RAMS Revideringen av RAMS-standardene EN 50126/8/9 Terje Sivertsen, Jernbaneverket Teknologi Ny «NEK 900 Elektriske jernbaneanlegg» NEK/NK9 fagseminar 22. mai 2014, Jernbaneverket
Revideringen av RAMSstandardene Bakgrunn og status Eksisterende utgave Kommende utgave Noen sentrale aspekter
Bakgrunn og status CENELECs standarder EN 50126, EN 50128 og EN 50129 gir krav til prosesser for å spesifisere og demonstrere RAMS-krav til jernbaneanvendelser Erfaringene fra bruk av RAMS-standardene har synliggjort behovet for en revidering og omstrukturering CENELECs arbeidsgruppe SC9XA/WGA11 utarbeidet en ny utgave av EN 50128, utgitt i 2011 CENELECs arbeidsgruppe TC9X/WG14 startet i 2008 opp arbeidet med å revidere hele settet av RAMS-standarder
Bakgrunn og status (forts.) Revideringen skal resultere i en ny utgave av EN 50126, bestående av følgende fire deler: EN 50126-1: Generic RAMS process EN 50126-2: System Approach to Safety EN 50126-4: Functional Safety Electrical/Electronic/Programmable Electronic systems EN 50126-5: Functional Safety Software WG14 ble avviklet ved utgangen av februar 2014, og arbeidet er for tiden under gjennomgang Hva som skjer videre med revideringen vil bli besluttet på TC9X-møtet i juni 2014
Krav til bruk av RAMSstandardene Jernbaneinfrastrukturforskriften: Infrastrukturforvalter skal benytte prosesstandarden EN 50126 (1999) ved bygging av ny jernbaneinfrastruktur og ved endring av programmerbare tekniske systemer samt ved utvikling og endring av STM-enheter. Ved andre endringer av jernbaneinfrastruktur skal infrastrukturforvalter vurdere om endringen er av en slik karakter at bruk av EN 50126 (1999) er hensiktsmessig. Vurderingen skal dokumenteres Infrastrukturforvalter skal benytte standardene EN 50128 (2003) og EN 50129 (1999) ved anskaffelse av nye signalanlegg og ved endring av elektroniske signalanlegg
RAMS-standardene CENELEC-standardene EN 50126, EN 50128 og EN 50129 er en jernbanespesifikk tilpasning av IEC 61508 CENELEC-standardene og IEC 61508 bruker samme risikobaserte definisjon av sikkerhet og samme prosesser for fareidentifisering og risikoanalyse CENELEC behandler aktiviteter for RAM (dependability) og sikkerhet (safety) i samme rammeverk (RAMS management) Relevansen for signalanvendelser kan delvis forklares ut fra at IEC 61508 fokuserer på elektriske/elektroniske/programmerbare elektroniske kontrollsystemer
Totalt jernbanesystem Signalanlegg Programvare EN 50128 EN 50129 EN 50126 7
Hva er EN 50126? En jernbanespesifikk standard som definerer RAMS, det vil si pålitelighet (Reliability), tilgjengelighet (Availability), vedlikeholdbarhet (Maintainability) og sikkerhet (Safety), og interaksjonen mellom disse en prosess for RAMS-styring, basert på systemets livsløp og oppgaver innenfor denne en systematisk prosess for spesifisering av RAMSkrav og for å demonstrere at disse kravene er oppnådd EN 50126, Railway applications The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS)
Hva er EN 50128? En jernbanespesifikk standard som spesifiserer prosedyrer og tekniske krav for utviklingen av programmerbare elektroniske systemer for bruk i anvendelser relatert til kontroll og sikring av jernbane skal anvendes for programvare og for interaksjonen mellom programvaren og det systemet den er en del av hører naturlig sammen med EN 50126 og EN 50129 EN 50128, Railway applications Communication, signalling and processing systems Software for railway control and protection systems
Hva er EN 50129? En jernbanespesifikk standard som definerer krav til aksept og godkjenning av sikkerhetsrelaterte elektroniske systemer innenfor signalområdet definerer krav til den sikkerhetsrelaterte maskinvaren og til det overordnede systemet krever at systemsikkerhet demonstreres gjennom et sikkerhetsbevis hører naturlig sammen med EN 50126, EN 50128, EN 50159-1 og EN 50159-2 EN 50129, Railway applications Communications, signalling and processing systems Safety related electronic systems for signalling
Sikkerhetsbevis Et sikkerhetsbevis for et system er et argument som, understøttet av bevisgrunnlag (evidens), demonstrerer at det er sikkert å ta systemet i bruk Et sikkerhetsbevis kan være uavhengig av anvendelsen (generisk produkt) begrenset til en gitt klasse applikasjoner (generisk applikasjon) begrenset til en gitt applikasjon (spesifikk applikasjon) Det som er viktig er ikke mengden av dokumentasjon men kvaliteten på sikkerhetsargumentasjonen og relevansen av bevisgrunnlaget
Neste utgave av EN 50126 Fire deler: 1 Generic RAMS process 2 Systems Approach to Safety 3-4 Functional Safety E/E/PE systems 5 Functional Safety Software Uavhengig av teknologivalg Spesifikt for sikkerhetsrelatert E/E/PE-teknologi Erstatter EN 50126:1999, EN 50128:2011 og EN 50129:2003
Hva dekker de ulike delene? EN 50126-1: RAMS-prosessen Hovedsakelig basert på EN 50126:1999 EN 50126-2: Utdyper systemtilnærmingen til sikkerhet Gir metoder for å utlede sikkerhetskrav og deres sikkerhetsintegritetskrav for systemet og for å fordele disse til delsystemene, herunder maskinvare og programvare
Hva dekker de ulike delene? EN 50126-4: Alle fasene i utvikling, drift og vedlikehold av sikkerhetsrelaterte elektroniske systemer/delsystemer/maskinvare Baserer seg på RAMS-prosessen og metodene i del 1 og 2 for identifisering av eventuelle sikkerhetskrav EN 50126-5: Alle fasene i utvikling, drift og vedlikehold av sikkerhetsrelatert programvare for elektroniske systemer/delsystemer/maskinvare
Anvendelsesområde RAMS-standardene har sin opprinnelse i utviklingen av standardiserte elektroniske sikringsanlegg i Storbritannia EN 50126 oppgir som sitt anvendelsesområde: all railway applications and at all levels of such an application, as appropriate, from complete railway routes to major systems within a railway route, and to individual and combined sub-systems and components within these major systems, including those containing software
Anvendelsesområde (forts.) Revisjonen av RAMS-standardene skulle gi: a systematic and coherent approach to RAMS applicable to all the railway application fields Signalling, Rolling Stock and Fixed Installations (Electric traction power supply for Railways) Forsøk på å presisere standardens anvendelsesområde har ført til nye spørsmål, fordi det vil kunne være ønskelig å benytte standarden også på andre jernbanesystemer I revisjonen av standarden har man derfor foreløpig valgt å beholde beskrivelsen i eksisterende standard, uten ytterligere presisering
Relasjonen til IEC 61508 EN 50126 erstatter IEC 61508 innenfor jernbaneområdet: Det er ikke nødvendig å benytte deler av IEC 61508 ved siden av EN 50126 Det er ikke akseptabelt å benytte IEC 61508 i stedet for EN 50126 Samsvar med EN 50126 innebærer ikke nødvendigvis samsvar med IEC 61508 IEC 61508, Functional safety of electrical/electronic/programmable electronic safety related systems
Relasjonen til CLC/TS 50562:2011 EN 50126 tillater at RAMS-prosessen may be simplified by reusing existing applicable material EN 50126 nevner som eksempel CLC/TS 50562:2011 SC9XC har besluttet å overføre CLC/TS 50562:2011 til en EN-standard Hensikten er at EN 50562 skal support the realisation of the EN 50126-Series within the context of electric traction systems CLC/TS 50562, Railway applications Fixed installations Process, measures and demonstration of safety for electric traction systems
Relasjonen til europeisk lovgivning EN 50126 benyttes som en teknisk standard i en sammenheng der også europeisk lovgivning i form av TSIene og CSM RA (Common Safety Methods for Risk Assessment) kommer til anvendelse Det er begrenset i hvilken grad EN 50126 kan tilpasses europeisk lovgivning, da en teknisk standard ikke kan inneholde politisk motiverte krav (skal kunne anvendes også utenfor europeisk lovgivning) EN 50126 benytter begrepet acceptance for bekreftelsen mellom ulike interessehavere, og reserverer bruken av begrepet approval til den juridiske bekreftelsen fra rette myndighet
Relasjonen til CSM RA EN 50126 skal støtte risikoakseptprinsippene i CSM RA Anvendelsene av risikoakseptprinsippene i CSM RA erstatter ikke bruken av EN 50126, men er kun midler for evaluering av resultatene av en risikovurdering CENELEC må endre terminologien i EN 50126:1999, som bruker betegnelsen risikoakseptprinsipper om metoder som mer presist er metoder for å utlede risikoakseptkriterier
Verifisering og validering De eksisterende RAMS-standardene benytter ikke de klassiske definisjonene av verifisering og validering som kompletterende aktiviteter gjennom livsløpet, men knytter i stedet verifiseringen på RAMS-fasene og valideringen hovedsakelig til enden av V-livsløpet I den reviderte standarden går man tilbake til den klassiske forståelsen av verifisering og validering, der verifiseringsresultatene betraktes som input til valideringen, som i større grad utføres underveis i livsløpet
Assessment EN 50126 bruker assessment om vurdering som aktivitetstype, og er ikke begrenset til safety assessment eller independent safety assessment Det er utenfor standardens mandat å kreve sertifisering av ISA For å unngå forveksling med det CSM RA omtaler som safety assessment report vil dette begrepet bli utelatt i EN 50126 og erstattes med en henvisning til at ISA skal dokumentere sine funn ISA skal ikke gjenta valideringen men sjekke at valideringen og de andre prosessene påkrevd i standarden er tilfredsstillende utført
Oppsummering «RAMS-standardene» EN 50126, EN 50128 og EN 50129 skal anvendes for å spesifisere og demonstrere RAMS-krav til jernbaneanvendelser Standardene revideres og er planlagt utgitt som EN 50126, med fire deler Viktige stikkord for revideringen er helhet og konsistens, systemtilnærming til sikkerhet, systemdesign for elektroniske systemer og programvare, relasjonen mellom RAMS-prosess, systemtilnærming og systemdesign, relasjonen til CSM RA, etc. Revideringen er forsinket, og beslutning om det videre arbeidet gjøres av TC9X i juni 2014
Vedlikeholdsvennlige anlegg Christopher Schive, JBV Teknologi
Innhold Jernbanen som system Valg av tekniske løsninger
Krav til infrastruktur stilles for Kapasitet aksellast, hastighet, profil, antall tog Sikkerhet Kravene stilles av noen utenfor oss Kundene Samferdselsdepartementet Togselskapene Jernbaneverket Jernbaneverket
Etablere tilgjengelighetskrav for et prosjekt Kravene utledes fra: Dimensjonerende togtrafikk Fremtidig ruteplan (lokaltogfrekvens, fjerntogsfrekvens) Fremtidig togsammensetning (persontog, godstog) Drift, vedlikehold og oppetid Tid til driftsaktiviteter på banen Tid til vedlikeholdsaktivitet er på banen Krav til at banen er tilgjengelig for rutemessig fremføring av tog
Valg av tekniske løsninger De tekniske løsninger må velges slik at RAMS-kravene oppfylles!
Jernbanen som system Tilgjengelighet for en jernbane krever samtidig tilgjengelighet av en rekke systemer og komponenter sikringsanlegg kontaktledningsanlegg strømforsyning spor underbygning kommunikasjon (GSM-R) ytre forhold (vind, dyrepåkjørsler, snø, glatte skinner)
Feil som hindrer stilling av togvei svikt i fjernstyring svikt i togdeteksjon (belagt når fritt) svikt i lyssignal (stans når kjør) svikt i sporveksel (får ikke kontroll i riktig posisjon) svikt i forrigling (får ikke stilt selv om betingelsene er til stede) SKF-er TKF-er
Feil som hindrer fremføring svikt i strømforsyning svikt i kontaktledning svikt i kommunikasjon (GSM-R) svikt i ATC-infrastruktur for mye vind, glatte skinner, snø, flom (klima)
Feil som stopper fremføring svikt i underbygning telehiv, utrasing, ras ned på linjen svikt i overbygning solslyng, skinnebrudd hendelser dyrepåkjørsel klima snø, glatte skinner
Forsinkelsesårsaker
Forsinkelser pga. sikringsanlegg
Hvordan oppnå tilgjengelighetskravet valg av systemer og komponenter RAM-egenskaper design (dublering, dobbeltfilament) vedlikehold tilstandskontroller, visitasjoner beredskap snøberedskap, kort utrykningstid prosedyrer hva gjør man når feil oppstår