鐵路信號系統(tǒng)集成項目安全風險鏈的管理

吳炳昊

我國產(chǎn)品進行歐洲CENELEC標準 （EN 50126、EN 50128、EN 50129等）的認證已經(jīng)多年，也頒布了相應的國標 （GB／T 21562－2008、GB／T 28808－2012、GB／T 28809－2012）。在城市軌道交通領域，已有多條線路進行了基于歐標的系統(tǒng)集成項目安全評估。在我國，軌道交通信號系統(tǒng)集成項目的獨立第三方安全評估已經(jīng)成為趨勢。

在實施信號系統(tǒng)集成項目獨立第三方安全評估時，遇到了一些疑問。例如：信號系統(tǒng)集成項目與信號產(chǎn)品科研安全分析的差別是什么，如何進行；我國信號系統(tǒng)集成項目有其自身特點，如何處理；系統(tǒng)安全性是一個系統(tǒng)工程，如何進行安全風險鏈的管理等。本文就實際工作遇到的疑問，結合在信號系統(tǒng)集成項目中的經(jīng)驗，對信號系統(tǒng)集成的安全風險鏈管理進行探討。

1 歐標安全分析理念

歐標中安全分析的基礎是嵌套式的系統(tǒng)結構劃分和危險傳遞。嵌套式的系統(tǒng)構成，即系統(tǒng)由子系統(tǒng)構成，子系統(tǒng)又細分為子子系統(tǒng)，系統(tǒng)結構可一直進行迭代細分；危險傳遞是指系統(tǒng)／子系統(tǒng)將自身未進行處理的危險事件輸出給外部環(huán)境 （上層系統(tǒng)或外部環(huán)境），由上層系統(tǒng)或用戶對這些危險事件進行安全防護。這個思想可以用圖1來表示。

圖1 嵌套式系統(tǒng)構成及危險傳遞

多層 “嵌套式”系統(tǒng)的安全分析，通常要考慮3層相關的系統(tǒng)／子系統(tǒng)。以子系統(tǒng)D為例：需考慮子系統(tǒng)D包含的內部子系統(tǒng)X、Y、Z，需考慮子系統(tǒng)D本身以及與其接口的同層面的子系統(tǒng)A、B、C，以及子系統(tǒng)D的運行環(huán)境 （即整體鐵路信號系統(tǒng)）。

系統(tǒng)／子系統(tǒng)通過安全相關應用條件進行危險傳遞，這些安全相關應用條件是對外部 （上層系統(tǒng)或用戶）的限制或要求。這些條件，其來源可能為其他系統(tǒng)／子系統(tǒng)的安全相關應用條件或是自身新增。各系統(tǒng)／子系統(tǒng)的安全相關應用條件傳遞給上層系統(tǒng)或用戶，由上層系統(tǒng)或用戶對這些安全相關應用條件進行處理；上層系統(tǒng)或用戶應對其使用的所有系統(tǒng)／子系統(tǒng)的安全相關應用條件進行處理。每個層面的安全相關應用條件的處理，也是一個迭代往復的過程。

對于鐵路信號系統(tǒng)集成項目，需要整合并處理集成的所有系統(tǒng)／子系統(tǒng)的安全相關應用條件，對于集成項目未能完全解決的，和由于集成項目自身活動新增的安全相關應用條件，應輸出給信號系統(tǒng)的用戶 （通常是業(yè)主）。

2 鐵路信號系統(tǒng)集成項目的安全風險鏈

根據(jù)鐵路信號系統(tǒng)安全的系統(tǒng)性特性，其安全性與人員、設備、環(huán)境、管理等因素相關。安全風險的相關要素包含：成因、危險事件演變過程和風險的可能后果，這些要素構成了安全風險相關的鏈條。因此，對于鐵路信號系統(tǒng)集成項目，應關注其安全風險鏈，應涵蓋危險源識別、危險源處理、危險源相關安全風險的評價。

2．1 安全分析基礎

鐵路信號系統(tǒng)集成項目采用的系統(tǒng)／子系統(tǒng)應為合格且安全性可信的產(chǎn)品。這些產(chǎn)品在其研制階段，已進行了研制階段的安全分析，其結果是集成項目安全分析的基礎，無需在集成階段重復分析。

具體的說，鐵路信號集成項目采用的產(chǎn)品可能為：經(jīng)過第三方獨立安全評估的產(chǎn)品、經(jīng)過權威機構檢驗授權的產(chǎn)品、已進行廣泛應用證明其安全性的產(chǎn)品等。這些產(chǎn)品，會提出它們對安全的限制及要求，同時會提出數(shù)據(jù)配置、生產(chǎn)、安裝、維護的要求。這些要求就是工程集成時安全分析基礎，集成項目應遵循這些要求和限制；需要時，將部分要求與限制傳遞給其他系統(tǒng)或用戶。

2．2 危險源的來源和處理

鐵路信號系統(tǒng)集成項目危險源來源可能有：

1．選用產(chǎn)品的安全相關應用條件，這類危險源源自于項目的使用產(chǎn)品。

2．集成項目自身的活動 （如數(shù)據(jù)配置、生產(chǎn)、安裝、調試等）新產(chǎn)生的危險源，這類危險源源自于集成項目活動自身。

3．工程設計、牽引計算等傳統(tǒng)鐵路專業(yè)引入的危險源，其來源可歸入集成項目自身。

源自項目選用產(chǎn)品的安全相關應用條件的危險源，需要在系統(tǒng)集成項目中，對這些安全相關應用條件進行滿足性分析，這類分析通常結合項目的技術方案一同進行。對于不能在集成項目內消化的安全相關應用條件，應轉移輸出至其他系統(tǒng)或用戶。

集成項目自身的活動所產(chǎn)生的危險源，通常是指集成項目是否按照其選用產(chǎn)品提出的數(shù)據(jù)配置、生產(chǎn)、安裝、調試等要求進行了相關活動，如果相關要求在實際操作中難以實施，則應采取與原要求相當?shù)钠渌椒ㄟM行替代，以進行安全風險控制。

工程設計和牽引計算為傳統(tǒng)鐵路專業(yè)，其質量審核方式 （如三級審核）經(jīng)長時間實踐證明，可保證其質量良好并控制其安全風險。因此，在鐵路信號集成項目中，按照其既有的質量過程控制其安全風險即可，不需要新增其他質量環(huán)節(jié)。

2．3 安全證據(jù)鏈及安全風險評價

進行集成項目所提供產(chǎn)品及服務的安全性證明時，需要形成相應的證據(jù)。與安全風險鏈對應，需要提供安全證據(jù)鏈，用以證明集成項目的安全性。安全風險鏈包含危險源識別、危險源分析及控制、安全風險評價。安全證據(jù)鏈也對應這3方面的證據(jù)。安全證據(jù)應為正式文件，其形式可以是項目正式文檔、評審記錄單、發(fā)布的會議紀要等。

以上對集成項目危險源的來源進行了闡述，危險源的識別過程應得到記錄，識別出的危險源應記錄進項目的危險源日志。危險源識別過程記錄和危險源日志即為危險源識別的安全證據(jù)。

對于源自選用產(chǎn)品的安全相關應用條件的危險源對應的安全分析證據(jù)，其分析記錄 （可以是分析報告、會議記錄等形式）本身就是這些危險源的安全分析證據(jù)。對于集成項目自身的活動所產(chǎn)生的危險源，項目本身的安全分析活動大多與系統(tǒng)設計一同進行，安全分析內容也會融合在項目的系統(tǒng)設計方案、系統(tǒng)升級／倒切方案等文檔中，這些文檔就是項目的安全分析證據(jù)；如果需要，也可以出具專門的安全分析報告作為安全證據(jù)。項目設計、數(shù)據(jù)配置、生產(chǎn)、安裝、調試等，需要通過驗證得到，驗證報告即為相關安全證據(jù)。工程設計、牽引計算等傳統(tǒng)鐵路專業(yè)的安全證據(jù)是它們的審核記錄。

需要注意的是集成項目安全活動的策劃，該策劃通常以項目安全計劃的形式體現(xiàn)。安全計劃是在對項目充分了解的基礎上，進行項目安全活動的方案策劃；該方案應在保證項目安全風險可控的前提下，做到盡可能的低成本。也就是說，安全計劃是安全活動有效性的重要保證。所以，安全計劃同樣會項目安全性產(chǎn)生影響，其審核記錄應作為安全證據(jù)得到保留。

安全風險評價是對集成項目危險源相關風險是否可接受的判斷，以危險源識別、分析、控制的證據(jù)為基礎。危險源風險是否可被接受的判斷，通常由危險控制委員會 （HCB）進行授權，該授權記錄即為安全風險評價證據(jù)。

2．4 安全論據(jù)

對于進行獨立第三方安全評估的項目，一般會被要求出具安全論據(jù) （通常也稱為安全例證），僅需將上述安全證據(jù)和項目其他安全證據(jù)整理并按照規(guī)定格式納入或引用即可。安全論據(jù)是對項目安全證據(jù)的收集和整理，并不新增安全證據(jù)。

3 集成項目中常見問題處理

3．1 產(chǎn)品變更控制

在集成項目實施中，可能由于特殊場景、特殊接口、特殊需求等導致集成項目產(chǎn)品的變更。對于集成項目，需要保證項目產(chǎn)生的需要被準確地傳導至產(chǎn)品提供方；產(chǎn)品變更完成后，集成項目應對變更完成的產(chǎn)品進行確認，確保產(chǎn)品變更符合預期。集成項目通常可按照下列步驟進行產(chǎn)品變更管理：

1．根據(jù)集成項目需要，整理出所需的需求條款 （如系統(tǒng)集成方案），并與產(chǎn)品提供方進行溝通。

2．產(chǎn)品提供方完成產(chǎn)品需求規(guī)范 （產(chǎn)品系統(tǒng)需求）變更后，集成項目與產(chǎn)品提供方溝通變更后的產(chǎn)品需求規(guī)范，確保與預期相符。

3．產(chǎn)品變更結束后，集成項目對完成變更的產(chǎn)品進行確認，確保符合變更預期。

3．2 產(chǎn)品要求的理解

集成項目選用的產(chǎn)品會對集成項目提出安全相關應用條件以及數(shù)據(jù)配置、安裝、生產(chǎn)、調試等要求。雖然集成項目選用的產(chǎn)品應為合格、可信產(chǎn)品，但這些要求通常通過簡短的文字條款進行描述，一些安全相關應用條件的描述可能并不明確或過于苛刻，造成實施上的困難。此時，集成項目應與產(chǎn)品提供方進行溝通，得到存疑內容的解釋 （應為正式的記錄，如發(fā)布的會議紀要）或更新的要求，工程項目可按照解釋或更新后的要求進行相關工作。

3．3 安全相關應用條件的輸出

對于集成項目而言，其對外輸出的安全相關應用條件，接收方為最終業(yè)主，需要重視安全相關應用條件條款的描述。

安全風險相關防范措施只將安全風險控制住即可，不應擴大風險防范措施，以免增加不必要的風險控制成本；安全相關應用條件的描述應具體、可操作。如 “定期維護列控設備”是不好的描述方式，而 “日檢內容包含應答器天線的安裝檢查”是比較好的描述方式。

4 結論

集成項目安全分析工作，應立足于產(chǎn)品科研的安全分析基礎，無需進行重復工作，關注工程方面的安全風險點，執(zhí)行可對集成活動安全性增值的安全分析活動，并保持良好的記錄作為證據(jù)。集成項目應正確理解選用產(chǎn)品提出的要求，在需要時應與產(chǎn)品提供方進行溝通，確保理解正確。

安全證據(jù)鏈的完整是對鐵路信號集成項目安全性評價的重要依據(jù)，應記錄包含危險源識別、危險源分析及控制、安全風險評價在內的安全風險鏈的證據(jù)進行收集。

［1］ European Committee for Electrotechnical Standardization．Railway applications－The specification and demonstration of Reliability，Availability，Maintainability and Safety（RAMS）－Part 2：Guide to the application of EN 50126－1for safety［S］．2007．

［2］ 閔鑫穎．風險鏈在安全管理中的建立與運用［J］．安全，2013（11）：31－33．

［3］ 吳炳昊．安全相關項目中的危險源管理［J］．鐵路通信信號工程技術，2013（S1）：92－94．

［4］ 中國國家標準化管理委員會．軌道交通 通信、信號和處理系統(tǒng)信號用安全相關電子系統(tǒng)［S］．2007．

［5］ 肖貴平，朱曉寧．交通安全工程［M］（第二版）．北京：中國鐵道出版社，2013．