Veiligheidsrelevante processtappen in de lifecycle van beveiliging

Proces

Om dit te bereiken moeten per stap de gevaren (zoals fysieke en financiële schade) en risico's (de kans dat het gevaar ontstaat, kans x gevolg) worden geinventariseerd. Per stap moeten de risico's tot een acceptabel niveau worden teruggebracht.

De stappen vormen de basis voor de gedocumenteerde bewijsvoering van de mate van veiligheid die kan worden bereikt. De verschillende organisaties in de branche, afhankelijk van de fase in de lifecycle waarin ze actief zijn, moeten die documenten kunnen overleggen aan verantwoordelijke of toezichthoudende instanties. Vooraf ter goedkeuring en/of achteraf als bewijsvoering.

Methoden

Hiervoor wordt system engineering toegepast, een benadering van processtappen gedurende de hele levenscyclus van ontwerp tot en met beheer (incl. ontmanteling) van complexe systemen, vaak geïllustreerd met bovenstaand V-model. Zo'n model wordt dan geïmplementeerd in de eigen omgeving, de afzonderlijke processtappen worden belegd bij verschillende actoren.

Waar System Engineering een 'paper based' methode is, is Model Based Systems Engineering (MBSE) een modernere variant. Hierbij wordt projectinformatie in een digitaal model met een specifieke taal (bijvoorbeeld SysML) opgemaakt. Deze methode wordt gehanteerd bij EULYNX.

Zie ook onderstaande link naar het Nederlandse Incose, onderdeel van een internationaal actieve vereniging met als doel het bevorderen van de toepassing en ontwikkeling van Systems Engineering.

Techniek: fail-safe

De Nederlandse wet- en regelgeving verplicht ProRail met o.a. een veiligheidsmanagementsysteem zich hieraan te houden. In praktische zin wordt hiervoor het begrip ALARP gehanteerd, een acroniem dat staat voor "As Low As Reasonably Practicable" en betekent "het risico is zo laag als redelijkerwijs uitvoerbaar" (bron: Britse wetgeving). Naast veilige werking bij “normale” exploitatie moet de seintechnische installatie zodanig zijn opgebouwd, dat ook bij een verstoorde situatie en bij werkzaamheden te allen tijde de veiligheid gewaarborgd blijft: de installatie als geheel moet “fail safe” zijn. Dat wil zeggen dat met het samenstel van alle maatregelen in iedere fase van de life cycle de kans op onveiligheid tot een minimum wordt teruggebracht. De kans dat tegelijkertijd nog een zeldzaam defect optreedt wordt dan wel heel erg klein: een acceptabel risico. Als zo'n risico alsnog naar voren komt, dan kunnen, mits de middelen dat rechtvaardigen, extra maatregelen worden genomen.

In de lifecycle van Seinwezen-installaties, van het eerste ontwerp tot en met demontage en sloop, vinden de volgende processen plaats, die (mede) zeer bepalend zijn voor de spoorwegveiligheid.

Stappen

1. Het voeren van beleid m.b.t. de toepassing van systemen / producten met een veiligheidsfunctie in het railverkeer.

2. Het (doen) modificeren en ontwikkelen van nieuwe systemen / producten met een veiligheidsfunctie in het railverkeer:

a. Het ontwikkelen en beheren van voorschriften voor de hele life-cycle (ontwikkeling, vrijgave, ontwerp, projectering, installatie, test, beheer, onderhoud, gebruik, ontmanteling) van systemen / producten met een veiligheidsfunctie in het railverkeer.

3. Het ontwerpen, projecteren, installeren en testen van installaties met een veiligheidsfunctie in het railverkeer:

a. Verkeerstechnisch (Functioneel) Ontwerp - het opstellen van het programma van eisen voor een specifieke installatie op een locatie, hetgeen leidt tot OBE-, OS-bladen, Rijweglijsten e.d.; het juiste ontwerp van deze bladen belichaamt de primordial safety van de installatie.

Primordial safety - d.w.z. ontwerp- of conceptuele veiligheid - is de veiligheid die afhangt van een logisch correct, compleet en consistent ontwerp. Fouten in het ontwerp of concept leiden zeer waarschijnlijk tot een installatie met ingebouwde veiligheidsrisico’s;

b. Engineering - Het maken van een technisch ontwerp met gebruik van systemen en producten uit de catalogus van vrijgegeven techniek, inclusief alle aspecten van verificatie en validatie die daarbij horen. In het bedrijfsproces "Engineering" worden de volgende fasen onderscheiden:

i. Configureren - het configureren / projecteren van een product uit de catalogus; ook in deze fase wordt de primordial safety beïnvloed;

ii. Collationeren (primair op een logisch ontwerp en secundair op een technisch ontwerp) - locatieafhankelijke projecteringen vragen om een specifieke verificatie van het ontwerp. De verificatie is een controle op de vertaling naar een volgende fase in het ontwerp op basis van ontwerpvoorschriften. De geproduceerde schematuur is een volledige en correcte uitwerking van eerder opgestelde specificaties. Door het zgn. collationeren van ontwerpen wordt zekergesteld dat het ontwerp voldoet aan de in de opdracht vastgelegde eisen en de eisen van spoorwegveiligheid en functionaliteit.

Ontwerpveiligheid is de veiligheid van een systeem of installatie. Het ontwerp van een installatie is veilig, als alle daarop van toepassing zijnde beveiligingsregels op een juiste wijze in het ontwerp zijn gehanteerd, waarbij rekening is gehouden met alle mogelijke, bekende faalwijzen.

c. Engineering, fabricage en montage - bij engineering, fabricage en montage van de te installeren deelsystemen moet de embodiment safety gewaarborgd worden.

Vormgevingsveiligheid (Engels: embodyment safety) is het in het ontwerp vastgelegde veiligheid die bij uitvoering en instandhouding aanwezig dient te blijven. De installatie moet volgens vrijgegeven tekeningen gerealiseerd worden, de juiste componenten moeten gebruikt worden. Sommige eigenschappen van componenten kunnen alleen worden gegarandeerd bij voldoende inspectie, preventief onderhoud, revisie, etc. Embodyment safety - d.w.z. vormgevingsveiligheid - hangt af van de vormgevingsvoorwaarden, zoals het gebruik van bepaalde bouwstenen met bepaalde eigenschappen, die zonder het juiste onderhoud, of bij ondeskundige modificaties, verloren zouden kunnen gaan. De veiligheid hangt af van de wijze waarop systemen, producten en componenten worden toegepast en onderhouden.

d. Met Functiewijziging wordt bedoeld de feitelijke nieuwbouw en vernieuwing van treinbeveiligingsinstallaties.

e. Risicobeheersing door middel van testen.

Bij ieder van de processtappen worden bevindingen voor de uiteindelijke verificatie en validatie schriftelijk vastgelegd. Hieraan ten grondslag liggen o.a. allerlei vormen van testen.

Niet opgespoorde fouten worden door testen alsnog zichtbaar gemaakt. Ook kunnen tekortkomingen in de specificaties aan het licht komen. Het proces van testen valideert het geheel van alle fasen van het ontwerp. Afhankelijk van het soort risico in de fase van totstandkomen van een installatie wordt de testaanpak bepaald. Testen kunnen door meerdere partijen worden uitgevoerd, mede afhankelijk van welke fase van ontwerp en van installatiesoort sprake is.

De testaanpak wordt mede bepaald door de technologie waarvan sprake is, bijvoorbeeld conventionele relaistechniek of een elektronisch systeem.

Bij conventionele techniek en bij alle buiteninstallaties (ook bij elektronische systemen) zullen verschillende soorten testen over grotere geografische afstanden plaats moeten vinden. Verificatie van het collationeren in een vorige processtap fase vindt plaats met behulp van een beltest, werkingstest, functietest, veiligheidstest en bedrijfstest. De preciese aanpak wordt bepaald door een ervaren tester van beveiligingsinstallaties.

Het relatief hoge risico op een fout in een beveiligingsinstallatie bepaalt de diepgang van testen. Het zal duidelijk zijn dat bijvoorbeeld alle functies voor iedere rijweg in een systeem of installatie grondig getest moeten zijn. Immers, een onjuist seinbeeld kan grote gevolgen hebben. Maar een vergelijkbare afweging geldt voor aspecten als security (moderne IT!), herstelbaarheid (assentelsystemen!), onderhoudbaarheid, EMC (Electro-Magnetische Compatibiliteit), etc., ook die soorten aspecten moeten beoordeeld zijn.

4. Het vrijgeven van systemen / producten met een veiligheidsfunctie in het railverkeer;

a. Homologatie is na het testen het goedkeuren van de totaal opgeleverde spoorinfrastructuur na afsluiten van de bouwwerkzaamheden. Doel is de opgeleverde spoorinfrastructuur vrij te kunnen geven voor gebruik zoals beschreven in de specificaties. Overeenkomstig de CENELEC-normen worden de resultaten van verschillende vormen van test, verificatie en validatie in het ontwerp- en productieproces vastgelegd in:

• Generic Product Safety Case;

• Generic Application Safety Case;

• Specific Application Safety Case;

• Optioneel: Development Period Safety Case (t.b.v. pilot).

i. Indienststellen - formele overdracht van de installatie; afsluiting van het proces ‘Functiewijziging’ en start van het proces ‘Instandhouding’.

5. Het instandhouden, d.w.z. (het doen) onderhouden, repareren, vervangen, gebruiken en ontmantelen van installaties met een veiligheidsfunctie in het railverkeer.

6. Het functioneel en technisch beheer (van het maken van beleid, beheren van voorschriften en documentatie, performance analyse, etc.) van systemen / producten met een veiligheidsfunctie in het railverkeer.

Ontstaan

Bovenstaande is een uitwerking van de voorbereiding op de privatisering van de Nederlandse Spoorwegen, waartoe in 1990 het onderstaande document "Complexe bouwwerk..." is opgesteld met het onderscheid in activiteiten gedurende de lifecycle van systemen, met daarbij aangegeven hoe de spoorwegveiligheid daarin verankerd is.

De nog altijd geldende basistermen kunnen we terug vinden in onderstaand gedateerd document van GRS, destijds de huisleverancier van de Nederlandse treinbeveiliging.

Open vs. Gesloten

Introductie van het begrip marktwerking aan het eind van de vorige eeuw heeft veranderingen gebracht. Als in één of meer processtappen gedurende de hele levenscyclus van ontwikkeling, ontwerp tot en met beheer informatie van leveranciers, hun systemen en/of bedrijfsprocessen ook voor derden beschikbaar wordt gemaakt, wordt gesproken van Open. Als dat juist onmogelijk is (gemaakt), wordt gesproken over Gesloten.

Aspecten die aan de orde zijn:

• Industrieel eigendom, zowel “hardware” als ‘’software”;

• Systeemaanpassingen, functionaliteit;

• Realisatie, bouw (infraproject) als processen met marktpartijen;

• Beheer en onderhoud;

• Diverse andere processen, bijvoorbeeld waar tooling voor nodig is.

Uitgebreidere informatie over Open en Gesloten is hier te vinden.

Bronnen en links: