CC BY
59
СТАНДАРТИЗАЦИЯ И СЕРТИФИКАЦИЯ
УДК 656.25
В. Ю. Рязанов
ООО «ЛокоТех-Сигнал», Москва
АНАЛИЗ НОРМАТИВНОЙ БАЗЫ ПО ПОДТВЕРЖДЕНИЮ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ МИКРОПРОЦЕССОРНЫХ СИСТЕМ ЖЕЛЕЗНОДОРОЖНОЙ АВТОМАТИКИ
Статья посвящена анализу современного состояния нормативно-правовой базы по вопросам доказательства безопасности, обеспечения качества и подтверждения соответствия микропроцессорных систем железнодорожной автоматики и телемеханики в ЕАЭС. Дан краткий анализ стандартов CENELEC. Произведен обзор мероприятий по обеспечению необходимого уровня безопасности микропроцессорных систем железнодорожной автоматики и телемеханики с точки зрения менеджмента качества процессов разработки, менеджмента безопасности и подтверждения правильности функционирования микропроцессорных систем. Проанализирована практика процедуры подтверждения соответствия требованиям стандартов автоматизированных систем управления технологическим процессом на железнодорожном транспорте в форме декларирования соответствия согласно ТР ТС 003/2011. Сделан вывод о необходимости развития нормативно-правовой базы для обеспечения регулируемого процесса анализа и оценки систем железнодорожной автоматики и телемеханики в соответствии с требованиями функциональной безопасности, а также дальнейшей разработки документов по стандартизации с целью регламентирования методов оценки функциональной безопасности.
Функциональная безопасность, подтверждение соответствия, доказательство безопасности, методы доказательства безопасности, модель жизненного цикла
DOI: 10.20295/2412-9186-2020-6-4-435-465
Введение
На современном этапе развития микропроцессорных систем железнодорожной автоматики и телемеханики вопросы доказательства безопасности, обеспечения качества и подтверждения соответствия имеют особое значение. Микроэлектронная, микропроцессорная и компьютерная техника определяет развитие средств автоматики и телемеханики с 1980-х годов [1].
Микропроцессорные автоматизированные системы управления движением на железнодорожном транспорте разрабатываются довольно интенсивно. Это подчеркивает актуальность совершенствования подходов к управлению качеством и обеспечению безопасности, а также стандартизации комплекса методов верификации подобных систем на всех этапах их жизненного цикла.
Современные требования к особо ответственным системам подразумевают использование методологии системной и программной инженерии, процессного подхода к разработке и риск-ориентированной стратегии на всех этапах производства и эксплуатации [2—8].
Важное значение имеют процедуры регламентирования и стандартизации процессов верификации и валидации, подтверждения соответствия, приемки микропроцессорных систем железнодорожной автоматики и телемеханики (ЖАТ) и их допуск к эксплуатации в целях дальнейшего тиражирования на сети железных дорог [8—13].
Число техногенных катастроф пропорционально общему количеству единиц используемой техники. Количество единиц транспортной техники с каждым годом возрастает, как и скорости их перемещения, неизбежно влияя на общий уровень безопасности [14]. Современные системы управления в большинстве своем реализуются на микроэлектронной и микропроцессорной основе. Специальные методы обеспечения безопасности микроэлектронных и микропроцессорных систем и методов доказательства безопасности технических средств разрабатываются с конца 1960-х — начала 70-х годов в ведущих институтах инженеров железнодорожного транспорта [1, 15].
Автор данной статьи ставил следующую задачу: проанализировать состояние нормативно-правовой базы в области доказательства безопасности, обеспечения качества и подтверждения соответствия СЖАТ, указав основные направления развития методологии оценки функциональной безопасности СЖАТ.
1. Мероприятия по доказательству безопасности
микропроцессорных систем железнодорожной автоматики
В соответствии с Договором о Евразийском экономическом союзе (ЕАЭС) от 29.05.2014 и Федеральным законом «О техническом регулировании» от 27.12.2002 № 184-ФЗ технические регламенты принимаются в целях защиты жизни и (или) здоровья человека, имущества, окружающей среды, жизни и (или) здоровья животных и растений. Для выполнения требований технического регламента Союза и оценки их соответствия на добровольной основе могут применяться международные, региональные (межгосударственные) стандарты, а в случае их отсутствия — национальные (государственные) стандарты [16].
В ЕАЭС действует технический регламент Таможенного союза ТР ТС 003/2011 «О безопасности инфраструктуры железнодорожного транспорта» [9]. Согласно ТР ТС 003/2011, автоматизированные системы управления технологическим процессом на железнодорожном транспорте, как и программное обеспечение, подлежат обязательному подтверждению соответствия до момента выпуска в обращение.
Один из основополагающих документов из перечня стандартов, которые на добровольной основе обеспечивают соблюдение требований техническо-
го регламента ТР ТС 003/2011, — ГОСТ 33477 «Система разработки и постановки продукции на производство. Технические средства железнодорожной инфраструктуры. Порядок разработки, постановки на производство и допуска к применению». Данный стандарт [13] описывает основные стадии разработки, постановки на производство, подконтрольной эксплуатации и допуска к применению. Диаграмма процесса разработки представлена на рисунке 1.
В соответствии с [13], для продукции, обеспечивающей безопасное управление технологических процессов, необходимо провести испытания и подготовить документы программы обеспечения безопасности и доказательства безопасности в соответствии с ГОСТ 33432.
В межгосударственных стандартах и европейских нормах содержатся следующие методы доказательства безопасности СЖАТ [11, 17—20]:
— экспертно-расчетные (на основе экспертизы технической и конструкторской документации);
— испытания имитационных моделей программно-аппаратных средств;
— стендовые испытания;
— оценка безопасности по статистическим данным об отказах в процессе эксплуатации;
— испытания систем в условиях эксплуатации.
Одними из основных методов исследования безопасности сложных технических систем являются методы имитационных испытаний моделей аппаратных и программных средств (имитационное моделирование).
Данные методы позволяют: обеспечить быстрое получение результатов; создать во время испытаний множество возможных технологических ситуаций; имитировать большое число отказов и сбоев аппаратных и программных средств; собрать статистические данные по влиянию сбоев на безопасность; откорректировать перечни опасных отказов.
Наиболее сложной проблемой при проведении имитационных испытаний является разработка и доказательство адекватности моделей микроэлектронных и микропроцессорных систем [11, 19]. Для решения этого сложного вопроса были разработаны методы имитационного моделирования сложных микропроцессорных систем с использованием прикладного математического пакета МЛТЬЛВ. Наряду с этим, в научно-исследовательской лаборатории «Безопасность и ЭМС» Белорусского государственного университета транспорта разработаны методы построения моделей микроэлектронных, микропроцессорных систем и устройств, а также имитационный комплекс для проведения испытаний микроэлектронных и микропроцессорных систем железнодорожной автоматики и телемеханики (СЖАТ) на безопасность [15]. Применение этих разработок позволяет создавать имитационные модели сложных систем, использовать единый алгоритм оценки микроэлектронных и микропроцессорных СЖАТ любого уровня сложности учитывая сбои, приводящие к опасным отка-
СП
3
0 а
а 3
с §
1
а
3 ■а а
I
о,
3 -§
3
п>
3 о
I
о-Ко
8 о
Технические требования(по решению заказчика)
Присвоение КД литеры «01"
Приемка в постоянную эксплуатацию
Решение об изготовлении установочной серии
Техническое задание
Эскизный и технический проекты (по требованию
заказчика)
оо оо
Приемочные Проверка готовности к Эксплуатационные Присвоение КД
испытания приемочным испытаниям испытания литеры «0»
Рис. 1. Диаграмма процесса разработки технических средств железнодорожной инфраструктуры
£ а
I
3 с
1л>
а
.с §
с
о, ■8 3 с ■в-
с §
■С §
зам, а также проверять условия отсутствия опасных отказов в устройствах СЖАТ не только для одиночных, но и для кратных отказов и сбоев.
Для преодоления проблемы малых вероятностей при реальных испытаниях СЖАТ предлагается путь, основанный на разработке и применении ускоренных натурных испытаний. Ускоренные натурные испытания проводятся с использованием методов понижения дисперсии и, в частности, метода существенной (значимой) выборки. Данный метод заключается в искусственном повышении вероятностей ошибок и сбоев путем их генерации и последующим перерасчетом получаемых результатов для учета реальных процессов эксплуатации. Комплексное применение ускоренных натурных испытаний и имитационного моделирования позволяет получать достоверные оценки в случаях, когда при проведении стендовых и эксплуатационных испытаниях нет необходимого количества времени для анализа, сбора и подтверждения статистических оценок показателей безопасности системы требуемой точности.
Таким образом, для объективного принятия решения о соответствии требуемому уровню безопасности необходимо применять комплексный подход к доказательству безопасности систем используя всю имеющуюся информацию (результаты расчетов, экспертные методы, ускоренные испытания, моделирование, стендовые испытания, имеющиеся аналоги эксплуатации подобных систем и т. д.). Обоснованные правила объединения информации базируются на методах теории квалиметрии.
Вопросы повышения безопасности движения решаются комплексно и сводятся к следующим действиям [21]:
— разработке и уточнению стандартов, инструкций и требований по безопасности движения поездов;
— координации работ по безопасности СЖАТ на всех этапах проектирования, изготовления, испытаний и эксплуатации СЖАТ;
— выработке организационных мероприятий, рекомендаций и проектно-технологических решений по обеспечению безопасности СЖАТ в конкретных проектах;
— контролю выполнения мероприятий и рекомендаций, а также соответствия характеристик проекта требованиям безопасности;
— оперативному обеспечению безопасности СЖАТ в процессе эксплуатации железнодорожного транспорта;
— обобщению опыта и организации конференций, семинаров и совещаний по безопасности движения поездов.
Основными требованиями к системе стандартов является получение нормативного базиса и критериев подтверждения соответствия и оценки функциональной безопасности аппаратуры СЖАТ. Стандарты должны обеспечить эффективность организационных, конструкторских, технологических и эксплуатационных мероприятий, направленных на достижение оптимального
уровня безопасности СЖАТ, а также объективность и сопоставимость результатов контроля и испытаний на безопасность.
Согласно текущей нормативной базе ГОСТ 33432 и EN 50129, доказательство безопасности в целом состоит из трех основных частей [5, 18]:
— отчет о мерах по управлению качеством;
— отчет о мерах по управлению функциональной безопасностью;
— отчет о состоянии функциональной безопасности.
Цель системы менеджмента качества — уменьшение числа человеческих ошибок на каждом этапе жизненного цикла.
Вопросы управления качеством СЖАТ непосредственно относятся к вопросам мониторинга и повышения эффективности процессов организационного обеспечения проектов разработки и процессов технического управления.
Основными нормативными требованиями являются ISO 9001—2015. В части разработки программных продуктов следует принять во внимание ГОСТ Р ИСО/МЭК 90003—2014. Стандартами, описывающими процессы системной и программной инженерии, считаются ГОСТ Р 57193—2016 «Системная и программная инженерия. Процессы жизненного цикла систем» и ГОСТ Р ИСО/МЭК 12207—2010 «Информационная технология (ИТ). Системная и программная инженерия. Процессы жизненного цикла программных средств». Для реализации обеспечивающей системы организация-разработчик должна выбрать соответствующие процессы из ГОСТ Р 57193-2016 и ГОСТ Р ИСО/МЭК 12207-2010 и адаптировать их под нужды организации в качестве стандартов организации в соответствии с ГОСТ Р 1.4-2004. Допускается подготовка плана обеспечения качества в рамках разработки конкретной целевой системы с адаптацией процессов под конкретные нужды проекта в соответствии с ГОСТ Р ИСО 10005.
Второе условие приемки безопасности — обеспечение управляемости разработки системы посредством системы менеджмента безопасности, например, согласующейся с методологией RAMS в соответствии с EN 50126. Цель данного процесса — дальнейшее снижение вероятных ошибок, приводящих к нарушению безопасности и являющихся следствиями действий человека, а также ошибок в работе самой системы.
Меры по управлению функциональной безопасностью включают в себя организацию проекта с соответствующим распределением ролей и обеспечения их независимости, планирование необходимых мероприятий по определению требований безопасности, анализу и экспертизе безопасности, пересмотру аспектов безопасности в ходе разработки СЖАТ, ведения журнала опасностей, планирования мероприятий по верификации и валидации требований безопасности.
Следует заметить, что европейские и отечественные стандарты предписывают осуществлять разработку СЖАТ в соответствии с V-образной моделью жизненного цикла. V-образная модель была создана как разновидность ка-
скадной модели с обеспечением планирования мероприятий по верификации и тестированию на ранних этапах разработки. V-образная модель применяется как на уровне системы, так и на уровне программного обеспечения. Таким образом, план и спецификация приемочного тестирования осуществляется на этапе разработки требований к системе, а планы интеграционного и модульного тестирования — на этапах разработки проекта и т. д. [22]. На рисунке 2 показана V-образная модель жизненного цикла программного обеспечения.
Следует заметить, что как в области управления качеством (ISO 9001), так и менеджмента безопасности, обязательным требованием является применение риск-ориентированного подхода. Так, например, оценка рисков и анализ угроз является необходимыми мероприятиями для определения требуемого уровня полноты безопасности (УПБ) [6, 18, 23]. В отечественной нормативной базе данный подход нашел свое отражение в системе управления ресурсами, рисками и надежностью на этапах жизненного цикла (УРРАН) [24—27].
Третьим условием является подтверждение правильности функционирования микропроцессорных систем и техническое доказательство соответствия данных систем требованиям безопасности в условиях их применения.
Рис. 2. V-образная модель жизненного цикла программного обеспечения
В отличие от релейных СЖАТ проблема безотказности и безопасности комплексно может быть решена не за счет применения более надежных элементов, а путем резервирования и контроля [28-36].
При неоспоримых преимуществах микропроцессорных систем, таких как широкие функциональные возможности, самодиагностика и лучшие показатели надежности, в процессе разработки должен быть учтен ряд особенностей:
1) Симметричность отказов. У элементов с симметричными отказами вероятность возникновения отказов вида 0^1 и 1^0 примерно равны (т. е. имеют один порядок). К данным элементам относится большинство используемых в микроэлектронной и микропроцессорной технике;
2) Особенности доказательства корректности реализации функций на программном уровне. Известно [37-40], что зачастую невозможно обнаружить все ошибки в программном коде методом перебора. К тому же это весьма трудоёмкая задача. Требуется разработка стратегии верификации и валидации технологических и системных функций, а также функций безопасности на уровне программного обеспечения. Выполнение соответствующих мероприятий становится одной из ключевых задач при разработке безопасных микропроцессорных систем;
3) Разнообразие микроэлектронной и программируемой техники;
4) Высокая чувствительность микроэлектронной элементной базы к влияниям внешней среды;
5) Многообразие интерфейсов, определяющих взаимодействие подсистем и систем между собой и с эксплуатационно-техническим персоналом;
6) Повышение плотности монтажа и снижение питающих напряжений интегральных схем, а также снижение пороговых значений логического «0» и «1», что в свою очередь приводит к росту влияния внутренних помех на работу микроэлектронных устройств.
Появление сложных микропроцессорных систем привело к выделению нового класса отказов — маскируемых. Отказы технических средств, которые не приводят к нарушению функционирования системы, называются маскируемыми и могут быть диагностируемыми и недиагностируемыми. Недиагностируемые отказы способны приводить к накоплению ошибок в системе и, как следствие, к нарушению функционирования системы и возможности их опасного влияния на работу системы.
При построении безопасных систем управления следует обеспечивать безотказность (reliability), отказоустойчивость (fault-tolerance) и их безопасное поведение при отказах (fail-safe) [35, 41].
Первые две стратегии подразумевают, что система, которая правильно выполняет свой алгоритм функционирования, безопасна. Они используются в различных отраслях техники, т. е. не являются специфическими. В железнодорожной автоматике они позволяют уменьшить вероятность опасного воздействия системы на объект управления.
Третья стратегия используется специально для построения безопасных систем и заключается в переводе системы в необратимое защитное состояние при появлении отказа. Обратный переход в работоспособное состояние исключается (маловероятен) и производится искусственным путем (обычно с участием человека).
Выполнение требований защищенности от опасных отказов или безопасности (fail-safe) может быть обеспечено тремя различными способами.
1) Комбинационная безопасность (composite fail-safety). Каждая ответственная операция должна выполняться не менее чем двумя техническими компонентами системы. При возникновении опасного отказа в одном из элементов он должен быть обнаружен и устранён до того, пока может возникнуть опасный отказ во втором элементе.
2) Возвратная безопасность (reactive fail-safety). Функция безопасности реализуется одним элементом, но с постоянной проверкой на отсутствие опасного отказа путем непрерывного вычисления, тестирования или другим путем. Во избежание отказов по общей причине функция проверки и тестирования может выполняться вторым независимым устройством.
3) Собственная безопасность (inherent fail-safety). Функция безопасности обеспечивается за счет одного элемента, который заведомо обладает свойством безопасности (например, реле первого класса надежности).
Наиболее широко распространенная концепция безопасности микроэлектронных СЖАТ требует, чтобы одиночные дефекты аппаратных и программных средств не приводили к опасным отказам и обнаруживались с заданной вероятностью на рабочих или тестовых воздействиях не позднее, чем в системе возникнет второй дефект [28, 30]. Проблема осложняется, если не все одиночные дефекты обнаруживаются. Тогда новый отказ может привести к нарушению безопасности. Поэтому необходимо предъявлять высокие требования к достоверности результатов диагностирования.
Обнаружение отказа должно происходить в течение заданного интервала времени (рис. 3). Эту задачу решают внутрипроцессорный и межпроцессорный контроль. Наиболее эффективно внутрипроцессорный контроль осуществляется путем тестирования в отведенные для этого промежутки времени или путем применения принципов самоконтроля (самопроверяемости) и сигнатурного анализа. Межпроцессорный контроль состоит во взаимной проверке работы процессоров на уровне системных шин, памяти и выходов (контроль с сильными связями). При контроле с умеренными связями производится проверка выходов. Применяется также вариант, когда один процессор реализует вычисления, а другой их проверяет (контроль со слабыми связями).
На рисунке 4 представлена одноканальная система, реализованная с помощью самопроверяемых схем встроенного контроля (ССВК) и безопасной выходной схемы (БВС). При возникновении отказа ССВК формирует сигнал Y для перевода системы в защитное состояние. Безопасность данной схемы зависит от эффективности способа самопроверки.
Выход
с»
а 3
с §
а: о
3
"О
а г
п з
£
3 о
Су
I
о-N0
8 о
Устройство А
Обнаружение
Устройство В
Выход
Первый отказ появился в устройстве А
Обнаружение первого Переход в безопасное отказа в устройстве А состояние, выход отключен
Второй отказ появился в устройстве В
Рис. 3. Обнаружение отказа и переход в защитное состояние в двухканальной системе
£ а
I
О;
а £ с
С о
3
с
с
§
-С §
УО =0
Y
Рис. 4. Обнаружение одиночных отказов в одноканальной системе с одной программой
При реализации дублированной системы со слабыми связями (рис. 5) первый процессор (обозначен через цЭВМ1 — микроЭВМ) реализует функцию безопасности, а второй (цЭВМ2) осуществляет проверку, обмен информации осуществляется по шине W. Контроль работы микроЭВМ осуществляется за счет тестовых программ либо за счет параллельных вычислений и сравнения результатов.
Рис. 5. Обнаружение одиночных отказов в дублированной системе со слабыми связями
В отличие от дублированной системы, описанной выше, в дублированной системе с сильными связями (рис. 6) контроль работы осуществляется как на уровне выходов, так и на уровне шин и памяти. В данной системе производится потактовая проверка совпадения сигналов W1 и W2 на внутренних контрольных точках (шинах) с помощь безопасной схемы сравнения БСС 1. При расхождении сигналов W1 и W2 БСС1 формирует сигнал ошибки У Сигнал воздействует на БСС2 и отключает управляемое оборудование (УО).
На основании реализованной концепции безопасности СЖАТ в отчете о состоянии функциональной безопасности должно быть подтверждено, что функциональное поведение системы является безопасным в предполагаемых условиях применения в соответствии с заданными требованиями. Помимо прочего в от-
Рис. 6. Обнаружение одиночных отказов в дублированной системе с сильными связями
чете должен содержаться анализ влияния одиночных и множественных отказов, а также анализ защиты от систематических отказов и отказов по общей причине [42]. В отчете о состоянии функциональной безопасности должны быть приведены результаты испытаний СЖАТ, в том числе результаты функционирования при внешних воздействиях. Дополнительно в отчете должны быть определены правила, условия и ограничения, которые должны быть учтены в процессе применения СЖАТ.
Следует дополнить, что, помимо прочего, эргономический аспект является так же существенным с точки зрения безопасности и обязательно должен приниматься во внимание при выполнении мероприятий по оценке и доказательству безопасности. Он затрагивает вопросы, связанных с разработкой, например, требования к распределению функций между оперативным персоналом, осуществляющим технологическую и техническую эксплуатацию СЖАТ, а также методологию оптимального согласования характеристик человека и техники.
Подводя итоги обзору мероприятий по доказательству безопасности СЖАТ нельзя не учесть экономический аспект, учитывающий взаимосвязь безопасности СЖАТ, затрат на их разработку, внедрение, а также поддержание в эксплуатации. Любая работа по повышению безопасности и снижения степени риска СЖАТ требуют дополнительных материальных затрат и усилий специалистов различного профиля. Доведение степени риска технических систем до нуля по экономическим соображениям практически нереализуемо.
Таким образом между степенью допустимого риска (уровнем безопасности) и экономическими затратами должен существовать компромисс, т. е. должно проводиться технико-экономическое обоснование разработки микропроцессорных систем.
2. Нормативно-правовая база в области технического регулирования
микропроцессорных систем железнодорожной автоматики
Проанализируем применяемую нормативно-правовую базу технического регулирования микропроцессорных СЖАТ
Подтверждение соответствия автоматизированных систем управления движением железнодорожным транспортом осуществляется в форме декларации соответствия согласно требованиям ТР ТС 003/2011 «О безопасности инфраструктуры железнодорожного транспорта».
В перечне стандартов, обеспечивающих на добровольной основе соблюдение требований технического регламента Таможенного союза «О безопасности инфраструктуры железнодорожного транспорта» (в ред. от 6 марта 2015 г. решением коллегии ЕЭК от 3 февраля 2015 г.), для автоматизированных систем управления движением применяются требования ГОСТ 34012, ГОСТ 33892—2016, ГОСТ 33893-2016, ГОСТ 33894-2016, ГОСТ 33895-2016, ГОСТ 338986-2016, ГОСТ 33436.4-1-2015. В данном перечне отсутствуют стандарты для декларирования соответствия программного обеспечения.
В аналогичном списке стандартов для ТР ТС 001/2011 «О безопасности железнодорожного подвижного состава» присутствуют следующие стандарты для подтверждения соответствия программного обеспечения: ГОСТ Р МЭК 615083-2012 (с 1 июля действует ГОСТ IEC 61508-3-2018), ГОСТ Р 51904-2002, СТ РК МЭК 62279-2007, СТБ IEC 62279-2011, ГОСТ ИСО/МЭК 9126-2001, ГОСТ Р 50739-95, ГОСТ Р 52980-2008. Дополнительно применяется ГОСТ Р 51188-98.
Среди поддерживающих стандартов для ТР ТС 003/2011 отсутсвует ГОСТ Р МЭК 62279-2016, выпущенный позднее. Учитывая практику применения IEC 62279 и EN 50128, следует разработать аналогичный межгосударственный стандарт с использованием опыта реализации IEC 62279 (EN 50128), а также с исправлением неточностей перевода, сделанных при подготовке национального стандарта.
Необходимо дополнить перечень требованиями ГОСТ Р МЭК 62280-2017 «Железные дороги. Системы связи, сигнализации и обработки данных. Требования к обеспечению безопасной передачи информации» (разработан на основе IEC 62280 и EN 50159).
В Евросоюзе применяются стандарты требований CENELEC: EN 501262017, EN 50128:2011, EN 50129:2018, EN 50159, EN 50121-4 и др.
Стандарты EN 50126, EN 50129 не переведены на русский и не приняты в качестве национальных или межгосударственных стандартов на территории РФ. Однако на основании некоторых положений EN 50126, EN 50129 и ранее действовавшей отраслевой базы был подготовлен ГОСТ 33432, который копирует требования к подготовке программы обеспечения и доказательства безопасности. Частично учтены положения EN 50126 в отношении методологии RAMS
в стандартах системы УРРАН, а также общие положения в части управления рисками в ГОСТ 33433.
На данный момент отсутствует цельная методология расчета и оценки рисков, анализа микроэлектронной компонентной базы, верификации программного обеспечения, анализа отказов по общей причине, в стандартах нет методов контроля и подтверждения безопасности автоматизированных систем. На рисунке 7 приведена структура стандартов в рассматриваемой предметной области.
Еще до вступления в силу технических регламентов в области железнодорожного транспорта проблемы безопасности систем автоматики и методология доказательства рассматривались ведущими отечественными госуниверситетами, испытательными центрами — ПГУПС, МИИТ, БелГУТ. Была разработана отраслевая нормативная база, представленная руководящими документами, документами ССФЖТ, отраслевыми стандартами, отдельными книгами и статьями, затрагивающими методологию испытаний, моделирования аппаратных средств, имитацию отказов микропроцессорных комплексов, а также испытаний самопроверяемого программного обеспечения [43—50].
До вступления в силу технических регламентов в области железнодорожного транспорта подтверждение соответствия автоматизированных систем управления технологическим процессом на железнодорожном транспорте и программного обеспечения не носило обязательной формы, а осуществлялось, при необходимости и в форме добровольной сертификации. В этих рамках допускается разработка перечня сертификационных показателей (в т. ч. с учетом требований конструкторской и программной документации разработчика).
С вступлением в силу технических регламентов Таможенного союза отраслевые и руководящие документы прекратили действие. Разработанные взамен их российский (ГОСТ Р), а затем и межгосударственные стандарты (ГОСТ) не в полной мере заменили ранее существовавшие. Так, положения ОСТ 32.146—2000 «Аппаратура железнодорожной автоматики, телемеханики и связи. Общие технические условия» содержат гораздо больше информации в части функциональной безопасности, надежности и требований к программному обеспечению, нежели ныне действующий ГОСТ 34012—2016.
ГОСТ Р МЭК 61508-3—2018 носит общий отраслевой характер, а обязательность его применения определяется непосредственно разработчиком.
В Европе независимый оценщик (асессор) является нотифицированным органом ^оВо, DeBo) с аккредитацией на соответствие требованиям 1БО/1ЕС 17020 «Оценка соответствия. Требования к работе различных типов органов инспекции». Экспертиза безопасности проходит в соответствии с требованиями EN 50126, EN 50128, EN 50129, EN 50159. Оцениваются:
— меры безопасности на каждом этапе жизненного цикла системы (качественно и количественно);
— процессы управления безопасностью и качеством (путем аудита);
— интенсивность опасных отказов для каждой функции.
Технические регламенты Таможенного союза
Межгосударственные и национальные стандарты, применимые для автоматизированных систем управления технологическим процессом на железнодорожном транспорте
ГОСТ 33477 Система разработки и постановки продукции на производство (СРПП). Технические средства железнодорожной инфраструктуры Порядок разработки, постановки на производство и допуска к применению
1) Требования к системам: ГОСТ 34012, ГОСТ 33892, ГОСТ 33893, ГОСТ 33894, ГОСТ 33895, ГОСТ 33896, ГОСТ 33436.4-1
2) Требования безопасности: ГОСТ 33358, ГОСТ 33432, ГОСТ 33433, серия ГОСТ 61508, ГОСТ Р МЭК 62280
3) Требования к программному обеспечению: ГОСТ Р МЭК 62279, ГОСТ IEC 61508-3, ГОСТ Р 51904, ГОСТ Р 50739, ГОСТ Р 52980, ГОСТ Р 51188, ГОСТ ИСО/МЭК 9126
4) Требования надежности: ГОСТ 24.701, серия ГОСТ 27 Надежность в технике
Стандарты организации
Рис. 7. Структура современных стандартов в области технического регулирования
микропроцессорных СЖАТ
Проводится экспертиза доказательства безопасности всего комплекта доказательной базы, включая протоколы испытаний. Экспертиза протоколов осуществляется по всем требуемым типам испытаний — от непосредственно функциональных и подтверждающих корректное поведение СЖАТ в условиях
нормальной работы и накопления внутренних и внешних отказов до испытаний на стойкость к внешним воздействиям, подтверждающих способность системы сохранять свое функциональное поведение при экстремальных воздействиях (и в некоторой степени имитирующих процесс старения отдельных деталей и узлов). На основании проведенной работы выдается отчет об оценке безопасности, и только при успешно пройденной опытной эксплуатации опытных образцов можно получить сертификат безопасности на СЖАТ.
В таблице 1 представлен общий план мероприятий по верификации и валида-ции программного обеспечения согласно требованиям EN 50128. Конкретные мероприятия уточняются планом обеспечения качества и планом верификации и валидации в зависимости от выбранной стратегии гарантии качества. Выбор стратегии разработки СЖАТ, мер для обеспечения безопасности, стратегии верификации и валидации — прерогатива разработчика, равно как и работа по обоснованию достаточности реализованных мер и решений.
Таблица 1. План мероприятий по верификации и валидации программного обеспечения
№ Мероприятие Методика Результат
Организационные мероприятия
1 Подготовка плана обеспечения качества ПО EN 50128/ IEEE 730 ПОК ПО
2 Подготовка плана верификации и валидации ПО EN 50128/ IEEE 1012 План
3 Подготовка шаблонов, контрольных листов, методического сопровождения проекта EN 50128 Шаблоны, контрольные листы
4 Верификация документа (план обеспечения качества ПО и план верификации и валидации) EN 50128 Отчет о верификации плана
5 Верификация и валидация (обоснование выбора) инструментов разработки и тестирования ПО EN 50128 Отчет о валидации инструментов
6 Верификация обоснования выбора стандарта кодирования Анализ Отчет о верификации, обновление сведений в плане обеспечения качества
Этап разработки требований к ПО
7 Оценка полноты, тестируемости и корректности требований к ПО Технический обзор Предварительный отчет
8 Оценка прослеживаемости требований к ПО в соответствии с ТЗ или требованиям к системе Анализ трасси-руемости Матрица требований
Продолжение табл. 1
№ Мероприятие Методика Результат
9 Верификация предварительной редакции спецификации тестирования всего ПО Технический обзор Спецификация тестирования всего ПО
10 Оценка необходимости корректировки ПОК и плана верификации и валидации Анализ Корректировка (если необходимо)
11 Подготовка отчета о проверке требований к программному обеспечению EN 50128 Отчет о верификации этапа разработки
Этап разработки архитектуры и проектирования ПО
12 Оценка полноты, корректности и целостности архитектуры ПО Технический обзор Корректировка архитектуры ПО (при необходимости)
13 Оценка полноты и корректности проекта (алгоритмов) ПО Анализ Верифицированный проект ПО (алгоритмы)
14 Оценка соответствия разработанных документов требованиям к ПО Анализ трассируемости Матрица требований
15 Оценка спецификации тестирования интеграции ПО (ПО и АО) Анализ Предварительный отчет
16 Корректировка спецификации тестирования всего ПО (при необходимости) Анализ Корректировки в спецификацию тестирования
17 Подготовка отчета об архитектуре программного обеспечения и проверке проекта EN 50128 Отчет о верификации этапа
Этап модульного проектирования ПО
18 Оценка полноты и корректности проекта модуля ПО Технический обзор Верифицированный проект модуля ПО
19 Оценка соответствия проекта модуля ПО требованиям верхнего уровня Анализ трассируемости Матрица требований
20 Оценка спецификации тестирования модуля ПО Технический обзор Верифицированная спецификация тестирования модуля ПО
21 Анализ алгоритмов модуля ПО Анализ Верифицированный алгоритм
22 Подготовка отчета о проверке проекта компонента ПО EN 50128 Отчет о верификации этапа
Продолжение табл. 1
№ Мероприятие Методика Результат
Этап реализации ПО и модульного тестирования
23 Анализ исходного кода Статический анализ, анализ применения стандарта кодирования, анализ дерева событий, анализ последствий ошибок ПО Верифицированный код
24 Верификация данных Анализ Верифицированная структура данных, прикладных данных, эксплуатационных параметров
25 Оценка соответствия требованиям проекта модуля ПО Анализ трасси-руемости Матрица требований
26 Модульное тестирование Функциональное тестирование («черный ящик»), структурное тестирование («белый ящик»)/ EN 50128 Отчет о тестировании
27 Оценка полноты Сквозной про- Решение о достаточно-
тестовых проверок смотр документации сти проверок / о дополнительных проверках
28 Верификация результатов модульного тестирования Обзор и анализ Верифицированные результаты
29 Отчет о проверке исходного кода ПО EN 50128 Отчет о верификации этапа
Этап интеграции программного обеспечения
30 Интеграционное тестирование ПО EN 50128 Отчет об интеграционном тестировании ПО
31 Интеграционное тестирование ПО и аппаратных средств EN 50128 Отчет об интеграционном тестировании ПО и АО
32 Верификация результатов интеграционного тестирования Обзор и анализ Верифицированные результаты тестирования
Окончание табл. 1
№ Мероприятие Методика Результат
33 Подготовка отчета о проверке интеграции программного обеспечения EN 50128 Отчет о верификации этапа
Валидация программного обеспечения
34 Тестирование ПО (системный уровень) / квалификационное тестирование Функциональное тестирование и тестирование временных характеристик / EN 50128 Отчет тестирования ПО системы
35 Оценка полноты тестовых проверок и верификация результатов тестирования Сквозной просмотр документации Решение о достаточности проверок / о дополнительных проверках
36 Подготовка отчета о валидации ПО EN 50128 Отчет о валидации ПО
Таможенный союз не регламентирует оценку безопасности железнодорожной автоматики на нормативно-правовом уровне. В рамках приведенных стандартов и ГОСТ 33477 экспертизу доказательства безопасности принято осуществлять аккредитованным испытательным центрам. Согласно критериям аккредитации, указанным в Приказе Минэкономразвития РФ № 326, компетентность подтверждается опытом персонала в области заявленных испытаний, наличием оборудования, действующей системой менеджмента качества и т. д. При этом не проверяется наличие процедур и испытательного оборудования, компетентность сотрудников, требующей аналитического и критического мышления и соответствующих навыков. Нет однозначного понимания такого термина, как «испытания в области безопасности». Стоит ли под этим понимать испытания на требования функциональной безопасности или на внешние воздействующие факторы — климатические, механические воздействия и ЭМС, которые проводятся в рамках декларирования требованиям ТР ТС 003/2011? Отсутствует однозначная трактовка в части необходимости испытаний на функциональную безопасность и проверки доказательства безопасности для подтверждения соответствия требованиям ТР ТС 003/2011.
Основная проблема заключается в том, что испытательный центр должен быть аккредитован для оценки функциональной безопасности СЖАТ (по межгосударственному ГОСТ 33477, который не является нормативно-правовым документом), но непонятно, в соответствии с какими документами это должно происходить. Аккредитованный центр проводит испытания и выдает протоколы в области своей аккредитации. Экспертиза доказательства безопасности
осуществляется экспертным методом, и выдача экспертного заключения формально осуществляется не в рамках области аккредитации согласно законодательству отдельных стран Таможенного союза.
Сейчас принята практика доверять оценку безопасности испытательным центрам, уровень компетентности которых оценивается конечным потребителем (владельцем инфраструктуры) как приемлемый для проведения подобных работ. Необходимость доказательства безопасности не закреплена на нормативно-правовом уровне и регламентируется конечным заказчиком согласно ГОСТ 33477, поскольку на данный момент наличие декларации соответствия требованиям ТР ТС 003/2011 не подтверждает соблюдение методологии разработки безопасных СЖАТ и количественного доказательства интенсивности опасного отказа подобных систем.
Согласно ГОСТ 33477, на этапе предварительных испытаний опытного образца необходимо подготовить доказательство безопасности. Аккредитованный испытательный центр должен провести экспертизу данного доказательства безопасности [13].
Принято считать, что получение экспертизы доказательства безопасности является конечным результатом работ по выполнению требований функциональной безопасности в ЕАЭС. Процедура подготовки подобной экспертизы не регламентирована, как и список работ, необходимых для получения положительных результатов. В сложившейся ситуации испытательным центрам приходится вырабатывать собственный подход, что не позволяет однозначно сопоставить результаты различных институтов. С переходом на ГОСТ ISO/IEC 17025—2019 центры обязаны планировать и осуществлять действия по управлению рисками и возможностями в соответствии с действующими требованиями ISO 9001. Таким образом, риск-ориентированный подход и критическое мышление должны стать полноценным инструментом решения организационных и технических вопросов.
Полноценное проведение объема функциональных испытаний и испытаний на безопасность осуществляется до приемки в эксплуатацию, но не обеспечивается процедурой подтверждения соответствия, поскольку методы контроля не приведены в действующих документах по стандартизации. Это создает опасный прецедент, при котором часть ответственности перекладывается на потребителя — владельца инфраструктуры. В силу разнообразия микропроцессорной техники, критического влияния подобных систем на инфраструктуру, особых требований к уровню компетенции, а также отсутствия однозначных внутренних процедур проверки возможно сочетание неблагоприятных факторов, способных сказаться в дальнейшем на обеспечении безопасности движения в процессе эксплуатации.
При дальнейшем анализе отечественного подхода и требований стандартов CENELEC следует заметить, что расчет показателей безопасности систем осуществляется в ЕАЭС не в соответствии с функциями безопасности, а в зависимости от количества управляемых объектов. Например, для станционных
систем электрической централизации показатели безопасности нормируется в зависимости от количества стрелок на станции (110-7 1/ч на железнодорожную станцию для станций с числом централизованных стрелок до 22 включительно и 110-9 1/ч на централизованную стрелку для станций с числом централизованных стрелок более 22, согласно ГОСТ 33894). Показатели безопасности рассчитываются на функцию безопасности, т. е. на цепочку устройств (петлю безопасности), совместно выполняющих определенную задачу.
Не регламентирован и состав работ для аккредитованных испытательных центров. Данная работа может заключаться сугубо в экспертизе документа доказательства безопасности на соответствие содержания требованиям ГОСТ 33432, а может предполагать развернутый перечень мероприятий. Например, независимую оценку безопасности алгоритмов программного обеспечения, статический анализ исходного кода, оценку выполнения концепции безопасности, качественную оценку принятых мер безопасности, анализ одиночных отказов, анализ последовательностей отказов, оценку отказов по общей причине и т. д. Стандартизованные методики здесь также отсутствуют. Нет нормативных требований к надежности автоматизированных систем управления на национальном и межгосударственном уровнях. Согласно стандарту организации СТО РЖД 1.19.004, для автоматизированных систем управления движением предъявляются требования в средней наработке на отказ при выполнении всех функций не менее 40 000 часов. При нынешнем развитии элементной микропроцессорной базы подобный показатель фактически может быть достигнут только за счет полного резервирования всех функциональных элементов.
Для выпуска в обращение разработанной системы управления движением нужно подать в сертификационный орган заявление о регистрации декларации соответствия с комплектом конструкторской, программной и эксплуатационной документации, протоколами испытаний и иной доказательной базы. После проверки полноты комплекта документов и корректности оформления протокола испытаний принимается решение о регистрации декларации соответствия в национальной части единого реестра Таможенного союза.
При таком подходе отсутствует фактическая оценка системы менеджмента качества и безопасности, применяемой разработчиком СЖАТ, и проверка готовности изготовителя к обеспечению стабильных условий производства безопасных систем.
Автоматизированные системы являются проектно-компонуемыми системами, конечный состав которых определяется согласно индивидуальному проекту. Задача организации оценки безопасности и контроля качества осложняется выбором в рамках опытно-конструкторской работы такой конфигурации системы, при которой опытный образец будет представлять необходимый и полный набор функциональных и конструктивных свойств системы, при котором возможна проверка полного перечня функции системы и всех соответствующих ее состояний. При проведении дополнительного объема работ по разработке
дополнительных функций системы требуется провести регрессионное тестирование и полноценные функциональные испытания.
При осуществлении проекта под определенный объект внедрения уточняются условия эксплуатации системы, определяются эксплуатационные ограничения и соответствующие регламенты работ при выявленных отказах. Особую важность представляет собой этап анализа рисков, а также работа по планированию подтверждения проектных характеристик, требований RAMS, верификации программного обеспечения, в т. ч. основанного на данных, а также валидацию системы в рамках требований проекта.
EN 50129 выделяет следующие уровни продукта:
1) GP (general product) — базовый продукт, система рассматривается с общей точки зрения для использования в различных классах применения (например, операционные системы и базовое программное обеспечение, аппаратное обеспечение, представляющее собой базовые функции ввода-вывода, сетевой протокол на транспортном уровне сетевой модели OSI);
2) GA (general application) — базовое применение, возможно использование для определенного класса применения (например, технологическое программное обеспечение логики централизации, сетевой протокол на прикладном уровне сетевой модели OSI);
3) SA (specific application) — специальное применение, использование возможно только для конкретного применения на объекте, может включать физическую реализацию системы для единственного применения (например, файлы конфигурационных данных, представляющие собой топологию станции, свойства объектов на конкретном месте применения).
В Европейском союзе независимый оценщик проводит экспертизу доказательства безопасности проекта. Помимо экспертизы базового продукта и базового применения осуществляется экспертиза специального применения (SA) на уровне конфигурационных данных. В ЕАЭС такая практика обычно не применяется, поскольку она не отражена в техническом регламенте и соответствующих стандартах, не является обязательной. Тестирует программное обеспечение разработчик на полигоне применения.
На основании анализа нормативно-правовой базы в области технического регулирования микропроцессорных систем железнодорожной автоматики и, в частности, оценки функциональной безопасности подобных систем, можно сделать вывод: обеспечению единой политики в области технического регулирования критических систем на железнодорожном транспорте на территории ЕАЭС требуется уделить дополнительное внимание.
Заключение
Разработка микропроцессорных СЖАТ направлена на увеличение конкурентоспособности железнодорожного транспорта в условиях цифровой экономики.
Доказательство функциональной безопасности, управление качеством на этапах разработки и процедура подтверждения соответствия имеют ключевое значение для обеспечения железнодорожного транспорта надежными и конкурентоспособными СЖАТ.
Функциональная безопасность осуществляется за счет эффективной системы менеджмента качества процессов разработки систем управления и программного обеспечения, внедрения управления рисками и методологии RAMS в рамках менеджмента безопасности, выполнения данных требований на всех этапах жизненного цикла системы и совершенствования методов обеспечения и доказательства безопасности СЖАТ.
Был проведен анализ нормативно-правовой базы в области безопасности, обеспечения качества и подтверждения соответствия СЖАТ, определены различия в подходах, используемых в ЕАЭС и Европейском союзе. Продемонстрировано критическое отсутствие основополагающих документов, регламентирующих методологию оценки функциональной безопасности, а также состава мероприятий, необходимых для осуществления оценки безопасности СЖАТ. Поставлен вопрос о необходимости совершенствования нормативно-правовой базы в области подтверждения соответствия СЖАТ и организационной базы для оценки функциональной безопасности.
Необходимо дальнейшее развитие критического подхода в разработке и оценке СЖАТ с учетом тенденции развития современной техники. Существует потребность разработки методов оценки функциональной безопасности СЖАТ в форме межгосударственных стандартов для совершенствования технического регулирования в ЕАЭС.
Библиографический список
1. Сапожников В. В. Методы построения безопасных микроэлектронных систем железнодорожной автоматики / В. В. Сапожников, Вл. В. Сапожников, Х. А. Христов, Д. В. Гав-зов; под. ред. Вл. В. Сапожникова. - М.: «Транспорт», 1995. - 272 с.
2. ГОСТ 33433-2015. Безопасность функциональная. Управление рисками на железнодорожном транспорте.
3. ГОСТ Р ИСО 9001-2015. Системы менеджмента качества. Требования.
4. ISO / TS 22163:2017. Железные дороги. Система менеджмента качества. Требования к системам менеджмента бизнеса для предприятий железнодорожной отрасли: ISO 9001:2015 и частные требования, применимые в железнодорожной отрасли.
5. ГОСТ 33432-2015. Безопасность функциональная. Политика, программа обеспечения безопасности. Доказательство безопасности объектов железнодорожного транспорта.
6. СТО РЖД 1.02.033-2010. Управление ресурсами на этапах жизненного цикла, рисками и анализом надежности (УРРАН). Порядок идентификации опасностей и рисков.
7. EN 50126-1:2017. Railway Applications. The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS). Generic RAMS Process.
8. ГОСТ Р 57193-2016. Системная и программная инженерия. Процессы жизненного цикла систем.
9. ТР ТС 003/2011. О безопасности инфраструктуры железнодорожного транспорта.
10. Белишкина Т. А. Особенности подтверждения соответствия требованиям безопасности железнодорожной автоматики и телемеханики в переходный период после принятия технических регламентов Таможенного союза / Т. А. Белишкина // Автоматика на транспорте. - 2016. - Т. 2. - № 2. - С. 208-227.
11. Сапожников В. В. Сертификация и доказательство безопасности систем железнодорожном автоматики / В. В. Сапожников, Вл. В. Сапожников, В. И. Талалаев и др.; под ред. Вл. В. Сапожникова. - М.: Транспорт, 1997. - 288 с.
12. ГОСТ Р ИСО / МЭК 12207-2010. Информационная технология (ИТ). Системная и программная инженерия. Процессы жизненного цикла программных средств.
13. ГОСТ 33477-2015. Система разработки и постановки продукции на производство (СРПП). Технические средства железнодорожной инфраструктуры. Порядок разработки, постановки на производство и допуска к применению.
14. Васильев С. Н. Проблемы обеспечения безопасности в современных микропроцессорных системах управления подвижным составом, вызванные особенностями современной элементной базы, и их решение на примере блока безопасности «Барс» вагонов 81-760 московского метрополитена / С. Н. Васильев, А. П. Кирпичников, А. А. Бот-винёнок // Бюллетень Объединенного ученого совета ОАО «РЖД». - 2016. - № 5. -C. 13-23
15. Розенберг Е. Н. Многоуровневая система управления и обеспечения безопасности движения поездов / Е. Н. Розенберг. - М.: Российский научно-исследовательский и проектно-конструкторский институт информатизации, автоматизации и связи. -317 с.
16. Договор о Евразийском экономическом союзе (Подписан в г. Астане 29.05.2014).
17. ГОСТ 33894-2016. Система железнодорожной автоматики и телемеханики на железнодорожных станциях. Требования безопасности и методы контроля.
18. EN 50129:2018. Railway applications - Communication, signaling and processing systems -Safety related electronics systems for signaling.
19. ОСТ 32.41-95. Безопасность железнодорожной автоматики и телемеханики. Методы доказательства безопасности систем и устройств железнодорожной автоматики и телемеханики.
20. РД 32 ЦШ 1115842.02-93. Безопасность железнодорожной автоматики и телемеханики. Порядок и методы контроля показателей безопасности, установленных в нормативно-технических документации.
21. Розенберг Е. Н. Методы и модели функциональной безопасности технических систем: монография / Е. Н. Розенберг, И. Б. Шубинский. - 2004. - C. 188.
22. Федорец О. Н. Модели и методы разработки безопасного программного обеспечения: монография / О. Н. Федорец, В. В. Грибков. - М.: Словян. поляна, 2009. - C. 188.
23. ГОСТ Р МЭК 61508-1-2012. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования.
24. Гапанович В. А. Внедрение методологии урран в хозяйстве АТ / В. А. Гапанович, Б. Ф. Безродный, А. В. Горелик, Д. В. Шалягин // Автоматика, связь, информатика. -2012. - № 4. - С. 12-15.
25. Горелик А. В. Методы анализа надежности и эффективности функционирования систем железнодорожной автоматики и телемеханики / А. В. Горелик, И. А. Журавлев, П. А. Неваров, Н. А. Тарадин // Наука и техника транспорта. - 2011. - № 3. -С. 88-93.
26. Горелик А. В. Модели оценки технологической эффективности систем железнодорожной автоматики и телемеханики / А. В. Горелик, П. А. Неваров, И. А. Журавлев, А. С. Ве-селова // Автоматика на транспорте. - 2015. - Т. 1. - № 2. - С. 143-155.
27. Горелик А. В. Оценка рисков, связанных с функционированием систем электрической централизации / А. В. Горелик, В. Ю. Горелик, Д. В. Шалягин // Электротехника. -2018. - № 9. - С. 49-53.
28. Сапожников В. В. Надежность систем железнодорожной автоматики, телемеханики и связи: учеб. пособие / В. В. Сапожников, Вл. В. Сапожников, Д. В. Ефанов, В. И. Шаманов; под ред. Вл. В. Сапожникова. - М.: Учебно-методический центр по образованию на железнодорожном транспорте, 2017. - 318 с.
29. Согомонян Е. С. Самопроверяемые устройства и отказоустойчивые системы / Е. С. Со-гомонян, Е. В. Слабаков. - М.: Радио и связь, 1989. - 208 с.
30. Сапожников В. В. Основы теории надежности и технической диагностики / В. В. Сапожников, Вл. В. Сапожников, Д. В. Ефанов. - СПб: Издательство «Лань», 2019. -588 с.
31. Сапожников В. В. Самопроверяемые дискретные устройства / В. В. Сапожников, Вл. В. Сапожников. - СПб: Энергоатомиздат, 1992. - 224 с.
32. Бочков К. А. Методы обеспечения безопасности в микропроцессорных системах железнодорожной автоматики и телемеханики: учеб. пособие / К. А. Бочков, С. Н. Харлап. -Гомель: БелГУТ, 2001. - 84 с.
33. Smith D. J. Functional safety: A Straightforward Guide to IEC 61508 and Related Standards. 1st ed. / D. J. Smith, K. G. L. Simpson. - Oxford: Butterworth-Heinemann, 2001. - 208 p.
34. Скляр В. В. Обеспечение безопасности АСУТП в соответствии с современными стандартами / В. В. Скляр. - М.: Инфра-Инженерия, 2018. - 384 с.
35. Гавзов Д. В. Методы обеспечения безопасности дискретных систем / Д. В. Гавзов, Вл. В. Сапожников, В. В. Сапожников // Автоматика и телемеханика. - 1994. - № 8. -С. 3-50.
36. Theeg G. Railway Signalling & Interlocking: 3ed ed. / G. Theeg, S. Vlasenko. - Germany, Leverkusen: PMC Media House GmbH, 2020. - 552 p.
37. Шубинский И. Б. Функциональная надежность информационных систем. Методы анализа / И. Б. Шубинский. - М.: Областная типография «Печатный двор», 2012. - 296 с.
38. Майерс Г. Надежность программного обеспечения / Г. Майерс. - М.: Мир, 1980. -360 с.
39. Липаев В. В. Функциональная безопасность программных средств / В. В. Липаев. - М.: СИНТЕГ, 2004. - 348 с.
40. Орлов С. А. Технологии разработки программного обеспечения. Разработка сложных программных систем: учебник / С. А. Орлов. - СПб.: Питер, 2002. - 464 с.
41. Сапожников В. В. Методы построения безопасных микроэлектронных систем железнодорожной автоматики / В. В. Сапожников, Вл. В. Сапожников, Х. А. Христов, Д. В. Гавзов; под ред. Вл. В. Сапожникова. - М.: Транспорт, 1995. - 272 с.
42. Бочков К. А. Разработка отказоустойчивых систем на основе диверситетных базисов / К. А. Бочков, С. Н. Харлап, Б. В. Сивко // Автоматика на транспорте. - 2016. - Т. 2. -№ 1. - С. 47-64.
43. Васильев Д. А. Представление данных в модели полигона управления экспертной программы для испытаний программного обеспечения систем микропроцессорных централизаций / Д. А. Васильев, С. В. Гизлер, О. А. Наседкин, М. П. Шайфер // Проблемы безопасности и надежности микропроцессорных комплексов. - 2015. - № 1. -С. 80-83.
44. РТМ 32 ЦШ 1115482.02-94. Безопасность железнодорожной автоматики и телемеханики. Методы расчета показателей безотказности и безопасности СЖАТ. - СПб.: ПГУПС, 1994. - 36 с.
45. ОСТ 32.78-97. Безопасность железнодорожной автоматики и телемеханики. Безопасность программного обеспечения.
46. Новиков Д. В. К вопросу о выборе среды для имитационного моделирования систем железнодорожной автоматики и телемеханики / Д. В. Новиков // Актуальные вопросы развития систем железнодорожной автоматики и телемеханики. сб. науч. трудов. - СПб.: Петербургский гос. ун-т путей сообщения, 2013. - С. 60-65.
47. Марков Д. С. Виды испытаний систем железнодорожной автоматики и телемеханики на работоспособность и безопасность. основные понятия и терминология / Д. С. Марков, О. А. Наседкин, Д. И. Ургансков, М. А. Бутузов // Автоматика на транспорте. -2019. - Т. 5. - № 4. - С. 429-440.
48. Васильев Д. А. Представление данных в модели полигона управления экспертной программы для испытаний программного обеспечения систем микропроцессорных централизаций / Д. А. Васильев, С. В. Гизлер, О. А. Наседкин, М. П. Шайфер // Проблемы безопасности и надежности микропроцессорных комплексов: сб. трудов научно-практической конференции. - СПб.: ПГУПС, 2015. - С. 80-84.
49. Горелик А. В. Применение имитационного моделирования при проектировании и оценке надежности систем железнодорожной автоматики / А. В. Горелик, А. С. Веселова, А. А. Маслов // Труды Международного симпозиума «Надежность и качество». - 2016. -Т. 2. - 5 с.
50. Васильев Д. А. Имитаторы для испытаний программного обеспечения микропроцессорных систем железнодорожного транспорта / Д. А. Васильев // Автоматика и телемеханика железных дорог России. Техника, технология, сертификация. - 2011. - № 1. -С. 119-126.
51. Марков Д. С. Понятийный аппарат экспертизы и испытаний железнодорожной автоматики на безопасность / Д. С. Марков, О. А. Наседкин, Д. А. Васильев, М. А. Бутузов // Автоматика на транспорте. - 2018. - Т. 4. - № 1. - С. 30-45.
52. Марков Д. С. Терминологические особенности этапов разработки и доказательства безопасности железнодорожной автоматики и телемеханики / Д. С. Марков, О. А. Наседкин, Д. А. Васильев, М. А. Бутузов // Автоматика на транспорте. - 2017. - Т. 3. - № 3. -С. 368-379.
53. Белишкина Т. А. Нормативная база как инструмент для обеспечения надежности и безопасности железнодорожной автоматики и телемеханики / Т. А. Белишкина, О. А. Абрамов // Автоматика на транспорте. - 2018. - Т. 4. - № 4. - С. 540-560.
54. Липаев В. В. Программная инженерия. Методологические основы / В. В. Липаев. - М.: ТЕИС, 2006-608 с.
V. Yu. Ryazanov
LocoTech-Signal LLC, Moscow
ANALYSIS OF THE REGULATORY FRAMEWORK FOR CONFIRMATION OF THE FUNCTIONAL SAFETY REQUIREMENTS COMPLIANCE OF MICROPROCESSOR-BASED RAILWAY AUTOMATION SYSTEMS
The article analyzes the current regulatory framework for proof of safety, quality assurance, and confirmation of the conformity of microprocessor-based railway automation and remote control systems in the EAEU. CENELEC standards are briefly discussed. A brief overview is provided as regards measures to ensure the required level of safety of microprocessor-based railway automation and remote control systems from the point of view of quality management of development, safety management, and confirmation of the proper functioning of microprocessor systems. The practice of confirming the railway transport automated process control systems comply with standards in the form of a declaration of conformity per TR CU 003/2011 has been analyzed. It is concluded that there is a need to develop a regulatory framework to ensure regulated analysis and assessment of railway automation and remote control systems following the requirements of functional safety, as well as further development of standardization documents to regulate methods for assessing functional safety.
Functional safety, confirmation of conformity, proof of safety, methods to prove safety, life cycle model
DOI: 10.20295/2412-9186-2020-6-4-435-465 References
1. Sapozhnikov V. V., Sapozhnikov Vl. V., Khristov Kh. A. & Gavzov D. V. (1995) Metody postroy-eniya bezopasnykh mikroelektronnykh sistem zheleznodorozhnoy avtomatiki [Methods for building safe microelectronic railway automation systems]. Edited by Vl. V. Sapozhnikov Moscow, Transport Publ., 272 p. (In Russian)
2. GOST 33433-2015. Bezopasnost' funktsional'naya. Upravleniye riskami na zheleznodoro-zhnom transporte [Functional safety. Risk management on railway transport]. (In Russian)
3. GOST R ISO 9001-2015. Sistemy menedzhmenta kachestva. Trebovaniya [Quality Management Systems - Requirements]. (In Russian)
4. ISO/TS 22163:2017. Zheleznyye dorogi. Sistema menedzhmenta kachestva. Trebovaniya k sistemam menedzhmenta biznesa dlya predpriyatiy zheleznodorozhnoy otrasli: ISO 9001:2015 i chastnyye trebovaniya, primenimyye v zheleznodorozhnoy otrasli [Railways. Quality Management System. Requirements for business management systems for railway enterprises: ISO 9001:2015 and specific requirements applicable to the railway industry]. (In Russian)
5. GOST 33432-2015. Bezopasnost' funktsional'naya. Politika, programma obespecheniya bezopasnosti. Dokazatel'stvo bezopasnosti ob"yektov zheleznodorozhnogo transporta [Functional safety. Policy and program of safety provision. Safety proof of the railway objects]. (In Russian)
6. Russian Railways Standard STO 1.02.033-2010. Upravleniye resursami na etapakh zhiznen-nogo tsikla, riskami i analizom nadezhnosti (URRAN). Poryadok identifikatsii opasnostey i riskov [Resource management at life cycle stages, risk and reliability analysis (URRAN). Procedure for identifying hazards and risks]. (In Russian)
7. EN 50126-1:2017. Railway Applications. The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS). Generic RAMS Process.
8. GOST R 57193-2016. Sistemnaya i programmnaya inzheneriya. Protsessy zhiznennogo tsikla sistem [Systems and software engineering. System life cycle processes]. (In Russian)
9. CU TR 003/2011. O bezopasnosti infrastruktury zheleznodorozhnogo transporta [On safety of railway transport infrastructure]. (In Russian)
10. Belishkina T. A. (2016) Osobennosti podtverzhdeniya sootvetstviya trebovaniyam bezopasnosti zheleznodorozhnoy avtomatiki i telemekhaniki v perekhodnyy period posle prinyatiya tekhnicheskikh reglamentov Tamozhennogo soyuza [Confirmation of safety compliance of railway automation and remote control during the transition period after the adoption of the Customs Union Technical Regulations]. Avtomatika na transporte [Automatic Equipment in Transport], vol. 2, no. 2, pp. 208-227. (In Russian)
11. Sapozhnikov V. V., Sapozhnikov Vl. V., Talalayev V. I. et al. (1997) Sertifikatsiya i dokazatel'stvo bezopasnosti sistem zheleznodorozhnom avtomatiki [Certification and safety proof of railway automation systems]. Edited by Vl. V. Sapozhnikov Moscow, Transport Publ., 288 p. (In Russian)
12. GOST R ISO/IEC 12207-2010. Informatsionnaya tekhnologiya (IT). Sistemnaya i programmnaya inzheneriya. Protsessy zhiznennogo tsikla programmnykh sredstv [Information technology. System and software engineering. Software life cycle processes]. (In Russian)
13. GOST 33477-2015. Sistema razrabotki i postanovki produktsii na proizvodstvo (SRPP). Tekhnicheskiye sredstva zheleznodorozhnoy infrastruktury. Poryadok razrabotki, postanovki na proizvodstvo i dopuska k primeneniyu [System of development and launching into manufacture. Railway infrastructure equipment. Procedure of development, launching into manufacture and tolerance for use]. (In Russian)
14. Vasil'yev S. N., Kirpichnikov A. P. & Botvinyonok A. A. (2016) Problemy obespecheniya bezopasnosti v sovremennykh mikroprotsessornykh sistemakh upravleniya podvizhnym sostavom, vyzvannyye osobennostyami sovremennoy elementnoy bazy, i ikh resheniye na primere bloka bezopasnosti "Bars" vagonov 81-760 moskovskogo metropolitena [Problems of ensuring safety in current microprocessor-based rolling stock control systems caused by the nature of the modern element base, and their solution exemplified by the Bars safety unit for 81-760 cars of the Moscow metro]. Bulletin of the Joint Scientific Council of Russian Railways, no. 5, pp. 13-23. (In Russian)
15. Rozenberg E. N. (2004) Mnogourovnevaya sistema upravleniya i obespecheniya bezopasnosti dvizheniya poyezdov [Multilevel train traffic control and safety system]. Moscow, Russian Research and Design Institute for Information Technology, Signalling and Telecommunications in Railway Transportation Publ., 317 p. (In Russian)
16. Treaty on the Eurasian Economic Union (Signed in Astana on May 29, 2014). (In Russian)
17. GOST 33894-2016. Sistema zheleznodorozhnoy avtomatiki i telemekhaniki na zheleznodoro-zhnykh stantsiyakh. Trebovaniya bezopasnosti i metody kontrolya [Railway automatics and telemechanics systems on railway stations. Safety requirements and methods of checking]. (In Russian)
18. EN 50129:2018. Railway applications - Communication, signaling and processing systems -Safety related electronics systems for signaling.
19. OST 32.41-95. Bezopasnost' zheleznodorozhnoy avtomatiki i telemekhaniki. Metody dokazatel'stva bezopasnosti sistem i ustroystv zheleznodorozhnoy avtomatiki i telemekhaniki [Safety of railway automation and telemechanics. Methods for proving the safety of systems and devices of railway automation and telemechanics]. (In Russian)
20. RD 32 TsSh 1115842.02-93 (Regulatory Document Pfl 32 Цm 1115842.02-93). Bezopasnost' zheleznodorozhnoy avtomatiki i telemekhaniki. Poryadok i metody kontrolya pokaza-
teley bezopasnosti, ustanovlennykh v normativno-tekhnicheskikh dokumentatsii [Safety of railway automation and telemechanics. Procedure and methods for monitoring safety indicators established in the regulatory and technical documentation]. (In Russian)
21. RozenbergE.N. & Shubinskiy I. B. (2004) Metody i modeli funktsional'noy bezopasnosti tekhnicheskikh sistem: monografiya [Methods and models of functional safety of technical systems: monograph], pp. 188. (In Russian)
22. Fedorets O. N. & Gribkov V. V. (2009) Modeli i metody razrabotki bezopasnogo program-mnogo obespecheniya: monografiya [Models and methods of safe software development: monograph]. Moscow, Slavyanskaya Polyana Publ., pp. 188. (In Russian)
23. GOST R IEC 61508-1-2012. Funktsional'naya bezopasnost' sistem elektricheskikh, elektron-nykh, programmiruyemykh elektronnykh, svyazannykh s bezopasnost'yu. Chast' 1. Obschie trebovaniya. [Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 1. General requirements]. (In Russian)
24. Gapanovich V. A., Bezrodnyy B. F., Gorelik A. V. & Shalyagin D. V. (2012) Vnedreniye met-odologii URRAN v khozyaystve AT [Implementation of the URRAN methodology in the A&T]. Avtomatika, svyaz', informatika [Automation, communication, computer science], no. 4, pp. 12-15. (In Russian)
25. Gorelik A. V., Zhuravlev I. A., Nevarov P. A. & Taradin N. A. (2011) Metody analiza nadezh-nosti i effektivnosti funktsionirovaniya sistem zheleznodorozhnoy avtomatiki i telemekhaniki [Methods for analyzing the reliability and efficiency of railway automation and remote control systems functioning]. Nauka i tekhnika transporta [Science and Technology in Transport], no. 3, pp. 88-93. (In Russian)
26. Gorelik A. V., Nevarov P.A., Zhuravlev I. A. & Veselova A. S. (2015) Modeli otsenki tekhno-logicheskoy effektivnosti sistem zheleznodorozhnoy avtomatiki i telemekhaniki [Models for assessing the technological efficiency of railway automation and remote control systems]. Avtomatika na transporte [Automatic Equipment in Transport], vol. 1, no. 2, pp. 143-155. (In Russian)
27. Gorelik A. V., Gorelik V. Yu. & Shalyagin D. V. (2018) Otsenka riskov, svyazannykh s funk-tsionirovaniyem sistem elektricheskoy tsentralizatsii [Assessment of risks associated with the operation of electrical interlocking systems]. Elektrotekhnika [ElectricalEngineering], no. 9, pp. 49-53. (In Russian)
28. Sapozhnikov V. V., Sapozhnikov Vl. V., EfanovD. V. & Shamanov V.I. (2017) Nadezhnost' sistem zheleznodorozhnoy avtomatiki, telemekhaniki i svyazi: ucheb. posobiye [Reliability of railway automation, remote control and communication systems: textbook]. Edited by Vl. V. Sapozhnikov Moscow, Uchebno-metodicheskiy tsentr po obrazovaniyu na zheleznodorozhnom transporte [Railway educational training center] Publ., 318, 544 p. (In Russian)
29. Sogomonyan E. S. & Slabakov E. V. (1989) Samoproveryayemyye ustroystva i otkazoustoy-chivyye sistemy [Self-checking devices and fault-tolerant systems]. Moscow, Radio i svyaz' Publ., 208 p. (In Russian)
30. Sapozhnikov V. V., Sapozhnikov Vl. V. & Efanov D. V. (2019) Osnovy teorii nadezhnosti i tekhnicheskoy diagnostiki [Reliability and technical diagnostics theory fundamentals]. St. Petersburg, Lan' Publishing House, 588 p. (In Russian)
31. Sapozhnikov V. V. Sapozhnikov Vl. V. (1992) Samoproveryayemyye diskretnyye ustroystva [Self-checking discrete devices]. St. Petersburg, Energoatomizdat, 224 p. (In Russian)
32. Bochkov K. A. & Kharlap S.N. (2001) Metody obespecheniya bezopasnosti v mikro-protsessornykh sistemakh zheleznodorozhnoy avtomatiki i telemekhaniki: ucheb. posobiye [Methods of ensuring safety in microprocessor-based railway automation and remote control systems: textbook]. Gomel, Belarusian State University of Transport Publ., 84 p. (In Russian)
33. Smith D.J. & Simpson K. G. L. (2001) Functional safety: A Straightforward Guide to IEC 61508 and Related Standards. 1st ed. Oxford, Butterworth-Heinemann Publ., 208 p.
34. Sklyar V. V. (2018) Obespecheniye bezopasnosti ASUTP v sootvetstvii s sovremennymi standartami [Ensuring the safety of the automated process control system in accordance with current standards]. Moscow, Infra-Inzheneriya Publ., 384 p. (In Russian)
35. GavzovD. V., Sapozhnikov V. V. &Sapozhnikov Vl. V. (1994) Metody obespecheniya bezopasnosti diskretnykh sistem [Methods for providing safety in discrete systems]. Avtomatika i telemekhanika [Automation and Remote Control], no. 8, pp. 3-50. (In Russian)
36. Theeg G. & Vlasenko S. (2020) Railway Signalling & Interlocking. 3ed ed. Germany, Leverkusen, PMC Media House GmbH Press, 552 p.
37. Shubinskiy I. B. (2012) Funktsional'naya nadezhnost' informatsionnykh sistem. Metody analiza [Functional reliability of information systems. Analysis methods]. Moscow, "Pechatnyy dvor" Regional Printing House, 296 p. (In Russian)
38. Myers G. (1980) Nadezhnost' programmnogo obespecheniya [Software reliability]. Moscow, Mir Publ., 360 p. (In Russian)
39. Lipaev V. V. (2004) Funktsional'naya bezopasnost' programmnykh sredstv [Software functional safety]. Moscow, SINTEG Publ., 348 p. (In Russian)
40. Orlov S. A. (2002) Tekhnologii razrabotki programmnogo obespecheniya [Software development technologies]. Razrabotka slozhnykh programmnykh sistem: uchebnik [Software development technologies. Development of complex software systems: textbook]. St. Petersburg, Piter Publ., 464 p. (In Russian)
41. Sapozhnikov V. V., Sapozhnikov Vl. V., Khristov Kh. A. & Gavzov D. V. (1995) Metody postroy-eniya bezopasnykh mikroelektronnykh sistem zheleznodorozhnoy avtomatiki [Methods for building safe microelectronic railway automation systems]. Edited by Vl. V. Sapozhnikov. Moscow, Transport Publ., 272 p. (In Russian)
42. Bochkov K. A., Kharlap S.N. & Sivko B. V. (2016) Razrabotka otkazoustoychivykh sistem na osnove diversitetnykh bazisov [Development of fault-tolerant systems based on diverse bases]. Avtomatika na transporte [Automatic Equipment in Transport], vol. 2, no. 1, pp. 47-64. (In Russian)
43. Vasil'yev D. A., Gizler S. V., Nasedkin O. A. & Shayfer M. P. (2015) Predstavleniye dannykh v modeli poligona upravleniya ekspertnoy programmy dlya ispytaniy programmnogo obespecheniya sistem mikroprotsessornykh tsentralizatsiy [Representation of data in the expert program control area model for testing the software of microprocessor-based interlocking systems]. Problemy bezopasnosti i nadezhnosti mikroprotsessornykh kompleksov [Problems of safety and reliability of microprocessor-based systems], no. 1, pp. 80-83. (In Russian)
44. (1994) RTM 32 TsSh 1115482.02-94 (Regulatory Document PTM 32 Цm 1115482.02-94). Bezopasnost' zheleznodorozhnoy avtomatiki i telemekhaniki. Metody rascheta pokazateley bezotkaznosti i bezopasnosti SZhAT [Safety of railway automation and remote control devices. Methods for calculating the indicators of reliability and safety of railway automation and remote control systems]. Saint Petersburg, PGUPS Publ., 36, pp. (In Russian)
45. OST 32.78-97. Bezopasnost' zheleznodorozhnoy avtomatiki i telemekhaniki. Bezopasnost' programmnogo obespecheniya [Safety of railway automation and remote control. Software security]. (In Russian)
46. Novikov D. V. (2013) K voprosu o vybore sredy dlya imitatsionnogo modelirovaniya sistem zheleznodorozhnoy avtomatiki i telemekhaniki [On the issue of choosing an environment for railway automation and remote control systems simulation]. Actual problems of railway automation and remote control systems development. Sb. nauch. trudov [Scientific proceedings], Saint Petersburg, PGUPS Publ., pp. 60-65. (In Russian)
47. MarkovD. S., Nasedkin O. A., UrganskovD.I. & Butuzov M.A. (2019) Vidy ispytaniy sistem zheleznodorozhnoy avtomatiki i telemekhaniki na rabotosposobnost' i bezopasnost'. os-novnyye ponyatiya i terminologiya [Types of performance and safety tests of railway automation and remote control systems. Basic concepts and terminology]. Avtomatika na transporte [Automatic Equipment in Transport], vol. 5, no. 4, pp. 429-440. (In Russian)
48. Vasil'yevD.A., Gizler S. V., Nasedkin O.A. & Shayfer M.P. (2015) Predstavleniye dannykh v modeli poligona upravleniya ekspertnoy programmy dlya ispytaniy programmnogo obe-specheniya sistem mikroprotsessornykh tsentralizatsiy [Representation of data in the expert program control area model for testing the software of microprocessor-based interlocking systems]. Problemy bezopasnosti i nadezhnosti mikroprotsessornykh kompleksov [Problems of safety and reliability of microprocessor-based systems]. Sb. trudov nauchno-prakticheskoy konferentsii [Proceedings of the Scientific and Practical Conference]. Saint Petersburg, PGUPS Publ., pp. 80-84. (In Russian)
49. GorelikA. V., Veselova A. S. & Maslov A. A. (2016) Primeneniye imitatsionnogo modelirovani-ya pri proyektirovanii i otsenke nadezhnosti sistem zheleznodorozhnoy avtomatiki [Application of simulation in the design and reliability assessment of railway automation systems]. Proceedings of the International Symposium on Reliability and Quality, vol. 2, 5 p. (In Russian)
50. Vasil'yev D. A. (2011) Imitatory dlya ispytaniy programmnogo obespecheniya mikro-protsessornykh sistem zheleznodorozhnogo transporta [Simulators for testing the railway transport microprocessor-based systems software]. Avtomatika i telemekhanika zheleznykh dorog Rossii. Tekhnika, tekhnologiya, sertifikatsiya [Automation and remote control of Russian railways. Equipment, technology, certification], no. 1, pp. 119-126. (In Russian)
51. MarkovD. S., Nasedkin O. A., Vasil'yevD. A. & Butuzov M. А. (2018) Ponyatiynyy apparat ekspertizy i ispytaniy zheleznodorozhnoy avtomatiki na bezopasnost' [Research vocabulary of railway automation safety examination and testing]. Avtomatika na transporte [Automatic Equipment in Transport], vol. 4, no. 1, pp. 30-45. (In Russian)
52. Markov D. S., Nasedkin O. A., Vasil'yev D. A. & Butuzov M.A. (2017) Terminologicheskiye osobennosti etapov razrabotki i dokazatel'stva bezopasnosti zheleznodorozhnoy avtomatiki i telemekhaniki [Terminological features of the development and proof of railway automation and remote control safety]. Avtomatika na transporte [Automatic Equipment in Transport], vol. 3, no. 3, pp. 368-379. (In Russian)
53. Belishkina T.A. &Abramov O.A. (2018) Normativnaya baza kak instrument dlya obespecheniya nadezhnosti i bezopasnosti zheleznodorozhnoy avtomatiki i telemekhaniki [Regulatory framework as a tool to ensure the reliability and safety of railway automation and remote control]. Avtomatika na transporte [Automatic Equipment in Transport], vol. 4, no. 4, pp. 540-560. (In Russian)
54. Lipaev V V (2006) Programmnaya inzheneriya. Metodologicheskiye osnovy [Software engineering. Methodological foundations]. Moscow, TEIS Publ., 608 p. (In Russian)
Статья представлена к публикации членом редколлегии К. А. Бочковым Поступила в редакцию 12.05.2020, принята к публикации 15.06.2020
РЯЗАНОВ Вячеслав Юрьевич — руководитель отдела качества и безопасности ООО «ЛокоТех-Сигнал»
e-mail: vyacheslav.ryazanov@locotech-signal.ru
© Рязанов В. Ю., 2020
