軌道交通信號系統安全評估與認證體系研究

【摘 要】：軌道交通信號系統是保證列車(chē)運行安全，提高運輸效率的安全相關(guān)系統，為了使該系統規范化、標準化、國際化， 迫切需要建立一套軌道交通信號系統的安全評估與認證體系。本文首先介紹了軌道交通信號系統的功能和對其進(jìn)行安全評估的迫切性，然后對相關(guān)的安全國際標準和國外安全認證體系進(jìn)行了介紹和分析，最后結合我國軌道交通行業(yè)的實(shí)際情況探討了在我國進(jìn)行安全評估和認證的可行方法。

【關(guān)鍵詞】：軌道交通 信號系統 安全認證 安全相關(guān)系統

1. 概述 隨著(zhù)社會(huì )進(jìn)步、城市規模不斷擴大、人口密度迅速增加，交通擁堵日趨嚴重已成為制約城市經(jīng)濟發(fā)展的一大障礙。由于城市軌道交通具有運量大、安全正點(diǎn)、快捷舒適及污染小等特點(diǎn)，建立以城市軌道交通為主的城市交通系統是解決城市交通擁堵問(wèn)題的重要途徑。人們對于城市軌道交通的要求越來(lái)越高，如何實(shí)現列車(chē)安全、快速、高效的運行是目前軌道交通領(lǐng)域亟待解決的根本性問(wèn)題，作為保證行車(chē)安全、提高運營(yíng)效率的軌道交通信號系統在提高運輸效率、保證行車(chē)安全及旅客舒適度等方面具有決定性作用。 軌道交通信號系統是運用技術(shù)手段保證行車(chē)安全。它包括車(chē)站信號控制系統（車(chē)站聯(lián)鎖系統）和區間信號系統以及機車(chē)信號系統幾個(gè)部分。信號系統的主要功能是保證行車(chē)安全、提高運營(yíng)效率。信號系統雖然在工程投資中并不占很高的比重，但是由于信號系統擔任著(zhù)指揮列車(chē)安全運行的任務(wù)，關(guān)系到成千上萬(wàn)乘客的生命和財產(chǎn)安全，為此，需要專(zhuān)門(mén)考慮在系統出現故障，或操作人員不慎進(jìn)行錯誤操作的情況下，系統仍能最大限度地維護乘客安全。目前無(wú)論是國產(chǎn)軌道交通信號系統還是國外設備國產(chǎn)化的推廣應用所遇到的共同問(wèn)題就是：國內開(kāi)發(fā)的軌道交通信號系統缺乏權威的安全認證機構進(jìn)行認證。而國際通行的方法都要求有安全認證這一步，這樣國內開(kāi)發(fā)的信號系統就難以參加相關(guān)項目的招投標。通過(guò)安全評估可以系統地從計劃、設計、制造、運行等全過(guò)程中考慮信號系統的安全技術(shù)和安全管理問(wèn)題，發(fā)現系統開(kāi)發(fā)過(guò)程中固有的或潛在的危險因素，搞清引起系統災害的工程技術(shù)現狀，論證由設計、工藝、材料和設備更新等方面的技術(shù)措施的合理性學(xué)習。研究國際安全標準和相關(guān)的安全評估和認證體系，并結合中國軌道交通發(fā)展的實(shí)際情況建立軌道交通信號系統的安全評估和認證體系勢在必行！ 2. 相關(guān)的國際標準 世界發(fā)達國家的城市軌道交通系統已經(jīng)有了百余年的發(fā)展歷史，他們不斷總結經(jīng)驗教訓，完善管理，已經(jīng)形成了一整套科學(xué)的安全評估、認證、管理體系，制定了一系列切實(shí)可行的安全評估的技術(shù)標準。 IEC61508是國際電子電工委員會(huì )（IEC）制定的《電氣/電子/可編程電子安全相關(guān)系統的功能安全》國際標準，是進(jìn)行軌道交通安全評估和論證重要的參考標準。 在鐵路運輸領(lǐng)域里，人們對安全相關(guān)系統的研究主要集中于鐵路信號控制系統中，首先于1963-1965年在日本由信號保安協(xié)會(huì )開(kāi)展起來(lái)，所進(jìn)行的研究是以“電子技術(shù)信號設備的研究”為主體展開(kāi)的，提出了相應的報告。 國際鐵路聯(lián)盟研究實(shí)驗所（ORE）A118課題在1969年至1977年期間共出版了13個(gè)報告和2個(gè)技術(shù)文件，系統地考證了“電子技術(shù)在鐵路信號系統中的應用”， A155課題在1982年至1988年期間發(fā)表了“在鐵路信號設備中電子元器件的應用”報告，在A(yíng)155課題的基礎上，1990年1月，國際鐵路聯(lián)盟（UIC）發(fā)布了738R規程，給出了安全信息的處理和傳輸的一系列建議。 歐洲國家在宣傳和介紹IEC61508國際標準的同時(shí)，以IEC61508國際標準為基礎，吸收該標準的精髓，制訂行業(yè)標準。歐洲電氣化標準委員會(huì )（CENELEC）下屬SC9XA委員會(huì )，制定了以計算機控制的信號系統作為對象的鐵道信號標準，它包括以下4個(gè)部分。 （1） EN－50126鐵路應用：可靠性、可用性、可維護性和安全性（RAMS）規范和說(shuō)明。 （2） EN－50129 鐵路應用：安全相關(guān)電子系統。 （3） EN－50128 鐵路應用：鐵路控制和防護系統的軟件。 （4） EN－50159.1鐵路應用：通信、信號和處理系統。 它們的相互關(guān)系和涉及到的具體信號領(lǐng)域見(jiàn)圖2-1。

2.1 IEC61508標準 IEC61508國際標準規范了電氣/電子/可編程電子安全相關(guān)系統軟硬件生存周期的各個(gè)階段的任務(wù)和目標，提供一個(gè)制定安全需求規范的方法。它由7個(gè)部分組成： 第1部分 總的要求 第2部分 電氣/電子/可編程電子系統的需求 第3部分 軟件需求 第4部分 定義和縮略語(yǔ) 第5部分 決定安全完整性級別的方法實(shí)例 第6部分 應用IEC61508－2和IEC61508－3指南 第7部分 技術(shù)和方法總論

其主要目標： 1) 對所有的包括軟、硬件在內的安全相關(guān)系統的元器件生命周期范圍提供一個(gè)安全監督的系統方法。 2) 提供一個(gè)確定安全相關(guān)系統安全功能要求的方法。 3) 建立一個(gè)基礎標準，使其可直接應用于所有工業(yè)領(lǐng)域，同時(shí)，亦可指導其他領(lǐng)域的標準，使這些標準的起草具有一致性（如基本概念、技術(shù)術(shù)語(yǔ)、對規定安全功能的要求等）。 4) 讓使用者和維護者放心使用以計算機為基礎的技術(shù)。 5) 建立一個(gè)概念統一、協(xié)調一致的標準。

在IEC61508中有個(gè)重要的概念：安全生命周期。安全生命周期是指從方案的確定階段開(kāi)始到所有的電氣/電子/可編程電子安全相關(guān)系統、其它技術(shù)的安全相關(guān)系統、外部風(fēng)險降低設備不再可用時(shí)為止，這個(gè)時(shí)間周期內發(fā)生為實(shí)現安全相關(guān)系統所必需的活動(dòng)。圖2-2是IEC61508描述的系統安全生命周期流程圖。 2.2 EN標準 2.2.1 EN50126 該標準定義了系統的RAMS（reliability、availability、maintainability和safety），即可靠性、可用性、可維護性和安全性，并且規定了安全生命周期內各個(gè)階段對RAMS的管理和要求。但是在該標準中，未定義RAMS的具體的定量目標。此處的生命周期和IEC61508中安全生命周期是一個(gè)概念。 RAMS作為系統服務(wù)質(zhì)量衡量的一個(gè)重要特征，是在整個(gè)系統安全生命周期內的各個(gè)階段通過(guò)設計理念、技術(shù)方法而得到的。為了達到規定的RAMS，必須針對前面的RAMS影響因素，在整個(gè)系統的生命周期內有效控制RAMS的影響因素，即系統的隨機故障和系統故障。EN50126要求在整個(gè)安全生命周期進(jìn)行RAMS管理，針對每個(gè)階段給出應需要完成的RAMS任務(wù)，同時(shí)給出相關(guān)的具體文檔和要求。 2.2.2 EN50128 由于在信號系統中采用計算機（包括微機、單片機）越來(lái)越廣泛，由軟件來(lái)承擔安全性需求的比重越來(lái)越大，因此軟件安全性問(wèn)題變得更加突出。為此EN50128針對軟件的安全保證提出了相關(guān)的規范和設計標準。在該標準中，對鐵路控制和防護系統的軟件進(jìn)行了安全完善度等級的劃分，針對不同的安全要求制訂了相應的標準，按不同等級對整個(gè)軟件開(kāi)發(fā)、檢查、評估、檢測過(guò)程包括對軟件需求規格書(shū)、測試規格書(shū)、軟件結構、軟件設計開(kāi)發(fā)、軟件檢驗和測試、軟硬件集成、軟件確認評估、質(zhì)量保證、生命周期、文檔等提出相應的程序與規范的要求。 2.2.3 EN50129 這個(gè)標準定義了為了保證安全相關(guān)的鐵路信號電子系統/子系統/設備安全所必須滿(mǎn)足的條件。這些條件包括： 1) 質(zhì)量管理措施 2) 安全管理措施 3) 功能和技術(shù)安全措施 4) 安全接受和論證 作為一個(gè)安全相關(guān)系統要作到系統的安全能夠得到接受和論證，必須經(jīng)過(guò)前三個(gè)步驟。 EN 50129就是針對一個(gè)安全事例來(lái)指導系統研究開(kāi)發(fā)人員在整個(gè)系統

研制開(kāi)發(fā)生命周期內所要完成的質(zhì)量管理、安全管理和相關(guān)的技術(shù)安全措施的實(shí)施。對于安全管理，引入IEC61508提出的安全生命周期概念，就是說(shuō)對于安全相關(guān)系統的安全部分，在設計時(shí)按照該步驟進(jìn)行設計，并且需要進(jìn)行全程的安全評估和驗證，目的是進(jìn)一步減少和安全相關(guān)的人為失誤，進(jìn)而減少系統故障風(fēng)險。圖2-3將系統各個(gè)層次的開(kāi)發(fā)和評估論證對應起來(lái)，描述的是“V”字型系統安全生命周期。

的機構，進(jìn)行CASS框架認證的機構都要向UKAS申請授權。系統制造商再向這些UKAS承認認證機構申請評估。CASS公司會(huì )對評估員進(jìn)行考核，監督評估過(guò)程[12]。 3.2 英國鐵路工程安全評估原則和方法 目前英國在鐵路安全管理中普遍應用ALARP原則（As Low As Reasonable Practicable）[13]，它是將安全相關(guān)系統的風(fēng)險分成以下三類(lèi)： 1) 足夠大的風(fēng)險，我們不能接收； 2) 足夠小的風(fēng)險，我們可以忽略； 3) 介于以上兩種風(fēng)險之間的風(fēng)險，我們必須采取適當的、可行的、合理成本下的方法將其降到可以接收的最低程度。 對于第三種風(fēng)險，我們采用ALARP（As Low As Reasonably Practicable）原則進(jìn)行風(fēng)險的減低，該原則的含義是采用盡可能低的成本、合理的、可行的方法進(jìn)行風(fēng)險降低。我們將以上三種風(fēng)險在圖3－2中進(jìn)行描述。 在圖3－2的最上層，即高于不可接收風(fēng)險等級，該部分的風(fēng)險被認為是不可接收的風(fēng)險，在任何情況下都不能，必須拒絕； 在不可接收風(fēng)險等級以下，我們采用ALARP原則進(jìn)行風(fēng)險的減低，在該階段，必須對風(fēng)險減低而花費的代價(jià)進(jìn)行評估，在風(fēng)險和代價(jià)

之間進(jìn)行平衡。在可接收區域邊緣以下，該區域的風(fēng)險有些微不足道，可以忽略。我們不需要采用任何方式或方法去減低它，當然我們必須將該區域的風(fēng)險始終保持在該等級水平上。 在Railtrack鐵路咨詢(xún)公司出版的工程安全管理黃頁(yè)[13]中把安全評估過(guò)程分為兩部分：安全審核和安全認證。 安全審核是要檢查工程的安全管理是否完善，能否和安全計劃保持一致。評估員應該檢查一下安全計劃里說(shuō)明的標準和步驟是不是被正確的執行了，看一下工程行為和安全計劃是不是具有繼承性。安全審核最后要有一個(gè)安全審核報告，這個(gè)報告應該包括：對項目和安全計劃一致性的評價(jià)、認為安全計劃可行的評價(jià)和計劃相符或是有所改進(jìn)的建議。 安全認證是一個(gè)判斷和系統相關(guān)的風(fēng)險擴大或者減小到一定等級的過(guò)程。系統的安全要求是安全認證的核心。評估員應該根據產(chǎn)品制造商提供的安全事例（Safety Case）回顧一下安全需求規范以評價(jià)它對控制系統風(fēng)險是不是已經(jīng)足夠，以及系統能不能滿(mǎn)足安全需求規范。進(jìn)行安全認證的目的就是收集足夠的信息來(lái)證明系統的風(fēng)險是可以接受的。 4.我國軌道交通信號系統安全評估與認證體系框架設想 我們設想中的軌道交通安全評估與認證體系參照的是CASS框架，由軌道交通主管部門(mén)牽頭，組織專(zhuān)家組制定安全認證標準和方法，相關(guān)單位可以據此申請成為第三方認證機構，聘請評估員對于安全相關(guān)系統進(jìn)行安全認證，包括安全認證機構、安全標準、安全認證方法以及相關(guān)各方（政府、設備生產(chǎn)企業(yè)、運營(yíng)單位、認證機構）之間的制約關(guān)系、權利和義務(wù)等等。如圖4－1所示。 可以概括為以下四個(gè)層次： 第一層次：在體系建立初期，政府主管單位集中安全、質(zhì)量、科技、生產(chǎn)等管理部門(mén)成立軌道交通信號系統安全評估體系領(lǐng)導小組； 第二層次：安全評估體系領(lǐng)導小組組織權威專(zhuān)家和相關(guān)技術(shù)人員成立權威機構，進(jìn)行安全評估相應標準和規范的制訂工作； 第三層次：進(jìn)行安全評估者的資格論證，考核獨立的個(gè)人或機構進(jìn)行安全評估的資格，這些個(gè)人或機構應獨立與軌道交通信號系統的研制開(kāi)發(fā)、生產(chǎn)、銷(xiāo)售等業(yè)務(wù)；可以批準多個(gè)評估機構，但每年論證機構必須對這些評估機構或個(gè)人進(jìn)行資格審查或評估； 第四層次：對參與信號系統設計、生產(chǎn)、維護、測試的主要人員進(jìn)行安全設計、安全管理、安全測試和安全生產(chǎn)方面的培訓和評估，保證在整個(gè)體系中，安全意識得到整體體現。

圖4-1 我國軌道交通安全評估與認證體系設想

5.結論 借鑒國外先進(jìn)方法建立我國軌道交通信號系統安全評估與認證體系具有重大意義，可以迅速縮小和國際先進(jìn)水平的差距，同時(shí)軌道交通信號系統的研制開(kāi)發(fā)和應用也可以逐步走向規范化、系統化，切實(shí)保障軌道交通的運行安全。

參 考 文 獻 【1】. CENELEC prEN50129，Railway Applications：Safety related electronic system for signaling，1999 【2】. CENELEC prEN50159-1，Railway Applications：，Signaling and processing systems， Part 1：Safety related Communication in closed transmission systems，2001 【3】. Stuart R. Nunns， Conformity assessment of safety related systems to IEC 61508－the CASS initiative， Computing & Control Engineering Journal， Feb.2000: 33～39. 【4】. Engineering Safety Management Issue 3 Yellow book 3， Railtrack on behalf of the UK rail industry.