鐵路通信信號系統安全評估方法探討

曹雪鳳

（北京全路通信信號研究設計院有限公司, 北京 100073）

曹雪鳳，女，碩士畢業于北京交通大學，工程師,質量安全部副經理。主要研究方向包括科研項目管理、質量管理、安全管理,曾參與C3實驗室建設項目、國家科技支撐計劃項目。

當今社會，高速鐵路迅速發展，速度已高達300 km/h，安全性、可靠性、可用性和可維護性是高速鐵路通信信號系統的關鍵要求。其中，鐵路通信信號系統自身的安全性是系統可靠、高效運行的前提。因此，在對鐵路通信信號系統的運營規則、主要設備和技術進行規范的同時，還提出了系統安全評估的概念。旨在通過安全評估過程，完善系統安全保障流程，降低系統的安全風險。

1 安全評估

由于鐵路通信信號系統的技術復雜性和管理復雜性，項目存在大量的安全技術和安全管理工作。因此，在鐵路通信信號系統引入安全評估，并將系統評估結論作為判斷是否具備開通運營條件的重要依據。在評估過程中，系統集成商需要向系統評估方提供足夠的安全證據，證明已經采取了足夠的質量、安全管理措施及技術安全措施，并提供了充分的安全證據，系統風險已經被控制在業主的可接受范圍內。

2 安全評估方法

目前國際上通行的做法是通過獨立安全評估保障鐵路通信信號系統的安全性。安全評估要求在鐵路通信信號系統方案、設計、制造、運行安全過程中進行安全管理和監督，對鐵路通信信號系統的技術安全證據審查，分析系統開發過程中固有的或潛在的危險因素，論證技術措施的合理性，安全措施的充分性，最后向業主出具安全評估報告。

2.1 內部安全評估

2.1.1 內部評估的目的

當項目未設置外部獨立安全評估機制時，內部獨立安全評估作為替代外部獨立安全評估的機制，完成外部獨立安全評估的功能；當項目設置外部獨立安全評估機制時，內部獨立安全評估作為項目承擔單位安全機構管理項目安全的重要手段。內部獨立安全評估的目的是，通過對項目承擔單位對項目的執行進行安全審核與安全評估，以保障安全相關項目所含有的風險降低到法律法規規定的和/或合同規定的可以接受的程度。

2.1.2 與外部評估的關系

內部獨立安全評估活動是項目承擔單位內部承擔項目的安全保障措施，評估的目的、手段、方法等都應遵循鐵路行業第三方獨立安全評估的一般慣例。評估團隊由于來自項目承擔單位內部，不具備公司級別的獨立性，但評估工程師在執行評估工作時應當按照獨立性的要求進行工作。

2.1.3 獨立評估活動

內部獨立安全評估應是基于風險的評估和過程符合性的審核的結合。安全評估的活動包括審核項目安全計劃，審核項目活動，檢查項目安全記錄，見證/參與項目活動等。安全評估工程師應通過這些活動來確認項目是否確立了足夠的/正確的安全目標；是否按照行業慣例/標準的要求執行項目；是否按照組織質量安全體系的要求執行項目；是否存在影響安全的因素，并將這些因素及時告知項目和相應的安全機構，使得項目可以按照合乎要求的方式執行；從而項目成果能夠達到要求的安全目標。

內部安全評估需要設置專門的項目安全保障組織，完成下面的工作。

1）項目安全保障工作。主要針對系統、子系統等各個層面不同階段的危險分析、危險日志、安全需求、安全相關應用條件的管理；不同系統層次、不同分包商的安全協調。

2）項目安全監視工作。主要包括定期不定期的安全審核；對項目驗證與測試工作的見證與抽檢；系統層面的安全確認；企業內部安全評估和安全里程碑管控。

2.2 外部安全評估

2.2.1 外部安全評估原則

外部安全評估是項目承擔單位以外的獨立第三方評估機構對系統進行的基于風險的評估和過程符合性審核。外部安全評估應遵循以下幾個原則。

1）獨立性原則：系統評估工作由相對獨立于其生產和設計單位的第三方評估機構牽頭，可聯合國內科研院校及相關單位，適當引入國外有資質的評估機構及專家進行技術咨詢，以保證評估結果的客觀性、公正性和權威性。

2）系統性原則：系統評估涵蓋從系統設計開發到系統應用的全過程，增強系統生命周期內的安全保障。

3）整體性原則：對系統具體應用的安全案例（包括所有核心部件、設備、子系統的必要信息和安全證據）進行整體評估。

4）結合性原則：系統評估不僅對系統需求、安全需求和安全案例等關鍵證據進行審查，還應在系統開發過程中，對室內仿真測試、試驗線實車運行試驗以及聯調聯試等不同階段的驗證、確認活動進行同步檢查和審核，以確定CTCS-3級鐵路通信信號系統的功能及技術性能是否符合需求。

5）互認性原則：已獲得安全認證或許可的產品，不重復評估。

2.2.2 外部安全評估機構要求

鐵路通信信號系統是一個極其復雜的系統，對其的安全評估存在一定的難度，因此對外部安全評估機構的要求也非常高。系統評估機構應具備的條件包括：1）具有獨立的法律地位；2）按照ISO導則65（EN45011）《產品認證機構通用要求》或ISO17020《檢查機構能力的通用要求》建立系統評估管理體系；3）具有系統評估相關的各類專業人員，并建立完善的系統評估人員評價注冊管理制度；4）具備與系統評估相適應的風險保障機制。

3 安全評估步驟

3.1 內部安全評估

安全評估的活動包括審核項目安全計劃，審核項目活動，檢查項目安全記錄，見證/參與項目活動等。安全評估工程師應通過這些活動來確認項目是否確立了足夠的/正確的安全目標；是否按照行業慣例/標準的要求執行項目；是否存在影響安全的因素，并將這些因素及時告知項目和相應的安全機構，使得項目可以按照合乎要求的方式執行；從而項目成果能夠達到要求的安全目標。內部獨立安全評估應是基于風險的評估和過程符合性的審核的結合。

3.1.1 評估流程

內部評估流程主要包括制定計劃，執行階段評估、審核，報告等幾個主要活動，如圖1所示。

圖1顯示的是一般內部評估流程，根據被評估的項目，評估工作可以被劃分為一個或多個評估階段。而一個評估階段又可以劃分為一個或幾個審核階段。評估和審核階段的劃分應該隨被評估項目的安全生命周期確定。

3.1.2 內部評估與項目關系

內部評估與被評估項目同步進行，評估階段與項目階段同步，如圖2所示。內部獨立安全評估流程應隨項目的開展而進行，評估應基本與項目同時開始，如圖2所示。

圖2顯示了內部獨立安全評估工作與被評估項目的關系，左側為被評估項目，項目評估階段應按照項目階段進行，分為若干階段，有的項目還有里程碑。圖右側顯示內部獨立安全評估活動及輸出。評估活動隨著項目進展而開展，通過評估活動評估項目是否按照評估標準的要求開展。在每個階段產生并提交評估報告，報告中對不符合評估標準的事項進行說明，供項目組調整修改。

3.1.3 評估活動

內部評估活動主要包括以下內容。

1）制定評估計劃（包含審核計劃）；

2）審核項目安全保障文檔；

3）分階段審核項目執行情況，包括階段審核，告知項目審核結果，監測項目改正情況，編寫階段安全審核報告等工作；

4）進行階段評估工作，編寫階段評估報告；

5）進行安全評估，并編寫最終評估報告。

3.2 外部安全評估

一般對于業主要求的必須由獨立第三方評估機構評估的項目必須有第三方評估。第三方評估流程如下。

1）系統評估機構會同系統承包商（集成商）、供應商或其他委托方確定評估需求、評估范圍，簽訂評估協議；

2）系統評估機構提出評估計劃；

3）被評估單位建立安全組織與質量管理組織，準備相應的安全案例和試驗驗證報告；

4）系統評估機構對系統的安全性和功能/性能的符合性進行審核、見證與評估；

5）系統評估機構向委托方出具系統評估報告。

目前，我國的鐵路通信信號系統安全評估工作剛剛起步，直接選用國外獨立的安全評估機構，評估周期長，費用高，也不適合我國復雜的鐵路運輸要求。因此在發揮我國既有的安全管理經驗的基礎上，借鑒國外安全評估的成熟經驗，選擇國外的獨立安全評估機構進行咨詢，開展評估工作是切實可行的。這樣既為我國鐵路通信信號系統的安全評估工作積累經驗，也為我國鐵路安全評估工作在國際上得到認可打下基礎。

4 結論

本文從內部/外部角度對鐵路通信信號系統的評估過程進行分類，分別對二者的概念、原則與流程進行了解釋，并針對如何提高安全評估手段的有效性、實用性等問題進行了探討。目前，內部安全評估和外部安全評估都已經應用于已上線鐵路通信信號系統的安全管理中。

[1] BS EN 50128 Railway applications —Communication, signalling and processing systems —Software for railway control and protection systems[S].2011.