Prover Technology Krav CST 24 0

Relevanta dokument
ALLMÄNNA FÖRESKRIFTER

Skyddsavstånd, skyddssträcka och. frontskydd. Grundläggande signaleringskrav. BVS Giltigt från Giltigt till Antal bilagor

KRAV 1 (8) Dokumenttitel Signal: Signaleringsprinciper. Skyddsavstånd, skyddssträcka och frontskydd.

Rörelsevägar. Grundläggande signaleringskrav. BVS Giltigt från Giltigt till Antal bilagor

Signal: Signaleringsprinciper. Sidoskydd. Innehållsförteckning KRAV 1 (9)

ATC-information från balisgruppen kan innebära: kör... (lägst 40) vänta 00 / vänta 000 Målpunkten kan även vara en slutpunkts stopplykta

TSFS 2010:163 Bilaga 3 H. Bilaga 3 H

Kompletterande trafikregler - System E1

Sidoskydd. Grundläggande signaleringskrav. BVS Giltigt från Giltigt till Antal bilagor

Trafikbestämmelser för järnväg. Modul 3HMS Signaler - System H, M, S

Trafikbestämmelser för järnväg. Modul 3HMS Signaler - system H, M, S

Uttryck i förreglingstabeller, översättning

BANSTANDARD I GÖTEBORG KONSTRUKTION

Signal: Signaleringsprinciper. Yttre signalering. Innehållsförteckning KRAV 1 (40)

Signal: Signaleringsprinciper. Yttre signalering. Innehållsförteckning KRAV 1 (41)

ALLMÄNNA FÖRESKRIFTER

Dokumentnamn: Version Sidnummer. Cst Anläggningsuppbyggnad del

Yttre signalering. Grundläggande signaleringskrav. BVS Giltigt från Giltigt till Antal bilagor

Formell verifiering av CST ställverk

Projekteringsprocessen

Signal: Signaleringsprinciper. Rörelsevägar. Innehållsförteckning KRAV 1 (14)

1. Inledning Generella krav Kommentar denna utgåva... 2

RUTINBESKRIVNING 1 (8) Skapat av (Efternamn Förnamn, org) DokumentID Ev. ärendenummer

Tilläggsföreskrifter till säo för f d TGOJ-sträckor.

Signal: Signaleringsprinciper. Lokalfrigivningsområden.

BANSTANDARD I GÖTEBORG KONSTRUKTION

Trafikbestämmelser för järnväg. Modul 8M Tågfärd - System M

Innehåll 1. Inledning... 2

Lokalfrigivningsområde

Radiosignalering ERTMS nivå 2 och nivå 3

Uttryck i förreglingstabeller

Handbok JTF. 3 H. Signaler - System H

Signaler - System H. Järnvägsstyrelsens trafikföreskrifter. Bilaga 3 H

BANSTANDARD I GÖTEBORG KONSTRUKTION

Trafikbestämmelser för järnväg. Modul 3M Signaler - tillägg för system M

JvSFS 2008:7 bilaga 3 H Utkom från trycket den 11 juli Järnvägsstyrelsens trafikföreskrifter. Bilaga 3 H. Signaler - System H

Ändringar i remissutgåva av TTJ oktober 2018 jämfört med TTJ 3.0 (stavfel och smärre redaktionella ändringar inte redovisade)

Ändringar i TTJ 5.0 jämfört med TTJ 4.0 (stavfel och smärre redaktionella ändringar inte redovisade)

JvSFS 2008:7 bilaga 3 M Utkom från trycket den 11 juli Järnvägsstyrelsens trafikföreskrifter. Bilaga 3 M. Signaler - System M

Tabellförteckning Tabell 1 Möjliga börjanpunkter... 3

Tabellförteckning Tabell 1 Begrepp... 5

Handbok JTF. 3 M. Signaler - System M

3 H. Signaler - System H

Gjorda ändringar med anledning av TSFS 2010:1 (ändrad text är understruken)

Mång-OSPA Sammanställning

Samtl 0c. Signalering mot banan vid vägkorsning. med säkerhetsanordning«i. Vägkorsningssignal (V-signal)

Mång-OSPA 11 ( )

Trafikbestämmelser för järnväg. Modul 15 HMS S-skydd - System H, M och S

Linjeblockering. Grundläggande signaleringskrav. BVS Giltigt från Giltigt till Antal bilagor

BVDOK 1 (9) Skapat av (Efternamn, Förnamn, org) DokumentID Dokumentdatum. Eriksson Ulf TDOK 2014: Chef VO Underhåll

Spårväxlar och spårspärrar

OSPA Obehöriga stoppsignalpassager

Underrättelse enligt Tri Jvg 12:13 ombyggd station i Roslags Näsby samt åtgärder på österskärsgrenen

*****************************************************************************

K. 1-8 RIKTLINJER FÖR GRÄNSÖVERSKRIDANDE TRAFIK KORNSJÖ GRÄNSEN - KORNSJØ (enligt Jernbaneverkets trafikksikkerhetsbestemmelser)

1 (99) TDOK 2012:162 Råd v2.0

Signalställverk modell Cst. Projekteringshandbok

Toppdokument för Verktygslådan Cst

Bedömningsanvisningar

Ställverksinstruktion för Almunge

Mång-OSPA 10 ( )

ATC-information från balisgruppen kan innebära: kör... (lägst 40) vänta 00 / vänta 000 Målpunkten kan även vara en slutpunkts stopplykta

Mång-OSPA

Trafiksäkerhetsinstruktion (TRI)

Mång-OSPA 9 ( )

D. Anläggningarnas planerande och utförande. I. Planritning, normalbeteckningar.

TC NORRKÖPING TRAFIKVERKET UNDERLAG TILL LINJEBOK D1. Linjebeskrivning

Föreskrift för hantering av anordningar vid landsgränsen Sverige-Finland

Kvalificeringstävling den 30 september 2008

Trafikbestämmelser för järnväg. Modul 5 Blanketter

Datorlaboration 1 Deskriptiv statistik med hjälp av MS Excel

JTF Omarbetning. Välkomna till referensgruppmöte 26 februari 2013

Signalinrättningar, deras uppställning och anordnande.

inte följa någon enkel eller fiffig princip, vad man nu skulle mena med det. All right, men

BVS Kontrollbesiktning av signalanläggningar

Trafikeringssystem R

Trafikbestämmelser för järnväg. Modul 8H Tågfärd - System H

Mång-OSPA Sammanställning

JvSFS 2008:7 bilaga 8 H Utkom från trycket den 11 juli Järnvägsstyrelsens trafikföreskrifter. Bilaga 8 H. Tågfärd - System H

Ritning av ytor i allma nhet och OCAD-lo sningar da rtill i synnerhet

Användarmanual för Stella

Experimentella metoder, FK3001. Datorövning: Finn ett samband

Handbok FJÄRRSTYRT RELÄ Typ: RR120X/240X

UPPGIFT 1 LAMELLER. Minsta antalet hål: 1. Första lamellen? Andra lamellen? Minsta antalet hål: 3

Signalställverk modell Cst Anläggningsuppbyggnad - Bilagor

BVS Riskanalys för signaltekniska anläggningsprojekt

Systemkrav Infrasystem Väg - Anslutning av NTS-Objekttyp: Luftkvalitet

Trafiksäkerhetsinstruktion (TRI) för sidospår

Signaler. Grundläggande montagekrav för. signaltekniska ytterobjekt. Standard BVS B /SI10 0

Trafiksäkerhetsinstruktion för Eslövs kommuns spåranläggning Komplettering till JvSFS 2008:7 Bilaga 20 Sidospår

Trafiksäkerhetsinstruktion (TRI) för sidospår

Datum Utgåva IN1899 INNEHÅLL. 1.0 Inledning Syfte Tillämpningsområde Spåranläggningens omfattning...

ALLMÄNNA FÖRESKRIFTER

1. Inledning Kommentarer denna utgåva... 3

JvSFS 2008:7 bilaga 9 M Utkom från trycket den 11 juli Järnvägsstyrelsens trafikföreskrifter. Bilaga 9 M. Spärrfärd - System M

RIKTLINJE 1 (5) Skapat av (Efternamn, Förnamn, org) DokumentID Ev. ärendenummer. Persson, Elenor, Sktm TDOK 2011:80 [Ärendenummer]

BVS Signaltekniska termer och definitioner

REGLERTEKNIK KTH. REGLERTEKNIK AK EL1000/EL1110/EL1120 Kortfattade lösningsförslag till tentamen , kl

Trafikbestämmelser för järnväg. Modul 5 Blanketter

Transkript:

Skapat av (org.) Dokumentdatum Version Prover Technology 2013-06-13 1.0 Ev. dokumentid Antal sidor Antal bilagor Krav CST 24 0 Fastställt av, (org.) Trafikverket Dokumenttitel Formell verifiering av CST-anläggningar: krav Ansvar för innehåll Trafikverket har ansvar för att innehållet i dokumentet är uppdaterat enligt gällande versioner av föreskrifter och praxis for CST-anläggningar. Återkoppling Vid synpunkter på innehållet ska ansvarig på Trafikverket kontaktas.

Formell verifiering av CST-anläggningar: krav 1.0 2 (24) Innehållsförteckning 1 INLEDNING... 3 2 REFERENSER... 4 3 KRAV PÅ SIGNALERINGSPLANER... 5 4 FÖRREGLINGSKRAV... 10 5 GENERISKA KRAV... 11 6 ATC-KRAV... 12 6.1 KRAVENS FORMULERING... 12 6.2 STYRSIGNALRELÄER MOT UTVALDA MÅLSIGNALER... 14 6.3 ALTERNATIVA STYRSIGNALKOMBINATIONER... 16 7 KRAV PÅ HUVUDSIGNALER... 17 8 KRAV PÅ DVÄRGSIGNALER... 19 9 KRAV PÅ FÖRSIGNALER... 20 10 STRÖMSÄTTNINGSKRAV... 21 11 KRAV SOM INTE VERIFIERAS... 22

Formell verifiering av CST-anläggningar: krav 1.0 3 (24) 1 Inledning Vid projektering av CST-ställverk skall formell verifiering användas i varierande omfattning. Trafikverket beslutar för varje enskilt projekt hur och vad som ska verifieras och vilken den formella verifieringens roll skall vara i säkerhetsargumentationen. Detta dokument innehåller en lista på krav som normalt skall kontrolleras med formell verifiering. Kontroll sker av att systemet uppfyller kraven så länge alla komponenter fungerar felfritt (normalmodell) och att det uppfyller kraven även vid enkelfel (felmodell). Det senare innebär att kraven fortfarande ska vara uppfyllda även om en spole är verkningslös när den strömsätts. Den som genomför formell verifiering skall rapportera alla avvikelser från kraven som anges i detta dokument. Att en sådan avvikelse kan accepteras utan rättning beslutas av säkerhetsgranskaren eller annan person som Trafikverket utser.

Formell verifiering av CST-anläggningar: krav 1.0 4 (24) 2 Referenser [1] Uttryck i förreglingstabeller, version 0.1. Trafikverket 2010-10-14. [2] BVH 544.30004. ATC-övervakningsfunktioner: ATC-handbok, version 1. Banverket 2006-02-01. [3] BVH 544.30008. ATC-tabeller: ATC-handbok, version 1. Banverket 2006-02-01. [4] BVS 544.98011. Yttre signalering: Grundläggande signaleringskrav, version 5.0. Banverket 2010-12-10. [5] BVS 544.98007. Förbeskedsavstånd: Grundläggande signaleringskrav, version 3.0. Banverket 2009-09-30. [6] BVS 544.98015. ATC-signalering: Grundläggande signaleringskrav, version 3.0. Banverket 2009-09-30.

Formell verifiering av CST-anläggningar: krav 1.0 5 (24) 3 Krav på signaleringsplaner Signaleringsplaner används som underlag vid verifiering av ATC-funktionalitet och optisk (yttre) signalering. Deras utformning avgör vilka krav som ställs på kretsarna. För att de genererade kraven ska bli rimliga ställs vissa krav på själva signaleringsplanerna. Dessa anges här. Notera särskilt att kraven här i vissa fall är strängare än kraven på själva kretsarna. Det är exempelvis ofta tillåtet för ett signalsystem att lämna ett mer restriktivt körbesked än signaleringsplanen anger; signaleringsplanens uppgifter visar primärt vad som gäller vid fullt fungerande anläggning, men dess utformning ska ändå vara sådan att en anläggning med enkelfel inte blir farlig. Kraven i detta avsnitt är formulerade för signaleringsplaner som inte använder särskild notation för att ange att vissa styrsignaler används mot vissa målsignaler (se avsnitt 6.2) eller att det finns flera alternativ (se avsnitt 6.3). För signaleringsplaner som använder sådan notation ska metoderna i avsnitten 6.2 respektive 6.3 först appliceras för att räkna ut hur signaleringsplanen alternativt hade kunnat framställas utan sådan notation men med samma innebörd. Kraven i detta avsnitt ställs sedan på den signaleringsplan man skulle få på detta sätt. För signaleringsplaner med nämnd notation blir kraven alltså indirekt att denna notation måste vara använd på ett sätt vars betydelse är densamma som en signaleringsplan som uppfyller nedanstående krav. För närvarande ställs kraven bara på huvudsignaler, medan repeterförsignaler bara granskas manuellt. Följande konventioner används. ATC-stoppbesked anges på formen 00 eller 000 motsvarande 40-övervakning respektive 10-övervakning. ATC-körbesked anges på formen A/B nnn, där nnn är antingen tom eller består av en eller flera siffror. A är huvudbeskedet som anges med siffror alternativt med L, som betyder 270. Delen B nnn är ett förbesked där nnn är bortflyttningsavstånd, vilket här räknas som 0 om nnn är tomt. Delen B är antingen en hastighet ( L eller siffror) eller siffror följt av någon av bokstäverna A eller P. Om B är en hastighet kallas den för målhastighet. Om B slutar med A eller P är målhastigheten det man får om man byter ut den bokstaven mot siffran 0. Att målhastigheten är noll kan anges genom att B sätts till 00 eller 000 eller 0P, där det första innebär 40-övervakning, det andra 10-övervakning och det tredje att målpunkten är bortflyttad (övervakningshastigheten meddelas senare). Bortflyttningsavståndet ska vara större än noll om och endast om B slutar på A eller P. Utöver dessa formkrav ställs följande krav: (sigplan-hastigheter) Om en signal har en viss uppsättning styrsignalreläer på nivå x och alla dessa ingår även i nivå y, så får inte ATC-beskedet på nivå x vara mindre restriktivt än det på nivå y. Undantag görs när nivåerna helt saknar styrsignaler (då de istället skiljs åt med hjälp av Ljg och/eller Svk). Närmare bestämt ställs följande krav när x och y är två olika nivåer med körbesked och där minst en har styrsignaler: a. Huvudbeskedet på x får inte vara högre än huvudbeskedet på y. b. Målhastigheten på x får inte vara högre än målhastigheten på y såvida inte bortflyttningsavståndet på x samtidigt är väsentligt mindre

Formell verifiering av CST-anläggningar: krav 1.0 6 (24) än bortflyttningsavståndet på y. Mer precist krävs följande om målhastigheten på x är högre än målhastigheten på y. Först bestäms en här kallad kritisk sth som är den lägsta sth för vilken bortflyttningsavståndet på y är för litet för att duga som förbeskedavstånd. Detta görs med hjälp av normaltabell i BVS 544.98007 [5] för den lutning som gäller från signalen där ATC-beskedet lämnas, genom att den lägsta sth bestäms för vilken det angivna avståndet i tabellen överstiger bortflyttningsavståndet som anges på y. På denna kritiska sth ställs sedan följande krav: Den måste vara större än målhastigheten på x. (Motivering: tåg med sth upp till målhastigheten på x kommer inte att påverkas av förbeskedet på x och därmed får inte heller y kunna leda till att inbromsning måste påbörjas före nästa signal.) För kritisk sth får inte x ange ett mindre restriktivt besked än y. Mer precist: Om ett positivt bortflyttningsavstånd anges på x så måste ett ännu större bortflyttningsavstånd anges på y och skillnaden mellan dem måste vara minst så stort som sr är (avvikelser upp till 1,5 meter accepteras) enligt följande formel (från BVH 544.30004 [2] avsnitt 6.2.2), där bf är minsta tillåtna retardationsförmåga vid kritisk sth enligt BVS 544.98007 [5] avsnitt 6.1, och b beräknas för mjuk övervakning enligt BVH 544.30004 [2] avsnitt 6.2.1: sr = (v0 2 Vmål 2 )/2b, där v0 = målhastigheten för x omräknat till m/s Vmål = målhastigheten för y omräknat till m/s b = (2/3)bf + kg k = 0,01 m/s 2 Exempel från Älvsjö: G = antalet promille lutning från signalen; om detta beror på tågväg: det minsta (mest negativa) värdet för samtliga vägar som är aktuella för nivån y

Formell verifiering av CST-anläggningar: krav 1.0 7 (24) Figur 1. Utdrag ur signaleringsplan S110-040_007 för Älvsjö I exemplets signal 848 förekommer det att beskedet L/0P 650 har styrsignalerna S1,S2,S3 medan L/4A 475 har styrsignalerna S1,S2. Här är alltså y den förstnämnda, och x den sistnämnda, och målhastigheten är högre på x än på y. Lutningen från signal 848 är 10 promille, så G = 10. Normaltabellen för 10 promille säger att 50 km/h är kritisk sth, eftersom den är den minsta sth som kräver mer än 650 meter för målhastigheten 0. Den överstiger målhastigheten på x som är 40 km/h alltså är kravets första punkt uppfylld. Retardationskravet enligt tabell är bf = 0,43 m/s 2, så b = (2/3)0,43 0,10 = 0,186 m/s 2 och således 2b = 0,373 m/s 2. Insättning i formeln ger sr = ((40/3,6) 2 0 2 )/0,373 = 331 m. Eftersom skillnaden mellan bortflyttningsavstånden är 650 475 = 175 m, som är mindre än 331 m, är kravet inte uppfyllt. Situationen som kan uppstå är följande: Antag att ett tåg med retardationsförmåga 0,43 m/s 2 och bromstillsättningstid 10 s kör med mjuk övervakning och passerar signal 848 med hastigheten 59 km/h, och då ska ha förbeskedet 0P 650, men att 848S3 på grund av hårdvarufel inte drar. Då kommer 4A 475 att lämnas istället vilket gör att bromsarna kan komma att tillsättas 156 meter senare än vid korrekt förbesked. (Det kan finnas skäl till att detta är ofarligt, såsom exempelvis att de verkliga avstånden eller lutningarna avviker från de kodade. En säkerhetsgranskare kan fatta beslut om att man inte behöver uppfylla kravet.) c. Om förbeskedet 000 (vänta stopp med 10-övervakning) anges på y så måste det anges även på x. d. Om det finns ett positivt bortflyttningsavstånd angivet på x, och y:s målhastighet är mindre än x:s huvudhastighet, så måste det finnas ett minst lika stort bortflyttningsavstånd angivet på y.

Formell verifiering av CST-anläggningar: krav 1.0 8 (24) (sigplan-monotonicitet) En upptrappning i ATC-besked får inte orsakas i någon signal av att nästa signal trappar ner sitt ATC-besked. Närmare bestämt ställs kravet något strängare i form av att styrsignalerna måste följas åt: Om x och y är nivåer i en viss signal, förbundna längs samma väg (samma växellägen) med nivåerna x och y i nästa signal, och det gäller att a. y är ej märkt (Tkk u.k.), b. y är ej stopp, c. alla styrsignaler på x förekommer också på y, då måste alla styrsignaler på x förekomma även på y. Kommentar: Ibland är det motiverat med avsteg från denna princip. Då följer det inte av kraven att inga andra styrsignalreläer än dem som nämns på nivå y faktiskt drar där. Sådana avsteg kräver därför särskilda lösningar, exempelvis kontroll av växellägen, för att säkerställa att styrsignalkombinationerna blir korrekta. Alla sådana avsteg ska därför rapporteras som avvikelser vid formell verifiering och undersökas av säkerhetsgranskare. I största möjliga mån bör sådana avsteg undvikas eftersom de kommer att kräva en manuell utredning vid varje framtida ändring i närliggande område. (sigplan-tkk) Noten (Tkk u.k.) får inte användas på nivåer där ATChuvudbeskedet är högre än 40. (sigplan-huvudljusbesked) Tillåtna optiska signalbesked i huvudljussignal är K, K/K, K/40, K/S, 40, 40 3g och S men inga andra. (sigplan-huvuddvärgbesked) Tillåtna optiska signalbesked i huvuddvärgsignal är g(h), /g(h), g(v), /g(v) och S men inga andra. (sigplan-fsi40) Om optiskt besked K/40 är förbundet med optiskt besked i nästa huvudljussignal (varvid man bortser från eventuella mellanliggande huvuddvärgsignaler), ska detta vara 40 eller 40 3g (BVS 544.98011 [4] avsnitt 7.3.2). Anmärkning: Det pågår en diskussion om att ändra BVS så att K/40 tillåts även när nästa huvudljussignal lämnar mindre restriktiva körbesked. (sigplan-fsi80) Om optiskt besked K, K/K eller g(h) är förbundet med besked i nästa huvudsignal, ska detta vara något av följande: K, K/K, K/40, K/S eller g(h) (BVS 544.98011 [4] avsnitten 6.4 6.5). (sigplan-fsihdsivarsamhet) Om optiskt besked K/40 eller K/S är förbundet med besked i nästa huvudsignal, och denna är en huvuddvärgsignal, ska beskedet vara /g(h) (BVS 544.98011 [4] avsnitt 6.4). (sigplan-hdsi80varsamhet) Om optiskt besked /g(h) är förbundet med besked i nästa huvudsignal, och denna är en huvuddvärgsignal, ska beskedet vara /g(h) eller "g(h)" (BVS 544.98011 [4] avsnitt 6.5). (sigplan-hdsi40) Om optiskt besked g(v) är förbundet med besked i nästa huvudsignal ska detta vara något körbesked (ej S ) (BVS 544.98011 [4] avsnitt 6.5). (sigplan-fullst) Varje körbesked 40, 40 3g och /g(v) ska vara förbundet med minst en efterföljande huvudsignal, stoppbock eller slutpunkts-

Formell verifiering av CST-anläggningar: krav 1.0 9 (24) stopplykta. Övriga körbesked (ej S ) ska vara förbundna med minst en efterföljande huvudsignal och får inte vara förbundna med någon efterföljande stoppbock eller slutpunktsstopplykta (BVS 544.98011 [4] avsnitten 6.4 6.5). (sigplan-kompatibilitet-hsi) Optiskt besked i huvudsignal får vara "K", "K/K", "K/40", "K/S", "g(h)" eller "/g(h)" bara om ATC-huvudhastigheten i samma signal anges till 80 eller mer (BVS 544.98015 [6] avsnitten 6.7.1 & 6.7.3). (sigplan-kompatibilitet-fsi80) Optiskt besked i huvudsignal får vara "K", "K/K" eller "g(h)" bara om ATC-målhastigheten i samma signal anges till 80 eller mer, eller om målpunkten är P-bortflyttad (BVS 544.98015 [6] avsnitten 6.7.1 & 6.7.3). (sigplan-kompatibilitet-fsi40) Optiskt besked i huvudsignal får vara "K/40" eller "g(v)" bara om ATC-målhastigheten i samma signal anges till 40 eller mer, eller om målpunkten är P-bortflyttad (BVS 544.98015 [6] avsnitten 6.7.1 & 6.7.3). (sigplan-kompatibilitet-fsi00) Optiskt besked i huvudsignal får vara "K/S", "40 3g" eller "/g(v)" bara om ATC-förbeskedet i samma signal anges till "00" eller "000" (BVS 544.98015 [6] avsnitten 6.7.1 & 6.7.3). (sigplan-kompatibilitet-stopp) Optiskt besked i huvudsignal ska vara S om och endast om ATC-beskedet i samma signal anges till 00 eller 000 (BVS 544.98015 [6] avsnitten 6.7.1 & 6.7.3). (sigplan-atcförbesked) Förbesked måste vara tillräckligt restriktiva. Närmare bestämt krävs följande: a. Om en signal har beskedet 000 markerat på signaleringsplanen, ska 000 vara förbesked i den föregående signalen. b. Om en signal har beskedet 00 markerat på signaleringsplanen, ska 00 eller 000 vara förbesked i den föregående signalen. c. I övriga fall får den föregående signalens målhastighet inte överstiga den kommande huvudhastigheten. (Notera att detta krav är mycket svagt vid bortflyttad målpunkt, se också avsnitt 11, punkt 14.)

Formell verifiering av CST-anläggningar: krav 1.0 10 (24) 4 Förreglingskrav Formell verifiering av att kretsarna uppfyller förreglingskraven utförs med förreglingstabeller som underlag. Format och mening av dessa tabeller beskrivs i dokumentet Uttryck i förreglingstabeller [1]. Tabellerna beskriver vilka kombinationer av reläkontakter som skall vara slutna när en given reläspole är strömsatt. Utgångspunkten vid den formella verifieringen är att den exakta formuleringen i tabellerna ska vara uppfylld. I vissa fall kompletteras dock kraven med förutsättningar som inte är uttryckligen utskrivna i tabellerna. Närmare bestämt görs följande justeringar: För icke-remanenta reläer skall kraven vara uppfyllda vid alla tidpunkter. För remanenta reläer behöver de endast vara uppfyllda vid tillslag. Kraven för en reläspole behöver inte vara uppfyllda medan spolen kvarhålls av en kondensator. Upplåsningskraven för börjanpunkter av tågvägar ( tu) behöver inte vara uppfyllda när FNt i börjanpunkten är draget, vilket indikerar manuell upplåsning (dock finns vissa krav som alltid ställs, se Generiska krav, avsnitt 5). Vidare förutsätts för upplåsning på passage ( tup) att passagekontroll alltid görs i relä St. Vid verifieringen kontrolleras därför först att frontspolen för L uppfyller de gemensamma upplåsningskraven ( tug) samt att St är draget. Sedan kontrolleras passagekraven ( tup) för St separat: det får bara övergå från backläge till frontläge om kravet tup är uppfyllt. Upplåsningskraven för slutpunkter av tågvägar ( stu) ställs inte när något FNt är draget (egentligen borde bara FNt i börjanpunkten beaktas, se avsnitt 11, punkt 10), vilket indikerar manuell upplåsning (dock finns vissa krav som alltid ställs, se Generiska krav, avsnitt 5). Upplåsningskraven för börjanpunkter av växlingsvägar ( ru) ställs inte när FNt i börjanpunkten är draget, vilket indikerar manuell upplåsning (dock finns vissa krav som alltid ställs, se Generiska krav, avsnitt 5). Vidare förutsätts för upplåsning på passage ( rup) att passagekontroll alltid görs i relä St. Vid verifieringen kontrolleras därför först att frontspolen för Lr uppfyller de gemensamma upplåsningskraven ( rug) samt att St är draget. Sedan kontrolleras passagekraven ( rup) för St separat: det får bara övergå från backläge till frontläge om kravet rup är uppfyllt. Upplåsningskraven för slutpunkter av växlingsvägar ( sru) ställs inte när något FNt är draget (egentligen borde bara FNt i börjanpunkten beaktas, se avsnitt 11, punkt 10), vilket indikerar manuell upplåsning (dock finns vissa krav som alltid ställs, se Generiska krav, avsnitt 5). Kommentar: tidigare accepterades att St kunde dra av manuell upplåsning av växlingsväg (VLU). Detta undantag är avskaffat. Manuell upplåsning av växlingsväg ska numera ske via FNt och med 30 sekunders fördröjning.

Formell verifiering av CST-anläggningar: krav 1.0 11 (24) 5 Generiska krav De generiska kraven ställs med utgångspunkt från reläernas namn, utan att baseras på förreglingstabeller eller signaleringsplaner. (generiskt-abc) För att något av A, B, C, Förs, Gul ska få vara draget krävs att signalen är låst som börjanpunkt för tågväg (L eller RL finns och är i backläge) och att St är i backläge. (generiskt-h) För att ett H-relä ska få vara draget krävs att minst ett av Lr eller L finns och är i backläge samt att St är i backläge. Om Nt finns måste det vara i frontläge. Om FNt finns måste det vara i backläge. (generiskt-lsb) För att en tågväg ska få låsas (backspole L dra) krävs att följande är i frontläge (kravet ställs för de reläer som finns): StA, StB och StA/B. Dessutom måste Nt vara i frontläge och FNt vara i backläge. (generiskt-lsf) För att en tågväg ska få låsas upp (frontspole L dra) krävs att följande är i backläge (kravet ställs för de reläer som finns): StA, StB, StA/B, Ljg, Ljf, A, B, C, Förs, Gul och alla styrsignalreläer. Dessutom måste antingen FNt vara i frontläge (manuell upplåsning), eller både Ljr och St i frontläge (automatisk upplåsning). (generiskt-lrsf) För att en växlingsväg ska få låsas upp (frontspole Lr dra) krävs att antingen FNt (om det finns) är i frontläge eller H (som alltid ska finnas) är i backläge. Dessutom krävs, om signalen har L-relä, att även Tv finns och att både L och Tv är i frontläge. Om Svk finns så ska det vara i backläge. (generiskt-lrsb) För att en växlingsväg ska få låsas (backspole Lr dra) krävs följande: H ska finnas och vara i backläge St ska finnas och vara i backläge Nt ska, om det finns, vara i frontläge FNt ska, om det finns, vara i backläge. (generiskt-vssf) För att frontspolen för Vs-reläer ska få dra krävs att SSreläet för växelns rakläge (+) är i backläge. (generiskt-vssb) För att backspolen för Vs-reläer ska få dra krävs att SSreläet för växelns avvikande läge ( ) är i backläge. (generiskt-vms) I det ögonblick Vm drar måste antingen Lå eller Sk vara draget (beroende på vad som finns i anläggningen) och följande reläer måste vara i backläge om de finns: RLåKV-B I, RLåKV-B II, RLåKV-B III. Kommentar om punkterna VsSF, VsSB, VmS: dessa krav gäller inte alltid, men ska verifieras om de nämnda reläerna finns i kretsritningar som verifieras formellt.

Formell verifiering av CST-anläggningar: krav 1.0 12 (24) 6 ATC-krav Kraven som ställs på ATC är väsentligen att kretsritningarna följer signaleringsplanerna vad gäller ATC. Detta avsnitt preciserar innebörden i detta. Notera att kraven är formulerade i termer av när styrsignalreläerna får vara dragna, baserade på hur signaleringsplanerna är utformade. Det görs ingen formell verifiering av hur styrsignalreläerna faktiskt används i ATC-kodningen. Om exempelvis en nivå är L/40 S1 och nästa nivå är L/L S1,S2 så verifieras inte att ATC-beskedet verkligen kommer att falla från L/L till L/40 om S2 faller bort. En sådan verifiering skulle nämligen kräva information om hur styrsignalerna kopplas in i ATC-kodaren och sådan information ingår inte i underlaget till den formella verifieringen. Däremot verifieras att S2 faller om S1 falller, för placeringen av S2 till höger om S1 innebär ett sådant krav (om det inte finns andra nivåer där S2 förekommer utan att ha S1 till vänster om sig). 6.1 Kravens formulering Följande figur kommer att användas för att exemplifiera kraven. Figur 2. Utdrag ur signaleringsplan 2580-041_004 för Södertälje. (atc-ljg) Styrsignalrelä som förekommer längst till vänster på någon nivå får bara vara draget om Ljg för samma signal är draget. Kommentar: Indirekt följer av kravet atc-seqatc att motsvarande krav gäller alla styrsignalreläer. Exempel: kravet blir i Figur 2 att 335S2 i signal 335 bara får vara draget om Ljg335 är draget, och att 111S2 i 111 bara får vara draget om Ljg111 är draget. Indirekt följer av kravet atc-seqatc att även 111S3, 111S4, 111S5 kräver Ljg111. (atc-abc) Styrsignalreläerna i en signal får bara vara dragna om något signalrelä i signalen (A, B eller C, beroende på vilka yttre körbesked som förekommer enligt signaleringsplanen) är draget. (atc-tkk) Om det finns en eller flera växlar i tågvägen gäller följande krav: om ATC signalerar för högre fart än 40 km/h måste Svk-relä finnas och styrsignalreläer som bara förekommer på sådana nivåer får bara dra om Svk är draget.

Formell verifiering av CST-anläggningar: krav 1.0 13 (24) Kommentar: Notera att ATC-förbeskedet inte beaktas, även om det är högre än huvudbeskedet. Formell verifiering upptäcker inte om Svk behövs på grund av signalhöjande punkter före växel i vägen. Exempel: se Figur 2. Eftersom inget ATC-huvudbesked i 335 är högre än 40 ställs inga krav på Svk-kontroll (den utpekade höjningen till L ignoreras). För signal 111 ställs däremot krav på Svk för samtliga styrsignalreläer eftersom de bara används för hastigheter över 40 km/h över växel. Noten (Tkk u.k.), som anger att en nivå är avsedd att användas bara när tungkontrollkontakterna är ur kontroll, ignoreras vid formell verifiering. Istället används hastighetsbeskeden för att avgöra om Svk-reläet ska kontrolleras. (atc-seqatc) Styrsignalreläerna får bara dra i den ordning de anges på signaleringsplanen. Mer precist gäller följande: om ett visst styrsignalrelä förekommer på någon linje intill en huvudsignal på signaleringsplanen, så ställs följande krav på det: det får endast vara draget under förutsättning att alla styrsignalreläer som förekommer till vänster om det på linjen är dragna. I de fall då samma styrsignalrelä nämns på flera olika linjer ställs kravet som en disjunktion av motsvarande krav för varje rad. Exempel: se Figur 2, signal 111. Styrsignalrelä S2 förekommer längst till vänster på raderna och har därför inga krav på att något annat relä ska dra före (däremot på att Ljg är draget, se kravet atc-ljg). S3 får dock bara vara draget om S2 är draget. På samma sätt får S4 bara vara draget om S2 är draget. S5 får bara vara draget om både S2 och S4 är dragna. (atc-vxl) Styrsignalreläerna får bara vara dragna om de kombinationer av styrsignalreläer som anges på signaleringsplanen för nästa huvudsignal är dragna. Mer precist gäller följande: motväxlarna måste ligga i korrekt läge för färd mot någon huvudsignal som det finns linjer till från den nivå där reläet förekommer, och de styrsignaler som nämns på motsvarande nivå i målsignalen (enligt signaleringsplanens linjer) måste vara dragna. Om det finns flera motsvarande nivåer i målsignalen så ställs kravet som en disjunktion av dessa. Om det vid målsignalen inte nämns något styrsignalrelä på motsvarande nivå, trots att ett körbesked lämnas på den nivån, så krävs istället Ljg i den signalen, och även Svk om nivån i fråga innebär ATC-huvudbesked över 40 km/h över någon växel. Exempel 1: I Figur 2 krävs av S2 i 335 att motväxlar ligger för färd mot någon målsignal och, om den är 111, att i denna någon av följande kombinationer är dragna: S2 eller S2,S3 eller S2,S4 eller S2,S4,S5. I praktiken innebär detta alltså endast ett krav på att 111S2 är draget, eftersom detta relä förekommer ensamt på en nivå och samtidigt förekommer som del av alla andra nivåer som är förbundna med högsta nivån i 335. Exempel 2: I Figur 3 krävs av S7 i 138 att motväxlar ligger mot 172 (eftersom samtliga linjer från S7 går mot 172). Dessutom krävs att antingen Ljg eller någon av reläkombinationerna på de översta fem nivåerna i 172 är dragna. Indirekt innebär detta att kravet enklare kan formuleras som att Ljg172 måste vara draget, eftersom styrsignalreläerna i 172 i sin tur bara får

Formell verifiering av CST-anläggningar: krav 1.0 14 (24) vara dragna om Ljg är draget. Om det hade funnits en växel efter 172 (vilket det inte gör i detta fall) så hade det krävts att Svk172 vore draget. Figur 3. Utdrag ur signaleringsplan 2580-040_001 för Södertälje. 6.2 Styrsignalreläer mot utvalda målsignaler Ibland används vissa styrsignalreläer endast mot vissa signaler. För att exempelvis säga mot signal 183: styrsignal S3, används uttryckssättet (183:S3) på signaleringsplanen. Detta tolkas på följande sätt: nivån i fråga tolkas i själva verket som två nivåer, med identiska körbesked, en med S3 och en utan S3. Nivån med S3 används då vid signalering mot (och eventuellt förbi) 183 och den utan S3 används i alla andra fall. Det är också möjligt att skriva en lista av signaler före kolonet och en lista av styrsignaler efter kolonet. I dessa fall tolkas uttrycket som att mot alla de listade signalerna ska alla de listade styrsignalreläerna användas. Med andra ord kan (133,135:S2,S6) ekvivalent uttryckas som uppdelad i flera parenteser: (133:S2),(133:S6),(135:S2),(135:S6). När en nivå innehåller flera olika parenteser som specificerar styrsignaler mot olika signaler, exempelvis (183:S3), (139:S4) (som betyder att mot 183 ska S3 användas men mot 139 ska S4 användas) tolkas nivån genom att den delas upp i tre olika nivåer: en mot 183, en mot 139 och en som används i alla andra fall. Om det inte finns några andra fall än dem som nämnts explicit hoppas den sistnämnda nivån dock över. Exempel: I Figur 4 visas hur styrsignalrelä S3 i 139 bara används vid färd mot N241 och U271. Figur 4. Utdrag ur signaleringsplan 2580-041-007 för Södertälje Följande tabell visar hur detta tolkas genom att den översta nivån delas upp i tre nivåer, som motsvarar rörelse mot N241, rörelse mot U271 och övrig rörelse.

Formell verifiering av CST-anläggningar: krav 1.0 15 (24) Nivå i 139 Styrsignaler i 139 Nivå(er) i 253 Krävs i 253 5_N241 S2,S3,S4 3 S2,S3,S4 5_U271 S2,S3,S4 3 S2,S3,S4 5_ S2,S4 4 S5 4 S2,S3 2 S2,S3 3 S2 1_N241, 1_U271, 1_ Ljg eller S2 2 S2 0-1 - 0, 1_N241, 1_U271, 1_, 2, 3, 4-0 - - Notera att nivåerna 5_N241 och 5_U271 i 139 motsvarar nivå 3 i 253, medan nivå 5_ i 139 motsvarar nivå 4 i 253. Detta framgår inte av Figur 4 i sig men om man följer linjerna på signaleringsplanerna ser man att nivå 3 i 253 går mot N241 och U271, medan nivå 4 i 253 går mot övriga signaler (som i detta fall i själva verket består av endast L273). I fallet som behandlats ovan blir alltså atc-kraven följande: (atc-ljg) 139S2 får bara vara draget om Ljg139 är draget. (atc-abc) Styrsignalreläerna i 139 får bara vara dragna om något signalrelä (i detta fall A eller B) i 139 är draget. (atc-tkk) Styrsignalreläerna i 139 får bara vara dragna om Svk139 är draget (styrsignalreläer används här bara på nivåer med huvudbesked över 40 km/h). (atc-seqatc) 139S3 får bara vara draget om 139S2 är det. Samma krav gäller för 139S4. (atc-vxl) 139S3 får bara vara draget om 253S2 och 253S3 är dragna; 139S4 får bara vara draget om 253S5 är draget, alternativt kombinationen S2,S3,S4 i 253. Sammantaget (direkt och indirekt) finns alltså följande krav på 139S4: Det får bara vara draget om följande reläer är dragna: Ljg139, Svk139, 139S2, Ljg253, Svk253, samt antingen 253S5 eller kombinationen S2,S3,S4 i 253. Det förekommer att signaleringsplanerna förses med noter som förklarar hur styrsignalreläer används mot olika målsignaler. Sådana noter ignoreras vid formell verifiering, istället används uppgifterna inom parantes som underlag. Överensstämmelsen mellan dessa båda angivelser bör därför granskas av säkerhetsgranskaren.

Formell verifiering av CST-anläggningar: krav 1.0 16 (24) 6.3 Alternativa styrsignalkombinationer Ibland används ett snedstreck för att ange att det finns flera alternativa styrsignalkombinationer för en viss nivå, exempelvis: S1,S2,S3/S1,S4,S5, vilket innebär att nivån motsvaras av endera av kombinationerna S1,S2,S3 respektive S1,S4,S5. Det kan finnas flera snedstreck, som därmed anger fler än två alternativ. Detta avsnitt anger innebörden i sådana snedstreck. Det antas att inga parenteser används på nivån. Om sådana faktiskt förekommer ska de först arbetas bort enligt föregående avsnitt. Att en nivå innehåller två eller flera alternativa kombinationer av styrsignalreläer separerade med snedstreck innebär att den tolkas som två eller flera nivåer: en för varje alternativ. Kopplingarna med linjer till nästa signal från den ursprungliga nivån övertas vid en sådan uppdelning av de nya nivåerna. Dock innebär snedstrecknotationen en begränsning i hur detta övertagande görs: det är inte nödvändigtvis så att alla kopplingar övertas av alla alternativ. Om så vore fallet skulle det motsvara att det rådde ett fritt val mellan de olika alternativen, men syftet med snedstrecket är att förmedla att man får göra ett val mellan kombinationerna så länge man inte bryter mot några andra krav på signalen. Mer precist är det kravet (sigplan-monotonicitet) i avsnitt 3 som ska göras uppfyllt, på följande sätt. Antag att i signal A ett visst alternativ y (som nu ska bli en egen nivå genom uppdelning) är förbundet med nivån (eller alternativet) y i nästa signal B. Då ska kopplingen övertas av y när det blir en egen nivå om och endast om det följande villkoret är uppfyllt: För varje nivå (eller alternativ) x i A, och varje nivå x (eller alternativ) i B, som är sådan att x är förbunden med x och varje styrsignal på x är styrsignal på y, så är varje styrsignal på x också styrsignal på y. Om signaleringsplanen är rimligt utformad leder ovanstående uppdelningsmetod till att varje koppling till en nivå i nästa signal övertas av minst en av de nya nivåerna och omvänt att varje ny nivå övertar minst en av kopplingarna (annars regleras fall som inte kan uppkomma). I uppdelningsprocessen ska det därför kontrolleras att detta blir effekten.

Formell verifiering av CST-anläggningar: krav 1.0 17 (24) 7 Krav på huvudsignaler Som underlag för formell verifiering av yttre signalering i huvudsignaler används signaleringsplanerna. Krav på huvudsignaler gäller: Huvudljussignaler, inklusive eventuella försignalbesked. Huvuddvärgsignaler med avseende på deras huvudsignalfunktion. Notera att den skillnad som finns i signaleringsprinciper mellan huvudljussignaler och huvuddvärgsignaler inte syns i kravformuleringen, eftersom signaleringsplanernas utformning förväntas avspegla denna skillnad. (Se dock avsnitt 11, punkterna 5, 6, 7 och 8). Kraven som ställs formuleras i termer av reläer, med utgångspunkt från deras namn. Krav på försignalering ställs alltså på Förs och Gul, och krav på huvudsignalbesked ställs på A, B och C. (sig-sig) A, B, C, Förs och Gul-reläer får bara vara dragna om signalen är låst som börjanpunkt för tågväg (L i back) och förreglingstabellens krav ts är uppfyllda. (sig-tkk) A-relä får bara vara draget om Svk för samma signal är draget. Detta krav ställs bara när det förekommer växlar i tågvägen. (sig-vxl) Körbesked och försignalbesked i en signal får bara lämnas om motväxlar ligger kontrollerade för rörelse mot en huvudsignal och motsvarande nivå(er) där enligt signaleringsplanens linjer är i överensstämmelse med de optiska huvudsignalbeskeden som faktiskt lämnas. Om flera nivåer finns ställs kravet som en disjunktion av motsvarande krav. Följande översättningar används från signaleringsplanens yttre signalbesked till reläkombinationer: Yttre signalbesked K/K Relämotsvarighet A och Förs K/40 A och Gul Kommentar: I vissa anläggningar används andra reläkombinationer. Verifiering kräver då en särskild anpassning av kraven. K/S K A A 40 B 40 3g C g(h) /g(h) A och Förs A

Formell verifiering av CST-anläggningar: krav 1.0 18 (24) Yttre signalbesked g(v) /g(v) Relämotsvarighet B och Förs B Om nästa signal ska lämna ett körbesked enligt signaleringsplanen krävs också att Ljg är draget där. Kraven ställs per relä, och endast i termer av nästföljande huvudsignals reläer A, B, C och Ljg (däremot beaktas inte Förs och Gul i nästföljande signal). Detta medför vissa begränsningar i kravställningen (se avsnitt 11, punkterna 5, 6, 7, 8). Exempel 1: Se Figur 3. A138 får bara vara draget när motväxeln ligger för rörelse mot 172 och såväl A172 som Ljg172 är dragna. I Figur 4 finns inget sådant krav på A139, eftersom det inte finns någon motväxel före 253 och inget körbesked krävs där (däremot finns ett krav på att Svk139 måste vara draget). Kravet på Förs139 blir: det får bara vara draget om A253 och Ljg253 är dragna. Exempel 2: Se Figur 5. A122 får bara vara draget om motväxlar ligger för färd mot 128 och både A128 och Ljg128 är dragna. Förs122 får bara vara draget om motväxlar ligger för färd mot 128 och både A128 och Ljg128 är dragna (detta är egentligen inte tillräckligt, se avsnitt 11, punkt 6). Figur 5. Utdrag ur signaleringsplan 2580-040_006 för Södertälje (sig-sta) Krav på nedtrappningsspärr. Om inte växellägen förhindrar att en signal faller från A till B får B endast vara draget om StA är draget. Om inte växellägen förhindrar att en signal faller från A till C får C endast vara draget om StA eller StA/B är draget. Om inte växellägen förhindrar att en signal faller från B till C får C endast vara draget om StB eller StA/B är draget.

Formell verifiering av CST-anläggningar: krav 1.0 19 (24) 8 Krav på dvärgsignaler Dvärgsignaler verifieras inte utöver vad som anges i avsnitten 3 och 5, som dock inkluderar det mesta man vill kontrollera för dvärgsignaler. Exempelvis ingår i förreglingstabellen villkor för när man får signalera rörelse tillåten (funktion rsv, motsvarande H-relä) och när man dessutom får signalera hinderfrihet (funktion rsl, motsvarande D-relä). Bland de generiska kraven ställs också ett villkor på att H-relä bara får vara draget när rörelseväg är låst. Tillsammans garanterar detta att det mesta av dvärgsignalernas funktion är korrekt, förutsatt att förreglingstabellerna är korrekta och att lampkretsarna är korrekt kopplade till H- och D-reläerna.

Formell verifiering av CST-anläggningar: krav 1.0 20 (24) 9 Krav på försignaler Försignaler som är inbyggda i huvudljussignaler verifieras enligt avsnitt 7. Fristående försignaler har inte förekommit hittills i CST-anläggningar som verifierats formellt, så krav på sådana har inte tagits fram. Eftersom växlar inte får förekomma mellan en fristående försignal och påföljande huvudljussignal torde logiken dock vara så självklar i dessa fall att ingen formell verifiering behövs.

Formell verifiering av CST-anläggningar: krav 1.0 21 (24) 10 Strömsättningskrav Verifiering sker av att alla reläer vars spolar ingår i underlaget kan både dra och falla. Närmare bestämt ställs krav på att följande gäller för varje sådant relä (såväl remanent som icke-remanent): reläet kan vara i frontläge, reläet kan vara i backläge, reläet kan gå från backläge till frontläge, reläet kan gå från frontläge till backläge.

Formell verifiering av CST-anläggningar: krav 1.0 22 (24) 11 Krav som inte verifieras Detta avsnitt innehåller ett urval av krav som för närvarande inte kontrolleras med formell verifiering. Dessa krav kan komma att ingå i framtida verifieringsprojekt. 1. Förreglingstabellerna används endast som underlag och är i sig inte föremål för kontroll, bortsett från smärre formatkontroller. 2. Repeterförsignaler (Rfsi ATC) verifieras inte. Kommentar: Rfsi med egna styrsignalreläer borde egentligen verifieras. Tekniskt sett är detta förmodligen inte problematiskt. Troligen kan redan etablerade metoder användas, men en granskning av dessa skulle behöva göras först. 3. Krav på kontroll av tkk ställs endast genom krav på att Svk måste kontrolleras, men inga krav ställs på Svk i sin tur. Med andra ord verifieras inte att korrekta kontroller av tungkontrollkontakter görs för rätt växlar. 4. Krav på nedtrappningsspärr ställs som krav på att StA, StB, eller StA/B måste kontrolleras, men inga krav ställs på dessa reläer i sin tur. 5. För relä Gul (som bara förekommer i huvudljussignaler) som signalerar för rörelse mot huvuddvärgsignal gäller egentligen (se Yttre signalering: Grundläggande signaleringskrav [4] avsnitt 7.3.2) att det bara får vara draget om nästkommande huvudljussignal i vägen har draget Ljg-relä. Detta verifieras för närvarande inte. Kommentar: signalbeskedet K/40 är på korrekta signaleringsplaner alltid förbundet med körbesked i nästa huvudljussignal. Mellanliggande huvuddvärgsignalers besked är alltid /g(h) eller "g(h)". Nuvarande kravställning blir därmed att Gul bara får vara draget om A och Ljg är dragna i första huvuddvärgsignalen. Detta i sig utesluter inte att nästföljande huvudljussignal lämnar stopp, vilket inte är tillåtet. 6. För relä Förs i huvudljussignal gäller, om nästa huvudsignal är en huvuddvärgsignal, att det bara får vara draget om huvuddvärgsignalens Försrelä är draget. Detta verifieras för närvarande inte. Kommentar: signalbeskedet K/K är på korrekta signaleringsplaner alltid förbundet med K i nästa huvudljussignal (eventuellt kombinerat med något försignalbesked). Mellanliggande huvuddvärgsignalers besked är alltid kör 80 ( g(h) ). Nuvarande kravställning blir därmed att Förs bara får vara draget om A är draget i första huvuddvärgsignalen. Det innebär bara att man kan dra slutsatsen att något av beskeden kör 80 och kör 80, varsamhet lämnas. Det går därav inte att dra någon slutsats om signalbeskedet i nästföljande huvudljussignal. 7. För relä Förs i huvuddvärgsignal gäller följande om nästa huvudsignal är en huvuddvärgsignal: det får vara draget samtidigt som A endast om Förs är draget även i den andra huvuddvärgsignalen. Kommentar: att Förs är draget innebär att något av beskeden kör 80 eller kör 40 lämnas ( g(h) eller g(v) ). Signalbeskedet g(h) är på korrekta signaleringsplaner alltid förbundet med K i nästa huvudljussignal (eventuellt kombinerat med något försignalbesked). Mellanliggande huvuddvärgsignalers besked är alltid kör 80 ( g(h) ). Signal-

Formell verifiering av CST-anläggningar: krav 1.0 23 (24) beskedet g(v) är alltid förbundet med något körbesked i nästa huvuddvärgsignal. Nuvarande krav på Förs blir därmed endast att Ljg samt antingen A eller B måste vara draget i nästa huvuddvärgsignal. På grund av de krav som ställs på A följer att kombinationen Förs och A bara får användas om nästa huvuddvärgsignal har Ljg och A dragna. Av detta följer att den lämnar körbeskedet kör 80 eller kör 80, varsamhet, men för att utesluta det senare fallet behöver man kontrollera att även Förs är draget. 8. För huvudljussignal, som inte har inbyggd försignalering och vars nästa huvudsignal är en huvuddvärgsignal, gäller att A bara får vara draget om Förs är draget i nästa signal (nämnda huvuddvärgsignal). Detta verifieras för närvarande inte. Kommentar: situationen är som i fallet K/K (punkt 6). 9. När anläggningar innehåller icke ATC-utrustade signaler, eller gränsar till anläggningar som använder andra principer för ATC, kan normala krav inte ställas för de huvudsignaler som reglerar trafik mot sådana områden. 10. Vid upplåsning av slutpunkter upphävs egentligen förreglingskraven stu respektive sru endast om FNt är draget i startpunkten. För närvarande upphävs förreglingskraven stu och sru så fort vilket som helst FNt-relä i anläggningen är draget, oavsett var (det görs ingen analys av var startpunkten är). 11. Formell verifiering är inte lämplig för att upptäcka om någon kontroll görs på fel ställe i en krets. Formell verifiering har bara krav på att vissa reläkombinationer kontrolleras, inte på hur eller var det görs. 12. Krav på NT-reläer finns för närvarande inte utöver vad som anges i förreglingstabellerna. Följande krav bör införas på sikt: För att backspolen på ett Lr-relä ska få dra krävs att NT-reläer för alla växlar som kontrolleras i rg är i backläge. För att backspolen på ett L-relä med eget H-relä (H finns men inte Lr) ska få dra krävs att NT-reläer för alla växlar som kontrolleras i tg är i backläge. För att frontspolen på ett Lr-relä (resp. L-relä om Lr inte finns men däremot H) ska få dra vid normal passageupplåsning krävs att NTreläer för alla växlar som kontrolleras i rg (resp. tg) är fallna. 13. Vid tågvägslåsning bör följande kontrolleras, vilket idag inte täcks av formell verifiering: Om Lr finns: H ska vara i front Om Lr inte finns men H finns: H ska vara i back 14. Krav på signaleringsplaner som inte verifieras: ATC-besked måste vara valda bland dem som är tillgängliga enligt BVH 544.30008 [3] s. 9. Vänta stopp med bortflyttad målpunkt (/0P) får inte användas i fall när inte vänta 40 (/40) är säkert (hårdvarufel i balis kan leda till att vänta 40 lämnas istället). Optiska besked ska uppfylla avståndskraven i BVS 544.98011 [4]. Om signalbesked 40 3g är förbundet med besked i nästa huvudsignal måste detta vara antingen /g(v) eller S. (Detta är en icke säker-

Formell verifiering av CST-anläggningar: krav 1.0 24 (24) hetskritisk huvudprincip från vilken avsteg kan vara motiverade vid tät signalplacering. Det är därför inte klart att denna punkt bör verifieras formellt.) ATC-förbesked måste lämnas på tillräckligt avstånd enligt BVS 544.98007 [5]. ATC-förbesked får inte vara för höga jämfört med besked som lämnas vid nästa huvudsignal. (En del av detta verifieras men inte allt, och exakt vad detta innebär återstår att reda ut.) Bortflyttningsavstånd får inte vara för stora. Vid större lutning före målpunkten än vad som anges i förbeskedet måste bortflyttningsavståndet minskas tillräckligt som kompensation. ATC-besked i repeterförsignal ska överensstämma antingen med föregående huvudsignals förbesked eller med beskedet i nästa huvudsignal. (Exakt vad detta innebär återstår att reda ut.) Om föregående huvudsignal har lämnat förbesked med bortflyttning ska även rfsi lämna förbesked med P-bortflyttning ( -/22P kan användas om nästa signal lämnar "L/L"). Kommentar: normalt upprepar man tidigare lämnat förbesked men man kan också höja beskedet om det stämmer bättre med beskedet som nästa signal lämnar.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss