industriale.Tra le interfacce diI/O rientrano le seguenti:� DMI (Driver Machine Interface), per l’inte-razione con il macchinista;� BTM (Balise Transmission Module), per lacaptazione delle boe;� TIU (Train Interface Unit), per l’interfaccia-mento con gli organi elettro-meccanici del ro-tabile (sistema di frenatura, odometria);� RTM (Radio Transmission Module), per ilcollegamento con i terminali mobili GSM-R.Oltre a questi componenti è prevista un’unitàdi JRU (Juridical Recording Unit), ovvero unasorta di “scatola nera” per la registrazionecronologica degli eventi (velocità e posizionedel treno, interazioni del macchinista ecc.) ela possibile consultazione durante le indagi-ni della magistratura a seguito di incidenti.Attraverso la DMI il macchinista ha la possi-bilità di inserire o validare i dati del treno, cheverranno poi inviati a RBC durante la proce-dura di inizio missione. La DMI è dotata di untachimetro digitale che permette al macchi-nista di controllare, istante per istante, la ve-

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

25

0

0

0

1

RIQUADRO 3 - Blocco fisso e bloccomobileNel livello 2 ERTMS/ETCS, la MA è costruita avvalendosi delle informazioni relative allo stato dei circuiti di binario e degli itinerari fornitedal sottosistema IXL (che non è standardizzato). Circuiti di binario ed itinerari costituiscono le cosiddette “Sezioni di Blocco Radio” (SBR).Una MA è costituita sempre e comunque da un numero intero di SBR. Vale la pena citare che questa logica si applica al caso di segnala-mento cosiddetto a “blocco fisso”, mentre esiste la possibilità che la MA venga costruita avvalendosi delle informazioni relative alla posi-zione dei treni, ovvero basandosi sulla distanza effettiva di un treno da quello successivo (si veda la Figura). In tal caso si parla di “bloccomobile”, che può assicurare un maggiore sfruttamento della capacità della linea in quando si riduce la granularità del distanziamento. Afronte di tale vantaggio, però, non è assicurato il rilevamento di rotabili lungo il percorso non noti al sistema RBC, dal momento che la lo-gica di distanziamento non si avvale dell’informazione di libertà della via comunicata da IXL. Pertanto, è fondamentale che sulla linea nonpossano accedere treni non ERTMS/ETCS (che non avrebbero nessuna possibilità di essere rilevati) e che sia assicurato un controllo di in-tegrità dei treni per salvaguardarsi dall’eventualità di distacco dei vagoni. La modalità di distanziamento a blocco mobile è prevista dal li-vello 3 dello standard ERTMS/ETCS, che ha avuto sinora una diffusione di gran lunga inferiore rispetto al livello 2.

Autorizzazione al movimento in caso di blocco mobile (Fonte: rif. [24])

B

EOA

A

Retro treno sicurodel treno A

FIGURA 9A - Architettura di riferimento di bordo ERTMS/ETCSB - Esempio di tachimetro digitale(Fonte: http://upload.wikimedia.org/wikipedia/commons/b/b9/SegnaliFerroviari-AVAC-DMI.gif)

Macchinista

DMI

EVCIRTM BTM

TIU

Treno

BoeTerminaleMobile

Velocità massimaammessa 105 km/h

Velocità obbiettivo80 km/h

Velocità reale104 km/h

Distanza obbiettivo520 m

A

B

Page 9: Flammini p 18 32

locità massima consentita (Figura 9 B). Inol-tre, essa consente di gestire modalità opera-tive di degrado (con limiti di velocità di pochedecine dikm/h), diverse dalla supervisionecompleta (FS, Full Supervision), tra cui:� marcia a vista (On-Sight), che può essereconcessa quando non vi è la certezza della li-bertà del percorso (ad esempio vi è un mal-funzionamento di uno o più circuiti di binario);� responsabilità del macchinista (Staff Re-sponsible), che può essere concessa quandonon vi è la certezza della corretta formazionedell’itinerario (per esempio vi è un malfunzio-namento di uno o più deviatoi);� manovra (Shunting), necessaria per pro-teggere il movimento dei treni durante le fasidi composizione/scomposizione di vagoni elocomotori.I terminali mobili GSM-R presenti a bordo so-no tipicamente due per garantire ridondanzae per semplificare la realizzazione della pro-cedura di RBC hand-over, consentendo laconnessione contemporanea a due RBC.L’odometriaèessenzialepermisurare ladistanzapercorsa dall’ultimo punto informativo e ripor-tare tali informazioni nel messaggio di rappor-to di posizione (Position Report) che viene ela-boratodalbordo (EVC)e inviatoa terra (RBC)al-meno ad ogni nuova captazione. In particolare,essendo sempre presente un errore di so-vra/sotto-stima sulle misurazioni odometriche,la posizione del treno è sempre trattata tenen-do conto delle seguenti informazioni:� fronte treno massimo sicuro (MaxSafe FrontEnd), ovvero la posizione della testa del trenoincrementata di una quantità pari alla distanzapercorsa dall’ultimo punto informativo molti-plicata per la massima percentuale di erroreodometrico;� retro treno massimo sicuro (Min Safe RearEnd), ovvero la posizione della coda del trenodecrementata di una quantità pari alla distan-za percorsa dall’ultimo punto informativo, ameno della lunghezza del treno, moltiplicataper lamassimapercentualedierroreodometri-co.Per esempio, con riferimento alla procedura diHO precedentemente descritta, per essere si-curi che il treno sia ancora completamente nel-l’area del RBC cedente bisogna far riferimentoalla posizione del suoMax Safe Front End; vi-ceversa, per essere sicuri che il treno sia tran-

sitato completamente nell’area del RBC accet-tante, bisogna far riferimento alla posizionedel suoMin Safe Rear End.Tra i parametri configurati sul sistema di bordovi sono le velocità massime relative alle moda-lità di supervisione parziale e il cosiddettoT_NVCONTACT, ovvero il tempo massimo diomessa supervisione da parte di RBC prima diattivare un’opportuna reazione. In pratica, sela differenza tra il tempo corrente e la marcatu-ra temporale dell’ultimo messaggio ricevuto(variabile T_TRAIN) è superiore al valore speci-ficato dal parametro T_NVCONTACT, il sistemadi bordo attiva una frenatura, eventualmenteinterrompibile (in gergo “riarmabile”) alla rice-zionedi unnuovo messaggio “fresco”. Il valoredi T_NVCONTACT (tipicamente di pochi secon-di) è un compromesso tra i requisiti di sicurez-za, in base ai quali sarebbe opportuno che iltreno percorresse il minor spazio possibile inassenza di supervisione, e quelli di prestazio-ne, secondo i quali piccoli ritardi nel recapitarei messaggi radio (dovuti ad es. a ritrasmissioniin caso di corruzione dei dati contenuti neipacchetti trasmessi) non dovrebbero compro-mettere le prestazioni di marcia.

6. GESTIONEDELLA CIRCOLAZIONE

Finora abbiamo discusso di sottosistemi criticiper lasicurezzadeipasseggeri.Benchénonstan-dardizzati inERTMS/ETCS,perunfunzionamentoefficiente del sistema AV (così come di altri im-pianti ferroviari) è necessario prevedere un ap-parato non critico che si occupa specificamen-te della regolazione e supervisione centraliz-zata della circolazione dei treni. Un tale sistemadeve fornire almeno le funzionalità di teleco-mando per il controllo remoto o automatico de-gli itinerari nei regimi di circolazione impresen-ziati, ovvero senza la presenza di un cosiddetto“dirigente locale del movimento” (volgarmentenotocome“capostazione”), comeaccadesutut-te le nuove linee AV. Il sistema è gestito da al-meno un supervisore umano detto “dirigentecentrale operativo” (o “dirigente centrale deltraffico”, in inglese train dispatcher).Funzionalità aggiuntive rese disponibili nei co-siddetti posti centrali (cioè nelle sale di con-trollo, in inglese central control rooms) consi-stono nel monitoraggio diagnostico dello sta-

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

0

0

0

1

26

Page 10: Flammini p 18 32

to del sistema (coadiuvato dalla videosorve-glianza e da altra sensoristica), gestione delleinformazioni al pubblico e raccoltadati statisti-ci sulla circolazione, oltre che da altre peculia-rità rese disponibili dall’interfacciamento con isistemi SCADA (Supervisory Control And DataAcquisition).Funzionalità avanzate dei sistemi cosiddetti diATS (Automatic Train Supervision) possonoessere la pianificazione automatica e l’ottimiz-zazione degli instradamenti per massimizzarela capacità della linea, in modo sia statico, cioèin funzione dei treni che vi devono circolare,che dinamico, cioè in funzione delle attualicondizioni del percorso.Data la grande mole di informazioni da visua-lizzare, a volte condivisa tra più operatori, spes-so le informazioni sonomostratesuschermiLCDoaretroproiezione(overviewscreenovideowall)pilotati da appositi client (Figura 10).

7. PROBLEMATICHEDI AFFIDABILITÀ E SICUREZZA

Trattandosi di sistemi critici per affidabilità esicurezza, i sistemi di controllo ferroviario de-vono essere certificati secondo le direttive dirigorosi standard internazionali (esempio,CENELEC [10]). Tali norme regolano sia il pro-cesso di sviluppo che le caratteristiche delprodotto finale.Come per tutti i sistemi real-time embedded,la schedulazione dei processi di controllo –

scritti in linguaggi di logica proprietari e/o insafe subsetdi linguaggigeneral purpose (qua-le il C) – è realizzata attraverso sistemi operati-vi progettati e certificati per girare suhardwarededicato, per esempio è diffusa l’accoppiataVxWorks e piattaformaPowerPC [11].Per i sottosistemi “vitali”, il livello di certifica-zione richiesto è quello cosiddetto SIL4 (Sa-fety Integrity Level 4), che tra le altre cose ri-chiede un ciclo di sviluppo del tipo di quellomostrato nella figura 11 (cosiddetto “a V”), incui la fase di verifica e validazione (V&V) rico-

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

27

0

0

0

1

FIGURA 10Esempio di sala di controllo per la supervisione della circolazione ferroviaria(Fonte: http://neapolis.blog.rai.it/files/2008/01/fs-2.jpg)

Specifica dei requisiti di sistema Validazione del sistema

Specifica dell’architetturadi sistema

Test di integrazione SS

Specifica dei requisiti SW

Specifica dei requisiti HW

Specifica dell’architettura del SW

Specifica dell’architetturadi modulo

Codifica

Validazione del SW

Test di integrazione HW/SW

Test di integrazione del SW

Test di modulo

FIGURA 11Ciclo di sviluppoa “V” (Fonte:http://www.intecs.it/

pdf\BrochureVVRailwa

yIta13.pdf)

Page 11: Flammini p 18 32

pre un ruolo predominante [12]. Dei risultatidel processo di V&V viene data evidenza do-cumentale in rapporti detti safety case, chepossono riguardare il prodotto generico (ov-vero l’hardware e il software di base), l’appli-cazione generica (esempio, logica del siste-ma di distanziamento treni) o l’applicazionespecifica (esempio, distanziamento treni sul-la linea Roma-Napoli), in cui sono presenti idati di configurazione specifici dell’impianto(Figura 12) [13].I requisiti di safety del sistema vengono rica-vati dall’attività di analisi degli azzardi. Adesempio, un risultato notevole di questa atti-

vità per il sistema AV è stato l’introduzionedella funzionalità cosiddetta del circuito dibinario (CdB) “ombra”. Tale funzionalità ser-ve a fronteggiare l’azzardo che può verificar-si a seguito dell’indebita occupazione delCdB successivo a quello occupato dal treno.Infatti, data la logica del distanziamento ablocco fisso, non sarebbe possibile discrimi-nare in questo caso tra occupazione debita -il treno prosegue la sua marcia occupando ilCdB successivo - o indebita - il CdB successi-vo viene occupato improvvisamente da unaltro rotabile, ad esempio in ingresso da undeviatoio laterale. La funzionalità del CdB“ombra” consiste nell’invio al treno di unmessaggio di emergenza condizionato conpunto di arresto coincidente con il giuntoche separa il CdB occupato dal treno dal suc-cessivo. Pertanto, se è il treno stesso ad averoccupato il CdB successivo, il sistema di bor-do ignorerà semplicemente il messaggio, al-trimenti attiverà la frenatura d’emergenza,detta in gergo trip.Numerosi altri azzardi possono derivare dalleminacce, sintetizzate nella tabella 1, che ca-ratterizzano un canale di comunicazione di ti-po “aperto”, quale è quello wireless GSM-R.Pertanto, il protocollo sicuro cosiddetto Eu-roradio è stato definito al fine di implementa-re i meccanismi atti a fronteggiare tali minac-ce (per approfondimenti, riquadro 4 a p. 29)[14, 15].Venendo alle architetture hardware, quasisempre vengono adottati sistemi di tipo NMR(N-Modular Redundancy) con votazione amaggioranza sull’output di sezioni di elabo-razione indipendenti, diversamente svilup-pate e galvanicamente isolate. Ciò consentedi limitare al massimo l’incidenza di guasti dimodo comune che potrebbero compromette-re l’integrità del sistema (si vedano a tal pro-posito i riferimenti [16, 17]).In particolare, nella specifica dei requisitiRAMS (Reliability Availability MaintainabilitySafety) del sistema ERTMS/ETCS [18], deriva-ta dallo standard CENELEC 50129 [19], si ri-chiede un tasso di guasti pericolosi (Hazar-dous Failure Rate, HFR3) inferiore a 10–9 per

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

0

0

0

1

28

Software applicativo

Applicazione generica

HW e SW di base

Prodotto generico

Datidi configurazzione

Applicazione

specifica

FIGURA 12Processo

di certificazioneferroviario

Parole chiave CENELEC EN 50159

Parola chiave Significato

Ripetizione Un messaggio viene ricevuto più di unavolta

Cancellazione Un messaggio viene rimosso dal flussomessaggi

Inserimento Un nuovo messaggio viene inserito nelflusso messaggi

Riordinamento Alcuni messaggi vengono ricevuti in unasequenza diversa da quella prevista

Corruzione L’informazione contenuta in un messaggioviene mofidicata, casualmente o non

Ritardo Alcuni messaggi vengono ricevuti in untempo successivo rispetto a quello previsto

Mascheramento Un messaggio non autentico vienepregettato in modo da apparire autentico(con “messaggio autentico” si intende unmessaggio valido il cui contenuto èoriginato da una sorgente fidata)

TABELLA 1Parole chiave definite dallo standard CENELEC EN50159

3 L’HFR è l’inverso del tempo medio tra guasti peri-colosi (Mean Time Between Hazardous Events,MTBHE).

Page 12: Flammini p 18 32

ora (THR, Tolerable Hazard Rate), ovvero unoogni almeno 100.000 anni.Anche relativamente ai requisiti di disponibi-lità, la specifica è piuttosto precisa, definen-do tra le altre cose i seguenti modi di guastoa livello di sistema [20]:� guasto immobilizzante (Immobilising Fai-

lure), che si ha quando due o più treni sonocostretti a marciare “a vista”;� guasto di servizio (Service Failure), che siverifica quando si ha un calo di prestazioni peruno o più treni e/o al più un treno è costretto amarciare “a vista”;� guasto minore (Minor Failure), che richiede

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

29

0

0

0

1

RIQUADRO 4 - Il protocollo sicuro EuroradioAl fine di fronteggiare le minacce che caratterizzano un canale di comunicazione aperto, definite nella tabella 1,il protocollo di comunicazione Euroradio applica le seguenti contromisure per elaborare il contenuto dei mes-saggi scambiati (si vedano a titolo di esempio le Figure A e B):� numeri di sequenza (sequence numbers), per evitare cancellazioni, ripetizioni, inserimenti e perdita di se-quenza nel flusso dei messaggi;�marcature temporali (time stamps), per gestire i ritardi di comunicazione attraverso controlli di freshness e divitalità;� codici di controllo (checksum), per rilevare e correggere errori casuali nei dati trasmessi;� cifratura (cryptography), per salvaguardare l’integrità e l’autenticità dei dati trasmessi nei confronti di attacchiinformatici di tipo doloso (hacking).In particolare, la specifica ERTMS/ETCS definisce un’entità cosiddetta KMC (Key Management Center) che ha ilcompito specifico di gestire le chiavi crittografiche usate per le comunicazioni via radio.

Protezione nei confronti di perdita di sequenza (A) e ritardi (B), (Fonte: rif. [24])

Treno

Accettato

Rifiutato

EBC

T_TRAIN1

T_TRAIN1 + τ1

T_TRAIN2 + τ2

T_TRAIN2

T_TRAIN1

T_NVCONTACT

Applica reazioneM_NVCONTACT

T_TRAIN1 + τ1

T_TRAIN2 + τ2

T_TRAIN2

A

B

Page 13: Flammini p 18 32

un intervento di manutenzione non pianificatoma non rientra nelle precedenti categorie.Per esempio, secondo la specifica l’indispo-nibilità (MDT,Mean Down Time) del sistemarispetto ai guasti immobilizzanti di naturahardware non deve superare gli 8 minuti an-nui. Analogamente sono definiti i requisitiqualitativi e quantitativi di affidabilità (MeanTime Between Failures, MTBF) e manutenibi-lità (Mean Time To Repair, MTTR) suddivisiper modi di guasto e/o componenti.A differenza della maggioranza dei prodottisoftware di tipo consumer, per i sistemi dicontrollo ferroviario non sono tollerati erroridi progettazione o codifica, che, in quando si-stematici, se attivati potrebbero avere conse-guenze anche catastrofiche. Pertanto, requi-siti quantitativi in termini di affidabilità delsoftware lasciano spazio a criteri di svilupporigorosi e strumenti (esempio, compilatori,sistemi operativi) certificati per applicazionicritiche. Idealmente, tutto il software prodot-to dovrebbe essere generato e/o verificatoattraverso metodi formali. La complessità deisistemi e la ridotta diffusione di approcci tra-sformazionali validati (esempio, generazioneautomatica del codice a partire da modelli dipiù alto livello, tipo UML) fa sì che all’atto pra-tico metodi puramente formali siano adottatisolo in contesti limitati (esempio, verifica del-le logiche di interlocking [21]). La maggiorparte del software viene verificato attraversotecniche di testing, coadiuvate da misure dicopertura del codice e altre analisi statiche

(quali per esempio quelle descritte in [22,23]), in opportuni ambienti di simulazione[24]. Per esempio, la figura 13 mostra un pos-sibile ambiente di simulazione per le verifi-che di RBC del tipo hardware-in-the-loop, incui alcuni componenti (esempio, i sistemi dibordo) girano su hardware commerciale,mentre altri (esempio, RBC) sulla piattaformareale, in modo tale che per il sistema oggettodi test sia provata anche l’integrazionehardware-software.Infine, approcci basati su modelli che con-sentano di migliorare efficacia ed efficienzadel processo di verifica e validazione trovanoapplicazione in modo trasversale in tutte lefasi del ciclo di vita e a tutti i livelli di astrazio-ne del sistema di controllo [25].

8. CONCLUSIONI

È opinione largamente condivisa che la ca-pillarità e l’efficienza dei sistemi di trasportosu rotaia siano tra i segni più tangibili del li-vello di civilizzazione di un territorio. Ciò èdovuto a diversi fattori, tra cui: ridotta emis-sione di sostanze inquinanti per passeggerotrasportato, riduzione del traffico sulle stra-de, maggiore sicurezza e comfort dei pas-seggeri. Alcuni di questi fattori si applicanoin generale ai sistemi di trasporto pubblico,ma l’Alta Velocità ferroviaria aggiunge a que-sti tempi di percorrenza ridotti tra una cittàad un’altra, in un ordine di distanza dellecentinaia di kilometri (almeno). Negli ultimi

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

0

0

0

1

30

FIGURA 13Esempio di ambiente di simulazione distribuito del tipo “hardware in the loop” per le prove di sistema ERTMS/ETCS

Page 14: Flammini p 18 32

anni, non solo in Italia ma in tutto il mondo(Cina inclusa) stanno proliferando progettibasati sullo stesso standard europeo di inte-roperabilità su cui è basato AV. In particola-re, in questo articolo abbiamo passato inrassegna del sistema AV gli aspetti relativi alcontrollo computerizzato che contribuisco-no ad aumentarne prestazioni e sicurezza.L’ambito internazionale di ricerca in cui ven-gono studiati sistemi innovativi di trasportoa supervisione automatica è quello noto co-me intelligent transportation systems, a cuisono legati diversi convegni e pubblicazioniscientifiche in genere, che hanno sperimen-tato un forte impulso in tempi recenti. Perapprofondimenti, esistono numerosi altricongressi che coprono almeno parzialmentele suddette tematiche, tra cui la serie Com-puters in Railways delWessex Institute of Te-chnology, o aspetti specifici, quali l’impiegodi metodi formali nell’ingegneria ferroviaria(FORMS/FORMAT, Symposium on FormalMethods for Automation and Safety inRailway and Automotive Systems), o ancoralo stato dell’arte nello sviluppo e nell’imple-mentazione dello standard ERTMS/ETCS a li-vello mondiale (UICWorld Congress).

Bibliografia

[1] Pagina Wikipedia su incidenti ferroviari recenti,http://en.wikipedia.org/wiki/List_of_rail_accidents_(2010-2019)

[2] Descrizione ATC Roma Metro C, http://www.me-trocspa.it/treni.asp

[3] SitoufficialeERTMS/ETCS,http://www.ertms.com

[4] Flammini F., Mazzocca N., Vittorini V.: Modelliper l’analisi di sistemi critici.Mondo Digitale, n.3, settembre 2009, p. 11-21.

[5] Senesi F., Marzilli E.: European Train Control Sy-stem – Sviluppo e messa in esercizio in Italia.CIFI, 2008.

[6] Brochure sistema ERTMS, http://www.rfi.it/-cms-file/allegati/rfi/ERTMStotale.pdf

[7] Descrizione modello di frenatura SCMT,http://www.rfi.it/cms-file/allegati/rfi/documen-ti/vol33ModellodiFrenaturaperSCMTV03C.pdf

[8] Di Tommaso P., Esposito R., Marmo P., OrazzoA.: Hazard Analysis of Complex DistributedRailway Systems. In: 22-nd International Sym-posium on Reliable Distributed Systems (SRD-S'03), 2003, p. 283-292.

[9] Unisig: ERTMS/ETCS – Subset 026 SystemRequi-rements Specification (SRS). Issue 3.0.0, 2008.

[10] CENELEC 2000. EN 50126 Railways Applica-tions – The specification and demonstration ofReliability, Maintainability and Safety (RAMS).

[11] VxWorks, http://www.windriver.com/products/-product-notes/PN_VE_61508_0109.pdf

[12] Sillitti A.: A caccia degli errori del software.Mondo Digitale, n. 4, dicembre 2005, p. 32-44.

[13] Flammini F., Mazzocca N., Orazzo A.: Automaticinstantiation of abstract tests to specific confi-gurations for large critical control systems.Journal of Software Testing, Verification&Relia-bility (STVR), Vol. 19, Issue 2, 2009, p. 91-110.

[14] Schulz O., Peleska J.: Reliability Analysis of Sa-fety-Related Communication Architectures.Proc. SAFECOMP’2010, Springer LNCS, Vol.6351/2011, p. 1-14.

[15] Smith J., Russell S., Looi M.: Security as a safetyissue in rail communications. In Proc. 8-th Au-stralian Workshop on Safety Critical Systemsand Software, Vol. 33 (Canberra, Australia).Lindsay P., Cant T., Eds. Conferences in Resear-ch and Practice in Information Technology Se-ries, Vol. 97. Australian Computer Society, Dar-linghurst, Australia, 2003, p. 79-88.

[16] Coccoli A., Bondavalli A.: Analysis of Safety Re-lated Architectures. In: 9-th IEEE InternationalWorkshop on Object-Oriented Real-Time De-pendable Systems (WORDS'03), 2003.

[17] Amendola A.M., Impagliazzo L., Marmo P., Mon-gardi G., Sartore: Architecture and Safety Re-quirements of the ACC Railway Interlocking Sy-stem. Proc. IEEE 2-nd Int. Computer Performan-ce & Dependability Symposium (IPDS'96), Ur-bana Champaign, USA, 1996, p. 21-29.

[18] Unisig: ERTMS/ETCS – Class 1 Safety Require-ments. Issue 2.2.11, Subset-091, 2005.

[19] CENELEC 2004. EN 50129 Railways Applica-tions – Safety Related Electronic Systems for Si-gnalling.

[20] Unisig: ERTMS/ETCS – RAMS Requirements Spe-cifications Chapter 2 – RAM,http://www.era.europa.eu/Document-Regi-ster/Documents/B1-02s1266-.pdf

[21] Cimatti A., Giunchiglia F., Mongardi G., Roma-no D., Torielli F., Traverso P.: Model CheckingSafety Critical Software with SPIN: an Applica-tion to a Railway Interlocking System. LectureNotes in Computer Science, Vol. 1516/1998,1998, p. 284-293.

[22] Caiazza A., Di Maio R., Fernando S., Poli F., Im-pagliazzo L., Amendola A.M.: A New Methodo-logy and Tool Set to Execute Software Tests onReal-Time Safety-Critical Systems. Proc. 5-thEuropean Dependable Computing Conference(EDCC 2005), p. 293-304.

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

31

0

0

0

1

Page 15: Flammini p 18 32

[23] Abbaneo C., Flammini F., Lazzaro A., Marmo P.,Sanseviero A.: UMLBased Reverse Engineeringfor the Verification of Railway Control Logics.Proc. Dependability of Computer Systems (Dep-CoS’96), Szklarska Poreba, Poland, May 25-27,2006, p. 3-10.

[24] DiTommaso P., Flammini F., Lazzaro A., PellecchiaR., Sanseviero A.:TheSimulationof Anomalies inthe Functional Testing of the ERTMS/ETCS Track-

side System. In: 9-th IEEE International Sympo-sium on High-Assurance Systems Engineering(HASE’05), 2005, p.131-139.

[25] Flammini F., Impagliazzo L., Marmo P., Praglio-la C.: Affidabilità e sicurezza dei sistemi inno-vativi di comando/controllo. Approcci basatisu modelli e loro applicazioni industriali. In-gegneria Ferroviaria, n. 6, giugno 2010,p. 543-558.

M O N D O D I G I T A L E • n . 4 - d i c e m b r e 2 0 1 0

1

0

0

0

1

32

FRANCESCO FLAMMINI, ha ottenuto la laurea con lode (2003) e il dottorato di ricerca (2006) in Ingegneria Informa-tica presso l’Università di Napoli “Federico II”. Dal 2003 lavora in Ansaldo STS come progettista e ricercatore,occupandosi di verifica dei sistemi di controllo e protezione delle infrastrutture. Ha tenuto come professore acontratto corsi di informatica ed ingegneria del software. È autore di numerosi articoli scientifici pubblicati suriviste, libri e atti di congressi internazionali. Svolge attività editoriali per libri e riviste sul tema dei sistemi si-curi ed affidabili ed è nel comitato di programma di diversi convegni internazionali, tra cui SAFECOMP. È vice-presidente del capitolo italiano dell’IEEE Computer Society per il biennio 2010-2011.E-mail: [email protected]