Sicherheitsrelevante Software im Bereich der Eisenbahnsicherungstechnik

Eisenbahnsteuerung und -überwachung

„Wer kennt sie noch, diese Aussichtswarten am Bahnhof, von denen der Fahrdienstleiter den Überblick über die Züge in seinem Bereich hat, und die Fahrwege freigibt? Zunehmend stehen sie leer, und die Tätigkeit der Fahrdienstleiter wird über große Monitor-Reihen abgewickelt, auf denen der Zustand von Weichen und Signale angezeigt wird, auf welchen Gleisabschnitten ein Zug steht und welcher Fahrweg für diesen Zug freigegeben ist. Software spielt im effizienten Bahnbetrieb eine immer größere Rolle.

Prozesse und Strukturen

Wie jede andere Hard- und Software, die in einem sicherheitsrelevanten Umfeld Abläufe steuert, unterliegt  auch die Stellwerkstechnik hohen Ansprüchen, die von Normen geregelt werden. Die CENELEC EN 50126 bestimmt Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit des gesamten Systems. Die EN 50128 ist relevant für Software, vom V-Modell über Architektur bis zur Organisationsstruktur, welche die Unabhängigkeit und Qualifikation der benötigten Rollen gewährleisten soll: Design, Test, Verifikation, Validation, interner und externer Gutachter. Alle Prozesse und Strukturen haben ein Ziel: Die Sicherheit der Menschen sicherzustellen, die bei einem Fehler der Software oder Hardware gefährdet werden können.

Wann ist ein System sicher?

Sicher ist ein System, wenn das Verhalten in jedem Fehlerfall bekannt ist und beherrscht wird. Das beginnt mit dem sorgfältigen Ausprogrammieren eines jeden einzelnen ELSE-Zweiges, Parameterüberprüfung, 100% Testabdeckung und geht bis hin zur Frage: Was passiert bei einem „bit-flip“, wenn gespeicherte Daten plötzlich ihren Wert verändern, oder in der CPU ein Schaden dazu führt dass einzelne Befehle nicht korrekt ausgeführt werden? Alle Daten werden mit Prüfsummen gesichert, bei jedem Zugriff wird ein Vergleich durchgeführt. Zusätzlich werden im Zeitraum von 8 Stunden alle Daten überprüft. Die Software wird doppelt entwickelt, mit Diversität im Blick: Soweit wie irgend möglich, müssen für jede Entscheidung im A- und B-Kanal der Software unterschiedliche Bereiche der CPU verwendet werden, und das nachgeordnete System muss beide Ergebnisse der diversen Softwarekanäle vergleichen und im Fehlerfall sicher reagieren. Das funktioniert alles auch nur, wenn man Hardware, Compiler und Betriebssystem kennt – die Software muss mit dem validierten Compiler übersetzt werden und auf der freigegebenen Hardware laufen.

Wie sperrig diese Art des Programmierens ist, wurde mir bewusst, als ein neuer Mitarbeiter mittels catch-all alle Exceptions abfangen und ignorieren wollte (“kann ja eh nix sein an der Stelle”). Einerseits verbietet das schon die CENELEC, zum anderen ist jede Exception ein Indiz dass etwas schief gelaufen sein könnte und das System daher nicht mehr sicher ist. In den meisten Fällen ist die einzig passende Sicherheitsreaktion: Reboot, vollständiger Hardware- und Speichertest und Neustart der Software.

Ganz schön viel Aufwand für einen Bahnhof, der ja im Grunde nur aus Weichen, Gleisen (mit und ohne Belegt-Meldung) und Signalen besteht. Und das war nur ein Bruchteil der Sicherheitsstrategien. Aber der Fahrdienstleiter muss sich zu 100% darauf verlassen können, dass die Grundlage für seine Entscheidungen korrekt ist.“

 

Wir freuen uns, dass viele unserer MitarbeiterInnen bereits seit vielen Jahren zur „STEINER-HITECH-Familie“ gehören.

Klaus ist Senior Software Engineer in der Eisenbahnsicherungstechnik und seit 2008 in unserem Spezialisten-Team.

Wir bedanken uns herzlich für seinen interessanten Blog-Gastbeitrag und sein kurzes Feedback zu unserer Zusammenarbeit:

 

Welche beruflichen Ziele hast Du Dir gesetzt?

„Nach System im Bereich Energieverteilung, Satellitenkontrolle Bodensegment, Eisenbahnsicherungstechnik würde ich gerne zum Aerospace-Segment kommen, oder Embedded Systems. Skripten über Neuronale Netze liegen ebenfalls auf meinem Schreibtisch.“

Was gefällt Dir persönlich bei STEINER-HITECH?

Die freundliche, respektvolle Behandlung die ein starkes Team-Feeling vermittelt.

Wo liegen die Stärken von STEINER-HITECH?

Es reicht nicht, gute Leute bei Firmen abzusetzen, sie müssen auch ins soziale Gefüge der Gruppen passen. Die Firma STEINER-HITECH hat dafür ein feines Gespür, was sich auch bei den anderen Steiner-Mitarbeitern, die beim gleichen Kunden gelandet sind, bewahrheitet: Gekommen um zu bleiben…