rams - standard
TRANSCRIPT
RAMS Revideringen av RAMS-standardene EN 50126/8/9 Terje Sivertsen, Jernbaneverket Teknologi Ny «NEK 900 Elektriske jernbaneanlegg» NEK/NK9 fagseminar 22. mai 2014, Jernbaneverket
Revideringen av RAMS-standardene
• Bakgrunn og status • Eksisterende utgave • Kommende utgave • Noen sentrale aspekter
Bakgrunn og status
• CENELECs standarder EN 50126, EN 50128 og EN 50129 gir krav til prosesser for å spesifisere og demonstrere RAMS-krav til jernbaneanvendelser
• Erfaringene fra bruk av RAMS-standardene har synliggjort behovet for en revidering og omstrukturering
• CENELECs arbeidsgruppe SC9XA/WGA11 utarbeidet en ny utgave av EN 50128, utgitt i 2011
• CENELECs arbeidsgruppe TC9X/WG14 startet i 2008 opp arbeidet med å revidere hele settet av RAMS-standarder
Bakgrunn og status (forts.)
• Revideringen skal resultere i en ny utgave av EN 50126, bestående av følgende fire deler:
– EN 50126-1: Generic RAMS process – EN 50126-2: System Approach to Safety – EN 50126-4: Functional Safety –
Electrical/Electronic/Programmable Electronic systems – EN 50126-5: Functional Safety – Software
• WG14 ble avviklet ved utgangen av februar 2014, og arbeidet er for tiden under gjennomgang
• Hva som skjer videre med revideringen vil bli besluttet på TC9X-møtet i juni 2014
Krav til bruk av RAMS-standardene
Jernbaneinfrastrukturforskriften:
Infrastrukturforvalter skal benytte prosesstandarden EN 50126 (1999) ved bygging av ny jernbaneinfrastruktur og ved endring av programmerbare tekniske systemer samt ved utvikling og endring av STM-enheter. Ved andre endringer av jernbaneinfrastruktur skal infrastrukturforvalter vurdere om endringen er av en slik karakter at bruk av EN 50126 (1999) er hensiktsmessig. Vurderingen skal dokumenteres Infrastrukturforvalter skal benytte standardene EN 50128 (2003) og EN 50129 (1999) ved anskaffelse av nye signalanlegg og ved endring av elektroniske signalanlegg
RAMS-standardene
• CENELEC-standardene EN 50126, EN 50128 og EN 50129 er en jernbanespesifikk tilpasning av IEC 61508
• CENELEC-standardene og IEC 61508 bruker samme risikobaserte definisjon av sikkerhet og samme prosesser for fareidentifisering og risikoanalyse
• CENELEC behandler aktiviteter for RAM (dependability) og sikkerhet (safety) i samme rammeverk (RAMS management)
• Relevansen for signalanvendelser kan delvis forklares ut fra at IEC 61508 fokuserer på elektriske/elektroniske/programmerbare elektroniske kontrollsystemer
7
Totalt jernbanesystem
EN 50126
Signalanlegg
EN 50129
Programvare
EN 50128
Hva er EN 50126?
En jernbanespesifikk standard som definerer • RAMS, det vil si pålitelighet (Reliability),
tilgjengelighet (Availability), vedlikeholdbarhet (Maintainability) og sikkerhet (Safety), og interaksjonen mellom disse
• en prosess for RAMS-styring, basert på systemets livsløp og oppgaver innenfor denne
• en systematisk prosess for spesifisering av RAMS-krav og for å demonstrere at disse kravene er oppnådd
EN 50126, Railway applications – The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS)
Hva er EN 50128?
En jernbanespesifikk standard som • spesifiserer prosedyrer og tekniske krav for
utviklingen av programmerbare elektroniske systemer for bruk i anvendelser relatert til kontroll og sikring av jernbane
• skal anvendes for programvare og for interaksjonen mellom programvaren og det systemet den er en del av
• hører naturlig sammen med EN 50126 og EN 50129
EN 50128, Railway applications – Communication, signalling and processing systems – Software for railway control and protection systems
Hva er EN 50129?
En jernbanespesifikk standard som • definerer krav til aksept og godkjenning av
sikkerhetsrelaterte elektroniske systemer innenfor signalområdet
• definerer krav til den sikkerhetsrelaterte maskinvaren og til det overordnede systemet
• krever at systemsikkerhet demonstreres gjennom et sikkerhetsbevis
• hører naturlig sammen med EN 50126, EN 50128, EN 50159-1 og EN 50159-2
EN 50129, Railway applications – Communications, signalling and processing systems – Safety related electronic systems for signalling
Sikkerhetsbevis
• Et sikkerhetsbevis for et system er et argument som, understøttet av bevisgrunnlag (evidens), demonstrerer at det er sikkert å ta systemet i bruk
• Et sikkerhetsbevis kan være – uavhengig av anvendelsen (generisk produkt) – begrenset til en gitt klasse applikasjoner (generisk
applikasjon) – begrenset til en gitt applikasjon (spesifikk applikasjon)
• Det som er viktig er ikke mengden av dokumentasjon men kvaliteten på sikkerhetsargumentasjonen og relevansen av bevisgrunnlaget
Neste utgave av EN 50126
1 Generic RAMS process
2 Systems Approach to Safety
3 -
4 Functional Safety – E/E/PE systems
5 Functional Safety – Software
Uavhengig av teknologivalg
Spesifikt for sikkerhets-relatert E/E/PE-teknologi
Fire deler:
Erstatter EN 50126:1999, EN 50128:2011 og EN 50129:2003
Hva dekker de ulike delene?
EN 50126-1: • RAMS-prosessen • Hovedsakelig basert på EN 50126:1999 EN 50126-2: • Utdyper systemtilnærmingen til sikkerhet • Gir metoder for å utlede sikkerhetskrav og deres
sikkerhetsintegritetskrav for systemet og for å fordele disse til delsystemene, herunder maskinvare og programvare
Hva dekker de ulike delene?
EN 50126-4: • Alle fasene i utvikling, drift og vedlikehold av
sikkerhetsrelaterte elektroniske systemer/delsystemer/maskinvare
• Baserer seg på RAMS-prosessen og metodene i del 1 og 2 for identifisering av eventuelle sikkerhetskrav
EN 50126-5: • Alle fasene i utvikling, drift og vedlikehold av
sikkerhetsrelatert programvare for elektroniske systemer/delsystemer/maskinvare
Anvendelsesområde
• RAMS-standardene har sin opprinnelse i utviklingen av standardiserte elektroniske sikringsanlegg i Storbritannia
• EN 50126 oppgir som sitt anvendelsesområde:
“all railway applications and at all levels of such an application, as appropriate, from complete railway routes to major systems within a railway route, and to individual and combined sub-systems and components within these major systems, including those containing software”
Anvendelsesområde (forts.)
• Revisjonen av RAMS-standardene skulle gi:
• Forsøk på å presisere standardens anvendelsesområde har ført til nye spørsmål, fordi det vil kunne være ønskelig å benytte standarden også på andre jernbanesystemer
• I revisjonen av standarden har man derfor foreløpig valgt å beholde beskrivelsen i eksisterende standard, uten ytterligere presisering
“a systematic and coherent approach to RAMS applicable to all the railway application fields Signalling, Rolling Stock and Fixed Installations (Electric traction power supply for Railways)”
Relasjonen til IEC 61508
EN 50126 erstatter IEC 61508 innenfor jernbaneområdet: • Det er ikke nødvendig å benytte deler av IEC
61508 ved siden av EN 50126 • Det er ikke akseptabelt å benytte IEC 61508 i
stedet for EN 50126 • Samsvar med EN 50126 innebærer ikke
nødvendigvis samsvar med IEC 61508
IEC 61508, Functional safety of electrical/electronic/programmable electronic safety related systems
Relasjonen til CLC/TS 50562:2011
• EN 50126 tillater at RAMS-prosessen “may be simplified by reusing existing applicable material”
• EN 50126 nevner som eksempel CLC/TS 50562:2011
• SC9XC har besluttet å overføre CLC/TS 50562:2011 til en EN-standard
• Hensikten er at EN 50562 skal “support the realisation of the EN 50126-Series within the context of electric traction systems”
CLC/TS 50562, Railway applications – Fixed installations – Process, measures and demonstration of safety for electric traction systems
Relasjonen til europeisk lovgivning
• EN 50126 benyttes som en teknisk standard i en sammenheng der også europeisk lovgivning i form av TSIene og CSM RA (Common Safety Methods for Risk Assessment) kommer til anvendelse
• Det er begrenset i hvilken grad EN 50126 kan tilpasses europeisk lovgivning, da en teknisk standard ikke kan inneholde politisk motiverte krav (skal kunne anvendes også utenfor europeisk lovgivning)
• EN 50126 benytter begrepet “acceptance” for bekreftelsen mellom ulike interessehavere, og reserverer bruken av begrepet “approval” til den juridiske bekreftelsen fra rette myndighet
Relasjonen til CSM RA
• EN 50126 skal støtte risikoakseptprinsippene i CSM RA
• Anvendelsene av risikoakseptprinsippene i CSM RA erstatter ikke bruken av EN 50126, men er kun midler for evaluering av resultatene av en risikovurdering
• CENELEC må endre terminologien i EN 50126:1999, som bruker betegnelsen risikoakseptprinsipper om metoder som mer presist er metoder for å utlede risikoakseptkriterier
Verifisering og validering
• De eksisterende RAMS-standardene benytter ikke de klassiske definisjonene av verifisering og validering som kompletterende aktiviteter gjennom livsløpet, men knytter i stedet verifiseringen på RAMS-fasene og valideringen hovedsakelig til enden av V-livsløpet
• I den reviderte standarden går man tilbake til den klassiske forståelsen av verifisering og validering, der verifiseringsresultatene betraktes som input til valideringen, som i større grad utføres underveis i livsløpet
Assessment
• EN 50126 bruker assessment om vurdering som aktivitetstype, og er ikke begrenset til safety assessment eller independent safety assessment
• Det er utenfor standardens mandat å kreve sertifisering av ISA
• For å unngå forveksling med det CSM RA omtaler som “safety assessment report” vil dette begrepet bli utelatt i EN 50126 og erstattes med en henvisning til at ISA skal dokumentere sine funn
• ISA skal ikke gjenta valideringen men sjekke at valideringen og de andre prosessene påkrevd i standarden er tilfredsstillende utført
Oppsummering
• «RAMS-standardene» EN 50126, EN 50128 og EN 50129 skal anvendes for å spesifisere og demonstrere RAMS-krav til jernbaneanvendelser
• Standardene revideres og er planlagt utgitt som EN 50126, med fire deler
• Viktige stikkord for revideringen er helhet og konsistens, systemtilnærming til sikkerhet, systemdesign for elektroniske systemer og programvare, relasjonen mellom RAMS-prosess, systemtilnærming og systemdesign, relasjonen til CSM RA, etc.
• Revideringen er forsinket, og beslutning om det videre arbeidet gjøres av TC9X i juni 2014
Vedlikeholds-vennlige anlegg
Christopher Schive, JBV Teknologi
Innhold
•Jernbanen som system •Valg av tekniske løsninger
Krav til infrastruktur stilles for Kapasitet
aksellast, hastighet, profil, antall tog
Sikkerhet Kravene stilles av noen utenfor oss
Kundene Tog-selskapene
Jernbane-verket
Samferdselsdepartementet Jernbane-verket
Etablere tilgjengelighetskrav for et prosjekt
Kravene utledes fra: Dimensjonerende togtrafikk • Fremtidig ruteplan (lokaltogfrekvens, fjerntogsfrekvens) • Fremtidig togsammensetning (persontog, godstog) Drift, vedlikehold og oppetid • Tid til driftsaktiviteter på banen • Tid til vedlikeholdsaktivitet er på banen • Krav til at banen er tilgjengelig for rutemessig fremføring av tog
Valg av tekniske løsninger
De tekniske løsninger må velges slik at RAMS-kravene oppfylles!
Jernbanen som system
Tilgjengelighet for en jernbane krever samtidig tilgjengelighet av en rekke systemer og komponenter sikringsanlegg kontaktledningsanlegg strømforsyning spor underbygning kommunikasjon (GSM-R) ytre forhold (vind, dyrepåkjørsler, snø, glatte skinner)
Feil som hindrer stilling av togvei
svikt i fjernstyring svikt i togdeteksjon (belagt når fritt) svikt i lyssignal (stans når kjør) svikt i sporveksel (får ikke kontroll i riktig
posisjon) svikt i forrigling (får ikke stilt selv om
betingelsene er til stede)
SKF-er TKF-er
Feil som hindrer fremføring
svikt i strømforsyning svikt i kontaktledning svikt i kommunikasjon (GSM-R) svikt i ATC-infrastruktur for mye vind, glatte skinner, snø, flom (klima)
Feil som stopper fremføring
svikt i underbygning telehiv, utrasing, ras ned på linjen
svikt i overbygning solslyng, skinnebrudd
hendelser dyrepåkjørsel
klima snø, glatte skinner
Forsinkelsesårsaker
Forsinkelser pga. sikringsanlegg
Hvordan oppnå tilgjengelighetskravet
valg av systemer og komponenter RAM-egenskaper design (dublering, dobbeltfilament)
vedlikehold tilstandskontroller, visitasjoner
beredskap snøberedskap, kort utrykningstid
prosedyrer hva gjør man når feil oppstår