Managing Risk in Critical Railway Applications

Managing Risk in Critical Railway Applications

Topics Railway signalling Real projects Regulator, standards and the law Acceptance criteria for signalling systems (SIL) Risk analysis a special case The safety case

Railway signalling The basics: Green signal = Drive Red signal = Stop Block signalling Only one train in a given block at any time ATC (Automatic Train Control) Controls the speed of trains, and apply emergency brakes if train passes Stop-signal.

Basic components/systems Switches Allows trains to move between tracks Track circuits Determines whether a train is present on a track element Balises Sends information to the ATC-system

Block signalling

Interlocking Defines rules for what signals can be given in any situation Uses information from track circuits, switches, signals and train control An interlocking table is developed defining all permitted trainroutes and what conditions that must be satisfied for the trainroutes to be set

Interlocking illustrated

Sandvika øst tracks 3 and 4

Signalling at Sandvika øst SIMIS-C delivered by Siemens This is a configurable signalling system Has a generic part that can be used for all installations A specific configuration must be developed for each installation

Alnabru cargoterminal Extending an existing cargoterminal MANY km of track 200+ switches A signalling system has to be specified from scratch

Regulator, standards and the law The Norwegian Railway Inspectorate regulates Norwegian railcompanies The Norwegian law requires certain standards to be applied: EN 50126, RAMS-process RAMS = Reliability, Availability, Maintainability, Safety EN 50128, Software safety Based on part 3 from IEC 61508 EN 50129, Safety case

Acceptance criteria (SIL) Safety Integrity Level Determines a required reduction in probability of critical failure Risk analysis measures risk and then determines the necessary strength of a protection system Levels 1-4, 4 being the toughest

Acceptence criteria HW vs. SW Acceptance criteria for HW are typically probabilistic, i.e. we must prove that it will fail at an adequately low failure rate Acceptance criteria for SW defines reguirements on the design and on the development process

Risk analysis - a special case

T 6 a) F lanke kollis jon P AS S s tilles tående tog P AS S T og 1 AT C s topper ikke tog 1 i tide S amtidighet K onflikt oppdages ikke i tide S 6.3 AT C avs lått G4 Intern AT C feil G5 Ikke les t B remser s topper Av L F Av L F balis e info ikke tog i tide T og 1 T og 2 G6 S 6.2 S 6.4 S 6.5 F eil i s ignal F eiltolket s ignal G3 B åde O B A og L F S 6.1 L F avviker fra pros edyre G7 L F misforstår O B A G8

Sandvika øst tracks 3 and 4

Risk analysis What to think about: Hazard identification is THE most important part of a risk analysis Use MODELS that are suited for your analysis Very often some kind of process model is useful UML have some models that are quite usable

The safety case What is a safety case? A body of evidence that provides a convincing and valid argument that a system is adequately safe Inspired by legal practice Presenting your case to the court

The safety case for the signalling system on Gardermobanen

The safety case for Sandvika øst Based on claim-argument-evidence notation Adelard (UK) has developed corresponding tool (ASCE) An alternative (and more practical tool) is under development at Gdansk University TCT, Trust Case Toolbox

Signalanlegg for LYS 20 og SV 10 er sikkert nok C1.1 Signalanleggets enheter er sikre nok, både i seg selv, sin interaksjon med hverandre og i konkret installasjon. Sikkerhetsarbeidet har foregått i henhold til en definert standard EN 50126 og etter en definert plan USA20-0-B-S10700 EN 50126 Driftet anlegg er sikkert nok C2.1 Dette forholdet diskuteres annet sted i toppbeviset for Sandvika fase 10. Bygget anlegg er i henhold til dokumentert anlegg C2.2 Dette forholdet diskuteres annet sted i toppbeviset for Sandvika fase 10. Dokumentert signalanlegg for LYS 30 og SV 10 er sikkert nok for LYS 20 og SV 10 C2.3 Signalanlegget er sikkert nok fordi anleggets enheter er sikre nok, både i seg selv og i sin interaksjon med hverandre. Kommentar: Signalanlegget er konfigurert for Lysaker fase 30, men brukes også for fase 20. CTC er sikker nok C3.1 CTC kan ikke påvirke sikkerheten til signalanlegget Dette forholdet er av generisk art og allerede akseptert i forbindelse med typegodkjenning. Se også USA20-0-R-S12467 LOP er sikker nok C3.2 LOP kan ikke påvirke sikkerheten til signalanlegget LOP har samme grensesnitt mot ESTW/ATC som CTC. Se også USA20-0-R- S12467 ESTW er sikker nok C3.3 SC-ESTW ATC er sikker nok C3.4 SC-ATC Interaksjonen mellom enhetene er sikker nok C3.5 Dette forholdet er av generisk art og dermed allerede dokumentert i forbindelse med typegodkjenning Prosjektert utvendig anlegg er sikkert nok C3.6 Ingen forhold ved plassering eller utforming av utvendig anlegg medfører uakseptabel risiko RA av utvendig anlegg SV 10 USA20-6-R- Qxxxx. RA av utvendig anlegg LYS 20. Ikke relevant for Sandvika fase 10. Signalanlegg for LYS 30 og SV 10 er sikkert også for LYS 20 og SV 10 C3.7 Se egen diskusjon av denne påstanden i teksten.