PRACE NAUKOWE POLITECHNIKI WARSZAWSKIEJ z. 119 Transport 2017 Zbigniew Łukasik, Waldemar Nowakowski, Tomasz Ciszewski Uniwersytet Technologiczno-Humanistyczny im. Kazimierza Pułaskiego w Radomiu, Wydział Transportu i Elektrotechniki PROJEKTOWANIE SYSTEMÓW TCMS Z UWZGLĘDNIENIEM WYMOGÓW BEZPIECZEŃSTWA Rękopis dostarczono, październik 2016 Streszczenie: System sterowania i diagnostyki pojazdów szynowych TCMS (ang. Train Control and Monitoring System) jest rozproszonym systemem sterowania pojazdem szynowym, w skład którego wchodzi wiele modułów w tym sterowników programowalnych, interfejsów człowiek maszyna, analogowych i cyfrowych układów wejścia/wyjścia, połączonych za pomocą bezpiecznej sieci. Jedną z głównych zalet systemu TCMS jest integracja funkcji sterowania i diagnostyki oraz wizualizacja pracy systemu. Projektowanie tak rozbudowanego układu nie jest prostym procesem w szczególności jeśli uwzględni się wymogi bezpieczeństwa, jakie muszą być spełnione przez system TCMS, w tym głównie zalecenia zawarte w normach CENELEC. W artykule opisano analizę RAMS oraz metodę wyznaczenia poziomu nienaruszalności bezpieczeństwa SIL dla systemów TCMS. Opisano również metody poprawy niezawodności, naprawialności i bezpieczeństwa w całym cyklu życia systemu LCC (ang. Life Cycle Costing), ze szczególnym uwzględnieniem etapu projektowania. Słowa kluczowe: projektowanie systemów TCMS, RAMS, SIL 1. WSTĘP Systemy sterowania i diagnostyki pojazdów szynowych TCMS (ang. Train Control and Monitoring System) pozwalają na optymalizację sterowania napędem i kontrolę pracy układów pojazdu szynowego, przy wykorzystaniu nowoczesnych technologii elektronicznych i informatycznych. Projektując je należy jednak pamiętać, że są to systemy związane z bezpieczeństwem (ang. safety-critical systems) [5, 16]. Wymusza to konieczność spełnienia określonych wymogów wynikających z przepisów i norm dla realizacji funkcji bezpieczeństwa [14].
286 Zbigniew Łukasik, Waldemar Nowakowski, Tomasz Ciszewski 2. SYSTEM TCMS System TCMS zapewnia kompleksową i niezawodną obsługę nadzorowanego pojazdu szynowego, w tym głównie [9, 10]: sterowanie napędem elektrycznego pojazdu, sterowanie układami pomocniczymi (kontrola drzwi, sterowanie oświetleniem, ogrzewaniem, klimatyzacją, wentylacją), transmisja danych, diagnostyka pracy układów, rejestracja zdarzeń. Sterowanie napędem jest realizowane poprzez sterownik nadrzędny, którego zadaniem jest wypracowywanie sygnału momentu rozruchowego i hamującego dla napędu. Na pulpicie maszynisty znajdzie się m.in. panel sterowania, a także nastawnik jazdy i nastawnik hamulca (rys. 1). Zadawanie momentu rozruchowego podczas normalnej jazdy realizuje maszynista, przemieszczając dźwignię zadajnika jazdy [6]. Rys. 1. Przykładowy pulpit maszynisty systemu TCMS W systemach TCMS stosuje się nowoczesne sterowniki programowalne, co umożliwia zaimplementowanie szeregu funkcji dodatkowych tj.: diagnostyka systemu hamulca, diagnostyka drzwi automatycznych, diagnostyka ogrzewania pojazdu trakcyjnego oraz rejestracja parametrów pracy systemu [4, 12].
Projektowanie systemów TCMS z uwzględnieniem wymogów bezpieczeństwa 287 3. WYMOGI BEZPIECZEŃSTWA SYSTEMU TCMS System TCMS jest odpowiedzialny za kontrolę i nadzór nad praktycznie każdym podsystem zainstalowanym w pojeździe szynowym. Ocena bezpieczeństwa systemu TCMS jest więc ważnym procesem i powinna być przeprowadzona zgodnie z wymogami norm [3, 8, 11]. W 1998 roku Międzynarodowa Komisja Elektrotechniczna (International Electrotechnical Commission, IEC) opublikowała dokument IEC 61508, pt.: "Bezpieczeństwo funkcjonalne elektrycznych / elektronicznych / programowalnych systemów elektronicznych związanych z bezpieczeństwem". Niniejszy dokument określa standardy w zakresie bezpieczeństwa systemu dla sprzętu i oprogramowania oraz określa ogólne wymagania bezpieczeństwa funkcjonalnego. Poszczególne branże mają własne normy bazujące na IEC 61508, przy czym dla systemów kolejowych jest to norma IEC 62425. Odmienną grupę standardów dotyczących wymagań jakościowych i bezpieczeństwa w branży kolejowej stanowią normy CENELEC (Europejskiego Komitetu Normalizacyjnego Elektrotechniki) [7, 8]: EN-50155 Zastosowania kolejowe - Wyposażenie elektroniczne stosowane w taborze. EN-50126 Zastosowania kolejowe. Specyfikowanie i wykazywanie Nieuszkadzalności, Gotowości, Podatności na utrzymanie i Bezpieczeństwa (RAMS) Część 1: Wymagania podstawowe i procesy ogólnego przeznaczenia. EN-50128 Zastosowania kolejowe. Łączność sygnalizacja i systemy sterowania. Programy dla kolejowych systemów sterowania i zabezpieczenia. Norma EN 50128 jest zharmonizowana z dyrektywą dotyczącą transeuropejskiego systemu kolei dużych prędkości. Dotyczy ona głównie oprogramowania, wprowadza poziomy SWSIL (ang. Software Safety Integrity Level). EN-50129 Zastosowania kolejowe. Systemy łączności, przetwarzania danych i sterowania ruchem. Elektroniczne systemy sterowania ruchem związane z bezpieczeństwem. Norma EN 50129 obejmuje cykl życia bezpieczeństwa, zarządzanie bezpieczeństwem, przedstawia analizę uszkodzeń opartą o metodę FTA (ang. Fault Tree Analysis). Norma przyporządkowuje również poziomy SIL (ang. Safety Integrity Level). EN-50159 Zastosowania kolejowe. Systemy łączności, sterowania ruchem i przetwarzania danych. Łączność bezpieczna w systemach transmisyjnych. Norma EN-50159 definiuje podstawowe wymagania dotyczące osiągnięcia bezpiecznej łączności pomiędzy elementami systemów sterowania ruchem kolejowym pracującymi w zamkniętych i otwartych układach transmisyjnych. Zalecenia zawarte w normach CENELEC są wymaganiami podstawowymi, koniecznymi do uzyskania certyfikatu m.in. w procesie walidacji projektu i prac rozwojowych. Szczególne znaczenie w ocenie bezpieczeństwa systemu TCMS odgrywa norma EN-50155. W normie tej określono wymagania dotyczące całego wyposażenia elektronicznego do sterowania, regulacji, zabezpieczenia, zasilania itp., instalowanego w pojazdach szynowych (transformator, urządzenie potencjometryczne, zasilanie pomocnicze). Uwzględniono środowiskowe i elektryczne warunki eksploatacji, projektowanie,
288 Zbigniew Łukasik, Waldemar Nowakowski, Tomasz Ciszewski konstrukcję i badania wyposażenia elektronicznego, jak również podstawowe wymagania dotyczące sprzętu i oprogramowania, konieczne do uzyskania niezawodnego i bezpiecznego wyposażenia. Jednocześnie norma ta, w zakresie spełnienia wymogów bezpieczeństwa, odwołuje się do pozostałych norm CENELEC (EN-50126, EN-50128, EN-50129) [1]. 4. ANALIZA RAMS SYSTEMU TCMS Analiza RAMS (ang. Reliability, Availability, Maintainability, Safety) ściśle związana jest z normami CENELC, a szczególnie z normą EN-50126, w której zdefiniowano następujące kryteria oceny [13, 18]: 1. Niezawodność (ang. Reliability) - prawdopodobieństwo, że dany wyrób będzie wykonywał żądane funkcje w ustalonych warunkach przez określony czas: średni czas między awariami MTBF (ang. Mean Time Between Failures), średni czas do awarii MTTF (ang. Mean Time To Failure). 2. Dostępność (ang. Availability) - zdolność wyrobu do znajdowania się w stanie umożliwiającym wypełnienie wymaganych funkcji (wyrażona w procentach lub jako prawdopodobieństwo). 3. Naprawialność (ang. Maintainability) - prawdopodobieństwo przywrócenia sprawności obiektowi w określonym czasie: średni czas naprawy MTTR (ang. Mean Time To Repair), średni czas pomiędzy przeglądami MTBM (ang. Mean Time Between Maintenance), czas trwania przeglądu MTTM (ang. Mean Time to Maintenance), koszty obsługi, koszty utrzymania. 4. Bezpieczeństwo (ang. Safety) - brak nieakceptowalnego poziomu ryzyka. Problematyce analizy zagrożeń i analizy ryzyka, jako kombinacji prawdopodobieństwa i skutków określonego zdarzenia niebezpiecznego poświęcona jest norma EN-50129. Norma ta definiuje bezpieczeństwo jako brak niedopuszczalnego ryzyka. System uznaje się za bezpieczny, jeżeli ryzyko związane z działaniem systemu jest do przyjęcia. W normie EN-50129 przyjęto cztery poziomy nienaruszalności bezpieczeństwa SIL (ang. Safety Integrity Level). Najmniej restrykcyjne wymagania dotyczą poziomu SIL1, najbardziej SIL4 (tab. 1). Poziom SIL określany jest miarą liczby zadziałań do wystąpienia usterki/błędu definiowaną poprzez współczynnik tolerowanego zagrożenia THR (ang. Tolerable Hazard Rate). Wartość współczynnika THR wyznacza się na analitycznie. Dla systemów TCMS przyjmuje się SIL na poziomie 2. Zarządzanie ryzykiem CSM (ang. Common Safety Method), w ramach którego identyfikuje się zagrożenia oraz związane z nimi wymogi bezpieczeństwa jest zgodne z modelem V cyklu życia systemu (rys. 2). Lewa strona modelu V określana jest mianem tworzeniem systemu, zaś prawa ma związek z jego instalacją, odbiorem i eksploatacją.
Projektowanie systemów TCMS z uwzględnieniem wymogów bezpieczeństwa 289 Poziomy SIL Tablica 1 Współczynnik Tolerowanego Zagrożenia (THR) Poziom Nienaruszalności Bezpieczeństwa (SIL) 10-9 THR < 10-8 4 10-8 THR < 10-7 3 10-7 THR < 10-6 2 10-6 THR < 10-5 1 Rys. 2. Model V cyklu życia systemu [8] Wśród metod poprawy niezawodności na etapie projektowania wyróżnić można [2]: poprawne stosowanie elementów (wartości elektryczne, mechaniczne, środowiskowe, jakość elementów), odpowiednie marginesy wytrzymałości, zapobieganie niekorzystnym interakcjom, uwzględniając przedziały tolerancji, projektowanie nadmiarowych struktur niezawodnościowych, testy niezawodnościowe, uwzględnianie czynnika ludzkiego. Natomiast metodami poprawy naprawialności na etapie projektowania są: przyjazne rozwiązania konstrukcyjne budowa modułowa, unikanie nierozbieralnych konstrukcji, ergonomiczne rozwiązania, dobra diagnostyka, dobry dostęp do interfejsu diagnostycznego, zdefiniowanie czynności utrzymaniowych (dokumentacja utrzymaniowa, DTR), zdefiniowanie czynności naprawczych (dokumentacja serwisowa, DTR).
290 Zbigniew Łukasik, Waldemar Nowakowski, Tomasz Ciszewski Metody poprawy bezpieczeństwa występują na wszystkich etapach modelu V, przy czym można wyróżnić [15, 17]: analizę bezpieczeństwa (ang. safety analysis) metoda wymagana jest we wczesnym etapie rozwoju wyrobu do zidentyfikowania obszarów krytycznych dla bezpieczeństwa, unikanie błędów (ang. fault avoidance) metoda minimalizuje błędy projektowe i powinna być stosowane w trzech etapach modelu V : specyfikacji, projektowaniu i realizacji, wykrywanie błędów (ang. fault detection) metoda polega na identyfikacji błędów, a następnie ich usunięciu. Proces ten musi być tak przeprowadzony, aby nie wprowadzić więcej błędów. 5. PODSUMOWANIE System TCMS jest rozproszonym systemem sterowania pojazdem szynowym, w skład którego wchodzi wiele modułów w tym sterowników programowalnych, interfejsów człowiek maszyna, analogowych i cyfrowych układów wejścia/wyjścia, połączonych za pomocą bezpiecznej sieci. Jedną z głównych zalet systemu TCMS jest integracja funkcji sterowania i diagnostyki oraz wizualizacja pracy systemu. Projektowanie tak rozbudowanego układu nie jest prostym procesem, w szczególności jeśli uwzględni się wymogi bezpieczeństwa, jakie muszą być spełnione przez system TCMS, w tym głównie zalecenia zawarte w normach CENELEC. W artykule opisano analizę RAMS oraz metodę wyznaczenia poziomu nienaruszalności bezpieczeństwa SIL dla systemów TCMS. Opisano również metody poprawy niezawodności, naprawialności i bezpieczeństwa w całym cyklu życia systemu LCC, ze szczególnym uwzględnieniem etapu projektowania. Bibliografia 1. Boulanger J. L.: CENELEC 50128 and IEC 62279 Standards. ISTE Ltd and John Wiley & Sons, 2015. 2. Bozzano M., Villafiorita A.: Design and Safety Assessment of Critical Systems. CRC Press (Taylor and Francis), 2010. 3. Changyuan L., Xiaoming L., Panpan Y.: Train Control Management System Safety Assessment, Proceedings of the 2013 International Conference on Electrical and Information Technologies for Rail Transportation (EITRT2013)-Volume II, Lecture Notes in Electrical Engineering 288, pp 583-591, Springer-Verlag 2014, ISBN: 978-3-642-53750-9 (Print) 978-3-642-53751-6 (Online). 4. Ciszewski T., Nowakowski W., Wojciechowski J.: Symulator pulpitu maszynisty. Logistyka 4/2015, str. 2819-2824, ISSN 1231-5478. 5. Flammini F.: Railway Safety, Reliability, and Security: Technologies and Systems Engineering. IGI Global, 2012. 6. Kaska J., Łukasik Z., Nowakowski W., Wojciechowski J.: Nowoczesny układ sterowania asynchronicznego napędu trakcyjnego. Logistyka 6/2014, str. 5252-5257, ISSN 1231-5478.
Projektowanie systemów TCMS z uwzględnieniem wymogów bezpieczeństwa 291 7. Łukasik Z., Nowakowski W.: Wymiana informacji w systemach związanych z bezpieczeństwem. Logistyka 6/2008, ISSN 1231-5478. 8. Łukasik Z., Nowakowski W.: Zarządzanie bezpieczeństwem w transporcie kolejowym. Infrastruktura Transportu, nr 6/2013, str. 46-48, ISSN 1899-0622. 9. Łukasik Z., Nowakowski W., Ciszewski T.: Train Control and Monitoring System Simulator. Indian Journal of applied research (IJAR), Volume 4, Issue 12, December 2014, pp. 221-223, ISSN - 2249-555X, Impact Factor (2013): 2.1652, (DOI:10.15373/2249555X). 10. Łukasik Z. Nowakowski W., Kuśmińska-Fijałkowska A.: Asynchronous drive control of a traction vehicle using TCMS system. International Journal of Advanced Research in Engineering & technology (IJARET), Volume 6, Issue 2, February (2015), pp. 80-85, ISSN 0976-6480 (Print), ISSN 0976-6499 (Online). 11. Łukasik Z., Nowakowski W., Kuśmińska-Fijałkowska A.: Zarządzanie bezpieczeństwem infrastruktury krytycznej, Logistyka 4/2014, str. 758-763, ISSN 1231-5478. 12. Łukasik Z., Nowakowski W., Wojciechowski J.: Wyposażenie laboratorium systemów sterowania i diagnostyki pojazdów szynowych w symulator pulpitu maszynisty. Logistyka 6/2014, str. 6917 6921, ISSN 1231-5478. 13. Nowakowski W., Łukasik Z., Kuśmińska-Fijałkowska A.: Analiza RAMS i LCC systemów sterowania ruchem kolejowym. Logistyka 4/2015, str. 5075-5079, ISSN 1231-5478. 14. Pniewski, R., Kornaszewski, M., Chrzan, M.: Safety of electronic ATC systems in the aspect of technical and operational. Proceedings of the 16th International Scientific Conference Globalization and its Socio-Economic Consequences, Part IV, pp. 1729-1735, 2016. 15. Rausand M.: Reliability of Safety-Critical Systems: Theory and Applications. John Wiley & Sons, 2014. 16. Schnieder E., Tarnai G. (eds.): Formal Methods for Automation and Safety in Railway and Automotive Systems. Springer-Verlag Berlin Heidelberg, 2011. 17. Smith D. J.: Reliability, Maintainability and Risk: Practical methods for engineers. Elsevier, 2011. 18. Tang L.: Reliability assessments of railway signaling systems: A comparison and evaluation of approaches. Norwegian University of Science and Technology, 2015. DESIGN OF TCMS SYSTEMS INCLUDING SAFETY REQUIREMENTS Summary: Train Control and Monitoring System (TCMS) is a distributed rail vehicle control system, which includes a number of modules including programmable controllers, human-machine interfaces, analog and digital input/output systems connected via a secure network. One of the main advantages of TCMS is the integration of control and diagnostic functions with visualization of the system. Designing such a complicated system cannot be a simple process, particularly when taking into account the safety requirements which must be fulfilled by the TCMS system, mainly the recommendations contained in the CENELEC standards. In the article the RAMS analysis and the method of determining the safety integrity level (SIL) for TCMS systems were described. The methods to improve the reliability, maintainability and safety throughout the system life cycle (LCC) with particular emphasis on the design stage were also described. Keywords: TCMS design, RAMS, SIL