交通系統安全標準概況對比綜述

（郭玉華 編譯，王 菲 校核）

近年來，汽車行業輔助和自動駕駛技術研究創新快速發展，大量面向安全功能的自動化解決方案（如基于攝像頭的目標識別），已具備道路交通應用條件，可為軌道交通提供借鑒。盡管軌道交通領域自動駕駛早已成功應用多年，但汽車行業目前正在進行的系統安全性標準研究，仍可使軌道交通受益。反之，已經在軌道交通中得到驗證的系統安全性概念，也可為汽車自動駕駛提供參考。下文給出地面交通系統安全性標準概況對比綜述。

1 系統安全性

首先必須對系統安全性進行定義。目前為止，面向安全的技術開發規范，很大程度上僅涉及功能安全性，即風險源于系統性故障和隨機失效。為了將風險降低到可接受的水平，形成了安全完整性等級概念（SIL），由事件發生概率和預期的嚴重程度共同確定。SIL概念規范了安全相關系統的開發要求，SIL值越高，系統越復雜，系統魯棒性越好。然而，自動化程度的提高表明：除經典的功能安全失效外，安全風險還可能來自于以下2個方面的原因。

1）來自未知不安全狀態的風險。目前，汽車行業將由未知狀態引發的事故風險的防護稱為“預期功能安全性”（SOTIF）。汽車行業針對SOTIF制定了ISO 21448，用于指導系統設計和驗證等。

2）未經授權的第三方訪問引發的風險。未經授權的外部訪問引發的系統攻擊，也是事故風險原因之一。針對未經授權訪問的風險防護，汽車行業采用ISO 21434網絡信息安全標準。

總之，在系統理論模型概念中，除功能安全外，系統安全還應包括SOTIF和網絡信息安全?，F行道路和軌道交通安全相關標準見表1。

表1 系統安全性標準

2 標準適用范圍

討論標準的適用范圍，首先需要明確系統及其包含的子系統的特點，以及自動化等級（GoA）。

車和基礎設施（軌道交通）同時考慮與以車為中心（汽車）：系統性是軌道交通的特點之一，軌道交通采用的標準涵蓋了車和地面固定設施。這意味著，在具體工程中，車和基礎設施之間的功能可以采用不同的分配方案，即一個統一的、規范性的系統架構可以有不同的實施方案，從而提高了系統實現的自由度。而在道路交通中，汽車行駛很大程度上獨立于地面設施。因此，道路交通自動化主要考慮以車為中心，面向安全的技術開發，原則上也限定在安裝于批量生產的汽車上的安全相關系統。但隨著自動化程度不斷提高，目前道路交通的基本功能組件也已開始向基礎設施轉移，例如car-2-x或擴展司機感知范圍的后臺輔助系統等。

全自動化（軌道交通）與部分自動化（汽車）：在軌道交通應用中，一般公認的技術規則的適用范圍不受自動化等級限制。按照IEC 62290，從GoA0到GoA4采用的標準是一樣的。目前，可被認可的無人駕駛系統，至少已在城市快速軌道交通中開始進行實際道路測試。與軌道交通全自動化相比，道路交通仍面臨一些限制。SOTIF標準（ISO/PAS 21448）的適用范圍限定在自動化1級和2級（自動化等級由SAE J 3016定義）。根據ISO 26262進行的風險分析也是基于這一理解，至少對于可控參數是如此，自動化1級和2級中，司機駕駛仍作為后備級。

網絡信息安全標準基本上獨立于自動化等級。圖1比較了軌道交通和道路交通自動化等級及其適用的標準。

圖1 軌道交通和道路交通自動化等級及標準范圍比較

3 基于風險導向的系統設計

開發安全相關控制系統的關鍵問題始終是如何保證“足夠安全”，風險接受標準及基于這些標準的風險導向系統設計程序，提供了安全保證答案。

1）風險接受標準已明確（軌道交通）與風險接受標準正在形成（汽車）。歐盟次級法規中已明確了鐵路風險接受標準，并對所有成員國具有法律效力。立法機構也已制定了各種風險接受規則（包括實施準則、與參考系統對比、解釋性風險評估等），且都已納入歐盟鐵路互聯互通協調標準。鐵路行業有多種風險評估方法，使用者可根據目標需要進行選擇。包括定性方法，如專家評估法；半定量方法，即通過圖形、公式或系列參考值結合使用，得出最終的風險評估整體性結論；也有使用風險計算公式的定量方法。與之相反，道路交通的風險接受標準尚未明確，尤其針對高度自動化駕駛系統，風險評估間接來源于德國聯邦法院的司法解釋，或特別專家委員會的評估結論。由德國聯邦交通運輸和數字化基礎設施部成立的“連接和自動駕駛”道德委員會的最終報告，提出了道路交通自動駕駛未來立法行動建議。除目前采用的實踐準則和司法解釋法外，未來還將采用參考系統發布規范。高度自動化駕駛的安全性必須高于人工駕駛。ISO 26262已規定了道路交通風險分析方法框架，并描述了通過風險圖進行風險定性分析的步驟。

2）可使多人致命的風險（軌道交通）與單個致命事故的風險（汽車）。鐵路風險分析中，假定事故會造成大量旅客傷亡，而汽車安全風險分析則不考慮大量人員致命的情況。ISO 26262第一版就是基于這樣的考慮，但修訂后的第二版已不再采用卡車和客車標準中規定的風險分析評估框架，而是提出了安全完整性等級概念（“ASIL E”），這與大巴車事故可能會造成大量人員死傷的嚴重性相符。

4 功能安全管理實施

除安全系統開發需符合安全性等級要求外，在安全管理方面，軌道交通與道路交通也存在很大差異。

1）第三方服務及時整合（軌道交通）與價值鏈高度碎片化為主（汽車）。EN 51028對如何將外部供應商整合到軟件開發過程中表述的比較模糊，沒有明確表明如何保證軟件及其開發過程可滿足要求或相應的SIL等級，各種組織間的問題報告、追蹤和項點識別等也是如此。相對而言，汽車行業的特點是技術開發活動高度分散，多個組織同時工作，在多層次開發鏈條中，開發接口協議（DIA）起著重要作用。DIA具有約束力，協議中規定責任方、通知方、支持方等（即所謂RACI矩陣）。同樣，相關標準中也給出了第三方產品（包括軟件和硬件）的合格性要求。

2）外部評估（軌道交通）與評估組織性分離（汽車）。鐵路行業的特點是高度獨立性，特別是評估專家的獨立性。評估人員必須獨立于供應商，并由安全認證機構進行甄別（DIN EN 50128）。被主管部門認可的制造商，在滿足相關管理要求時，才能成立內部評估組織。這些做法鐵路行業已經執行了20多年，與汽車行業的常規做法形成對比。與鐵路一樣，汽車行業每個設計開發步驟也需要進行評估，尤其對中心產品的獨立評估要求較高，堪比鐵路的獨立評估，但對于其他產品，除“四目原則”外，沒有進一步的獨立性要求。汽車行業之所以沒有必須根據外部專家的判斷進行安全評估的要求，主要是源于內部專家對產品及其開發過程有著更深刻的理解。

3）消除已識別安全缺陷的有約束性要求的外部評估（軌道交通）與修正已識別安全缺陷的無約束性要求的評估（汽車）：鐵路運營商和制造商負責維護產品全生命周期故障及故障分析和糾正報告，即FRACAS，目的是向設計、制造、運營、維護部門持續反饋運營過程中發現的所有錯誤和缺陷。安全相關的缺陷，按嚴重性或重要程度分類，并保證按優先級得到相應的處理。針對產品安全缺陷，鐵路行業開發了適當的風險導向的糾正程序，一般還會通過分析確定哪些糾正需要重復安全過程。安全案例必須包括詳細的糾正方案及結果、風險分析和測試等，并且要有外部獨立評估證明。這些處理原則也適用于汽車安全相關電子控制系統的開發，為消除安全缺陷引起的變更，必須形成文檔，并進行變更影響分析。但獨立評估僅用于舉例，并不是強制的規范性要求。即使要求獨立評估，也不會像鐵路那樣嚴格。

4）安全證明作為實質綁定的安全論據（軌道交通）與安全證明僅作為文檔綜述（汽車）：鐵路公認的技術標準（DIN EN 50129）對安全案例結構和內容有明確規定。作為安全案例的核心部分，安全報告將對可能的隨機失效和可能的系統故障已降到要求范圍內的論據進行總結。相反，汽車安全相關電子控制系統標準（ISO 26262）并未針對安全案例結構和內容給出任何明確規定，從這個標準的字面理解，汽車行業的安全證明更像是文檔綜述，而不像DIN EN 50129那樣，必須有實質綁定的安全論據。汽車安全系統設計過程中，充分考慮了單個和多個失效影響的證據，包含在ISO 26262和系統全生命周期各種文檔中。為了證明功能正確性及外部影響，汽車行業還參考了其他標準（如ISO/PAS 21448，即SOTIF規范）。

5 結論

鐵路的安全理念主要基于系統性認識，與汽車工程相比具有優勢。在汽車工程中，尚未形成系統性理念，特別在實現高度自動駕駛過程中。汽車行業可以從鐵路系統性理念中受益，并且應反映在相應標準中。鐵路評估專家的高度獨立性，以及國家安全機構的高度責任，同樣具有優勢。鐵路行業實行的認證認可架構，給汽車高度自動化駕駛提供了很好的概念規劃參考。同時，鐵路也可借鑒汽車行業的最佳實踐，根據鐵路特點研究制定SOTIF規范，形成完整的安全規范體系，并以其獨特的方式，為鐵路特別是高自動化等級鐵路提供更高安全性。此外，網絡信息安全技術及標準必須適應未來鐵路運營要求。