Velkommen til jernbanesession 11

Håndtering af SW ændringer

Forslagsstillers håndtering af systemer med software (SW) … vejledning og praksis

Sikkerhedskonferencen 2016 2

Hvem er vi?

Lars Mortensen Trafik- og Byggestyrelsen Center for Jernbane E-mail: lmo@tbst.dk

Teis Kristian Dyekjær-Hansen DSB Sikkerhed, Telegade 2, 2630 Taastrup, E-mail: tekd@dsb.dk

Sikkerhedskonferencen 2016 3

Program for (SW) sessionen

Agenda:

Beslutningsmodellen for håndtering af SW

Systemdefinitions omfang ved ændring af SW

”Kritikalitet” af SW ændringer

Signifikansvurdering

Praktisk erfaring fra en SW ændring v/DSB

Afslutning

Sikkerhedskonferencen 2016 4

Jernbanevirksomhedens/IF´s ansvar

Jernbanevirksomheder og infrastrukturforvaltere forventes ikke at have kompetencer til at udvikle/ændre SW i overensstemmelse med EN 50128 (det er fabrikantens ansvar).

Det er derimod nødvendigt at Jernbanevirksomheder og infrastrukturforvaltere, sikre sig at ændringer bliver vurderet af kompetente parter, og at Trafik- og Byggestyrelsen involveres når det er påkrævet.

Som støtte hertil, har TBST udarbejdet en beslutningsmodel for håndtering af SW ændringer.

Sikkerhedskonferencen 2016 5

Beslutningsmodel

Sikkerhedskonferencen 2016 6

Systemdefinitionens omfang

Om ændringen er signifikant afgøres ud fra CSM forordningens 6 kriterier, og den foreløbige systemdefinition.

Det er vigtigt at ”CSM systemet” defineres korrekt, for at afgøre signifikans.

Signifikans vedr. ”CSM systemet”

Kritikalitet vedr. programmet

Sikkerhedskonferencen 2016 7

De sikkerhedskrav, der identificeres vha. CSM RA, gælder for ”CSM systemet”

Sikkerhedskonferencen 2016 8

Udsnit af Life Cycle Model" for SW (ref. figur 3 i EN50128)

Sikkerhedskonferencen 2016 9

Sammenhænge mellem CSM RA og EN5012x

ASR (EN50128)

EN50128

(SW)

Eftervisning af at krav er opfyldt

EN50129

(HW)

AsBo / system assessor jf. EN50126

Systemdefinition med fordeling af CSM sikkerhedskrav

ASSR (EN50129)

CSM RA / EN50126

Sikkerhedskonferencen 2016 10

Kritikalitet?

SW ændringens kritikalitet

Sikkerhedskonferencen 2016 11

Signifikansvurdering

-> Konsekvens af svigt (et plausibelt, værst tænkeligt scenario i tilfælde af svigt i det system, der er under vurdering, under hensyn til sikkerhedsbarrierer uden for systemet)

- Når SW ændringens kritikalitet er major, er der som regel tale om en ændring med høj konsekvens ved svigt og således ofte også en signifikant ændring.

- Ændringens kritikalitet bør (i overensstemmelse med EN50128) afgøres af fabrikanten og vurderes af ASR.

-> Ændringens kompleksitet

- Når SW ændringens kritikalitet er ’minor’ er der som regel ikke tale om en kompleks ændring.

Sikkerhedskonferencen 2016 12

Signifikansvurdering

-> Nyskabelse (der anvendes til at gennemføre ændringen: dette gælder både for det, der er innovativt for jernbanesektoren, og det, som alene er nyt for den organisation, der gennemfører ændringen)

Såfremt forslagsstiller kan dokumentere:

- at samme organisation har foretaget ændringer før i den pågældende SW

- at den pågældende SW er udviklet efter EN50128 og i drift,

- at SW ændringen vil blive foretaget efter EN50128,

- at der ikke introduceres ”innovative” ændringer/funktioner i CSM-systemet,

er der normalt ikke tale om nyskabelse.

Sikkerhedskonferencen 2016 13

Signifikansvurdering

d) Overvågning (manglende evne til at kontrolovervåge den gennemførte ændring i systemets samlede livscyklus og foretage hensigtsmæssige indgreb)

Såfremt der allerede findes uafhængige tekniske barrierer, som sikrer, at fejl i CSM-systemet opdages med det samme, og der kan gribes ind før der sker ulykker, vil overvågningskriteriet kunne medregnes som en solid ekstern barriere.

e) Reversibilitet (manglende evne til at vende tilbage til systemet, som det var før ændringen)

Ændringen kan siges at være reversibel, hvis den tidligere SW version kan genindsættes uden at forandre sikkerhedsniveauet og uden at øvrige ændringer samtidig skal ske.

f) Akkumulation (vurdering af ændringens signifikans under hensyntagen til alle nylige

Tidligere ikke signifikante ændringer i CSM systemet skal medregnes, uanset om der er tale om SW eller HW ændringer.

Sikkerhedskonferencen 2016 14

Signifikansvurdering, eksempel (I)

• Operatøren, pålidelige tog, ønsker at lave en SW ændringen i en togcomputer, og udarbejder en foreløbig systemdefinition.

• Køretøjet skal anvendes på ”EU” nettet, men der foreligger ingen NoBo attester, da der er tale om et ældre køretøj.

• Der foretages ingen funktionsændringer i CSM systemets sikkerhedsfunktioner.

• SW ændringen er ”major” (vurderet af fabrikanten).

På baggrund af den foreløbige systemdefinition, og kritikalitetsvurderingen kan ændringens ”procesvej” og signifikans illustreres (jf. de næste slides)=>

Sikkerhedskonferencen 2016 15

Eksemplets procesvej Trin Emne Beskrivelse / analyse Resultat

A Startbetingelser Både sikkerhed og interoperabilitet påvirkes.

Ændringen vil blive håndteret af kompetente parter.

=>B

B Systemdefinition Er udarbejdet. =>C

C Er ændringen signifikant, eller er det et nyt delsystem?

Se næste slide =>E

E Er systemet omfattet af TSI/NNTR?

Ja. Der er tale om et køretøj som anvendes på EU nettet.

=>D

H Kritikalitet? I dette eksempel ”major”.

Ændringen bør derfor betragtes som fornyelse/opgradering

=>F2

F2 Skal systemet certificeres?

Da der er tale om en ”major” ændring, i et delsystem som ikke tidligere har være certificeret, bør ændringen forelægges Trafik- og Byggestyrelsen, som afgør om ændringen skal certificeres.

=>L

=>T

L Anvend CSM RA… Hvis ændringen er signifikant anvendes CSM RA. N

N Kritikalitet SW leverandøren har klassificeret ændringen som ”major”. ASR er enig heri.

=>R

R Anvend EN50128 Standarden bør anvendes af SW leverandøren. ASR bør vurdere resultatet heraf.

T Ændringer forelægges TBST

Ændringer forelægges TBST jf. BEK653, §13, og vejledningens kapitel 14.

Sikkerhedskonferencen 2016 16

Signifikansvurdering, principper Trin Emne Beskrivelse / analyse Resultat

C Er ændringen signifikant?

a) Konsekvens af svigt Fabrikanten og ASR er enig i at ændringen er ”major”. Forslagsstiller vurderer det værst tænkelige plausible scenarie i tilfælde af svigt (af dødmandspedal) til at være kollision på en ikke ATC overvåget strækning. b) Nyskabelse

- Ændringen gennemføres af samme organisation som tidligere har lave SWen. - SWen er oprindeligt udviklet efter en proces der er sammenlignelig med EN50128.

Den har været i drift i mange år. - SW ændringen vil blive udviklet i overensstemmelse med EN50128. - Der introduceres ingen innovative ændringer i CSM systemet.

c) Ændringens kompleksitet SW ændringen er i sig selv ”major” (vurderet af fabrikanten). Der foretages ingen funktionsændringerne i CSM systemets sikkerhedsfunktioner. d) Overvågning Der ændres ikke i overvågningen af de sikkerhedsfunktioner der styres af togcomputeren. e) Reversibilitet Den tidligere SW vil kunne genindsættes uden at forandre sikkerhedsniveauet og uden at øvrige ændringer samtidig skal ske. f) Akkumulation SW er ikke ændret siden sidste APIS. Der er lavet HW ændringer i andre systemer som ikke berører togcomputeren.

Signifikans?

Sikkerhedskonferencen 2016 17

Og nu til praktisk erfaring med en SW ændring…