王亦金 姜翠香

摘 要：屏蔽門作為地鐵運(yùn)行中的重要系統(tǒng)，直接與乘客接觸，影響乘客安全，為保證系統(tǒng)安全可靠使用，需要對(duì)產(chǎn)品整個(gè)壽命周期過(guò)程進(jìn)行獨(dú)立安全評(píng)估。評(píng)估基于CENELEC 標(biāo)準(zhǔn)EN50126：2017、EN50128：2011、EN50129：2003，如果定義和實(shí)施的開(kāi)發(fā)、質(zhì)量、安全、V&V、安裝和測(cè)試與調(diào)試等活動(dòng)的與標(biāo)準(zhǔn)要求一致，屏蔽門系統(tǒng)功能達(dá)到規(guī)定的安全完整性等級(jí)的安全目標(biāo)，屏蔽門系統(tǒng)能授予安全運(yùn)營(yíng)權(quán)。

關(guān)鍵詞：屏蔽門;獨(dú)立安全評(píng)估;標(biāo)準(zhǔn)

屏蔽門是站臺(tái)和軌道列車之間的屏障，當(dāng)列車到站時(shí)，列車?？吭谝?guī)定區(qū)域，列車門屏蔽門對(duì)位后同時(shí)打開(kāi)，供乘客上下列車。設(shè)置屏蔽門的主要目的是防止乘客跌落軌道風(fēng)險(xiǎn)，改善乘客候車環(huán)境，相對(duì)封閉空間，降低了空調(diào)能耗。

本文主要基于CENELEC 標(biāo)準(zhǔn)描述屏蔽門系統(tǒng)獨(dú)立安全評(píng)估過(guò)程。

1 安全完整性等級(jí)

標(biāo)準(zhǔn)EN50129將安全完整性SIL等級(jí)劃分為四級(jí)，等級(jí)4安全性要求最高，等級(jí)1安全性要求最低，每個(gè)等級(jí)對(duì)應(yīng)的可容忍故障率，參見(jiàn)EN50129表A.1。按照標(biāo)準(zhǔn)中的方法可分析不同完整性等級(jí)對(duì)應(yīng)的措施和方法。按照標(biāo)準(zhǔn)要求的方法控制整個(gè)研發(fā)過(guò)程，產(chǎn)品發(fā)生的安全事故的概率會(huì)大大降低。一般對(duì)于屏蔽門系統(tǒng)，安全完整性根據(jù)業(yè)主要求需滿足SIL2等級(jí)。

2 人員獨(dú)立性

標(biāo)準(zhǔn)EN50129中要求的角色獨(dú)立性，SIL1與SIL2一致，SIL3與SIL4一致，參見(jiàn)EN50129圖6。屏蔽門系統(tǒng)人員組織架構(gòu)，設(shè)計(jì)開(kāi)發(fā)團(tuán)隊(duì)、集成測(cè)試團(tuán)隊(duì)、驗(yàn)證確認(rèn)團(tuán)隊(duì)相互獨(dú)立，而評(píng)估團(tuán)隊(duì)需來(lái)自第三方。說(shuō)明人員的獨(dú)立性要求符合標(biāo)準(zhǔn)EN50129對(duì)SIL1和SIL2等級(jí)的要求。

3 風(fēng)險(xiǎn)分析及安全功能識(shí)別

風(fēng)險(xiǎn)分析貫穿于整個(gè)壽命周期階段，流程圖如圖1，包括接口危害分析IHA、子系統(tǒng)危害分析SSHA、初步危害分析PHA和操作支持危害分析OSHA。風(fēng)險(xiǎn)分析的目的是找到系統(tǒng)的安全功能，并對(duì)安全功能分配SIL等級(jí)。如果對(duì)系統(tǒng)的功能是涉及安全的，定義為SIL等級(jí)，否則定義SIL等級(jí)為0，無(wú)安全功能。例如屏蔽門系統(tǒng)定義SIL2等級(jí)，對(duì)于SIL2等級(jí)的制定減輕措施，提出安全需求，所有安全需求最終在危害日志文件中管理，驗(yàn)證和關(guān)閉。危害日志安全需求有對(duì)運(yùn)營(yíng)商提出要求的，作為安全限制條件SRAC單獨(dú)輸出。

根據(jù)屏蔽門系統(tǒng)的接口及架構(gòu)，識(shí)別其安全功能，其安全功能主要有：整側(cè)站臺(tái)門的開(kāi)啟和關(guān)閉：包括信號(hào)系統(tǒng)開(kāi)關(guān)門，PSL站臺(tái)級(jí)開(kāi)關(guān)門;單個(gè)門的開(kāi)啟和關(guān)閉（包括手動(dòng)解鎖，本地手動(dòng)控制盤開(kāi)啟和關(guān)閉單個(gè)門）;向信號(hào)系統(tǒng)反饋所有門關(guān)閉且鎖定信號(hào)（該信號(hào)決定是否允許列車發(fā)車或者進(jìn)站）;向信號(hào)系統(tǒng)反饋單個(gè)（多個(gè)）門安全回路被旁路信號(hào)（該信號(hào)將旁路安全回路信號(hào)，并導(dǎo)致信號(hào)系統(tǒng)給即將進(jìn)入車站的列車緊急降速。）以上這些安全功能都需滿足SIL2等級(jí)。

4 評(píng)估流程

整個(gè)評(píng)估過(guò)程，基于EN50126貫穿于整個(gè)生命周期14個(gè)階段，結(jié)合EN50129制定。主要包括計(jì)劃階段、需求階段、設(shè)計(jì)階段、測(cè)試階段、確認(rèn)階段，參見(jiàn)EN50129中圖5。

系統(tǒng)驗(yàn)證伴隨整個(gè)項(xiàng)目的生命周期的各個(gè)階段，驗(yàn)證內(nèi)容除了要驗(yàn)證階段輸出的文檔，還要驗(yàn)證階段的執(zhí)行過(guò)程，包括是否是由合適的人寫了合適的文檔，做了合適的活動(dòng)等，所有內(nèi)容也將納入各個(gè)階段相關(guān)驗(yàn)證報(bào)告中。確認(rèn)活動(dòng)僅在計(jì)劃階段制定確認(rèn)計(jì)劃，中間的階段可以依賴于驗(yàn)證的結(jié)果，對(duì)驗(yàn)證進(jìn)行確認(rèn)。因此沒(méi)有單獨(dú)列出每個(gè)階段的確認(rèn)記錄，但是確認(rèn)活動(dòng)貫穿整個(gè)生命周期各個(gè)階段，每一次的驗(yàn)證或測(cè)試活動(dòng)完成后，對(duì)驗(yàn)證或測(cè)試結(jié)果執(zhí)行確認(rèn)活動(dòng)。

5 評(píng)估過(guò)程

5.1 計(jì)劃階段

計(jì)劃階段包括的文件主要有系統(tǒng)開(kāi)發(fā)計(jì)劃、系統(tǒng)配置管理計(jì)劃、系統(tǒng)質(zhì)量保證計(jì)劃、系統(tǒng)安全保證計(jì)劃、系統(tǒng)驗(yàn)證確認(rèn)計(jì)劃、系統(tǒng)RAM管理計(jì)劃，測(cè)試計(jì)劃、驗(yàn)證確認(rèn)計(jì)劃。計(jì)劃是后續(xù)工作開(kāi)展的指南，是評(píng)估工作的基礎(chǔ)。項(xiàng)目開(kāi)始階段對(duì)計(jì)劃類文件完整性、正確性的檢查有助于降低項(xiàng)目風(fēng)險(xiǎn)，確保必要的安全保障活動(dòng)被執(zhí)行，且避免不必要的活動(dòng)。

5.2 需求階段

關(guān)注系統(tǒng)需求規(guī)范的完整性，需求的可追蹤性和相對(duì)于設(shè)計(jì)的可驗(yàn)證性。需求階段包括的文件主要有系統(tǒng)需求規(guī)范、軟件需求規(guī)范、軟件需求測(cè)試規(guī)范、硬件需求規(guī)范和對(duì)應(yīng)的測(cè)試規(guī)范。系統(tǒng)需求清楚且全面地定義屏蔽門系統(tǒng)的功能需求，性能需求，質(zhì)量需求，RAMS需求，接口需求以及環(huán)境需求，并為設(shè)計(jì)測(cè)試，驗(yàn)證和確認(rèn)人員在系統(tǒng)設(shè)計(jì)和評(píng)估過(guò)程中提供可追溯的源頭，系統(tǒng)需求測(cè)試規(guī)范描述了屏蔽門系統(tǒng)的功能測(cè)試、性能測(cè)試、質(zhì)量測(cè)試、RAMS測(cè)試、接口測(cè)試和環(huán)境測(cè)試的測(cè)試方法、過(guò)程，目的是規(guī)范系統(tǒng)的最終測(cè)試方法、設(shè)備、過(guò)程等。

5.3 設(shè)計(jì)階段

設(shè)計(jì)階段包括系統(tǒng)架構(gòu)設(shè)計(jì)、軟件架構(gòu)設(shè)計(jì)、軟件模塊設(shè)計(jì)、硬件架構(gòu)設(shè)計(jì)、硬件電路設(shè)計(jì)和對(duì)應(yīng)的測(cè)試規(guī)范。設(shè)計(jì)階段是最重要的階段，系統(tǒng)的功能性能如何的實(shí)現(xiàn)，由哪些子系統(tǒng)完成，全部體現(xiàn)在架構(gòu)圖上，包括內(nèi)部子系統(tǒng)之間的接口（PSC與DCU、PSC與PSL等）和與外部系統(tǒng)的接口（PG與SIG、PG與ISCS等）。

5.4 測(cè)試確認(rèn)階段

所有測(cè)試規(guī)范需要最終試驗(yàn)和測(cè)試，對(duì)屏蔽門系統(tǒng)進(jìn)行驗(yàn)證和確認(rèn)，對(duì)于失敗的試驗(yàn)，需要更改測(cè)試規(guī)范。對(duì)于不能覆蓋的測(cè)試，需重新制定測(cè)試規(guī)范。測(cè)試包括軟件模塊測(cè)試、硬件集成測(cè)試、軟件集成測(cè)試、系統(tǒng)集成測(cè)試、系統(tǒng)需求測(cè)試。測(cè)試能在工廠進(jìn)行的則在場(chǎng)內(nèi)完成，如需到現(xiàn)場(chǎng)測(cè)試的，需要到現(xiàn)場(chǎng)測(cè)試調(diào)試，與其它供應(yīng)商接口的，需要和其它供應(yīng)商協(xié)調(diào)完成，直至全部滿足通過(guò)。驗(yàn)證和確認(rèn)了需求的正確性、完整性和一致性。

6 審查和評(píng)估結(jié)論

在適當(dāng)階段，第三方將進(jìn)行質(zhì)量與安全管理現(xiàn)場(chǎng)審計(jì)，審核質(zhì)量與安全活動(dòng)的流程及如何確保其正確實(shí)施。如審核的內(nèi)容主要有：質(zhì)量安全管理體系的正確應(yīng)用;項(xiàng)目團(tuán)隊(duì)組織、角色和職責(zé);質(zhì)量管理活動(dòng)，如子供應(yīng)商管理、內(nèi)部審計(jì)、人員能力管理、配置與變更管理、系統(tǒng)需求管理、生命周期及安全管理活動(dòng)、危害日志管理、SIL 分配、安全需求識(shí)別與追蹤、安全論證的方法、測(cè)試和 V&V 的策略及方法。在審核過(guò)程中有發(fā)現(xiàn)的不符合項(xiàng)，第三方在審核報(bào)告中提出，提交整改措施和證據(jù)給第三方審核進(jìn)行驗(yàn)證關(guān)閉。

7 結(jié)束語(yǔ)

如果屏蔽門系統(tǒng)計(jì)劃與實(shí)施的設(shè)計(jì)、質(zhì)量、安全、驗(yàn)證與確認(rèn)的整個(gè)活動(dòng)， 符合 CENELEC 標(biāo)準(zhǔn) EN50126：2017， EN50128：2011和 EN50129：2003 的要求，第三方出具證書和報(bào)告說(shuō)明屏蔽門系統(tǒng)滿足安全完整性等級(jí)2級(jí)，能授予安全運(yùn)營(yíng)權(quán)。

參考文獻(xiàn)：

[1]BS EN 50126-2017鐵路適用-可靠性可用性可維護(hù)性和安全性的標(biāo)準(zhǔn)與規(guī)范[S].

[2]BS EN 50128-2011鐵路應(yīng)用——通信、信號(hào)和處理系統(tǒng)——鐵路控制和防護(hù)系統(tǒng)軟件[S].

[3]BS EN 50129-2003鐵路應(yīng)用-通信、信號(hào)、處理系統(tǒng)-信號(hào)安全相關(guān)電子系統(tǒng)[S].