基于安全完整性SIL2級的城市軌道交通綜合監控系統

王媛媛，施廣德，李 鵬

0 引言

軌道交通已成為世界各國現代化交通運輸體系中最為重要的運輸手段。軌道綜合監控系統軟件作為其中重要的組成部分，其安全性直接關系到客戶的生命財產安全［1］。安全完整性等級，又稱SIL（Safety Integrity Level），表示安全相關系統、子系統或設備達到安全要求的程度。

SIL認證就是基于安全相關的國際標準，對安全設備的安全完整性等級（SIL）進行評估和確認的一種第三方認證。SIL認證可以保證產品特定功能的正確性、安全性和競爭力。目前國內外地鐵和鐵路招標文件中已經明確提出了對SIL的要求。因此對綜合監控系統SIL相關標準進行研究和進行SIL認證非常必要［2］。

1 安全完整性等級

安全完整性等級SIL是對系統所要求的安全完整性水平的一種定量指標，是將安全完整性根據安全功能失效的頻率和產生的危險嚴重程度劃分成的等級［1］。系統的安全完整性等級越高，則其安全功能失效的可能性就越小。安全完整性一般分為4個等級［1，3-5］。

目前，城市軌道交通安全可靠性技術主要的參考標準是歐洲電工標準化委員會（CENELEC）制定的鐵路安全相關標準。CENELEC的鐵路安全相關標準分別為：EN50129《鐵路應用：鐵路控制系統領域的安全相關電子系統》［6］；EN50126《鐵路應用:可靠性、可用性、可維護性與安全性（RAMS）規范和說明》［7］；EN50128《鐵路應用：鐵路控制與防護系統的軟件》［8］；EN50159《鐵路應用：通信、信號和處理系統》［9］。

從安全性可靠性的角度看：EN50126標準定義了整個鐵路系統的安全性可靠性；EN50129標準定義了整個系統及硬件部分的安全性可靠性；EN50128標準則定義了子系統軟件部分的安全完整性。本項目聘請具有專業資質的第三方認證公司對系統進行獨立安全認證，認證過程采用最低合理可行（As Low as Reasonably Practicable，ALARP）原則［10］進行，將綜合監控系統的殘余風險降低至合理可行范圍之內的最低程度。

2 地鐵綜合監控系統安全設計

2.1 系統介紹

地鐵綜合監控系統（ISCS）將各個分散孤立的自動化系統聯結成一個有機的整體，實現軌道交通各專業相關系統之間的信息互通。系統架構如圖1所示，由服務器、交換機、工作站、前置采集裝置等組成。系統通過網絡與全線各子專業系統進行信息交換，實現全線各專業系統的數據采集、監視和控制。

圖1 地鐵綜合監控系統架構

從系統組成劃分，系統由控制中心級ISCS、車站級ISCS兩部分等組成。其中：（1）中心級ISCS對全線重要監控對象的狀態、性能數據進行實時的收集處理，通過各種調度員工作站和大屏幕以各種形式顯示出來，供調度人員控制和監視，并完成對全線環境、設備的集中控制與顯示。（2）車站級ISCS對單個車站被控設備的狀態、性能數據進行實時的收集處理，通過各種調度員工作站顯示出來，供調度人員控制和監視。

2.2 安全設計策略與安全技術

本系統在設計時將安全性放在首位，設計過程中采取如下安全策略。

（1）安全功能模塊最小化原則：將多個子系統之間與安全相關的模塊獨立設計。

（2）進程隔離原則：既考慮綜合監控系統的信息資源的充分共享，同時也考慮信息的保護和隔離，將軟件中完成獨立功能的子模塊均使用獨立進程運行，即使某一個子模塊異常也不影響其他子模塊的運行。

（3）訪問控制原則：系統在各個層次對訪問都進行控制，設置嚴格的安全操作權限，如多級用戶權限、責任區管理。

（4）數據一致性原則：系統內各同步完成的節點中的實時數據必須保持一致，在某一臺計算機節點上生成或修改實時數據庫后，數據一致性維護可以確保在系統范圍內所有計算機的數據一致性。

（5）恢復原則：充分利用日志系統、健全的備份和恢復策略增強系統的安全性。

系統軟件設計過程中，嚴格遵循EN50128標準，在軟件架構設計中采用了防御性編程、故障檢測與診斷、錯誤檢驗代碼、重試故障恢復機制、信息封裝、充分定義的接口、建模、結構化方法等技術措施，滿足了軟件SIL2的要求。

2.3 系統設計

DSC-9000+綜合監控系統的邏輯可以分成圖2所示的4層：硬件層、操作系統層、平臺層和應用層。

結合軟件功能需求，系統按工作站和服務器進行部署。

（1）工作站：主要對綜合監控系統中涉及的各類設備的實時狀態、數據進行監視，并允許通過HMI進行監視和操控，是綜合監控系統與調度員的接口。工作站上需運行實時庫管理、配置庫管理、數據同步、用戶界面等軟件。

（2）服務器：主要是與綜合監控系統所涉及的各類設備進行互聯并處理數據，包括采集設備中的數據，并進行處理后在工作站中進行顯示；接收來自工作站的控制命令，并對設備進行操控；根據不同專業設備之間的聯動規則進行設備聯動；將實時數據處理并存歷史數據庫，進行統計分析等。服務器上需運行實時庫管理、數據同步、通用服務軟件、用戶界面和通信規等軟件。

工作站和服務器的實時數據一致性由數據同步保證，工作站上所有HMI均通過實時庫管理和配置庫管理的接口獲取。

圖2 地鐵綜合監控系統安全架構設計

2.4 通信模塊設計

本系統通信模塊的設計參考了EN50159標準［9］。該標準是歐洲鐵路通信信號領域信息傳輸系統的安全通信標準，它定義了3種傳輸系統、7種傳輸系統需要防范的風險和8種防范傳輸系統風險的手段。主要目的是通過技術手段保證通信報文的真實性、完整性、實時性和有序性。

3 質量、安全與風險管理

質量與安全管理過程是SIL認證中的重要環節。質量管理則是規定了系統開發過程中所需要遵循的流程和采取的技術措施，目的是降低系統開發過程中人為錯誤的影響，提高系統的質量，確保達到要求的系統安全完整度等級。本系統開發中的質量管理過程嚴格遵循ISO9001質量體系和EN50128標準對項目組織結構、角色和人員獨立性、配置管理、文檔質量、可追溯性、變更管理、缺陷管理、驗證和確認、編碼質量、發布管理、質量審計等內容的要求進行。各階段結束時對階段產出物及質量管理過程進行質量審計，主要審計內容包括：項目管理、配置管理、變更控制、文件控制、記錄控制、評審管理、不符合項控制、設計控制和需求管理和跟蹤。

安全&風險管理過程的目的是為了進一步減少在系統生命周期內與安全相關的人為錯誤的發生，并由此最大程度減少安全相關的系統故障的殘余風險。安全&風險管理主要包括風險管理與安全需求管理兩個方面。其中，風險管理過程包括：風險源識別、風險分析、風險評估和風險的管理和關閉［11］。通過風險分析和評估，將所有風險登記至危害日志中，并提出相應的緩解措施，并導出安全需求，然后在系統開發的每一個階段對安全需求進行跟蹤，直到系統設計滿足所有的安全需求，且危害被全部關閉、轉移或降低至可以接受的程度。

4 結語

隨著軌道交通的快速發展，綜合監控系統按照歐洲標準體系進行開發，并取得獨立的第三方資格認證，已成為必然趨勢。本文闡述了基于SIL2等級的軌道交通綜合監控系統設計方法和安全完整性評估的重點，為其他安全相關系統的開發提供了參考，有利于提高軌道交通領域產品的安全性及可靠性。