Betriebssysteme Bin ich auf der richtigen Bahn? Die Wahl des OS für die Zugsteuerung

Autor / Redakteur: Terry Staycer * / Franz Graser

Auf den Eisenbahnstrecken in der EU kommt es jeden zweiten Tag zu einer Kollision oder Entgleisung. Um diese Rate zu senken, finden zunehmend Normen für funktionale Sicherheit Anwendung.

Firmen zum Thema

Ein komplexes System: Lokomotive mit vorab zertifizierten Hardware- und Softwaremodulen und Netzwerktechnologien zur Kommunikation mit und zum Steuern von diversen Systemen
Ein komplexes System: Lokomotive mit vorab zertifizierten Hardware- und Softwaremodulen und Netzwerktechnologien zur Kommunikation mit und zum Steuern von diversen Systemen
(Bild: QNX)

Für den Erfolg bei sicherheitskritischen Projekten im Schienenverkehr ist der Wissensstand über funktionale Sicherheit und Zertifizierung einer der entscheidenden Faktoren. Anforderungen bei der Zertifizierung für funktionale Sicherheit bestimmen allgemein oft über Erfolg oder Misserfolg eines Projekts, denn diese Anforderungen können die Projektdauer und den Aufwand für das Projekt ganz schnell verdoppeln oder gar verdreifachen.

Die Normen für funktionale Sicherheit können auf Neueinsteiger verwirrend wirken. Die EN 50128 beispielsweise ist eine marktspezifische Norm für funktionale Sicherheit im Schienenverkehr, die von der weiter gefassten IEC 61508 abgeleitet ist, einer Norm für die funktionale Sicherheit von elektrischen, elektronischen und programmierbaren elektronischen sicherheitsrelevanten Systemen. Die Sicherheitsintegritätslevel der EN 50128 reichen von der niedrigsten Stufe SIL 1 bis zur höchsten Stufe SIL 4.

Sicherheit lässt sich nicht nachträglich draufsatteln

Um ein Gefühl dafür zu vermitteln, wie hoch die Anforderungen sind: Bei einem nach SIL 3 zertifizierten System muss die Wahrscheinlichkeit für gefährliche Ausfälle pro Betriebsstunde bei unter 1 in 10 Millionen liegen. Es ist fast unmöglich, derart strikte Anforderungen zu erfüllen, wenn funktionale Sicherheit nicht von Anfang an im Design verankert wird. Sicherheit kann nicht einfach nachträglich draufgesattelt werden.

Um einen sicheren und effizienten Betrieb zu gewährleisten, implementieren Eisenbahnen rund um die Welt Systeme wie die konventionelle Zugbeeinflussung (Automatic Train Protection – ATP), das US-amerikanische Zugleitsystem „Positive Train Control“ (PTC) oder die funkbasierte Zugbeeinflussung (Communications-Based Train Control – CBTC). U-Bahnen und andere Züge im öffentlichen Personennahverkehr setzen zunehmend auf vollautomatischen Zugbetrieb (Automated Train Operations – ATO) – Züge, die keine Fahrer haben oder bei denen die Rolle des Zugführers hauptsächlich auf Unterstützung bei Ausfällen und Notfallsituationen beschränkt ist.

Bei jedem sicherheitsrelevanten System kommt es ganz offensichtlich auf Verlässlichkeit an, also sollte das Betriebssystemdesign Garantien für Verfügbarkeit und Zuverlässigkeit bieten können. Solche Betriebssysteme werden als Echtzeit-Betriebssysteme (RTOS – Realtime Operating System) bezeichnet. Es gibt unterschiedliche RTOS-Architekturen, und eines ihrer Hauptunterscheidungsmerkmale ist, wie gut ein RTOS die EN 50128 für sicherheitskritische Applikationen unterstützt.

Ergänzendes zum Thema
Zusammenfassung und Ausblick

Zugsteuerungssysteme sind sicherheitsrelevant. Also müssen sie die Verlässlichkeitsanforderungen aus der Norm IEC 61508 und der Normenreihe EN 5012x erfüllen. Die Wahl eines OS wirkt sich, bedingt durch seine Architektur und Features, welche Echtzeitgarantien, Fehlerisolierung und die Wiederherstellung nach Komponentenausfall unterstützen, direkt auf die Verlässlichkeit des Systems aus. Weitere zu beachtende Faktoren sind etwa Netzwerkstacks, HMI-Techniken, Multicore-Unterstützung (einschließlich Prozessor- oder Kernaffinität) oder die Verwendung zertifizierter COTS-Komponenten wie etwa eines gemäß IEC 61508 SIL 3 zertifizierten Betriebssystemkernels.

Die EN 50128 behandelt drei sehr wichtige Punkte für Software:

1. Architektur: Die Softwarearchitektur ist die Stelle, an der die grundlegende Sicherheitsstrategie für die Software und den Sicherheitsintegritätslevel der Software entwickelt wird.

2. COTS: Soll in Systemen, die nach SIL 3 oder SIL 4 zertifiziert sein müssen, COTS-Software (Commercial off-the-shelf – Standardkomponenten) eingesetzt werden, so muss „eine Strategie definiert sein, wie Ausfälle der COTS-Software erkannt werden und das System davor geschützt werden kann.“

3. Sicherheitsdesign und Validierung: Die EN 50128 sagt explizit aus, dass „kein Weg bekannt ist, auf dem sich ab einem gewissen Komplexitätsgrad die Fehlerfreiheit sicherheitsrelevanter Software beweisen ließe.“ Anders gesagt: Wenn wir ein sicheres System bauen, können wir nicht beweisen, dass das System keine Fehler enthält, sondern lediglich Belege liefern, die unsere Aussage untermauern, dass unser System so verlässlich ist, wie wir es von ihm behaupten.

Verlässlichkeit ist bei einem Softwaresystem eine Kombination aus Verfügbarkeit (wie oft das System rechtzeitig auf Anfragen reagiert) und Zuverlässigkeit (wie oft die Reaktionen korrekt sind). Beides hängt stark vom gewählten Betriebssystem ab und, wie die EN 50128 erwähnt, speziell von der Architektur des Betriebssystems und dessen Fähigkeit zur Isolierung von Komponentenausfällen zum Schutz des Systems. Ein wichtiger Aspekt für den Einsatz in betriebskritischen Anwendungen ist die Fähigkeit, auch bei Ausfällen die Sicherheit zu gewährleisten.

Die Architektur des OS ist nicht nur entscheidend für die Verlässlichkeit des Gesamtsystems, sondern bestimmt auch, wie schwierig und kostspielig es ist, Komponenten mit unterschiedlichen SIL-Anforderungen voreinander zu isolieren oder. zu schützen. Weiterhin können vorab zertifizierte Komponenten das Risikoprofil des Systemherstellers insgesamt reduzieren, indem mit bewährter Technik gearbeitet wird.

Es sollte klar geworden sein, dass bei komplexen Hardware- und Softwareplattformen das Betriebssystem eine der wichtigsten Komponenten ist. Ein vorab zertifiziertes OS bietet hohe Zuverlässigkeit und ein niedrigeres Risiko für sicherheitskritische Systeme.

Zertifizierung ist Gretchenfrage bei „Make or buy“

Eine zertifizierte industrielle Steueranwendung ohne ein zertifiziertes Betriebssystem erscheint kaum vorstellbar. Die Vorabzertifizierung stellt eine wichtige Dimension bei der Entscheidung „Make or buy“ dar. Einige Systemhersteller verfügen über selbst entwickelte Legacy-Komponenten, vielleicht auch ein OS. Doch meist sind die Kosten für die Wartung, Entwicklung und Zertifizierung dieser Komponenten höher als der Preis einer vorab zertifizierten Lösung – wegen des Ausmaßes der möglichen Einsparungen.

Bei der Hardware liegen die Dinge anders. Vorab zertifizierte Hardware ist schwer zu finden. MEN Mikro hat eine attraktive Lösung hierfür vorgestellt. MEN hat für Kunden entwickelte Hardware in den Zertifizierungsumfang eingebunden und dadurch das Problem der Vorabzertifizierung von Hardware für die Eisenbahnbranche effektiv gelöst. Das MEN Modular Train Control System (MTCS) kombiniert vorab zertifizierte Hardware mit der vorab zertifizierten QNX Neutrino RTOS Software (zertifiziert nach IEC 61508 SIL 3) und bietet dadurch einen sehr hohen Grad an Zuverlässigkeit und Risikoreduzierung für sicherheitskritische Systeme.

Durch Wahl des vorab zertifizierten QNX-RTOS konnte MEN das Projekt um ca. 2 Jahre verkürzen, die Projektkosten um ungefähr 2 Millionen Dollar senken und jegliches Zertifizierungsrisiko auf Ebene von OS, Board-Support-Package und Hardware eliminieren. Mit vorab zertifizierten Hardware- und Softwaremodulen fällt es leichter, den Projektumfang und die Kosten im Griff zu behalten. MEN Mikro hat das mit dem MTCS bewiesen.

* Terry Staycer ist Business Development Manager General Embedded bei QNX Software Systems

Artikelfiles und Artikellinks

(ID:44363764)