Bezpečnost moderních železničních zabezpečovacích systémů

26.6.2009 8:00 Ing. Petr Hloušek, Ph.D. Zdroj: Nová železniční technika

Článek uvádí do problematiky zajištění bezpečnosti moderních elektronických železničních zabezpečovacích zařízení. Upozorňuje na řadu nových evropských norem, týkajících se nově navrhovaných zabezpečovacích zařízení využívajících nových technologií. Uvádí důvody pro normalizaci specifických zabezpečovacích zařízení, zmiňuje problematiku jejich návrhu a schvalování, zavedení různé úrovně integrity bezpečnosti a diskutuje problém určení meze přijatelnosti rizika.

Tento článek se svým obsahem poněkud vymyká populárnímu rázu našeho internetového magazínu. Zaslal nám jej (včetně souhlasu autora ke zveřejnění) náš člen Ing. Tomáš Rotbauer a tento svůj počin komentoval slovy „myslím, že to konečne laikom otvorí trochu oči a pochopia, o čom je zabezpečovacia technika na železniciach“. K tomu dodám jen tolik, že postačí, když si ti méně fundovaní uvědomí, že je to věc skutečně složitá a nedá se odbýt mnohdy velice zjednodušenými komentáři všelijakých nepříjemných událostí na železnici.

(-zz-)

Úvod

Článek má za cíl uvést čtenáře do problematiky filozofie zajištění bezpečnosti moderních elektronických železničních zabezpečovacích zařízení.
Připomeňme, že u železničních zabezpečovacích zařízení rozlišujeme tzv. funkční bezpečnost, která znamená, že zařízení v bezporuchovém stavu neprovede žádnou funkci, která by ohrozila bezpečnost dopravy. Navíc však u těchto zařízení musí být zajištěna tzv. technická bezpečnost (safety integrity), která znamená, že se zařízení musí chovat bezpečně i při všech vlastních uvažovaných poruchách.
S nástupem moderních elektronických železničních zabezpečovacích zařízení vyvstal problém se zajištěním jejich bezpečnosti, protože s velkým nárůstem množství funkcí zároveň značně vzrostla komplexnost a tím i cena systému. Navíc hlavní problém s použitím běžných elektronických prvků pro bezpečnostně relevantní funkce je, že většinou neexistuje žádný bezpečný stav, do kterého by prvek přešel při jeho poruše. Na rozdíl od toho například relé 1. bezpečnostní skupiny, které tvoří základní stavební prvek železničních zabezpečovacích systémů s vnitřní (vestavěnou) bezpečností, má zaručený odpad kotvy při poruše (považuje se za dostatečně nepravděpodobnou poruchu díky jeho konstrukci). Vývoj směrem k používání elektronických prvků se speciálními vlastnostmi, kde by bylo zajištěno něco podobného, se ukázal být slepou uličkou, především z ekonomických důvodů, ale i díky tomu, že počet poruch narůstá exponenciálně se složitostí systému. Tyto problémy zdržely nástup elektronických prvků do zabezpečovacích zařízení o zhruba dvacet let proti jiným oborům.

Elektronické železniční zabezpečovací systémy

Jako nejschůdnější možnost aplikace počítačově orientovaných elektronických železničních zabezpečovacích systémů se ukázala cesta konstrukce systémů s bezpečností založenou na využití redundance, na rozdíl od předchozích systémů s vestavěnou bezpečností [1]. Redundance znamená nadbytečnost, kdy je v systému něco navíc, co umožňuje vyhodnocování poruch, z čehož ovšem zase plyne větší složitost a tudíž i cena zařízení. Navíc nelze opomenout další velký faktor, který zvýšil složitost a zkomplikoval problematiku bezpečnosti těchto systémů – softwarové vybavení. To je z principu nedílnou součástí procesorově orientovaných elektronických systémů a velmi zvyšuje funkční možnosti zařízení a také komfort uživatele. Toto jsou hlavní aspekty, které si vynutily určité změny přístupu k zajištění a hodnocení bezpečnosti moderních zabezpečovacích zařízení.

Evropské normy

Na tyto problémy reagují nové evropské drážní normy, které se touto problematikou zabývají a naznačují řešení. Navíc samozřejmě mají sjednotit přístup k této problematice ve všech zemích EU, což má vést k snadnějšímu schválení zařízení v dalších zemích, bylo-li již v některé schváleno podle těchto norem, tzv. vzájemné uznávaní schválení. Česká republika tyto normy převzala (viz tab. 1).

Označení	Náplň normy
ČSN EN 50126	Stanovení a prokázání bezporuchovosti, pohotovosti, udržovatelnosti a bezpečnosti (RAMS)
ČSN EN 50129	Elektronické zabezpečovací systémy
ČSN EN 50128	Software pro drážní řídicí a ochranné systémy
ČSN EN 50159	Komunikace v přenosových zabezpečovacích systémech

Tab. 1 Nové normy pro zabezpečovací zařízení

Norma EN 50126 je obecnou základní normou, která se týká všech drážních zařízení a definuje všechny požadavky, které je potřeba splnit, aby zařízení kvalitně plnilo svoji funkci. Ostatní normy se již konkrétně týkají zabezpečovacích zařízení a jejich specifických složek: hardwaru, softwaru a přenosu informací.
Tyto normy dávají obecný návod, jak navrhnout a vyvíjet zařízení s definovanou úrovní bezpečnosti, ale i jak ji hodnotit a prokázat, že jí bylo dosaženo.
Nový přístup zavádějí tyto normy v tom, že jsou definovány různé úrovně integrity bezpečnosti, tzv. SIL (Safey Integrity Level), neboli různě přísné požadavky na integritu bezpečnosti, což by mělo umožnit, aby pro méně kritické aplikace, byla navrhována jednodušší a tudíž levnější zařízení. Tento přístup vychází z myšlenky, že ne všechny hazardní stavy se vyskytují stejně často a navíc že následky různých hazardních stavů jsou různě závažné.
Například jiná opatření lze přijmout pro hazardní stav, u něhož je pravděpodobnost výskytu jednou za dobu života daného zařízení a jehož následkem mohou být maximálně lehká zranění oproti hazardnímu stavu, u něhož je pravděpodobnost výskytu třeba desetkrát ročně a následkem mohou být úmrtí více osob.
Zavádí se tedy tzv. koncepce rizika jako kombinace dvou faktorů:
- pravděpodobnosti (četnosti) výskytu události nebo kombinace událostí vyvolávajících nebezpečí,
- následků těchto nebezpečí.
Je zřejmé, že aby mohl být tento přístup aplikován, je potřeba provést tzv. analýzu rizik [3], tj. analýzu četnosti výskytu jednotlivých hazardních stavů a jejich možných následků před vlastním návrhem zařízení, což ovšem není jednoduchá úloha, pro kterou mnohdy chybí nezbytná vstupní statistická data.
Mezi hlavní problémy v aplikaci tohoto přístupu patří především zodpovědnost provozovatele dráhy, který se musí rozhodnout, že použije levnější, avšak „méně bezpečné“ zařízení, což je velký „psychologický“ posun oproti dosavadní praxi. U předchozích generací zabezpečovacích zařízení byl vždy kladen důraz na konstrukci na hranici technicky dosažitelné bezpečnosti. Z právního hlediska je však provozovatel krytý těmito normami, pokud byly dodrženy při návrhu zařízení, za což ovšem zodpovídá schvalovatel zařízení. Tato zodpovědnost za garantování bezpečnosti jej právem nutí být velmi opatrný při schvalování méně bezpečných zařízení a vyžadovat velmi důkladné prokázání dosažené úrovně bezpečnosti. Ekonomické aspekty jsou z jeho pohledu po právu druhořadé.
Z pohledu výrobců jsou zde také mnohé obtíže a především není jejich prvořadým zájmem dodávat „levná“ zařízení. Tlak větší konkurence mezi výrobci, se kterým se počítalo, viz výše mechanismus vzájemného uznávání, se v praxi, alespoň v České republice, zatím nekoná. Dalšími důvody jsou omezené vývojové kapacity, a náklady na vývoj zařízení s nejistou návratností, jednak díky možným problémům při schvalování a jednak na začátku vývoje vůbec není jisté, že cena tohoto „méně bezpečného“ zařízení bude dostatečně výrazně nižší, aby byla významným faktorem při výběru zařízení provozovatelem. Nehledě na psychologický aspekt zmíněný výše.
Každopádně je u tohoto přístupu potřeba kvantifikace pravděpodobnosti hazardních stavů, aby bylo možné určit, zda zařízení splňuje danou úroveň bezpečnosti.

Kvantifikace pravděpodobnosti hazardních stavů

Jak již bylo naznačeno u předchozích generací zařízení, nebylo v podstatě potřeba tuto kvantifikaci provádět, neboť existoval katalog poruch pro používanou součástkovou základnu, vyčleňující neuvažované poruchy (dostatečně nepravděpodobné). Zařízení potom bylo zkonstruováno tak, aby se pro všechny uvažované poruchy chovalo bezpečně. To bylo možné vzhledem k relativně malému množství uvažovaných poruch jednotlivých typů součástek a relativně malé složitosti těchto zařízení.
Tato schopnost zabezpečovacího zařízení omezit následky poruchy, tzv. přejít do bezpečného stavu (bezpečně reagovat na poruchu), představuje tzv. kvalitativní složku bezpečnosti.
Kvantitativní složka bezpečnosti vyčísluje pravděpodobnost poruchových stavů, kdy zařízení nebude reagovat správně, které jsou v předchozím přístupu zjednodušeně pokládány za dostatečně nepravděpodobné. Takže bezpečnost lze kvantifikovat jako pravděpodobnost nepřítomnosti hazardního stavu po danou dobu používání za daných podmínek provozu a údržby.
Při návrhu zabezpečovacího zařízení je třeba se vždy snažit o zajištění bezpečnosti v první řadě kvalitativním způsobem (např. vhodná architektura systému), vhodně doplněným kvantifikací tak, aby bylo dosaženo minimalizace rizika. Úplnému odstranění rizika brání technické i ekonomické aspekty nastíněné výše.

Problém určení meze přijatelnosti rizika

S předchozím souvisí problém stanovení jaké riziko je přijatelné. Principiálně musí být přijatelnost rizika založena na všeobecně uznávané zásadě. Norma EN 50126 [2] nabízí tři příklady zásad, které jsou již v některých zemích používány.

● Zásada ALARP

Tato zásada je používaná ve Velké Británii. Zkratka ALARP znamená „co nejnižší rozumně dosažitelné riziko“ a označuje, že se vývojář musí snažit dosáhnout co nejnižšího rizika a u hazardních stavů, kde se nepodaří dosáhnout všeobecně uznávané hodnoty, může být riziko uznáno (není-li hodnota příliš vysoká), pokud se prokáže, že jej nelze rozumným způsobem dále snížit. Prokázání lze opřít o použití nejnovějších technických prostředků, platných standardů apod.

● Zásada GAMAB

Tato zásada je používaná ve Francii. Její princip říká, že nové zařízení musí být při celkovém hodnocení nejméně tak bezpečné, jako kterýkoli stávající ekvivalentní systém. Je zde ponechána určitá volnost, některý jednotlivý parametr může být u nového zařízení mírně horší, ale nesmí jít o parametr zásadní a celkově musí jít o snížení rizika oproti stávajícímu stavu.

● Zásada MEM

Tato zásada je používaná v Německu. Zkratka MEM znamená „minimální endogenní úmrtnost – R_m“, což je úmrtnost způsobená technologickými příčinami, např. pracovními stroji, dopravou ale i sportem a jinými aktivitami ve volném čase. Nepatří sem nemoci či vrozené vady apod. Tato endogenní úmrtnost je minimální pro věkovou skupinu 5 až 15 let ve vyspělých zemích a byla stanovena hodnota: R_m = 2 x 10^-4 úmrtí/(osoba x rok). Hazardní stavy nového zařízení, by neměly tato číslo významně zvýšit. Akceptovaná hodnota je např. R_z = 10^-5 úmrtí/(osoba x rok).
Aplikací některé zásady spolu s analýzou rizik získáme pro dané zařízení tzv. tolerovatelné četnosti rizik – THR.
V ČR zatím bohužel k žádné širší shodě na nějaké takovéto zásadě přijatelnosti rizika nedošlo, nejčastěji se praktikuje postup podobný zásadě ALARP.

Úrovně integrity bezpečnosti (SIL)

Důvody, proč byly zavedeny různé úrovně integrity bezpečnosti, již byly uvedeny výše. Pojem integrita bezpečnosti je definován jako schopnost systému plnit požadované bezpečnostní funkce za daných podmínek. Čím je integrita vyšší, tím nižší je pravděpodobnost, že systém při provádění bezpečnostních funkcí selže. Integritu bezpečnosti mohou narušit buď náhodné nebo systematické poruchy [1].
Mezi náhodné poruchy patří především poruchy součástí zařízení díky nedokonalostem při výrobě, jejich stárnutí a opotřebení. Jak již bylo řečeno, u starších zabezpečovacích zařízení mohly být některé tyto poruchy považovány za dostatečně nepravděpodobné, což umožňovalo snazší konstrukci na principu vnitřní bezpečnosti. U nových elektronických zařízení se většinou bez části na založené vnitřní bezpečnosti také neobejdeme. Ochranu vůči těmto poruchám lze v zásadě zajistit technickými opatřeními.
Zařízení se primárně nekonstruují jako absolutně odolná proti úmyslnému poškození zařízení (vandalismus) nebo proti manipulaci se zaplombovanými ovládacími prvky pro nouzovou obsluhu.
Systematické poruchy jsou způsobeny chybami lidí například při návrhu, výrobě ale i údržbě zařízení. Pravděpodobnost jejich výskytu nelze vyčíslit a jsou jedním z největších problémů při vytváření bezpečných zařízení, protože ochranu vůči nim nelze zajistit pouze technickými opatřeními. Vzhledem k nebezpečí, které systematické poruchy představují, se výše zmíněné normy důkladně věnují postupům a opatřením pro jejich eliminaci. Celkový přístup spočívá ve specifikaci všech nezbytných činností, které se týkají zařízení po celou dobu jeho života, a aplikaci opatření kontroly kvality všech těchto činností, v zásadě shodnými s opatřeními ve známých normách řady ISO 9000. Je zde kladen zvlášť velký důraz na důslednost jejich aplikace a na podrobnou dokumentaci, která umožní zkontrolovat jejich dodržování. Pro různé úrovně bezpečnosti jsou vyžadována různě přísná opatření a postupy [2], [3], [4]. Dodržením předepsaných postupů a opatření dosáhneme dané úrovně integrity bezpečnosti vůči systematickým poruchám.
Aby bylo možné jednoduše prohlásit, že zařízení splňuje nějaké úroveň bezpečnosti, je nutné vytvořit vztah mezi integritou bezpečnosti vůči systematickým poruchám, která je nekvantifikovatelná a integritou bezpečnosti vůči náhodným poruchám, kterou máme kvantifikovanou ve formě THR, jež musíme splnit. Tento vztah je definován v tabulce 2 [3].
Je samozřejmě nutné splnit požadavky na integritu bezpečnosti vůči všech poruchám.

Tolerovatelná intenzita nebezpečí na hodinu a na funkci THR [ h^-1 ]	Úroveň integrity bezpečnosti SIL
10^-9 ≤ THR < 10^-8	4
10^-8 ≤ THR < 10^-7	3
10^-7 ≤ THR < 10^-6	2
10^-6 ≤ THR < 10^-5	1

Tab. 2 Definice úrovní integrity bezpečnosti

Nakonec objasněme na první pohled poněkud zvláštní fakt, že je v tabulce 2 uvedena horní mez pro THR (10^-9), když z hlediska bezpečnosti by to nemuselo být omezeno. Důvodem je to, že pokud vyjde takto vysoký požadavek u některého rizika, je potřeba buď danou bezpečnostní funkci rozdělit na funkčně nezávislé subfunkce, čímž dojde k rozdělení THR mezi tyto subfunkce, nebo nelze-li funkci rozdělit, jsou požadovaná (kromě splnění SIL 4) dodatečná technická nebo provozní opatření pro dosažení nutné THR.

Závěr

V článku byl nastíněn nový přístup k zajištění a hodnocení bezpečnosti moderních zabezpečovacích zařízení definovaný novými normami. Byly naznačeny problematické stránky v jeho aplikaci a je třeba zdůraznit, že stále by mělo platit, že bezpečnost zabezpečovacích zařízení musí mít jednoznačně přednost před jejich cenou. Proto je nutná velmi rozumná aplikace tohoto přístupu, nikoli honba za mnohdy nevýznamnými ekonomickými úsporami.

Literatura:

[1] Chudáček, V. a kol., Železniční zabezpečovací technika, Praha 2005
[2] ČSN EN 50126 Drážní zařízení – Stanovení a prokázání bezporuchovosti, pohotovosti, udržovatelnosti a bezpečnosti (RAMS), 2001
[3] ČSN EN 50129 Drážní zařízení – Sdělovací a zabezpečovací systémy a systémy zpracování dat – Elektronické zabezpečovací systémy, 2004
[4] ČSN EN 50128 Drážní zařízení – Sdělovací a zabezpečovací systémy a systémy zpracování dat – Software pro drážní řídicí a ochranné systémy, 2003

Lektoroval: Ing. Václav Chudáček, CSc.