Приложение А (справочное). Дополнительные сведения об отчете о функциональной безопасности. Стандарт ОАО "РЖД" СТО РЖД 1.02.032-2010 "Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Доказательство безопасности объектов железнодорожного транспорта"

Приложение А
(справочное)

Дополнительные сведения об отчете о функциональной безопасности

А.1 Введение

Как описано в разделе 8.4, техническое доказательство функциональной безопасности объекта ЖТ должно быть представлено в виде Отчета о функциональной безопасности, являющимся частью Доказательства безопасности.

Отчет должен состоять из следующих разделов:

1. Введение;

2. Подтверждение правильности функционирования;

3. Влияние неисправностей;

4. Функционирование при внешних воздействиях;

5. Условия применения, связанные с обеспечением безопасности;

6. Квалификационные испытания по безопасности.

Каждый из указанных разделов был кратко рассмотрен в разделе 8.4. Более подробное изложение требований для разделов Отчета о функциональной безопасности представлено в разделах А.2-А.6 данного приложения.

А.2 Подтверждение правильности функционирования

Данный раздел характеризует правильность работы объекта ЖТ и его составных частей при отсутствии неисправностей в соответствии с заданными эксплуатационными требованиями и требованиями безопасности.

В подразделах А.2.1-А.2.6 подробно рассмотрены следующие аспекты:

- характеристика архитектуры объекта;

- определение интерфейсов;

- выполнение технических требований к объекту;

- выполнение технических требований к безопасности;

- обеспечение правильного функционирования аппаратных средств;

- обеспечение правильного функционирования программного обеспечения.

А.2.1 Характеристика архитектуры объекта

Данный раздел должен содержать общее описание архитектуры объекта ЖТ и его составных частей, глубина которого должна быть достаточной для ясного понимания использованных принципов и технических решений.

А.2.2 Определение интерфейсов

А.2.2.1 Интерфейсы "человек - машина"

а) Оператор

В данном параграфе должно быть приведено описание механизмов (принципов действия), с помощью которых осуществляется взаимодействие эксплуатационного и технического персонала с объектом ЖТ и его составными частями.

Примеры

1 при нормальных условиях;

2 реакция на сигналы тревоги;

3 при использовании процедур справочной системы ("Помощь").

б) Задание конфигурации

В данном параграфе должно быть приведено описание процессов, осуществляемых техническим персоналом с целью задания конфигурации объекта ЖТ для его применения в условиях железнодорожного транспорта.

Примеры

1 задание параметров программного обеспечения;

2 выполнение монтажных ("жестких") соединений;

3 применение конкретных способов монтажа;

4 процедуры.

в) Техническое обслуживание

В данном параграфе должно быть приведено описание механизмов (принципов действия) интерфейсов, включая применение любого дополнительного оборудования (аппаратуры), которое может быть использовано персоналом технического обслуживания в процессе выполнения операций технического обслуживания различных уровней.

Более подробная информация приведена в параграфе А.5.2.

А.2.2.2 Системные интерфейсы

а) Внутренние

В данном параграфе должны быть определены (заданы технические характеристики) функциональные и физические интерфейсы между составными частями объекта ЖТ.

Примеры

1 электромагнитные "чистые" (без помех) и "грязные" (с помехами) зоны;

2 внутренние структуры шин;

3 каналы связи (передачи данных);

4 контроль выполнения функций и восстановление работоспособности;

5 диагностика и контроль общего состояния объекта.

б) Внешние

В данном параграфе должны быть определены (заданы технические характеристики) функциональные и физические интерфейсы между рассматриваемым объектом ЖТ и внешними объектами.

Примеры

1 датчики;

2 исполнительные устройства;

3 каналы связи (передачи данных);

4 контрольно-испытательные устройства;

5 возможности модернизации объекта.

А.2.3 Выполнение технических требований к объекту

В данном разделе должно быть продемонстрировано, каким образом в проекте выполнены функциональные требования, а также требования к надежности, заданные в технических требованиях на объект ЖТ. Раздел должен содержать все необходимые доказательства (или ссылки на них), где должны быть приведены результаты испытаний и результаты расчета соответствующих показателей функционирования объекта ЖТ. Протоколы испытаний и расчет показателей должны быть приведены в приложениях к документу. Также в приложениях должны быть представлены программы и методики, в соответствии с которыми выполнялись испытания объекта ЖТ.

Примеры

1 принципы и расчеты, положенные в основу проекта;

2 спецификации и результаты испытаний;

3 валидация.

А.2.4 Выполнение технических требований к безопасности

В данном разделе должно быть продемонстрировано, каким образом в проекте выполнены заданные функциональные требования по безопасности. Раздел должен содержать все необходимые доказательства (или ссылки на них).

Примеры

1 принципы и расчеты, положенные в основу проекта (разработки);

2 спецификации и результаты испытаний;

3 анализ безопасности и его результаты.

А.2.5 Обеспечение правильного функционирования аппаратных средств

Данный раздел должен содержать описание аппаратной архитектуры объекта ЖТ и пояснение, каким образом в проекте обеспечена требуемая полнота, заданная техническими требованиями и любыми распространяющимися на данный проект стандартами, в части показателей надежности и безопасности.

Примечание - При рассмотрении безопасности можно ограничиться условиями работы при отсутствии неисправностей, так как влияние неисправностей рассматривается в разделе А.3.

А.2.6 Обеспечение правильного функционирования программного обеспечения

В данный раздел должна быть включена вся документация, требуемая в соответствии с ГОСТ Р МЭК 61508.3, или же приведены ссылки на нее.

Кроме того, должно быть описано взаимодействие между аппаратными средствами и программным обеспечением.

Примечание - Следует уделить особое внимание следующим конкретным вопросам:

- зависимости между аппаратными средствами и программным обеспечением;

- последовательности взаимодействий;

- временам реакции;

- процедурам самопроверки;

- контролю общего состояния объекта;

- способам сбора данных;

- неопасному ухудшению параметров;

- методам исключения перехода в опасное состояние.

А.3 Влияние неисправностей

В данном разделе должна быть рассмотрена способность объекта ЖТ продолжать удовлетворять заданным требованиям безопасности при возникновении случайных неисправностей аппаратных средств и, насколько это практически возможно, систематических неисправностей.

В подразделах А.3.1-А.3.6 подробно рассмотрены следующие аспекты:

- влияние одиночных неисправностей;

- независимость составных частей объекта;

- обнаружение одиночных неисправностей;

- действия при обнаружении неисправности (включая сохранение безопасного состояния);

- влияние множественных неисправностей;

- защита от систематических неисправностей.

А.3.1 Влияние одиночных неисправностей

Необходимо обеспечить, чтобы объект ЖТ оставался на допустимом уровне риска в случае возникновения одиночной случайной неисправности. Необходимо обеспечить, чтобы объекты ЖТ УПБ 3 и УПБ 4 оставались в безопасном состоянии в случае возникновения любого рода одиночной случайной неисправности аппаратных средств, считающейся возможной. Неисправностями, влияние которых при демонстрации будет незначительным, можно пренебречь. Этот принцип, известный под названием "отказоустойчивость", может быть реализован несколькими разными способами:

- отказоустойчивость при параллельной работы#

- реактивная отказоустойчивость

- собственная отказоустойчивость

А.3.1.1 Отказоустойчивость при параллельной работы#

Данный способ основан на том, что каждая функция, связанная с обеспечением безопасности, выполняется как минимум двумя объектами ЖТ. Во избежание возникновения отказов по общей причине каждый из этих объектов ЖТ должен быть независимым от всех других. Выполнение действий (операций), не являющихся запрещающими, разрешается продолжать только при совпадении выходных сигналов от необходимого числа объектов ЖТ. Опасная неисправность в одном объекте ЖТ должна быть обнаружена и нейтрализована за время, позволяющее не допустить совпадающей неисправности во втором объекте ЖТ.

А.3.1.2 Реактивная отказоустойчивость

Данный способ позволяет осуществлять выполнение функции, связанной с обеспечением безопасности, одним объектом ЖТ, при условии, что безопасность его функционирования обеспечивается быстрым обнаружением и нейтрализацией любой опасной неисправности (например, с применением кодирования, параллельных вычислений со сравнением или непрерывной проверки). Хотя фактически функция, связанная с обеспечением безопасности, выполняется одним объектом ЖТ, функцию проверки, испытания и обнаружения можно считать как бы "вторым объектом ЖТ", который должен быть независимым, чтобы исключить возникновение отказов по общей причине.

А.3.1.3 Собственная отказоустойчивость

Данный способ позволяет осуществлять выполнение функции, связанной с обеспечением безопасности, одним объектом ЖТ, при условии, что все вероятные виды отказов данного объекта ЖТ являются неопасными. Возможность объявить невероятным любой вид отказа (например, вследствие определенных внутренних физических свойств), в обязательном порядке должна быть обоснована. Принцип собственной отказоустойчивости также может быть использован для некоторых функций в объектах ЖТ, в которых применяют принципы отказоустойчивости при параллельной работе и реактивной отказоустойчивости, например, для обеспечения независимости между объектами ЖТ или принудительного отключения объекта ЖТ при обнаружении опасной неисправности.

Независимо от того, какой использован способ или комбинация способов, с помощью соответствующих методов структурного анализа должна быть продемонстрирована гарантия того, что ни один вид одиночного случайного отказа компонента аппаратуры не является опасным. Виды отказов компонентов, подлежащие анализу, должны быть идентифицированы.

Примечание - Следует применять метод анализа отказов "сверху вниз", например, анализ дерева неисправностей (FTA) по ГОСТ Р 51901.13. При необходимости его следует подкрепить методом "снизу вверх", например, анализом видов и последствий отказов (FMEA) по ГОСТ Р 51901.12.

Анализ отказов обязательно должен быть качественным; он может быть также количественным, если доступны достаточно достоверные данные. Интенсивности случайных отказов аппаратуры и вероятности отказов компонентов должны по возможности быть основаны на эксплуатационных данных. В анализе должно быть обосновано распределение общей интенсивности отказов компонента между видами его отказов.

А.3.2 Независимость составных частей объекта

А.З.2.1 В объектах ЖТ, содержащих более одной составной части, одновременное неправильное действие которых может быть опасным, независимость между составными частями объекта ЖТ является обязательным предварительным условием для рассмотрения одиночных неисправностей с точки зрения безопасности. Для обеспечения такой независимости должны быть выполнены соответствующие правила и руководящие указания. В обязательном порядке должна быть обеспечена эффективность мер, принимаемых в течение всего жизненного цикла объекта ЖТ. Кроме того, проектирование объекта ЖТ или его составной части должно быть осуществлено таким образом, чтобы свести к минимуму потенциально опасные последствия потери независимости, вызванные, например, систематической неисправностью вследствие ошибки при проектировании, если таковая вообще возможна.

А.3.2.2 Различные типы влияний в объекте ЖТ, состоящем, например, из двух рабочих составных частей, представлены на рисунке А.1. Этот рисунок можно отнести и к объектам ЖТ, состоящим более чем из двух рабочих составных частей.

А.3.2.3 Потеря независимости может иметь место вследствие следующих типов влияний:

- Тип А: Внутренние физические влияния

- Тип Б: Внутренние функциональные влияния

- Тип В: Внешние физические влияния

- Тип Г: Внешние функциональные влияния

А.3.2.4 Тип А: Внутренние физические влияния

При отсутствии физических связей между внутренними составными частями объекта ЖТ как физические, так и функциональные влияния невозможны. Таким образом, обеспечивается внутренняя независимость.

Примечание - Физическая связь представляет собой любую передающую среду между составными частями объекта ЖТ, например:

- гальваническая связь;

- электромагнитная связь.

Для исключения непреднамеренных внутренних физических влияний должны быть приняты соответствующие меры.

А.3.2.5 Тип Б: Внутренние функциональные влияния

Функциональное влияние между составными частями объекта ЖТ основано на физической связи. Для исключения внутренних функциональных влияний должны быть приняты меры. Это должно быть обеспечено путем создания внутренней функциональной независимости (защиты от влияний типа Б).

Примечание - Внутренние функциональные влияния приводят к воздействию ошибочной информации, появившейся в одной составной части объекта ЖТ, на другую составную часть объекта ЖТ, что является опасным.

А.3.2.6 Тип В: Внешние физические влияния

Внешнее физическое влияние может вызвать потерю физической независимости между составными частями объекта ЖТ.

Примечание - Внешнее физическое влияние может иметь место, например, вследствие:

- воздействий со стороны окружающей среды, в т.ч. электромагнитных помех, электростатических разрядов, климатических, механических и химических воздействий;

- воздействий через цепи электропитания;

- воздействий через внешние входы и выходы.

Для исключения непреднамеренных внешних физических влияний должны быть приняты соответствующие меры. Раздел А.4 содержит требования к внешним влияниям, которые должны быть приняты во внимание.

А.3.2.7 Тип Г: Внешние функциональные влияния

Внешнее функциональное влияние может вызвать потерю функциональной независимости между составными частями объекта ЖТ. Для исключения внешних функциональных влияний должны быть приняты меры. Это должно быть обеспечено путем создания внешней функциональной независимости (защиты от влияний типа Г).

Примечание - Внешние функциональные влияния приводят к воздействию ошибочной информации от внешнего источника на объект ЖТ, что является опасным.

А.3.3 Обнаружение одиночных неисправностей

Первая (одиночная) неисправность, которая может быть опасной или сама по себе, или в сочетании со второй неисправностью, в обязательном порядке должна быть обнаружена, в результате чего должен произойти принудительный переход в безопасное состояние в течение достаточно короткого времени, чтобы выполнить заданный количественный показатель безопасности. Демонстрация этого должна быть обеспечена комбинацией анализа видов и последствий отказов (FMEA) и количественной оценки полноты безопасности в отношении случайных отказов.

В случае применения отказоустойчивости при параллельной работе, это требование означает, что первая неисправность должна быть обнаружена с последующим принудительным переходом в безопасное состояние в течение достаточно короткого времени, чтобы можно было гарантировать, что риск возникновения второй неисправности за время обнаружения и нейтрализации первой неисправности будет меньше, чем заданный вероятностный показатель.

В случае применения реактивной отказоустойчивости это требование означает, что максимальное суммарное время обнаружения и нейтрализации неисправности не должно превышать заданного предельного значения длительности потенциально опасного переходного состояния.

Указанные требования для отказоустойчивости при параллельной работе и реактивной отказоустойчивости представлены на рисунке А.2.

Должны быть описаны способы, используемые для обнаружения и нейтрализации выявленных неисправностей в течение допустимого времени, что должно быть подтверждено расчетами. Должны быть указаны источники основных данных об интенсивности отказов, использованные для расчетов (например, интенсивности отказов компонентов аппаратуры), и представлено четкое пояснение метода количественного анализа.

Примечание - Время обнаружения неисправности представляет собой интервал времени проверки в случае обнаружения неисправности самим оборудованием (аппаратурой), или же интервал технического обслуживания в случае обнаружения неисправности персоналом. В предельном случае этот интервал равен сроку службы установленного объекта ЖТ. При хранении оборудования (аппаратуры) на складе этот интервал равен промежутку времени между периодическими испытаниями, проводимыми персоналом технического обслуживания.

А.3.4 Действия при обнаружении неисправности (включая сохранение безопасного состояния)

После обнаружения первой неисправности объект ЖТ должен перейти в безопасное состояние или остаться в нем. Безопасное состояние в общем случае (но не обязательно) является более запрещающим. Переход в безопасное состояние должен происходить в течение достаточно короткого времени, чтобы выполнить заданный показатель безопасности.

Примечание - Время нейтрализации неисправности обычно представляет собой время, необходимое для автоматического или ручного отключения соответствующей части объекта ЖТ.

Указанные требования приведены на рисунке А.2.

После обнаружения первой неисправности и перехода в безопасное состояние последующие неисправности не должны выводить объект ЖТ из безопасного состояния. Вывод объекта ЖТ из запрещающего безопасного состояния должен быть осуществлен только контролируемым образом, как часть процедуры восстановления работоспособности.

В случае возникновения последующих неисправностей в течение допустимого времени ожидания восстановления (ремонта) после возникновения первой неисправности объект ЖТ должен оставаться в безопасном состоянии. Допустимое время ожидания восстановления (ремонта) должно быть достаточно коротким, чтобы выполнить заданный показатель безопасности.

А.3.5 Влияние множественных неисправностей

Множественная неисправность (например, двойная или тройная), которая может быть опасной или сама по себе, или в комбинации с последующей неисправностью, в обязательном порядке должна быть обнаружена, в результате чего должен произойти принудительный переход в безопасное состояние (то есть нейтрализация) в течение достаточно короткого времени, чтобы выполнить заданный показатель безопасности. Для демонстрации результатов множественных неисправностей должен быть применен подходящий метод, например, анализ дерева отказов. Должны быть описаны способы обеспечения обнаружения и нейтрализации множественных неисправностей в течение допустимого времени, что должно быть подтверждено расчетами.

Анализ отказа по общей причине должен быть выполнен, чтобы предоставить гарантии того, что множественная неисправность может возникнуть только при совокупности случайных одиночных неисправностей, а не как результат неисправности по общей причине.

А.3.6 Защита от систематических неисправностей

В дополнение к методам управления качеством и безопасностью, используемым для сведения к минимуму вероятности ошибки человека (см. разделы 8.2 и 8.3), должны быть приняты технические меры, которые, в случае наличия опасной систематической неисправности, могли бы, насколько это практически возможно, предотвратить возникновение неприемлемого риска.

Пример - Архитектура объекта ЖТ в целом может быть сконфигурирована таким образом, чтобы даже в случае опасного отказа его составных частей, разработанных как безопасные, возникновение аварии все же оставалось бы практически невероятным.

А.4 Функционирование при внешних воздействиях

В данном разделе рассматривается способность объекта ЖТ обеспечивать правильное и безопасное функционирование при наличии заданных внешних воздействий. Под "правильным функционированием" понимается выполнение, как эксплуатационных требований, так и требований безопасности к объекту ЖТ.

Насколько это практически возможно, объекты ЖТ, связанные с обеспечением безопасности, следует проектировать таким образом, чтобы они оставались безопасными, даже если внешние воздействия выходят за установленные пределы.

Подлежать учету должны следующие воздействия, указанные в подразделах А.4.1-А.4.7:

- климатические условия;

- условия механических воздействий;

- высота;

- условия электрических воздействий (на стационарных объектах);

- условия электрических воздействий (на подвижном составе);

- защита от несанкционированного доступа;

- особо тяжелые условия.

Кроме этого воздействия должны быть учтены с точки зрения оценки влияния при хранении и транспортировке.

А.4.1 Климатические условия

Должно быть гарантировано обеспечение безопасности объекта ЖТ при заданных климатических условиях окружающей среды.

Если заказчик предъявляет более строгие требования, чем те, которые может выполнить объект ЖТ, изготовитель может по согласованию с заказчиком применить дополнительные меры по климатизации, которые должны быть подробно описаны.

Примеры

1 вентиляция;

2 кондиционирование воздуха.

Во внимание должны быть приняты следующие климатические условия:

- температура (минимальная и максимальная);

- относительная влажность (минимальная и максимальная);

- температурные удары.

Объект ЖТ может находиться в следующих физических ситуациях:

- в здании с контролируемыми параметрами окружающей среды;

- в шкафу или помещении с неконтролируемыми параметрами окружающей среды;

- вне помещения (на пути);

- на подвижном составе;

- на складе (при хранении).

А.4.2 Условия механических воздействий

Должно быть гарантировано обеспечение безопасности при заданных условиях механических воздействий со стороны окружающей среды.

Во внимание должны быть приняты следующие условия механических воздействий:

- вибрация;

- удары;

- акустический шум.

Объект ЖТ может находиться в следующих физических ситуациях:

- на пути;

- около пути;

- на подвижном составе;

- в процессе транспортировки.

Если предусматривается специальная защита от какого-либо конкретного механического воздействия, то она должна быть подробно описана.

Примеры

1 защита от акустических воздействий;

2 демпфирование катастрофических вибраций.

А.4.3 Высота

Должно быть гарантировано обеспечение безопасности при использовании объекта ЖТ на фактически имеющей место высоте.

А.4.4 Условия электрических воздействий (на стационарных объектах)

Должно быть гарантировано обеспечение безопасности при заданных условиях внешних электрических воздействий.

Во внимание должны быть приняты следующие условия электрических воздействий:

а) электропитание:

1) источники переменного и постоянного тока;

2) колебания напряжения;

3) колебания частоты;

4) помехи;

5) гармоники;

б) электромагнитные помехи:

1) воздействующие на объект ЖТ (чувствительность к помехам);

2) создаваемые объектом ЖТ (излучение помех);

3) поступающие по проводным линиям и/или в виде излучений;

в) электростатические разряды.

Если предусматривается специальная защита от какого-либо конкретного механического воздействия, то она должна быть подробно описана.

Пример - экранирование для защиты от электромагнитных помех.

А.4.5 Условия электрических воздействий (на подвижном составе)

Должно быть гарантировано обеспечение безопасности в соответствии со стандартами, принятыми в ОАО "РЖД", при заданных условиях внешних электрических воздействий на подвижной состав.

А.4.6 Защита от несанкционированного доступа

А.4.6.1 Определение уровней доступа

Уровень доступа определяет круг лиц, имеющих право доступа, основания для доступа и каким образом его осуществлять, тем самым осуществляется защита от несанкционированного доступа. Для каждой из приведенных ниже операций лица, выполняющие соответствующие функции, должны удовлетворять определенным критериям, задаваемым в части:

- профессиональной дисциплины;

- профессионального уровня;

- обучения на конкретном оборудовании.

А.4.6.2 Защита

С учетом указанных выше уровней доступа в данном разделе должно быть определено, каким образом обеспечивается защита.

Мероприятия по защите должны предотвращать следующие виды доступа:

- неумышленный (ошибочный) доступ со стороны лиц, имеющих право доступа;

- умышленный доступ со стороны лиц, не имеющих права доступа.

А.4.6.3 Внешние условия

В данном разделе должно быть описано, каким образом должна быть обеспечена защита путем использования средств, являющихся дополнительными по отношению к оборудованию (т.е. не входящими в его состав).

Примеры

1 применение корпусов;

2 служба безопасности;

3 возможность доступа.

А.4.6.4 Механическая изоляция оборудования

В данном разделе должно быть описано, каким образом обеспечена защита реального оборудования.

Примеры

1 крышки;

2 крепления;

3 опечатывание;

4 электрическое кодирование;

5 механическое кодирование;

6 применение специализированного программного обеспечения;

7 применение устройств дистанционного визуального контроля.

А.4.7 Особо тяжелые условия

При необходимости должны быть приняты дополнительные более строгие условия, установленные ОАО "РЖД".

Примечание - Особо тяжелыми условиями могут быть:

а) конденсация влаги вследствие быстрых колебаний температуры окружающей среды;

б) сильное загрязнение воздуха

1) пыль;

2) дым;

3) пар;

4) едкие химикаты;

5) соль;

6) сероводород.

Виды загрязняющих веществ и их концентрации должны быть определены в технических требованиях:

в) для оборудования, устанавливаемого вне помещений для нестационарного оборудования:

1) мороз (минусовые температуры)

2) быстрые колебания температуры;

г) химические воздействия:

1) нефтепродукты;

2) органические элементы;

3) гербициды;

д) избыточное нагревание, например, огнем или солнечным излучением;

е) действие или вторжение растений, насекомых или животных;

ж) накопление грязи и пыли (проводящей и/или не проводящей);

з) более экстремальные температурные границы в ряде регионов.

А.5 Условия применения, связанные с обеспечением безопасности

В данном разделе должны быть заданы правила, условия и ограничения, являющиеся важными для обеспечения функциональной безопасности, которые должны быть соблюдены при применении объекта ЖТ.

Должны быть рассмотрены следующие общие вопросы:

- конфигурация программируемых систем с целью удовлетворения требованиям объектов конкретного назначения;

- профилактические меры при изготовлении, монтаже, испытаниях и приемке;

- правила и методы технического обслуживания и поиска неисправностей;

- инструкции по эксплуатации объекта ЖТ;

- предупреждения и профилактические меры в части безопасности;

- профилактические меры в области электромагнитной совместимости (в части как чувствительности к посторонним помехам, так и излучения собственных помех);

- информация, касающаяся модификаций и возможного вывода из эксплуатации;

- обоснования безопасности вспомогательного оборудования и средств, в т.ч. испытательной аппаратуры, аппаратуры для технического обслуживания и средств задания конфигурации.

В разделах А.5.1-А.5.3 приведен ряд конкретных вопросов, подлежащих включению в отчет.

А.5.1 Конфигурация составной части и структура объекта

А.5.1.1 Конфигурация

Если составная часть объекта ЖТ требует задания конфигурации для каждого конкретного применения, то обязательно должны быть определены какие-либо средства и/или процедуры задания конфигурации.

Примеры

1 процедурные методы;

2 контроль версии;

3 требования к аппаратуре системы задания конфигурации;

4 подробные требования к программному обеспечению системы задания конфигурации;

5 техническое обслуживание (сопровождение) программного обеспечения;

6 верификация и валидация;

7 моделирование.

А.5.1.2 Структура объекта

Данный документ должен содержать подробное описание, каким образом составные части включены в конкретный объект ЖТ.

Примеры:

1 настройки управления версиями;

2 настройки управления приложением;

3 настройки интерфейсов;

4 настройки параметров инициализации;

5 настройки параметров управления для технического обслуживания;

6 испытания в процессе изготовления и производства;

7 процедуры периодических (плановых) испытаний объекта ЖТ;

8 монтаж, испытания и ввод в эксплуатацию.

А.5.1.3 Изменение функциональных возможностей

Если составная часть объекта ЖТ разработана таким образом, что ее можно считать в значительной степени относящейся к изделиям общего назначения и использовать в объектах ЖТ для разных применений, то в документе должны быть описаны также способы задания вариантов конфигурации и параметров для этих применений. Любые ограничения и условия безопасного применения должны быть полностью указаны.

А.5.2 Эксплуатация и техническое обслуживание

А.5.2.1 Минимально необходимое техническое обслуживание, позволяющее обеспечить непрерывное, безопасное и правильное функционирование объекта ЖТ при заданных условиях окружающей среды должно быть документировано в форме Плана эксплуатации и технического обслуживания, который должен содержать следующие аспекты:

- рабочее состояние;

- уровни технического обслуживания;

- периодическое техническое обслуживание;

- вспомогательные средства для технического обслуживания.

А.5.2.2 Рабочее состояние

Должны быть определены условия, имеющие место в каждом объекте ЖТ, необходимые для достаточного понимания эксплуатационным персоналом и персоналом технического обслуживания действия оборудования в следующих ситуациях:

- запуск;

- нормальное функционирование;

- переключение на резерв;

- выключение объекта.

В разделе "Запуск" должно быть описано поведение при запуске объекта ЖТ при первом включении электропитания или при подаче электропитания после его отключения в связи с перерывом электроснабжения или по другой причине.

Примечание - В данном разделе следует определить, например:

- условия по умолчанию;

- период инициализации;

- выполняемые аппаратурой самопроверки;

- необходимое вмешательство для ручного управления;

- условия (состояния) на выходах;

- предупредительные меры на случай чрезвычайной ситуации, например, пожара или несанкционированного доступа.

В разделе "Нормальное функционирование" должны быть определены условия нормального функционирования объекта ЖТ после успешного завершения инициализации.

Примеры

1 длительности циклов;

2 периодические (плановые) процедуры, не связанные с данными;

3 обнаружение неисправностей.

Если объект ЖТ, в котором задана конфигурация, позволяет производить переключение на объект ЖТ, находящийся в ненагруженном или нагруженном резерве, то условия, определенные в пунктах А.5.2.2 и А.5.2.3, должны быть переформулированы применительно к процедуре переключения на резерв. Реакция оборудования на замену отказавших модулей также должна быть точно определена в разделе "Переключение на резерв".

Для случая преднамеренного выключения объекта ЖТ с целью изменения конфигурации, вывода из эксплуатации или же непреднамеренного выключения вследствие пропадания электропитания, должны быть определены все необходимые условия в разделе "Выключение объекта".

Примеры

1 условия по умолчанию;

2 условия неопасного ухудшения параметров;

3 аспекты безопасности;

4 процедуры;

5 влияния на другие объекты ЖТ, связанные с данным.

А.5.2.3 Уровни технического обслуживания должны быть определены в части:

- технического обслуживания первой очереди;

- технического обслуживания второй очереди, проводимого заказчиком;

- технического обслуживания второй очереди, проводимого изготовителем.

Примечание - К техническому обслуживанию "первой очереди" относят профилактическое техническое обслуживание, отыскание и устранение неисправностей, выполняемые на месте эксплуатации; к техническому обслуживанию "второй очереди" относят профилактическое техническое обслуживание и возможный ремонт в мастерских, т.е. вне места эксплуатации.

А.5.2.4 Периодическое техническое обслуживание

При описании требуемого периодического технического обслуживания должны быть рассмотрены все необходимые вопросы.

Примеры

1 обучение;

2 доступность;

3 модульность;

4 взаимозаменяемость;

5 наличие запасных частей;

6 хранение запасных частей.

А.5.2.5 Вспомогательные средства для технического обслуживания

Для каждого уровня технического обслуживания должны быть определены вспомогательные средства для технического обслуживания, предоставляемые в распоряжение персонала.

Примечание - Указанные вспомогательные средства должны обеспечивать:

- диагностику неисправностей;

- интерпретацию (расшифровку) сообщений о неисправностях;

- устранение неисправностей.

А.5.3 Мониторинг безопасности в процессе эксплуатации

На этапах эксплуатации и технического обслуживания жизненного цикла объекта ЖТ, качество функционирования должно контролироваться с целью убеждения в том, что функции, предусмотренные при проектировании, и выводы, сделанные при первичной оценке безопасности, остались в силе и при реальных обстоятельствах, имеющих место в процессе эксплуатации.

Примечание - Это должно включать, например:

- мониторинг эксплуатационных показателей объекта ЖТ, связанного с безопасностью, и сравнение с их прогнозируемыми значениями;

- мониторинг и оценку сообщений о неисправностях с целью выявления тенденций развития неисправностей или возможных опасных отказов, которые могут быть устранены, тем самым повышая уровень безопасности и надежности объекта ЖТ;

- исследование сообщений о неполадках и авариях с целью определения любых изменений, которые необходимо произвести для улучшения показателей безопасности объекта ЖТ.

А.5.4 Вывод из эксплуатации и утилизация

Технические профилактические мероприятия по обеспечению безопасности и процедуры, необходимые при возможном выводе объекта ЖТ из эксплуатации Должны # быть документированы. К этому вопросу относится возможное поэтапное введение новых объектов ЖТ взамен демонтируемого с сохранением нормальной эксплуатации железнодорожного транспорта.

В документе должны быть также предусмотрены соответствующие предупреждения и инструкции, касающиеся окончательного вывода из эксплуатации и утилизации объекта ЖТ.

А.6 Квалификационные испытания по безопасности

Данный раздел должен содержать доказательства, демонстрирующие успешное завершение квалификационных испытаний по безопасности объекта ЖТ, проводимых в условиях эксплуатации.

Цель этих испытаний следующая:

- получение большей уверенности в том, что объект ЖТ выполняет заданные эксплуатационные требования;

- получение большей уверенности в обеспечении заданных целевых показателей надежности и безопасности объекта ЖТ;

- проверка объекта ЖТ в условиях эксплуатации перед окончательной сертификацией по безопасности, при соблюдении необходимых мер предосторожности и контроля.

Примечание - Данные испытания только лишь предоставляют большую уверенность, но не являются единственным средством демонстрации безопасности объекта ЖТ.

А.6.1 Требования

Объем и длительность квалификационных испытаний по безопасности объекта ЖТ должны быть согласованы между изготовителем, заказчиком и органом по сертификации, при этом они должны быть обоснованы с учетом степени новизны и сложности, которыми обладает объект ЖТ.

В связи с тем, что по завершении квалификационных испытаний по безопасности объекта ЖТ их результаты включаются в состав Доказательства безопасности, в течение периода испытаний полная гарантия безопасности объекта ЖТ отсутствует. По этой причине должны быть приняты необходимые меры и проведены процедуры предосторожности, а также должен осуществляться мониторинг, с целью обеспечения безопасности железнодорожного транспорта в течение периода испытаний.

Квалификационные испытания по безопасности объекта ЖТ должны быть завершены до начала эксплуатации с возложением полной ответственности за безопасность.

Результаты испытаний должны быть документированы с указанием, когда объект ЖТ был введен в эксплуатацию, с пассажирами или без пассажиров, с мерами предосторожности или без таковых, и какой уровень разрешения использования объекта ЖТ (авторизации) получен для каждого этапа (временная эксплуатация или окончательная сертификация по безопасности).

А.6.2 Результаты

В данном разделе отчета по функциональной безопасности должен быть представлен полный отчет о квалификационных испытаниях по безопасности объекта ЖТ, включая полное описание проведенных испытаний и полученные результаты. Кроме того, должно быть приведено описание процедур, выполняемых техническим персоналом как часть процессов подтверждения соответствия и испытаний объекта ЖТ.

Примеры

1 процедуры;

2 испытательная аппаратура;

3 моделирующие устройства;

4 методы анализа.