CCS TSI 2019的修订:从船上的角度来看，更高效率和更好质量的机会

第四个铁路一揽子计划的出台，使得作为欧盟铁路系统组成部分和子系统认证和授权的最重要技术基础的互操作性技术规范(TSIs)与新要求保持一致成为必要。其中，轨道侧和车载控制、指挥和信号(CCS)子系统的TSI需要进行修订。

在UNISIG的联合下，ETCS供应行业可以集中参与CCS TSI的修订。“认证和授权”工作组(UNISIG C&A)和“ERTMS利益相关者平台子小组测试和认证”(T&C)与供应行业出席制定了一些具体主题的建议。

这些建议在CCS TSI 2019中得到了考虑。它们与第四套铁路计划的新流程相吻合，特别是与法规(EU) 2018/545关于车辆和车辆类型授权的要求相吻合。

子系统的基本设计特征(BDC)的概念在这里起着重要的作用。bdc受影响的程度决定了获得新授权以创建新车型的义务或仅考虑配置管理方面的更改的影响。

UNISIG C&A提案:不触发新授权的微小更改

UNISIG是欧洲领先的控制、指挥和信号设备制造商的联盟，对ETCS规范的维护做出了重大贡献。几个unisg内部工作组在unisg超级小组的领导下开展这项活动。C&A工作组的成立是为了就ETCS产品的认证和授权制定统一的供应行业立场，以便与铁路事业和基础设施管理者的欧洲代表机构、欧洲委员会(EC)或欧洲联盟铁路局(ERA)进行讨论。此外，讨论还涉及如何简化认证和授权过程的想法。讨论的目标是通过对ETCS产品进行微小修改后消除不必要的认证和授权流程，实现在役系统的快速质量改进，避免或限制在役车辆的使用限制。

这些考虑受到实际项目示例的影响，其中错误更正需要冗长而昂贵的授权过程。通常情况下，这些案例需要满足新的需求，因为在原始授权之后定义了新的需求，例如发布了新的CCS TSI或新的国家需求。

机载ETCS的纠错有多方面的原因，如ETCS的复杂性。

ETCS的复杂性是以下需求相互作用的结果，在产品开发中必须考虑这些需求:

• ETCS系统规范的进一步发展(主要是子集-026)
• 部分矛盾的国家授权要求(国家规则(NTRs))
• 额外的客户要求(例如诊断)
• 与现代车辆集成的附加接口要求
• 意想不到的ETCS轨道旁工程方式。

在实现标准功能后，由于需要调整车载ETCS以适应不断变化的环境，例如对与新版ETCS规范的交互反应或对车辆运营商或制造商的特定要求作出反应，可能会导致错误。

图1:互操作性控制、命令和信令技术规范(CCS TSI)变化概述

环境对车载ETCS的影响与对传统国家车载ATP(国家列车控制= NTC)的影响有根本不同。在这里，环境通常适应(例如列车接口单元(TIU)到列车保护)到车载NTC，而不是相反，除其他外，为了不危及现有的车载NTC授权。

此外，ETCS系统规范描述了ETCS的功能需求，但没有对如何规划和设计ETCS提出很多要求。因此，ETCS函数的轨道边解决方案可以通过许多不同的方式实现。为了限制解决方案，ETCS的规划和工程通常由基础设施管理人员(IM)为ETCS轨道侧供应商制定的工程规则定义，这些规则主要面向轨道侧地形和运营需求。但这些工程规则是针对IM的，因此不能在泛欧洲基础上协调一致，可能导致类似操作功能的不同实现。

在开发车载ETCS时，不可能预测所有可能的轨道边解决方案，这意味着如果基于不同的工程规则或使用其他ETCS功能，那么在车载ETCS之前没有运行过的轨道上，车载ETCS可能会发生意想不到的行为。理论上的解决方案是统一工程规则。迄今为止，为实现这一目标所作的一切努力都没有导致积极的结果。如今，在ETCS监管下的车辆能够在ETCS轨道上运行之前，必须成功执行各种测试流程，并考虑到这一事实。本文在讨论ETCS系统兼容性时将更深入地讨论这些方面。

因此，并非所有机载ETCS的不当行为都是由于制造商的质量管理不善造成的。为了ETCS的接受和未来的成功，特别是考虑到欧洲可能即将进行的大型车辆改造项目，铁路部门应该能够在没有繁琐的认证和授权程序的情况下解决这种不当行为。这对于快速应对日益增加的网络安全威胁尤为重要。

为了解决这些挑战，C&A工作组在几个月的时间里起草了一份立场文件。基于对法律情况、指导方针和标准的全面分析，它包含了一个建议的解决方案，可以在不需要认证和授权的情况下引入变化。

为了促进这一点，定义了区分轻微变化和重大变化的条件。较小的修改是指不触发新的认证和授权的修改。这些想法绝不是新的(例如，根据(欧盟)法规402/2013 (CSM-RA)第4条的标准进行重要性评估，或根据附件4 EIGV (Eisenbahn-Inbetriebnahmegenehmigungsverordnung(铁路授权投入服务法规(德国)))或特别创新，但之前从未以这种方式定义或纳入法律，特别是根据CCS TSI对产品和系统进行定义或纳入法律。

除了保持安全水平外，主要条件是对功能影响的评估:在发生微小变化的情况下，目标功能保持不变或设置为原始认证或授权期间已经预期的状态。

变更的功能影响的评估与系统标识符(版本号或标签)的统一方案的定义有关。该方案识别了两个分类标准:功能标识符(X)和实现标识符(Y)。

在上述条件下进行的更改仅涉及实现标识符(Y)的更改，但不涉及功能标识符(X)。因此，可以以统一的方式在证书和授权上引用实现标识符，仅作为通配符，以便在考虑其他条件后，在制造商的责任下纠正错误。

每个制造商必须在上述方案的基础上详细定义系统标识符。例如，如果产品和系统有必要，功能和实现标识符可以在其他分类标准中细分。

图2:微小的修改不会触发新的授权流程

ERTMS利益相关者平台“测试与认证”- ETCS系统兼容性(ESC)

ERTMS利益相关者平台由ERA建立，以确保ERTMS欧洲部署计划的实施。它的工作组应该讨论今天仍然是ERTMS成功的障碍的问题，并提出解决方案。T&C工作组负责为上述挑战提出建议:如何处理不同的ETCS轨道旁实现。

工作组由各代表机构(CER(欧洲铁路)、EIM(欧洲基础设施管理公司)、UNISIG、ERTMS用户组(EUG)、车辆所有者(例如EPPTOLA))以及欧洲委员会和ERA的技术专家组成。

如上所述，协调的工程和操作规则并不存在，预计在不久的将来也不会出现。因此，工作组选择了一个短期解决方案，即接受当前的多样性，并定义统一的测试流程，以应对拥有不同的ETCS轨道侧实施的情况。

特别是在首条商用ETCS线路的实施过程中，轨道侧ETCS和车载ETCS之间的兼容性是一个问题。尽管通过不断修正ETCS规范，情况有所改善，但所有国家都制定了测试流程，以在车辆投入商业服务之前揭示轨道侧和车辆之间的兼容性问题。这表明需要采取行动。

在第一次会议上，T&C工作组对现状进行了分析。为此目的，讨论了案例研究，例如德国和荷兰之间跨境运营的车辆项目的经验，包括上述检测ETCS兼容性的测试过程。瑞士联邦交通办公室(FOT)对瑞士IOP过程的详细介绍也是分析的一部分。

我们发现，所有流程都遵循相同的目标，即识别兼容性/互操作性问题，但组织方式却有很大不同。这些组织和技术实施上的差异对汽车和ETCS制造商来说是一个巨大的问题，尤其是在市场进入方面。在荷兰，IM是所需测试设施的所有者，也是测试规范的创建者，而在瑞士，这两个角色都由ETCS赛道旁供应商担任。这两种方法各有利弊。

荷兰模式允许以非歧视的方式使用测试设施。此外，测试规范是免费提供的。车载ETCS的制造商直接要求IM ProRail进行测试。讨论了实施的细节，并在过程结束时创建了由独立评估人员评估的测试报告。最后，铁路管理局向安全当局提交了一份关于车上ETCS是否适合授权的最终建议。

在瑞士，车载ETCS制造商必须要求ETCS轨道侧供应商进行兼容性测试，后者最终提交所谓的IOP声明，声明车载ETCS与他们配备的轨道侧兼容。测试在ETCS轨道旁供应商的测试设施中进行，车上的ETCS供应商无法深入了解将要执行的具体测试用例。最终的IOP声明可以描述任何值得注意的内容，这些内容必须在授权过程的后期阶段进行评估。附于车辆授权或型式认可个案的技术档案内。

荷兰概念的优点是测试规范的透明度和使用测试设施的非歧视。缺点可能是所谓的测试深度缺失:IM自己指定测试用例。有问题的实现细节，可能只有ETCS轨道旁供应商知道，可能不会在测试用例中捕获。

瑞士方法的缺点是所进行的测试用例缺乏透明度，这些用例是ETCS轨道旁供应商的财产，因此不能免费提供。通常情况下，两个竞争对手面对面，车上的ETCS供应商处于较弱的地位，因为他不能立即要求ETCS轨道旁供应商优先进行测试。然而，瑞士方法的关键优势在于测试深度和效率。赛道旁的供应商知道所有的实施细节，可以达到更好的测试结果的准确性。此外，它不涉及外部核查机构。IOP声明形式的测试结果直接附在授权文件上。

在经营ETCS的其他国家存在不同的方法，这或多或少与上述概念不同。

T&C工作组还审议了2013年的欧洲实验室框架协议，该协议由UNISIG公司谈判达成。它规范了竞争对手对测试设施的访问，并描述了一个过程，如何通过基于UNISIG规范子集-110/111/112的协调接口进行兼容性测试，该接口还允许车载和轨道旁测试设施之间的远程连接。

此外，铁路货运走廊1国家安全当局工作组(NSA RFC1工作组)收集了关于兼容性测试的宝贵信息，并在其指南中分发。

基于对上述信息的分析和对现有解决方案的描述，工作组T&C开发了一个流程，该流程尽可能与所有已实施的解决方案兼容。为了证明车载和轨道侧CCS两个子系统之间的兼容性，定义了ETCS系统兼容性(ESC)一词，它将取代所有现有的术语(例如IOP, TTSV(轨道-列车-系统验证))。2019年2月，一份包含工作组结果的文件(“ESC演示原则”)完成，并移交给年代煤机供进一步使用。以前的版本已经作为CCS TSI文本修订讨论的基础。原则上，该文档包含了流程所需的大部分必要术语和涉众定义。

新的流程结构如下:IM作为验证性能的焦点，以演示ESC。IM应确保ESC演示的测试设施的可用性。此外，IM负责定义必须应用于ETCS类型的行(ESC类型)的检查集。ESC类型可以由以下几个方面定义:1.)ETCS线路指定的操作概念，2.)应用的工程规则和3.)ETCS轨道旁供应商。如果不同的ETCS轨道都满足了这三个方面，那么IM可以认为它们是相同的ESC类型。必须为每个ESC类型定义上述检查集。此方法的目标是通过将一个ETCS行的测试结果用于相同ESC类型的所有其他行，从而最大限度地减少测试次数。这将激励所有利益相关者在未来限制ETCS的多样性。

实验室(推荐)或实际的轨道旁设施可以作为ESC演示的测试设施。测试设施经理负责保持一个中央测试数据库，它包含所有可能的测试用例，并在测试设施中实现。

该流程从对ESC语句感兴趣的实体(申请ESC演示的实体)向IM发出请求开始。该实体通常是但不一定是机载ETCS的制造商。在下一步，IM审查现有证据的实质(例如合格证书)，在此基础上IM得出关于基本适合目的和所需测试范围的结论。

根据所提供的证据，测试经理在车载子系统级别定义所需检查的范围，并创建初步测试报告，测试经理、车载和轨道旁ETCS制造商以及IM在测试活动完成后进行讨论。如果发生了明显的行为，必须进行区分，无论是轨道旁或车载ETCS实现的故障，ETCS系统规范的错误，还是仅仅是测试环境的问题。如果ETCS系统规范出现错误，则需要ERA采取适当的措施，例如创建更改请求(CR)。如果涉及的各方不能就测试用例的正确结果达成一致，也会调用ERA。

如果讨论的结果是阳性的测试报告，申请ESC演示的实体可以起草一份与选中ESC类型相关的ESC声明。此外，如果测试结果能够代表机载ETCS的所有可能配置，因此可以重新用于其他特定应用，则机载ETCS制造商可以起草ESC IC(互操作性组成部分)声明，并将其作为其产品的EC符合性声明的补充附件发布。这强调了ESC作为产品特性的定义。

采纳CCS TSI 2019工作组提出的概念

CCS TSI 2019将考虑C&A和T&C工作组的上述建议。它们与第四套铁路计划的新流程相吻合，特别是与法规(EU) 2018/545关于车辆和车辆类型授权的要求相吻合。

子系统的基本设计特征(BDC)的概念在这里起着重要的作用。bdc受影响的程度，决定了是否有义务获得新的授权，以创建新的车型版本，或仅考虑配置管理方面的更改。舰载CCS子系统的bdc包含在新CCS TSI表7.1中。

微小的变化

对于微小的更改过程，CCS TSI 2019定义了BDC“车载ETCS实现”。如果只认为修改程度较小，则不影响下下限。这意味着它可以被视为法规(EU) 2018/545第15 (1)b条所涵盖，而无需触发新的授权。

如果修改被认为是实质性的，BDC的“机载ETCS实现”将受到影响。在这种情况下，它根据法规(EU) 2018/545第15 (1)d条触发新的授权。这两种情况的区别可以从CCS TSI 2019表7.1的第3列和第5列中得到。

在这两种情况(轻微变更或重大变更)中，哪一种适用于已实施的变更，必须由章节7.2.1a中机载子系统定义的条件(基于C&A的建议)定义。2的CCS TSI。关于系统标识符的功能和基本定义的这些条件在此阶段进行评估。附加条件涉及更改后接口的兼容性以及安全级别的维护和演示，包括独立的安全评估。不得因变更而引入新的与安全相关的应用条件，变更应在公告机构批准的质量管理体系下进行。最后，必须确保根据法规(EU) 2018/545第5条对更改后的配置进行管理。管理变更的实体(同样根据条例(EU) 2018/545)应证明并证明仍然满足了适用的要求。

根据第7.2.1a节，CCS TSI 2019第7点(和脚注15)，如果有轻微修改，则可以应用原始EC验证所基于的CCS TSI。正如一开始提到的，这是一个非常重要的条款，将来可以省去很多争论。

图3:ESC-先决条件和性能

ETCS系统兼容性

对于ETCS系统兼容性(ESC)， CCS TSI 2019为同名的板载CCS子系统定义了BDC。此外，CCS TSI 2019定义了机载子系统的无线电系统兼容性一词，相当于ETCS的无线电通信系统兼容性。

T&C工作组制定的基本原则被转移到CCS TSI 2019，但没有详细的过程描述。具体细节将由ERA稍后定义，最有可能的是将T&C工作组编写的文件作为附件附在CCS TSI指南中。法规的文本仅限于指出IM对ESC流程的责任，并定义了少量的最低要求。im负责为它们的ESC类型定义必要的检查集。它们必须在基础设施寄存器RINF中定义后者。每一条ETCS线都可以有自己的ESC类型。在整个概念的介绍阶段可能经常出现这种情况，但其目的是逐渐减少ESC类型的数量。

所需的检查集根据CCS TSI定义ESC类型。定义相同检查集的所有ETCS线都符合一种ESC类型。

IMs必须在2020年1月16日之前向ERA提供每种ESC类型的检查。ERA必须在技术文件中公布这些信息，并使其公开。

CCS TSI 2019没有定义必须在哪种类型的测试设施中执行测试用例，也没有定义过程的详细情况。其第6.3.3.1节，a)点指出，公告机构应检查所选车辆的ESC测试结果的可用性。这将是对所有可用ESC报表的完整性的检查，以及对与检查结果相关的可能条件的满足或关闭的检查。这将在子系统级别上完成。根据6.3.3.1节b)点规定，测试报告必须参考上述ERA技术文件中包含的检查。对于这一点，公告机构将检查报告是否表明了每项必要检查的结果。此外，公告机构必须根据第6.3.3.1节c)点的规定，检查测试报告的结果是否说明了在测试过程中发生的所有不兼容和错误。

监察及监察工作小组认为，人事编制小组委员会的评审过程不需要通告机构。由IM、测试经理和参与(可能是竞争)制造商对测试结果的评估被认为是足够的。瑞士IOP流程是最好的证据，证明ESC在没有独立评估机构的情况下也能很好地发挥作用。

CCS TSI 2019不要求将公告机构纳入实际测试过程。评估仅限于检查测试报告，并检查车辆使用区域的所有可用ESC (IC)报表在子系统级别上的完整性。公告机构无需参与ESC测试。此外，ESC的评估不属于EC验证的一部分。EC认证证书也可以在没有ESC评估的情况下授予，因为ESC不是CCS TSI 2019表6.2的检查点。因此，公告机构的上述ESC评估独立于EC符合性评估，不需要由同一公告机构执行。

CCS TSI 2019还强调，一些ESC检查可以在互操作性组成部分的层面上进行演示(例如，在产品层面上的ESC IC声明中所述)，以缩小车辆项目中的验证范围。因此，第6.3.3.1节的b)和c)点也可以在互操作性组成层上执行。

通过CCS TSI 2019中的BDC ETCS系统兼容性，车辆的授权流程引入了ESC检查。它是在为车辆授权定义的车辆使用区域内指定的值。该值符合指令(EU) 2016/797第21(10)b条，并可能根据同一指令第21(12)a条而有所不同。因此，如果该值的变化在CCS TSI定义的可接受范围内，则不需要新的授权。

CCS TSI再次支持表7.1中可接受范围的概念。添加或删除ESC语句可以定义为在车辆中没有引入其他修改时对值的更改。根据表7.1第4列，该值的更改仅会导致法规(EU) 2018/545第15 (1)c条的更改。在这种情况下，为兼容ESC类型而添加ESC语句将导致新的车辆类型版本，但不会触发新的授权。因此，新的ESC类型将作为一个值输入到车辆寄存器(ERATV)。根据目前的法律解释，该值在授权过程中可以留空，例如，如果车辆的使用区域不包括ETCS线路，则可以对此进行ESC演示。车辆(类型)授权无论如何都是可能的。

根据(EU) 2016/767第23条(路线兼容性检查(RCC))，作为车辆整体路线兼容性检查的一部分，BDC ETCS系统兼容性的可用性是必需的。检查点载于TSI行动附件D。如果车辆要通过的一条线被划分为ESC类型，则必须在RCC中得出结论，即给定车辆的ERATV条目是否符合RINF中定义的ESC值。如果是这样的话，车辆就可以开动了。如果ESC值缺失，则必须根据上述过程创建ESC语句，并在ERATV中创建一个具有相应条目的新车型版本。只要车辆和集成的车载ETCS正确地掌握了新的ESC类型，无需进行任何修改，就不需要新的授权。但是，即使在ESC检查期间纠正错误行为也可能不会触发新的授权，如果错误行为导致的更改可以被归类为轻微(根据CCS TSI 2019中设置的条件)。只有重大更改才会触发新的授权，例如，由于检查不成功(例如缺少Euroloop函数)，必须随后集成某个函数。

结论

CCS TSI 2019中对微小变化的简化过程的考虑和ETCS系统兼容性的演示代表了真正的模式转变，并为ETCS的引入、维护和质量的提高提供了降低成本的机会。这两项贡献都是通过该部门的密切合作制定的，并经过了数月的协调。讨论是富有成果的，所有相关利益攸关方都表现出了务实的态度。

正如文章所示，由于法律措辞复杂，CCS TSI 2019中修改的实际后果不容易理解。因此，ERA需要通过发布CCS TSI应用指南来带来更多的清晰度。中期而言，优先事项应设法改善条例的可理解性。此外，各部门组织在这些议题上的良好合作必须继续下去，以便有效地将新框架付诸实施。