軌道交通信號系統(tǒng)安全評估與認證體系研究

【摘 要】：軌道交通信號系統(tǒng)是保證列車運行安全，提高運輸效率的安全相關系統(tǒng)，為了使該系統(tǒng)規(guī)范化、標準化、國際化, 迫切需要建立一套軌道交通信號系統(tǒng)的安全評估與認證體系。本文首先介紹了軌道交通信號系統(tǒng)的功能和對其進行安全評估的迫切性，然后對相關的安全國際標準和國外安全認證體系進行了介紹和分析，最后結(jié)合我國軌道交通行業(yè)的實際情況探討了在我國進行安全評估和認證的可行方法。
【關鍵詞】：軌道交通 信號系統(tǒng) 安全認證 安全相關系統(tǒng)

1.概述
隨著社會進步、城市規(guī)模不斷擴大、人口密度迅速增加，交通擁堵日趨嚴重已成為制約城市經(jīng)濟發(fā)展的一大障礙。由于城市軌道交通具有運量大、安全正點、快捷舒適及污染小等特點，建立以城市軌道交通為主的城市交通系統(tǒng)是解決城市交通擁堵問題的重要途徑。人們對于城市軌道交通的要求越來越高，如何實現(xiàn)列車安全、快速、高效的運行是目前軌道交通領域亟待解決的根本性問題，作為保證行車安全、提高運營效率的軌道交通信號系統(tǒng)在提高運輸效率、保證行車安全及旅客舒適度等方面具有決定性作用。
軌道交通信號系統(tǒng)是運用技術手段保證行車安全。它包括車站信號控制系統(tǒng)（車站聯(lián)鎖系統(tǒng)）和區(qū)間信號系統(tǒng)以及機車信號系統(tǒng)幾個部分。信號系統(tǒng)的主要功能是保證行車安全、提高運營效率。信號系統(tǒng)雖然在工程投資中并不占很高的比重，但是由于信號系統(tǒng)擔任著指揮列車安全運行的任務，關系到成千上萬乘客的生命和財產(chǎn)安全，為此，需要專門考慮在系統(tǒng)出現(xiàn)故障，或操作人員不慎進行錯誤操作的情況下，系統(tǒng)仍能最大限度地維護乘客安全。目前無論是國產(chǎn)軌道交通信號系統(tǒng)還是國外設備國產(chǎn)化的推廣應用所遇到的共同問題就是：國內(nèi)開發(fā)的軌道交通信號系統(tǒng)缺乏權威的安全認證機構(gòu)進行認證。而國際通行的方法都要求有安全認證這一步，這樣國內(nèi)開發(fā)的信號系統(tǒng)就難以參加相關項目的招投標。通過安全評估可以系統(tǒng)地從計劃、設計、制造、運行等全過程中考慮信號系統(tǒng)的安全技術和安全管理問題，發(fā)現(xiàn)系統(tǒng)開發(fā)過程中固有的或潛在的危險因素，搞清引起系統(tǒng)災害的工程技術現(xiàn)狀，論證由設計、工藝、材料和設備更新等方面的技術措施的合理性學習。研究國際安全標準和相關的安全評估和認證體系，并結(jié)合中國軌道交通發(fā)展的實際情況建立軌道交通信號系統(tǒng)的安全評估和認證體系勢在必行！
2.相關的國際標準
世界發(fā)達國家的城市軌道交通系統(tǒng)已經(jīng)有了百余年的發(fā)展歷史，他們不斷總結(jié)經(jīng)驗教訓，完善管理，已經(jīng)形成了一整套科學的安全評估、認證、管理體系，制定了一系列切實可行的安全評估的技術標準。
IEC61508是國際電子電工委員會（IEC）制定的《電氣/電子/可編程電子安全相關系統(tǒng)的功能安全》國際標準，是進行軌道交通安全評估和論證重要的參考標準。
在鐵路運輸領域里，人們對安全相關系統(tǒng)的研究主要集中于鐵路信號控制系統(tǒng)中，首先于1963-1965年在日本由信號保安協(xié)會開展起來，所進行的研究是以“電子技術信號設備的研究”為主體展開的，提出了相應的報告。
國際鐵路聯(lián)盟研究實驗所（ORE）A118課題在1969年至1977年期間共出版了13個報告和2個技術文件，系統(tǒng)地考證了“電子技術在鐵路信號系統(tǒng)中的應用”， A155課題在1982年至1988年期間發(fā)表了“在鐵路信號設備中電子元器件的應用”報告，在A155課題的基礎上，1990年1月，國際鐵路聯(lián)盟（UIC）發(fā)布了738R規(guī)程，給出了安全信息的處理和傳輸?shù)囊幌盗薪ㄗh。
歐洲國家在宣傳和介紹IEC61508國際標準的同時，以IEC61508國際標準為基礎，吸收該標準的精髓，制訂行業(yè)標準。歐洲電氣化標準委員會（CENELEC）下屬SC9XA委員會，制定了以計算機控制的信號系統(tǒng)作為對象的鐵道信號標準，它包括以下4個部分。
（1）EN－50126鐵路應用：可靠性、可用性、可維護性和安全性（RAMS）規(guī)范和說明。
（2）EN－50129 鐵路應用：安全相關電子系統(tǒng)。
（3）EN－50128 鐵路應用：鐵路控制和防護系統(tǒng)的軟件。
（4）EN－50159.1鐵路應用：通信、信號和處理系統(tǒng)。
它們的相互關系和涉及到的具體信號領域見圖2-1。

2.1 IEC61508標準
IEC61508國際標準規(guī)范了電氣/電子/可編程電子安全相關系統(tǒng)軟硬件生存周期的各個階段的任務和目標，提供一個制定安全需求規(guī)范的方法。它由7個部分組成：
第1部分 總的要求
第2部分 電氣/電子/可編程電子系統(tǒng)的需求
第3部分 軟件需求
第4部分 定義和縮略語
第5部分 決定安全完整性級別的方法實例
第6部分 應用IEC61508－2和IEC61508－3指南
第7部分 技術和方法總論

其主要目標：
1)對所有的包括軟、硬件在內(nèi)的安全相關系統(tǒng)的元器件生命周期范圍提供一個安全監(jiān)督的系統(tǒng)方法。
2)提供一個確定安全相關系統(tǒng)安全功能要求的方法。
3)建立一個基礎標準，使其可直接應用于所有工業(yè)領域，同時，亦可指導其他領域的標準，使這些標準的起草具有一致性（如基本概念、技術術語、對規(guī)定安全功能的要求等）。
4)讓使用者和維護者放心使用以計算機為基礎的技術。
5)建立一個概念統(tǒng)一、協(xié)調(diào)一致的標準。

在IEC61508中有個重要的概念：安全生命周期。安全生命周期是指從方案的確定階段開始到所有的電氣/電子/可編程電子安全相關系統(tǒng)、其它技術的安全相關系統(tǒng)、外部風險降低設備不再可用時為止，這個時間周期內(nèi)發(fā)生為實現(xiàn)安全相關系統(tǒng)所必需的活動。圖2-2是IEC61508描述的系統(tǒng)安全生命周期流程圖。
2.2 EN標準
2.2.1 EN50126
該標準定義了系統(tǒng)的RAMS（reliability、availability、maintainability和safety），即可靠性、可用性、可維護性和安全性，并且規(guī)定了安全生命周期內(nèi)各個階段對RAMS的管理和要求。但是在該標準中，未定義RAMS的具體的定量目標。此處的生命周期和IEC61508中安全生命周期是一個概念。
RAMS作為系統(tǒng)服務質(zhì)量衡量的一個重要特征，是在整個系統(tǒng)安全生命周期內(nèi)的各個階段通過設計理念、技術方法而得到的。為了達到規(guī)定的RAMS，必須針對前面的RAMS影響因素，在整個系統(tǒng)的生命周期內(nèi)有效控制RAMS的影響因素，即系統(tǒng)的隨機故障和系統(tǒng)故障。EN50126要求在整個安全生命周期進行RAMS管理，針對每個階段給出應需要完成的RAMS任務，同時給出相關的具體文檔和要求。
2.2.2 EN50128
由于在信號系統(tǒng)中采用計算機（包括微機、單片機）越來越廣泛，由軟件來承擔安全性需求的比重越來越大，因此軟件安全性問題變得更加突出。為此EN50128針對軟件的安全保證提出了相關的規(guī)范和設計標準。在該標準中，對鐵路控制和防護系統(tǒng)的軟件進行了安全完善度等級的劃分，針對不同的安全要求制訂了相應的標準，按不同等級對整個軟件開發(fā)、檢查、評估、檢測過程包括對軟件需求規(guī)格書、測試規(guī)格書、軟件結(jié)構(gòu)、軟件設計開發(fā)、軟件檢驗和測試、軟硬件集成、軟件確認評估、質(zhì)量保證、生命周期、文檔等提出相應的程序與規(guī)范的要求。
2.2.3 EN50129
這個標準定義了為了保證安全相關的鐵路信號電子系統(tǒng)/子系統(tǒng)/設備安全所必須滿足的條件。這些條件包括：
1)質(zhì)量管理措施
2)安全管理措施
3)功能和技術安全措施
4)安全接受和論證
作為一個安全相關系統(tǒng)要作到系統(tǒng)的安全能夠得到接受和論證，必須經(jīng)過前三個步驟。 EN 50129就是針對一個安全事例來指導系統(tǒng)研究開發(fā)人員在整個系統(tǒng)

研制開發(fā)生命周期內(nèi)所要完成的質(zhì)量管理、安全管理和相關的技術安全措施的實施。對于安全管理，引入IEC61508提出的安全生命周期概念，就是說對于安全相關系統(tǒng)的安全部分，在設計時按照該步驟進行設計，并且需要進行全程的安全評估和驗證，目的是進一步減少和安全相關的人為失誤，進而減少系統(tǒng)故障風險。圖2-3將系統(tǒng)各個層次的開發(fā)和評估論證對應起來，描述的是“V”字型系統(tǒng)安全生命周期。

2.2.4 EN50159.1EN－50159.1
鐵路應用：通信、信號和過程控制系統(tǒng)在鐵路中應用第一部分：封閉傳輸系統(tǒng)中安全相關通信。這個標準適用于采用封閉傳輸系統(tǒng)實現(xiàn)通信目的的安全相關系統(tǒng)。對安全相關設備和傳輸系統(tǒng)的通信接口信息傳輸提出安全要求。
3. 國外的安全評估體系
歐美國家開展軌道交通信號系統(tǒng)的安全研究比較早，目前已經(jīng)形成了比較完善的安全評估體系，如英國CASS安全評估框架，德國TUV評估體系等，它們主要以EN鐵路標準為基準，依托第三方評估機構(gòu)，對已有線路和在建項目的信號系統(tǒng)進行安全性論證。下面以英國CASS安全評估框架為例進行詳細說明。
3.1 英國CASS 安全評估框架
CASS是英國工商部（Department of Trade & Industry）和健康安全部門（Health & Safety Executive）制定的一個安全評估認證框架項目，為此還成立了CASS策劃公司，它的任務和目標是為基于IEC61508標準的安全相關系統(tǒng)開發(fā)一個標準的認證框架。
在CASS框架中，評估員由權威部門考核和認證，并要求獨立于運營商和系統(tǒng)制造商。評估員對認證機構(gòu)負責，認證機構(gòu)對客戶負責。政府相關監(jiān)督部門由具有安全認證經(jīng)驗的專家組成，CASS也有自己的技術委員會，確保滿足技術發(fā)展的需要，CASS相關的標準和規(guī)范會根據(jù)IEC61508的修訂進行修改。在英國UKAS是唯一授權安全論證

的機構(gòu)，進行CASS框架認證的機構(gòu)都要向UKAS申請授權。系統(tǒng)制造商再向這些UKAS承認認證機構(gòu)申請評估。CASS公司會對評估員進行考核，監(jiān)督評估過程[12]。
3.2 英國鐵路工程安全評估原則和方法
目前英國在鐵路安全管理中普遍應用ALARP原則（As Low As Reasonable Practicable）[13]，它是將安全相關系統(tǒng)的風險分成以下三類：
1) 足夠大的風險，我們不能接收；
2) 足夠小的風險，我們可以忽略；
3) 介于以上兩種風險之間的風險，我們必須采取適當?shù)摹⒖尚械摹⒑侠沓杀鞠碌姆椒▽⑵浣档娇梢越邮盏淖畹统潭取?BR> 對于第三種風險，我們采用ALARP（As Low As Reasonably Practicable）原則進行風險的減低，該原則的含義是采用盡可能低的成本、合理的、可行的方法進行風險降低。我們將以上三種風險在圖3－2中進行描述。

在圖3－2的最上層，即高于不可接收風險等級，該部分的風險被認為是不可接收的風險，在任何情況下都不能，必須拒絕；
在不可接收風險等級以下，我們采用ALARP原則進行風險的減低，在該階段，必須對風險減低而花費的代價進行評估，在風險和代價

之間進行平衡。在可接收區(qū)域邊緣以下，該區(qū)域的風險有些微不足道，可以忽略。我們不需要采用任何方式或方法去減低它，當然我們必須將該區(qū)域的風險始終保持在該等級水平上。
在Railtrack鐵路咨詢公司出版的工程安全管理黃頁[13]中把安全評估過程分為兩部分：安全審核和安全認證。
安全審核是要檢查工程的安全管理是否完善，能否和安全計劃保持一致。評估員應該檢查一下安全計劃里說明的標準和步驟是不是被正確的執(zhí)行了，看一下工程行為和安全計劃是不是具有繼承性。安全審核最后要有一個安全審核報告，這個報告應該包括：對項目和安全計劃一致性的評價、認為安全計劃可行的評價和計劃相符或是有所改進的建議。
安全認證是一個判斷和系統(tǒng)相關的風險擴大或者減小到一定等級的過程。系統(tǒng)的安全要求是安全認證的核心。評估員應該根據(jù)產(chǎn)品制造商提供的安全事例（Safety Case）回顧一下安全需求規(guī)范以評價它對控制系統(tǒng)風險是不是已經(jīng)足夠，以及系統(tǒng)能不能滿足安全需求規(guī)范。進行安全認證的目的就是收集足夠的信息來證明系統(tǒng)的風險是可以接受的。
4.我國軌道交通信號系統(tǒng)安全評估與認證體系框架設想
我們設想中的軌道交通安全評估與認證體系參照的是CASS框架，由軌道交通主管部門牽頭，組織專家組制定安全認證標準和方法，相關單位可以據(jù)此申請成為第三方認證機構(gòu)，聘請評估員對于安全相關系統(tǒng)進行安全認證，包括安全認證機構(gòu)、安全標準、安全認證方法以及相關各方（政府、設備生產(chǎn)企業(yè)、運營單位、認證機構(gòu)）之間的制約關系、權利和義務等等。如圖4－1所示。
可以概括為以下四個層次：
第一層次：在體系建立初期，政府主管單位集中安全、質(zhì)量、科技、生產(chǎn)等管理部門成立軌道交通信號系統(tǒng)安全評估體系領導小組；
第二層次：安全評估體系領導小組組織權威專家和相關技術人員成立權威機構(gòu)，進行安全評估相應標準和規(guī)范的制訂工作；
第三層次：進行安全評估者的資格論證，考核獨立的個人或機構(gòu)進行安全評估的資格，這些個人或機構(gòu)應獨立與軌道交通信號系統(tǒng)的研制開發(fā)、生產(chǎn)、銷售等業(yè)務；可以批準多個評估機構(gòu)，但每年論證機構(gòu)必須對這些評估機構(gòu)或個人進行資格審查或評估；
第四層次：對參與信號系統(tǒng)設計、生產(chǎn)、維護、測試的主要人員進行安全設計、安全管理、安全測試和安全生產(chǎn)方面的培訓和評估，保證在整個體系中，安全意識得到整體體現(xiàn)。
5.結(jié)論
借鑒國外先進方法建立我國軌道交通信號系統(tǒng)安全評估與認證體系具有重大意

圖4-1 我國軌道交通安全評估與認證體系設想
義，可以迅速縮小和國際先進水平的差距，同時軌道交通信號系統(tǒng)的研制開發(fā)和應用也可以逐步走向規(guī)范化、系統(tǒng)化，切實保障軌道交通的運行安全。

參 考 文 獻
【1】.CENELEC prEN50129，Railway Applications：Safety related electronic system for signaling，1999
【2】.CENELEC prEN50159-1，Railway Applications：,Signaling and processing systems, Part 1：Safety related Communication in closed transmission systems，2001
【3】.Stuart R. Nunns, Conformity assessment of safety related systems to IEC 61508－the CASS initiative, Computing & Control Engineering Journal, Feb.2000: 33～39.
【4】.Engineering Safety Management Issue 3 Yellow book 3, Railtrack on behalf of the UK rail industry.