Přednáška Principy kvantifikace integrity bezpečnosti železničních zabezpečovacích systémů Autor: Ing. Petr Hloušek, Ph.D. 23. 05. 2006 Plzeň
Obsah přednášky Způsoby hodnocení bezpečnosti moderních zab. zařízení Hodnocení a přijetí (akceptování) rizika Proces návrhu a schvalování s ohledem na bezpečnost
Bezpečnost moderních zabezpečovacích zařízení evropské normy: EN 50126 Stanovení a prokázání bezporuchovosti, pohotovosti, udržovatelnosti a bezpečnosti (RAMS) EN 50128 systémy Software pro drážní řídicí a ochranné EN 50129 Elektronické zabezpečovací systémy EN 50159-1 Komunikace v uzavřených přenosových zabezpečovacích systémech EN 50159-2 Komunikace v otevřených přenosových zabezpečovacích systémech
Bezpečnost moderních zabezpečovacích zařízení evropské normy:
Bezpečnost moderních zabezpečovacích zařízení Parametry RAMS Reliability (Bezporuchovost), Availability (Pohotovost), Maintainability (Udržovatelnost), Safety (Bezpečnost) Hodnocení bezpečnosti kvalitativní a kvantitativní složka 1) schopnost zabezpečovacího zařízení omezit následky poruchy přechod do bezpečného stavu (bezpečná reakce na poruchu) 2) mohou existovat poruchové stavy s pravděpodobnosti menší než požadovaná mez, kdy zařízení nebude reagovat správně. Kvantifikace bezpečnosti - pravděpodobnost nepřítomnosti hazardního stavu po danou dobu za daných podmínek provozu.
Bezpečnost moderních zabezpečovacích zařízení Úplnému odstranění rizika brání technické i ekonomické ohledy Minimalizace rizika vhodné doplňování postupů ovlivňujících kvalitativní a kvantitativní složku bezpečnosti při návrhu systému Problém určení meze přijatelnosti rizika
Hodnocení a přijetí (akceptování) rizika Typický příklad hodnocení a přijetí rizika
Hodnocení a přijetí (akceptování) rizika Přijetí rizika - má vycházet ze všeobecně uznávané zásady ALARP - co nejnižší rozumně dosažitelné riziko - zásada používaná ve Velké Británii GAMAB - celkově nejméně tak dobré - zásada používaná ve Francii MEM - minimální endogenní úmrtnost - zásada používaná v Německu
Zásada ALARP
Zásada GAMAB celkově nejméně tak dobré Úplná formulace: Všechny nové řízené dopravní systémy musí poskytovat úroveň rizika celkově nejméně tak dobrou, jako poskytuje kterýkoli stávající ekvivalentní systém
Zásada MEM minimální endogenní úmrtnost technologické příčiny úmrtí: - zábava a sport (surfování, extrémní sporty atd.) - doprava atd. Nepatřísem: -úmrtív důsledku nemoci -úmrtív důsledku vrozených vad R m - minimální endogenní úmrtnost - věková skupina od 5 do 15 let - stanovena jako: R m = 2 * 10-4 smrtelných úrazů/osoba * rok
Diferenciální averze k riziku (DRA) U systémů, které mohou mít za následek velký počet smrtelných úrazů
Bezpečnost moderních zabezpečovacích zařízení Koncepce rizika - kombinace dvou faktorů: pravděpodobnosti výskytu události nebo kombinace událostí vyvolávajících nebezpečí, nebo četnosti těchto výskytů následků nebezpečí
Proces návrhu a schvalování moderních zab. zařízení s ohledem na bezpečnost Interoperabilita (Interoperability); Cross-acceptance (vzájemné uznávání) Podmínky pro uznání a schválení bezpečnosti Důkaz bezpečnosti (Safety Case) 1. Doklady o řízení jakosti 2. Doklady o řízení bezpečnosti 3. Doklady o funkční a technické bezpečnosti.
Úrovně integrity bezpečnosti (SIL) různá naléhavost požadavků na bezpečnost funkce u různých železničních systémů a subsystémů Tlak na rozumnou cenu systémů Integrita bezpečnosti - schopnost systému plnit požadované bezpečnostní funkce. Čím je vyšší, tím nižší je pravděpodobnost, že systém při provádění bezpečnostních funkcí selže
Úrovně integrity bezpečnosti (SIL) Integrita bezpečnosti - dvěčásti: integrita vůči systematickým poruchám (nekvantifikovatelná) - procesy řízení jakosti a řízení bezpečnosti + technické prostředky integrita vůči náhodným poruchám - musí být provedeno kvantifikované hodnocení pomocí pravděpodobnostních výpočtů - vychází se z údajů o intenzitách poruch a druzích poruch HW komponent
Požadavky na bezpečnost a integritu bezpečnosti
Určování požadavků na integritu bezpečnosti Systematické použití metodiky - ohled jak na pracovní prostředí, tak na architekturu návrhu zabezpečovacího systému Podstata přístupu -dobře definované rozhraní mezi provozními požadavky, včetně pracovního prostředí a zabezpečovacím systémem Definice rozhraní - soupis nebezpečí a souvisejících tolerovatelných intenzit nebezpečí (THR) v systému
Určení požadavků na integritu bezpečnosti
Určení požadavků na integritu bezpečnosti Stanovení THR - ve formě kvantifikovaných cílů bezpečnosti (safety targets) pro každé drážní zařízení - záležitost odpovědné drážní organizace Analýza rizika - identifikace možných důsledků nebezpečí a souvisejících rizik poskytuje THR Analýza hazardů (řízení nebezpečí) - identifikace příčin nebezpečí, určení požadavků na integritu bezpečnosti jednotlivých částí systému a spolehlivostních požadavků
Tolerovatelné intenzity nebezpečí(thr) cílové opatření se zřetelem na integritu vůči systematickým i náhodným poruchám kvantifikace - možná pouze u integrity vůči náhodným poruchám pro zdůvodnění splnění požadavků na integritu vůči systematickým poruchám jsou nutná kvalitativní opatření a posudky - tyto požadavky jsou pokryty zejména danou SIL (a opatřeními z ní vyplývajícími)
Definice úrovní integrity bezpečnosti THR -přiřazovány jednotlivým funkcím systému a subsystémům; každé funkci - připojen kvalitativní cíl a kvantitativní cíl bezpečnosti Kvalitativní cíl - úroveň integrity bezpečnosti (integrita vůči systematickým poruchám) Kvantitativní cíl - číselná hodnoty intenzity poruch (integrita vůči náhodným poruchám) SIL - přiděleny funkcím vztahujícím se k bezpečnosti a v důsledku toho subsystémům realizujícím tyto funkce
Vztah mezi SIL a technikami
Tabulka SIL SIL -prostředek přiřazení kvalitativních přístupů ke kvantitativnímu přístupu, neboť systematické poruchy nelze kvantifikovat Tolerovatelná intenzita nebezpečí na hodinu a na funkci THR [ h -1 ] Úroveň integrity bezpečnosti SIL 10-9 THR < 10-8 4 10-8 THR < 10-7 3 10-7 THR < 10-6 2 10-6 THR < 10-5 1
Tabulka SIL Funkce s požadavky náročnějšími než 10-9 h -1 : rozdělit funkci na funkčně nezávislé subfunkce - rozdělení THR mezi tyto subfunkce a ke každé subfunkci přiřazena její SIL nelze-li funkci rozdělit - splnění opatření a metody požadované pro SIL 4 a kombinace použití funkce s jinými technickými nebo provozními opatřeními pro dosažení nutné THR
Děkuji za pozornost...