IL SISTEMA STES.

La sensazione di sentirsi al sicuro è fondamentale quando si viaggia. Il sistema STES nasce per contrastare il pericolo della tensione di alimentazione della linea di contatto in caso di incendio.

Infatti, i pericoli per i passeggeri e i servizi di emergenza non provengono solo dalle fiamme o dal fumo, ma anche dalla tensione di alimentazione della linea di contatto.

Cos’è una linea di contatto? È un sistema aereo utilizzato per trasmettere l’energia elettrica, anche a distanza dai punti di generazione elettrica (Figura 1). È fondamentale, quindi, un’evacuazione rapida e che l’operatore del servizio ferroviario assicuri che la linea di contatto sia sezionata. Cosa vuol dire? Che viene fatta una disalimentazione della linea di contatto in galleria, ma mantenendo l’alimentazione ai treni che seguono o precedono quello incidentato. Questo processo consente la movimentazione e la messa a terra prima che i servizi di emergenza entrino nel tunnel.

Il sistema STES (Sistema di sezionamento e messa a terra Trazione Elettrica per la Sicurezza in galleria) permette la gestione in sicurezza della messa a terra [1] della linea di contatto in galleria. Questo sistema consente di controllare – da remoto o tramite quadro operativo in loco – la messa a terra dell’intera galleria per agevolare gli operatori di soccorso nelle operazioni necessarie.

La messa a terra consiste in una serie di accorgimenti atti ad assicurare alle masse metalliche il potenziale della terra, evitando che le stesse possano venire a trovarsi in tensione tra loro o rispetto alla terra.

Il sistema STES è composto da alcune sotto-unità, il loro numero dipende anche dalla lunghezza e dalla larghezza della galleria. L’obiettivo è garantire i più elevati livelli di SIL (Safety Integrity Level, livello di integrità di sicurezza): SIL4 [2].

Con questo sistema, il personale di emergenza che arriva all’imbocco della galleria può operare – su un quadro di soccorso dedicato – la messa in sicurezza di tutte le linee di Trazione Elettrica (o linee di contatto) e il blocco di tutte le manovre della strumentazione coinvolta nella messa in sicurezza. Inoltre, è possibile gestire da remoto tutte le situazioni di emergenza e, grazie al sezionamento della linea, garantire la manovra dei treni in galleria e permetterne l’uscita in caso di incendio o incidente.

CONFIGURARE IL SISTEMA.

Ognuna delle sotto-unità che compongono l’architettura del sistema ha bisogno di essere configurata. Qui entra in campo il team di NIER, che ha realizzato due applicazioni che permettono di realizzare, verificare e rilasciare, una configurazione certificata per poter fare l’upload sulla specifica unità.

I primi due step, creazione e verifica, vengono portati a termine con il configuratore. L’abbiamo progettato e sviluppato internamente in NIER per un cliente. Il configuratore è capace di generare automaticamente i dati della specifica configurazione e di seguire queste fasi:

1. Progettazione della configurazione
2. Verifica e validazione della configurazione.

Le due fasi sono svolte con lo stesso strumento Software: un configuratore con interfaccia semplice e intuitiva. Questo strumento permette all’operatore “Configuratore” di inserire i parametri in modalità assistita, passo dopo passo, permettendo la navigazione tra le pagine del progetto per modificare i parametri inseriti in precedenza. Il Software giuda l’operatore nella finalizzazione coerente della configurazione. Quando le operazioni sono completate, l’operatore “Validatore” ha il compito di verificare tutti i parametri inseriti da quello “Configuratore” e di validare o meno la configurazione realizzata, certificandola. Anche per questo secondo profilo “Validatore” il software mette a disposizione un processo di validazione che guida l’operatore step by step nel suo processo di verifica e validazione.

Nella Figura 2 ti mostriamo uno degli step per la creazione della configurazione. In particolare, viene mostrato il passaggio di configurazione dei parametri delle singole unità, rappresentate dalle relative icone, e un loro possibile posizionamento all’interno della galleria. All’icona viene assegnato un badge verde solo quando tutti i parametri dell’unità sono popolati correttamente. Allo stesso modo, quando tutte le unità sono completamente e coerentemente configurate, il tool permette il completamento della configurazione.

Quando la validazione viene terminata con successo, la configurazione può essere caricata all’interno delle varie sotto-unità per la messa in campo del sistema di sicurezza STES. Il caricamento della configurazione all’interno della specifica unità viene fatto da un terzo operatore con una differente applicazione software. Questa applicazione, realizzata dal team NIER a valle del configuratore, si collega in modo puntuale alle singole unità e permette di:

• Visualizzare lo stato dell’unità
• Raccogliere dati di diagnostica
• Ottenere informazioni di configurazione
• Aggiornare una configurazione esistente in modo parziale
• Sovrascrivere la configurazione attualmente presente.

In Figura 3 è mostrato un esempio di diagnostica rilevata in tempo reale da una delle unità del sistema, evidenziando in rosso le eventuali problematiche e tenendo sempre in evidenza il simbolo di vitalità del tool e della connessione. Il simbolo di vitalità è composto da cerchi di colore rosso-verde-blu che ruotano ogni secondo e questo implica che il Software è correttamente in ascolto continuo della unità a cui è connesso: questo “Test di Vitalità” continuo è molto importante perché l’operatore così ha la certezza che i dati che il software di monitoraggio espone sono sempre freschi e attendibili.

DESIGN E SVILUPPO.

A seguito di una prima fase di design e progettazione, il gruppo di lavoro di NIER ha iniziato lo sviluppo sfruttando le seguenti tecnologie:

• Microsoft Azure DevOps, strumento utile per organizzare la pianificazione del progetto, con elevata granularità, per assegnare specifici task ai singoli sviluppatori del team, controllare l’avanzamento del progetto, revisionare il codice, estrapolare metriche e statistiche
• Microsoft Visual Studio, ambiente di sviluppo software con interfaccia per linguaggio di programmazione C#
• SQLite, gestore di database leggero e veloce, portatile e perfettamente integrabile all’interno dell’applicazione

Dopo una prima fase di analisi, il team NIER ha individuato i principali linguaggi di programmazione per i progetti: C e C#. Si è reso necessario selezionare due linguaggi di programmazione per far fronte al vincolo di Software Diversity, legato al livello di sicurezza SIL4. Questo vincolo impone, tra le possibili contromisure, l’utilizzo di due linguaggi indipendenti per ridurre al minimo le possibilità di eventuali problemi del singolo linguaggio, così da fornire all’utente e al sistema un output sicuro.

Per l’applicazione Configuratore, tramite il linguaggio C, abbiamo realizzato alcune librerie importate dal tool stesso. Per quello di diagnostica e caricamento, la configurazione è stata realizzata con la libreria che permette la comunicazione a basso livello tra applicazione e unità, oltre che la macchina a stati che garantisce il corretto comportamento del tool a seguito di variazioni nello stato dell’unità target.

Il linguaggio C# è stato utilizzato, invece, per la realizzazione dell’interfaccia grafica (.NET Framework e WPF) e della logica di interazione utente-applicazione.

Come metodologia di sviluppo il Team NIER si è ispirato a quella AGILE, realizzata da sprint di sviluppo di dimensioni ridotte, dove il task sviluppato viene verificato e mostrato al cliente che fornisce un feedback e permette al Team di implementare le eventuali modifiche, cambiare la pianificazione e riprendere gli sviluppi. Questo metodo aiuta a raggiungere l’obiettivo di fornire il prodotto nei tempi stabiliti dal cliente.

Il settore ferroviario, visto che è parte di quei settori fortemente normati, non può utilizzare a pieno questa metodologia che mira a rilasci veloci e fluidi, in quanto la rigorosità funzionale (in sicurezza) dei tools richiesti ha la massima la priorità rispetto alla “velocity” di rilascio. Cosa ha fatto il Team NIER per superare questa difficoltà? Ha modificato la periodicità degli incontri con il cliente, portandola a una cadenza tendenzialmente mensile e non per sprint, con un’esecuzione di test informali a verifica del “primo” comportamento del software. La campagna di test ufficiali massivi per indagare su ogni aspetto e comportamento del Software le abbiamo portate avanti successivamente con un nostro Team interno dedicato a questa attività (necessaria per la validazione di un tool classificato come T3[3] secondo la normativa CENELC EN-50128). Il tutto con l’obiettivo di fornire il prodotto richiesto dal cliente all’interno dei tempi preventivati.

[1] La messa a terra consiste in una serie di accorgimenti atti ad assicurare alle masse metalliche il potenziale della terra, evitando che le stesse possano venire a trovarsi in tensione tra loro o rispetto alla terra.

[2] Descritta all’interno delle normative CENELEC EN50128 e EN50129.