適應CTCS-3系統集成的安全保障體系研究

陳 磊

（北京全路通信信號研究設計院有限公司，北京 100073）

1 概述

CTCS-3級列車運行控制系統是中國鐵路時速300～350 km客運專線的重要技術裝備，是中國鐵路技術體系和裝備現代化的重要組成部分，是保證高速列車運行安全、可靠、高效的核心技術之一。安全性、可靠性和高效運行是高速客運專線列控系統的關鍵要求，其中，列控系統自身和系統集成過程的安全性是確保系統可靠、高效運行的前提。因此，CTCS-3級列控體系在對運營規則、列控系統主要裝備和技術進行規范的同時，還提出針對CTCS-3級列控系統的系統評估概念，旨在通過引入外部評估，促使設備供應商和系統集成商完善系統安全保障，降低運營的安全風險。

站在CTCS-3級列控系統產品研發和系統集成的前沿，北京全路通信信號研究設計院（現北京全路通信信號研究設計院有限公司）一直致力于將“安全是企業的生命，安全是企業的承諾”作為企業的安全方針。CTCS-3級列控系統集成項目由于其創新性和復雜性，給項目安全保障提出了巨大挑戰。

本文將歐洲成熟安全保障理念、最佳實踐與CTCS-3列控系統系統集成項目實際相結合，以構建適應CTCS-3系統集成的安全保障體系為核心，從項目安全組織結構、項目安全保障工作流程、安全監視工作流程和安全里程碑幾個層面，對構建安全保障體系的關鍵要素進行總結與描述。

2 項目安全組織與人員獨立性

由于系統集成項目的技術復雜性和管理復雜性，存在大量的項目安全技術和安全管理工作；同時把CTCS-3級列控系統引入系統評估，并將系統評估結論作為項目開通運營的重要指標，系統集成商需要向評估方提供足夠的安全證據，證明已經采取了足夠的質量、安全管理措施和技術安全措施，將風險控制在業主可接受的程度。因此，需要設立專門的項目安全組織，完成以下工作。

（1）項目安全保障工作。主要包括針對系統、子系統等各個層面和項目不同階段的危險分析；危險日志、安全需求、安全相關應用條件的管理；不同系統層次、不同分包商的安全協調等。

（2）項目安全監視工作。主要包括定期、不定期的安全審核；對項目驗證與測試工作的見證與抽檢；系統層面的安全確認；企業內部的獨立安全評估與安全里程碑管控等。

根據以上安全工作的要求，安全保障體系規定CTCS-3系統集成項目安全組織設置需要遵循如圖1所示的原則（圖1用于說明項目安全組織，其他項目組織僅供參考）。

項目安全組織包括安全工程師小組、安全咨詢工程師、獨立安全確認工程師和內部安全評估工程師。

安全工程師小組主要負責組織與協調系統集成項目相關人員進行安全保障活動，在不同子系統之間進行安全協調，收集安全相關證據，并與分包商進行協調，監視分包商安全保障活動。值得注意的是，安全工程師只有與項目人員緊密合作，才能有效開展安全保障活動，因此不存在與項目的獨立性要求。

由于系統集成項目的特點，項目安全組織一般會配備安全保障方面的專家作為安全咨詢工程師，為安全工程師小組的活動提供必要的指導。

獨立安全確認工程師主要負責對項目的階段驗證、測試活動輸出進行確認，并對相關過程進行監視，確保項目驗證/測試活動與設計/實施活動的獨立性；同時依賴CTCS-3列控實驗室仿真測試、實驗線測試、現場聯調聯試、試運行等結論對整個項目進行系統確認。確認工程師獨立于項目，直接向院技術管理機構進行匯報，當項目出現嚴重安全隱患時，有權要求技術管理機構暫停項目進行整改。

內部安全評估工程師主要工作包括通過安全審核、見證安全保障活動等方式，對項目安全保障活動進行監視；在安全里程碑處通過審核與評估安全工程師小組提交的項目安全證據，給出允許項目進入下一階段的安全許可；與系統評估方接口，為系統評估方提供項目安全證據。評估工程師獨立于項目，直接向院安全管理機構進行匯報，并通過安全里程碑處是否出具安全許可的方式，對項目安全保障工作進行控制。

3 項目主要安全保障活動

安全保障活動是項目活動的重要組成部分，不需要保持與項目活動的任何獨立性。安全工程師小組是安全保障活動的組織、協調者和信息收集者，而安全保障活動的執行者，還需要依賴項目人員和相關專家。

安全保障活動需要根據項目安全計劃和安全保障體系的要求進行實施。安全計劃在項目初期依據項目計劃、項目合同、系統評估要求和安全保障體系要求制定，并在項目執行中，根據實際情況進行修正與更新。

安全保障活動可以根據活動開展的時間點和時間跨度不同，分為離散的安全活動和連續的安全活動兩大類，這兩類活動相互關聯、相互依賴，最終組成項目完整的安全活動，并被記錄在項目安全例證報告中。

3.1 離散安全保障活動

離散安全保障活動是指那些在項目不同階段，根據項目特征進行的安全保障活動，這些活動根據項目實際情況在時間跨度和方法上各有不同。

在系統集成項目中，安全工程師小組需要根據安全計劃，在項目不同階段，針對不同層次的系統集成活動，有針對性地進行危險分析、控制措施識別與實施等工作。危險分析包括針對系統高層結構的初步危險分析（PHA），針對系統總體的系統危險分析（SHA），針對系統內部子系統的危險分析（SSHA），針對系統外部和內部接口的接口危險分析（IHA）、針對人機接口和工程化流程的運營安全危險分析（O&SHA）等。

安全工程師在對系統層面或子系統/分包商層面進行危險分析時，采用的危險分析類型有所不同，表1給出一般CTCS-3系統集成項目中需要進行的危險分析類型。

表1 系統集成項目中危險分析類型選擇示意

需要注意的是，系統層次的SHA一般基于PHA結果，在子系統/分包商層面的危險分析結果基礎上進行。由于系統集成項目的特殊性，應充分重視項目進行過程中由于人的參與或工程化流程引起的危險，即通過O&SHA對人為因素進行分析。

一般情況，每類危險分析均包括危險識別、原因分析、后果分析和損失分析等工作。危險識別在于集中關注、識別未發生的、潛在的事故；原因分析用于確定并識別產生危險的因素及其組合，以便得到控制危險發生的安全需求；后果分析用于評價如果危險真的發生所帶來的影響和結局；損失分析在于得到可信的損失程度的估計，以便評估新識別的危險是否可以被接受。

在系統集成項目中，危險分析根據具體情況，主要使用危險和可操作性研究（HAZOP）、故障樹分析（FTA）、事件樹分析（ETA）等方法。

安全工程師所作的離散安全保障活動可以概括為：在適當的項目階段，根據被分析對象的特點，選用適當的危險分析類型，組織項目人員和相關專家，采用適當的危險分析方法，對相關危險進行識別，分析危險產生的原因和可能造成的后果，對損失進行估計。

3.2 連續安全保障活動

連續安全保障活動是指那些貫穿于項目主要生命周期的安全保障活動，主要包括危險日志的維護、安全需求與安全相關應用條件的傳遞與跟蹤等。

考慮到CTCS-3系統集成工作的復雜性，安全工程師小組依據系統結構，設置不同專業或子系統的安全工程師，分別維護子系統的危險日志和系統層次的危險日志。每個系統/子系統危險日志中記錄的危險，主要來源包括合同、規范中已知的危險，危險分析中識別出的危險，由外部引入的危險或安全相關應用條件，系統/子系統在一般產品或一般應用層面發現的危險或安全相關應用條件等。安全工程師小組負責對各種渠道得到的危險進行整理，并定期或不定期的組織相關負責人和技術人員進行評審，對危險進行決策與評估，通過評審的方式決定是否將新危險錄入危險日志。

一旦危險被錄入危險日志，安全工程師就需要組織項目相關人員對危險進行分析，識別降低危險發生概率或引發后果嚴重度的危險控制措施。若危險或外部傳遞來的安全相關應用條件可以被控制在危險所屬的系統/子系統內，則需要產生相應的安全需求，用于要求項目設計與工程實施團隊將風險控制在可接受的范圍內；若危險無法被本系統/子系統進行有效緩解，如需要其他子系統進行處理或需要用戶完善操作規程，則需要產生安全相關應用條件，并由安全工程師以書面、可追蹤的形式傳遞給危險的責任方，并跟蹤責任方對危險的處理。

安全工程師與項目人員緊密溝通，不斷跟蹤安全需求和安全相關應用條件的實現情況，當相關責任方認為需求或應用條件已經得到有效實現，危險被有效控制或緩解時，安全工程師必須通過測試或組織評審的方式，確認相應危險是否關閉，并變更危險日志中的危險狀態。

在整個CTCS-3級列控系統正式交付之前，危險日志中記錄的所有危險均應關閉，以確保系統風險被控制在可接受程度。

4 項目主要安全監視活動

考慮到CTCS-3系統集成項目安全保障工作的復雜性，除科技運（2008）160號《CTCS-3級列控系統系統評估實施辦法》規定的獨立系統評估以外，安全保障體系還規定了項目內、確認和內部獨立安全評估3類監視活動，完成以下任務。

（1）證實項目具有實現項目安全目標要求的能力。

（2）確保安全保障體系、系統評估辦法在項目中能夠有效實施。

（3）確保CTCS-3系統集成項目與安全保障體系和系統評估辦法的持續符合性。

圖2給出安全保障監視與CTCS-3系統集成項目的關系。

項目內監視主要方式包括安全評審和驗證/測試活動。安全評審是一種特殊的驗證活動，安全工程師根據項目安全計劃，在項目關鍵階段組織相關負責人、涉及到項目安全的關鍵人員和相關領域專家，通過會議、討論等形式，對項目關鍵階段的文檔、工作進行評審，而評審主要關注會影響到項目安全的方面。驗證是指在生命周期的每個階段，通過測試和分析手段，確定所考慮階段的需求是否滿足前一階段的輸出以及本階段的輸出是否實現了本階段的需求的一種活動，驗證活動由獨立于被驗證工作的有資質人員進行。

確認監視即獨立安全確認，由獨立安全確認工程師執行。確認是通過測試和分析，表明產品在各個方面符合規定要求的一種證明行為。在系統集成項目中，主要包括對項目階段成果和最終成果的確認和對項目執行過程的確認兩部分。

內部獨立安全評估監視包括安全審核與安全評估兩類工作，由獨立安全評估工程師完成。安全審核是對安全保障工作所提供的遵循安全計劃的證據進行審核；安全評估是指對項目中存在的風險進行評估，即對安全保障工作使得項目能夠滿足安全需求的證據進行審核。內部獨立安全評估監視主要采用審核項目文檔、項目組面談、見證/參與項目活動、獨立進行風險評估等手段。

5 安全里程碑

安全里程碑是項目安全管理不可忽視的一部分，安全里程碑是項目中與安全有關的重大事件，在項目進行過程中一般不占用資源，是一個時間點，通常與一個可支付成果的完成相關聯。

針對CTCS-3系統集成項目特點，并結合《CTCS-3級列控系統系統評估實施辦法》中“驗收確認”階段的工作劃分，安全保障體系設置了如下3個安全里程碑，用于對項目安全成果進行控制。

（1）安全里程碑1：允許現場聯調聯試；

（2）安全里程碑2：允許試運行；

（3）安全里程碑3：允許正式運營。

設置這3個安全里程碑的目的是在整個CTCS-3級列控系統進入現場聯調聯試、試運行或正式運營階段之前，通過對相關安全證據的審核與評估，確認整個列控系統具備進行后續工作的條件。同時在相應安全里程碑出具的安全許可內，安全評估工程師還需要根據前期工作結果明確進行后續工作的各種安全限制條件，如系統運行中功能的限制、特殊的操作流程、特定的檢查手段與流程等，以確保后續活動不會由于現場操作引發事故或人員傷亡。

在安全里程碑處，若安全評估工程師認為項目不具備進入下一階段的條件，需要在階段評估報告中明確說明評估結論，并有權拒絕出具相應的安全許可。安全管理機構根據評估工程師意見決定是否允許項目進入下一階段。

6 結論

本文從項目安全組織的構建、項目離散安全保障活動與連續安全保障活動、不同層面的項目安全監視活動和作為項目安全控制點的安全里程碑的設置等方面，對構建能夠滿足CTCS-3系統集成項目安全管理要求和系統評估要求的安全保障體系關鍵要素進行了論述。安全保障體系已經應用于武廣客運專線的安全管理，隨著武廣客專的順利開通，更進一步驗證了本安全保障體系對CTCS-3系統集成項目的適用性和有效性。