張 凱

(上海申通地鐵集團有限公司技術(shù)中心,201103,上海∥工程師)

?

軌道交通信號系統(tǒng)獨立安全評估的原理和方法綜述*

張 凱

(上海申通地鐵集團有限公司技術(shù)中心,201103,上?！喂こ處?

我國軌道交通信號系統(tǒng)安全評估制度由于起步較晚,在基礎(chǔ)理論研究、行業(yè)內(nèi)統(tǒng)一認識乃至評估人才與評估機構(gòu)的建設方面都與國際先進水平還有差距。概述了安全評估所基于的系統(tǒng)安全原理,簡要介紹了歐洲電工標準化委員會標準的理論框架,并細致描述了獨立安全評估的評估方法和預期結(jié)論項?；谠u估實踐,闡述了典型軌道交通信號工程的評估內(nèi)容和方法。

城市軌道交通; 信號系統(tǒng); 獨立安全評估; 安全完整性

Author′s address Shanghai Shentong Metro Group Co.,Ltd.,201103,Shanghai,China

軌道交通信號系統(tǒng)第三方獨立安全評估(也稱安全認證),起源且廣泛應用于歐洲軌道交通建設。20世紀90年代,歐洲電工標準化委員會(CENELEC)制定了3個標準(EN 50126、EN 50128及EN 50129,以下簡稱“CENELEC標準”)總結(jié)了信號系統(tǒng)的安全原理,提出了安全工程具體要求(包括安全評估的要求)。CENELEC標準后來被IEC等標準體系采用,成為安全工程和安全評估的基礎(chǔ)。21世紀初,該方法引入我國。2010年以后,在國家政策的要求下,新建城軌工程廣泛引入了第三方獨立安全評估。2013年我國國家標準完成了CENELEC標準的等同采用。國內(nèi)評估機構(gòu)也于近年開始逐步建立起來。我國的第三方獨立安全評估由于起步較晚,在基礎(chǔ)理論研究、行業(yè)內(nèi)統(tǒng)一認識乃至評估人才隊伍等方面的基礎(chǔ)都很薄弱。本文梳理了安全評估的基本原理,并嘗試貫穿理論基礎(chǔ)與具體實踐,從宏觀角度對其進行探討。

1 信號系統(tǒng)安全評估的原理

1.1 安全評估的定位

安全是指免于不可接受的危害。這是一個運營服務層面的概念。在歐洲及其他部分地區(qū),安全評估通常是對整個軌道交通系統(tǒng)安全性的評估[1],而且,政府機構(gòu)中設有專門的安全權(quán)威機構(gòu),管理并監(jiān)督著所有鐵路系統(tǒng)的安全。在我國,目前只有信號系統(tǒng)被嚴格要求進行獨立安全評估,且該評估主要由業(yè)主或運營商發(fā)起。而信號系統(tǒng)只是整個軌道交通系統(tǒng)的一部分,故其安全性不等同于運營的安全性;信號系統(tǒng)的對外表現(xiàn)是信號功能,故其安全性是功能的安全性。

不論在理論還是實踐中,都沒有絕對的安全。安全評估的目的就是在于判斷在不同條件下,信號設備或系統(tǒng)的功能安全性,或者說功能安全性是否可接受。

1.2 安全評估的原理

信號設備或系統(tǒng)的安全性可被論證的條件是:①設備(系統(tǒng))所設計具有的安全功能能夠防護運營中的危險;②在規(guī)定的條件和規(guī)定的運行環(huán)境下,以及規(guī)定的時間內(nèi),設備(系統(tǒng))能以足夠高的可能性完成指定的安全功能。在CENELEC標準中,第二項能力被稱為安全完整性?？赏ㄟ^安全完整性等級(SIL)來衡量這項能力的高低。

雖然相關(guān)的規(guī)范已經(jīng)規(guī)定了信號系統(tǒng)應具備頂層的安全功能,但實際上規(guī)范只定義了信號系統(tǒng)功能框架,而信號系統(tǒng)詳細的功能設計需要經(jīng)過嚴格的風險分析過程。EN 50129標準規(guī)定,安全需求規(guī)范應該是經(jīng)過系統(tǒng)定義、危害識別、后果分析及風險評估之后產(chǎn)生的,對新發(fā)現(xiàn)的潛在危害要增加功能或者采用危害降低措施,以使得系統(tǒng)功能能覆蓋潛在的危害空間。

根據(jù)標準,要保證設備(系統(tǒng))的安全完整性足夠,應具備2個性能:①設備或系統(tǒng)能正確實現(xiàn)所設計的功能;②設備或系統(tǒng)發(fā)生的能導致危險的隨機失效概率足夠小。在CENELEC標準中,第一項性能被稱為系統(tǒng)失效完整性,第二項性能被稱為隨機失效完整性。只有二者同時滿足才可認為信號設備或系統(tǒng)達到了一定的安全完整性。

系統(tǒng)失效完整性是定性的判斷,不可量化。CENELEC標準認為只要有效地使用了合適的方法、工具和技術(shù),即可看作是足夠可信的證據(jù)。CENELEC標準規(guī)定了不同SIL等級所必需的人員獨立性,生命周期各階段的質(zhì)量、安全活動,以及開發(fā)所必需使用、推薦使用或不可使用的方法和措施。這些是經(jīng)過檢驗的良好實踐。如認真執(zhí)行可以有效地避免系統(tǒng)失效。需注意的是,這并不是對真實系統(tǒng)失效水平的衡量,只是從系統(tǒng)開發(fā)過程角度對系統(tǒng)失效水平的間接定性判斷。

隨機失效完整性在文獻[2]中也被稱為硬件安全完整性?？梢婋S機失效是指硬件設備發(fā)生的不可預測且不可徹底避免的故障。通過量化估算的危害概率是否滿足容許危害率(Tolerable Hazard Rate,THR)來衡量隨機失效完整性。雖然每個硬件組件的危害概率都應被衡量,但標準卻只定義了系統(tǒng)頂層功能的不同等級的THR。應此要求在系統(tǒng)建設中,首先,通過危害分析計算出每個系統(tǒng)功能的THR (通常是先定義功能的SIL等級,再按照EN 50129表A.1定義每個功能的THR);然后,在系統(tǒng)架構(gòu)設計中進行分配,計算出每個硬件組件的THR。如每個硬件組件能滿足要求,即說明整個系統(tǒng)的隨機失效完整性能保證運營層面的危害風險可接受。雖然THR是關(guān)于所有失效(包括系統(tǒng)失效和隨機失效)完整性的目標度量,但普遍認為僅在考慮隨機失效時THR才可以量化。因此,THR可認為是對隨機失效完整性的衡量。

安全系統(tǒng)的THR指標無疑是比較高的,必須要采用特定的機制(通常被稱作“故障-安全”機制)才能實現(xiàn)。CENELEC標準及其所起源的IEC61508標準對此提出了復雜而詳細的技術(shù)要求。概括而言,證明某個部件滿足隨機失效完整性要求的充分證據(jù)為:①僅發(fā)生任意單一故障(第一個故障),或能與繼發(fā)故障組合造成危害的多重故障時,該部件仍保持安全狀態(tài)(也即要求SIL3或SIL4的部件應實現(xiàn)對這兩類故障的檢測和容忍)。②發(fā)生上述情況時,再發(fā)生繼發(fā)故障從而導致危害的概率仍滿足相應的THR要求。這就要求故障的檢測和反應時間足夠小;同時要求能導致危害的多重故障是相互獨立發(fā)生的,而不是共因造成的。更具體的判斷內(nèi)容參見EN 50129標準,本文不贅述。

綜上可知,設備或系統(tǒng)廠商應平衡地綜合運用多種措施以使系統(tǒng)具有所需的安全性。安全評估員也應評估所有子命題是否被可靠地論證,由此推導出設備(系統(tǒng))的安全性是否可接受。

2 獨立安全評估的方法及期望結(jié)論

2.1 獨立安全評估員

安全評估有內(nèi)部和外部(獨立的)之分。在信號系統(tǒng)廠商內(nèi)部,除了設計者、實現(xiàn)者、驗證員和確認員之外,通常還有獨立于這些角色的安全評估員。內(nèi)部評估員如果有足夠的資質(zhì)和獨立性,則可出具企業(yè)內(nèi)部的安全評估報告。在某些場合下這種評估可被視作獨立的安全認證。但通常意義上,獨立安全評估員是指完全獨立于信號設備廠商的第三方評估機構(gòu)或個人。在歐洲,歐盟委員會條例第352/2009號文件(文獻[1])規(guī)定了獨立評估機構(gòu)必須符合的標準,英國《工程安全管理》黃皮書(文獻[4])對評估員定義了基本的能力和資質(zhì)要求。在中國,相關(guān)的管理機制也正在逐步建立。

2.2 獨立安全評估方法

文獻[3]中定義了獨立安全評估的方法有安全審計、安全審核、設計分析和測試見證4種。文獻[4]則規(guī)定了:安全評估(包含了設計分析)和安全審計(包含了測試見證)2種方法。這些僅是名稱的不同。在實際操作中,文獻[5]和[6]介紹了英國勞氏鐵路公司所采用的基于風險控制的獨立安全評估方法。該方法分為審計和審核兩部分。宏觀來看,安全審計通常是通過面談或見證的方式,檢查并判斷工程安全管理的過程是否足夠并符合相關(guān)的計劃和程序。安全審核著眼于工程產(chǎn)品和文檔,檢查系統(tǒng)的風險是否被控制在合適的水平。評估員可使用標準所列出的所有工具或方法,對所評估的文件進行復查或重現(xiàn)。

具體實踐中,安全審計和文件評估互有重疊,也有很多文件需要采用審計和現(xiàn)場評估相結(jié)合的方式。此外,如果評估或?qū)徲嫷膬?nèi)容過多,無法對所有內(nèi)容進行評估或?qū)徲嫊r,可抽樣并采取垂直切片式檢查的方式。例如,可抽取系統(tǒng)的某子功能進行檢查;檢查內(nèi)容包括系統(tǒng)需求、子系統(tǒng)需求、軟硬件設計規(guī)格、軟硬件的實現(xiàn),以及對應的測試案例和測試報告等。

獨立安全評估的執(zhí)行有較大的靈活性和自主性,CENELEC標準提供了系統(tǒng)安全工程的框架,現(xiàn)實中不同廠商可采取不同的實現(xiàn)方式。評估員應能迅速理解廠商整體的開發(fā)和安全保證架構(gòu)。評估內(nèi)容應覆蓋所有相關(guān)的活動和產(chǎn)出物,不拘泥于標準所列文檔清單。

評估員應時刻注意保持獨立性,一方面不干預或指導設計開發(fā)活動;另一方面盡可能獨立地尋找證據(jù),不依賴廠商人員的協(xié)助。

評估員應對可能遇到的困難和限制有清醒認識。文獻[7]揭示了獨立評估員必須面對的限制。其中,主要限制是信號廠商都認為深層的技術(shù)和安全方法是其專有財產(chǎn),并加以積極保護。因此評估工作應留有足夠的記錄,以作為評估結(jié)論的支撐。

2.3 獨立安全評估的預期結(jié)論項

目前,國內(nèi)外規(guī)范沒有對獨立安全評估的預期結(jié)論項提出定義或要求。從經(jīng)驗來看,國內(nèi)軌道交通客戶通常也不會提出具體要求。當然,所有的獨立安全評估合同肯定會要求評估方對系統(tǒng)的預期應用給出支持與否的結(jié)論。但單有該結(jié)論還是過于寬泛與單薄。因此,應該體現(xiàn)該結(jié)論與評估報告中的具體評估證據(jù)之間的多重邏輯鏈條。事實上,一些資深的獨立安全評估機構(gòu)在出具評估報告中會給出一組結(jié)論。這組結(jié)論應能較好地體現(xiàn)安全邏輯原理。例如,對某信號工程預期可得到的結(jié)論項應包括:①設備或系統(tǒng)的開發(fā)是否符合CENELEC標準;②已識別的安全需求是否被滿足;③系統(tǒng)相關(guān)風險是否被控制在可接受的程度;④系統(tǒng)是否可應用于預期的運營服務。其中,第①條是針對系統(tǒng)失效完整性的評估結(jié)論,可說明所評估的開發(fā)流程、人員、方法、工具和技術(shù)等是否符合標準中對相應SIL的要求。第②條是針對安全需求的評估結(jié)論,可說明所有已識別的安全需求是否被實現(xiàn)、測試(或用檢查、證明等其他方式)和確認。由于安全需求包括隨機失效完整性需求,因此該結(jié)論中包含了評估員對于系統(tǒng)各安全功能的SIL等級的肯定。第③條是對系統(tǒng)應用到工程項目之后的風險總結(jié),可說明是否有信心認為相關(guān)風險已經(jīng)被采取合理措施降低了發(fā)生概率與/或危害嚴重程度。第④條是針對項目投用的支持,是對安全審核或接受方的直接建議。第③、④條是針對具體信號工程項目(特定應用)的;如果評估的對象是通用產(chǎn)品或通用應用,則不需要這兩條結(jié)論,僅得出前兩條結(jié)論即可。

2.4 信號工程的評估方法

信號系統(tǒng)是涉及鐵路信號、電子學和通信網(wǎng)絡等多專業(yè)的復雜系統(tǒng),其需要審核的內(nèi)容相當龐大。信號系統(tǒng)應用的層次性為獨立安全評估提供了便利。安全評估可分為通用產(chǎn)品、通用應用和特定應用3個層次。信號系統(tǒng)工程通常由一系列應用經(jīng)驗成熟的通用產(chǎn)品配置而成。根據(jù)EN 50129的規(guī)定,及文獻[8]定義的交叉接受原則,已通過了獨立安全評估的通用產(chǎn)品和通用應用不需再次評估。因此對信號工程項目(特定應用)的評估可集中于新功能所帶來的通用產(chǎn)品和通用應用的變更上,以及項目本身的系統(tǒng)設計、數(shù)據(jù)準備和系統(tǒng)集成上。

獨立安全評估通常是根據(jù)EN 50126所定義的系統(tǒng)生命周期按階段進行。以某信號工程項目為例,主要的評估對象包括需求規(guī)范、系統(tǒng)架構(gòu)設計和子系統(tǒng)設計規(guī)范、軟硬件開發(fā)、數(shù)據(jù)準備、系統(tǒng)集成和測試、運營維護準備。

(1) 需求規(guī)范。需求規(guī)范包括系統(tǒng)需求規(guī)范、子系統(tǒng)需求規(guī)范及安全需求規(guī)范等。安全需求通常沒有單獨的規(guī)范,在系統(tǒng)及子系統(tǒng)需求規(guī)范中是通過標志來管理安全需求的。安全需求規(guī)范是評估的重點。評估員應復查每條需求以判斷風險是否足以控制?；诮徊嬲J證,評估員可只對變更的系統(tǒng)和子系統(tǒng)需求規(guī)范進行審核,對其他需求采用抽樣垂直切片式的評估。

(2) 系統(tǒng)架構(gòu)設計和子系統(tǒng)設計規(guī)范。安全關(guān)鍵的子系統(tǒng)通常采用“故障-安全”機制。這是實現(xiàn)隨機失效完整性的關(guān)鍵。工程項目通常采用的通用系統(tǒng)架構(gòu)和子系統(tǒng)設計,屬于通用產(chǎn)品或通用應用的范圍,可直接引用通用產(chǎn)品或通用應用的評估結(jié)論。如果系統(tǒng)架構(gòu)和子系統(tǒng)設計有較小范圍的變更,可在交叉認證的基礎(chǔ)上對變更部分進行評估,以判斷變更部分是否實現(xiàn)了新的安全需求。同時,系統(tǒng)賴以為安全基礎(chǔ)的隨機失效完整性仍然有效。如果系統(tǒng)架構(gòu)或設計規(guī)范發(fā)生了重大的變更,則需重新開展對通用產(chǎn)品或通用應用的安全評估。

(3) 軟硬件開發(fā)。在工程項目中,一般的硬件及基礎(chǔ)軟件的開發(fā)也是通用的,屬于通用產(chǎn)品的范圍。對此,評估員可直接引用相關(guān)評估結(jié)論。評估工作主要關(guān)注定型設備的配置管理。應用層軟件在工程項目中有時也是通用的,其評估方法與通用基礎(chǔ)軟件相同。對特殊應用軟件開發(fā)的評估內(nèi)容主要包括兩方面:一是開發(fā)的流程、方法和工具(主要通過審計的方式,判斷其對EN 50128標準的符合性); 二是開發(fā)過程中具體的成果性文件(包括代碼檢查、軟件層面的各種測試等,主要通過審核的方式,判斷其需求實現(xiàn)和標準的復合性)。如果應用軟件開發(fā)范圍比較小,則評估員可在交叉認證的基礎(chǔ)上僅對變更部分進行評估。

(4) 數(shù)據(jù)準備。每個工程項目都有自己特定的數(shù)據(jù)準備。這是工程安全評估的重點。數(shù)據(jù)準備通?？煞譃閿?shù)據(jù)的產(chǎn)生和數(shù)據(jù)的處理兩部分。數(shù)據(jù)的產(chǎn)生(如線路地圖和聯(lián)鎖表的設計)通常由人工完成。數(shù)據(jù)的處理都是通過工具對原始數(shù)據(jù)進行編譯處理,可能是獨立的過程,也可能結(jié)合在軟件集成中。評估內(nèi)容也可分為兩方面:一是流程、方法和工具,二是數(shù)據(jù)準備過程中所產(chǎn)生的成果文件(主要是對數(shù)據(jù)準備起到驗證和確認作用的成果文件)。通常項目上會采用雙路“背對背”開發(fā),或者嚴格的同行審核的方式來產(chǎn)生數(shù)據(jù),通過雙路編譯校核,或逆編譯校核的方式保證數(shù)據(jù)處理的正確性。評估員應判斷流程和方法的正確性、充分性,以及工具的完整性,進而評估數(shù)據(jù)準備活動是否被正確執(zhí)行。數(shù)據(jù)準備的主要評估依據(jù)是EN 50128標準。

(5) 系統(tǒng)集成和測試。屬于特定應用的范圍。工程項目中通常包括多層次的集成測試和若干次的回歸測試。理論上評估員應審核每項安全相關(guān)測試的計劃、案例、通過準則、測試結(jié)果和確認情況。若不可行,則可抽取足夠數(shù)量的測試項進行案例檢查和測試見證,以評估測試執(zhí)行合規(guī)情況等。如有必要,評估員可要求增加特定的測試。應對安全相關(guān)測試的確認情況進行全面的檢查,以評估安全需求是否被有效地實現(xiàn)。

(6) 運營維護準備。屬于特定應用的范圍。評估員應審核運營維護計劃的充分性和一致性,并審計運營維護人員的培訓和對系統(tǒng)應用條件的接受情況。

此外,評估還應貫穿整個生命周期,覆蓋所有活動的質(zhì)量管理、安全管理。質(zhì)量管理評估依據(jù)GB/T 19001標準,應包括配置管理評估及人員資質(zhì)評估。安全管理評估中,對初步危害分析、系統(tǒng)危害分析、操作支持危害分析及項目特定的危害分析應逐條全部評估;對子系統(tǒng)危害分析及接口危害分析等包含通用部分的分析,可主要對變更相關(guān)的風險進行逐條評估。安全管理評估的目標應是充分樹立對于風險分析完整性的信心,以及準確得出危害控制可接受的結(jié)論。

3 結(jié)語

本文總結(jié)概括了獨立安全評估所基于的系統(tǒng)安全原理,概述了CENELEC標準的理論框架,由此推導出安全評估的評估方法預期結(jié)論項,并針對當前認識比較薄弱的獨立評估結(jié)論要求給出了合理化建議。根據(jù)評估經(jīng)驗,介紹了典型信號工程項目的評估重點和評估方法,希望能夠推進行業(yè)內(nèi)對比的探討和理解,促進我國獨立安全評估事業(yè)的發(fā)展。

[1] COMMISSION REGULATION (EC).On the adoption of a common safety method on risk evaluation and assessment as referred to in Article 6(3)(a) of Directive 2004/49/EC of the European Parliament and the Council:EC No 352/2009[S].Strasbourg:the European Parliament and the Council,2009.

[2] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局,中國國家標準化管理委員會.電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第1部分 一般要求:GB/T 20438.1—2006/IEC 615081—1998[S].北京:中國標準出版社,2007.

[3] CENELEC.CLC/TR 50126-2 Railway applications—The specification and demonstration of Reliability,Availability,Maintainability and Safety (RAMS) Part 2:Guide to the application of EN 50126-1 for safety[R].Brussels:CENELEC,2007.

[4] Rail Safety Standards Board.Engineering Safety Management Issue 4 (Yellow Book 4) Volumes 1 and 2 Fundamentals and Guidance[M].London:Evergreen House,2007:135.

[5] JOS van G,PIET S,NICK B.鐵路建設項目的獨立安全保障及其歐洲案例[J].城市軌道交通研究,2013,16(3):1.

[6] 孫華平,張艷兵.北京地鐵亦莊線信號系統(tǒng)工程獨立安全評估[J].城市軌道交通研究,2013,16(1):1.

[7] 史鋒鋼.大型CBTC系統(tǒng)的安全信心的獲得[J].城市軌道交通研究,2014,17(增刊2):26.

[8] CENELEC.CLC/TR 50506-1 Railway applications-Communication,signalling and processing systems—Application Guide for EN 50129,Part 1:Cross-acceptance[R].Brussels:CENELEC,2007.

Principle and Methods of the Independent Safety Assessment for Rail Transit Signaling System

ZHANG Kai

Owing to the late starting of ISA in China,its development and international level is quite low compared with advanced countries in terms of the fundamental theoretical research,unified understanding within the industry as well as the cultivation of both assessment personnel and assessment institutions.In this paper, the principle of system safety based on safety assessment,the theoretical framework of European Committee for Electrotechnical Standardization (CENELEC) are introduced,the expected conclusion and the assessment method of ISA are elaborated in detail.According to the experiences of assessment practices in China,the assessment content and methods for typical signaling projects are introduced.

urban rail transit; signaling system; independent safety assessment(ISA); safety integration level

*上海市科學技術(shù)委員會專項資助項目(15DZ2283000)

U231.7

10.16037/j.1007-869x.2017.06.002

2015-08-31)