信號控制系統集成項目的安全管理關鍵活動

于 淼

（北京全路通信信號研究設計院有限公司，北京 100073）

系統集成項目具有技術專業多、所處環境變化快、接口繁多、需求多變、管理的復雜性強等特點，由于鐵路信號控制系統屬于安全關鍵系統，其運行關系到人員的生命和財產安全，因此對于信號控制系統集成必須要進行全面的安全管理來保障系統的安全。對信號控制系統集成項目的安全管理應根據項目的安全目標，按整體到局部，自上而下進行規劃、實施，以“有效、實用”為指導思想。

信號控制系統集成項目的生命周期一般可分為項目策劃、系統設計、子系統實現與生產、室內系統集成測試、現場安裝調試、系統試運行和運行維護7個階段。對項目的安全管理應貫穿于整個生命周期，其主要安全活動包括：制定安全計劃、實施危險管理、遵守并傳遞安全相關應用條件和編制安全例證報告。

1 安全計劃

系統集成項目的安全管理過程中，應在項目策劃階段制定安全計劃，并且需要在整個項目生命周期中對安全計劃進行維護和更新。安全計劃應發布給項目組所有成員，并要求項目組成員理解其內容。安全計劃主要包括：1) 確定項目的安全目標；2) 確定項目涉及到的安全管理的組織結構、責任和權利、安全里程碑、提交成果及時間節點；3) 規定項目生命周期中相關人員的資質和獨立性；4) 制定項目生命周期中所需要采取的安全活動（包括管理和技術兩方面）；5) 制定安全活動執行的時間和人力資源安排等。

在安全計劃執行過程中，可采取項目內外部監督的方式促進安全計劃的完善更新以及安全活動的糾正改進。具體方法是可依照計劃采用檢查表的方式，在項目的里程碑階段通過驗證、評審和評估3種手段監督安全計劃的執行，如有偏離計劃或偏離標準，須及時糾正項目中的工作。如安全計劃有需要調整、更新或細化，應及時改進完善安全計劃，新版本的安全計劃需要得到審批后發布給項目組人員。

2 危險管理

危險管理包括危險分析、危險控制和危險監督3部分，如圖1所示。危險分析工作根據設計的深入，需要在系統級、子系統級甚至產品級反復進行，其貫穿于項目整個生命周期，危險分析產生的危險錄入危險日志;危險控制是指危險分析完成后，針對危險提出的安全需求，在設計過程中將制定相應的技術措施緩解這些危險;危險監督是指對危險分析和危險控制的過程通過驗證、確認、評估等安全活動進行監督，危險監督不僅關注危險分析的充分性、完整性，還要評估危險控制措施是否有效、可行。通過危險分析、危險控制和危險監督使得系統最終所有的危險應得到關閉或緩解。

2.1 危險分析

系統集成項目包含若干子系統，危險分析工作從系統層總體功能開始，并逐步向子系統層次細化如圖2所示。系統集成項目包括的子系統的成熟程度并不相同，對于基于成熟產品并已形成工程化流程的子系統，其應用環境和系統功能等改變不大，不存在未知危險，控制已知危險的安全措施已明確，因此不必進行危險分析，只需遵循既有的工程化流程或規則即可。而對于一些因特殊需求而新開發子系統或子系統的某些模塊，項目之初應明確項目的特定需求（接口、功能）及其新增的開發工作，針對這些改變在系統設計階段或詳細設計階段進行詳細的定性或定量危險分析，以證實其符合規定的安全性要求。

1）初步危險分析（PHA）

在系統生命周期早期階段進行的一種初步的定性危險分析，根據來自外部安全相關應用條件和產品的限定條件，進行初步危險評價，識別安全關鍵部位，并確定所要求的危險控制措施和后續的活動。

2）系統危險分析（SHA）

在初步危險分析基礎上，在系統設計階段進行的一種詳細的定性或定量的危險分析，以證實系統符合規定的安全性要求，識別系統功能故障有關的危險，評價與整個系統設計有關的危險，提出為消除已確定的危險或控制其有關危險所必須采取的措施的建議，并將系統安全需求和安全相關應用條件的分配與傳遞給子系統。

3）子系統危險分析（SSHA）

在系統危險分析的基礎上，在每個子系統層次上進行多次危險分析。在系統設計或詳細設計階段進行的定性或定量危險分析，以證實子系統符合規定的安全性要求，識別與子系統設計有關的危險和組成子系統的部件或設備之間的功能關系所導致的危險。

4）接口危險分析（IHA）

在系統設計階段或詳細設計階段進行的定性或定量的危險分析，識別與子系統接口有關的危險，并提出為消除已確定的危險或控制其有關危險所必須采取的措施建議。

5）運營安全危險分析（O&SHA）

在系統生命周期后期開始進行的一種定性的危險分析，以評價由使用和保障規程引入系統中的各種危險，并評價為消除、控制或降低。對于無法消除的危險，確定所采用的使用和保障規程的正確性，并形成文件使得危險得到有效傳遞。

在各個層次上進行危險分析的過程一般包括如下內容。

①危險識別：找出潛在的危險，可用危險和可操作性研究（HAZOP）、頭腦風暴（基于經驗）等方法。

②后果分析：分析危險可能產生的后果，可用事件樹（ETA）、因果圖（CCA）等方法。

③原因分析：分析產生危險的原因，可用故障樹（FTA）等方法。

所有危險分析的結果記錄在“危害日志”中，在系統整個生命周期中，“危險日志”一直都處于更新和維護中。

2.2 危險控制

危險控制的過程：針對“危險日志”中的每條危險應提出對應的安全需求，如本系統范圍內不能滿足的安全需求也應形成安全相關應用條件。設計人員把安全需求作為設計輸入之一，在系統設計中增加相應的技術措施實現安全需求，措施是否有效通常通過評審、評估或測試等方式進行驗證和分析。通過安全需求的實現，最終所有的危險得到關閉或緩解。對于本系統范圍外或無法完全關閉的危險作為安全相關應用條件，通過《用戶手冊》或《系統維護手冊》等方式移交給相關責任方，提醒其在使用或維護過程中關注。危險控制的流程如圖3所示。

危險控制是采取一系列的過程、方法把系統危險控制在可以接受的范圍內，包括減少危險出現的頻率、降低危險造成的后果。通常會采取如下措施來降低危險。

1）在設計中充分考慮到安全的特性和需求，主要措施可能包括以下幾點。

①設置安全壁壘：系統的組成中可能包括安全和非安全功能，在系統結構設計中需要區分出這兩部分，并在他們之間設置安全壁壘。以保護系統核心安全功能免受非安全控制系統接口和人工錯誤影響。

②保持系統單元的獨立性：為了保證系統各子系統的可維修性和獨立性，需要在設計上保證與其他部分的獨立性，每個單元的功能、數據、故障等特性都必須進行嚴格封裝：當其他子系統更換或存在外界干擾時，能夠有效屏蔽對各子系統內部通信產生的干擾和沖擊。

③安全通信：為保證各子系統通信的正確性和抗干擾性，安全關鍵子系統間的通信可使用封閉、冗余配置的安全網絡，子系統間接口采用安全協議（包括：序列號、計數器、加密、發送方和接受方ID和CRC校驗等內容）。通過安全協議的使用確保發送或接收的消息正確無誤。

2）增加報警設備或警告提醒。

3）規范并系統化系統開發過程。

①項目之初編制安全計劃，并經評審和批準。

②依據安全計劃執行必要的技術和管理活動。

③跟蹤安全計劃的執行，必要時進行調整和更新。

4）培訓系統相關人員，提高安全意識。

2.3 危險監督

危險監督的內容包括：危險分析的是否充分全面；危險控制措施是否有效并得到實現，對措施的有效性進行驗證；危險的管理和相關活動是否遵循計劃執行開展；危險分析和控制的工作是否由具備能力的人員擔當。

危險監督常以評估、評審、驗證和確認的形式進行。對監督過程中發現的問題，需持續跟蹤、糾正。

3 安全相關應用條件

安全相關應用條件是只本系統范圍內無法滿足的安全需求或無法關閉的危險，例如在使用或維護過程中需要用戶關注的危害，作為安全相關應用條件通過《用戶使用手冊》、《系統維護手冊》等方式移交給用戶。

系統集成項目安全相關應用條件有來自外部系統或環境的，也有本系統產生的。

對于外部安全相關應用條件，在系統構架和設計過程中應充分考慮相關技術措施，并將其分解到各個子系統，最終使得這些外部的安全相關應用條件得到緩解或關閉。無法完全關閉的部分應作為本系統的安全相關應用條件傳遞給相關責任方。

系統集成項目范圍內新產生的安全應用條件應包括如下內容。

1）從子系統輸入的安全相關應用條件：對于那些不能被子系統/模塊/接口層實現的安全需求，將由子系統/模塊/接口層次傳遞到系統層次，并被系統繼承。

2）系統層的安全相關應用條件：從子系統層繼承的安全相關應用條件如系統層也無法關閉，將被作為整個系統的安全相關應用條件傳遞給相關方。

4 安全例證

安全例證是項目所有安全證據的匯總，以證明系統滿足預定安全完整性等級。安全例證報告一般在項目設計階段就開始進行。系統集成項目的案例結構包括系統層（特殊應用）、子系統層（一般應用）和產品層（一般產品）。

安全例證內容一般包括：系統定義、質量管理報告、安全管理報告、技術安全報告、相關安全例證和結論6部分，各部分主要內容如下。

1）系統定義：對安全例證涉及的系統/子系統/產品進行精確定義，包括系統的范圍，應用場合，系統的主要功能、性能、安全目標等。

2）質量管理報告：提供質量管理的證據，證明在系統、子系統或設備的整個生命周期內，其質量一直并將繼續受有效的質量管理體系控制。

3）安全管理報告：提供安全管理的證據，證明系統/子系統/設備的安全一直并將繼續由一個有效的且與EN 50126中規定的RAMS管理過程相一致的安全管理過程進行管理。

4）技術安全報告：提供技術安全的證據，闡述確保設計安全的技術原則，包括（或給出參考索引）所有的支持證據（如，設計原則和計算，測試規范和測試結果以及安全分析等）。

5）相關安全例證：包含對主安全例證所依附的任何子系統或設備的安全例證的參考索引。同時論證在每個相關子系統/設備的安全例證中指定的安全相關應用條件已在主安全例證中得到實現，或已結合到主安全例證的安全相關應用條件中。

6）結論：對安全例證前面部分提供的證據進行歸納總結，并闡述相關系統/子系統/設備滿足預定的安全完整性等級。

5 結束語

信號控制系統集成項目的安全管理活動圍繞安全計劃和危險管理兩條主線展開。安全管理自上而下傳遞，安全活動自下而上執行。

信號控制系統的安全管理是通過對項目制定可靠有效的安全計劃，在系統集成過程中進行安全管理、危險管理等安全活動，使系統實現預期的安全目標。安全管理對信號控制系統安全運行有至關重要的作用，是保證信號控制系統安全可靠的有效手段。