FMEA在鐵路信號安全產品配置數據安全分析中的應用

戴成巖，邱兆陽

(1．中國鐵路通信信號股份有限公司，北京 100070；2．北京全路通信信號研究設計院集團有限公司，北京 100070)

1 概述

國內鐵路信號經歷了快速發展，信號控制系統已逐漸向全系統基于微電子處理器的電子控制方式轉變，尤其是隨著高速鐵路C3列車運行控制系統的推廣，計算機聯鎖系統（CBI）、列控中心系統（TCC）、無線閉塞中心系統（RBC）、臨時限速服務器系統（TSRS）、列車自動保護系統（ATP）、軌道電路及應答器等安全相關產品，全部采用了計算機控制為主的微電子控制技術。

信號控制系統采用計算機技術，不可避免地涉及安全軟件技術，近十年來，隨著歐標EN 50128等安全軟件設計標準的應用，軟件安全開發、設計、測試、驗證和確認技術的應用日趨成熟，安全軟件的重要性也得到了足夠的重視。但作為軟件一部分的數據，包括數據生成、測試、發布等過程，在安全性方面仍有改進和提升的空間。

近年來，基于應用數據配置的CBI、TCC等信號安全產品，由于數據配置錯誤引起問題時有發生，針對信號安全產品配置數據失效安全分析工作尤為重要，應采用適當的數據失效安全分析方法，根據配置數據生成、測試、工具等各環節，分析其風險，采取合適的風險降低措施。

2 基于數據配置的應用

2.1 背景描述

基于應用數據配置的信號安全產品使用批準的、可復用的通用軟件，相應的信號安全產品的特定需求（工程項目）則應定義為應用數據。應用數據通常表現為外部對象的參數值或描述（特性、類型、位置等）的形式，以列表或圖表格式表達，這些格式通常在通過特定語言（有語法和語義）處理轉換為源代碼后，可以解釋或編譯為可執行代碼。

當信號安全產品采用通用軟件+配置數據方式時，除需要通過設計、驗證、測試等保證通用軟件的正確性外，也應有措施保證配置數據的正確性，以從整體上使整個軟件的安全完整性、可靠性得到保障。

在鐵路信號領域，對于通用軟件，近年來隨著IRIS管理體系實施，變更控制程序的完善，以及第三方安全認證的引入，軟件的開發、設計、驗證、測試、確認、評估流程完善，軟件通過靜態測試、動態測試、集成測試、功能測試、性能測試等環節，使通用軟件的正確性得到了較大的提升和保障。

但是從信號安全產品的角度看，軟件完成完整的功能，必須結合配置數據，當配置數據有錯誤時，整個軟件的功能、安全也得不到保證。對所有配置數據，其設計、配置、驗證、測試的流程，應與軟件設計開發具有同等的安全完善度等級，才能使信號安全產品從整體上具有規定的安全性、可靠性。

本文就如何保證配置數據的安全性、可靠性，提出采用FMEA開展配置數據失效安全分析。

2.2 FMEA簡介

失效模式與影響分析（簡稱FMEA），是在設計階段/更改設計階段，對產品/零件/制造過程進行分析，找出潛在失效模式，分析其可能的后果，評估其風險，預先采取措施，減少失效模式的嚴重程度，降低發生的概率，有效提高可靠性，確保顧客滿意的系統化活動過程。FMEA的過程如圖1所示。

圖1 FMEA過程示意圖Fig.1 FMEA process diagram

將信號安全產品數據配置作為生產制造的一部分，可以借鑒FMEA的思想和理念，進行數據配置的失效影響分析，找出數據可能存在的各種失效模式，并制訂相應的措施，以保證數據配置的正確性。

2.3 分析方法

根據歐標EN 50128中基于應用數據配置的軟件要求，采用FMEA給出數據失效影響分析方法，以保證配置數據的正確性為出發點，分析所有配置數據可能的失效模式，根據失效模式，列出既有的測試驗證手段，并分析測試驗證手段對所分析失效模式的覆蓋充分性，對于不充分的給出改進建議。配置數據失效影響分析流程如圖2所示。

采用該分析方法，可以針對每一項數據的每一種可能的有害故障，有針對性的設計相應的控制措施，確保每一項數據引起的風險可控。

3 應用實踐

3.1 產品背景

計算機聯鎖系統（CBI）是負責行車進路建立的鐵路行車核心控制設備。計算機聯鎖系統在信號操作員或者上層系統命令操作下實現站內道岔、信號機、軌道電路之間聯鎖控制，是鐵路安全高效行車不可缺少的保障裝備。下面以計算機聯鎖產品為例來進行配置數據失效影響分析。致命的。

圖2 配置數據失效模式分析流程圖Fig.2 Configuration data failure mode analysis flowchart

3.2 分析內容

針對聯鎖應用，根據2.3節提到的分析方法，詳述配置數據失效影響分析內容如下。

1）數據項：包括所用數據結構體的名稱，或獨立參數名稱，類型。

2）功能描述：該數據項承擔的主要功能。

3）風險分析：對數據的各種可能的失效模式進行風險分析，包括3個子項：

a.引導詞：用于在分析時候指導思考，避免問題遺漏，如表1所示。

表1 引導詞表Tab.1 Guide words list

計算機聯鎖軟件能夠采用層次化的結構便于軟件功能的拓展，同時使得通用軟件只根據配置的不同而應用于不同規模、不同需求的車站，即對于不同的車站，保持通用軟件不變，只需要通過工程數據軟件生成不同的配置數據，即可以適應不同站場圖形的車站。計算機聯鎖系統配置數據包括站場數據，站場數據是參與聯鎖運算和站場圖形顯示的基礎數據。數據結構設計綜合了各種站場情況，保證聯鎖程序具有通用性。站場數據由專門開發的計算機輔助設計軟件能夠自動生成。

如前所述，目前大家對于安全軟件的設計、開發、測試等環節，已經普遍建立了安全意識，但對于配置數據，并沒有得到足夠的重視。在已發布的《鐵路車站計算機聯鎖安全原則》（TB/T 3482）10.1中要求：計算機聯鎖的配置數據應經過完整的測試和確認，配置數據的檢查流程應與系統的安全完整性等級要求相適應，對數據的重要性提出了要求，數據作為軟件的一部分，其出錯的后果同樣是

b.后果：所分析數據在指定失效模式時可能的后果。如聯鎖進路中包含的道岔應與聯鎖表中一致，當道岔少配置一個時，則該條進路信號開放時，可能不再檢查少配置道岔的位置，也不對該道岔進行鎖閉處理，該道岔失去表示時，信號錯誤保持開放，有安全影響。

c.是否涉安：將后果分為安全相關和非安全相關兩類。

4）既有控制：對于所分析數據項的各種失效模式，既有控制措施是否存在，如果有既有控制措施，對其進行說明：比如數據審核，數據測試，功能測試等。

5）充分性：針對所分析數據項的各種失效模式，既有控制措施（如果有）是否充分，是否足以覆蓋該數據項的各種失效模式，控制措施的可信度是否足夠。

6）建議措施：如果該數據項既有控制措施不存在或不充分，列出建議增加的控制措施，如額外的數據審核，增加針對性的測試案例，采用工具輔助進行檢查等。

7）剩余風險：針對部分數據數據項的各種失效模式，在既有措施+建議措施采取后，剩余風險是否可以接受。

3.3 分析舉例

以計算機聯鎖的兩項數據配置為例，按3.2節的內容進行分析，分析情況如表2、3所示。說明：本文未涉及風險評估的相關內容，根據失效所產生的影響，應參考歐標EN 50126中所定義的風險評估方法開展相關風險評估工作。

表2 聯鎖表中所包含的進路區段數據Tab.2 Route section data contained in the interlocking table

表3 無岔區段的采集位置數據Tab.3 Acquisition location data in switchless section

4 總結和建議

數據配置過程是基于數據配置的信號安全產品生命周期重要環節之一，同設計階段的風險分析一樣，也應對數據配置階段可能引入的風險，來制訂相應的風險防范措施，采用系統化的方法來保證數據配置環節的安全性。

建議在信號安全產品設計開發時，同步進行配置數據的失效分析，將數據測試與軟件設計在設計階段綜合考慮，并針對數據配置的特點、風險，有針對性的制訂每項配置數據的測試方法，使配置數據測試的全面性得到有效保障，從而確保信號安全產品數據配置失效產生危害造成的風險降到可接受水平。