鐵路安全信號平臺開發(fā)中的安全管理實(shí)踐

1、鐵路安全信號平臺開發(fā)中的安全管理實(shí)踐摘要：介紹了某鐵路安全信號平臺開發(fā)中符合EN50126系列歐洲標(biāo)準(zhǔn)的安全管理實(shí)踐工作，論述了符合安全完整性等級4級（SIL4）的安全管理流程。本文首先對EN50126系列標(biāo)準(zhǔn)中有關(guān)安全管理工作的相關(guān)規(guī)定進(jìn)行綜述；然后結(jié)合安全信號平臺研究開發(fā)過程，著重介紹了符合SIL4的安全管理流程和實(shí)踐方案；最后對安全管理對平臺開發(fā)的實(shí)踐意義進(jìn)行總結(jié)。關(guān)鍵詞：RAMS 安全管理 安全完整性等級 安全信號平臺Abstract: The practical work of safety management in compliance with the EN50126 seri

2、al European Standards during the development of a railway safety signalling platform is proposed. The safety management flow against safety integrity level 4 (SIL4) is also introduced. Firstly, this paper presents a summary on safety management roles in the EN50126 serial European Standards. Secondl

3、y, the SIL4 safety management processes and practices are introduced with the research and development process of the safety signalling platform. Finally, the practical significance of safety management to the platform is summed up.Key words: RAMS, safety management, safety integrity level, safety s

4、ignalling platform隨著經(jīng)濟(jì)和軌道運(yùn)輸業(yè)的飛速發(fā)展，特別是高速鐵路和高密度城市軌道的建設(shè)，世界上包括發(fā)達(dá)國家和發(fā)展中國家在內(nèi)的許多國家已經(jīng)越來越認(rèn)識到鐵路產(chǎn)品可靠性，可用性，可維護(hù)性和安全性（RAMS）的重要性。因?yàn)楫a(chǎn)品的可靠性，可用性，可維護(hù)性和安全性與鐵路運(yùn)營的性能密切相關(guān)，失去任何一個(gè)性能，將對鐵路的正常運(yùn)營產(chǎn)生嚴(yán)重影響。特別是安全性，它是鐵路信號產(chǎn)品的關(guān)鍵特征。本文首先對EN50126系列歐洲標(biāo)準(zhǔn)進(jìn)行介紹，明確不同標(biāo)準(zhǔn)的相互制約關(guān)系和適用范圍；然后結(jié)合某鐵路安全信號平臺的研究開發(fā)過程，對如何構(gòu)建符合歐洲標(biāo)準(zhǔn)的安全管理系統(tǒng)進(jìn)行綜述；對項(xiàng)目進(jìn)展過程中安全管理系統(tǒng)的實(shí)際運(yùn)行和

5、相關(guān)經(jīng)驗(yàn)進(jìn)行總結(jié)，論述如何通過安全管理手段，在相關(guān)技術(shù)安全手段和質(zhì)量管理體系的配合下，使產(chǎn)品最終符合SIL4要求。1. EN50126系列歐洲標(biāo)準(zhǔn)為保證產(chǎn)品（系統(tǒng)）的高安全、高可靠性，歐洲電子與電氣委員會（CENELEC）制定了專門的標(biāo)準(zhǔn)，給鐵路關(guān)鍵應(yīng)用（特別是信號系統(tǒng)）的產(chǎn)品研發(fā)，設(shè)計(jì)和工程應(yīng)用提供了高層次的可以借鑒的指導(dǎo)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)包括：EN50126：鐵路應(yīng)用可靠性，可用性，可維護(hù)性和安全性的規(guī)格和證明EN50128：鐵路應(yīng)用通信、信號和處理系統(tǒng)鐵路控制和防護(hù)系統(tǒng)軟件EN50129：鐵路應(yīng)用通信、信號和處理系統(tǒng)信號安全相關(guān)的電子系統(tǒng)歐聯(lián)盟國家已經(jīng)把這些標(biāo)準(zhǔn)作為鐵路信號項(xiàng)目必須遵循的法律

6、法規(guī)來對待。并且這些標(biāo)準(zhǔn)已經(jīng)被國際標(biāo)準(zhǔn)組織（IEC）所接受， 這些標(biāo)準(zhǔn)已經(jīng)成為國際標(biāo)準(zhǔn)。如IEC62278、IEC62279、IEC62425分別對應(yīng)于歐標(biāo)的EN50126、EN50128、EN50129。以上三個(gè)標(biāo)準(zhǔn)之間的關(guān)系如下圖所示1。圖 1 主要CENELEC鐵路應(yīng)用標(biāo)準(zhǔn)的關(guān)系圖其中，EN50126定義了系統(tǒng)可靠性、可用性、可維護(hù)性和安全性，并且規(guī)定了安全生命周期內(nèi)各個(gè)階段對RAMS的管理和要求。但是在該標(biāo)準(zhǔn)中未定義RAMS的具體的定量目標(biāo)。RAMS作為系統(tǒng)服務(wù)質(zhì)量衡量的一個(gè)重要特征，是在整個(gè)系統(tǒng)安全生命周期內(nèi)的各個(gè)階段通過設(shè)計(jì)理念、技術(shù)方法而得到的。為了達(dá)到規(guī)定的RAMS，必須針對前

7、面的RAMS影響因素，在整個(gè)系統(tǒng)的生命周期內(nèi)有效控制RAMS的影響因素，即系統(tǒng)的隨機(jī)故障和系統(tǒng)故障。EN50126要求在整個(gè)安全生命周期進(jìn)行RAMS管理，針對每個(gè)階段給出應(yīng)需要完成的RAMS任務(wù)，同時(shí)給出相關(guān)的具體文檔和要求2。由于在信號系統(tǒng)中采用計(jì)算機(jī)技術(shù)越來越廣泛，由軟件來承擔(dān)安全性需求的比重越來越大，因此軟件安全性問題變得更加突出。為此EN50128針對軟件的安全保證提出了相關(guān)的規(guī)范和設(shè)計(jì)標(biāo)準(zhǔn)。在該標(biāo)準(zhǔn)中，對鐵路控制和防護(hù)系統(tǒng)的軟件進(jìn)行了安全完善度等級的劃分，針對不同的安全要求制訂了相應(yīng)的標(biāo)準(zhǔn)，按不同等級對整個(gè)軟件開發(fā)、檢查、評估、檢測過程包括對軟件需求規(guī)格書、測試規(guī)格書、軟件結(jié)構(gòu)、軟件

8、設(shè)計(jì)開發(fā)、軟件檢驗(yàn)和測試、軟硬件集成、軟件確認(rèn)評估、質(zhì)量保證、生命周期、文檔等提出相應(yīng)的程序與規(guī)范的要求2。EN50129定義了為了保證安全相關(guān)的鐵路信號電子系統(tǒng)所必須滿足的條件。這些條件包括： 質(zhì)量管理措施；安全管理措施；功能與技術(shù)安全措施以及安全接收與許可。對于安全管理，引入IEC61508提出的安全生命周期概念，就是說對于安全相關(guān)系統(tǒng)的安全部分，在設(shè)計(jì)時(shí)按照該步驟進(jìn)行設(shè)計(jì)，并且需要進(jìn)行全程的安全評估和驗(yàn)證，目的是進(jìn)一步減少和安全相關(guān)的人為失誤，進(jìn)而減少系統(tǒng)故障風(fēng)險(xiǎn)2。系統(tǒng)的安全完整性是指在規(guī)定的條件下系統(tǒng)于給定時(shí)間內(nèi)滿意地實(shí)現(xiàn)所要求的安全功能的可能性3。安全相關(guān)系統(tǒng)中根據(jù)在安全

9、功能上對安全完整性的定量要求，將安全完整性分級，即安全完整性等級（Safety Integrity Level, SIL）。SIL通常由可定量計(jì)算部分（通常與硬件相關(guān)，如隨機(jī)失效）和不可定量計(jì)算部分（通常與軟件、技術(shù)規(guī)格、文檔和過程等的系統(tǒng)性失效相關(guān)）共同組成3。為了獲得實(shí)現(xiàn)系統(tǒng)指定功能安全完整性等級的信心，對于不可定量計(jì)算部分，需要完善的質(zhì)量管理體系和符合EN50126的安全管理體系來保證。2. 安全管理系統(tǒng)構(gòu)建安全管理過程的目的是進(jìn)一步減少安全相關(guān)的人為因素在整個(gè)產(chǎn)品生命周期中對系統(tǒng)的影響，從而降低安全相關(guān)的系統(tǒng)故障殘留風(fēng)險(xiǎn)。而使用安全管理過程對于安全完整性等級1到4是強(qiáng)制性的。安全管理過

10、程是由一些階段和活動(dòng)組成，將這些階段和活動(dòng)聯(lián)系起來就形成安全生命周期。安全生命周期應(yīng)與EN50126中定義的系統(tǒng)生命周期相一致，系統(tǒng)生命周期見圖 23。系統(tǒng)生命周期可以根據(jù)不同開發(fā)目的加以適當(dāng)調(diào)整。圖 2 系統(tǒng)生命周期示意圖考慮到某鐵路安全信號平臺的特點(diǎn)，本項(xiàng)目主要包括生命周期的1-10階段。通過對這些生命周期的分析，認(rèn)為可以將安全生命周期分為下面六個(gè)階段：階段1系統(tǒng)需求定義：此階段需要識別操作和維修策略；識別操作和維修環(huán)境；識別既有基礎(chǔ)設(shè)施限制產(chǎn)生的影響；評價(jià)以往RAM的經(jīng)驗(yàn)數(shù)據(jù)；進(jìn)行初步RAM分析；制定RAM政策；識別既有基礎(chǔ)設(shè)施限制對RAM產(chǎn)生的影響；評價(jià)以往安全性的經(jīng)驗(yàn)數(shù)據(jù)；進(jìn)行初步風(fēng)

11、險(xiǎn)分析；制定總體的安全性計(jì)劃；定義風(fēng)險(xiǎn)標(biāo)準(zhǔn)的可容許性并識別既有基礎(chǔ)設(shè)施限制對安全性的影響。階段2系統(tǒng)風(fēng)險(xiǎn)分析：此階段需要進(jìn)行系統(tǒng)危險(xiǎn)和安全性風(fēng)險(xiǎn)的分析；建立風(fēng)險(xiǎn)源日志；識別會導(dǎo)致風(fēng)險(xiǎn)的事件；進(jìn)行風(fēng)險(xiǎn)源識別以及安全性分析。階段3系統(tǒng)規(guī)范：此階段進(jìn)行需求分析，包括根據(jù)風(fēng)險(xiǎn)分析結(jié)果定義系統(tǒng)安全需求；定義安全接收準(zhǔn)則；建立用于控制各個(gè)不同生命周期安全任務(wù)的安全管理措施。階段4設(shè)計(jì)實(shí)現(xiàn)：此階段包括進(jìn)行系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，并識別安全相關(guān)系統(tǒng)和非安全相關(guān)系統(tǒng)；對系統(tǒng)安全需求和安全目標(biāo)進(jìn)行分配；定義子系統(tǒng)或模塊的安全接收準(zhǔn)則；根據(jù)項(xiàng)目進(jìn)展適當(dāng)更新系統(tǒng)安全計(jì)劃；深入進(jìn)行風(fēng)險(xiǎn)源識別以及安全性分析；通過理論分析、會議回顧

12、、測試（軟件模塊測試、硬件模塊測試和集成測試）和驗(yàn)證手段系統(tǒng)或子系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)能夠滿足安全需求；對安全管理進(jìn)行過程控制，管理；準(zhǔn)備安全例證。階段5系統(tǒng)確認(rèn)：根據(jù)子系統(tǒng)測試報(bào)告、系統(tǒng)測試報(bào)告，以及系統(tǒng)各個(gè)階段的驗(yàn)證報(bào)告，確認(rèn)系統(tǒng)中所采用的風(fēng)險(xiǎn)控制或緩解措施能夠符合安全需求，并形成確認(rèn)報(bào)告階段6系統(tǒng)安全接收：此階段接受獨(dú)立的三方對產(chǎn)品進(jìn)行安全評估。下圖使用V形表示法對安全生命周期六個(gè)階段以及不同階段之間的驗(yàn)證/確認(rèn)關(guān)系進(jìn)行表示。圖 3 安全生命周期不同階段之間的確認(rèn)關(guān)系安全系統(tǒng)生命周期的設(shè)計(jì)和確認(rèn)過程可看成為一個(gè)“自頂向下”階段并伴隨一個(gè)“自底向上”階段。為了保證安全管理過程的有效執(zhí)行，必須建立符

13、合歐標(biāo)要求的安全組織，由有能力的人員，按照預(yù)定的角色要求，對安全活動(dòng)進(jìn)行控制。同時(shí)，為了符合相應(yīng)的安全完整性等級，歐標(biāo)對不同角色之間的獨(dú)立性存在明確的要求。比如對于SIL3和SIL4，設(shè)計(jì)人員、驗(yàn)證人員與確認(rèn)人員必須滿足下圖所示的獨(dú)立性1。(a)(b)圖 4 滿足SIL3或SIL4的角色獨(dú)立性關(guān)系圖中，使用點(diǎn)劃線區(qū)分不同組織，即評估人員與其它人員必須屬于不同的組織；使用實(shí)線表示不同的人?？梢钥闯?，驗(yàn)證與確認(rèn)人員必須滿足與設(shè)計(jì)人員的獨(dú)立性。在項(xiàng)目開發(fā)實(shí)踐中，我們采用了符合圖 4(a)的安全組織。3. 項(xiàng)目安全管理實(shí)踐在某鐵路安全信號平臺的研究開發(fā)過程中，為了使產(chǎn)品能夠滿足SIL4的要求，需要相關(guān)

14、技術(shù)安全手段并結(jié)合安全管理和質(zhì)量管理手段才能實(shí)現(xiàn)。而安全管理過程必須符合一定的流程，安全管理人員必須遵照相關(guān)的安全管理規(guī)定，對項(xiàng)目安全生命周期中各個(gè)階段進(jìn)行有效管理。下面對平臺開發(fā)過程中的安全管理的實(shí)踐經(jīng)驗(yàn)進(jìn)行總結(jié)。3.1 安全計(jì)劃在安全管理過程中，首先要制定安全計(jì)劃。安全計(jì)劃不僅包括目標(biāo)，而且包括實(shí)現(xiàn)這個(gè)目標(biāo)需要采取的措施；計(jì)劃制定之后，要按照計(jì)劃使用檢查表的方式對各個(gè)活動(dòng)進(jìn)行檢查，看是否實(shí)現(xiàn)了預(yù)期效果并達(dá)到了預(yù)期目標(biāo)；通過檢查找出問題和原因，并及時(shí)進(jìn)行處理。在安全計(jì)劃的執(zhí)行過程中，應(yīng)該在安全生命周期每個(gè)階段結(jié)束后進(jìn)行安全計(jì)劃的評審，以確保安全計(jì)劃得以有效執(zhí)行。同時(shí)在執(zhí)行過程中，會根據(jù)具體執(zhí)

15、行情況對計(jì)劃進(jìn)行修改，而為了保證計(jì)劃修改的可行性，需要對修改后的安全計(jì)劃重新進(jìn)行評審。3.2 系統(tǒng)安全需求規(guī)范系統(tǒng)的安全需求規(guī)范主要包括安全功能和安全完整性要求，這些內(nèi)容可以通過風(fēng)險(xiǎn)分析過程得到，并被單獨(dú)記錄在系統(tǒng)安全需求規(guī)范中。根據(jù)不同的安全完整性等級，所需的安全需求規(guī)范內(nèi)容各不相同。對于某鐵路安全信號平臺，為使系統(tǒng)安全需求規(guī)范制定階段達(dá)到SIL4的要求，應(yīng)該在流程上注意下面幾點(diǎn)：a) 為了明確平臺中不同子系統(tǒng)的安全特性，確定后續(xù)安全分析對象，應(yīng)區(qū)分安全相關(guān)子系統(tǒng)和非安全相關(guān)子系統(tǒng)，定義它們之間的接口，并對這些接口進(jìn)行分析。b) 在項(xiàng)目中，分別對平臺、子系統(tǒng)和模塊這三個(gè)層次提出了相應(yīng)的安全需

16、求。為了保證不同層次的功能需求和安全需求具有可追溯性和一致性，使用了需求管理工具和需求對照表，分別利用自動(dòng)化的方法和人工方法對需求規(guī)格進(jìn)行檢查。c) 在系統(tǒng)需求規(guī)格定義過程中，由于涉及到用戶、設(shè)計(jì)者等多方面人員，因此需要一種簡單明確、無二義性且容易被大家接受的描述方法對不同群體的意圖進(jìn)行準(zhǔn)確表達(dá)。半形式化描述語言UML可以很好的表達(dá)不同行業(yè)、不同背景人員的意圖，使用UML可以極大地減少由于信息誤讀或行業(yè)限制造成的溝通困難，較好的完成平臺需求規(guī)格的定義。d) 風(fēng)險(xiǎn)日志在項(xiàng)目的初期即被建立，在整個(gè)項(xiàng)目生命周期中進(jìn)行了更新和維護(hù)。風(fēng)險(xiǎn)日志的內(nèi)容包括風(fēng)險(xiǎn)源標(biāo)識、風(fēng)險(xiǎn)源描述、初步分析得到的產(chǎn)生風(fēng)險(xiǎn)源的原

17、因及風(fēng)險(xiǎn)源導(dǎo)致的結(jié)果、風(fēng)險(xiǎn)源的風(fēng)險(xiǎn)指數(shù)、風(fēng)險(xiǎn)源狀態(tài)、風(fēng)險(xiǎn)源負(fù)責(zé)人等內(nèi)容。e) 在需求規(guī)范的編寫過程中，始終貫徹SMART（Specific, Measurable, Achievable, Realistic, Testable）原則，即具體的、可測量、可完成、現(xiàn)實(shí)的、可測試的。SMART原則的遵循，可以有效提高需求規(guī)范的可讀性、可追溯性和可實(shí)現(xiàn)性。f) 在系統(tǒng)功能需求和安全需求規(guī)范定義完成后，為了保證需求規(guī)格能夠正確、完整的反映各方面的要求，通過會議評審的方式對需求規(guī)格進(jìn)行了檢查與審查。3.3 安全組織安全管理系統(tǒng)必須在一個(gè)適當(dāng)?shù)陌踩M織控制之下，由有能力的人員按照規(guī)定的角色來執(zhí)行。為保證安

18、全組織中各類人員能夠有足夠能力從事相關(guān)的工作，在項(xiàng)目實(shí)施過程中，需要在所有安全相關(guān)活動(dòng)中進(jìn)行重復(fù)或定期的培訓(xùn)；同時(shí)動(dòng)態(tài)對所有人員進(jìn)行人員能力的考核與評價(jià)，確保所有人員具有較高的技術(shù)教育程度或豐富的經(jīng)驗(yàn)，并對不合格的人員進(jìn)行特殊培訓(xùn)或更換。安全組織采用如圖 4(a)所示的組織形式。如圖可知，雖然設(shè)計(jì)人員與驗(yàn)證/確認(rèn)人員均處于同一組織，但存在管理上的獨(dú)立性，即驗(yàn)證/確認(rèn)人員在管理體制上完全不受設(shè)計(jì)人員或項(xiàng)目負(fù)責(zé)人的控制，可以獨(dú)立進(jìn)行相應(yīng)的工作，得出獨(dú)立的結(jié)論，并就安全管理存在的問題直接向上級管理機(jī)關(guān)反應(yīng)；評估人員與其他項(xiàng)目相關(guān)人員不能任職于同一組織，以進(jìn)行獨(dú)立的第三方安全評估。3.4 系統(tǒng)設(shè)計(jì)與開

19、發(fā)這一階段需要通過采用一種自頂向下、結(jié)構(gòu)化的設(shè)計(jì)方法實(shí)現(xiàn)系統(tǒng)特定的功能與安全需求，并通過對各種設(shè)計(jì)文檔的嚴(yán)格控制和評審，確保設(shè)計(jì)能夠滿足功能和安全需求的要求。在平臺結(jié)構(gòu)設(shè)計(jì)過程中，使用自頂而下的分層設(shè)計(jì)方法，盡量采用模塊法設(shè)計(jì)理念，在保證所有設(shè)計(jì)均能完全追溯到需求規(guī)格的同時(shí)，盡量使用完全經(jīng)過確認(rèn)的、易于理解的且大小受限制的模塊，并確保模塊之間的功能隔離。在軟件設(shè)計(jì)以及軟硬件集成過程中安全管理的相關(guān)內(nèi)容可以參見文檔4。為使平臺能夠具有較好的抗外部干擾能力，在設(shè)計(jì)與開發(fā)過程中，還需要對諸如EMC、振動(dòng)等外部干擾進(jìn)行相關(guān)研究和處理。3.5 系統(tǒng)驗(yàn)證與確認(rèn)在平臺安全計(jì)劃中，還包括了對生命周期各階段滿足

20、前階段確定的具體安全要求的驗(yàn)證計(jì)劃，以及對整個(gè)系統(tǒng)滿足安全需求規(guī)格的確認(rèn)計(jì)劃。在圖 3中，虛線所示的就是設(shè)計(jì)實(shí)現(xiàn)階段的各種驗(yàn)證活動(dòng)。下面給出不同安全生命周期的驗(yàn)證活動(dòng)：a) 系統(tǒng)需求定義階段：用戶、項(xiàng)目主管部門對平臺需求與定義文檔進(jìn)行審核。b) 系統(tǒng)風(fēng)險(xiǎn)分析階段：對平臺工作狀態(tài)和功能的UML狀態(tài)圖和時(shí)序圖描述進(jìn)行審核，確認(rèn)其描述的充足性和準(zhǔn)確性；驗(yàn)證對風(fēng)險(xiǎn)源日志，原因分析，結(jié)果分析，以及風(fēng)險(xiǎn)分析報(bào)告等文檔進(jìn)行驗(yàn)證。c) 系統(tǒng)規(guī)范階段：對平臺需求規(guī)格書、安全需求規(guī)格書、驗(yàn)收規(guī)格書等進(jìn)行了驗(yàn)證。d) 設(shè)計(jì)實(shí)現(xiàn)階段：首先對平臺結(jié)構(gòu)設(shè)計(jì)進(jìn)行驗(yàn)證；然后對平臺各個(gè)子系統(tǒng)中不同軟/硬件模塊的軟/硬件設(shè)計(jì)方案

21、進(jìn)行驗(yàn)證；并對涉及到安全需求實(shí)現(xiàn)的軟/硬設(shè)計(jì)進(jìn)行專家評審；接著依據(jù)相應(yīng)層次的設(shè)計(jì)規(guī)格，通過軟件單元測試、軟件集成測試、硬件模塊測試、子系統(tǒng)軟/硬件集成測試、系統(tǒng)集成測試等，對系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)進(jìn)行驗(yàn)證，確保所有功能和性能需求規(guī)格均得到有效實(shí)現(xiàn)；通過測試和分析驗(yàn)證方法，對每個(gè)安全需求的實(shí)現(xiàn)進(jìn)行驗(yàn)證，確保所有安全需求規(guī)格得到有效實(shí)現(xiàn)；采用FMEA方法，驗(yàn)證硬件的故障模式可以滿足系統(tǒng)安全需求。在安全生命周期的第五階段，即系統(tǒng)確認(rèn)階段，根據(jù)測試報(bào)告、RAM報(bào)告及安全驗(yàn)證報(bào)告，證實(shí)所開發(fā)的平臺滿足原始的用戶需求。以上這些驗(yàn)證與確認(rèn)過程均需要通過相關(guān)級別的審批，并產(chǎn)生驗(yàn)證或確認(rèn)報(bào)告。當(dāng)出現(xiàn)對平臺的修改或變更時(shí)，相應(yīng)的驗(yàn)證過程需要重新進(jìn)行。3.6 安全回顧安全回顧可以在安全生命周期中合適的階段及項(xiàng)目安全管理者認(rèn)為必要的時(shí)間進(jìn)行。在平臺開發(fā)過程中，在每個(gè)安全生命周期結(jié)束時(shí)，均進(jìn)行了安全回顧。考慮到風(fēng)險(xiǎn)分析階段在系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)過程中也要不斷循環(huán)進(jìn)行，因此對該階段根據(jù)階段性成果進(jìn)行了數(shù)次安全回顧。安全回顧一般采用安全管理人員組織相關(guān)人員，通過回顧會