Revize EN 50129 - stav, změny, souvislosti s jinými normami a
Transkript
Revize EN 50129 - stav, změny, souvislosti s jinými normami a
K aktuálním problémům zabezpečovací techniky v dopravě XI Revize EN 50129 - stav, změny, souvislosti s jinými normami a předpisy ZČU Plzeň, 25.5.2016 Karel Beneš Průběh prací na revizi - SGA15 Ø Související aktivity CENELEC Ø SGA15 - činnost v období od března do září 2014 Ø Potřeba revize (minimálně zvážení potřeby revize) je starým tématem - již v roce 2007 CENELEC konstatoval, že s revizí EN 50129 se vyčká do ukončení prací skupiny WG14 Ø WG14 - mnohaletý pokus a práce na vytvoření jednotné sady norem nahrazujících EN 50126, EN 50128, EN 50129, a to pro subsystémy CCS, INS a RST Ø Červen 2014 - WG14 ukončila svoji činnost, připravené návrhy jednotné sady norem nebyly odsouhlasené Ø Hlavní reálný důvod nedokončení prací WG14 - příliš nekompatibilní předpoklady a představy uvedených subsystémů na řešení otázek bezpečnosti Ø SGA15 - definovala základní témata revize EN 50129 (i na základě prací WG14) Průběh prací na revizi - WGA15 Ø WGA15 - navazuje na činnost SGA15 Ø Zahájení práce WGA15 - leden 2015 Ø Aktuální plánovaný datum předložení konečného revidovaného návrhu určeného k připomínkám členů CENELEC - červenec 2016 Ø Aktuální plánovaný datum vypořádání připomínek - září 2017 Ø Aktuální plánovaný datum předložení připomínkované verze normy k formálnímu odsouhlasení - červen 2018 Ø Revize normy EN 50129 se tudíž vleče zhruba 10 let!!! Ø Před zahájením prací WGA15 zahájila svoji činnost také WG21 navazuje na činnost WG14, připravuje nástupce EN 50126 (2 části, platné pro všechny subsystémy - CCS, RST, INS) Ø EN 50129 bude opět primárně určená pro zabezpečovací techniku Obecně k činnosti WGA15 Ø Složení skupiny - zástupci výrobců, správců infrastruktury, hodnotitelů bezpečnosti Ø Řada členů působí mnoho let v pracovních skupinách CENELEC výhody i nevýhody Ø Slušná výchozí pozice - relativně vyhovující současná verze normy Ø Revidovaná verze zachová základní principy známé z verze současné Ø Navzdory mnohým složitým diskusím a neshodám panuje shoda v jednom základním aspektu - dosažení požadované úrovně bezpečnosti je podmíněné splněním podmínek kvalitativních a kvantitativních Ø Není dostatečné plnit jen jednu nebo druhou kategorii podmínek pro dosažení požadované úrovně bezpečnosti Ø Dosažení požadované úrovně bezpečnosti je u systémů s nejvyššími bezpečnostními požadavky netriviálním úkolem, typicky se cíle dosahuje kombinací řady bezpečnostních mechanismů Konkrétní zajímavá témata Ø Základní principy zajištění bezpečnosti beze změny Ø Složená bezpečnost při poruše (aplikace principů redundance) Ø Reaktivní bezpečnost při poruše - spíše okrajové téma, zmínka např. v souvislosti s řešením dílčích částí zabezpečovacích systémů (např. problematika rozhraní) Ø Inherentní (vnitřní) bezpečnost Ø Důkaz bezpečnosti (Safety Case) - tři základní části Ø Zpráva o řízení jakosti - systém jakosti použitelný pro CCS Ø Zprávy o řízení bezpečnosti - minimalizace rizika lidských chyb v životním cyklu zařízení Ø Technická zpráva o bezpečnosti - důkaz bezpečného návrhu, analogická struktura jako v současné verzi normy Konkrétní zajímavá témata Ø Důraz na řádné dokumentování aktivit celého životního cyklu zařízení dokumenty a doklady mají přispívat k dosažení požadované úrovně bezpečnosti a mají vznikat v průběhu životního cyklu, nikoliv na konci Ø Safety Qualification Tests (provozní ověření bezpečnosti, ověřovací provoz) - analogický text jako v současné verzi normy - mj. není v průběhu ověřovacího provozu bezpečnost plně zajištěna ověřovaným zařízením Ø SRAC (Safety Related Application Conditions - bezpečnostní aplikační podmínky) Ø Upravený, doplněný, rozšířený text Ø Důležité při integraci dílčích subsystémů Ø Rostoucí důležitost při provádění hodnocení bezpečnosti více hodnotiteli Konkrétní zajímavá témata Ø Použití již existujících komponentů v rámci zabezpečovacích systémů Ø Upravený, doplněný, rozšířený text Ø Netýká se součástek Ø Uvedení zásad bezpečné integrace takových komponentů - např. včetně stanovení strategie, jak řešit případné změny v průběhu životního cyklu zabezpečovacího systému Ø Ochrana zabezpečovacích systémů vůči neautorizovanému přístupu Ø V podstatě nový text Ø Ochrana proti fyzickému vniknutí Ø Ochrana proti IT vlivům - typicky souvislost s dálkovým přístupem k zabezpečovacím systémům, norma nestanovuje konkrétní požadavky, odkazuje na existující IT normy, zdůrazňuje potřebu chránit i dokumentaci zařízení Konkrétní zajímavá témata Ø Použití podpůrných nástrojů pro elektronické systémy Ø V podstatě nový text Ø Nástroje ovlivňující bezpečnost přímo (typicky návrhové) i nepřímo Ø Použití nástrojů a rizik s tím souvisejících musí být součástí postupů prokazujících zamýšlenou úroveň bezpečnosti (především pro nástroje s přímým vlivem na bezpečnost) - typicky řešení otázek možných způsobů selhání nástroje a opatření, která jsou vůči tomu použitá Ø Navržené postupy prověření použitých nástrojů jsou verifikace jejich výstupů, nástroj ověřený předchozím použitím, nástroj ověřený testováním a analýzou, použití diverzifikovaných nástrojů, nástroj s prokázanou úrovní bezpečnosti Konkrétní zajímavá témata Ø Hodnocení bezpečnosti není jen čistě formální proces - hodnotitel bezpečnosti podle potřeby může použít také metody typu diskuse, analýzy, audity, inspekce apod. Ø Cross-acceptance - je možná a počítá se s ní, ale není automatická (mj. kvůli národním pravidlům uznávání hodnotitelů bezpečnosti) Ø Převedení většiny obsahu přílohy D (doplňující informace k zajištění nezávislosti a k analýzám poruchových stavů) do normativní přílohy B Ø Dílčí modifikace a zjednodušení tabulek v příloze E (tabulky shrnující techniky a opatření proti poruchám) - základní požadavky zachovány, diskuse o změně statutu přílohy na normativní Ø Doplnění přílohy F (informativní) - rozsáhlá příloha k problematice programovatelných komponentů (hradlová pole apod.) Ø Pro složité komponenty a nejvyšší úrovně bezpečnosti požadavek na aplikaci analogických postupů jako např. v případě mikroprocesorů - tj. složená nebo reaktivní bezpečnost Vztah k dalším normám a předpisům Ø Revidovaná EN 50129 se týká všech fází životního cyklu zařízení, nicméně předpokládá se, že úvodní fáze (1 až 4 - koncepce až systémové požadavky) je primárně předmětem požadavků EN 50126 (s očekáváním, že bude využita nově připravovaná verze EN 50126) Ø EN 50128 - spolu s EN 50129 a EN 50126 (a EN 50159) tvoří základní sadu norem pro potřeby zabezpečovacích zařízení Ø EN 50128 by podle informací vedoucího WGA15 taktéž vyžadovala revizi (mj. pro zajištění „ideálního“ souladu s EN 50126, případně s EN 50129), zatím ale bez stanovení konkrétního postupu Ø Uvedená sada CENELEC norem zůstává součástí TSI CCS Ø CSM-RA (nařízení Komise č. 402/2013) Ø Trvající diskuse o vztahu EN 50129 a CSM-RA Ø I v rámci WGA15 názor, že pro technické změny pokrývá aplikace EN 50129 vyhovujícím způsobem požadavky CSM-RA Konec Děkuji za pozornost