Функциональная безопасность систем управления на железнодорожном транспорте

И. Б. Шубинский, Е. Н. Розенберг







ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ УПРАВЛЕНИЯ НА ЖЕЛЕЗНОДОРОЖНОМ ТРАНСПОРТЕ


Монография















Москва Вологда «Инфра-Инженерия» 2023

УДК 656.2
ББК 39.27
     Ш95


Рецензенты:
доктор технических наук, профессор, заслуженный деятель науки РФ, заведующий кафедрой управления и защиты информации Российского университета транспорта (РУТ-МИИТ)
Баранов Леонид Аврамович;
доктор технических наук, профессор, почетный работник транспорта, начальник Департамента научных исследований Научно-исследовательского, проектно-конструкторского института информатизации, автоматизации и связи на железнодорожном транспорте (НИИАС) Шабалин Николай Григорьевич

     Шубинский, И. Б.
Ш95 Функциональная безопасность систем управления на железнодорожном транспорте : монография / И. Б. Шубинский, Е. Н. Розенберг. - Москва ; Вологда : Инфра-Инженерия, 2023. - 360 с. : ил., табл.
           ISBN 978-5-9729-1553-8

           Представлен широкий спектр вопросов функциональной безопасности - от научных основ (понятий, постулатов, принципов) до методов и способов обеспечения безопасности технических средств и программного обеспечения систем управления на железнодорожном транспорте, включая прогрессивные методы обеспечения безопасности с помощью виртуальных каналов и цифровых двойников.
           Для научных работников, специалистов железнодорожной отрасли, связанных с процессами управления, профессорско-преподавательского состава, аспирантов и студентов вузов железнодорожного транспорта. Может представлять интерес ученым и специалистам других областей промышленности и транспорта, связанным с проблемами функциональной безопасности и надежности систем и объектов управления.

УДК 656.2
ББК 39.27











ISBN 978-5-9729-1553-8

     © Шубинский И. Б., Розенберг Е. Н., 2023
     © Издательство «Инфра-Инженерия», 2023
                           © Оформление. Издательство «Инфра-Инженерия», 2023

ПРЕДИСЛОВИЕ


     Обеспечение безопасности - одно из главных условий существования человеческого общества. Понятие безопасности находится в центре внимания специалистов различных сфер деятельности общества, начиная от сельского хозяйства, медицины и заканчивая космосом. Вместе с тем, трактовка понятия безопасности до настоящего времени неоднозначная. Под безопасностью понимается отсутствие недопустимого риска или способность предмета, явления или процесса сохраняться при разрушающих воздействиях, или свойство систем сохранять свои параметры при воздействии опасностей, или способность системы функционировать, не переходя в опасное состояние, и т. д. Все эти определения по существу сводятся к двум ключевым положениям: 1) при воздействии опасности система должна сохранять свои свойства и функционировать без происшествий; 2) риск опасного воздействия самой системы на окружающую среду не должен превышать допустимый уровень. Здесь под опасностью понимается угроза неблагоприятного (негативного) воздействия чего-либо на систему. При этом подразумевается человеко-машинная система.
     Перечень видов безопасностей конечен, но не ограничен. Это биологическая, генетическая, продовольственная, техногенная. промышленная, транспортная, экологическая и многие другие виды безопасности. Функциональная безопасность занимает важное место в этом перечне безопасностей. Это обусловлено тем, что функциональная безопасность имеет прямое отношение к процессам управления, которые осуществляются практически во всех сферах деятельности общества. Этот вид безопасности должен обеспечиваться как на транспорте, так и в атомной промышленности, так и в энергетике, в системах вооружения, в космической области и др.
     Теория и практика функциональной безопасности наибольшее развитие получила в настоящее время в атомной промышленности и на железнодорожном транспорте. На железнодорожном транспорте в области функциональной безопасности создана серия европейских (CEN), международных (IEC), межгосударственных (ГОСТ), национальных (ГОСТ Р) стандартов. В них основное внимание уделяется аппаратно-программным системам управления.
     В данных стандартах закреплены накопленные ранее знания в части разработки, испытаний, эксплуатации, модификации и модернизации систем. Хорошо развиты научные результаты, относящиеся к релейной технике управления. Известны многочисленные результаты исследований функциональной безопасности систем управления, построенных на жесткой логике с помощью интегральных схем. Систематизации этих результатов в данной книге уделено значительное внимание.
     Современные методы и способы обеспечения функциональной безопасности еще не нашли нормативного подтверждения. Значительная часть научных публикаций в этой области носит разрозненный характер. В настоящее время на железнодорожном транспорте оперативно решаются задачи управления с помощью средств технического зрения, искусственного интеллекта, при

3

меняются цифровые двойники, решаются задачи обеспечения безопасности с помощью виртуальных каналов обработки информации и т. д. Реализация этих направлений исследований (так же, как и всех других, связанных с безопасностью) возможна на основе моделирования. Эффективный и экономичный способ - это математическое моделирование. Однако большая размерность моделей задач функциональной безопасности, в том числе указанных выше задач, затрудняет применение известных математических методов. Поэтому авторами разработаны строгие и приближенные графовые Марковские и полумарковские методы расчета и прогнозирования показателей функциональной безопасности сложных систем. Эти методы позволили преодолеть проблему размерности и исследовать ряд указанных задач. С помощью этих методов также исследованы типовые модели функциональной безопасности систем управления, включая модели многоуровневой безопасности. Графовые методы и разработанные с их помощью модели функциональной безопасности представлены в первых главах данной книги.
     Функциональная безопасность обеспечивается совместно техническими и программными средствами. Построение безопасных устройств и систем основывается на результатах прошлого опыта, на устранении ранее обнаруженных недостатков, на реализации новых идей и принципов. В этом отношении осмысление логики развития способов и методов обеспечения безопасности технических средств систем управления имеет важное практическое значение. Этим вопросам в данной книге уделено особое внимание.
     В системах управления большинство функций безопасности реализуется с помощью программных средств. Поэтому важна систематизация знаний и опыта создания проектов безопасных программ, технологии разработки безопасных и надежных программных средств, включая эффективные методы предупреждения, обнаружения, устранения ошибок и обеспечение устойчивости программ к ним. В книге рассмотрены вопросы проектирования, верификации и интеграции программных средств с аппаратными в системе, а также обеспечения их функциональной безопасности и надежности в процессе эксплуатации и сопровождения.
     Ключевое место в предлагаемой читателю книге занимает описание современного опыта построения безопасных систем, описание математических моделей исследования функциональной безопасности систем управления с виртуальными каналами обработки информации, с цифровыми двойниками, систем автоведения поездов, математических моделей прогнозирования опасных отказов с помощью алгоритмов искусственного интеллекта. Приведены результаты исследований и полученные на их основе практические результаты.
     Задача обеспечения функциональной безопасности в системах управления тесно связана и в определенной мере переплетена с задачей обеспечения информационной безопасности этих систем. Решение этих задач совместно сводится к обеспечению их отказобезопасности. Это комплексная проблема. Она подкрепляется нормативными требованиями к функциональной и информационной безопасности систем управления на железнодорожном транспорте.

4

Основные требования и принципы подтверждения соответствия им нашли отражение в отдельном разделе данной книги.
     В целом предлагаемая читателю книга охватывает широкий спектр вопросов функциональной безопасности - от научных основ (понятий, постулатов, принципов) до методов и способов обеспечения безопасности технических средств и программного обеспечения систем управления на железнодорожном транспорте, включая прогрессивные методы обеспечения безопасности с помощью виртуальных каналов и цифровых двойников. Она предназначена научным работникам, специалистам железнодорожной отрасли, связанным с процессами управления, профессорско-преподавательскому составу, аспирантам и студентам вузов железнодорожного транспорта. Она может представлять интерес ученым и специалистам других областей промышленности и транспорта, связанным с проблемами функциональной безопасности и надежности систем и объектов управления.
     Авторы выражают признательность доктору естественных наук X. Шебе (Германия) за многолетнее плодотворное творческое сотрудничество. Авторы благодарны профессорам В.М. Лисенкову, В.В. Сапожникову и В.В. Сапожникову за большой вклад в формирование научных основ функциональной безопасности систем автоматики и телемеханики на железнодорожном транспорте. Авторам доставляет удовольствие выразить благодарность своим ученикам и последователям, которые приняли участие в обсуждении ряда разделов книги.

5

Глава 1. ОСНОВНЫЕ ПОНЯТИЯ, ПОСТУЛАТЫ И ПРИНЦИПЫ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ
НА ЖЕЛЕЗНОДОРОЖНОМ ТРАНСПОРТЕ

1.1. Введение

     Пристальное внимание к функциональной безопасности ответственных (критичных по безопасности) технических объектов проявлялось специалистами еще с середины 60-х годов прошлого столетия. Критичные (опасные) отказы вызывали ошибки в управлении, которые приводили или могли привести к человеческим жертвам, недопустимому ущербу внешней среде, экономике и имиджу отрасли. В целях их предотвращения в системах управления на транспорте (главным образом, авиационном и железнодорожном), в атомной промышленности, в энергетике, нефтегазовом комплексе в системах вооружения, и т. д. вводят функции безопасности. Назначение этих функций безопасности - защита от опасных отказов. Разрабатываются приемы анализа причин возникновения опасных отказов, технические решения по гарантированному исключению таких отказов. В проектируемых электротехнических устройствах и даже в ряде систем удавалось предотвращать практически все возможные опасные отказы. Это объясняется простотой релейных схем и возможностью перечислить все ситуации возникновения опасных отказов.
     Широкое внедрение информационных технологий, создание связанных с безопасностью многофункциональных программно-аппаратных систем управления исключило возможность ручного и даже автоматизированного перебора всех возможных ситуаций, приводящих к опасным отказам. Поэтому ранее существовавшие практические приемы построения безопасных управляющих устройств оказались малоэффективными. Потребовалось создание научной методологии, теории и практики анализа и синтеза функциональной безопасности критичных по безопасности устройств и систем управления на всех этапах их жизненного цикла. Начало решения этой проблемы относится к середине 80-х годов XX века и продолжает активно развиваться в настоящее время. Уже очевидно, что в современных связанных с безопасностью устройствах и системах не существует абсолютной безопасности. Всегда есть некоторый риск возникновения опасных отказов, который должен быть с помощью методов и способов теории и практики функциональной безопасности сведен к допустимому остаточному уровню риска. Философия безопасности систем состоит в выборе принципа приемлемости допустимого риска, т. е. в определении главной цели достижения безопасности системы.
     Теория функциональной безопасности в настоящее время находится в стадии развития. Практика обеспечения функциональной безопасности опережает теорию. Мировым сообществом разработаны многие методологические положения функциональной безопасности, которые нашли отражения в международных и национальных стандартах [1, 2 и др.], в европейских и международных стандартах и других нормативных документах железнодорожного применения [3-7 и др.].


6

     Эта научная дисциплина имеет свой объект и предмет исследования. Объект исследования - электрические/электронные программируемые устройства и системы, а также управляющие системы, связанные с безопасностью; предмет исследования - опасные функциональные отказы управляющего устройства (системы), под которыми понимаются отказы техники, которые приводят к нарушению ответственных функций управления или к критическим ошибкам в выполнении этих функций, а также программные ошибки, ошибки операторов, нарушения целостности данных и программ вследствие информационных атак, Основная цель теории и практики функциональной безопасности состоит в разработке методов и технических решений, обеспечивающих гарантированное обнаружение, устранение опасных функциональных отказов или блокирование управляющих воздействий в случаях невозможности устранения опасных функциональных отказов. Уровень гарантии напрямую зависит от результатов оценивания остаточного допустимого риска.
     К основным направлениям развития теории функциональной безопасности относятся:
     •       разработка теоретических основ расчета вероятности или возможности возникновения опасных функциональных отказов, а также показателей функциональной безопасности сложных восстанавливаемых систем;
     •       разработка и исследование комплекса моделей функциональной безопасности восстанавливаемых двух, трех и более канальных систем с перезапусками каналов, а также моделей многоуровневых систем обеспечения функциональной безопасности;
     •       разработка методов и способов построения многоканальных систем с многоверсионным программным обеспечением и перекрестными обратными связями от выходов ко входам аппаратно-программных каналов управления;
     •       разработка методологии и инструментальных средств для проведения в реальном масштабе времени сертификационных испытаний программного обеспечения и связанных с безопасностью управляющих информационных систем;
     •       разработка технологии доказательства функциональной безопасности системы на основе комплексного взвешенного применения аналитических методов, экспертных оценок, результатов стендовых и вспомогательных испытаний и, особенно, ускоренных натурных испытаний, которые позволяют (при условии доказательства адекватности) в приемлемые сроки дать корректную имитацию возникновения опасных функциональных отказов системы;
     •       разработка нормативных документов и методических материалов по оценкам рисков нарушения функциональной безопасности для задания требований к системам и выполнения оценок остаточных рисков и др.
     Специалисты вольно или невольно задаются вопросом: в чем общность и различие теории функциональной безопасности и теории надежности. Ответ на этот вопрос частично приведен ранее при определении объекта, предмета и целей теории функциональной безопасности. Объектами исследования теории надежности являются любые технические и/или эргатические устройства и системы, как связанные, так и не связанные с безопасностью, тогда как объектами

7

исследования теории функциональной безопасности являются только связанные с безопасностью устройства и системы, причем, они не могут быть любыми, а обязательно управляют какими-либо внешними объектами. Предметом теории надежности, также как и теории функциональной безопасности, являются случайные процессы отказов и восстановлений, сбойные, программные ошибки, ошибки операторов. Однако при этом имеются следующие основные принципиальные различия:
     Теория функциональной безопасности оперирует с очень редкими событиями (опасными функциональными отказами), частота возникновения которых в соответствии с оценками международных стандартов на 2-4 порядка меньше частоты отказов и ошибок, исследуемых теорией надежности. Эти редкие события остаются за рамками оценок теории надежности.
     Теория надежности исследует вероятность и возможность выполнять предусмотренные задачи в конкретных условиях эксплуатации, сохраняя параметры в пределах заданных допусков. Это означает, что теория надежности изучает влияние внутренних возмущающих факторов (отказов и ошибок) только на работу системы, без оценки их воздействия на внешнюю среду. Надежность - это свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, хранения и транспортирования. Для системы задается срок службы, и предельные значения параметров. Пока параметры находятся в заданных пределах, система работоспособна и наоборот, если параметры вышли за значения пределов - происходит отказ.
     На соотношении свойств dependability (надежность) и reliability (безотказность) следует остановиться отдельно, поскольку в области стандартизации этого свойства западная и советская наука в свое время пошли несколько разными путями. Корректный перевод термина надежность, как комплексного свойства - это dependability. Reliability - это правильный перевод для термина безотказность, которая является важной, но все же только одной из составляющих надежности. Безотказностью называется свойство объекта непрерывно сохранять работоспособное состояние в течение некоторого времени или наработки, т. е. безотказность можно обобщать с надежностью только для необслуживаемых систем.
     Кроме безотказности, составными свойствами надежности являются ремонтопригодность (Maintainability), долговечность (Durability) и сохраняемость (Storability). Готовность (Availability) является комбинацией безотказности и ремонтопригодности. Все эти положения корректно были представлены в ГОСТ 27.002-15. «Надежность в технике. Основные понятия. Термины и определения».
     Случайные отказы аппаратных средств хорошо описываются математическим аппаратом теории вероятностей. Теория надежности дает практичную картину мира, в которой можно строить надежные системы из не вполне надежных компонентов (как правило, методами резервирования и диагностирования).

8

     Систематические отказы сложно описать в рамках теории надежности. Именно такие отказы составляют наибольшую проблему, вследствие своей непредсказуемости. В 1980-1990-е годы были попытки применить вероятностные модели для оценивания надежности программного обеспечения, ошибок оператора, однако до настоящего времени этот путь не дал практически применимых результатов. И только в рамках методологии функциональной безопасности сформированы и стандартизированы методы и способы обеспечения надежности и безопасности выполнения предусмотренных функциональных задач.
     Теория функциональной безопасности изучает воздействие отказов и ошибок в работе системы на объекты управления и в целом на внешнюю среду. При этом центральная задача состоит в исследовании вероятности и возможности парирования предусмотренными функциями безопасности опасных функциональных отказов.
     По определению [9, с. 6] опасность - это потенциальный источник возникновения ущерба. который может быть причинен материальным ценностям или окружающей среде. Не каждая опасность всегда переходит в угрозу. Для такого перехода необходимо, чтобы случилось инициирующее событие. Потом из угрозы может развиваться цепочка нежелательных событий, которая в конечном счете приведет к опасному событию, к аварии. Применительно к информационной системе управления опасное состояние - это неисправное состояние объектов системы, при котором возникают превышающие допустимые уровни риски причинения вреда жизни и здоровью граждан, имуществу физических и юридических лиц, государственному и муниципальному имуществу, окружающей среде, жизни и здоровью животных и растений. Итак, безопасность - отсутствие неприемлемого риска. В зависимости от последствий можно отдельно рассматривать: а) функциональную надежность системы, если она выполняет свою функцию (т. е. не теряет определенных свойств) в цепочке всех тех систем, которые участвуют в выполнении задачи; б) функциональную безопасность системы, если последствия нарушения ее функционирования не приведут к неприемлемым рискам. Со стороны последствий функциональная надежность плавно переходит в функциональную безопасность, если тяжесть последствий возрастает. Отсюда и понятно, что системы, у которых вероятность отказа в выполнении функции должна быть не выше 10 5 [8] в течение часа работы, можно толковать с позиций функциональной безопасности.
     Если вероятность отказа выше указанного уровня, то такие системы представляют повышенную опасность для человека и окружающей среды. Для них опасный отказ определяется как событие, в результате которого система переходит из исправного, работоспособного или частично работоспособного состояния в опасное состояние.
     Функции безопасности предназначены для предупреждения или оперативного обнаружения и устранения/блокирования отказов. Решение задач устранения или блокирования обнаруженных отказов не представляет особых трудностей. Проблема состоит в том, чтобы любым возможным способом пре

9

дупредить иди своевременно и достоверно обнаружить очень редкие события опасных отказов.
     Философия теории надежности имеет принципиальное отличие от философии теории функциональной безопасности - возможности средств обнаружения отказов объекта должны быть достаточными для сохранения приемлемого уровня готовности (технического использования) объекта. Эта позиция объясняется тем, что при введении средств контроля в объект без избыточности безотказность этого объекта снижается за счет отказов средств контроля. При этом, чем меньше объем средств контроля, тем ниже его эффективность. Поэтому стремятся оптимизировать объем (или время контроля) таким образом, чтобы обеспечить приемлемый уровень готовности объекта при допустимых потерях его безотказности.
     При наличии избыточных ресурсов налицо два диаметрально противоположных подхода к архитектуре объекта: с позиций теории надежности эти ресурсы используются в качества резерва для повышения безотказности и готовности объекта; с позиций теории функциональной безопасности эти избыточные ресурсы используются для обеспечения гарантии обнаружения и парирования опасных функциональных отказов путем построения многоканальных объектов с параллельной обработкой информации и аппаратными или программными средствами анализа или/и сравнения результатов. При этом допускается снижение уровня надежности объекта за счет отъема в интересах функциональной безопасности избыточных ресурсов.
     Все работы по функциональной безопасности основываются на оценках рисков возможных ущербов внешней среде. На этой основе определяют требования к уровню гарантии обнаружения опасных функциональных отказов, требования к архитектуре объекта, требования к надежности аппаратных и программных средств. Оцениваются остаточные риски на всех этапах жизненного цикла объекта. Согласовываются с заказчиком допустимые остаточные риски и уточняются по мере эксплуатации системы. Эти работы слабо коррелированы с работами по обеспечению надежности и имеют важное самостоятельное значение.
     Приведенные положения означают, что вопрос о превалировании теории функциональной безопасности над теорией надежности не должен иметь прямой постановки - каждое из этих научных направлений решают свои блоки задач, хотя и базируются на общем исходном материале - отказах и ошибках составных средств. Естественно, что уменьшение интенсивности отказов и ошибок объекта влечет за собой повышение надежности и в некоторой мере функциональной безопасности. Однако, учитывая, что кардинальных достижений в этом вопросе не следует ожидать, главным и определяющим инструментом обеспечения функциональной безопасности аппаратно-программного объекта должны быть функции безопасности, сформированные по результатам оценки рисков.
     Стандарты по функциональной безопасности направлены на обеспечение безопасной работы оборудования и программного обеспечения, хотя содержа

10