1. pl
  2. en
Logo Certa JN

Jednostka Notyfikowana Nr NB 2683

Jednostka Wyznaczona

Logo Certa JN

CERTA JN Sp. z o.o.

52-316 Wrocław

Cukrowa 1d/28

NIP 8943060876

KRS 0000864560

KONTAKT

Facebook

Linkedin

TSI

Rola dowodu bezpieczeństwa w procesie budowy podsystemu „Sterowanie”

07 czerwca 2023

Dowód bezpieczeństwa dla podsystemu „Sterowanie” to nie tylko zbiór dokumentów odbiorowych, jakie można znaleźć w operacie kolaudacyjnym, ale również opis działań organizacyjnych, jakie podjęto, aby zapewnić jakość i bezpieczeństwo podsystemu w całym cyklu życia oraz opis sposobu spełnienia wymagań i zapewnienia bezpieczeństwa technicznego.

a.grzywak-gawrys@certa-eu.pl

Działania realizowane przez Jednostki Notyfikowane w zakresie weryfikacji WE podsystemów są opisane w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/797 z dnia 11 maja 2016 r. w sprawie interoperacyjności systemu kolei w Unii Europejskiej, a uszczegółowione wymagania odnośnie podsystemu „Sterowanie” określono w Technicznych Specyfikacjach Interoperacyjności (TSI): Rozporządzeniu 2016/919 z dnia 27 maja 2016 roku w sprawie technicznej specyfikacji interoperacyjności w zakresie podsystemów „Sterowanie” systemu kolei w Unii Europejskiej z późniejszymi zmianami. Dokument ten określa wymagania zasadnicze, które muszą być spełnione przez system kolei zabudowany i eksploatowany na terenie krajów należących do Wspólnoty.

 

Oprócz zdefiniowania wymagań zasadniczych, TSI CCS (CCS - Control Command and Signalling) określają zbiór dokumentów, zwanych specyfikacjami, które są podstawą do tworzenia systemu sterowania ruchem kolejowym. Zdefiniowane wymagania dotyczą zarówno samych urządzeń, tzw. składników interoperacyjności lub grup składników interoperacyjności, jak również zbudowanego na ich bazie podsystemu „Sterowanie – urządzenia przytorowe” lub „Sterowanie – urządzenia pokładowe”.

Wymagania są pogrupowane według zestawów dokumentów z podaniem ich tytułów, numerów i wersji wydania. Poszczególne zestawy stanowią tzw. baseline lub w języku polskim „wzorce”. Oprócz zestawów dokumentów wymagań skupionych we wspomnianych baseline, TSI określa zestaw norm obowiązujących, zwanych też normami RAMS (od angielskich słów: reliability – nieuszkadzalność, availability – dostępność, maintainability – podatność na utrzymanie i safety – bezpieczeństwo). Są to:

 

• PN-EN 50126-1:2018 (lub poprzednie wydanie: PN-EN 50126-1:2002) „Zastosowania kolejowe - Specyfikowanie niezawodności, dostępności, podatności utrzymaniowej i bezpieczeństwa”

• PN-EN 50126-2:2018 Zastosowania kolejowe -- Specyfikowanie i wykazywanie niezawodności, dostępności, podatności utrzymaniowej i bezpieczeństwa (RAMS) -- Część 2: Sposoby podejścia do bezpieczeństwa”

• PN-EN 50128:2011 „Zastosowania kolejowe - Systemy łączności, przetwarzania danych i sterowania ruchem -- Oprogramowanie kolejowych systemów sterowania i zabezpieczenia”

• PN-EN 50129:2007 „Zastosowania kolejowe – Systemy łączności, przetwarzania danych i sterowania ruchem – Elektroniczne systemy sterowania ruchem związane z bezpieczeństwem”,

• PN-EN 50159:2011 „Zastosowania kolejowe – Systemy łączności i przetwarzania danych”.

 

Normy te jako jedyne zostały wymienione wprost w TSI CCS. Stanowią one podstawę bezpieczeństwa i niezawodności dla składników interoperacyjności oraz podsystemów „Sterowanie” zbudowanych w oparciu o te składniki.

TSI CCS daje możliwość do stosowania krajowych rozwiązań, identyfikując tzw.: punkty otwarte, przypadki szczególne i systemy klasy B, dla których nie stosuje się wymagań ujętych w TSI i dla których każde państwo członkowskie ustanawia tzw. wymagania krajowe. W Polsce wymagania te określono w tzw. „Liście Prezesa UTK”. Obecnie obowiązująca Lista Prezesa UTK dla instalacji stałych została opublikowana 23 grudnia 2021 roku i zastąpiła dotychczasową Listę obowiązującą od 19 stycznia 2017 roku.

 

Lista Prezesa UTK, podobnie jak jej europejski „odpowiednik”, specyfikuje dokumenty zawierające wymagania, które należy zastosować dla urządzeń typu (poprzez analogię do składników interoperacyjności), dla których wymagane jest uzyskanie świadectwa dopuszczenia do eksploatacji typu urządzenia kolejowego przeznaczonego do prowadzenia ruchu kolejowego zgodnie z rozporządzeniem Ministra Infrastruktury i Rozwoju z dnia 13 maja 2014 roku (z późn. zm.), jak i specyfikuje wymagania, które należy zastosować dla podsystemu strukturalnego „Sterowanie” (instalacji stałych).

 

 

Proces weryfikacji WE prowadzony jest w oparciu o wymagania interoperacyjności ujęte w TSI lub w wymaganiach krajowych (Lista Prezesa UTK), jeśli podsystem zawiera urządzenia klasy B (nieujęte w TSI) lub też posiada interfejsy do podsystemu zawierającego te urządzenia.

Pomimo zdecydowanych różnic występujących pomiędzy TSI CCS i Listą Prezesa UTK, jest pewna część wspólna. Stanowią ją przywołane na początku artykułu normy RAMS.

 

Komplet tych standardów dotyczy niezawodności i bezpieczeństwa rozwiązań kolejowych związanych z bezpieczeństwem. Dostarczają one zbioru metod technicznych i organizacyjnych, które powinny zapewnić, że wymagany poziom bezpieczeństwa i parametry niezawodnościowe zostaną osiągnięte.

Proponowane przez normy metody, narzędzia i techniki dotyczą trzech poziomów zastosowań urządzeń kolejowych: urządzenia ogólnego przeznaczenia (ang. generic product, w skrócie GP), urządzenia ogólnego zastosowania (ang. generic application, w skrócie: GA), dostosowanego do konkretnych wymagań danego rynku kolejowego, przewoźnika, zarządcy infrastruktury oraz urządzenia określonego zastosowania, potocznie zwane: aplikacją (ang. specific application, w skrócie SA), które jest dostosowane do konkretnej lokalizacji i konkretnego miejsca w terenie lub na konkretnym pojeździe kolejowym.

 

 

 

Rys. 1 Poziomy zastosowań urządzenia sterowania ruchem kolei

 

Poziomy zastosowania opisane powyżej zostały pokazane na rys. 1. Poziom urządzenia określonego zastosowania jest najbardziej specyficznym, ale jednocześnie zawiera część bazową (ogólnego przeznaczenia), na podstawie której zostało zbudowane i (opcjonalnie) część ogólnego zastosowania, gdzie zawarta jest logika związana z danym rynkiem kolejowym.

Funkcje odpowiedzialne za bezpieczeństwo systemu sterowania ruchem kolejowym realizowane są na trzech poziomach zastosowań. Popełnienie błędu na którymkolwiek poziomie może zniweczyć cechy bezpieczeństwa „zaszyte” w systemie. Dodatkowo, mówiąc o parametrach bezpieczeństwa, czy niezawodności, odnosimy je do tzw. cyklu życia, który dotyczy zarówno urządzeń ogólnego przeznaczenia, ogólnego zastosowania, jak i określonego zastosowania.

Zaczyna się on fazą koncepcji poprzez analizę ryzyka, zdefiniowanie wymagań, alokacji tych wymagań na poszczególne elementy systemu, poprzez projektowanie, produkcję, instalację, walidację gotowego rozwiązania, aż po odbiory, akceptację systemu i jego eksploatację. Wszelkie zmiany w systemie związanym z bezpieczeństwem, modyfikacje, czy odnowienia, są również uwzględnione w fazach cyklu życia. Cykl życia kończy się wycofaniem z eksploatacji. Podstawowe zagadnienia związane z cyklem życia opisane są normą PN-EN 50126-1.

Każdy z poziomów zastosowań przechodzi fazy zdefiniowanego powyżej cyklu życia. Dla każdego z etapów cyklu życia normy RAMS dedykują metody, narzędzia i działania techniczne i organizacyjne, które należy zastosować, czy podjąć, aby zminimalizować wystąpienie błędu krytycznego dla bezpieczeństwa. Działania te mają na celu ograniczenie ryzyka wystąpienia błędów systematycznych (popełnionych przez człowieka) do poziomu akceptowalnego. Celem jest minimalizacja prawdopodobieństwa wystąpienia takiego

błędu lub ograniczenia powagi jego skutków tak, aby cel bezpieczeństwa (określony parametrem THR – Tolerable Hazard Rate – tolerowana intensywność zagrożeń) został osiągnięty dla danej funkcji związanej z bezpieczeństwem.

System sterowania ruchem kolejowym może składać się tylko z części sprzętowej (hardware) lub zarówno z części sprzętowej, jak i oprogramowania (software). Dodatkowo moduły funkcjonalne (hardware i software) komunikują się pomiędzy sobą za pomocą transmisji. Urządzenia łączą się za pomocą interfejsów, tworząc system srk. Interfejsy odpowiadają za bezpieczeństwo w takim samym stopniu jak poszczególne elementy systemu.

Norma PN-EN 50126 narzuca obowiązek opracowania dowodu bezpieczeństwa na wszystkich poziomach zastosowań. Odpowiedzialnym za wykonanie dowodu bezpieczeństwa jest podmiot odpowiedzialny za urządzenie lub system na danym poziomie zastosowania: GP, GA lub SA (patrz rys. 1).

Celem dowodu bezpieczeństwa jest wykazanie, że wymagania bezpieczeństwa zostały spełnione przy zastosowaniu określonych warunków w dalszych etapach cyklu życia lub na wyższym poziomie zastosowania. Warunki te są zwane warunkami SRAC (safety related application condition) – warunkami bezpiecznego stosowania.Fot. Jadwiga Wrzesińska

Na poziomie urządzenia ogólnego przeznaczenia GP określa się warunki SRAC, które muszą być spełnione podczas opracowywania urządzenia ogólnego zastosowania GA. Warunki, które nie zostały spełnione (zastosowane) na poziomie urządzenia ogólnego zastosowania GA są przenoszone na poziom urządzenia określonego zastosowania, czyli aplikacji SA. Analogicznie: warunki, które nie mogą być spełnione na poziomie opracowywania aplikacji zostają przeniesione do odpowiedzialności użytkownika lub służb utrzymania. Są to wszystkie istotne dla bezpieczeństwa zapisy, które znajdują się w DTR-kach, instrukcjach i wytycznych dla danego urządzenia czy systemu. Z tego powodu tak bardzo istotne jest stosowanie przez projektantów srk, instalatorów czy użytkowników właściwej wersji dokumentacji technicznej opracowanej dla danego urządzenia kolejowego.

 

Dowód bezpieczeństwa, zgodnie z metodologią normy PN-EN 50129 składa się z następujących części (zgodnie z rys. 2):

 

• Część 1: Definicja systemu,

• Część 2: Raport zarządzania jakością,

• Część 3: Raport zarządzania bezpieczeństwem,

• Część 4: Raport bezpieczeństwa technicznego,

• Cześć 5: Powiązane dowody bezpieczeństwa,

• Część 6: Wniosek.

 

Norma PN-EN 50129 precyzuje zawartość każdej z części. Tytuły części oraz tytuły poszczególnych rozdziałów są jednolite dla trzech poziomów zastosowań, a treść, która powinna być zawarta w danym rozdziale ściśle określona i opisana w normie.

 

 

Rys. 2 Części dowodu bezpieczeństwa. Opracowane na podstawie: PN-EN 50129

 

 

Najobszerniejszą a jednocześnie najważniejszą częścią dowodu bezpieczeństwa jest Raport Bezpieczeństwa Technicznego (patrz rys. 3). To tutaj opisane są warunki bezpiecznego stosowania: te spełnione przez dany poziom zastosowania, jak i te, które muszą być przeniesione wyżej lub przekazane projektantowi srk, instalatorowi czy użytkownikowi urządzenia lub systemu kolejowego.

 

 

Rys. 3. Zawartość Raportu Bezpieczeństwa Technicznego. Opracowane na podstawie: PN-EN 50129

 

Dobrze opracowany dowód bezpieczeństwa jest nie tylko przewodnikiem po zastosowanych metodach, narzędziach w celu osiągnięcia odpowiedniego poziomu bezpieczeństwa przez urządzenie czy system srk, ale również jest dowodem na to, że dany podmiot dobrze rozumie swoją rolę w zapewnieniu bezpieczeństwa całego systemu kolejowego oraz, że organizacja projektu została właściwie dobrana, a działania odpowiednio nadzorowane.

Dokument ten jest również dowodem na to, że wybrane zostały właściwe metody, personel był właściwie wykwalifikowany i zastosowano odpowiednią do danego poziomu bezpieczeństwa niezależność ról. Dowód bezpieczeństwa dokumentuje, że wykryte niezgodności i hazardy były nadzorowane, a interfejsy przeanalizowano pod kątem bezpieczeństwa i zgodności technicznej.

Dobrze opracowany dowód bezpieczeństwa definiuje liczbowe parametry RAMS (niezawodności i bezpieczeństwa), określa szczegółowo konfigurację systemu – dowodzi, że konfiguracja jest właściwie nadzorowana, wykazuje bezpieczeństwo sprzętu przy wpływach zewnętrznych i wewnętrznych i wykazuje bezpieczeństwo zastosowanego w systemie (urządzeniu kolejowym) oprogramowania. Sposób zapewnienia jakości oprogramowania, zgodnie z normą PN-EN 50128, stanowi fundament dowodzenia bezpieczeństwa oprogramowania.

Reasumując, dowód bezpieczeństwa jest kluczowym elementem potwierdzania poprawności przyjętych  rozwiązań i zapewnienia poprawnego działania w całym cyklu życia urządzenia czy systemu srk.

 

Dowód bezpieczeństwa a operat kolaudacyjny

 

Wykonawca podsystemu CCS zobligowany jest wymaganiami SIWZ do opracowania operatu kolaudacyjnego* (który w istocie jest zbiorem dokumentów powykonawczych: odbiorowych, zbiorem deklaracji, świadectw, aprobat materiałowych, raportów i protokołów). Wszystkie te dokumenty są konieczne do wykazania bezpieczeństwa i poprawnego funkcjonowania podsystemu „Sterowanie”. Natomiast nie są one wystarczającymi elementami dowodzenia bezpieczeństwa.

Dokumenty operatu kolaudacyjnego, przedstawione w sposób logiczny i we właściwej kolejności powstawania w realizowanej inwestycji stanowią część raportu bezpieczeństwa technicznego i to tylko sekcję zawierającą dowody na poprawne działanie. Pokazano to schematycznie na rys. 4.

Rys. 4. Zależność pomiędzy operatem kolaudacyjnym a dowodem bezpieczeństwa dla aplikacji (SASC)

 

Natomiast dowód bezpieczeństwa dla podsystemu „Sterowanie” to nie tylko zbiór dokumentów odbiorowych jakie można znaleźć w operacie kolaudacyjnym, ale jest to również opis działań organizacyjnych, jakie podjęto, aby zapewnić jakość i bezpieczeństwo podsystemu w całym cyklu życia oraz opis sposobu spełnienia wymagań i zapewnienia bezpieczeństwa technicznego. Zawiera on również warunki bezpiecznego stosowania, których należy przestrzegać w kolejnych fazach cyklu życia.

Aby jednostka notyfikowana w procesie weryfikacji WE mogła stwierdzić zgodność podsystemu „Sterowanie”  z wymaganiami TSI CCS, czy z wymaganiami określonymi w Liście Prezesa UTK w zakresie wymagań zasadniczych, powinna ocenić, czy proces wymagany normami RAMS był skutecznie wdrożony przez producenta podsystemu. W tym celu jednostka musi otrzymać od Wykonawcy dokumenty będące wynikiem tego procesu, w tym dowód bezpieczeństwa SASC.

 

 

* https://pl.wikipedia.org/wiki/Operat_kolaudacyjny: zbiór dokumentów budowy przygotowanych przez wykonawcę robót w celu ich przekazania zamawiającemu, stanowiący podstawę odbioru i oceny zgodności wykonanych robót z dokumentacją projektową i kosztorysem.