Sistemas de

Controle
Operacional de
Ferrovias
VALEC - Braslia
Jorge Martins Secall

Sistemas de Controle Operacional

de Ferrovias Bloco 1 - 29 e 30/Maio de 2015
Histrico do controle de trens;
Riscos envolvidos no trfego ferrovirio;
Processos envolvidos no gerenciamento da
capacidade ferroviria e segurana;
Diferentes nveis de controle necessrios em
operaes ferrovirias;
Nveis de automao do sistema de
sinalizao e controle de trens;
Conceitos do sistema de operao
ferroviria;
Fatores humanos na concepo de sistemas
de controle de trens.

Sistemas de Controle Operacional

de Ferrovias Bloco 2 - 19 e 20/Junho de
2015
Processos de gesto para substituio de tecnologias
de sistema de controle;
Controle de trfego ferrovirio
Sistemas de comunicao: trem - trem e trem-centro de
controle;
Sistemas de sinalizao;
Desempenho de trens;
Ferramentas de programao;
Tabelas de programa horrio;
Anlise econmica do projeto do sistema de controle de
trfego;
Ferramentas de modelagem e simulao de sistemas de
controle de trens (Segurana e Desempenho);
Solues de eletrnica, tecnologia da informao e
comunicao aplicadas ao trfego ferrovirio.

Histrico do controle de
trens

Riscos envolvidos no trfego

ferrovirio
Riscos:

Coliso;
Descarrilamento;
Atropelo de mquina de chave;
Atraso.

Causas:

Fator humano;
Sobre velocidade;
Falha mecnica;
Falha eletromecnica (freios,
sinalizao, propulso, etc.)

Processos envolvidos no gerenciamento da

capacidade ferroviria e segurana

Segurana na circulao;
Deteco de posicionamento;
Rastreamento;
Controle de espaamento;
Controle de velocidade;
Controle da oferta;
Composio dos trens;
Sinais vitais homem/mquina;
Etc.

Diferentes nveis de controle necessrios

em operaes ferrovirias

Automtico;
Centralizado;
Setorizado;
Supervisionado;
Manual (local).

Nveis de automao do sistema

de sinalizao e controle de trens
Carga/passageiros (mainline):
Dark territory;
Sinalizao a margem da via;
Cab signal;
ATO
Driverless;
PTC/ERTMS (ETCS).

Nveis de automao do sistema

de sinalizao e controle de trens
Metrs, VLTs:
Sinalizao a margem da via;
Cab signal;
ATO
Driverless;
UITP GoA1 at GoA4.

Fatores humanos na
concepo de sistemas
de controle de trens
1. Em qualquer nvel de
automao os seres
humanos fazem parte
integrante do sistema de
controle;
2. Todos os acidentes so
sempre provocados por
erros humanos em algum

Introduo a Sinalizao
Ferroviria
O Que significa exatamente sinalizao
nas ferrovias?
Sinalizao o mecanismo pelo qual os
controladores enviam informaes aos
trens para pararem, prosseguirem
normalmente ou com alguma restrio.

Quais so os tipos de sistemas de sinalizao

adotados pelas ferrovias?

intervalo de tempo (Marcha a vista)

distanciamento espacial

Mtodo do intervalo de tempo

Os trens so espaados
temporalmente em um setor da via
de maneira a que, se o primeiro trem
parar, o prximo trem deve estar
apto a parar em uma distncia
suficiente para no colidir com o
trem a frente.
o tipo de sinalizao normalmente
empregado em bondes, no sendo
adequado para sistemas mais
pesados.

Mtodo do distanciamento espacial

Neste mtodo de controle de
movimentao, o comprimento da via
dividido em setores chamadas blocos;
A entrada de um trem em um bloco
controlada de tal maneira que apenas
quando no houver um trem no bloco esta
entrada seja autorizada;
Isto implica que entre dois trens
consecutivos existir um espao fixo e
definido.

Elementos bsicos da sinalizao

Objetos:

Sinais;
Dispositivos de deteco de trens;
Mquinas de chave.

Controladores de objetos:

Intertravamentos;
Controles locais ou CTCs;
Controle centralizado.

Visual

Placas
(ativas/
passivas)

Sinaleiros

Controle de
acesso
(Staff)

Sinal
Fixo

Mltiplos aspectos

Dois aspectos

Semforo

Sinalizao
mecnica

Semforo

Sinalizao
mecnica

Parada Total

Prossiga

Aspecto
vermelho: pare
imediatamente.

Aspecto amarelo:
Cuidado, prossiga e
prepare-se para parar
no prximo sinal.

Luz verde:
Prossiga.

Dois aspectos: Ateno,

Prossiga e esteja
preparado para passar o
prximo sinal em
velocidade reduzida.

Dispositivos de determinao do
posicionamento de trens

Circuitos de via;
Contadores de eixo;
Balizas;
Deteco interna aos trens
(tacmetro);
Geoposicionamento;
Sistemas inerciais;
Radiofrequncia.

Circuitos de via I

1.
2.
3.
4.

Circuitos de via so dispositivos que

detectam a presena de trens num
setor especfico da via.
H muitos tipos de circuitos de via:
Circuitos DC;
Circuitos AC por deteco de fase;
Circuitos AF;
Circuitos de RF.

Circuitos de via II

Willian Robinson 1872

Circuitos de via III

Vias

Circuitos do
dispositivo
Contatos de rels ou sinais
eletrnicos disponveis para os
dispositivos controladores de alto
nvel (intertravamentos)

Circuitos de via IV

Circuitos de via V

Circuitos de via VI

Contadores de eixo I
So dispositivos de passagem e no
detectores pontuais -> mudana
filosfica. Paradigma da inicializao
do sistema. Podem ser:
Analgicos;
Digitais;
ticos;
Mecnicos;
Magnticos.

Contadores de eixo II

Balizas I
Balizas so transmissores e/ou
receptores e tem diversas
funes:
Detectar a passagem do trem
recebendo sua informao;
Informar ao trem a sua posio
(reset de erro cumulativo em
tacmetro);
Transmitir comandos aos trens;
Receber dados dos trens;
Etc.

Balizas II
Balizas podem ser:
Ativas

(Quando so alimentadas e
conectadas externamente)
Passivas

(Quando no apresentam
conexes externas)

Balizas III

Deteco interna aos trens

(tacmetro)

Geoposicionamento

Sistemas inerciais

Radiofrequncia

Mquinas de chave I
So dispositivos ligados ao sistema de
sinalizao que comutam a posio dos AMVs
Aparelhos de Mudana de Vias permitindo a
seleo do caminho que um trem seguir
atravs de uma juno ferroviria;
Tm normalmente apenas duas posies:
Normal e Reversa.
Podem ser mecnicas, eltricas, hidrulicas,
eletro hidrulicas, etc.
Podem ser de comando local e/ou remoto;
Podem indicar sua posio local e/ou
remotamente.

Mquinas de chave II
Via

Motor
Eltrico ou
pisto hidrulico

Mquinas de chave III

Mquinas de chave modernas tem graus
operacionais. Podem ser operadas:
Remotamente pelo centro de controle;
Remotamente por um controle regional;
Automaticamente por um intertravamento
(rotas);
Manualmente por um operador.
Conceito fundamental:
Travamento
Pode ser:
No AMV (fish tail) UIC Europa;
Na MCH AAR EUA.

Controladores de Objetos
Em sistemas de sinalizao os
controladores de objeto podem ser:
Vitais ou no vitais;
Embarcados ou em instalaes fixas
(intertravamentos);
Mecnicos (obsoletos), eletromecnicos
(baseados em rels) ou eletrnicos (SSI,
ATCs, etc.).

Elementos de via a serem

controlados por um intertravamento

Sequenciamento

Conceitos distintos de segurana

Safety: Segurana operacional
Security: Segurana de integridade
e autenticidade
Surveillance: Segurana publica,
vigilncia

Conceitos distintos de segurana

operacional

Fail Safe
Fault tolerant

Fail Safety
Fail Safety ou falha segura o conceito
de que quando um sistema falha ele
falha para o lado seguro.
Exemplo: rels vitais nos
intertravamentos a rel. Se a
alimentao falha o rel cai e seleciona
sempre um estado seguro.

Fault tolerance
Fault tolerance ou tolerncia a falhas
o conceito de que quando um sistema
falha as falhas esto associadas a
medidas de controle que tomam as
providncias necessrias para manter o
sistema seguro.
Exemplo: o processo de votao em SSIs
(intertravamentos de estado slido).

Intertravamentos I
Intertravamentos controlam os objetos de
via (sinaleiros, circuitos de via,
mquinas de chave, etc.) em uma
estao e/ou em regies entre estaes.
Este controle inclui as rotas dos trens
passantes, as manobras, a
movimentao dos veculos auxiliares,
se encarregando de todos os tipos de
movimento do sistema ferrovirio;
Este controle deve obedecer regras
rgidas de segurana, legais e
operacionais da ferrovia.

Intertravamentos II
conceito se refere as relaes lgicas
estabelecidas entre os entes fsicos que compe
a ferrovia.
Nos intertravamentos baseados em rels, ou RRI
Route Relay Interlocking, as regras esto
estabelecidas nas conexes dos prprios
circuitos dos contatos e bobinas dos rels;
Nos intertravamentos eletrnicos, ou SSI Solid
State Interlocking, as regras lgicas esto
estabelecidas no software. De maneira a
melhorar a manutenibilidade, as regras esto
normalmente descritas em uma srie de
equaes Booleanas que so por sua vez
interpretadas pelo software do SSI.

Exemplo de circuito a rels de um

RRI (normativa Commonwealth)
MAIN/SH. SIGNAL ROUTE SELECTION RELAY
Concerned
CH/GF/LX_
KLCR
GNR

GNR

WNR

Concerned
CH/GF/LX_
YR

&
WFR

UNR

UUYNR COGGNR

EUYNR

Own

WFR

ASR

RWKR

CNF_
LRs

LR
EGRNR

NWKR

&

UYR2

MN/SH_
LR

Exemplo de circuito a rels de um RRI

(normativa AAR)

SSIs (ou CMTs no Brasil)

Intertravamentos de estado slido foram desenvolvidos
como um aperfeioamento dos RRIs para os novos sistemas
mas tambm como substitutos para os RRIs existentes que
paulatinamente se tornam complicados e caros de manter.
Isto se d fundamentalmente:
Pela complexidade dos equipamentos com milhares de rels;
Pela dificuldade de administrar, j que qualquer modificao
depende de modificar fisicamente os circuitos;
Pela obsolescncia dos rels, cada vez mais escassos e caros;
Pela dificuldade de formao da mo de obra especializada
necessria.

SSIs custam tipicamente do custo de seu equivalente

eletromecnico e so mantidos por uma frao do Opex dos
RRIs.

S2

S14

SH5

S4

S12

S11

Mquina de chave

S13
Circuito de via

Registrador
de dados
Painel sintico indicador (local ou CCO)

SSI Rack

Interface com o campo:

reles ou eletrnica

Terminais de
manuteno

Os intertravamentos de estado slido podem

ser divididos em dois tipos bsicos:
1. Sistemas centralizados: como sugerido pelo
nome, todas as funes de segurana so
tratadas nas instalaes do centro de
controle. Desta maneira, as informaes de segurana ou no devem trafegar
de/para o CCO a partir dos trens e
instalaes fixas. Este arranjo tem
aumentado seu espao nos sistemas
modernos pela racionalizao;
2. Sistemas distribudos: esta a abordagem
mais tradicional, em que os
intertravamentos assumem as funes
locais e apenas as informaes de
interface so transmitidas remotamente.
3. H vantagens e desvantagens em ambas as
abordagens.

Baseado em sua arquitetura, os intertravamentos

de estado slido (ou outros controladores de
objeto como ATCs de bordo) podem ser
classificados nos seguintes tipos:
1. Processadores simples;
2. Sistemas 2 out of 2, 2oo2;
3. Sistemas 2 out of 3, 2oo3;
4. Sistemas hot standby.
A escolha do tipo visa atingir os parmetros RAMS
(Reliability, Availability, Maintainability e
Safety) ou CDMS (Confiabilidade,
Disponibilidade, Manutenibilidade e
Segurana) estabelecidos em projeto para
alcanar os resultados operacionais, legais e
de segurana esperados pelo operador e pela
legislao.

Engenharia da confiabilidade ou RAMS

Conceitos bsicos I

Para discutir RAMS a histria comea

basicamente na Segunda Guerra
Mundial e a decorrente Military
Handbook, Reliability Prediction of
Electronic Equipment, MIL-HDBK-217;
Confiabilidade pode ser definida
como a habilidade de um item
realizar uma funo especfica com o
resultado especificado ao longo de
um determinado intervalo de tempo;
Redundncia a existncia de mais
de um meio de realizar uma dada
funo. Estes meios para obter a

Engenharia da confiabilidade ou RAMS

Conceitos bsicos II

Falha: trmino da
habilidade de um item de
realizar a funo para o
qual ele foi inserido no
sistema;
Falha oculta: falha que
no se manifesta no
momento de sua

Engenharia da confiabilidade ou RAMS

Conceitos bsicos III

Manutenibilidade a habilidade de um
item, sob condies de uso
estabelecidas, de ser reparado e
devolvido ao estado em que ele pode
realizar a sua funo especificada,
quando a operao de manuteno
prescrita realizada;
Disponibilidade a habilidade de um
item (de maneira coordenada com a
confiabilidade e a manutenibilidade) de
realizar sua funo ao longo de um
determinado perodo de tempo.

Engenharia da confiabilidade ou RAMS

Conceitos bsicos IV

Curva da banheira:

Mtodos para obter segurana em

sistemas eletrnicos processados

Processador lendo no
tempo 1
Entradas
Processador lendo no
tempo 2

Fig No: 1 Redundncia temporal

Sadas do
sistema

Entradas

Entradas

Processador 1
Software e hardware
idnticos

Processador n
Software e hardware
idnticos

Processador 1
Sadas

Processador n
Sadas

Fig No: 2 Redundncia de Hardware

V
O
T
A
D
O
R

Sadas do
sistema

Entradas

Entradas

Processador 1
Hardware 1
Software idntico

Processador n
Hardware n
Software idntico

Processador 1
Sadas

Processador n
Sadas

Fig No: 3 Diversidade de Hardware

V
O
T
A
D
O
R

Sadas do
sistema

Entradas

Software 1

Software 2

Fig No: 4 Diversidade de Software (B mode)

Sadas do
sistema

Entradas

Entradas

Processor 1
Identical Hardware
Software 1

Processor n
Identical Hardware
Software n

Processor 1
Outputs

Processor n
Outputs

Fig No: 5 Diverse software on redundant hardware

V
O
T
E
R

Sadas do
sistema

Entradas

Entradas

Processor 1
Hardware 1
Software 1

Processor n
Hardware n
Software n

Processor 1
Outputs

Processor n
Outputs

Fig No: 6 Diverse software on Diverse hardware

V
O
T
E
R

Sadas do
sistema

Incio

Rotinas de preparao e de
diagnstico

Comunicao com os objetos

sob controle

Varredura das variveis de

entrada e sada

Fluxo bsico do software de um CMT

Como os erros so detectados em

CMTs? I
Testes de inicializao:
Assim que o equipamento energizado,
cada processador comea a sua
operao a partir de uma localizao
vetorizada, independentemente de seu
estado anterior. Neste estado, cada
processador inicializa seus respectivos
perifricos escrevendo nos
registradores adequados;
A partir da ele realiza funes
diagnsticas de todos os seus
componentes internos;

Como os erros so detectados em

CMTs? II
Estes diagnsticos so basicamente:
Teste de RAM;
Teste de ROM;
Teste do barramento de E/S;
Teste de identificao do processador;
Testes de endereamento;
Testes de configurao de E/S;
Testes tipo check before operate;
Medida das voltagens e parmetros fsicos do
sistema;
Etc.

Necessidade de verificao e validao

independentes

A complexidade dos modernos sistemas de sinalizao

demanda procedimentos rigorosos e cumprimento de
requisitos exigentes para a sua verificao e
validao;
H claros critrios de segurana em muitos pases,
como MEM, ALARP ou GAMAB. No h no Brasil;
Os sistemas de segurana crtica (CSA Critical Safety
Applications) esto em toda a sociedade: nuclear,
medicina, aviao, ferrovias e metros, etc.;
O movimento na direo do software introduziu
complicaes importantes como a migrao fail safe
-> fault tolerant;
A normativa IEC 61508 mapeia esta realidade;
Para as ferrovias as anlises de segurana no so
exigncia legal no Brasil;
Comearam no Brasil com o metr de SP no incio dos
anos 70 (Batelle + FDTE);
Na Europa esto estabelecidas no conjunto CENELEC
5012X, atualmente em reviso;

Injeo de Falhas
Procedimento de teste reacional
baseado em injeo de falhas, por
software e/ou hardware de maneira a
testar as reaes sistmicas em
condies contingenciais;
Serve tanto para sistemas de controle
vitais como a sinalizao como para os
no vitais de importncia operacional
relevante como os centros de controle.

FMEA e FMECA I
FMEA significa Failure Modes and Effect Analysis e
FMECA, Failure Modes and Effect Critical Analysis;
Trata-se da verificao dos possveis modos de falha
de cada componente (hardware ou software) e do
subsequente comportamento de todo o sistema de
controle na ocorrncia, isolada e combinada, de cada
um destes modos de falha;
fundamental na verificao da segurana dos
sistemas;
Pode ser realizado pelos fabricantes e/ou
certificadores dependendo da abordagem regulatria.

FMEA e FMECA IIa

Exemplo:
Componente

Carto 1

Carto 2

Carto 3

Carto 3
Sistema

Sadas do sistema

FMEA e FMECA IIb

No exemplo acima, se o componente do
carto 1 falhar, o carto pode ou no
falhar. Entretanto, se a falha for detectada
o carto falhar e melhor que o faa;
Para cada falha, ou conjunto delas, a
totalidade das sadas deve ser analisada,
verificando as combinaes que levam a
indisponibilidade do sistema e as
combinaes que levam a condies
inseguras;
MTBF versus MTBUF.

FMEA e FMECA III

U16
1D
2D
3D
4D
5D
6D
7D
8D
LE
OE

Loop Test
Falhas combinacionaisData
so comuns;
Controles de software so muito eficientes ->
Tcnicas de programao defensiva.

1Q
2Q
3Q
4Q
5Q
6Q
7Q
8Q

19
18
17
16
15
14
13
12

BD8
BD9
BD10
BD11
BD12
BD13
BD14
BD15
VCCP

VCC
74HC573

C15
0.1uf

U17
BD8
BD9
BD10
BD11
BD12
BD13
BD14
BD15

2
3
4
5
6
7
8
9
DL_LEN
DL_OE#

11

VCCP

20

1D
2D
3D
4D
5D
6D
7D
8D
LE
OE
VCC
74HC573

1Q
2Q
3Q
4Q
5Q
6Q
7Q
8Q

19
18
17
16
15
14
13
12

Nveis de Integridade de Segurana SIL

levels
Um problema fundamental nas
estimativas dos fatores RAMS a
capacidade de um sistema de
funcionar da maneira prevista em um
dado conjunto de variveis
ambientais por um dado perodo de
tempo.
Isto depende de muitos fatores, como
o projeto, a execuo (os
componentes utilizados e sua
montagem), o ambiente de
funcionamento, etc.
Desta maneira fundamental lembrar
que todos os parmetros RAMS so

 Seja S(t) o nmero de componentes

sobreviventes, que ainda esto operando no
instante t aps o incio de um experimento de
envelhecimento. Seja F(t) o nmero de
componentes que falharam at o instante t.
Neste cenrio, podemos definir confiabilidade
como a probabilidade de sobrevivncia dos
componentes R(t):
R(t) = S(t) / N
--- (1)
A probabilidade de falha dos componentes
tambm conhecida como desconfiabilidade ou
em ingls unreliability Q(t):
Q(t) = F(t) / N
--- (2)
O nmero total de componentes ser ento:
N = S(t) + F(t) --- (3)
Somando as equaes (1) e (2) e substituindo
em (3) obtemos:
R(t) + Q(t) = 1
A taxa de falhas, tambm conhecida como
coeficiente de perigo, Z(t) definida como o
nmero de falhas por unidade de tempo

i.e.:

Z(t) = --- (5)

Para obter a confiabilidade em termos da taxa de falhas
combinamos as equaes (1) (4) &(5). Aps combinar e
integrar a expresso final obtemos a confiabilidade com
referncia a taxa de falhas:
R(t) = -t
--- (6)
fcil verificar que a confiabilidade de um sistema cai na
medida em que a taxa de falhas sobe exponencialmente.
Esta relao conhecida como a lei exponencial das falhas
tipicamente expresso como um ndice de falhas por 1000
horas ou como falhas por hora. Quando o produto t
pequeno, a equao (6) se torna:
R(t) = 1 t
--- (7)
Que nos d agora a confiabilidade de um sistema
considerando falhas ocorridas ao longo da vida til
inteiramente decorrentes de falhas de seus componentes.

Tabela para a alocao do SIL

IEC61508
Tolerable Hazard Rate THR per hour
And per function

Safety Integrity Level

10-9 <= THR < 10-8

10-8 <= THR < 10-7

10-7 <= THR < 10-6

10-6 <= THR < 10-5

Bibliografia

KERR, D. (Ed.). (2000). Introduction to Signalling. London: Institution

of Railway Signal Engineers.
MITCHELL, I. H. (2003). Signalling Control Centres Today and
Tomorrow.
PINCOCK, A. J. L. (1998). Safe Passage to Europe Eurostars In-Cab
Signalling Systems. Proceedings of the ImechE, Part F Journal of Rail
and Rapid Transit, Vol. 212.
WRIGHT, N. and HAMILTON, A. (2002). ATP The Train Operators
Perspective.
WOODLAND, D. N. and SCHMID, F. (2002). The Limitations of Train
Braking Performance: Adhesion, Acceleration and Jerk. In: Railtex
2002, National Exhibition Centre, Birmingham, 26-28 November.
SCHMID, F. (2002). Train Control Research in Europe.
LUNDBERG, P. (2002). Eurobalise Transmission System, A Technical
Overview. Signalling and Communications. Kempe's Engineers YearBook for 2000.

Jorge Martins Secall

Email: jsecall@icloud.com