regelung gsm-r 01 - bund

Regelung GSM-R 01 – Rev. 1.0 Ende-zu-Ende Funktionalität im GSM-R-System 1 von 22

Regelung GSM-R 01

Technische Regeln zum Nachweis der „Ende-zu-Ende Funktionalität“

im GSM-R-System

Rev.-Nr. Datum Verantwortung Bemerkungen

1.0 07.09.2017 LK Fahrzeuge Freigabe durch LK Fz


Inhaltsverzeichnis

1 Verzeichnisse und Nachweise 4

1.1 Abbildungsverzeichnis 4

1.2 Abkürzungsverzeichnis 4

1.3 Definitionen 5

2 Gültigkeit 5

3 Allgemeines 5

3.1 Anwendungsbereich 5

3.2 Definition der Ende-zu-Ende Funktionalität im GSM-R-System 5

3.3 Zweck 5

3.4 Ziel 6

4 Rechtliche Bestimmungen und Vorgaben 6

4.1 Grundlegende Anforderungen 6

4.2 Kohärenzprüfung 6

5 Prüfprozess zum Nachweis der Kohärenz 6

5.1 Kohärenzprüfprozess 6

5.2 Gegenstand der Kohärenzprüfung 6

5.3 Anlässe für Kohärenzprüfungen 6

5.4 Prozessbeteiligte 7

5.5 Durchführung Kohärenzprüfung 7

6 Fehlermanagementprozess Cab-Radio 7

6.1 Ziel 7

6.2 Informationsprozess 7

6.3 Ausfallkategorien 8

6.4 Fehlermeldung und Bewertung 8

7 Anforderungen an Verfügbarkeit / Zuverlässigkeit Cab-Radio 8

7.1 Normativer Bezug 8

7.2 Definition mit Abgrenzung zur Fahrzeugumgebung 8

7.3 MTBF-Anforderung und Nachweisführung 9

8 Verweise 11

9 Anhang 1 (normativ): Definition der Ende-zu-Ende Funktionalität 12

10 Anhang 2 (normativ): EEF-Prozess Kohärenzprüfung Cab-Radio 13

11 Anhang 3 (normativ): Prozessschritte 14

12 Anhang 4 (normativ): Ausfallkategorien GSM-R-Cab-Radio 16

13 Anhang 5 (informativ): Lebenszyklus Prozesslandschaft Cab- Radio 18


14 Anhang 6 (normativ): Vordruck Fehlererfassung 19

15 Anhang 7 (informativ): Berechnungsmethode der Verfügbarkeit des GSM-R- Cab-Radios (MTBF-Berechnung) 21


1 Verzeichnisse und Nachweise

1.1 Abbildungsverzeichnis

Abbildung 1: Ende-zu-Ende Funktionalität gem. EIRENE SRS[5] ....................................... 12

Abbildung 2: Ende-zu-Ende Kohärenzprüfprozess .............................................................. 13

Abbildung 3: Beschreibung Prozessschritte Kohärenzprüfung ............................................ 15

Abbildung 4: Ausfallkategorien GSM-R-Cab-Radio nach EN 50126-1999[6] ...................... 17

Abbildung 5: Lebenszyklus Cab-Radio ................................................................................. 18

Abbildung 6: Vordruck Fehlererfassung, Seite 1 .................................................................. 19

Abbildung 7: Vordruck Fehlererfassung, Seiten 2 und 3 ...................................................... 20

1.2 Abkürzungsverzeichnis

BZ Betriebszentrale DB AG Deutsche Bahn AG EBA Eisenbahn-Bundesamt EBL Eisenbahnbetriebsleiter EEF Ende-zu-Ende Funktionalität EG GSM-R-Endgerät EIU Eisenbahn Infrastruktur Unternehmen EVU Eisenbahn Verkehrs Unternehmen EU Europäische Union EIRENE European Integrated Railway Radio Enhanced Network ERTMS European Rail Traffic Management System ETCS European Train Control System FRS Functional Requirement Specifications FIT Failure in Time GeFo GSM-R-Fernsprecher ortsfest GSM-R Global System for Mobile Communication – Rail HW Hardware i.d.R. in der Regel IBG Inbetriebnahmegenehmigung MTBF Mean Time Between Failure / Mittlere Betriebsdauer zwischen Fehlern MTTR Mean Time To Repair / Mittlere Zeitdauer für die Wiederherstellung NTR National Technical Rule NNTR Notified National Technical Rule SIM Subscriber Identity Modul SRS System Requirement Specifications SW Software TEIV Transeuropäische-Eisenbahn-Interoperabilitätsverordnung VV IBG Verwaltungsvorschrift für die Genehmigung zur Inbetriebnahme von Eisenbahn- fahrzeugen ZZS Zugsteuerung, Zugsicherung und Signalgebung


1.3 Definitionen

1.3.1. Zertifizierung

Durch eine benannte Stelle erbrachter Nachweis der Konformität nach TSI ZZS[7] für die in dieser Regelung betrachtete Interoperabilitätskomponente (Cab-Radio).

1.3.2. Komponenten-Zulassung Die Komponenten-Zulassung, die durch das EBA auf Antrag erteilt werden kann, wird auf der Basis des Ergebnisses der Kohärenzprüfung entsprechend der vorliegenden Regelung erteilt. Die Komponenten-Zulassung definiert sich als vorgezogene generische Teilabnahme nach § 32 (1) EBO[2] bzw. der Inbe-triebnahmegenehmigung nach TEIV[1] für die Fahrzeuge, die für den Verkehr in der Bundesrepublik Deutschland einer Genehmigung bedürfen.

1.3.3. Kohärenzprüfung Beschreibung siehe Kap. 4.2

2 Gültigkeit

Diese Regelung erhält Gültigkeit nach Freigabe des LK Fahrzeuge zum Datum ihrer Veröf-fentlichung auf der Homepage des EBA. Bei Änderungen des rechtlichen Rahmens mit relevanter Auswirkung auf diese Regelung, wird diese angepasst.

3 Allgemeines

3.1 Anwendungsbereich

Die Anforderungen dieser Regelung betreffen diejenigen Cab-Radios, für die erstmalig nach Inkraftsetzung dieser Regelung eine Kohärenzprüfung erforderlich wird.

3.2 Definition der Ende-zu-Ende Funktionalität im GSM-R-System

Das GSM-R-Mobilfunksystem ist in den EIRENE-Spezifikationen FRS[4] und SRS[5] defi-niert. Unter der „Ende-zu-Ende Funktionalität“ (EEF) wird in dieser Regelung die Kommu-nikation von GSM-R-Diensten zwischen den beiden Endpunkten „Controller Equipment“ (section number 8, bei der DB Netz AG: GeFo`s) auf der Festnetzseite und dem „Cab-Radio“ (section number 4 und 5) auf der Fahrzeugseite verstanden, vergleiche hierzu Aus-zug aus EIRENE SRS[5], Kap. 1.2.2 in Anhang 1. Im Folgenden wird das fahrzeugseitige GSM-R-Endgerät unter dem Begriff „Cab-Radio“ ausschließlich im Sinne obiger Kommunikationsbeziehung verwendet. Die weiteren im Anhang 1 dargestellten Komponenten wie das „Mobile Equipment“ und die „Black Box“ sind nicht Gegenstand dieser Regelung.

3.3 Zweck

Diese Regelung dient dem Nachweis der technischen Kompatibilität zwischen Cab-Radio inkl. SIM Karte und dem streckenseitigen GSM-R-Netz in der Bundesrepublik Deutschland inklusive der zugehörigen Festnetzendgeräte gemäß Definition in Kap. 3.2. Dieses Doku-ment beschreibt Anforderungen und Prozesse für den Nachweis der Ende-zu-Ende Funktio-nalität des Cab-Radios, damit dieses im GSM-R-Netz betrieben werden kann. Das Durchlaufen des für diesen Nachweis vorhergehenden Teils der Kohärenzprüfung als Teilabnahme vor der jeweiligen Integration in ein Fahrzeug hilft, den Aufwand durch vorge-lagerte Prüfungen zu reduzieren. Die fahrzeugseitige Integration ist nicht Gegenstand dieser


Regelung. Für die beteiligten Parteien wie Lieferanten, Fahrzeugbetreiber, Aufsichtsbehörde und Gutachter bedeutet dies i.d.R. eine vereinfachte, schnellere und transparente Prozess-abwicklung bei verbesserter Planungssicherheit.

3.4 Ziel

Ziel dieser Technischen Regelung ist es, einen störungs- und fehlerfreien Betrieb der Cab- Radios im GSM-R-Netz in der Bundesrepublik Deutschland sicherzustellen. Die in dieser Regelung definierten Prozesse und Vorgaben helfen, diese Zielstellungen zu erfüllen.

4 Rechtliche Bestimmungen und Vorgaben

4.1 Grundlegende Anforderungen

Damit für das Teilsystem Fahrzeug gemäß den rechtlichen Bestimmungen in TEIV[1] bzw. EBO[2] eine Inbetriebnahmegenehmigung bzw. eine Abnahme erteilt werden kann, müssen die im Teilsystem Fahrzeug zur Anwendung kommenden Teilsysteme ZZS (hier die Zug-funkanlage) und Interoperabilitätskomponenten einschließlich der Schnittstellen, die sie be-treffenden, grundlegenden Anforderungen hinsichtlich „technischer Kompatibilität“ und „si-cherer Integration“ erfüllen. Die Erfüllung dieser grundlegenden Anforderungen wird als Nachweis der Kohärenz bezeichnet. Diese allgemeine Vorgabe ist sinngemäß auf die spe-zifische Ende-zu-Ende Funktionalität im GSM-R-System anzuwenden. Grundsätzlich wird für das Cab-Radio das Lebenszyklusmodell gem. EN 50126[6] zugrunde gelegt.

4.2 Kohärenzprüfung

Ziel, Zweck und Umfang der Kohärenzprüfung für die strukturellen Teilsysteme sind in der jeweils aktuellen Fassung der Interoperabilitätsrichtlinie definiert und werden in der zugehö-rigen Empfehlung näher erläutert. Im Sinne dieser Regelung ist am Ende der Kohärenzprüfung der Nachweis erbracht, dass das Cab-Radio als Teil der Ende-zu-Ende Funktion technisch kompatibel mit dem GSM-R-Netzwerk, dem Festnetz und den GeFo`s zusammenwirkt. Bei der Kohärenzprüfung wird davon ausgegangen, dass die SIM-Karte sowie die infrastruk-turseitigen GSM-R-Komponenten wie GSM-R-Netz, Festnetz und GeFo`s ihre Tauglichkeit in separaten Prüf- bzw. Zertifizierungsprozessen nachgewiesen haben. Letztere werden da-her in dieser Regelung nicht behandelt. Die grundlegenden Anforderungen der sicheren Integration sind durch NNTR/ TSI ZZS[7] definiert und sind nicht Inhalt dieser Regelung.

5 Prüfprozess zum Nachweis der Kohärenz

5.1 Kohärenzprüfprozess

Um den Nachweis über die Erfüllung der o.g. Anforderungen für die Ende-zu-Ende Funktio-nalität effektiv, wirksam und verbindlich führen zu können, ist von den Prozessbeteiligten der im Folgenden definierte Kohärenzprüfprozess anzuwenden, siehe Anhang 2.

5.2 Gegenstand der Kohärenzprüfung

Das Cab-Radio unterliegt im Sinne dieser Regelung der Kohärenzprüfung.

5.3 Anlässe für Kohärenzprüfungen

Anlässe für Kohärenzprüfungen des Cab-Radios können sein:

• Neuentwicklungen


• Erstmaliger Einsatz im deutschen GSM-R-Netz • Änderungen des Cab-Radios infolge von z.B.:

o neuen Betreiberanforderungen o Fehlerbeseitigungen, z.B. verursacht durch Ausfälle im Betrieb o funktionalen Anpassungen o rechtlichen oder normativen Anpassungen (z.B. TSI, EIRENE)

Abhängig vom Anlass ist der Einstieg in die Kohärenzprüfung beim jeweils zutreffenden Prozessschritt vorzunehmen, siehe hierzu Anhang 3. Dies ist zwischen den Prozessbeteilig-ten abzustimmen.

5.4 Prozessbeteiligte

Prozessbeteiligte können sein:

a) Betreiber von - GSM-R-Infrastrukturkomponenten (EIU) und - GSM-R-Fahrzeugkomponenten (EVU)

b) GSM-R-Produktlieferanten, c) Eisenbahn-Bundesamt, d) Prüfstellen für GSM-R (akkreditierte Labore), e) Gutachter für GSM-R, f) Instandhalter für GSM-R-Cab-Radios, g) benannte Stellen.

5.5 Durchführung Kohärenzprüfung

Der Prozess der Kohärenzprüfung ist im Anhang 2 beschrieben. Die einzelnen Prozessschritte mit Tätigkeiten, Ergebnissen und Beteiligten sind in Anhang 3 beschrieben. Da die Kohärenzprüfung selbst nur einen kleinen Ausschnitt im gesamten Lebenszyklus des Cab-Radios ausmacht, ist sie zwecks besseren Verständnisses in der übergreifenden Pro-zesslandschaft im Gesamtkontext dargestellt, vgl. Anhang 5 (gelb schraffiert markiert).

6 Fehlermanagementprozess Cab-Radio

6.1 Ziel

Ziel des Fehlermanagementprozesses ist es, über den gesamten Lebenszyklus von Cab-Radios gemäß Phase 12 der EN 50126[6] • auftretende Ausfälle und deren Häufigkeiten zu identifizieren, zu bewerten und zu ver-

folgen, • Korrektur- und Vorbeugemaßnahmen festzulegen, • Ausfälle systematisch zu verfolgen und zu beseitigen, z.B. mittels Change Requests, • Datenbanken zur Erfassung, Auswertung und Dokumentation zu nutzen und • die im Rahmen des Nachweises der MTBF-Anforderungen bestimmten Werte zu veri-

fizieren.

6.2 Informationsprozess

Zur Erfüllung der Zuverlässigkeits- und Verfügbarkeitswerte sind die Instandhaltungsanfor-derungen einzuhalten. Um den Fehlermanagementprozess effektiv und wirksam zu gestalten, informieren sich die Prozessbeteiligten rechtzeitig und umfassend über Ausfälle, Fehler, Aktivitäten, Änderun-


gen, Neuerungen, Maßnahmen, Termine etc. mit Hilfe von firmen- und produktspezifischen Datenbanken. In den Fehlermanagementprozess sind die primär beteiligten Parteien wie Produktlieferant, Betreiber (EIU und EVU) und Instandhalter aktiv eingebunden. Die informativ beteiligten Parteien wie benannte Stellen (NoBo), Sicherheitsbehörde (EBA), Gutachter und Prüfer sind je nach Erfordernis in den Informationsfluss (z.B. über neue Erkenntnisse, Ergebnisse, Auf-lagen) zeitnah einzubeziehen.

6.3 Ausfallkategorien

Die Einstufung von Ausfällen von Cab-Radios ist gemäß der Tabelle in Anhang 4, „Ausfall-kategorien für GSM-R-Endgeräte“ vorzunehmen.

6.4 Fehlermeldung und Bewertung

Komponenten- und Systemfehler von Cab-Radios werden mit Hilfe des Vordruckes Fehler-meldung (siehe Anhang 6) vom Betreiber an den Hersteller des Cab-Radios gemeldet. Fehler der Ausfallkategorie 1 (signifikant) oder 2 (kritisch) oder Fehler, die eine bahnbetrieb-liche Auswirkung haben, sind vom Betreiber unverzüglich bahnbetrieblich zu bewerten (ent-spr. Anhang 4). Der Hersteller analysiert unverzüglich im Rahmen seines Fehlermanagementprozesses die Schwere, Ursache, Auswirkung sowie den Umfang (z.B. Betreiberspezifika) des Fehlers und legt die weiteren Maßnahmen fest. Der Umgang mit Fehlern wird zwischen Herstellern und Betreibern, bei Ausfallkategorie 1 und 2 ggf. unter Einbeziehung eines Gutachters, abge-stimmt und umgesetzt. Das EBA und ggf. die benannte Stelle sind über solche Fehler durch den Hersteller des Cab-Radios unverzüglich zu informieren.

7 Anforderungen an Verfügbarkeit / Zuverlässigkeit Cab-Radio

7.1 Normativer Bezug

Gemäß aktueller TSI ZZS[7] (Abschnitt 4.2.1.2) wird für die Funksprechverbindung zwischen Betriebszentrale und Triebfahrzeugführer die Einhaltung einer mittleren Betriebsstundenzahl zwischen Fehlern gefordert (MTBF). Die Werte werden in der TSI derzeit noch als „offener Punkt“ geführt. Die Einhaltung der geforderten Verfügbarkeits-/ Zuverlässigkeitswerte ist über die Nut-zungsdauer durch Anwendung der Instandhaltungsvorschriften sicherzustellen (TSI ZZS[7], 4.2.1.2 und 4.5). Für das Cab-Radio werden die Vorgaben nachfolgend definiert.

7.2 Definition mit Abgrenzung zur Fahrzeugumgebung

7.2.1. Das Cab-Radio steht typischerweise in drei verschiedenen Ausführungen zur Verfügung:

1. Single Mode (nur Digitalfunk) umfasst das Zentralgerät (Steuergerät) in-

klusive eines abgesetzten Bedienteils (MMI) und eines an das Bedienteil angeschlossenen Handapparats.

2. Dual-Mode umfasst zusätzlich zur Single Mode Ausführung einen inte-grierten bzw. angeschlossenen Analogfunkanteil, der in dieser Regelung aber nicht betrachtet wird.

3. Kompaktgerät (Single Mode) umfasst ein integriertes Bedienteil mit ange-schlossenem Handapparat.


7.2.2. Maßgeblich für die MTBF Betrachtung des Cab-Radios ist sein Ausfallverhal-ten. Dabei sind die Baugruppen des Cab-Radios zu betrachten, die an der Funktion der Funksprechverbindung zwischen der Betriebszentrale und dem Triebfahrzeugführer (inkl. Notrufe) beteiligt sind. Diese Betrachtung umfasst den herstellerspezifischen Teil der Cab-Radios und gilt als Grundlage für die Berechnung der Verfügbarkeit der Sprachverbindung gemäß TSI ZZS[7]. Die folgenden Hinweise sind zu beachten:

• Die Baugruppen und Steckverbinder der Baugruppen sind Bestandteil der

MTBF-Betrachtung, • die Komponenten Hörer und MMI sind Bestandteil der MTBF-Betrachtung, • die Zuleitungskabel zum Cab-Radio inklusive ihrer Stecker sind Bestand-

teile der Fahrzeugeinrichtung, damit nicht MTBF-relevant (u.a. Stromver-sorgung, Datenleitungen, digitale Ein-/Ausgänge),

• der Lautsprecher und die Fahrzeugantenne inklusive Antennenkabel und Antennenstecker sind fest im Fahrzeug verbaut, damit nicht MTBF-relevant.

Bei Cab-Radios, die modular mit optionalen Baugruppen ausgerüstet werden können, sind in die MTBF-Betrachtung nur die für den GSM-R-Sprachfunk re-levanten Baugruppen einzubeziehen.

7.3 MTBF-Anforderung und Nachweisführung

7.3.1. Rahmenbedingungen für die MTBF-Berechnung und Nachweisführung sind

- Mittlere Betriebsstundenzahl von 16 Stunden pro Tag, - Betriebsbereitschaft 23 h/ Tag, - Betriebsruhe 1 h/ Tag, - Betriebszeit Ø 5 800 h/ Jahr, - Nutzungsdauer 10 Jahre, - Reparaturzeit (MTTR) 48 h.

7.3.2. Die MTBF der Funktion in Kap. 7.2.2 kann über die Häufigkeit der Ausfälle

(� = Ausfallrate) berechnet werden.

Für � und MTBF gilt bei einer Exponentialverteilung der Ausfälle � = �

�� .

Die MTBF einer Funktion, die aus einer seriellen Schaltung von n Teilkom-

ponenten besteht, ergibt sich aus �� =�

��⋯��

7.3.3. MTBF-Anforderung an neue Endgeräte nach Inkrafttreten dieser Regelung

Für die im Kapitel 7.2.1 definierten Ausführungsformen von Cab-Radios muss im Ergebnis der vorläufigen RAM-Analyse mindestens ein MTBF-Wert von 13.140 Stunden für die Hardware unter Berücksichtigung der technischen Abgrenzung nach Kap. 7.2.2 und der Rahmenbedingungen nach Kap. 7.3.1 eingehalten werden.

7.3.4. Technische Änderungen an GSM-R-Geräten

Für GSM-R-Geräte, welche technische Änderungen erfahren, genügt es nachzuweisen, dass die Änderung das ursprüngliche Ausfallverhalten des Gerätes nicht negativ beeinflusst.

7.3.5. Nachweisführung


Die Berechnung der Ausfallrate ist auf Basis der EN 50126[6], DIN EN/IEC61709[8] durchzuführen (Empfehlung siehe informativen Anhang 7). Zur Einhaltung der grundlegenden Anforderungen und der unter Kap. 7.3.3 festgelegten nationalen Sollwerte über die gesamte Nutzungsdauer der Gerä-te sind die jeweils durch den Hersteller benannten Instandhaltungsvorschrif-ten anzuwenden (TSI ZZS[7], 4.2.1.2 und 4.5).


8 Verweise

Diese technischen Regeln gelten in Zusammenhang und Ergänzung mit (soweit nicht anders genannt, gilt der aktuelle Stand):

[1] TEIV - Transeuropäische-Eisenbahn-Interoperabilitätsverordnung

[2] EBO – Eisenbahn-Bau- und Betriebsordnung

[3] VV IBG - Verwaltungsvorschrift für die Genehmigung zur Inbetriebnahme von Eisen-

bahnfahrzeugen gemäß §§ 6 ff TEIV im Zuständigkeitsbereich des Eisenbahn-

Bundesamtes (VV IBG Fahrzeuge)

[4] EIRENE – Functional Requirement Specification (FRS)

[5] EIRENE – System Requirement Specification (SRS)

[6] EN 50126-1 – Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instand-

haltbarkeit und Sicherheit (RAMS) – Teil 1

[7] TSI ZZS – Technische Spezifikation für die Interoperabilität der Teilsysteme „Zugsteue-

rung, Zugsicherung und Signalgebung“ des transeuropäischen Eisenbahnsystems

[8] DIN EN/IEC61709 - Elektrische Bauelemente - Zuverlässigkeit – Referenzbedingungen

für Ausfallraten und Beanspruchungsmodelle zur Umrechnung

[9] IEC 60050(191) - Internationales Elektrotechnisches Wörterbuch - Teil 191: Zuverläs-

sigkeit und Dienstgüte

[10] EN 61508-4 - Funktionale Sicherheit sicherheitsbezogener elektri-

scher/elektronischer/programmierbarer elektronischer Systeme - Teil 4: Begriffe und

Abkürzungen


9 Anhang 1 (normativ): Definition der Ende-zu-Ende Funktionali-tät

Abbildung 1: Ende-zu-Ende Funktionalität gem. EIRENE SRS[5] Die Ende-zu-Ende-Funktionalität gemäß dieser Regelung bezieht sich auf die Kommunikation zwischen den beiden rot markierten Endpunkten

• Controller Equipment (Festnetz) und • Cab-Radio (Fahrzeug)

Black Box


10 Anhang 2 (normativ): EEF-Prozess Kohärenzprüfung Cab-Radio

Abbildung 2: Ende-zu-Ende Kohärenzprüfprozess

Die Kohärenzprüfung gliedert sich in 8 Prozessschritte (blau gekennzeichnet). Diese sind in den folgenden Tabellen des Anhangs 3 detailliert beschrieben.


11 Anhang 3 (normativ): Prozessschritte

Prozessschritte – Seite 1 Pro-zess-schritt

Eingabe

Tätigkeit Ergebnis Beteiligte

1 Zertifikat/

Prüfbericht NoBo Bewertung der Gültigkeit der Zertifikate und Anwendung der gültigen Richtlinien und TSI´en. Bewertung der Auflagen und Hinweise. Es sind ggf. Testfälle festzulegen, um die Hinweise und Auflagen zu berücksichtigen. Ggf. Kompensationsmaßnahmen für offene und reservierte Punkte der TSI festlegen.

Auflagen und Hinweise aus dem Zertifikat sind im Einzelfall für den Prüfumfang zur Kohä-renz von Bedeutung.

Gutachter, Prüfer

2 Prüfung im GSM-R-Netz

Zur Feststellung der Kohärenz sind Prüfun-gen im GSM-R-Netz in der Bundesrepublik Deutschland gemäß TEIV §6 erforderlich.

Prüfbericht Prüfer

2.1 Prüfumfang Es ist der Prüfumfang zur Feststellung der Kohärenz festzulegen. Hinweise/ Auflagen und bei der Zertifizierung nicht geprüfte Testfälle und ggf. nationale Anforderungen sind zu beachten. Es ist zu entscheiden, ob die Kohärenztests nur im Wirknetz oder auch im Testlabor durchgeführt werden.

Prüfumfang Testkatalog

Gutachter, Prüfer

2.2 Test Labor Prüfung der Testfälle gemäß vereinbartem Prüfumfang. Es werden statische Prüfungen in einer Laborkonfiguration durchgeführt, die der Konfiguration des Wirknetzes entspricht. Die Prüfungen werden in einem GSM-R-Testlabor durchgeführt.

Ergebnisprotokoll Prüfer, Hersteller

2.3 Test Wirknetz Prüfung der Testfälle gemäß vereinbartem Prüfumfang. Es werden statische und dynamische Prü-fungen auf den mit einer Schattenkonfigura-tion ausgerüsteten Teststrecken durchge-führt. Die Prüfungen können mit einem Straßen- oder Schienenfahrzeug durchge-führt werden.

Ergebnisprotokoll Prüfer, Hersteller

2.4 Prüfbericht Es ist ein Prüfbericht zu erstellen. Der Prüf-bericht enthält das Ergebnisprotokoll sowie Angaben zum Prüfumfang, zur Prüfumge-bung, dem Prüfling und den verwendeten SIM-Karten

Prüfergebnis Prüfer

3 Hersteller-dokumentation

Der Hersteller liefert in Abstimmung mit dem Gutachter die zur Feststellung der Kohärenz erforderliche Dokumentation. Für die Prü-fung wesentlich sind:

• Zertifikat/Prüfbericht NoBo gemäß den verwendeten Modulen,

• EG Konformitätserklärungen, • Angaben zu den verwendeten Nor-

men (EIRENE), • Compliance-Listen, • SW-Release / Änderungsauswir-

kung, • Produktübersicht, • Montage, Bedienungs- und Instand-

haltungsanleitungen, • RAMS-Dokumentation, • Testspezifikation, • Fehlermanagementbericht (Liste der

bereits bekannten Fehler). • Prüfberichte zu den Funktionsprü-

fungen

Herstellerdokumentation Hersteller, Gutachter

Fortsetzung auf Seite 2


Prozessschritte – Seite 2 Pro-zess-schritt

Eingabe Tätigkeit Ergebnis Beteiligte

4 Prüfung Voll-

ständigkeit der Unterlagen

Der Gutachter prüft die Vollständigkeit der Unterlagen und entscheidet, ob eine Be-triebserprobung zum Nachweis der Zuver-lässigkeit und ggf. zur Bewertung des Feh-lermanagementberichts erforderlich ist.

Feststellung der Voll-ständigkeit und Notwen-digkeit der Betriebser-probung

Gutachter

5 Betriebserpro-bung

Bei neuen Endgeräten, welche bisher nicht im GSM-R-Netz der DB AG im Einsatz waren, ist eine Betriebserprobung durchzu-führen, soweit keine anderweitigen vom Gutachter akzeptierten Dokumente zum praktischen Nachweis der Zuverlässigkeit vorliegen. Bei folgenden weiteren Gründen kann der Gutachter über die Notwendigkeit einer Betriebserprobung entscheiden:

• Änderungen an HW und/oder SW; • Bei aufgetretenen Ausfällen (An-

lässe gem. Regelung), die eine bahnbetriebliche Bewertung not-wendig machen (gem. Prioritäten der Fehlerliste)

Erstellung eines Betriebserprobungsplanes und Durchführung einer Betriebserprobung gemäß den Vorgaben des Gutachters durch den Hersteller und das EVU.

Betriebserprobungsplan, Betriebserprobungsbe-richt

Gutachter, Hersteller, EVU, EIU

6 Gutachten, ggf. mit Ergebnissen aus einer Be-triebserprobung

Erstellung eines Gutachtens mit folgendem Inhalt:

• Bewertung der Auflagen/ Hinwei-se aus dem Zertifikat,

• Bewertung der Prüfergebnisse, • Eignung Testkatalog und Testum-

gebung, • Bewertung nicht getesteter Anfor-

derungen, • Bewertung von Fehlern, • Kundenspezifische Anforderungen

(Add-On) und deren Rückwir-kungsfreiheit auf die verpflichten-den Anforderungen,

• Eignung SIM Karten, • Bewertung der Notwendigkeit ei-

ner Betriebserprobung und ggf. des Erprobungsplans und –berichts.

• Bewertung RAMS • Erfüllung der Anforderungen nach

TEIV/VVIBG[3]

Gutachten Gutachter

7 Ergebnis Gutach-ten

Feststellung der Kohärenz Gutachten zur Feststel-lung der Kohärenz zur Vorlage beim EBA

Gutachter

8 Unterlagen des Gutachters, ggf. weitere Doku-mente

Fachliche Bewertung zur Kohärenzprüfung durch das EBA (Referat 22)

Bewertung Kohärenz. Bei positivem Ergebnis ist die Kohärenzprüfung des EG hier abgeschlos-sen

EBA

Ende Prozessschritte Abbildung 3: Beschreibung Prozessschritte Kohärenzprüfung


12 Anhang 4 (normativ): Ausfallkategorien GSM-R-Cab-Radio

Beschreibung von Ausfallkategorien für GSM-R-Endgeräte mit Be-wertungsbeispielen aus technischer und betrieblicher Sicht

Aus-fall-kate-gorie Prio-rität

Ausfall-katego-

rie gem. EN 50126[6]

Geräte- Ausfall-

art

Technische Bewertung Beispiele aus Abnahmephase

Betriebliche Bewertung Beispiele aus Betriebsphase

1 signifi-

kant Total-ausfall

Totalausfall bei Abnahme Auswirkung: Ausfall einer wesentlichen Funkti-on; Test- und Abnahmeprozedur wird unterbrochen bzw. beendet, Fehlerursache muss beseitigt werden. Beispiele:

a) Funktionalität (Notruf Netz-wahl, funktionale Registrie-rung)

b) wenn mehrere Fehler der Kategorie 2 vorliegen (das Gerät erfüllt die Anforderun-gen nur mit erheblichen Ein-schränkungen)

Wenn ein Prüfbericht erstellt wird, dann mit entsprechenden Hinweisen und technischer Bewertung des Mangels.

Keine Abnahme des End-gerätes im Labor bzw. auf der Strecke!

Totalausfall im Betrieb Betrieb wird erheblich beeinträch-tigt Differenzierte Bewertung in Ausfall vor Beginn bzw. während einer Zugfahrt

Auswirkung:

Kein Funkbetrieb möglich, damit keine Zugfunkkommunikation zu betriebs-führenden Stellen (auch keine Notrufe) möglich: a) Ausfall vor Beginn einer Zug-

fahrt am Zuganfangsbahnhof:

Es ist gem. KoRiL 481.0205 Abs. 9(3) zu verfahren (BZ entscheidet über die weiteren betrieblichen Maßnahmen)

b) Ausfall während einer Zugfahrt:

Es ist gem. KoRiL 481.0205 Abs. 9(4) zu verfahren (differenzierte Vorgehensweise); Entstörungs-maßnahmen sind anzustoßen;

Für a) und b) gilt:

- Ausfälle fließen in den Fehlerma-nagementprozess ein;

- Eine Analyse auf Einzel- oder systematische Ausfälle findet statt;

- Bei systematischen Ausfällen ist eine betriebliche Bewertung durch den Betreiber erforderlich, bei Ein-zelausfällen i.d.R. nicht.

2 kritisch

kriti-scher

Ausfall einer

Funkti-on

Gerät ist eingeschränkt funktionsfähig Auswirkung:

Mindestens eine wichtige Funkti-on ist ausgefallen Beispiele:

a) Ausfall einer Mandatory-Funktion, z.B. „Confirmation Emergency“ nicht möglich

b) T

Wenn ein Prüfbericht erstellt wird, dann mit entsprechenden Hinweisen und technischer Bewertung des Mangels

Keine Abnahme des End-gerätes im Labor bzw. auf der Strecke!

Betrieb kann erheblich beein-trächtigt werden Auswirkung:

- In einem Fahrzeug bzw. in dessen Einsatzbereich kann es zu erheb-lichen Betriebsbehinderungen kommen;

- Ausfälle fließen in das Fehlerma-nagement ein;

- Eine Analyse auf Einzel- oder systematische Ausfälle findet statt;

- Bei systematischen Ausfällen ist eine betriebliche Bewertung durch den Betreiber erforderlich, bei Ein-zelausfällen i.d.R. nicht.

Fortsetzung Tabelle nächste Seite


Fortsetzung Tabelle Anhang 4

3 unkri-tisch

unkriti-scher

Ausfall einer

Funkti-on

Gerät ist unkritisch beein-trächtigt Auswirkung:

Eine Funktion ist unkritisch beein-trächtigt Beispiele:

a) optische oder akustische An-zeigefehler am MMI

b) T

Prüfbericht enthält Hinweis auf unkritischen Ausfall einer Funktion

Betrieb kann geringfügig be-einträchtigt werden Auswirkung:

- Geringfügige betriebliche Beein-trächtigung möglich;

- Keine betriebliche Bewertung erforderlich;


- Eine Analyse auf Einzel- oder systematische Ausfälle findet statt.

4 vernach-lässig-

bar

vernach-lässig-barer

Ausfall einer

Funkti-on

Gerät ist vernachlässig-bar betroffen Auswirkung:

Eine Funktion ist vernachlässigbar betroffen Beispiele:

a) Auswahl Sprachkonfiguration b) T Prüfbericht enthält Hinweis auf vernachlässigbaren Ausfall einer Funktion

Betrieb wird nicht beein-trächtig Auswirkung:

- Keine betriebliche Beeinträchti-gung zu erwarten;

- Keine betriebliche Bewertung erforderlich;


- Eine Analyse auf Einzel- oder systematische Ausfälle findet statt

Ende Tabelle Anhang 4 Abbildung 4: Ausfallkategorien GSM-R-Cab-Radio nach EN 50126-1999[6]


13 Anhang 5 (informativ): Lebenszyklus Prozesslandschaft Cab- Radio

Abbildung 5: Lebenszyklus Cab-Radio


14 Anhang 6 (normativ): Vordruck Fehlererfassung

Abbildung 6: Vordruck Fehlererfassung, Seite 1


Abbildung 7: Vordruck Fehlererfassung, Seiten 2 und 3


15 Anhang 7 (informativ): Berechnungsmethode der Verfügbar-keit des GSM-R-Cab-Radios (MTBF-Berechnung)

Berechnung der Verfügbarkeit In diesem Abschnitt werden in Anlehnung an die EN 50126:1999[6] und EN 61508-4:2010[10] die Zusammenhänge zwischen den Begriffen „mittlere Betriebsstundenzahl zwischen Ausfäl-len einer Funktion“, „Ausfallrate“, „Verfügbarkeit“ und „Ausfallwahrscheinlichkeit“ gezeigt. Die „mittlere Betriebsstundenzahl“ zwischen den Fehlern kann über die Häufigkeit der Ausfäl-le (Ausfallrate) berechnet werden. Diese Funktion ist in jeder gängigen Zugfunkanlage über eine serielle Anschaltung bestimm-ter Hardware- und Softwareteilkomponenten implementiert, deren Verfügbarkeiten die Ver-fügbarkeit der Funktion bestimmt. Die Grundparameter zur Berechnung der Verfügbarkeit einer Funktion werden in der EN 50126:1999[6], wie in der folgenden Tabelle dargestellt, definiert:

Parameter Symbol Erläuterung Availability � Verfügbarkeit1 Failure Rate � Ausfallrate Mean Down Time � Mittlere Unklardauer2 (Mittlere Ausfallzeitdauer3) Mean Time Between Failure

�� Mittlere Zeit zwischen Ausfällen

Anmerkungen: 1) Die Fähigkeit eines Produkts, in einem Zustand zu sein, in dem es unter vorgegebe-

nen Bedingungen zu einem vorgegebenen Zeitpunkt oder während einer vorgege-benen Zeitspanne eine geforderte Funktion erfüllen kann unter der Voraussetzung, dass die geforderten äußeren Hilfsmittel bereitstehen. Hinweis: Dieser Wert, ausgedrückt als Dezimalzahl, liegt zwischen null und eins. Wobei z.B. der Wert A = 0,99 bedeutet, dass eine Funktion/Produkt in 99% der Zeit verfügbar ist.

2) Die Zeitspanne, während der sich das Produkt in einem Unklarzustand befindet. (IEC 60050(191)[9])

3) Im Sinne der betrieblichen Verfügbarkeit wird hier empfohlen, dass für den Wert � die mittlere Zeit angenommen wird, in der die Zugfunkanlage nach einem To-talausfall aus dem Betrieb genommen wird. Die tatsächliche Ausfallzeitdauer, beste-hend aus der Diagnosezeit, der Zeit für die Beschaffung des Ersatzteils, der Repara-turzeit, T , verläuft außerhalb der Betriebszeit.

Für � und �� gilt bei einer Exponentialverteilung der Ausfälle � = �

�� .

Für eine Zugfunkanlage und deren Teilkomponenten kann aus Vereinfachungsgründen � als Kehrwert von �� angenommen werden. Die „mittlere Betriebsstundenzahl zwischen Ausfällen“ einer Funktion (hier „Kommunikation zwischen der Betriebszentrale und Triebfahrzeug“), die aus einer seriellen Schaltung von � Hardware- und Softwareteilkomponenten besteht, ergibt sich aus

�� =�

��⋯��

Die Kenngröße � ergibt sich aus � = �� ∗ �� ∗ …∗� ∗ �. Sie ist für mehr als zwei Teil-komponenten vernachlässigbar klein. Gemäß EN 61508-4:2010[10] (Abschnitt 3.6.16, Anmerkung 4) ist die Ausfallrate von einer Serie von Objekten die Summe der Ausfallraten von jedem Objekt. Damit lässt sich auf die Berücksichtigung von � verzichten.


Berechnung der Verfügbarkeit

Die Verfügbarkeit einer Funktion ergibt sich aus der Gleichung � = ��

��!�

Berechnung der Ausfallwahrscheinlichkeit In Abhängigkeit von der Zeit " lässt sich die Wahrscheinlichkeit # für das Auftreten eines Feh-lers, wie folgt, berechnen: #$"% = 1 − ()�∗* Berechnung der Verfügbarkeit über den Lebenszyklus EN 50126:1999[6] unterteilt den Lebenszyklus eines Systems (einer Komponente) von der Konzeptphase bis hin zur Stilllegung und Entsorgung in 14 Phasen. In der Phase 2 „Systemdefinition und Anwendungsvoraussetzungen“ wird die s. g. „vorläufige RAM-Analyse“ durchgeführt und die zu erwartende Verfügbarkeit rechnerisch ermittelt. Dabei basieren die für die Analyse angenommenen Ausfallraten ��, … , � (s. o.) auf den Angaben der Zulieferer der Teilkomponenten. Die Werte ��, … , � können anhand der Auswertung von Ausfalldaten im Feld, Eintragungen in der Reparaturdatenbank und Ergebnisse einer Betriebserprobung abgeleitet und validiert werden. Die EN 50126:1999[6] sieht den Nachweis der RAMS-Performance in Übereinstimmung mit Phase 9 „System-Validierung“ bis Phase 12 „Erfassung der Leistungsfähigkeit“ vor. Eine An-forderung in der Phase 9 besteht in der Erstellung und Implementierung eines Verfahrens zur Ermittlung und Bewertung von Felddaten (Gegenstand des RAMS-Konzepts). In den weiteren Phasen werden über RAMS-Prüfberichte (von Komponenten) und Erfassung von Ausfalldaten (Statistik) und Erfassung der RAMS-Performance während der ersten Betriebsphase, die vor-läufigen RAMS-Analysen validiert.

Ende des Dokuments

regelung gsm-r 01 - bund

Documents