黃銀霞 崔 勇 王俊飛

中鐵鐵路產(chǎn)品認(rèn)證中心,100081 北京

*副研究員 **助理研究員

CTCS-3級(jí)列控系統(tǒng)的系統(tǒng)評(píng)估是我國鐵路在傳統(tǒng)準(zhǔn)入管理的基礎(chǔ)上,引進(jìn)了國外關(guān)于列控系統(tǒng)安全管理的良好做法,委托相應(yīng)的評(píng)估審核組織,采用從系統(tǒng)角度伴隨項(xiàng)目開發(fā)全過程,自上而下、自下而上的評(píng)估技術(shù)。它強(qiáng)化被評(píng)估系統(tǒng)從系統(tǒng)設(shè)計(jì)、產(chǎn)品開發(fā)、生產(chǎn)制造、安裝調(diào)試、聯(lián)調(diào)聯(lián)試等全過程的安全管理,降低運(yùn)營風(fēng)險(xiǎn),已先后應(yīng)用于武廣、鄭西高速鐵路。

CTCS-3級(jí)列控系統(tǒng)的系統(tǒng)評(píng)估要求集成商按照系統(tǒng)評(píng)估 4個(gè)階段開展安全管理,運(yùn)用風(fēng)險(xiǎn)管理技術(shù),識(shí)別對(duì)系統(tǒng)安全性產(chǎn)生不利影響的因素,通過評(píng)估其風(fēng)險(xiǎn)等級(jí)和特定系統(tǒng)可接受風(fēng)險(xiǎn)的程度,來確定采取相應(yīng)的措施。如:在系統(tǒng)設(shè)計(jì)階段開展危險(xiǎn)分析,形成安全需求和危險(xiǎn)日志;在子系統(tǒng)相互認(rèn)可過程中進(jìn)行差異識(shí)別與差異風(fēng)險(xiǎn)的評(píng)估,形成相互認(rèn)可報(bào)告;在驗(yàn)收確認(rèn)階段進(jìn)行風(fēng)險(xiǎn)控制措施與安全要求的總結(jié),形成最終安全例證等。其中,安全計(jì)劃、風(fēng)險(xiǎn)評(píng)估、安全需求、安全案例、相互認(rèn)可是全過程安全管理和系統(tǒng)評(píng)估審核的關(guān)鍵元素。

1 安全計(jì)劃

安全計(jì)劃是規(guī)定 CTCS-3級(jí)列控系統(tǒng)開發(fā)項(xiàng)目如何滿足安全需求的實(shí)施細(xì)節(jié)和程序。集成商應(yīng)在CTCS-3級(jí)列控系統(tǒng)設(shè)計(jì)階段制定安全計(jì)劃,在經(jīng)主管部門及相關(guān)方同意后,在系統(tǒng)的生命周期內(nèi)實(shí)施、審查和維護(hù)。

安全計(jì)劃應(yīng)包括:①達(dá)到安全性的方針和策略;②計(jì)劃的范圍;③系統(tǒng)描述;④生命周期內(nèi)項(xiàng)目團(tuán)體之間的關(guān)系、責(zé)任、能力及所擔(dān)任角色的詳細(xì)說明;⑤系統(tǒng)生命周期與生命周期所從事的安全工作及其依賴性的描述;⑥生命周期內(nèi)使用的安全分析、設(shè)計(jì)和評(píng)估過程,包括項(xiàng)目中保證人員相應(yīng)的獨(dú)立程度,確保和系統(tǒng)風(fēng)險(xiǎn)相匹配;危險(xiǎn)識(shí)別和分析;風(fēng)險(xiǎn)評(píng)估和正在進(jìn)行的風(fēng)險(xiǎn)管理;風(fēng)險(xiǎn)容許準(zhǔn)則;安全需求充分性的確定與審查;系統(tǒng)設(shè)計(jì);驗(yàn)證和確認(rèn);為獲得系統(tǒng)需求與實(shí)現(xiàn)一致性進(jìn)行的安全性評(píng)估;為獲得管理程序與安全計(jì)劃一致性進(jìn)行的安全性審查;為獲得子系統(tǒng)和系統(tǒng)安全分析一致性的安全性評(píng)估;⑦生命周期中安全相關(guān)的可交付性的詳細(xì)說明,包括文件、硬件、軟件;⑧編寫系統(tǒng)安全論據(jù)的過程;⑨系統(tǒng)安全審批的過程;⑩修改系統(tǒng)的安全審批過程;○11分析運(yùn)營與維修性能的流程,以保證實(shí)現(xiàn)的安全與要求相符;○12安全相關(guān)文件維護(hù)流程,包括危險(xiǎn)日志;○13與其他相關(guān)規(guī)劃和計(jì)劃的接口;○14計(jì)劃中的約束與假設(shè);○15分包商的管理安排;○16貫穿生命周期且適合于所考核系統(tǒng)的、與安全相關(guān)的周期性安全評(píng)審、安全性評(píng)估及安全性審查的要求,包括所有人員獨(dú)立性的要求。

安全計(jì)劃由項(xiàng)目經(jīng)理負(fù)責(zé)制定,也可以委派給資格適宜并且有能力的人員,但是項(xiàng)目經(jīng)理應(yīng)負(fù)全部責(zé)任。

2 風(fēng)險(xiǎn)管理

在鐵路安全保障應(yīng)用中,通常以2種方法來開展安全保障工作:一種是基于風(fēng)險(xiǎn)的方法;另一種是制定非常詳細(xì)的技術(shù)規(guī)范,通過遵守技術(shù)規(guī)范來保證系統(tǒng)達(dá)到運(yùn)營安全?；陲L(fēng)險(xiǎn)的方法是通過考慮危險(xiǎn)和相應(yīng)的風(fēng)險(xiǎn),確保產(chǎn)品、流程和系統(tǒng)安全性,可以分為 2類:一類為對(duì)系統(tǒng)可靠性、可用性、可維護(hù)性以及安全性 (RAMS)進(jìn)行管理;另一類是著重對(duì)運(yùn)營安全的管理,即所有工作著重于提高系統(tǒng)的安全水平,見圖1。

圖1 國外鐵路系統(tǒng)安全保障分類

目前,國際上對(duì) RAMS進(jìn)行全面管理逐漸采用基于風(fēng)險(xiǎn)管理的方法開展安全保障工作。

2.1 風(fēng)險(xiǎn)接受準(zhǔn)則

風(fēng)險(xiǎn)評(píng)估應(yīng)識(shí)別哪些風(fēng)險(xiǎn)是可接受的,哪些是不可接受,首先需要確定風(fēng)險(xiǎn)接受準(zhǔn)則。國際上有3種準(zhǔn)則,分別是法國的 GAMAB/GAME、德國的MEM和英國的 ALARP。GAMAB/GAME準(zhǔn)則,將安全目標(biāo)定義為新系統(tǒng)必須具有最好的安全性能,或至少與現(xiàn)有同類系統(tǒng)的安全性能相當(dāng);MEM準(zhǔn)則將安全目標(biāo)定義為最小內(nèi)在死亡率;ALARP準(zhǔn)則將安全目標(biāo)定義為風(fēng)險(xiǎn)低到適當(dāng)可行。我國武廣、鄭西 CTCS-3級(jí)列控系統(tǒng)的特定應(yīng)用,均采用了 ALARP接受準(zhǔn)則,并引用了京津城際的相關(guān)數(shù)據(jù)。

表1 CTCS-3級(jí)列控系統(tǒng)危險(xiǎn)事件出現(xiàn)的頻度

根據(jù) GB/T21562-2008/IEC62278:2002對(duì)危險(xiǎn)發(fā)生概率的定義,CTCS-3級(jí)列控系統(tǒng)危險(xiǎn)事故發(fā)生頻度可劃分為表 1中所描述的不同情況。

依據(jù)中華人民共和國國務(wù)院令 第 501號(hào) 《鐵路交通事故應(yīng)急救援和調(diào)查處理?xiàng)l例》 (2007年7月 11日發(fā)布)和中華人民共和國鐵道部令第50號(hào) 《鐵路交通事故調(diào)查處理規(guī)則》 (2007年8月 28日發(fā)布),以及對(duì)人造成后果不同的危害嚴(yán)重性等級(jí),CTCS-3級(jí)列控系統(tǒng)可參考表2劃分風(fēng)險(xiǎn)后果等級(jí)。

表2 CTCS-3級(jí)列控系統(tǒng)危險(xiǎn)嚴(yán)重等級(jí)

對(duì) CTCS-3級(jí)列控系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,應(yīng)結(jié)合危險(xiǎn)事件發(fā)生頻度及其后果的嚴(yán)重性進(jìn)行。通?？捎谩邦l度-后果”矩陣表來表示,見表 3。

表3 頻度-后果矩陣表

2.2 風(fēng)險(xiǎn)評(píng)估流程

風(fēng)險(xiǎn)評(píng)估是對(duì)由一個(gè)或者多個(gè)危險(xiǎn)導(dǎo)致的風(fēng)險(xiǎn)進(jìn)行評(píng)估的過程。風(fēng)險(xiǎn)評(píng)估主要是確定危險(xiǎn)、評(píng)估風(fēng)險(xiǎn)和判斷風(fēng)險(xiǎn)容忍度。風(fēng)險(xiǎn)管理還包括確定和采取經(jīng)濟(jì)有效的風(fēng)險(xiǎn)控制措施,確保資源可持續(xù)不斷地用于控制,并將風(fēng)險(xiǎn)維持在可接受的水平。

風(fēng)險(xiǎn)評(píng)估通常使用定性、定量或者混合方法的系統(tǒng)和結(jié)構(gòu)化流程,包括風(fēng)險(xiǎn)評(píng)估與危險(xiǎn)控制 2部分。風(fēng)險(xiǎn)評(píng)估和危險(xiǎn)控制步驟互相關(guān)聯(lián),是 CTCS-3級(jí)列控系統(tǒng)風(fēng)險(xiǎn)評(píng)估流程的一部分,詳見圖2。

圖2 風(fēng)險(xiǎn)評(píng)估流程圖

風(fēng)險(xiǎn)評(píng)估步驟:系統(tǒng)定義;危險(xiǎn)識(shí)別 (初步和詳細(xì)),包括危險(xiǎn)日志;后果分析;適時(shí)的風(fēng)險(xiǎn)評(píng)估和 THR(危險(xiǎn)失效率)分配。

危險(xiǎn)控制步驟:危險(xiǎn)控制,包括原因分析和共因分析。

系統(tǒng)定義,是指明確定義系統(tǒng)及其物理和邏輯邊界,即與其他系統(tǒng)和環(huán)境的接口。理解系統(tǒng)及其環(huán)境之間的邊界是理解系統(tǒng)可能對(duì)事故作出貢獻(xiàn)方式的前提條件。環(huán)境由可影響系統(tǒng)或者受系統(tǒng)影響的任何事項(xiàng)組成,其中包括與系統(tǒng)連接(機(jī)械、氣動(dòng)和電子等),或者通過電磁干擾、壓力脈沖和熱交換等相互作用的物體。環(huán)境也包括可能影響系統(tǒng)及其操作,或受系統(tǒng)及其操作影響的人員和程序。

危險(xiǎn)識(shí)別,是風(fēng)險(xiǎn)評(píng)估流程的基礎(chǔ),是系統(tǒng)安全保證的關(guān)鍵步驟。缺少系統(tǒng)和全面的危險(xiǎn)識(shí)別階段可能會(huì)嚴(yán)重破壞風(fēng)險(xiǎn)評(píng)估流程。風(fēng)險(xiǎn)識(shí)別應(yīng)系統(tǒng)、全面,確保充分考慮人員、流程和系統(tǒng)工作模式(正常、降級(jí)和緊急模式)等因素,并將識(shí)別結(jié)果形成記錄,進(jìn)行分析,以消除相關(guān)性,并評(píng)估每個(gè)危險(xiǎn)影響的等級(jí),最終在系統(tǒng)層定義一組具有不同嚴(yán)重等級(jí)的可靠的 “危險(xiǎn)群”。所有相關(guān)方應(yīng)就危險(xiǎn)識(shí)別實(shí)施的實(shí)際范圍進(jìn)行協(xié)商。通常將分析限制在可導(dǎo)致人員傷害的危險(xiǎn)比較合適。

危險(xiǎn)日志,是記錄已識(shí)別危險(xiǎn)和采取或應(yīng)采取的措施與行動(dòng)的文件化工具,以將危險(xiǎn)減輕到容許等級(jí)。危險(xiǎn)日志是風(fēng)險(xiǎn)管理流程的中心,應(yīng)包括一個(gè)已識(shí)別危險(xiǎn)的清單,與每個(gè)危險(xiǎn)關(guān)聯(lián)的風(fēng)險(xiǎn)分類和風(fēng)險(xiǎn)控制信息,還應(yīng)包括為建立其他系統(tǒng)或子系統(tǒng)實(shí)施安全需求形成來源的措施。從包含項(xiàng)目啟動(dòng)時(shí)所確定初步危險(xiǎn)日志初始狀態(tài)開始,危險(xiǎn)日志應(yīng)隨系統(tǒng)生命周期內(nèi)確定的任何進(jìn)一步危險(xiǎn)及時(shí)更新,記錄危險(xiǎn)的處理。

后果分析,包括建立中間條件或者事件,評(píng)估危險(xiǎn)的發(fā)展,以估計(jì)導(dǎo)致事故 “危險(xiǎn)群”的概率,以及事故可能導(dǎo)致?lián)p失的程度。例如,發(fā)生列車脫軌后,可能出現(xiàn)橋梁塌在列車上、發(fā)生火災(zāi)或者釋放毒性物質(zhì)等。

風(fēng)險(xiǎn)評(píng)估和 THR分配,是根據(jù)規(guī)定的風(fēng)險(xiǎn)接受準(zhǔn)則進(jìn)行風(fēng)險(xiǎn)評(píng)估和評(píng)價(jià)。通過測(cè)量,根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則引入風(fēng)險(xiǎn)降低和/或風(fēng)險(xiǎn)避免措施,將風(fēng)險(xiǎn)降到可接受或者容許的水平,以防出現(xiàn)不可接受的高風(fēng)險(xiǎn)。從與事故相關(guān)的事故率和損失容忍度評(píng)估,重新計(jì)算確定危險(xiǎn)的事故率數(shù)值,以便為每個(gè)危險(xiǎn)提供容許標(biāo)準(zhǔn),將其視為 THR,而 THR也構(gòu)成了危險(xiǎn)控制的輸入。

危險(xiǎn)控制,系統(tǒng)實(shí)現(xiàn)及其安全措施應(yīng)滿足所有的安全要求,例如,通過插入特定的安全功能、保護(hù)措施和安全屏障等。使用可能對(duì)系統(tǒng)邊界構(gòu)成危險(xiǎn)的原因分析,進(jìn)行系統(tǒng)分析,并用于識(shí)別任何其他危險(xiǎn)或者結(jié)構(gòu)危險(xiǎn)。常用因果分析 (CCF)方法分析安全措施的獨(dú)立性,然后得出安全完整性(SI)要求,并將其分配給某個(gè)功能。危險(xiǎn)控制流程參見圖3。

圖3 危險(xiǎn)控制流程圖

2.3 風(fēng)險(xiǎn)評(píng)估流程的應(yīng)用

風(fēng)險(xiǎn)評(píng)估流程提供給系統(tǒng)不同生命周期階段安全分析的框架。在此框架內(nèi),可使用定性、定量或混合方法開展不同深度的評(píng)估,且必須包含在相關(guān)階段的安全計(jì)劃中,接受評(píng)估機(jī)構(gòu)的審核。

2.3.1 初步危險(xiǎn)分析

初步危險(xiǎn)性分析是第一次危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析,在項(xiàng)目開始時(shí)執(zhí)行。該分析通過其概率和后果嚴(yán)重度的初始評(píng)估標(biāo)注識(shí)別危險(xiǎn),并用于確定:①伴隨項(xiàng)目的風(fēng)險(xiǎn)范圍和程度,并將風(fēng)險(xiǎn)評(píng)估流程應(yīng)用于適當(dāng)?shù)纳疃?②在初始設(shè)計(jì)活動(dòng)過程中,可以消除或者控制的一系列潛在危險(xiǎn)。

應(yīng)該在開始任何重要的設(shè)計(jì)活動(dòng)前,進(jìn)行初步危險(xiǎn)性分析。需要對(duì)系統(tǒng)功能、結(jié)構(gòu),及系統(tǒng)與人員和其他系統(tǒng)接口進(jìn)行全面的、高層次的描述。在初步危險(xiǎn)分析過程中執(zhí)行的風(fēng)險(xiǎn)分析活動(dòng),應(yīng)該通過嚴(yán)重度和可能性的初始評(píng)價(jià),標(biāo)注識(shí)別的危險(xiǎn),并為每個(gè)已識(shí)別危險(xiǎn)的可能性提供目標(biāo),以支持初始安全要求的設(shè)定。初步危險(xiǎn)分析結(jié)果應(yīng)創(chuàng)建風(fēng)險(xiǎn)矩陣,以確定需要采取更詳細(xì)的分析 (定性或定量分析)。

2.3.2 定性和定量評(píng)估

定性風(fēng)險(xiǎn)評(píng)估主要取決于該領(lǐng)域?qū)＜业呐袛嗪涂煽康囊酝?jīng)驗(yàn)。定性風(fēng)險(xiǎn)評(píng)估適合于系統(tǒng)故障,且用主觀和粗糙的方法解決了運(yùn)營風(fēng)險(xiǎn)。其優(yōu)點(diǎn)在于無需詳細(xì)的量化、數(shù)據(jù)采集或分析,相對(duì)簡單,且相對(duì)于定量風(fēng)險(xiǎn)評(píng)估而言更廉價(jià);缺點(diǎn)在于假設(shè)需要詳盡的文檔,且可能不足以做為評(píng)估重大風(fēng)險(xiǎn)的惟一依據(jù)。

定量風(fēng)險(xiǎn)評(píng)估應(yīng)該旨在降低不確定性的重要性。定量風(fēng)險(xiǎn)評(píng)估只能用于隨機(jī)故障,與定性風(fēng)險(xiǎn)評(píng)估基于相同的基本原理,同時(shí)使用客觀和驗(yàn)證數(shù)據(jù)、顯示處理與輸入數(shù)據(jù)相關(guān)的不確定性,以及顯示處理所導(dǎo)致風(fēng)險(xiǎn)重要因素之間的相關(guān)性等數(shù)據(jù)建模 (例如,故障樹分析和因果分析等)。定量風(fēng)險(xiǎn)評(píng)估的優(yōu)點(diǎn)在于:如果將足夠精確的數(shù)據(jù)用于評(píng)估,則比定性風(fēng)險(xiǎn)評(píng)估更精確,有助于確定設(shè)計(jì)缺陷或者安全概念的缺點(diǎn),有助于將所有風(fēng)險(xiǎn)貢獻(xiàn)因素集成到一個(gè)總體分布圖,由于更詳細(xì)檢查有助于確定隱藏假設(shè),便于更好地理解危險(xiǎn)潛在因果關(guān)系的重要性。其缺點(diǎn)在于:比較復(fù)雜,需要大量的客觀數(shù)據(jù),不適合于評(píng)估系統(tǒng)故障,相對(duì)于定性風(fēng)險(xiǎn)評(píng)估更昂貴,可能需要重要的資源。

2.4 危險(xiǎn)分析方法與工具

危險(xiǎn)分析可采用不同的方法和工具。見表4。

3 安全需求與安全完整性

3.1 定義

安全需求是系統(tǒng)評(píng)估的核心。系統(tǒng)/子系統(tǒng)/設(shè)備的特定安全需求,包括安全功能需求和安全完整性需求,應(yīng)在安全需求規(guī)范中加以確定并文檔化,應(yīng)通過危險(xiǎn)識(shí)別和分析、風(fēng)險(xiǎn)評(píng)估和分類、安全完整性等級(jí)分配的方法實(shí)現(xiàn)。安全功能需求就是系統(tǒng)、子系統(tǒng)或設(shè)備必須具備的實(shí)際與安全性相關(guān)的功能。安全完整性需求定義了每一安全性相關(guān)功能所需的安全完整性 (SIL)等級(jí),如表 5所示。

歐洲各國特別針對(duì)列控系統(tǒng)制定了強(qiáng)制性的安全需求規(guī)范,確定了定性與定量的安全指標(biāo)。我國鐵路CTCS-3級(jí)列控系統(tǒng)尚未形成獨(dú)立的安全需求標(biāo)準(zhǔn),目前系統(tǒng)評(píng)估中的安全需求以開發(fā)商進(jìn)行危險(xiǎn)分析的結(jié)果為基礎(chǔ),且僅有定性的安全目標(biāo)。

表4 失效和危險(xiǎn)分析方法

表5 安全完整性等級(jí)表

3.2 安全完整性分配

列控系統(tǒng)的安全相關(guān)功能是由子系統(tǒng)實(shí)現(xiàn)。安全完整性等級(jí)被分配給安全相關(guān)功能,進(jìn)而被分配給實(shí)現(xiàn)這些功能的子系統(tǒng),但不繼續(xù)分配下去。組成子系統(tǒng)的設(shè)備安全完整性等級(jí)和子系統(tǒng)一樣,除非子系統(tǒng)中設(shè)備的功能獨(dú)立性能被證明。以下提供了歐洲列控系統(tǒng) SIL的 THR的分配原則,可供CTCS-3級(jí)列控系統(tǒng)參考。

1.列控系統(tǒng)的作用為 “向司機(jī)提供準(zhǔn)許其安全駕駛列車的信息,并要求司機(jī)注意這些信息”。

2.與列控系統(tǒng)這一作用相關(guān)聯(lián)的嚴(yán)重失效為“超出列控系統(tǒng)給出的安全速度/距離限制”。

3.這一失效屬于技術(shù)失效,因此其最大發(fā)生頻度不得超過 2.0×10-9/h·列車,這就是列控系統(tǒng)允許的危險(xiǎn)失效率 THR列控。

4.分配原則。在車載設(shè)備和地面設(shè)備之間進(jìn)行平均分配,并同時(shí)分配系統(tǒng)失效。

通過分配,這些危險(xiǎn)事件被定為 “車載事件”“地面事件”或 “非信賴傳輸事件”,每種事件一開始就分配了三分之一的 THR列控。對(duì)應(yīng) “傳輸事件”的功能實(shí)際上是由車載設(shè)備或地面設(shè)備完成的。因此,傳輸事件一半由車載設(shè)備分配,而另一半由地面設(shè)備分配。這樣就實(shí)現(xiàn)了在車載設(shè)備和地面設(shè)備之間進(jìn)行平均分配,參見圖4。

4 安全案例

安全案例是證明系統(tǒng)符合特定安全需求的文件。CTCS-3級(jí)列控系統(tǒng)的安全案例是一個(gè)較新的概念,包括 3個(gè)不同層面,案例結(jié)構(gòu)如圖5所示。

圖4 列控系統(tǒng) THR列控分配示意圖

圖5 CTCS-3級(jí)列控系統(tǒng)安全案例結(jié)構(gòu)

通用產(chǎn)品層安全案例:指可在不同獨(dú)立應(yīng)用中重復(fù)使用的安全案例,旨在證明可重復(fù)使用的產(chǎn)品滿足特定的安全目標(biāo)。

一般應(yīng)用層安全案例:指可在一類具有共同功能的應(yīng)用中重復(fù)使用的安全案例,旨在證明應(yīng)用程序或者系統(tǒng)中的產(chǎn)品組合滿足特定的安全目標(biāo)。

特定應(yīng)用層安全案例:指僅用于某一特定的條件或環(huán)境的安全案例,包括特定應(yīng)用的設(shè)計(jì)原理和實(shí)施過程的安全證據(jù),旨在證明在特定應(yīng)用的背景和條件下達(dá)到系統(tǒng)需求和安全需求的目標(biāo)。

典型的 CTCS-3級(jí)列控系統(tǒng)特定應(yīng)用安全案例應(yīng)包括以下內(nèi)容。

引言:應(yīng)包括文檔目的、適用范圍、文檔結(jié)構(gòu)、適用的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范等。

第一部分,系統(tǒng)定義:應(yīng)包括系統(tǒng)定義、系統(tǒng)控制邏輯的定義、傳感器系統(tǒng)定義等。其中系統(tǒng)定義應(yīng)定義系統(tǒng)的結(jié)構(gòu)和功能、系統(tǒng)性能、記錄可追溯性、層次結(jié)構(gòu)定義、文檔版本可追溯性;系統(tǒng)控制邏輯的定義應(yīng)定義系統(tǒng)控制邏輯的結(jié)構(gòu)和功能 (如 CPU板說明、WD板說明、輸入/輸出板說明等)、記錄可追溯性、層次結(jié)構(gòu)定義、文檔版本可追溯性;傳感器系統(tǒng)定義應(yīng)定義傳感器系統(tǒng)的結(jié)構(gòu)和功能 (如 TRX板說明、PRF板說明、MDR/MMDT板說明、ITR板說明)、記錄可追溯性、層次結(jié)構(gòu)定義、文檔版本可追溯性。

第二部分,質(zhì)量管理報(bào)告:應(yīng)包括質(zhì)量計(jì)劃、技術(shù)檢查報(bào)告、質(zhì)量測(cè)試報(bào)告等。

第三部分,安全管理報(bào)告:應(yīng)包括安全管理概述、安全生命周期、安全組織、安全計(jì)劃、危險(xiǎn)日志、安全需求規(guī)范、系統(tǒng)設(shè)計(jì)、安全審查、驗(yàn)證和確認(rèn)計(jì)劃、安全保證、主管部門對(duì)系統(tǒng)的審查、運(yùn)營維護(hù)、報(bào)廢與處理、RAM計(jì)劃 (和活動(dòng))、軟件開發(fā)計(jì)劃、配置管理計(jì)劃等。

第四部分,技術(shù)安全報(bào)告:應(yīng)包括技術(shù)安全概述、確保功能運(yùn)行正確、故障影響、運(yùn)營外部影響、影響安全性的應(yīng)用條件、系統(tǒng)性能測(cè)試、控制邏輯安全技術(shù)報(bào)告、傳感器安全技術(shù)報(bào)告等。其中,“確保功能運(yùn)行正確”須描述系統(tǒng)架構(gòu)、接口定義、滿足系統(tǒng)功能需求規(guī)范、滿足系統(tǒng)安全需求規(guī)范、確保硬件功能正確、確保軟件功能正確;“故障影響”應(yīng)描述單一故障、項(xiàng)目獨(dú)立性、單一故障檢測(cè)、活動(dòng)跟蹤檢測(cè)、多重故障、故障防御系統(tǒng)等;“運(yùn)營外部影響”應(yīng)描述氣候條件、機(jī)械條件、海拔、電氣條件、車載電氣條件、防止未經(jīng)授權(quán)的訪問、更嚴(yán)酷的條件;“影響安全性的應(yīng)用條件”應(yīng)描述系統(tǒng)配置和制造、運(yùn)營與維護(hù)、運(yùn)營安全監(jiān)控、報(bào)廢與處理; “系統(tǒng)性能測(cè)試”應(yīng)描述測(cè)試定義與計(jì)劃、測(cè)試報(bào)告。

第五部分,相關(guān)的安全案例:車載設(shè)備、地面設(shè)備及接口的安全案例應(yīng)作為相關(guān)的安全案例簡略總結(jié)后并入 CTCS-3級(jí)列控系統(tǒng)特定應(yīng)用的安全案例。

第六部分,結(jié)論:應(yīng)包括系統(tǒng)運(yùn)營和特征匯總。

附錄:應(yīng)列入適用的法律法規(guī)、客戶輸入文檔、本計(jì)劃所需的供應(yīng)商文檔、定義、首字母縮略詞和縮略語。

5 子系統(tǒng)及其關(guān)鍵設(shè)備的相互認(rèn)可

在 CTCS-3級(jí)列控系統(tǒng)的系統(tǒng)評(píng)估中,對(duì)于已完成開發(fā)的子系統(tǒng)或關(guān)鍵部件,可采用互認(rèn)性原則,不再次評(píng)估,但需要補(bǔ)充對(duì)系統(tǒng)特定應(yīng)用的功能需求、安全需求和危險(xiǎn)影響分析的評(píng)估。國外供應(yīng)商的成熟子系統(tǒng)或產(chǎn)品,應(yīng)提供國外授權(quán)機(jī)構(gòu)出具的安全評(píng)估報(bào)告、許可證書及本項(xiàng)目系統(tǒng)需求、安全需求、安全案例。國內(nèi)供應(yīng)商的成熟子系統(tǒng)或產(chǎn)品,應(yīng)提供主管部門的成果鑒定或技術(shù)審查、企業(yè)認(rèn)定或產(chǎn)品認(rèn)證等審批文件。系統(tǒng)評(píng)估審核組按相互認(rèn)可原則及要求,按成熟、新開發(fā)子系統(tǒng)或產(chǎn)品 2種類型進(jìn)行差異性評(píng)價(jià)。

相互認(rèn)可分為 4種情況。

1.國外供應(yīng)商的成熟子系統(tǒng)或產(chǎn)品,應(yīng)提供:國外授權(quán)機(jī)構(gòu)出具的安全認(rèn)證證書及安全評(píng)估報(bào)告;本項(xiàng)目系統(tǒng)需求、安全需求、功能需求差異及其危險(xiǎn)分析結(jié)果;本項(xiàng)目特定應(yīng)用的安全案例。

2.國外供應(yīng)商成熟產(chǎn)品的國產(chǎn)化,應(yīng)提供:國外授權(quán)機(jī)構(gòu)出具的安全認(rèn)證證書及首件認(rèn)證證書;工廠測(cè)試驗(yàn)證及其驗(yàn)證報(bào)告;需求、接口、功能/性能差異 (如果有)及其危險(xiǎn)分析;差異及變更部分設(shè)計(jì)應(yīng)用、測(cè)試驗(yàn)證結(jié)果 (如果有);適應(yīng)本特定應(yīng)用變更部分的安全案例。

3.國內(nèi)供應(yīng)商的成熟子系統(tǒng)或產(chǎn)品,應(yīng)提供:主管部門的成果鑒定或技術(shù)審查、企業(yè)認(rèn)定或產(chǎn)品認(rèn)證等審批文件;需求差異、設(shè)備/接口差異、功能/性能差異及其危險(xiǎn)分析;差異及變更部分設(shè)計(jì)應(yīng)用、測(cè)試驗(yàn)證結(jié)果;變更部分的安全案例。

4.國內(nèi)新開發(fā)產(chǎn)品的評(píng)估應(yīng)與現(xiàn)行管理模式相協(xié)調(diào)。在保證安全的條件下,評(píng)估的深度和廣度,特別是安全定量指標(biāo)方面,逐步與國際標(biāo)準(zhǔn)接軌。如武廣、鄭西 C3新開發(fā)臨時(shí)限速服務(wù)器等,原則上應(yīng)按IEC鐵路應(yīng)用安全標(biāo)準(zhǔn)進(jìn)行產(chǎn)品層或通用應(yīng)用層的安全認(rèn)證。

6 結(jié)論

隨著列車運(yùn)行速度和密度的不斷提高,CTCS-3級(jí)列控系統(tǒng)在高速鐵路得到更廣泛的應(yīng)用,以滿足國民經(jīng)濟(jì)增長的需要。深化研究現(xiàn)代安全保障和風(fēng)險(xiǎn)管理理論,進(jìn)一步優(yōu)化系統(tǒng)評(píng)估技術(shù),在現(xiàn)行定性評(píng)估方法的基礎(chǔ)上,逐步向定性與定量結(jié)合評(píng)估的方法過渡,建立以風(fēng)險(xiǎn)評(píng)估、安全完整性為基礎(chǔ),以安全生命周期為導(dǎo)向的 CTCS-3級(jí)列控系統(tǒng)系統(tǒng)評(píng)估的新模型,逐步與國際標(biāo)準(zhǔn)接軌,確保運(yùn)輸安全。

[1］ 張曙光.我國高速鐵路安全保障系統(tǒng)研究[J].鐵道學(xué)報(bào).2007,29(2):20-26;

[2］ 季學(xué)勝,李開成,楊悌惠.CTCS-3級(jí)列控系統(tǒng)的系統(tǒng)評(píng)估研究[J].鐵道通信信號(hào),2009(6):1-5.

[3］ 鐵道部.CTCS-3級(jí)列控系統(tǒng)總體技術(shù)方案,2008,4.

[4］ CTCS-3級(jí)列控系統(tǒng)系統(tǒng)評(píng)估實(shí)施辦法(V1.0),鐵道部,2008,12.

[5］ GB/T21562-2008:軌道交通應(yīng)用 可靠性、可用性、可維護(hù)性和安全性規(guī)范及示例.

[6］ IEC62245-2003:鐵路應(yīng)用通信信號(hào)及控制系統(tǒng)-信號(hào)用安全相關(guān)電子系統(tǒng).

[7］ IEC62279-2001:鐵路應(yīng)用通信信號(hào)及控制系統(tǒng)鐵路控制及防護(hù)系統(tǒng)軟件.

[8］ ETCS安全性分析 THR分配.

[9］ EN 50126-2:EN 50126-1應(yīng)用安全性指南.

[10］ 工程安全管理黃皮書,英國鐵路安全標(biāo)準(zhǔn)局,2007,第4版.