9
- Если концепцией построения программно-аппаратных средств ДЦ и ДК допускается накопление отказов, которые не обнаруживаются в процессе эксплуатации, то вероятность возникновения опасного отказа по причине их накопления за период эксплуатации не должна превышать заданной вероятности опасного отказа.
- Программно-аппаратные средства ДЦ и ДК должны обеспечивать восстановление работоспособного состояния из состояния защитного отказа только с участием эксплуатационного персонала.
- Интенсивность опасных отказов технических средств передачи и реализации ответственных команд должна быть не более 3 • 10-111/ч на одну команду.
- Программные средства, применяемые в ДЦ и ДК, как встраиваемые в аппаратные средства, таки поставляемые на носителях записи, должны:
- обеспечивать корректное выполнение всех функций по обеспечению безопасности движения поездов (см. 4.1);
- быть тестируемыми и диагностируемыми;
- сохранять работоспособность после перезагрузок, вызванных сбоями и отказами аппаратных средств и источников электропитания;
- контролировать целостность программ и данных;
- быть защищены от несанкционированного доступа, от потерь и искажений при хранении, вводе, выводе, возникновении сбоев при обработке информации;
- не иметь свойств и характеристик, не описанных в технической документации на программные средства (недекларированные возможности).
4.7 Критерии опасных отказов систем диспетчерской централизации и диспетчерского
контроля
- Критериями опасного отказа систем ДЦ и ДК в процессе функционирования ТС являются следующие события:
- нарушение индикации на станционных устройствах отображения при отказах устройств съема информации. Потенциальная угроза безопасности движения поездов возникает при неправильном контроле состояния объектов во вспомогательных режимах управления, когда дежурный по железнодорожной станции пользуется показаниями средств отображения индикации;
- получение устаревших данных ТС после восстановления работоспособности контролируемого пункта или передачи по каналу передачи данных;
- сохранение устаревшей индикации на средствах отображения индикации у поездного диспетчера после прекращения поступления ТС;
- неправильная индикация состояния контролируемых объектов у поездного диспетчера при пользовании ответственными командами или при организации движения поездов по приказам.
- Критериями опасного отказа систем ДЦ и ДК при выполнении ими функции ТУ являются:
- реализация на контролируемом пункте ответственной команды при отсутствии или передаче других команд;
- самопроизвольная (несанкционированная) генерация ответственной команды.
- Критериями опасного отказа системы ДЦ при выполнении функции ТУ при разделении режимов управления между персоналом являются следующие события:
- возможность реализации команд ТУ (в т. ч. ответственных) от дежурного по железнодорожной станции и поездного диспетчера в случае, когда станция находится на комбинированном управлении, а также вследствие одновременного существования разных режимов управления станцией (диспетчерского и станционного, диспетчерского и резервного);
- возможность реализации команд ТУ (в т. ч. ответственных) от двух поездных диспетчеров при неправильном разграничении зон диспетчерского управления.
- Методы контроля
- Общие положения
- Основными методами контроля систем ДЦ и ДК являются:
а) оценка соответствия системы ДЦ или ДК и ее составных частей требованиям безопасности в форме экспертизы проектной, конструкторской, технологической, программной, эксплуатационной документации.
Экспертная оценка на стадии разработки проводится с целью установления:
- полноты и корректности реализации системой функций по обеспечению безопасности движения поездов, установленных заданием на проектирование;
достаточности и обоснованности технических приемов и мероприятий, которые применены в