2.4. Нормирование и оценка безопасности систем
железнодорожной автоматики
Методами оценки, нормирования и средствам обеспечения безопасности систем ЖАТ посвящено большое число работ [81, 82, 83, 84, 87 и другие]. В настоящее время разработана система отраслевых стандартов "Безопасность железнодорожной автоматики и телемеханики" [85-87].
Целями и задачами разработки системы стандартов являлись определение терминологии, требований по безопасности к системам ЖАТ, выбор методов и средств их обеспечения на всех этапах жизненного цикла технических средств (разработка, проектирование и эксплуатация) [83, 89].
Однако, учитывая разнообразие элементов систем ЖАТ, особенности разработки и проектирования программных и аппаратных средств, к вопросам нормирования и оценки показателей безопасности систем ЖАТ существует несколько различных подходов. В [90, 191] указывается, что в настоящее время нормы и рекомендованные методы доказательства функциональной безопасности систем ЖАТ требуют пересмотра в связи с трудностями, связанными с их практическим использованием.
В соответствии с [92] к показателям безопасности относят количественные и качественные характеристики, которые могут иметь две формы представления: вероятностную и статистическую.
В соответствии с требованиями международных стандартов ИСО 9000 [93] нормы безопасности могут носить только вероятностный характер. Кроме того, в связи с тем, что системы ЖАТ, как правило, являются уникальными системами, то применение к ним статистической теории надежности ограничен. Статистическая оценка показателей безопасности систем ЖАТ возможна лишь на стадии экспериментальной обработки и испытаний методами имитационного моделирования.
На стадии проектирования и конструирования показатели безопасности трактуют как характеристику вероятностных математических моделей создаваемых систем.
Таким образом, возникает задача построения математических моделей для оценки вероятностных показателей безопасности проектируемых систем ЖАТ с помощью ОСМ.
При анализе показателей безопасности систем ЖАТ следует различать безопасность "внешнюю" и "внутреннюю". В соответствии с [86, 83, 84] безопасность системы ЖАТ – это свойство системы непрерывно сохранять исправное, работоспособное или защитное состояние в течение некоторого времени или наработки. При этом авторы исследуют только внутреннюю безопасность – свойство объекта не быть источником опасности для человека или окружающей среды из-за нарушения работоспособности (по причине внутренних отказов). Внешняя безопасность связана с сохранностью системы ЖАТ как объекта и может нарушаться из-за внешних причин (влияния окружающей среды и действий человека).
Перечень рекомендованных [86] показателей безопасности приведен в табл.2.3.
Таблица 2.3
Наименование показателя |
Обозначение |
Вероятность безопасной работы |
|
Вероятность опасного отказа |
|
Средняя наработка до опасного отказа |
|
Средняя наработка на опасный отказ |
|
Интенсивность опасных отказов |
|
Параметр потока опасных отказов |
|
Коэффициент безопасности |
|
Следует отметить, что ошибки оператора при эксплуатации системы ЖАТ, не связанные с внесением изменений в конструкцию или неправильным техническим обслуживанием, следует отнести к внутренней безопасности систем ЖАТ.
Таким образом, при анализе безопасности систем ЖАТ на этапах проектирования и эксплуатации целесообразно рассматривать внутреннюю безопасность систем ЖАТ, связанную с ошибками проектирования как для ПО, так и для аппаратных средств.
Существует два различных подхода к определению опасного отказа с точки зрения взаимодействия систем ЖАТ и транспортного комплекса в целом.
В соответствии с [83] система ЖАТ рассматривается изолированно от всего транспортного комплекса. Считается, что если произошел опасный отказ системы ЖАТ, который может привести к аварии, то это с точки зрения разработчика это опасно и недопустимо независимо от того, произошла фактическая авария или нет. В работах [94, 82, 95] предложен иной подход. Автор считает, что один и тот же отказ одного и того же элемента транспортной системы в одном случае может быть причиной перехода перевозочного процесса в нештатное состояние, а в другом – не может. Все дело в том, участвует ли в конкретный момент времени данный элемент транспортной системы в реализации перевозочного процесса или не участвует.
Состояние устройства транспортной системы называется активным в некотором интервале времени, если оно в этот интервал непосредственно участвует в реализации перевозочного процесса, а его параметры влияют на его протекание, т.е. на его состояние. Пассивное состояние устройства транспортной системы такое, когда оно в данный интервал времени непосредственно не участвует в перевозочном процессе, и его параметры не влияют на его протекание и, как следствие, на его состояние [95].
В этом случае в [95] дается следующие определения опасных отказов.
Опасный отказ аппаратных средств системы ЖАТ - это отказ аппаратных средств устройства (функционального узла) системы, находящегося в активном состоянии, обусловливающий переход перевозочного процесса из штатного или нештатного неопасного состояний в нештатное опасное состояние.
Опасная ошибка программного обеспечения системы управления – это ошибка модуля программы системы управления, находящегося в активном состоянии, обусловливающая переход перевозочного процесса из штатного или нештатного неопасного состояний в нештатное опасное состояние.
Такой подход закреплен в [96] в виде терминов безопасности по параметрам движения и показателей безопасности по параметрам движения поезда, аналогичных показателям, приведенным в табл.2.3.
Кроме терминологических разногласий, в настоящее время остается открытым вопрос о наиболее точном нормировании показателей безопасности.
В основе подхода к определению норм безопасности, изложенного в [82, 97], лежит концепция приемлемости риска. Смысл этой концепции заключается в том, что некоторая норма безопасности считается допустимой, если затраты на ее обеспечение не превышают потерь, возникающих при опасных отказах, либо ее значение соответствует достигнутому уровню безопасности, признанному обществом или специалистами достаточным на данный момент.
В первом случае
должны быть известны перечень мероприятий
по обеспечению или повышению безопасности
системы ЖАТ, значения прироста безопасности
и затраты на ее обеспечение, вид
зависимости "эффективность –
безопасность". При этом норма
безопасности
определяется исходя из следующих
условий:
;
,
(2.24)
где
- некоторое минимально допустимое
значение нормы безопасности, при котором
создание или эксплуатация изделия еще
имеет смысл;
- затраты на
обеспечение нормы безопасности
;
- максимально
допустимая величина затрат, при которой
создание или эксплуатация изделия ЖАТ
еще имеет смысл.
Такой подход представляет собой одно из условий задачи оптимизации. Во втором случае норма безопасности системы ЖАТ определяется на основании уже достигнутого в аналогичных изделиях уровня безопасности.
Вопросы нормирования
показателей безопасности связаны с
оценкой функции распределения
времени до первого опасного отказа либо
между отказами. В работе [83] приведена
попытка доказательства того, что
распределение времени наработки между
опасными отказами СЖАТ подчиняются
экспоненциальному закону.
В этом случае параметр закона распределения – интенсивность опасных отказов – определяется экспериментальным путем, а остальные значения норм безопасности рассчитываются с помощью соответствующих формул.
Однако, использованные для этого статистические данные относились в большей степени к внешней безопасности, связанными с действиями человека, что делает это доказательство неубедительным.
В работах [81, 82]
исходя из положений теории надежности
исследуются упрощенные модели потоков
опасных и неопасных отказов систем ЖАТ,
в которых без достаточных оснований
предполагается, что интенсивность
опасных отказов
.
В [82], кроме того, указывается, что при
анализе характеристик опасных отказов
могут использоваться нормальный,
гиперэкспоненциальный и ряд других
законов распределения.
Например, для
экспоненциального закона распределения
,
и учитывая предложенную в [99, 100] норму
1/ч, средний период наработки до опасного
отказа должен составить более 10 миллионов
лет. Очевидно, что никакими статистическими
данными невозможно подтвердить или
опровергнуть как сам норматив, так и
правомерность использования какого-либо
распределения вероятностей для столь
редкого события.
Интересный подход к нормированию показателей безопасности СЖАТ предложен в [98]. Авторами отмечается, что значительная доля нарушений, связанных с поездной и маневровой работой в службах, совершается человеком, а не техническими средствами; нередки случаи формирования устойчивых последовательностей повторяющихся предпосылок к транспортным происшествиям и т.д.
Исследования авторов показали, что параметр потока транспортных происшествий в широких пределах линейно зависит от величины грузооборота и в условиях постоянства перевозочной работы меняется незначительно.
При этом системы ЖАТ составляют лишь небольшую часть технических средств, отказы которых могут привести к возникновению опасного транспортного происшествия. Поэтому целесообразно предположить, что перечисленные числовые характеристики аварийности должны удовлетворять следующему неравенству [98]:
.
В соответствии с приведенным анализом в дальнейшем целесообразно рассматривать безопасность систем ЖАТ изолированию от транспортного комплекса (в терминах [94] – «безопасность аппаратных средств в узком смысле») при оценке безопасности на этапе проектирования системы ЖАТ, а при оценке безопасности в эксплуатационный период жизненного цикла системы - рассматривать показатели безопасности по параметрам движения поезда в соответствии с [96] (в дальнейшем – эксплуатационная безопасность систем ЖАТ).
Можно рассматривать вероятность с точки зрения внутренней безопасности как вероятность проявления ошибки проектирования, т.е. отказ, для которого при разработке системы ЖАТ не был с требуемой вероятностью предусмотрен перевод системы в защитное состояние.
Можно предположить, что с течением времени в условиях испытаний опытных образцов, тиражирования системы ЖАТ и их длительной эксплуатации система будет подвержена воздействию различных внешних факторов и их комбинациям, в том числе – различным эксплуатационным воздействиям (например, отказам напольного оборудования, различным видам поездной и маневровой работы и т.д.). Если при этом опасный отказ не проявится, то эксплуатационная безопасность за основной цикл работы систем ЖАТ будет повышаться, т.е. априорная вероятность будет подтверждаться в ходе эксплуатации.
В этом случае
целесообразно задать различные значения
нормы
для определенных жизненных циклов
систем ЖАТ, полагая, что
изменяется скачком. Используя, в этом
случае с целью упрощения экспоненциальный
закон распределения отказов, согласно
[101] для однократного изменения
будем иметь:
.
(2.25)
Учитывая специфику оценки надежности для ПО и аппаратных средств можно использовать аналогичную математическую модель для оценки эксплуатационной безопасности систем ЖАТ:
;
(2.26)
где
- вероятность того, что объект на интервале
времени
будет подвержен воздействию случайных
факторов, способных вызвать его опасный
отказ.
Для ПО формула (2.26) представляет собой частный случай вероятности безотказной работы ПО (формула (2.12)) относительно опасных отказов ПО.
Для аппаратных средств системы ЖАТ при оценке внутренней безопасности
(2.27)
Кроме того, при анализе функции эксплуатационные характеристики работы транспортного комплекса могут быть учтены как для изолированной системы ЖАТ, так и при оценке безопасности по параметрам движения поезда.
В [94] приводится
пример, что перевод стрелки вследствие
отказа приведет к катастрофе при условии,
если он произойдет под движущимся
составом. В этом случае вероятность
катастрофы
определяется
произведением вероятностей двух событий
– вероятности
занятия стрелки движущимся поездом и
вероятности
возникновения в это время опасного
отказа, приводящего к переводу стрелки,
т.е.
.
При этом предполагается, что эти два
события независимые, что вполне допустимо.
Аналогичные дополнительные условия можно сформулировать и для других видов опасных отказов.
Зависимость (2.27)
соответствует рекомендованным в [99, 97]
принципу определения норм безопасности,
впервые сформулированному в [101, 102]. В
его основе лежит принцип, заключающийся
в том, что уровень безопасности считается
приемлемым, если но одно изделие системы
ЖАТ из некоторого множества не будет
иметь ни одного опасного отказа за весь
срок эксплуатации. Например, норма
интенсивности опасных отказов
может быть рассчитана так:
,
(2.28)
где
- число изделий ЖАТ, находящихся в
эксплуатации;
- предполагаемый
срок эксплуатации изделия ЖАТ.
На этапе проектирования
системы ЖАТ показатели безопасности
могут быть оценены с помощью аппарата
функциональных сетей. Например, для АО
системы ЖАТ целесообразно воспользоваться
моделью Миллса, введя случайное
подсеивание опасных ошибок в АО СЖАТ с
учетом ТФС безопасности и первичного
значения
.
Это позволит доказать соответствие ПО
системы ЖАТ одному из критериев
безопасности. В дальнейшем изменение
функции безопасности
будет зависеть от условий эксплуатации
системы ЖАТ. Норма безопасности системы
ЖАТ может быть определена на основе
достигнутого уровня в аналогичных
изделиях.