Eisenbahn-Bundesamt                                                                                                       Mü 8004 Technische Anforderungen an Sicherungsanlagen der Elektronik Prüfmaßnahmen an Schreib-Lesespeichern                                                                             Teil 43 333 Ausgabe: 01.08.2003             Ersetzt: 43 333E vom 01.01.1990                                           Anzahl der Seiten: 1 Die Technischen Grundsätze dienen der Zusammenarbeit von Industrie, Eisenbahnen des Bundes und Eisenbahn-Bundesamt beim Aufstellen und Prüfen von Sicherheitsnachweisen als Voraussetzung für die Typzulassung von Sicherungsanlagen. Über die Gültigkeit dieses Teils gibt das In- haltsverzeichnis (Teil 00 001) Auskunft. (1)        Inhaltsprüfung Der Inhalt des benutzten Teils des Schreib-Lesespeichers ist auf Unversehrtheit zu prüfen. (2)        Schreib-/Leseprüfung Jede benutzte Speicherzelle ist mindestens mit den für die vorliegende Speicherorganisation erforderlichen Bitmus- tern pro Speicherstelle auf fehlerfreies Schreiben und Lesen zu prüfen. Anmerkung: Eine Speicherstelle fasst die pro Adresse ansprechbaren Bits zusammen. (3)        Erforderliche Bitmuster Die erforderlichen Bitmuster nach Regel 2 müssen abhängig von der Speicherorganisation definiert werden. (4)        Adressierbarkeitsprüfung Es ist durch eine Adressierbarkeitsprüfung festzustellen, ob sich jede benutzte Speicherzelle - und nur diese - aus- wählen lässt. Dazu darf der gesamte benutzte Speicher in Bereiche aufgeteilt werden. EBA Sg 226 internes Exemplar - 226 EBA

Eisenbahn-Bundesamt                                                                                                       Mü 8004 Technische Anforderungen an Sicherungsanlagen der Elektronik Mehrfachausfälle                                                                                                   Teil 43 400 Ausgabe: 01.08.2003             Ersetzt: 43 400E vom 01.01.1990                                           Anzahl der Seiten: 3 Die Technischen Grundsätze dienen der Zusammenarbeit von Industrie, Eisenbahnen des Bundes und Eisenbahn-Bundesamt beim Aufstellen und Prüfen von Sicherheitsnachweisen als Voraussetzung für die Typzulassung von Sicherungsanlagen. Über die Gültigkeit dieses Teils gibt das In- haltsverzeichnis (Teil 00 001) Auskunft. (1)        Vorgehensweise bei Mehrfachausfällen Ist es nicht möglich oder nicht zweckmäßig, nach den Teilen 43 3XX vorzugehen oder wird nach Teil 43 310 Re- gel (3) verfahren, Unterbetrachtungseinheiten zu bilden, so ist nach den Teilen 43 4XX vorzugehen. Systematische Mehrfachausfälle und Folgeausfälle sind wie Einzelausfälle nach den Teilen 43 XXX zu be- handeln. (2)        Betrachtungseinheiten Betrachtungseinheiten im Sinne der Teile 43 4XX müssen im Sinne der Teile 43 2XX alle voneinander unabhängig sein oder sie müssen Unterbetrachtungseinheiten (im Sinne des Teils 43 310 Regel (3)) von mindestens zwei im Sinne der Teile 43 2XX voneinander unabhängigen Betrachtungseinheiten sein (siehe Teil 43 200, Bild 1). (3)        Unterbetrachtungseinheiten Innerhalb von Betrachtungseinheiten dürfen im Sinne des Teils 43 310 Regel (3) Unterbetrachtungseinheiten gebildet werden, wenn sich eine Fehlfunktion, die durch Ausfälle oder Störungen in einer Unterbetrachtungseinheit entstan- den ist, auf die anderen Unterbetrachtungseinheiten derselben Betrachtungseinheit entweder nicht übertragen (Tren- nung) kann oder wenn sie sich innerhalb der nach Teil 43 310 maximal zulässigen Ausfalloffenbarungszeit der in Frage kommenden Gesamtbetrachtungseinheit offenbart und zum Annehmen des sicheren Ausfallzustandes führt. Wenn für Teile der Unterbetrachtungseinheiten gezeigt wird, dass darin entstandene Fehlfunktionen sich nicht auf andere Unterbetrachtungseinheiten übertragen können, darf die Ausfallrate dieser Teile bei der Berechnung der nach Regel (3) maximal zulässigen Ausfalloffenbarungszeit unberücksichtigt bleiben. Ob neben den Maßnahmen zur Trennung auch Maßnahmen zur Ausfalloffenbarung zulässig sind, muss im Einzelfall anhand der möglichen Ausfallauswirkungen geklärt werden. Anmerkung: In der Regel sind besondere Maßnahmen zur Trennung der Unterbetrachtungseinheiten derselben Be- trachtungseinheit und zum rechtzeitigen Offenbaren derjenigen Fehlfunktionen erforderlich, die sich in- folge nicht vollständiger Trennung übertragen können. (4)        Rückwirkungsfreiheit Die Trennung von Unterbetrachtungseinheiten muss in Vor- und Rückrichtung die Auswirkung von fehlerhaften Sig- nalen, die durch Bauelementeausfälle und Störbeeinflussung entstehen können, verhindern. (5)        Trennung von Unterbetrachtungseinheiten Zur Trennung von Unterbetrachtungseinheiten derselben Betrachtungseinheit voneinander nach Regel (3) und (4) genügen Bauelemente, die keine Sicherheitsbauformen sein müssen, und sind solche Leiterbahnabstände ausrei- chend, die das Übersprechen verhindern und nicht nach Teil 43 210 ausgelegt sein müssen. Ferner sind Leiterbahn- abstände ausreichend, die nach DIN VDE 0110 für Funktions- oder Basisisolierung ausgelegt sind. EBA Sg 226 internes Exemplar - 226 EBA

43 400 vom 01.08.2003                                 2                                                 Mü 8004 (6)      Ausfallliste Bei der Betrachtung der Ausfallauswirkungen der zur Trennung dienenden Bauelemente sind die Ausfallarten nach Teil 43 320 zugrunde zu legen. Die zur Trennung dienenden Bauelemente und Isolierstrecken dürfen bei ihrem Ausfall in keiner der an sie ange- schlossenen Unterbetrachtungseinheiten einen Ausfall verursachen. Ausfälle und Störungen in den Unterbetrach- tungseinheiten dürfen in den zu ihrer Trennung dienenden Bauelementen keine die Trennung aufhebende Fehlfunk- tion verursachen. (7)      Mehrfachausfälle in Unterbetrachtungseinheiten Wenn die Forderung nach Ausfalloffenbarung nach Regel (3) erfüllt werden kann, dürfen die davon betroffenen Un- terbetrachtungseinheiten als eigenständige Betrachtungseinheiten im Sinne der Teile 43 410 und 43 420 angesehen werden und ihre Ausfalloffenbarungszeit nach diesen Teilen bestimmt werden. 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                                             3                                43 400 vom 01.08.2003 BE 1                                                                BE 2 UBE                                         UBE UBE                                          UBE UBE                                          UBE Legende: BE        Betrachtungseinheit UBE       Unterbetrachtungseinheit Unabhängigkeit nach Teil 43 200 Trennung oder Offenbarung von übertragenen Fehlfunktionen nach den Teilen 43 4XX Bild 1: Betrachtungs- und Unterbetrachtungseinheiten EBA Sg 226 internes Exemplar - 226 EBA

Eisenbahn-Bundesamt                                                                                                       Mü 8004 Technische Anforderungen an Sicherungsanlagen der Elektronik Zufällige Doppelausfälle                                                                                           Teil 43 410 Ausgabe: 01.08.2003             Ersetzt: 43 410E vom 01.06.1983                                           Anzahl der Seiten: 2 Die Technischen Grundsätze dienen der Zusammenarbeit von Industrie, Eisenbahnen des Bundes und Eisenbahn-Bundesamt beim Aufstellen und Prüfen von Sicherheitsnachweisen als Voraussetzung für die Typzulassung von Sicherungsanlagen. Über die Gültigkeit dieses Teils gibt das In- haltsverzeichnis (Teil 00 001) Auskunft. (1)        Doppelausfall Wenn die rechtzeitige Offenbarung eines Ausfalles oder einer potentiellen Fehlfunktion einer einzelnen Betrach- tungseinheit nicht möglich oder nicht zweckmäßig ist, muss mit dem zufälligen Hinzukommen eines Ausfalles oder einer Fehlfunktion einer zweiten Betrachtungseinheit gerechnet werden. (2)        Ungefährlichkeit des Doppelausfalls Ausfälle oder Fehlfunktionen von zwei Betrachtungseinheiten, die gleichzeitig vorhanden sind, müssen ungefährlich sein. Das gleiche gilt für die Kombination eines Ausfalles mit einer Fehlfunktion. (3)        Digitale Technik Bei elektronischen Schaltungen mit Verarbeitung, Speicherung oder Übertragung digitaler Signale ist nachzuweisen, dass Regel (2) dieses Teils für zwei Ausfälle nach Teil 43 320 oder für zwei Fehlfunktionen und für die Kombination eines Ausfalles mit einer Fehlfunktion erfüllt ist. (4)        Analoge Technik Bei elektronischen Schaltungen mit Verarbeitung, Speicherung oder Übertragung analoger Signale ist nachzuweisen, dass Regel 2 dieses Teils für Ausfälle nach Teil 43 120 erfüllt ist. (5)        Obergrenze der Ausfalloffenbarungszeit Abhängig von der Summe a der Ausfallraten der Betrachtungseinheiten, deren gemeinsame Fehlfunktion gefährlich werden kann, darf die Ausfalloffenbarungszeit der beteiligten Betrachtungseinheiten den Wert 2 to = a nicht übersteigen. Anmerkung: An der gemeinsamen Fehlfunktion ist neben den beiden Betrachtungseinheiten nach Regel (2), (3) o- der (4) eine dritte Betrachtungseinheit beteiligt. (6)        Ausfallrate Die in Regel (5) genannten Ausfallraten sind als Funktion des Beanspruchungsprofils der während des Betriebs herr- schenden Umgebungsbedingungen zu bestimmen. Aus diesen Ausfallraten ist die Summe a als zeitlicher Mittelwert herzuleiten. Das Beanspruchungsprofil hängt vom Einsatz der Einrichtung ab. Es darf von einem vereinfachten Beanspruchungs- profil ausgegangen werden, wenn sich das ungünstiger auf die Ausfallrate auswirkt. Das Beanspruchungsprofil und die Herleitung der Ausfallrate sind im Sicherheitsnachweis darzustellen. EBA Sg 226 internes Exemplar - 226 EBA

43 410 vom 01.08.2003                                    2                                                Mü 8004 (7)       Mittelwerte Das Bilden eines Mittelwertes aus den Ausfalloffenbarungszeiten verschiedener Betrachtungseinheiten ist im Sicher- heitsnachweis nicht zulässig. (8)       Verschiedene Kombinationen Wenn in einem System aus mehreren Betrachtungseinheiten nicht alle Kombinationen von drei ausgefallenen Be- trachtungseinheiten gefährlich werden, so darf die Ausfalloffenbarungszeit für die verschiedenen Kombinationen getrennt ermittelt werden. Ergeben sich dabei unterschiedliche Ausfalloffenbarungszeiten für eine Betrachtungsein- heit, so ist für sie die kürzeste dieser Zeiten maßgebend. 226 EBA – EBA Sg 226 internes Exemplar

Eisenbahn-Bundesamt                                                                                                       Mü 8004 Technische Anforderungen an Sicherungsanlagen der Elektronik Zufällige Dreifachausfälle                                                                                         Teil 43 420 Ausgabe: 01.08.2003             Ersetzt: 43 420E vom 01.06.1983                                           Anzahl der Seiten: 1 Die Technischen Grundsätze dienen der Zusammenarbeit von Industrie, Eisenbahnen des Bundes und Eisenbahn-Bundesamt beim Aufstellen und Prüfen von Sicherheitsnachweisen als Voraussetzung für die Typzulassung von Sicherungsanlagen. Über die Gültigkeit dieses Teils gibt das In- haltsverzeichnis (Teil 00 001) Auskunft. (1)         Dritter Ausfall Wenn die rechtzeitige Offenbarung von Ausfällen oder von potentiellen Fehlfunktionen von zwei Betrachtungseinhei- ten nicht möglich oder nicht zweckmäßig ist, muss mit dem zufälligen Hinzukommen eines Ausfalls oder einer Fehl- funktion einer dritten Betrachtungseinheit gerechnet werden. (2)         Ungefährlichkeit des Dreifachausfalls Ausfälle oder Fehlfunktionen von drei Betrachtungseinheiten, die gleichzeitig vorhanden sind, müssen ungefährlich sein. Das gleiche gilt für die Kombinationen Ausfall mit Fehlfunktion. (3)         Digitale Technik Bei elektronischen Schaltungen mit Verarbeitung, Speicherung oder Übertragung digitaler Signale gilt die Regel (2) für drei Ausfälle nach Teil 43 320 oder für drei Fehlfunktionen und für die Kombinationen Ausfall mit Fehlfunktion. (4)         Ausfalloffenbarung Maßnahmen zur Ausfalloffenbarung eines Dreifachausfalls, die über den betriebsbedingten Datenfluss und über Prüfungen bei der Instandhaltung hinausgehen, sind nicht erforderlich, wenn die Ausfallrate −4   −1 a ≤ 2 ⋅ 10 h ist. (5)         Ausfallrate Die Ausfallrate a ist die Summe der Ausfallraten der Betrachtungseinheiten, deren gemeinsame Fehlfunktion gefähr- lich werden kann (Vierfachausfall). EBA Sg 226 internes Exemplar - 226 EBA