84 1 · 2023 TR ANSFORMING CITIES THEMA Krisen managen Was macht leistungsfähige Schienenverkehrssysteme aus? Sie sollen stets sicher betrieben werden - ohne Störungen, an 365 Tagen im Jahr. Dies rückt die Verfügbarkeit automatisierter Zugbeeinflussungssysteme in den Vordergrund. Verfügbarkeit bezeichnet hierbei „die Fähigkeit eines Produkts, in einem Zustand zu sein, in dem es unter vorgegebenen Bedingungen zu einem vorgegebenen Zeitpunkt oder während einer vorgegebenen Zeitspanne eine geforderte Funktion erfüllen kann unter der Voraussetzung, dass die geforderten äußeren Hilfsmittel bereitstehen“ [1]. In technischer Hinsicht lässt sich eine Maximierung der Verfügbarkeit herunterbrechen in die folgenden drei beitragenden Faktoren.  Wie wird sichergestellt, dass eine ausgefallene Betrachtungseinheit innerhalb kürzester Zeit wieder in den betriebsfähigen Zustand überführt werden kann? Dieses Teilziel wird durch die Verbesserung der Instandhaltbarkeit der jeweiligen Betrachtungseinheit (englisch: Maintainability) erreicht.  Wie wird sichergestellt, dass eine intakte Betrachtungseinheit möglichst selten ausfällt? Dieses Teilziel wird durch die Verbesserung der Zuverlässigkeit der jeweiligen Betrachtungseinheit (englisch: Reliability) erreicht.  Wie kann sichergestellt werden, dass die für die Betriebsführung automatisierter Schienenverkehrssysteme erforderlichen Systeme trotz Verfügbarkeit des städtischen Verfügbarkeit des städtischen Schienenverkehrs Schienenverkehrs Spezifikation und Nachweis von Zuverlässigkeit, Instandhaltbarkeit und Verfügbarkeit im Lebenszyklus Verfügbarkeit, Zuverlässigkeit, Instandhaltbarkeit, Redundanz Lars Schnieder Leistungsfähige Schienenverkehrssysteme sind das Rückgrat unserer Städte. Schienenverkehrssysteme sollen sicher und verfügbar sein. Diese Ziele lassen sich nur dann verwirklichen, wenn die Zuverlässigkeits- und Instandhaltbarkeitsanforderungen ständig erfüllt und die laufenden langfristigen Instandhaltungsarbeiten sowie das betriebliche Umfeld überwacht werden. Die Verfügbarkeit beruht auf der Kenntnis von Zuverlässigkeit, basierend auf Systemausfallraten, Wahrscheinlichkeiten des Eintretens eines Ausfalls und auf Kenntnis der Instandhaltbarkeit und Reparaturzeiten. © Pexels auf Pixabay 85 1 · 2023 TR ANSFORMING CITIES THEMA Krisen managen möglicher Beeinträchtigung einzelner Komponenten ihre Funktion dennoch erfüllen? Dieses Teilziel wird durch die Gestaltung der Fehlertoleranz (englisch: fault tolerance) erreicht. Die zuvor genannten Aspekte der zur Verfügbarkeit beitragenden Faktoren Instandhaltbarkeit, Zuverlässigkeit und Fehlertoleranz müssen bereits in der Entwicklung und Konstruktion hochautomatisierter Nahverkehrssysteme mitberücksichtigt werden. Maßnahmen zur Verbesserung der Instandhaltbarkeit Instandhaltbarkeit bezeichnet die „Fähigkeit, unter gegebenen Anwendungs- und Instandhaltungsbedingungen in einem wie geforderten funktionsfähigen Zustand erhalten bzw. in ihn zurückversetzt werden zu können [1].“ Die Instandhaltbarkeit kann über die mittlere Dauer bis zur Wiederherstellung der Funktionsfähigkeit (englisch: Mean Time to Repair, MTTR) beschrieben werden. Je kürzer diese Zeit ist, desto besser ist die Instandhaltbarkeit der Betrachtungseinheit. Die Zeit zur Wiederherstellung setzt sich aus verschiedenen Bestandteilen zusammen (Bild 1), die nachfolgend mit konkreten Ansatzpunkten ihrer Reduktion beschrieben werden. Reduktion der Dauer des unentdeckten Fehlzustands: Die Zeit zur Wiederherstellung beginnt mit der Entdeckung des Fehlzustandes. Oftmals ist der Fehlzustand im Betrieb bereits eingetreten. In diesem Fall geht es in der Auslegung des Systems darum, durch entsprechende Diagnosemechanismen und Diagnoseabdeckungsgrade den Fehler möglichst kurzfristig zu offenbaren. Idealerweise gelingt über eine Erfassung des aktuellen Zustandes der Einheit hinaus eine Prognose zukünftiger Fehlzustände [2]. In diesem Fall würde dieser komplette Zeitanteil entfallen. Reduktion der administrativen Verzugsdauer: Ist ein Fehlzustand offenbart, wird ein Instandhaltungsauftrag in der Instandhaltungsorganisation des Verkehrsunternehmens erzeugt und einem Bearbeiter zugewiesen. Möglicherweise informieren Service- und Diagnosesysteme automatisch das Instandhaltungspersonal, sodass es hier zu keiner zeitlichen Verzögerung kommt. Mit der Zuweisung des Instandhaltungsauftrags an das Instandhaltungspersonal beginnt die korrektive Instandhaltung.  Reduktion der logistischen Verzugsdauer: Dieser Zeitanteil umfasst die Zeit zur Anreise des Instandhaltungspersonals zur gestörten Einheit. Bei Zugsicherungsanlagen handelt es sich naturgemäß um eine räumlich verteilte Infrastruktur. Daher wirkt sich hier neben der räumlichen Lage der Instandhaltungsstützpunkte im Netz des Verkehrsunternehmens auch das Konzept der Ersatzteilbevorratung (zentrale Lagerung der kleinsten tauschbaren Einheiten, dezentrale Lagerung der kleinsten tauschbaren Einheiten, Mitführen kleinster tauschbarer Einheiten auf den Werkstattfahrzeugen der Instandhalter) unmittelbar auf diesen Zeitanteil aus.  Reduktion der technischen Verzugsdauer: Ist das Instandhaltungspersonal am Ort der Störung angekommen, bedeutet dies nicht zwangsläufig, dass unmittelbar mit der Entstörung begonnen werden kann. In der Regel sind hier weitere Tätigkeiten durchzuführen. In der Regel sind betriebliche Maßnahmen zu ergreifen, damit das Instandhaltungspersonal sicher im Gleisbereich arbeiten kann. So wird beispielsweise in der Leitstelle der betroffene Gleisbereich für das Befahren von Zügen gesperrt und erst danach dem Instandhaltungspersonal die Erlaubnis zum Betreten des Gleisbereichs erteilt. Durch die Ausrüstung des Instandhaltungspersonals mit mobilen Endgeräten [3] kann dieser Betriebsprozess optimiert werden.  Reduktion der Reparaturdauer: Die Durchführung der eigentlichen korrektiven Instandsetzung wird unter anderem auch durch die instandhaltungsgerechte Konstruktion der technischen Systeme beeinflusst. Hierbei sollten die kleinsten tauschbaren Einheiten gut zugänglich angeordnet sein, bzw. ohne Spezialwerkzeug zu tauschen sein. MTBF MUT AUSFALL BETRIEBSBEREIT AUSFALL MTTR Dauer unentdeckter Fehlerzustände Verzugsdauer Verzugsdauer Technische Verzugsdauer Reparaturdauer MUFT MAD MLD MTD MRT Nicht betriebsfähiger Zustand BEGINN DER KORREKTIVEN INSTANDHALTUNG Betriebsfähiger Zustand >_ Betriebsfähiger Zustand Bild 1: Zeitanteile der Zeit zur Wiederherstellung (MT TR) nach [1]. 86 1 · 2023 TR ANSFORMING CITIES THEMA Krisen managen Auch hat die Qualifikation des Instandhaltungspersonals hier einen großen Einfluss, wodurch entsprechende Anforderungen an dessen initiale Ausbildung, bzw. kontinuierliche Weiterbildung gestellt werden [4, 5]. Maßnahmen zur Verbesserung der Zuverlässigkeit Die Zuverlässigkeit bezeichnet die „Fähigkeit, unter gegebenen Bedingungen und für ein gegebenes Zeitintervall wie gefordert ohne Ausfall zu funktionieren [1].“ Hierauf hat unter anderem auch die Instandhaltung eine Auswirkung. Ein Beispiel hierfür ist die Verzögerung der Abnutzung einer mechanischen Komponente durch regelmäßige Wartungsaktivitäten wie das Ersetzen von Roh-, Hilfs- und Betriebsstoffen (beispielsweise Schmieren des Getriebes eines Weichenantriebs). Jedoch wird die Zuverlässigkeit wesentlich in der konstruktiven Durchbildung der Betrachtungseinheit bestimmt:  Einsatz betriebsbewährter Komponenten: Eine Komponente gilt als betriebsbewährt, wenn eine entsprechend dokumentierte Untersuchung ergeben hat, dass Nachweise aus früheren Einsätzen belegen, dass die Komponente für den Einsatz in einem sicherheitstechnischen System geeignet ist. Hierbei werden hohe Anforderungen an die Dokumentation von Felderfahrungen gestellt. So muss beispielsweise die Spezifikation unverändert sein und es dürfen keine oder nur unbedeutende Fehler aufgetreten sein. Außerdem müssen die Beobachtungen auf einer ausreichenden Anzahl an Betriebsstunden beruhen [6].  Einsatz qualifizierter Komponenten: Dieser Ansatz ist insbesondere in der Automobilindustrie ausgeprägt. Die Qualifizierung elektronischer Komponenten kann Branchenstandards folgen. Um eine Qualifizierung gemäß dieser Standards zu erhalten, muss eine Komponente einen strengen Prozess mit unterschiedlichen Prüfungen bestehen (zum Beispiel: Klimatests).  Derating: Die Zuverlässigkeit einer Betrachtungseinheit hängt wesentlich von ihrem Beanspruchungsprofil ab. Das Beanspruchungsprofil ist nach [1] das Ausmaß und die Anzahl der externen Einflüsse, denen ein System während der Erfüllung seiner geforderten Funktionalität widerstehen kann. Hier kann für die Auslegung der Betrachtungseinheit ein hinsichtlich mechanischer Beanspruchungen (beispielsweise mechanische Vibrationen), chemischer Beanspruchungen oder klimatischer Bedingungen (zum Beispiel: Temperaturzyklen) höheres Beanspruchungsprofil als betrieblich notwendig berücksichtigt werden. Somit ist ein Bauteil oder System, dass unterhalb seiner Auslegungsgrenze betrieben wird, zuverlässiger als ein Bauteil, das an oder oberhalb seiner Auslegungsgrenze betrieben wird. Durch Derating kann also die Zuverlässigkeit erhöht, bzw. die Lebensdauer einer Komponente gesteigert werden. Gestaltung fehlertoleranter Systeme Technische Systeme, die trotz Beeinträchtigung einzelner Komponenten ihre Funktion weiterhin erfüllen, werden als fehlertolerant bezeichnet. Redundanz bezeichnet hierbei das Vorhandensein von mehr als für die sichere Ausführung der vorgesehenen Aufgabe notwendigen Mittel. Die Anwendung von Redundanz führt dazu, dass eine Betrachtungseinheit ihre vorgesehene Aufgabe auch bei einer begrenzten Anzahl von Ausfällen weiterhin ausführen kann. Betrachtungseinheiten, für die diese Eigenschaften zutreffen, heißen fehlertolerant. In Bezug auf die Umsetzung der Fehlertoleranz können verschiedene Redundanzkonzepte unterschieden werden, welche exemplarisch anhand einer Systemarchitektur hochautomatisierter Nahverkehrssysteme (englisch: Communications Based Train Control Systems, CBTC) verdeutlicht werden können:  Funktionsbeteiligte Redundanz (heiße Redundanz, englisch: active redundancy): Während des fehlerfreien Betriebs sind alle mehrfach vorhandenen Systemkomponenten an der Funktionserfüllung beteiligt. Im Fehlerfall übernehmen die intakten Komponenten unverzüglich die Aufgabe der defekten Komponente. Ein Beispiel hierfür sind die zentralen Streckeneinrichtungen von CBTC-Systemen (als ATP 1 -wayside in Bild 2 bezeichnet), die mehrkanalig ausgelegt sind. In den zentralen Streckeneinrichtungen werden - je nach Hersteller - beispielsweise 2-von-3 Rechnersysteme eingesetzt. Für den Fall, dass ein Rechnerkanal ausfällt, sind nach wie vor zwei Rechnerkanäle für die Bearbeitung der sicherheitstechnischen Funktionen im Betrieb.  Nicht funktionsbeteiligte Redundanz (Standby-Redundanz, englisch: passive redundancy): Redundanz, bei der die zusätzlichen Mittel eingeschaltet, aber erst bei Störung oder Ausfall an der Ausführung der vorgesehenen Aufgabe beteiligt sind. Ein Beispiel für diese Art der Redundanz kann in der Betriebsleittechnik (englisch: Automatic Train Supervision, ATS) gefunden werden. Die Server, an denen die Bedienplatzrechner angeschlossen 1 ATP - Automatic Train Protection; technische Komponente zum Schutz vor Gegenfahrten, Folgefahrten und Flankenfahrten durch sicherungstechnische Abhängigkeiten. 87 1 · 2023 TR ANSFORMING CITIES THEMA Krisen managen sind, sind redundant ausgelegt. Beide Server arbeiten im „hot standby“. Hierbei wird zwischen dem prozessführenden Server (aktiver Server) und einem nicht prozessführenden Server unterschieden (passiver Server). Der aktive und der passive Server überwachen sich hierbei gegenseitig. Es erfolgt eine automatische Übernahme der Funktion des aktiven Servers durch den zuvor passiven Server, nachdem der zuvor passive Server den Ausfall des aktiven Servers erkannt hat. Es erfolgt eine Aktualisierung des jetzt passiven Servers durch den aktiven nach Wiederanlaufen des passiven Servers [8].  Kalte Redundanz (englisch: cold redundancy): Redundanz, bei der die zusätzlichen Mittel zur Ausführung der vorgesehenen Aufgabe erst bei Störung oder Ausfall eingeschaltet werden. Ein Beispiel für diese Art der Redundanz finden sich auch hier in der Betriebsleittechnik (englisch: Automatic Train Supervision, ATS). Die Arbeitsplatzrechner der Fahrdienstleiter arbeiten im „cold standby“. Das bedeutet, dass es in der Leitstelle eines Verkehrsunternehmens in der Regel mehr Arbeitsplatzrechner als Bediener gibt. Fällt ein Arbeitsplatzrechner aus, wechselt der Bediener den Arbeitsplatz und loggt sich dort wieder ein. Weitere Beispiele finden sich im Bereich der unterbrechungsfreien Stromversorgung (USV, bzw. englisch: Uninterruptible Power Supply, UPS). Diese Systeme dienen der Sicherstellung der Stromversorgung kritischer elektrischer Geräte bei Störungen im Stromnetz, wie beispielsweise kurzfristigen Stromausfällen und Stromschwankungen in Form von Über- oder Unterspannungen. Konkret springt ein Notstromaggregat (Dieselmotor) erst bei der Störung oder dem Ausfall der regulären Stromversorgung ein, nach Ablauf einer durch die Kapazität der eingesetzten Pufferbatterien bestimmten Zeitdauer (Stützzeit). redundantes Glasfaser-Backbone HMI HMI Funkantennen Antenne Odometrie Supervisory Control and Data Acquisition (SCADA) Traktionsstromversorgung Gebäudeautomation standardisierte Im- und Exportschnittstellen VDV 45x Odometrie Transponder (Strecke) Fahrer Fahrer Leitstellenpersonal Access Points überlappende Funkabdeckung Automatic Train Protection Automatic Train Operation Automatic Train Control (ATC) HMI - Human Machine Interface bidirektionale IP-basierte Funkkommunikation für ATP und ATO Ermittlung von Fahrterlaubnissen Sicherung von Fahrwegen ATP Wayside Ermittlung von Fahrterlaubnissen Sicherung von Fahrwegen ATP Wayside Weichensteuerung reduzierte Gleisfreimeldung optionale Signale generische Ein- und Ausgabe redundantes Glasfaser-Backbone Weichensteuerung reduzierte Gleisfreimeldung optionale Signale generische Ein- und Ausgabe Kupferkabel Glasfaserkabel Funkantennen CBTC-Fahrzeuggerät (redundant) Zugsteuerung Bedienung und Anzeige (Fahrzeug und Infrastruktur) Zuglenkung Zuglaufverfolgung Konflikterkennung Konfliktlösung Fahrplanmanagement Fahrgastinformation Operation Control System (ATS) Prozessdaten - Stellbefehle ATP - Führungsgrößen ATO Bild 2: Fehlertoleranz in der Architektur hochautomatisierter Nahverkehrssysteme [7]. 88 1 · 2023 TR ANSFORMING CITIES THEMA Krisen managen Umsetzung eines kontinuierlichen Verbesserungsprozesses zur Steigerung der Verfügbarkeit Die disziplinierte Umsetzung eines geschlossenen Regelkreises aus Fehlerberichten, -analysen und korrektiven Maßnahmen ist ein Schlüssel für ein frühes und nachhaltiges Erreichen der gewünschten Sicherheits- und Verfügbarkeitseigenschaften technischer Systeme [9]. Ein System zur Fehlererfassung, -registrierung und -meldung (englisch: failure reporting, analysis and corrective action system, FRACAS) liefert dabei die erforderliche Grundlage: Daten, die zur Analyse und Verbesserung des Systems dienen sollen, werden direkt während der Test-Inbetriebnahme und frühen Betriebsphase des hochautomatisierten Nahverkehrssystems erhoben und analysiert [10]. Ergebnisse fließen somit direkt in eine Optimierung des gesamten hochautomatisierten Nahverkehrssystems. Der Ansatz eines solchen so genannten FRACAS hat zum Ziel, eine Vielzahl an Fehlerberichten zu verwalten und eine auswertbare Historie von Fehlern und Fehlerkorrekturen vorzuhalten. Hierfür werden die mit einem Produkt zusammenhängenden Probleme und deren Ursachen im FRACAS dokumentiert, um korrektive Maßnahmen zu planen und umzusetzen. Beispielsweise erfasst FRACAS Informationen zur genauen Identifizierung und Beseitigung von Designfehlern, Problemen mit Komponenten und Schnittstellen, Montagefehlern, falsch durchgeführter Instandhaltung sowie nicht sachgerechter Nutzung der Fahrzeuge [10]. Für den Betreiber liegt der Nutzen eines FRACAS in der nachhaltigen Beseitigung von Störungen und damit einer Erhöhung der Verfügbarkeit durch die Beeinflussung der drei zuvor dargestellten Stellhebel der Zuverlässigkeit, der Instandhaltbarkeit und der Fehlertoleranz. Zusammenfassung und Fazit Die Verfügbarkeit hochautomatisierter Nahverkehrssysteme endet nicht mit der Entwicklung, sie muss vielmehr über den gesamten Lebenszyklus betrachtet werden. Der Lebenszyklus ist hierbei nach [1] die „Abfolge identifizierbarer Stufen, die eine Einheit durchläuft von ihrer Konzeption bis zur Entsorgung“. So erstreckt sich beispielsweise ein üblicher Lebenszyklus von: Konzept und Pflichtenheft; Entwurf und Entwicklung; Aufbau sowie Installation und Inbetriebnahme; Betrieb und Instandhaltung; der Verlängerung der Brauchbarkeitsdauer bis hin zur Außerbetriebnahme und Entsorgung. In jeder dieser Phasen sind dedizierte Aktivitäten erforderlich. Stehen zunächst spezifizierende Aktivitäten (Definition zuverlässigkeits- und instandhaltbarkeitsbezogener Anforderungen) im Vordergrund, verlagert sich der Fokus im weiteren Verlauf auf den Nachweis der zugesicherten Verfügbarkeit. Dieser Nachweis kann zum Zeitpunkt der Inbetriebnahme zunächst nur analytisch sein, wird sich aber mit ersten betrieblichen Erfahrungen auch auf reale Felddaten stützen. Hersteller und Betreiber eint das gemeinsame Interesse, die geforderte Verfügbarkeit auch in der Praxis zu erreichen. Hierbei ist - wie in diesem Beitrag dargestellt - die Verfügbarkeit Gegenstand dedizierter Managementaktivitäten. Auf Grundlage von Fehlermeldungen kann hier der Weg in Richtung eines kontinuierlichen Verbesserungsprozesses beschritten werden. LITERATUR [1] DIN EN 50126-1: 2018: Bahnanwendungen - Spezifikation und Nachweis von Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit (RAMS) - Teil 1: Generischer RAMS-Prozess; Deutsche Fassung EN 50126-1: 2017. [2] Schnieder, L., Bock U.: Predictive Maintenance von Schienenfahrzeugflotten. In: Verband Deutscher Eisenbahningenieure e. V. (Hrsg.), Eisenbahningenieurkompendium 2 (2022), S. 128 - 146. [3] Ortloff, A., Aust, F.: Controlguide OCS - Sicherung von Baustellen im Gleisbereich mit mobilen Geräten. In: Signal + Draht 108, 12 (2016), S. 39 - 49. [4] Verband Deutscher Verkehrsunternehmen: VDV- Schrift 352: Rahmen-Ausbildungsplan für das technische Personal von Signal- und Zugsicherungsanlagen (BOStrab). VDV 08/ 1999. [5] Rüffer, M., Schmidt, C., Jung, C., Schnieder, L.: Innovationen und Digitalisierung - Herausforderungen für die Aus- und Fortbildung im Signal- und Zugsicherungsdienst. In: Der Nahverkehr 37 7+8 (2019), S. 46 - 50. [6] Birolini, A.: Zuverlässigkeit von Geräten und Systemen. Springer (Berlin) 1997. [7] Schnieder, L.: Communications-Based Train Control (CBTC) - Komponenten, Funktionen, Betrieb. (3. Auflage). Springer Verlag (Berlin) 2022. [8] Mücke, W.: Betriebsleittechnik im öffentlichen Verkehr. Eurailpress (Hamburg) 2005. [9] United States Department of Defense. 1995. MIL- HDBK-2155: Failure Reporting, Analysis and Corrective Action System. Washington D.C. [10] Wolberg, J., Kiefer, J.: Der FRACAS-Prozess - Felddatenerfassung und Verfügbarkeitsoptimierung. Signal + Draht 93, 10 (2001), S. 25 - 29. Priv.-Doz. Dr.-Ing. habil. Lars Schnieder Geschäftsführer (Chief Executive Officer, CEO) ESE Engineering und Software-Entwicklung GmbH Kontakt: Lars.schnieder@ese.de AUTOR