Alapadatok
Év, oldalszám:2002, 25 oldal
Nyelv:magyar
Letöltések száma:113
Feltöltve:2007. november 22.
Méret:297 KB
Intézmény:
-
Megjegyzés:
Csatolmány:-
Letöltés PDF-ben:Kérlek jelentkezz be!
Értékelések
Nincs még értékelés. Legyél Te az első!
Mit olvastak a többiek, ha ezzel végeztek?
Tartalmi kivonat
A feltétfüzet és a biztosítóberendezések biztonságosságának igazolása Előadás vázlat a Biztosítóberendezési mérnöki továbbképző tanfolyam Biztosítóberendezések létesítése című tárgyához Előadó: Kirilly Kálmán 2002.0619 Előzetes megjegyzések: − A szövegben több helyen szerepelnek vastagított betűs szövegrészek. Ezek néhol a hivatkozott szövegben meglevő eredeti kiemelések, de többnyire csak az előadás gondolatmenete szempontjából az előadó által lényegesnek tartott szavak, gondolatok figyelemfelhívó kiemelése. − Az anyagban tárgyalt EN szabványoknak még nincs hivatalos magyar fordítása. Feldolgozásukban TEBGK-s kollégáim segítettek fordításaikkal Az OVSZ I. 532 pontja értelmében : „Az OVSZ I. hatálya alá tartozó vasúton még nem létesített, vagy nem alkalmazott új biztosítóberendezés illetve biztonságtechnikai feladatot ellátó készüléke, részegysége, szerkezeti eleme feltételrendszerét
feltétfüzetbe kell foglalni Az alkalmazás előtt a feltétfüzetet, valamint a vasúti létesítést engedélyező hatóság alkalmassági tanúsítvány alapján felülvizsgálja és engedélyezi” Mi hát az a feltétfüzet? A feltétfüzet mint fogalom a magyar biztosítóberendezési szakmában 1969ben honosodott meg, amikor a D70 típusú biztosítóberendezés, szolgáltatásait, biztonsági és függőségi elveit feltétfüzetben foglalták össze, amit vezérigazgató helyettes hagyott jóvá. Ezt a forgalmi, illetve a többi érintett szakszolgálat is meg tudta ítélni, az áramköri kapcsolás kidolgozása tehát ezt követően már a biztosítóberendezési szakmán belül folyhatott, így tehát ez lett az alapkapcsolás jóváhagyásának az egyik alappillére. Ezt követően viszonylag kevés feltétfüzet készült (pl. 1975 áramellátási feltétfüzet), jellemzőbb volt a már kidolgozott áramköri megoldások, műszaki leírások jóváhagyása. A ’80-as
évek végén, ’90-es évek elején megszaporodtak a feltétfüzet tervezetek, feltétfüzetek (Pl váltó feltétfüzet, félsorompó feltétfüzet) A feltétfüzetek igazi térhódítása kb. 1994-től kezdődött (elektronikus időzítők, ütemadók, el bizt ber különböző sorompós feltétfüzetek, LED-es optika, villamos végállás ellenőrző, kiágazási ber feltétfüzet, stb) Mit kell tartalmaznia egy feltétfüzetnek? Az első feltétfüzetek esetén erre nem volt semmi előírás, az került bele, amit a kidolgozók, jóváhagyók szükségesnek tartottak. Alapvetően a funkcionális és biztonságtechnikai követelményeket, és néhol az ezekhez szorosan kapcsolódó műszaki paramétereket rögzítették Fefü-EN-4.doc 1. oldal Magyar jogszabály, előírás a mai napig nincs arra vonatkozóan, mit kell tartalmaznia egy feltétfüzetnek. Van viszont az UIC-nak egy 738 R jelű, Biztonsági információk feldolgozása és átvitele című döntvénye Ennek 4.1
pontja a következő címet viseli: Rendszer követelmény meghatározás (feltétfüzet) (Biztonsági számítógép rendszerek feltétfüzete) Eszerint a feltétfüzetnek a következőket kell tartalmaznia: 1. Bevezetés Annak a nagyobb rendszernek a vázlatos leírása, amelyikbe a létesítendő rendszert be kell illeszteni, illetve a javasolt rendszer indoklása. 2. Általános leírás A tervezett rendszer funkcióinak leírása, működési módja, külső interfészek kérdése. 3. Működésmód A tervezett rendszer működési módjainak részletes leírása normál üzem, üzemzavar, illetve rendszerleállás esetén. 4. A rendszer alkalmazása Javasolt módszerek, szabványok, normák az adatok előkészítésére, biztonságigazolására, üzembehelyezésre, szoftver betöltésre (szoftvercserére). Azon eszközök, eljárások leírása, amelyek szavatolják, hogy szoftver módosításakor a biztonság nem szenved csorbát. 5. A biztonsági elvek és követelmények A
normál üzem esetén követendő biztonsági elvek, illetve a hiba bekövetkeztekor és a hiba megállapításakor megkövetelt beavatkozásokat, valamint a lekapcsolás utáni teljes üzembevétel módszerét. 6. Interfészek Ebben a fejezetben kell leírni a gép-gép és az ember-gép, valamint a külvilág interfészének összes szempontját. 7. Fizikai környezet Környezeti feltételek, földelés, elektromágneses környezet, energiaellátás, EMC, munkavédelmi előírások. 8. Karbantartás és megbízhatóság Élettartam, pótalkatrész, karbantartási eljárások, alkatrészek javítása, diagnosztika. Módosítások az élettartam alatt: SW, állomási adatbázis, ellenőrzési eljárások. Rendszer megbízhatóság. 9. Szoftver megszorítások 10.Hardver megszorítások 11.Rendszerfejlesztés 12.Dokumentálás 13.Munkaprogram Ez a döntvény azonban alapvetően komplex, alapvetően elektronikus rendszerekre vonatkozik, nem szerkezeti elemekre, mint amire az OVSZ
alapján szintén feltétfüzetet kell készíteni, ezért az abban megfogalmazottak a magyar feltétfüzetek jelentős részénél csak szellemében alkalmazhatók. Fefü-EN-4.doc 2. oldal A döntvény ezen pontja kimondja: „A feltétfüzetben kell leírni, hogy a tervezett rendszerrel kapcsolatban mi a teendő, de nem azt, hogy hogyan.”, illetve „A feltétfüzet a rendszerterv és a fejlesztés kiindulópontját tartalmazza, és olyan alapot képez, amelyikből a rendszerterv , a szoftver és a hardver tervezet részletes feltétfüzete levezethető.)” Tehát máris látjuk, hogy a feltétfüzet nem egy teljes, részletes előírás halmaz, hanem egy olyan követelmény gyűjtemény, amit a rendszer kifejlesztése, (honosítása) során szükség szerinti részletezettségű követelmény megfogalmazásokkal kell pontosítani, illetve a rendszer sajátosságait, valamint a megcélzott funkcionális és biztonsági célokat figyelembe véve részletezni, az ilyen jellegű
megrendelői döntéseket rögzíteni. (A DB-nél hasonló gondolatmenet alapján a követelmények megfogalmazására pl. két külön fogalmat használnak: Lastenheft a neve a hatóság által is jóváhagyandó, a fő funkcionális és biztonsági célokat tartalmazó követelmény gyűjteménynek, ami egy adott funkcionális rendszerre vagy részegységre a gyártótól (a megvalósításra kerülő megoldásoktól), függetlenül meghatározható követelményeket rögzíti, és Flichtenheft a neve a Lastenheftnek a konkrét gyártóra, illetve konkrét berendezés típusra vonatkozó részletes lebontásának, amit már csak a vasút hagy jóvá.) Minél bonyolultabb egy rendszer, és minél több szolgáltatása lehet, annál nagyobb az esély arra, hogy a különböző gyártók a fő követelményeket másként-másként fogják megvalósítani. A MÁV ezzel a problémával különösen élesen szembesült az elektronikus biztosítóberendezések bevezetésekor A kérdést
akkor úgy kezeltük le, hogy a feltétfüzet követelményeit a gyártókkal végigtárgyaltuk, és a megvalósítás számára szükséges részletességgel kifejtve, kiegészítve, néhol bizonyos kompromisszumokat is kötve rögzítettük a megvalósítandó működést, illetve néhol a megvalósítási elveket. Az így születő követelmény specifikációkat a MÁV hivatalosan elfogadta, és a további tervezés, MÁV-os vizsgálat lényegében ezek alapján történt. A vasúti hatóság és a MÁV között több kérdésben sajnálatos módon nincs meg a szükséges összhang, ilyen kérdés a feltétfüzet szerepe is. Az OVSZ I megfogalmazása alapján látjuk, hogy a feltétfüzetet a hatósággal egyeztetni kell, lényegében tehát meg kell vele egyezni a feltétfüzet tartalmáról. Ez gyakorlatilag a hatóság igen erős beleszólási jogát jelenti, mivel elvileg a hatósági elfogadás után lehet a feltétfüzetet jóváhagyni, és a vállalkozó részére kiadni.
Ennek következtében sajnálatos módon a feltétfüzetbe több olyan követelmény is k erült, aminek a biztonsághoz semmi köze, és a funkcionális használhatóság szempontjából is lényegtelen a megvalósítás mikéntje, illetve a megvalósítás költségeit felmérve a MÁV esetleg inkább lemondana egy nem biztonsági funkcióról. A hatóság úgy értelmezi, hogy a feltétfüzet minden betűjét pontosan be kell tartani, és attól eltérő berendezés nem vehető használatba, a MÁV viszont úgy ítéli meg, hogy a feltétfüzetben szereplő követelmények sem a funkcionalitás, sem a biztonság szempontjából nem mindig egyformán kritikus követelmények, és a kevésbé lényeges követelmények esetén a nem, vagy másként teljesítést a MÁV mint megrendelő és mint üzemeltető jogosan fogadhatja el. Fefü-EN-4.doc 3. oldal A következő lényeges kérdés egy biztosítóberendezés telepítése során, hogy az új biztosítóberendezés biztonságos
legyen. Hogyan, milyen eljárási móddal garantálható ez? Alapvetően törekszünk a már bevált, kipróbált megoldások alkalmazására. Ahol ez nem lehetséges, vagy valamilyen megfontolás miatt új szerkezeti elemre, vagy berendezés típusra van szükség, ott a berendezés biztonságosságát bizonyítani kell. Régebben Magyarországon az OSzZsD R 801 irányelve alapján folyt a tervezés során a hibák veszélyes hatásának, felismerhetőségének eldöntése. A tervező végiggondolta, megcsinálta a kapcsolást, írt hozzá egy hosszabb-rövidebb műszaki leírást, ahol jó esetben az érdekesebb kérdésekre kitért. A jóváhagyó végiggondolta, lepecsételte, ha kellett belejavított, és jóváhagyva kiadta A ’90-es évek közepén az elektronikus biztosítóberendezések bevezetésekor szembesültünk keményen azzal, hogy a nagy bonyolultságú rendszereknél ezt egy kicsit precízebben kell szabályozni, hogy legyen mi alapján bekövetelni a
biztonságosság bizonyítását a gyártóktól. Ekkor a német MÜ 8004 jelzésű, Biztosítóberendezések műszaki engedélyezésének elvei című szabálygyűjtemény került látómezőnk előterébe. (Ez a német vasúti hatóság által kiadott dokumentum szabályozta No-ban a biztosítóberendezések engedélyezésének, biztonságigazolásának rendjét) Nem csak azért, mert a tatai elektronikus bizt ber alapberendezését a Siemens a MÜ 8004 alapján vezette be Németországban és Svájcban, hanem azért is, mert ez már egy viszonylag kiforrott, nagy nemzetközi bizt. ber gyártók által is ismert és használt szabályrendszer volt Ez részletesen szabályozza a biztonság igazolásának tartalmi és formai kellékeit, egészen olyan mélységig, hogy az egyes alkatrészeknél milyen lehetséges meghibásodásokat kell figyelembe venni, milyen rajzjelekkel, milyen hatásdiagramokat kell készíteni, milyen alkatelemek alkalmazhatók biztonsági elemként. A
Biztonságigazolás felépítése a MÜ 8004 szerint: 1. Előzetes megjegyzések (a berendezésnek mennyire kell megfelelnie a bizt. berendezéstechnikai biztonság követelményeinek) 2. Funkcióigazolások (ellenőrizhető formában be kell mutatni, hogy a megkövetelt feladatokat ellátja /funkciókat teljesíti/, valamint a működéshez szükséges belső funkcionális folyamatokat, ha a berendezés kiesés és zavarmentes állapotban van) 3. Kiesési hatások (igazolni kell, hogy a vizsgálati egységek kiesései csak a MÜ8004 megfelelő irányelvének értelmében biztonságosnak minősülő állapothoz vezetnek) 4. Zavaró hatások (ki kell mutatni, hogy a zavaró hatások veszélytelenek) 5. Biztonságra vonatkoztatott alkalmazási előírások (a tervezésnél, építésnél, kezelésnél, karbantartásnál a bizt. ber, technikai biztonság biztosítása érdekében milyen szabályokat kell betartani 6. Előírások a biztonsági próbákhoz Fefü-EN-4.doc 4. oldal A
1995-1996 táján nyilvánvalóvá vált, hogy a nemzetközi szabványosítás nem a MÜ 8004-et fogja elfogadni, hanem a témakörre három új CENELEC szabvány készül, ami később az EU közös szabványa lesz. Hosszas vajúdás és rengeteg verzió után végre megszülettek a szabványok, és azokat a Magyar Szabványügyi Testület az angol eredetijükben magyar szabvánnyá, illetve előszabvánnyá nyilvánította. Ezeknek még hivatalos magyar fordítása nincs. Az 1996. körül, az akkori verziókból készült nem hivatalos magyar fordításhoz képest, amit az el bizt ber-ek bevezetésekor használtunk jelentős eltérések is vannak, ezért mindenkit kellő óvatosságra intenék. A nevezetes szabványok: EN 50126 Vasúti alkalmazásokA megbízhatóság, rendelkezésre állás karbantarthatóság és biztonság specifikálása és bizonyítása Európai szabvány Elfogadva: 1998. okt 1-én Nemzeti szinten beiktatás, és az ellentmondó szabványok
érvénytelenítésének határideje: 2000. ápr 1 (CENELEC tagoknak) Magyar szabványként is kihirdetve EN 50128 Vasúti alkalmazásokKommunikációs, biztosítóberendezési és feldolgozó rendszerek Vasúti vezérlő és biztosító rendszerek szoftvere Európai szabvány Elfogadva: 2000. nov 1-én Nemzeti szinten beiktatás határideje: 2001. nov 1 (CENELEC tagoknak) Az ellentmondó szabványok érvénytelenítésének határideje: 2003. nov 1 (CENELEC tagoknak) Magyar szabványként kihirdetve: 2001. július ENV 50129 Vasúti alkalmazásokJelző és biztosítóberendezésekben alkalmazandó biztonsági vonatkozású elektronikai rendszerek Európai előszabvány Előszabvánnyá minősítve: 1997. június 6-án Nemzeti szinten kihirdetés határideje: 1998. febr 1 (CENELEC tagoknak) Magyar előszabványként kihirdetve: 2000. március Fefü-EN-4.doc 5. oldal A fenti szabványok hatásköre: Teljes vasúti rendszer EN 50159 -1és –2 (Kommunikáció) Teljes vasúti
biztosítóberendezési rendszer EN 50126 (RAMS) Egyedi alrendszer EN 50129 (Biztonság) EN 50128 (Szoftver) Berendezés egyedi egysége Fefü-EN-4.doc 6. oldal A fenti szabványok közül legáltalánosabb az EN 50126 Célja: Elősegítse a RAMS követelmények egyértelműségét. Mind a Vasúti hatóságok, mind a gyártók számára útmutatót ad a RAMS követelmények következetes alkalmazására a teljes életciklusra vonatkozóan (RAMS: A megbízhatóság (reliability), a rendelkezésre állás (availability), a karbantarthatóság (maintainability) és a biztonság (safety) együttes jelölésére szolgáló mozaikszó.) A szabvány alkalmazási területe: ─ új rendszerek, ─ meglévő berendezésekbe új rendszerek beleintegrálása esetén, ─ meglévő berendezések átalakítása esetén A teljes életciklusban kell alkalmazni! Fogalom magyarázatok a szabvány szerint: Megbízhatóság (reliability): Annak a valószínűsége, hogy egy rendszerelem előírt
funkcióját megadott feltételek mellett adott időintervallumon belül maradéktalanul teljesíti. Rendelkezésre állás (availability): Egy termék (gyártmány) azon tulajdonsága, hogy definiált körülmények között, megadott időpillanatban vagy időintervallumon belül olyan állapotban van, hogy meghatározott feladatát teljesíti, feltételezve, hogy a megfelelő külső források rendelkezésre állnak. Karbantarthatóság (maintainability): Annak a valószínűsége, hogy egy megadott alkalmazási feltételekkel üzemelő egységen lebonyolított aktív karbantartási művelet meghatározott időintervallumon belül elvégezhető, ha a karbantartási művelet megadott idő alatt zajlik le, illetve meghatározott eljárásokat alkalmaz és meghatározott erőforrásokat használ fel. Biztonság (safety): Az elfogadhatatlan baleseti kockázatoktól való mentesség. Fefü-EN-4.doc 7. oldal A rendszer életciklusa A szabványok alap gondolata, hogy egy
biztosítóberendezés biztonságát nem a kész termék felülvizsgálatával kell garantálni, hanem az életciklus valamennyi fázisában el kell végezni biztonsági szempontú elemzéseket, értékeléseket, döntéseket annak érdekében, hogy az üzembehelyezésre kerülő termék nagy valószínűséggel ne bukjon meg az utolsó vizsgálatokon. A kész terméken már nehéz változtatni, költséges, időigényes, és kompromisszumok nélkül valószínűleg nem is megy Ezért a biztonsági szempontokat már az első koncepció kidolgozásától szem előtt kell tartani. Koncepció ↓ 1 Rendszermeghatározás 2 és alkalmazási feltételek ↓ Kockázatelemzés 3 Kockázatelemzés újraalkalmazása Átalakítás és 13 összeillesztés ↓ Rendszerkövetelmények 4 ↓ Rendszerkövetelmények 5 felosztása ↓ Tervezés és kivitelezés 6 Gyártás 7 Telepítés 8 ↓ ↓ ↓ Rendszervalidáció (beleértve a biztonsági 9 jóváhagyást is) ↓
Teljesítmény ellenőrzés Rendszerjóváhagyás 10 Üzemeltetés és karbantartás 11 Leszerelés és ártalmatlanítás 14 ↓ 12 ← ↓ ↓ Életciklus újraalkalmazása A kockázatelemzés az életciklus több fázisában is ismételhető. Fefü-EN-4.doc 8. oldal Az EN 50126 szabvány alapvetően új szempontot képvisel –és módszert is ad hozzá- az eddigi magyar biztosítóberendezési elvekhez képest. Eddig a tervező és a jóváhagyó jogszabályban vagy rendeletben megfogalmazott követelményeket szakmai tapasztalata alapján lényegében egyszemélyben döntött arról, hogy egy adott függést meg kell-e valósítani, vagy nem. A szabvány azt írja elő, hogy ezen kérdéseket döntés előtt kockázatelemzéssel kell kiértékelni Kockázat (risk): A (balesetet okozó) veszély megjelenési valószínűségének és a veszély következményei (baleset) súlyossági fokának kombinációja. Veszélyes események csoportosítása: 1. előfordulási
gyakoriság szerint tegória Gyakori Valószínû Esetleges Csekély Valószínûtlen Nem hihetõ Leírás Valószínûleg gyakran elõfordul. Elõfordulását folyamatosan észlelhetjük Többször elõfordul. A veszély elõfordulásától gyakran kell tartani Valószínûleg többször elfordul. A veszély elõfordulásától több alkalommal tartani kell Valószínûleg elõfordul néhányszor az életciklus során. A veszély elõfordulására számítani kell. Elõfordulása valószínûtlen, de lehetséges. Feltételezhetõ, hogy a veszély kivételesen elõfordul Egészen valószínûtlen, hogy elõfordul. Feltételezhetõ, hogy a veszély nem fordul elõ. A szabvány 2. számú táblázata: A veszélyes események előfordulási gyakorisága Ezt a táblázatot igazából a gyakorlatban észlelhető előfordulási gyakoriság szerint kellene összeállítani. Ehhez azonban nincs kellő részletezettségű és mennyiségű statisztikai adat Az 5-6 évvel ezelőtti
szabványtervezetben az egyes gyakorisági csoportokhoz számszerűen meg voltak adva üzemóránkénti előfordulási valószínűségek, ezt most kivették a szabványból, csak a szöveges megfogalmazás maradt benne. 2. következmények szempontjából (súlyossági szintek) Súlyossági szint Következmények az ember, illetve a kör- Következmények a rendnyezet szempontjából szer szempontjából Katasztrofális Több áldozatot követelő, halálos kimenetelű és/vagy több sérüléssel, illetve a k örnyezetre nézve nagyfokú károkozással jár. Kritikus Legfeljebb egy áldozatot követelõ halálos A teljes rendszer pusztulása kimenetelû, és/vagy több sérüléssel, a környezetre nézve jelentõs károkozással jár. Határeset Kisebb sérülésekkel, és/vagy a k örnyezetre Nagyobb károk a rendszernézve jelentõs károkkal fenyeget. ben Jelentéktelen Kisebb sérülések lehetségesek. Kisebb károk a rendszerben A szabvány 3. számú táblázata:
Veszély-súlyossági szintek Fefü-EN-4.doc 9. oldal Az adott alkalmazáshoz hozzárendelendő súlyossági szintet (az azokhoz kapcsolódó következményeket) a Vasúti Szervnek kell meghatároznia! A kockázatok minőségi besorolása (Az EN 50126 szabvány 5. számú táblázata): Kockázati kate- Az egyes kategóriák ellen teendõ lépések gória Elviselhetetlen El kell kerülni. Csak akkor fogadható el a Vasúti Szerv és a BiztonságNem kívánatos felügyeleti Hatóság beleegyezésével, ha a kockázatcsökkentés gyakorlatilag megvalósíthatatlan. Eltûrhetõ Megfelelõ ellenõrzéssel és a Vasúti Szerv beleegyezésével elfogadható. Elhanyagolható A Vasúti Szerv beleegyezésével vagy anélkül elfogadható. A Vasúti Szerv felelős a szintek meghatározásáért. A veszélyes esemény bekövetkezési Kockázati szint gyakorisága Gyakori Valószínű Esetleges Csekély Valószínűtlen Nem hihető Jelentéktelen Határeset Kritikus Katasztrofális A veszély
következményének súlyossági szintje Az EN 50126 szabvány 4. számú táblázata: Gyakoriság – következmény mátrix A szabvány egy példát is közöl a kockázati szintek meghatározására, azonban figyelem! A szabvány 6. táblázata csak egy példa! A döntést az egyes fejlesztési folyamatoknál az illetékeseknek kell meghozni Fefü-EN-4.doc 10. oldal Biztonságintegritás Fogalommeghatározások az EN50129 alapján: Biztonságintegritás (safety integrity): Annak a valószínûsége, hogy egy biztonságorientált rendszer meghatározott feltételek mellett, meghatározott üzemi környezetben, meghatározott időintervallumon belül teljesíti az elõírt biztonsági jellemzõket. Biztonságintegritási szint (safety integrity level, rövidítve SIL): Az a szám, amely jelzi annak bizonyossági fokát, hogy a rendszer teljesíti elõírt biztonsági jellemzõit. Egy biztonságintegritási szint csak egy olyan elemhez rendelhető, amelyik egy vagy több
egyszerű funkciót lát el, és egy másik ilyen berendezéssel helyettesíthetők. (Általában ilyen elemek amik az elsőfokú karbantartás ideje alatt cserélhetők) A SIL fogalma nem terjed ki a rendszer minden szempontjára, és főként nem a csökkentett szolgáltatású, illetve tartalék szintként működő üzemállapotokra. (EN 50126 477) Az EN 50126-ban csak ajánlás, hogy 4-nél több biztonságintegritási szintet ne használjanak, az EN 50128 és EN 50129 már konkrétan csak 4 szintet, plusz a szabvány hatókörén kívül eső 0 szintet tárgyalja. A jelző és bizt. ber-ben használatos biztonságintegritási szintekről az EN50129 ad bővebb információt. (A melléklet) A rendszer biztonságorientált funkcióit a rendszer életciklusának kockázatelemzési és rendszerkövetelmény kialakítási fázisában kell levezetni és elemezni. Ezen funkciók mindegyikéhez minõségi szempontú biztonsági célkitûzést és/vagy mennyiségi szempontú célkitûzést
kell hozzárendelni. A minőségi szempontú célkitűzést biztonságintegritási szint alakban kell megadni, és ennek fel kell ölelnie a szisztematikus meghibásodási integritást. A mennyiségi szempontú célkitűzést számszerű meghibásodási ráta alakban kell megadni, és ennek fel kell ölelnie a véletlen meghibásodási integritást. Fefü-EN-4.doc 11. oldal A biztonságintegritási szinteket minõségi szempontból az alábbi táblázat szerint lehet ábrázolni: Biztonságintegritási Másféle leíró kifejezés (tájékoztató jellegű) szint 4 Nagyon magas Létfontosságú Kritikus Biztonságkritikus "Fail-safe" 3 Magas Létfontosságú Kritikus Biztonságkritikus 2 Közepes 1 Alacsony Közepesen létfontosságú Közepesen létfontosságú Biztonsági natkozású Biztonsági natkozású 0 Nem nem meghatá- Nem létfontően rozott tosságú ges Alapvetõ Alapvetõ Magas integritású vo- Közepes integritású vo- Alacsony
integritású alapveNem biztonsági Nem biztonszüksévonatkozású sági Az 1,2,3,4. szinteket lehet biztonsági vonatkozásúként jellemezni Olyan rendszerelemet, amelynek mennyiségi követelménye folyamatos / magas követelményszintû üzemmódban 10-10, illetve terheléses üzemmódban 10-7 meghibásodási rátánál jóval nagyobb értéket ír elõ, egyedi alkalmazásban nem szabad használni, viszont más rendszerelemek kombinációjaként beépíthetõ annak érdekében, hogy a szükséges biztonsági célkitûzéseket teljesíteni lehessen. BIZTONSÁGINTEGRITÁSI SZINT „TERHELÉSES” ÜZEMMÓD (az elvárt funkció hibás végrehajtásának valószínűsége) FOLYAMATOS / MAGAS KÖVETELMÉNYSZINTŰ ÜZEMMÓD (veszélyes meghibásodás aránya óránként és elemenként) 4 < 10-7 < 10-10 3 ≥ 10-7 és < 10-6 ≥ 10-10 és < 0.3 10-8 2 ≥ 10-6 és < 10-5 ≥ 0.3 10-8 és< 10-7 1 ≥ 10-5 és < 10-4 ≥ 10-7 és < 0.3 10-5 Egy
üzemmód terheléses üzemmódnak tekinthető, ha a biztonságorientált rendszerre ható terhelés gyakorisága kisebb, mint a vizsgálati gyakoriság. Egy védelmi rendszer nagy valószínûséggel tekinthetõ terheléses üzemmódú rendszernek. A két oszlop között kapcsolatot valójában a rendszer rendeltetési profilja teremti meg. A gyártónak és a vasúti szervnek minden egyes egyedi berendezés esetére meg kell egyeznie, hogy melyik a leginkább arra vonatkozó oszlop. Fefü-EN-4.doc 12. oldal Az EN 50126 szabvány elfogadja egy rendszer RAMS-szintjének és az életciklusköltségként ismert fejlesztési és üzemeltetési költségének egyensúlyi helyzetét. A szabvány előírja valamely rendszer RAMS-jellemzőkkel kapcsolatos életciklusköltségeinek mérlegelését, ennek ellenére azonban nem szabja meg, hogy a RAMS-jellemzőkkel kapcsolatos döntéseket a költségek alapján kellene meghozni, hiszen ez a Vasúti Szerv felelőssége. Az EN 50126
szabvány előír néhány lényeges dokumentumot, ami szinte az egész életcikluson keresztül kíséri az új rendszert. Legfontosabbak a Biztonsági terv és a Veszélyeztetési napló. A Biztonsági terv Az életciklus 2. fázisában kell a rendszer (átfogó) Biztonsági tervét elkészíteni Ezt a tervet a későbbi fázisokban folyamatosan felül kell vizsgálni, ki kell egészíteni az azon fázisban elvégzendő műveletek eredményeként felmerült új tényeknek megfelelően. A Biztonsági tervnek tartalmaznia kell: a) a biztonság eléréséhez szükséges irányelvek és stratégiák. b) a terv hatásköre. c) a rendszer ismertetése. d) az életciklus során a különböző szervezetek által játszott szerepek, ezen szervezetek felelőssége, kompetenciája és viszonya. e) a rendszer életciklusának és az életciklus folyamán elvégzendő biztonsági feladatok leírása, illetve ezek bármilyen függősége. f) az életciklus során alkalmazott biztonsági
elemzések, tervezési és értékelési eljárások , ezen belül az alábbi folyamatok: ─ a feladatok során a személyi függetlenség olyan fokának biztosítása, amely megfelel a rendszer kockázatának; ─ veszélymeghatározás és -elemzés; ─ kockázatértékelés és folyamatos kockázatkezelés; ─ kockázattűrési kritériumok; ─ a biztonsági követelmények megfelelőségére irányuló folyamatos felülvizsgálat létrehozása; ─ rendszertervezés; ─ verifikáció és validáció; ─ biztonsági értékelés annak vizsgálatára, hogy a rendszerkialakítás a követelményeknek megfelel-e; ─ biztonsági felülvizsgálat annak vizsgálatára, hogy a kezelési eljárások a biztonsági tervnek megfelelnek-e; ─ biztonsági értékelés annak vizsgálatára, hogy a rendszer és az alrendszerek biztonsági analízise megfelel-e egymásnak. Fefü-EN-4.doc 13. oldal g) az életciklus biztonsági vonatkozású teljesítendőinek részletezése,
beleértve: ─ dokumentáció; ─ hardver; ─ szoftver (Szoftverbiztonsági terv). h) a rendszer Biztonsági Ügyének előkészítési eljárása. i) a rendszer biztonsági elfogadásának eljárása. j) a rendszermódosítások biztonsági elfogadásának eljárása k) a működési és karbantartási jellemzők elemzésére irányuló eljárás annak bizonyítására, hogy a biztonság megvalósított szintje a követelményeknek megfelel. l) a biztonsági vonatkozású dokumentációk karbantartási eljárása, beleértve a Veszélyeztetési naplót is. m) más, kapcsolódó programokkal és tervekkel való határterületek. n) a tervben figyelembe vett kötelmek és feltételezések. o) az alvállalkozók kezelése. p) az életciklus során elvégzendő, a rendszer biztonságrelevanciájának megfelelő periodikus biztonsági felülvizsgálatok és biztonsági szemlék követelményei, beleértve bármely jellegű személyi függőségi/függetlenségi kérdést is. A
Biztonsági tervben megjelent két új lényeges fogalom. Ezek definíciója a két szabványban némileg eltérő: Verifikáció (verification): Vizsgálattal történő igazolás és objektív bizonyítékok bemutatása annak érdekében, hogy meghatározott követelmények teljesülnek. (EN 50126 szerint) Arra irányuló, tesztekkel és elemzésekkel végrehajtott determináló jellegű tevékenység, hogy minden egyes életciklus-fázis kimenete eleget tesz a megelőző fázis követelményeinek. (EN 50129 szerint) Validáció (érvényesítés) (validation): Vizsgálattal történő igazolás és objektív bizonyítékok bemutatása annak érdekében, hogy a tervezett alkalmazásra vonatkozó meghatározott követelmények teljesülnek. (EN 50126 szerint) Arra irányuló, tesztekkel és elemzésekkel végrehajtott bizonyítási tevékenység, hogy a rendszer minden szempontból teljesíti az előírt követelményeket (EN 50129 szerint). Más szóval: A verifikáció célja, hogy
igazolja, hogy meghatározott bemeneti információkra elvégzett feladatok az adott fázis előírásainak minden szempontból megfelelnek. A validáció célja, hogy igazolja, hogy a szóban forgó rendszer - fejlesztésének bármely fázisában és a telepítés után - minden szempontból megfelel a követelményeknek. Fefü-EN-4.doc 14. oldal Rendszerkövetelmények Validáció Felosztás Rendszerjóváhagyás Rendszervalidáció Verifikáció Verifikáció Az életciklus „V” ábrázolási mód ja Rendszerkövetelmények Verifikáció Felosztás Verifikáció Validáció Rendszervalidáció Rendszerjóváhagyás Verfik áció Verifikáció Az életciklus szekvenciális ábrázolás módja Fefü-EN-4.doc 15. oldal A Veszélyeztetési napló (Veszélynapló) Az életciklus 3. fázisában meg kell határozni és osztályozni kell az egyes veszélyekkel kapcsolatos kockázat elfogadhatóságát, a kockázatot a rendszer életciklusköltségekkel és
rendelkezésre állással kapcsolatos követelményei szempontjából figyelembe véve Létre kell hozni a Veszélyeztetési naplót, amely a folyamatos kockázatkezelés alapjául fog szolgálni. A Veszélynaplóba be kell jegyezni, ha az életciklus folyamán már valamely meghatározott veszélyhez képest változás áll be, illetve valamilyen eddig nem azonosított veszély tűnik fel. A Veszélynaplónak az alábbi részleteket kell tartalmaznia: a) a Veszélynapló rendeltetése és célja. b) minden veszélyes esemény és a kapcsolódó elemek. c) az egyes veszélyekkel kapcsolatos események szekvenciájának gyakorisága és valószínűsíthető következményei. d) minden egyes veszély kockázata. e) az adott alkalmazásra vonatkozó kockázattűrési kritériumok. f) bármely veszélyes esemény esetére az eltűrhető kockázati szint csökkentésére, illetve a kockázat megszüntetésére tett intézkedések . g) a kockázattűrés felülvizsgálatára vonatkozó
eljárás. h) a kockázatcsökkentési intézkedések hatékonyságának felülvizsgálatára vonatkozó eljárás. i) a folyamatos kockázati és baleseti beszámolási eljárás. j) a Veszélynapló kezelésére vonatkozó eljárás. k) bármely elvégzett elemzés korlátai, határai. l) az elemzés során tett bármely feltételezés. m) az elemzések során felhasznált adatokkal kapcsolatban felmerült, a teljes bizonyosságra vonatkozó korlát. n) az alkalmazott módszerek, eszközök és technikák. o) az eljárásban bevont személyek kompetenciája. Fefü-EN-4.doc 16. oldal A Biztonsági ügy Az EN 50129 rögzíti a biztonsági elfogadás és jóváhagyás feltételeit, vagyis azokat a feltételeket, amelyeknek eleget kell tenni azért, hogy egy biztonságorientált elektronikus vasúti rendszert elegendõen biztonságosnak lehessen elfogadni annak rendeltetésszerû használatához. Ezek: a minőségfelügyelet megléte; a biztonságfelügyelet megléte; a
funkcionális és mûszaki biztonság megléte. Berendezés, alrendszer vagy rendszerszinten ezen feltételek mindegyikét ki kell elégíteni, mielõtt egy biztonságorientált rendszert elegendõen biztonságosnak fogadnánk el. Ezen feltételek kielégítésének dokumentált bizonyítékait egy struktúrált biztonsági igazoló dokumentum, a Biztonsági ügy tartalmazza. Részei 1. rész: Rendszermeghatározás (illetve alrendszer, berendezés meghatározása) Ennek a résznek kell pontosan definiálnia, illetve hivatkoznia a Biztonsági Ügy tárgyát képezõ rendszerre/alrendszerre/berendezésre, beleértve a verziószámot, bármely követelmény megváltoztatásának állapotát, a konstrukciót és az alkalmazási dokumentációt. 2. rész: Minőségfelügyeleti jelentés Ennek a résznek kell tartalmaznia a minőségfelügyelet meglétének bizonyítékait. (A minőségfelügyelet célja, hogy minimalizálja az életciklus bármelyik fázisában az emberi hibák
előfordulását, és így csökkentse a szisztematikus hibák kockázatát.) 3. rész: Biztonságfelügyeleti jelentés Ennek a résznek kell tartalmaznia a biztonságfelügyelet meglétének bizonyítékait. 4. rész: Műszaki biztonsági jelentés Ennek a résznek kell tartalmaznia a funkcionális és műszaki biztonság meglétének bizonyítékait. 5. rész: Kapcsolódó biztonsági ügyek Ennek a résznek kell tartalmaznia a rendszer bármely alrendszerének vagy berendezésének Biztonsági ügyére vonatkozó utalásokat, amelyektõl a rendszer Biztonsági ügye függ. Ez a rész bizonyítja azt is, hogy minden biztonsági vonatkozású alkalmazási feltétel minden egyes kapcsolódó alrendszer/berendezés Biztonsági ügyében meghatározásra került, vagy: a fő Biztonsági ügyben kerül kielégítésre; Fefü-EN-4.doc 17. oldal vagy: a fő Biztonsági ügy biztonságreleváns alkalmazási feltételeiben jelenik meg. 6. rész: Összefoglalás Ennek a résznek kell
összefoglalnia a Biztonsági ügy előző fejezeteiben bemutatott bizonyítékokat, és érvelni kell arról, hogy a specifikált alkalmazási feltételektől függően a szóban forgó rendszer/alrendszer/berendezés elegendően biztonságos. A Biztonsági ügy részei közül kettőt említenék részletesebben, a Biztonságfelügyeleti jelentést és a Műszaki biztonsági jelentést. Fefü-EN-4.doc 18. oldal A biztonságfelügyeleti jelentés A biztonságfelügyeleti eljárás összes elemének - a teljes életciklus során - megfelelőségét bizonyító dokumentumokat a Biztonságfelügyeleti Jelentésnek kell tartalmaznia. Témakörök: 1. Biztonsági életciklus A biztonsági életciklus összhangban van a rendszer-életciklussal. A rendszer életciklusának tervezési és validációs része egy „fentről lefelé” szemléletmódot követõ „lentről felfelé” szemléletmódból áll (azaz „V” diagram) 2. Biztonsági szervezet A biztonságfelügyeleti
eljárást megfelelõ biztonsági szervezet ellenőrzése mellett kell lebonyolítani, amely meghatározott feladatokra kompetens személyzetet alkalmaz. A biztonsági szervezetben betöltött szerepek közötti függetlenség megfelelõ mértékét figyelembe kell venni és arról gondoskodni kell (külön ábra az anyag végén). 3. Biztonsági terv Van-e, rendszreesen karban tartják-e, annak alapján dolgoznak-e. Lényeges konklúziók 4. Veszélynapló Van-e, rendszeresen karban tartják-e, a veszélyek, kockázatelemzések szabályosan vannak e kezelve, stb. 5. Biztonsági követelmények specifikációja A Biztonsági követelményspecifikáció vagy a Funkcionális követelményspecifikáció része, vagy külön dokumentum. 6. Rendszerek/alrendszerek/berendezések tervezése Az életciklus valamennyi fázisában olyan tervet kell elkészíteni, amely teljesíti a specifikált üzemi és biztonsági követelményeket. „Fentről lefelé” irányú struktúrált tervezési
metódust kell használni, szigorúan ellenőrzött és felülvizsgált dokumentációval Főképpen a hardver és a szoftver közötti kapcsolatot, ahogy azt a Szoftver Követelményspecifikáció jellemzi, illetve a hardver és a szoftver integráltságát kell szigorúan felügyelni, és az EN50128 szabvány követelményeihez következetesen ragaszkodni 7. Biztonsági felülvizsgálatok Az életciklus megfelelõ fázisaiban biztonsági felülvizsgálatokat kell végezni. Az ilyen felülvizsgálatokat a Biztonsági Tervben kell meghatározni és azok eredményeit teljes egészében dokumentálni. 8 Biztonsági verifikáció és validáció A Biztonsági Tervnek koncepciót kell tartalmaznia minden egyes életciklus-fázis verifikációjára vonatkozóan, hogy az az elõzõ fázisban meghatározott specifikus bizFefü-EN-4.doc 19. oldal tonsági követelményeket teljesíti, illetve a kész rendszer/alrendszer/berendezés validációjára vonatkozóan annak eredeti Biztonsági
Követelményspecifikációjának megfelelõen. Ezeket a tevékenységeket végre kell hajtani és dokumentálni kell, beleértve a megfelelõ tesztelést és biztonsági elemzéseket. Azokat meg kell ismételni, ha a rendszeren/alrendszeren/berendezésen bármilyen módosítás vagy kiegészítés történik A verifikáló és a validáló személy függetlenségének mértéke meg kell, hogy feleljen a vizsgálat tárgyát képezõ rendszer/alrendszer/berendezés biztonságintegritási szintjének. Ez a 6 ábrán látható Az egyes biztonságintegritási szintekre vonatkozó verifikációs és validációs technikákra/intézkedésekre vonatkozó irányelveket az „E” függelék E9 táblázatban találjuk 9. Biztonságigazolás Ez lényegében a Biztonsági ügy cimű dokumentum vezetéséről ad összefoglalót. 10. A rendszer/alrendszer/berendezés átadása A rendszer, alrendszer vagy berendezésegység vasúti szervnek történõ átadása elõtt a biztonsági elfogadás és
biztonsági jóváhagyás előtti lépéseket tárgyalja, beleértve a Biztonsági Ügy és a Biztonságértékelési Jelentés benyújtását is. 11. Üzemeltetés és karbantartás 12. Leszerelés és ártalmatlanítás Fefü-EN-4.doc 20. oldal Műszaki Biztonsági Jelentés (Fogalom magyarázat: Műszaki biztonsági jelentés (technical safety report): A rendszer, alrendszer vagy berendezésegység biztonságos konstrukciójának dokumentált műszaki bizonyítéka.) A Mûszaki Biztonsági Jelentésnek számot kell adnia a kontrukció biztonságát szavatoló technikai alapelvekrõl, beleértve minden támogató bizonyítékot (pl. tervezési elveket és számításokat, tesztspecifikációkat és a tesztek eredményeit, biztonsági elemzéseket) Abban az esetben, ha a Mûszaki Biztonsági Jelentés hivatkozásokat tartalmaz az alábbiakra, akkor nagy mennyiségû, részletes bizonyítékot és az azt támogató dokumentumokat nem kell magában foglalnia. A Mûszaki
Biztonsági Jelentést a következõ címpontok alá kell rendezni: 1. rész: Bevezetés Ez a rész áttekintõ leírást kell, hogy adjon a konstrukcióról, beleértve azoknak a mûszaki biztonsági alapelveknek az összegzését is, amelyre a biztonságot alapozzák, illetve azt a kört, amelyen belül a rendszertõé/alrendszertõl/ berendezéstõl jelen szabványnak megfelelõen fail-safe jelleget várunk el. Ennek a résznek arra is utalnia kell, hogy a konstrukció mûszaki biztonságának kialakításához jelen szabványt vették alapul. Már üzemben levõ berendezés módosítása vagy kiegészítése, standard gyártás, illetve a fejlesztés befejezett fázisa esetén, mint kivétel, alapként az eredeti konstrukcióhoz felhasznált szabványok kiadásai alkalmazhatók, hiszen ezeket már az eredeti berendezés jóváhagyásánál elfogadták. Az elõbbi csak akkor alkalmazható, figyelembe véve a szabványok legutóbbi kiadásait, ha a meglévõ berendezésen további
módosítások válnának szükségessé, vagy a változtatás indokolatlanul magas költséggel járnának. Ezen döntésre vonatkozó indoklást mellékelni kell 2. rész: A helyes funkcionális mûködés biztosítása Ennek a résznek kell tartalmaznia a rendszer/alrendszer/berendezés hibamentes, normál körülmények közti helyes mûködésének alátámasztásához szükséges összes bizonyítékot, a specifikált mûködési és biztonsági követelményeknek megfelelõen. Az alábbi szempontokat kell tartalmaznia: 2.1 Rendszerarchitektúra leírása, 2.2 Interfészleírások, 2.3 A rendszerkövetelmény specifikáció, 2.4 A biztonsági követelményspecifikáció kielégítése, 2.5 A helyes hardvermûködés biztosítása, 2.6 A meghatározott környezeti feltételek kielégítése 2.7 A helyes szoftvermûködés biztosítása Fefü-EN-4.doc 21. oldal 3. rész: A hibák hatása Ebben a részben kell bizonyítani, hogy a rendszer/alrendszer/berendezés véletlen
hardverhiba esetén is folyamatosan teljesíti a meghatározott biztonsági követelményeket, beleértve a mennyiségileg meghatározott biztonsági célkitûzéseket, . A meghatározott minõség- és biztonságfelügyeleti eljárások ellenére szisztematikus hiba létrejöhet. Így e résznek kell bemutatni azt is, hogy milyen mûszaki intézkedések történtek a lehetõ legalacsonyabb kockázati szint elérésére. Ebben a résznek kell tartalmaznia bizonyítékokat arra vonatkozóan, hogy a teljes rendszernél alacsonyabb biztonságintegritási szintû rendszer/alrendszer/ berendezés hibája, beleértve a nullás szintet is, nem csökkenti a teljes rendszer biztonságát. Az alábbi címpontok alkalmazandók: 3.1 Egyedi hibák eredményei, 3.2 Az egységek függetlensége, 3.3 Egyedi hibák detekciója, 3.4 A hibadetekciót követõ tevékenység (beleértve a biztonságos állapot visszaállítását), 3.5 Többszörös hibák hatása, 3.6 Szisztematikus hibák elleni
védekezés 4. rész: Mûködés külsõ behatások mellett Ebben a részben kell bizonyítani, hogy amennyiben a rendszer/alrendszer/ berendezés a Rendszer Követelményspecifikációban meghatározott külsõ behatásoknak van kitéve, akkor: továbbra is folyamatosan kielégíti a specifikált mûködési követelményeket; továbbra is folyamatosan kielégíti a specifikált biztonsági követelményeket (beleértve a hibaállapotokat is). Következésképpen a Biztonsági Ügy csak a külsõ behatások meghatározott tartományában érvényes, amint azt a Rendszer Követelményspecifikáció meghatározza. A biztonság - további különleges intézkedések foganatosítása nélkül - ezen határokon túl nem szavatolható. A meghatározott külsõ hatások elviselésére felhasznált módszereket ismertetni és indokolni kell. 5. rész: Biztonságorientált alkalmazási feltételek Ennek a fejezetnek kell meghatározni (vagy hivatkozni) azokat a szabályokat, feltételeket és
kötelmeket, amelyeket a rendszer/alrendszer/berendezés alkalFefü-EN-4.doc 22. oldal mazásánál figyelembe kell venni. Tartalmaznia kell továbbá bármely kapcsolódó alrendszer vagy berendezésegység alkalmazási feltételeit 6. rész: Biztonsági minõsítési próbák Jelen résznek kell bizonyítékokat tartalmaznia arra vonatkozóan, hogy - az üzemi körülmények között végrehajtott - biztonsági minõsítési próbák sikeresen lezajlottak. Ezek a B6 függelékben kerülnek ismertetésre Fefü-EN-4.doc 23. oldal Biztonsági elfogadás és jóváhagyás A Biztonsági Ügynek három típusát kell figyelembe venni: - Generikus gyártmány Biztonsági Ügy (alkalmazásfüggetlen) Ez különbözõ független alkalmazások esetén ismételten felhasználható. - Generikus alkalmazási Biztonsági Ügy (egy alkalmazási osztályra) Ez közös funkciókkal bíró alkalmazási típusoknál használható fel ismét. - Alkalmazásspecifikus Biztonsági Ügy (egy
meghatározott alkalmazásra) Ez csak egy megadott telepíts esetére használható. Minden egyes specifikus alkalmazás esetén bizonyítani kell, hogy a környezeti feltételek és az alkalmazási környezet megfelel a generikus alkalmazási feltételeknek. Mindhárom típusnál a Biztonsági Ügy struktúrája és a biztonsági jóváhagyás megszerzésére irányuló eljárás alapvetõen megegyezik Biztonsági Jóváhagyási Folyamat A rendszer Biztonsági Ügy című dokumentumának elkészítése után a rendszer/alrendszer/berendezés biztonsági értékelését végre kell hajtani annak érdekében, hogy meg lehessen győződni, a biztonság szükséges szintje teljesítésre került. Ennek eredményét a Biztonságértékelési Jelentésben kell rögzíteni. A jelentésnek ki ke ll térnie a biztonsági értékelő (assessor) által elvégzett tevékenységre, hogy meghatározásra kerüljön, hogy a rendszer/alrendszer/berendezésegység oly módon került megtervezésre,
hogy az a specifikált követelményeket kielégíti, illetve esetleg ki kell térni néhány további működési feltétel specifikációjára. A biztonsági értékelés mélysége, elkészítési függetlenségének mértéke az EN50126 szabványban ismertetett kockázatosztályozáson alapul. A biztonsági értékelő (assessor) előírhat bizonyos speciális végrehajtandó teszteket a jobb meggyőződés érdekében. Fefü-EN-4.doc 24. oldal Egy projekt biztonsági feladatot ellátó személyeinek/szervezeteinek/ kapcsolatrendszere project manager assessor tervező verifikáló SIL3 és SIL4 validáló vagy project ma nager assessor tervező verifikáló validáló SIL1 és SIL2 tervező verifikáló validáló assessor SIL 0 tervező verifikáló validáló assessor * lehet ugyanaz a személy lehet ugyanaz a szervezet * csak ha biztonsági rendszerhez csatlakozik Fefü-EN-4.doc 25. oldal
feltétfüzetbe kell foglalni Az alkalmazás előtt a feltétfüzetet, valamint a vasúti létesítést engedélyező hatóság alkalmassági tanúsítvány alapján felülvizsgálja és engedélyezi” Mi hát az a feltétfüzet? A feltétfüzet mint fogalom a magyar biztosítóberendezési szakmában 1969ben honosodott meg, amikor a D70 típusú biztosítóberendezés, szolgáltatásait, biztonsági és függőségi elveit feltétfüzetben foglalták össze, amit vezérigazgató helyettes hagyott jóvá. Ezt a forgalmi, illetve a többi érintett szakszolgálat is meg tudta ítélni, az áramköri kapcsolás kidolgozása tehát ezt követően már a biztosítóberendezési szakmán belül folyhatott, így tehát ez lett az alapkapcsolás jóváhagyásának az egyik alappillére. Ezt követően viszonylag kevés feltétfüzet készült (pl. 1975 áramellátási feltétfüzet), jellemzőbb volt a már kidolgozott áramköri megoldások, műszaki leírások jóváhagyása. A ’80-as
évek végén, ’90-es évek elején megszaporodtak a feltétfüzet tervezetek, feltétfüzetek (Pl váltó feltétfüzet, félsorompó feltétfüzet) A feltétfüzetek igazi térhódítása kb. 1994-től kezdődött (elektronikus időzítők, ütemadók, el bizt ber különböző sorompós feltétfüzetek, LED-es optika, villamos végállás ellenőrző, kiágazási ber feltétfüzet, stb) Mit kell tartalmaznia egy feltétfüzetnek? Az első feltétfüzetek esetén erre nem volt semmi előírás, az került bele, amit a kidolgozók, jóváhagyók szükségesnek tartottak. Alapvetően a funkcionális és biztonságtechnikai követelményeket, és néhol az ezekhez szorosan kapcsolódó műszaki paramétereket rögzítették Fefü-EN-4.doc 1. oldal Magyar jogszabály, előírás a mai napig nincs arra vonatkozóan, mit kell tartalmaznia egy feltétfüzetnek. Van viszont az UIC-nak egy 738 R jelű, Biztonsági információk feldolgozása és átvitele című döntvénye Ennek 4.1
pontja a következő címet viseli: Rendszer követelmény meghatározás (feltétfüzet) (Biztonsági számítógép rendszerek feltétfüzete) Eszerint a feltétfüzetnek a következőket kell tartalmaznia: 1. Bevezetés Annak a nagyobb rendszernek a vázlatos leírása, amelyikbe a létesítendő rendszert be kell illeszteni, illetve a javasolt rendszer indoklása. 2. Általános leírás A tervezett rendszer funkcióinak leírása, működési módja, külső interfészek kérdése. 3. Működésmód A tervezett rendszer működési módjainak részletes leírása normál üzem, üzemzavar, illetve rendszerleállás esetén. 4. A rendszer alkalmazása Javasolt módszerek, szabványok, normák az adatok előkészítésére, biztonságigazolására, üzembehelyezésre, szoftver betöltésre (szoftvercserére). Azon eszközök, eljárások leírása, amelyek szavatolják, hogy szoftver módosításakor a biztonság nem szenved csorbát. 5. A biztonsági elvek és követelmények A
normál üzem esetén követendő biztonsági elvek, illetve a hiba bekövetkeztekor és a hiba megállapításakor megkövetelt beavatkozásokat, valamint a lekapcsolás utáni teljes üzembevétel módszerét. 6. Interfészek Ebben a fejezetben kell leírni a gép-gép és az ember-gép, valamint a külvilág interfészének összes szempontját. 7. Fizikai környezet Környezeti feltételek, földelés, elektromágneses környezet, energiaellátás, EMC, munkavédelmi előírások. 8. Karbantartás és megbízhatóság Élettartam, pótalkatrész, karbantartási eljárások, alkatrészek javítása, diagnosztika. Módosítások az élettartam alatt: SW, állomási adatbázis, ellenőrzési eljárások. Rendszer megbízhatóság. 9. Szoftver megszorítások 10.Hardver megszorítások 11.Rendszerfejlesztés 12.Dokumentálás 13.Munkaprogram Ez a döntvény azonban alapvetően komplex, alapvetően elektronikus rendszerekre vonatkozik, nem szerkezeti elemekre, mint amire az OVSZ
alapján szintén feltétfüzetet kell készíteni, ezért az abban megfogalmazottak a magyar feltétfüzetek jelentős részénél csak szellemében alkalmazhatók. Fefü-EN-4.doc 2. oldal A döntvény ezen pontja kimondja: „A feltétfüzetben kell leírni, hogy a tervezett rendszerrel kapcsolatban mi a teendő, de nem azt, hogy hogyan.”, illetve „A feltétfüzet a rendszerterv és a fejlesztés kiindulópontját tartalmazza, és olyan alapot képez, amelyikből a rendszerterv , a szoftver és a hardver tervezet részletes feltétfüzete levezethető.)” Tehát máris látjuk, hogy a feltétfüzet nem egy teljes, részletes előírás halmaz, hanem egy olyan követelmény gyűjtemény, amit a rendszer kifejlesztése, (honosítása) során szükség szerinti részletezettségű követelmény megfogalmazásokkal kell pontosítani, illetve a rendszer sajátosságait, valamint a megcélzott funkcionális és biztonsági célokat figyelembe véve részletezni, az ilyen jellegű
megrendelői döntéseket rögzíteni. (A DB-nél hasonló gondolatmenet alapján a követelmények megfogalmazására pl. két külön fogalmat használnak: Lastenheft a neve a hatóság által is jóváhagyandó, a fő funkcionális és biztonsági célokat tartalmazó követelmény gyűjteménynek, ami egy adott funkcionális rendszerre vagy részegységre a gyártótól (a megvalósításra kerülő megoldásoktól), függetlenül meghatározható követelményeket rögzíti, és Flichtenheft a neve a Lastenheftnek a konkrét gyártóra, illetve konkrét berendezés típusra vonatkozó részletes lebontásának, amit már csak a vasút hagy jóvá.) Minél bonyolultabb egy rendszer, és minél több szolgáltatása lehet, annál nagyobb az esély arra, hogy a különböző gyártók a fő követelményeket másként-másként fogják megvalósítani. A MÁV ezzel a problémával különösen élesen szembesült az elektronikus biztosítóberendezések bevezetésekor A kérdést
akkor úgy kezeltük le, hogy a feltétfüzet követelményeit a gyártókkal végigtárgyaltuk, és a megvalósítás számára szükséges részletességgel kifejtve, kiegészítve, néhol bizonyos kompromisszumokat is kötve rögzítettük a megvalósítandó működést, illetve néhol a megvalósítási elveket. Az így születő követelmény specifikációkat a MÁV hivatalosan elfogadta, és a további tervezés, MÁV-os vizsgálat lényegében ezek alapján történt. A vasúti hatóság és a MÁV között több kérdésben sajnálatos módon nincs meg a szükséges összhang, ilyen kérdés a feltétfüzet szerepe is. Az OVSZ I megfogalmazása alapján látjuk, hogy a feltétfüzetet a hatósággal egyeztetni kell, lényegében tehát meg kell vele egyezni a feltétfüzet tartalmáról. Ez gyakorlatilag a hatóság igen erős beleszólási jogát jelenti, mivel elvileg a hatósági elfogadás után lehet a feltétfüzetet jóváhagyni, és a vállalkozó részére kiadni.
Ennek következtében sajnálatos módon a feltétfüzetbe több olyan követelmény is k erült, aminek a biztonsághoz semmi köze, és a funkcionális használhatóság szempontjából is lényegtelen a megvalósítás mikéntje, illetve a megvalósítás költségeit felmérve a MÁV esetleg inkább lemondana egy nem biztonsági funkcióról. A hatóság úgy értelmezi, hogy a feltétfüzet minden betűjét pontosan be kell tartani, és attól eltérő berendezés nem vehető használatba, a MÁV viszont úgy ítéli meg, hogy a feltétfüzetben szereplő követelmények sem a funkcionalitás, sem a biztonság szempontjából nem mindig egyformán kritikus követelmények, és a kevésbé lényeges követelmények esetén a nem, vagy másként teljesítést a MÁV mint megrendelő és mint üzemeltető jogosan fogadhatja el. Fefü-EN-4.doc 3. oldal A következő lényeges kérdés egy biztosítóberendezés telepítése során, hogy az új biztosítóberendezés biztonságos
legyen. Hogyan, milyen eljárási móddal garantálható ez? Alapvetően törekszünk a már bevált, kipróbált megoldások alkalmazására. Ahol ez nem lehetséges, vagy valamilyen megfontolás miatt új szerkezeti elemre, vagy berendezés típusra van szükség, ott a berendezés biztonságosságát bizonyítani kell. Régebben Magyarországon az OSzZsD R 801 irányelve alapján folyt a tervezés során a hibák veszélyes hatásának, felismerhetőségének eldöntése. A tervező végiggondolta, megcsinálta a kapcsolást, írt hozzá egy hosszabb-rövidebb műszaki leírást, ahol jó esetben az érdekesebb kérdésekre kitért. A jóváhagyó végiggondolta, lepecsételte, ha kellett belejavított, és jóváhagyva kiadta A ’90-es évek közepén az elektronikus biztosítóberendezések bevezetésekor szembesültünk keményen azzal, hogy a nagy bonyolultságú rendszereknél ezt egy kicsit precízebben kell szabályozni, hogy legyen mi alapján bekövetelni a
biztonságosság bizonyítását a gyártóktól. Ekkor a német MÜ 8004 jelzésű, Biztosítóberendezések műszaki engedélyezésének elvei című szabálygyűjtemény került látómezőnk előterébe. (Ez a német vasúti hatóság által kiadott dokumentum szabályozta No-ban a biztosítóberendezések engedélyezésének, biztonságigazolásának rendjét) Nem csak azért, mert a tatai elektronikus bizt ber alapberendezését a Siemens a MÜ 8004 alapján vezette be Németországban és Svájcban, hanem azért is, mert ez már egy viszonylag kiforrott, nagy nemzetközi bizt. ber gyártók által is ismert és használt szabályrendszer volt Ez részletesen szabályozza a biztonság igazolásának tartalmi és formai kellékeit, egészen olyan mélységig, hogy az egyes alkatrészeknél milyen lehetséges meghibásodásokat kell figyelembe venni, milyen rajzjelekkel, milyen hatásdiagramokat kell készíteni, milyen alkatelemek alkalmazhatók biztonsági elemként. A
Biztonságigazolás felépítése a MÜ 8004 szerint: 1. Előzetes megjegyzések (a berendezésnek mennyire kell megfelelnie a bizt. berendezéstechnikai biztonság követelményeinek) 2. Funkcióigazolások (ellenőrizhető formában be kell mutatni, hogy a megkövetelt feladatokat ellátja /funkciókat teljesíti/, valamint a működéshez szükséges belső funkcionális folyamatokat, ha a berendezés kiesés és zavarmentes állapotban van) 3. Kiesési hatások (igazolni kell, hogy a vizsgálati egységek kiesései csak a MÜ8004 megfelelő irányelvének értelmében biztonságosnak minősülő állapothoz vezetnek) 4. Zavaró hatások (ki kell mutatni, hogy a zavaró hatások veszélytelenek) 5. Biztonságra vonatkoztatott alkalmazási előírások (a tervezésnél, építésnél, kezelésnél, karbantartásnál a bizt. ber, technikai biztonság biztosítása érdekében milyen szabályokat kell betartani 6. Előírások a biztonsági próbákhoz Fefü-EN-4.doc 4. oldal A
1995-1996 táján nyilvánvalóvá vált, hogy a nemzetközi szabványosítás nem a MÜ 8004-et fogja elfogadni, hanem a témakörre három új CENELEC szabvány készül, ami később az EU közös szabványa lesz. Hosszas vajúdás és rengeteg verzió után végre megszülettek a szabványok, és azokat a Magyar Szabványügyi Testület az angol eredetijükben magyar szabvánnyá, illetve előszabvánnyá nyilvánította. Ezeknek még hivatalos magyar fordítása nincs. Az 1996. körül, az akkori verziókból készült nem hivatalos magyar fordításhoz képest, amit az el bizt ber-ek bevezetésekor használtunk jelentős eltérések is vannak, ezért mindenkit kellő óvatosságra intenék. A nevezetes szabványok: EN 50126 Vasúti alkalmazásokA megbízhatóság, rendelkezésre állás karbantarthatóság és biztonság specifikálása és bizonyítása Európai szabvány Elfogadva: 1998. okt 1-én Nemzeti szinten beiktatás, és az ellentmondó szabványok
érvénytelenítésének határideje: 2000. ápr 1 (CENELEC tagoknak) Magyar szabványként is kihirdetve EN 50128 Vasúti alkalmazásokKommunikációs, biztosítóberendezési és feldolgozó rendszerek Vasúti vezérlő és biztosító rendszerek szoftvere Európai szabvány Elfogadva: 2000. nov 1-én Nemzeti szinten beiktatás határideje: 2001. nov 1 (CENELEC tagoknak) Az ellentmondó szabványok érvénytelenítésének határideje: 2003. nov 1 (CENELEC tagoknak) Magyar szabványként kihirdetve: 2001. július ENV 50129 Vasúti alkalmazásokJelző és biztosítóberendezésekben alkalmazandó biztonsági vonatkozású elektronikai rendszerek Európai előszabvány Előszabvánnyá minősítve: 1997. június 6-án Nemzeti szinten kihirdetés határideje: 1998. febr 1 (CENELEC tagoknak) Magyar előszabványként kihirdetve: 2000. március Fefü-EN-4.doc 5. oldal A fenti szabványok hatásköre: Teljes vasúti rendszer EN 50159 -1és –2 (Kommunikáció) Teljes vasúti
biztosítóberendezési rendszer EN 50126 (RAMS) Egyedi alrendszer EN 50129 (Biztonság) EN 50128 (Szoftver) Berendezés egyedi egysége Fefü-EN-4.doc 6. oldal A fenti szabványok közül legáltalánosabb az EN 50126 Célja: Elősegítse a RAMS követelmények egyértelműségét. Mind a Vasúti hatóságok, mind a gyártók számára útmutatót ad a RAMS követelmények következetes alkalmazására a teljes életciklusra vonatkozóan (RAMS: A megbízhatóság (reliability), a rendelkezésre állás (availability), a karbantarthatóság (maintainability) és a biztonság (safety) együttes jelölésére szolgáló mozaikszó.) A szabvány alkalmazási területe: ─ új rendszerek, ─ meglévő berendezésekbe új rendszerek beleintegrálása esetén, ─ meglévő berendezések átalakítása esetén A teljes életciklusban kell alkalmazni! Fogalom magyarázatok a szabvány szerint: Megbízhatóság (reliability): Annak a valószínűsége, hogy egy rendszerelem előírt
funkcióját megadott feltételek mellett adott időintervallumon belül maradéktalanul teljesíti. Rendelkezésre állás (availability): Egy termék (gyártmány) azon tulajdonsága, hogy definiált körülmények között, megadott időpillanatban vagy időintervallumon belül olyan állapotban van, hogy meghatározott feladatát teljesíti, feltételezve, hogy a megfelelő külső források rendelkezésre állnak. Karbantarthatóság (maintainability): Annak a valószínűsége, hogy egy megadott alkalmazási feltételekkel üzemelő egységen lebonyolított aktív karbantartási művelet meghatározott időintervallumon belül elvégezhető, ha a karbantartási művelet megadott idő alatt zajlik le, illetve meghatározott eljárásokat alkalmaz és meghatározott erőforrásokat használ fel. Biztonság (safety): Az elfogadhatatlan baleseti kockázatoktól való mentesség. Fefü-EN-4.doc 7. oldal A rendszer életciklusa A szabványok alap gondolata, hogy egy
biztosítóberendezés biztonságát nem a kész termék felülvizsgálatával kell garantálni, hanem az életciklus valamennyi fázisában el kell végezni biztonsági szempontú elemzéseket, értékeléseket, döntéseket annak érdekében, hogy az üzembehelyezésre kerülő termék nagy valószínűséggel ne bukjon meg az utolsó vizsgálatokon. A kész terméken már nehéz változtatni, költséges, időigényes, és kompromisszumok nélkül valószínűleg nem is megy Ezért a biztonsági szempontokat már az első koncepció kidolgozásától szem előtt kell tartani. Koncepció ↓ 1 Rendszermeghatározás 2 és alkalmazási feltételek ↓ Kockázatelemzés 3 Kockázatelemzés újraalkalmazása Átalakítás és 13 összeillesztés ↓ Rendszerkövetelmények 4 ↓ Rendszerkövetelmények 5 felosztása ↓ Tervezés és kivitelezés 6 Gyártás 7 Telepítés 8 ↓ ↓ ↓ Rendszervalidáció (beleértve a biztonsági 9 jóváhagyást is) ↓
Teljesítmény ellenőrzés Rendszerjóváhagyás 10 Üzemeltetés és karbantartás 11 Leszerelés és ártalmatlanítás 14 ↓ 12 ← ↓ ↓ Életciklus újraalkalmazása A kockázatelemzés az életciklus több fázisában is ismételhető. Fefü-EN-4.doc 8. oldal Az EN 50126 szabvány alapvetően új szempontot képvisel –és módszert is ad hozzá- az eddigi magyar biztosítóberendezési elvekhez képest. Eddig a tervező és a jóváhagyó jogszabályban vagy rendeletben megfogalmazott követelményeket szakmai tapasztalata alapján lényegében egyszemélyben döntött arról, hogy egy adott függést meg kell-e valósítani, vagy nem. A szabvány azt írja elő, hogy ezen kérdéseket döntés előtt kockázatelemzéssel kell kiértékelni Kockázat (risk): A (balesetet okozó) veszély megjelenési valószínűségének és a veszély következményei (baleset) súlyossági fokának kombinációja. Veszélyes események csoportosítása: 1. előfordulási
gyakoriság szerint tegória Gyakori Valószínû Esetleges Csekély Valószínûtlen Nem hihetõ Leírás Valószínûleg gyakran elõfordul. Elõfordulását folyamatosan észlelhetjük Többször elõfordul. A veszély elõfordulásától gyakran kell tartani Valószínûleg többször elfordul. A veszély elõfordulásától több alkalommal tartani kell Valószínûleg elõfordul néhányszor az életciklus során. A veszély elõfordulására számítani kell. Elõfordulása valószínûtlen, de lehetséges. Feltételezhetõ, hogy a veszély kivételesen elõfordul Egészen valószínûtlen, hogy elõfordul. Feltételezhetõ, hogy a veszély nem fordul elõ. A szabvány 2. számú táblázata: A veszélyes események előfordulási gyakorisága Ezt a táblázatot igazából a gyakorlatban észlelhető előfordulási gyakoriság szerint kellene összeállítani. Ehhez azonban nincs kellő részletezettségű és mennyiségű statisztikai adat Az 5-6 évvel ezelőtti
szabványtervezetben az egyes gyakorisági csoportokhoz számszerűen meg voltak adva üzemóránkénti előfordulási valószínűségek, ezt most kivették a szabványból, csak a szöveges megfogalmazás maradt benne. 2. következmények szempontjából (súlyossági szintek) Súlyossági szint Következmények az ember, illetve a kör- Következmények a rendnyezet szempontjából szer szempontjából Katasztrofális Több áldozatot követelő, halálos kimenetelű és/vagy több sérüléssel, illetve a k örnyezetre nézve nagyfokú károkozással jár. Kritikus Legfeljebb egy áldozatot követelõ halálos A teljes rendszer pusztulása kimenetelû, és/vagy több sérüléssel, a környezetre nézve jelentõs károkozással jár. Határeset Kisebb sérülésekkel, és/vagy a k örnyezetre Nagyobb károk a rendszernézve jelentõs károkkal fenyeget. ben Jelentéktelen Kisebb sérülések lehetségesek. Kisebb károk a rendszerben A szabvány 3. számú táblázata:
Veszély-súlyossági szintek Fefü-EN-4.doc 9. oldal Az adott alkalmazáshoz hozzárendelendő súlyossági szintet (az azokhoz kapcsolódó következményeket) a Vasúti Szervnek kell meghatároznia! A kockázatok minőségi besorolása (Az EN 50126 szabvány 5. számú táblázata): Kockázati kate- Az egyes kategóriák ellen teendõ lépések gória Elviselhetetlen El kell kerülni. Csak akkor fogadható el a Vasúti Szerv és a BiztonságNem kívánatos felügyeleti Hatóság beleegyezésével, ha a kockázatcsökkentés gyakorlatilag megvalósíthatatlan. Eltûrhetõ Megfelelõ ellenõrzéssel és a Vasúti Szerv beleegyezésével elfogadható. Elhanyagolható A Vasúti Szerv beleegyezésével vagy anélkül elfogadható. A Vasúti Szerv felelős a szintek meghatározásáért. A veszélyes esemény bekövetkezési Kockázati szint gyakorisága Gyakori Valószínű Esetleges Csekély Valószínűtlen Nem hihető Jelentéktelen Határeset Kritikus Katasztrofális A veszély
következményének súlyossági szintje Az EN 50126 szabvány 4. számú táblázata: Gyakoriság – következmény mátrix A szabvány egy példát is közöl a kockázati szintek meghatározására, azonban figyelem! A szabvány 6. táblázata csak egy példa! A döntést az egyes fejlesztési folyamatoknál az illetékeseknek kell meghozni Fefü-EN-4.doc 10. oldal Biztonságintegritás Fogalommeghatározások az EN50129 alapján: Biztonságintegritás (safety integrity): Annak a valószínûsége, hogy egy biztonságorientált rendszer meghatározott feltételek mellett, meghatározott üzemi környezetben, meghatározott időintervallumon belül teljesíti az elõírt biztonsági jellemzõket. Biztonságintegritási szint (safety integrity level, rövidítve SIL): Az a szám, amely jelzi annak bizonyossági fokát, hogy a rendszer teljesíti elõírt biztonsági jellemzõit. Egy biztonságintegritási szint csak egy olyan elemhez rendelhető, amelyik egy vagy több
egyszerű funkciót lát el, és egy másik ilyen berendezéssel helyettesíthetők. (Általában ilyen elemek amik az elsőfokú karbantartás ideje alatt cserélhetők) A SIL fogalma nem terjed ki a rendszer minden szempontjára, és főként nem a csökkentett szolgáltatású, illetve tartalék szintként működő üzemállapotokra. (EN 50126 477) Az EN 50126-ban csak ajánlás, hogy 4-nél több biztonságintegritási szintet ne használjanak, az EN 50128 és EN 50129 már konkrétan csak 4 szintet, plusz a szabvány hatókörén kívül eső 0 szintet tárgyalja. A jelző és bizt. ber-ben használatos biztonságintegritási szintekről az EN50129 ad bővebb információt. (A melléklet) A rendszer biztonságorientált funkcióit a rendszer életciklusának kockázatelemzési és rendszerkövetelmény kialakítási fázisában kell levezetni és elemezni. Ezen funkciók mindegyikéhez minõségi szempontú biztonsági célkitûzést és/vagy mennyiségi szempontú célkitûzést
kell hozzárendelni. A minőségi szempontú célkitűzést biztonságintegritási szint alakban kell megadni, és ennek fel kell ölelnie a szisztematikus meghibásodási integritást. A mennyiségi szempontú célkitűzést számszerű meghibásodási ráta alakban kell megadni, és ennek fel kell ölelnie a véletlen meghibásodási integritást. Fefü-EN-4.doc 11. oldal A biztonságintegritási szinteket minõségi szempontból az alábbi táblázat szerint lehet ábrázolni: Biztonságintegritási Másféle leíró kifejezés (tájékoztató jellegű) szint 4 Nagyon magas Létfontosságú Kritikus Biztonságkritikus "Fail-safe" 3 Magas Létfontosságú Kritikus Biztonságkritikus 2 Közepes 1 Alacsony Közepesen létfontosságú Közepesen létfontosságú Biztonsági natkozású Biztonsági natkozású 0 Nem nem meghatá- Nem létfontően rozott tosságú ges Alapvetõ Alapvetõ Magas integritású vo- Közepes integritású vo- Alacsony
integritású alapveNem biztonsági Nem biztonszüksévonatkozású sági Az 1,2,3,4. szinteket lehet biztonsági vonatkozásúként jellemezni Olyan rendszerelemet, amelynek mennyiségi követelménye folyamatos / magas követelményszintû üzemmódban 10-10, illetve terheléses üzemmódban 10-7 meghibásodási rátánál jóval nagyobb értéket ír elõ, egyedi alkalmazásban nem szabad használni, viszont más rendszerelemek kombinációjaként beépíthetõ annak érdekében, hogy a szükséges biztonsági célkitûzéseket teljesíteni lehessen. BIZTONSÁGINTEGRITÁSI SZINT „TERHELÉSES” ÜZEMMÓD (az elvárt funkció hibás végrehajtásának valószínűsége) FOLYAMATOS / MAGAS KÖVETELMÉNYSZINTŰ ÜZEMMÓD (veszélyes meghibásodás aránya óránként és elemenként) 4 < 10-7 < 10-10 3 ≥ 10-7 és < 10-6 ≥ 10-10 és < 0.3 10-8 2 ≥ 10-6 és < 10-5 ≥ 0.3 10-8 és< 10-7 1 ≥ 10-5 és < 10-4 ≥ 10-7 és < 0.3 10-5 Egy
üzemmód terheléses üzemmódnak tekinthető, ha a biztonságorientált rendszerre ható terhelés gyakorisága kisebb, mint a vizsgálati gyakoriság. Egy védelmi rendszer nagy valószínûséggel tekinthetõ terheléses üzemmódú rendszernek. A két oszlop között kapcsolatot valójában a rendszer rendeltetési profilja teremti meg. A gyártónak és a vasúti szervnek minden egyes egyedi berendezés esetére meg kell egyeznie, hogy melyik a leginkább arra vonatkozó oszlop. Fefü-EN-4.doc 12. oldal Az EN 50126 szabvány elfogadja egy rendszer RAMS-szintjének és az életciklusköltségként ismert fejlesztési és üzemeltetési költségének egyensúlyi helyzetét. A szabvány előírja valamely rendszer RAMS-jellemzőkkel kapcsolatos életciklusköltségeinek mérlegelését, ennek ellenére azonban nem szabja meg, hogy a RAMS-jellemzőkkel kapcsolatos döntéseket a költségek alapján kellene meghozni, hiszen ez a Vasúti Szerv felelőssége. Az EN 50126
szabvány előír néhány lényeges dokumentumot, ami szinte az egész életcikluson keresztül kíséri az új rendszert. Legfontosabbak a Biztonsági terv és a Veszélyeztetési napló. A Biztonsági terv Az életciklus 2. fázisában kell a rendszer (átfogó) Biztonsági tervét elkészíteni Ezt a tervet a későbbi fázisokban folyamatosan felül kell vizsgálni, ki kell egészíteni az azon fázisban elvégzendő műveletek eredményeként felmerült új tényeknek megfelelően. A Biztonsági tervnek tartalmaznia kell: a) a biztonság eléréséhez szükséges irányelvek és stratégiák. b) a terv hatásköre. c) a rendszer ismertetése. d) az életciklus során a különböző szervezetek által játszott szerepek, ezen szervezetek felelőssége, kompetenciája és viszonya. e) a rendszer életciklusának és az életciklus folyamán elvégzendő biztonsági feladatok leírása, illetve ezek bármilyen függősége. f) az életciklus során alkalmazott biztonsági
elemzések, tervezési és értékelési eljárások , ezen belül az alábbi folyamatok: ─ a feladatok során a személyi függetlenség olyan fokának biztosítása, amely megfelel a rendszer kockázatának; ─ veszélymeghatározás és -elemzés; ─ kockázatértékelés és folyamatos kockázatkezelés; ─ kockázattűrési kritériumok; ─ a biztonsági követelmények megfelelőségére irányuló folyamatos felülvizsgálat létrehozása; ─ rendszertervezés; ─ verifikáció és validáció; ─ biztonsági értékelés annak vizsgálatára, hogy a rendszerkialakítás a követelményeknek megfelel-e; ─ biztonsági felülvizsgálat annak vizsgálatára, hogy a kezelési eljárások a biztonsági tervnek megfelelnek-e; ─ biztonsági értékelés annak vizsgálatára, hogy a rendszer és az alrendszerek biztonsági analízise megfelel-e egymásnak. Fefü-EN-4.doc 13. oldal g) az életciklus biztonsági vonatkozású teljesítendőinek részletezése,
beleértve: ─ dokumentáció; ─ hardver; ─ szoftver (Szoftverbiztonsági terv). h) a rendszer Biztonsági Ügyének előkészítési eljárása. i) a rendszer biztonsági elfogadásának eljárása. j) a rendszermódosítások biztonsági elfogadásának eljárása k) a működési és karbantartási jellemzők elemzésére irányuló eljárás annak bizonyítására, hogy a biztonság megvalósított szintje a követelményeknek megfelel. l) a biztonsági vonatkozású dokumentációk karbantartási eljárása, beleértve a Veszélyeztetési naplót is. m) más, kapcsolódó programokkal és tervekkel való határterületek. n) a tervben figyelembe vett kötelmek és feltételezések. o) az alvállalkozók kezelése. p) az életciklus során elvégzendő, a rendszer biztonságrelevanciájának megfelelő periodikus biztonsági felülvizsgálatok és biztonsági szemlék követelményei, beleértve bármely jellegű személyi függőségi/függetlenségi kérdést is. A
Biztonsági tervben megjelent két új lényeges fogalom. Ezek definíciója a két szabványban némileg eltérő: Verifikáció (verification): Vizsgálattal történő igazolás és objektív bizonyítékok bemutatása annak érdekében, hogy meghatározott követelmények teljesülnek. (EN 50126 szerint) Arra irányuló, tesztekkel és elemzésekkel végrehajtott determináló jellegű tevékenység, hogy minden egyes életciklus-fázis kimenete eleget tesz a megelőző fázis követelményeinek. (EN 50129 szerint) Validáció (érvényesítés) (validation): Vizsgálattal történő igazolás és objektív bizonyítékok bemutatása annak érdekében, hogy a tervezett alkalmazásra vonatkozó meghatározott követelmények teljesülnek. (EN 50126 szerint) Arra irányuló, tesztekkel és elemzésekkel végrehajtott bizonyítási tevékenység, hogy a rendszer minden szempontból teljesíti az előírt követelményeket (EN 50129 szerint). Más szóval: A verifikáció célja, hogy
igazolja, hogy meghatározott bemeneti információkra elvégzett feladatok az adott fázis előírásainak minden szempontból megfelelnek. A validáció célja, hogy igazolja, hogy a szóban forgó rendszer - fejlesztésének bármely fázisában és a telepítés után - minden szempontból megfelel a követelményeknek. Fefü-EN-4.doc 14. oldal Rendszerkövetelmények Validáció Felosztás Rendszerjóváhagyás Rendszervalidáció Verifikáció Verifikáció Az életciklus „V” ábrázolási mód ja Rendszerkövetelmények Verifikáció Felosztás Verifikáció Validáció Rendszervalidáció Rendszerjóváhagyás Verfik áció Verifikáció Az életciklus szekvenciális ábrázolás módja Fefü-EN-4.doc 15. oldal A Veszélyeztetési napló (Veszélynapló) Az életciklus 3. fázisában meg kell határozni és osztályozni kell az egyes veszélyekkel kapcsolatos kockázat elfogadhatóságát, a kockázatot a rendszer életciklusköltségekkel és
rendelkezésre állással kapcsolatos követelményei szempontjából figyelembe véve Létre kell hozni a Veszélyeztetési naplót, amely a folyamatos kockázatkezelés alapjául fog szolgálni. A Veszélynaplóba be kell jegyezni, ha az életciklus folyamán már valamely meghatározott veszélyhez képest változás áll be, illetve valamilyen eddig nem azonosított veszély tűnik fel. A Veszélynaplónak az alábbi részleteket kell tartalmaznia: a) a Veszélynapló rendeltetése és célja. b) minden veszélyes esemény és a kapcsolódó elemek. c) az egyes veszélyekkel kapcsolatos események szekvenciájának gyakorisága és valószínűsíthető következményei. d) minden egyes veszély kockázata. e) az adott alkalmazásra vonatkozó kockázattűrési kritériumok. f) bármely veszélyes esemény esetére az eltűrhető kockázati szint csökkentésére, illetve a kockázat megszüntetésére tett intézkedések . g) a kockázattűrés felülvizsgálatára vonatkozó
eljárás. h) a kockázatcsökkentési intézkedések hatékonyságának felülvizsgálatára vonatkozó eljárás. i) a folyamatos kockázati és baleseti beszámolási eljárás. j) a Veszélynapló kezelésére vonatkozó eljárás. k) bármely elvégzett elemzés korlátai, határai. l) az elemzés során tett bármely feltételezés. m) az elemzések során felhasznált adatokkal kapcsolatban felmerült, a teljes bizonyosságra vonatkozó korlát. n) az alkalmazott módszerek, eszközök és technikák. o) az eljárásban bevont személyek kompetenciája. Fefü-EN-4.doc 16. oldal A Biztonsági ügy Az EN 50129 rögzíti a biztonsági elfogadás és jóváhagyás feltételeit, vagyis azokat a feltételeket, amelyeknek eleget kell tenni azért, hogy egy biztonságorientált elektronikus vasúti rendszert elegendõen biztonságosnak lehessen elfogadni annak rendeltetésszerû használatához. Ezek: a minőségfelügyelet megléte; a biztonságfelügyelet megléte; a
funkcionális és mûszaki biztonság megléte. Berendezés, alrendszer vagy rendszerszinten ezen feltételek mindegyikét ki kell elégíteni, mielõtt egy biztonságorientált rendszert elegendõen biztonságosnak fogadnánk el. Ezen feltételek kielégítésének dokumentált bizonyítékait egy struktúrált biztonsági igazoló dokumentum, a Biztonsági ügy tartalmazza. Részei 1. rész: Rendszermeghatározás (illetve alrendszer, berendezés meghatározása) Ennek a résznek kell pontosan definiálnia, illetve hivatkoznia a Biztonsági Ügy tárgyát képezõ rendszerre/alrendszerre/berendezésre, beleértve a verziószámot, bármely követelmény megváltoztatásának állapotát, a konstrukciót és az alkalmazási dokumentációt. 2. rész: Minőségfelügyeleti jelentés Ennek a résznek kell tartalmaznia a minőségfelügyelet meglétének bizonyítékait. (A minőségfelügyelet célja, hogy minimalizálja az életciklus bármelyik fázisában az emberi hibák
előfordulását, és így csökkentse a szisztematikus hibák kockázatát.) 3. rész: Biztonságfelügyeleti jelentés Ennek a résznek kell tartalmaznia a biztonságfelügyelet meglétének bizonyítékait. 4. rész: Műszaki biztonsági jelentés Ennek a résznek kell tartalmaznia a funkcionális és műszaki biztonság meglétének bizonyítékait. 5. rész: Kapcsolódó biztonsági ügyek Ennek a résznek kell tartalmaznia a rendszer bármely alrendszerének vagy berendezésének Biztonsági ügyére vonatkozó utalásokat, amelyektõl a rendszer Biztonsági ügye függ. Ez a rész bizonyítja azt is, hogy minden biztonsági vonatkozású alkalmazási feltétel minden egyes kapcsolódó alrendszer/berendezés Biztonsági ügyében meghatározásra került, vagy: a fő Biztonsági ügyben kerül kielégítésre; Fefü-EN-4.doc 17. oldal vagy: a fő Biztonsági ügy biztonságreleváns alkalmazási feltételeiben jelenik meg. 6. rész: Összefoglalás Ennek a résznek kell
összefoglalnia a Biztonsági ügy előző fejezeteiben bemutatott bizonyítékokat, és érvelni kell arról, hogy a specifikált alkalmazási feltételektől függően a szóban forgó rendszer/alrendszer/berendezés elegendően biztonságos. A Biztonsági ügy részei közül kettőt említenék részletesebben, a Biztonságfelügyeleti jelentést és a Műszaki biztonsági jelentést. Fefü-EN-4.doc 18. oldal A biztonságfelügyeleti jelentés A biztonságfelügyeleti eljárás összes elemének - a teljes életciklus során - megfelelőségét bizonyító dokumentumokat a Biztonságfelügyeleti Jelentésnek kell tartalmaznia. Témakörök: 1. Biztonsági életciklus A biztonsági életciklus összhangban van a rendszer-életciklussal. A rendszer életciklusának tervezési és validációs része egy „fentről lefelé” szemléletmódot követõ „lentről felfelé” szemléletmódból áll (azaz „V” diagram) 2. Biztonsági szervezet A biztonságfelügyeleti
eljárást megfelelõ biztonsági szervezet ellenőrzése mellett kell lebonyolítani, amely meghatározott feladatokra kompetens személyzetet alkalmaz. A biztonsági szervezetben betöltött szerepek közötti függetlenség megfelelõ mértékét figyelembe kell venni és arról gondoskodni kell (külön ábra az anyag végén). 3. Biztonsági terv Van-e, rendszreesen karban tartják-e, annak alapján dolgoznak-e. Lényeges konklúziók 4. Veszélynapló Van-e, rendszeresen karban tartják-e, a veszélyek, kockázatelemzések szabályosan vannak e kezelve, stb. 5. Biztonsági követelmények specifikációja A Biztonsági követelményspecifikáció vagy a Funkcionális követelményspecifikáció része, vagy külön dokumentum. 6. Rendszerek/alrendszerek/berendezések tervezése Az életciklus valamennyi fázisában olyan tervet kell elkészíteni, amely teljesíti a specifikált üzemi és biztonsági követelményeket. „Fentről lefelé” irányú struktúrált tervezési
metódust kell használni, szigorúan ellenőrzött és felülvizsgált dokumentációval Főképpen a hardver és a szoftver közötti kapcsolatot, ahogy azt a Szoftver Követelményspecifikáció jellemzi, illetve a hardver és a szoftver integráltságát kell szigorúan felügyelni, és az EN50128 szabvány követelményeihez következetesen ragaszkodni 7. Biztonsági felülvizsgálatok Az életciklus megfelelõ fázisaiban biztonsági felülvizsgálatokat kell végezni. Az ilyen felülvizsgálatokat a Biztonsági Tervben kell meghatározni és azok eredményeit teljes egészében dokumentálni. 8 Biztonsági verifikáció és validáció A Biztonsági Tervnek koncepciót kell tartalmaznia minden egyes életciklus-fázis verifikációjára vonatkozóan, hogy az az elõzõ fázisban meghatározott specifikus bizFefü-EN-4.doc 19. oldal tonsági követelményeket teljesíti, illetve a kész rendszer/alrendszer/berendezés validációjára vonatkozóan annak eredeti Biztonsági
Követelményspecifikációjának megfelelõen. Ezeket a tevékenységeket végre kell hajtani és dokumentálni kell, beleértve a megfelelõ tesztelést és biztonsági elemzéseket. Azokat meg kell ismételni, ha a rendszeren/alrendszeren/berendezésen bármilyen módosítás vagy kiegészítés történik A verifikáló és a validáló személy függetlenségének mértéke meg kell, hogy feleljen a vizsgálat tárgyát képezõ rendszer/alrendszer/berendezés biztonságintegritási szintjének. Ez a 6 ábrán látható Az egyes biztonságintegritási szintekre vonatkozó verifikációs és validációs technikákra/intézkedésekre vonatkozó irányelveket az „E” függelék E9 táblázatban találjuk 9. Biztonságigazolás Ez lényegében a Biztonsági ügy cimű dokumentum vezetéséről ad összefoglalót. 10. A rendszer/alrendszer/berendezés átadása A rendszer, alrendszer vagy berendezésegység vasúti szervnek történõ átadása elõtt a biztonsági elfogadás és
biztonsági jóváhagyás előtti lépéseket tárgyalja, beleértve a Biztonsági Ügy és a Biztonságértékelési Jelentés benyújtását is. 11. Üzemeltetés és karbantartás 12. Leszerelés és ártalmatlanítás Fefü-EN-4.doc 20. oldal Műszaki Biztonsági Jelentés (Fogalom magyarázat: Műszaki biztonsági jelentés (technical safety report): A rendszer, alrendszer vagy berendezésegység biztonságos konstrukciójának dokumentált műszaki bizonyítéka.) A Mûszaki Biztonsági Jelentésnek számot kell adnia a kontrukció biztonságát szavatoló technikai alapelvekrõl, beleértve minden támogató bizonyítékot (pl. tervezési elveket és számításokat, tesztspecifikációkat és a tesztek eredményeit, biztonsági elemzéseket) Abban az esetben, ha a Mûszaki Biztonsági Jelentés hivatkozásokat tartalmaz az alábbiakra, akkor nagy mennyiségû, részletes bizonyítékot és az azt támogató dokumentumokat nem kell magában foglalnia. A Mûszaki
Biztonsági Jelentést a következõ címpontok alá kell rendezni: 1. rész: Bevezetés Ez a rész áttekintõ leírást kell, hogy adjon a konstrukcióról, beleértve azoknak a mûszaki biztonsági alapelveknek az összegzését is, amelyre a biztonságot alapozzák, illetve azt a kört, amelyen belül a rendszertõé/alrendszertõl/ berendezéstõl jelen szabványnak megfelelõen fail-safe jelleget várunk el. Ennek a résznek arra is utalnia kell, hogy a konstrukció mûszaki biztonságának kialakításához jelen szabványt vették alapul. Már üzemben levõ berendezés módosítása vagy kiegészítése, standard gyártás, illetve a fejlesztés befejezett fázisa esetén, mint kivétel, alapként az eredeti konstrukcióhoz felhasznált szabványok kiadásai alkalmazhatók, hiszen ezeket már az eredeti berendezés jóváhagyásánál elfogadták. Az elõbbi csak akkor alkalmazható, figyelembe véve a szabványok legutóbbi kiadásait, ha a meglévõ berendezésen további
módosítások válnának szükségessé, vagy a változtatás indokolatlanul magas költséggel járnának. Ezen döntésre vonatkozó indoklást mellékelni kell 2. rész: A helyes funkcionális mûködés biztosítása Ennek a résznek kell tartalmaznia a rendszer/alrendszer/berendezés hibamentes, normál körülmények közti helyes mûködésének alátámasztásához szükséges összes bizonyítékot, a specifikált mûködési és biztonsági követelményeknek megfelelõen. Az alábbi szempontokat kell tartalmaznia: 2.1 Rendszerarchitektúra leírása, 2.2 Interfészleírások, 2.3 A rendszerkövetelmény specifikáció, 2.4 A biztonsági követelményspecifikáció kielégítése, 2.5 A helyes hardvermûködés biztosítása, 2.6 A meghatározott környezeti feltételek kielégítése 2.7 A helyes szoftvermûködés biztosítása Fefü-EN-4.doc 21. oldal 3. rész: A hibák hatása Ebben a részben kell bizonyítani, hogy a rendszer/alrendszer/berendezés véletlen
hardverhiba esetén is folyamatosan teljesíti a meghatározott biztonsági követelményeket, beleértve a mennyiségileg meghatározott biztonsági célkitûzéseket, . A meghatározott minõség- és biztonságfelügyeleti eljárások ellenére szisztematikus hiba létrejöhet. Így e résznek kell bemutatni azt is, hogy milyen mûszaki intézkedések történtek a lehetõ legalacsonyabb kockázati szint elérésére. Ebben a résznek kell tartalmaznia bizonyítékokat arra vonatkozóan, hogy a teljes rendszernél alacsonyabb biztonságintegritási szintû rendszer/alrendszer/ berendezés hibája, beleértve a nullás szintet is, nem csökkenti a teljes rendszer biztonságát. Az alábbi címpontok alkalmazandók: 3.1 Egyedi hibák eredményei, 3.2 Az egységek függetlensége, 3.3 Egyedi hibák detekciója, 3.4 A hibadetekciót követõ tevékenység (beleértve a biztonságos állapot visszaállítását), 3.5 Többszörös hibák hatása, 3.6 Szisztematikus hibák elleni
védekezés 4. rész: Mûködés külsõ behatások mellett Ebben a részben kell bizonyítani, hogy amennyiben a rendszer/alrendszer/ berendezés a Rendszer Követelményspecifikációban meghatározott külsõ behatásoknak van kitéve, akkor: továbbra is folyamatosan kielégíti a specifikált mûködési követelményeket; továbbra is folyamatosan kielégíti a specifikált biztonsági követelményeket (beleértve a hibaállapotokat is). Következésképpen a Biztonsági Ügy csak a külsõ behatások meghatározott tartományában érvényes, amint azt a Rendszer Követelményspecifikáció meghatározza. A biztonság - további különleges intézkedések foganatosítása nélkül - ezen határokon túl nem szavatolható. A meghatározott külsõ hatások elviselésére felhasznált módszereket ismertetni és indokolni kell. 5. rész: Biztonságorientált alkalmazási feltételek Ennek a fejezetnek kell meghatározni (vagy hivatkozni) azokat a szabályokat, feltételeket és
kötelmeket, amelyeket a rendszer/alrendszer/berendezés alkalFefü-EN-4.doc 22. oldal mazásánál figyelembe kell venni. Tartalmaznia kell továbbá bármely kapcsolódó alrendszer vagy berendezésegység alkalmazási feltételeit 6. rész: Biztonsági minõsítési próbák Jelen résznek kell bizonyítékokat tartalmaznia arra vonatkozóan, hogy - az üzemi körülmények között végrehajtott - biztonsági minõsítési próbák sikeresen lezajlottak. Ezek a B6 függelékben kerülnek ismertetésre Fefü-EN-4.doc 23. oldal Biztonsági elfogadás és jóváhagyás A Biztonsági Ügynek három típusát kell figyelembe venni: - Generikus gyártmány Biztonsági Ügy (alkalmazásfüggetlen) Ez különbözõ független alkalmazások esetén ismételten felhasználható. - Generikus alkalmazási Biztonsági Ügy (egy alkalmazási osztályra) Ez közös funkciókkal bíró alkalmazási típusoknál használható fel ismét. - Alkalmazásspecifikus Biztonsági Ügy (egy
meghatározott alkalmazásra) Ez csak egy megadott telepíts esetére használható. Minden egyes specifikus alkalmazás esetén bizonyítani kell, hogy a környezeti feltételek és az alkalmazási környezet megfelel a generikus alkalmazási feltételeknek. Mindhárom típusnál a Biztonsági Ügy struktúrája és a biztonsági jóváhagyás megszerzésére irányuló eljárás alapvetõen megegyezik Biztonsági Jóváhagyási Folyamat A rendszer Biztonsági Ügy című dokumentumának elkészítése után a rendszer/alrendszer/berendezés biztonsági értékelését végre kell hajtani annak érdekében, hogy meg lehessen győződni, a biztonság szükséges szintje teljesítésre került. Ennek eredményét a Biztonságértékelési Jelentésben kell rögzíteni. A jelentésnek ki ke ll térnie a biztonsági értékelő (assessor) által elvégzett tevékenységre, hogy meghatározásra kerüljön, hogy a rendszer/alrendszer/berendezésegység oly módon került megtervezésre,
hogy az a specifikált követelményeket kielégíti, illetve esetleg ki kell térni néhány további működési feltétel specifikációjára. A biztonsági értékelés mélysége, elkészítési függetlenségének mértéke az EN50126 szabványban ismertetett kockázatosztályozáson alapul. A biztonsági értékelő (assessor) előírhat bizonyos speciális végrehajtandó teszteket a jobb meggyőződés érdekében. Fefü-EN-4.doc 24. oldal Egy projekt biztonsági feladatot ellátó személyeinek/szervezeteinek/ kapcsolatrendszere project manager assessor tervező verifikáló SIL3 és SIL4 validáló vagy project ma nager assessor tervező verifikáló validáló SIL1 és SIL2 tervező verifikáló validáló assessor SIL 0 tervező verifikáló validáló assessor * lehet ugyanaz a személy lehet ugyanaz a szervezet * csak ha biztonsági rendszerhez csatlakozik Fefü-EN-4.doc 25. oldal
Ahogy közeledik a történelem érettségi, sokan döbbennek rá, hogy nem készültek fel eléggé az esszéírás feladatra. Módszertani útmutatónkban kitérünk a történet térbeli és időbeli elhelyezésére, a források elemzésére és az eseményeket alakító tényezőkre is.
