PowerPoint Presentation

Sistemas de Controle Operacional de Ferrovias VALEC - BrasliaJorge Martins SecallSistemas de Controle Operacional de Ferrovias Bloco 1 - 29 e 30/Maio de 2015Histrico do controle de trens;Riscos envolvidos no trfego ferrovirio;Processos envolvidos no gerenciamento da capacidade ferroviria e segurana;Diferentes nveis de controle necessrios em operaes ferrovirias;Nveis de automao do sistema de sinalizao e controle de trens;Conceitos do sistema de operao ferroviria;Fatores humanos na concepo de sistemas de controle de trens.Sistemas de Controle Operacional de Ferrovias Bloco 2 - 19 e 20/Junho de 2015Processos de gesto para substituio de tecnologias de sistema de controle;Controle de trfego ferrovirioSistemas de comunicao: trem - trem e trem-centro de controle;Sistemas de sinalizao;Desempenho de trens;Ferramentas de programao;Tabelas de programa horrio;Anlise econmica do projeto do sistema de controle de trfego;Ferramentas de modelagem e simulao de sistemas de controle de trens (Segurana e Desempenho);Solues de eletrnica, tecnologia da informao e comunicao aplicadas ao trfego ferrovirio.

Histrico do controle de trens

Riscos envolvidos no trfego ferrovirio Riscos:Coliso;Descarrilamento;Atropelo de mquina de chave;Atraso.Causas:Fator humano;Sobre velocidade;Falha mecnica;Falha eletromecnica (freios, sinalizao, propulso, etc.)

Processos envolvidos no gerenciamento da capacidade ferroviria e segurana Segurana na circulao;Deteco de posicionamento;Rastreamento;Controle de espaamento;Controle de velocidade;Controle da oferta;Composio dos trens;Sinais vitais homem/mquina;Etc.Diferentes nveis de controle necessrios em operaes ferrovirias Automtico;Centralizado;Setorizado;Supervisionado;Manual (local).Nveis de automao do sistema de sinalizao e controle de trens Carga/passageiros (mainline):

Dark territory;Sinalizao a margem da via;Cab signal;ATODriverless;PTC/ERTMS (ETCS).Nveis de automao do sistema de sinalizao e controle de trens Metrs, VLTs:

Sinalizao a margem da via;Cab signal;ATODriverless;UITP GoA1 at GoA4.Fatores humanos na concepo de sistemas de controle de trens Em qualquer nvel de automao os seres humanos fazem parte integrante do sistema de controle;Todos os acidentes so sempre provocados por erros humanos em algum ponto ao longo do ciclo de vida dos sistemas.Introduo a Sinalizao Ferroviria

O Que significa exatamente sinalizao nas ferrovias?

Sinalizao o mecanismo pelo qual os controladores enviam informaes aos trens para pararem, prosseguirem normalmente ou com alguma restrio.Quais so os tipos de sistemas de sinalizao adotados pelas ferrovias?

intervalo de tempo (Marcha a vista)

distanciamento espacial

Mtodo do intervalo de tempoOs trens so espaados temporalmente em um setor da via de maneira a que, se o primeiro trem parar, o prximo trem deve estar apto a parar em uma distncia suficiente para no colidir com o trem a frente. o tipo de sinalizao normalmente empregado em bondes, no sendo adequado para sistemas mais pesados.Mtodo do distanciamento espacialNeste mtodo de controle de movimentao, o comprimento da via dividido em setores chamadas blocos;A entrada de um trem em um bloco controlada de tal maneira que apenas quando no houver um trem no bloco esta entrada seja autorizada;Isto implica que entre dois trens consecutivos existir um espao fixo e definido.Elementos bsicos da sinalizaoObjetos:Sinais;Dispositivos de deteco de trens;Mquinas de chave.

Controladores de objetos:Intertravamentos;Controles locais ou CTCs;Controle centralizado.

VisualSinaleirosControle de acesso(Staff)

Placas(ativas/passivas)SinalFixoDois aspectosMltiplos aspectosSinalizao mecnicaSemforoSinalizao mecnicaSemforoParada TotalProssigaAspecto vermelho: pare imediatamente.Aspecto amarelo: Cuidado, prossiga e prepare-se para parar no prximo sinal.Luz verde: Prossiga.Dois aspectos: Ateno, Prossiga e esteja preparado para passar o prximo sinal em velocidade reduzida.

Dispositivos de determinao do posicionamento de trensCircuitos de via;Contadores de eixo;Balizas;Deteco interna aos trens (tacmetro);Geoposicionamento;Sistemas inerciais;Radiofrequncia.Circuitos de via ICircuitos de via so dispositivos que detectam a presena de trens num setor especfico da via.H muitos tipos de circuitos de via:Circuitos DC;Circuitos AC por deteco de fase;Circuitos AF;Circuitos de RF.Circuitos de via II

Willian Robinson 1872Circuitos do dispositivoViasContatos de rels ou sinais eletrnicos disponveis para os dispositivos controladores de alto nvel (intertravamentos)Circuitos de via IIICircuitos de via IV

Circuitos de via V

Circuitos de via VI

Contadores de eixo I So dispositivos de passagem e no detectores pontuais -> mudana filosfica. Paradigma da inicializao do sistema. Podem ser:Analgicos;Digitais;ticos;Mecnicos;Magnticos.Contadores de eixo II

Balizas I Balizas so transmissores e/ou receptores e tem diversas funes:Detectar a passagem do trem recebendo sua informao;Informar ao trem a sua posio (reset de erro cumulativo em tacmetro);Transmitir comandos aos trens;Receber dados dos trens;Etc.Balizas II Balizas podem ser:Ativas(Quando so alimentadas e conectadas externamente)Passivas(Quando no apresentam conexes externas)Balizas III

Deteco interna aos trens (tacmetro)

Geoposicionamento

Sistemas inerciais

Radiofrequncia

Mquinas de chave ISo dispositivos ligados ao sistema de sinalizao que comutam a posio dos AMVs Aparelhos de Mudana de Vias permitindo a seleo do caminho que um trem seguir atravs de uma juno ferroviria;Tm normalmente apenas duas posies: Normal e Reversa.Podem ser mecnicas, eltricas, hidrulicas, eletro hidrulicas, etc.Podem ser de comando local e/ou remoto;Podem indicar sua posio local e/ou remotamente.ViaMotorEltrico ou pisto hidrulicoMquinas de chave IIMquinas de chave modernas tem graus operacionais. Podem ser operadas:Remotamente pelo centro de controle;Remotamente por um controle regional;Automaticamente por um intertravamento (rotas);Manualmente por um operador.

Conceito fundamental:TravamentoPode ser:No AMV (fish tail) UIC Europa;Na MCH AAR EUA.Mquinas de chave IIIControladores de ObjetosEm sistemas de sinalizao os controladores de objeto podem ser:Vitais ou no vitais;Embarcados ou em instalaes fixas (intertravamentos);Mecnicos (obsoletos), eletromecnicos (baseados em rels) ou eletrnicos (SSI, ATCs, etc.).Elementos de via a serem controlados por um intertravamento

Sequenciamento

Conceitos distintos de seguranaSafety: Segurana operacionalSecurity: Segurana de integridade e autenticidadeSurveillance: Segurana publica, vigilnciaConceitos distintos de segurana operacionalFail Safe

Fault tolerantFail SafetyFail Safety ou falha segura o conceito de que quando um sistema falha ele falha para o lado seguro.Exemplo: rels vitais nos intertravamentos a rel. Se a alimentao falha o rel cai e seleciona sempre um estado seguro.Fault toleranceFault tolerance ou tolerncia a falhas o conceito de que quando um sistema falha as falhas esto associadas a medidas de controle que tomam as providncias necessrias para manter o sistema seguro.Exemplo: o processo de votao em SSIs (intertravamentos de estado slido).Intertravamentos controlam os objetos de via (sinaleiros, circuitos de via, mquinas de chave, etc.) em uma estao e/ou em regies entre estaes.Este controle inclui as rotas dos trens passantes, as manobras, a movimentao dos veculos auxiliares, se encarregando de todos os tipos de movimento do sistema ferrovirio;Este controle deve obedecer regras rgidas de segurana, legais e operacionais da ferrovia.Intertravamentos Iconceito se refere as relaes lgicas estabelecidas entre os entes fsicos que compe a ferrovia.Nos intertravamentos baseados em rels, ou RRI Route Relay Interlocking, as regras esto estabelecidas nas conexes dos prprios circuitos dos contatos e bobinas dos rels;Nos intertravamentos eletrnicos, ou SSI Solid State Interlocking, as regras lgicas esto estabelecidas no software. De maneira a melhorar a manutenibilidade, as regras esto normalmente descritas em uma srie de equaes Booleanas que so por sua vez interpretadas pelo software do SSI.Intertravamentos IIExemplo de circuito a rels de um RRI (normativa Commonwealth)MAIN/SH. SIGNAL ROUTE SELECTION RELAY RWKR UNRLRUUYNRGNRConcerned CH/GF/LX_KLCR

Own ASRNWKR COGGNRGNREGRNRMN/SH_LRWNREUYNR &WFR&WFRUYR2Concerned CH/GF/LX_YR

CNF_LRs

Exemplo de circuito a rels de um RRI (normativa AAR)Intertravamentos de estado slido foram desenvolvidos como um aperfeioamento dos RRIs para os novos sistemas mas tambm como substitutos para os RRIs existentes que paulatinamente se tornam complicados e caros de manter. Isto se d fundamentalmente:

Pela complexidade dos equipamentos com milhares de rels;Pela dificuldade de administrar, j que qualquer modificao depende de modificar fisicamente os circuitos;Pela obsolescncia dos rels, cada vez mais escassos e caros;Pela dificuldade de formao da mo de obra especializada necessria.

SSIs custam tipicamente do custo de seu equivalente eletromecnico e so mantidos por uma frao do Opex dos RRIs.SSIs (ou CMTs no Brasil)SSI RackMquina de chaveS2S4S12S13S11SH5Registrador de dadosS14 Terminais de manutenoPainel sintico indicador (local ou CCO)Interface com o campo: reles ou eletrnicaCircuito de viaOs intertravamentos de estado slido podem ser divididos em dois tipos bsicos:

Sistemas centralizados: como sugerido pelo nome, todas as funes de segurana so tratadas nas instalaes do centro de controle. Desta maneira, as informaes - de segurana ou no devem trafegar de/para o CCO a partir dos trens e instalaes fixas. Este arranjo tem aumentado seu espao nos sistemas modernos pela racionalizao;Sistemas distribudos: esta a abordagem mais tradicional, em que os intertravamentos assumem as funes locais e apenas as informaes de interface so transmitidas remotamente.H vantagens e desvantagens em ambas as abordagens.

Baseado em sua arquitetura, os intertravamentos de estado slido (ou outros controladores de objeto como ATCs de bordo) podem ser classificados nos seguintes tipos:Processadores simples;Sistemas 2 out of 2, 2oo2;Sistemas 2 out of 3, 2oo3;Sistemas hot standby.A escolha do tipo visa atingir os parmetros RAMS (Reliability, Availability, Maintainability e Safety) ou CDMS (Confiabilidade, Disponibilidade, Manutenibilidade e Segurana) estabelecidos em projeto para alcanar os resultados operacionais, legais e de segurana esperados pelo operador e pela legislao.Engenharia da confiabilidade ou RAMS Conceitos bsicos IPara discutir RAMS a histria comea basicamente na Segunda Guerra Mundial e a decorrente Military Handbook, Reliability Prediction of Electronic Equipment, MIL-HDBK-217;Confiabilidade pode ser definida como a habilidade de um item realizar uma funo especfica com o resultado especificado ao longo de um determinado intervalo de tempo;Redundncia a existncia de mais de um meio de realizar uma dada funo. Estes meios para obter a funo no precisam necessariamente ser idnticos. O conceito se aplica tanto para hardware como para software.Falha: trmino da habilidade de um item de realizar a funo para o qual ele foi inserido no sistema;Falha oculta: falha que no se manifesta no momento de sua ocorrncia, ficando indetectvel at um momento crtico do sistema.Engenharia da confiabilidade ou RAMS Conceitos bsicos IIManutenibilidade a habilidade de um item, sob condies de uso estabelecidas, de ser reparado e devolvido ao estado em que ele pode realizar a sua funo especificada, quando a operao de manuteno prescrita realizada;Disponibilidade a habilidade de um item (de maneira coordenada com a confiabilidade e a manutenibilidade) de realizar sua funo ao longo de um determinado perodo de tempo.

Engenharia da confiabilidade ou RAMS Conceitos bsicos IIIEngenharia da confiabilidade ou RAMS Conceitos bsicos IVCurva da banheira:

Mtodos para obter segurana em sistemas eletrnicos processadosEntradasProcessador lendo no tempo 1Processador lendo no tempo 2Fig No: 1 Redundncia temporalSadas do sistemaEntradasEntradasProcessador 1 Software e hardware idnticos

Processador n Software e hardware idnticos

VOTADOR

Processador 1SadasProcessador nSadasSadas do sistemaFig No: 2 Redundncia de HardwareEntradasEntradasProcessador 1Hardware 1Software idntico

Processador nHardware nSoftware idntico

VOTADOR

Processador 1 SadasProcessador n SadasSadas do sistemaFig No: 3 Diversidade de HardwareEntradasSoftware 1Software 2Sadas do sistemaFig No: 4 Diversidade de Software (B mode)EntradasEntradasProcessor 1Identical HardwareSoftware 1

Processor nIdentical HardwareSoftware n

VOTER

Processor 1 OutputsProcessor n OutputsSadas do sistemaFig No: 5 Diverse software on redundant hardware EntradasEntradasProcessor 1Hardware 1Software 1

Processor nHardware nSoftware n

VOTER

Processor 1 OutputsProcessor n OutputsFig No: 6 Diverse software on Diverse hardware Sadas do sistemaFluxo bsico do software de um CMTIncioRotinas de preparao e de diagnsticoComunicao com os objetos sob controleVarredura das variveis de entrada e sadaAComo os erros so detectados em CMTs? ITestes de inicializao:Assim que o equipamento energizado, cada processador comea a sua operao a partir de uma localizao vetorizada, independentemente de seu estado anterior. Neste estado, cada processador inicializa seus respectivos perifricos escrevendo nos registradores adequados;A partir da ele realiza funes diagnsticas de todos os seus componentes internos;Estes diagnsticos so basicamente:Teste de RAM;Teste de ROM;Teste do barramento de E/S;Teste de identificao do processador;Testes de endereamento;Testes de configurao de E/S;Testes tipo check before operate;Medida das voltagens e parmetros fsicos do sistema;Etc.

Como os erros so detectados em CMTs? IINecessidade de verificao e validao independentesA complexidade dos modernos sistemas de sinalizao demanda procedimentos rigorosos e cumprimento de requisitos exigentes para a sua verificao e validao;H claros critrios de segurana em muitos pases, como MEM, ALARP ou GAMAB. No h no Brasil;Os sistemas de segurana crtica (CSA Critical Safety Applications) esto em toda a sociedade: nuclear, medicina, aviao, ferrovias e metros, etc.;O movimento na direo do software introduziu complicaes importantes como a migrao fail safe -> fault tolerant;A normativa IEC 61508 mapeia esta realidade;Para as ferrovias as anlises de segurana no so exigncia legal no Brasil;Comearam no Brasil com o metr de SP no incio dos anos 70 (Batelle + FDTE);Na Europa esto estabelecidas no conjunto CENELEC 5012X, atualmente em reviso;H diferenas importantes de abordagem;CERTIFER estabelecida no Brasil.Injeo de FalhasProcedimento de teste reacional baseado em injeo de falhas, por software e/ou hardware de maneira a testar as reaes sistmicas em condies contingenciais;Serve tanto para sistemas de controle vitais como a sinalizao como para os no vitais de importncia operacional relevante como os centros de controle.FMEA e FMECA IFMEA significa Failure Modes and Effect Analysis e FMECA, Failure Modes and Effect Critical Analysis;Trata-se da verificao dos possveis modos de falha de cada componente (hardware ou software) e do subsequente comportamento de todo o sistema de controle na ocorrncia, isolada e combinada, de cada um destes modos de falha; fundamental na verificao da segurana dos sistemas;Pode ser realizado pelos fabricantes e/ou certificadores dependendo da abordagem regulatria.Exemplo:

Carto 1Carto 2Carto 3Carto 3

ComponenteSistemaSadas do sistemaFMEA e FMECA IIaNo exemplo acima, se o componente do carto 1 falhar, o carto pode ou no falhar. Entretanto, se a falha for detectada o carto falhar e melhor que o faa;Para cada falha, ou conjunto delas, a totalidade das sadas deve ser analisada, verificando as combinaes que levam a indisponibilidade do sistema e as combinaes que levam a condies inseguras;MTBF versus MTBUF.FMEA e FMECA IIb

FMEA e FMECA IIIFalhas combinacionais so comuns;Controles de software so muito eficientes ->Tcnicas de programao defensiva.Nveis de Integridade de Segurana SIL levelsUm problema fundamental nas estimativas dos fatores RAMS a capacidade de um sistema de funcionar da maneira prevista em um dado conjunto de variveis ambientais por um dado perodo de tempo.Isto depende de muitos fatores, como o projeto, a execuo (os componentes utilizados e sua montagem), o ambiente de funcionamento, etc.Desta maneira fundamental lembrar que todos os parmetros RAMS so fatores estatsticos e probabilsticos. No h garantias determinsticas! isto que est nas bases da IEC61508 ao ser comparada com a MIL217.Seja S(t) o nmero de componentes sobreviventes, que ainda esto operando no instante t aps o incio de um experimento de envelhecimento. Seja F(t) o nmero de componentes que falharam at o instante t. Neste cenrio, podemos definir confiabilidade como a probabilidade de sobrevivncia dos componentes R(t):R(t) = S(t) / N---(1)A probabilidade de falha dos componentes tambm conhecida como desconfiabilidade ou em ingls unreliability Q(t):Q(t) = F(t) / N---(2)O nmero total de componentes ser ento:N = S(t) + F(t)---(3)Somando as equaes (1) e (2) e substituindo em (3) obtemos:R(t) + Q(t) = 1A taxa de falhas, tambm conhecida como coeficiente de perigo, Z(t) definida como o nmero de falhas por unidade de tempo comparada com o nmero de componentes sobreviventes:Z(t) = [ dF(t) / dt ] / S(t)---(4) i.e.: Z(t) = ---(5)Para obter a confiabilidade em termos da taxa de falhas combinamos as equaes (1) (4) &(5). Aps combinar e integrar a expresso final obtemos a confiabilidade com referncia a taxa de falhas:R(t) = -t---(6) fcil verificar que a confiabilidade de um sistema cai na medida em que a taxa de falhas sobe exponencialmente.Esta relao conhecida como a lei exponencial das falhas tipicamente expresso como um ndice de falhas por 1000 horas ou como falhas por hora. Quando o produto t pequeno, a equao (6) se torna:R(t) = 1 t---(7)Que nos d agora a confiabilidade de um sistema considerando falhas ocorridas ao longo da vida til inteiramente decorrentes de falhas de seus componentes.Tabela para a alocao do SIL IEC61508Tolerable Hazard Rate THR per hourAnd per functionSafety Integrity Level10-9