ОАО "РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ"

УТВЕРЖДЕН
Распоряжением ОАО "РЖД"
от 13 декабря 2010 N 2570р

 

СТО РЖД 1.02.032-2010

СТАНДАРТ ОАО "РЖД"

Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН)

ДОКАЗАТЕЛЬСТВО БЕЗОПАСНОСТИ ОБЪЕКТОВ ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА

Дата введения - 2011-03-01

Предисловие

1 РАЗРАБОТАН Закрытым акционерным обществом "ИБТранс" (ЗАО "ИБТранс")
2 ВНЕСЕН Департаментом технической политики ОАО "РЖД"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ распоряжением ОАО "РЖД" от 13 декабря 2010 г. N 2570р
4 ВВЕДЕН ВПЕРВЫЕ

1 Область применения

Настоящий стандарт определяет понятие и назначение процесса доказательства безопасности и устанавливает структуру, содержание и порядок разработки документа "Доказательство безопасности".
Настоящий стандарт распространяется на объекты железнодорожного транспорта (ЖТ), к которым предъявляются требования безопасности в соответствии с техническими регламентами.
Настоящий стандарт предназначен для применения подразделениями аппарата управления ОАО "РЖД", филиалами ОАО "РЖД" и иными структурными подразделениями ОАО "РЖД".
Применение настоящего стандарта сторонними организациями должно быть оговорено в договорах (соглашениях) с ОАО "РЖД".

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 51901.12-2007 (МЭК 60812:2006) Менеджмент риска. Метод анализа видов и последствий отказов
ГОСТ Р 51901.13-2005 (МЭК 61025:1990) Менеджмент риска. Анализ дерева неисправностей
СТО РЖД 1.02.030-2010 "Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Политика обеспечения безотказности, готовности, ремонтопригодности и безопасности объектов железнодорожного транспорта"
СТО РЖД 1.02.031-2010 "Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Программа обеспечения функциональной безопасности объектов железнодорожного транспорта"
СТО РЖД 1.02.034-2010 "Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Общие правила оценки и управления рисками"

3 Термины, определения и сокращения

3.1 В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1.1 безопасность (safety): Отсутствие недопустимого риска.
[ГОСТ Р МЭК 61508-4-2007, статья 3.1.8]
3.1.2 валидация (validation): Подтверждение соответствия требованиям путем испытаний и представления объективных свидетельств, выполнения конкретных требований к предусмотренному конкретному использованию.
[ГОСТ Р МЭК 61508-4-2007, статья 3.8.2]
3.1.3 верификация (verification): Подтверждение выполнения требований путем исследования и сбора объективных свидетельств.
[ГОСТ Р МЭК 61508-4-2007, статья 3.8.1]
3.1.4 доказательство безопасности: Документ, содержащий совокупность доказательств о соответствии объекта железнодорожного транспорта требованиям функциональной безопасности.
3.1.5 железнодорожная инфраструктура: Технологический комплекс служб обеспечения перевозочного процесса.
Примечания
1 Перевозочный процесс включает в себя технологически и организационно взаимосвязанные операции по подготовке железнодорожного подвижного состава к перевозкам, по выполнению и завершению перевозок.
2 К объектам железнодорожной инфраструктуры относятся железнодорожные пути общего пользования, станции, устройства электроснабжения, сигнализации, централизации, блокировки, связи, передачи и обработки информации, управления движением поездов, а также здания, сооружения и оборудование вспомогательного назначения.
[ГОСТ Р 52944-2008, раздел 2, статья 4]
3.1.6 железнодорожный подвижной состав: Транспортные средства, предназначенные для обеспечения железнодорожных грузовых и пассажирских перевозок и функционирования железнодорожной инфраструктуры.
Примечание - Железнодорожный подвижной состав включает в себя локомотивы, вагоны, моторвагонный подвижной состав и специальный железнодорожный подвижной состав.
[ГОСТ Р 52944-2008, раздел 2, статья 1]
3.1.7 жизненный цикл (объекта железнодорожного транспорта): Перечень мероприятий, происходящих в течение периода времени, который начинается с этапа создания концепции объекта и заканчивается после этапа утилизации объекта.
3.1.8 жизненный цикл безопасности (объекта железнодорожного транспорта): Дополнительный перечень мероприятий, осуществляемых в сочетании с жизненным циклом объекта для объектов, связанных с безопасностью.
3.1.9 журнал учета опасностей: Документ, в котором регистрируются все действия по управлению безопасностью (обеспечению безопасности), выявленные опасности, ответственные лица, принятые и утвержденные решения, или же указываются ссылки на связанные с этим процессом документы.
Примечание - Журнал учета опасностей иногда называют протоколом угроз.
3.1.10 заказчик: ОАО "РЖД" или иная организация, эксплуатирующая объект железнодорожного транспорта.
3.1.11 изготовитель: Организация независимо от ее организационно-правовой формы, а также индивидуальный предприниматель, производящие продукцию для реализации заказчику (потребителям).
3.1.12 компонент: Составная часть, рассматриваемая на самом низком уровне анализа объекта.
3.1.13 концепция обеспечения безопасности: Общий замысел обеспечения безопасности объекта от прогнозируемых опасностей.
3.1.14 объект: Любая функциональная единица, которую можно рассматривать в отдельности.
Примечания
1 Примерами объектов могут быть система, подсистема, оборудование, устройство, аппаратура, узел, деталь, элемент.
2 Объект может состоять из технических средств, программного обеспечения или их сочетания и может также в частных случаях включать людей.
3 Группу объектов можно рассматривать как самостоятельный объект.
3.1.15 объект железнодорожного транспорта: любая самостоятельная единица железнодорожной инфраструктуры и подвижного состава, обеспечивающая выполнение требуемой функции в рамках перевозочного процесса.
3.1.16 опасность (hazard): Потенциальный источник возникновения ущерба.
[ГОСТ Р МЭК 61508-4-2007, статья 3.1.2]
3.1.17 отказ по общей причине (common cause failure): Отказ оборудования, вызванный единичным событием в случаях, когда отказ не является следствием другого отказа.
[ГОСТ Р 53195.3-2009, статья 3.10]
3.1.18 отказоустойчивость: понятие, реализуемое при разработке объекта, направленное на то, чтобы в случае отказа объект переходил в безопасное состояние или оставался в нем.
3.1.19 показатель безопасности: количественная характеристика свойства безопасности объекта
3.1.20 полнота безопасности: Способность объекта, связанного с безопасностью, выполнять требуемые функции безопасности при данных условиях эксплуатации в заданный период времени.
3.1.21 программа обеспечения функциональной безопасности; ПОБ: Документированный перечень запланированных по времени мероприятий, ресурсов и событий, направленных на внедрение организационной структуры, распределения ответственности, процедур, мероприятий, методик и ресурсов, которые совместно будут способствовать тому, что объект будет удовлетворять требованиям безопасности, заданным в договоре или проекте.
3.1.22 работоспособность: Состояние объекта, при котором значения всех параметров, характеризующих способность выполнять заданные функции, соответствуют требованиям нормативно-технической и (или) конструкторской (проектной) документации.
[ГОСТ 27.002-89, статья 2.3]
3.1.23 разработчик: Организация, ответственная за выполнение комплекса научно-исследовательских, проектно-конструкторских и изыскательских работ по проектируемому объекту железнодорожного транспорта на основании договора с организацией-заказчиком или организацией-изготовителем.
3.1.24 система безопасности: Система, которая в соответствии со своим назначением должна самостоятельно обеспечивать необходимый уровень полноты безопасности для реализации требуемых функций безопасности.
3.1.25 систематический отказ: Отказ, однозначно вызванный определенной причиной, которая может быть устранена только модификацией проекта или производственного процесса, правил эксплуатации и документации.
Примечания
1 Систематический отказ может быть воспроизведен путем преднамеренного создания тех же самых условий, например, с целью определения причины отказа.
2 Систематический отказ является результатом систематической неисправности.
[ГОСТ Р 53480-2009, статья 57]
3.1.26 составная часть: Рассматриваемая часть объекта.
Примечание - Составную часть можно рассматривать как самостоятельный объект.
3.1.27 спецификация: Формализованное представление требований, предъявляемых к объекту, которые должны быть удовлетворены при его разработке, а также описание задач, условий и эффекта действия без указания способа его достижения.
3.1.28 технические требования к безопасности: Спецификация, содержащая все требования к функциям безопасности, которые должны быть выполнены системами, связанными с безопасностью.
Примечание - Технические требования к безопасности разделяются на:
- спецификацию требований к функциям безопасности;
- спецификацию требований к полноте безопасности.
3.1.29 уровень полноты безопасности: Число, указывающее необходимую степень уверенности того, что объект будет выполнять заданные функции безопасности в отношении систематических отказов.
3.1.30 функциональная безопасность: Свойство объекта, связанного с безопасностью, удовлетворительно выполнять требуемые функции безопасности при всех предусмотренных условиях в течение заданного периода времени.
3.1.31 функция безопасности: Функция, реализуемая объектом или его составными частями, которая предназначена для достижения или поддержания безопасного состояния по отношению к конкретному опасному событию.
3.2 В настоящем стандарте применены следующие сокращения:
ЖТ - железнодорожный транспорт;
УПБ - уровень полноты безопасности;
ПОБ - программа обеспечения функциональной безопасности.

4 Основные положения

4.1 Доказательство безопасности объекта ЖТ представляет собой результат мероприятий, проводимых в соответствии с программой обеспечения функциональной безопасности (ПОБ).
4.2 Цели доказательства безопасности:
- проверка выполнения концепции обеспечения функциональной безопасности объекта ЖТ;
- проверка соответствия объекта ЖТ качественным требованиям безопасности;
- проверка соответствия показателей безопасности объекта ЖТ заданным нормам.
4.3 Выводы, полученные из доказательства безопасности, должны позволять судить о следующем:
- требования, предъявляемые к объекту ЖТ, заданы корректно и в полном объеме;
- требования, предъявляемые к объекту ЖТ, в полном объеме и корректно реализованы в технических решениях;
- технические решения не привносят дополнительных негативных свойств относительно первоначальных требований безопасности;
- представленные доказательства обоснованы и достоверны.
4.4 Документ "Доказательство безопасности" аккумулирует всю совокупность материалов доказательного характера и отражает результаты работ по обеспечению требований безопасности, проводимых на всех этапах жизненного цикла объекта ЖТ. В документе "Доказательство безопасности" в письменной форме следует обосновать, что объект ЖТ является безопасным.
4.5 Наличие документа "Доказательство безопасности" обязательно при подтверждении соответствия объектов ЖТ требованиям безопасности, установленным в технических регламентах [1], [2], [3].

5 Порядок подтверждения и приемки по безопасности

5.1 Основные сведения
5.1.1 Прежде чем объект ЖТ может быть принят как в достаточной мере безопасный для его применения по назначению, должны быть выполнены три условия:
- доказательство управления качеством в соответствии с 8.2;
- доказательство управления безопасностью в соответствии с 8.3;
- доказательство функциональной и технической безопасности в соответствии с 8.4.
5.1.2 Доказательства управления качеством, управления безопасностью и функциональной/технической безопасности должны быть включены в доказательство безопасности, как представлено на рисунке 3.
5.1.3 Допускается к рассмотрению три различных вида доказательства безопасности:
- доказательство безопасности компонента общего назначения (не зависит от применения)
Примечание - Компонент общего назначения может быть повторно использован для различных независимых применений
- доказательство безопасности составной части общего назначения (для класса применения)
Примечание - Составная часть общего назначения может быть повторно использована для класса/вида применения с общими функциями
- доказательство безопасности объекта конкретного назначения (для специального применения)
Примечание - Объект конкретного назначения используется только для одной специальной задачи.
Важно продемонстрировать для каждого "конкретного" применения, что условия окружающей среды и контекст применения совместим с "общими" условиями применения в соответствии с 5.3.
5.1.4 Во всех трех видах, структура доказательства безопасности и процедура получения подтверждения безопасности в основном схожи. Тем не менее, существует дополнительный фактор для объектов конкретного назначения: в этом виде, отдельное подтверждение безопасности необходимо при проектировании объекта ЖТ и для его физической реализации (например, производство, монтаж, испытание и средства для эксплуатации и технического обслуживания). По этой причине, доказательство безопасности для объекта конкретного назначения должно быть разделено на две части:
- доказательство безопасности при проектировании: должно содержать доказательство безопасности для теоретической конструкции объекта конкретного назначения;
- доказательство безопасности физической реализации: должно содержать доказательство безопасности для физической реализации объекта конкретного назначения.
Обе части должны быть структурированы в соответствии с 7.1 и рисунком 3.

5.2 Процесс подтверждения безопасности
5.2.1 Прежде чем приложение может быть рассмотрено на предмет подтверждения безопасности, должна быть проведена независимая оценка безопасности объекта ЖТ и его доказательства безопасности для того, чтобы обеспечить дополнительные гарантии того, что необходимый уровень безопасности был достигнут. Данные результаты должны быть представлены в отчете по оценке безопасности. В отчете следует разъяснить действия, осуществляемые экспертом по оценке безопасности, чтобы определить, каким образом был разработан объект ЖТ с целью удовлетворения установленным требованиям, и, возможно, указать некоторые дополнительные условия для функционирования объекта ЖТ. Глубина оценки безопасности и степень независимости, с которой она осуществляется, основаны на результатах классификации рисков. Конкретные испытания могут потребоваться эксперту по оценке безопасности в целях повышения доверия.
5.2.2 Общее документальное доказательство должно состоять из
- технических требований к объекту ЖТ,
- технических требований к безопасности объекта ЖТ,
- доказательства безопасности, в том числе
Часть 1: Характеристика объекта ЖТ,
Часть 2: Отчет о мерах по управлению качеством,
Часть 3: Отчет о мерах по управлению безопасностью,
Часть 4: Отчет о функциональной безопасности,
Часть 5: Доказательства безопасности составных частей (при необходимости),
Часть 6: Заключение,
- отчет по оценке безопасности.
5.2.3 Если все условия для подтверждения безопасности были выполнены, о чем свидетельствует доказательство безопасности, и с учетом результатов независимой оценки безопасности, объекту ЖТ может быть предоставлено подтверждение безопасности органом по сертификации. Официальное подтверждение может быть предметом для выполнения дополнительных условий (временных или постоянных) устанавливаемых экспертом по оценке безопасности.
5.2.4 Для компонента общего назначения (т.е. не зависящего от применения), а также для составной части общего назначения (т.е. класса применения) должно быть возможно, чтобы подтверждение безопасности, предоставленное одним органом по сертификации было принято другими органами по сертификации (т.е. перекрестная приемка). Это не представляется возможным для объектов конкретного назначения.
5.2.5 Процесс подтверждения безопасности для всех трех видов доказательства безопасности представлен на рисунке 1.
См. Рисунок 1 - Типовой процесс подтверждения и оценки обеспечения безопасности
5.2.6 После получения подтверждения безопасности на объект ЖТ, любые последующие модификации должны контролироваться с использованием тех же критериев управления качеством, критериев управления безопасности и критериев функциональной/технической безопасности, какие будут использоваться для нового проекта. Вся соответствующая документация, в том числе доказательство безопасности, должна быть обновлена или дополнена соответствующей документацией, а измененный проект должен быть представлен на подтверждение.
5.2.7 После ввода в эксплуатацию установленного объекта ЖТ должны быть использованы соответствующие процедуры, системы поддержки и мониторинга безопасности, в соответствии с ПОБ и разделом 5 (согласно 8.4.9) отчета о функциональной безопасности (часть доказательства безопасности), для обеспечения длительного безопасного функционирования в течение срока службы, в том числе при эксплуатации, техническом обслуживании, модификации, продлении срока службы и окончательного вывода из эксплуатации. Эти мероприятия должны контролироваться с использованием тех же самых критериев управления качеством, критериев управления безопасностью и критериев функциональной/технической безопасности, как и для нового проекта. Вся соответствующая документация должна быть сохранена, в том числе доказательство безопасности, а также любые изменения или дополнения должны быть представлены на подтверждение.

5.3 Зависимость между подтверждениями безопасности
5.3.1 Доказательство безопасности объекта ЖТ может зависеть от доказательств безопасности других составных частей. При таких обстоятельствах, подтверждение безопасности основного объекта ЖТ невозможно без предварительного подтверждения безопасности связанных составных частей объекта ЖТ.
5.3.2 Если подтверждение безопасности было получено для компонента общего назначения, или для составной части общего назначения, можно сослаться на это в приложении для подтверждения безопасности объекта конкретного назначения; не стоит повторять общего процесса подтверждения для каждой составной части. Зависимость между подтверждениями безопасности представлена на рисунке 2.
См. Рисунок 2 - Примеры зависимостей между доказательствами безопасности/подтверждением безопасности
5.3.3 Доказательство безопасности может быть основано на демонстрации того, что предлагаемый объект конкретного назначения технически эквивалентен существующим составным частям со специальным подтверждением безопасности. Необходимо новое подтверждение безопасности для данного объекта конкретного назначения.
5.3.4 Это имеет важное значение при обеспечении таких примеров зависимости как, либо условия применения, связанные с безопасностью, зафиксированные в отчете о функциональной безопасности каждого доказательства безопасности выполнены в рамках доказательства безопасности более высокого уровня, либо отнесены к условиям применения, связанным с безопасностью, в рамках доказательства безопасности более высокого уровня.

6 Порядок разработки документа "Доказательство безопасности"

6.1 Документ "Доказательство безопасности" обновляют и пересматривают в процессе всего жизненного цикла объекта ЖТ, этапы которого описаны в СТО РЖД 1.02.030.
6.2 В соответствии с жизненным циклом объекта ЖТ предусматривают следующую последовательность разработки документа "Доказательство безопасности":
- формирование документа на этапе проектирования и реализации (этап 5) объекта ЖТ организацией-разработчиком (изготовителем);
- доработка документа организацией-разработчиком (изготовителем) на этапе валидации объекта ЖТ (этап 8);
- утверждение документа руководителем организации-разработчика (изготовителя) и представление для независимого экспертного заключения в орган по сертификации, который будет производить оценку соответствия объекта ЖТ заданным требованиям безопасности;
- корректировка (при необходимости) документа организацией-разработчиком (изготовителем) по результатам независимой экспертизы органом по сертификации при приемке объекта ЖТ в эксплуатацию (этап 9).
Примечание - Наличие положительного экспертного заключения органа по сертификации по документу "Доказательство безопасности" является обязательным условием при приемке объекта ЖТ в эксплуатацию.
- корректировка документа организацией-разработчиком (изготовителем) при модификации и модернизации (этап 12) с последующим представлением для независимого экспертного заключения в орган по сертификации.
6.3 Документ "Доказательство безопасности" должен хранить изготовитель, орган по сертификации, выдавший заключение о безопасности объекта ЖТ. Срок хранения должен составлять не менее 10 лет после прекращения производства объекта ЖТ.

7 Требования к структуре документа "Доказательство безопасности"

7.1 Документ "Доказательство безопасности" должен содержать следующие разделы:
- содержание;
- характеристика объекта;
- отчет о мерах по управлению качеством;
- отчет о мерах по управлению безопасностью;
- отчет о функциональной безопасности;
- доказательства безопасности составных частей;
- заключение по безопасности;
- приложения;
- список использованных источников.
См. Рисунок 3 - Структура доказательства безопасности
7.2 Документ "Доказательство безопасности" объекта ЖТ может быть разделен на документы "Доказательства безопасности" его отдельных составных частей. Структура документа "Доказательство безопасности" для каждой из составных частей должна соответствовать разделу 7.1 настоящего стандарта. Связи отдельных составных частей должны быть подвергнуты самостоятельному анализу на безопасность.
7.3 В документе "Доказательство безопасности" отдельных составных частей объекта ЖТ допускают ссылки на существующие документы "Доказательство безопасности" при условии полной идентичности составной части объекта ЖТ, ее связей этому доказательству, а также принятым в доказательстве ограничениям, режимам и условиям эксплуатации и технического обслуживания.
7.4 Изменение требований к объекту ЖТ, условий его эксплуатации или технических решений должно приводить к корректировке документа "Доказательство безопасности" с необходимостью проведения его повторной экспертизы органом по сертификации.

8 Требования к содержанию разделов документа "Доказательство безопасности"

Элементы "Содержание", "Приложения" и "Список использованных источников" приводят в документе "Доказательство безопасности" при необходимости, исходя из особенностей его содержания и изложения.

8.1 Характеристика объекта
8.1.1 Раздел "Характеристика объекта" должен содержать точное определение или описание объекта ЖТ, к которому относится данное доказательство безопасности, включая номера версий и состояние изменений для всех требований, проектной и рабочей документации.
8.1.2 Характеристика объекта ЖТ должна содержать следующие подразделы:
- наименование объекта ЖТ;
- назначение объекта ЖТ при обеспечении безопасности перевозочного процесса;
- описание взаимодействия объекта ЖТ с другими средствами и уровнями обеспечения безопасности;
- условия эксплуатации и технического обслуживания;
- требования и нормы безопасности объекта ЖТ;
- критерии опасных отказов объекта ЖТ;
- краткое описание принципов построения и работы объекта ЖТ;
- описание конструктивного оформления объекта ЖТ.

8.2 Отчет о мерах по управлению качеством
8.2.1 Раздел "Отчет о мерах по управлению качеством" должен содержать документальные доказательства эффективности системы управления качеством, удовлетворяющей требованиям ГОСТ Р ИСО 9001, в течение всего жизненного цикла объекта ЖТ.
8.2.2 Система управления качеством должна свести к минимуму вероятность человеческих ошибок (ошибок персонала) на всех этапах жизненного цикла, и этим самым уменьшить риск возникновения систематических неисправностей объекта ЖТ.
8.2.3 Отчет о мерах по управлению качеством должен раскрывать следующие аспекты:
- организационная структура;
- планирование и процедуры обеспечения качества;
- спецификация требований;
- управление процессом проектирования (разработки);
- верификация и проверки проекта (разработки);
- проектирование для конкретного применения;
- приобретение (покупных изделий) и изготовление;
- идентификация (точное определение) объекта ЖТ и возможность прослеживания процесса его создания;
- транспортировка и хранение;
- проверка и испытания;
- действия в случае несоответствия требованиям, включая корректировку;
- упаковка и поставка;
- монтаж и ввод в эксплуатацию;
- эксплуатация и техническое обслуживание;
- наблюдение за качеством и обратная связь (корректировка проекта, разработки и процесса производства при выявлении нарушений качества);
- ведение документации и записей;
- управление конфигурацией и внесением изменений;
- требования к компетентности и обучению персонала;
- аудит качества и последующая доработка объекта ЖТ по результатам аудита;
- вывод из эксплуатации и утилизация.
8.2.4 В отчет о мерах по управлению качеством нет необходимости включать большие объемы подробной доказательственной и вспомогательной документации, при условии, что на такие документы будут приведены точные ссылки.
8.2.5 Доказательства соответствия требованиям к управлению качеством обязательны для объектов ЖТ с уровнем полноты безопасности (УПБ) с 1 по 4 включительно. При этом глубина представленных доказательств и объем вспомогательной документации должны соответствовать УПБ проверяемого объекта ЖТ, Требования к доказательствам, необходимым для каждого УПБ, указаны в таблицах 3 и 7 СТО РЖД 1.02.031.

8.3 Отчет о мерах по управлению безопасностью
8.3.1 Основные сведения
Одним из условий выполнения требований безопасности объекта ЖТ является наличие эффективного процесса управления безопасностью (т.е. комплекса мер по управлению безопасностью) в течение всего жизненного цикла объекта ЖТ.
Цель этого процесса состоит в обеспечении дальнейшего снижения вероятности человеческих ошибок (ошибок персонала), могущих повлиять на безопасность, в течение всего жизненного цикла, и этим свести к минимуму остаточный риск систематических неисправностей, могущих повлиять на безопасность. Краткий обзор элементов процесса управления безопасностью приведен ниже в 8.3.2 - 8.3.10.
Документальное доказательство, демонстрирующее соответствие всем элементам процесса управления безопасностью в течение всего жизненного цикла, должно быть представлено в виде отчета о мерах по обеспечению безопасности.
В отчет о мерах по обеспечению безопасностью нет необходимости включать большие объемы подробной доказательственной и вспомогательной документации, при условии, что на такие документы будут приведены точные ссылки.
Применение указанного процесса управления безопасностью является обязательным для уровней полноты безопасности с 1 по 4 включительно. При этом глубина представленных доказательств и объем вспомогательной документации должны соответствовать уровню полноты безопасности проверяемого объекта ЖТ. Требования к УПБ 0 (не связан с обеспечением безопасности) не являются предметом настоящего стандарта.
8.3.2 Соответствие процесса управления безопасностью жизненному циклу безопасности объекта ЖТ
Процесс управления безопасностью объекта ЖТ должен состоять из определенного числа этапов и действий, связанных между собой и образующих жизненный цикл безопасности объекта ЖТ соответствующий жизненному циклу объекта ЖТ.
Требования к жизненному циклу безопасности объекта ЖТ подробно рассмотрены в СТО РЖД 1.02.031.
8.3.3 Организация обеспечения безопасности объекта ЖТ
Реализацию процесса управления безопасностью объекта ЖТ в зависимости от этапа жизненного цикла должна осуществлять соответствующая организационная структура по обеспечению безопасности в рамках организации разработчика, изготовителя или заказчика с участием компетентного персонала, назначенного для выполнения конкретных функций. Оценку и документирование компетентности персонала, включая технические знания, квалификацию, опыт работы в соответствующей области и необходимую подготовку, должны в обязательном порядке осуществлять в соответствии со стандартами ОАО "РЖД" в сфере управления персоналом.
Требования к организации обеспечения безопасности для каждого из уровней полноты безопасности приведены в таблице 10 СТО РЖД 1.02.031.
8.3.4 Наличие и актуальность программы обеспечения функциональной безопасности объекта ЖТ
ПОБ должна быть сформирована на втором этапе жизненного цикла объекта ЖТ (Характеристика объекта и условий применения). Данная программа должна содержать структуру управления безопасностью объекта ЖТ, действия, связанные с обеспечением безопасности объекта ЖТ, важнейшие этапы жизненного цикла объекта ЖТ, на которых необходимо обеспечить приемку или сертификацию по безопасности объекта ЖТ, а также требования для пересмотра ПОБ объекта ЖТ.
Указания по составлению ПОБ приведены в СТО РЖД 1.02.031.
8.3.5 Наличие и актуальность журнала учета опасностей
Журнал учета опасностей должен быть создан на третьем этапе жизненного цикла объекта ЖТ (Анализ рисков) и вестись в течение всего жизненного цикла объекта ЖТ. Он должен содержать перечень выявленных опасностей, а также относящуюся к ним классификацию рисков и информацию по управлению риском для каждой опасности.
Журнал учета опасностей необходимо обновлять в случае модификации или модернизации объекта ЖТ.
Указания по структуре и заполнению журнала учета опасностей представлены в приложении А СТО РЖД 1.02.034.
8.3.6 Определение требований безопасности объекта ЖТ
Требования по безопасности для каждого объекта ЖТ, включая функции безопасности и полноту безопасности, должны быть идентифицированы на четвертом этапе жизненного цикла объекта ЖТ и включены в технические требования по безопасности посредством:
- идентификации и анализа опасностей;
- оценки и классификации рисков;
- распределения уровней полноты безопасности.
Требования по безопасности объекта ЖТ могут быть включены в спецификацию функциональных требований к объекту ЖТ или могут быть составлены в виде отдельного документа. Указания в части спецификаций требований по безопасности для каждого УПБ приведены в таблице 2 СТО РЖД 1.02.031.
8.3.7 Проектирование объекта ЖТ
На пятом этапе жизненного цикла объекта ЖТ должен быть разработан проект, выполняющий все заданные эксплуатационные требования и требования безопасности объекта ЖТ. С этой целью должна быть применена структурированная методология проектирования (разработки) "сверху вниз", реализуемая в условиях строгого контроля и проверки документации.
Указания по проектированию и разработке объекта ЖТ для каждого УПБ приведены в таблице 5 СТО РЖД 1.02.031.
8.3.8 Пересмотр аспектов безопасности
На соответствующих этапах жизненного цикла объекта ЖТ должны быть пересмотрены аспекты безопасности. Процедуры такого пересмотра должны быть предусмотрены в ПОБ, а их результаты должны полностью документироваться. Любое изменение или расширение объекта ЖТ также должно в обязательном порядке вести к пересмотру аспектов безопасности.
8.3.9 Верификация и валидация требованиям безопасности
ПОБ обязательно должна содержать планы верификации для каждого этапа жизненного цикла объекта ЖТ конкретным требованиям по безопасности, идентифицированным на предыдущем этапе, и проверки соответствия объекта ЖТ в целом и его составных частей исходной спецификации требований по безопасности.
Эти процедуры должны быть проведены в обязательном порядке и полностью задокументированы, включая необходимые испытания и анализ безопасности объекта ЖТ. Они должны быть повторены в необходимом объеме при любой последующей модификации или модернизации объекта ЖТ.
Указания по процедурам верификации и подтверждения соответствия для каждого УПБ приведены в таблице 8 СТО РЖД 1.02.031.
8.3.10 Эксплуатация и техническое обслуживание
После передачи заказчику (потребителю) необходимо обеспечить выполнение процедур, техническую поддержку и наблюдение за безопасностью в соответствии с ПОБ и положениями раздела "Отчет о функциональной безопасности".
В течение срока эксплуатации объекта ЖТ может возникать необходимость внесения изменений по ряду причин, не все из которых могут быть связаны с безопасностью объекта ЖТ. Каждое требование о внесении изменений должно быть в обязательном порядке оценено в части его влияния на безопасность объекта ЖТ, путем обращения к соответствующей части документации по безопасности объекта ЖТ. Если модификация объекта ЖТ в результате требуемого изменения может повлиять на безопасность данного объекта ЖТ или связанных с ним объектов ЖТ или же окружающей среды, в обязательном порядке должны быть повторены соответствующие этапы жизненного цикла безопасности объекта ЖТ, чтобы убедиться в том, что реализуемая модификация не влечет неприемлемого снижения уровня безопасности объекта ЖТ. Указания по применению, эксплуатации и техническому обслуживанию для каждого УПБ приведены в таблице 9 СТО РЖД 1.02.031.

8.4 Отчет о функциональной безопасности
8.4.1 В дополнение к доказательству эффективности систем управления качеством и безопасностью, рассмотренному в разделах 8.2 и 8.3 настоящего стандарта, для признания объекта ЖТ обеспечивающим адекватную безопасность при применении его по назначению необходимо предоставить доказательства безопасности объекта ЖТ, что должно быть отражено в документе, называемом "Отчет о функциональной безопасности".
8.4.2 Отчет о функциональной безопасности является обязательным для УПБ с 1 по 4 включительно. При этом глубина представленной информации и объем вспомогательной документации должны соответствовать УПБ проверяемого объекта ЖТ. Требования к УПБ 0 (объект ЖТ не связан с обеспечением безопасности) не являются предметом настоящего стандарта.
8.4.3 Отчет о функциональной безопасности должен содержать разъяснение технических принципов, положенных в основу обеспечения безопасности объекта ЖТ, включая все подтверждающие это доказательства (например, принципы работы устройства и расчеты, спецификации и результаты испытаний, анализ безопасности). Включать в отчет большие объемы подробной доказательной и вспомогательной документации нет необходимости при условии, что на такие документы будут приведены точные ссылки.
8.4.4 Отчет о функциональной безопасности должен содержать следующие разделы:
- введение в соответствии с 8.4.5;
- подтверждение правильности функционирования в соответствии с 8.4.6;
- влияние неисправностей в соответствии с 8,4.7;
- функционирование при внешних воздействиях в соответствии с 8.4.8;
- условия применения, связанные с обеспечением безопасности в соответствии с 8.4.9;
- квалификационные испытания по безопасности в соответствии с 8.4.10.
См. Рисунок 4 - Структура отчета о функциональной безопасности
8.4.5 Раздел "Введение" должен содержать общее описание объекта ЖТ, включая обзор технических принципов обеспечения безопасности, положенных в основу объекта ЖТ с указанием степени, в которой объект ЖТ может считаться безопасным в соответствии с настоящим стандартом.
В данном разделе также должны быть указаны стандарты (и их редакции), используемые в качестве основы для обеспечения функциональной безопасности объекта ЖТ.
Примечание - В случае модификации или дополнения объекта ЖТ уже находящегося в эксплуатации или в процессе планового производства, или же на этапе завершения разработки, в порядке исключения, в качестве оснований могут быть использованы редакции стандартов, применяемые для нового проекта и послужившие основанием для сертификации нового объекта ЖТ. Это может быть допущено, только в случае если принимая во внимание последние редакции стандартов, потребуется дальнейшая модификация существующего объекта ЖТ или же стоимость внесения изменений окажется неприемлемо высокой. При этом должны быть приведены причины, являющиеся обоснованием такого подхода.
8.4.6 Раздел "Подтверждение правильности функционирования" должен содержать все доказательства, необходимые для демонстрации правильности функционирования объекта ЖТ при нормальных условиях и отсутствии неисправностей в соответствии с заданными эксплуатационными требованиями и требованиями безопасности.
В данном разделе должны быть отражены следующие аспекты, более подробные требования к которым изложены в приложении А:
- характеристика архитектуры объекта ЖТ в соответствии с А.2.1 (приложение А) и таблицей 6 СТО РЖД 1.02.031;
- определение интерфейсов в соответствии с А.2.2 (приложение А);
- выполнение спецификации требований к объекту ЖТ в соответствии с А.2.3 (приложение А);
- выполнение спецификации требований безопасности в соответствии с А.2.4 (приложение А);
- подтверждение правильности функционирования аппаратного обеспечения в соответствии с А.2.5 (приложение А);
- подтверждение правильности функционирования программного обеспечения в соответствии с А.2.6 (приложение А);
- выполнение заданных требований в части условий окружающей среды в соответствии с А.2.7 (приложение А).
8.4.7 Раздел "Влияние неисправностей" должен демонстрировать, что объект ЖТ продолжает выполнять заданные требования безопасности, включая количественные целевые показатели безопасности, в случае возникновения случайных неисправностей в аппаратуре.
Кроме того, несмотря на процессы управления качеством и безопасностью в соответствии с 8.2 и 8.3, существование систематической неисправности все же возможно. В данном разделе должно быть представлено, какие технические мероприятия приняты с целью снижения вытекающего из этого риска до практически возможного минимального уровня.
Также в данном разделе должно быть подтверждение того, что неисправности в любой составной части объекта ЖТ, имеющей УПБ более низкий, чем объект ЖТ в целом, включая уровень 0, не могут вызвать снижения безопасности объекта ЖТ в целом.
Данный раздел должен содержать следующие параграфы, более подробные требования к которым изложены в пункте A3 (приложение А):
- влияние одиночных неисправностей в соответствии с А.3.1 (приложение А);
- независимость объектов в соответствии с А.3.2 (приложение А);
- обнаружение одиночных неисправностей в соответствии с А.3.3 (приложение А);
- действия при обнаружении неисправности (включая сохранение безопасного состояния) в соответствии с А.3.4 (приложение А);
- влияние множественных неисправностей в соответствии с А.3.5 (приложение А);
- защита от систематических неисправностей в соответствии с A.3.6 (приложение А).
Соответствующие указания приведены также в таблицах 1 и 4 СТО РЖД 1.02.031.
8.4.8 Раздел "Функционирование при внешних воздействиях" должен показывать, что объект ЖТ, подверженный внешним воздействиям, заданным в спецификации требований к объекту ЖТ:
- продолжает выполнять заданные функциональные требования;
- продолжает выполнять заданные требования по безопасности (в том числе при наличии неисправности).
Примечание - Доказательство безопасности действительно только в пределах заданного диапазона внешних воздействий, определенного в спецификации требований к объекту ЖТ. Вне этих пределов без принятия специальных дополнительных мер безопасность не обеспечивается.
Методы, применяемые для обеспечения устойчивости к заданным внешним воздействиям, должны быть полностью разъяснены и обоснованы.
Более подробные требования приведены в разделе А.4 (приложение А).
8.4.9 В разделе "Условия применения, связанные с обеспечением безопасности" должны быть определены (или даны ссылки на таковые) правила, условия и ограничения, которые должны быть учтены в процессе применения объекта ЖТ. В их число должны входить условия применения, содержащиеся в доказательстве безопасности любой составной части объекта ЖТ.
Более подробные требования приведены в разделе А.5 (приложение А). Соответствующие указания приведены также в таблице 9 СТО РЖД 1.02.031.
8.4.10 Раздел "Квалификационные испытания по безопасности" должен содержать доказательства, демонстрирующие успешное завершение квалификационных испытаний по безопасности при условиях, соответствующих условиям эксплуатации. Разъяснения приведены в разделе А.6 (приложение А).

8.5 Доказательства безопасности составных частей
Раздел "Доказательства безопасности составных частей" должен содержать ссылки на доказательства безопасности любых составных частей объекта ЖТ, от которых зависит основное доказательство безопасности.
Также он должен показывать, что все условия применения, связанные с безопасностью, определенные в каждом доказательстве безопасности на составную часть объекта ЖТ:
- либо выполнены в основном доказательстве безопасности,
- либо перенесены в условия применения, связанные с безопасностью, основного доказательства безопасности.

8.6 Заключение
Раздел "Заключение" должен содержать обобщенные данные, представленные в предыдущих частях документа "Доказательство безопасности", и утверждение того, что соответствующий объект ЖТ удовлетворяет заданным требованиям безопасности при соблюдении определенных условий применения.

 

 

Приложение А

(справочное)

Дополнительные сведения об отчете о функциональной безопасности

А.1 Введение
Как описано в разделе 8.4, техническое доказательство функциональной безопасности объекта ЖТ должно быть представлено в виде Отчета о функциональной безопасности, являющимся частью Доказательства безопасности.
Отчет должен состоять из следующих разделов:
1. Введение;
2. Подтверждение правильности функционирования;
3. Влияние неисправностей;
4. Функционирование при внешних воздействиях;
5. Условия применения, связанные с обеспечением безопасности;
6. Квалификационные испытания по безопасности.
Каждый из указанных разделов был кратко рассмотрен в разделе 8.4. Более подробное изложение требований для разделов Отчета о функциональной безопасности представлено в разделах А.2 - А.6 данного приложения.

А.2 Подтверждение правильности функционирования
Данный раздел характеризует правильность работы объекта ЖТ и его составных частей при отсутствии неисправностей в соответствии с заданными эксплуатационными требованиями и требованиями безопасности.
В подразделах А.2.1 - А.2.6 подробно рассмотрены следующие аспекты:
- характеристика архитектуры объекта;
- определение интерфейсов;
- выполнение технических требований к объекту;
- выполнение технических требований к безопасности;
- обеспечение правильного функционирования аппаратных средств;
- обеспечение правильного функционирования программного обеспечения.

А.2.1 Характеристика архитектуры объекта
Данный раздел должен содержать общее описание архитектуры объекта ЖТ и его составных частей, глубина которого должна быть достаточной для ясного понимания использованных принципов и технических решений.

А.2.2 Определение интерфейсов

А.2.2.1 Интерфейсы "человек - машина"
а) Оператор
В данном параграфе должно быть приведено описание механизмов (принципов действия), с помощью которых осуществляется взаимодействие эксплуатационного и технического персонала с объектом ЖТ и его составными частями.
Примеры
1 при нормальных условиях;
2 реакция на сигналы тревоги;
3 при использовании процедур справочной системы ("Помощь").
б) Задание конфигурации
В данном параграфе должно быть приведено описание процессов, осуществляемых техническим персоналом с целью задания конфигурации объекта ЖТ для его применения в условиях железнодорожного транспорта.
Примеры
1 задание параметров программного обеспечения;
2 выполнение монтажных ("жестких") соединений;
3 применение конкретных способов монтажа;
4 процедуры.
в) Техническое обслуживание
В данном параграфе должно быть приведено описание механизмов (принципов действия) интерфейсов, включая применение любого дополнительного оборудования (аппаратуры), которое может быть использовано персоналом технического обслуживания в процессе выполнения операций технического обслуживания различных уровней.
Более подробная информация приведена в параграфе А.5.2.

А.2.2.2 Системные интерфейсы
а) Внутренние
В данном параграфе должны быть определены (заданы технические характеристики) функциональные и физические интерфейсы между составными частями объекта ЖТ.
Примеры
1 электромагнитные "чистые" (без помех) и "грязные" (с помехами) зоны;
2 внутренние структуры шин;
3 каналы связи (передачи данных);
4 контроль выполнения функций и восстановление работоспособности;
5 диагностика и контроль общего состояния объекта.
б) Внешние
В данном параграфе должны быть определены (заданы технические характеристики) функциональные и физические интерфейсы между рассматриваемым объектом ЖТ и внешними объектами.
Примеры
1 датчики;
2 исполнительные устройства;
3 каналы связи (передачи данных);
4 контрольно-испытательные устройства;
5 возможности модернизации объекта.

А.2.3 Выполнение технических требований к объекту
В данном разделе должно быть продемонстрировано, каким образом в проекте выполнены функциональные требования, а также требования к надежности, заданные в технических требованиях на объект ЖТ. Раздел должен содержать все необходимые доказательства (или ссылки на них), где должны быть приведены результаты испытаний и результаты расчета соответствующих показателей функционирования объекта ЖТ. Протоколы испытаний и расчет показателей должны быть приведены в приложениях к документу. Также в приложениях должны быть представлены программы и методики, в соответствии с которыми выполнялись испытания объекта ЖТ.
Примеры
1 принципы и расчеты, положенные в основу проекта;
2 спецификации и результаты испытаний;
3 валидация.

А.2.4 Выполнение технических требований к безопасности
В данном разделе должно быть продемонстрировано, каким образом в проекте выполнены заданные функциональные требования по безопасности. Раздел должен содержать все необходимые доказательства (или ссылки на них).
Примеры
1 принципы и расчеты, положенные в основу проекта (разработки);
2 спецификации и результаты испытаний;
3 анализ безопасности и его результаты.

А.2.5 Обеспечение правильного функционирования аппаратных средств
Данный раздел должен содержать описание аппаратной архитектуры объекта ЖТ и пояснение, каким образом в проекте обеспечена требуемая полнота, заданная техническими требованиями и любыми распространяющимися на данный проект стандартами, в части показателей надежности и безопасности.
Примечание - При рассмотрении безопасности можно ограничиться условиями работы при отсутствии неисправностей, так как влияние неисправностей рассматривается в разделе А.3.

А.2.6 Обеспечение правильного функционирования программного обеспечения
В данный раздел должна быть включена вся документация, требуемая в соответствии с ГОСТ Р МЭК 61508.3, или же приведены ссылки на нее.
Кроме того, должно быть описано взаимодействие между аппаратными средствами и программным обеспечением.
Примечание - Следует уделить особое внимание следующим конкретным вопросам:
- зависимости между аппаратными средствами и программным обеспечением;
- последовательности взаимодействий;
- временам реакции;
- процедурам самопроверки;
- контролю общего состояния объекта;
- способам сбора данных;
- неопасному ухудшению параметров;
- методам исключения перехода в опасное состояние.

А.3 Влияние неисправностей
В данном разделе должна быть рассмотрена способность объекта ЖТ продолжать удовлетворять заданным требованиям безопасности при возникновении случайных неисправностей аппаратных средств и, насколько это практически возможно, систематических неисправностей.
В подразделах А.3.1 - А.3.6 подробно рассмотрены следующие аспекты:
- влияние одиночных неисправностей;
- независимость составных частей объекта;
- обнаружение одиночных неисправностей;
- действия при обнаружении неисправности (включая сохранение безопасного состояния);
- влияние множественных неисправностей;
- защита от систематических неисправностей.

А.3.1 Влияние одиночных неисправностей
Необходимо обеспечить, чтобы объект ЖТ оставался на допустимом уровне риска в случае возникновения одиночной случайной неисправности. Необходимо обеспечить, чтобы объекты ЖТ УПБ 3 и УПБ 4 оставались в безопасном состоянии в случае возникновения любого рода одиночной случайной неисправности аппаратных средств, считающейся возможной. Неисправностями, влияние которых при демонстрации будет незначительным, можно пренебречь. Этот принцип, известный под названием "отказоустойчивость", может быть реализован несколькими разными способами:
- отказоустойчивость при параллельной работы
- реактивная отказоустойчивость
- собственная отказоустойчивость
A.3.1.1 Отказоустойчивость при параллельной работы
Данный способ основан на том, что каждая функция, связанная с обеспечением безопасности, выполняется как минимум двумя объектами ЖТ. Во избежание возникновения отказов по общей причине каждый из этих объектов ЖТ должен быть независимым от всех других. Выполнение действий (операций), не являющихся запрещающими, разрешается продолжать только при совпадении выходных сигналов от необходимого числа объектов ЖТ. Опасная неисправность в одном объекте ЖТ должна быть обнаружена и нейтрализована за время, позволяющее не допустить совпадающей неисправности во втором объекте ЖТ.
А.3.1.2 Реактивная отказоустойчивость
Данный способ позволяет осуществлять выполнение функции, связанной с обеспечением безопасности, одним объектом ЖТ, при условии, что безопасность его функционирования обеспечивается быстрым обнаружением и нейтрализацией любой опасной неисправности (например, с применением кодирования, параллельных вычислений со сравнением или непрерывной проверки). Хотя фактически функция, связанная с обеспечением безопасности, выполняется одним объектом ЖТ, функцию проверки, испытания и обнаружения можно считать как бы "вторым объектом ЖТ", который должен быть независимым, чтобы исключить возникновение отказов по общей причине.
A.3.1.3 Собственная отказоустойчивость
Данный способ позволяет осуществлять выполнение функции, связанной с обеспечением безопасности, одним объектом ЖТ, при условии, что все вероятные виды отказов данного объекта ЖТ являются неопасными. Возможность объявить невероятным любой вид отказа (например, вследствие определенных внутренних физических свойств), в обязательном порядке должна быть обоснована. Принцип собственной отказоустойчивости также может быть использован для некоторых функций в объектах ЖТ, в которых применяют принципы отказоустойчивости при параллельной работе и реактивной отказоустойчивости, например, для обеспечения независимости между объектами ЖТ или принудительного отключения объекта ЖТ при обнаружении опасной неисправности.
Независимо от того, какой использован способ или комбинация способов, с помощью соответствующих методов структурного анализа должна быть продемонстрирована гарантия того, что ни один вид одиночного случайного отказа компонента аппаратуры не является опасным. Виды отказов компонентов, подлежащие анализу, должны быть идентифицированы.
Примечание - Следует применять метод анализа отказов "сверху вниз", например, анализ дерева неисправностей (FTA) по ГОСТ Р 51901.13. При необходимости его следует подкрепить методом "снизу вверх", например, анализом видов и последствий отказов (FMEA) по ГОСТ Р 51901.12.
Анализ отказов обязательно должен быть качественным; он может быть также количественным, если доступны достаточно достоверные данные. Интенсивности случайных отказов аппаратуры и вероятности отказов компонентов должны по возможности быть основаны на эксплуатационных данных. В анализе должно быть обосновано распределение общей интенсивности отказов компонента между видами его отказов.

А.3.2 Независимость составных частей объекта
А.3.2.1 В объектах ЖТ, содержащих более одной составной части, одновременное неправильное действие которых может быть опасным, независимость между составными частями объекта ЖТ является обязательным предварительным условием для рассмотрения одиночных неисправностей с точки зрения безопасности. Для обеспечения такой независимости должны быть выполнены соответствующие правила и руководящие указания. В обязательном порядке должна быть обеспечена эффективность мер, принимаемых в течение всего жизненного цикла объекта ЖТ. Кроме того, проектирование объекта ЖТ или его составной части должно быть осуществлено таким образом, чтобы свести к минимуму потенциально опасные последствия потери независимости, вызванные, например, систематической неисправностью вследствие ошибки при проектировании, если таковая вообще возможна.
A.3.2.2 Различные типы влияний в объекте ЖТ, состоящем, например, из двух рабочих составных частей, представлены на рисунке А.1. Этот рисунок можно отнести и к объектам ЖТ, состоящим более чем из двух рабочих составных частей.
См. Рисунок А.1 - Воздействия, влияющие на независимость составных компонентов объекта ЖТ
A.3.2.3 Потеря независимости может иметь место вследствие следующих типов влияний:
- Тип А: Внутренние физические влияния
- Тип Б: Внутренние функциональные влияния
- Тип В: Внешние физические влияния
- Тип Г: Внешние функциональные влияния
A.3.2.4 Тип А: Внутренние физические влияния
При отсутствии физических связей между внутренними составными частями объекта ЖТ как физические, так и функциональные влияния невозможны. Таким образом, обеспечивается внутренняя независимость.
Примечание - Физическая связь представляет собой любую передающую среду между составными частями объекта ЖТ, например:
- гальваническая связь;
- электромагнитная связь.
Для исключения непреднамеренных внутренних физических влияний должны быть приняты соответствующие меры.
А.3.2.5 Тип Б: Внутренние функциональные влияния
Функциональное влияние между составными частями объекта ЖТ основано на физической связи. Для исключения внутренних функциональных влияний должны быть приняты меры. Это должно быть обеспечено путем создания внутренней функциональной независимости (защиты от влияний типа Б).
Примечание - Внутренние функциональные влияния приводят к воздействию ошибочной информации, появившейся в одной составной части объекта ЖТ, на другую составную часть объекта ЖТ, что является опасным,
A.3.2.6 Тип В: Внешние физические влияния
Внешнее физическое влияние может вызвать потерю физической независимости между составными частями объекта ЖТ.
Примечание - Внешнее физическое влияние может иметь место, например, вследствие:
- воздействий со стороны окружающей среды, в т.ч. электромагнитных помех, электростатических разрядов, климатических, механических и химических воздействий;
- воздействий через цепи электропитания;
- воздействий через внешние входы и выходы.
Для исключения непреднамеренных внешних физических влияний должны быть приняты соответствующие меры. Раздел А.4 содержит требования к внешним влияниям, которые должны быть приняты во внимание.
A.3.2.7 Тип Г: Внешние функциональные влияния
Внешнее функциональное влияние может вызвать потерю функциональной независимости между составными частями объекта ЖТ. Для исключения внешних функциональных влияний должны быть приняты меры. Это должно быть обеспечено путем создания внешней функциональной независимости (защиты от влияний типа Г).
Примечание - Внешние функциональные влияния приводят к воздействию ошибочной информации от внешнего источника на объект ЖТ, что является опасным.

А.3.3 Обнаружение одиночных неисправностей
Первая (одиночная) неисправность, которая может быть опасной или сама по себе, или в сочетании со второй неисправностью, в обязательном порядке должна быть обнаружена, в результате чего должен произойти принудительный переход в безопасное состояние в течение достаточно короткого времени, чтобы выполнить заданный количественный показатель безопасности. Демонстрация этого должна быть обеспечена комбинацией анализа видов и последствий отказов (FMEA) и количественной оценки полноты безопасности в отношении случайных отказов.
В случае применения отказоустойчивости при параллельной работе, это требование означает, что первая неисправность должна быть обнаружена с последующим принудительным переходом в безопасное состояние в течение достаточно короткого времени, чтобы можно было гарантировать, что риск возникновения второй неисправности за время обнаружения и нейтрализации первой неисправности будет меньше, чем заданный вероятностный показатель.
В случае применения реактивной отказоустойчивости это требование означает, что максимальное суммарное время обнаружения и нейтрализации неисправности не должно превышать заданного предельного значения длительности потенциально опасного переходного состояния.
Указанные требования для отказоустойчивости при параллельной работе и реактивной отказоустойчивости представлены на рисунке А.2.
См. Рисунок А.2 - Обнаружение и нейтрализация одиночных неисправностей
Должны быть описаны способы, используемые для обнаружения и нейтрализации выявленных неисправностей в течение допустимого времени, что должно быть подтверждено расчетами. Должны быть указаны источники основных данных об интенсивности отказов, использованные для расчетов (например, интенсивности отказов компонентов аппаратуры), и представлено четкое пояснение метода количественного анализа.
Примечание - Время обнаружения неисправности представляет собой интервал времени проверки в случае обнаружения неисправности самим оборудованием (аппаратурой), или же интервал технического обслуживания в случае обнаружения неисправности персоналом. В предельном случае этот интервал равен сроку службы установленного объекта ЖТ. При хранении оборудования (аппаратуры) на складе этот интервал равен промежутку времени между периодическими испытаниями, проводимыми персоналом технического обслуживания.

А.3.4 Действия при обнаружении неисправности (включая сохранение безопасного состояния)
После обнаружения первой неисправности объект ЖТ должен перейти в безопасное состояние или остаться в нем. Безопасное состояние в общем случае (но не обязательно) является более запрещающим. Переход в безопасное состояние должен происходить в течение достаточно короткого времени, чтобы выполнить заданный показатель безопасности.
Примечание - Время нейтрализации неисправности обычно представляет собой время, необходимое для автоматического или ручного отключения соответствующей части объекта ЖТ.
Указанные требования приведены на рисунке А.2.
После обнаружения первой неисправности и перехода в безопасное состояние последующие неисправности не должны выводить объект ЖТ из безопасного состояния. Вывод объекта ЖТ из запрещающего безопасного состояния должен быть осуществлен только контролируемым образом, как часть процедуры восстановления работоспособности.
В случае возникновения последующих неисправностей в течение допустимого времени ожидания восстановления (ремонта) после возникновения первой неисправности объект ЖТ должен оставаться в безопасном состоянии. Допустимое время ожидания восстановления (ремонта) должно быть достаточно коротким, чтобы выполнить заданный показатель безопасности.

А.3.5 Влияние множественных неисправностей
Множественная неисправность (например, двойная или тройная), которая может быть опасной или сама по себе, или в комбинации с последующей неисправностью, в обязательном порядке должна быть обнаружена, в результате чего должен произойти принудительный переход в безопасное состояние (то есть нейтрализация) в течение достаточно короткого времени, чтобы выполнить заданный показатель безопасности. Для демонстрации результатов множественных неисправностей должен быть применен подходящий метод, например, анализ дерева отказов. Должны быть описаны способы обеспечения обнаружения и нейтрализации множественных неисправностей в течение допустимого времени, что должно быть подтверждено расчетами.
Анализ отказа по общей причине должен быть выполнен, чтобы предоставить гарантии того, что множественная неисправность может возникнуть только при совокупности случайных одиночных неисправностей, а не как результат неисправности по общей причине.

А.3.6 Защита от систематических неисправностей
В дополнение к методам управления качеством и безопасностью, используемым для сведения к минимуму вероятности ошибки человека (см. разделы 8.2 и 8.3), должны быть приняты технические меры, которые, в случае наличия опасной систематической неисправности, могли бы, насколько это практически возможно, предотвратить возникновение неприемлемого риска.
Пример - Архитектура объекта ЖТ в целом может быть сконфигурирована таким образом, чтобы даже в случае опасного отказа его составных частей, разработанных как безопасные, возникновение аварии все же оставалось бы практически невероятным.

А.4 Функционирование при внешних воздействиях
В данном разделе рассматривается способность объекта ЖТ обеспечивать правильное и безопасное функционирование при наличии заданных внешних воздействий. Под "правильным функционированием" понимается выполнение, как эксплуатационных требований, так и требований безопасности к объекту ЖТ.
Насколько это практически возможно, объекты ЖТ, связанные с обеспечением безопасности, следует проектировать таким образом, чтобы они оставались безопасными, даже если внешние воздействия выходят за установленные пределы.
Подлежать учету должны следующие воздействия, указанные в подразделах А.4.1-А.4.7:
- климатические условия;
- условия механических воздействий;
- высота;
- условия электрических воздействии (на стационарных объектах);
- условия электрических воздействий (на подвижном составе);
- защита от несанкционированного доступа;
- особо тяжелые условия.
Кроме этого воздействия должны быть учтены с точки зрения оценки влияния при хранении и транспортировке.

А.4.1 Климатические условия
Должно быть гарантировано обеспечение безопасности объекта ЖТ при заданных климатических условиях окружающей среды.
Если заказчик предъявляет более строгие требования, чем те, которые может выполнить объект ЖТ, изготовитель может по согласованию с заказчиком применить дополнительные меры по климатизации, которые должны быть подробно описаны.
Примеры
1 вентиляция;
2 кондиционирование воздуха.
Во внимание должны быть приняты следующие климатические условия:
- температура (минимальная и максимальная);
- относительная влажность (минимальная и максимальная);
- температурные удары.
Объект ЖТ может находиться в следующих физических ситуациях:
- в здании с контролируемыми параметрами окружающей среды;
- в шкафу или помещении с неконтролируемыми параметрами окружающей среды;
- вне помещения (на пути);
- на подвижном составе;
- на складе (при хранении).

А.4.2 Условия механических воздействий
Должно быть гарантировано обеспечение безопасности при заданных условиях механических воздействий со стороны окружающей среды.
Во внимание должны быть приняты следующие условия механических воздействий:
- вибрация;
- удары;
- акустический шум.
Объект ЖТ может находиться в следующих физических ситуациях:
- на пути;
- около пути;
- на подвижном составе;
- в процессе транспортировки.
Если предусматривается специальная защита от какого-либо конкретного механического воздействия, то она должна быть подробно описана. Примеры
1 защита от акустических воздействий;
2 демпфирование катастрофических вибраций.

А.4.3 Высота
Должно быть гарантировано обеспечение безопасности при использовании объекта ЖТ на фактически имеющей место высоте.

А.4.4 Условия электрических воздействий (на стационарных объектах)
Должно быть гарантировано обеспечение безопасности при заданных условиях внешних электрических воздействий.
Во внимание должны быть приняты следующие условия электрических воздействий:
а) электропитание:
1) источники переменного и постоянного тока;
2) колебания напряжения;
3) колебания частоты;
4) помехи;
5) гармоники;
б) электромагнитные помехи:
1) воздействующие на объект ЖТ (чувствительность к помехам);
2) создаваемые объектом ЖТ (излучение помех);
3) поступающие по проводным линиям и/или в виде излучений;
в) электростатические разряды.
Если предусматривается специальная защита от какого-либо конкретного механического воздействия, то она должна быть подробно описана.
Пример - экранирование для защиты от электромагнитных помех.

А.4.5 Условия электрических воздействий (на подвижном составе)
Должно быть гарантировано обеспечение безопасности в соответствии со стандартами, принятыми в ОАО "РЖД", при заданных условиях внешних электрических воздействий на подвижной состав.

А.4.6 Защита от несанкционированного доступа
А.4.6.1 Определение уровней доступа
Уровень доступа определяет круг лиц, имеющих право доступа, основания для доступа и каким образом его осуществлять, тем самым осуществляется защита от несанкционированного доступа. Для каждой из приведенных ниже операций лица, выполняющие соответствующие функции, должны удовлетворять определенным критериям, задаваемым в части:
- профессиональной дисциплины;
- профессионального уровня;
- обучения на конкретном оборудовании.
А.4.6.2 Защита
С учетом указанных выше уровней доступа в данном разделе должно быть определено, каким образом обеспечивается защита.
Мероприятия по защите должны предотвращать следующие виды доступа:
- неумышленный (ошибочный) доступ со стороны лиц, имеющих право доступа;
- умышленный доступ со стороны лиц, не имеющих права доступа.
А.4.6.3 Внешние условия
В данном разделе должно быть описано, каким образом должна быть обеспечена защита путем использования средств, являющихся дополнительными по отношению к оборудованию (т.е. не входящими в его состав).
Примеры
1 применение корпусов;
2 служба безопасности;
3 возможность доступа.
А.4.6.4 Механическая изоляция оборудования
В данном разделе должно быть описано, каким образом обеспечена защита реального оборудования.
Примеры
1 крышки;
2 крепления;
3 опечатывание;
4 электрическое кодирование;
5 механическое кодирование;
6 применение специализированного программного обеспечения;
7 применение устройств дистанционного визуального контроля.

А.4.7 Особо тяжелые условия
При необходимости должны быть приняты дополнительные более строгие условия, установленные ОАО "РЖД".
Примечание - Особо тяжелыми условиями могут быть:
а) конденсация влаги вследствие быстрых колебании температуры окружающей среды;
б) сильное загрязнение воздуха
1) пыль;
2) дым;
3) пар;
4) едкие химикаты;
5) соль;
6) сероводород.
Виды загрязняющих веществ и их концентрации должны быть определены в технических требованиях:
в) для оборудования, устанавливаемого вне помещений для нестационарного оборудования:
1) мороз (минусовые температуры)
2) быстрые колебания температуры;
г) химические воздействия:
1) нефтепродукты;
2) органические элементы;
3) гербициды;
д) избыточное нагревание, например, огнем или солнечным излучением;
е) действие или вторжение растений, насекомых или животных;
ж) накопление грязи и пыли (проводящей и/или не проводящей);
з) более экстремальные температурные границы в ряде регионов.

А.5 Условия применения, связанные с обеспечением безопасности
В данном разделе должны быть заданы правила, условия и ограничения, являющиеся важными для обеспечения функциональной безопасности, которые должны быть соблюдены при применении объекта ЖТ.
Должны быть рассмотрены следующие общие вопросы:
- конфигурация программируемых систем с целью удовлетворения требованиям объектов конкретного назначения;
- профилактические меры при изготовлении, монтаже, испытаниях и приемке;
- правила и методы технического обслуживания и поиска неисправностей;
- инструкции по эксплуатации объекта ЖТ;
- предупреждения и профилактические меры в части безопасности;
- профилактические меры в области электромагнитной совместимости (в части как чувствительности к посторонним помехам, так и излучения собственных помех);
- информация, касающаяся модификаций и возможного вывода из эксплуатации;
- обоснования безопасности вспомогательного оборудования и средств, в т.ч. испытательной аппаратуры, аппаратуры для технического обслуживания и средств задания конфигурации.
В разделах А.5.1 - А.5.3 приведен ряд конкретных вопросов, подлежащих включению в отчет.

А.5.1 Конфигурация составной части и структура объекта
А.5.1.1 Конфигурация
Если составная часть объекта ЖТ требует задания конфигурации для каждого конкретного применения, то обязательно должны быть определены какие-либо средства и/или процедуры задания конфигурации.
Примеры
1 процедурные методы;
2 контроль версии;
3 требования к аппаратуре системы задания конфигурации;
4 подробные требования к программному обеспечению системы задания конфигурации;
5 техническое обслуживание (сопровождение) программного обеспечения;
6 верификация и валидация;
7 моделирование.
А.5.1.2 Структура объекта
Данный документ должен содержать подробное описание, каким образом составные части включены в конкретный объект ЖТ. Примеры:
1 настройки управления версиями;
2 настройки управления приложением;
3 настройки интерфейсов;
4 настройки параметров инициализации;
5 настройки параметров управления для технического обслуживания;
6 испытания в процессе изготовления и производства;
7 процедуры периодических (плановых) испытаний объекта ЖТ;
8 монтаж, испытания и ввод в эксплуатацию.
А.5.1.3 Изменение функциональных возможностей
Если составная часть объекта ЖТ разработана таким образом, что ее можно считать в значительной степени относящейся к изделиям общего назначения и использовать в объектах ЖТ для разных применений, то в документе должны быть описаны также способы задания вариантов конфигурации и параметров для этих применений. Любые ограничения и условия безопасного применения должны быть полностью указаны.

А.5.2 Эксплуатация и техническое обслуживание
А.5.2.1 Минимально необходимое техническое обслуживание, позволяющее обеспечить непрерывное, безопасное и правильное функционирование объекта ЖТ при заданных условиях окружающей среды должно быть документировано в форме Плана эксплуатации и технического обслуживания, который должен содержать следующие аспекты:
- рабочее состояние;
- уровни технического обслуживания;
- периодическое техническое обслуживание;
- вспомогательные средства для технического обслуживания.
А.5.2.2 Рабочее состояние
Должны быть определены условия, имеющие место в каждой объекте ЖТ, необходимые для достаточного понимания эксплуатационным персоналом и персоналом технического обслуживания действия оборудования в следующих ситуациях:
- запуск;
- нормальное функционирование;
- переключение на резерв;
- выключение объекта.
В разделе "Запуск" должно быть описано поведение при запуске объекта ЖТ при первом включении электропитания или при подаче электропитания после его отключения в связи с перерывом электроснабжения или по другой причине.
Примечание - В данном разделе следует определить, например:
- условия по умолчанию;
- период инициализации;
- выполняемые аппаратурой самопроверки;
- необходимое вмешательство для ручного управления;
- условия (состояния) на выходах;
- предупредительные меры на случай чрезвычайной ситуации, например, пожара или несанкционированного доступа.
В разделе "Нормальное функционирование" должны быть определены условия нормального функционирования объекта ЖТ после успешного завершения инициализации.
Примеры
1 длительности циклов;
2 периодические (плановые) процедуры, не связанные с данными;
3 обнаружение неисправностей.
Если объект ЖТ, в котором задана конфигурация, позволяет производить переключение на объект ЖТ, находящийся в ненагруженном или нагруженном резерве, то условия, определенные в пунктах А.5.2.2 и А.5.2.3, должны быть переформулированы применительно к процедуре переключения на резерв. Реакция оборудования на замену отказавших модулей также должна быть точно определена в разделе "Переключение на резерв".
Для случая преднамеренного выключения объекта ЖТ с целью изменения конфигурации, вывода из эксплуатации или же непреднамеренного выключения вследствие пропадания электропитания, должны быть определены все необходимые условия в разделе "Выключение объекта".
Примеры
1 условия по умолчанию;
2 условия неопасного ухудшения параметров;
3 аспекты безопасности;
4 процедуры;
5 влияния на другие объекты ЖТ, связанные с данным.
А.5.2.3 Уровни технического обслуживания должны быть определены в части:
- технического обслуживания первой очереди;
- технического обслуживания второй очереди, проводимого заказчиком;
- технического обслуживания второй очереди, проводимого изготовителем.
Примечание - К техническому обслуживанию "первой очереди" относят профилактическое техническое обслуживание, отыскание и устранение неисправностей, выполняемые на месте эксплуатации; к техническому обслуживанию "второй очереди" относят профилактическое техническое обслуживание и возможный ремонт в мастерских, т.е. вне места эксплуатации.
А.5.2.4 Периодическое техническое обслуживание
При описании требуемого периодического технического обслуживания должны быть рассмотрены все необходимые вопросы.
Примеры
1 обучение;
2 доступность;
3 модульность;
4 взаимозаменяемость;
5 наличие запасных частей;
6 хранение запасных частей,
А.5.2.5 Вспомогательные средства для технического обслуживания
Для каждого уровня технического обслуживания должны быть определены вспомогательные средства для технического обслуживания, предоставляемые в распоряжение персонала.
Примечание - Указанные вспомогательные средства должны обеспечивать:
- диагностику неисправностей;
- интерпретацию (расшифровку) сообщений о неисправностях;
- устранение неисправностей.

А.5.3 Мониторинг безопасности в процессе эксплуатации
На этапах эксплуатации и технического обслуживания жизненного цикла объекта ЖТ, качество функционирования должно контролироваться с целью убеждения в том, что функции, предусмотренные при проектировании, и выводы, сделанные при первичной оценке безопасности, остались в силе и при реальных обстоятельствах, имеющих место в процессе эксплуатации.
Примечание - Это должно включать, например:
- мониторинг эксплуатационных показателей объекта ЖТ, связанного с безопасностью, и сравнение с их прогнозируемыми значениями;
- мониторинг и оценку сообщений о неисправностях с целью выявления тенденций развития неисправностей или возможных опасных отказов, которые могут быть устранены, тем самым повышая уровень безопасности и надежности объекта ЖТ;
- исследование сообщений о неполадках и авариях с целью определения любых изменений, которые необходимо произвести для улучшения показателей безопасности объекта ЖТ.

А.5.4 Вывод из эксплуатации и утилизация
Технические профилактические мероприятия по обеспечению безопасности и процедуры, необходимые при возможном выводе объекта ЖТ из эксплуатации Должны быть документированы. К этому вопросу относится возможное поэтапное введение новых объектов ЖТ взамен демонтируемого с сохранением нормальной эксплуатации железнодорожного транспорта.
В документе должны быть также предусмотрены соответствующие предупреждения и инструкции, касающиеся окончательного вывода из эксплуатации и утилизации объекта ЖТ.

А.6 Квалификационные испытания по безопасности
Данный раздел должен содержать доказательства, демонстрирующие успешное завершение квалификационных испытаний по безопасности объекта ЖТ, проводимых в условиях эксплуатации.
Цель этих испытаний следующая:
- получение большей уверенности в том, что объект ЖТ выполняет заданные эксплуатационные требования;
- получение большей уверенности в обеспечении заданных целевых показателей надежности и безопасности объекта ЖТ;
- проверка объекта ЖТ в условиях эксплуатации перед окончательной сертификацией по безопасности, при соблюдении необходимых мер предосторожности и контроля.
Примечание - Данные испытания только лишь предоставляют большую уверенность, но не являются единственным средством демонстрации безопасности объекта ЖТ.

А.6.1 Требования
Объем и длительность квалификационных испытаний по безопасности объекта ЖТ должны быть согласованы между изготовителем, заказчиком и органом по сертификации, при этом они должны быть обоснованы с учетом степени новизны и сложности, которыми обладает объект ЖТ.
В связи с тем, что по завершении квалификационных испытаний по безопасности объекта ЖТ их результаты включаются в состав Доказательства безопасности, в течение периода испытаний полная гарантия безопасности объекта ЖТ отсутствует. По этой причине должны быть приняты необходимые меры и проведены процедуры предосторожности, а также должен осуществляться мониторинг, с целью обеспечения безопасности железнодорожного транспорта в течение периода испытаний.
Квалификационные испытания по безопасности объекта ЖТ должны быть завершены до начала эксплуатации с возложением полной ответственности за безопасность.
Результаты испытаний должны быть документированы с указанием, когда объект ЖТ был введен в эксплуатацию, с пассажирами или без пассажиров, с мерами предосторожности или без таковых, и какой уровень разрешения использования объекта ЖТ (авторизации) получен для каждого этапа (временная эксплуатация или окончательная сертификация по безопасности).

А.6.2 Результаты
В данном разделе отчета по функциональной безопасности должен быть представлен полный отчет о квалификационных испытаниях по безопасности объекта ЖТ, включая полное описание проведенных испытаний и полученные результаты. Кроме того, должно быть приведено описание процедур, выполняемых техническим персоналом как часть процессов подтверждения соответствия и испытаний объекта ЖТ.
Примеры
1 процедуры;
2 испытательная аппаратура;
3 моделирующие устройства;
4 методы анализа.

Библиография

[1] Технический регламент от 15 июля 2010 г. N 524 "О безопасности железнодорожного подвижного состава"
[2] Технический регламент от 15 июля 2010 г. N 525 "О безопасности инфраструктуры железнодорожного транспорта"
[3] Технический регламент от 15 июля 2010 г. N 533 "О безопасности высокоскоростного железнодорожного транспорта"