軌道交通信號(hào)系統(tǒng)獨(dú)立安全評(píng)估的原理和方法綜述*

張 凱

(上海申通地鐵集團(tuán)有限公司技術(shù)中心,201103,上?！喂こ處?

?

軌道交通信號(hào)系統(tǒng)獨(dú)立安全評(píng)估的原理和方法綜述*

張 凱

(上海申通地鐵集團(tuán)有限公司技術(shù)中心,201103,上?！喂こ處?

我國(guó)軌道交通信號(hào)系統(tǒng)安全評(píng)估制度由于起步較晚,在基礎(chǔ)理論研究、行業(yè)內(nèi)統(tǒng)一認(rèn)識(shí)乃至評(píng)估人才與評(píng)估機(jī)構(gòu)的建設(shè)方面都與國(guó)際先進(jìn)水平還有差距。概述了安全評(píng)估所基于的系統(tǒng)安全原理,簡(jiǎn)要介紹了歐洲電工標(biāo)準(zhǔn)化委員會(huì)標(biāo)準(zhǔn)的理論框架,并細(xì)致描述了獨(dú)立安全評(píng)估的評(píng)估方法和預(yù)期結(jié)論項(xiàng)?；谠u(píng)估實(shí)踐,闡述了典型軌道交通信號(hào)工程的評(píng)估內(nèi)容和方法。

城市軌道交通; 信號(hào)系統(tǒng); 獨(dú)立安全評(píng)估; 安全完整性

Author′s address Shanghai Shentong Metro Group Co.,Ltd.,201103,Shanghai,China

軌道交通信號(hào)系統(tǒng)第三方獨(dú)立安全評(píng)估(也稱(chēng)安全認(rèn)證),起源且廣泛應(yīng)用于歐洲軌道交通建設(shè)。20世紀(jì)90年代,歐洲電工標(biāo)準(zhǔn)化委員會(huì)(CENELEC)制定了3個(gè)標(biāo)準(zhǔn)(EN 50126、EN 50128及EN 50129,以下簡(jiǎn)稱(chēng)“CENELEC標(biāo)準(zhǔn)”)總結(jié)了信號(hào)系統(tǒng)的安全原理,提出了安全工程具體要求(包括安全評(píng)估的要求)。CENELEC標(biāo)準(zhǔn)后來(lái)被IEC等標(biāo)準(zhǔn)體系采用,成為安全工程和安全評(píng)估的基礎(chǔ)。21世紀(jì)初,該方法引入我國(guó)。2010年以后,在國(guó)家政策的要求下,新建城軌工程廣泛引入了第三方獨(dú)立安全評(píng)估。2013年我國(guó)國(guó)家標(biāo)準(zhǔn)完成了CENELEC標(biāo)準(zhǔn)的等同采用。國(guó)內(nèi)評(píng)估機(jī)構(gòu)也于近年開(kāi)始逐步建立起來(lái)。我國(guó)的第三方獨(dú)立安全評(píng)估由于起步較晚,在基礎(chǔ)理論研究、行業(yè)內(nèi)統(tǒng)一認(rèn)識(shí)乃至評(píng)估人才隊(duì)伍等方面的基礎(chǔ)都很薄弱。本文梳理了安全評(píng)估的基本原理,并嘗試貫穿理論基礎(chǔ)與具體實(shí)踐,從宏觀角度對(duì)其進(jìn)行探討。

1 信號(hào)系統(tǒng)安全評(píng)估的原理

1.1 安全評(píng)估的定位

安全是指免于不可接受的危害。這是一個(gè)運(yùn)營(yíng)服務(wù)層面的概念。在歐洲及其他部分地區(qū),安全評(píng)估通常是對(duì)整個(gè)軌道交通系統(tǒng)安全性的評(píng)估[1],而且,政府機(jī)構(gòu)中設(shè)有專(zhuān)門(mén)的安全權(quán)威機(jī)構(gòu),管理并監(jiān)督著所有鐵路系統(tǒng)的安全。在我國(guó),目前只有信號(hào)系統(tǒng)被嚴(yán)格要求進(jìn)行獨(dú)立安全評(píng)估,且該評(píng)估主要由業(yè)主或運(yùn)營(yíng)商發(fā)起。而信號(hào)系統(tǒng)只是整個(gè)軌道交通系統(tǒng)的一部分,故其安全性不等同于運(yùn)營(yíng)的安全性;信號(hào)系統(tǒng)的對(duì)外表現(xiàn)是信號(hào)功能,故其安全性是功能的安全性。

不論在理論還是實(shí)踐中,都沒(méi)有絕對(duì)的安全。安全評(píng)估的目的就是在于判斷在不同條件下,信號(hào)設(shè)備或系統(tǒng)的功能安全性,或者說(shuō)功能安全性是否可接受。

1.2 安全評(píng)估的原理

信號(hào)設(shè)備或系統(tǒng)的安全性可被論證的條件是:①設(shè)備(系統(tǒng))所設(shè)計(jì)具有的安全功能能夠防護(hù)運(yùn)營(yíng)中的危險(xiǎn);②在規(guī)定的條件和規(guī)定的運(yùn)行環(huán)境下,以及規(guī)定的時(shí)間內(nèi),設(shè)備(系統(tǒng))能以足夠高的可能性完成指定的安全功能。在CENELEC標(biāo)準(zhǔn)中,第二項(xiàng)能力被稱(chēng)為安全完整性?？赏ㄟ^(guò)安全完整性等級(jí)(SIL)來(lái)衡量這項(xiàng)能力的高低。

雖然相關(guān)的規(guī)范已經(jīng)規(guī)定了信號(hào)系統(tǒng)應(yīng)具備頂層的安全功能,但實(shí)際上規(guī)范只定義了信號(hào)系統(tǒng)功能框架,而信號(hào)系統(tǒng)詳細(xì)的功能設(shè)計(jì)需要經(jīng)過(guò)嚴(yán)格的風(fēng)險(xiǎn)分析過(guò)程。EN 50129標(biāo)準(zhǔn)規(guī)定,安全需求規(guī)范應(yīng)該是經(jīng)過(guò)系統(tǒng)定義、危害識(shí)別、后果分析及風(fēng)險(xiǎn)評(píng)估之后產(chǎn)生的,對(duì)新發(fā)現(xiàn)的潛在危害要增加功能或者采用危害降低措施,以使得系統(tǒng)功能能覆蓋潛在的危害空間。

根據(jù)標(biāo)準(zhǔn),要保證設(shè)備(系統(tǒng))的安全完整性足夠,應(yīng)具備2個(gè)性能:①設(shè)備或系統(tǒng)能正確實(shí)現(xiàn)所設(shè)計(jì)的功能;②設(shè)備或系統(tǒng)發(fā)生的能導(dǎo)致危險(xiǎn)的隨機(jī)失效概率足夠小。在CENELEC標(biāo)準(zhǔn)中,第一項(xiàng)性能被稱(chēng)為系統(tǒng)失效完整性,第二項(xiàng)性能被稱(chēng)為隨機(jī)失效完整性。只有二者同時(shí)滿(mǎn)足才可認(rèn)為信號(hào)設(shè)備或系統(tǒng)達(dá)到了一定的安全完整性。

系統(tǒng)失效完整性是定性的判斷,不可量化。CENELEC標(biāo)準(zhǔn)認(rèn)為只要有效地使用了合適的方法、工具和技術(shù),即可看作是足夠可信的證據(jù)。CENELEC標(biāo)準(zhǔn)規(guī)定了不同SIL等級(jí)所必需的人員獨(dú)立性,生命周期各階段的質(zhì)量、安全活動(dòng),以及開(kāi)發(fā)所必需使用、推薦使用或不可使用的方法和措施。這些是經(jīng)過(guò)檢驗(yàn)的良好實(shí)踐。如認(rèn)真執(zhí)行可以有效地避免系統(tǒng)失效。需注意的是,這并不是對(duì)真實(shí)系統(tǒng)失效水平的衡量,只是從系統(tǒng)開(kāi)發(fā)過(guò)程角度對(duì)系統(tǒng)失效水平的間接定性判斷。

隨機(jī)失效完整性在文獻(xiàn)[2]中也被稱(chēng)為硬件安全完整性?？梢?jiàn)隨機(jī)失效是指硬件設(shè)備發(fā)生的不可預(yù)測(cè)且不可徹底避免的故障。通過(guò)量化估算的危害概率是否滿(mǎn)足容許危害率(Tolerable Hazard Rate,THR)來(lái)衡量隨機(jī)失效完整性。雖然每個(gè)硬件組件的危害概率都應(yīng)被衡量,但標(biāo)準(zhǔn)卻只定義了系統(tǒng)頂層功能的不同等級(jí)的THR。應(yīng)此要求在系統(tǒng)建設(shè)中,首先,通過(guò)危害分析計(jì)算出每個(gè)系統(tǒng)功能的THR (通常是先定義功能的SIL等級(jí),再按照EN 50129表A.1定義每個(gè)功能的THR);然后,在系統(tǒng)架構(gòu)設(shè)計(jì)中進(jìn)行分配,計(jì)算出每個(gè)硬件組件的THR。如每個(gè)硬件組件能滿(mǎn)足要求,即說(shuō)明整個(gè)系統(tǒng)的隨機(jī)失效完整性能保證運(yùn)營(yíng)層面的危害風(fēng)險(xiǎn)可接受。雖然THR是關(guān)于所有失效(包括系統(tǒng)失效和隨機(jī)失效)完整性的目標(biāo)度量,但普遍認(rèn)為僅在考慮隨機(jī)失效時(shí)THR才可以量化。因此,THR可認(rèn)為是對(duì)隨機(jī)失效完整性的衡量。

安全系統(tǒng)的THR指標(biāo)無(wú)疑是比較高的,必須要采用特定的機(jī)制(通常被稱(chēng)作“故障-安全”機(jī)制)才能實(shí)現(xiàn)。CENELEC標(biāo)準(zhǔn)及其所起源的IEC61508標(biāo)準(zhǔn)對(duì)此提出了復(fù)雜而詳細(xì)的技術(shù)要求。概括而言,證明某個(gè)部件滿(mǎn)足隨機(jī)失效完整性要求的充分證據(jù)為:①僅發(fā)生任意單一故障(第一個(gè)故障),或能與繼發(fā)故障組合造成危害的多重故障時(shí),該部件仍保持安全狀態(tài)(也即要求SIL3或SIL4的部件應(yīng)實(shí)現(xiàn)對(duì)這兩類(lèi)故障的檢測(cè)和容忍)。②發(fā)生上述情況時(shí),再發(fā)生繼發(fā)故障從而導(dǎo)致危害的概率仍滿(mǎn)足相應(yīng)的THR要求。這就要求故障的檢測(cè)和反應(yīng)時(shí)間足夠小;同時(shí)要求能導(dǎo)致危害的多重故障是相互獨(dú)立發(fā)生的,而不是共因造成的。更具體的判斷內(nèi)容參見(jiàn)EN 50129標(biāo)準(zhǔn),本文不贅述。

綜上可知,設(shè)備或系統(tǒng)廠商應(yīng)平衡地綜合運(yùn)用多種措施以使系統(tǒng)具有所需的安全性。安全評(píng)估員也應(yīng)評(píng)估所有子命題是否被可靠地論證,由此推導(dǎo)出設(shè)備(系統(tǒng))的安全性是否可接受。

2 獨(dú)立安全評(píng)估的方法及期望結(jié)論

2.1 獨(dú)立安全評(píng)估員

安全評(píng)估有內(nèi)部和外部(獨(dú)立的)之分。在信號(hào)系統(tǒng)廠商內(nèi)部,除了設(shè)計(jì)者、實(shí)現(xiàn)者、驗(yàn)證員和確認(rèn)員之外,通常還有獨(dú)立于這些角色的安全評(píng)估員。內(nèi)部評(píng)估員如果有足夠的資質(zhì)和獨(dú)立性,則可出具企業(yè)內(nèi)部的安全評(píng)估報(bào)告。在某些場(chǎng)合下這種評(píng)估可被視作獨(dú)立的安全認(rèn)證。但通常意義上,獨(dú)立安全評(píng)估員是指完全獨(dú)立于信號(hào)設(shè)備廠商的第三方評(píng)估機(jī)構(gòu)或個(gè)人。在歐洲,歐盟委員會(huì)條例第352/2009號(hào)文件(文獻(xiàn)[1])規(guī)定了獨(dú)立評(píng)估機(jī)構(gòu)必須符合的標(biāo)準(zhǔn),英國(guó)《工程安全管理》黃皮書(shū)(文獻(xiàn)[4])對(duì)評(píng)估員定義了基本的能力和資質(zhì)要求。在中國(guó),相關(guān)的管理機(jī)制也正在逐步建立。

2.2 獨(dú)立安全評(píng)估方法

文獻(xiàn)[3]中定義了獨(dú)立安全評(píng)估的方法有安全審計(jì)、安全審核、設(shè)計(jì)分析和測(cè)試見(jiàn)證4種。文獻(xiàn)[4]則規(guī)定了:安全評(píng)估(包含了設(shè)計(jì)分析)和安全審計(jì)(包含了測(cè)試見(jiàn)證)2種方法。這些僅是名稱(chēng)的不同。在實(shí)際操作中,文獻(xiàn)[5]和[6]介紹了英國(guó)勞氏鐵路公司所采用的基于風(fēng)險(xiǎn)控制的獨(dú)立安全評(píng)估方法。該方法分為審計(jì)和審核兩部分。宏觀來(lái)看,安全審計(jì)通常是通過(guò)面談或見(jiàn)證的方式,檢查并判斷工程安全管理的過(guò)程是否足夠并符合相關(guān)的計(jì)劃和程序。安全審核著眼于工程產(chǎn)品和文檔,檢查系統(tǒng)的風(fēng)險(xiǎn)是否被控制在合適的水平。評(píng)估員可使用標(biāo)準(zhǔn)所列出的所有工具或方法,對(duì)所評(píng)估的文件進(jìn)行復(fù)查或重現(xiàn)。

具體實(shí)踐中,安全審計(jì)和文件評(píng)估互有重疊,也有很多文件需要采用審計(jì)和現(xiàn)場(chǎng)評(píng)估相結(jié)合的方式。此外,如果評(píng)估或?qū)徲?jì)的內(nèi)容過(guò)多,無(wú)法對(duì)所有內(nèi)容進(jìn)行評(píng)估或?qū)徲?jì)時(shí),可抽樣并采取垂直切片式檢查的方式。例如,可抽取系統(tǒng)的某子功能進(jìn)行檢查;檢查內(nèi)容包括系統(tǒng)需求、子系統(tǒng)需求、軟硬件設(shè)計(jì)規(guī)格、軟硬件的實(shí)現(xiàn),以及對(duì)應(yīng)的測(cè)試案例和測(cè)試報(bào)告等。

獨(dú)立安全評(píng)估的執(zhí)行有較大的靈活性和自主性,CENELEC標(biāo)準(zhǔn)提供了系統(tǒng)安全工程的框架,現(xiàn)實(shí)中不同廠商可采取不同的實(shí)現(xiàn)方式。評(píng)估員應(yīng)能迅速理解廠商整體的開(kāi)發(fā)和安全保證架構(gòu)。評(píng)估內(nèi)容應(yīng)覆蓋所有相關(guān)的活動(dòng)和產(chǎn)出物,不拘泥于標(biāo)準(zhǔn)所列文檔清單。

評(píng)估員應(yīng)時(shí)刻注意保持獨(dú)立性,一方面不干預(yù)或指導(dǎo)設(shè)計(jì)開(kāi)發(fā)活動(dòng);另一方面盡可能獨(dú)立地尋找證據(jù),不依賴(lài)廠商人員的協(xié)助。

評(píng)估員應(yīng)對(duì)可能遇到的困難和限制有清醒認(rèn)識(shí)。文獻(xiàn)[7]揭示了獨(dú)立評(píng)估員必須面對(duì)的限制。其中,主要限制是信號(hào)廠商都認(rèn)為深層的技術(shù)和安全方法是其專(zhuān)有財(cái)產(chǎn),并加以積極保護(hù)。因此評(píng)估工作應(yīng)留有足夠的記錄,以作為評(píng)估結(jié)論的支撐。

2.3 獨(dú)立安全評(píng)估的預(yù)期結(jié)論項(xiàng)

目前,國(guó)內(nèi)外規(guī)范沒(méi)有對(duì)獨(dú)立安全評(píng)估的預(yù)期結(jié)論項(xiàng)提出定義或要求。從經(jīng)驗(yàn)來(lái)看,國(guó)內(nèi)軌道交通客戶(hù)通常也不會(huì)提出具體要求。當(dāng)然,所有的獨(dú)立安全評(píng)估合同肯定會(huì)要求評(píng)估方對(duì)系統(tǒng)的預(yù)期應(yīng)用給出支持與否的結(jié)論。但單有該結(jié)論還是過(guò)于寬泛與單薄。因此,應(yīng)該體現(xiàn)該結(jié)論與評(píng)估報(bào)告中的具體評(píng)估證據(jù)之間的多重邏輯鏈條。事實(shí)上,一些資深的獨(dú)立安全評(píng)估機(jī)構(gòu)在出具評(píng)估報(bào)告中會(huì)給出一組結(jié)論。這組結(jié)論應(yīng)能較好地體現(xiàn)安全邏輯原理。例如,對(duì)某信號(hào)工程預(yù)期可得到的結(jié)論項(xiàng)應(yīng)包括:①設(shè)備或系統(tǒng)的開(kāi)發(fā)是否符合CENELEC標(biāo)準(zhǔn);②已識(shí)別的安全需求是否被滿(mǎn)足;③系統(tǒng)相關(guān)風(fēng)險(xiǎn)是否被控制在可接受的程度;④系統(tǒng)是否可應(yīng)用于預(yù)期的運(yùn)營(yíng)服務(wù)。其中,第①條是針對(duì)系統(tǒng)失效完整性的評(píng)估結(jié)論,可說(shuō)明所評(píng)估的開(kāi)發(fā)流程、人員、方法、工具和技術(shù)等是否符合標(biāo)準(zhǔn)中對(duì)相應(yīng)SIL的要求。第②條是針對(duì)安全需求的評(píng)估結(jié)論,可說(shuō)明所有已識(shí)別的安全需求是否被實(shí)現(xiàn)、測(cè)試(或用檢查、證明等其他方式)和確認(rèn)。由于安全需求包括隨機(jī)失效完整性需求,因此該結(jié)論中包含了評(píng)估員對(duì)于系統(tǒng)各安全功能的SIL等級(jí)的肯定。第③條是對(duì)系統(tǒng)應(yīng)用到工程項(xiàng)目之后的風(fēng)險(xiǎn)總結(jié),可說(shuō)明是否有信心認(rèn)為相關(guān)風(fēng)險(xiǎn)已經(jīng)被采取合理措施降低了發(fā)生概率與/或危害嚴(yán)重程度。第④條是針對(duì)項(xiàng)目投用的支持,是對(duì)安全審核或接受方的直接建議。第③、④條是針對(duì)具體信號(hào)工程項(xiàng)目(特定應(yīng)用)的;如果評(píng)估的對(duì)象是通用產(chǎn)品或通用應(yīng)用,則不需要這兩條結(jié)論,僅得出前兩條結(jié)論即可。

2.4 信號(hào)工程的評(píng)估方法

信號(hào)系統(tǒng)是涉及鐵路信號(hào)、電子學(xué)和通信網(wǎng)絡(luò)等多專(zhuān)業(yè)的復(fù)雜系統(tǒng),其需要審核的內(nèi)容相當(dāng)龐大。信號(hào)系統(tǒng)應(yīng)用的層次性為獨(dú)立安全評(píng)估提供了便利。安全評(píng)估可分為通用產(chǎn)品、通用應(yīng)用和特定應(yīng)用3個(gè)層次。信號(hào)系統(tǒng)工程通常由一系列應(yīng)用經(jīng)驗(yàn)成熟的通用產(chǎn)品配置而成。根據(jù)EN 50129的規(guī)定,及文獻(xiàn)[8]定義的交叉接受原則,已通過(guò)了獨(dú)立安全評(píng)估的通用產(chǎn)品和通用應(yīng)用不需再次評(píng)估。因此對(duì)信號(hào)工程項(xiàng)目(特定應(yīng)用)的評(píng)估可集中于新功能所帶來(lái)的通用產(chǎn)品和通用應(yīng)用的變更上,以及項(xiàng)目本身的系統(tǒng)設(shè)計(jì)、數(shù)據(jù)準(zhǔn)備和系統(tǒng)集成上。

獨(dú)立安全評(píng)估通常是根據(jù)EN 50126所定義的系統(tǒng)生命周期按階段進(jìn)行。以某信號(hào)工程項(xiàng)目為例,主要的評(píng)估對(duì)象包括需求規(guī)范、系統(tǒng)架構(gòu)設(shè)計(jì)和子系統(tǒng)設(shè)計(jì)規(guī)范、軟硬件開(kāi)發(fā)、數(shù)據(jù)準(zhǔn)備、系統(tǒng)集成和測(cè)試、運(yùn)營(yíng)維護(hù)準(zhǔn)備。

(1) 需求規(guī)范。需求規(guī)范包括系統(tǒng)需求規(guī)范、子系統(tǒng)需求規(guī)范及安全需求規(guī)范等。安全需求通常沒(méi)有單獨(dú)的規(guī)范,在系統(tǒng)及子系統(tǒng)需求規(guī)范中是通過(guò)標(biāo)志來(lái)管理安全需求的。安全需求規(guī)范是評(píng)估的重點(diǎn)。評(píng)估員應(yīng)復(fù)查每條需求以判斷風(fēng)險(xiǎn)是否足以控制?；诮徊嬲J(rèn)證,評(píng)估員可只對(duì)變更的系統(tǒng)和子系統(tǒng)需求規(guī)范進(jìn)行審核,對(duì)其他需求采用抽樣垂直切片式的評(píng)估。

(2) 系統(tǒng)架構(gòu)設(shè)計(jì)和子系統(tǒng)設(shè)計(jì)規(guī)范。安全關(guān)鍵的子系統(tǒng)通常采用“故障-安全”機(jī)制。這是實(shí)現(xiàn)隨機(jī)失效完整性的關(guān)鍵。工程項(xiàng)目通常采用的通用系統(tǒng)架構(gòu)和子系統(tǒng)設(shè)計(jì),屬于通用產(chǎn)品或通用應(yīng)用的范圍,可直接引用通用產(chǎn)品或通用應(yīng)用的評(píng)估結(jié)論。如果系統(tǒng)架構(gòu)和子系統(tǒng)設(shè)計(jì)有較小范圍的變更,可在交叉認(rèn)證的基礎(chǔ)上對(duì)變更部分進(jìn)行評(píng)估,以判斷變更部分是否實(shí)現(xiàn)了新的安全需求。同時(shí),系統(tǒng)賴(lài)以為安全基礎(chǔ)的隨機(jī)失效完整性仍然有效。如果系統(tǒng)架構(gòu)或設(shè)計(jì)規(guī)范發(fā)生了重大的變更,則需重新開(kāi)展對(duì)通用產(chǎn)品或通用應(yīng)用的安全評(píng)估。

(3) 軟硬件開(kāi)發(fā)。在工程項(xiàng)目中,一般的硬件及基礎(chǔ)軟件的開(kāi)發(fā)也是通用的,屬于通用產(chǎn)品的范圍。對(duì)此,評(píng)估員可直接引用相關(guān)評(píng)估結(jié)論。評(píng)估工作主要關(guān)注定型設(shè)備的配置管理。應(yīng)用層軟件在工程項(xiàng)目中有時(shí)也是通用的,其評(píng)估方法與通用基礎(chǔ)軟件相同。對(duì)特殊應(yīng)用軟件開(kāi)發(fā)的評(píng)估內(nèi)容主要包括兩方面:一是開(kāi)發(fā)的流程、方法和工具(主要通過(guò)審計(jì)的方式,判斷其對(duì)EN 50128標(biāo)準(zhǔn)的符合性); 二是開(kāi)發(fā)過(guò)程中具體的成果性文件(包括代碼檢查、軟件層面的各種測(cè)試等,主要通過(guò)審核的方式,判斷其需求實(shí)現(xiàn)和標(biāo)準(zhǔn)的復(fù)合性)。如果應(yīng)用軟件開(kāi)發(fā)范圍比較小,則評(píng)估員可在交叉認(rèn)證的基礎(chǔ)上僅對(duì)變更部分進(jìn)行評(píng)估。

(4) 數(shù)據(jù)準(zhǔn)備。每個(gè)工程項(xiàng)目都有自己特定的數(shù)據(jù)準(zhǔn)備。這是工程安全評(píng)估的重點(diǎn)。數(shù)據(jù)準(zhǔn)備通常可分為數(shù)據(jù)的產(chǎn)生和數(shù)據(jù)的處理兩部分。數(shù)據(jù)的產(chǎn)生(如線路地圖和聯(lián)鎖表的設(shè)計(jì))通常由人工完成。數(shù)據(jù)的處理都是通過(guò)工具對(duì)原始數(shù)據(jù)進(jìn)行編譯處理,可能是獨(dú)立的過(guò)程,也可能結(jié)合在軟件集成中。評(píng)估內(nèi)容也可分為兩方面:一是流程、方法和工具,二是數(shù)據(jù)準(zhǔn)備過(guò)程中所產(chǎn)生的成果文件(主要是對(duì)數(shù)據(jù)準(zhǔn)備起到驗(yàn)證和確認(rèn)作用的成果文件)。通常項(xiàng)目上會(huì)采用雙路“背對(duì)背”開(kāi)發(fā),或者嚴(yán)格的同行審核的方式來(lái)產(chǎn)生數(shù)據(jù),通過(guò)雙路編譯校核,或逆編譯校核的方式保證數(shù)據(jù)處理的正確性。評(píng)估員應(yīng)判斷流程和方法的正確性、充分性,以及工具的完整性,進(jìn)而評(píng)估數(shù)據(jù)準(zhǔn)備活動(dòng)是否被正確執(zhí)行。數(shù)據(jù)準(zhǔn)備的主要評(píng)估依據(jù)是EN 50128標(biāo)準(zhǔn)。

(5) 系統(tǒng)集成和測(cè)試。屬于特定應(yīng)用的范圍。工程項(xiàng)目中通常包括多層次的集成測(cè)試和若干次的回歸測(cè)試。理論上評(píng)估員應(yīng)審核每項(xiàng)安全相關(guān)測(cè)試的計(jì)劃、案例、通過(guò)準(zhǔn)則、測(cè)試結(jié)果和確認(rèn)情況。若不可行,則可抽取足夠數(shù)量的測(cè)試項(xiàng)進(jìn)行案例檢查和測(cè)試見(jiàn)證,以評(píng)估測(cè)試執(zhí)行合規(guī)情況等。如有必要,評(píng)估員可要求增加特定的測(cè)試。應(yīng)對(duì)安全相關(guān)測(cè)試的確認(rèn)情況進(jìn)行全面的檢查,以評(píng)估安全需求是否被有效地實(shí)現(xiàn)。

(6) 運(yùn)營(yíng)維護(hù)準(zhǔn)備。屬于特定應(yīng)用的范圍。評(píng)估員應(yīng)審核運(yùn)營(yíng)維護(hù)計(jì)劃的充分性和一致性,并審計(jì)運(yùn)營(yíng)維護(hù)人員的培訓(xùn)和對(duì)系統(tǒng)應(yīng)用條件的接受情況。

此外,評(píng)估還應(yīng)貫穿整個(gè)生命周期,覆蓋所有活動(dòng)的質(zhì)量管理、安全管理。質(zhì)量管理評(píng)估依據(jù)GB/T 19001標(biāo)準(zhǔn),應(yīng)包括配置管理評(píng)估及人員資質(zhì)評(píng)估。安全管理評(píng)估中,對(duì)初步危害分析、系統(tǒng)危害分析、操作支持危害分析及項(xiàng)目特定的危害分析應(yīng)逐條全部評(píng)估;對(duì)子系統(tǒng)危害分析及接口危害分析等包含通用部分的分析,可主要對(duì)變更相關(guān)的風(fēng)險(xiǎn)進(jìn)行逐條評(píng)估。安全管理評(píng)估的目標(biāo)應(yīng)是充分樹(shù)立對(duì)于風(fēng)險(xiǎn)分析完整性的信心,以及準(zhǔn)確得出危害控制可接受的結(jié)論。

3 結(jié)語(yǔ)

本文總結(jié)概括了獨(dú)立安全評(píng)估所基于的系統(tǒng)安全原理,概述了CENELEC標(biāo)準(zhǔn)的理論框架,由此推導(dǎo)出安全評(píng)估的評(píng)估方法預(yù)期結(jié)論項(xiàng),并針對(duì)當(dāng)前認(rèn)識(shí)比較薄弱的獨(dú)立評(píng)估結(jié)論要求給出了合理化建議。根據(jù)評(píng)估經(jīng)驗(yàn),介紹了典型信號(hào)工程項(xiàng)目的評(píng)估重點(diǎn)和評(píng)估方法,希望能夠推進(jìn)行業(yè)內(nèi)對(duì)比的探討和理解,促進(jìn)我國(guó)獨(dú)立安全評(píng)估事業(yè)的發(fā)展。

[1] COMMISSION REGULATION (EC).On the adoption of a common safety method on risk evaluation and assessment as referred to in Article 6(3)(a) of Directive 2004/49/EC of the European Parliament and the Council:EC No 352/2009[S].Strasbourg:the European Parliament and the Council,2009.

[2] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分 一般要求:GB/T 20438.1—2006/IEC 615081—1998[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2007.

[3] CENELEC.CLC/TR 50126-2 Railway applications—The specification and demonstration of Reliability,Availability,Maintainability and Safety (RAMS) Part 2:Guide to the application of EN 50126-1 for safety[R].Brussels:CENELEC,2007.

[4] Rail Safety Standards Board.Engineering Safety Management Issue 4 (Yellow Book 4) Volumes 1 and 2 Fundamentals and Guidance[M].London:Evergreen House,2007:135.

[5] JOS van G,PIET S,NICK B.鐵路建設(shè)項(xiàng)目的獨(dú)立安全保障及其歐洲案例[J].城市軌道交通研究,2013,16(3):1.

[6] 孫華平,張艷兵.北京地鐵亦莊線信號(hào)系統(tǒng)工程獨(dú)立安全評(píng)估[J].城市軌道交通研究,2013,16(1):1.

[7] 史鋒鋼.大型CBTC系統(tǒng)的安全信心的獲得[J].城市軌道交通研究,2014,17(增刊2):26.

[8] CENELEC.CLC/TR 50506-1 Railway applications-Communication,signalling and processing systems—Application Guide for EN 50129,Part 1:Cross-acceptance[R].Brussels:CENELEC,2007.

Principle and Methods of the Independent Safety Assessment for Rail Transit Signaling System

ZHANG Kai

Owing to the late starting of ISA in China,its development and international level is quite low compared with advanced countries in terms of the fundamental theoretical research,unified understanding within the industry as well as the cultivation of both assessment personnel and assessment institutions.In this paper, the principle of system safety based on safety assessment,the theoretical framework of European Committee for Electrotechnical Standardization (CENELEC) are introduced,the expected conclusion and the assessment method of ISA are elaborated in detail.According to the experiences of assessment practices in China,the assessment content and methods for typical signaling projects are introduced.

urban rail transit; signaling system; independent safety assessment(ISA); safety integration level

*上海市科學(xué)技術(shù)委員會(huì)專(zhuān)項(xiàng)資助項(xiàng)目(15DZ2283000)

U231.7

10.16037/j.1007-869x.2017.06.002

2015-08-31)