Нормирование и доказательство безопасности автоматизированной системы технического диагностирования систем железнодорожной автоматики и телемеханики

Определение оптимального срока службы микроэлектронных автоматизированных систем технического диагностирования систем железнодорожной автоматики и телемеханики. Анализ основных факторов, которые оказывают воздействие на безопасность рельсовых цепей.

Рубрика Транспорт
Вид контрольная работа
Язык русский
Дата добавления 22.03.2018
Размер файла 45,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

1. Требования к составляющим надежности СЖАТ

Ко всем составляющим надежности СЖАТ предъявляются высокие требования. Они обусловлены основными особенностями СЖАТ, к которым относятся: обеспечение безопасности людей и грузов; непрерывный характер работы во времени; длительный срок службы; изготовление (серийное производство) систем в больших количествах; широкое распространение систем по всей стране; сложные климатические, динамические и электромагнитные условия работы.

Поскольку движение поездов - процесс непрерывный, то устройства железнодорожной автоматики работают непрерывно круглый год. Этим определяются высокие требования к надежности СЖАТ и, прежде всего к коэффициенту готовности и функциональной отказоустойчивости. Это означает, что в любой момент времени с высокой вероятностью система должна быть готова выполнять свои функции, пусть даже с меньшей эффективностью, если в ней есть отказ какого-либо внутреннего элемента. В противном случае происходят задержка поезда и сбой графика движения.

Обычно СЖАТ имеют длительный срок службы. Опыт использования механических и релейных систем показал, что многие из них эксплуатировались по 20-30 лет. Поэтому предъявляются высокие требования по долговечности (ресурсу) систем, то есть они должны работать длительное время до физического старения. Это же требование предъявляется и к микроэлектронным системам, хотя их срок службы не будет таким большим. Последнее связано с тенденцией ускорения научно-технического прогресса и темпов развития микроэлектроники, в результате чего быстрее наступает моральное старение аппаратуры.

Наиболее оптимальным сроком службы микроэлектронных СЖАТ является период в 10-15 лет, когда системы необслуживаемые, высоконадежные, в конце этого срока (независимо от их состояния) заменяются новыми, построенными по более совершенным принципам и технологиям. Однако, реально в эксплуатации морально устаревшая электронная аппаратура еще может долго использоваться. Примером в отечественной практике является система бесконтактного маршрутного набора (БМН), внедренная на станции Обухово Октябрьской железной дороги в 1969 г. Эта система построена на серии транзисторных логических элементов, выполненных еще по неинтегральной технологии, и исправно работала более 30 лет. Такое положение связано с широким распространением СЖАТ по всей стране. Поэтому замена старых систем новыми - процесс сложный и длительный, требующий больших материальных и трудовых затрат. Это обстоятельство также необходимо учитывать, устанавливая срок службы новых СЖАТ.

Тиражирование и распространение систем определяют требования к ним относительно простоты обслуживания и ремонта. Широкое распространение систем по всем регионам страны обостряет проблему наличия на местах обслуживающего персонала высокой квалификации, который требуется при эксплуатации микроэлектронных и компьютерных систем. Поэтому вновь разрабатываемые устройства должны обладать хорошей ремонтопригодностью (блочное исполнение с индикацией отказа каждого блока) или быть необслуживаемыми и работать до первого отказа.

Проблему эксплуатации СЖАТ затрудняют также сложные климатические, динамические и электромагнитные условия их работы. Аппаратура подвергается воздействию температуры и влажности окружающей среды, динамическим воздействиям со стороны движущихся поездов, электромагнитным влияниям тягового тока и грозовых разрядов. Необходимо обеспечивать устойчивость аппаратуры к этим возмущающим факторам.

2. Оценка безопасности СЖАТ

Перечисленные основные требования к СЖАТ совместно с требованием отсутствия опасных отказов делают задачу построения микроэлектронных систем сложной научно-технической проблемой. Главным требованием при этом является достижение определенного уровня безопасности и количественная оценка этого уровня. Задача количественной оценки безопасности не ставилась для релейных систем при их разработке и в этом смысле является новой при создании СЖАТ, что связано с современными требованиями по сертификации новой аппаратуры.

Длительный опыт эксплуатации технических систем показывает, что учесть все факторы, отрицательно влияющие на безопасность, и исключить их неблагоприятные воздействия на человека и природу не удается из-за случайной, объективной природы этих факторов. Поэтому абсолютная безопасность не может быть достигнута. Необходимо четко различать желаемый идеал (абсолютную безопасность) и реально имеющийся на сегодня уровень безопасности технических средств. Поэтому говорят о "разумно допустимом" уровне опасности (риске), достижение которого часто требует непростых технических решений и существенных экономических затрат. Каков же уровень риска для человека в современном мире?

В табл. 1 приведены уровни опасности гибели людей в различных отраслях. Смысл понятия допустимого риска состоит в том, что люди либо не обращают на него внимания из-за его незначительности (как, например, на опасность гибели от удара молнией), либо добровольно принимают его в обмен на высокооплачиваемую или престижную работу (шахтеры, космонавты, летчики-испытатели, горноспасатели и др.).

Таблица 1

Уровень опасности

Причины опасности

1 случай на 1000 человек в год 10-3

Опасность гибели в группах повышенного риска и в отраслях промышленности с относительно высокой опасностью (например, в горнодобывающей промышленности)

1 на 10000 10-4

Общая опасность гибели в результате дорожно-транспортного происшествия

1 на 100000 10-5

Опасность гибели на рабочем месте в результате несчастного случая в самых безопасных сферах производства

1 на 1 млн. 10-6

Общая опасность гибели дома в результате несчастного случая (пожара, взрыва газа и т.п.)

1 на 10 млн. 10-7

Опасность гибели от удара молнии

Величина 10-6 (1 случай на 1 млн) является широко признанным допустимым уровнем опасности для человека. Эта вероятность равна риску гибели человека за год у себя дома в результате несчастного случая. К этой величине следует стремиться, устанавливая степень риска, обусловленную работой технических объектов, промышленных предприятий и транспорта.

Используя соотношение и принимая 10-6, t = 1 год = 8760 час, получаем 10-6 = 8760. Из последнего равенства получаем:

Величину можно считать допустимой интенсивностью опасных событий и сравнивать с ней реально существующие показатели безопасности. Каковы же эти показатели для существующих СЖАТ?

Данные эксплуатации говорят о том, что опасные отказы СЖАТ происходят очень редко. Причиной этого является строгое соблюдение требований безопасности при разработке, изготовлении и эксплуатации систем. На долю хозяйства сигнализации и связи приходится в среднем лишь 3% крушений и аварий. В табл. 2 приведено среднее число (в процентах) крушений и аварий, которое приходится на различные службы и организации. Безопасность СЖАТ базируется прежде всего на поддержании в заданных пределах параметров аппаратуры и систем. Требования к параметрам изложены рядом нормативных документов, которые определяют работоспособность систем или перевод их в защитное состояние в случае возникновения отказа.

Таблица 2

Служба или организация

Доля в %

Крушения

Аварии

Локомотивная

20

14

Вагонная

18

8

Пути

40

45

Перевозок

5

20

Контейнерная

5

1

Коммерческой работы

3

1

Сигнализации и связи

3

3

Пассажирская

-

2

Материально-технического обеспечения

1

-

Нетранспортные организации

5

5

Однако практика показывает, что в процессе эксплуатации устройств возникают факторы, которые оказывают прямое воздействие на уровень безопасности. По статистике основными нарушениями безопасности, которые вызваны отклонением параметров технических средств, являются следующие: прием поезда на занятый путь; прием или отправление поезда по неготовому маршруту; отправление поезда на занятый перегон; перевод стрелки под поездом; ложное появление на светофоре разрешающего показания сигнала вместо запрещающего или появление более разрешающего; выключение устройств АЛСН в пути следования; перекрытие разрешающего показания сигнала на запрещающее, вызвавшее проезд запрещающего сигнала и др.

Для рельсовых цепей важнейшими параметрами являются шунтовая чувствительность, сопротивление изоляции стыков смежных рельсовых цепей, напряжение и ток на путевых реле, переходное сопротивление стыковых соединителей, удельное сопротивление балласта, переходное сопротивление в местах подключения соединительных перемычек. Важное значение имеют также правильное чередование полярности смежных рельсовых цепей, правильность монтажа межпутной тяговой обвязки, отсутствие подпитки рельсовых цепей от посторонних источников.

Рельсовые цепи дают наибольшее количество опасных отказов устройств СЦБ. Основными причинами, приводящими к ложной свободности, являются: загрязнение поверхностей головок рельсов песком, мазутом, льдом, ржавчиной, угольной пылью и др.; посторонние подпитки от смежных рельсовых целей, поездного и станционного электроосвещения и других источников; следование подвижных единиц с высоким сопротивлением шунта (дрезин, автомотрис, одиночных локомотивов); наличие обходных цепей для сигнального тока через балласт, опоры контактной сети, металлоконструкции, средние точки дросселей-трансформаторов.

В схемах управления стрелочными электроприводами основными параметрами, влияющими на безопасность, являются сопротивление изоляции токоведущих частей между собой и по отношению к земле, а также допуски на содержание механических частей стрелки и электропривода. Нарушение допусков на содержание механических частей стрелочного привода, тяг и гарнитур к нему приводит к отставанию остряка от рамного рельса. Уменьшение сопротивления изоляции приводит к образованию обходных цепей, в результате чего создаются условия для возбуждения обмоток электродвигателя стрелочного привода.

В схемах управления светофорами и переездной светофорной сигнализации должны соблюдаться сопротивление изоляции токоведущих частей между собой и по отношению к земле, напряжение и ток питания ламп светофоров, осевая сила света линзовых комплектов, а также условия видимости светофоров. Нарушение осевой силы света светофора и его видимости вызывает проезд запрещающего сигнала. К ложному открытию светофора приводит подпитка лампы разрешающего огня вследствие наличия заземления одной из жил сигнального кабеля; к отсутствию контроля перегорания сигнальной лампы - понижение сопротивления изоляции кабеля или повышенная емкость между жилами.

Для релейной аппаратуры основными параметрами, влияющими на безопасность, являются напряжение (ток) притяжения и отпускания якоря реле, коэффициент возврата путевых реле, сопротивление изоляции между контактными группами, несвариваемость контактных групп. Изменение напряжения и тока отпускания якоря реле определяют размыкание цепей управления и контроля объекта, ответственного за безопасность движения. Нарушение несвариваемости контактных групп вызывает сохранение разрешающего показания светофора независимо от существующих блокировок. рельсовый телемеханика микроэлектронный

Все основные схемы СЦБ предусматривают применение реле I класса надежности и поэтому схемная защита от таких отказов как магнитное залипание якоря, сваривание контактов, неодновременность замыкания контактов и других не предусматривается. Однако, анализ эксплуатационных отказов и детальное рассмотрение конструкции основного реле НМШ показывают, что опасные отказы возникали по следующим причинам: заклинивание якоря в верхнем положении; нарушение контактов в розетке штепсельного разъема в сочетании с образованием проводящего слоя между контактами; понижение изоляции между выводами штепсельной розетки и наличие проводящих мостиков между контактами; индевение контактов реле, установленных в напольных релейных шкафах, и примерзание якоря при попадании влаги под колпак реле.

В кабельных и воздушных линиях связи и в схемах монтажа необходимо обеспечить требуемое сопротивление изоляции между смежными цепями. Нарушение данного параметра приводит к образованию обходных цепей, в результате чего создаются условия для подпитки реле, ламп светофоров, возбуждения обмоток стрелочных электродвигателей.

К опасным отказам может приводить также изменение ряда нормативных параметров в сочетании с изменением других параметров или воздействием обслуживающего персонала. Например, изменение сопротивления изоляции стыков смежных рельсовых цепей в сочетании с нарушением чередования полярности, увеличением напряжения на путевом реле, изменением переходного сопротивления стыковых соединителей приводит к опасному отказу. К ложной свободности участков пути при правильно отрегулированном напряжении отпускания якоря путевого реле приводит подпитка рельсовой цепи от постороннего источника при совпадении рода тока, фазы и уровня.

Таким образом, общий анализ опасных отказов СЖАТ позволяет выделить четыре основные группы причин их возникновения:

1. Конструктивные просчеты при разработке и проектировании отдельных элементов или системы в целом.

2. Производственные дефекты при изготовлении.

3. Неправильная технология технического обслуживания устройств, обусловленная как несвоевременностью и плохим качеством обслуживания, так и ошибками эксплуатационного штата при проведении ремонтных и профилактических работ.

4. Внезапные и постепенные отказы аппаратуры.

Оценка реального уровня безопасности элементов и систем может быть получена путем сравнения экспериментальных данных об опасных отказах большого числа устройств СЖАТ в процессе длительной эксплуатации с экспертными оценками и нормами безопасности, которые приняты специалистами в области железнодорожной автоматики и телемеханики. В табл. 5.3 и 5.4 приведены статистические данные, собранные за пятилетний период 1986-1990 гг. по сети дорог СССР и СНГ о случаях нарушения безопасности из-за опасных отказов СЦБ [3]. В таблицах приведены значения интенсивности опасных отказов , наработки до опасного отказа , вероятности безопасной работы и коэффициента безопасности , рассчитанных по формулам:

,

,

,

,

где - число опасных отказов за 5 лет; N - количество устройств или систем; ч. В формуле принято, что при экспоненциальном законе распределения времени безопасной работы . Величины определены как 40 мин для ЭЦ, 70 мин для АБ и 60 мин для АПС.

Из приведенных данных следует, что количество опасных отказов, выявленное в устройствах СЦБ эксплуатацией, составляет примерно 20 случаев в год по сети дорог. Подавляющее большинство опасных отказов (около 80%) приходится на устройства электрической централизации.

Сравним приведенные экспериментальные значения показателей безопасности с их экспертными значениями. Впервые в отечественной литературе оценка значений показателей безопасности устройств СЦБ была сделана в работе. Была определена вероятность за год ложного срабатывания реле и самопроизвольного перевода стрелочного электропривода при двухполюсном размыкании схемы , что соответствует интенсивности 1/ч. В работе было выдвинуто требование, чтобы за время гарантийного срока службы реле первого класса надежности (три года) с вероятностью 0,9 не произошло опасного отказа среди всех реле, эксплуатируемых на сети дорог ( шт. на конец 1970 г.). При этих условиях для реле рассчитаны: 1/ч и = 0,99999987.

Всего за пять лет (современный гарантийный срок службы реле) на сети наблюдалось 9 опасных отказов при общем числе реле около 15 млн. шт. Это соответствует интенсивности отказов 1/ч. Эти данные близки также к оценке интенсивности опасных отказов современных зарубежных реле . В работе дана оценка .

Учитывая близость экспериментальных и экспертных (независимых) значений, в настоящее время в качестве оценки значения интенсивности опасных отказов для существующих реле первого класса надежности принято неравенство:

.

Верхняя оценка применяется при расчетах безопасности существующих систем. Нижняя оценка определяет норму безопасности для вновь разрабатываемых реле и безопасных элементов: . При этом исходят из концепции "замещения риска", т.е. безопасность вновь разрабатываемых элементов должна быть по крайней мере не хуже безопасности существующих элементов.

Сравним теперь данные, полученные для безопасности систем с экспертными оценками для электрической централизации, которая дает наибольшее число опасных отказов. Одна из первых оценок безопасности ЭЦ была принята на совещании экспертов СЭВ по теме "Централизация стрелок и сигналов на микропроцессорах" (Румыния, 1984 г.) относительно управляющего вычислительного комплекса (УВК) микропроцессорной централизации (без напольных устройств). Безопасность характеризуется вероятностью того, что в системе в течение заданного интервала времени.

Таблица 3

Элемент, устройство

Норма безопасности , 1/ч (не больше)

Безопасный элемент

10-12

Реле I класса надежности

10-12

Рельсовая цепь

10-9

Схема управления светофором

10-10

Схема релейного шкафа

10-9

произойдет опасный отказ при условии, что в начале интервала система была в исправном состоянии. Было установлено, что для нормированного маршрута при средней нагрузке 50 рейсов в сутки должно выполняться неравенство

,

где - период диагностики системы.

Если принять = 10 мин, то получаем

1/ч.

Данное значение близко к оценке интенсивности опасных отказов японской системы микропроцессорной централизации SMILE - .

Реальное значение на два-три порядка больше, так как в процессе эксплуатации фиксировались и отказы напольных устройств. Поэтому в качестве норм безопасности для ЭЦ принимается значение на одну стрелку и для управляющего вычислительного комплекса.

Таблица 4

Система

Измеритель

Норма безопасности , 1/ч (не больше)

ЭЦ

Стрелка

10-9

УВК

10-11

АБ

Сигнальная точка

10-9

АПС

Переезд

10-9

Для того чтобы убедиться, что полученные нормативные значения вероятностных показателей с достаточной степенью точности отражают реальный уровень безопасности следует сравнить эти величины с данными другой аналогичной статистической выборки.

3. Методы нормирования показателей безопасности

При создании новых СЖАТ их разработчики должны решить две задачи. Сначала при составлении технического задания на систему необходимо определить требования по безопасности (нормы для показателей безопасности). Затем после разработки самой системы необходимо выполнить доказательство безопасности и расчет реально достигнутого уровня безопасности.

При нормировании показателей безопасности СЖАТ вводятся условные измерители, по отношению к которым выполняется нормирование.

Таблица 5

Система

Условный измеритель нормирования

Электрическая и горочная централизации

Централизованная стрелка

Диспетчерская и станционная кодовая централизации

Управляемый, контролируемый объект

Центры диспетчерского управления

Пункт управления или контроля

Каналы телемеханики

1 км канала

Автоблокировка

Сигнальная точка

Переездная сигнализация

Переезд

Автоматическая локомотивная сигнализация

Дешифратор или локомотивные устройства

Полуавтоматическая блокировка

Перегон

Наиболее часто при определении норм безопасности используется концепция "замещения рисков". В соответствии с ней показатели безопасности вновь вводимых устройств и систем должны быть, по крайней мере, не хуже показателей безопасности заменяемых устройств и систем. Применим эту концепцию для определения норм безопасности при разработке системы микропроцессорной централизации (МПЦ) с учетом показателей безопасности существующих систем ЭЦ.

Используем следующие данные. В эксплуатируемых на сети системах ЭЦ число реле, приходящихся на один стрелочный электроприво: K = 6080, в том числе для наборной группы Kн = 1216, для исполнительной группы Kи = 4864. Интенсивность защитных отказов реле I класса надежности 1/ч, интенсивность опасных отказов 1/ч. Для указанных значений можно определить укрупненные показатели интенсивностей потоков защитных и опасных отказов постовой аппаратуры ЭЦ, приходящейся на одну стрелку:

= 1/ч;

= 1/ч.

Таким образом, для данной станции с известным числом стрелок, оборудованной микропроцессорной централизацией, можно определить нижние допустимые значения и .

При разработке МПЦ целесообразно выполнить разбиение ее структуры на три подсистемы: ядро управляющего вычислительного комплекса (УВК), устройство сопряжения с объектами (УСО), схемы непосредственного управления и контроля напольных объектов (СНУК). Для каждой подсистемы определяется удельный вес в сумме интенсивностей защитных и опасных отказов МПЦ. Будем считать, что интенсивность отказов УВК не зависит от числа стрелок на станции (с увеличением числа стрелок увеличивается в основном только объем используемого ЗУ). Кроме того, на первой очереди внедрения МПЦ СНУК выполняются релейными и в системе остается в среднем Kм = 2730 реле на стрелку. Тогда в пересчете на одну стрелку имеем

= 1/ч;

= 1/ч.

Для гипотетической станции с одной стрелкой будем пренебрегать защитными отказами УСО. Тогда, считая, что 1/ч имеем

1/ч;

1/ч.

При большем числе стрелок N на станции в соответствии с принятыми допущениями принимаем, что и постоянны, величины и растут пропорционально N, а оставшаяся часть нормированных значений и приходится на аппаратуру УСО.

Таблица 6

Параметр

Интенсивность отказов, 1/ч при N

1

30

50

100

-

Поскольку опасные отказы есть редкие события, часто статистических данных о безопасности эксплуатируемых систем нет. В этом случае, если имеются статистические данные о безотказности, для нормирования используется коэффициент асимметрии отказов . Величина:

показывает соотношение между интенсивностями опасных и защитных отказов.

За нормативное значение коэффициента следует принять его значение для реле первого класса надежности:

Значение определяет то, что у безопасного устройства интенсивность опасных отказов должна быть по крайней мере в 10 000 раз меньше, чем интенсивность защитных отказов.

Используем это значение в качестве нормативного для определения нормированного допустимого значения комплексной локомотивной системы безопасности (КЛСБ). Известны статистические данные о безотказности аналогичных зарубежных систем. Согласно этим данным интенсивность защитных отказов системы LZB80 не превышает 1/ч. Тогда нормированное значение для КЛСБ определяется по формуле:

= = 1/час.

Третий метод нормирования используется, если не существует статистических данных о безопасности и безотказности. В частности, это бывает, если вновь разработанное устройство не имеет аналогов среди эксплуатируемых устройств. Нормированное значение определяется из условия, что среди всех однотипных устройств, эксплуатируемых на сети дорог, в течении всего нормативного срока эксплуатации произойдет не более одного опасного отказа.

Пусть, например, при числе локомотивов, оборудованных системой КЛСБ, N = 100 000 в течение срока эксплуатации 10 лет не должно произойти более одного опасного отказа. Тогда

.

4. Методология доказательства безопасности СЖАТ

Основной задачей процедуры доказательства безопасности СЖАТ является подтверждение соответствия достигнутого в системе уровня безопасности установленным в техническом задании значениям нормированных показателей. Эта процедура является основной среди других сертификационных работ, проводимых с целью получения сертификата на соответствие требованиям безопасности.

Используются следующие основные способы доказательства безопасности:

- экспертно-расчетные на основе экспертизы технической и конструкторской документации и расчетов на аналитической модели;

- ускоренные имитационные испытания с машинными моделями;

- эксперименты с опытной системой на стадии стендовых и сертификационных испытаний;

- испытания опытной системы в полевых условиях на стадии пусконаладочных работ и периода приработки системы;

- сбор статистических данных об отказах в процессе длительной эксплуатации одной системы или большого числа однотипных систем.

Эти способы перечислены в порядки их последовательного применения в течение всего жизненного цикла существования системы. И в то же время они расположены в порядке возрастания достоверности оценки безопасности.

Экспертные методы применяются на начальных этапах разработки системы - при разработке технических предложений и технического задания, при эскизном и техническом проектировании, составлении рабочей документации. Экспертами, как правило, являются сотрудники независимой организации, выполняющие сертификационные испытания систем и устройств.

Для работы экспертам предоставляются научно-исследовательские отчеты, выпущенные разработчиками. Основные задачи, которые должны решать эксперты, следующие: оценка концепции безопасности на стадии технических предложений; оценка принятых норм и требований безопасности на стадии технического задания; оценка уровня безопасности выбранного варианта системы на стадии эскизного проектирования; оценка принятых технических решений и списка опасных отказов на стадии технического проекта; оценка результатов испытаний имитационной модели СЖАТ и достигнутого проектного уровня безопасности на стадии рабочей документации.

Объективность экспертизы определяется личным опытом экспертов, их знаниями в данной конкретной области техники. Используются индивидуальные, коллективные и комбинированные методы экспертизы, а также для получения более объективных заключений могут использоваться компьютерные экспертные системы. По результатам экспертизы при необходимости разрабатываются предложения по корректированию качественных и количественных требований безопасности, расчетных детерминированных и вероятностных показателей безопасности, документа "Доказательство безопасности", методик и программ испытаний на безопасность.

Расчетные методы используются для обоснования (проектная оценка) предполагаемого уровня безопасности. При этом точность расчетов, степень их детализации могут быть различными на разных этапах разработки системы. Факторы, от которых зависит безопасность СЖАТ (рис. 5.1), в зависимости от требуемой точности могут учитываться при расчетах. В соответствии с ними могут выполняться различные виды расчетов (рис. 5.2).

Результаты проектной оценки безопасности СЖАТ необходимы для выбора того или иного вида резервированной структуры и обоснования мероприятий по диагностированию программных и технических средств (определение необходимых требований по полноте и глубине контроля). Расчеты основаны на справочных данных о безопасности и безотказности составных частей с учетом функциональной структуры изделия; данных о безопасности изделий-аналогов; результатах экспертной оценки безопасности; данных о свойствах материалов; о физической природе механизма возникновения опасных отказов.

На этапе технических предложений выполняется первый оценочный расчет безопасности. При этом используется метод группы А (см. рис. 5.2). Он учитывает только отказы основной и резервной аппаратуры. Контрольные устройства предполагаются абсолютно надежными, поскольку они еще не разработаны. Не учитываются также процессы восстановления и ошибки проектирования и изготовления. Таким образом, этот расчет оценивает безопасность выбранной структуры системы в сравнении с безопасностью других возможных структур. Полученные при этом значения показателей безопасности можно предварительно считать верхними оценками. Реальные оценки с одной стороны уменьшаются при учете указанных отказов и ошибок, но с другой стороны увеличиваются при учете процесса восстановления. Метод группы А обычно основан на анализе полной группы событий, так как при этом рассматривается достаточно простая структурная схема надежности.

На этапе технического задания и эскизного проектирования уточняется безопасность выбранного варианта построения системы. Здесь учитываются отказы внешних контрольных устройств (метод группы В). Эти устройства обычно выполняются в виде элементов с несимметричными отказами или самопроверяемых элементов. Если при этом структурная схема надежности оказывается сложной, можно для расчета использовать метод свертки или метод минимальных путей и сечений.

Процесс восстановления целесообразно учитывать на этапе технического проекта, когда будут определены основные эксплуатационные свойства системы и режимы ее обслуживания. В этом случае при расчетах используются марковские модели и уравнения Колмогорова (методы групп С или Е).

В дальнейшем после имитационных и эксплуатационных испытаний системы, а также при наличии каких-либо статистических данных по отказам указанные расчеты уточняются. Если появляются данные по ошибкам проектирования и изготовления (в результате эксплуатационных испытаний множества систем), производится наиболее точный расчет безопасности (методы групп D или F).

Испытание машинных моделей. Экспертные и расчетные методы оценки безопасности не могут претендовать на высокую достоверность, если не будут подкреплены данными, полученными при испытаниях разрабатываемой системы. Первым этапом таких испытаний являются испытания машинных моделей системы. При этом сама система еще может быть не создана "в железе", но должны быть выбраны технические средства, методы контроля и разработано алгоритмическое и программное обеспечение.

Структура микроэлектронной СЖАТ. Она содержит программно-технический комплекс ПТК (микро-ЭВМ и системное программное обеспечение); прикладное программное обеспечение (ППО); безопасную схему контроля БСК; устройство сопряжения УСО с управляемыми объектами (УО).

Испытания на машинных моделях по сравнению с другими видами испытаний позволяют: производить ускоренные испытания в машинном времени; создать во время испытаний все множество возможных технологических ситуаций; имитировать большое число отказов аппаратных и программных средств, что практически неосуществимо при испытаниях физических моделей; организовать процедуры верификации ППО; откорректировать списки опасных отказов; собрать статистические данные по влиянию сбоев на безопасность; организовать вероятностные эксперименты с машинными моделями систем большой размерности.

Можно выделить пять видов испытаний на машинных моделях безопасных систем.

Испытания технологических алгоритмов на безопасность. Задачей этих испытаний является проверка выполнения всех условий безопасности в данном технологическом процессе. Для этого необходимо с помощью ЭВМ создавать все возможные штатные технологические ситуации и определенное множество нештатных (но вероятных ситуаций). Реакция системы на эти ситуации сравнивается с эталонной реакцией. При данных испытаниях следует предусматривать также отказы внешних датчиков и ошибочные действия операторов. Эти испытания являются одновременно и тестированием прикладного ПО.

Моделирование работы безопасных схем контроля. Задачей этих испытаний является проверка безопасности внешних схем контроля (схем сравнения, мажоритарных схем, тестеров и др.). Эти схемы несут большую долю ответственности за безопасность, поэтому так важны эти испытания. При этом возникают проблемы представления логических схем в ЭВМ и организации экспериментов с ними. Необходимы три вида экспериментов: искажение входных сигналов (амплитуда, фаза, длительность, частота и др.); внесение отказов из заданного списка и определение реакции схемы на эти отказы; анализ работы схемы при разбросе временных параметров.

Доказательство отсутствия опасных отказов в этих экспериментах возможно прямым методом перечисления анализируемых ситуаций.

Имитация отказов и сбоев программно-технического комплекса. Это наиболее сложный вид испытаний, когда испытывается имитационная машинная модель ПТК с внесением отказов и сбоев при выполнении прикладных программ. При этом возникают следующие проблемы: создание имитационной модели ПТК на ЭВМ; оценка адекватности модели; организация экспериментов; анализ результатов. Этот вид испытаний позволяет оценить выбранную концепцию безопасности.

Испытания прикладного программного обеспечения. Эти испытания проводятся, если ППО обладает специальными свойствами по обнаружению или маскировке ошибок, например, самопроверяемые и диверситетные программы.

Испытания системных функций. При проведении этих испытаний проверяется безопасность системы при выполнении таких системных функций, как рестарт, необратимость перехода в защитное состояние, реконфигурация структуры и УСО, восстановление вычислительного процесса и др.

Стендовые испытания опытной системы. После разработки системы и создания опытного образца проводятся его стендовые испытания в лабораторных условиях. Цель испытаний - проверка безопасности функционирования всех составных элементов системы в комплексе, в их взаимодействии.

Стендовые испытания выполняются с помощью генератора входных технологических ситуаций, а также имитаторов объектов управления и контроля по специальным программам. Длительность испытаний колеблется обычно от одного месяца до года. Это позволяет собрать определенные статистические данные об отказах и сбоях, которые могут быть использованы для уточнения аналитических расчетов безотказности и безопасности.

Стендовые испытания проводятся с учетом влияния на безопасность опытного образца колебаний питающего напряжения, электромагнитных, климатических и механических воздействий, возможных в условиях эксплуатации.

Испытание системы в условиях эксплуатации. После успешного завершения стендовых испытаний система устанавливается на объекте и испытывается в реальных полевых условиях. Если при этом на объекте имеется действующая система управления, то целесообразно включить новую систему последовательно или параллельно со старой. Это позволяет путем сравнения работы двух систем гарантированно зафиксировать случаи возникновения опасных отказов. В течение всего срока испытаний фиксируются защитные и опасные отказы системы. Полученные данные используются для уточнения аналитических расчетов безопасности, выявления конструктивных и технологических недостатков системы.

Сбор данных в процессе эксплуатации. В процессе постоянной эксплуатации продолжаются мероприятия по обеспечению безопасности системы в соответствии с программой обеспечения безопасности. И здесь важным мероприятием является сбор статистических данных об опасных отказах. Поскольку опасные отказы есть редкие события, то сбор статистических данных возможен только при длительной эксплуатации одного экземпляра системы или при определенном времени эксплуатации большого числа экземпляров однотипных систем. Полученные при этом данные наиболее объективно характеризуют безопасность системы.

5. Сертификация систем железнодорожной автоматики и телемеханики

Доказательство безопасности СЖАТ осуществляется в процессе выполнения сертификационных работ. В 1995 г. был принят закон Российской Федерации "О Федеральном железнодорожном транспорте". В статье 13 этого закона записано, что все технические средства и механизмы, поставляемые железнодорожному транспорту, подлежат обязательной сертификации на соответствие требованиям безопасности движения, охраны труда и экологической безопасности.

При разработке и внедрении микропроцессорных и компьютерных систем сертификация на безопасность имеет решающее значение. Это связно с тем, что методы обеспечения безопасности в таких системах достаточно сложны, разнообразны и не столь очевидны, как это имело место в механических и релейных системах. Например, в релейных системах задача доказательства безопасности в строгой постановке не ставилась и решалась за счет экспертных оценок принятых схемно-технических решений.

Под сертификацией понимается деятельность по подтверждению соответствия объектов железнодорожного транспорта установленным требованиям ("Правила Системы сертификации на федеральном железнодорожном транспорте Российской Федерации. Основные положения.", ПССФЖТ 01-96). Для реализации этой деятельности на железнодорожном транспорте России в рамках Министерства путей сообщения (МПС) действует Система сертификации на федеральном железнодорожном транспорте Российской Федерации (ССФЖТ). Она зарегистрирована Госстандартом РФ 17 февраля 1997 г. Система сертификации есть совокупность участников сертификации, осуществляющих сертификацию на федеральном железнодорожном транспорте по правилам, установленным в системе сертификации в соответствии с законодательством Российской Федерации.

Сферой деятельности ССФЖТ является обязательная и добровольная сертификация объектов железнодорожного транспорта. В частности к этим объектам относятся: автоматика, телемеханика, связь, вычислительная техника и информационные технологии (средства сигнализации, централизации и блокировки; устройства связи; железнодорожные технические средства обеспечения и контроля безопасности движения; автоматизированные системы управления федеральным железнодорожным транспортом; технологические процессы технического обслуживания и ремонта средств автоматики, телемеханики, связи и вычислительной техники, информационные технологии).

Организационная структура ССФЖТ. Ее образуют:

- Министерство путей сообщения; руководитель системы сертификации в ранге заместителя Министра путей сообщения;

- Центральный орган системы сертификации - отдел сертификации, стандартизации и метрологии Департамента технической политики МПС;

- Орган по сертификации - государственное учреждение Регистр сертификации на федеральном железнодорожном транспорте;

- Исполнительный комитет Центрального органа Системы сертификации - подразделение Регистра;

- Совет по сертификации на федеральном железнодорожном транспорте;

- Апелляционный совет;

- Аккредитованные экспертные центры;

- Аккредитованные испытательные центры (лаборатории);

- Аккредитованные эксперты системы сертификации.

Общее руководство работами по сертификации осуществляют Министерство путей сообщения и центральный орган системы сертификации (ЦОС). Они формируют ССФЖТ, проводят аккредитацию в ней, выдают аттестаты и лицензии на проведение работ по обязательной сертификации. Непосредственные работы по сертификации объектов проводит Регистр сертификации на федеральном железнодорожном транспорте (РС ФЖТ). В его состав входят отделы (органы) по сертификации в различных областях. Регистр принимает и рассматривает заявки на сертификацию объектов железнодорожного транспорта; определяет по каждой конкретной заявке испытательный или экспертный центр, в который необходимо обратиться заявителю; регистрирует, выдает и ведет учет выданных сертификатов.

Технический центр аккредитации рассматривает заявки и проводит экспертизу документов по аккредитации организаций на проведение сертификационных работ, регистрирует выданные аттестаты аккредитации. Испытательные центры (лаборатории) проводят испытания конкретных объектов железнодорожного транспорта и выдают протоколы испытаний для целей сертификации. Экспертные центры проводят по поручению Регистра оценку соответствия объектов железнодорожного транспорта установленным требованиям на основе анализа результатов испытаний и другой документации. Экспертный и испытательный центры должны быть признаны независимыми от изготовителей и потребителей юридическими лицами.

Для проведения работ по сертификации систем и устройств железнодорожном автоматики и телемеханики в настоящее время в отрасли действуют четыре испытательные лаборатории, аккредитованные в ССФЖТ и Госстандарте. Эти лаборатории созданы на базе Всероссийского научно-исследовательского института управления перевозками ВНИИУП МПС (область аккредитации - измерительные устройства, рельсовые цепи, микроэлектронные системы), института Гипротранссигналсвязь (релейная аппаратура, релейные стативы), Петербургского государственного университета путей сообщения (микроэлектронные устройства и системы автоматики и телемеханики), Московского государственного университета путей сообщения (электромагнитная совместимость систем автоматики).

Нормативной базой сертификации СЖАТ является система отраслевых стандартов "Безопасность железнодорожной автоматики и телемеханики". Она содержит шесть отраслевых стандартов, пять руководящих документов и четыре руководящих технических материала. Ключевым документом в системе является стандарт "Термины определения", который устанавливает единство терминов и определений основных понятий, применяемых в области безопасности СЖАТ. К ним относятся: безопасность, опасный отказ, показатель безопасности, критерий опасного отказа, наработка до опасного отказа, вероятность безопасной работы и др.

В документах "Выбор и общие правила нормирования показателей безопасности", "Методы расчета норм безопасности" и "Методы расчета показателей безотказности и безопасности СЖАТ" установлены основные положения по выбору номенклатуры показателей и заданию норм безопасности СЖАТ для включения их в документацию, а также определены основные рекомендуемые для применения методы расчета. В качестве последних могут использоваться методы полной группы событий, свертки, минимальных путей и сечений, марковские модели. Методология доказательства безопасности СЖАТ при сертификации определяется документами "Методы доказательства безопасности систем и устройств СЖАТ", "Методы испытаний на безопасность", "Порядок и методы контроля показателей безопасности, установленных в нормативно-технической документации" и "Общие требования к программам и методикам испытаний на ЭМС в отношении показателей безопасности".

Основным документом при сертификации безопасности СЖАТ является программа обеспечения безопасности (ПОБ). Принципы ее составления устанавливает стандарт "Общие требования к программам обеспечения безопасности". ПОБ регламентирует содержание и состав работ по обеспечению безопасности на всех стадиях жизненного цикла СЖАТ: разработки, серийного изготовления и эксплуатации (рис. 5.11). Программа разрабатывается независимой организацией, аттестованной на проведение работ по сертификации, совместно с разработчиком, изготовителем и заказчиком системы соответственно этапу ее жизненного цикла.

Процедура проведения сертификационных работ включает в себя следующие этапы:

- представление заявителем в орган по сертификации заявки на проведение сертификации СЖАТ;

- предварительная оценка заявки органом по сертификации и принятие решения по ней;

- направление решения по заявке заявителю с указанием испытательного центра, проводящего испытания СЖАТ, и (или) экспертного центра по сертификации, проводящего оценку соответствия системы требованиям нормативных документов;

- проведение испытаний и (или) оценки соответствия СЖАТ требованиям нормативных документов;

- рассмотрение возможности признания имеющихся у заявителя сертификатов соответствия;

- анализ результатов испытаний и (или) оценки соответствия и принятие решения о возможности выдачи сертификата соответствия, либо обоснование отказа в выдаче;

- оформление, регистрация и выдача сертификата соответствия и лицензии, либо направление заявителю обоснованного отказа в выдаче сертификата;

- осуществление инспекционного контроля за сертифицированными объектами, применением сертификата и знака соответствия;

- информация о результатах сертификации.

Наиболее эффективно процедуры сертификации выполняются, если работа независимых экспертов начинается на самых ранних этапах создания системы (технических предложений и технического задания). Такой принцип организации работ минимизирует издержки при создании системы и сокращает сроки разработки устройств СЖАТ благодаря параллельной, а не последовательной работе разработчиков и независимых экспертов.

На системы и устройства, для которых по результатам сертификации подтверждено соответствие требованиям нормативных документов, выдается сертификат соответствия и осуществляется их маркировка знаком соответствия. Решение о выдаче (или в отказе в выдаче) сертификата соответствия принимается органом по сертификации. Он же устанавливает срок действия сертификата.

Сертификаты соответствия вступают в силу с даты их регистрации в Государственном Реестре системы сертификации на федеральном железнодорожном транспорте.

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.