Hodnocení železničních systémů podle Evropských standardů. Doc. Dr. Ing. Tomáš Brandejský Ing. Martin Leso, PhD Fakulta dopravní ČVUT v Praze

Hodnocení železničních systémů podle Evropských standardů Doc. Dr. Ing. Tomáš Brandejský Ing. Martin Leso, PhD Fakulta dopravní ČVUT v Praze

Obecné požadavky Přechod do bezpečnějšího stavu při poruše Náhodné (vada materiálu, vnější vlivy) a systematické poruchy (chyby návrhu) Životní cyklus Mikroprocesorové systémy RAMS

Drážní zařízení Označení EN 50126 Náplň normy Stanovení a prokázání bezporuchovosti, pohotovosti, udržovatelnosti a bezpečnosti (RAMS) EN 50129 EN 50128 Elektronické zabezpečovací systémy Software pro drážní řídicí a ochranné systémy Zajištění a prokázání vlastností

EN 50 126 definování procesu managementu řízení bezporuchovosti, pohotovosti, udržovatelnosti a bezpečnosti Vychází z ISO 9000 Nezabývá se vlastním návrhem zařízení

EN 50 128 Software pro drážní řídící a ochranné systémy Musí být užívána současně s EN 50 126 a EN 50 128 Doporučuje kombinace technik Vychází z IEC 61508-3, ale doplňuje některé specifické detaily železniční techniky

EN 50 129 HW železničních systémů Doporučuje některá řešení Definuje požadavky na tyto systémy a Prokázání bezpečnosti HW části systému

SIL Safety Integrity Level Definováno původně v IEC 61 508 Tam je uveden i vztah k THR

Hodnocení bezpečnosti drážního systému EN 50 129, kap. 5 Doklad o řízení jakosti Doklad o řízení bezpečnosti Technická zpráva bezpečnosti

Doklad o řízení jakosti Dokladuje napĺnění požadavků EN 50 126 Jednoznačné důkazy, že zařízení je navrženo a provozováno v souladu s EN 50 126 Životní cyklus dle 50126 vodopád Činnosti, role a organizační struktura Definované postupy, systém řízení jakosti Verifikační a validační procesy Jednoznačná zodpovědnost za etapy

Doklad o řízení jakosti

Doklad o řízení jakosti Problematická role provozovatele Má plnit první 4 etapy životního cyklu Koncepce Definice systému a podmínky použití Analýza rizika Požadavky na systém Struktura provozních předpisů z historických důvodů neodpovídá struktuře norem EN 50 126, 128 a 129 Řešení je převáděno na dodavatele, což způsobuje na obou stranách finanční ztráty

Doklad o řízení jakosti Hodnltilel bezpečnosti nezávislé hodnocení Orgán pro otázky bezpečnosti národní orgán Problém neúplné definice kompetencí Českého drážního úřadu ve stávající legislativě, který proto funkce orgánu pro otázky bezpečnosti nemůže vykonávat

Doklad o řízení bezpečnosti EN 50 129, kap. 5.3 definuje strukturu a náplň Má dokládat trvalé řízení bezpečnosti Vlastní proces řízení bezpečnosti je devinován v normě EN 50 126 Musí být definována Organizace bezpečnosti Plán bezpečnosti Záznamy o nebezpečí Specifikace požadavků na bezpečnost Plán bezpečnosti Plán ověřování

Technická zpráva bezpečnosti Definuje EN 50 129, kap. 5.4 Člení se na kapitoly Úvod Zajištění psrávné fukce za provozu Vliv poruchových stavů Provoz s vnějšími vlivy Podmínky použití vztahující se k bezpečnosti Provozníověření bezpečnosti

Začlenění vývoje SW do procesu vývoje celého systému Provázanost současné řady norem EN 50 126, 128 a 129 není dokonalá Především není jasně definované postavení životního cyklu vývoje SW v životním cyklu vývoje systému Ve všech normách je užíván životní cyklus typu water-fall, který je z praktického hlediska velmi problematický

Začlenění vývoje SW do procesu vývoje celého systému Norma EN 50 128 pouze požaduje následující vstupní dokumenty Popis architektury systému (viz EN 50129, příloha B.2.1), Plán bezpečnosti (viz EN 50129, EN 50126), Specifikace požadavků na systém (viz EN 50129, příloha B.2.3.), Specifikace požadavků na bezpečnost systému (viz EN 50129, příloha B2.4).

Situace je ještě horší Norma EN 50 128 se neodkazuje na konkrétní dokumenty, ale na kapitoly TZB Nejsou definovány etapy LC, kdy mají jednotlivé části TZB vzniknout TZB totiž vzniká až do 6. etapy návrh a zavedení

Návrh řešení Plán bezpečnosti - 2. etapě Definice systému a podmínky použití Popis architektury systému - 4. etapa Požadavky na systém (pod názvem funkční struktura) Specifikace požadavků na systém - 4. etapa Požadavky na systém Specifikace požadavků na bezpečnost systému 4. etapa Požadavky na systém

Začlenění LC SW do LC aplikace První etapa LC dle EN 50128 musí následovat až po 4. etapě LC dleen50126 Životní cyklus dle EN 50126 pak pokračuje etapou návrh a zavedení, které v normě EN 50128 odpovídají etapy 8 specifikace požadavků na SW 9 architektura SW 10 návrh a realizace SW 11 Ověřování a testování SW 12 Integrace SW a HW 13 validace SW

Začlenění LC SW do LC aplikace Smysluplnost paralelního vývoje HW a SW Je třeba definovat skutečný postup vývoje

2. Rozpor zavádění systému Norma 50128 považuje za následující kroky hodnocení SW, provoz a údržbu, o výrobě vcelku logicky nehovoří, neb u SW splývá s výrobou příslušného HW. Naproti tomu norma 50126 pokládá za následující kroky: Návrh a zavedení Výrobu Instalaci Validaci systému Přejímku Provoz a údržbu

Shrnutí S ohledem na značnou obecnost, částečně nejednoznačnost a nejednotnost předmětných EN norem je obtížné nalézt konsenzus mezi zúčastněnými stranami, zvláště vývojáři a assessory (hodnotiteli bezpečnosti). Je zapotřebí definovat alespoň na národní úrovni závazný výklad sporných ustanovení těchto norem v duchu známých britských yellow books.

Shrnutí Jedině tak lze zabezpečit bezproblémový přechod na nové, značně sofistikované a složité technologie, umožňující ale vyšší komfort i bezpečnost, protož teprve při schvalování těchto nových, komplexních systémů se z těchto dříve okrajových otázek se vzhledem k rostoucímu významu procesů a postupů pro výslednou bezpečnost systému stávají zásadní problémy.

Děkuji za pozornost