Projektowanie systemów TCMS z uwzględnieniem wymogów bezpieczeństwa Design of TCMS systems including safety requirements

Zbigniew Łukasik, Waldemar Nowakowski, Tomasz Ciszewski

Uniwersytet Technologiczno-Humanistyczny im. Kazimierza Pułaskiego w Radomiu, Wydział Transportu i Elektrotechniki

PROJEKTOWANIE SYSTEMÓW TCMS

Z UWZGLĘDNIENIEM WYMOGÓW

BEZPIECZEŃSTWA

Rękopis dostarczono, październik 2016

Streszczenie: System sterowania i diagnostyki pojazdów szynowych TCMS (ang. Train Control and

Monitoring System) jest rozproszonym systemem sterowania pojazdem szynowym, w skład którego

wchodzi wiele modułów w tym sterowników programowalnych, interfejsów człowiek maszyna, ana-logowych i cyfrowych układów wejścia/wyjścia, połączonych za pomocą bezpiecznej sieci. Jedną z głównych zalet systemu TCMS jest integracja funkcji sterowania i diagnostyki oraz wizualizacja pracy systemu. Projektowanie tak rozbudowanego układu nie jest prostym procesem w szczególności jeśli uwzględni się wymogi bezpieczeństwa, jakie muszą być spełnione przez system TCMS, w tym głównie zalecenia zawarte w normach CENELEC. W artykule opisano analizę RAMS oraz metodę wyznaczenia poziomu nienaruszalności bezpieczeństwa SIL dla systemów TCMS. Opisano również metody poprawy niezawodności, naprawialności i bezpieczeństwa w całym cyklu życia systemu LCC (ang. Life Cycle Costing), ze szczególnym uwzględnieniem etapu projektowania.

Słowa kluczowe: projektowanie systemów TCMS, RAMS, SIL

1. WSTĘP

Systemy sterowania i diagnostyki pojazdów szynowych TCMS (ang. Train Control and

Monitoring System) pozwalają na optymalizację sterowania napędem i kontrolę pracy

układów pojazdu szynowego, przy wykorzystaniu nowoczesnych technologii elektronicz-nych i informatyczelektronicz-nych. Projektując je należy jednak pamiętać, że są to systemy związane z bezpieczeństwem (ang. safety-critical systems) [5, 16]. Wymusza to konieczność speł-nienia określonych wymogów wynikających z przepisów i norm dla realizacji funkcji bez-pieczeństwa [14].

2. SYSTEM TCMS

System TCMS zapewnia kompleksową i niezawodną obsługę nadzorowanego pojazdu szynowego, w tym głównie [9, 10]:

 sterowanie napędem elektrycznego pojazdu,

 sterowanie układami pomocniczymi (kontrola drzwi, sterowanie oświetleniem, ogrzewaniem, klimatyzacją, wentylacją),

 transmisja danych,

 diagnostyka pracy układów,  rejestracja zdarzeń.

Sterowanie napędem jest realizowane poprzez sterownik nadrzędny, którego zadaniem jest wypracowywanie sygnału momentu rozruchowego i hamującego dla napędu. Na pul-picie maszynisty znajdzie się m.in. panel sterowania, a także nastawnik jazdy i nastawnik hamulca (rys. 1). Zadawanie momentu rozruchowego podczas normalnej jazdy realizuje maszynista, przemieszczając dźwignię zadajnika jazdy [6].

Rys. 1. Przykładowy pulpit maszynisty systemu TCMS

W systemach TCMS stosuje się nowoczesne sterowniki programowalne, co umożliwia zaimplementowanie szeregu funkcji dodatkowych tj.: diagnostyka systemu hamulca, dia-gnostyka drzwi automatycznych, diadia-gnostyka ogrzewania pojazdu trakcyjnego oraz reje-stracja parametrów pracy systemu [4, 12].

3. WYMOGI BEZPIECZEŃSTWA SYSTEMU TCMS

System TCMS jest odpowiedzialny za kontrolę i nadzór nad praktycznie każdym podsys-tem zainstalowanym w pojeździe szynowym. Ocena bezpieczeństwa syspodsys-temu TCMS jest więc ważnym procesem i powinna być przeprowadzona zgodnie z wymogami norm [3, 8, 11].

W 1998 roku Międzynarodowa Komisja Elektrotechniczna (International

Electrotech-nical Commission, IEC) opublikowała dokument IEC 61508, pt.: "Bezpieczeństwo

funk-cjonalne elektrycznych / elektronicznych / programowalnych systemów elektronicznych związanych z bezpieczeństwem". Niniejszy dokument określa standardy w zakresie pieczeństwa systemu dla sprzętu i oprogramowania oraz określa ogólne wymagania bez-pieczeństwa funkcjonalnego. Poszczególne branże mają własne normy bazujące na IEC 61508, przy czym dla systemów kolejowych jest to norma IEC 62425. Odmienną grupę standardów dotyczących wymagań jakościowych i bezpieczeństwa w branży kolejowej stanowią normy CENELEC (Europejskiego Komitetu Normalizacyjnego Elektrotechniki) [7, 8]:

 EN-50155 Zastosowania kolejowe - Wyposażenie elektroniczne stosowane w taborze.

 EN-50126 Zastosowania kolejowe. Specyfikowanie i wykazywanie Nieuszkadzalno-ści, GotowoNieuszkadzalno-ści, Podatności na utrzymanie i Bezpieczeństwa (RAMS) – Część 1: Wymagania podstawowe i procesy ogólnego przeznaczenia.

 EN-50128 Zastosowania kolejowe. Łączność sygnalizacja i systemy sterowania. Programy dla kolejowych systemów sterowania i zabezpieczenia. Norma EN 50128 jest zharmonizowana z dyrektywą dotyczącą transeuropejskiego systemu kolei du-żych prędkości. Dotyczy ona głównie oprogramowania, wprowadza poziomy SWSIL (ang. Software Safety Integrity Level).

 EN-50129 Zastosowania kolejowe. Systemy łączności, przetwarzania danych i sterowania ruchem. Elektroniczne systemy sterowania ruchem związane z bezpieczeństwem.

 Norma EN 50129 obejmuje cykl życia bezpieczeństwa, zarządzanie bezpieczeń-stwem, przedstawia analizę uszkodzeń opartą o metodę FTA (ang. Fault Tree

Analy-sis). Norma przyporządkowuje również poziomy SIL (ang. Safety Integrity Level).

 EN-50159 Zastosowania kolejowe. Systemy łączności, sterowania ruchem i przetwarzania danych. Łączność bezpieczna w systemach transmisyjnych. Norma EN-50159 definiuje podstawowe wymagania dotyczące osiągnięcia bezpiecznej łączności pomiędzy elementami systemów sterowania ruchem kolejowym pracują-cymi w zamkniętych i otwartych układach transmisyjnych.

Zalecenia zawarte w normach CENELEC są wymaganiami podstawowymi, koniecz-nymi do uzyskania certyfikatu m.in. w procesie walidacji projektu i prac rozwojowych. Szczególne znaczenie w ocenie bezpieczeństwa systemu TCMS odgrywa norma EN-50155. W normie tej określono wymagania dotyczące całego wyposażenia elektro-nicznego do sterowania, regulacji, zabezpieczenia, zasilania itp., instalowanego w pojazdach szynowych (transformator, urządzenie potencjometryczne, zasilanie pomoc-nicze). Uwzględniono środowiskowe i elektryczne warunki eksploatacji, projektowanie,

konstrukcję i badania wyposażenia elektronicznego, jak również podstawowe wymagania dotyczące sprzętu i oprogramowania, konieczne do uzyskania niezawodnego i bezpieczne-go wyposażenia. Jednocześnie norma ta, w zakresie spełnienia wymogów bezpieczeństwa, odwołuje się do pozostałych norm CENELEC (EN-50126, EN-50128, EN-50129) [1].

4. ANALIZA RAMS SYSTEMU TCMS

Analiza RAMS (ang. Reliability, Availability, Maintainability, Safety) ściśle związana jest z normami CENELC, a szczególnie z normą EN-50126, w której zdefiniowano następują-ce kryteria onastępują-ceny [13, 18]:

1. Niezawodność (ang. Reliability) - prawdopodobieństwo, że dany wyrób będzie wy-konywał żądane funkcje w ustalonych warunkach przez określony czas:

 średni czas między awariami MTBF (ang. Mean Time Between Failures),  średni czas do awarii MTTF (ang. Mean Time To Failure).

2. Dostępność (ang. Availability) - zdolność wyrobu do znajdowania się w stanie umożliwiającym wypełnienie wymaganych funkcji (wyrażona w procentach lub jako prawdopodobieństwo).

3. Naprawialność (ang. Maintainability) - prawdopodobieństwo przywrócenia sprawno-ści obiektowi w określonym czasie:

 średni czas naprawy MTTR (ang. Mean Time To Repair),

 średni czas pomiędzy przeglądami MTBM (ang. Mean Time Between

Maintenan-ce),

 czas trwania przeglądu MTTM (ang. Mean Time to Maintenance),  koszty obsługi,

 koszty utrzymania.

4. Bezpieczeństwo (ang. Safety) - brak nieakceptowalnego poziomu ryzyka.

Problematyce analizy zagrożeń i analizy ryzyka, jako kombinacji prawdopodobieństwa i skutków określonego zdarzenia niebezpiecznego poświęcona jest norma EN-50129. Norma ta definiuje bezpieczeństwo jako brak niedopuszczalnego ryzyka. System uznaje się za bezpieczny, jeżeli ryzyko związane z działaniem systemu jest do przyjęcia. W normie EN-50129 przyjęto cztery poziomy nienaruszalności bezpieczeństwa SIL (ang. Safety Integrity Level). Najmniej restrykcyjne wymagania dotyczą poziomu SIL1, najbardziej SIL4 (tab. 1). Poziom SIL określany jest miarą liczby zadziałań do wystąpienia usterki/błędu definiowaną poprzez współczynnik tolerowanego zagrożenia THR (ang. Tolerable Hazard Rate). Wartość współczynnika THR wyznacza się na analitycznie. Dla systemów TCMS przyjmuje się SIL na poziomie 2.

Zarządzanie ryzykiem CSM (ang. Common Safety Method), w ramach którego identyfi-kuje się zagrożenia oraz związane z nimi wymogi bezpieczeństwa jest zgodne z modelem „V” cyklu życia systemu (rys. 2). Lewa strona modelu „V” określana jest mianem tworze-niem systemu, zaś prawa ma związek z jego instalacją, odbiorem i eksploatacją.

Tablica 1

Poziomy SIL

Współczynnik Tolerowanego Zagrożenia (THR)

Poziom Nienaruszalności Bezpieczeństwa (SIL)

10-9 _{≤ THR < 10}-8 ₄

10-8 _{≤ THR < 10}-7 ₃

10-7 _{≤ THR < 10}-6 ₂

10-6 _{≤ THR < 10}-5 ₁

Rys. 2. Model „V” cyklu życia systemu [8]

Wśród metod poprawy niezawodności na etapie projektowania wyróżnić można [2]:  poprawne stosowanie elementów (wartości elektryczne, mechaniczne,

środowisko-we, jakość elementów),

 odpowiednie marginesy wytrzymałości,

 zapobieganie niekorzystnym interakcjom, uwzględniając przedziały tolerancji,  projektowanie nadmiarowych struktur niezawodnościowych,

 testy niezawodnościowe,

 uwzględnianie czynnika ludzkiego.

Natomiast metodami poprawy naprawialności na etapie projektowania są:

 „przyjazne” rozwiązania konstrukcyjne – budowa modułowa, unikanie nierozbieral-nych konstrukcji, ergonomiczne rozwiązania,

 dobra diagnostyka, dobry dostęp do interfejsu diagnostycznego,

 zdefiniowanie czynności utrzymaniowych (dokumentacja utrzymaniowa, DTR),  zdefiniowanie czynności naprawczych (dokumentacja serwisowa, DTR).

Metody poprawy bezpieczeństwa występują na wszystkich etapach modelu „V”, przy czym można wyróżnić [15, 17]:

 analizę bezpieczeństwa (ang. safety analysis) –metoda wymagana jest we wczesnym etapie rozwoju wyrobu do zidentyfikowania obszarów krytycznych dla bezpieczeń-stwa,

 unikanie błędów (ang. fault avoidance) –metoda minimalizuje błędy projektowe i powinna być stosowane w trzech etapach modelu „V”: specyfikacji, projektowaniu i realizacji,

 wykrywanie błędów (ang. fault detection) –metoda polega na identyfikacji błędów, a następnie ich usunięciu. Proces ten musi być tak przeprowadzony, aby nie wpro-wadzić więcej błędów.

5. PODSUMOWANIE

System TCMS jest rozproszonym systemem sterowania pojazdem szynowym, w skład którego wchodzi wiele modułów w tym sterowników programowalnych, interfejsów czło-wiek maszyna, analogowych i cyfrowych układów wejścia/wyjścia, połączonych za pomo-cą bezpiecznej sieci. Jedną z głównych zalet systemu TCMS jest integracja funkcji stero-wania i diagnostyki oraz wizualizacja pracy systemu. Projektowanie tak rozbudowanego układu nie jest prostym procesem, w szczególności jeśli uwzględni się wymogi bezpie-czeństwa, jakie muszą być spełnione przez system TCMS, w tym głównie zalecenia zawar-te w normach CENELEC. W artykule opisano analizę RAMS oraz metodę wyznaczenia poziomu nienaruszalności bezpieczeństwa SIL dla systemów TCMS. Opisano również metody poprawy niezawodności, naprawialności i bezpieczeństwa w całym cyklu życia systemu LCC, ze szczególnym uwzględnieniem etapu projektowania.

Bibliografia

1. Boulanger J. L.: CENELEC 50128 and IEC 62279 Standards. ISTE Ltd and John Wiley & Sons, 2015. 2. Bozzano M., Villafiorita A.: Design and Safety Assessment of Critical Systems. CRC Press (Taylor and

Francis), 2010.

3. Changyuan L., Xiaoming L., Panpan Y.: Train Control Management System Safety Assessment, Pro-ceedings of the 2013 International Conference on Electrical and Information Technologies for Rail Transportation (EITRT2013)-Volume II, Lecture Notes in Electrical Engineering 288, pp 583-591, Springer-Verlag 2014, ISBN: 978-3-642-53750-9 (Print) 978-3-642-53751-6 (Online).

4. Ciszewski T., Nowakowski W., Wojciechowski J.: Symulator pulpitu maszynisty. Logistyka 4/2015, str. 2819-2824, ISSN 1231-5478.

5. Flammini F.: Railway Safety, Reliability, and Security: Technologies and Systems Engineering. IGI Global, 2012.

6. Kaska J., Łukasik Z., Nowakowski W., Wojciechowski J.: Nowoczesny układ sterowania asynchronicz-nego napędu trakcyjasynchronicz-nego. Logistyka 6/2014, str. 5252-5257, ISSN 1231-5478.

7. Łukasik Z., Nowakowski W.: Wymiana informacji w systemach związanych z bezpieczeństwem. Logi-styka 6/2008, ISSN 1231-5478.

8. Łukasik Z., Nowakowski W.: Zarządzanie bezpieczeństwem w transporcie kolejowym. Infrastruktura Transportu, nr 6/2013, str. 46-48, ISSN 1899-0622.

9. Łukasik Z., Nowakowski W., Ciszewski T.: Train Control and Monitoring System Simulator. Indian Journal of applied research (IJAR), Volume 4, Issue 12, December 2014, pp. 221-223, ISSN - 2249-555X, Impact Factor (2013): 2.1652, (DOI:10.15373/2249555X).

10. Łukasik Z. Nowakowski W., Kuśmińska-Fijałkowska A.: Asynchronous drive control of a traction vehi-cle using TCMS system. International Journal of Advanced Research in Engineering & technology (IJARET), Volume 6, Issue 2, February (2015), pp. 80-85, ISSN 0976 - 6480 (Print), ISSN 0976 - 6499 (Online).

11. Łukasik Z., Nowakowski W., Kuśmińska-Fijałkowska A.: Zarządzanie bezpieczeństwem infrastruktury krytycznej, Logistyka 4/2014, str. 758-763, ISSN 1231-5478.

12. Łukasik Z., Nowakowski W., Wojciechowski J.: Wyposażenie laboratorium systemów sterowania i diagnostyki pojazdów szynowych w symulator pulpitu maszynisty. Logistyka 6/2014, str. 69176921, ISSN 1231-5478.

13. Nowakowski W., Łukasik Z., Kuśmińska-Fijałkowska A.: Analiza RAMS i LCC systemów sterowania ruchem kolejowym. Logistyka 4/2015, str. 5075-5079, ISSN 1231-5478.

14. Pniewski, R., Kornaszewski, M., Chrzan, M.: Safety of electronic ATC systems in the aspect of tech-nical and operational. Proceedings of the 16th International Scientific Conference Globalization and its Socio-Economic Consequences, Part IV, pp. 1729-1735, 2016.

15. Rausand M.: Reliability of Safety-Critical Systems: Theory and Applications. John Wiley & Sons, 2014. 16. Schnieder E., Tarnai G. (eds.): Formal Methods for Automation and Safety in Railway and Automotive

Systems. Springer-Verlag Berlin Heidelberg, 2011.

17. Smith D. J.: Reliability, Maintainability and Risk: Practical methods for engineers. Elsevier, 2011. 18. Tang L.: Reliability assessments of railway signaling systems: A comparison and evaluation of

ap-proaches. Norwegian University of Science and Technology, 2015.

DESIGN OF TCMS SYSTEMS INCLUDING SAFETY REQUIREMENTS

Summary: Train Control and Monitoring System (TCMS) is a distributed rail vehicle control system, which

includes a number of modules including programmable controllers, human-machine interfaces, analog and digital input/output systems connected via a secure network. One of the main advantages of TCMS is the integration of control and diagnostic functions with visualization of the system. Designing such a complicated system cannot be a simple process, particularly when taking into account the safety require-ments which must be fulfilled by the TCMS system, mainly the recommendations contained in the CENELEC standards. In the article the RAMS analysis and the method of determining the safety integrity level (SIL) for TCMS systems were described. The methods to improve the reliability, maintainability and safety throughout the system life cycle (LCC) with particular emphasis on the design stage were also de-scribed.