軌道交通信號系統(tǒng)安全評估與認(rèn)證體系研究

【摘 要】：軌道交通信號系統(tǒng)是保證列車運行安全，提高運輸效率的安全相關(guān)系統(tǒng)，為了使該系統(tǒng)規(guī)范化、標(biāo)準(zhǔn)化、國際化, 迫切需要建立一套軌道交通信號系統(tǒng)的安全評估與認(rèn)證體系。本文首先介紹了軌道交通信號系統(tǒng)的功能和對其進(jìn)行安全評估的迫切性，然后對相關(guān)的安全國際標(biāo)準(zhǔn)和國外安全認(rèn)證體系進(jìn)行了介紹和分析，最后結(jié)合我國軌道交通行業(yè)的實際情況探討了在我國進(jìn)行安全評估和認(rèn)證的可行方法。
【關(guān)鍵詞】：軌道交通 信號系統(tǒng) 安全認(rèn)證 安全相關(guān)系統(tǒng)

1.概述
隨著社會進(jìn)步、城市規(guī)模不斷擴(kuò)大、人口密度迅速增加，交通擁堵日趨嚴(yán)重已成為制約城市經(jīng)濟(jì)發(fā)展的一大障礙。由于城市軌道交通具有運量大、安全正點、快捷舒適及污染小等特點，建立以城市軌道交通為主的城市交通系統(tǒng)是解決城市交通擁堵問題的重要途徑。人們對于城市軌道交通的要求越來越高，如何實現(xiàn)列車安全、快速、高效的運行是目前軌道交通領(lǐng)域亟待解決的根本性問題，作為保證行車安全、提高運營效率的軌道交通信號系統(tǒng)在提高運輸效率、保證行車安全及旅客舒適度等方面具有決定性作用。
軌道交通信號系統(tǒng)是運用技術(shù)手段保證行車安全。它包括車站信號控制系統(tǒng)（車站聯(lián)鎖系統(tǒng)）和區(qū)間信號系統(tǒng)以及機(jī)車信號系統(tǒng)幾個部分。信號系統(tǒng)的主要功能是保證行車安全、提高運營效率。信號系統(tǒng)雖然在工程投資中并不占很高的比重，但是由于信號系統(tǒng)擔(dān)任著指揮列車安全運行的任務(wù)，關(guān)系到成千上萬乘客的生命和財產(chǎn)安全，為此，需要專門考慮在系統(tǒng)出現(xiàn)故障，或操作人員不慎進(jìn)行錯誤操作的情況下，系統(tǒng)仍能最大限度地維護(hù)乘客安全。目前無論是國產(chǎn)軌道交通信號系統(tǒng)還是國外設(shè)備國產(chǎn)化的推廣應(yīng)用所遇到的共同問題就是：國內(nèi)開發(fā)的軌道交通信號系統(tǒng)缺乏權(quán)威的安全認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)證。而國際通行的方法都要求有安全認(rèn)證這一步，這樣國內(nèi)開發(fā)的信號系統(tǒng)就難以參加相關(guān)項目的招投標(biāo)。通過安全評估可以系統(tǒng)地從計劃、設(shè)計、制造、運行等全過程中考慮信號系統(tǒng)的安全技術(shù)和安全管理問題，發(fā)現(xiàn)系統(tǒng)開發(fā)過程中固有的或潛在的危險因素，搞清引起系統(tǒng)災(zāi)害的工程技術(shù)現(xiàn)狀，論證由設(shè)計、工藝、材料和設(shè)備更新等方面的技術(shù)措施的合理性學(xué)習(xí)。研究國際安全標(biāo)準(zhǔn)和相關(guān)的安全評估和認(rèn)證體系，并結(jié)合中國軌道交通發(fā)展的實際情況建立軌道交通信號系統(tǒng)的安全評估和認(rèn)證體系勢在必行！
2.相關(guān)的國際標(biāo)準(zhǔn)
世界發(fā)達(dá)國家的城市軌道交通系統(tǒng)已經(jīng)有了百余年的發(fā)展歷史，他們不斷總結(jié)經(jīng)驗教訓(xùn)，完善管理，已經(jīng)形成了一整套科學(xué)的安全評估、認(rèn)證、管理體系，制定了一系列切實可行的安全評估的技術(shù)標(biāo)準(zhǔn)。
IEC61508是國際電子電工委員會（IEC）制定的《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》國際標(biāo)準(zhǔn)，是進(jìn)行軌道交通安全評估和論證重要的參考標(biāo)準(zhǔn)。
在鐵路運輸領(lǐng)域里，人們對安全相關(guān)系統(tǒng)的研究主要集中于鐵路信號控制系統(tǒng)中，首先于1963-1965年在日本由信號保安協(xié)會開展起來，所進(jìn)行的研究是以“電子技術(shù)信號設(shè)備的研究”為主體展開的，提出了相應(yīng)的報告。
國際鐵路聯(lián)盟研究實驗所（ORE）A118課題在1969年至1977年期間共出版了13個報告和2個技術(shù)文件，系統(tǒng)地考證了“電子技術(shù)在鐵路信號系統(tǒng)中的應(yīng)用”， A155課題在1982年至1988年期間發(fā)表了“在鐵路信號設(shè)備中電子元器件的應(yīng)用”報告，在A155課題的基礎(chǔ)上，1990年1月，國際鐵路聯(lián)盟（UIC）發(fā)布了738R規(guī)程，給出了安全信息的處理和傳輸?shù)囊幌盗薪ㄗh。
歐洲國家在宣傳和介紹IEC61508國際標(biāo)準(zhǔn)的同時，以IEC61508國際標(biāo)準(zhǔn)為基礎(chǔ)，吸收該標(biāo)準(zhǔn)的精髓，制訂行業(yè)標(biāo)準(zhǔn)。歐洲電氣化標(biāo)準(zhǔn)委員會（CENELEC）下屬SC9XA委員會，制定了以計算機(jī)控制的信號系統(tǒng)作為對象的鐵道信號標(biāo)準(zhǔn)，它包括以下4個部分。
（1）EN－50126鐵路應(yīng)用：可靠性、可用性、可維護(hù)性和安全性（RAMS）規(guī)范和說明。
（2）EN－50129 鐵路應(yīng)用：安全相關(guān)電子系統(tǒng)。
（3）EN－50128 鐵路應(yīng)用：鐵路控制和防護(hù)系統(tǒng)的軟件。
（4）EN－50159.1鐵路應(yīng)用：通信、信號和處理系統(tǒng)。
它們的相互關(guān)系和涉及到的具體信號領(lǐng)域見圖2-1。

2.1 IEC61508標(biāo)準(zhǔn)
IEC61508國際標(biāo)準(zhǔn)規(guī)范了電氣/電子/可編程電子安全相關(guān)系統(tǒng)軟硬件生存周期的各個階段的任務(wù)和目標(biāo)，提供一個制定安全需求規(guī)范的方法。它由7個部分組成：
第1部分 總的要求
第2部分 電氣/電子/可編程電子系統(tǒng)的需求
第3部分 軟件需求
第4部分 定義和縮略語
第5部分 決定安全完整性級別的方法實例
第6部分 應(yīng)用IEC61508－2和IEC61508－3指南
第7部分 技術(shù)和方法總論

其主要目標(biāo)：
1)對所有的包括軟、硬件在內(nèi)的安全相關(guān)系統(tǒng)的元器件生命周期范圍提供一個安全監(jiān)督的系統(tǒng)方法。
2)提供一個確定安全相關(guān)系統(tǒng)安全功能要求的方法。
3)建立一個基礎(chǔ)標(biāo)準(zhǔn)，使其可直接應(yīng)用于所有工業(yè)領(lǐng)域，同時，亦可指導(dǎo)其他領(lǐng)域的標(biāo)準(zhǔn)，使這些標(biāo)準(zhǔn)的起草具有一致性（如基本概念、技術(shù)術(shù)語、對規(guī)定安全功能的要求等）。
4)讓使用者和維護(hù)者放心使用以計算機(jī)為基礎(chǔ)的技術(shù)。
5)建立一個概念統(tǒng)一、協(xié)調(diào)一致的標(biāo)準(zhǔn)。

在IEC61508中有個重要的概念：安全生命周期。安全生命周期是指從方案的確定階段開始到所有的電氣/電子/可編程電子安全相關(guān)系統(tǒng)、其它技術(shù)的安全相關(guān)系統(tǒng)、外部風(fēng)險降低設(shè)備不再可用時為止，這個時間周期內(nèi)發(fā)生為實現(xiàn)安全相關(guān)系統(tǒng)所必需的活動。圖2-2是IEC61508描述的系統(tǒng)安全生命周期流程圖。
2.2 EN標(biāo)準(zhǔn)
2.2.1 EN50126
該標(biāo)準(zhǔn)定義了系統(tǒng)的RAMS（reliability、availability、maintainability和safety），即可靠性、可用性、可維護(hù)性和安全性，并且規(guī)定了安全生命周期內(nèi)各個階段對RAMS的管理和要求。但是在該標(biāo)準(zhǔn)中，未定義RAMS的具體的定量目標(biāo)。此處的生命周期和IEC61508中安全生命周期是一個概念。
RAMS作為系統(tǒng)服務(wù)質(zhì)量衡量的一個重要特征，是在整個系統(tǒng)安全生命周期內(nèi)的各個階段通過設(shè)計理念、技術(shù)方法而得到的。為了達(dá)到規(guī)定的RAMS，必須針對前面的RAMS影響因素，在整個系統(tǒng)的生命周期內(nèi)有效控制RAMS的影響因素，即系統(tǒng)的隨機(jī)故障和系統(tǒng)故障。EN50126要求在整個安全生命周期進(jìn)行RAMS管理，針對每個階段給出應(yīng)需要完成的RAMS任務(wù)，同時給出相關(guān)的具體文檔和要求。
2.2.2 EN50128
由于在信號系統(tǒng)中采用計算機(jī)（包括微機(jī)、單片機(jī)）越來越廣泛，由軟件來承擔(dān)安全性需求的比重越來越大，因此軟件安全性問題變得更加突出。為此EN50128針對軟件的安全保證提出了相關(guān)的規(guī)范和設(shè)計標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中，對鐵路控制和防護(hù)系統(tǒng)的軟件進(jìn)行了安全完善度等級的劃分，針對不同的安全要求制訂了相應(yīng)的標(biāo)準(zhǔn)，按不同等級對整個軟件開發(fā)、檢查、評估、檢測過程包括對軟件需求規(guī)格書、測試規(guī)格書、軟件結(jié)構(gòu)、軟件設(shè)計開發(fā)、軟件檢驗和測試、軟硬件集成、軟件確認(rèn)評估、質(zhì)量保證、生命周期、文檔等提出相應(yīng)的程序與規(guī)范的要求。
2.2.3 EN50129
這個標(biāo)準(zhǔn)定義了為了保證安全相關(guān)的鐵路信號電子系統(tǒng)/子系統(tǒng)/設(shè)備安全所必須滿足的條件。這些條件包括：
1)質(zhì)量管理措施
2)安全管理措施
3)功能和技術(shù)安全措施
4)安全接受和論證
作為一個安全相關(guān)系統(tǒng)要作到系統(tǒng)的安全能夠得到接受和論證，必須經(jīng)過前三個步驟。 EN 50129就是針對一個安全事例來指導(dǎo)系統(tǒng)研究開發(fā)人員在整個系統(tǒng)

研制開發(fā)生命周期內(nèi)所要完成的質(zhì)量管理、安全管理和相關(guān)的技術(shù)安全措施的實施。對于安全管理，引入IEC61508提出的安全生命周期概念，就是說對于安全相關(guān)系統(tǒng)的安全部分，在設(shè)計時按照該步驟進(jìn)行設(shè)計，并且需要進(jìn)行全程的安全評估和驗證，目的是進(jìn)一步減少和安全相關(guān)的人為失誤，進(jìn)而減少系統(tǒng)故障風(fēng)險。圖2-3將系統(tǒng)各個層次的開發(fā)和評估論證對應(yīng)起來，描述的是“V”字型系統(tǒng)安全生命周期。

2.2.4 EN50159.1EN－50159.1
鐵路應(yīng)用：通信、信號和過程控制系統(tǒng)在鐵路中應(yīng)用第一部分：封閉傳輸系統(tǒng)中安全相關(guān)通信。這個標(biāo)準(zhǔn)適用于采用封閉傳輸系統(tǒng)實現(xiàn)通信目的的安全相關(guān)系統(tǒng)。對安全相關(guān)設(shè)備和傳輸系統(tǒng)的通信接口信息傳輸提出安全要求。
3. 國外的安全評估體系
歐美國家開展軌道交通信號系統(tǒng)的安全研究比較早，目前已經(jīng)形成了比較完善的安全評估體系，如英國CASS安全評估框架，德國TUV評估體系等，它們主要以EN鐵路標(biāo)準(zhǔn)為基準(zhǔn)，依托第三方評估機(jī)構(gòu)，對已有線路和在建項目的信號系統(tǒng)進(jìn)行安全性論證。下面以英國CASS安全評估框架為例進(jìn)行詳細(xì)說明。
3.1 英國CASS 安全評估框架
CASS是英國工商部（Department of Trade & Industry）和健康安全部門（Health & Safety Executive）制定的一個安全評估認(rèn)證框架項目，為此還成立了CASS策劃公司，它的任務(wù)和目標(biāo)是為基于IEC61508標(biāo)準(zhǔn)的安全相關(guān)系統(tǒng)開發(fā)一個標(biāo)準(zhǔn)的認(rèn)證框架。
在CASS框架中，評估員由權(quán)威部門考核和認(rèn)證，并要求獨立于運營商和系統(tǒng)制造商。評估員對認(rèn)證機(jī)構(gòu)負(fù)責(zé)，認(rèn)證機(jī)構(gòu)對客戶負(fù)責(zé)。政府相關(guān)監(jiān)督部門由具有安全認(rèn)證經(jīng)驗的專家組成，CASS也有自己的技術(shù)委員會，確保滿足技術(shù)發(fā)展的需要，CASS相關(guān)的標(biāo)準(zhǔn)和規(guī)范會根據(jù)IEC61508的修訂進(jìn)行修改。在英國UKAS是唯一授權(quán)安全論證

的機(jī)構(gòu)，進(jìn)行CASS框架認(rèn)證的機(jī)構(gòu)都要向UKAS申請授權(quán)。系統(tǒng)制造商再向這些UKAS承認(rèn)認(rèn)證機(jī)構(gòu)申請評估。CASS公司會對評估員進(jìn)行考核，監(jiān)督評估過程[12]。
3.2 英國鐵路工程安全評估原則和方法
目前英國在鐵路安全管理中普遍應(yīng)用ALARP原則（As Low As Reasonable Practicable）[13]，它是將安全相關(guān)系統(tǒng)的風(fēng)險分成以下三類：
1) 足夠大的風(fēng)險，我們不能接收；
2) 足夠小的風(fēng)險，我們可以忽略；
3) 介于以上兩種風(fēng)險之間的風(fēng)險，我們必須采取適當(dāng)?shù)?、可行的、合理成本下的方法將其降到可以接收的最低程度?BR> 對于第三種風(fēng)險，我們采用ALARP（As Low As Reasonably Practicable）原則進(jìn)行風(fēng)險的減低，該原則的含義是采用盡可能低的成本、合理的、可行的方法進(jìn)行風(fēng)險降低。我們將以上三種風(fēng)險在圖3－2中進(jìn)行描述。

在圖3－2的最上層，即高于不可接收風(fēng)險等級，該部分的風(fēng)險被認(rèn)為是不可接收的風(fēng)險，在任何情況下都不能，必須拒絕；
在不可接收風(fēng)險等級以下，我們采用ALARP原則進(jìn)行風(fēng)險的減低，在該階段，必須對風(fēng)險減低而花費的代價進(jìn)行評估，在風(fēng)險和代價

之間進(jìn)行平衡。在可接收區(qū)域邊緣以下，該區(qū)域的風(fēng)險有些微不足道，可以忽略。我們不需要采用任何方式或方法去減低它，當(dāng)然我們必須將該區(qū)域的風(fēng)險始終保持在該等級水平上。
在Railtrack鐵路咨詢公司出版的工程安全管理黃頁[13]中把安全評估過程分為兩部分：安全審核和安全認(rèn)證。
安全審核是要檢查工程的安全管理是否完善，能否和安全計劃保持一致。評估員應(yīng)該檢查一下安全計劃里說明的標(biāo)準(zhǔn)和步驟是不是被正確的執(zhí)行了，看一下工程行為和安全計劃是不是具有繼承性。安全審核最后要有一個安全審核報告，這個報告應(yīng)該包括：對項目和安全計劃一致性的評價、認(rèn)為安全計劃可行的評價和計劃相符或是有所改進(jìn)的建議。
安全認(rèn)證是一個判斷和系統(tǒng)相關(guān)的風(fēng)險擴(kuò)大或者減小到一定等級的過程。系統(tǒng)的安全要求是安全認(rèn)證的核心。評估員應(yīng)該根據(jù)產(chǎn)品制造商提供的安全事例（Safety Case）回顧一下安全需求規(guī)范以評價它對控制系統(tǒng)風(fēng)險是不是已經(jīng)足夠，以及系統(tǒng)能不能滿足安全需求規(guī)范。進(jìn)行安全認(rèn)證的目的就是收集足夠的信息來證明系統(tǒng)的風(fēng)險是可以接受的。
4.我國軌道交通信號系統(tǒng)安全評估與認(rèn)證體系框架設(shè)想
我們設(shè)想中的軌道交通安全評估與認(rèn)證體系參照的是CASS框架，由軌道交通主管部門牽頭，組織專家組制定安全認(rèn)證標(biāo)準(zhǔn)和方法，相關(guān)單位可以據(jù)此申請成為第三方認(rèn)證機(jī)構(gòu)，聘請評估員對于安全相關(guān)系統(tǒng)進(jìn)行安全認(rèn)證，包括安全認(rèn)證機(jī)構(gòu)、安全標(biāo)準(zhǔn)、安全認(rèn)證方法以及相關(guān)各方（政府、設(shè)備生產(chǎn)企業(yè)、運營單位、認(rèn)證機(jī)構(gòu)）之間的制約關(guān)系、權(quán)利和義務(wù)等等。如圖4－1所示。
可以概括為以下四個層次：
第一層次：在體系建立初期，政府主管單位集中安全、質(zhì)量、科技、生產(chǎn)等管理部門成立軌道交通信號系統(tǒng)安全評估體系領(lǐng)導(dǎo)小組；
第二層次：安全評估體系領(lǐng)導(dǎo)小組組織權(quán)威專家和相關(guān)技術(shù)人員成立權(quán)威機(jī)構(gòu)，進(jìn)行安全評估相應(yīng)標(biāo)準(zhǔn)和規(guī)范的制訂工作；
第三層次：進(jìn)行安全評估者的資格論證，考核獨立的個人或機(jī)構(gòu)進(jìn)行安全評估的資格，這些個人或機(jī)構(gòu)應(yīng)獨立與軌道交通信號系統(tǒng)的研制開發(fā)、生產(chǎn)、銷售等業(yè)務(wù)；可以批準(zhǔn)多個評估機(jī)構(gòu)，但每年論證機(jī)構(gòu)必須對這些評估機(jī)構(gòu)或個人進(jìn)行資格審查或評估；
第四層次：對參與信號系統(tǒng)設(shè)計、生產(chǎn)、維護(hù)、測試的主要人員進(jìn)行安全設(shè)計、安全管理、安全測試和安全生產(chǎn)方面的培訓(xùn)和評估，保證在整個體系中，安全意識得到整體體現(xiàn)。
5.結(jié)論
借鑒國外先進(jìn)方法建立我國軌道交通信號系統(tǒng)安全評估與認(rèn)證體系具有重大意

圖4-1 我國軌道交通安全評估與認(rèn)證體系設(shè)想
義，可以迅速縮小和國際先進(jìn)水平的差距，同時軌道交通信號系統(tǒng)的研制開發(fā)和應(yīng)用也可以逐步走向規(guī)范化、系統(tǒng)化，切實保障軌道交通的運行安全。

參 考 文 獻(xiàn)
【1】.CENELEC prEN50129，Railway Applications：Safety related electronic system for signaling，1999
【2】.CENELEC prEN50159-1，Railway Applications：,Signaling and processing systems, Part 1：Safety related Communication in closed transmission systems，2001
【3】.Stuart R. Nunns, Conformity assessment of safety related systems to IEC 61508－the CASS initiative, Computing & Control Engineering Journal, Feb.2000: 33～39.
【4】.Engineering Safety Management Issue 3 Yellow book 3, Railtrack on behalf of the UK rail industry.