于 淼

（北京全路通信信號(hào)研究設(shè)計(jì)院有限公司，北京 100073）

系統(tǒng)集成項(xiàng)目具有技術(shù)專業(yè)多、所處環(huán)境變化快、接口繁多、需求多變、管理的復(fù)雜性強(qiáng)等特點(diǎn)，由于鐵路信號(hào)控制系統(tǒng)屬于安全關(guān)鍵系統(tǒng)，其運(yùn)行關(guān)系到人員的生命和財(cái)產(chǎn)安全，因此對(duì)于信號(hào)控制系統(tǒng)集成必須要進(jìn)行全面的安全管理來(lái)保障系統(tǒng)的安全。對(duì)信號(hào)控制系統(tǒng)集成項(xiàng)目的安全管理應(yīng)根據(jù)項(xiàng)目的安全目標(biāo)，按整體到局部，自上而下進(jìn)行規(guī)劃、實(shí)施，以“有效、實(shí)用”為指導(dǎo)思想。

信號(hào)控制系統(tǒng)集成項(xiàng)目的生命周期一般可分為項(xiàng)目策劃、系統(tǒng)設(shè)計(jì)、子系統(tǒng)實(shí)現(xiàn)與生產(chǎn)、室內(nèi)系統(tǒng)集成測(cè)試、現(xiàn)場(chǎng)安裝調(diào)試、系統(tǒng)試運(yùn)行和運(yùn)行維護(hù)7個(gè)階段。對(duì)項(xiàng)目的安全管理應(yīng)貫穿于整個(gè)生命周期，其主要安全活動(dòng)包括：制定安全計(jì)劃、實(shí)施危險(xiǎn)管理、遵守并傳遞安全相關(guān)應(yīng)用條件和編制安全例證報(bào)告。

1 安全計(jì)劃

系統(tǒng)集成項(xiàng)目的安全管理過(guò)程中，應(yīng)在項(xiàng)目策劃階段制定安全計(jì)劃，并且需要在整個(gè)項(xiàng)目生命周期中對(duì)安全計(jì)劃進(jìn)行維護(hù)和更新。安全計(jì)劃應(yīng)發(fā)布給項(xiàng)目組所有成員，并要求項(xiàng)目組成員理解其內(nèi)容。安全計(jì)劃主要包括：1) 確定項(xiàng)目的安全目標(biāo)；2) 確定項(xiàng)目涉及到的安全管理的組織結(jié)構(gòu)、責(zé)任和權(quán)利、安全里程碑、提交成果及時(shí)間節(jié)點(diǎn)；3) 規(guī)定項(xiàng)目生命周期中相關(guān)人員的資質(zhì)和獨(dú)立性；4) 制定項(xiàng)目生命周期中所需要采取的安全活動(dòng)（包括管理和技術(shù)兩方面）；5) 制定安全活動(dòng)執(zhí)行的時(shí)間和人力資源安排等。

在安全計(jì)劃執(zhí)行過(guò)程中，可采取項(xiàng)目?jī)?nèi)外部監(jiān)督的方式促進(jìn)安全計(jì)劃的完善更新以及安全活動(dòng)的糾正改進(jìn)。具體方法是可依照計(jì)劃采用檢查表的方式，在項(xiàng)目的里程碑階段通過(guò)驗(yàn)證、評(píng)審和評(píng)估3種手段監(jiān)督安全計(jì)劃的執(zhí)行，如有偏離計(jì)劃或偏離標(biāo)準(zhǔn)，須及時(shí)糾正項(xiàng)目中的工作。如安全計(jì)劃有需要調(diào)整、更新或細(xì)化，應(yīng)及時(shí)改進(jìn)完善安全計(jì)劃，新版本的安全計(jì)劃需要得到審批后發(fā)布給項(xiàng)目組人員。

2 危險(xiǎn)管理

危險(xiǎn)管理包括危險(xiǎn)分析、危險(xiǎn)控制和危險(xiǎn)監(jiān)督3部分，如圖1所示。危險(xiǎn)分析工作根據(jù)設(shè)計(jì)的深入，需要在系統(tǒng)級(jí)、子系統(tǒng)級(jí)甚至產(chǎn)品級(jí)反復(fù)進(jìn)行，其貫穿于項(xiàng)目整個(gè)生命周期，危險(xiǎn)分析產(chǎn)生的危險(xiǎn)錄入危險(xiǎn)日志;危險(xiǎn)控制是指危險(xiǎn)分析完成后，針對(duì)危險(xiǎn)提出的安全需求，在設(shè)計(jì)過(guò)程中將制定相應(yīng)的技術(shù)措施緩解這些危險(xiǎn);危險(xiǎn)監(jiān)督是指對(duì)危險(xiǎn)分析和危險(xiǎn)控制的過(guò)程通過(guò)驗(yàn)證、確認(rèn)、評(píng)估等安全活動(dòng)進(jìn)行監(jiān)督，危險(xiǎn)監(jiān)督不僅關(guān)注危險(xiǎn)分析的充分性、完整性，還要評(píng)估危險(xiǎn)控制措施是否有效、可行。通過(guò)危險(xiǎn)分析、危險(xiǎn)控制和危險(xiǎn)監(jiān)督使得系統(tǒng)最終所有的危險(xiǎn)應(yīng)得到關(guān)閉或緩解。

2.1 危險(xiǎn)分析

系統(tǒng)集成項(xiàng)目包含若干子系統(tǒng)，危險(xiǎn)分析工作從系統(tǒng)層總體功能開(kāi)始，并逐步向子系統(tǒng)層次細(xì)化如圖2所示。系統(tǒng)集成項(xiàng)目包括的子系統(tǒng)的成熟程度并不相同，對(duì)于基于成熟產(chǎn)品并已形成工程化流程的子系統(tǒng)，其應(yīng)用環(huán)境和系統(tǒng)功能等改變不大，不存在未知危險(xiǎn)，控制已知危險(xiǎn)的安全措施已明確，因此不必進(jìn)行危險(xiǎn)分析，只需遵循既有的工程化流程或規(guī)則即可。而對(duì)于一些因特殊需求而新開(kāi)發(fā)子系統(tǒng)或子系統(tǒng)的某些模塊，項(xiàng)目之初應(yīng)明確項(xiàng)目的特定需求（接口、功能）及其新增的開(kāi)發(fā)工作，針對(duì)這些改變?cè)谙到y(tǒng)設(shè)計(jì)階段或詳細(xì)設(shè)計(jì)階段進(jìn)行詳細(xì)的定性或定量危險(xiǎn)分析，以證實(shí)其符合規(guī)定的安全性要求。

1）初步危險(xiǎn)分析（PHA）

在系統(tǒng)生命周期早期階段進(jìn)行的一種初步的定性危險(xiǎn)分析，根據(jù)來(lái)自外部安全相關(guān)應(yīng)用條件和產(chǎn)品的限定條件，進(jìn)行初步危險(xiǎn)評(píng)價(jià)，識(shí)別安全關(guān)鍵部位，并確定所要求的危險(xiǎn)控制措施和后續(xù)的活動(dòng)。

2）系統(tǒng)危險(xiǎn)分析（SHA）

在初步危險(xiǎn)分析基礎(chǔ)上，在系統(tǒng)設(shè)計(jì)階段進(jìn)行的一種詳細(xì)的定性或定量的危險(xiǎn)分析，以證實(shí)系統(tǒng)符合規(guī)定的安全性要求，識(shí)別系統(tǒng)功能故障有關(guān)的危險(xiǎn)，評(píng)價(jià)與整個(gè)系統(tǒng)設(shè)計(jì)有關(guān)的危險(xiǎn)，提出為消除已確定的危險(xiǎn)或控制其有關(guān)危險(xiǎn)所必須采取的措施的建議，并將系統(tǒng)安全需求和安全相關(guān)應(yīng)用條件的分配與傳遞給子系統(tǒng)。

3）子系統(tǒng)危險(xiǎn)分析（SSHA）

在系統(tǒng)危險(xiǎn)分析的基礎(chǔ)上，在每個(gè)子系統(tǒng)層次上進(jìn)行多次危險(xiǎn)分析。在系統(tǒng)設(shè)計(jì)或詳細(xì)設(shè)計(jì)階段進(jìn)行的定性或定量危險(xiǎn)分析，以證實(shí)子系統(tǒng)符合規(guī)定的安全性要求，識(shí)別與子系統(tǒng)設(shè)計(jì)有關(guān)的危險(xiǎn)和組成子系統(tǒng)的部件或設(shè)備之間的功能關(guān)系所導(dǎo)致的危險(xiǎn)。

4）接口危險(xiǎn)分析（IHA）

在系統(tǒng)設(shè)計(jì)階段或詳細(xì)設(shè)計(jì)階段進(jìn)行的定性或定量的危險(xiǎn)分析，識(shí)別與子系統(tǒng)接口有關(guān)的危險(xiǎn)，并提出為消除已確定的危險(xiǎn)或控制其有關(guān)危險(xiǎn)所必須采取的措施建議。

5）運(yùn)營(yíng)安全危險(xiǎn)分析（O&SHA）

在系統(tǒng)生命周期后期開(kāi)始進(jìn)行的一種定性的危險(xiǎn)分析，以評(píng)價(jià)由使用和保障規(guī)程引入系統(tǒng)中的各種危險(xiǎn)，并評(píng)價(jià)為消除、控制或降低。對(duì)于無(wú)法消除的危險(xiǎn)，確定所采用的使用和保障規(guī)程的正確性，并形成文件使得危險(xiǎn)得到有效傳遞。

在各個(gè)層次上進(jìn)行危險(xiǎn)分析的過(guò)程一般包括如下內(nèi)容。

①危險(xiǎn)識(shí)別：找出潛在的危險(xiǎn)，可用危險(xiǎn)和可操作性研究（HAZOP）、頭腦風(fēng)暴（基于經(jīng)驗(yàn)）等方法。

②后果分析：分析危險(xiǎn)可能產(chǎn)生的后果，可用事件樹(shù)（ETA）、因果圖（CCA）等方法。

③原因分析：分析產(chǎn)生危險(xiǎn)的原因，可用故障樹(shù)（FTA）等方法。

所有危險(xiǎn)分析的結(jié)果記錄在“危害日志”中，在系統(tǒng)整個(gè)生命周期中，“危險(xiǎn)日志”一直都處于更新和維護(hù)中。

2.2 危險(xiǎn)控制

危險(xiǎn)控制的過(guò)程：針對(duì)“危險(xiǎn)日志”中的每條危險(xiǎn)應(yīng)提出對(duì)應(yīng)的安全需求，如本系統(tǒng)范圍內(nèi)不能滿足的安全需求也應(yīng)形成安全相關(guān)應(yīng)用條件。設(shè)計(jì)人員把安全需求作為設(shè)計(jì)輸入之一，在系統(tǒng)設(shè)計(jì)中增加相應(yīng)的技術(shù)措施實(shí)現(xiàn)安全需求，措施是否有效通常通過(guò)評(píng)審、評(píng)估或測(cè)試等方式進(jìn)行驗(yàn)證和分析。通過(guò)安全需求的實(shí)現(xiàn)，最終所有的危險(xiǎn)得到關(guān)閉或緩解。對(duì)于本系統(tǒng)范圍外或無(wú)法完全關(guān)閉的危險(xiǎn)作為安全相關(guān)應(yīng)用條件，通過(guò)《用戶手冊(cè)》或《系統(tǒng)維護(hù)手冊(cè)》等方式移交給相關(guān)責(zé)任方，提醒其在使用或維護(hù)過(guò)程中關(guān)注。危險(xiǎn)控制的流程如圖3所示。

危險(xiǎn)控制是采取一系列的過(guò)程、方法把系統(tǒng)危險(xiǎn)控制在可以接受的范圍內(nèi)，包括減少危險(xiǎn)出現(xiàn)的頻率、降低危險(xiǎn)造成的后果。通常會(huì)采取如下措施來(lái)降低危險(xiǎn)。

1）在設(shè)計(jì)中充分考慮到安全的特性和需求，主要措施可能包括以下幾點(diǎn)。

①設(shè)置安全壁壘：系統(tǒng)的組成中可能包括安全和非安全功能，在系統(tǒng)結(jié)構(gòu)設(shè)計(jì)中需要區(qū)分出這兩部分，并在他們之間設(shè)置安全壁壘。以保護(hù)系統(tǒng)核心安全功能免受非安全控制系統(tǒng)接口和人工錯(cuò)誤影響。

②保持系統(tǒng)單元的獨(dú)立性：為了保證系統(tǒng)各子系統(tǒng)的可維修性和獨(dú)立性，需要在設(shè)計(jì)上保證與其他部分的獨(dú)立性，每個(gè)單元的功能、數(shù)據(jù)、故障等特性都必須進(jìn)行嚴(yán)格封裝：當(dāng)其他子系統(tǒng)更換或存在外界干擾時(shí)，能夠有效屏蔽對(duì)各子系統(tǒng)內(nèi)部通信產(chǎn)生的干擾和沖擊。

③安全通信：為保證各子系統(tǒng)通信的正確性和抗干擾性，安全關(guān)鍵子系統(tǒng)間的通信可使用封閉、冗余配置的安全網(wǎng)絡(luò)，子系統(tǒng)間接口采用安全協(xié)議（包括：序列號(hào)、計(jì)數(shù)器、加密、發(fā)送方和接受方ID和CRC校驗(yàn)等內(nèi)容）。通過(guò)安全協(xié)議的使用確保發(fā)送或接收的消息正確無(wú)誤。

2）增加報(bào)警設(shè)備或警告提醒。

3）規(guī)范并系統(tǒng)化系統(tǒng)開(kāi)發(fā)過(guò)程。

①項(xiàng)目之初編制安全計(jì)劃，并經(jīng)評(píng)審和批準(zhǔn)。

②依據(jù)安全計(jì)劃執(zhí)行必要的技術(shù)和管理活動(dòng)。

③跟蹤安全計(jì)劃的執(zhí)行，必要時(shí)進(jìn)行調(diào)整和更新。

4）培訓(xùn)系統(tǒng)相關(guān)人員，提高安全意識(shí)。

2.3 危險(xiǎn)監(jiān)督

危險(xiǎn)監(jiān)督的內(nèi)容包括：危險(xiǎn)分析的是否充分全面；危險(xiǎn)控制措施是否有效并得到實(shí)現(xiàn)，對(duì)措施的有效性進(jìn)行驗(yàn)證；危險(xiǎn)的管理和相關(guān)活動(dòng)是否遵循計(jì)劃執(zhí)行開(kāi)展；危險(xiǎn)分析和控制的工作是否由具備能力的人員擔(dān)當(dāng)。

危險(xiǎn)監(jiān)督常以評(píng)估、評(píng)審、驗(yàn)證和確認(rèn)的形式進(jìn)行。對(duì)監(jiān)督過(guò)程中發(fā)現(xiàn)的問(wèn)題，需持續(xù)跟蹤、糾正。

3 安全相關(guān)應(yīng)用條件

安全相關(guān)應(yīng)用條件是只本系統(tǒng)范圍內(nèi)無(wú)法滿足的安全需求或無(wú)法關(guān)閉的危險(xiǎn)，例如在使用或維護(hù)過(guò)程中需要用戶關(guān)注的危害，作為安全相關(guān)應(yīng)用條件通過(guò)《用戶使用手冊(cè)》、《系統(tǒng)維護(hù)手冊(cè)》等方式移交給用戶。

系統(tǒng)集成項(xiàng)目安全相關(guān)應(yīng)用條件有來(lái)自外部系統(tǒng)或環(huán)境的，也有本系統(tǒng)產(chǎn)生的。

對(duì)于外部安全相關(guān)應(yīng)用條件，在系統(tǒng)構(gòu)架和設(shè)計(jì)過(guò)程中應(yīng)充分考慮相關(guān)技術(shù)措施，并將其分解到各個(gè)子系統(tǒng)，最終使得這些外部的安全相關(guān)應(yīng)用條件得到緩解或關(guān)閉。無(wú)法完全關(guān)閉的部分應(yīng)作為本系統(tǒng)的安全相關(guān)應(yīng)用條件傳遞給相關(guān)責(zé)任方。

系統(tǒng)集成項(xiàng)目范圍內(nèi)新產(chǎn)生的安全應(yīng)用條件應(yīng)包括如下內(nèi)容。

1）從子系統(tǒng)輸入的安全相關(guān)應(yīng)用條件：對(duì)于那些不能被子系統(tǒng)/模塊/接口層實(shí)現(xiàn)的安全需求，將由子系統(tǒng)/模塊/接口層次傳遞到系統(tǒng)層次，并被系統(tǒng)繼承。

2）系統(tǒng)層的安全相關(guān)應(yīng)用條件：從子系統(tǒng)層繼承的安全相關(guān)應(yīng)用條件如系統(tǒng)層也無(wú)法關(guān)閉，將被作為整個(gè)系統(tǒng)的安全相關(guān)應(yīng)用條件傳遞給相關(guān)方。

4 安全例證

安全例證是項(xiàng)目所有安全證據(jù)的匯總，以證明系統(tǒng)滿足預(yù)定安全完整性等級(jí)。安全例證報(bào)告一般在項(xiàng)目設(shè)計(jì)階段就開(kāi)始進(jìn)行。系統(tǒng)集成項(xiàng)目的案例結(jié)構(gòu)包括系統(tǒng)層（特殊應(yīng)用）、子系統(tǒng)層（一般應(yīng)用）和產(chǎn)品層（一般產(chǎn)品）。

安全例證內(nèi)容一般包括：系統(tǒng)定義、質(zhì)量管理報(bào)告、安全管理報(bào)告、技術(shù)安全報(bào)告、相關(guān)安全例證和結(jié)論6部分，各部分主要內(nèi)容如下。

1）系統(tǒng)定義：對(duì)安全例證涉及的系統(tǒng)/子系統(tǒng)/產(chǎn)品進(jìn)行精確定義，包括系統(tǒng)的范圍，應(yīng)用場(chǎng)合，系統(tǒng)的主要功能、性能、安全目標(biāo)等。

2）質(zhì)量管理報(bào)告：提供質(zhì)量管理的證據(jù)，證明在系統(tǒng)、子系統(tǒng)或設(shè)備的整個(gè)生命周期內(nèi)，其質(zhì)量一直并將繼續(xù)受有效的質(zhì)量管理體系控制。

3）安全管理報(bào)告：提供安全管理的證據(jù)，證明系統(tǒng)/子系統(tǒng)/設(shè)備的安全一直并將繼續(xù)由一個(gè)有效的且與EN 50126中規(guī)定的RAMS管理過(guò)程相一致的安全管理過(guò)程進(jìn)行管理。

4）技術(shù)安全報(bào)告：提供技術(shù)安全的證據(jù)，闡述確保設(shè)計(jì)安全的技術(shù)原則，包括（或給出參考索引）所有的支持證據(jù)（如，設(shè)計(jì)原則和計(jì)算，測(cè)試規(guī)范和測(cè)試結(jié)果以及安全分析等）。

5）相關(guān)安全例證：包含對(duì)主安全例證所依附的任何子系統(tǒng)或設(shè)備的安全例證的參考索引。同時(shí)論證在每個(gè)相關(guān)子系統(tǒng)/設(shè)備的安全例證中指定的安全相關(guān)應(yīng)用條件已在主安全例證中得到實(shí)現(xiàn)，或已結(jié)合到主安全例證的安全相關(guān)應(yīng)用條件中。

6）結(jié)論：對(duì)安全例證前面部分提供的證據(jù)進(jìn)行歸納總結(jié)，并闡述相關(guān)系統(tǒng)/子系統(tǒng)/設(shè)備滿足預(yù)定的安全完整性等級(jí)。

5 結(jié)束語(yǔ)

信號(hào)控制系統(tǒng)集成項(xiàng)目的安全管理活動(dòng)圍繞安全計(jì)劃和危險(xiǎn)管理兩條主線展開(kāi)。安全管理自上而下傳遞，安全活動(dòng)自下而上執(zhí)行。

信號(hào)控制系統(tǒng)的安全管理是通過(guò)對(duì)項(xiàng)目制定可靠有效的安全計(jì)劃，在系統(tǒng)集成過(guò)程中進(jìn)行安全管理、危險(xiǎn)管理等安全活動(dòng)，使系統(tǒng)實(shí)現(xiàn)預(yù)期的安全目標(biāo)。安全管理對(duì)信號(hào)控制系統(tǒng)安全運(yùn)行有至關(guān)重要的作用，是保證信號(hào)控制系統(tǒng)安全可靠的有效手段。