Отраслевой стандарт ОСТ 32.17-92 Безопасность железнодорожной автоматики и телемеханики. Основные понятия. Термины и определения.
ОСТ 32.17-92
Группа Д50
ОТРАСЛЕВОЙ СТАНДАРТ
БЕЗОПАСНОСТЬ ЖЕЛЕЗНОДОРОЖНОЙ АВТОМАТИКИ И ТЕЛЕМЕХАНИКИ
Основные понятия. Термины и определения
ОКСТУ 4201
Дата введения 1993-01-01
ИНФОРМАЦИОННЫЕ ДАННЫЕ
1. РАЗРАБОТАН И ВНЕСЕН Управлением сигнализации, связи и вычислительной техники МПС и Петербургским институтом инженеров железнодорожного транспорта.
2. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Указанием МПС РФ от 22 июля 1992 г. N Г-640у.
3. СРОК ПРОВЕРКИ 1997 г.
4. ВВЕДЕН ВПЕРВЫЕ.
5. ССЫЛОЧНЫЕ НОРМАТИВНО-ТЕХНИЧЕСКИЕ ДОКУМЕНТЫ.
Обозначение НТД, на который дана ссылка | Номер пункта |
1.1
4.2 4.4 |
Настоящий отраслевой стандарт устанавливает термины и определения основных понятий в области безопасности железнодорожной автоматики и телемеханики, которые обязательны для применения в проектной и конструкторской документации, научно-технической, учебной и справочной литературе.
Все термины и определения, которые используются в данном стандарте и не устанавливаются им, соответствуют ГОСТ 27.002-89 "Надежность в технике. Основные понятия. Термины и определения".
Понятия, определяемые стандартом, даются применительно к техническому объекту - элементу, устройству или системе железнодорожной автоматики и телемеханики (в дальнейшем просто - система). Железнодорожная автоматика и телемеханика - это комплекс технических систем, предназначенных для управления движением поездов и обеспечения безопасности движения.
Стандарт состоит из пяти разделов: общие понятия; показатели безопасности; безопасность дискретных систем; нормирование безопасности; обеспечение, определение и контроль безопасности.
Стандарт следует применять совместно с ГОСТ 27.002-89.
Термин | Определение |
1. ОБЩИЕ ПОНЯТИЯ | |
1.1. Надежность
E. Dependability, reliability | Свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, хранения и транспортирования (по ГОСТ 27.002-89) |
1.2. Безопасность системы железнодорожной автоматики
E. Railroad automatic system safety | Свойство системы непрерывно сохранять исправное, работоспособное или защитное состояние в течение некоторого времени или наработки |
1.3. Защитное состояние
E. Protective state | Неработоспособное состояние системы, при котором значения всех параметров, характеризующих способность выполнять заданные функции по обеспечению безопасности движения поездов, соответствуют требованиям нормативно-технической и (или) конструкторской документации |
1.4. Опасное состояние
E. Hazardous state | Неработоспособное состояние системы, при котором значение хотя бы одного параметра, характеризующего способность выполнять заданные функции по обеспечению безопасности движения поездов, не соответствует требованиям нормативно-технической и (или) конструкторской документации |
1.5. Защитный отказ
E. Protective failure | Событие, заключающееся в нарушении работоспособного состояния системы при сохранении защитного состояния |
1.6. Опасный отказ
Е. Hazardous failure | Событие, заключающееся в нарушении работоспособного и защитного состояний системы |
1.7. Критерий опасного отказа
Е. Hazardous failure criterion | Признак или совокупность признаков опасного состояния системы, установленные в нормативно-технической и (или) конструкторской документации |
1.8. Показатель безопасности
E. Safety measure | Количественная характеристика свойства безопасности |
1.9. Наработка до опасного отказа
Е. Operating time to hazardous failure | Наработка системы от начала ее эксплуатации до возникновения первого опасного отказа |
1.10. Наработка между опасными отказами
Е. Operating time between hazardous failures | Наработка системы от окончания восстановления ее работоспособного состояния из опасного состояния до возникновения следующего опасного отказа |
1.11. Концепция безопасности
E. Safety conсeption | Совокупность положений, в соответствии с которыми осуществляется построение системы, отвечающей требованиям безопасности |
1.12. Уровень безопасности
Е. Safety level | Совокупность требований к системе, определяемая предельными значениями показателей безопасности и удовлетворяющая определенным требованиям безопасности |
1.13. Безопасная система
Е. Safety system | Система, построенная в соответствии с определенной концепцией безопасности и удовлетворяющая заданному уровню безопасности |
2. ПОКАЗАТЕЛИ БЕЗОПАСНОСТИ | |
2.1. Вероятность безопасной работы
Е. Safety function | Вероятность того, что в пределах заданной наработки опасный отказ системы не наступает |
2.2. Вероятность опасного отказа
Е. Hazardous failure probability | Вероятность того, что в пределах заданной наработки опасный отказ наступит хотя бы один раз |
2.3. Средняя наработка до опасного отказа
E. Mean operating time to hazardous failure | Математическое ожидание наработки системы до первого опасного отказа |
2.4. Средняя наработка на опасный отказ
E. Mean operating time between hazardous failures | Отношение суммарной наработки восстанавливаемой системы к математическому ожиданию числа опасных отказов в течение этой наработки |
2.5. Интенсивность опасных отказов
E. Hazardous failure rate | Условная плотность вероятности возникновения опасного отказа невосстановливаемой системы, определяемая для рассматриваемого момента времени при условии, что до этого момента отказ не возник |
2.6. Параметр потока опасных отказов
Е. Hazardous failure intensity | Отношение математического ожидания числа опасных отказов восстанавливаемой системы за произвольно малую ее наработку к значению этой наработки |
2.7. Коэффициент безопасности
Е. Safety factor | Вероятность того, что система окажется в работоспособном или защитном состоянии в произвольный момент времени, кроме планируемых периодов, в течение которых применение объекта по назначению не предусматривается |
3. НОРМИРОВАНИЕ БЕЗОПАСНОСТИ | |
3.1. Нормирование безопасности
Е. Safety specification | Установление в нормативно-технической и (или) конструкторской (проектной) документации количественных и качественных требований к безопасности |
3.2. Нормируемый показатель безопасности
E. Specified safety measure | Показатель безопасности, значение которого регламентировано нормативно-технической и (или) конструкторской (проектной) документацией на систему |
4. ОБЕСПЕЧЕНИЕ, ОПРЕДЕЛЕНИЕ И КОНТРОЛЬ БЕЗОПАСНОСТИ | |
4.1. Программа обеспечения безопасности
E. Safety support programm | Документ, устанавливающий комплекс взаимосвязанных организационно-технических требований и мероприятий, подлежащих проведению на всех стадиях жизненного цикла системы и направленных на обеспечение заданного уровня безопасности |
4.2. Безотказность
E. Reliability, failure-free operation | Свойство объекта непрерывно сохранять работоспособное состояние в течение некоторого времени или наработки (по ГОСТ 27.000-89*) |
| |
4.3. Отказоустойчивость
E. Fault tolerance | Свойство системы продолжать выполнение заданных функций при наличии отказов ее элементов за счет резервных возможностей |
4.4. Безопасное поведение при отказе
Е. Safety failure behavior | Переход системы в защитное необратимое состояние при появлении отказа |
4.5. Гарантоспособность
E. Dependability | Свойство система, позволяющее обоснованно полагаться на выполнение функций, для которых она предназначена. |
4.6. Деградация системы автоматики
Е. Degradation | Свойство системы при появлении отказов отключать неисправные резервные элементы структуры |
4.7. Реконфигурация системы автоматики
Е. Reconfiguration | Свойство системы изменять структуру путем отключения неисправных или включения резервных (восстановленных) элементов |
4.8. Контроль безопасности
Е. Safety verification | Проверка соответствия системы заданным требованиям к безопасности |
4.9. Расчетный метод определения безопасности
Е. Analytical safety assessment | Метод, основанный на вычислении показателей безопасности по справочным данным о надежности компонентов и комплектующих изделий ЖАТ, по используемым мерам резервирования и контроля, по данным о безопасности объектов-аналогов и другой информации, имеющейся к моменту оценки безопасности |
4.10. Расчетно-экспериментальный метод определения безопасности
Е. Analytical-experimental safety assessment | Метод, при котором показатели безопасности всех или некоторых составных частей объекта определяют по результатам испытаний и (или) эксплуатации, а показатели безопасности системы в целом рассчитывают по математической модели |
4.11. Экспериментальный метод определения безопасности
Е. Experimental safety assessment | Метод, основанный на статистической обработке данных, получаемых при имитационных испытаниях или эксплуатации системы |
| Примечание к терминам 4.9-4.11. Аналогично определяют соответствующие методы контроля безопасности
|
4.12. Сертификация безопасности
Е. Safety certification | Действия третьей стороны, направленные на определение степени соответствия параметров системы конкретному стандарту и (или) нормативному документу по безопасности |
4.13. Сертификат безопасности
Е. Safety certificate | Документ, удостоверяющий, что должным образом идентифицированная система соответствует заданному на основании стандартов уровню безопасности |
4.14. Испытание на безопасность
Е. Safety test | Испытания, проводимые с целью исследования безопасности системы
Примечание. В отличие от испытаний на надежность по ГОСТ 27.002-89 при испытаниях на безопасность не проводятся определительные испытания, так как появление опасных отказов - событие редкое и для получения достоверных результатов требуется подвергнуть испытаниям большое число систем ЖАТ в течение длительного времени. Ускоренные испытания на безопасность проводятся, как правило, с помощью специализированных программно-аппаратных имитационных комплексов, позволяющих значительно сократить сроки испытаний при различных режимах и условиях эксплуатации
|
5. БЕЗОПАСНОСТЬ ДИСКРЕТНЫХ СИСТЕМ | |
5.1. Ответственный объект управления
Е. Responsible controlled device | Объект управления, технология работы которого не допускает ложного включения или выключения |
5.2. Защитное состояние дискретной системы
E. Protective state of digital system | Неработоспособное состояние системы, при котором не происходит опасного искажения алгоритма функционирования |
5.3. Опасное состояние дискретной системы
Е. Hazardous state of digital system | Неработоспособное состояние системы, при котором происходит опасное искажение алгоритма функционирования |
5.4. Ответственная информация
Е. Responsible Information | Информация, используемая в дискретной системе, искажение которой переводит систему в опасное состояние |
5.5. Ответственная телемеханическая команда
Е. Responsible telemechanic command | Команда телеуправления или телесигнализации, несущая ответственную информацию |
5.6. Безопасная система телемеханики
Е. Safety telemechanic system | Безопасная система, передающая ответственные телемеханические команды |
5.7. Вид отказа дискретной системы
Е. Failure kind of digital system | Изменение логических сигналов 0  1 или 1 0 на выходе дискретной системы в результате отказа ее элементов |
5.8. Элемент с несимметричными отказами
E. Nonsymmetrical failure component | Элемент, у которого интенсивность отказов разного вида различается на порядок и более |
5.9. Элемент с симметричными отказами
Е. Symmetrical failure component | Элемент, у которого интенсивность отказов разного вида имеет один порядок |
5.10. Безопасный элемент
Е. Safety component | Элемент с несимметричными отказами, у которого интенсивность возникновения менее вероятного вида отказов не более предельного значения при заданном уровне безопасности |
5.11. Коэффициент асимметрии отказов
Е. Failure asymmetric factor | Отношение интенсивности опасных отказов к интенсивности защитных отказов дискретной системы |
5.12. Опасный входной набор
Е. Hazardous input set | Множество значений переменных на входах комбинационной схемы, при наличии которых отказ вида 0 1 на его выходах приводит к опасному искажению алгоритма функционирования |
5.13. Функция опасного отказа
Е. Hazardous failure function | Функция алгебры логики, равная 1 на опасных входных наборах |
5.14. Опасный отказ в комбинационной схеме
Е. Hazardous failure in combinational scheme | Отказ, при котором функция, реализуемая неисправной комбинационной схемой, и функция опасного отказа равны 1 хотя бы на одном общем входном наборе |
5.15. Безопасная комбинационная схема
Е. Safety combinational scheme | Комбинационная схема, у которой с заданным уровнем безопасности отсутствуют опасные отказы |
5.16. Опасная входная последовательность
Е. Hazardous input sequence | Упорядоченное множество входных наборов, после поступления которых на вход автомата отказы вида 0 1 на его выходах приводят к опасному искажению алгоритма функционирования |
5.17. Реализация входной последовательности
Е. Input sequence realization | Появление логического сигнала 1 на выходе автомата после поступления на его входа данной входной последовательности |
5.18. Опасное событие
Е. Hazardous event | Множество опасных входных последовательностей |
5.19. Опасный отказ в автомате
Е. Hazardous failure in automaton | Отказ, при котором событие, реализуемое неисправным автоматом, и опасное событие содержат хотя бы одну общую входную последовательность |
5.20. Ложный переход
E. False transition | Переход автомата из одного состояния в другое под действием отказа |
5.21. Опасный ложный переход
Е. Hazardous false transition | Ложный переход, в результате которого в автомате реализуется хотя бы одна опасная входная последовательность |
5.22. Безопасный ложный переход
Е. Safety false transition | Ложный переход, в результате которого в автомате не реализуется ни одна опасная входная последовательность |
5.23. Граф безопасных ложных переходов
Е. Safety false transition graph | Ориентированный граф, вершины которого суть состояния автомата, а дуги соединяют одну вершину с другой, если соответствующий ложный переход безопасен |
5.24. Граф безопасных искажений
Е. Safety perversion graph | Ориентированный граф, определяющий множество допустимых ложных переходов в автом* |
| |
5.25. Граф возможных ложных переходов
Е. Possible false transition graph | Ориентированный граф, определяющий множество возможных ложных переходов в схеме дискретного автомата |
5.26. Безопасное кодирование автомата
Е. Automaton safety encoding | Кодирование состояний автомата, при котором граф возможных ложных переходов является суграфом графа безопасных искажений |
5.27. Безопасный автомат
E. Safety automaton | Автомат, у которого с заданным уровнем безопасности отсутствуют опасные отказы |
5.28. Отказ программы
Е. Programm failure | Искажение символа программы, проявляющееся в процессе ее исполнения в вычислительной системе |
5.29. Опасный отказ программы
Е. Hazardous programm failure | Отказ программы, переводящий систему в опасное состояние |
5.30. Безопасная программа
E. Safety programm | Программа, у которой с заданным уровнем безопасности отсутствуют опасные отказы |
Алфавитный указатель терминов на русском языке
Термин | Номер термина |
Безопасная комбинационная схема | 5.15 |
Безопасность системы железнодорожной автоматики | 1.2 |
Безопасная система | 1.13 |
Безопасная программа | 5.30 |
Безопасное кодирование автомата | 5.26 |
Безопасное поведение при отказе | 4.4 |
Безопасный автомат | 5.27 |
Безопасный ложный переход | 5.21 |
Безопасный элемент | 5.10 |
Безопасная система телемеханики | 5.6 |
Безотказность | 4.2 |
Вероятность безопасной работы | 2.1 |
Вероятность опасного отказа | 2.2 |
Вид отказа дискретной системы | 5.7 |
Гарантоспособность | 4.5 |
Граф безопасных искажений | 5.24 |
Граф безопасных ложных переходов | 5.23 |
Граф возможных ложных переходов | 5.25 |
Деградация | 4.6 |
Защитное состояние | 1.3 |
Защитное состояние дискретной системы | 5.2 |
Защитный отказ | 1.5 |
Интенсивность опасных отказов | 2.5 |
Испытание на безопасность | 4.14 |
Контроль безопасности | 4.8 |
Концепция безопасности | 1.11 |
Коэффициент асимметрии отказов | 5.11 |
Коэффициент безопасности | 2.7 |
Критерий опасного отказа | 1.7 |
Ложный переход | 5.20 |
Надежность | 1.1 |
Наработка до опасного отказа | 1.9 |
Наработка между опасными отказами | 1.10 |
Нормирование безопасности | 3.1 |
Нормируемый показатель безопасности | 3.2 |
Опасная входная последовательность | 5.16 |
Опасное событие | 5.18 |
Опасное состояние | 1.4 |
Опасное состояние дискретной системы | 5.3 |
Опасный входной набор | 5.12 |
Опасный ложный переход | 5.21 |
Опасный отказ | 1.6 |
Опасный отказ в автомате | 5.19 |
Опасный отказ в комбинационной схеме | 5.14 |
Опасный отказ программы | 5.29 |
Ответственная информация | 5.4 |
Ответственный объект управления | 5.1 |
Ответственная телемеханическая команда | 5.5 |
Отказоустойчивость | 4.3 |
Отказ программы | 5.28 |
Параметр потока опасных отказов | 2.6 |
Показатель безопасности | 1.8 |
Программа обеспечения безопасности | 4.1 |
Расчетный метод определения безопасности | 4.9 |
Расчетно-экспериментальный метод определения безопасности | 4.10 |
Реализация входной последовательности | 5.17 |
Реконфигурация | 4.7 |
Сертификат безопасности | 4.13 |
Сертификация безопасности | 4.12 |
Средняя наработка до опасного отказа | 2.3 |
Средняя наработка на опасный отказ | 2.4 |
Уровень безопасности | 1.12 |
Функция опасного отказа | 5.13 |
Экспериментальный метод определения безопасности | 4.11 |
Элемент с несимметричными отказами | 5.8 |
Элемент с симметричными отказами | 5.9 |
Алфавитный указатель терминов на английском языке
Термин | Номер термина |
Analytical-experimental safety assessment | 4.10 |
Analytical safety assessment | 4.9 |
Automaton safety encoding | 5.26 |
Degradation | 4.6 |
Dependability | 1.1, 4.5 |
Experimental safety assessment | 4.11 |
Failure asymmetric factor | 5.11 |
Failure-free operation | 4.2 |
Failure kind of digital system | 5.7 |
False transition | 5.20 |
Fault-tolerance | 4.3 |
Hazardous event | 5.18 |
Hazardous failure | 1.6 |
Hazardous failure criterion | 1.7 |
Hazardous failure function | 5.13 |
Hazardous failure in automaton | 5.19 |
Hazardous failure in combinational scheme | 5.14 |
Hazardous failure intensity | 2.6 |
Hazardous failure probability | 2.2 |
Hazardous failure rate | 2.5 |
Hazardous false transition | 5.21 |
Hazardous input sequence | 5.16 |
Hazardous input set | 5.12 |
Hazardous programm failure | 5.29 |
Hazardous state | 1.4 |
Hazardous state of digital system | 5.3 |
Input sequence realization | 5.17 |
Mean operating time between hazardous failures | 2.4 |
Mean operating time to hazardous failure | 2.3 |
Nonsymmetrical failure component | 5.8 |
Operating time between hazardous failures | 1.10 |
Operating time to hazardous failure | 1.9 |
Possible false transition graph | 5.25 |
Programm failure | 5.28 |
Protective failure | 1.5 |
Protective state | 1.3 |
Protective state of digital system | 5.2 |
Reconfiguration | 4.7 |
Reliability | 1.1, 4.2 |
Responsible controlled device | 5.1 |
Responsible information | 5.4 |
Responsible telemechanic command | 5.5 |
Railroad automatic system safety | 1.2 |
Safety automaton | 5.27 |
Safety certificate | 4.13 |
Safety certification | 4.12 |
Safety component | 5.10 |
Safety combinational scheme | 5.15 |
Safety conception | 1.11 |
Safety factor | 2.7 |
Safety false transition | 5.22 |
Safety false transition graph | 5.23 |
Safety fault behavior | 4.4 |
Safety function | 2.1 |
Safety level | 1.12 |
Safety measure | 1.8 |
Safety perversion graph | 5.24 |
Safety programm | 5.30 |
Safety specification | 3.1 |
Safety support programm | 4.1 |
Safety system | 1.13 |
Safety telemechanic system | 5.6 |
Safety test | 4.14 |
Safety verification | 4.8 |
Specified safety measure | 3.2 |
Symmetrical failure component | 5.9 |
ПРИЛОЖЕНИЕ
Справочное
ПОЯСНЕНИЯ К НЕКОТОРЫМ ТЕРМИНАМ
К термину "Безопасность системы железнодорожной автоматики" (п.1.2)
Для систем железнодорожной автоматики безопасность выступает как одна из составляющих надежности совместно с безотказностью, долговечностью, ремонтопригодностью и сохраняемостью, которые определены в ГОСТ 27.002-89 (рис.1).
Рис.1. Составляющие надежности систем ж.-д. автоматики
Таким образом, в данном стандарте безопасность рассматривается как безопасность технических средств, т.е. свойство системы, связанное с ее поведением при отказах. Безопасность движения поездов является более широким понятием, поскольку она может быть нарушена и при исправном состоянии системы ЖАТ в результате неправильных действий человека-оператора, отказов других объектов ж.-д. комплекса, катастрофических природных явлений и по другим внешним по отношению к системе ЖАТ причинам.
К терминам "Защитное состояние" и "Опасное состояние" (пп.1.3 и 1.4)
В опасное состояние система может перейти в результате возникновения внезапных, постепенных и перемежающихся отказов аппаратных и программных средств. При этом происходит нарушение работоспособного и защитного состояний, что может привести к возникновению угрозы для жизни и здоровья людей, сохранности грузов, а также для окружающей среды. Переход системы в опасное состояние не означает, однако, что при этом обязательно возникает какая-либо авария. Она может произойти в зависимости еще от двух условий: от существующей в данный момент поездной ситуации и от действий человека-оператора.
Рис.2. Диаграмма состояний систем ж.-д. автоматики
Безотказность систем характеризуется множеством состояний
безопасность - множеством состояний
БЕЗОПАСНОСТЬ>БЕЗОТКАЗНОСТЬ.
БЕЗОПАСНОСТЬ=БЕЗОТКАЗНОСТЬ.
К терминам "Защитный отказ" и "Опасный отказ" (пп.1.5 и 1.6)
Разделение отказов на опасные и защитные устанавливает определенное неравноправие отказов. Это дает возможность при построении системы сконцентрировать внимание прежде всего на защите от опасных отказов, что в целом способствует повышению уровня безопасности и уменьшению объема избыточной аппаратуры. На рис.3 приведена схема основных состояний и событий в системе железнодорожной автоматики.
Рис.3. Схема основных состояний и событий:
1 - повреждение; 2 - защитный отказ; 3 - опасный отказ; 4 - переход системы в предельное состояние из-за неустранимого нарушения требований безопасности, снижения эффективности эксплуатации, морального старения и других факторов; 5 - восстановление; 6 - ремонт
К термину "Критерий опасного отказа" (п.1.7)
К термину "Показатель безопасности" (п.1.8)
По своим свойствам показатель безопасности относится к показателю надежности, определенному ГОСТ 27.002-89. В соответствии с последним, при рассмотрении показателя безопасности следует различать наименование показателя, его численное значение, формулировку сущности показателя и его размерность.
К показателям безопасности относят количественные характеристики, которые могут иметь две формы представления: вероятностную и статистическую. Так как объекты железнодорожной автоматики и телемеханики, как правило, являются уникальными, то применение методов статистической теории надежности ограничено. Это ограничение связано также с высокими требованиями к количественным значениям показателей безопасности, которым должны отвечать СЖАТ. Статистическая оценка показателей безопасности таких систем возможна на стадии экспериментальной отработки и испытаний методами имитационного моделирования. На стадии проектирования и конструирования показатели безопасности трактуют как характеристики вероятностных математических моделей создаваемых систем.
Показатели безопасности вводят по отношению к определенным режимам и условиям эксплуатации, установленным в нормативно-технической и (или) конструкторской документации.
К термину "Концепция безопасности" (п.1.11)
Концепция безопасности имеет фундаментальное значение, поскольку на ее основе устанавливается критерий опасного отказа системы. Концепция безопасности зависит в основном от свойств элементной базы, используемой для построения системы. В качестве примера сформулируем одну из распространенных концепций для безопасных микроэлектронных систем: одиночные дефекты аппаратных и программных средств не должны приводить к опасным отказам и должны обнаруживаться с заданной вероятностью на рабочих или тестовых воздействиях не позднее, чем в системе возникнет второй дефект.
К терминам "Вероятность безопасной работы" и "Вероятность опасного отказа" (пп.2.1 и 2.2)
Вероятность опасного отказа определяется при тех же условиях по формуле
К термину "Средняя наработка до опасного отказа" (п.2.3)
Величина средней наработки до опасного отказа определяется по формуле
К термину "Интенсивность опасных отказов" (п.2.5)
К термину "Параметр потока опасных отказов" (п.2.6)
При экспоненциальном законе распределения времени безопасной работы
К термину "Коэффициент безопасности" (п.2.7)
Коэффициент безопасности является комплексным показателем безопасности системы,
К терминам "Нормирование безопасности" и "Нормируемый показатель безопасности" (пп.3.1 и 3.2)
При выборе номенклатуры нормируемых показателей безопасности необходимо учитывать назначение системы, уровень безопасности, условия и режимы эксплуатации, характер возникновения опасных отказов (внезапные, перемежающиеся, постепенные и т.п.). При этом необходимо, чтобы общее число нормируемых показателей безопасности было минимально; нормируемые показатели имели простой физический смысл и допускали бы возможность расчетной оценки на этапе проектирования и подтверждения по результатам ускоренных испытаний.
Длительность ускоренных (как правило, имитационных) испытаний должна быть достаточной для выявления и устранения скрытых дефектов и определяться соглашением между потребителем (заказчиком) и поставщиком (изготовителем).
К терминам "Программа обеспечения безопасности", "Сертификация безопасности" и "Сертификат безопасности" (пп.4.1, 4.12 и 4.13)
Программа обеспечения безопасности является документом, служащим организационно-технической основой для создания систем ЖАТ, удовлетворяющих заданному уровню безопасности. Программа обеспечения безопасности должна охватывать все стадии жизненного цикла системы ЖАТ. Она является составной частью программы обеспечения надежности или самостоятельным документом.
Программа обеспечения безопасности определяет стратегию, методы и средства обеспечения безопасности, порядок проведения нормирования безопасности, необходимый объем и виды испытаний, методы расчетов показателей безопасности на различных стадиях жизни системы ЖАТ. Программа служит одним из оснований сертификации безопасности системы ЖАТ. На основе результатов выполнения программы устанавливается соответствие показателей безопасности системы ЖАТ заданному уровню.
К терминам "Безотказность", "Отказоустойчивость", "Безопасное поведение при отказе" (пп.4.2, 4.3 и 4.4)
Для достижения требуемого уровня безопасности используются три стратегии: безотказность (система, которая не отказывает, - безопасна), отказоустойчивость и безопасное поведение при отказах.
Отказоустойчивость базируется на резервировании, остальные средства (диагностика, восстановление и реконфигурация) только повышают ее эффективность. Система обладает отказоустойчивостью, если можно выделить непустой набор элементов, неисправность которых не приведет к отказу.
Отказоустойчивость в зависимости от вида используемого резерва может быть функциональной, структурной (аппаратной и (или) программной), временной и информационной. Если в результате отказов система ЖАТ исчерпала свои резервные возможности для маскирования отказов, т.е. в результате деградации структура перестала быть отказоустойчивой, то при появлении еще одного отказа она должна перейти в необратимое защитное (отключенное от объектов управления) состояние. Автоматический выход из этого состояния должен быть маловероятен.
К терминам "Деградация системы автоматики" и "Реконфигурация системы автоматики" (пп.4.6 и 4.7)
При деградации происходит уменьшение кратности резервирования и может изменяться вид резервирования. При реконфигурации производится изменение структуры отказоустойчивой системы при отключении неисправных элементов, при переключении на резервные элементы и включении восстановленных элементов.
К разделу 5. "Безопасность дискретных систем"
В данном разделе определяются основные понятия, связанные с безопасностью дискретных систем, которые составляют большинство устройств железнодорожной автоматики. Приведенные далее термины должны использоваться при составлении нормативно-технической документации, в формулировках концепций безопасности, при доказательствах безопасности и разработке сертификатов на аппаратуру. Элементами дискретных систем являются комбинационные схемы, автоматы (с памятью) и программы. Относительно этих объектов и даются последующие определения.
К терминам "Защитное состояние дискретной системы" и "Опасное состояние дискретной системы" (пп.5.2 и 5.3)
Для дискретных систем целесообразно ввести определения защитного и опасного состояний, которые будут частными случаями определений, данных в пп.1.3 и 1.4. Это связано с тем, что функции, которые выполняет дискретная система, обычно формулируются как алгоритм ее функционирования. При этом используются формальные способы записи алгоритмов, такие как язык временных диаграмм, функции алгебры логики, язык граф-схем алгоритмов, логических схем алгоритмов, язык регулярных выражений и др. Поэтому далее вместо термина "функция" будет использоваться термин "алгоритм функционирования".
Под опасным искажением алгоритма функционирования понимается искажение, в результате которого происходит опасное воздействие на объект управления (неправильное включение разрешающего показания светофора, самопроизвольное включение стрелочного электродвигателя и т.п.).
Под защитным искажением алгоритма функционирования понимается искажение, в результате которого либо не происходит необходимого воздействия на объект, либо происходит защитное воздействие на объект управления (неправильное включение запрещающего показания светофора, невключение стрелочного электродвигателя и т.п.).
К терминам "Ответственная телемеханическая команда" и "Безопасная система телемеханики" (пп.5.5 и 5.6)
Примерами ответственных команд телеуправления являются передачи по телемеханическому каналу на промежуточную станцию команд на открытие пригласительного сигнала и на аварийный перевод стрелки. Особенностью таких команд является то, что технологические условия безопасности при их выполнении уже не проверяются на контрольном пункте, а должны полностью обеспечиваться на пункте управления. Если в системе телемеханики передаются подобные команды, то такая система должна быть безопасной.
К терминам "Элемент с несимметричными отказами" и "Коэффициент асимметрии отказов" (пп.5.8 и 5.11)
К терминам "Опасный входной набор" и "Функция опасного отказа" (пп.5.12 и 5.13)
К термину "Опасный отказ в комбинационной схеме" (п.5.14)
К термину "Безопасная комбинационная схема" (п.5.15)
У безопасной комбинационной схемы для всех отказов, вероятность возникновения которых необходимо учитывать исходя из заданного уровня безопасности, выполняется условие
Термины пп.5.12-5.15 используются для доказательства отсутствия опасных отказов в комбинационной схеме.
К терминам "Опасная входная последовательность", "Реализация входной последовательности" и "Опасное событие" (пп.5.16, 5.17 и 5.18)
Дискретный автомат с памятью функционирует в дискретном времени. Поэтому опасные ситуации в алгоритме его работы связаны с последовательностями входных наборов, которые сменяют друг друга во времени. Такие последовательности определяют предысторию автомата к данному моменту времени и реализуются путем появления на выходе логического сигнала I и активного воздействия на ответственный объект управления. Опасная входная последовательность задает опасное искажение алгоритма, а опасное событие - множество всех опасных искажений.
К термину "Опасный отказ в автомате" (п.5.19)
К терминам "Ложный переход", "Опасный ложный переход" и "Безопасный ложный переход" (пп.5.20, 5.21 и 5.22)
Рис.7. Граф переходов в схемах электрической централизации
Таблица 1
| Состояние реле | Смысл состояний | |||
| С | З | 1М | 2M |
|
1 | 0 | 1 | 1 | 1 | Сигнал закрыт, замыкание отсутствует |
2 | 1 | 0 | 1 | 1 | Сигнал открыт, предварительное замыкание |
3 | 1 | 0 | 0 | 0 | Сигнал открыт, окончательное замыкание |
4 | 0 | 0 | 1 | 0 | Сигнал закрыт, поезд вступил на маршрут |
5 | 0 | 0 | 0 | 0 | Сигнал закрыт, окончательное замыкание |
К терминам "Граф безопасных ложных переходов" и "Граф безопасных искажений" (пп.5.23 и 5.24)
Все безопасные ложные переходы автомата задаются с помощью графа безопасных ложных переходов. На рис.8 изображен этот граф для электрической централизации. При структурном синтезе автомата с требуемой вероятностью должны быть исключены все опасные ложные переходы и некоторое множество безопасных ложных переходов. Это связано с тем, что несколько безопасных ложных переходов в совокупности могут вызвать опасное искажение алгоритма функционирования. По этой причине граф безопасных искажений является суграфом графа безопасных ложных переходов, т.е. множество дуг первого является подмножеством множества дуг второго. Для электрической централизации граф безопасных искажений совпадает с графом безопасных ложных переходов (рис.8).
Рис.8. Граф безопасных ложных переходов электрической централизации
К терминам "Граф возможных ложных переходов" и "Безопасное кодирование автомата" (пп.5.25 и 5.26)
Термины пп.5.25 и 5.26 используются для доказательства отсутствия опасных отказов в автоматах.
К термину "Отказ программы" (п.5.28)
К термину "Опасный отказ программы" (п.5.29)
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Надежность и эффективность в технике: Справочник / Ред. совет: В.С.Авдуевский (пред.) и др.
T.1: Методология. Организация. Терминология / Под ред. Рембезы. - М.: Машиностроение, 1989. - 224 с.
2. ГОСТ 27.002-89. Надежность в технике. Основные понятия. Термины и определения. - М.: Изд. стандартов, 1989 - 37 с.
3. Сапожников В.В., Сапожников Вл.В. О синтезе конечных автоматов с исключением опасных отказов // Автоматика и телемеханика. - 1972. - N 8. - С.93-99.
4. Переборов А.С., Трохов В.Г., Василенко М.Н. Определение основных показателей надежности систем железнодорожной автоматики и телемеханики // Автоматическое управление на железнодорожном транспорте: Сб. науч. тр. - Л.: ЛИИЖТ, 1977. - С.47-56.
5. Христов X.А. Электронизация на осигурителната техника. - София: Техника, 1984. - 355 с.
6. Лисенков В.М. Теория автоматических систем интервального регулирования. - М.: Транспорт, 1987. - 150 с.
7. Сапожников В.В., Кравцов Ю.А., Сапожников Вл.В. Дискретные устройства железнодорожной автоматики и телемеханики. - М.: Транспорт, 1988. - 255 с.
8. Руденко Ю., Ушаков И. О безопасности как одном из свойств надежности систем энергетики // Известия АН СССР. Сер. Энергетика и транспорт. - 1985. - N 2. - C.5-11.
9. Справочник по безопасности космических полетов / Г.Т.Береговой, В.И.Ярополов, И.И.Баранецкий и др. - М.: Машиностроение, 1989. - 336 с.