Felles elektro/Prosjektering og bygging/Driftskontrollsystemer for elektriske forsyningsanlegg

x

1 Hensikt og omfang

Driftskontrollsystemer er prosesskontroll, og prosessen som skal kontrolleres er de elektriske forsyningsanleggene. Hensikten med kapittelet er å stille nødvendige og tilstrekkelige krav for å overvåke og styre de elektriske forsyningsanleggene til tog og infrastruktur på en effektiv og sikker måte.

Felles krav for driftskontrollsystemer for alle typer elektriske forsyningsanlegg er gitt i dette kapittelet. Kravene til driftskontrollsystemer gjelder både fjernkontroll og lokalkontroll med mindre annet er spesifisert. Spesielle krav tilhørende hver type forsyningsanlegg er gitt i respektive kapitler. Kapittelet omfatter også sambandet som benyttes av drifskontrollsystemene.

Rammene for regelverkskapittelet er nærmere oppsummert fra underlagsrapporten (EH-024636-000) i avsnittene under.

Generell styring, regulering og overvåking (SRO) av Bane NORs øvrige tekniske anlegg (prosesser) er ikke omfattet av dette kapittelet. I den grad driftskontrollsystemer for elektriske forsyningsanlegg etter risikovurdering benyttes til håndtering av generelle SRO-signaler, gjelder kravene i dette kapittelet og signalene utveksles gjennom spesifisert grensesnitt.

1.1 Konsept

Driftskontrollkonseptet er at de elektriske forsyningsanleggene fjernkontrolleres fra en døgnbemannet sentral og lokalkontrolleres stedlig om nødvendig ved vedlikehold og ekstraordinære situasjoner. Lokalkontrollanleggene er i slike situasjoner selvstendige og ikke avhengig av fjernkontroll.

1.2 Systemdefinisjon

1.2.1 Juridiske rammer

Driftskontrollsystemer er omfattet av følgende juridiske rammer:

  • forskrift om elektriske forsyningsanlegg (fef)
  • forskrift om sikkerhet ved arbeid i og drift av elektriske anlegg (fse)
  • forskrift om sikkerhet og beredskap i kraftforsyningen (kraftberedskapsforskriften, kbf) for forsyningsanlegg der Bane NOR ikke selv er eneste sluttbruker
  • forskrift om nasjonale tekniske krav m.m. for jernbaneinfrastruktur på det nasjonale jernbanenettet (jernbaneinfrastrukturforskriften)
  • forskrift om sikring på jernbane (sikringsforskriften)
Forskriftene gjelder uavhengig av dette regelverkskapittelet. Kapittelet gjentar ikke alle krav i forskriftene med veiledning. fse angir operative barrierer for å ivareta personsikkerheten ved arbeid i og ved elektriske anlegg. Driftskontrollsystemer understøtter disse barrierene.

1.2.2 Definisjoner

  • Prosesskontrollsystemer er systemer som benyttes til å kontrollere fysiske prosesser.
  • Kontroll består av overvåking og styring. Eventuell regulering inngår som en del av styring, og styring dekker også betjening.
  • Lokalkontroll er kontroll fra et sted på eller nært til den kontrollerte anleggsdelen (basert på IEV 441-16-06).
  • Fjernkontroll er kontroll fra et sted fjernt fra den kontrollerte anleggsdelen (basert på IEV 441-16-07).
  • Manuell styring er styring av en operasjon ved menneskelig inngrep (IEV 441-16-04).
  • Automatisk styring er styring av en operasjon uten menneskelig inngrep som svar på forhåndsdefinerte betingelser (IEV 441-16-05).
  • Driftskontroll er kontroll og beskyttelse av anlegg i kraftforsyningen, både lokalt og fjernt (basert på kbf).
  • Driftskontrollfunksjoner er alle organisatoriske, administrative og tekniske tiltak for driftskontroll (kbf).
  • Driftskontrollsystemer omfatter driftssentraler, utstyr, datarom, nett, sambandsanlegg og øvrige anlegg og rom, systemer og komponenter som ivaretar driftskontrollfunksjoner (kbf).
  • Elektriske forsyningsanlegg er elektriske anlegg med bygninger for produksjon, omforming, overføring og fordeling av elektrisk energi, samt høyspenningsinstallasjoner i industribedrifter og lignende (fef). For Bane NOR omfatter det her:
  • kontaktledningsanlegg (både fjernkontrollerte og ikke-fjernkontrollerte brytere),
  • stasjonsanlegg i banestrømforsyningen (koblingsstasjoner, seksjoneringsstasjoner og matestasjoner) inklusive tilkoblingen til kontaktledningsanlegget,
  • togvarmeanlegg,
  • infrastrukturforsyning med nettstasjoner.
  • Leder for kobling er en utpekt person som har fått ansvar for at nødvendige koblinger i høyspenningsanlegg blir utført på en sikkerhetsmessig forsvarlig måte (fse).
  • Samband er etablerte forbindelser for overføring av kommandoer, måle- og tilstandsverdier, meldinger, samtaler, bilder, skriv, kart eller andre dokumenter og data mellom to eller flere punkter (kbf veiledning).
  • Alarm er et signal (akustisk og/eller visuelt) som varsler operatør om funksjonsfeil i utstyr, prosessavvik eller andre avvik som krever reaksjon, uavhengig av hva som er årsaken til avviket (IEC 62682).

1.2.3 Systemskisse

Driftskontrollsystemer for elektriske forsyningsanlegg omfatter følgende driftskontrollnivåer som skissert prinsipielt i Systemskisse av driftskontrollsystem for elektriske forsyningsanlegg.

  • Fjernkontroll (nivå 3) og planlegging (nivå 4) består av sentralt kontrollanlegg, døgnbemannede operatørplasser i driftssentral og samband med flere desentraliserte lokale kontrollanlegg. Bane NOR har et eget system for fjernkontroll av elkraftanlegg (FJEL). Sambandsinfrastruktur deles med andre kjøreveis IKT-systemer.
  • Lokalkontroll nær den kontrollerte anleggsdelen deles grovt inn i tre prinsipielle utførelser:
  • Stasjonskontroll (nivå 2) brukes for større stasjonsanlegg som matestasjoner og koblingsstasjoner. Den er ofte realisert med stasjonsdatamaskin og operatørplass i kontrollrom og samband mot nærkontroll.
  • Nærkontroll brukes for enkeltbrytere og mindre stasjonsanlegg (nivå 2 og 1), samt bryterfelt og mateenheter i større stasjonsanlegg (nivå 1). Den er ofte realisert med RTU, PLS eller multifunksjonsvern, og kan ha betjeningspanel på eller nær ved anleggsdelen.
  • Anleggsdel (nivå 0) er prosessen med aktuatorer og sensorer. Enkeltbrytere kan ofte kontrolleres direkte eller ved hjelp av tilhørende manøverutrustning, enten med håndkraft eller trykknapper for motorstyring.
Figur: Systemskisse av driftskontrollsystem for elektriske forsyningsanlegg. Det tydelige skillet mellom stasjonskontroll, nærkontroll og anleggsdel internt i lokalkontroll kan viskes ut i fremtiden, avhengig av den teknologiske utviklingen. Forsyningsanleggene er selve prosessen som skal kontrolleres.

Driftskontrollsystemet sørger for manuell kontroll, automatisk kontroll (inklusive vern) og datainnsamling.

Driftskontrollsystemet har grensesnitt mot driftspersonell, vedlikeholdspersonell, interne støttesystemer, interne/eksterne prosesskontrollsystemer og interne/eksterne vedlikeholdssystemer og omgivelsene ellers.

1.2.4 Oppgaver

Oppgavene til driftskontrollsystemet omfatter i samsvar med EN 50562:

  1. manuell styring, kommandosperre (inklusive «arbeidstillatelse») og styring av brytere, omformere og andre komponenter på flere betjeningsnivåer: på anleggsdelen, nært anleggsdelen, i stasjonsanlegget og fjernt.
  2. automatisk styring og forrigling, slik som (de-)blokkering, vern, gjeninnkobling, fasesjekk, prøving før spenningssetting o.l.
  3. data-innsamling, -lagring og presentasjon for overvåking og oppfølging. Spesielt viktig er stillingsindikering av brytere for bruk av leder for kobling (jf. fse).
  4. generell utkoblingsmulighet for å gjøre et område spenningsløst, slik som bryterfeilvern, nødfrakobling av banestrekning, selektiv nødstopp i stasjonsanlegg o.l.

1.3 Risikovurdering

Risiko knyttet til følgende farer håndteres:

  • funksjonssvikt i forsyningsanlegget eller i driftskontrollsystemet,
  • feilbetjening av driftskontrollsystemet,
  • feilkonfigurering av driftskontrollsystemet,
  • innbrudd eller kompromittering av driftskontrollsystemer (cyberangrep).

Tiltakene for å håndtere risikoene er krav i dette kapittelet som omfatter:

  • modulær oppbygning av driftskontrollanleggene ved at funksjoner søkes lagt på så lavt driftskontrollnivå som mulig og med ikke flere fellesfunksjoner enn nødvendig, slik at modulene er uavhengige,
  • robusthet sikres gjennom redundans for fellesfunksjoner og selvovervåking,
  • etablering av operative regler for håndtering av de tekniske anleggene i ulike driftssituasjoner,
  • bruk og spesifikasjon av åpne standarder i grensesnitt, både teknisk mellom anlegg og mot personale,
  • test og selvovervåking av driftskontrollsystemet,
  • risikovurdering og sikring av driftskontrollsystemet.

2 Generelle krav til driftskontrollsystemet

2.1 Funksjonskrav

TRV:08168

Fjernkontroll: Elektriske forsyningsanlegg skal kunne fjernkontrolleres fra en døgnbemannet driftssentral med leder for kobling.

  1. Utførelse: Fjernkontroll skal være tilstrekkelig for daglig drift av forsyningsanleggene uten lokalt tilsyn. Det omfatter:
    1. styring (med regulering og parameterendring) og overvåking for å sikre at anleggene driftes etter forutsetningene,
    2. håndtering av alarmer og ekstraordinære hendelser,
    3. feilsøking på overordnet nivå, slik som identifisering og frakobling av feilbefengt anleggsdel.
  2. Utførelse: Teknisk regelverk for aktuell anleggstype bør angi hvilke anleggsdeler og funksjoner som normalt skal fjernkontrolleres, og omfanget av tilhørende signaler og alarmer. Hensikten er å forenkle anskaffelser og idriftsettelse samt å redusere sannsynligheten for feilkonfigurasjon og feilbetjening.
  3. Utførelse: Fjernkontroll av funksjoner og omfanget av tilhørende signaler og alarmer utover det som angis som normalt i Teknisk regelverk, skal angis for det enkelte forsyningsanlegget (for eksempel av anleggets eier, av prosjektet som bygger det, eller av leverandøren som leverer det).
  4. Dokumentasjon: Hvilke anleggsdeler og funksjoner som fjernkontrolleres for det enkelte forsyningsanlegget, skal dokumenteres med begrunnelse og spesifiseres i en liste over fjernstyrte funksjoner (se mal i vedlegg) for utarbeidelse av operative tiltak og korrekt konfigurasjon.
  5. Operative tiltak: Det skal finnes operative regler for fjernkontroll av elektriske forsyningsanlegg, samt tiltak ved svikt i forsyningsanlegget eller driftskontrollsystemet, og hvilke tiltak som forventes av leder for kobling for de ulike alarmene.
  6. Verifikasjon: Korrekt funksjon skal verifiseres med individuell test for hver funksjon fra ende til ende.
Alarmfilosofi for Jernbaneverket (2015, IUP-00-A-00961) som er basert på EN 62682:2015, gir hensiktsmessig veiledning for identifisering og utvelging av alarmer.

TRV:03248

Lokalkontroll: Elektriske forsyningsanlegg skal kunne lokalkontrolleres av driftspersonell som er på stedet (lokalt ved eller i anlegget), for eksempel ved vedlikehold og i ekstraordinære situasjoner.

  1. Utførelse: Lokal betjening (f.eks. kobler eller utpekt leder for kobling) skal minst kunne styre, overvåke, regulere og feilsøke ned på et komponentnivå som er tilstrekkelig, for kunne håndtere situasjoner som oppstår oftere enn hvert 10. år.
  2. Utførelse: Teknisk regelverk for aktuell anleggstype bør angi to nedre og to øvre grenser for måleverdier som skal trigge respektive alarmer. Se krav i alarmoversikt.
  3. Utførelse: Teknisk regelverk for aktuell anleggstype bør spesifisere nærmere krav til vern som en del av lokalkontrollanlegget.
  4. Operative tiltak: Det skal finnes operative regler for lokalkontroll av elektriske forsyningsanlegg, som også omfatter svikt i forsyningsanlegget eller i driftskontrollsystemet.
  5. Verifikasjon: Korrekt funksjon skal verifiseres med individuell test for hver funksjon fra ende til ende.

TRV:08169

Tillatte koblinger: Tillatte og ikke-tillatte koblinger skal være identifisert og informert (skriftlig) til leder for kobling, for eksempel med angivelse av frakoblet anleggsdel, bruk av riktig bryter og verndekning, se Banestrømforsyning/Prosjektering og bygging/Kraftsystem#Egenskaper.

  1. Utførelse: Utførelse kan være:
    1. Proaktiv, for eksempel generiske konsepter i Teknisk regelverk med opplæring og spesielle tiltakskort (for stedlige anlegg) eller E-sirkulære.
    2. Reaktiv, for eksempel med lås og forrigling, se krav om lås og kommandosperre.
  2. Utførelse: Teknisk regelverk for aktuell anleggstype bør angi tillatte/ikke-tillatte koblinger.
  3. Operative tiltak: Det skal finnes operative regler som hindrer bruk av koblinger som ikke er tillatt.

TRV:08216

Lås/kommandosperre: Brytere og utvalgte funksjoner og eventuelt betjeningsutstyr skal kunne låses i en bestemt stilling eller modus for å hindre feilbetjening og reduksjon av sikkerhetsbarrierer, for eksempel bryter «UTE» ved arbeid etter fse.

  1. Utførelse: Brytere med skillefunksjon skal kunne låses med kommandosperre eller blokkering mot fjernbetjening i fjernkontrollanlegget.
  2. Utførelse: Brytere med skillefunksjon skal kunne låses med hengelås eller annen egnet måte lokalt på eller nær ved anleggsdelen, jf. fse § 9.
  3. Operative tiltak: Det skal finnes operative regler for låsing av brytere og bruk av kommandosperre.

TRV:08170

Forrigling: Der det er viktig å unngå feilbetjening med brytere og funksjoner, bør disse utstyres med forrigling for å unngå store materielle skader. For eksempel at skillebrytere ikke betjenes med last, at jordingsbrytere ikke legges inn mot spenning, og at anleggsdeler som ikke er i fase, sammenkobles.

  1. Utførelse: Forrigling i driftskontrollsystemet bør plasseres så nær anleggsdelen som mulig for selvstendighet og funksjon ved alle driftskontrollnivåer.
  2. Utførelse: Den som styrer mot en forrigling, skal automatisk informeres om den.
  3. Utførelse: Forriglinger bør manuelt og etter tydelig bekreftelse, kunne overstyres i nødsituasjoner. Overstyring skal registreres i hendelsesloggen.
  4. Utførelse: Mulige løsninger kan være:
    1. Teknisk forrigling på anleggsdel som sperrer for kommandoer fra overordnet driftskontrollnivå, for eksempel omkobler eller lås.
    2. Programvareforrigling i driftskontrollsystem, lokalt (for eksempel fasesperre eller omkobler) – alternativt fjernt (for eksempel med kommandosperre).
    3. Manuell forrigling ved operative regler, eventuelt med advarsel eller ekstra bekreftelse i driftskontrollsystemets programvare.
  5. Utførelse: Der det ikke er hensiktsmessig med forrigling, bør det benyttes ekstra bekreftelse fra leder for kobling ved betjening eller operativ instruks.
  6. Utførelse: Teknisk regelverk for aktuell anleggstype bør angi nærmere krav om forrigling.
  7. Dokumentasjon: Forriglingers forutsetninger og virkemåte skal dokumenteres.

TRV:08171

Omkobler (velger/vender) «FJERN/LOKAL»: Lokalkontrollanlegg skal ha omkobler på det lokale betjeningsstedet for valg av driftskontrollnivå, og som blokkerer kommandoer fra overordnet driftskontrollnivå i samsvar med veiledning til fef §4-10 og punkt 9.1 i NEK 440:2015.

  1. Utførelse: Omkobler bør være «FJERN/LOKAL» for et helt lokalkontrollanlegg eller «FJERN/NÆR» for nærkontrollanlegg underlagt stasjonskontrollanlegg. Engelsk tekst «REMOTE/LOCAL» kan aksepteres.
  2. Utførelse/unntak: Utkoblingskommando til effektbryter skal ikke blokkeres, for eksempel av hensyn til nødfrakobling. Effektbrytere med flere posisjoner, og som er låst i jordet posisjon, er allerede å betrakte som «UTE».
  3. Utførelse: Omkoblerens posisjon skal indikeres til overordnet driftskontrollnivå, jf. veiledning til fef §4-10. Eventuelt bør andre løsninger angis i Teknisk regelverk for aktuell anleggstype.
  4. Utførelse: Omkoblerens posisjon skal ikke endre på informasjon eller signaler til overordnet driftskontrollnivå.
  5. Operative tiltak: Det skal finnes operative regler for bruk av omkoblere.

TRV:08172

Omstart: Lokalkontrollanlegg skal kunne startes om fra fjernkontroll eller ekstern tilkobling for hensiktsmessig feilretting.

  1. Utførelse: Hovedregelen er at enkle lokalkontrollanlegg skal kunne omstartes fra fjernkontroll, og større stasjonskontrollanlegg skal kunne omstartes fra ekstern tilkobling. Teknisk regelverk for aktuell anleggstype bør angi eventuelle avvik.
  2. Utførelse: For omstart fra fjernkontroll skal kommandoen: C_RP_NA_1 (Reset process command) benyttes, se IEC 60870-5-104 (og IEC 60870-5-101).

TRV:08173

Selvovervåking: Driftskontrollsystemer med samband skal selvovervåkes og varsle interne feil umiddelbart til overordnet driftskontrollnivå.

  1. Utførelse: Deteksjon av interne feil i driftskontrollsystemer bør ikke automatisk føre til at forsyningsanlegget slutter å fungere (driftsstopp).
  2. Operative tiltak: Det skal finnes operative regler for håndtering av varsel om intern feil fra selvovervåking.
  3. Vurdering: Selvovervåking betyr at funksjonen er en del av driftskontrollsystemet, og det er ikke nødvendigvis et krav om å etablere egne overvåkingssystemer, for eksempel med særskilte strømforsynings- eller sambandsløsninger.

TRV:08174

Avvikshåndtering: Avvik mellom forventet og faktisk informasjon eller status skal automatisk detekteres, varsles leder for kobling og registreres i hendelsesloggen, for eksempel:

  • endret indikering uten forutgående kommando,
  • manglende respons i indikering etter kommando innen rimelig tid,
  • manglende kontakt med underliggende driftskontrollnivå eller prosessen.
  1. Utførelse: Objekter uten (oppdatert) informasjon skal merkes som ugyldig informasjon («gammelmerkes»).
  2. Utførelse: Rimelig tid for manglende respons på kommando bør være innstillbar.
  3. Utførelse: Informasjon (f.eks. indikering og måleverdier) som sendes til høyere driftskontrollnivå, skal mellomlagres av sender ved sambandsavbrudd og automatisk overføres når sambandet fungerer igjen, slik at informasjon ikke går tapt.
  4. Utførelse: Kommandoer som sendes til lavere driftskontrollnivå, skal overvåkes, slik at sambandsavbrudd identifiseres, men uten automatisk overføring når sambandet fungerer igjen.
  5. Operative tiltak: Det skal finnes operative regler for håndtering av slike avvik.

TRV:03250

Alarmoversikt: Mottatte signaler fra prosessen skal klassifiseres som angitt i tabell: Alarmklassifisering av signaler og alarmklasse 1, 2 og 3 skal automatisk føres i alarmoversikt og varsles leder for kobling.

  1. Utførelse: Alarmoversikten skal være tilstrekkelig og tilgjengelig for henholdsvis fjernkontroll og lokalkontroll.
  2. Utførelse: Alarmoversikten skal være levende, det vil si at kvitterte og avsluttede alarmer skal fjernes fra alarmoversikten. Med avsluttet alarm menes at årsaken til alarmen er utbedret.
  3. Utførelse: Alle alarmer skal være tidfestet sammen med angivelse av komponenten eller anleggsdelen som har skapt signalet.
  4. Utførelse: Måleverdier som overskrider grenseverdi 1 og 2, skal gi henholdsvis alarmklasse 1 og 2.
  5. Utførelse: Teknisk regelverk for aktuell anleggstype bør spesifisere nærmere om alarmer, grenser for måleverdier og eventuelle samlemeldinger.
  6. Operative tiltak: Alarmer skal håndteres som beskrevet i tabell: Alarmklassifisering av signaler. Det bør spesifiseres ytterligere operative regler.
Tabell: Alarmklassifisering av signaler
Alarmklasse Betydning/konsekvens Operative tiltak
0 Melding Informasjon, ingen konsekvens. For eksempel normale indikeringer og måleverdier. Ingen
1 Varsel Viktig informasjon, for eksempel overskridelse av øvre grenseverdi 1 eller nedre grenseverdi 1. Brukes spesielt for å kunne iverksette tiltak for å hindre at 2 Feil eller 3 Alvorlig feil oppstår. 1. Undersøkelse
2. Nødvendige aksjoner
3. Eventuell utkvittering
2 Feil Funksjon stopper og eventuelt blokkeres, for eksempel basert på overskridelse av øvre grenseverdi 2 eller nedre grenseverdi 2. 1. Undersøkelse
2. Nødvendige aksjoner
3. Eventuell deblokkering
4. Start via fjernkontroll
3 Alvorlig feil Funksjon stopper og eventuelt blokkeres.
Komponenten eller anlegget kan være skadet.
1. Undersøkelse
2. Nødvendige aksjoner
3. Eventuell deblokkering
4. Start via lokalkontroll (fysisk i/ved forsyningsanlegget).

TRV:08217

Hendelseslogg: Alle endringer og hendelser i driftskontrollsystemet skal automatisk føres i Hendelseslogg. Det omfatter:

  • manuelle endringer (f.eks. kommando)
  • automatiske hendelser, f.eks.:
  • endring av binære signaler,
  • passering av grenseverdier,
  • aktivering av begrenser- og vernfunksjoner,
  • manglende kontakt med underliggende driftskontrollnivå,
  • melding fra selvovervåking.
  1. Utførelse: Hendelsesloggen skal være tilstrekkelig og tilgjengelig for henholdsvis fjernkontroll og lokalkontroll.
  2. Utførelse: Hendelsesloggen skal være en historisk rapport som lagres i minimum 10 år.
  3. Utførelse: Alle hendelser skal være tidfestet med angivelse av komponenten, anleggsdelen, alarmen, funksjonen, signalet eller brukeren som har skapt hendelsen.

TRV:03251

Lagring av måleverdier : Måleverdier skal lagres med tidsoppløsning som for overført verdi og i minimum 10 år for videre analyse.

  1. Utførelse: Måledata for elektriske størrelser skal minimum omfatte effektivverdi, og kan også omfatte maksimal-/topp- og minimalverdi innenfor samme tidsvindu.
  2. Utførelse: Måledata som er overført til fjernkontroll, kan slettes fra lokalkontroll.
  3. Utførelse: Måledata skal være tilgjengelig i et åpent format.

2.2 Ytelseskrav

TRV:08175

Tilgjengelighet og robusthet: Driftskontrollsystemer skal i samsvar med kbf §7 til enhver tid virke etter sin hensikt og skal beskyttes mot alle typer uønskede hendelser.

  1. Utførelse: Driftskontrollsystemet skal risikovurderes, klassifiseres, sikres og beskyttes i samsvar med kbf med vedlegg.
  2. Utførelse: Forskriftens veiledning angir hvordan forskriftens krav kan oppfylles.
  3. Utførelse: Teknisk regelverk kan gi ytterligere krav som skal oppfylles.

TRV:08176

Responstid: Driftskontrollsystemer med samband skal velges og utformes hensiktsmessig.

  1. Utførelse: Det skal oppnås rimelige responstider for:
    1. kommando gitt av leder for kobling til endring i utganger fra lokalkontrollanlegg til anleggsdel i forsyningsanlegget (prosesstilkobling),
    2. endring i innganger til lokalkontrollanlegg fra anleggsdel i forsyningsanlegget, (prosesstilkobling) til endringen er synlig på skjermbilder, f.eks. alarmoversikt og hendelseslogg,
    3. oppdatering av måleverdier i fjernkontrollen,
    4. oppdatering av skjermbilder,
    5. generering av trendbilder og automatiske rapporter uten beregning.
  2. Vurdering: Rimelig responstid skal vurderes ut ifra:
    1. forventet bruk og kritikalitet for de ulike funksjonene,
    2. systemenes belastning generelt og ved driftsforstyrrelser der det kan skje svært mange hendelser i ulike delanlegg nesten samtidig,
    3. hva som med rimelighet kan oppnås med tilgjengelige teknologi.
  3. Utførelse: For RTU som kontrollerer brytere, kan mindre enn 1 sekund anses som rimelig tid fra mottatt kommando fra fjernkontroll til endring av utganger, og fra endring av innganger til sent informasjon til fjernkontroll.
  4. Dokumentasjon: Vurderingene skal dokumenteres som underlag til spesifikasjon for anskaffelser.

TRV:08177

Redundant samband: Samband mellom sentralt kontrollanlegg og lokalkontrollanlegg skal være redundant for å sikre tilstrekkelig tilgjengelig fjernkontroll av de elektriske forsyningsanleggene.

  1. Utførelse: Se Tele/Prosjektering_og_bygging/Transmisjonssystemer#Nettstruktur.
  2. Vurdering: Direkte tilkobling mellom lokalkontrollanlegg og nærmeste punkt i aksessnettet kan være uten redundans dersom kbf § 7-14 ikke stiller strengere krav, eller forsyningsanlegget ikke er spesielt viktig for trafikken på flere strekninger eller i en region.

TRV:08178

Feilhåndtering: Feil i ett driftskontrollanlegg eller tilhørende samband skal ikke føre til feil, feil styring eller feil informasjon i et annet driftskontrollanlegg (hverken på overliggende, redundant, samme eller underliggende driftskontrollnivå).

  1. Utførelse: Enkeltfeil i utstyr eller konfigurasjon skal ikke føre til feil styring eller feil informasjon, slik som utilsiktet styring eller informasjon, og manglende styring eller informasjon som ikke detekteres).
  2. Utførelse: Enkeltfeil og enkelthendelser skal ikke føre til fellesfeil eller svikt i fellesfunksjoner for redundante driftskontrollanlegg.
  3. Utførelse: Generelt skal driftskontrollsystemet utformes slik at det feiler til en sikker tilstand eller låses i seneste posisjon.
  4. Verifikasjon: Korrekt funksjon og konfigurasjon etter endringer skal verifiseres med test.
Et eksempel på feil styring er at et driftskontrollanlegg sender vilkårlig kommando eller indikering under en oppstartsrutine, og som fører til endringer eller avvikende informasjon sammenlignet med forsyningsanleggets faktiske status.

TRV:08179

Vedlikeholdbarhet: Driftskontrollsystemer skal for effektivt vedlikehold kunne oppdateres, konfigureres og repareres i levetiden, for eksempel legge til, endre og fjerne hensiktsmessige moduler i utstyr, objekter med styring og overvåking, parametere, sertifikater, rapporter og skjermbilder.

  1. Utførelse: Aktiviteter som forventes oftere enn minimum hvert 10. år, skal kunne utføres av Bane NOR eller den leverandør av drift og vedlikehold som Bane NOR velger.
  2. Utførelse: Vedlikehold og feilretting på enkeltmoduler skal være mulig uten at driftskontrollsystemet mister sin funksjon. Kravet er ofte dekket ved redundans, eller at driftskontrollnivåer er uavhengige.
  3. Utførelse: Nødvendig dokumentasjon, veiledning og programvare med lisens for vedlikeholdet skal leveres sammen med og følge driftskontrollsystemet.
  4. Utførelse: Det skal være et konfigurasjonsstyringssystem som sikrer versjonshåndtering og sporbarhet på all programvare og dokumentasjon.

2.3 Grensesnittkrav

TRV:00329

Driftsmerking: Elektriske forsyningsanlegg skal driftsmerkes, og denne merkingen skal brukes i driftskontrollsystemet for å redusere sannsynligheten for feilbetjening og feilkonfigurering.

  1. Utførelse: Se Vedlegg A Driftsmerking og anleggesmerking.

TRV:08180

Standardiserte protokoller: Samband mellom driftskontrollnivåer skal baseres på åpne (ikke-proprietære) protokoller for modulær oppbygning av anleggene.

  1. Utførelse: Samband mellom fjernkontrollanlegg og lokalkontrollanlegg skal benytte IEC 60870-5-104 NUC (Norwegian User Convention) versjon 2.0 datert 2000-03-24. IEC 61850 kan vurderes i fremtiden.
  2. Utførelse: Samband mellom fjernkontrollanlegg og lokalkontrollanlegg skal benytte IEC 60870-5-101 NUC (Norwegian User Convention) versjon 1.2 datert 2000-02-04 der det kun er analogt telenett tilgjengelig.
  3. Utførelse: Samband mot eksterne driftskontrollsystemer (eller prosesskontrollsystemer) skal benytte IEC 60870-6 (TASE.2/ICCP).
  4. Utførelse: Samband internt i lokalkontrollanlegg bør benytte IEC 61850, eller IEC 61784-2, alternativt IEC 60870-5-104.
  5. Utførelse: Lokalkontrollanlegg bør uansett forberedes for IEC 61850 for å kunne ta i bruk digitale muligheter som blant annet finnes i protokollen GOOSE (Generic Object Oriented Substation Event).
Flere av kravene stilt til driftskontrollsystemer i Teknisk regelverk understøttes direkte ved bruk av de standardiserte protokollene som er angitt over.

TRV:08181

Sambandsnett fjern-lokal: Samband mellom lokalkontrollanlegg og sentralt kontrollanlegg skal bruke Bane NORs IP/MPLS-nett.

  1. Utførelse: Sentralt kontrollanlegg skal ha fire «master frontends» som har hver sin IP-adresse, men hvor kun én av dem er aktiv om gangen, bestemt av det sentrale kontrollanlegget.
  2. Utførelse: Lokalkontrollanlegg skal kunne svare på oppkall fra, og kommunisere med alle disse «master frontends», uavhengig av hvilken av dem som kaller.
  3. Utførelse: Normal prosedyre for bytte av «master frontend» skal være at ny «master frontend» utfører et generelt oppkall (GA) mot lokalkontrollanlegg. Etterpå overføres kun statusendringer.
  4. Utførelse: Etter sambandsavbrudd skal «master frontend» utføre et generelt oppkall (GA) mot lokalkontrollanlegg. Sambandet kan under avbruddet ha byttet til en annen «master frontend».
  5. Utførelse: Lokalkontrollanleggets IP-adresse skal administreres og kunne endres av Bane NOR.

TRV:08182

Overføring av måleverdier: Måleverdier skal overføres mellom driftskontrollnivåer syklisk og i tillegg umiddelbart ved overskridelse av et nærmere definert dødbånd.

  1. Utførelse: Måleverdier skal skaleres til riktig enhet i den delen av driftskontrollsystemet som skaper dem.
  2. Utførelse: Teknisk regelverk for aktuell anleggstype bør spesifisere nærmere typiske måleverdier med enhet, tidssyklus, dødbånd og grenseverdier.
  3. Utførelse: Tidssyklus og dødbånd for å overføre endring av måleverdier bør tilpasses måleverdien slik at datamengden bli håndterlig uten å miste informasjon, for eksempel:
    1. Syklus på 1 s eller mindre og dødbånd på 50 % eller mer av nominell verdi for måleverdier som endres ofte.
    2. Syklus på 5 s eller mer og dødbånd på 10 % eller mindre av nominell verdi for måleverdier som normalt endres lite.
  4. Utførelse: Hvilke måleverdier som faktisk skal samles inn med tilhørende grenseverdier, skal spesifiseres og begrunnes av den som prosjekterer og bygger det spesifikke forsyningsanlegget.
  5. Utførelse: Grenseverdier brukt i lokalkontroll skal gjenspeiles i fjernkontroll.

TRV:08183

Tidfesting: Signaler (kommandoer, hendelser og måleverdier) skal tidfestes i den delen av driftskontrollsystemet som skaper dem, og fra en intern klokke med oppløsning og nøyaktighet på 10 ms for å kunne etablere korrekte hendelsesforløp.

  1. Unntak: Driftskontrollanlegg som skal sende ut tidsynkronisering til underliggende driftskontrollnivå, skal ha egen synkronisering via GPS, for eksempel sentralt kontrollanlegg og stasjonskontrollanlegg.
  2. Unntak: Sentralt kontrollanlegg skal sende ut tidsynkronisering til lokalkontrollanlegg som ikke har egen synkronisering, for eksempel RTU og PLS, via IEC 60870-5-104 (-101) C_CS_NA_1, Clock synchronization command.

TRV:08184

Omgivelser: Driftskontrollsystemer med samband skal spesifiseres og utformes for omgivelsesbetingelser som angitt i EN 50125-3.

  1. Utførelse: Temperatur- og luftfuktighetsklasser T2 bør generelt legges til grunn.
  2. Utførelse: Se Felles elektro/Prosjektering og bygging/Generelle tekniske krav#Klimatiske forhold.
  3. Utførelse: Se Felles elektro/Prosjektering og bygging/Elektrotekniske bygninger og rom.

TRV:08185

Elektromagnetisk sameksistens: Driftskontrollsystemer skal oppfylle EN 50121, mer spesifikt del 4 eller del 5, som er produktfamiliestandard for jernbane til henholdsvis signal- og teleapparater og elkraftinstallasjoner og -apparater.

  1. Utførelse, vurdering og dokumentasjon: Se Felles elektro/Prosjektering og bygging/Generelle tekniske krav#Elektromagnetisk miljø.
  2. Utførelse: I mangel av andre spesifikke krav i EN 50121 og Teknisk regelverk skal det i EMC-planen etter del 1 tas hensyn til emisjon fra høyspentledere for banestrømmen som kan føre til en induksjon i nærliggende kabler for driftskontroll på 1,0 V/km ved 16 2/3 Hz og 0,3 V/km ved høyere frekvenser dersom det ikke utføres tiltak for å begrense påvirkningen.
  3. Unntak: Enkeltkomponenter kan, for å øke antallet mulige leverandører, oppfylle EN 61000-6-2 og EN 61000-6-4 som er generelle industristandarder, eller IEC 60870-2-1 som er produktfamiliestandard for fjernkontroll, forutsatt at det gjøres tiltak i installasjonen som gjør at kravene til nødvendig immunitet i jernbaneomgivelser likevel oppfylles.
Mulige tiltak for forbedret elektromagnetisk immunitet er:
  • bruk av fiberoptisk signaloverføring.
  • med elektrisk signaloverføring:
  • valg av utstyr med robuste signaldrivere/mottakere (balanserte signaler),
  • valg av kabel med god undertrykkelse av fellesmodusstrømmer (parrevolvert),
  • valg av kabel med omsluttende metallskjerm (folie-/flettet -skjerm eller begge deler),
  • galvanisk skille med relé eller linjetransformatorer,
  • omsluttende metallisk kapsling eller utstyrsskap,
  • jording av kabelskjerm, eventuelt kapasitiv jording med seriekoblet kondensator,
  • overspenningsvern,
  • økt avstand til støykilder.

TRV:08186

Tilkobling til andre prosesskontrollanlegg: All utveksling av informasjon mellom driftskontrollsystemet for elektriske forsyningsanlegg og andre prosesskontrollanlegg, både interne i Bane NOR og eksterne utenfor Bane NOR, skal utføres av det sentrale kontrollanlegget.

  1. Utførelse: Se krav til bruk av standardiserte protokoller.

2.4 Utformingskrav

TRV:03253

Skjermbilder: Skjermbilder for leder for kobling skal være oversiktlige og inneholde relevant informasjon for effektiv driftskontroll, og for å redusere sannsynligheten for feilbetjening.

  1. Utførelse: Følgende statisk informasjon skal vises på skjermbilde:
    1. forsyningsanleggets skjematiske oppbygning med brytere og komponenter relevant for driftskontroll i faktisk innbyrdes rekkefølge,
    2. driftsmerking,
    3. spenningsnivå med farger,
    4. antall faser i enlinjeskjema med tilsvarende antall skråstreker (/, //, ///) på den ekvivalente linjen (se S00002 i NEK144:2017), i det minste der antall faser ikke er åpenbart,
    5. type bryter eller omkobler (fjernstyrt/ikke-fjernstyrt, skille-, lastskille-, effekt- osv.).
  2. Utførelse: Følgende dynamisk informasjon skal vises på skjermbilde:
    1. indikering av status for anleggsdel (bryter, omkobler, aggregat etc.) og eventuell lås/blokkering inklusive årsakene, f.eks. arbeid og feil,
    2. indikering av spenningssatt, ikke-spenningssatt, jordet anleggsdel og arbeid pågår,
    3. indikering av objekter i normalstilling/unormalstilling,
    4. pågående sekvenser,
    5. alarmer,
    6. måleverdier,
    7. angivelse av ugyldig informasjon,
    8. eventuell avstand til feil fra distansevern og kortslutningsstrøm fra overstrømsvern.
  3. Utførelse: Skjermbilder for fjernkontroll skal følge Bane NORs standard utarbeidet av FJEL.
  4. Utførelse: Skjermbilder for stasjonskontroll kan følge leverandørens standard eller Bane NORs standard utarbeidet av FJEL.
  5. Utførelse: Skjermbilder for oversikt bør være enlinjeskjema, spesielt for store forsyningsanlegg, for eksempel ved tofaset koblingsanlegg og kontaktledningsanlegg for en strekning (autotransformatorsystem).

TRV:08187

Språk: Språk i dokumentasjon, manualer, veiledninger, merking, meldinger etc. skal være hensiktsmessig for drift og vedlikehold av driftskontrollsystemer.

  1. Utførelse: Informasjon (inklusive skjermbilder og dokumentasjon) til driftspersonell skal være på norsk.
  2. Utførelse: Informasjon til vedlikeholdspersonell skal være på norsk eller engelsk, men kan alternativt være på annet skandinavisk språk.
  3. Utførelse: Annen informasjon skal være på norsk eller engelsk, men kan alternativt være på annet skandinavisk språk.

TRV:08188

Sikring: Driftskontrollsystemet med samband skal sikres etter kbf klasse 2, CLC/TS 50701:2021 (så langt det er relevant) og Bane NORs retningslinjer forøvrig.

  1. Utførelse: Driftskontrollsystemer med samband skal sikres og beskyttes etter kbf §§ 5, 6 og 7.
  2. Utførelse: Driftskontrollsystemet med samband skal krypteres, segregeres horisontalt, være sikret mot traversering og ha implementert sikkerhetsbarrierer ut mot Bane NORs IP/MPLS-nett, som er kategori 3 etter EN 50159.
  3. Utførelse: Det skal være overvåking av digitale samband og tiltak mot uautorisert tilgang til verninnstillinger, kommandoer og tilhørende samband i samsvar med 7.3.2, bokstavene m) og s), i EN 50562.
  4. Utførelse: Utstyr som tilkobles driftskontrollsystemet, skal oppfylle relevante industristandarder. Eier, prosjekt eller leverandør skal angi hvilke standarder som er lagt til grunn og oppfylt. IKT-produkter som er sertifiserte og evaluert av en tiltrodd tredjepart, bør foretrekkes, jf. NSMs grunnprinsipper for IKT-sikkerhet. (https://nsm.no/getfile.php/133735-1592917067/Demo/Dokumenter/Veiledere/nsms-grunnprinsipper-for-ikt-sikkerhet-v2.0.pdf)
  5. Utførelse: Sikkerhetsoppdateringer av løsninger skal gjøres tilgjengelig i driftskontroll-anleggets/-utstyrets levetid og bør distribueres via KraftCERT.
  6. Utførelse: Bane NORs IKT-sikkerhetskoordinator etter kbf §2-2 skal konsulteres for retningslinjer og valg av løsning for sikring.

IKT-sikring med tilhørende krav er et eget fagområde som ikke er jernbanespesifikt, og som håndteres av andre retningslinjer i Bane NOR enn Teknisk regelverk. Eksempler på identifiserte relevante IKT-sikringskrav til RTU for kontaktledningsbrytere finnes i følgende tekniske spesifikasjon: https://trv.banenor.no/ts/Kontaktledning/RTU, oppdatert i 2021.

TRV:08189

Objektdefinisjon for fjernkontroll: Objekter som skal fjernkontrolleres, skal defineres som angitt i tabell: Objektdefinisjoner med indikeringer og kommandoer.

  1. Utførelse: fjernkontroll skal for aktuell kommunikasjonsprotokoll utføres med meldinger som angitt i tabell: Meldingstyper for driftskontrollsystemer.
  2. Dokumentasjon: Fjernkontrollerte objekter i aktuelle forsyningsanlegg skal dokumenteres ved hjelp av Liste over fjernkontrollerte objekter, se vedlegg for mal.
Tabell: Objektdefinisjoner med indikeringer og kommandoer
Objekt Objekttype Indikeringer Kommandoer
Bryter Topolet objekt UTE, INNE, FEIL og MELLOMSTILLING UT og INN
Omkobler Topolet objekt LOKAL, FJERN, FEIL og MELLOMSTILLING
Måleverdi Analogt objekt
Alarm Enpolet objekt AKTIV, IKKE AKTIV
Vernmelding Enpolet objekt AKTIV, IKKE AKTIV
Tabell: Meldingstyper for driftskontrollsystemer
Meldingstype IEC 60870-5-101 IEC 60870-5-104 Kommentar
Melderetning fra fjernkontroll til lokalkontroll
Generelt oppkall Eng.: General polling (GA)
Kommando enpolet objekt C_SC_NA_1 C_SC_TA_1, CP56Time2A Eng.: Single command
Kommando topolet objekt C_DC_NA_1 C_DC_TA_1, CP56Time2A Eng.: Double command
Omstart C_RP_NA_1 C_RP_NA_1 Eng.: Reset process command
Tidssynkronisering C_CS_NA_1 C_CS_NA_1 Eng.: Clock synchronization command
Melderetning fra lokalkontroll til fjernkontroll
Indikering enpolet objekt M_SP_NA_1 M_SP_TB_1, CP56Time2A Eng.: Single-point information (GI)
Indikering topolet objekt M_DP_NA_1 M_DB_TB_1, CP56Time2A Eng.: Double-point information (GI)
Måleverdi M_ME_NC_1 M_ME_NC_1 M_ME_NA_1 må avtales spesielt

2.5 Dokumentasjonskrav

Se krav til dokumentasjon i Banestrømforsyning/Prosjektering og bygging/Generelle tekniske krav.

kbf, spesielt §7 med veiledning, stiller krav til dokumentasjon av, og kompetanse om, driftskontrollsystemer.

TRV:08190

Dokumentasjon: Driftskontrollsystemer inklusive maskinvare, programvare og tjenester skal, der det er relevant, dokumenteres med: • samsvarserklæring, • risikovurdering, • funksjonsbeskrivelse, • liste over fjernkontrollerte objekter, • utstyrsliste, • brukermanual, • installasjons- og vedlikeholdsmanual, • komponenttegninger, • datablad, • dokumentasjon av akseptansetest.

  1. Utførelse: Se respektive krav til hver enkelt type dokumentasjon.
  2. Utførelse: Se Felles bestemmelser/Generelle bestemmelser#Krav til utforming av teknisk dokumentasjon. Ifølge TRV:00337 er IEC 61082-1:2014 relevant standard for fagområdet.

TRV:08191

Samsvarserklæring: Samsvarserklæringen skal angi at driftskontrollanlegget samsvarer med relevante krav i forskrifter (fef og kbf), Teknisk regelverk og relevante standarder.

  1. Utførelse: Se Felles elektro/Prosjektering og bygging/Generelle tekniske krav#Vurdering av risiko og erklæring om samsvar.

TRV:08192

Risikovurdering: Risikovurderingen skal kartlegge og vurdere risiko og sårbarhet i og i tilknytning til driftskontrollsystemet, inklusive ekstraordinære forhold i samsvar med kbf.

  1. Utførelse: Se Felles elektro/Prosjektering og bygging/Generelle tekniske krav#Vurdering av risiko og erklæring om samsvar.
  2. Utførelse: Leverandør av driftskontroll-anlegg og -utstyr skal informere om eventuell IKT-sikkerhetsrisiko/-sårbarhet knyttet til sitt produkt og angi hvordan sikkerheten kan og bør ivaretas og styrkes.

TRV:08193

Funksjonsbeskrivelse: Funksjonsbeskrivelsen skal beskrive driftskontrollsystemets oppbygning, funksjon, virkemåte og sikring.

  1. Utførelse: Funksjonsbeskrivelsen skal angi hvordan krav i Teknisk regelverk og relevante forskrifter er oppfylt.
  2. Utførelse: Funksjonsbeskrivelsen for elektriske forsyningsanlegg skal begrunne hvilke anleggsdeler og funksjoner i aktuelt forsyningsanlegg som fjernkontrolleres, se krav om fjernkontroll.
  3. Utførelse: Funksjonsbeskrivelsen skal omfatte forriglinger, se krav om forrigling.
  4. Utførelse: Funksjonsbeskrivelsen skal inneholde en skjematisk fremstilling av driftskontrollsystemets logiske og fysiske nett med eventuelle tilgangspunkter utenfra.
  5. Utførelse: Kravspesifikasjonen kan inngå som en del av funksjonsbeskrivelsen.

TRV:08194

Signalliste for fjernkontroll: Signalliste for fjernkontroll skal inneholde liste over fjernkontrollerte objekter med:

  1. Utførelse: Listen skal føres i mal for IO-liste, se vedlegg.

TRV:08195

Utstyrsliste: Utstyrsliste skal inneholde en liste over alle komponenter som inngår i driftskontrollsystemet med følgende informasjon:

  • utstyrets identifikasjonsnummer,
  • beskrivelse av hva komponenten brukes til,
  • beskrivelse av komponentens utstyrstilknytning,
  • utstyrstype,
  • referanse til tilhørende dokumentasjon som brukermanual, installasjons- og vedlikeholdsmanual, komponenttegning, datablad osv.

TRV:08196

Brukermanual: Brukermanual skal angi opplysninger og instrukser om driftskontrollsystemet til daglig bruk og drift.

  1. Utførelse: Manualen skal også gi driftspersonell tilstrekkelig veiledning om feilsøking for å kunne formidle hensiktsmessige feilmeldinger til vedlikeholdspersonell.

TRV:08197

Installasjons- og vedlikeholdsmanual: Installasjons- og vedlikeholdsmanual skal angi opplysninger og instrukser om hvordan driftskontrollsystemet installeres og vedlikeholdes.

  1. Utførelse: Manualen skal også gi veiledning for feilsøking. Se krav om lokalkontroll og vedlikeholdbarhet.
  2. Utførelse: Manualen skal også omfatte dokumentasjon av eventuell nødvendig programvare for vedlikehold. Se krav om vedlikehold.

TRV:08198

Komponenttegninger: Komponenttegninger skal angi dimensjoner og monteringsdetaljer.

TRV:08199

Datablad: Datablad skal gi tilstrekkelige detaljer om ytelse, grensesnitt og andre karakteristikker for en komponent eller et system for å forstå hva komponenten eller systemet er, hvilken rolle den/det har og hvordan den/det kan integreres i driftskontrollsystemet.

TRV:08200

Dokumentasjon av akseptansetest: Dokumentasjon av akseptansetest skal minimum inneholde komplette testplaner, testprosedyrer og testprotokoller for typetest, FAT og SAT.

  1. Utførelse: Det skal dokumenteres full sporbarhet og etterprøvbarhet i forhold til gitte krav. Se verifikasjonskrav i krav om fjernkontroll og lokalkontroll.

3 Fjernkontrollanlegg

3.1 Funksjonskrav

TRV:08201

Simulering av kobling (studiemodus): Leder for kobling skal kunne simulere konsekvens av ønsket kobling for å redusere sannsynlighet for feilbetjening, for eksempel for sikker frakobling av arbeidssted og for sikker forsyning der det er behov.

  1. Utførelse: Simuleringen skal vise hvorvidt en anleggsdel blir spenningsløs eller spenningssatt.
  2. Utførelse: Simuleringen skal omfatte alle brytere som må være ute/åpne for å sikre spenningsløs anleggsdel, dvs. både brytere som må legges ut, og brytere som må forbli ute.
  3. Operative tiltak: Det skal finnes operative regler for bruk av funksjonen.

TRV:08202

Nødfrakobling: Fjernkontrollanlegg skal ivareta funksjonen for nødfrakobling i banestrømforsyningen. Utførelse: Se Banestrømforsyning/Prosjektering og bygging/Nødfrakobling.

TRV:08203

Spenningsløsindikering: Fjernkontrollanlegg skal gi indikering av spenningsløs kontaktledningsseksjon i trafikkstyringssystemet (TMS).

TRV:08204

Informasjonsdeling: Det sentrale kontrollanlegget skal lagre og tilgjengeliggjøre hendelseslogg og måleverdier som samles inn gjennom fjernkontroll, slik at de er tilgjengelig for videre overvåking og analyse.

  1. Utførelse: Hendelseslogg og måleverdier skal lagres og være tilgjengelige i minimum 10 år.
  2. Utførelse: Det skal være mulig å eksportere data til et åpent format.
  3. Utførelse: Sanntidseksport av informasjon skal følge standardisert protokoll, se standardiserte protokoller (ICCP).

TRV:08205

Bryterstatus: Det sentrale kontrollanlegget skal føre løpende oversikt over brytere med kommandosperre og blokkering i de elektriske forsyningsanleggene, blant annet for sikring mot innkobling i samsvar med fse.

  1. Utførelse: Kravet gjelder både fjernstyrte og ikke-fjernstyrte brytere.

TRV:08206

Alarmhåndtering: Det sentrale kontrollanlegget skal håndtere alarmer i driftskontrollsystemet og kontrollerte elektriske forsyningsanlegg.

  1. Utførelse: Det sentrale kontrollanlegget skal varsle leder for kobling om en hendelse som krever reaksjon, og gi informasjon om hva som har skjedd, og hvor den har oppstått, og angi kritikalitet, se fjernkontroll og alarmoversikt.
  2. Utførelse: Det sentrale kontrollanlegget skal lagre alarmer og hendelseslogger i tilknytning til alarm, slik at det i etterkant kan gjennomføres feil- og trendanalyser og vurdere tiltak for å unngå at tilsvarende hendelse oppstår i fremtiden, se hendelseslogg og informasjonsdeling.
  3. Operative tiltak: Det skal finnes operative regler for håndtering av alarmer, blant annet med angivelse av hvem som har ansvar/mandat til å gjøre noe med hendelsen, som alarmen varsler om, se fjernkontroll.
Alarmfilosofi for Jernbaneverket (2015, IUP-00-A-00961 er basert på EN 62682:2015 og gir hensiktsmessig veiledning for identifisering og utvelging av alarmer.

3.2 Ytelseskrav

TRV:08207

Tilgjengelighet av sentralt kontrollanlegg: Sentralt kontrollanlegg skal ha høy tilgjengelighet.

  1. Utførelse: Tilgjengelighetskravet medfører at det skal være redundans.
  2. Vurdering: Vurdering av tilstrekkelig tilgjengelighet kan ta utgangspunkt maksimalt 4 utfall som medfører en akkumulert utilgjengelighet på 2 timer per år. Dette tilsvarer en tilgjengelighet på 99,98 % per år.

TRV:08208

Tilgjengelighet operatørplasser: Operatørplasser for fjernkontroll skal ha høy tilgjengelighet for å redusere konsekvensen av svikt i operatørplass eller operatørsted.

  1. Utførelse: Tilgjengelighetskravet medfører at det skal være redundans innen hver driftssentral og mellom driftssentralene.
  2. Operative tiltak: Det skal etableres operative regler for håndtering av svikt i operatørplass og operatørsted.

3.3 Grensesnittkrav

(Ingen spesielle)

3.4 Utformingskrav

(Ingen spesielle)

3.5 Dokumentasjonskrav

(Ingen spesielle)

4 Lokalkontrollanlegg

4.1 Funksjonskrav

TRV:08209

Selvstendighet: Lokalkontrollanlegg skal fungere selvstendig uten overordnet driftskontrollsystem (-nivå) for økt robusthet, for eksempel ved feil i overordnet driftskontrollsystem eller samband.

  1. Utførelse: En konsekvens av dette er at funksjoner, f.eks. forriglinger, skal legges på lavest mulig driftskontrollnivå for å gjøre anlegget minst avhengig av samband med overordnet nivå.
  2. Operative tiltak: Det skal være operative regler for tilsyn av anlegg som ikke fjernkontrolleres.

TRV:08210

Automatisk oppstart: Lokalkontrollanlegg skal starte opp automatisk når strømforsyning gjenopprettes etter avbrudd, med riktig parametrisering og uten behov for andre tiltak.

TRV:08211

Automatisk gjenoppretting av samband: Lokalkontrollanlegg skal automatisk gjenopprette korrekt samband med overordnet driftskontrollnivå etter avbrudd, for eksempel etter svikt sentralt, lokalt eller i samband mellom disse, og sende lokalt mellomlagret informasjon.

4.2 Ytelseskrav

TRV:08212

RAM-parametere: For aktuelle anskaffelser av lokalkontrollanlegg og dets komponenter skal RAM-parametere (MTBF, levetid etc.) identifiseres og vurderes.

  1. Utførelse: Alternative løsninger til spesifisering av konkrete RAM-parametere kan være garanti- eller reklamasjonsklausuler, slik at kostnader for feil som ikke kan heftes ved installasjonen eller bruken, belastes leverandøren.
  2. Vurdering: Vurderingen skal gjøres opp mot hva som er rimelig å forvente, og behovene for den enkelte anvendelsen.

TRV:08213

Reservestrømforsyning: Lokalkontrollanlegg skal ha reservestrømforsyning dersom avbrudd i hovedstrømforsyningen kan føre til stopp i togtrafikken eller redusert personsikkerhet.

  1. Utførelse: Se Felles elektro/Prosjektering og bygging/Lavspent strømforsyning.
  2. Utførelse: Teknisk regelverk for aktuell anleggstype bør spesifisere nærmere behov for reservestrømforsyning og eventuelt nødstrømforsyning i tillegg til kbf.

4.3 Grensesnittkrav

TRV:03249

Ekstern tilkobling: For effektiv detaljert feilsøking, oppdatering (for eksempel parameterendring og konfigurering), datainnsamling og lignende, skal lokalkontrollanlegg ha mulighet for ekstern tilkobling lokalt i forsyningsanlegget og bør ha mulighet for ekstern tilkobling via nettforbindelse.

  1. Utførelse: Ekstern tilkobling skal sikres i samsvar kbf §7 og Bane NORs retningslinjer.
  2. Utførelse: Tilkoblingen bør være USB, RJ45, RS232 eller RS485.

TRV:08214

Samband: Tilkobling til samband bør være standardisert for åpen modulbasert oppbygning av anleggene.

  1. Utførelse: Digital (TCP/IP) ethernettilkobling bør være IEEE 802.3/RJ45 SFP (shielded braid/foil, twisted pair).
  2. Utførelse: Eventuell optisk digital ethernettilkobling bør være type LC eller SC og benytte singelmodus.
  3. Utførelse: Eventuell serietilkobling bør være RS232 eller RS485.


TRV:08215

Andre grensesnitt: Teknisk regelverk for aktuell anleggstype bør spesifisere nærmere grensesnitt for:

  • Strømforsyning (for eksempel 230 VAC, 110 VDC eller 24 VDC).
  • Tilkobling til anleggsdel (prosessen, for eksempel RTU-manøvermaskin for kontaktledningsbryter).
  • Personale (for eksempel behov for betjeningspanel).
  • Eventuelle mekaniske restriksjoner (for eksempel størrelse og vekt).

4.4 Utformingskrav

(Ingen spesielle)

4.5 Dokumentasjonskrav

(Ingen spesielle)

5 Vedlegg

Vedlegg A Driftsmerking og anleggesmerking

  b  Mal Liste over fjernkontrollerte objekter og funksjoner (ikke ferdigstilt)
  c  Mal Signalliste fjernkontroll (ikke ferdigstilt)