軌道交通信號系統獨立安全評估的原理和方法綜述*

張 凱

(上海申通地鐵集團有限公司技術中心,201103,上海∥工程師)

?

軌道交通信號系統獨立安全評估的原理和方法綜述*

張 凱

(上海申通地鐵集團有限公司技術中心,201103,上海∥工程師)

我國軌道交通信號系統安全評估制度由于起步較晚,在基礎理論研究、行業內統一認識乃至評估人才與評估機構的建設方面都與國際先進水平還有差距。概述了安全評估所基于的系統安全原理,簡要介紹了歐洲電工標準化委員會標準的理論框架,并細致描述了獨立安全評估的評估方法和預期結論項。基于評估實踐,闡述了典型軌道交通信號工程的評估內容和方法。

城市軌道交通; 信號系統; 獨立安全評估; 安全完整性

Author′s address Shanghai Shentong Metro Group Co.,Ltd.,201103,Shanghai,China

軌道交通信號系統第三方獨立安全評估(也稱安全認證),起源且廣泛應用于歐洲軌道交通建設。20世紀90年代,歐洲電工標準化委員會(CENELEC)制定了3個標準(EN 50126、EN 50128及EN 50129,以下簡稱“CENELEC標準”)總結了信號系統的安全原理,提出了安全工程具體要求(包括安全評估的要求)。CENELEC標準后來被IEC等標準體系采用,成為安全工程和安全評估的基礎。21世紀初,該方法引入我國。2010年以后,在國家政策的要求下,新建城軌工程廣泛引入了第三方獨立安全評估。2013年我國國家標準完成了CENELEC標準的等同采用。國內評估機構也于近年開始逐步建立起來。我國的第三方獨立安全評估由于起步較晚,在基礎理論研究、行業內統一認識乃至評估人才隊伍等方面的基礎都很薄弱。本文梳理了安全評估的基本原理,并嘗試貫穿理論基礎與具體實踐,從宏觀角度對其進行探討。

1 信號系統安全評估的原理

1.1 安全評估的定位

安全是指免于不可接受的危害。這是一個運營服務層面的概念。在歐洲及其他部分地區,安全評估通常是對整個軌道交通系統安全性的評估[1],而且,政府機構中設有專門的安全權威機構,管理并監督著所有鐵路系統的安全。在我國,目前只有信號系統被嚴格要求進行獨立安全評估,且該評估主要由業主或運營商發起。而信號系統只是整個軌道交通系統的一部分,故其安全性不等同于運營的安全性;信號系統的對外表現是信號功能,故其安全性是功能的安全性。

不論在理論還是實踐中,都沒有絕對的安全。安全評估的目的就是在于判斷在不同條件下,信號設備或系統的功能安全性,或者說功能安全性是否可接受。

1.2 安全評估的原理

信號設備或系統的安全性可被論證的條件是:①設備(系統)所設計具有的安全功能能夠防護運營中的危險;②在規定的條件和規定的運行環境下,以及規定的時間內,設備(系統)能以足夠高的可能性完成指定的安全功能。在CENELEC標準中,第二項能力被稱為安全完整性。可通過安全完整性等級(SIL)來衡量這項能力的高低。

雖然相關的規范已經規定了信號系統應具備頂層的安全功能,但實際上規范只定義了信號系統功能框架,而信號系統詳細的功能設計需要經過嚴格的風險分析過程。EN 50129標準規定,安全需求規范應該是經過系統定義、危害識別、后果分析及風險評估之后產生的,對新發現的潛在危害要增加功能或者采用危害降低措施,以使得系統功能能覆蓋潛在的危害空間。

根據標準,要保證設備(系統)的安全完整性足夠,應具備2個性能:①設備或系統能正確實現所設計的功能;②設備或系統發生的能導致危險的隨機失效概率足夠小。在CENELEC標準中,第一項性能被稱為系統失效完整性,第二項性能被稱為隨機失效完整性。只有二者同時滿足才可認為信號設備或系統達到了一定的安全完整性。

系統失效完整性是定性的判斷,不可量化。CENELEC標準認為只要有效地使用了合適的方法、工具和技術,即可看作是足夠可信的證據。CENELEC標準規定了不同SIL等級所必需的人員獨立性,生命周期各階段的質量、安全活動,以及開發所必需使用、推薦使用或不可使用的方法和措施。這些是經過檢驗的良好實踐。如認真執行可以有效地避免系統失效。需注意的是,這并不是對真實系統失效水平的衡量,只是從系統開發過程角度對系統失效水平的間接定性判斷。

隨機失效完整性在文獻[2]中也被稱為硬件安全完整性。可見隨機失效是指硬件設備發生的不可預測且不可徹底避免的故障。通過量化估算的危害概率是否滿足容許危害率(Tolerable Hazard Rate,THR)來衡量隨機失效完整性。雖然每個硬件組件的危害概率都應被衡量,但標準卻只定義了系統頂層功能的不同等級的THR。應此要求在系統建設中,首先,通過危害分析計算出每個系統功能的THR (通常是先定義功能的SIL等級,再按照EN 50129表A.1定義每個功能的THR);然后,在系統架構設計中進行分配,計算出每個硬件組件的THR。如每個硬件組件能滿足要求,即說明整個系統的隨機失效完整性能保證運營層面的危害風險可接受。雖然THR是關于所有失效(包括系統失效和隨機失效)完整性的目標度量,但普遍認為僅在考慮隨機失效時THR才可以量化。因此,THR可認為是對隨機失效完整性的衡量。

安全系統的THR指標無疑是比較高的,必須要采用特定的機制(通常被稱作“故障-安全”機制)才能實現。CENELEC標準及其所起源的IEC61508標準對此提出了復雜而詳細的技術要求。概括而言,證明某個部件滿足隨機失效完整性要求的充分證據為:①僅發生任意單一故障(第一個故障),或能與繼發故障組合造成危害的多重故障時,該部件仍保持安全狀態(也即要求SIL3或SIL4的部件應實現對這兩類故障的檢測和容忍)。②發生上述情況時,再發生繼發故障從而導致危害的概率仍滿足相應的THR要求。這就要求故障的檢測和反應時間足夠小;同時要求能導致危害的多重故障是相互獨立發生的,而不是共因造成的。更具體的判斷內容參見EN 50129標準,本文不贅述。

綜上可知,設備或系統廠商應平衡地綜合運用多種措施以使系統具有所需的安全性。安全評估員也應評估所有子命題是否被可靠地論證,由此推導出設備(系統)的安全性是否可接受。

2 獨立安全評估的方法及期望結論

2.1 獨立安全評估員

安全評估有內部和外部(獨立的)之分。在信號系統廠商內部,除了設計者、實現者、驗證員和確認員之外,通常還有獨立于這些角色的安全評估員。內部評估員如果有足夠的資質和獨立性,則可出具企業內部的安全評估報告。在某些場合下這種評估可被視作獨立的安全認證。但通常意義上,獨立安全評估員是指完全獨立于信號設備廠商的第三方評估機構或個人。在歐洲,歐盟委員會條例第352/2009號文件(文獻[1])規定了獨立評估機構必須符合的標準,英國《工程安全管理》黃皮書(文獻[4])對評估員定義了基本的能力和資質要求。在中國,相關的管理機制也正在逐步建立。

2.2 獨立安全評估方法

文獻[3]中定義了獨立安全評估的方法有安全審計、安全審核、設計分析和測試見證4種。文獻[4]則規定了:安全評估(包含了設計分析)和安全審計(包含了測試見證)2種方法。這些僅是名稱的不同。在實際操作中,文獻[5]和[6]介紹了英國勞氏鐵路公司所采用的基于風險控制的獨立安全評估方法。該方法分為審計和審核兩部分。宏觀來看,安全審計通常是通過面談或見證的方式,檢查并判斷工程安全管理的過程是否足夠并符合相關的計劃和程序。安全審核著眼于工程產品和文檔,檢查系統的風險是否被控制在合適的水平。評估員可使用標準所列出的所有工具或方法,對所評估的文件進行復查或重現。

具體實踐中,安全審計和文件評估互有重疊,也有很多文件需要采用審計和現場評估相結合的方式。此外,如果評估或審計的內容過多,無法對所有內容進行評估或審計時,可抽樣并采取垂直切片式檢查的方式。例如,可抽取系統的某子功能進行檢查;檢查內容包括系統需求、子系統需求、軟硬件設計規格、軟硬件的實現,以及對應的測試案例和測試報告等。

獨立安全評估的執行有較大的靈活性和自主性,CENELEC標準提供了系統安全工程的框架,現實中不同廠商可采取不同的實現方式。評估員應能迅速理解廠商整體的開發和安全保證架構。評估內容應覆蓋所有相關的活動和產出物,不拘泥于標準所列文檔清單。

評估員應時刻注意保持獨立性,一方面不干預或指導設計開發活動;另一方面盡可能獨立地尋找證據,不依賴廠商人員的協助。

評估員應對可能遇到的困難和限制有清醒認識。文獻[7]揭示了獨立評估員必須面對的限制。其中,主要限制是信號廠商都認為深層的技術和安全方法是其專有財產,并加以積極保護。因此評估工作應留有足夠的記錄,以作為評估結論的支撐。

2.3 獨立安全評估的預期結論項

目前,國內外規范沒有對獨立安全評估的預期結論項提出定義或要求。從經驗來看,國內軌道交通客戶通常也不會提出具體要求。當然,所有的獨立安全評估合同肯定會要求評估方對系統的預期應用給出支持與否的結論。但單有該結論還是過于寬泛與單薄。因此,應該體現該結論與評估報告中的具體評估證據之間的多重邏輯鏈條。事實上,一些資深的獨立安全評估機構在出具評估報告中會給出一組結論。這組結論應能較好地體現安全邏輯原理。例如,對某信號工程預期可得到的結論項應包括:①設備或系統的開發是否符合CENELEC標準;②已識別的安全需求是否被滿足;③系統相關風險是否被控制在可接受的程度;④系統是否可應用于預期的運營服務。其中,第①條是針對系統失效完整性的評估結論,可說明所評估的開發流程、人員、方法、工具和技術等是否符合標準中對相應SIL的要求。第②條是針對安全需求的評估結論,可說明所有已識別的安全需求是否被實現、測試(或用檢查、證明等其他方式)和確認。由于安全需求包括隨機失效完整性需求,因此該結論中包含了評估員對于系統各安全功能的SIL等級的肯定。第③條是對系統應用到工程項目之后的風險總結,可說明是否有信心認為相關風險已經被采取合理措施降低了發生概率與/或危害嚴重程度。第④條是針對項目投用的支持,是對安全審核或接受方的直接建議。第③、④條是針對具體信號工程項目(特定應用)的;如果評估的對象是通用產品或通用應用,則不需要這兩條結論,僅得出前兩條結論即可。

2.4 信號工程的評估方法

信號系統是涉及鐵路信號、電子學和通信網絡等多專業的復雜系統,其需要審核的內容相當龐大。信號系統應用的層次性為獨立安全評估提供了便利。安全評估可分為通用產品、通用應用和特定應用3個層次。信號系統工程通常由一系列應用經驗成熟的通用產品配置而成。根據EN 50129的規定,及文獻[8]定義的交叉接受原則,已通過了獨立安全評估的通用產品和通用應用不需再次評估。因此對信號工程項目(特定應用)的評估可集中于新功能所帶來的通用產品和通用應用的變更上,以及項目本身的系統設計、數據準備和系統集成上。

獨立安全評估通常是根據EN 50126所定義的系統生命周期按階段進行。以某信號工程項目為例,主要的評估對象包括需求規范、系統架構設計和子系統設計規范、軟硬件開發、數據準備、系統集成和測試、運營維護準備。

(1) 需求規范。需求規范包括系統需求規范、子系統需求規范及安全需求規范等。安全需求通常沒有單獨的規范,在系統及子系統需求規范中是通過標志來管理安全需求的。安全需求規范是評估的重點。評估員應復查每條需求以判斷風險是否足以控制。基于交叉認證,評估員可只對變更的系統和子系統需求規范進行審核,對其他需求采用抽樣垂直切片式的評估。

(2) 系統架構設計和子系統設計規范。安全關鍵的子系統通常采用“故障-安全”機制。這是實現隨機失效完整性的關鍵。工程項目通常采用的通用系統架構和子系統設計,屬于通用產品或通用應用的范圍,可直接引用通用產品或通用應用的評估結論。如果系統架構和子系統設計有較小范圍的變更,可在交叉認證的基礎上對變更部分進行評估,以判斷變更部分是否實現了新的安全需求。同時,系統賴以為安全基礎的隨機失效完整性仍然有效。如果系統架構或設計規范發生了重大的變更,則需重新開展對通用產品或通用應用的安全評估。

(3) 軟硬件開發。在工程項目中,一般的硬件及基礎軟件的開發也是通用的,屬于通用產品的范圍。對此,評估員可直接引用相關評估結論。評估工作主要關注定型設備的配置管理。應用層軟件在工程項目中有時也是通用的,其評估方法與通用基礎軟件相同。對特殊應用軟件開發的評估內容主要包括兩方面:一是開發的流程、方法和工具(主要通過審計的方式,判斷其對EN 50128標準的符合性); 二是開發過程中具體的成果性文件(包括代碼檢查、軟件層面的各種測試等,主要通過審核的方式,判斷其需求實現和標準的復合性)。如果應用軟件開發范圍比較小,則評估員可在交叉認證的基礎上僅對變更部分進行評估。

(4) 數據準備。每個工程項目都有自己特定的數據準備。這是工程安全評估的重點。數據準備通常可分為數據的產生和數據的處理兩部分。數據的產生(如線路地圖和聯鎖表的設計)通常由人工完成。數據的處理都是通過工具對原始數據進行編譯處理,可能是獨立的過程,也可能結合在軟件集成中。評估內容也可分為兩方面:一是流程、方法和工具,二是數據準備過程中所產生的成果文件(主要是對數據準備起到驗證和確認作用的成果文件)。通常項目上會采用雙路“背對背”開發,或者嚴格的同行審核的方式來產生數據,通過雙路編譯校核,或逆編譯校核的方式保證數據處理的正確性。評估員應判斷流程和方法的正確性、充分性,以及工具的完整性,進而評估數據準備活動是否被正確執行。數據準備的主要評估依據是EN 50128標準。

(5) 系統集成和測試。屬于特定應用的范圍。工程項目中通常包括多層次的集成測試和若干次的回歸測試。理論上評估員應審核每項安全相關測試的計劃、案例、通過準則、測試結果和確認情況。若不可行,則可抽取足夠數量的測試項進行案例檢查和測試見證,以評估測試執行合規情況等。如有必要,評估員可要求增加特定的測試。應對安全相關測試的確認情況進行全面的檢查,以評估安全需求是否被有效地實現。

(6) 運營維護準備。屬于特定應用的范圍。評估員應審核運營維護計劃的充分性和一致性,并審計運營維護人員的培訓和對系統應用條件的接受情況。

此外,評估還應貫穿整個生命周期,覆蓋所有活動的質量管理、安全管理。質量管理評估依據GB/T 19001標準,應包括配置管理評估及人員資質評估。安全管理評估中,對初步危害分析、系統危害分析、操作支持危害分析及項目特定的危害分析應逐條全部評估;對子系統危害分析及接口危害分析等包含通用部分的分析,可主要對變更相關的風險進行逐條評估。安全管理評估的目標應是充分樹立對于風險分析完整性的信心,以及準確得出危害控制可接受的結論。

3 結語

本文總結概括了獨立安全評估所基于的系統安全原理,概述了CENELEC標準的理論框架,由此推導出安全評估的評估方法預期結論項,并針對當前認識比較薄弱的獨立評估結論要求給出了合理化建議。根據評估經驗,介紹了典型信號工程項目的評估重點和評估方法,希望能夠推進行業內對比的探討和理解,促進我國獨立安全評估事業的發展。

[1] COMMISSION REGULATION (EC).On the adoption of a common safety method on risk evaluation and assessment as referred to in Article 6(3)(a) of Directive 2004/49/EC of the European Parliament and the Council:EC No 352/2009[S].Strasbourg:the European Parliament and the Council,2009.

[2] 中華人民共和國國家質量監督檢驗檢疫總局,中國國家標準化管理委員會.電氣/電子/可編程電子安全相關系統的功能安全 第1部分 一般要求:GB/T 20438.1—2006/IEC 615081—1998[S].北京:中國標準出版社,2007.

[3] CENELEC.CLC/TR 50126-2 Railway applications—The specification and demonstration of Reliability,Availability,Maintainability and Safety (RAMS) Part 2:Guide to the application of EN 50126-1 for safety[R].Brussels:CENELEC,2007.

[4] Rail Safety Standards Board.Engineering Safety Management Issue 4 (Yellow Book 4) Volumes 1 and 2 Fundamentals and Guidance[M].London:Evergreen House,2007:135.

[5] JOS van G,PIET S,NICK B.鐵路建設項目的獨立安全保障及其歐洲案例[J].城市軌道交通研究,2013,16(3):1.

[6] 孫華平,張艷兵.北京地鐵亦莊線信號系統工程獨立安全評估[J].城市軌道交通研究,2013,16(1):1.

[7] 史鋒鋼.大型CBTC系統的安全信心的獲得[J].城市軌道交通研究,2014,17(增刊2):26.

[8] CENELEC.CLC/TR 50506-1 Railway applications-Communication,signalling and processing systems—Application Guide for EN 50129,Part 1:Cross-acceptance[R].Brussels:CENELEC,2007.

Principle and Methods of the Independent Safety Assessment for Rail Transit Signaling System

ZHANG Kai

Owing to the late starting of ISA in China,its development and international level is quite low compared with advanced countries in terms of the fundamental theoretical research,unified understanding within the industry as well as the cultivation of both assessment personnel and assessment institutions.In this paper, the principle of system safety based on safety assessment,the theoretical framework of European Committee for Electrotechnical Standardization (CENELEC) are introduced,the expected conclusion and the assessment method of ISA are elaborated in detail.According to the experiences of assessment practices in China,the assessment content and methods for typical signaling projects are introduced.

urban rail transit; signaling system; independent safety assessment(ISA); safety integration level

*上海市科學技術委員會專項資助項目(15DZ2283000)

U231.7

10.16037/j.1007-869x.2017.06.002

2015-08-31)