Jelen cikk az Európai Vasúti Ügynökségnek (ERA) a CSM rendelet kiegészítéseként a vasúti műszaki rendszerek kockázatelfogadási kritériumaira tett javaslata validálására használatos eljárást írja le. A validációt a szabványos svájci sorompó berendezések kockázatelemzésének részeként hajtották végre. Az elfogadható kockázat az egyénre vonatkozó MEM (minimális endogén mortalitás) kockázatelfogadási kritériumból került levezetésre. A kockázat kvantitatív számításához formális Petri-háló modelleket használtak.
1. Bevezetés
Az Európai Unió közös biztonsági módszerekről szóló (CSM) rendelete [1] az I. melléklet 2.5.6. pontjában kockázatelfogadási kritériumot definiált műszaki rendszerekhez (RAC-TS). A rendelet a vasutak biztonságreleváns műszaki rendszereinek nemzetközi elismerésével (kölcsönös elismerés elve) foglalkozik, és előírja, hogy minden olyan funkció esetén, melynek hibája közvetlenül katasztrofális következménnyel járhat, bizonyítani kell, hogy a meghibásodási ráta kisebb vagy egyenlő, mint üzemóránként 10-9. Katasztrofális következménynek kell tekinteni a [1] 3. cikk értelmében „a balesetből származó halálos áldozatokat és/vagy számos súlyos sérültet és/vagy komoly környezetkárosodást”. 2013-ban az Európai Vasúti Ügynökség (ERA) ajánlást tett közzé a CSM rendelet kiegészítéséhez [2]. Ez az RAC-TS további finomítására vonatkozik, mely a súlyosságot további fokozatokkal egészíti ki. A szervezet a következő bővítést javasolta az I. melléklet 2.5.4. pontjához:
b) Olyan meghibásodás esetén, melynél fennáll az a tipikus, hitelt érdemlő esély, hogy egyes személyeket érintő, valamint halálesettel és/vagy súlyos sérüléssel járó balesethez vezet, a funkció meghibásodási gyakoriságát nem kell tovább csökkenteni, ha bizonyították, hogy az kisebb vagy egyenlő, mint üzemóránként 10-7 meghibásodás. …E követelményekre úgy kell hivatkozni, mint olyan harmonizált, kvantitatív tervezési célokra, melyeket műszaki rendszerek tervezéséhez kell használni .
A CSM rendelet kiegészítési javaslatának közzétételét követően az ERA felhívta a vasútipar szereplőinek a figyelmét, hogy validálják a megengedett meghibásodási ráták általuk javasolt kvantitatív értékeit. Statisztikai adatok alapján többek között a sorompó berendezéseket is be lehet venni azon rendszerek csoportjába, melyek meghibásodása várhatóan rendelkezik a 2.5.4.b pontban definiált súlyossági szinttel. Következésképpen az üzemóránkénti 10-7 maximális meghibásodási ráta vonatkozik rá.
2010-ben a svájci Szövetségi Közlekedési Hivatal (FOT) biztonságintegritási követelményeket definiált a MIDI, MINI és MICRO (lásd 3. fejezet) nevű szabványosított sorompótípusok számára az egyes rendszerfunkciók szintjén, olyan kockázatelemzés [3] alapján, amelyet a Petri-hálók formális leírási módszereire támaszkodó sztochasztikus modellek használatával, a CSM rendelettel [1] összhangban végeztek.
Ezeket a formális sztochasztikus modelleket fogjuk most felhasználni az ERA ajánlásának validálására. A validációs eljárás során célunk annak kivizsgálása, hogy a műszaki rendszerekre az ERA által javasolt biztonsági célok elegendők-e ahhoz, hogy kielégítsék a MIDI, MINI és MICRO sorompótípusokra vonatkozó FOT biztonságintegritási követelményeket. A 2. fejezet bemutatja, hogyan definiáltuk az útátjárót használók számára elfogadható kockázatot. A 3. fejezetben funkcionális és üzemeltetési feltételek szempontjából jellemezzük a szabványos svájci sorompótípusokat. A használt formális leírási módszerek rövid bemutatása után a 4. fejezet kifejti a modellezési eljárást és a modellelemzési módszereket. Az 5. fejezet tárgyalja a modellelemzés jelentőségét és eredményeit, valamint jelentőségüket abból a szempontból, hogy miképpen validálják a CSM rendelet kiegészítésére vonatkozó ajánlást.
2. Kockázatelfogadás az útátjárót használók esetén
A biztonságintegritási követelmények definíciója a CENELEC EN 50126 szabvány [4] informatív részében specifikált egyéni minimális endogén mortalitás (MEM) kockázatára vonatkozó elfogadási kritériumra támaszkodik. Az útátjárót használók (gyalogosok, kerékpárosok, motorosok stb.) tekinthetők azon csoportnak, amelyet leginkább befolyásol a sorompó berendezés hibája. Más csoportok – pl. a vasúti személyzet (különösen a mozdonyvezetők) és az utasok – kockázatát alacsonyabbnak tekintjük. Amennyiben elegendő védelmet biztosítunk az útátjárót használók számára, az lefedi a többi érintett embercsoportot is.
2.1. Az útátjárót használók esetében elfogadott egyéni kockázat
A szakirodalomban [5] a 2. kockázati kategóriát rendelik hozzá az útátjárót használók csoportjához, amely a gyakorlatban gyakran az egyéni kockázat elfogadhatósági határára személyenként és évente 10-4 haláleset értéket enged meg. Mindazonáltal, miután igen kicsi a valószínűsége annak, hogy az útátjárót használók képesek reagálni a rendszer műszaki hibáira, így a 3. kockázati kategóriát választottuk a biztonságintegritási követelmények meghatározásához, melynek határértéke személyenként és évente 10-5 haláleset. (Miután a vasutat használó utasok ugyanebbe a kategóriába esnek, ez lehetővé tette, hogy számukra a sorompó berendezések biztonságintegritásának megsértéséből származó potenciális kockázatot is lefedjük.) E besorolás alapján az általános biztonsági követelmény a következőképpen fogalmazható meg: „A sorompó berendezések műszaki hibája folytán az útátjárót használók egyéni kockázata nem lépheti túl évente és személyenként a 10-5 halálesetet.”[6]
2.2. Az útátjárót használókat érintő balesetek megengedett gyakorisága
A 2010-ben kifejlesztett sztochasztikus Petri-háló modellek használatával ki lehet számítani az útátjárókban előforduló baleseti gyakoriságot úgy, hogy megadjuk a vizsgált rendszerfunkciók veszélyes hibáinak előfordulási gyakoriságát, valamint a közúti és vasúti forgalom intenzitását. Ahhoz, hogy következtetést vonhassunk le a meghibásodások elfogadható gyakoriságáról, szükség van arra, hogy a kockázatelfogadási kritériumból kiszámítsuk az egyéni útátjáró-használókat érintő balesetek megengedett gyakoriságát. Ez a gyakoriság független a sorompó berendezések konkrét funkcionális vagy technikai megjelenésétől. Még azokra a sorompókra is használhatók, melyek semmilyen aktív biztonsági rendszerrel nincsenek felszerelve. A CENELEC EN 50126 szabványból vett RiLCacc általános biztonsági követelmény egyéves időtartamra vonatkozó veszélyeztetéshez kapcsolódik. Ez azonban nem felel meg annak az időnek, ameddig az egyes személyek veszélyeztetésnek vannak kitéve az útátjáróban. Az ehhez tartozó konverzió azon maximális veszélyeztetési idő becslésére támaszkodik, ameddig a közút használói ki vannak téve a sorompók műszaki meghibásodásából eredő veszélyeknek (1. táblázat).
Az alapul vett feltételezésekre támaszkodva egy személy útátjáróban történő veszélyeztetésének ideje legfeljebb EmaxLC = 10,3 óra/év. Ez a következő óránkénti és másodpercenkénti megengedett egyéni kockázathoz vezet az útátjáróknál a veszélyeztetés ideje alatt:
Ebből le lehet vezetni az útátjárón áthaladó gyalogosokra és közúti járművel közlekedőkre az elhalálozás megengedett kockázatát:
Gyalogos:
Járművel közlekedő:
A két határérték nagyságrendje ugyanaz, ami azt jelenti, hogy az RiLCmax = 2·10-9 halál/személy/átkelés közös kockázatelfogadási érték használható mindkét embercsoport további elemzéséhez. A svájci útátjáró-balesetek statisztikai értékelése azt mutatja, hogy nem minden baleset végződik halállal. A gyalogosokat érintő balesetek 0,3-as halálozási tényezője (amikor egy vonat és egy személy ütközik), illetve a vonatok és közúti járművek közötti ütközések esetén a 0,05-ös érték az elmúlt tíz év adatai alapján használható. A CSM rendelet kiegészítésére tett ajánlás [2] 2.5.4. pontja a súlyosság szintjét a következőképpen írja le: „tipikus, hitelt érdemlő esély, hogy egyes személyeket érintő, valamint halálesettel és/vagy súlyos sérüléssel járó balesethez vezet”. Ez megfelel egy útátjáró baleset tipikus potenciális súlyossági szintjének. Annak érdekében, hogy validálni lehessen az ajánlott óránkénti 10-7 értéket, azzal az óvatos becsléssel éltünk, hogy minden útátjáróbaleset halállal végződik. Ezért a következő elfogadási kritérium használható a további elemzések során:
A halálozási tényezőt szándékosan nem vettük figyelembe.
3. Szabványos sorompótípusok Svájcban
Az útátjárók biztonsági rendszerekkel történő ellátása, melyeket az alábbiakban sorompó berendezésnek nevezünk, hatékony intézkedés, mely csökkenti az útátjárót használók kockázatát, különösen azon felhasználók számára, akiknek nincs szándékában a figyelmeztető jelzések figyelmen kívül hagyása. Mindazonáltal a sorompó berendezések telepítése igen költséges. Annak érdekében, hogy elősegítsük a viszonylag olcsó rendszerek fejlesztését, melyek több veszélyeztetési pont felszerelését teszik lehetővé korlátozott finanszírozás mellett, a Svájci Tömegközlekedési Egyesület (Verband öffentlicher Verkehr – VöV) funkcionális specifikációkat fogalmazott meg a sorompók három egyszerű, szabványos típusához [7]. Ezek neve MIDI, MINI és MICRO (1. ábra).
A 2. táblázat sorolja fel a három sorompótípus funkcióit.
A háromféle sorompó az üzemi feltételek vonatkozásában is eltér egymástól. Alkalmazásuk fő különbségeit a 3. táblázat foglalja össze, a szabványnak megfelelően [7].
Egyik lényeges eltérés a különböző sorompótípusok között az, hogy van-e olyan ellenőrző vagy fedező jelző, ami a vonatot megállásra készteti, mielőtt egy hibás sorompót elér. A MIDI és MINI konfigurációk esetén a mozdonyvezető számára ez a vasúti fényjelző kötelező követelmény, míg a MICRO típusnak egy villogó sárga fénye van, amely a közúti felhasználókat figyelmezteti a rendszer hibájára. Ilyenkor hiba esetén a sorompón történő áthaladás a közutat használók felelőssége. Ez okból ott, ahol a MICRO típusok vannak felszerelve, a közutat használóknak képesnek kell lenniük annak ellenőrzésére, hogy biztonságosan lehet-e keresztezni a vasúti pályát. Az e típusnál figyelembe veendő kockázat tehát annak a lehetősége, hogy a közút használója rosszul ítéli meg a helyzetet egy vonat közeledésekor.
Veszélyelemzéssel azonosítani lehet a különböző funkcionalitással bíró háromféle sorompótípussal járó kockázatot. Nyilvánvaló, hogy az egyes funkciók hibája közvetlenül veszélyeztetéshez vezet rendszerszinten, vagy potenciálisan ilyen veszélyhez vezethet (azaz, amikor a veszély csak a körülmények kombinációjából adódik, pl. egy második funkció hibájából). Az egyetlen rendszerfunkció hibájából származó kockázatokon kívül az érintett személyzethez kapcsolódó lehetséges kockázatokat is figyelembe kell venni. Ezek közé tartozik, hogy a mozdonyvezető nem veszi észre a vasúti fényjelző működésének hiányát (olyan esetben, amikor a sorompótípus egyáltalán rendelkezik ezzel a funkcióval), ami azzal jár, hogy a vonat egy teljesen vagy részben biztosítatlan útátjárón halad át. E tévedés gyakoriságát jelentősen csökkenteni lehet, ha vonatbefolyásoló rendszert telepítenek. Mivel a jelenlegi törvények (AB-EBV 8-tól az AB 39. cikkelyig, 39.3.c, 2.1.2. pont) megkövetelik a vonatbefolyásoló rendszerek felszerelését, annak valószínűsége, hogy működésképtelen közúti jelzőlámpával rendelkező útátjárón haladjon át egy vonat – igen alacsony (áthaladásonként 10-5 hiba).
4. A sorompók formális modellezése
4.1. Petri-hálók
Az útátjárót használók egyéni kockázata a háromféle sorompótípus mindegyikénél formális modellezéssel számítható. A modellezéshez Petri-hálókat használtunk [9]. A módszer széles körben elterjedt a sztochasztikus és determinisztikus dinamikus rendszerek leírásához. Ebben az esetben az EDSPN (kibővített determinisztikus és sztochasztikus Petri-háló) modellt használtuk a 2. ábrán bemutatott hálózatelemekkel.
Egy Petri-háló modellben esemény csak akkor következhet be, ha annak összes bemeneti helye tokennel van megjelölve (3. ábra).
Ez az állapotváltozás nem időfüggő (az ezt leíró azonnali tranzíciókat keskeny vonalak szimbolizálják – 2. ábra). Ha időfüggő (determinisztikus vagy sztochasztikus) paramétereket rendelünk hozzá a tranzíciókhoz (fekete vagy fehér téglalapok), az lehetővé teszi, hogy egy rendszer átmeneti dinamikus viselkedését is modellezzük a logikai viselkedésen kívül. Hogy lehetővé tegyük bonyolultabb helyzetekben az ergonómia és a követhetőség megőrzését, a Petri-hálók felkínálják a hierarchikus és moduláris modellezés lehetőségét. Az úgynevezett összevont helyek kulcsszerepet játszanak ebben a vonatkozásban. Ezek a már meglévő helyeket összevontan szimbolizálják, és a modell számos részén használhatók. Az összevont helyek mindig az eredeti helyek tokenjeivel rendelkeznek. Ezek kapcsolják össze a modell részeit (modulokat vagy hierarchikus részleteket), hogy kialakítsák a teljes modellt.
A modellezési eljárás az operatív tevékenységek, a veszélyes helyzetek, a rendszerfunkciók és a funkcionális hibatípusok ismeretére támaszkodik. Lehetővé teszi, hogy az útátjárót használók számára az eredő kockázatot a balesetek gyakoriságának formájában számítsuk ki, figyelembe véve a rendszer különböző funkcióit (típustól függően), konkrét hibagyakoriságaikkal, valamint a közúton és vasúton zajló forgalom intenzitásával együtt. Ezen túlmenően modellezhető és értékelhető a rendszer egy vagy több funkciójának meghibásodása esetén annak valószínűsége, hogy a közutat használók megelőzik a balesetet oly módon, hogy megszabjuk az időzítetlen (azonnali) tranzíciók (W) súlytényezőjét.
4.2. Modellezés
A modellek létrehozásához, verifikálásához és elemzéséhez a π-Tool nevű [10] Petri-háló modellező eszközt használtuk. Ezt a szoftvert a Braunschweigi Műszaki Egyetem (Forgalombiztonsági és Automatizálási Intézet) fejlesztette ki, kifejezetten azért, hogy formális támogatást biztosítson kockázatelemzésekhez. A 4. ábra mutatja be a modell felső szintjét, amely 7 modellrészből áll.
A modell részei a következők:
- Veszélyes helyzetek (Dangerous situations) – Olyan üzemi helyzetek, amelyek az útátjáróban balesethez vezethetnek
- Balesetek (Accidents) – A közúti és a vasúti járművek ütközésének esetei
- Közúti forgalom (Road traffic) – A közúton zajló forgalom, a közutat használók által elkövetett baleset-elkerülések és tévedések (a piros lámpa vagy pirosan villogó lámpa szándékos vagy véletlen figyelmen kívül hagyását és az áthaladást lecsukott sorompó mellett nem vettük figyelembe)
- Vasúti forgalom (Rail traffic) – A vasútüzem, beleértve a mozdonyvezetői hibákat, amikor figyelmen kívül hagyják a vasúti fényjelző jelzését (mindenfajta szándékos vagy hanyagságból eredő lépés kizárva) (5. ábra)

5. ábra A vasúti közlekedés modellje a MIDI és MINI sorompóknál (a tranzíciók a MINI-nek megfelelőek)
- A sorompó funkcionalitása (LC Functionality) – A rendszer funkciói a sorompó típusától függően (MIDI, MINI, MICRO)
- A sorompó megbízhatósága (a sorompó berendezés funkcióinak megbízhatósága) (LC Dependability) – A rendszerfunkciók veszélyes hibatípusai a veszélyes hibák és a hibák felfedésének gyakoriságával
- A sorompó veszélyei (a teljes sorompó berendezés megbízhatósága) (LC Hazards) – A teljes rendszer veszélyes hibái, a rendszerfunkcióktól és az aktuális üzemi helyzettől függően (6. ábra).
A modell különböző részeit egymással közösen használt helyek kötik össze (összevont helyek). Példaként az 5. ábra mutatja be a sorompón át zajló vasúti forgalom modelljét. A modell egyrészt tartalmazza a vonatok közlekedésének gyakoriságát leíró sztochasztikus tranzíciókat (exponenciális eloszlás λ-val, ami megfelel a 3. táblázat gyakoriságainak), a veszélyeztetett terület (útátjáró) előtt a pálya különböző részein eltöltött időt (determinisztikus idők), másrészt viszont azon nem időfüggő átmeneteket, amelyek azt jelképezik, hogy a mozdonyvezető esetleg nem veszi észre a vasúti fényjelzőt. (Annak valószínűsége, hogy ez megtörténik, az a vonatbefolyásoló rendszer miatt áthaladásonként 10-5.)
A 6. ábra mutatja a rendszer megbízhatóságát a MINI sorompótípus esetén. A modell csak azokat az azonnali tranzíciókat tartalmazza, melyeket a teljes modell többi részén levő összevont helyek aktiválnak. Ha a teljes rendszer veszélyeztető állapotban van, akkor ennek elsődleges oka a vasúti fényjelző és a vonatérzékelő berendezés, vagy pedig a vasúti fényjelző és a közúti jelzőlámpák egyidejű hibája. Másodsorban a vonat elhaladását érzékelő rendszer veszélyes meghibásodása miatt a sorompó túl korai felnyitása is veszélyes állapothoz vezethet, ha a vonat már meghaladta a vasúti fényjelzőt. A teljes sorompó berendezésre vonatkozó veszélyes meghibásodási ráta az LC_SystemSafe (biztonságos) helyről az LC_SystemHazard (veszélyeztető) helyre irányuló mind a négy tranzíció meghibásodási rátájának összege. A π-Tool eszköz a tranzíciók (állapotváltozás) manuális vagy automatikus aktiválásával végzett animációval, valamint az időzítetlen ciklusoknak és holtpontoknak egy elérhetőségi gráf formájában végzett, állapottér-számításon alapuló ellenőrzésével támogatja a modellezési folyamatot. Ez jelentősen csökkenti a modell verifikációs és validációs munkaráfordítását. A modell dinamikájának animációja különösen azt teszi lehetővé, hogy a műszaki szakértők a Petri-hálók mélyebb ismerete nélkül közvetlenül részt vehessenek a validációs eljárásban.
4.3. A modell elemzése
Egy kvantitatív modellelemzés segítségével a π-Tool eszköz kiszámítja a modell összes tranzíciójához tartozó gyakoriságokat. Az eszköz mindegyik helyre (lásd 4.1. fejezet) kiszámítja az állandósult rendszerállapot bekövetkezésének valószínűségét (állandósult állapotbeli elemzés).
E célra kétféle eljárás használatos:
- Egy szimulációra alapozott elemzés, amely a modelleket Monte Carlo-szimuláció használatával értékeli. A modell az időzítetlen, a determinisztikus és a sztochasztikus (az exponenciális és egyéb általánosan sztochasztikus) tranzíciók bármilyen kombinációját tartalmazhatja.
- Egy numerikus elemzés, ami átalakítja a Petri-háló modelljét egy Markov-lánccá, és megoldja a hozzá tartozó lineáris egyenletrendszert. Erre vonatkozóan az a követelmény, hogy a modell csak az időzítetlen és az exponenciális sztochasztikus tranzíciók kombinációját tartalmazhatja. A numerikus elemzés egyértelmű előnye a megoldás igen gyors kiszámítása (néhány másodpercen belül), ami csaknem tökéletes pontossággal kivitelezhető. Ezzel ellentétben a szimuláció végrehajtásához több órára van szükség, és 10% alatti hibaarányú eredményeket szolgáltat. Minél nagyobb a különbség a modell legkisebb és legnagyobb gyakoriságú eseménye között, annál hosszabb a számítási idő.
A szimuláció és a numerikus elemzés eredményeinek összevetésével ki lehet mutatni, hogy a MIDI, MINI és MICRO típusok modellezésekor a determinisztikus vagy az általános sztochasztikus tranzíciók használata nincs lényeges hatással az eredményekre. Ez azzal a ténnyel magyarázható, hogy a modellben párhuzamosan futó sztochasztikus folyamatok (vasúti forgalom, közúti forgalom és a rendszer megbízhatósága) között nincs konkurens, dinamikus függőség. Ennek eredményeképpen a sztochasztikus tranzíciók átlagértéke döntő szerepet játszik az állandósult állapotbeli megoldásban (tekintet nélkül a használt sztochasztikus eloszlásokra). Ez okból nem is várható, hogy a valósághűbb sztochasztikus eloszlások használata a funkciók veszélyeinek modellezésére (a használt exponenciális eloszlások mellett) befolyásolná a kockázatelemzés eredményeit. Ezért feltételezzük, hogy a numerikus elemzés használható a kockázatértékelés eljárásaként, jelentősebb pontosságvesztés nélkül.
5. A kockázatelemzés eredményei
5.1. Az egyes funkciók meghibásodásának kockázata
A 7. ábra mutatja be azoknak a modellelemzéseknek az eredményeit, amelyek során az egyes funkciók veszélyes meghibásodásának gyakoriságát változtattuk az óránkénti [0,1 – 1·10-9] tartományban. Ez arra a feltételezésre támaszkodott, hogy az összes rendszerfunkció ugyanazon veszélyeztetési rátával rendelkezik. Az útátjárónál egyetlen személy megengedett baleseti gyakoriságát (RiLCmax), melyet a MEM kockázatelfogadási kritériumból vezettek le, a vörös szaggatott vonal képviseli.
Az elemzés eredményei azt mutatják, hogy az útátjárót használók számára elfogadható egyéni kockázat akkor érhető el a MIDI sorompótípus esetén, ha minden egyes rendszerfunkciónak maximum 1·10-5 az óránkénti veszélyeztetési rátája (ez a SIL 1 biztonságintegritási szint [11]). Mindazonáltal ahhoz, hogy a MINI és MICRO típusoknál is az egyéni kockázatot elfogadható szinten lehessen garantálni, az egyes funkcióknak óránként maximum 1·10-6 óránkénti veszélyeztetési rátával kell rendelkezniük (SIL 2). A biztonsági követelmények közti fenti különbség magyarázható a három sorompótípus eltérő felépítésével. A MIDI rendszerben a csapórúd redundanciája a villogó fény, míg a MINI-nél, ami csupán egyetlen piros fénnyel figyelmezteti a közút használóit, nincs visszaesési szint. A MICRO-nak pedig nincs vasúti fényjelzős biztonsági funkciója. A modell alaposabb elemzése azt mutatja, hogy a vonatelhaladás érzékelésének veszélyes hibája a MIDI és MINI sorompótípusoknál döntő hatással van a baleset gyakoriságára. Az ilyenfajta baleset azzal jár, hogy a sorompó biztonsági rendszere helytelen időpontban kapcsol ki. Ha a vonat már elhaladt a vasúti fényjelző mellett a hiba időpontjában, akkor a rendszernek nincs lehetősége a baleset megelőzésére. Ennek eredményeként e sorompótípusnál a vonatelhaladást érzékelő rendszer biztonságintegritása döntő a teljes rendszer biztonságintegritása szempontjából.
A MICRO sorompótípus minden egyes funkció hibáját azzal jelzi az útátjárót használóknak, hogy kigyullad egy sárga lámpa. Ezt tekinthetjük úgy, hogy a rendszer megakadályozza a baleset bekövetkezését, de az útátjárót használók félreérthetik a rendszernek ezt a viselkedését. Az igen alacsony forgalomsűrűség eredményeként, ahol az ilyen típusú útátjáró használatos, ez a hibajelzés elegendő az egyéni kockázat szempontjából. Az elemzés nem részletezte jobban azt, hogy milyen mértékben különböznek az egyes rendszerfunkciók veszélyes hibagyakoriságai. Valószínű, hogy ha a kritikus funkciókat biztonságosabbra terveznék, a többi funkció biztonsági követelménye csökkenthető lenne.
5.2. A teljes rendszer meghibásodásának kockázata
A teljes rendszer biztonságintegritásának elemzése döntő szerepet játszik az ERA további RAC-TS specifikációkkal kapcsolatos javaslatának validálásában. A „sorompó veszélyei” részmodell mutatja a sorompó berendezés egyes funkciói meghibásodásának a teljes rendszer biztonságintegritására gyakorolt hatásait. Ez lehetővé teszi, hogy megvizsgáljuk az egyes személyekre vonatkozó baleseti gyakoriság és a teljes rendszer veszélyes meghibásodási gyakorisága közötti összefüggést. A 8. ábra mutatja ennek az elemzésnek az eredményeit, mégpedig hogy egy személyre vonatkozóan a baleseti gyakoriság a teljes rendszer veszélyes meghibásodási gyakoriságához viszonyítva csaknem folyamatosan és hasonló mértékben csökken az összes sorompótípus esetén.
Összehasonlítva a 7. és 8. ábrát látható, hogy az összes sorompótípusra vonatkozóan az egyes rendszerfunkciók közti speciális kapcsolat a biztonság növelését vonja maga után. A MIDI és MINI esetén a teljes rendszer veszélyes meghibásodási gyakorisága kb. 10-szer alacsonyabb (11,2 és 13,5), mint az egyes rendszerfunkciók meghibásodási gyakorisága, míg a MICRO esetén a biztonság növekedése csak kb. 3-szoros tényező körül van. Ez annak köszönhető, hogy hiba esetén nincs lehetőség a vasúti forgalom befolyásolására, valamint annak, hogy feltételezhetően jóval hosszabb hibafelfedési idők vannak a MICRO rendszernél (6 óra, összevetve a MIDI és MINI 1 órájával). Az ERA-nak az új RAC-TS-re vonatkozó ajánlása a teljes sorompó berendezés veszélyes meghibásodási gyakoriságával kapcsolatos. Ezt a meghibásodási gyakoriságot nem kell tovább csökkenteni, amennyiben az egyenlő vagy kisebb, mint óránként 10-7. Az elemzés eredményeit bemutató 8. ábra alapján belátható, hogy a MIDI, MINI és MICRO sorompótípusok használói számára az egyéni kockázat a megszabott műszaki és üzemeltetési feltételek mellett az elfogadható tartományba esik, és az ajánlott új RAC-TS biztonsági követelmények összhangban vannak a jelenlegi gyakorlattal.
5.3. A funkciók hibafelfedési időinek kockázata
Amikor egy rendszerfunkció veszélyes meghibásodása bekövetkezik, akkor az az idő, amíg ezt a hibát nem veszi észre a sorompó üzemeltetője, döntő szerepet játszik. A MIDI és MINI sorompótípusok funkcionális specifikációja azt adja meg, hogy a veszélyes működési hibát 1 órán belül fel kell fedni. Ezzel ellentétben a MICRO konfigurációnál a felfedési idő 6 óra. Az érzékenységi vizsgálat során e felfedési időket változtattuk. A MINI sorompótípus példáján keresztül a 9. ábra mutatja, hogyan befolyásolja a veszélyes meghibásodás felfedési idejének megnövekedése az egyes személyre vonatkozó baleseti gyakoriságot, illetve a teljes rendszer veszélyes meghibásodási gyakoriságát. Az ábra mutatja a 8 órás, 1 napos, 2 napos és 2 hetes felfedési időket.
A szaggatott nyíl rendeli hozzá valamennyi rendszerfunkció veszélyeztetési rátáját a teljes rendszer veszélyeztetési rátájának értékéhez (ez leolvasható az x tengelyről). A 9. ábrán látható érzékenységi vizsgálat eredményei azt jelzik, hogy a felfedési idő meghosszabbodása erős negatív hatással van az útátjárót használók egyéni baleseti valószínűségére. Ezzel ellentétben a felfedési idő meghosszabbodása csak igen csekély hatással van a teljes rendszer veszélyes meghibásodási gyakoriságára az előírt üzemi feltételek mellett. Ez annak a ténynek köszönhető, hogy (MINI sorompótípus esetén) az egyes funkcióhibák nem vezetnek veszélyes rendszerhibához (a vonatok megállnak az útátjáró előtt, és lépésben haladnak tovább). Mivel a modell nem zárja ki, hogy a közutat használó hibásan cselekszik, amikor egy vonat nem biztosított útátjárón halad át (feltételezve, hogy 1000-ből 1 felhasználó szenved emiatt balesetet), így a rendszer által nem csökkenthető kockázat nőni fog. A 9. ábra egyértelművé teszi, hogy a teljes rendszer óránkénti 10-7 meghibásodási gyakorisága (összhangban az ERA RACTS-re vonatkozó kiegészítő ajánlásával), csak akkor eredményez elfogadható szintű egyéni kockázatot az útátjárót használók számára MINI sorompótípusnál, ha a veszélyes meghibásodás felfedési ideje nem haladja meg a 8 órát. Amennyiben a gyártó vagy az üzemeltető nem garantálhatja e követelmény teljesülését, akkor alacsonyabb (pl. óránkénti 10-8 [SIL 4]) veszélyes meghibásodási gyakoriságra lenne szükség. A MICRO sorompótípusra vonatkozó elemzés ugyanazon követelményekhez vezet, mint a MINI típusnál. A MIDI esetében a kiegészítő csapórúd olyan redundanciát jelent, ami továbbra is elfogadható szintű egyéni kockázatot biztosít az útátjáróban, akkor is, ha a hibafelfedési idő hosszabb.
6. Következtetések
Az eredmények azt jelzik, hogy az ERA szabványos MIDI, MINI és MICRO sorompótípusokra vonatkozó új elfogadási kritériumainak alkalmazása nem vezet elfogadhatatlan szintű kockázathoz. Az is egyértelmű, hogy a RAC-TS nem igényelné, hogy a jelenlegi biztonsági követelményeket szigorítani kelljen a meglévő gyakorlathoz viszonyítva. Fontos, hogy az ajánlott üzemeltetési feltételeket – beleértve a maximális felfedési időt – betartsák. A CSM rendelet RAC-TS kritériumában definiált megengedett meghibásodási gyakoriságot lehet úgy értelmezni, hogy az csak a műszaki rendszer veszélyes meghibásodására vonatkozik (veszélyek). Ez azt jelenti, hogy a műszaki rendszer nem veszélyes meghibásodása semmilyen kockázatnak nem tenné ki a személyeket. Amint a sorompó berendezések példája is mutatja, a felhasználók számára az akadályozó (nem veszélyeztető) hibával kapcsolatos kockázatok gyakran nem triviálisak. Amennyiben a műszaki rendszerben levő akadályozó hibaállapothoz kapcsolódó kockázat egy másik, kevésbé biztonságos rendszertől vagy magas szintű emberi felelősséggel működő szervezeti intézkedésektől függ, akkor el kell végezni azon személyek kockázatelemzését, akiknek a biztonsága fenyegetett. Az ilyenfajta elemzés nem veszi figyelembe, hogy a szervezési jellegű intézkedések hibáinak valószínűsége az akadályozó hibához viszonyítva néhány esetben szigorúbb követelményekhez vezethet a vizsgált műszaki rendszer biztonságintegritása esetében, mint amit az RAC-TS kritérium igényel.
Módszertani szempontból a Petri-hálókkal végzett formális modellezés hatékony támogatást nyújt a biztonságelemzéshez, a kockázat kvantitatív értékeléséhez, és alternatívát jelent a gyakran használt hibafa és eseményfa módszerek mellett (FTA, ETA). Feltéve, hogy a vizsgált rendszer komplexitása megengedi a Petri-háló használatát, azok különös előnyöket nyújtanak olyan alkalmazásokban, ahol különböző üzemeltetési, műszaki és szervezeti állapotokat kell figyelembe venni a kockázatelemzés során. A MIDI, MINI és MICRO sorompó berendezésekre kifejlesztett Petri-háló modelleket ismételten használni lehet a jóváhagyási és engedélyezési eljárások kontextusában.
Egy további kutatási projektben érdemes lenne megvizsgálni, hogyan lehet generálni a Petri-hálóból valamilyen típusú kvantifikált eseményfát, ami erőteljesen támogatná a kockázatelemzés kvantitatív eredményének validálását. Ezen túlmenően, amikor a lineáris függőségeket megfigyeljük, a 7. és 8. ábra eredményeiben legyen lehetséges, hogy analitikus vagy közelítő megoldást kapjunk a modellhez.
Ez az anyag a FORMS/FORMAT 2014 konferencián, a németországi Braunschweigben elhangzott előadás cikkváltozata [12].
Felhasznált irodalom
[1] Commission implementing regulation (EU) No 402/2013 of 30 April 2013 on the common safety method for risk evaluation and assessment and repealing Regulation (EC) No 352/2009: http://eurlex.europa.eu/legal content/EN/TXT/?uri=uriserv: OJ.L_.2013.121.01.0008.01.ENG
[2] Information note about ERA’s plan for the way forward for the development of explicit harmonised risk acceptance criteria for failures of functions of technical systems: http://www.era.europa.eu/Document-Register/Pages/RACnote-1-2013.aspx
[3] MIDI, MINI, MICRO: Risk analysis and definition of the safety integrity requirements (in German), Internal FOT report, 2010
[4] EN 50126: Railway applications. The specifi cation and demonstration of reliability, availability,maintainability and safety (RAMS), 1999
[5] Merz, H., Schneider, T., Bohnenblust, H.: Evaluating technical risks (in German). Verlag der Fachvereine Zürich, 1995
[6] Method of evaluating the individual risk to passengers and employees (in German). FOT instructions 2014: http://www.bav.admin.ch/grundlagen/03514/03589/03593/index. html?lang=de
[7] R RTE 25931 (SN 671 512) Basic level crossing documentation, technical railway regulations RTE (in German). Swiss Public Transport Union (VöV), 2012
[8] Implementing provisions to the Railways ordinance (AB-EBV) (in German). Federal Office of Transport, Bern, 2013
[9] IEC 62551 ed1.0: Analysis techniques for dependability – Petri net techniques. IEC 2012
[10] Website for π-Tool: http://www.iqst.de/?page_id=24
[11] EN50129 Railway applications. Communication, signalling and processing systems. Safety related electronic systems for signalling, 2003
[12] Slovak, R., Meuli, H.: Petri Net-Based Validation of New Safety Requirements of the CSM Regulation in relation to Standardised Level Crossings in Switzerland. In Schnieder, E., Tarnai, G. (eds.): 10th Symposium on Formal Methods for Automation and Safety in Railways and Automotive Systems. Institute for Traffic Safety and Automation Engineering, Technical University of Braunschweig, 2014