軌道交通信號工程安全管理與認證模式

燕 飛 郜春海 唐 濤

(1.北京交通大學電子信息工程學院 北京 100044;2.北京交通大學軌道交通控制與安全國家重點實驗室 北京 100044)

1 研究背景

隨著世界范圍軌道交通的蓬勃發展，為確保軌道交通列車運行安全和提高運輸效率，迫切需要裝備性能先進、安全可靠的列車運行控制系統。CBTC(communication-based train control)系統是當今世界最先進的列車運行控制系統的發展方向，它與傳統的基于軌道電路的列車運行控制系統相比，具有如下特點:大容量、連續的雙向車-地通信;地面設備及車載設備均采用安全計算機，實時處理列車狀態、控制命令，實現連續的間隔控制、進路控制、速度防護、自動駕駛等;高精度列車定位;列車運行控制的可維修性，減少了全壽命周期成本;CBTC信息可以疊加在既有信號系統上，便于既有線改造，可實現城市軌道交通的互連互通［1］。近年來，北京市下大力氣加快軌道交通網線建設，到2015年，總長561 km的軌道交通網絡將正式形成，到那時北京市民出行，四環以內平均步行1 km，即可到達地鐵站。其中，作為保證行車安全、提高運輸效率的信號控制系統，一直依靠國外引進，核心技術掌握在外國人手里，安全評估與安全認證的標準也是由國外制定的，具體的安全評估與認證流程更是一片空白，因此對于信號系統新產品開發和新工程項目建設的安全評估和安全認證，只能摸著石頭過河。

CBTC系統包括地面區域控制中心、列車的車載設備、地-車雙向的信息傳輸系統和列車定位系統(見圖1)。地面區域控制中心(ZC)是CBTC系統中地面部分的核心，它根據前車的位置信息和線路障礙物的狀態信息以及聯鎖狀況，為后車計算移動授權(movement authority，MA)，即限制速度值。MA是列車安全行駛至下一個停車位置所需的，是正式授權的，它實現列車的安全間隔控制。列車安全間隔距離根據最大允許車速、當前停車點位置、線路等信息計算得出，其信息被動態循環刷新。CBTC系統的車載控制設備實時比較列車的實際速度與接收到的MA，當列車實際速度超過MA的限制速度，將自動實施常用制動或緊急制動，保證列車安全停在安全點前。CBTC系統的地-車信息傳輸系統通?？刹捎脽o線通信、地面交叉感應環線、波導管等媒體向車載控制設備傳遞信息。為確保安全，CBTC系統中列車必須對自身位置和運行方向進行精確判定。為判定位置，列車的車載計算機與轉速計/速度傳感器/加速度計(用于測量距離、速度和加速度)及軌旁定位應答器共同合作，實現列車的準確定位。

圖1 CBTC系統框圖

到目前為止，由北京交通大學自主創新的CBTC系統歷經新開發的通用產品安全認證及示范工程項目的安全認證等階段，已經正式投入到北京軌道交通亦莊線進行載客試運營。借鑒國外先進的安全標準，結合國內軌道交通工程實施的實際情況，開展安全管理和認證活動的方式，在實踐中得到了很好的檢驗。

2 安全認證標準和原則

世界上城市軌道交通系統的發展已有百余年的歷史，通過不斷總結城市軌道交通建設和運營的經驗和教訓，已經形成了一套完整的安全管理和安全認證體系，并制定了一系列切實可行的安全技術標準。IEC 61508—《電子/電氣/可編程電子安全相關系統的安全功能》是國際電工委員會(IEC)制定的國際標準，是進行軌道交通系統安全管理和安全認證的重要參考標準。

以IEC 61508為基礎，歐洲電氣委員會(CENELEC)下屬的SC9XA委員會，制定了以軌道交通作為對象的系列標準［2-3］，主要包括:

1)EN 50126—1999《鐵路應用:可靠性、可用性、可維護性和安全性(RAMS)的規格及論證》，明確了軌道交通系統的可靠性、可用性、可維護性和安全性(RAMS)的概念及其相關關系，并規范了可信性系統的全生命周期，以及在每一個生命周期階段為了保障系統的RAM和安全性所需完成的工作。

2)EN 50128—2001《鐵路應用:通信、信號和處理系統(用于鐵路控制和防護系統的軟件)》，針對軌道交通系統安全相關軟件的設計標準，規定了不同安全完善度等級的軟件設計所需使用的技術和措施。

3)EN 50129—2003《鐵路應用:通信、信號和處理系統(用于信號的安全相關電子系統)》，針對軌道交通信號系統的安全案例、安全完善度等級等方面進行規范。

早在項目建設初期，北京軌道交通建設管理有限公司(業主)就與英國勞氏鐵路公司簽訂了北京地鐵亦莊線信號系統獨立第三方安全評估(ISA)服務合同，以在項目的整個生命周期內對項目開發、實施和測試過程中進行獨立安全評估和項目安全認證工作。安全認證過程中采用英國的ALARP原則。

ALARP(as low as reasonable practicable)原則將風險劃分為幾個區域，包括不被接受的區域(intolerable region)、可容忍的區域(tolerable region)、一般能被接受的可接受區域(acceptable region)和可忽略的區域(negligible region)，如圖2所示。

圖2 ALARP原則

標準將風險定義為:導致傷害的危險發生的概率和損害的嚴重等級。危險源的風險由危險源發生的概率和危險源嚴重性的乘積而定。

最上層的風險是不能接受的，必須采取一定的控制措施，使得風險能夠降低到中間可容忍的區域;除非在非常特殊的情況下不得不接受這樣的風險，但是仍然需要詳細說明風險的性質和接受的原因。在可容忍區域內的風險，必須采取合理可行的措施減少這樣的風險，使其降低到可接受的區域。在可接受區域內的風險，不需要采取進一步的措施降低風險，但是需要確保風險保持在此區域內。

ALARP原則強調整體上對系統相關的風險進行最終判斷，使得每一個風險評估在可以接受或可以忍受的同時，也要注意系統總體的風險不能處于較高的等級。另外，總體風險應該盡可能降低到最低。

3 安全管理過程

在北京軌道交通亦莊線項目建設的初期，所有參建單位都根據CENELEC標準的要求開展安全計劃、分析和安全保證工作。根據EN50129標準的要求，結合北京地鐵亦莊線項目工程的實際特點，決定自主研發CBTC產品，并制定了針對亦莊線示范工程項目的安全生命周期模型，具體內容如圖3所示。

圖3 自主研發CBTC產品生命周期

3.1 確定系統定義、功能和邊界

本部分應對系統/子系統/設備設計進行總體概述，并要有足夠的深度，以便相關人員能清晰地理解系統所用的原則和技術，并描述系統的主要功能以及內外部接口。

3.2 確定安全生命周期

安全管理過程是由一些階段和活動組成的，將這些階段和活動關聯起來就形成了安全生命周期。安全生命周期應參照EN 50126標準中的系統周期定義，并與產品或項目中定義的系統生命周期相一致。系統生命周期中的設計和確認部分可看作一個“自上而下”階段并伴隨一個“自下而上”階段(如V型)。

3.3 確定安全組織

安全管理過程應在一個適合的安全組織的控制下執行，讓能勝任相關工作的人員擔當相關角色。根據相關系統的安全完善度等級要求，不同角色之間應有適當的獨立性。

3.4 建立安全計劃

在系統生命周期執行的初期就應制訂一個安全計劃。該計劃中應確定安全管理的組織架構，貫穿整個生命周期中的安全相關活動和里程碑，并應包含在適當間隔內對安全計劃進行回顧。當對原系統/子系統/設備進行變更和擴展后，應對安全計劃進行更新并評審。如果做了變更，那么應在生命周期的適當階段對安全的影響進行評估。

安全計劃應涉及系統/子系統/設備的所有方面，包括軟硬件兩部分。安全計劃應包括一個“安全證明文件”的計劃，以識別出最終“安全證明文件”的預期結構和主要組成部分。

3.5 建立、更新并維護危險源日志

在系統設計的初期應根據危險源分析(包括PHA、SHA、SSHA、IHA和OSHA等)的結果創建一個危險源日志，并在整個安全生命周期內維護危險源日志。危險源日志中應包括一個已識別危險源，以及與每個危險源的風險等級、風險控制信息和危險源的狀態。在對系統/子系統/設備進行變更時也應更新危險源日志。

3.6 建立并管理安全需求說明書

系統(或子系統/設備)需求說明書中與安全相關的需求通常稱為安全需求。安全需求可以從功能安全需求和安全完善度需求兩個方面考慮。

功能安全需求就是系統、子系統或設備應具備的與安全性相關的實際功能，而安全完善度需求定義了每一安全相關功能的安全完善度等級。

每個系統/子系統/設備的特定安全需求，包括安全相關功能和安全完善度等級，應在安全需求說明書中予以確定并形成文檔，通過危險源識別和分析、風險評估和分類、安全完善度等級分配的方法予以實現。

3.7 系統/子系統/設備設計

在系統生命周期的設計階段要進行一個滿足規定運營和安全需求的設計。設計人員應使用“自上而下”、結構化的設計方法，實施嚴格的控制和評審，并文檔化。特別是在軟件需求說明書中所規定的軟硬件的關系以及軟硬件集成方面，應嚴格管理并遵循EN 50128標準的要求。系統/子系統/設備設計的詳細過程詳見相關系統設計、架構設計、子系統設計，以及硬件、軟件概要設計和詳細設計流程。

3.8 安全審核

在系統生命周期的適當階段，應進行安全審核，以監控安全管理過程是否按照安全計劃及相關標準的要求實施。在安全計劃中應明確安全審核的過程，審核結果應文檔化。系統/子系統/設備的任何變更和擴展也應進行審核。

3.9 安全驗證和確認

在安全計劃中應定義:用于驗證生命周期的每個階段的內容，應滿足前一階段所規定的安全需求計劃，以及確認所完成的系統/子系統/設備滿足初始的安全需求計劃，或給出這些驗證或確認計劃的參考索引。

安全驗證和確認工作，包括適當測試和安全分析在內的活動，都應被執行并書面描述。如后續工作中對系統/子系統/設備做出變更和擴展，應充分重復執行這些活動。

3.10 安全論據

系統/子系統/設備滿足安全驗收條件的證據應在一個稱之為“安全證明文件”的結構化文檔中予以列出。在此節中應描述滿足質量管理、安全管理以及功能和技術安全的證據索引。

3.11 系統/子系統/設備移交

系統/子系統/設備在向地鐵公司交付之前，應滿足安全驗收和安全批準的條件，包括提交“安全證明文件”和“安全評估報告”。

3.12 運行和維護

系統交付投入運行之后，應符合在安全計劃和技術安全報告中所定義的過程、支持系統和安全監控的要求。在系統的運行生命過程中，由于種種原因做出變更需求，這些變更并非都與安全相關。每一變更需求對安全的影響都應依據安全文檔的相關部分進行評估。在變更導致影響系統/關聯系統/環境的安全時，安全生命周期的相應部分要重復操作以保證不影響安全完善度等級。

4 安全認證過程

北京軌道交通亦莊線示范工程確定分5個階段頒發證書，如表1所示。在進行獨立評價之前，需要針對用戶需求和相關標準制訂一個檢查表。檢查表可以提供一個系統方法記錄獨立評價結果和證據，作為評價方的文檔保存，以備追溯。

表1 亦莊分5個階段頒發證書

4.1 文檔評審

從項目建設初期開始，獨立安全評估人員(ISA)就對項目計劃、安全計劃、質量計劃、配置管理計劃和測試計劃，以及系統需求說明書等文件進行評審，并以書面形式提出相關的改進意見。

在系統設計、實現和室內測試階段，ISA對所有的安全文件進行全面的評審，也抽取一定數量的設計文件進行評審，并以書面形式提出相關的改進意見。

在集成商和各分包商完成相關子系統的開發工作后，ISA對各子系統的集成測試和系統測試的測試規格書、測試計劃和測試報告進行全面的評審，并提出書面的改進意見。

所有由ISA提出的改進意見，待文件修訂并經ISA評審合格后方可關閉。

4.2 現場審核

ISA根據EN 50128、EN 50129等標準的要求，從系統保證、安全保證、軟件保證和質量管理等方面，在系統需求、系統設計和實現、系統測試等主要階段，對系統集成商和核心技術供貨商進行現場審核，并提出書面的審核報告。系統集成商和核心技術供貨商需要對ISA提出的審核意見進行回復，并提供相關的證據后ISA才可關閉其意見。

此外，ISA也在試驗室仿真測試和現場測試過程中進行見證測試，并設計適當的測試用例進行測試，特別是針對安全需求的測試用例，以確保能夠滿足相關的安全要求。

對于審核過程中存在的問題，業主、獨立安全評估人員、系統集成商與核心技術供貨商一同，每周召開安全例會，對安全審核和評估過程中存在的問題及時進行溝通及跟進解決。

4.3 安全確認

為確保信號系統在測試調試和投入運營后的安全，ISA對北京地鐵亦莊線的單車動車調試、多車動車調試、試運行、載客運營等階段進行了特別的監控。在這些階段，系統集成商和核心技術供貨商提供相關的設計文件、測試報告和安全證明文件，ISA根據EN50128、EN50129的要求通過文件評審、現場審核和見證測試等手段進行安全評估，然后提供安全評估報告并發布安全證書，然后方可開展這些階段的測試調試和系統投入運營等工作。

此處需特別說明的是，在北京地鐵亦莊線項目安全評估工作時，ISA會特別地查看各供貨商所提供的安全苛求系統的產品是否已經獲得了產品的安全認證證書。在用于北京地鐵亦莊線的信號系統產品中，車載ATP子系統和區域控制器(ZC)子系統已獲得英國勞氏鐵路的SIL4級通用產品安全認證，聯鎖(CI)子系統已獲得德國萊茵SIL4級產品安全認證。若有安全苛求系統的產品未獲得安全認證證書，則不具備對項目頒發安全認證證書的條件。

安全認證工作涉及項目的整個生命周期。

1)產品設計和開發:產品的設計和開發由設計團隊執行。在系統設計和開發的過程中，設計對每個階段所完成的工作予以詳細記錄，如系統和子系統需求說明書、系統架構說明書、概要設計和詳細說明書等，直至硬件元器件、圖紙和軟件代碼的實現。

2)系統測試:系統、子系統、組件和模塊等的實現都需要通過測試予以驗證［4］，在CBTC系統開發的每個階段，都需要編制相應的測試規格書，用于對系統各階段的測試驗證工作。

3)驗證和確認(V＆V):此工作由內部獨立于項目團隊的V＆V人員擔當。在項目生命周期內的每一個階段，都由V＆V人員對其進行驗證，以確保每個階段所完成的工作針對于上一階段的工作是正確的，并在每個階段產生驗證報告。系統的開發和測試工作完成后，由V＆V人員對其進行確認，以確保開發出正確的產品，也即滿足用戶的要求。另外V＆V人員需要對系統中采用的COTS(成熟商用產品)產品進行安全確認［5］。

5 結語

經過艱苦的努力，國內首套完全自主創新的產品已獲得SIL4級獨立第三方安全認證證書的CBTC系統，目前已在北京地鐵亦莊線示范工程中得到了應用。期間共頒發了9個安全授權書，涵蓋試車線、單車調試、多車調試、試運行和載客試運營等各個階段?；仡櫿麄€過程，深刻感受到:從風險的角度衡量和評價一個產品或系統的安全性，在系統的整個生命周期內，每一個階段利用國際上先進且切實可行的標準和科學的方法進行安全保證和質量管理，并聘請獨立第三方評估團隊對每個過程進行安全審核及評估，是保證具有自主知識產權的CBTC系統能安全、可靠地投入到國內城市軌道交通中應用的關鍵。

［1］燕飛，唐濤.軌道交通信號系統安全技術的發展和國外的研究現狀［J］.中國安全科學學報，2005，15(6):94-99.

［2］CENELEC EN 50129—1999.Railway applications:safety related electronic systems for signalling［S］，2003.

［3］CENELEC EN 50126—1999.Railwayapplications:the specification and demonstration of reliability，availability，maintainability and safety(RAMS)［S］，1999.

［4］郜春海，燕飛，唐濤.軌道交通信號系統安全評估方法研究［J］.中國安全科學學報，2005，15(10):74-79.

［5］Maurizio Morisio.Commercial-off-the-shelf(COTS):A Survey a DACS state-of-the-art report［R］，2000.