Eisenbahn-Bundesamt                                                                                                       Mü 8004 Technische Anforderungen an Sicherungsanlagen der Elektronik Prüfmaßnahmen an Prozessoren                                                                                       Teil 43 331 Ausgabe: 01.08.2003             Ersetzt: 43 331E vom 01.01.1990                                           Anzahl der Seiten: 2 Die Technischen Grundsätze dienen der Zusammenarbeit von Industrie, Eisenbahnen des Bundes und Eisenbahn-Bundesamt beim Aufstellen und Prüfen von Sicherheitsnachweisen als Voraussetzung für die Typzulassung von Sicherungsanlagen. Über die Gültigkeit dieses Teils gibt das In- haltsverzeichnis (Teil 00 001) Auskunft. (1)        Grundlage Grundlage für die Prüfung des Prozessors bildet die Kenntnis der Funktionen, wie sie sich aus der Befehlsliste und der Prozessorarchitektur ergeben. (2)        Ausfallverdeckung Nach jedem Prüfschritt sind die Inhalte der durch Befehle direkt ansprechbaren Register sowie die Bedingungsbits zu prüfen. Die Register sollten so vorbereitet werden, dass sich ihre Inhalte nach einem Prüfschritt voneinander unter- scheiden. (3)        Befehle Es sind alle im Programmsystem verwendeten Befehle aus dem Befehlsvorrat des Prozessors mindestens einmal innerhalb der Ausfalloffenbarungszeit zu prüfen. (4)        Ausgewählte Bitmuster Bei Prüfung mit "ausgewählten Bitmustern“ sind folgende Bitkombinationen zu verwenden: a) Folge 01 01 ... b) Folge 10 10 ... c) alle Bits 0 d) alle Bits 1. (5)        Transferbefehle Die Transfer-Befehle (mit konstantem Operanden zwischen Registern, zwischen Speicherzellen und Registern und zwischen Speicherzellen) sind mit allen ausgewählten Bitmustern als transferierte Daten zu prüfen. (6)        Ein-/Ausgabebefehle Die Ein- und Ausgabebefehle sind mit allen ausgewählten Bitmustern als Operanden zu prüfen. (7)        Arithmetisch-/logische Befehle Von jedem arithmetisch-/logischen Befehlstyp ist jeweils ein Befehl mit allen ausgewählten Bitmustern als Operanden zu prüfen. (8)        Inkrementier-/Dekrementierbefehle Die Inkrementier- und Dekrementierbefehle sind mit den Bitmustern c) und d) zu prüfen. Dabei ist durch einmalige Ausführung der Operation die jeweils folgende Bitkombination des Operanden zu erzeugen und zu prüfen. EBA Sg 226 internes Exemplar - 226 EBA

43 331 vom 01.08.2003                                    2                                                 Mü 8004 (9)      Schiebe-/Rotationsbefehle Die Schiebe- bzw. Rotationsbefehle sind mit den Bitmustern a) und b) zu prüfen. (10)     Statusbits Die Befehle, die die Statusbits (zero, carry usw.) beeinflussen können, müssen je einmal mit gesetztem und nicht gesetztem Status geprüft werden. Bei Bedarf müssen dazu die ausgewählten Bitmuster erweitert werden. (11)     Bedingte Sprungbefehle Die bedingten Sprungbefehle müssen je einmal bei erfüllter und nicht erfüllter Bedingung geprüft werden. (12)     Bedingter Unterprogrammaufruf Die bedingten Unterprogramm-Aufrufbefehle müssen je einmal bei erfüllter und nicht erfüllter Bedingung geprüft werden. (13)     Bedingter Unterprogramm-Rücksprung Die bedingten Unterprogramm-Rücksprungsbefehle müssen je einmal bei erfüllter und nicht erfüllter Bedingung ge- prüft werden. (14)     Unterbrechungssperre, -freigabe Die Befehle zur Unterbrechungssperrung und -freigabe sind zu prüfen. In diese Prüfung ist auch der Befehl zum Programmstop (HALT) mit einzubeziehen, falls er im Programmsystem verwendet wird. (15)     Steuersignale Es sind alle am Prozessor ein- und ausgehenden, zur Steuerung der einzelnen Funktionseinheiten benutzten Signale zu prüfen. Ist eine direkte Steuersignalprüfung nicht vorgesehen oder nicht möglich, muss gezeigt werden, dass sich Ausfälle indirekt durch ein falsches Ergebnis bei entsprechender Prüfung offenbaren. (16)     Unterbrechungseingänge Unterbrechungseingänge sind durch das Prüfprogramm in regelmäßigen Abständen zu aktivieren. Die dadurch aus- gelösten Funktionen sind zu prüfen. 226 EBA – EBA Sg 226 internes Exemplar

Eisenbahn-Bundesamt                                                                                                       Mü 8004 Technische Anforderungen an Sicherungsanlagen der Elektronik Prüfmaßnahmen an Festspeichern                                                                                     Teil 43 332 Ausgabe: 01.08.2003             Ersetzt: 43 332E vom 01.01.1990                                           Anzahl der Seiten: 1 Die Technischen Grundsätze dienen der Zusammenarbeit von Industrie, Eisenbahnen des Bundes und Eisenbahn-Bundesamt beim Aufstellen und Prüfen von Sicherheitsnachweisen als Voraussetzung für die Typzulassung von Sicherungsanlagen. Über die Gültigkeit dieses Teils gibt das In- haltsverzeichnis (Teil 00 001) Auskunft. (1)        Inhaltsprüfung Der Inhalt des benutzten Teils des Festspeichers ist auf Unversehrtheit zu prüfen. (2)        Adressierbarkeitsprüfung Es ist zu prüfen, dass jeder benutzten Speicheradresse der richtige Speicherzelleninhalt zugeordnet ist. Anmerkung: Die Trennung nach Inhalts- und Adressierbarkeitsprüfung hat beim Festspeicher formalen Charakter. Regel (1) wird automatisch durch das Erfüllen der Forderung nach Regel (2) erfüllt. EBA Sg 226 internes Exemplar - 226 EBA

Eisenbahn-Bundesamt                                                                                                       Mü 8004 Technische Anforderungen an Sicherungsanlagen der Elektronik Prüfmaßnahmen an Schreib-Lesespeichern                                                                             Teil 43 333 Ausgabe: 01.08.2003             Ersetzt: 43 333E vom 01.01.1990                                           Anzahl der Seiten: 1 Die Technischen Grundsätze dienen der Zusammenarbeit von Industrie, Eisenbahnen des Bundes und Eisenbahn-Bundesamt beim Aufstellen und Prüfen von Sicherheitsnachweisen als Voraussetzung für die Typzulassung von Sicherungsanlagen. Über die Gültigkeit dieses Teils gibt das In- haltsverzeichnis (Teil 00 001) Auskunft. (1)        Inhaltsprüfung Der Inhalt des benutzten Teils des Schreib-Lesespeichers ist auf Unversehrtheit zu prüfen. (2)        Schreib-/Leseprüfung Jede benutzte Speicherzelle ist mindestens mit den für die vorliegende Speicherorganisation erforderlichen Bitmus- tern pro Speicherstelle auf fehlerfreies Schreiben und Lesen zu prüfen. Anmerkung: Eine Speicherstelle fasst die pro Adresse ansprechbaren Bits zusammen. (3)        Erforderliche Bitmuster Die erforderlichen Bitmuster nach Regel 2 müssen abhängig von der Speicherorganisation definiert werden. (4)        Adressierbarkeitsprüfung Es ist durch eine Adressierbarkeitsprüfung festzustellen, ob sich jede benutzte Speicherzelle - und nur diese - aus- wählen lässt. Dazu darf der gesamte benutzte Speicher in Bereiche aufgeteilt werden. EBA Sg 226 internes Exemplar - 226 EBA

Eisenbahn-Bundesamt                                                                                                       Mü 8004 Technische Anforderungen an Sicherungsanlagen der Elektronik Mehrfachausfälle                                                                                                   Teil 43 400 Ausgabe: 01.08.2003             Ersetzt: 43 400E vom 01.01.1990                                           Anzahl der Seiten: 3 Die Technischen Grundsätze dienen der Zusammenarbeit von Industrie, Eisenbahnen des Bundes und Eisenbahn-Bundesamt beim Aufstellen und Prüfen von Sicherheitsnachweisen als Voraussetzung für die Typzulassung von Sicherungsanlagen. Über die Gültigkeit dieses Teils gibt das In- haltsverzeichnis (Teil 00 001) Auskunft. (1)        Vorgehensweise bei Mehrfachausfällen Ist es nicht möglich oder nicht zweckmäßig, nach den Teilen 43 3XX vorzugehen oder wird nach Teil 43 310 Re- gel (3) verfahren, Unterbetrachtungseinheiten zu bilden, so ist nach den Teilen 43 4XX vorzugehen. Systematische Mehrfachausfälle und Folgeausfälle sind wie Einzelausfälle nach den Teilen 43 XXX zu be- handeln. (2)        Betrachtungseinheiten Betrachtungseinheiten im Sinne der Teile 43 4XX müssen im Sinne der Teile 43 2XX alle voneinander unabhängig sein oder sie müssen Unterbetrachtungseinheiten (im Sinne des Teils 43 310 Regel (3)) von mindestens zwei im Sinne der Teile 43 2XX voneinander unabhängigen Betrachtungseinheiten sein (siehe Teil 43 200, Bild 1). (3)        Unterbetrachtungseinheiten Innerhalb von Betrachtungseinheiten dürfen im Sinne des Teils 43 310 Regel (3) Unterbetrachtungseinheiten gebildet werden, wenn sich eine Fehlfunktion, die durch Ausfälle oder Störungen in einer Unterbetrachtungseinheit entstan- den ist, auf die anderen Unterbetrachtungseinheiten derselben Betrachtungseinheit entweder nicht übertragen (Tren- nung) kann oder wenn sie sich innerhalb der nach Teil 43 310 maximal zulässigen Ausfalloffenbarungszeit der in Frage kommenden Gesamtbetrachtungseinheit offenbart und zum Annehmen des sicheren Ausfallzustandes führt. Wenn für Teile der Unterbetrachtungseinheiten gezeigt wird, dass darin entstandene Fehlfunktionen sich nicht auf andere Unterbetrachtungseinheiten übertragen können, darf die Ausfallrate dieser Teile bei der Berechnung der nach Regel (3) maximal zulässigen Ausfalloffenbarungszeit unberücksichtigt bleiben. Ob neben den Maßnahmen zur Trennung auch Maßnahmen zur Ausfalloffenbarung zulässig sind, muss im Einzelfall anhand der möglichen Ausfallauswirkungen geklärt werden. Anmerkung: In der Regel sind besondere Maßnahmen zur Trennung der Unterbetrachtungseinheiten derselben Be- trachtungseinheit und zum rechtzeitigen Offenbaren derjenigen Fehlfunktionen erforderlich, die sich in- folge nicht vollständiger Trennung übertragen können. (4)        Rückwirkungsfreiheit Die Trennung von Unterbetrachtungseinheiten muss in Vor- und Rückrichtung die Auswirkung von fehlerhaften Sig- nalen, die durch Bauelementeausfälle und Störbeeinflussung entstehen können, verhindern. (5)        Trennung von Unterbetrachtungseinheiten Zur Trennung von Unterbetrachtungseinheiten derselben Betrachtungseinheit voneinander nach Regel (3) und (4) genügen Bauelemente, die keine Sicherheitsbauformen sein müssen, und sind solche Leiterbahnabstände ausrei- chend, die das Übersprechen verhindern und nicht nach Teil 43 210 ausgelegt sein müssen. Ferner sind Leiterbahn- abstände ausreichend, die nach DIN VDE 0110 für Funktions- oder Basisisolierung ausgelegt sind. EBA Sg 226 internes Exemplar - 226 EBA

43 400 vom 01.08.2003                                 2                                                 Mü 8004 (6)      Ausfallliste Bei der Betrachtung der Ausfallauswirkungen der zur Trennung dienenden Bauelemente sind die Ausfallarten nach Teil 43 320 zugrunde zu legen. Die zur Trennung dienenden Bauelemente und Isolierstrecken dürfen bei ihrem Ausfall in keiner der an sie ange- schlossenen Unterbetrachtungseinheiten einen Ausfall verursachen. Ausfälle und Störungen in den Unterbetrach- tungseinheiten dürfen in den zu ihrer Trennung dienenden Bauelementen keine die Trennung aufhebende Fehlfunk- tion verursachen. (7)      Mehrfachausfälle in Unterbetrachtungseinheiten Wenn die Forderung nach Ausfalloffenbarung nach Regel (3) erfüllt werden kann, dürfen die davon betroffenen Un- terbetrachtungseinheiten als eigenständige Betrachtungseinheiten im Sinne der Teile 43 410 und 43 420 angesehen werden und ihre Ausfalloffenbarungszeit nach diesen Teilen bestimmt werden. 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                                             3                                43 400 vom 01.08.2003 BE 1                                                                BE 2 UBE                                         UBE UBE                                          UBE UBE                                          UBE Legende: BE        Betrachtungseinheit UBE       Unterbetrachtungseinheit Unabhängigkeit nach Teil 43 200 Trennung oder Offenbarung von übertragenen Fehlfunktionen nach den Teilen 43 4XX Bild 1: Betrachtungs- und Unterbetrachtungseinheiten EBA Sg 226 internes Exemplar - 226 EBA