轨道交通信号系统独立安全评估的原理和方法综述*

张 凯

(上海申通地铁集团有限公司技术中心,201103,上海∥工程师)



轨道交通信号系统独立安全评估的原理和方法综述*

张 凯

(上海申通地铁集团有限公司技术中心,201103,上海∥工程师)

我国轨道交通信号系统安全评估制度由于起步较晚,在基础理论研究、行业内统一认识乃至评估人才与评估机构的建设方面都与国际先进水平还有差距。概述了安全评估所基于的系统安全原理,简要介绍了欧洲电工标准化委员会标准的理论框架,并细致描述了独立安全评估的评估方法和预期结论项。基于评估实践,阐述了典型轨道交通信号工程的评估内容和方法。

城市轨道交通; 信号系统; 独立安全评估; 安全完整性

Author′s address Shanghai Shentong Metro Group Co.,Ltd.,201103,Shanghai,China

轨道交通信号系统第三方独立安全评估(也称安全认证),起源且广泛应用于欧洲轨道交通建设。20世纪90年代,欧洲电工标准化委员会(CENELEC)制定了3个标准(EN 50126、EN 50128及EN 50129,以下简称“CENELEC标准”)总结了信号系统的安全原理,提出了安全工程具体要求(包括安全评估的要求)。CENELEC标准后来被IEC等标准体系采用,成为安全工程和安全评估的基础。21世纪初,该方法引入我国。2010年以后,在国家政策的要求下,新建城轨工程广泛引入了第三方独立安全评估。2013年我国国家标准完成了CENELEC标准的等同采用。国内评估机构也于近年开始逐步建立起来。我国的第三方独立安全评估由于起步较晚,在基础理论研究、行业内统一认识乃至评估人才队伍等方面的基础都很薄弱。本文梳理了安全评估的基本原理,并尝试贯穿理论基础与具体实践,从宏观角度对其进行探讨。

1 信号系统安全评估的原理

1.1 安全评估的定位

安全是指免于不可接受的危害。这是一个运营服务层面的概念。在欧洲及其他部分地区,安全评估通常是对整个轨道交通系统安全性的评估[1],而且,政府机构中设有专门的安全权威机构,管理并监督着所有铁路系统的安全。在我国,目前只有信号系统被严格要求进行独立安全评估,且该评估主要由业主或运营商发起。而信号系统只是整个轨道交通系统的一部分,故其安全性不等同于运营的安全性;信号系统的对外表现是信号功能,故其安全性是功能的安全性。

不论在理论还是实践中,都没有绝对的安全。安全评估的目的就是在于判断在不同条件下,信号设备或系统的功能安全性,或者说功能安全性是否可接受。

1.2 安全评估的原理

信号设备或系统的安全性可被论证的条件是:①设备(系统)所设计具有的安全功能能够防护运营中的危险;②在规定的条件和规定的运行环境下,以及规定的时间内,设备(系统)能以足够高的可能性完成指定的安全功能。在CENELEC标准中,第二项能力被称为安全完整性。可通过安全完整性等级(SIL)来衡量这项能力的高低。

虽然相关的规范已经规定了信号系统应具备顶层的安全功能,但实际上规范只定义了信号系统功能框架,而信号系统详细的功能设计需要经过严格的风险分析过程。EN 50129标准规定,安全需求规范应该是经过系统定义、危害识别、后果分析及风险评估之后产生的,对新发现的潜在危害要增加功能或者采用危害降低措施,以使得系统功能能覆盖潜在的危害空间。

根据标准,要保证设备(系统)的安全完整性足够,应具备2个性能:①设备或系统能正确实现所设计的功能;②设备或系统发生的能导致危险的随机失效概率足够小。在CENELEC标准中,第一项性能被称为系统失效完整性,第二项性能被称为随机失效完整性。只有二者同时满足才可认为信号设备或系统达到了一定的安全完整性。

系统失效完整性是定性的判断,不可量化。CENELEC标准认为只要有效地使用了合适的方法、工具和技术,即可看作是足够可信的证据。CENELEC标准规定了不同SIL等级所必需的人员独立性,生命周期各阶段的质量、安全活动,以及开发所必需使用、推荐使用或不可使用的方法和措施。这些是经过检验的良好实践。如认真执行可以有效地避免系统失效。需注意的是,这并不是对真实系统失效水平的衡量,只是从系统开发过程角度对系统失效水平的间接定性判断。

随机失效完整性在文献[2]中也被称为硬件安全完整性。可见随机失效是指硬件设备发生的不可预测且不可彻底避免的故障。通过量化估算的危害概率是否满足容许危害率(Tolerable Hazard Rate,THR)来衡量随机失效完整性。虽然每个硬件组件的危害概率都应被衡量,但标准却只定义了系统顶层功能的不同等级的THR。应此要求在系统建设中,首先,通过危害分析计算出每个系统功能的THR (通常是先定义功能的SIL等级,再按照EN 50129表A.1定义每个功能的THR);然后,在系统架构设计中进行分配,计算出每个硬件组件的THR。如每个硬件组件能满足要求,即说明整个系统的随机失效完整性能保证运营层面的危害风险可接受。虽然THR是关于所有失效(包括系统失效和随机失效)完整性的目标度量,但普遍认为仅在考虑随机失效时THR才可以量化。因此,THR可认为是对随机失效完整性的衡量。

安全系统的THR指标无疑是比较高的,必须要采用特定的机制(通常被称作“故障-安全”机制)才能实现。CENELEC标准及其所起源的IEC61508标准对此提出了复杂而详细的技术要求。概括而言,证明某个部件满足随机失效完整性要求的充分证据为:①仅发生任意单一故障(第一个故障),或能与继发故障组合造成危害的多重故障时,该部件仍保持安全状态(也即要求SIL3或SIL4的部件应实现对这两类故障的检测和容忍)。②发生上述情况时,再发生继发故障从而导致危害的概率仍满足相应的THR要求。这就要求故障的检测和反应时间足够小;同时要求能导致危害的多重故障是相互独立发生的,而不是共因造成的。更具体的判断内容参见EN 50129标准,本文不赘述。

综上可知,设备或系统厂商应平衡地综合运用多种措施以使系统具有所需的安全性。安全评估员也应评估所有子命题是否被可靠地论证,由此推导出设备(系统)的安全性是否可接受。

2 独立安全评估的方法及期望结论

2.1 独立安全评估员

安全评估有内部和外部(独立的)之分。在信号系统厂商内部,除了设计者、实现者、验证员和确认员之外,通常还有独立于这些角色的安全评估员。内部评估员如果有足够的资质和独立性,则可出具企业内部的安全评估报告。在某些场合下这种评估可被视作独立的安全认证。但通常意义上,独立安全评估员是指完全独立于信号设备厂商的第三方评估机构或个人。在欧洲,欧盟委员会条例第352/2009号文件(文献[1])规定了独立评估机构必须符合的标准,英国《工程安全管理》黄皮书(文献[4])对评估员定义了基本的能力和资质要求。在中国,相关的管理机制也正在逐步建立。

2.2 独立安全评估方法

文献[3]中定义了独立安全评估的方法有安全审计、安全审核、设计分析和测试见证4种。文献[4]则规定了:安全评估(包含了设计分析)和安全审计(包含了测试见证)2种方法。这些仅是名称的不同。在实际操作中,文献[5]和[6]介绍了英国劳氏铁路公司所采用的基于风险控制的独立安全评估方法。该方法分为审计和审核两部分。宏观来看,安全审计通常是通过面谈或见证的方式,检查并判断工程安全管理的过程是否足够并符合相关的计划和程序。安全审核着眼于工程产品和文档,检查系统的风险是否被控制在合适的水平。评估员可使用标准所列出的所有工具或方法,对所评估的文件进行复查或重现。

具体实践中,安全审计和文件评估互有重叠,也有很多文件需要采用审计和现场评估相结合的方式。此外,如果评估或审计的内容过多,无法对所有内容进行评估或审计时,可抽样并采取垂直切片式检查的方式。例如,可抽取系统的某子功能进行检查;检查内容包括系统需求、子系统需求、软硬件设计规格、软硬件的实现,以及对应的测试案例和测试报告等。

独立安全评估的执行有较大的灵活性和自主性,CENELEC标准提供了系统安全工程的框架,现实中不同厂商可采取不同的实现方式。评估员应能迅速理解厂商整体的开发和安全保证架构。评估内容应覆盖所有相关的活动和产出物,不拘泥于标准所列文档清单。

评估员应时刻注意保持独立性,一方面不干预或指导设计开发活动;另一方面尽可能独立地寻找证据,不依赖厂商人员的协助。

评估员应对可能遇到的困难和限制有清醒认识。文献[7]揭示了独立评估员必须面对的限制。其中,主要限制是信号厂商都认为深层的技术和安全方法是其专有财产,并加以积极保护。因此评估工作应留有足够的记录,以作为评估结论的支撑。

2.3 独立安全评估的预期结论项

目前,国内外规范没有对独立安全评估的预期结论项提出定义或要求。从经验来看,国内轨道交通客户通常也不会提出具体要求。当然,所有的独立安全评估合同肯定会要求评估方对系统的预期应用给出支持与否的结论。但单有该结论还是过于宽泛与单薄。因此,应该体现该结论与评估报告中的具体评估证据之间的多重逻辑链条。事实上,一些资深的独立安全评估机构在出具评估报告中会给出一组结论。这组结论应能较好地体现安全逻辑原理。例如,对某信号工程预期可得到的结论项应包括:①设备或系统的开发是否符合CENELEC标准;②已识别的安全需求是否被满足;③系统相关风险是否被控制在可接受的程度;④系统是否可应用于预期的运营服务。其中,第①条是针对系统失效完整性的评估结论,可说明所评估的开发流程、人员、方法、工具和技术等是否符合标准中对相应SIL的要求。第②条是针对安全需求的评估结论,可说明所有已识别的安全需求是否被实现、测试(或用检查、证明等其他方式)和确认。由于安全需求包括随机失效完整性需求,因此该结论中包含了评估员对于系统各安全功能的SIL等级的肯定。第③条是对系统应用到工程项目之后的风险总结,可说明是否有信心认为相关风险已经被采取合理措施降低了发生概率与/或危害严重程度。第④条是针对项目投用的支持,是对安全审核或接受方的直接建议。第③、④条是针对具体信号工程项目(特定应用)的;如果评估的对象是通用产品或通用应用,则不需要这两条结论,仅得出前两条结论即可。

2.4 信号工程的评估方法

信号系统是涉及铁路信号、电子学和通信网络等多专业的复杂系统,其需要审核的内容相当庞大。信号系统应用的层次性为独立安全评估提供了便利。安全评估可分为通用产品、通用应用和特定应用3个层次。信号系统工程通常由一系列应用经验成熟的通用产品配置而成。根据EN 50129的规定,及文献[8]定义的交叉接受原则,已通过了独立安全评估的通用产品和通用应用不需再次评估。因此对信号工程项目(特定应用)的评估可集中于新功能所带来的通用产品和通用应用的变更上,以及项目本身的系统设计、数据准备和系统集成上。

独立安全评估通常是根据EN 50126所定义的系统生命周期按阶段进行。以某信号工程项目为例,主要的评估对象包括需求规范、系统架构设计和子系统设计规范、软硬件开发、数据准备、系统集成和测试、运营维护准备。

(1) 需求规范。需求规范包括系统需求规范、子系统需求规范及安全需求规范等。安全需求通常没有单独的规范,在系统及子系统需求规范中是通过标志来管理安全需求的。安全需求规范是评估的重点。评估员应复查每条需求以判断风险是否足以控制。基于交叉认证,评估员可只对变更的系统和子系统需求规范进行审核,对其他需求采用抽样垂直切片式的评估。

(2) 系统架构设计和子系统设计规范。安全关键的子系统通常采用“故障-安全”机制。这是实现随机失效完整性的关键。工程项目通常采用的通用系统架构和子系统设计,属于通用产品或通用应用的范围,可直接引用通用产品或通用应用的评估结论。如果系统架构和子系统设计有较小范围的变更,可在交叉认证的基础上对变更部分进行评估,以判断变更部分是否实现了新的安全需求。同时,系统赖以为安全基础的随机失效完整性仍然有效。如果系统架构或设计规范发生了重大的变更,则需重新开展对通用产品或通用应用的安全评估。

(3) 软硬件开发。在工程项目中,一般的硬件及基础软件的开发也是通用的,属于通用产品的范围。对此,评估员可直接引用相关评估结论。评估工作主要关注定型设备的配置管理。应用层软件在工程项目中有时也是通用的,其评估方法与通用基础软件相同。对特殊应用软件开发的评估内容主要包括两方面:一是开发的流程、方法和工具(主要通过审计的方式,判断其对EN 50128标准的符合性); 二是开发过程中具体的成果性文件(包括代码检查、软件层面的各种测试等,主要通过审核的方式,判断其需求实现和标准的复合性)。如果应用软件开发范围比较小,则评估员可在交叉认证的基础上仅对变更部分进行评估。

(4) 数据准备。每个工程项目都有自己特定的数据准备。这是工程安全评估的重点。数据准备通常可分为数据的产生和数据的处理两部分。数据的产生(如线路地图和联锁表的设计)通常由人工完成。数据的处理都是通过工具对原始数据进行编译处理,可能是独立的过程,也可能结合在软件集成中。评估内容也可分为两方面:一是流程、方法和工具,二是数据准备过程中所产生的成果文件(主要是对数据准备起到验证和确认作用的成果文件)。通常项目上会采用双路“背对背”开发,或者严格的同行审核的方式来产生数据,通过双路编译校核,或逆编译校核的方式保证数据处理的正确性。评估员应判断流程和方法的正确性、充分性,以及工具的完整性,进而评估数据准备活动是否被正确执行。数据准备的主要评估依据是EN 50128标准。

(5) 系统集成和测试。属于特定应用的范围。工程项目中通常包括多层次的集成测试和若干次的回归测试。理论上评估员应审核每项安全相关测试的计划、案例、通过准则、测试结果和确认情况。若不可行,则可抽取足够数量的测试项进行案例检查和测试见证,以评估测试执行合规情况等。如有必要,评估员可要求增加特定的测试。应对安全相关测试的确认情况进行全面的检查,以评估安全需求是否被有效地实现。

(6) 运营维护准备。属于特定应用的范围。评估员应审核运营维护计划的充分性和一致性,并审计运营维护人员的培训和对系统应用条件的接受情况。

此外,评估还应贯穿整个生命周期,覆盖所有活动的质量管理、安全管理。质量管理评估依据GB/T 19001标准,应包括配置管理评估及人员资质评估。安全管理评估中,对初步危害分析、系统危害分析、操作支持危害分析及项目特定的危害分析应逐条全部评估;对子系统危害分析及接口危害分析等包含通用部分的分析,可主要对变更相关的风险进行逐条评估。安全管理评估的目标应是充分树立对于风险分析完整性的信心,以及准确得出危害控制可接受的结论。

3 结语

本文总结概括了独立安全评估所基于的系统安全原理,概述了CENELEC标准的理论框架,由此推导出安全评估的评估方法预期结论项,并针对当前认识比较薄弱的独立评估结论要求给出了合理化建议。根据评估经验,介绍了典型信号工程项目的评估重点和评估方法,希望能够推进行业内对比的探讨和理解,促进我国独立安全评估事业的发展。

[1] COMMISSION REGULATION (EC).On the adoption of a common safety method on risk evaluation and assessment as referred to in Article 6(3)(a) of Directive 2004/49/EC of the European Parliament and the Council:EC No 352/2009[S].Strasbourg:the European Parliament and the Council,2009.

[2] 中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.电气/电子/可编程电子安全相关系统的功能安全 第1部分 一般要求:GB/T 20438.1—2006/IEC 615081—1998[S].北京:中国标准出版社,2007.

[3] CENELEC.CLC/TR 50126-2 Railway applications—The specification and demonstration of Reliability,Availability,Maintainability and Safety (RAMS) Part 2:Guide to the application of EN 50126-1 for safety[R].Brussels:CENELEC,2007.

[4] Rail Safety Standards Board.Engineering Safety Management Issue 4 (Yellow Book 4) Volumes 1 and 2 Fundamentals and Guidance[M].London:Evergreen House,2007:135.

[5] JOS van G,PIET S,NICK B.铁路建设项目的独立安全保障及其欧洲案例[J].城市轨道交通研究,2013,16(3):1.

[6] 孙华平,张艳兵.北京地铁亦庄线信号系统工程独立安全评估[J].城市轨道交通研究,2013,16(1):1.

[7] 史锋钢.大型CBTC系统的安全信心的获得[J].城市轨道交通研究,2014,17(增刊2):26.

[8] CENELEC.CLC/TR 50506-1 Railway applications-Communication,signalling and processing systems—Application Guide for EN 50129,Part 1:Cross-acceptance[R].Brussels:CENELEC,2007.

Principle and Methods of the Independent Safety Assessment for Rail Transit Signaling System

ZHANG Kai

Owing to the late starting of ISA in China,its development and international level is quite low compared with advanced countries in terms of the fundamental theoretical research,unified understanding within the industry as well as the cultivation of both assessment personnel and assessment institutions.In this paper, the principle of system safety based on safety assessment,the theoretical framework of European Committee for Electrotechnical Standardization (CENELEC) are introduced,the expected conclusion and the assessment method of ISA are elaborated in detail.According to the experiences of assessment practices in China,the assessment content and methods for typical signaling projects are introduced.

urban rail transit; signaling system; independent safety assessment(ISA); safety integration level

*上海市科学技术委员会专项资助项目(15DZ2283000)

U231.7

10.16037/j.1007-869x.2017.06.002

2015-08-31)