Petrinetzbasierte Verlässlichkeitsanalyse einer sicherheitsrelevanten, bordautonomen Zugortung auf Grundlage von PROFUND - De Gruyter
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
at – Automatisierungstechnik 2021; 69(3): 186–199 Methoden Andreas Dodinoiu*, Arne Geffert, Tianxiang Lan und Uwe Becker Petrinetzbasierte Verlässlichkeitsanalyse einer sicherheitsrelevanten, bordautonomen Zugortung auf Grundlage von PROFUND Petri net-based dependability analysis of a safety-relevant, autonomous train localization on the basis of PROFUND https://doi.org/10.1515/auto-2020-0125 ability of the system can be evaluated quantitatively using Empfangen 31. Juli 2020; angenommen 2. Dezember 2020 Petri net-based modeling and Monte Carlo simulation. Zusammenfassung: Die bevorstehende Modernisierung Keywords: RAMS, reliability, GNSS, positioning, Stanford des Schienenverkehrs wird sich auf die Zugsicherungs- diagram und Signaltechnik auswirken, z. B. auf die Zugortung, die bordautonom und satellitenbasiert werden soll. Um schon in frühen Entwicklungsstadien Aussagen über die Verläss- lichkeit eines solchen Systems treffen zu können, ist ei- 1 Einleitung ne prospektive Risikoabschätzung auf funktionaler Ebe- Die Anbieter von Mobilitätsanwendungen der heutigen ne erforderlich. Durch Weiterentwicklung der PROFUND- Zeit unterliegen den hohen gesellschaftlichen Erwartun- Methode kann mithilfe einer petrinetzbasierten Modellie- gen, die Sicherheit, den Umweltschutz und die Wirtschaft- rung und einer Monte-Carlo-Simulation eine quantitati- lichkeit ihrer Dienste zu verbessern. Dies ist nur durch ei- ve Aussage über die Verlässlichkeit des Systems getroffen ne stetige Modernisierung möglich und trifft insbesonde- werden. re auf den Schienenverkehr zu. Gerade im Hinblick auf Schlagwörter: RAMS, Zuverlässigkeit, GNSS, Lokalisie- ein Fortbestehen des Schienenverkehrs ist eine Moderni- rung, Stanford-Diagramm sierung, insbesondere des Eisenbahnverkehrsleitsystems, erforderlich. Für eine solche Modernisierung sind jedoch Abstract: The upcoming modernization of rail transport neue Ansätze für die Zugsteuerung und -ortung unerläss- will affect the train control and signaling technology, for lich. Als eine mögliche Ortungstechnologie bietet sich ein example the train localization which should become on- multisensorielles System auf der Basis von Globalen Na- board and satellite-based. In order to determine the de- vigationssatellitensystemen (GNSS) an. Hierfür werden al- pendability of such a system at an early stage of develop- lerdings neue Ansätze zur Risikobewertung benötigt, für ment, a prospective risk assessment at functional level is die im Folgenden eine neue Methode vorgestellt wird. necessary. By refining the PROFUND method, the depend- Zu diesem Zweck werden im vorliegenden Beitrag zu- *Korrespondenzautor: Andreas Dodinoiu, Technische Universität nächst die Verlässlichkeitskenngrößen des Schienenver- Braunschweig, Institut für Verkehrssicherheit und kehrs und der GNSS-basierten Ortung ineinander über- Automatisierungstechnik, Hermann-Blenk-Straße 42, 38108 führt, anschließend werden nach der PROFUND-Methode Braunschweig, Deutschland, E-Mail: die entsprechenden Prozesse auf funktionaler Ebene mo- a.dodinoiu@tu-braunschweig.de, ORCID: delliert. Das auf Petrinetzen basierende Modell eignet sich https://orcid.org/0000-0002-8183-6816 Arne Geffert, Tianxiang Lan, Uwe Becker, Technische Universität für eine Risikoanalyse, welche mithilfe einer Monte-Carlo- Braunschweig, Institut für Verkehrssicherheit und Simulation durchgeführt wird. Der nachfolgend beschrie- Automatisierungstechnik, Hermann-Blenk-Straße 42, 38108 bene Ansatz zeigt, wie sich – gemäß Anforderung aus der Braunschweig, Deutschland, E-Mails: Bahn-Normung [1] – eine solche Analyse schon in einem a.geffert@tu-braunschweig.de, t.lan@tu-braunschweig.de, u.becker@tu-braunschweig.de, ORCID: frühen Stadium des Entwicklungsprozesses durchführen https://orcid.org/0000-0001-5115-5908 (A. Geffert), lässt. Dadurch kann das zu analysierende System bereits https://orcid.org/0000-0002-3943-1401 (T. Lan) auf funktionaler Ebene modelliert werden. Gerätetechni- Open Access. © 2021 Dodinoiu et al., publiziert von De Gruyter. Dieses Werk ist lizensiert unter einer Creative Commons Namensnennung 4.0 International Lizenz.
A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse | 187 sche Zuverlässigkeit, technologische Realisierungen o. ä. werden nicht betrachtet. 2 Betriebliche Betrachtung der Zugsteuerung Im europäischen Schienenverkehr erfolgt die Umsetzung des Modernisierungsvorhabens (siehe Kapitel 1) durch die Einführung eines einheitlichen europäischen Eisenbahn- verkehrsleitsystems ERTMS (European Rail Traffic Ma- Abb. 1: Zulässige Abweichungen bei der Zugortung mit konventio- nagement System). Einen Bestandteil von ERTMS stellt da- neller ETCS-Streckenausrüstung [4]. bei die Zugsteuerung ETCS (European Train Control Sys- tem) dar. Der Ausbau von ETCS in Bestands- und Neu- baustecken kann in drei Stufen erfolgen, jedoch sind nur ETCS Level 2 und 3 für den Einsatz von GNSS relevant, entstehenden Messabweichungen sollen mithilfe von Ba- da hier teilweise bzw. vollständig auf streckenseitige Si- lisen korrigiert werden. Balisen – fest im Gleiskörper ver- gnaltechnik verzichtet werden kann. Nur bei einem über- baute, elektromagnetische Transponder – gewährleisten wiegenden oder vollständigen Verzicht auf die strecken- somit eine punktförmige Zugortung. Abb. 1 zeigt das be- seitige Signaltechnik ist der Einsatz einer sicherheitsrele- schriebene Verfahren mit den zulässigen Messabweichun- vanten, fahrzeugseitigen Ortung aus betrieblichen und fi- gen [4]. Die Datenübertragung erfolgt dadurch, dass das nanziellen Gesichtspunkten erstrebenswert, da hierdurch Fahrzeug die Baliseninformation bei der Überfahrt einer die Mehrkosten einer fahrzeugseitigen Ortung durch den Balise mit einem entsprechenden Lesegerät ausliest. Um Wegfall des Einbaus, des Betriebs und der Wartung der ein sicheres Auslesen einer Balise und damit eine verläss- streckenseitigen Signaltechnik kompensiert werden kön- liche Ortung zu gewährleisten, werden diese nicht einzeln nen [2]. ETCS Level 2 und 3 unterscheiden sich vor allem verlegt, sondern immer in Gruppen von zwei bis acht. Die- dadurch, dass in Level 2 die Blockabschnitte durch eine se Balisengruppen werden dabei an Blockübergängen und Gleisfreimeldung im Gleis baulich fest vorgegeben sind. an relevanten Streckenabschnitten, wie z. B. an Weichen, Dagegen wird bei ETCS Level 3 die Gleisfreimeldung – und verlegt. Das Schienenfahrzeug meldet im Fall von ETCS damit verbunden die Zugvollständigkeitskontrolle – fahr- dem Stellwerk seine Position über eine Funkschnittstelle zeugseitig realisiert. Die technische Umsetzung einer fahr- und das Stellwerk gibt die weitere Fahrt des Zuges frei und zeugseitigen Gleisfreimeldung bzw. Zugvollständigkeits- stellt die Fahrstraße ein. kontrolle hat nach aktuellem Stand von Wissenschaft und Aktuelle Bestrebungen gehen dahin, physische Bali- Technik noch einen großen Entwicklungsbedarf und wird sen mithilfe einer fahrzeugseitigen Ortung auf Basis vir- deshalb in dieser Veröffentlichung nicht weiter betrach- tueller Balisen zu ersetzen, um so die Kosten auf weni- tet [3]. Im Hinblick auf die später dargestellte Modellie- ger stark befahrenen Nebenstrecken zu senken [2]. Bei sol- rung sei angemerkt, dass auf die traditionelle Blocksiche- chen virtuellen Balisen werden die zur verlässlichen Fahr- rung zurückgegriffen wird, d. h., dass sich innerhalb eines zeugführung benötigten Ortungsinformationen durch ei- Blockabschnitts zu einem gegebenen Zeitpunkt in der Re- ne alternative, fahrzeugseitige Ortungstechnologie ermit- gel nur ein Schienenfahrzeug befinden darf, da sonst eine telt. Dies kann durch eine Vielzahl von Sensorik und Mess- Gefährdung entsteht. Ausnahmen hiervon stellen z. B. das prinzipien geschehen und ist Gegenstand anderer For- Rangieren und das Koppeln zweier Züge dar. schungsarbeiten: Es können z. B. Kamerasysteme, Gleisra- Die technische Umsetzung der Ortung eines Schienen- dar, Wirbelstromsensoren, Inertialsensorik, terrestrische fahrzeuges ist bei ETCS nicht fest vorgeschrieben. Es wer- Funkortung oder satellitenbasierte Ortung eingesetzt wer- den lediglich Funktionsumfang und Schnittstellen einer den [5]. Die Ergebnisse verschiedener Forschungsprojekte Ortungseinheit beschrieben, nicht jedoch die zu verwen- [2, 6] legen nahe, dass sich die schienenfahrzeugseitige Or- dende Sensorik oder Messprinzipien. Aus dieser Beschrei- tung vorteilhaft mithilfe satellitenbasierter Ortungssyste- bung geht hervor, dass sich das Schienenfahrzeug rela- me realisieren lässt. Allerdings ist davon auszugehen, dass tiv mittels Odometrie kontinuierlich orten soll. Die hierbei die verwendeten Sensoren nicht unabhängig voneinander
188 | A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse betrieben werden, sondern durch eine fehlertolerante In- sinnvoll, dass diese Technologie für den Einsatz im Eisen- formationsverarbeitung zu einer Ortungslösung fusioniert bahnbereich zugelassen werden muss. werden. Dies bietet den Vorteil, dass durch die Beobach- Im Bahnbereich wird die Verlässlichkeit eines Sys- tung der Messqualität auf die Präzision der Messung ge- tems durch die RAMS(S)-Kenngrößen charakterisiert [1]. schlossen werden kann und eine Fehlereingrenzung mög- Diese Kenngrößen sind die Zuverlässigkeit (reliablity), die lich wird [7]. Dabei ist zu beachten, dass die häufig in ande- Verfügbarkeit (availability), die Instandhaltbarkeit (main- ren Domänen favorisierten, stochastischen Fusionsansät- tainability) und die Sicherheit. Im Fall der Sicherheit ist ze (z. B. Kalman- oder Partikel-Filter) dem im Bahnbereich die deutsche Sprache durch den polysemen Charakter die- aus Gründen der Zulassungsfähigkeit angestrebten Deter- ses Terminus nicht eindeutig, da sowohl safety als auch minismus zuwiderlaufen. Es gibt aber bereits Möglichkei- security gemeint sein können. Während unter safety die ten und Ansätze, die Sensordaten sowohl deterministisch Freiheit von inakzeptablen Risiken verstanden wird, die mit ausreichender Güte zu fusionieren [7] als auch zu plau- nach außen wirken (Schutz der Umwelt vor Gefährdungen sibilisieren, letzteres z. B. mittels Voting [8]. durch das technische System), wird security als Schutz vor Durch die Nutzung neuer Ortungstechnologien erge- Eingriffen definiert, die von außen auf das System einwir- ben sich bei der Betrachtung der zulässigen Messabwei- ken. Im weiteren Verlauf dieses Beitrags wird Sicherheit im chung neue Herausforderungen, da das Konfidenzinter- Sinne von safety verstanden. vall der Messabweichung nicht mit der klassischen Zug- Der Terminus der Sicherheit stellt dabei historisch ortung entsprechend den ETCS-Bestimmungen überein- einen zentralen Bestandteil des Schienenverkehrs dar. stimmt (vgl. Abb. 2). Aus diesem Grund müssen bestehen- Quantitativ lässt sich das mit dem Betrieb verbundene Ri- de Methoden weiterentwickelt werden, um die Messcha- siko als Kombination aus Schadensschwere und Eintritts- rakteristik der verschiedenen Ortungstechnologien mit den Anforderungen aus dem Bahnbereich zu vereinheitli- wahrscheinlichkeit des Schadens definieren. Ein System chen. gilt als sicher, wenn das Risiko einen bestimmten Wert un- terschreitet, das sogenannte Grenzrisiko [1]. Die Risikobe- urteilung im Bahnbereich ist in den Common Safety Me- thods (CSM) [10] beschrieben und spaltet sich in drei Mög- lichkeiten auf (vgl. Abb. 3). Abb. 2: Gegenüberstellung der Konfidenzintervalle von konventio- neller und zukünftiger Zugortung [9]. 3 Zulassung neuer Technologien im Bahnbereich Für den Schienenverkehr muss nicht nur die Machbarkeit einer fahrzeugseitigen GNSS-Ortung untersucht, sondern auch die Verlässlichkeit eines solchen Systems nachgewie- Abb. 3: Ablaufschema zur Risikobeurteilung – Ausschnitt aus der sen werden. Dies ist vor allem unter dem Gesichtspunkt CSM-Verordnung [10].
A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse | 189 Die Risikobeurteilung eines technischen Systems 4 Modellierung der kann über bestehende Regelwerke, über einen Vergleich mit einem Referenzsystem oder über eine explizite Risi- Ortungsverlässlichkeit koabschätzung durchgeführt werden. Da es sich bei dem Um die Ortungstechnologie bewerten zu können, müs- betrachteten System um eine noch im Forschungsstadi- sen im Folgenden sowohl das Messumfeld als auch die um befindliche Ortungstechnologie handelt, kann zur Ab- Messqualität betrachtet werden. Der Einsatz einer GNSS- schätzung auf keine bestehenden Regelwerke zurückge- basierten Ortung für sicherheitsgerichtete Funktionen ist griffen werden. Auch werden in diesem Beitrag keine ähn- beispielsweise in der Luftfahrt bereits üblich. In diesem lichen Referenzsysteme analysiert, da es noch keinen ver- Umfeld sind verschiedene Methoden zur Überwachung si- gleichbaren Einsatz von GNSS im Landverkehr gibt. Am cherheitsrelevanter bzw. -bezogener Funktionen, wie z. B. ehesten vergleichbar wäre zwar (wegen ähnlicher Umge- RAIM, etabliert [2]. Der Eisenbahnbereich stellt jedoch bungsbedingungen) der Automobilbereich, der momen- durch seine Anforderungen in zweierlei Hinsicht eine Her- tan aber für sicherheitsrelevante Aufgaben der Fahrzeug- ausforderung für eine GNSS-basierte Ortung dar. Zum ei- führung größtenteils umfelderfassende Sensorik (z. B. Ra- nen zeigen GNSS-Empfänger ein probabilistisches Verhal- dar, Lidar, Kamera) statt GNSS einsetzt [11]. Darüber hin- ten [14], welches nur schwer mit den im Bahnbereich üb- aus wird im Automobilbereich zurzeit noch diskutiert, wie lichen Absicherungsansätzen in Einklang zu bringen ist. die Absicherung der Sollfunktion erfolgen soll [12], un- Zum anderen ist das Gleisumfeld mit seiner Bebauung ter die auch die in diesem Beitrag betrachtete Verlässlich- und mit seinen Tunneln ein weitestgehend neuer Anwen- keit des Ortungssystems fällt. Daher ist es naheliegend, für dungsbereich für GNSS-basierte Ortungssysteme mit Si- den Bahnbereich eine explizite Risikoabschätzung durch- cherheitsverantwortung, da ein solches Umfeld in ande- zuführen. Der PROFUND-Ansatz wurde ausgewählt, da ei- ren Domänen, außer dem Landverkehr, kaum zu finden ne formale Risikoanalyse auf Basis von Petrinetzen in den ist [15]. Hierbei sind vor allem Abschattungseffekte, Mehr- CSM-Richtlinien [10] empfohlen wird. Dazu werden ge- wegeempfang und Nicht-Sichtverbindungen (NLOS) zu be- mäß CSM-Methodik zunächst Szenarien und Sicherheits- rücksichtigen (vgl. Abb. 4). Dies ist auf das Funktionsprin- zip von GNSS zurückzuführen, welches eine direkte Sicht- kriterien definiert. Anschließend wird das Risiko über die verbindung zu den Satelliten (LOS) benötigt, um eine ge- Bestimmung der Schadensschwere und -häufigkeit abge- naue Positionslösung berechnen zu können. schätzt. Insbesondere eignet sich dieser Ansatz im Hin- blick auf eine spätere Zulassung für den Schienenverkehr, da hierfür aufgrund der durch die einschlägige Normung [1] vorgeschriebenen, analytischen Methoden zur Risiko- ermittlung eine reine Erprobung nicht ausreicht. Eine sol- che Erprobung kann jedoch ergänzend – zur abschließen- den Demonstration der Sicherheit – erfolgen. Ferner wird in diesem Beitrag der Ansatz verfolgt, dass eine neue Tech- nologie mindestens das gleiche Sicherheitsniveau errei- chen muss wie die bestehende. Dafür werden die tolerier- baren Gefährdungsraten (THR) der bestehenden Technik (siehe Tab. 1) herangezogen. Tab. 1: Gefährdungsraten einer Balise [9, 13]. Beschreibung der Gefährdung Gefährdungsrate (THR) Abb. 4: Empfangswege GNSS (NLOS: es gibt nur einen Signalpfad ohne direkten Sichtkontakt zum jeweiligen Satelliten) [17]. Nichterkennung einer Balisengruppe 10−7 h−1 (fahrzeugseitig) Erkennung Ausfall einer Balisengruppe 10−9 h−1 (streckenseitig) Diese Effekte können – obwohl durch die ergänzende Sensorik (z. B. Odometer) abgemildert – sowohl die Mess- qualität in gefährdender Weise beeinträchtigen als auch
190 | A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse zu einer Funktionsunfähigkeit der Ortungseinheit führen. da die Verteilungsfunktion der Positionsabweichung we- Die sich hieraus ergebenden Risiken sind dadurch charak- gen der lokalen, dynamischen Umgebungseinflüsse durch terisiert, dass sie durch keine Fehlfunktion – also durch erhebliche Ausreißer, schwere Ränder, Asymmetrien etc. keinen Defekt im gerätetechnischen Sinne – ausgelöst wer- gekennzeichnet ist. den. Das heißt, dass eine Gefährdung auftritt, obwohl das Deshalb wird mithilfe der Integrität – eine Überwa- technische System – zumindest vordergründig – spezi- chung – ein Maß für die Vertrauenswürdigkeit der Mess- fikationsgemäß funktioniert. Daher werden Risiken die- werte geschaffen. Diese Kenngröße stellt somit gerade im ser Art der Sollfunktion zugeordnet. Diese Risiken wer- Hinblick auf sicherheitsrelevante Aufgaben ein besonders den beispielsweise im Automobilbereich nicht durch die wichtiges Kriterium dar. Genauigkeit und Integrität inter- klassische funktionale Sicherheit abgedeckt, sodass sich agieren dabei miteinander. Die Positionsabweichung (PE) für das automatisierte Fahren im Straßenverkehr gerade in Abb. 6 zwischen der wahren und der gemessenen Posi- die SOTIF-Norm [16] (safety of the intended functionali- tion repräsentiert hierbei die Genauigkeit. ty, dt. Sicherheit der Sollfunktion) etabliert. Deren wesent- liches Ziel besteht darin, eine möglichst hohe Anzahl an kritischen Situationen zu identifizieren (Abdeckung/Voll- ständigkeit), die im Anschluss abgesichert werden kön- nen. Demgegenüber muss bei der Modernisierung und Au- tomatisierung des Schienenverkehrs die Absicherung im Rahmen bestehender Regelwerke erfolgen, die bedarfsge- recht zu erweitern und zu ergänzen sind. Da im weiteren Verlauf nur auf die funktiona- len Aspekte des GNSS-basierten Zugortungssystems eingegangen wird, werden nun dessen Messquali- tätskenngrößen analog zu den im Bahnbereich eta- blierten RAMS(S)-Kenngrößen betrachtet [18]. Diese RAMS(S)-Kenngrößen werden in Abb. 5 den aus der Or- tung bekannten Messqualitätskenngrößen Verfügbarkeit (availability), Integrität (integrity), Genauigkeit (accura- cy) und Kontinuität (continuity) gegenübergestellt. Die Genauigkeit gibt an, wie weit die gemessene Position ei- Abb. 6: Funktionsprinzip der Integritätsüberwachung [19]. nes Messobjektes von seiner wahren Position – i. A. nicht bekannt – entfernt liegt. Eine Sicherheitsbetrachtung, ausgehend nur von der Verteilungsfunktion der Genauig- Die Integritätsüberwachung bestimmt auf statisti- keit, ist im Bereich der GNSS-Ortung nicht ausreichend, scher Basis ein Protection Level (PL) variabler Größe, wel- ches einen geometrischen Bereich angibt, in dem mit ho- her Wahrscheinlichkeit die wahre Position liegt. Für eine sichere Nutzung der Ortung muss das PL kleiner sein als das Alarm Limit (AL), das ein für eine Anwendung spe- zifisch ausgelegter Wert ist und – vereinfacht betrachtet – die maximal zulässige Streuung der Messabweichung für den jeweils betrachteten Einsatzfall angibt. Aus der Integrität lassen sich außerdem Verfügbarkeit und Konti- nuität ableiten. Die Verfügbarkeit beschreibt die mittlere Wahrscheinlichkeit, dass ein Messwert ermittelt und ge- nutzt werden kann. Demgegenüber ist die Kontinuität als Wahrscheinlichkeit definiert, dass Messwerte für einen be- stimmten Zeitraum ununterbrochen ermittelt und genutzt werden können. Abb. 5: Gegenüberstellung von GNSS-Messqualitätskenngrößen Die Integritätsüberwachung kann durch die komple- und RAMS(S)-Kenngrößen [18]. xe Messumgebung im realen Betrieb fehlerhafte Entschei-
A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse | 191 Tab. 2: Notation der Petrinetzelemente. Platz Fusionsplatz agglomerierter Kante Platz agglomerierte Testkante Inhibitorkante kausale Kante Transition zeitbewertete agglomerierte stochastische Transition Transition Transition (e-Verteilung) se erfolgen mit dem π-Tool [21]. Dieses Tool ermöglicht es, die in der vorliegenden Publikation vorgestellten Pe- trinetzmodelle auf totale Verklemmungen zu überprüfen. Des Weiteren wurden partielle Verklemmungen durch eine Abb. 7: Stanford-Diagramm [20], angepasst an die in dieser Veröf- fentlichung verwendete Terminologie. manuelle Analyse der Petrinetze und durch eine gezielte Fehlerinjektion während des Markenspiels aufgezeigt und behoben. Daher kann davon ausgegangen werden, dass das hier vorgestellte Modell keine Verklemmungen mehr dungen treffen und somit nicht sichere Ortungsinforma- aufweist. tionen als sicher klassifizieren. Hierdurch entsteht eine In dieser Publikation werden ausschließlich erwei- Gefährdung. Die Zustände der Integritätsüberwachung, terte generalisierte stochastische Petrinetze (EGSPN) ver- die sich aus dieser Betrachtung ergeben, können am Bei- wendet. Diese stellen eine mehrfach erweiterte Form der spiel der Positionsinformation in einem so genannten Bedingungs-Ereignis-Netze dar, indem sie Gewichtungen Stanford-Diagramm (Abb. 7) veranschaulicht werden. und Prioritäten ermöglichen und die Transitionen um sto- Bei dieser Darstellung werden die Größen PL und PE chastische Verteilungen erweitern [22]. Durch die Verwen- auf den Koordinatenachsen aufgetragen. Die fünf Zustän- dung von EGSPN können die meisten Herausforderungen de aus dem Standford-Diagramm müssen weiter aggre- giert werden, um sie mit dem konservativen Sicherheits- bei der Modellierung adressiert werden: Das stochastische verständnis des Schienenverkehrs in Einklang zu bringen. Verhalten der GNSS-Empfänger lässt sich modellieren und Aus diesem Grund wird das Verhalten des Ortungssys- es kann auf eine umfangreiche Tool-Unterstützung zu- tems mit den beiden Termini Vertrauenswürdigkeit und Si- rückgegriffen werden. Jedoch ist dieses Beschreibungsmit- cherheit charakterisiert, welche auch für die spätere Mo- tel nicht imstande, gleichzeitig auftretende Ereignisse ab- dellierung genutzt werden [19]. Eine Positionsinformation zubilden, wodurch Teile des Ortungsprozesses, welche in ist vertrauenswürdig, wenn die Ortungseinheit einen ver- der Realität parallel ablaufen, als serielle Prozesse appro- wendbaren Wert erzeugt (Positionslösung liegt vor, Inte- ximiert werden müssen. Um darüber hinaus detaillierte grität erzeugt keinen Alarm). Ist die Positionsinformation Petrinetze übersichtlicher darstellen zu können, werden entsprechend dem Stanford-Diagramm nicht irreführend, in der vorliegenden Publikation an geeigneter Stelle agglo- wird diese als sicher klassifiziert. Zu beachten ist, dass die merierte Netze verwendet. Diese Komponenten stellen ei- Zustandsgröße Messwert sicher im realen Betrieb nicht be- ne Zusammenfassung hierarchisch darunterliegender Net- obachtbar ist. ze dar (Super-/Subsysteme) und können daher in komple- Die beschriebenen Zustände lassen sich in einem Pe- xere Strukturen dekomponiert werden. trinetz modellieren, um die Verlässlichkeit des Ortungs- In Abb. 8 ist die Erfassung eines Messwerts über die systems abzubilden. Die Notation der verwendeten Ele- Zustände Messwert vertrauenswürdig und Messwert nicht mente ist in Tab. 2 aufgeführt. Eine Besonderheit stellen vertrauenswürdig sowie über die Zustände Messwert sicher die Fusionsplätze dar, die eine Informationsverknüpfung und Messwert gefährdend dargestellt. Sie werden mithil- zu anderen Plätzen abbilden. Modellierung und Analy- fe des hierarchisch darüberliegenden Modells der Verläss-
192 | A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse Abb. 8: Modelle der Messwerterfassung [19]. lichkeit der Ortung aggregiert, vgl. Abb. 9. Dieses Modell umfasst die folgenden Zustände: – Positionsinformation sicher und funktionsfähig, wenn Messwert sicher und vertrauenswürdig – Positionsinformation nicht funktionsfähig, wenn Messwert nicht vertrauenswürdig – Positionsinformation nicht sicher, wenn Messwert ge- fährdend und vertrauenswürdig. Zwischen den Zuständen Positionsinformation nicht funk- tionsfähig und Positionsinformation nicht sicher muss un- terschieden werden, da im ersten Fall eine sicherheits- gerichtete Ausfallreaktion (fail-safe) ausgelöst wird. Die- se Reaktion bewirkt vordergründig eine Verringerung der Verfügbarkeit. Im zweiten Fall kann jedoch ein Fehlzu- stand des Messwerts nicht erkannt werden (System funk- tionsfähig trotz fehlerhafter Positionsinformation), sodass eine Gefährdung entsteht, da eine eigentlich erforderli- che Ausfallreaktion unterbleibt. Die theoretisch mögliche Zustandskombination aus Messwert nicht vertrauenswür- dig und Messwert gefährdend (Abb. 8) wird nicht berück- sichtigt, weil sie aus funktionaler Sicht nicht auftreten kann, da bei dem Zustand Messwert nicht vertrauenswür- dig die Überwachung schon eine Integritätsverletzung er- kannt hat. Abb. 9: Ortungsverlässlichkeit (Fusionsplätze mit der Beschriftung „Ortung 2.[…]“ beziehen sich auf die Zustände aus Abb. 8).
A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse | 193 5 PROFUND-Modellierung des tenplanung ist hier nur der Vollständigkeit halber auf- Schienenverkehrs geführt, da sie in der Regel keine Sicherheitsfunktionen erfüllt. Die Zugortung wird in diesem Beispiel durch ei- ne GNSS-basierte Ortung (vgl. Abb. 8 und 9) gewährleis- Der im Bahnbereich etablierte PROFUND-Ansatz [23] folgt tet und die Fahrwegsteuerung durch das Stellwerk so- dem Modell der Risikogenese nach Schnieder [24], vgl. wie durch die entsprechenden Weicheneinheiten. Da die Abb. 10. Nach diesem Modell kann ein Schadensfall nur Verlässlichkeit des Stellwerks und die Verlässlichkeit der dann (auf probabilistische Weise) eintreten, wenn so- dazugehörigen Fahrwegsteuerung nicht im Fokus dieses wohl ein exponiertes Rechtsgut als auch eine Gefähr- Beitrags stehen, werden beide nur durch eine Ausfallrate dung desselben vorliegen. Dieser Beitrag konzentriert entsprechend den Anforderungen nach dem Sicherheits- sich auf den letzteren Bestandteil der Risikogenese, näm- Integritätslevel (SIL) 4 mithilfe der stochastischen Transi- lich auf die verkehrliche Gefährdung ausgehend von der tion „Z1 Einfahrt ohne sichere Fahrterlaubnis“ (bzw. mit- GNSS-basierten Ortung. Dazu werden bei der PROFUND- hilfe von „Z2 […]“) modelliert (vgl. Abb. 13). Eine solche Methode der Prozess, die Funktion und die Verlässlichkeit Vereinfachung wurde gewählt, da die Fahrwegsteuerung (siehe Kapitel 3 und 4) des zu untersuchenden Systems in ihrer Gesamtheit ein komplexes System aus verschiede- modelliert. Auf diese Weise können Rückschlüsse auf die nen Komponenten darstellt, welche je nach Komponente entscheidenden Kenngrößen der Verlässlichkeit – in die- entweder nur auf den einzelnen Verkehrsteilnehmer wir- sem Beitrag auf die Sicherheit – gezogen werden. ken (Weichenlage) oder auf die Gesamtheit des Systems Diesem Ansatz entsprechend werden im Folgenden über die zentrale Steuerung im Stellwerk. Die daraus resul- der Verkehrsprozess, die Funktionen der Ortung und der tierende Gefährdungsrate müsste in einem eigenen, kom- Zugsicherung sowie die zugehörigen Verlässlichkeiten an- plexen, dem PROFUND-Ansatz unterliegenden Petrinetz hand eines Beispielszenarios modelliert. Als ein solches modelliert werden. Die damit verbundene Modellkomple- Szenario dient der Gegenfahrschutz, welcher im Betrieb xität stünde in einem Konflikt mit dem Ziel des vorliegen- verhindert, dass zwei Schienenfahrzeuge gemeinsam in den Beitrags, eine Methode zur Absicherung einer sicher- einen Blockabschnitt einfahren können (vgl. Abb. 11). Dies heitsrelevanten, bordautonomen Zugortung vorzustellen. wird durch die drei Funktionen der Zugortung, der zentra- Daher wird an dieser Stelle von einer detaillierten Model- len Fahrwegsteuerung durch das Stellwerk und durch ei- lierung der Fahrwegsteuerung abgesehen und stattdessen ne übergeordnete Routenplanung gewährleistet. Die Rou- das Verhalten näherungsweise mit der bei SIL 4 zulässigen Gefährdungsrate von 10−9 pro Stunde beschrieben. Dabei wird vereinfachend davon ausgegangen, dass diese Ge- fährdungsrate nur am Gefahrenpunkt, also für 0,l Sekun- den pro Prozessdurchlauf, wirksam ist. Diese Annahme ist zwar diskussionswürdig, könnte aber in weiteren Arbeiten durch eine Skalierung der Ausfallrate (wegen des Expo- nentialansatzes problemlos möglich) auf einfache Weise angepasst werden. Ferner wird die Gefährdungsrate von 10−9 pro Stunde für die Transition „Z1 Einfahrt ohne siche- re Fahrterlaubnis“ (bzw. für „Z2 […]“) angenommen (vgl. Abb. 13), wohl wissend, dass es sich hierbei um eine kon- servative Abschätzung handelt. Abb. 12 zeigt das Modell des Verkehrsprozesses in kon- densierter Darstellung. Darin wird über eine regelmäßi- ge Generierung von Schienenfahrzeugen ein Verkehr auf Abb. 10: Risikogenese nach Schnieder [24]. dem Gleis simuliert. Dabei tritt eine Gefährdung ein, wenn Abb. 11: Szenario des Gegenfahrschutzes: sicher gestellte Fahrstraße (grün), gefährdend gestellte Fahrstraße (rot).
194 | A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse trachtung am Gefahrenpunkt ein gedächtnisloser Prozess innerhalb des Ortungsmodells näherungsweise ausreicht. Abb. 13 zeigt ein detailliertes Modell dieses Prozes- ses für eines der beiden Schienenfahrzeuge (Zug 1 bzw. Z1). Mithilfe der Parametrierung der Prozesssteuerung (Abb. 14) wird eine geringe bis mittlere Streckenauslas- tung mit vier Zügen pro Stunde in beiden Richtungen modelliert, entsprechend einer Nebenstrecke. Ortung und Fahrwegsteuerung müssen sicherstellen, dass nicht zwei Schienenfahrzeuge gleichzeitig in einen Streckenblock fahren. Jedes Schienenfahrzeug besitzt jeweils ein eige- nes, unabhängiges Ortungssystem identischer Modellie- rung und Parametrierung. Die Zug- bzw. Fahrwegsteue- rung wird, wie bereits oben erwähnt, als ein zentrales Sys- tem modelliert. Eine Gefährdung tritt ein, wenn entwe- der eine fehlerhafte Positionsinformation oder ein nicht detektierter Ausfall der Fahrwegsteuerung zu einer unzu- lässigen Fahrterlaubnis führen und es damit möglich ist, dass beide Züge gemeinsam in einen Blockabschnitt ein- fahren. Die auftretenden Risiken werden aufgrund des er- eignisdiskreten Charakters der Petrinetze nicht kontinu- ierlich simuliert, sondern nur am Gefahrenpunkt der ein- mal pro Prozessdurchlauf stattfindenden Weichenüber- fahrt bestimmt. Dies gilt sowohl für die mit der Fahrweg- steuerung als auch für die mit der GNSS-basierten Ortung verbundenen Risiken. Im Rahmen der bestehenden Modellierung werden nur die komplementären Zustände sicher und gefährdend betrachtet. So führt ein sicherer Ausfall der Ortung im Verkehrsprozess zu einem Fail-Safe-Zustand und damit Abb. 12: Kondensiertes PROFUND-Modell des Verkehrsprozesses nicht zu einer Gefährdung. Dieser verkehrliche Fail-Safe- (rot umrahmter Bereich ist in Abb. 13 im Detail dargestellt). Zustand, welcher sich im Betrieb von einer Degradations- stufe bis hin zur Notbremsung des Schienenfahrzeuges offenbaren kann, wird im vorliegenden Beitrag nicht im Detail betrachtet, da ein solcher Detaillierungsgrad für eines der beiden Schienenfahrzeuge durch einen unsi- die Erläuterung der (weiter-)entwickelten Absicherungs- cheren Fahrbefehl, bedingt durch eine fehlerhafte Ortung methode nicht erforderlich ist. Vielmehr besteht das Ziel oder Fahrwegsteuerung, ungewollt in den betrachteten dieses Beitrags darin, die Forschungsergebnisse anhand Gleisabschnitt (Block) einfährt. Der eigentlich kontinuier- eines verständlichen Beispiels zu erklären. Um ferner den lich wirkende Prozess der Ortung wurde bei dem gewähl- zeitlichen Ablauf der Zug-Generierung, der Ortung und ten Modellierungsansatz als eine diskrete Stützstelle am der Zugeinfahrt zu berücksichtigen, werden diese Prozesse Gefahrenpunkt gewählt, da es sich bei der bestehenden über die Prozesssteuerung geführt (vgl. Abb. 14). Zugsicherungstechnik auch um eine diskrete Lokalisie- Durch die Prozesssteuerung und die dadurch vorge- rung an den im Gleis eingelassenen Balisen handelt. Zwar nommene Abstraktion des realen Prozesses werden Zu- wird durch diesen Ansatz vernachlässigt, dass die Posi- standsübergänge, welche in der Realität zeitlich simul- tionslösung des Ortungssystems auch vor dem Gefahren- tan ablaufen, innerhalb des Modells seriell modelliert. punkt in einen gefährdenden Zustand wechseln kann, die- Konkret werden in einem realen GNSS-Empfänger die Po- ser bestehen bleibt und das Schienenfahrzeug in diesem sition und die Integrität quasi zeitgleich berechnet. Die Zustand in den Gefahrenpunkt einfährt, jedoch konnte so Modellierung mithilfe ereignisdiskreter Petrinetze erlaubt die Komplexität des Modells deutlich verringert werden. die Abbildung dieser Parallelität jedoch nicht, sodass die Dies ist auch dadurch bedingt, dass für die diskrete Be- Teilprozesse in der Simulation für jeweils 0,1 Sekunden
A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse | 195 Abb. 13: Detaillierte Darstellung des Verkehrsprozesses für den Zug 1 (Z1). Fusionsplätze mit den Beschriftungen „Ortung 1.[…]“ und „Pro- zesssteuerung.[…]“ beziehen sich auf die Zustände aus Abb. 9 bzw. 14; Verkehrsprozess des Zuges 2 ist symmetrisch dazu. Tab. 3: Randbedingungen der Monte-Carlo-Simulation. Simulationsumfang (samples) 109 Signifikanz (p-Wert) 0,1 % Transition λS (Messwerterfassung) 10−1 –10−5 h−1 neg. e-Verteilung μS (Messwerterfassung) 36000 h−1 neg. e-Verteilung λV (Messwerterfassung) 10 –10−4 h−1 −0 neg. e-Verteilung μV (Messwerterfassung) 36000 h−1 neg. e-Verteilung Abb. 14: Prozesssteuerung des Szenarios. Z1 Einfahrt ohne sichere 10−9 h−1 neg. e-Verteilung Fahrterlaubnis Z2 Einfahrt ohne sichere 10−9 h−1 neg. e-Verteilung Fahrterlaubnis nacheinander ablaufen (entsprechend einer Messrate von T2 (Prozesssteuerung) 0,1 s determinist. Dauer 10 Hz). Um die mit der Simulation verbundene Rechen- T3 (Prozesssteuerung) 0,1 s determinist. Dauer komplexität zu verringern, wurde überdies angenommen, T5a (Prozesssteuerung) 0,1 s determinist. Dauer dass ein kompletter Zyklus des Prozesses in 0,4 Sekunden T5b (Prozesssteuerung) 0,1 s determinist. Dauer abläuft, wohingegen der reale Verkehrsprozess mit 4 Zü- gen pro Stunde (Dauer von 900 Sekunden pro Zug) von- stattengeht. Daher müssen die in der Simulation ermit- telten Gefährdungsraten des Verkehrsprozesses durch ei- In diesem Beitrag soll beispielhaft anhand der Über- nen konstanten Faktor von ca. 2250 dividiert werden. Der gangsraten λS und λV (vgl. Abb. 8 und 15) untersucht wer- so modellierte Verkehrsprozess wird mithilfe eines Monte- den, wie sich die Qualität der GNSS-basierten Ortung auf Carlo-Ansatzes simuliert, und zwar mehrfach hintereinan- die Gefährdungsrate des Verkehrsprozesses auswirkt. Da- der mit variierten Parametern. Die gewählten Randbedin- zu müssen die komplementären Parameter μS und μV (vgl. gungen der Monte-Carlo-Simulation sind in Tab. 3 gesam- Abb. 8) heuristisch mit einer Rate von 10 pro Sekunde an- melt aufgeführt. Da das verwendete Tool zur Durchfüh- genommen werden. Diese Werte sind sehr von der Mess- rung der Monte-Carlo-Simulation keine Einsicht in die ver- umgebung, vom verwendeten Empfänger sowie von des- wendeten Anfangsverteilungen ermöglicht, kann darüber sen Integritätsalgorithmen abhängig und müssen daher keine Aussage getroffen werden. Die zugehörigen Ergeb- vom Entwickler (z. B. auf Basis von Erfahrungswerten oder nisse befinden sich in Abb. 15. Sensorsimulationen) abgeschätzt werden. Um das Ver-
196 | A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse Abb. 15: Ergebnisse der Monte-Carlo-Simulation mit den dazugehörigen Konfidenzintervallen (99,9 % statistische Sicherheit, strichlierte Linien); simulierte Modelle, bestehend aus den Petrinetzen gemäß Abb. 8, 9, 12, 13 und 14. halten des Modells analysieren zu können, werden an- servatives Verständnis des ausgehenden Risikos zu gewin- schließend die Parameter λV und λS variiert, da bei ih- nen, ist in weiteren Arbeiten eine Betrachtung der Scha- nen ein starker Einfluss auf die Verlässlichkeit der Or- densraten gemäß dem Risikogenesemodell (vgl. Abb. 10) tung und damit auf die entstehende Gefährdung vermu- notwendig. tet werden kann. Die Simulation kann nun wie folgt zur Ein Vergleich mit der einschlägigen Normung [1] zeigt Systemauslegung genutzt werden: Sollten die simulierten allerdings, dass die betrachteten Ausfallraten für λV und Kenngrößen nicht mit den makroskopischen Anforderun- λS und damit die entstehenden Gefährdungsraten größer gen an das System übereinstimmen, können die Parame- sind als die zulässigen (10−9 pro Stunde für SIL 4). Zwar ter λV und λS so lange variiert werden, bis die Simula- war dies bereits vor der Simulation abzusehen, da die Er- tionsergebnisse mit diesen Anforderungen übereinstim- mittlung kleinerer Ausfallraten im Rahmen der vorliegen- men. Hieraus ergeben sich Anforderungen an das Ortungs- den Simulationsstudie nicht mit vertretbarem Rechenauf- system. wand durchführbar war. Aber es ist davon auszugehen, Im Rahmen dieser beispielhaften Simulation ist die dass die Gefährdungsrate aus Abb. 15 dem dargestellten Gefährdungsrate die einzige Kenngröße für die Verläss- Trend weiter folgt und gegen eine Sättigung konvergiert. lichkeit des Verkehrssystems. Es ist in Abb. 15 zu erken- Diese Sättigung ergibt sich aus der Gefährdungsrate der nen, dass die Variation von λS (Transition vom siche- nach SIL 4 ausgelegten Fahrwegsteuerung. ren in den gefährdenden Lokalzustand des Ortungssys- Das Ziel der Simulation zur Ermittlung der Gefähr- tems) einen stärkeren Einfluss auf die Gefährdung des Ver- dungsrate besteht darin, zu zeigen, dass sowohl ein ge- kehrsprozesses hat als die Variation von λV (Transition sellschaftlich als auch normativ akzeptables Risikoniveau vom vertrauenswürdigen in den nicht vertrauenswürdigen erreicht werden kann. Dies kann über verschiedene Ri- Lokalzustand des Ortungssystems). Dieses Ergebnis er- sikoakzeptanzkriterien erfolgen, wobei in dem betrachte- scheint plausibel, da ein häufiger Wechsel in den nicht ver- trauenswürdigen Zustand technisch gleichbedeutend ist ten Beispiel das Prinzip der mindestens gleichen Sicher- mit einer Erhöhung der Alarmhäufigkeit (Alarm mit dem heit angewandt werden sollte, da in diesem Fall eine be- Hinweis, den Messwert nicht zu nutzen). Bei gleichblei- stehende von einer neuen Technologie abgelöst werden bender Entscheidungsgüte der Überwachung (λS ) führt soll. Die in der vorliegenden Publikation erfolgte Ausle- eine Erhöhung von λV lediglich zu einer höheren Ein- gung deckt jedoch nur die minimalen Anforderungen aus trittswahrscheinlichkeit des Fail-Safe-Zustandes. Dieser den gesetzlichen Vorgaben ab, welche von allen sicher- Zustand verringert zwar die Verfügbarkeit des Systems und heitskritischen Komponenten zusammen erfüllt werden damit die Einsatzmöglichkeiten im Schienenverkehr, birgt müssen. Um die mindestens gleiche Sicherheit nachwei- aber für sich gesehen keine grundsätzlichen Gefahren- sen zu können, muss zunächst das bestehende Risiko, quellen. Dagegen führt eine nicht funktionsfähige Über- das mit dem Betrieb der momentan im Einsatz befindli- wachung der Ortung – konservativ betrachtet – direkt zu chen Technologie verbunden ist, anhand von Szenarien einer Gefährdung. Um ein tieferes und damit weniger kon- bestimmt werden.
A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse | 197 6 Fazit und Ausblick die Hürde für die Modellerstellung senken und damit zur Verbreitung der Methode beitragen. Jedoch stellt die im- Die in diesem Beitrag vorgestellte Methode zeigt auf funk- mer weiterwachsende Komplexität der Netze eine Heraus- tionaler Ebene einen neuen Ansatz zur Charakterisierung forderung für den Anwender und die Toolunterstützung der Messqualität einer GNSS-basierten Ortungseinheit. dar. Sich anschließende Forschungsarbeiten müssen zei- Durch die Betrachtung des Verkehrs-, Ortungs- und Über- gen, an welchen Stellen eine Vereinfachung des Modells wachungsprozesses können in einer frühen Phase des Ent- zulässig ist und inwieweit die hier verwendete Modellie- wicklungsprozesses sowohl Kenntnisse über die Verläss- rungssoftware optimiert werden muss. lichkeitskenngrößen des Schienenverkehrs gewonnen als auch Anforderungen an die Ortungseinheit präzisiert wer- den. Die in diesem Beitrag gezeigten Ergebnisse betonen Danksagung: Wir danken Rasmus Rüdiger sowie Philipp die Bedeutung der Funktionsüberwachung gegenüber der Leder für die inhaltliche Unterstützung und Christian Funktion und ebenso, wie durch eine Kombination dieser Frohn sowie Julia Rosenau für Korrektur und Formatie- beiden komplementären Prinzipien die Verlässlichkeit des rung dieses Beitrags. Gesamtsystems gesteigert werden kann. Dies ist insoweit für den Einsatz als sicherheitsrelevante Anwendung inner- halb des Schienenverkehrs wichtig, da eine satellitenba- sierte Ortung – ohne Überwachungsfunktionen – auf ab- Literatur sehbare Zeit nicht die erforderliche Verlässlichkeit errei- 1. DIN EN 50126: Bahnanwendungen – Spezifikation chen können wird. und Nachweis von Zuverlässigkeit, Verfügbarkeit, In weiteren Arbeiten muss der Einfluss des Simula- Instandhaltbarkeit und Sicherheit (RAMS) – Teil 1 & 2: DIN EN tionsumfangs (sample size) untersucht und der Prozess- 50126:2018-10, Deutsche Fassung EN 50126:2018-10, 2018. ablauf optimiert werden, damit die mit der Monte-Carlo- 2. STARS: D5.4 EGNSS Services Evolution Simulation ermittelten Konfidenzintervalle verringert und for railways and ETCS impacts. 2018, zugleich kleinere Gefährdungsraten ermittelt werden kön- www.stars-rail.eu/wp-content/uploads/2019/08/D5.4_EGNSS_ Services_Evolution_for_railways_and_ETCS_impacts.pdf, nen – dies bei einem vertretbaren Rechenaufwand. Wei- Stand: 01.10.2020. terhin müssen gemäß Risikogenesemodell – aufbauend 3. smartrail 4.0 – Technologiebericht PoC GLAT, 2020, https: auf den Gefährdungsraten – die Schadensraten bestimmt //www.smartrail40.ch/service/download.asp?mem=0& werden, um das entstehende Risiko umfassend beurteilen path=/download/downloads/Anlage%20LCS_05%20- zu können. Eine umfassende Analyse der Verlässlichkeit %20Technologiebericht-PoC_GLAT_v1.00.pdf, Stand: 14.01.2021. erfordert zusätzlich die Betrachtung einer weiteren, zur 4. STARS: D5.3 EGNSS Target Performances to meet railway Sicherheit orthogonalen Systemeigenschaft, nämlich der safety requirements. 2018, http://www.stars-rail.eu/wp- Verfügbarkeit. Hierzu sind die Modelle dahingehend zu content/uploads/2018/07/STR-WP5-D-ANS-034-07_-_D5.3_- erweitern, dass mittlere Aufenthaltswahrscheinlichkeiten _EGNSS_Target_Performances_to_meet_railway_safety_ von Zuständen ermittelt werden können. Überdies muss requirements_.pdf, Stand: 01.10.2020. im Modell des Verkehrsprozesses zwischen gefährlichen 5. Grimm, M.; Hartwig, K.; Meyer zu Hörste, M.: Anforderungen an eine sicherheitsrelevante Ortung im Schienenverkehr. In: und sicheren Ausfällen unterschieden werden. Die entwi- 20. Verkehrswissenschaftliche Tage, Grenzenloser Verkehr in ckelte Methode muss ferner durch reale Messdaten aus einem Grenzenlosen Europa. 20. Verkehrswissenschaftliche dem Schienenverkehr oder durch andere methodische An- Tage, Dresden, 2005. sätze validiert werden. 6. GaLoROI: D8.3: Final Report. 2014, http://www.galoroi.eu/ Zum aktuellen Zeitpunkt setzt die vorgestellte Metho- smart-railway-localisation/results/, Stand: 01.10.2020. 7. Kiriczi, S.: Signaltechnisch sichere Fehlergrenzen für die de bei der manuellen Modellierung der Ortungs- und Ver- Erfassung der Bewegungszustände von Bahnen. Dissertation, kehrsprozesse ein umfangreiches Fachwissen in den Be- Technische Universität Braunschweig, Institut für Regelungs- reichen Ortung, (Schienen-)Verkehr und Petrinetzmodel- und Automatisierungstechnik, VDI Verlag Düsseldorf, 1996. lierung voraus. In weiteren Arbeiten muss deshalb der Mo- 8. Lu, D.: GNSS for Train Localisation Performance Evaluation dellierungsprozess weiter vereinheitlicht werden. Hierzu and Verification. Dissertation, Technische Universität kann die der PROFUND-Methode zugrundeliegende Mo- Braunschweig, Braunschweig, Juni 2014, https:// publikationsserver.tu-braunschweig.de/receive/dbbs_mods_ dularisierung der einzelnen Bestandteile genutzt werden, 00057180, Stand: 01.10.2020. um eine teilautomatisierte Modellerstellung zu ermögli- 9. European Railway Agency: UNISIG SUBSET-036, FFFIS for chen. So könnte der Einsatz bzw. die Bereitstellung vorge- Eurobalise, https://www.era.europa.eu/sites/default/ fertigter Module und Muster, z. B. für die Ortungseinheit, files/filesystem/ertms/ccs_tsi_annex_a_-_mandatory_
198 | A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse specifications/set_of_specifications_3_etcs_b3_r2_gsm- r_b1/index009_-_subset-036_v310.pdf, Stand: 01.10.2020. Autoreninformationen 10. European Railway Agency: Guideline for the application of harmonized design targets (CSM DT) for technical systems Andreas Dodinoiu, M. Sc. as defined in (EU) Regulation 2015/1136 within the risk Technische Universität Braunschweig, assessment process of Regulation 402/2013, 2017. Institut für Verkehrssicherheit und 11. European GNSS Agency: Report on Road User Needs and Automatisierungstechnik, Requirements, 2019, https://www.gsc-europa.eu/sites/ Hermann-Blenk-Straße 42, 38108 default/files/sites/all/files/Report_on_User_Needs_and_ Braunschweig, Deutschland Requirements_Road.pdf, Stand: 01.10.2020. a.dodinoiu@tu-braunschweig.de 12. Schnieder, L.; Krumbach, P.: Positive Risikobilanzierung als ein Zulassungskriterium des hochautomatisierten Fahrens, in safe.tech 2019, München, 2019. Andreas Dodinoiu studierte Maschinenbau mit der Vertiefungsrich- 13. Beugin, J.; Legrand, C.; Marais, J.; Berbineau, M.; El-Miloudi, tung Kraftfahrzeugtechnik an der Technischen Universität Braun- E.: Safety Appraisal of GNSS-Based Localization Systems schweig und erwarb anschließend im Jahr 2017 seinen Masterab- Used in Train Spacing Control, In: IEEE Access. 1-1. schluss an derselben Universität. Seit 2017 ist er am Institut für 10.1109/ACCESS.2018.2807127. Verkehrssicherheit und Automatisierungstechnik der Technischen 14. Spiegel, D.; Geffert, A.; Schnieder, E.; Lu, D.: Stochastic Universität Braunschweig als wissenschaftlicher Mitarbeiter tätig behaviour quantification of GNSS receivers. Coordinates 11/16, und forscht an der Ortung auf Basis satellitengestützter Ortungssys- S. 12-16, 2016, https://mycoordinates.org/pdf/nov16.pdf, teme im Bodenverkehr. Hierbei befasst er sich vor allem mit den As- Stand: 01.10.2020. pekten der Risikobeurteilung im Bereich der funktionalen Sicherheit 15. Dodinoiu, A.; Wagner, J.; Geffert, A.; Lu, D.; Becker, U.: mithilfe von formalen Beschreibungsmitteln und mit der Einbindung Qualification of satellite-based localization systems for railway neuer Technologien in den Zulassungsprozess des Bahnbereichs. safety-related applications. In: 7th Transport Research Arena TRA 2018. Wien, 2018, DOI: 10.5281/zenodo.1440954. 16. ISO/PAS 21448:2019, Road vehicles — Safety of the intended Arne Geffert, M. Sc. functionality, 2019. Technische Universität Braunschweig, 17. Geffert, A.; Dodinoiu, A.; Lan, T.; Rüdiger, R.; Becker, U.: Institut für Verkehrssicherheit und Formalization of automation risks for dependability-based Automatisierungstechnik, safeguarding of the nominal function, 9. Tagung Hermann-Blenk-Straße 42, 38108 Automatisiertes Fahren, 2019, TU München mit TÜV SÜD Braunschweig, Deutschland Akademie, https://mediatum.ub.tum.de/doc/1535147/ a.geffert@tu-braunschweig.de 1535147.pdf, Stand: 01.10.2020. 18. Geffert, A.; Dodinoiu, A.; Becker, U.: Multiperspektivischer Ansatz zur domänenübergreifenden Formalisierung von Verlässlichkeit am Beispiel der fahrzeugautonomen Ortung, Arne Geffert studierte Maschinenbau mit der Vertiefung Mechatro- safe.tech 2019, München, 2019. nik. Seinen Bachelorabschluss erwarb er im Rahmen eines dualen 19. Geffert, A.; Dodinoiu, A.; Lan, T.; Becker, U.: Towards an Studiums an der Ostfalia Hochschule für angewandte Wissenschaf- Integrity-Based GNSS Measurement Quality Model for an ten, seinen Masterabschluss an der Technischen Universität Braun- In-Depth Understanding of Localization Dependability. In: 2020 schweig. Seit dem Jahr 2015 ist er wissenschaftlicher Mitarbeiter European Navigation Conference (ENC), Dresden, Germany, am Institut für Verkehrssicherheit und Automatisierungstechnik der 2020, pp. 1–10. DOI: 10.23919/ENC48637.2020.9317430. Technischen Universität Braunschweig und beschäftigt sich mit Si- 20. Walter, T.; Hansen, A.; Enge, P.: Validation of the WAAS MOPS cherheit und Verlässlichkeit für den automatisierten Verkehr. Seine Integrity Equation, http://web.stanford.edu/group/scpnt/ Forschungsgebiete umfassen die Simulation GNSS-basierter Multi- gpslab/pubs/papers/Walter_IONAM_1999_WAAS_MOPS_ Sensor-Ortungssysteme, das auf Petrinetzen basierende PROFUND- Integrity_Validation.pdf, Stand: 01.10.2020. Modellkonzept sowie Ansätze zur sicherheitsgerichteten Entwick- 21. Institute for Quality, Safety and Transportation, π-Tool, lung in frühen Phasen von Entwicklungsprozessen. Dabei befasst http://www.iqst.de/?page_id=24, Stand: 01.10.2020. er sich sowohl mit dem Straßen- als auch mit dem Schienenverkehr 22. Schnieder, E.: Methoden der Automatisierung: und sucht stets nach Synergien zwischen beiden Verkehrsdomänen. Beschreibungsmittel, Modellkonzepte und Werkzeuge für Automatisierungssysteme. Vieweg+Teubner Verlag, 1999. 23. Slovák, R.: Methodische Modellierung und Analyse von Sicherungssystemen des Eisenbahnverkehrs. Dissertation, Technische Universität Braunschweig, 2006. 24. Schnieder, E.: (Verkehrs)sicherheit als regelungstechnische Aufgabe. at 12/14, S. 829–841, 2014, https://www.degruyter. com/downloadpdf/j/auto.2014.62.issue-12/auto-2014- 1133/auto-2014-1133.pdf, Stand: 01.10.2020.
A. Dodinoiu et al., Petrinetzbasierte Verlässlichkeitsanalyse | 199 Tianxiang Lan, M. Sc. Dr.-Ing. Uwe Becker Technische Universität Braunschweig, Technische Universität Braunschweig, Institut für Verkehrssicherheit und Institut für Verkehrssicherheit und Automatisierungstechnik, Automatisierungstechnik, Hermann-Blenk-Straße 42, 38108 Hermann-Blenk-Straße 42, 38108 Braunschweig, Deutschland Braunschweig, Deutschland t.lan@tu-braunschweig.de u.becker@tu-braunschweig.de Tianxiang Lan erwarb im Jahr 2015 seinen Bachelor in Maschinen- Uwe Becker studierte Maschinenbau und erhielt seinen Dipl.-Ing. bau an der Chonqing Universität in China und 2018 seinen Master im Jahr 1985 und seinen Dr.-Ing. im Jahr 2004, beide an der Techni- in Maschinenbau in der Vertiefungsrichtung Mechatronik an der schen Universität Braunschweig. Vor seiner Pensionierung hatte er Technischen Universität Braunschweig. Zurzeit ist er wissenschaft- als kommissarischer Leiter des Instituts für Verkehrssicherheit und licher Mitarbeiter am Institut für Verkehrssicherheit und Automa- Automatisierungstechnik eine Verwaltungsprofessur inne. Er verfügt tisierungstechnik und beschäftigt sich mit Datenfusion und Voting über vertiefte Kenntnisse der Systemtheorie, Automatisierungs- und für satellitenbasierte, integrierte Ortungssysteme sowie mit der Steuerungstechnik und hat langjährige Erfahrung in den Bereichen Charakterisierung satellitenbasierter Ortungssysteme für den Stra- Verkehrssicherheit und formale Methoden. ßenverkehr mithilfe des maschinellen Lernens.
Sie können auch lesen