Eisenbahn-Bundesamt                                                                                                       Mü 8004 Technische Anforderungen an Sicherungsanlagen der Elektronik Codierung                                                                                                          Teil 42 550 1 Ausgabe: 01.12.1988             Ersetzt: 42 550E vom 01.058.1988                                          Anzahl der Seiten: 7 Die Technischen Grundsätze dienen der Zusammenarbeit von Industrie, Eisenbahnen des Bundes und Eisenbahn-Bundesamt beim Aufstellen und Prüfen von Sicherheitsnachweisen als Voraussetzung für die Typzulassung von Sicherungsanlagen. Über die Gültigkeit dieses Teils gibt das In- haltsverzeichnis (Teil 00 001) Auskunft. (1)         Programmiersprache Es sollte eine Programmiersprache verwendet werden, mit der die in Teil 42 530 angegebenen Grundstrukturen unmittelbar abgebildet werden können. (2)         Realisierung der Grundstrukturen Lässt die verwendete Programmiersprache die Darstellung der Grundstrukturen nicht unmittelbar zu, sind sie, falls erforderlich, mit Hilfe von Sprungbefehlen möglichst einheitlich zu realisieren. (3)         Vermeidung komplizierter Anweisungen Anweisungen, mit denen die Grundstrukturen auf schwer durchschaubare Weise erzeugt werden, sind zu vermeiden. (4)         Befehlsänderungen Eine dynamische Änderung von Befehlen ist nicht zulässig. (5)         Durchlaufzahl bei Schleifen Bei Schleifen sollte die Durchlaufzahl zum Zeitpunkt des Eintritts in die Schleife feststehen. Ist keine feste Durchlauf- zahl angegeben, muss ein eindeutiges Abbruchkriterium festgelegt werden. Diese Forderung gilt nicht für den Grundzyklus bei zyklisch arbeitenden Systemen. (6)         Berechnungen Die Werte von Schleifenvariablen und Adressen sowie Ergebnisse, aufgrund derer verzweigt wird, dürfen nicht aus umfangreichen Berechnungen hervorgehen. Als umfangreich sind beispielsweise Berechnungen anzusehen, die "im Kopf“ nicht mehr nachvollzogen wer- den können. (7)         Rücksprung aus Unterprogrammen Der Rücksprung aus Unterprogrammen muss stets auf die dem Aufruf unmittelbar folgende Anweisung führen. (8)         Lage konstanter Daten und Befehle Konstante lokale Daten sollten mit den Befehlen in einem gemeinsamen Speicherbereich liegen. 1 Die Übernahme als inhaltlich unveränderter „Weißdruck“ erfolgte auf Grund der lange abgelaufenen Frist für die Abgabe von Änderungsvorschlägen (siehe Teil 00 020, Regel (3)). EBA Sg 226 internes Exemplar - 226 EBA

42 550 vom 01.12.1988                                     2                                                  Mü 8004 (9)      Ansprechen von Konstanten und Marken Konstante und Marken sind nur über ihren Namen anzusprechen, sofern ein solcher definiert wurde. Die Zuordnung Name - Wert darf über das gesamte Programm hinweg nicht geändert werden. (10)     Namensgebung Die Namen für Konstante, Variable, Marken usw. müssen nach mnemotechnischen Gesichtspunkten so gewählt werden, dass aus ihnen die Bedeutung hervorgeht und sie sich eindeutig voneinander unterscheiden. (11)     Konstante mit gleichem Wert Konstante, die zufällig den gleichen Wert haben, sich aber in ihrer Bedeutung unterscheiden, müssen unterschiedli- che Namen erhalten. (12)     Namenliste Alle verwendeten Namen für Konstante und Variable sind alphabetisch mit ihrer Bedeutung aufzulisten. (13)     Programmprotokoll Das Programmprotokoll ist in der benutzten Programmiersprache zu erstellen. (14)     Aufbau des Programmprotokolls Das Programmprotokoll ist den Grundstrukturen entsprechend zu gliedern. Die jeweilige Grundstruktur muss optisch klar erkennbar sein (z. B. durch Einrücken, Unterteilung in Abschnitte). (15)     Kommentare Als Kommentare zu den Anweisungen im Programmprotokoll müssen mindestens die Texte aus den Struktorgram- men erscheinen. Zusätzliche Kommentare sollen das Verständnis des Programms erleichtern und nicht nur verbal wiedergeben, was die Anweisung nach den Regeln der Programmiersprache tut. Bild 1 zeigt das Beispiel eines Programmprotokolls in maschinenorientierter Programmiersprache. (16)     Weitere Unterlagen An weiteren Unterlagen sind erforderlich: – Speicheraufteilungsplan (Beispiel Bild 2) Er zeigt die Belegung der Speicherplätze sowie deren physikalische Realisierung. – Speicherbelegungsplan (Beispiel Bild 3) Er gibt Lage und Umfang von Programmen und konstanten Daten im Speicher an. Einer maschinenerstellten Darstellung (z. B. in Form eines Locaterprotokolls) wird der Vorzug gegeben. 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004 3                  42 550 vom 01.12.1988 EBA Sg 226 internes Exemplar - 226 EBA

42 550 vom 01.12.1988                  4 Mü 8004 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                                               5                                   42 550 vom 01.12.1988 Bild 1 Beispiel eines Programmprotokolls in maschinenorientierter Programmiersprache EBA Sg 226 internes Exemplar - 226 EBA

42 550 vom 01.12.1988                                 6                                  Mü 8004 Adresse Inhalt (hexadezimal) 0000 .                                                    Festspeicher Programm .                                               1. Speicherbaugruppe .0FFF 1000 . Programm . 13FF 1400 .                                                    Festspeicher Tabellen         2. Speicherbaugruppe . 17FF 1800 . freie Reserve . 2000 . -                  nicht belegt . 3FFF 4000 . Datenspeicher . 43FF 4400 .                                               Schreib-/Lesespeicher freie Reserve        1. Speicherbaugruppe . 4EFF 4F00 . Stapelspeicher . 4FFF 5000 . -                  nicht belegt . 7FFF 8000 Speicher – Ein-/Ausgabe .                                                  Register der Ein- (detaillierte Angaben der Bele- .                                               /Ausgabebaugruppen gung 8FFF Bild 2  Beispiel für einen Speicheraufteilungsplan 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                                          7                  42 550 vom 01.12.1988 Bild 3  Beispiel für einen Speicherbelegungsplan EBA Sg 226 internes Exemplar - 226 EBA

Eisenbahn-Bundesamt                                                                                                       Mü 8004 Technische Anforderungen an Sicherungsanlagen der Elektronik Prüfung der Software von signaltechnisch sicheren Einrichtungen                                                    Teil 42 600 1 Ausgabe: 01.08.2003             Ersetzt: Leitlinie vom 23.09.1987                                         Anzahl der Seiten: 4 Die Technischen Grundsätze dienen der Zusammenarbeit von Industrie, Eisenbahnen des Bundes und Eisenbahn-Bundesamt beim Aufstellen und Prüfen von Sicherheitsnachweisen als Voraussetzung für die Typzulassung von Sicherungsanlagen. Über die Gültigkeit dieses Teils gibt das In- haltsverzeichnis (Teil 00 001) Auskunft. (1)         Vorbemerkungen Dieser Teil enthält Vorgaben für die im Rahmen des Funktionsnachweises ( Teil 32 000) durchzuführende Prüfung der Software, unabhängig von der eingesetzten Programmiersprache. Diese Vorgaben dienen dazu, den Prüfern der Software eine Grundlage für ihre Arbeit zu geben. Die Prüfer sind verpflichtet, Erkenntnisse und Erfahrungen von allgemeiner Bedeutung, die sie im Laufe der Prüfung sammeln, zur Fortschreibung dieses Teils dem Sg 226 bekannt zu geben. Allgemeine Richtlinien für die Erstellung von Rechnerprogrammen sind in den Teilen 42 5XX enthalten. (2)         Ziel der Softwareprüfung Ziel der Softwareprüfung ist es festzustellen, ob die sicherheitstechnischen Funktionen entsprechend der Aufgaben- stellung umgesetzt und in der Software implementiert wurden. (3)         Fehleroffenbarungsmaßnahmen Um die in Regel (2) genannte Forderung prüfen zu können, sind die in den folgenden Regeln aufgeführten Fehlerof- fenbarungsmaßnahmen durchzuführen. (4)         Teile der Software Alle Teile der Software eines Rechners sind zu prüfen (z. B. Organisationsprogramme, Prüfprogramme, Programme zur Datenverwaltung, Anwenderprogramme, allgemeine und ortsabhängige Daten. Bei Software, die selbst keine Sicherheitsfunktionen ausführt, kann die Prüfung auf die Feststellung beschränkt wer- den, dass durch sie Sicherheitsfunktionen in anderen Programmen oder Programmteilen nicht beeinflusst werden können. (5)         Funktionsbedingungen Die an signaltechnisch sichere Einrichtungen zu stellenden Anforderungen, die sich aus der im Eisenbahnbetrieb üblichen Art der Abwicklung von Fahrzeugbewegungen ergeben, sind mindestens in einem Lastenheft, das baufor- munabhängig gilt, festgehalten. Für die ESTW wurden in einem Funktionskatalog der DB AG die Bedingungen, die beim Einstellen, Überwachen und Auflösen von Fahrstraßen einzuhalten sind, konkretisiert. Diese Unterlage, in der in einer Matrix die Bedingungen den einzelnen Fahrwegelementen gegenübergestellt sind, dient dazu, den Prüfern der Software des ESTW eine umfassende Zusammenstellung der Funktionsbedingungen für ihre Prüfung zur Verfügung zu stellen. (6)         Softwarebereiche Die anwendungsunabhängige Systemsoftware (z. B. Betriebssystem) und die anwendungsunabhängige Software gliedern sich in die Bereiche: 1 Der Ausgabestand ergibt sich auf Grund der unveränderten Übernahme der gleichnamigen Leitlinie und ggf. redaktionellen Ände- rungen. EBA Sg 226 internes Exemplar - 226 EBA

42 600 vom 01.08.2003                                    2                                                  Mü 8004 −    Programme (Folge von Anweisungen), −    Funktionsdaten (initialisierte Daten), −    Projektierungsdaten (initialisierte Daten), −    Prozessdaten (nicht initialisierte Daten). (7)       Programme Die Programme sind eine Folge von Anweisungen (z. B. Pascal-Quellcode, Assembler-Code). Durch Hinzufügen oder Weglassen von Programmteilen können die Programme den örtlich zutreffenden Funktionsbedingungen ange- passt werden. (8)       Funktionsdaten Die Funktionsdaten sind projektierungs- und ortsunabhängig. Sie bleiben in der Regel innerhalb einer signaltechnisch sicheren Einrichtung mit gleichen Funktionen unverändert und passen die allgemein formulierten Programme an die DB AG-Funktionsbedingungen/Lastenheft an. Ein Satz allgemeiner Daten kann entfallen, wenn der zugehörige Pro- grammteil nicht erforderlich ist. Die Funkdaten ergänzen die Programme und deren Funktionen. Sie sind, da Be- standteil des Programms, im Rahmen der Software-Prüfung im gleichen Umfang wie die Programme zu prüfen. (9)       Projektierungsdaten Die Projektierungsdaten passen die durch die Programme vorgegebenen Funktionen an die örtlichen Gegebenheiten der konkreten signaltechnisch sicheren Einrichtung an. Sie gelten daher immer nur für eine bestimmte signaltech- nisch sichere Einrichtung und müssen bei jeder Anlage und jedem Umbau erneut geprüft werden. Die Prüfung der Richtigkeit dieser Daten (Datenprüfung) fällt daher nicht in die Programmprüfung im Zuge des Zulassungsverfahrens für eine signaltechnisch sichere Einrichtung (Programmsystem). Lediglich der richtige Zugriff auf diese Daten (Struk- tur der Datensätze) bzw. die richtige Ablage im Aufrüstvorgang ist im Zuge der Programmprüfung zu kontrollieren. (10)      Prozessdaten Die Prozessdaten entstehen während der Laufzeit der Programme und sind veränderbar. Im Rahmen der Pro- grammprüfung ist zu prüfen, dass −    diese Daten im Speicher richtig abgelegt werden, −    auf diese Daten richtig zugegriffen wird und −    unter Berücksichtigung der Hardware-Bedingungen den Daten die richtigen Prozesszustände zugeordnet werden. (11)      Prüfung der Rechnerprogramme Bei der Prüfung der Rechnerprogramme sind folgende Einzelschritte, die programmunabhängig sind, erforderlich: −    Formale Prüfung, −    Programminspektion, −    Prüfung der Softwaretechnik, −    Ablaufanalyse. (12)      Formale Prüfung Die formale Prüfung stellt fest, ob die Programme entsprechend den Teilen 42 5XX dokumentiert sind und keine Dokumentationsfehler vorliegen. (13)      Programminspektion Die Programminspektion analysiert die Struktur und Funktion der Programme. (14)      Prüfung der Softwaretechnik Die Prüfung der Softwaretechnik stellt fest, ob ein klares Konzept vorliegt, nach dem die Programme aufgerufen, Daten übergeben und behandelt werden. 226 EBA – EBA Sg 226 internes Exemplar