Современная нормативная база обеспечения безопасности высокоскоростного железнодорожного транспорта
A. А. Зайцев,
д-р экон. наук, профессор, руководитель Научно-образовательного центра инновационного развития пассажирских железнодорожных перевозок Петербургского государственного университета путей сообщения Императора Александра I (ПГУПС)
B. В. Шматченко,
канд. техн. наук, доцент ПГУПС
П. А. Плеханов,
канд. техн. наук, доцент ПГУПС
Д. Н. Роенков,
канд. техн. наук, доцент ПГУПС
В. Г. Иванов,
старший преподаватель ПГУПС
В основе эффективности применяемых сегодня систем управления безопасностью высокоскоростных железных дорог лежат принципы упреждающего реагирования на появление опасных событий и соответствие ключевым международным стандартам. В статье рассмотрены вопросы нормативного обеспечения безопасности высокоскоростного железнодорожного транспорта, проанализирован зарубежный опыт и сделаны выводы применительно к российской практике.
С
овременные системы управления безопасностью высоко-
I скоростных железных дорог основаны на следующих принципах упреждающего реагирования на появление опасных событий:
1) принцип «нового подхода» - применение методов прогнозирования (методов априорного оценивания) при оценке безопасности и обосновании мер по обеспечению безопасности;
2) оценка безопасности с учетом риска случайных и систематических отказов;
3) управление безопасностью в комплексе с управлением надежностью, готовностью, ремонтопригодностью, материально-техническим обеспечением и стоимостью жизненного цикла.
Необходимость «нового подхода» к обеспечению безопасности
Формально такая необходимость бьиа установлена Директивой Европейского Парламента и Совета Европы от 29.04.2004 г. № 2004/49/EC (Railway Safety Directive), предписывающей использовать следующее:
1) анализ и управление риском на всех этапах жизненного цикла технических систем, участвующих в формировании перевозочной услуги, причем на ранних этапах жизненного цикла выполняются прогнозные оценки рисков, которые сопоставляются с критериальными (допустимыми) значениями риска;
2) единые цели в области безопасности, единые показатели достижения це-
леи и единые методы оценки показателей на всем пространстве Европейского союза;
3) единые подходы к сертификации безопасности и гармонизированные контрольно-разрешительные органы;
4) единую типовую систему менеджмента безопасности, основанную на принципах стандарта ISO 9001.
Для выполнения требований Директивы Европейский Комитет по стандартизации CENELEC разработал следующие рамочные стандарты:
1) EN 50126 Railway applications -The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS) (Железнодорожные приложения - Обоснование требований по надежности, готовности, ремонтопригодности и безопасности и подтверждение их выполнения);
2) EN 50128 Railway applications -Communication, signalling and processing systems - Software for railway control and protection systems (Железнодорожные приложения - Системы связи, сигнализации и обработки данных - Программное обеспечение для систем железнодорожного управления и защиты);
3) EN 50129 Railway applications -Communication, signalling and processing systems - Safety related electronic systems for signaling (Железнодорожные приложения - Системы связи, сигнализации и обработки данных - Безопасные электронные системы сигнализации).
Это ключевые стандарты управления безопасностью совместно с надежностью, готовностью и ремонтопригод-
60 | «Транспорт Российской Федерации»
№ 5 (60) 2015
Рис. 1. Типовая модель жизненного цикла железнодорожных систем в соответствии с EN 50126
ностью на железнодорожном транспорте. Их длительное успешное применение в разных странах привело к тому, что они получили статус стандартов Международной электротехнической комиссии (IEC): стандарты EN 50126, EN 50128 и EN 50129 идентифицируются как IEC 62278, IEC 62279 и IEC 62425, соответственно.
Дополнительно к указанным стандартам разработаны и применяются следующие руководства:
1) CLC/TR 50126-2 Railway applications - The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS). Part 2: Guide to the application of EN 50126-1 for safety (Железнодорожные приложения
- Обоснование требований по надежности, готовности, ремонтопригодности и безопасности и подтверждение их выполнения. Часть 2: Руководство по применению EN 50126-1 для обоснования требований по безопасности);
2) CLC/TR 50126-3 Railway applications - The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS). Part 3: Guide to the application of EN 50126-1 for rolling stock RAM (Железнодорожные приложения - Обоснование требований по надежности, готовности, ремонтопригодности и безопасности и подтверждение их выполнения. Часть 3: Руководство по применению EN 50126-1 для обоснования требований к подвижному составу);
3) CLC/TR 50506-1 Railway applications - Communication, signalling and processing systems - Application Guide for EN 50129. Part 1: Cross-acceptance (Железнодорожные приложения - Системы связи, сигнализации и обработки данных - Руководство по применению EN 50129. Часть 1: Перекрестная приемка);
4) CLC/TR 50506-2 Railway applications - Communication, signalling and processing systems - Application guide for EN 50129. Part 2: Safety assurance (Железнодорожные приложения - Системы связи, сигнализации и обработки данных. - Руководство по применению EN 50129. Часть 2: Обеспечение безопасности);
5) CLC/TR 50451 Railway applications
- Systematic allocation of safety integrity requirements (Железнодорожные приложения - Систематизированное распределение требований по полноте безопасности).
Кроме рамочных стандартов на соответствующих этапах жизненного цикла железнодорожных систем используются прикладные стандарты, которыми определяются показатели безопасности (а также надежности, готовности, ремонтопригодности и стоимости) и методы их оценки.
Модель жизненного цикла железнодорожных систем
В стандарте EN 50126 действия по управлению безопасностью (а также надежностью, готовностью и ремонтопригодностью) регламентируются в соответствии с типовой моделью жизненного цикла железнодорожных систем (рис. 1).
Показанные на схеме этапы жизненного цикла объединены в три группы: этапы идентификации угроз и оценки связанного с ними риска, этапы реализации системы на стадии проекта, а затем в виде аппаратно-программного комплекса и этапы применения системы согласно назначению и снятия с эксплуатации. Этими группами идентифицируется ответственность за безопасность системы: за первые четыре этапа ответственность несет заказчик, за создание системы отвечают подрядчики (проектировщики и изготовители), за эксплуатацию и обслуживание - снова заказчик.
Критериальные значения риска
Любой прогноз безопасности необходимо сопоставлять с некоторым пороговым уровнем (критерием) риска, который характеризует достаточность мероприятий по его снижению. Один из наиболее конструктивных подходов к формированию критерия допустимо-
сти риска - сопоставление его с уровнем минимальной эндогенной смертности в социуме, т. е. смертности человека в силу действия внутренних (естественных) причин (рис. 2).
Иначе говоря, вероятность гибели человека в течение года от действия железнодорожного транспорта должна быть на порядок меньше вероятности гибели человека в самом жизнеспособном возрасте в силу естественных причин. При этом имеются в виду люди, непосредственно участвующие в формировании и использовании перевозочной услуги, а также люди, находящиеся в зоне действия железнодорожного транспорта.
Такой подход, применяемый в Германии, называется принципом MEM (Minimum Endogenous Mortality - минимальная эндогенная смертность). Кроме него применяются принципы ALARP в Великобритании и GAME (или GAMAB) во Франции, также рассмотренные в стандарте EN 50126.
Функциональная модель высокоскоростного железнодорожного транспорта
Критериальное значение риска, определенное в соответствии с принципом MEM (или ALARP, или GAME) для всей транспортной системы, необходимо декомпозировать на значения риска, связанного с ее подсистемами и компонентами. В этих целях используется функциональная модель высокоскоростного железнодорожного транспорта. Она включает в себя несколько уровней иерархии и позволяет свести значение риска, допустимого для транспортной системы, к допустимому риску, связанному с опасными
О 14 20 60
Рис. 2. Уровень минимальной эндогенной смертности как основа для формирования критерия допустимого железнодорожного риска
отказами ее подсистем и компонентов (рис. 3).
Допустимый риск, связанный с компонентами системы, определяется на основе анализа угроз, действие которых возможно при функционировании компонента. Например, угроза столкновения поездов может реализоваться в силу следующих причин:
1) ошибка при определении местоположения поезда;
2) ошибка управления скоростью поезда;
3) ошибка задания маршрута следования поезда;
4) полная или частичная утрата способности к торможению;
5) потеря полносоставности.
Каждая из названных причин, в свою
очередь, может быть результатом цепочки причинно-следственных связей, в начале которой находится первичная причина - отказ техники или ошибка человека. Очень важно учитывать принципиальную разницу между отказом техники и ошибкой человека. Относительно технического устройства сначала отмечается случайный отказ (событие), а затем неисправность (состояние). Ошибка человека, напротив, представляет собой неисправность (состояние), и при обращении к объекту, в котором допущена ошибка (фрагменту компьютерной программы, устройству с ошибочной инструкцией по обслуживанию), происходит отказ - событие. Эта разница принципиально важна, так как требует различных подходов к управлению безопасностью. Отказы технических средств минимизируются на основе применения теории надежности, ошибки человека - на основе применения систем менеджмента. Возможность разнообразных сочетаний отказов техники и ошибок человека в системах современного железнодорожного транспорта привела к необходимости применения единой методологии управления - методологии управления гарантоспособностью систем.
Понятие гарантоспособности
Гарантоспособность (dependability) - это свойство эргатической (т. е. человеко-машинной) системы, позволяющее обоснованно полагаться на выполнение задач, для которых она предназначена [1]. Концепция гарантоспособности весьма плодотворна. Ее развитие в российском аэрокосмосе привело к созданию языка программирования «Дракон», который позволяет разрабатывать программы, практически не имеющие ошибок.
Отметим, что понятия «гарантоспособность» нет в системе понятий отечественной нормативной базы качества и безопасности железнодорожного транспорта. Оно заменяется понятиями «надежность», «общая надежность», «функциональная надежность». Это повлекло за собой необходимость изменить термин «надежность», применяемый долгое время. Теперь термины «безотказность» и «долговечность» часто действуют параллельно с термином «надежность» в прежнем его понимании. В итоге работа проектировщиков серьезно затрудняется, что приводит к увеличению риска проектных (систематических) ошибок.
При этом в России действуют стандарты с традиционным представлением о надежности. Например, это ГОСТ Р 54257-2010 «Надежность строительных конструкций и оснований. Основные
положения и требования», в котором учтены основные нормы следующих стандартов:
1) EN 1990-2002 Basis of structural design (Основы проектирования конструкций);
2) ISO 2394-1998 General principles of reliability for structures (Общие принципы надежности конструкций).
Очевидно, что у разработчиков одного и того же проекта не должно быть различного понимания надежности.
Международный опыт
стандартизации
в области гарантоспособности
Вместе с тем управление гарантоспособностью давно представляет собой объект детальной международной стандартизации. Так, создана серия из 16 следующих стандартов IEC с общим названием IEC 60300 Dependability management (Менеджмент гарантоспособности):
1) IEC 60300-1 (2003-06) Dependability management - Part 1: Dependability management systems (Менеджмент гарантоспособности -Часть 1: Системы менеджмента гарантоспособности);
2) IEC 60300-2 (2004-03) Dependability management - Part 2: Guidelines for dependability management (Менеджмент гарантоспособности -Часть 2: Руководство по менеджменту гарантоспособности);
3) IEC 60300-3-1 (2003-01) Dependability management - Part 3-1: Application guide - Analysis techniques for dependability - Guide on methodology (Менеджмент гарантоспособности -Часть 3-1: Руководство по применению
- Методы анализа гарантоспособности
- Методологическое руководство);
4) IEC 60300-3-2 (2004-11) Dependability management - Part 3-2:
Рис. 3. Фрагмент функциональной модели высокоскоростного железнодорожного транспорта
62 | «Транспорт Российской Федерации;
№ 5 (60) 2015
Application guide - Collection of dependability data from the field (Менеджмент гарантоспособности - Часть 3-2: Руководство по применению - Сбор прикладных данных по гарантоспособности);
5) IEC 60300-3-3 (2005-08) Dependability management - Part 3-3: Application guide - Life cycle costing (Менеджмент гарантоспособности - Часть 3-3: Руководство по применению - Оценивание стоимости жизненного цикла);
6) IEC 60300-3-4 (1996-08) Dependability management - Part 3-4: Application guide - Guide to the specification of dependability requirements (Менеджмент гарантоспособности - Часть 3-4: Руководство по подготовке требований гарантоспособности);
7) EC 60300-3-5 (2001-03) Dependability management - Part 3-5: Application guide - Reliability test conditions and statistical test principles (Менеджмент гарантоспособности -Часть 3-5: Руководство по применению - Условия тестирования надежности и принципы статистического тестирования);
8) IEC 60300-3-7 (1999-05) Dependability management - Part 3-7: Application guide - Reliability stress screening of electronic hardware (Менеджмент гарантоспособности - Часть 3-7: Руководство по применению - Обеспечение надежности электронного оборудования в условиях перегрузок);
9) IEC 60300-3-9 (1995-12) Dependability management - Part 3-9: Application guide - Risk analysis of technological systems (Менеджмент гарантоспособности - Часть 3-9: Руководство по применению - Анализ риска технологических систем);
10) IEC 60300-3-10 (2001-01) Dependability management - Part 3-10: Application guide - Maintainability (Менеджмент гарантоспособности - Часть 3-10: Руководство по применению - Ремонтопригодность);
11) IEC 60300-3-11 (1999-03) Dependability management - Part 3-11: Application guide - Reliability centered maintenance (Менеджмент гарантоспособности - Часть 3-11: Руководство по применению - Обеспечение надежности на основе технического обслуживания);
12) IEC 60300-3-12 (2001-12) Dependability management - Part 3-12: Application guide - Integrated logistic
support (Менеджмент гарантоспособности - Часть 3-12: Руководство по применению - Комплексное материально-техническое обеспечение);
13) IEC 60300-3-13 Dependability management - Part 3-13: Application guide - Project risk management (Менеджмент гарантоспособности - Часть 3-13: Руководство по применению - Менеджмент проектного риска);
14) IEC 60300-3-14 (2004-07) Dependability management - Part 3-14: Application guide - Maintenance and maintenance support (Менеджмент гарантоспособности - Часть 3-14: Руководство по применению - Техническое обслуживание и его обеспечение);
15) IEC 60300-3-15 (2009-02) Dependability management - Part 3-15: Guidance to engineering of system dependability (Менеджмент гарантоспособности - Часть 3-15: Руководство по проектированию гарантоспособности систем);
16) IEC 60300-3-16 (2008-10). Dependability management - Part 3-16: Application guide - Guideline for the specification of maintenance support services (Менеджмент гарантоспособности - Часть 3-16: Руководство по применению - Руководство по подготовке требований по техническому обслуживанию).
Только из перечня приведенных документов видно, что современная международная нормативная база комплексно рассматривает различные аспекты гарантоспособности: от анализа риска, связанного с применением технических систем, до затрат на создание и применение этих систем как совокупности стоимостных элементов (стандарт IEC 60300-3-3).
Проблемы нормативной базы высокоскоростного железнодорожного транспорта в России
Из серии документов IEC 60300 в России используется только один стандарт - IEC 60300-3-1 (2003-01) - в двух вариантах:
1) ГОСТ Р 51901.5-2005 «Менеджмент риска. Руководство по применению методов анализа надежности» (модифицирован по отношению к IEC 60300-3-1, действует);
2) ГОСТ Р 27.301-2011 «Надежность в технике. Управление надежностью. Техника анализа безотказности. Основные положения» (разработан с учетом
положений IEC 60300-3-1, действует).
В связи с этим возникает вопрос, почему один из 16 стандартов переведен дважды, причем в том и ином случае понятие «гарантоспособность» исключено из названия и текста документов, а остальные 15 - ни разу. Наверное, это связано с тем, что Федеральный закон «О техническом регулировании» [2] не предусматривает обязательных требований по безопасности к перевозочной услуге. Кроме того, Технический регламент «О безопасности высокоскоростного железнодорожного транспорта» [3], требующий анализа риска при использовании технических систем, не предлагает ни единых целей в области безопасности, ни единых показателей достижения целей, ни единых методов оценки показателей.
Тем самым формируются условия для игнорирования богатейшего международного опыта создания и применения нормативной базы комплексного управления безопасностью железнодорожного транспорта, включая высокоскоростной, которая сегодня включает следующие документы (но не исчерпывается ими): EN 50126, EN 50128, EN 50129, IEC 60300, IEC 61160, IEC 60706, IEC 61508, IEC 60812, IEC 60863, IEC 61025, IEC 61078, IEC 61165, IEC 61709, IEC 60605, IEC 61014, IEC 61070, IEC 61123, IEC 60319, MIL STD 471a, MIL STD 2173, IEC 60571, MIL STD 785B, MIL STD 756, MIL STD 1629, IEC 60812, IEC 61882 и др.
Указанные документы применяются всеми странами, строящими высокоскоростные железные дороги. Практика эксплуатации таких дорог подтвердила их высокую безопасность. Очевидно, что столь ценный опыт необходимо в полной мере использовать в России и других странах Евразийского экономического союза. □
Литература
1. Паронджанов В. Д. Как улучшить работу ума: Алгоритмы без программистов -это очень просто! М.: Дело, 2001. 360 с.
2. Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
3. Технический регламент Таможенного союза «ТР ТС 002/2011. Технический регламент ТС. О безопасности высокоскоростного железнодорожного транспорта»: утв. решением Комиссии Таможенного союза от 15 июля 2011 г. № 710.