楊 凱

(1．北京全路通信信號研究設(shè)計院集團有限公司，北京 100070；

2．北京市高速鐵路運行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

系統(tǒng)安全保障體系的應(yīng)用和實踐

楊 凱1，2

(1．北京全路通信信號研究設(shè)計院集團有限公司，北京 100070；

2．北京市高速鐵路運行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

介紹鐵路信號系統(tǒng)的安全保障理論和標(biāo)準(zhǔn)，結(jié)合項目實際情況從安全工程師的角度描述安全保障理論和標(biāo)準(zhǔn)在項目中的應(yīng)用和實踐，主要體現(xiàn)在項目組織，安全活動和生命周期活動3個方面。項目的成功實施和積累的系統(tǒng)安全保障經(jīng)驗將對以后安全項目的開展提供很大幫助。

鐵路信號系統(tǒng)；安全保障；安全標(biāo)準(zhǔn)；安全活動；生命周期；風(fēng)險

1 背景

鐵路信號是以保障鐵路運輸安全為目標(biāo)，鐵路信號設(shè)備發(fā)生故障、錯誤或失效時，應(yīng)自動顯示停車信號以確保行車安全，這一要求被稱為鐵路信號故障－安全原則。

列車運行速度越高對通信信號的依賴性越強，計算機時代列車運行控制系統(tǒng)的主要特點是系統(tǒng)功能強大，硬件集成度高，軟件越來越多地參與系統(tǒng)的控制和管理，系統(tǒng)復(fù)雜性提高的同時，也導(dǎo)致系統(tǒng)在設(shè)計、開發(fā)和定位錯誤等方面越來越困難。這就要求采用適應(yīng)現(xiàn)代技術(shù)和器件水平的安全系統(tǒng)設(shè)計分析方法及標(biāo)準(zhǔn)。本文是筆者擔(dān)任安全工程師期間，結(jié)合自身理解和實際工作，總結(jié)出的安全系統(tǒng)設(shè)計開發(fā)應(yīng)遵循的標(biāo)準(zhǔn)和流程。

2 概述

以前鐵路產(chǎn)品均是研制完成后經(jīng)過審查和鑒定然后上道使用。隨著安全意識的不斷提升、歐標(biāo)安全標(biāo)準(zhǔn)的引進以及第三方安全認證的要求，需要從系統(tǒng)研發(fā)過程就開始進行控制和管理，從而保證系統(tǒng)的安全可靠。具體體現(xiàn)在如下兩個方面：

1）建立安全評估機制

先進的信號系統(tǒng)是高技術(shù)、高投入、高風(fēng)險的產(chǎn)品。歐洲和其他國家在鐵路信號領(lǐng)域已形成完整和成熟的安全評估與認證體系，并得到廣泛使用。在通信信號快速發(fā)展的機遇下，需要采用或借鑒歐標(biāo)安全標(biāo)準(zhǔn)，建立安全評估機制。

目前本公司參考了歐標(biāo)、國家鐵路標(biāo)準(zhǔn)，制定并實施了一套安全保障體系，所有安全系統(tǒng)均需達到SIL4級要求。

2）加強通信信號核心技術(shù)的研究

借鑒國外經(jīng)驗，開發(fā)基礎(chǔ)故障安全信號系統(tǒng)平臺和系統(tǒng)架構(gòu)，這樣就可以根據(jù)具體系統(tǒng)的應(yīng)用需求進行應(yīng)用軟件的開發(fā)，即可形成新系統(tǒng)。

目前，公司所有安全相關(guān)的系統(tǒng)均配置故障安全信號系統(tǒng)平臺，如GSSAP，DS6-60和DS6-K5B等。

因此對于涉及安全的系統(tǒng)需要由安全的硬件，安全的軟件以及完善的安全流程來保障。

3 安全理論和標(biāo)準(zhǔn)

安全不是絕對的，而是通過系統(tǒng)性的技術(shù)和管理等手段將風(fēng)險降低到可以接受的程度。歐洲系列安全標(biāo)準(zhǔn)的安全理念是：采用全面生命周期的觀念來評估和管理風(fēng)險。強調(diào)安全技術(shù)和意識應(yīng)當(dāng)貫穿于系統(tǒng)設(shè)計、開發(fā)、生產(chǎn)、裝備、維護全過程中，而不是在系統(tǒng)生產(chǎn)后再考慮系統(tǒng)的安全問題。歐標(biāo)及覆蓋范圍如圖1所示。

圖1 歐標(biāo)及覆蓋范圍圖

1）EN50126∶1999——可靠性、可用性、可維護性和安全性（RAMS）規(guī)范，該標(biāo)準(zhǔn)定義了系統(tǒng)的RAMS（reliability、availability、maintainability 和safety），即可靠性、可用性、可維護性和安全性，并且規(guī)定了安全生命周期內(nèi)各個階段對RAMS的管理和要求。要求在整個安全生命周期進行RAMS管理，針對每個階段給出應(yīng)需要完成的RAMS任務(wù)，同時給出相關(guān)的具體文檔和要求。[1]

2）EN50128∶2001——鐵路應(yīng)用：通信、信號和處理系統(tǒng)—鐵路控制和防護系統(tǒng)的軟件，是針對軟件的安全保證提出的規(guī)范和設(shè)計標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中，對鐵路控制和防護系統(tǒng)軟件進行安全完整等級劃分，針對不同的安全要求制訂相應(yīng)的標(biāo)準(zhǔn)，包括對軟件需求規(guī)格書、測試規(guī)格書、軟件結(jié)構(gòu)、軟件設(shè)計開發(fā)、軟件檢驗和測試、軟硬件集成、軟件確認評估、質(zhì)量保證、生命周期、文檔等提出相應(yīng)的程序與規(guī)范要求。[2]

3）EN50129∶2003——鐵路應(yīng)用：通信、信號和處理系統(tǒng)—鐵路控制系統(tǒng)領(lǐng)域的安全相關(guān)電子系統(tǒng)，該標(biāo)準(zhǔn)主要內(nèi)容：a.質(zhì)量管理措施；b.安全管理措施；c.功能和技術(shù)安全措施；d.安全接收與審批；e.安全例證報告；f.技術(shù)、工具和過程。[3]

4）EN50159-1∶2001——鐵路應(yīng)用：通信、信號和處理系統(tǒng)—在封閉傳輸系統(tǒng)中與安全相關(guān)的通信，其適用于采用封閉傳輸系統(tǒng)實現(xiàn)通信目的的安全相關(guān)系統(tǒng)，是對安全相關(guān)設(shè)備和傳輸系統(tǒng)的通信接口信息傳輸?shù)陌踩?。[4]

封閉環(huán)境下安全相關(guān)通信模型如圖2所示。

IRIS（International Railway Industry Standard）是運用于評估鐵路行業(yè)質(zhì)量管理體系的一套標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)架構(gòu)在ISO 9001基礎(chǔ)上，適用于軌道交通行業(yè)有設(shè)計、制造、維修活動的組織，IRIS認證所涉及到的是整個軌道交通行業(yè)。對于鐵路通信信號系統(tǒng)來說，IRIS規(guī)定必須遵循上述標(biāo)準(zhǔn)。

除了上述國際標(biāo)準(zhǔn)，還必須遵守國家及鐵路行業(yè)指定的相關(guān)標(biāo)準(zhǔn)。

4 實踐

筆者作為安全工程師，主要職責(zé)是：1）負責(zé)安全計劃等安全管理文件的編制；2）組織系統(tǒng)技術(shù)方面的風(fēng)險分析工作，并維護危險源日志；3）負責(zé)項目的安全管理，監(jiān)督項目安全保障活動的實施。

圖2 封閉環(huán)境下安全相關(guān)通信模型

下面從安全工程師角度介紹項目組開展安全保障活動的實際情況。

4.1 項目組織

根據(jù)上述理論和標(biāo)準(zhǔn)，對于安全系統(tǒng)開發(fā)，按照圖3所示組織結(jié)構(gòu)成立了項目組。

圖3 項目組織結(jié)構(gòu)圖

所有安全相關(guān)項目成員均通過安全培訓(xùn)。

嚴(yán)格明確系統(tǒng)研發(fā)、測試驗證和確認工作分別由不同的人員來承擔(dān)，驗證工程師獨立于確認工程師，且驗證工程師、確認工程師均獨立于軟件工程師/測試工程師。

為了強化安全產(chǎn)品的“獨立”確認職責(zé)，公司設(shè)立了獨立的安全管理機構(gòu)——安全保障中心，確認工程師由安全保障中心同事?lián)吻也皇茼椖拷?jīng)理控制，可以在必要時控制產(chǎn)品研發(fā)、驗證進程，以確保產(chǎn)品開發(fā)過程滿足歐標(biāo)相應(yīng)安全完整度等級的要求。公司質(zhì)量安全總監(jiān)負責(zé)項目的安全批準(zhǔn)。

4.2 安全活動

在生命周期的各階段均涉及的安全活動如圖4所示。

對各離散安全活動的描述如表1所示。

對于危險日志更新，安全驗證、確認、審核評估屬于連續(xù)安全活動，在生命周期的各階段都會執(zhí)行。

4.3 生命周期活動

圖4 安全活動圖

下面詳細介紹項目組在生命周期各階段進行的安全相關(guān)活動，如圖5所示。注意在生命周期的每個階段結(jié)束時均要驗證該階段的需求是否滿足前一階段的輸出，以及本階段的輸出是否實現(xiàn)本階段的需求活動。驗證的主要手段包括審核、分析與測試，階段性審核和評審。

4.3.1 系統(tǒng)定義和計劃階段

在此階段進行的安全活動包括：1）確定系統(tǒng)危險源識別的范圍；2）進行初步危險源識別和RAMS分析；3）分析系統(tǒng)的RAMS指標(biāo)；4）確定項目具體RAMS目標(biāo)和策略；5）建立安全保障活動計劃，包括項目策劃、安全計劃、測試計劃、驗證計劃、確認計劃和軟件質(zhì)量保障計劃。

常用的危險源識別技術(shù)和方法有以下幾種：1）頭腦風(fēng)暴（基于經(jīng)驗)；2）危險和可操作性研究（HAZOP)；3）檢查表；4）SWIFT（基于結(jié)構(gòu)的what-if技術(shù)，預(yù)先根據(jù)任務(wù)分解后的每個子任務(wù)，準(zhǔn)備很多“如果某種情況發(fā)生，會怎么樣”的問題，然后組織大家依次回答問題，以找到危險源的方式)；5）故障模式影響分析(分析系統(tǒng)中每一元素所有可能產(chǎn)生的故障模式及其對系統(tǒng)造成的所有可能影響，并按每一個故障模式的嚴(yán)重程度、檢測難易程度以及發(fā)生頻度予以分類的一種歸納分析方法)。

表1 離散安全活動表

圖5 系統(tǒng)生命周期劃分及主要活動

在本項目中，根據(jù)不同的場景基本用到了上述所有5種方法。

4.3.2 風(fēng)險分析階段

風(fēng)險分析的目標(biāo)是：1）識別系統(tǒng)相關(guān)的危險源；2）識別導(dǎo)致危險源發(fā)生的事件序列；3）評估危險源相關(guān)的風(fēng)險；4）確定適當(dāng)?shù)娘L(fēng)險控制或緩解措施；5）建立和維護危險源日志；6）形成安全需求和安全應(yīng)用條件。

在此階段進行的安全活動包括：1）進行初步危險源分析、系統(tǒng)危險源分析、子系統(tǒng)危險源分析、接口危險源分析、運營安全危險源分析和故障模式影響分析；2）回顧并更新安全計劃；3）建立危險源日志；4）編制風(fēng)險分析報告。

危險來源主要包括源于系統(tǒng)內(nèi)部、外界原因和人員因素，危險分析流程總結(jié)如圖6所示。

圖6 危險分析流程圖

危險日志用于記錄項目中識別危險的當(dāng)前狀態(tài)，以及對危險的移除、控制或緩解措施。危險日志內(nèi)容包括：1）危險描述；2）危險ID；3）原因；4）后果；5）（初始的、最終的）風(fēng)險指數(shù)；6）控制措施；7）負責(zé)人；8）狀態(tài)等。

安全相關(guān)應(yīng)用條件的來源包括：1）從子系統(tǒng)輸入的安全相關(guān)應(yīng)用條件；2）對于那些不能被子系統(tǒng)/模塊/接口實現(xiàn)的安全相關(guān)應(yīng)用條件，將由子系統(tǒng)/模塊/接口層次傳遞到本系統(tǒng)層次，并被本系統(tǒng)繼承。若依靠系統(tǒng)層次仍然無法完全解決，需要向其他相關(guān)法提出安全應(yīng)用條件；3）由本系統(tǒng)向其他相關(guān)方提出的安全相關(guān)應(yīng)用條件：對于本系統(tǒng)層次無法滿足的安全需求，會產(chǎn)生相應(yīng)的安全相關(guān)應(yīng)用條件，系統(tǒng)根據(jù)相關(guān)的途徑，將安全相關(guān)應(yīng)用條件傳遞給責(zé)任方。

本項目屬于應(yīng)用類型的開發(fā)項目，需要繼承平臺的危險日志和安全相關(guān)應(yīng)用條件，而沒有分析平臺內(nèi)部范圍的風(fēng)險。在進行危險分析時，將平臺作為黑箱處理，平臺所含有的潛在危險從平臺的危險日志得到，這些危險或者通過平臺的設(shè)計得到控制，即關(guān)閉了的危險；或者平臺控制不了的危險，移交給外部控制，即平臺的安全相關(guān)的應(yīng)用條件。項目充分考慮這些安全相關(guān)應(yīng)用條件并加以控制。應(yīng)用類型的開發(fā)項目主要考慮應(yīng)用本身的危險、應(yīng)用和環(huán)境的接口危險及人員操作危險。

4.3.3 需求規(guī)范階段

該階段進行的安全活動包括：1）收集、分析并制定RAMS需求規(guī)范；2）實施本階段的風(fēng)險分析，包括系統(tǒng)危險源分析；3）更新危險源日志。

安全需求來源包括危險源日志、外部系統(tǒng)安全相關(guān)應(yīng)用條件、相關(guān)標(biāo)準(zhǔn)或規(guī)范等，必須標(biāo)識出每條安全需求，并對其進行風(fēng)險分析。由于本項目系統(tǒng)規(guī)模小，需求或危險源數(shù)量較少，所以采用了EXCEL進行危險源日志的維護和管理。

4.3.4 設(shè)計與實現(xiàn)階段——概要設(shè)計子階段

該階段進行的安全活動包括：1）明確子系統(tǒng)和模塊的RAMS需求；2）對子系統(tǒng)和模塊持續(xù)進行安全風(fēng)險分析，包括系統(tǒng)風(fēng)險分析、子系統(tǒng)風(fēng)險分析、接口風(fēng)險分析和操作與安全危險分析，產(chǎn)生子系統(tǒng)和模塊安全需求，并更新危險日志和安全需求規(guī)范等文檔。

4.3.5 設(shè)計與實現(xiàn)階段——硬件設(shè)計與實現(xiàn)子階段

該階段需要進行的安全活動包括：1）故障模式影響分析；2）充實一般產(chǎn)品/一般應(yīng)用安全例證的內(nèi)容；3）分析、驗證RAMS指標(biāo)是否滿足；4）開展硬件制造設(shè)計、工藝影響分析（由生產(chǎn)企業(yè)進行）；5）編制硬件生產(chǎn)技術(shù)需求規(guī)范作為對制造環(huán)節(jié)的輸入；6）編制對安裝環(huán)節(jié)輸出的安裝手冊和安全相關(guān)應(yīng)用條件。

由于目前公司對所有安全相關(guān)系統(tǒng)均以統(tǒng)一的平臺為基礎(chǔ)，因此硬件設(shè)計與實現(xiàn)均歸入了平臺項目，系統(tǒng)所采用的硬件平臺已通過安全認證，平臺滿足EN50129相關(guān)要求。

4.3.6 設(shè)計與實現(xiàn)階段——軟件設(shè)計與實現(xiàn)子階段

該階段進行的安全活動包括：1）制定軟件質(zhì)量保障計劃；2）編制軟件需求規(guī)范；3）完成工具安全保障分析和操作系統(tǒng)安全保障分析；4）分析并驗證RAMS指標(biāo)是否滿足。

其中工具安全分析的內(nèi)容包括：1）工具識別及分類；2）工具需求（為什么要用工具）；3）工具選擇；4）工具應(yīng)用（如何使用工具、配置項及理由）；5）風(fēng)險識別（引入什么風(fēng)險）；6）風(fēng)險控制（通過什么手段對風(fēng)險進行控制）。

4.3.7 設(shè)計與實現(xiàn)階段——模塊測試、軟硬件集成測試子階段

該階段無特殊安全活動相關(guān)要求，主要保證按照測試規(guī)范執(zhí)行，設(shè)計出完整測試用例，確保每條測試用例均得到執(zhí)行。4.3.8 系統(tǒng)測試階段

該階段進行的安全活動包括：1）確認系統(tǒng)滿足包括RAMS需求在內(nèi)的系統(tǒng)需求，；2）對剩余系統(tǒng)風(fēng)險進行評估；3）對系統(tǒng)進行型式試驗；4）根據(jù)硬件生產(chǎn)技術(shù)需求規(guī)范編制驗收方案并進行驗收活動；5）編制安全例證（包括安全相關(guān)應(yīng)用條件）。

其中安全例證的核心內(nèi)容包括：1）說明系統(tǒng)可能的危險源，尤其是可能造成嚴(yán)重后果的危險源；2）提供證據(jù)說明已經(jīng)采取相對應(yīng)的安全措施，系統(tǒng)遺留的風(fēng)險是可以容忍的。

4.3.9 試驗與應(yīng)用階段—現(xiàn)場試驗

進行的安全活動包括：安裝試點檢查。4.3.10 系統(tǒng)確認階段

由獨立確認工程師根據(jù)確認計劃，對中間過程進行確認，并出具確認報告。

4.4 結(jié)題階段

在項目結(jié)題階段，項目出示了滿足如下條件的產(chǎn)出：

1）具備所有文檔，且每個文檔版本、修改歷史等均具有可追溯性；

2）所有需求均具有可追溯性，需求→設(shè)計→代碼→測試→Bu→發(fā)布。任何不可追溯的部分均證明其與安全完整度無關(guān)。

3）危險源的可追溯性，確保每條危險源均對應(yīng)到安全需求并得到妥善解決，確保每一個安全需求均得到滿足和實現(xiàn)。

由獨立第三方機構(gòu)主要通過審核的方式對項目進行驗證，驗證內(nèi)容包括：

1）對危險源是否關(guān)閉進行審核；2）審核安全管理過程；

3）審核質(zhì)量管理過程。

而審核方式也有多種形式，包括：

1）現(xiàn)場審核（如配置管理審核，軟件開發(fā)審核，質(zhì)量審核等）；

2）文檔審閱；

3）面試項目組人員；

4）見證項目活動，如參與、見證項目日常工作，見證測試等。

5 總結(jié)語

安全生命周期強調(diào)安全技術(shù)和意識應(yīng)當(dāng)貫穿于系統(tǒng)設(shè)計、開發(fā)、生產(chǎn)、裝備、維護全過程中，而不是在系統(tǒng)生產(chǎn)后再考慮系統(tǒng)的安全問題。從事安全保障活動需要時刻保持安全意識和責(zé)任感并做到細心和耐心，必須掌握相關(guān)的安全標(biāo)準(zhǔn)和過程并遵照嚴(yán)格執(zhí)行。

安全標(biāo)準(zhǔn)是比較寬泛和抽象的，必須針對項目本身量體裁衣，為此公司根據(jù)標(biāo)準(zhǔn)和項目類型選定需要遵守的標(biāo)準(zhǔn)條目并做了適當(dāng)?shù)恼{(diào)整。項目組每個成員均參與安全理論和安全活動相關(guān)的培訓(xùn)，對應(yīng)用開發(fā)類項目需要遵守的安全活動和流程比較熟悉并積極配合，從而在生命周期活動執(zhí)行過程中發(fā)現(xiàn)和彌補了不少安全問題和漏洞，并最終更加認識到安全保障的重要性。

經(jīng)過不懈努力，項目組研發(fā)的安全系統(tǒng)順利拿到安全完整性等級SIL4級證書，為以后安全項目的開展積累了豐富的經(jīng)驗。

[1] EN50126 鐵路應(yīng)用：可靠性、可用性、可維護性和安全性（RAMS）規(guī)范和說明[S].ERTMS，1999.

[2] EN50128 鐵路應(yīng)用：鐵路控制和防護系統(tǒng)的軟件[S]. ERTMS，2011.

[3] EN50129 鐵路應(yīng)用：鐵路控制系統(tǒng)領(lǐng)域的安全相關(guān)電子系統(tǒng)[S].ERTMS，2003.

[4] EN50159-1 鐵路應(yīng)用：通信、信號和處理系統(tǒng)—在封閉傳輸系統(tǒng)中與安全相關(guān)的通信[S].ERTMS，2001.

The paper introduces safety assurance theories and standards for railway signal systems. According to the project implementation, the paper describes the application and practice of safety assurance theories and standards in view of a safety engineer, mainly involving three aspects of the project organization, safety activities and life cycle activities. The success of the project and the experience in safety assurance can provide help for the future safety projects.

railway signal system; safety assurance; safety standard; safety activity; life cycle; risk

10.3969/j.issn.1673-4440.2016.06.028

2015-11-13）